Yaşanan veri hırsızlığı sadece ABD’dekileri etkilemiş olmasına rağmen, geçen yıl Amerikalı perakende devi Target’ın başına gelen dev veri hırsızlığını belki duymuşsunuzdur. 40 milyon müşterinin kredi kartı bilgilerinin yanında 70 milyona yakınının da kişisel verileri bu hırsızlığa maruz kaldı. Bu olay özellikle yeni yıl tatili döneminde olmak üzere yaklaşık bir aylık bir süreçte yaşandı. ABD’de bulunan hemen hemen tüm Target mağaza ve noktaları bu durumdan etkilendi.
Saldırganların yüz milyonlarca Target müşterisinin verilerini çalmak için bazı ödeme sistemlerini ve Target’ın kurumsal sunucularını ele geçirdiğini ve tüm verileri merkezi bir sistemden çaldığını düşünebilirsiniz. Elbette bir perakende devinden çok büyük miktarda veri çalmak için bu iyi bir yöntem olarak gözükebilir ancak görünen o ki Target olayında farklı bir yöntem kullanılmış.
Aslına bakarsanız, Target’ın ödeme cihazları veya ödeme sistemleri bu hırsızlığı yapmak için çok küçük kalır. Bu saldırıyı düzeleyenler kredi kartı okuyuculara – pos cihazı olarak da bilinir – ve yazar kasalara özel tasarlanmış bir zararlı yazılım yerleştirmiş.
Daha net açıklamak gerekirse, saldırganlar Target’ın kurumsal ödeme sunucularına bir yolla bağlantı kurmuş. Buradaki konu, kart verisi bu sunuculara hali hazırda kriptolanmış olarak geliyor. Sadece ödeme doğrulaması amacıyla bilgilerin kriptosunun açıldığı çok kısa bir zaman aralığı var. İşte bu anda yazar kasa – veya sisteme bağlı olarak yakındaki bir sunucu – bu kriptolanmamış verileri RAM’i üzerinde tutuyor.
Bu aşamada da PoS zararlı yazılımı devreye giriyor. POS (Point of Sale) zararlı yazılımı RAM verilerinin kriptosunu açarak içindeki kredi kartı numaraları, kullanıcı adları, adresler, güvenlik kodlarının yanı sıra ödeme kartının diğer bir ve ikinci iz verilerini kazıyor. Bu sınıf zararlı yazılımlar RAM kazıyıcı olarak biliniyor ve en az altı yıldır ortalıkta dolaşıyor.
Target vakasında, saldırganlar PoS zararlı yazılımlarını merkezi olarak konumlandırılmış ağa bağlı sunucular veya makinalar üzerinden satış terminallerine veya doğrulama prosesinin yapılduğu sunuculara aktarmış olmalılar. Aksi takdirde RAM kazıyıcılarını her bir Target noktasındaki her bir PoS terminaline tek tek kurmaları gerekirdi ki bu da pek mümkün gözükmüyor.
Vakayı inceleyen bir Seculert araştırmacısı saldırganların ağdaki virüslü bir makina üzerinden erişerek Target’ın ödeme noktası altyapısına girdiğini ortaya çıkardı. Saldırganlar bu erişimi sağladıktan sonra popüler BlackPOS zararlı yazılımının bir varyasyonunu kurmuşlar. (Eğer nereye bakacağınızı biliyorsanız bu yazılımı kolayca online yasadışı hack forumlarından satın alabiliyorsunuz.)
Department of Homeland Security, United States Secret Service, National Cybersecurity and Communications Integration Center, Financial Sector Information Sharing and Analysis Center, ve iSIGHT Partners tarafından oluşturulan danışma koalisyonuna göre BlackPOS’un kodu yakın zamanda halka açık hale geldiği için herkes tarafından kolayca erişilebilir.
Nasıl BlackPOS bu türdeki tek PoS zararlı yazılımı değilse Target da bu tehditle karşı karşıya kalan tek perakende zinciri değil. Aslında Nieman Marcus alışveriş mağazaları ve Michael’s sanat mağazası da benzer saldırıların kurbanı olduklarını açıkladı. Bazıları bu üç saldırının da birbiri ile bağlantılı olduğunu söylese de bu tür açıklamalar spekülatif olmanın ötesine geçemiyor.
