ŞİRKETLERİN KABUSU: ŞEYTAN İKİZ SALDIRISI

ŞİRKETLERİN KABUSU: ŞEYTAN İKİZ SALDIRISI

Mobil cihaz kullanımının bir getirisi olan kablosuz ağlar, günümüzde kurumlara ait sistemlerinin ele geçirilmesi, sistemlere zarar verilmesi, verilerin ele geçirilmesi gibi birçok kritik hedef için kötüye kullanılabilmektedir. Saldırganlar saldırılarını, kimi zaman haksız kazanç sağlamak amacıyla, kimi zaman ün kazanmak gayesi ile kimi zamansa üçüncü kişiden almış olduğu ücret ile hedeflenen kurum sistemlerine sadece zarar verme ve ticari anlamda itibar kaybına uğramaları kastı ile gerçekleştirmektedir. Kablosuz ağ saldırılarının gerçekleştirilmesi şirketlere çoğunlukla maddi; sonrasında ise büyük itibar kayıpları çıktıları ile geri dönmektedir. İtibar kayıpları ise beraberinde, çeşitli yasal sorumlulukları da getirmektedir. Kablosuz ağ teknolojisinin taşıdığı maliyetten tasarruf ve erişim avantajları, kullanıcıların bu teknolojiyi tercih etmelerindeki ana etmenlerdir. Ancak kablosuz ağ güvenliği ve konusunda gerekli ve yeterli bilince sahip olmayan, dikkatsiz davranabilen veya şifre güvenlikleri yeterli komplekslikte olmayan kullanıcıların ihmalleri ve bilinçsizlikleri, saldırganlara davetiye çıkarmaktadır. Bilgi güvenliği yaşam döngüsünde en zayıf lokma gibi görülen kullanıcıların yaratabileceği tehditlerin analiz edilmesi ve bu tehditlere yönelik aksiyon planlarının oluşturulması; kullanıcılara bilgi güvenliği ve siber saldırılara ilişkin farkındalık eğitimlerinin tam donanımlı şekilde verilmesi; yeni teknolojilerin takip edilmesi ve gerekli teknik tedbirlerin alınması saldırılara karşı alınabilecek başlıca önlemlerdir.

Birçoğumuzun kullandığı şifreli veya güvenlik standartları ile çalışan ağlar, içerisinde birçok tehdit barındırmakta. WEP, WPA ve WPA2, WPA3 yöntemleri şifrelenebilen veya WPS güvenlik standartları ile kullanabildiğimiz kablosuz ağların nasıl saldırıya uğradığını, saldırganların izledikleri yöntemleri ve saldırı sonrasında alınması gerekli önlemleri konuşuyor olacağız.

ŞEYTAN İKİZLER NEDİR?

Genel olarak, şeytan ikiz saldırısı kurbanını sahte ağa bağlanmaya ve erişimin sağlanması için Wİ-Fİ parolasını girmeye zorlayan bir saldırı türüdür. Şeytan ikiz, internetteki kullanıcıyı aslında gerçek olmayan bir ağın meşru olduğuna inandırmaya çalışan ağ üzerindeki bir erişim noktası olarak tanımlanmaktadır. Şeytan ikizler, hedeflenen cihazlara gerçekleştirilen başarılı saldırılar ile hukuka aykırı şekilde verileri toplamak, sistemlerin işleyişini bozmak veya engellemek, veri hırsızlığı yapmak, sistemlere sızmak, ticari bilgileri hukuka aykırı şekilde ele geçirmek, sistemlerde zararlı yazılım çalıştırmak gibi birçok amaç doğrultusunda kullanılabilmektedir. Saldırı esnasında kullanıcıların karşısına güvenlik amacı ile parola istendiği intibasını uyandırmak amacı ile bir şifre ekranı çıkartılmakta; kullanıcı bu ekrana parola ve kullanıcı bilgilerini vermeye zorlanmaktadır. İnternetteki kullanıcılar ağdan koparılarak sahte ağa bağlanmaları için kendilerine bir tuzak kurulmaktadır. Bilinçsiz kullanıcı ise, önüne çıkan ve internete bağlanmak için kullanıcı bilgileri isteyen doğrulama ekranının güvenlik önlemi olduğunu düşünerek, bu sahte ağa bağlanmakta ve saldırıyı fark etmemektedir. Kablosuz ağlara saldırmak için birçok yazılım bulunduğu gibi, güvenlik noktalarını aşmak için saldırganlar birçok teknolojiyi kullanmaktadır. Şeytan ikiz saldırısının gerçekleştirilebilmesi için öncelikle kullanıcının içinde olduğu ağdan koparılması ve kullanıcının yeniden bir internet ağına bağlanması eylemine yönlendirilmesi gerekmektedir. Saldırıyı gerçekleştirmek için Kali Linux veya başka bir sistemin kullanılması gerekmektedir. Saldırı genel hatlarıyla aşağıdaki adım ve işlemler ile gerçekleştirilmektedir:

1-Adaptör işletim sistemine tanımalanır ve monitör moduna geçilir,
2-Gerekli programlar indirilir ve dil ayarları yapılır,
3-Kablosuz ağ adaptörümüzü seçtikten sonra, ana saldırı menüsüne gidilir,
4-Bu noktada hedefleri tespit etmek gerekir ve açılan pencerede tespit edilen ağların bir listesini gösterilir,
5-Hedef cihaz seçilir ve sonraki ekrana geçilir,
6-Handshake yakalanır ve cihazların el sıkışmaları toplanır.

Bir şirkete ait ticari bilgilerin istenilmeyen bir kullanıcı yani saldırgan tarafından hukuka aykırı olarak ele geçirilmesi ve yayılması eylemleri Türk Ceza Kanunu’nun 243. ve 244. maddesinde tanımlanan suç bakımından soruşturma kapsamına alınmaktadır. Ancak bu hukuka aykırı eylemin şirkette çalışmakta olan bir çalışan veya işten ayrılmış olan personel tarafından yapılması halinde soruşturma 239. madde kapsamında yürütülecektir. Bu bakımdan Türk Ceza Kanunu’nun 239. maddesi uyarınca:

Ticarî sır, bankacılık sırrı veya müşteri sırrı niteliğindeki bilgi veya belgelerin açıklanması

Madde 239- (1) Sıfat veya görevi, meslek veya sanatı gereği vakıf olduğu ticari sır, bankacılık sırrı veya müşteri sırrı niteliğindeki bilgi veya belgeleri yetkisiz kişilere veren veya ifşa eden kişi, şikayet üzerine, bir yıldan üç yıla kadar hapis ve beşbin güne kadar adlî para cezası ile cezalandırılır. Bu bilgi veya belgelerin, hukuka aykırı yolla elde eden kişiler tarafından yetkisiz kişilere verilmesi veya ifşa edilmesi halinde de bu fıkraya göre cezaya hükmolunur. (2) Birinci fıkra hükümleri, fenni keşif ve buluşları veya sınai uygulamaya ilişkin bilgiler hakkında da uygulanır. (3) Bu sırlar, Türkiye’de oturmayan bir yabancıya veya onun memurlarına açıklandığı takdirde, faile verilecek ceza üçte biri oranında artırılır. Bu halde şikayet koşulu aranmaz.

SALDIRI SONRASI İZLENECEK İLK ADLİ ADIMLAR

Somut olay gerçekleştiğinde ilk olarak mağdur edilmiş kişi veya kurumun iddiaları incelenmeli; bu iddialar doğrultusunda sistemde gerçekleşen anormallikler ve iddia edilen eylemlerin yapılıp yapılmadığı tespit edilmeli; delil toplamak amacı ile saldırının gerçekleştiği sistem ve cihazlar üzerinde inceleme yapılmalı; şüphelinin şirket içerisinde barındığına dair bir kuşku olması halinde şirket personellerinin ve cihazlar üzerindeki işlemlerinin araştırılması gerekir. Sistemlerdeki anormalliklerin tespiti ve kayıtların araştırılması için ise log kayıtları özenle incelenmelidir. Sistemlerdeki eylemler log kayıtlarındaki incelemeler neticesinde, adli incelemeyi gerçekleştiren ekipleri çoğunlukla şüpheliye götürmektedir. Şirket sistemlerinde inceleme yapılmadan önce, sistemleri en iyi tanıyan şirketin IT ekibi olması sebebi ile ekip personelleri ile incelemeler yapılmalı ve aksiyon planı hazırlanmalıdır. Şirket sistemlerindeki inceleme ve log kaydı analizlerinin, sistemler çalışır durumda mı yoksa durdurulduktan sonra mı sürdürüleceğinin kararı verilmelidir. İncelenecek log kayıtları ile yapılacak değerlendirmeler raporlanmalı, kaybedilen her saniyenin ticari itibar ve maddi zarar olduğu göz önünde bulundurularak ivedilikle adli süreçlere başlanmalıdır.

