Sıfırıncı-gün Saldırısı (Zero-day Attack) Nedir?

Zafiyet Nedir?

 

Kötü niyetli kişilerin sisteme, bilgiye ya da varlığa zarar vermek için kullanabileceği açıklardır. Zafiyetlerin oluşmasının birçok sebebi vardır, bunlar; sistemdeki tasarım hataları, yanlış yapılandırma ya da kodlama hatalarından kaynaklanabilir.

 

Hackerlar bu zafiyetleri tespit ederek sistemlere saldırabilir, gizlilik, bütünlük, erişilebilirliğine zarar verebilir ya da tamamen ele geçirebilirler. Bu zafiyetler daha önce tespit edilmiş, fakat sistemde yıllardır bulunmasına rağmen giderilmemiş zafiyetler olabilirken, aynı zamanda henüz üretici tarafından yaması yayınlanmamış zafiyetler de olabilir.

 

Sıfırıncı-gün (Zero-Day) Zafiyeti

 

Zero-day zafiyeti, üreticinin açığı fark etmeden önce kötü amaçlı kişiler tarafından fark edilip kullanılan bir zafiyet türüdür. Üretici sorunu çok kısa süre önce öğrendiği ve yama yayınlamak için “sıfır güne” sahip olduğu için zero-day olarak adlandırılmaktadır. Saldırganlar, yazılımcılar henüz bu açığı düzeltemeden etkili bir savunmanın olmadığını bilerek bu zafiyetten yararlandıklarında Sıfırıncı-Gün saldırısı gerçekleştirilmiş olur. 

 

Yama yayınlandıktan sonra güvenlik açığı artık zero-day olarak adlandırılmaktan çıkar. Geliştiricilerin bu güvenlik açığını tespit etmeleri günler, haftalar ve hatta aylar sürebilir.

 

 

Zero-Day Exploit

 

Zero-Day Exploit, Sıfırıncı-Gün zafiyeti olarak ortaya çıkan açıkların hacklerlar tarafından kod veya script haline getirilmesidir. Bu tür açıklar Zero-Day Exploit haline getirildiğinde, tecrübeli veya tecrübesiz fark etmeksizin tüm kötü niyetli kişiler tarafından kullanılabilir ve sistemlere zarar verebilir.

 

Sürekli güncelleme yapılan yazılımlar uygulamadaki açıkların çoğu Exploite dönüşemeden üreticinin yazılım ekibi tarafından giderilir. Destek süresi dolmuş ve güvenlik güncellemesi almayan işletim sistemleri için Zero-Day Exploit geliştirmek çok daha kolay olabilir. Destek süresi biten bir sistem için tespit edilen tüm yeni zafiyetler “Zero-Day Exploit” olarak sınıflandırılır.

 

Zero-Day Saldırısı

 

Saldırganların güvenlik açığından etkilenen sistemde hasara neden olmak, verileri çalmak ya da sistemi ele geçirmek için bir zero-day exploit kodunu kullanmasıdır. 

 

Peki, zero-day saldırılarını gerçekleştiren kişiler kimlerdir? 

 

• Siber suçlular
• Hacktivistler
• Şirket casusları
• Siber savaş tarafları

 

Zero-day saldırıları bu saldırıyı bilen tek kişinin saldırıyı gerçekleştiren olması nedeniyle çok tehlikelidir. 

 

Aşağıdaki tablo Zafiyet, Exploit ve Saldırı terimleri arasındaki farkları özetlemektedir:

 

 

Sıfırıncı-Gün Saldırılarından Nasıl Korunabiliriz?

 

Düzenli Yama Geçilmesi: Yazılım yamaları yayınlandığında en kısa sürede uygulamak, bu saldırılara karşı riski azaltabilir. Güncel yamaları alabilmenin en önemli unsurlarından biri ise destek süresi dolan bir sistem kullanılmamasıdır. 

 

Yeni Nesil Güvenlik Yazılımı: Sıfırıncı-gün saldırılarını standart yöntemlerle tespit etmek oldukça zordur. Bu nedenle istatistik ya da davranış tabanlı algılamaya yönelik saldırı tespit sistemlerinin kullanılması riski azaltacaktır. Makine öğrenimi ile tasarlanmış, kod analizi ve özel istismar önleme tekniklerinden yararlanan yeni nesil antivirüs çözümleri Sıfırıncı-gün saldırılarına karşı etkili olmaktadır. Yapay zeka ve makine öğrenimi, milyonlarca olayı hızlı bir şekilde analiz edebildikleri ve Sıfırıncı-gün güvenlik açıklarından yararlanan kötü amaçlı yazılımlardan kimlik avına yol açabilecek riskli davranışları belirlemeye kadar birçok farklı türde tehdidi tanımlayabildikleri için bilgi güvenliğinde önemli teknolojiler haline geldi. Bu sebeplerle makine öğreniminin son yıllarda siber güvenlik alanında kullanımı oldukça artmış ve buna yönelik birçok yeni ürün piyasaya sürülmüştür. 

