Sizce Danimarkalı siber güvenlik uzmanı Hans Christian Andersen’e ait Karlar Kraliçesi adlı masal ne ile ilgili? Çok sevdiği arkadaşını kurtarmak için kışın ve ölümün insana bürünmüş halini yenilgiye uğratan cesur bir kız hakkında mı? Tekrar düşünün.
Artık gerçek cevabı verelim: Çalışkan ve gayretli bir bilgi güvenliği uzmanı olan Gerda tarafından düzenlenmiş olan, belirli bir Kai’nin kötücül bir yazılım tarafından nasıl enfekte olduğuna ilişkin detaylı bir soruşturmadır. Bu sözde peri masalı, net şekilde soruşturma aşamalarına karşılık gelen yedi öykü şeklinde yazılmıştır.
1. Masal: Bir ayna ve parçaları
Daha önce Securelist.com isimli uzman blogumuza (veya bu konu için, iyi hazırlanmış başka bir infosec araştırmasına) göz attıysanız, büyük bir olasılıkla soruşturma raporlarının sıklıkla olay geçmişinin keşfiyle başladığını da biliyorsunuzdur. Andersen de bundan farklı değil: İlk hikayesi, Kai olayının kaynağına iniyor.
Bir zamanlar (Andersen’in verilerine göre) bir hobgoblin, insanların iyi ve güzel özelliklerini azaltma ve kötü ve çirkin özelliklerini artırma gücüne sahip sihirli bir ayna yaratmış. Hobgoblin’in yardımcıları aynayı milyarlarca parçaya ayrılacak şekilde kırmış olsa dahi, bu parçalar insanların gözlerine ve kalplerine yerleşmiş ve aynanın gerçekliği değiştiren sihirli özelliğini yitirmemiş. Bazı insanlar ise bu parçaları pencerelerinin çerçevelerine yerleştirmiş ve görüşlerini bozmuşlar. Diğer insanlar da parçalardan gözlükleri için lens yapmışlar.
Pamuk Prenses masalından da biliyoruz ki, hikaye anlatıcıları genellikle aynalarını ekranlar için bir metafor olarak kullanır: TV’ler, bilgisayarlar, tabletler, telefonlar; siz büyük resmi görmüşsünüzdür (kelimenin tam anlamıyla).
Bu nedenle, Andersen’in sözlerini alegori dilinden düz yazıya çevirdiğimizde şunu anlarız: Güçlü bir bilgisayar korsanı, web sitelerini bozan dahili tarayıcıya sahip bir sistem oluşturdu. Daha sonra da onun yardımcıları çok sayıda Microsoft Windows cihazını ve hatta artırılmış gerçeklik gözlüklerini enfekte etmek için kaynak kodu parçaları kullandı.
Aslında, bu durum hiç de nadir değildi. EternalBlue açığından yararlanma sızıntısı en temel örnektir. Bu sızıntı WannaCry ve NotPetya salgınlarının yanı sıra, daha az yıkıcı olan fidye yazılımı salgınlarına da yol açtı. Ancak konudan uzaklaşıyoruz. Masalımıza geri dönelim.
2. Masal: Küçük bir oğlan ve küçük bir kız
Andersen ikinci hikayede, kurbanlardan birini ve ilk enfeksiyon vektörünü daha ayrıntılı bir şekilde açıklayarak devam ediyor. Mevcut verilere göre, Kai ve Gerda bitişik çatı pencereleri (Windows tabanlı iletişim!) üzerinden irtibat kurdular. Bir kış günü, Kai penceresinden baktığında incecik beyaz bir tülle sarılmış garip ve güzel bir kadın gördü. Bu, Kai’nin hacker’la ilk buluşmasıydı (artık o kadın için “Karlar Kraliçesi” diyeceğiz).
Kısa bir süre sonra Kai, kalbinin tam ortasında bir bıçak hissetti ve bir şey gözünü acıtıyordu. Andersen, enfeksiyon anını bu şekilde tanımlar. Kötü amaçlı kod kalbine (OS çekirdeği) ve gözüne (veri giriş cihazı) girdiğinde, Kai’nin dış uyaranlara tepkisi tümüyle değişti ve gelen tüm bilgiler bozuk gibi görünüyordu.