Adli süreçlerde saldırıya uğradığını iddia eden şirketin veya bireyin log kayıtlarını ve sair suç delillerinin tespiti için üzerinde inceleme yapılacak bahse konu cihazı kolluğa teslim etmesi yönünde savcılık veya kolluk makamı tarafından bildirim yapılır. Yapılan bildirime karşılık, cihazını teslim etmeyen, etmek istemeyen, log kayıtlarına erişimin artık mümkün olmayacağını veya log kayıtlarının bulunmadığını beyan eden müşteki, soruşturmasının Kovuşturmaya Yer Olmadığına Dair Karar ile sonuçlanacağının bilincinde olması gerekir. İddia edilen saldırının açığa çıkarılabilmesi için yegane unsur eylemlerin somut deliller ile desteklenmesidir. Siber saldırılarda elektronik kayıtların ve log kayıtlarının soyut iddiayı somutlaştıracak en büyük silah olduğu açıktır. Bu sebeple şirketlerin kendi içlerinde gerçekleştirdikleri adli bilişim süreçlerinden sonra, makul bir süre içinde kolluk veya savcılığın cihazın teslimi hususunda bildirim yapması akabinde cihazlarını birime teslim etmesi gerekmektedir.

SALDIRI SONRASI İŞLEYECEK HUKUKİ SÜREÇ NEDİR?

Log kayıtlarının incelenmesi ve cihazdaki diğer delillerin toplanması neticesinde şüpheliye ulaşılmaya çalışılacaktır. Bu kapsamda mail adresleri, banka hesapları, erişim kayıtları, MAC ve IP adresleri gibi birçok delil incelenerek şüphelinin tespiti sağlanacaktır. Elde edilen tüm deliller ile şüpheli ve IP adresine ulaşılmaya çalışılarak, tespit edilen IP adresi erişim sağlayıcı kuruma sordurulacaktır. Kurum yapılacak sorgu neticesinde beirlenen IP adresine kayıtlı kişinin bilgilerini, savcılık makamına ulaştırarak somut olay ceza yargılamasına tümden intikal edecektir. CMK 134. madde kapsamında ve “Bilgisayarlarda, bilgisayar programlarında ve kütüklerinde arama, kopyalama ve elkoyma” başlığında belirtilen hüküm ve esaslar uygulanarak IP adresi tespit edilen şüpheli bakımından gerekli olan işlem süreçler yürütülecektir.

Birden fazla suç oluşması halinde; Bazen somut olayda birden fazla suç unsuru ortaya konmuş olabilir. Bu durumda içtima hükümleri uygulanacaktır. Yargıtay bilişim suçları söz konusu olduğunda teorik olarak iki suç oluşsa bile hedeflenen esas suçun cezalandırılması gerektiği yönünde karar vermektedir. Somut olaylarda 243. veya 244. madde kapsamında oluşturulmuş bir suç var ise; çoğunlukla başka bir suçun varlığından da söz edilmektedir. Bunun gerekçesi bilişim suçlarının çoğunlukla farklı suç tiplerini de beraberinde getirmesidir. Buna verilebilecek en güzel örneklerden biri, kullanıcı hesabı saldırıya uğrayan bir personelin kullanıcı bilgilerinin değiştirilmesi neticesinde saldırganın hem bilişim sistemine hukuka aykırı erişim hem de sistemi engelleme bozma suçları oluşurmasıdır. Ancak daha önce de belirttiğimiz gibi, Yargıtay içtihatlarında bilişim suçlarının çoğunlukla geçit suç olduğunu, “hedef eylem” ne ise o suçtan yargılamanın devam etmesi ve hüküm kurulması gerektiğini benimsemiştir. Az evvel verdiğimiz örnekte her ne kadar iki suç birlikte de işlense, hedeflenen temel suçun sistemi engelleme suçu olduğu ve yargılamanın bu suç üzerinden devam ettirilmesi gerektiği belirtilmektedir. Uygulamada bir saldırganın bir bilişim suçunu hedeflemesi ve bu hedef suçun beraberinde diğer bilişim suçunu getirmesi söz konusu olduğu gibi bilişim suçlarının TCK kapsamında yer alan diğer suçları da peşine sürüklemesine şahit olmaktayız.

 

Bazı durumlarda, bir bilişim suçu işlenirken Türk Ceza Kanunu kapsamında hükme bağlanan, özel hayatın gizliliğini ihlal, kişisel verilerin kaydedilmesi, haberleşmenin gizliliğini ihlal gibi suçlar da oluşabilmektedir.