 

İş Sürekliliği: Ne kadar hazırlıklı olursanız olun, bu tehdidi tamamen ortadan kaldırabilmeniz mümkün değildir. Bu gibi durumlarda şirketin iş sürekliliğinin devam edebilmesi için bu tarz senaryolara önceden hazırlıklı olmak gerekir. Veri yedekliğinin sağlanması, iş prosedürlerinin güncel tutulması ve tatbikatların yapılması oldukça önemlidir.

 

Bilinçli Çalışan: Siber saldırıların büyük çoğunluğu insan hatasından kaynaklanır. Tahminlere göre tüm siber saldırıların yüzde 91’i oltalama ile başlıyor. Şirket çalışanlarının güncel oltalama saldırılarına karşı bilinçlendirilmesi, yazılım geliştiricilerinin güvenli kod geliştirebilmesi için sık aralıklarla eğitimler verilmelidir.

 

Sıfırıncı-Gün Açığı Saldırıları Örnekleri

 

2010: Stuxnet

 

Zero Days adlı bir belgesele konu olan Stuxnet, devletler arasında nükleer çalışmaları sekteye uğratmak için kullanılan solucan yazılımdır. Haziran 2010'da varlığı açığa çıkan virüs nükleer tesisleri etkilemiştir. Stuxnet, endüstriyel kontrol sistemlerinin ve dış dünyaya kapalı sistemlerin de hedef olabileceğini göstermesi açısından siber güvenlik alanında önemli bir yere sahiptir. 

 

2017: Wannacry

 

Microsoft Windows'u hedef alan dünyanın en tehlikeli fidye virüslerinden. Zararlı kod, 2017'de bir gün içinde 150 ülkedeki 230.000 bilgisayara bulaştı. Microsoft, 2017 yılının Mart ayında bu güvenlik açığı için yama yayınladı. Ancak gerekli güncellemeyi yapmayan işletmeler bu saldırıdan etkilendi. TheShadowBrokers isimli hacker grubu tarafından 70’den fazla ülkede on binlerce kişi ve kuruma ait bilgisayara sızarak, büyük maddi zararlar verdi. Saldırının 150 ülkede 300.000'den fazla bilgisayarı etkilediği ve toplam zararın yüz milyonlar ila milyarlarca dolar arasında değiştiği tahmin ediliyor.

 

2020: Zoom

 

Pandemi ile beraber kullanımı artan video konferans uygulaması Zoom için biri MacOS uygulamasını, biri de Zoom’un Windows uygulamasını etkileyen iki adet Zero-day zafiyeti 2020 yılında darkweb’de satışa çıkarıldı. Yapılan açıklamada Zero-day’in uzaktan komut çalıştırmayı sağladığı ve saldırgan kişiye uygulama üzerinde tam erişim yetkisi verdiği belirtildi.

 

2021: PrintNightmare

 

Son yıllarda ortaya çıkan en kritik zero-day zafiyetlerden biri olan PrintNightmare araştırma ekipleri arasındaki bir yanlış anlama nedeniyle internet ortamında paylaşıldı. Araştırmacılar Microsoft’un Haziran ayında yayınladığı yamanın zafiyeti giderdiğini düşünüyordu, bu yüzden çalışmalarını kamu ile paylaştılar. Ancak, yayınlanan yama güvenlik açığını kapatamamıştı. PoC kodu hızla internetten kaldırılsa da birçok kişi tarafından kopyalanmış ve sömürülmeye başlanmıştı. Windows Yazdırma Biriktiricisinin, domain denetleme ve sistem yöneticisi ayrıcalıklarına sahip bilgisayarlar da dahil olmak üzere tüm Windows tabanlı sistemlerde varsayılan olarak etkinleştirilmiş olması; tüm bu sistemleri PrintNightmare zafiyetine karşı savunmasız hale getirdi.

 

2021: Apache Log4j

 

Güvenlik açığı ilk olarak Kasım 2021'de Apache'ye özel olarak bildirildi. Aralık 2021'de ise Log4Shell adı ile kamuya açıklandı. Meydana gelen saldırıların ortaya çıkmasıyla, birçok ulusal siber güvenlik kurumu uyarılar yayınladı. Apache Log4j'nin yaygın kullanımı nedeniyle yüz milyonlarca cihaz risk altına girdi.