Ali Baba ve kırk siber tehdit

İran’dan bir hikâye koleksiyonu olan eski Ali Baba hikâyesinin siber tehditler hakkında mı?

Her zaman söylediğimiz gibi, masallar bilgi güvenliğine dair üstü kapalı raporlardır. Ardından gelenleri siber tehditler hakkında uyarmaya çalışan sadece Avrupalı hikaye anlatıcıları değil, ileri görüşlü Doğudaki hikaye anlatıcıları da aynı şekilde uyarmaya çalışmış. Örneğin, klasik 1001 Gece Masalı’nın kahramanı Şehrazad, yalnızca video podcastli günlük bir ‘infosec’ (bilgi güvenliği) blogu olarak tanımlanabilecek şeyler tuttu. Doğru, bunu yapmak için bir nedeni vardı.

Ama bugün Şehzarad’ın bloguna 18. yüzyılda eklenmiş bazı vakalara bakıyoruz: Özellikle Ali Baba ve Kırk Haramiler olarak bilinen olay. Hikâyeyi bilmeyenler bile büyülü “Açıl susam açıl!” ifadesine aşinadır.

Aslında, tüm konu yetkisiz erişime karşı korumak için bir parola kullanma fikri etrafında dönüyor. Ancak bu, masaldaki tek bilgi güvenliğine dair ipucu değil. Sadece en açık ipucu.

Güvenli olmayan bir kanal üzerinden şifre aktarımı

Size kısa bir hikâye hatırlatması yapalım: Bir haydut çetesi, bir mağarada sadece açıl susam açıl şifresi kullanılarak erişilebilen bazı ganimetleri gizler. Bu koruma mekanizması birçok ciddi kusuru içerisinde barındırır.

Masalın başlangıcında, haydutların elebaşı mağara girişinde durur ve yüksek sesle bağırır: “Açıl susam açıl!” Birkaç sorun hemen ortaya çıkıyor. İlk olarak, şifre çok basit. İkincisi, iki faktörlü kimlik doğrulama hatta bir kullanıcı adı bile yok!

Daha da kötüsü, şifre açık bir kanal üzerinden iletiliyor. Yakınlarda yakacak odun toplayan Ali Baba, soyguncunun sözlerine kulak misafiri olur. Aslında, sadece meraktan ve kötü bir niyet taşımadan şifreyi dener. Mağara açıldığında mağaraya girer ve içindeki hazinenin bir kısmına el koyar.

Casus yazılım modülü

Eve dönüş yolunda Ali Baba, karısına sayması için altın paraları verir. Karısı altınları elinde saymaya başlar fakat o kadar çok vardır ki kaç tane saydığını unutur ve Ali Babanın kardeşi Kasım’ın karısından bir ölçüm aracı ödünç alır.

Bazı çeviriler bu ölçüm aracının bir mutfak terazisi, bazıları da bir çeşit çanak olduğunu belirtir ancak çok da önemli bir ayrıntı değil. Önemli olan meraklı Kasım’ın karısının, akrabasının neden aniden ölçüm aracına ihtiyaç duyduğunu bulmak için aletin altını bala (bazı çevirilerde bu içyağıdır) bulamasıdır. Bu araç ise tabanına bir altın yapışmış halde ona geri gelir. Bu da görümcesinin bunu altın saymak için kullandığı anlamına gelir!

Bir ‘cyberdunce’ bile yazarın burada bir ürüne entegre edilmiş bir casus yazılım modülünü tanımladığını anlayabilir. Kazım’ın karısı, bir cihaz (Hizmet olarak Ölçü modeli altında) sağlar ve müşterinin etkinliğini gözetler. Çıkaracağımız kıssadan hisse, güvenilir kaynaklardan araçlar kullanın ve kötü amaçlı eklemeler ve güvenlik açıkları için kontrollerinizi yapın.

Unutulan şifreler

Bundan sonra olacaklar bana biraz olası değil gibi geliyor. Ali Baba, Kasım’a her şeyi itiraf eder ve ona şifreyi söyler. Kasım mağaraya girer. Kasım, içeride bir şekilde şifreyi unutmayı başarır. Dışarı çıkmak için de şifre gereklidir, içeride kalır ve haydutlar onu orada gördüğünde kafasını uçurur. Pazarlama mesajı oldukça açıktır: “Unutulan bir parola yüzünden başınızdan olmayın” veya bunun gibi bir şey.

O zamanlar hikâyenin bu kısmının Sasani teknisyenlerince kullanılan bazı eski şifre yönetimi için sunulan bir ürünü içerdiğinden fakat asıl mesajın hikâyenin sayısız aktarımları sonucu silindiğinden şüpheleniyorum. Telafi etmek için kendi mesajımızı ekleyeceğiz: Kaspersky Password Manager şifreleri ve diğer gizli bilgileri güvenli bir şekilde saklar.

Asla değiştirilmeyen şifre

Neyse hikâyeye geri dönelim. Kasım eve gelemeyince akrabaları onu aramaya çıkarlar. Ali Baba mağaraya geri döner, kardeşinin cesedini bulur ve onu gömmek üzere eve götürür.

Bu süreçte okuyucuya başka bir acımasız şifre politikası örneği gösterilir: Soyguncular olaydan sonra şifreyi değiştirmez. Bunun kesin sebebi belli değildir. Sebep basit bir ihmal veya kimlik doğrulama sisteminin başlangıçta kötü tasarlanmış mimarisi olabilir.

