Exploit’ler Hakkında Her Şey

Exploit, hassas verilere yetkisiz erişim elde etmek için güvenlik açığından yararlanan bir yazılım, veri veya komut dizisi parçasıdır. Güvenlik açıkları belirlendikten sonra, Ortak Güvenlik Açıkları ve Etkilenmeler’de (CVE) yayınlanır. CVE, belirli bir güvenlik açığı veya maruz kalma için standart bir tanımlayıcı oluşturarak küresel siber güvenliği ve siber direnci geliştirmek için tasarlanmış ücretsiz bir güvenlik açığı sözlüğüdür.

Exploit’ler nasıl çalışır? 

Exploit’ler, bir işletim sistemi, yazılım parçası, bilgisayar sistemi, Nesnelerin İnterneti (IoT) cihazlarında ortaya çıkan güvenlik açığından yararlanır.

Bir exploit bir kez kullanıldığında, genellikle savunmasız sistem yazılım geliştiricileri tarafından bilinir ve genellikle bir yama ile düzeltilerek kullanılamaz hale gelir.

Bu nedenle birçok siber suçlunun yanı sıra askeri veya devlet kurumları da açıklardan yararlanmaları CVE’de yayınlamamaktadır, ancak bunları gizli tutmayı tercih ederler.

Bu olduğunda, güvenlik açığı sıfırıncı gün güvenlik açığı veya sıfırıncı gün açığı olarak bilinir.

Bu güvenlik açığını gizli tutmayı seçen bir devlet kurumunun (NSA) ünlü bir örneği EternalBlue’dur. EternalBlue, Sunucu İleti Bloğu (SMB) protokolünün eski bir sürümünü kullanan Microsoft Windows işletim sisteminin eski sürümlerinden yararlandı.

Siber suçlular, EternalBlue’dan yararlanan WannaCry fidye yazılımı solucanını geliştirdi ve EternalBlue yaması uygulanmadan önce zararları yüz milyonlarca-milyarlarca dolar arasında değişen 150 ülkede tahmini 200.000’den fazla bilgisayara yayıldı.

Yazılım geliştiricilerin EternalBlue’yu düzeltmek için bir yama yayınlamasına rağmen, bu bilinen güvenlik açığı, yamanın kullanıcı tarafından zayıf bir şekilde benimsenmesi nedeniyle büyük bir siber güvenlik riski oluşturmaya devam ediyor.

Farklı Exploit Türleri Nelerdir?

Exploitler beş geniş kategoride sınıflandırılabilir:

• Donanım: Zayıf şifreleme, yapılandırma yönetimi eksikliği veya bellenim güvenlik açığı.
• Yazılım: Bellek güvenliği ihlalleri (arabellek taşmaları, aşırı okumalar, sarkan işaretçiler), giriş doğrulama hataları (kod yerleştirme, siteler arası komut dosyası oluşturma (XSS), dizin geçişi, e-posta yerleştirme, biçim dizesi saldırıları, HTTP başlık yerleştirme, HTTP yanıt bölme, SQL enjeksiyonu), kullanıcı arayüzü arızaları, vb.
• Ağ: Şifrelenmemiş iletişim hatları, ortadaki adam saldırıları, etki alanı ele geçirme, yazım hatası, zayıf ağ güvenliği, kimlik doğrulama eksikliği veya varsayılan parolalar.
• Personel: Yetersiz işe alım politikası ve süreci, güvenlik bilinci eğitimi eksikliği, bilgi güvenliği politikasına zayıf bağlılık, zayıf parola yönetimi veya kimlik avı, kimlik avı gibi yaygın sosyal mühendislik saldırılarına düşme.
• Fiziksel site: Zayıf fiziksel güvenlik, yükleme ve erişim kontrolünün olmaması.

Bu kategorilerin her biri için güvenlik açıklarını iki gruba ayırabiliriz: bilinen güvenlik açıkları ve sıfırıncı gün açıkları:

Bilinen güvenlik açıkları: Güvenlik araştırmacılarının bildiği ve belgelediği açıklardan yararlanma. Bilinen güvenlik açıklarını hedef alan açıklar genellikle yamalanır, ancak yavaş yama nedeniyle hala geçerli bir tehdit olmaya devam eder.

Sıfırıncı gün (zero-day) açıkları: Kamuya bildirilmeyen veya CVE’de listelenmeyen güvenlik açıkları. Bu, siber suçluların, geliştiriciler bir yama yayınlamadan önce istismarı buldukları anlamına gelir, bazı durumlarda geliştirici güvenlik açığından haberdar bile olmayabilir.

Exploitler Nasıl Oluşur? 

