Botnetlerden kurtulmanın anahtarı uluslararası işbirliklerinde

Binlerce hatta milyonlarca aygıt, adeta bir ordu gibi destek verdiği siber suçlulara kötü niyetli yazılımlar yaymaya ve servis engelleme saldırıları yürütmeye olanak sağlıyor.

Botnetler, bireysel saldırganlardan siber suç çetelerine, hatta hedef sistemleri engellemek veya ele geçirmek isteyen devletlere kadar pek çok odak tarafından bir güç çarpanı olarak kullanılıyor. Botnet, saldırganlar tarafından ele geçirilen internet erişimli her türlü aygıtın oluşturduğu ortak ağa deniyor. Genel olarak hizmet engelleme (DDoS) saldırılarında kullanılan botnetler, kendi kolektif bilgiişlem kapasitelerinden faydalanarak yığınlarca spam posta gönderebiliyorlar, büyük ölçekte erişim bilgileri çalabiliyorlar ya da bireyler veya organizasyonlar üzerinde istihbarat toplayabiliyorlar.

Suçlular, kötü amaçlı yazılımlarla ele geçirdikleri aygıtları bir komuta ve denetim sunucusu kullanarak yönetiyorlar. Saldırgan, bir aygıtı ele geçirdikten sonra o aygıtın ait olduğu ağdaki diğer aygıtları daha kolay ele geçirebiliyor.

Botnet saldırıları çok yıkıcı olabiliyor. Kısa bir süre önce gerçekleşen Mirai botnet saldırısı esnasında, arasında Twitter, CNN ve Netflix gibi büyük sitelerin yanı sıra büyük Rus bankaları ve Liberya ülkesinin tamamı internetten mahsur bırakıldı. Mirai botneti, güvenlik kameraları gibi korumasız internetli eşyaların sağladığı avantajdan yararlanarak, internet trafiğini yönlendiren DYN sunucularında zararlı yazılım kurdu ve sonra saldırıya geçti.

Botnetlere karşı alınan önlemler hala yetersiz ve siber güvenlik hala gereken ciddiyeti kavuşmuş değil. Akamai tarafından yayınlanan bir internet güvenliği araştırmasına göre, botnetler güçlenmeye ve akıllanmaya devam ederek baş edilmesi daha zor bir risk haline geliyor. Mesela saldırganlar artık Fast Flux DNS kullanarak DNS bilgilerini o kadar hızlı değiştiriyorlar ki, saldırıların takip edilmesi ve engellenmesi çok daha zorlaşıyor.

Geçtiğimiz sonbaharda, ismi “IoTroop” veya “Reaper” olarak çağrılan yeni bir botnet keşfedildi. Mirai botnetine nazaran internetli eşyaları daha hızlı bir tempoda ele geçiren Reaper, devreye sokulduğunda neredeyse tüm interneti engelleyecek bir güç potansiyeline sahip bulunuyor.

Mirai, değiştirilmemiş fabrika ayarlı isim ve parolaları kullanan aygıtlardan faydalandı. Reaper bunun ötesine geçerek, arasında D-Link, Netgear ve Linksys gibi devlerin olduğu ondan fazla markaya ait aygıtlardaki en az dokuz farklı güvenlik zafiyetini istismar ediyor. Saldırganlar, ayrıca esnek bir yapısı olan bu botnet ile kolayca bot kodunu güncelleyebilir ve hasar gücünü artırabilirler.

Botnetler neden durdurulamıyor?

Botnetlerin durdurulmasının önündeki engeller arasında, korunmasız aygıtların bolluğu ve hala satılıyor olması, bu aygıtların engellenmesinin neredeyse imkansız olması ve botnet yöneticilerinin takibinin ve yakalanmasının zor olması bulunuyor. Tüketiciler bir mağazaya gidip kendilerine uygun internetli bir aygıt baktıklarında dikkate aldıkları seçim faktörleri çoğunlukla özellikler, marka ve en önemlisi de fiyat oluyor. Bu aygıtların güvenliği çok nadiren sorgulanıyor.

Tüketiciler hala düşük maliyetli korunmasız aygıtları satın almaya devam ederken, bir yandan risk büyümeye devam ediyor. Gartner, bir botnete bağlı internetli aygıtların miktarının şu an 8,4 milyar olduğunu tahmin ediyor ve bu rakamın 2020 yılında 20 milyarı geçebileceğini iddia ediyor.