Koalisyonun açıklaması‘na göre PoS zararlı yazılımı bir patlamanın eşik noktası. İddialarına göre Zeus gibi bankacılık Truva atları basit modifikasyonlarla pek çok yeni örnek ortaya çıkacak. PoS zararlı yazılımı siber suçlulara giderek artan miktarda kullanılabilir hale geldikçe ve güvenlik güçlerince görülebilir oldukça RAM kazıyıcılar (bunlardan önceki bankacılık Truva atı yazanlar gibi) kendileri için daha zor tespit edilebilir özel Truva atları tasarlamaya başlayacaklar.
DHS ve şirketler freelance forumlarında PoS zararlı yazılımı reklamlarında (çeşitli dillerde) bir artış gözlemlediler. Diğer bir deyişle, suçlular RAM kazıyıcı üretecek freelance geliştiriciler aradıklarına dair çok sayıda ilanlar veriyor. PoS zararlı yazılımları ile ilgili benzer bir artış 2010 yılında da gerçekleşmiş. Yılın başlangıcında outsource edilen POS zararlı yazılımı projeleri 425$ ile 2500$ arasındayken yılın sonuna doğru bu rakam talebin artması üzerine 6500$ seviyelerine kadar çıktı.
Bu nedenle PoS zararlı yazılımlarındaki yayılmanın sebebinin açık kaynaklı mevcut kimlik hırsızlığı Truva atlarının kolayca değiştirilerek RAM kazıma operasyonları için kullanılabilmesi.
Raporda, “Sızan kimlik hırsızlığı zararlı yazılımlarına ait kaynak kodları yeni bir tür zararlı yazılımı sıfırdan üretecek yeteneğe sahip olmayan kişiler için bir başlangıç noktası olurken kendi çalışmalarının etkinliğini artırmak isteyenler için ise iyi bir basamak görevi görüyor. Bu nedenlerle düşen bariyerler sebebiyle piyasaya çok miktarda POS zararlı yazılımı ortaya çıkabilir. Dolayısıyla daha ucuz fiyatlar ve daha geniş bir kullanıcı kitlesi bu yazılımları kullanmaya başlayabilir” diye belirtilmiş.
Anahtar bu. Hemen her türlü siber suç için bu paradigma mevcuttur. İlk olarak saldırılar basit olarak başlar, gerçekleştirmesi ve tekrarlaması zordur. Zaman içinde bu saldırılar kolaylaşır ve daha az yetenekli saldırganlara da bunu gerçekleştirme imkanı doğar. Bunun ötesinde, yetenekli saldırganlar kolaylıkla kullanılabilecek saldırı kitleri oluşturabilirler. Böylece siber suçlar klavyesi ve kötü niyeti olan herkese açılmış olur.
Diğer yandan, bu durum için sizin elinizden gelen fazla bir şey yok. Alışveriş yaptığınız markete gidip PoS altyapısını kontrol eden ve güvenlik açığı olan tüm Windows XP makinaları değiştiremezsiniz. Yapabileceğiniz en iyi şey kullandığınız mağazaların başarılı yöntemleri kullandıklarından ve ağlarındaki makinaların güvenli olduğundan emin olabilmektir.
Bir diğer konu ise, saldırıya uğrayan şirketlerin itibarsızlaşmaya maruz kalmamak için muhtemelen dile getirmediği pek çok veri çalınma olayı daha yaşanması. Target vakasında olduğu gibi çok hızlı bir şekilde gelip istediklerini alıp çıkıyorlar. Pek çok banka müşterilerini riskler konusunda uyarıyor. Bu sayede hesaplarımızı kontrol etme ve problem potansiyeli olan kartlarımızı değiştirme imkanımız oluyor. Aslında yapabileceğiniz en temel şey: haberleri okumak, hesabınızı kontrol etmek ve gerektiğinde kartlarınızı değiştirmek.