Siber güvenlik açısından bakıldığında, büyük çapta uzaktan çalışmaya geçişin beraberinde getirdiği en büyük olumsuzluk, iş istasyonlarının bağlı olduğu yerel ağ ortamları üzerindeki kontrolün kaybedilmesi olmuştur. Bu bağlamda özellikle tehlike yaratan şey, normalde BT uzmanlarının kontrolünde olan ağ altyapısının yerini alan çalışanların evlerinde kullandığı yönlendiricilerdir. 2021 RSA Konferansı‘nda araştırmacılar Charl van der Walt ve Wicus Ross, “Bütün yerel ağınız elimizde. Uzaktan çalışanlara yönelik tehditlerin yönetilmesi.” isimli sunumda, siber suçluların yönlendiriciler aracılığıyla iş bilgisayarlarına saldırabilecekleri yollardan bahsettiler.
Çalışanların evde kullandığı yönlendiricilerin neden olduğu büyük sorun
Kurumsal güvenlik politikalarında tüm iş bilgisayarlarındaki işletim sistemlerinin ve ilgili diğer tüm ayarların güncellenmesine yer verilmiş olsa bile, evde kullanılan yönlendiriciler hala kurumsal sistem yöneticilerinin kontrolünün dışındadır. Uzaktan çalışma ortamları açısından bakıldığında, bir ağa bağlı olan diğer cihazlar, yönlendiricinin ürün yazılımının güncel olup olmadığı ve yönlendiricide güçlü bir parola kullanılıp kullanılmadığı (veya fabrika ayarlarında belirlenmiş olan parolanın kullanıcı tarafından değiştirilip değiştirilmediği) BT tarafından bilinemiyor.
Bu kontrol eksikliği sorunun sadece bir parçası. Evlerde ve küçük ofislerde/ev ofislerde kullanılan çok sayıda yönlendiricide, siber suçluların cihaz üzerinde tam kontrol elde etmek için kullanabilecekleri bilindik güvenlik açıkları bulunuyor ve bu durum, onlarca ve hatta bazen yüz binlerce ele geçirilmiş yönlendiricinin, farklı amaçlarla bir araya getirildiği Mirai gibi devasa IoT botnetlerini ortaya çıkarıyor.
Bu bağlamda, her bir yönlendiricinin aslında bazı Linux dağıtımları ile çalışan küçük birer bilgisayar olduğunu hatırlamakta fayda var. Siber suçlular, ele geçirilen bir yönlendirici ile birçok şeyi başarabilir. İşte konuya ilişkin olarak araştırmacıların raporunda yer alan birkaç örnek.
Bir VPN bağlantısını ele geçirilmesi
Şirketlerin, uzak çalışanların güvenli olmayan ağ ortamlarının güvenliğini sağlamak için kullandığı temel araç VPN’dir (sanal özel ağ). VPN’ler, bilgisayar ve kurumsal altyapı arasında verilerin şifrelenmiş bir bağlantı üzerinden iletilmesini sağlar.
Birçok şirket VPN’leri, RDP (Uzak Masaüstü Protokolü) bağlantısı gibi şirket sunucularına gelen trafiğin VPN’den, diğer tüm trafiğin ise şifrelenmemiş genel ağdan geçtiği bölünmüş tünel (split tunneling) modunda kullanır, ki bu şekilde kullanılması iyi bir şeydir. Ancak yönlendiricinin kontrolünü elinde bulunduran bir siber suçlu, bir DHCP (Dinamik Ana Bilgisayar Yapılandırma Protokolü) rotası oluşturabilir ve RDP trafiğini kendi sunucusuna yönlendirebilir. Bunu yapmak VPN’nin şifresini çözmelerini sağlamasa da, RDP bağlantısı için kullanılan kimlik bilgilerini ele geçirmek için sahte bir giriş ekranı oluşturabilirler. Fidye yazılımı dolandırıcıları RDP kullanmayı severler.
Harici bir işletim sistemi yükleme
Ele geçirilen yönlendirici ile gerçekleştirilebilecek diğer bir zekice düşünülmüş saldırı senaryosunda, Önyükleme Öncesi Yürütme Ortamı — PXE (Preboot Execution Environment) özelliğinden yararlanılır. Modern ağ bağdaştırıcıları, ağ üzerinden bilgisayarlara işletim sistemi yüklemek için PXE kullanır. Genel olarak bu özellik devre dışı bırakılır ancak bazı şirketler, örneğin arıza durumunda bir çalışanın işletim sistemini uzaktan geri yüklemek amacıyla bu özelliği kullanır.
Bir yönlendiricideki DHCP sunucusu üzerinde kontrol sahibi olan siber suçlu, bir iş istasyonunun ağ bağdaştırıcısına, uzaktan kontrol için değiştirilmiş bir sistemin adresini girebilir. Çalışanların, gerçekte neler olup bittiğini (hele ki güncelleme yükleme bildirimleri ile dikkatleri dağıldıysa) anlamaları bir yana, bunu fark etmeleri bile pek olası değildir. Bu esnada siber suçlular dosya sistemine tam erişim hakkına sahip olurlar.
Güvenliğinizi nasıl sağlayabilirsiniz?
Çalışanlarınızın bilgisayarlarını yukarıda verdiğimiz örnekler ve benzer türdeki saldırılardan korumak için aşağıdaki adımları izleyin:
- Bölünmüş yerine zorunlu tünel kullanmayı tercih edin. Birçok kurumsal VPN çözümü, istisnalar dışında zorunlu tünel kullanımına (belirli kaynakların VPN’i atlamasına izin verilerek, varsayılan olarak tüm trafiğin şifreli bir bağlantı üzerinden iletildiği) izin verir;
- BIOS ayarlarından Önyükleme Öncesi Yürütme Ortamını devre dışı bırakın;
- Tam disk şifrelemesi kullanarak (örneğin, Windows’ta BitLocker ile) bilgisayarın sabit sürücüsünü tamamen şifreleyin.
Çalışanların kullandığı yönlendiricilerin güvenliğine odaklanmak, uzaktan veya hibrit çalışma modelindeki herhangi bir kurumsal altyapının güvenlik seviyesinin artırılması konusunda hayati önem taşır. Bazı şirketlerde teknik destek personeli, evde kullanılan yönlendiricilerin en doğru şekilde ayarlanması konusunda çalışanlara danışmanlık verir. Diğer şirketler, uzaktan çalışanların kurumsal kaynaklara, şirket tarafından kendilerine verilen önceden yapılandırılmış yönlendiriciler aracılığıyla bağlanmasına izin verir. Bunlara ek olarak, çalışanların modern tehditlere karşı koymaları için eğitilmesi, ağ güvenliği açısından temel öneme sahiptir.