Aynı zamanda, yönetici haklarına sahip de olmayabilirler. Mağarayı rehin aldılarsa (ne de olsa onlar hırsız), muhtemelen sadece bir kullanıcı parolaları vardır. Gerçek sahip, yönetici vasfını kendisiyle mezara götürür.

Yüklenici aracılığıyla saldırı

Ali Baba hikâyeyi gizli tutmak istediğinden, cesedi başı kopuk bir halde gömemez. Bu yüzden erkek kardeşinin dul eşi ve kız kardeşi Marjaneh ile olup bitenleri gizlemek için ellerinden gelen her şeyi yaparlar. Marjaneh, Kasım hastaymış ve daha da kötüleşiyormuş gibi göstermek için eczaneye birkaç kez gider ve en sonunda doğal sebeplerden öldüğünü söyler.

Bu arada, Kazım’ın cesedini dikmesi için eve bir ayakkabıcı getirir. Dahası ayakkabıcının nereye geldiğini anlamaması için gözlerini bağlar ve onu eve dolambaçlı yollardan getirir.

Soyguncular, bilginin nereden sızdığını bulmaya çalışırken ayakkabıcıyı sıkıştırırlar. Altın vaat ederek yaşlı adamın gözlerini bağlar ve eve gittiği yolu bir daha bulmaya zorlarlar.

Bu örnek, yüklenicilerle güvenli bir şifreli kanal üzerinden çalışsanız bile hassas bilgilerin davetsiz misafirlere sızabileceğini gösterir. Belki de Marjaneh, ayakkabıcı ile bir gizlilik anlaşması imzalamalıydı.

Bal küpü

Çete üyelerinden biri, artık Ali Baba’nın yaşadığı Kasım’ın evinin kapısına işaret koyar ve o gece evdekileri katletmek için arkadaşlarıyla birlikte geri döner. Ancak kurnaz Marjaneh, işareti görür ve sokaktaki diğer tüm evlerin kapılarına aynı işareti koyar. Böylece saldırı planını suya düşürür.

Aslında Marjaneh, sokağı bir tür bal küpü hacker tuzağı ağına dönüştürür. Teorik olarak, olay şu şekilde işler: Ağdaki davetsiz misafirler peteklerden birini hedefi zanneder, saldırmaya başlar. Böylece niyet ve yöntemlerini ortaya çıkarırlar. Hatalarını fark etmeleri için geçen sürede devletin bir siber müdahale biriminden uzmanlar baskın yapar ve saldırıyı durdururlar.

Geriye kalan tek şey, masum kullanıcıların evlerini petek olarak kullanmanın ne kadar etik olduğu sorusudur. Hiç bir durumda, gerçek bir zarar verilmez. Soyguncular oyunu zamanında tespit eder ve saldırıyı durdurur.

Kapsayıcılaştırma

Haydutların elebaşı saldırı konusuna kendisinin el atması gerektiğine karar verir. İkisi yağla dolu, geri kalanı boş olan 40 büyük kavanoz (.JAR – Java ARchive dosya formatı için olası bir referans) edinir. Yağ içeren kavanozlar yüzeysel bir taramayı kandırmak için vardır. Soyguncular boş olanlara saklar.

Bu kargo ile elebaşı, Ali Baba’nın evine gider. Plan, yağ satıcısı görünümüne bürünmüş elebaşının herkes uyurken soyguncuları eve sokmak üzere bir misafir olarak içeri girmesini sağlamaktır.

Genel olarak bu, konteynerlerde gizlenmiş kötü amaçlı yazılımları kullanan bir altyapı saldırısının açıklamasıdır. Girişteki tarayıcılar konteynerlerin içini kontrol etmediğinden, tehdit güvenlik çevresinden gizlice girer. Daha sonra, içeriden elebaşı kötü amaçlı yazılımı etkinleştirir.

Ancak Marjaneh, kavanozların birindeki bir haydutu duyar ve yine günün kahramanı olur. Her bir konteyneri kontrol eder, hangilerinde haydut olduğunu belirler, daha sonra başlarından aşağı kaynar yağ döker ve tehdidi ortadan kaldırır. Başka bir deyişle, Marjenah’ın elinde o zaman bile konteynerlerin içeriğini taramak için bir araç varmış. Bizim Kaspersky Hybrid Cloud Security çözümümüz sadece 1500 yıl kadar daha güncel fakat teknoloji yine aynı teknoloji.

Hikâyenin sonunda, adalet kazanır. Haydutların elebaşı öldürülür. Marjaneh, masalın sonuna kadar hiç ortalıkta görünmeyen Ali Baba’nın oğluyla evlenir. Ali Baba ise, hazine dolu mağaranın şifresini bilen tek kişi olmaya devam eder.

Kıssadan hisse

  • Bir kimlik doğrulama sistemi tasarlarken güvenliği aklınızda bulundurun. Çok faktörlü kimlik doğrulaması yapılmadan şifrelenmemiş bir kanal üzerinden iletilen sabit kodlu bir parola kullanmak açıkça sorunlar yaşanmasını kolaylaştırır.
  • Tedarikçileri ve taşeronları dikkatle seçin. Mümkünse, araçlarını ve hizmetlerini güvenlik açıkları ve kötü amaçlı eklentiler açısından kontrol edin ve tüm tarafların gizlilik sözleşmesi (NDA) imzaladığından emin olun.
  • Kötü amaçlı kodun projenize gizliliği ifşa edilmiş bir bilgi havuzundan girmesini önlemek için, yüklendiklerinde konteynerlerin içeriğini tarayan bir güvenlik çözümü kullanın.
İpuçları