Bir süre sonra da kızağını Karlar Kraliçesi’nin kızağına bağlayarak tamamen evden ayrıldı. Bir sebepten ötürü Karlar Kraliçesi’ne güvenen Kai, ona çok küçük sayılarda dahi zihinsel aritmetiğin nasıl kullanılacağını ve her ülkenin büyüklüğünü ve nüfusunu bildiğini söyledi. Bunlar küçük ayrıntılar gibi görünebilir. Ancak daha sonra göreceğimiz gibi, aslında saldırganın ilgilendiği şey tam olarak buydu.
3. Masal: Büyülü yeteneklere sahip kadının çiçek bahçesi
Gerda kendi soruşturmasına başladı ve bir nedenden dolayı araştırmasını engelleyen bir kadınla karşılaştı. Lafı dolandırmamak adına, en çok büyücünün Gerda’nın saçlarını taradığı ve Kai’yi unutmasına neden olduğu bölümle ilgileniyoruz.
Bir başka deyişle, kron soruşturma ile ilgili verileri bir şekilde bozdu. Kullanılan siber silahın bir tarak olduğunu zaten biliyoruz. Grimm kardeşlerin Pamuk Prenses olayına ilişkin raporunda, üvey anne de kurbanı engellemek için benzer bir alet kullanmıştı. Tesadüf mü? Yoksa bu olaylar mı birbiriyle ilişkili mi?
Her koşulda, Pamuk Prenses’te olduğu gibi, tarak kaynaklı engelleme kalıcı değildi; veriler geri yüklendi ve Gerda soruşturmasına devam etti.
Raporun üçüncü bölümünün sonuna geldiğinde Gerda, cadının bahçesindeki çiçeklere Kai’yi görüp görmediklerini sordu. Bu büyük olasılıkla, logosunda bir çiçek bulunan (ve kullanıcı durum göstergesi olarak kullanılan) eski ICQ messenger uygulamasına yapılan bir göndermedir. Gerda, cadıyla konuşup onun iletişim kanallarını kullanarak olay hakkında ek bilgi almaya çalışıyordu.
4. Masal: Prens ve prenses
Soruşturmanın dördüncü aşaması pek alakalı görünmüyor. Gerda Kai’yi hükümet veri tabanından çalıştırmayı denedi. Bunu yapmak için de, bir hükümet binasına (kraliyet sarayı) erişebilmesini sağlayacak birkaç kuzgunla tanıştı.
Her ne kadar bu bir sonuç vermese de, Gerda hükümeti güvenlik açıkları ve risk teşkil eden kuzgunlar hakkında uygun şekilde bilgilendirdi. Prens ve prenses güvenlik açığını yama ile düzeltti ve kuzgunlara kızmadıklarını fakat bunu tekrar yapmamaları gerektiğini söylediler. Kuşları cezalandırmadıklarını, yalnızca onlardan davranışlarını değiştirmelerini istediklerine dikkat edin.
Bir ödül olarak, prens ve prenses Gerda’ya birkaç şey (bir at arabası, sıcak giysiler, hizmetçiler) verdiler. Bu durum, bir kuruluşun araştırmacılar bir güvenlik açığı bildirdiğinde nasıl karşılık vermesi gerektiğine ilişkin harika bir örnektir; umalım ki ödül tek seferlik değildir ve uygun bir hata ödül programı haline gelmiştir.
5. Masal: Küçük soyguncu kız
Bu hikayede Gerda haydutların pençesine düşmüş gibi görünüyor. Andersen aslında, soruşturmanın önceki aşamasında çıkmaza girmiş olan Gerda’nın, yasalara pek de uymayan denebilecek kuvvetlerden yardım almak zorunda kaldığını açıklamak için başka bir alegori daha kullanıyor.
Siber suçlular, Gerda’yı Kai olayında kimin suçlanacağını tam olarak bilen bazı haberci güvercinlerle ve bazı yararlı karanlık ağ bağlantılarının adreslerine sahip bir ren geyiğiyle tanıştırdı. Bu yardım pahalıya patladı; bir önceki hikayede kazandığı şeylerin büyük kısmını kaybetti.