Açıkların ortaya çıkmasının birkaç yolu vardır:

• Uzaktan istismarlar: Bir ağ üzerinde çalışır ve savunmasız sisteme önceden erişim olmaksızın güvenlik açığından yararlanır.
• Yerel açıklardan yararlanma: Güvenlik açığı bulunan sisteme önceden erişim gerektirir ve saldırganın ayrıcalıklarını güvenlik yöneticisi tarafından verilenlerin ötesine yükseltir.
• İstemci istismarları: İstemci uygulamalarına karşı istismarlar mevcuttur ve genellikle bir istemci uygulamasıyla erişildiğinde bir istismar gönderen değiştirilmiş sunuculardan oluşur. Ayrıca, kullanıcıdan etkileşim gerektirebilir ve yaymak veya reklam yazılımları için kimlik avı veya hedefli kimlik avı gibi sosyal mühendislik tekniklerine güvenebilirler.

Genel olarak, açıklardan yararlanmalar, yazılımın veya bir sistemin gizliliğine, bütünlüğüne veya kullanılabilirliğine (CIA üçlüsü) zarar verecek şekilde tasarlanmıştır.

Birçok siber suçlu, birden fazla saldırı vektörünü hedef alarak, önce sınırlı erişim elde ederek, ardından kök erişim elde edene kadar ayrıcalıkları yükseltmek için ikinci bir güvenlik açığı kullanarak bundan kaynaklanmaktadır.

Bu nedenle bilgi güvenliğini, ağ güvenliğini ve veri güvenliğini sağlamakla görevlendirilenlerin, derinlemesine bir savunma uygulaması gerekir.

Örneğin, bir saldırgan bilgisayara kötü amaçlı yazılım yükleyerek gizliliğine, web tarayıcısına kötü amaçlı kod enjekte ederek bir web sayfasının bütünlüğüne veya bir dağıtılmış hizmet reddi (DDoS) saldırısı gerçekleştirerek kullanılabilirliğine zarar verebilir.

Exploit Kiti nedir?

Açıklardan yararlanma kiti, saldırganların Adobe Flash, Java ve Microsoft Silverlight gibi yaygın olarak yüklenen yazılımlardaki bilinen güvenlik açıklarına karşı açıklardan yararlanmaları başlatmak için kullanabilecekleri bir programdır.

Tipik exploit kiti, bir yönetim konsolu, farklı uygulamaları hedefleyen güvenlik açıkları ve siber saldırı başlatmayı kolaylaştıran çeşitli eklentiler sağlar.

Otomatikleştirme yapıları nedeniyle, açıklardan yararlanma kitleri, farklı türde kötü amaçlı yazılımları yaymanın ve kâr elde etmenin popüler bir yöntemidir. İstismar kitlerinin yaratıcıları, istismar kitlerini bir hizmet olarak veya tek seferlik satın alma olarak sunabilir.

Exploit riskini nasıl azaltabilirim?

 Kurumunuz, tüm yazılım yamalarını yayınlanır yayınlanmaz kurarak, siber güvenlik farkındalığı/OPSEC eğitimi sağlayarak ve bir antivirüs, otomatik sızdırılmış kimlik bilgisi keşfi ve veri teşhiri tespiti gibi güvenlik yazılımlarına yatırım yaparak exploit riskini azaltabilir.

Önemli siber güvenlik riskini temsil eden diğer, genellikle gözden kaçan saldırı vektörü, üçüncü taraf tedarikçilerdir.

Hassas verileri (ör. korunan sağlık bilgileri (PHI), kişisel olarak tanımlanabilir bilgiler (PII) veya biyometrik veriler) işleyen satıcılarınız, siber güvenlikleri kuruluşunuzdan daha kötüyse, kurumsal casusluğun veya siber saldırıların hedefi olabilir.

Satıcı risk yönetimi, bilgi riski yönetiminin giderek daha önemli bir parçası haline geliyor ve sağlam bir üçüncü taraf risk yönetimi çerçevesi, satıcı yönetim politikası ve siber güvenlik risk değerlendirme süreci geliştirmeye yatırım yapıyor.

Mevcut ve potansiyel satıcılardan SOC 2 güvenlik raporlarını isteyin ve güvenlik standartlarınızı karşılamayan tedarikçilerden kaçının.

Üçüncü taraf riski ve dördüncü taraf riski, birçok veri ihlalinin ve veri sızıntısının merkezinde yer alır. Üçüncü tarafların dahil olduğu veri ihlali maliyetinin ortalama 4,29 milyon dolara ulaşmasıyla, veri ihlallerini önlemek için ödeme yapıyor.

Güvenlik ekibiniz küçükse, satıcı risk yönetimini otomatize etmeyi düşünün.

Kısacası, güvenlik risklerini temizlemek yerine önlemeye odaklanın. Saldırıya uğradığınızı bilseniz bile, IP atıfları ve dijital adli tıp size her zaman yanıt sağlayamaz.