Saldırganların şirket sistemlerine zarar vermesi ticari olarak maddi ve manevi bir zarara sebep olduğu gibi, rekabetin çetin olduğu ticaret dünyasında aynı zaman itibarı da sarsmakta ve çeşitli sorumlulukları da beraberinde getirmektedir. Örneğin sistemleri saldırıya uğramış olan bir şirketin aynı zamanda personellerine veya hizmet vermekte olduğu üye, kullanıcı, tüketici veya sair gerçek kişilere ait kişisel verileri de kaybetmesi ve hukuka aykırı olarak verilerin farklı kişilere aktarılmasını önleyememesi halinde ticari olarak büyük ölçüde güven kaybedeceği açıktır. Böylesine büyük ticari kayıpların önüne geçilmesi ise; kurumsal bilgi güvenliği politikalarının oluşturulması ve etkin bir şekilde işletilmesi, sistemlerde teknik ve kontrol önlemleri alınması, bilgi güvenliğine dair farkındalık faaliyetlerinin yürütülmesi gibi temel birkaç adımdan oluşan idari ve teknik tedbirlerin doğru ve sistematik şekilde uygulanmasından geçmektedir.

Şeytan İkiz Saldırılara Dair Alınabilecek Önlemler

Öncelikle şirketin IT personelinin veya ekibinin gelişen tehdit ve riskleri yakından takip etmesi ve alınan tedbirleri devamlı şekilde güncelleyerek risklere hazır olması oldukça hayatidir. Uygulamada şeytan ikiz saldırılarının en büyük sebebi olarak, kullanıcı dikkatsizlikleri, kompleks olmayan şifreler, bilgi güvenliğine dair bilinçsizliğin yüksek düzeylerde olması gibi birçok sebep gösterilmektedir. Sistemlerin, erişimlerin ve erişim yetkilendirmelerinin sürekli kontrol altında tutulması ve merkezi bir sistemden yönetilmesi doğabilecek problemlere çözüm olmaktadır.

Bu kapsamda;

-Kullanıcılara verilecek yetkilendirmelerin merkezi bir sistemden yapılması ve yetki denetimlerinin devam ettirilmesi,

-Sistem ve sunuculara erişmeye çalışan cihaz ve kişilere kimlik doğrulaması yapılması ve tüm erişim işlemlerinin kayıt altına alınması,

-Özel güvenlik protokollerinin ve kontrollere ilişkin teknolojilerin uygulanması,

-Bilgi güvenliğine dair farkındalığın arttılması amacı ile çeşitli periyodlar ile eğitimler düzenlenmesi,

-MAC adres filtreleme uygulamalarının yapılması ve SSID kullanılması,

-Yetkisiz erişimlerin ilk adımda tespit edilmesi amacı ile gerekli teknik ekipmanların ve teknolojilerin kullanılması,

-Bilgi güvenliğine ilişkin politikalar oluşturulmalı ve personeller ile paylaşılmalıdır,

-Kullanıcı şifrelerinin güçlü ve kompleks şekilde oluşturulması ve kullanıcılara hassas bilgileri korumaları adına gerekli bilgilendirme yapılmalıdır,

-Kaybedilen veri, cihaz ve sair aygıtların zaman kaybetmeksizin yetkililere bildirilmesi gerektiği kullanıcılara bildirilmeli ve kaybedilen cihazlardaki yetkilendirmelere derhal son verilmelidir,

-Gerekli güvenlik ayarlamaları IT ekibi tarafından yapılmalı ve kullanıcılar gerekli ayarları değiştirmemeleri ve kapatmamaları konusunda uyarılmalıdır,

-Erişim yetkisi yalnızca tanımlı hesaplara verilmeli, tanımsız hesapların erişim taleplerinin reddedileceği şekilde gerekli teknik düzenlemeler gerçekleştirilmelidir,

-Kullanıcılar bilmedikleri ve güvenirliğinden şüphe duydukları sistem, adres, cihaz ve doğrulama sistemlerini çalıştırmamaları ve bu programlardan uzak durmaları gerektiği konusunda bilgilendirilmelidir,

-Zararlı olduğu tespit edilen sistemler merkezi sistemlerden engellenmelidir,

-Cihazların ve sunucuların fiziksel güvenlikleri temin edilmelidir.

-WPA2, WPA3 gibi standartlar tercih edilmeli ve şifreli ağlar kullanılmalıdır.