Kötü hizmetçi saldırıları nasıl önlenir

Kurumsal bilgisayarınızı yetkisiz fiziksel erişimden koruyun.

Hemen hemen var olan en ilkel saldırı türü olan Kötü hizmetçi saldırısı, aynı zamanda en tatsız saldırılardan da biridir. Gözetimsiz cihazları avlayan “kötü hizmetçi”, gizli bilgileri çalmaya veya şirket ağına erişmek için casus yazılımlar ya da uzaktan erişim araçları yüklemeye çalışır. Bu tür davetsiz misafirlerin eylemlerinden nasıl korunacağınızı aşağıda açıklıyoruz.

Klasik bir örnek

Aralık 2007’de, ABD Ticaret Bakanlığı’ndan bir heyet, korsanlığa karşı ortak bir strateji üzerinde görüşmek için Pekin’e gitti. Ancak ABD’ye döndüklerinde, ticaret bakanının dizüstü bilgisayarında, kurulumu bilgisayara fiziksel erişim gerektiren casus yazılımlar bulundu. Dizüstü bilgisayarın sahibi, cihazı müzakereler sırasında sürekli yanında bulundurduğunu ve sadece alt katta yemek yerken otel odasındaki kasada bıraktığını söyledi.

Teoride, profesyonel biri bir cihazın güvenliğini 3 ila 4 dakika içinde ihlal edebilir, ancak bu tür olaylar genellikle bilgisayar gözetimsiz ve kilidi açık bırakıldığında (veya parola korumalı olmadığında) meydana gelir. Öte yandan, temel güvenlik önlemleri alınmış olsa bile kötü hizmetçi saldırısının gerçekleşme olasılığı vardır.

Saldırganlar bilgilere nasıl erişir?

Kritik bilgilere ulaşmanın birçok yolu vardır. Bu yollar, bilgisayarın yaşına ve bilgisayardaki güvenlik yazılımına göre değişir. Örneğin, Güvenli Önyüklemeyi desteklemeyen eski makineler, harici sürücülerden önyüklenebilirler; bu nedenle de kötü hizmetçi saldırılarına karşı savunmasızdırlar. Modern bilgisayarlarda varsayılan olarak Güvenli Önyükleme etkinleştirilmiştir.

Hızlı veri alışverişini veya cihaz belleğiyle doğrudan etkileşimi destekleyen iletişim bağlantı noktaları, kişisel veya kurumsal sırları çalmak için kullanılabilir. Örneğin Thunderbolt, yüksek veri aktarım hızını belleğe doğrudan erişim yoluyla elde eder; bu da kötü hizmetçi saldırılarına açık kapı bırakır.

Bilgisayar güvenliği uzmanı Björ¬n Ruytenberg, geçtiğimiz bahar, Thunderbolt’un etkin olduğu herhangi bir Windows veya Linux cihazını hacklemek için bulduğu bir yolu paylaştı. Bu yol, cihaz kilitli olsa ve harici bağlantı noktaları üzerinden tanıdık olmayan cihazların bağlantıları devre dışı bırakılsa bile işe yarıyordu. Ruytenberg’in Thunderspy olarak adlandırılan, cihaza fiziksel erişim olduğunu varsayan yöntemi, kontrolörün ürün yazılımının yeniden yazılmasına dayalıydı.

Thunderspy, saldırganın Thunderbolt çipini kendi cihaz yazılımı sürümüyle yeniden programlamasını gerektiren bir yöntemdi. Yeni üretici yazılımı, yerleşik korumayı devre dışı bırakıyordu; böylece saldırgan, cihaz üzerinde tam kontrol sahibi oluyordu.

Teoride, Çekirdek Doğrudan Bellek Erişim Koruması politikası, bu güvenlik açığını yamalasa da herkes bu politikayı kullanmıyor (10’dan önceki Windows sürümlerine sahip olanlar ise istese de kullanamıyor). Bununla birlikte Intel, bu soruna bir çözüm bulduğunu duyurdu: Thunderbolt 4.

Daha iyi tanıdığımız USB de aynı zamanda bir saldırı kanalı görevi görebiliyor. Bir USB bağlantı noktasına takılan minyatür bir cihaz, kullanıcı bilgisayarı açtığında aktif hale gelerek BadUSB saldırısını gerçekleştiriyor.

Siber suçlular, özellikle peşinde oldukları bilgiler değerliyse cihazı çalıp yerine casus yazılım içeren benzer bir cihaz koymak gibi zor ve maliyetli yolları bile deneyebiliyorlar. Elbette, cihazın değiştirildiği kısa sürede ortaya çıkıyor, ama mağdur çoğunlukla durumu anlayana kadar şifresini girmiş oluyor. Neyse ki, dediğimiz gibi, bu yöntem hem zor hem de pahalı.

Riski nasıl en aza indirebilirsiniz?

Kötü hizmetçi saldırılarına karşı korunmanın en kolay ve en güvenilir yolu, cihazınızı yalnızca sizin erişebileceğiniz bir yerde tutmaktır. Örneğin, mümkünse cihazınızı otel odasında bırakmayın. Bununla birlikte, çalışanlarınızın iş seyahatlerine çıkması gerekiyorsa riski azaltmak için atabileceğiniz bazı adımlar şunlar:

  • Kritik kurumsal sistemlere veya iş verilerine erişimi olmayan geçici dizüstü bilgisayarlar dağıtın; ardından sabit sürücüyü biçimlendirin ve her yolculuktan sonra işletim sistemini yeniden yükleyin;
  • Gözetimsiz bırakılması gereken iş dizüstü bilgisayarlarının kapatılmasını zorunlu hale getirin;
  • Ofis binasından çıkan tüm bilgisayarların sabit disklerini şifreleyin;
  • Şüpheli giden trafiği engelleyen güvenlik çözümleri kullanın;
  • Güvenlik çözümünüzün BadUSB saldırılarını algıladığından emin olun Kaspersky Endpoint Security for Business bu saldırıları tespit eder);
  • Tüm yazılımları, özellikle de işletim sistemini zamanında güncelleyin;
  • Mümkün olan tüm cihazlarda FireWire, Thunderbolt, PCI ve PCI Express bağlantı noktaları aracılığıyla cihaz belleğine doğrudan erişimi kısıtlayın.
İpuçları