Genç araştırmacının dürüstlüğünü sarsmak istemeyen Andersen, suçlularla olan ilişkilerini kaçınılmaz olarak tanımlıyor; onu önce soyduklarını ve ancak daha sonra kurbanlarına acıyarak bilgi verdiklerini söylüyor. Bu kulağa pek ikna edici gelmiyor. Büyük olasılıkla, karşılıklı yarar sağlayan bir anlaşma yapmışlardı.
6. Masal: Lapon kadın ve Fin kadın
Daha sonra, haydutlar tarafından sağlanan karanlık ağ bağlantıları aracılığıyla soruşturma için gerekli bilgi toplama işinin son aşaması geliyor. Ren geyiği, Gerda’yı kurutulmuş bir morina balığı üzerine bir sonraki bağlantı olan belirli bir Fin kadın için bir tavsiye mektubu yazan belirli bir Lapon kadınla tanıştırdı.
Buna karşılık Fin kadın, “Karlar Kraliçesi’nin bahçesinin” adresini; daha açık olmak gerekirse komut ve kontrol sunucusunun adını verdi. Burada hoş bir dokunuş bulunuyor: Mesajı okuduktan sonra morina balığını bir çorba kasesine atıyor. Gereksiz izler bırakmamanın pratik önemini anladı, bu nedenle de OPSEC kurallarına dikkatle uydu. Eski bir profesyonel hamlesi.
7. Masal: Karlar Kraliçesi’nin sarayında olanlar ve daha sonra yaşananlar
Yedinci hikaye sonunda Karlar Kraliçesi’nin her şeyden önce neden Kai’ye ihtiyaç duyduğunu açıklanıyor. Orada otururken, buz parçalarını yeniden sıralıyor ve “sonsuzluk” sözcüğünü hecelemeye çalışıyordu. Çılgınca, değil mi? Pek de değil. Kripto madencilik hakkında giriş niteliği taşıyan bu yazıya göz atın. Açıklandığı üzere, kripto madenciler esasen sadece herhangi bir karma elde etmek için değil, aynı zamanda mümkün olan en “güzel” örneği bulmak için bir bilgi bloğunu yeniden düzenleyerek çalışırlar.
Yani, Kai bilgi parçalarını düzenlemeye çalıştı, böylece karma “sonsuzluk” sözcüğü şeklinde ortaya çıktı. Bu aşamada, Andersen’in ikinci masalda neden Kai’nin bilgi işlem gücüne odaklandığı netleşiyor. Karlar Kraliçesi’nin peşinde olduğu şey aslında buydu ve Kai yalnızca kripto madencilik yapmak amacıyla enfekte olmuştu. Bu durum aynı zamanda Karlar Kraliçesi’nin kuzeyle ve soğukla ilgili takıntısını da açıklıyor; yüksek performanslı bir maden çiftliği için ciddi bir soğutma gereklidir.
Gerda daha sonra Kai’nin buzla kaplı kalbini gözyaşlarıyla eritti (yani, çeşitli araçları kullanarak kötü amaçlı kodu sildi ve sistem çekirdeğinin kontrolünü tekrar eline geçirdi). Kai daha sonra gözyaşlarına boğuldu, yani yerleşik antivirüsünü etkinleştirdi (daha önce çekirdeğindeki virüslü modül tarafından engellenmişti) ve ikinci zararlı kod parçasını gözünün içinden çıkardı.
Raporun sonu günümüz standartlarına göre oldukça garip. Potansiyel kurbanlar, sistem güvenliğinin aşılması için göstergeler ve diğer yararlı ipuçlarına ilişkin ipuçları sağlamak yerine Andersen, karakterlerin eve geri dönmesi hakkında kafa yoruyor. Belki de 19. yüzyılda, infosec raporlarında konu bu şekilde toparlanıyordu.
Daha önce de söylediğimiz gibi, masal yazarları aslında sektörün en eski siber güvenlik uzmanlarıdır. Karlar Kraliçesi olayı da sadece iddiamızı destekliyor. Yukarıda açıklandığı gibi, hikaye karmaşık bir olayın araştırılmasının ayrıntılı bir açıklamasıdır. Ayrıca diğer popüler masal analizlerimize de göz atmanızı öneririz: