Sıfır gün anlamı ve tanımı
“Sıfır gün”, yakın zamanda keşfedilen ve bilgisayar korsanlarının sistemlere saldırmak için kullanabilecekleri güvenlik açıklarını açıklayan geniş bir terimdir. “Sıfır gün” terimi, tedarikçinin veya geliştiricinin sorunu çok kısa süre önce öğrendiği ve sorunu düzeltmek için “sıfır güne” sahip olduğu anlamına gelir. Bilgisayar korsanları, yazılım geliştiriciler bu açığı düzeltme şansına sahip olmadan bu hatadan yararlandıklarında sıfır gün saldırısı gerçekleştirilmiş olur.
Sıfır gün bazen “0 gün” olarak da yazılır. Güvenlik açığı, exploit (yararlanma) ve saldırı sözcükleri genellikle sıfır gün ile birlikte kullanılır ve aralarındaki farkı anlamak yararlıdır:
- Sıfır gün güvenlik açığı, tedarikçi bir güvenlik açığından henüz haberdar olmadan önce saldırganlar tarafından keşfedilen bir yazılım güvenlik açığıdır. Tedarikçi farkında olmadığı için sıfır gün güvenlik açıkları için herhangi yama henüz yoktur ve bu da saldırıların başarılı olma olasılığı yüksektir.
- Sıfır gün exploit’i, bilgisayar korsanlarının daha önce tanımlanmamış bir güvenlik açığına sahip sistemlere saldırmak için kullandığı yönteme denir.
- Sıfır gün saldırısı, bir güvenlik açığından etkilenen bir sistemde hasara neden olmak veya verileri çalmak için bir sıfır gün güvenlik açığını kullanmaktır.
Sıfır gün saldırıları nedir ve sıfır gün saldırıları nasıl gerçekleştirilir?
Yazılımlarda genellikle korsanların tahribata neden olmak için kullanabilecekleri güvenlik açıkları bulunur. Yazılım geliştiricileri her zaman “yamalar” yayınlamak üzere bu güvenlik açıklarını arar. Böylece yeni bir güncelleştirme yayınlayarak bu güvenlik açığına bir çözüm getirmiş olurlar.
Ancak, bazen korsanlar veya kötü amaçlı kişiler güvenlik açığını yazılım geliştiricileri fark etmeden önce tespit ederler. Saldırganlar, güvenlik açığı henüz düzeltilmemişken bir kod yazıp uygulayabilir. Bu, exploit kodu olarak bilinir.
Exploit kodu, yazılım kullanıcılarının kimlik hırsızlığı veya daha başka siber suç biçimleri kaynaklı olarak zarar görmelerine neden olabilir. Saldırganların, sıfır gün güvenlik açığını belirledikten sonra güvenlik açığı bulunan sisteme erişmenin bir yolunu bulmaları gerekir. Bunu genellikle bir sosyal mühendislik e-postası aracılığıyla yaparlar. Bu, bilinen veya yasal bir taraftan gelmiş izlenimi bırakan ancak gerçekte bir saldırganın gönderdiği bir e-posta veya başka bir iletidir. Mesaj, kullanıcıyı bir dosyayı açmaya veya kötü amaçlı bir web sitesini ziyaret etmeye ikna etmeye çalışır. Bunu yapmak, saldırganın kötü amaçlı yazılımını karşıdan yükler ve bu da kullanıcının dosyalarına sızarak gizli verilerini çalar.
Bir güvenlik açığı tespit edildiğinde, geliştiriciler saldırıyı durdurmak için bu güvenlik açığına yama yapmaya çalışır. Ancak güvenlik açıkları genellikle hemen tespit edilemez. Geliştiricilerin saldırıya yol açan güvenlik açığını tespit etmeleri günler, haftalar, hatta aylar sürebilir. Sıfır gün yaması yayınlandıktan sonra bile tüm kullanıcılar yamayı hızlı bir şekilde uygulayamaz. Son yıllarda bilgisayar korsanları, bu tür güvenlik açıklarından çok daha hızlı yararlanıyor.
Elde edilen veriler, büyük paralar karşılığında karanlık web üzerinden satılabiliyor. Bir exploit keşfedildikten ve yama uygulandıktan sonra sıfır gün tehdidi ortadan kalkmış olur.
Sıfır gün saldırıları özellikle tehlikelidir, çünkü bu saldırıları bilen tek kişi saldırıyı gerçekleştiren taraftır. Suçlular bir ağa sızdıktan sonra ya hemen saldırabilir ya da bunun için en uygun zamanı bekleyebilir.
Sıfır gün saldırılarını kimler yapıyor?
Sıfır gün saldırıları gerçekleştiren kötü amaçlı kişiler, motivasyonlarına bağlı olarak farklı kategorilere ayrılır. Örneğin:
- Siber suçlular – motivasyonları genellikle finansal kazanç olan korsanlar
- Hacktivistler – motivasyonları siyasi veya sosyal olaylara dikkat çekmek olan korsanlardır
- Kurumsal casusluk – şirketlerle ilgili bilgi edinmek için casusluk yapan korsanlar
- Siber savaş – başka bir ülkenin siber altyapısına yönelik casusluk veya saldırı eylemleri gerçekleştiren ülkeler veya siyasi aktörler
Sıfır gün girişimlerinin hedefleri kimlerdir?