Bunlara ek olarak regülasyon problemleri de yakın bir zamanda aşılacak gibi gözükmüyor. Şirketler hala düşük güvenlikli aygıtları satmaya ve sorumluluktan uzak durmaya devam ediyor. Mesela geçtiğimiz yılda, bilinen ve önlenebilir güvenlik zafiyetleri taşıyan aygıtları sattığı için D-Link dava edilmişti. Fakat dava, herhangi bir kullanıcının bundan dolayı mağdur olduğuna yönelik delil sunulmadığı savunularak dava düşmüştü.

Botnet tespiti: Hedefli trafik

Botnetler tipik olarak bir merkezi komuta sunucusu aracılığıyla kontrol edilirler. Bu yüzden de teorik olarak bu sunucuları ele geçirip trafiği takip etmek ve istismar edilen aygıtlara erişerek bunlar temizlemek ve korumak zor olmasa gerek. Fakat bu hiç de kolay değil.

İSS’ler, interneti aksatacak büyüklükteki botnetlere karşı bir araya gelerek trafiği durdurmanın yollarını araştırabiliyorlar. Mirai örneğinde durum aynen öyle oldu. Fakat spam gibi daha ufak olaylarda aynı dikkati vermiyorlar.

Özellikle ev kullanıcılarına hizmet eden bazı İSS’ler, kullanıcılarını uyarmak için çeşitli yöntemlere sahip olsalar da, bunun ölçeği o kadar ufak kalıyor ki bir botneti etkileyecek imkanı bulunmuyor. Ayrıca botnet trafiğini tespit etmek de hiç kolay bir iş değil. Mirai deneyiminin kolay atlatılmasının nedeni, bu botnetin basit yayılma şekli ve güvenlik araştırmacılarının hızlı bir şekilde bilgi takası yapmasıydı.

Botnet kıskaçları biraz başarılı

Botnet’leri kapatma ve yaratıcılarını tutuklama konusunda bazı ilerlemeler kaydedildi. Örneğin, geçen sene yetkililer, Waledac ve Kelihos spam botnetlerinin ardındaki korsan olan Peter “Severa” Levashov’u İspanya’da tatil yaparken tutukladı. Bu operasyonda FBI, ABD Adalet Bakanlığı ve İspanyol polisi beraber çalıştı. Uluslararası ortaklıkla yürütülen buna benzer birden fazla operasyon gerçekleşti.

Bir botneti durdurmak, kurulma biçimiyle paralel olarak daha kolay veya daha zor olabiliyor. Uzmanlar, şifreleme ve diğer alanlardaki zafiyetlerden faydalanarak bu komuta sunucularını kapatabilirler. Ama arkasındaki korsan yakalanmamışsa, sunucusunu saatler içerisinde tamir edip tekrar çalışır hale getirebilir. Bu yüzden de bu yöntemin verimli bir savunma olduğunu kimse söylemiyor.

İlerlemenin başka bir belirtisi olarak, ESET ve Microsoft ile çalışan güvenlik yetkilileri, 1,244 komuta sunucusu ve 80 kötü amaçlı yazılım ailesi ile ilişkili olan 464 botneti kapattı. Bunla beraber Beyaz Rusya’da bir kişi tutuklandı. ESET’e göre, 2011 yılından beri aktif olan bu siber çete, Andromeda, Gamarue ve Wauchos olarak bilinen botnet setlerini karanlık webde satıyordu. Bu botnetler ayda 1,1 milyondan fazla sistemi ele geçirmeyi başarıyordu.

Bu darbeler sonucu Andromeda botnetleri büyük bir darbe alsa da, işini bilen bir başka korsan kolaylıkla sıfırdan yeni bir Andromeda botneti yaratabilir.

Kalıcı çözümden uzakta

Çözümün önündeki en büyük engellerden biri, bu korsanların genellikle Doğu Avrupa ülkelerinde yaşamaları ve devletlerin bu konudaki duyarsızlığı. Bu korsanlar kendi ülkelerindeki sistemlere saldırmadığı sürece tutuklanma konusunda endişelenmelerine gerek yok.

Botnet probleminin çözümü, teknik engeller bir kenara bırakıldığında uluslararası işbirliğine dayanıyor. Görünüşe göre bunun yakın bir zamanda gerçekleşmesi de mümkün görünmüyor. IOActive’den Daniel Miessler’in dediği gibi, botnet probleminin kalıcı olmasının nedeni sadece teknik zaaflar değil, aynı zamanda sosyal zaaflar.