Sıfır gün saldırıları, şu gibi sistemlerdeki güvenlik açıklarından yararlanabilir:
- İşletim sistemleri
- Web tarayıcıları
- Ofis uygulamaları
- Açık kaynaklı bileşenler
- Donanım ve aygıt yazılımı
- Nesnelerin İnterneti (IoT)
Sonuç olarak, çok çeşitli potansiyel kurbanlar söz konusudur:
- Tarayıcı veya işletim sistemi korsanları gibi güvenlik açığı bulunan sistemleri kullanan kişiler, cihazlara sızmak ve büyük botnet’ler oluşturmak için güvenlik açıklarından faydalanır
- Fikri mülkiyet gibi değerli ticari verilere erişimi olan kişiler
- Donanım aygıtları, aygıt yazılımı ve Nesnelerin İnterneti
- Büyük işletmeler ve kuruluşlar
- Devlet kurumları
- Siyasi hedefler ve/veya ulusal güvenlik tehditleri
Hedefli ve hedefli olmayan sıfır gün saldırıları karşılaştırması yapılırken şu konularda düşünmek faydalı olacaktır:
- Hedefli sıfır gün saldırıları, büyük kuruluşlar, devlet kurumları veya önemli kişiler gibi potansiyel olarak değerli hedeflere karşı gerçekleştirilir.
- Hedefli olmayan sıfır gün saldırıları genellikle işletim sistemi veya tarayıcı gibi güvenlik açığı bulunan sistem kullanıcılarına karşı yapılır.
Saldırganlar belirli kişileri hedef almaz ama genellikle çok sayıda kişi sıfır gün saldırılarından ikincil zarar kapsamında etkilenebilir. Hedefli olmayan saldırılar, mümkün olduğunca çok kullanıcı yakalamayı hedefler, bu da ortalama kullanıcıların verilerinin etkileneceği anlamına gelir.
Sıfır gün saldırıları nasıl tespit edilir
Sıfır gün güvenlik açıkları veri şifrelemesi eksikliği, yetkilendirme eksikliği, bozuk algoritmalar, hatalar, parola güvenliği sorunları gibi birden çok biçimde olabileceği için tespit edilmeleri zor olabilir. Bu tür güvenlik açıklarının yapısı nedeniyle, sıfır gün exploit’leriyle ilgili ayrıntılı bilgiler yalnızca expoloit tespit edildikten sonra ortaya çıkar.
Sıfır gün güvenlik saldırılarına maruz kalan kuruluşlar, bir istemciden veya hizmetten kaynaklanan beklenmedik trafik veya şüpheli tarama işlemleriyle karşı karşıya kalabilir. Sıfır gün tespit teknikleriyle arasında şunlar sayılabilir:
- Mevcut kötü amaçlı yazılım veritabanlarını ve bunların referans olarak nasıl davrandığını kullanma. Bu veritabanları çok hızlı güncellenir ve referans noktası olarak faydalıdır. Ancak buna rağmen sıfır gün güvenlik exploit’leri doğası gereği yeni ve bilinmeyen bir yapıya sahiptir. Bu nedenle, mevcut bir veritabanının size sunabilecekleri sınırlıdır.
- Alternatif olarak, bazı teknikler hedef sistemle nasıl etkileşime girdiklerine göre sıfır gün kötü amaçlı yazılım karakteristiklerini arar. Bu teknik, gelen dosyaların kodunu incelemek yerine, var olan yazılımlarla olan etkileşimlere bakar ve bunların kötü amaçlı eylemlerden kaynaklanıp kaynaklanmadıklarını belirlemeye çalışır.
- Makine öğrenimi, önceden kaydedilen açıklardan elde edilen verileri tespit etmek için giderek daha çok kullanılıyor ve sistem ile geçmiş ve güncel etkileşimlere dayalı olarak güvenli sistem davranışı için bir temel olarak kullanım buluyor. Kullanılabilir verilerin miktarı ne kadar fazla olursa algılama da o kadar güvenilir olur.
Genellikle farklı algılama sistemleri bir arada kullanılır.
Sıfır gün saldırılarına örnekler
Sıfır gün saldırılarına şu örnekler verilebilir:
2021: Chrome sıfır gün güvenlik açığı
2021’de Google’ın Chrome tarayıcısı bir dizi sıfır gün tehdidi yaşadı ve bunlar, Chrome’un çeşitli güncellemeler yayınlamasına neden oldu. Güvenlik açığının sebebi, web tarayıcısında kullanılan V8 JavaScript motorundaki bir hataydı.
2020: Zoom
Popüler video konferans platformunda bir güvenlik açığı bulundu. Bu sıfır gün saldırısı örneğinde, bilgisayar korsanları Windows’un eski bir sürümünü kullanan kullanıcıların bilgisayarlarına uzaktan erişebilmeyi başarmıştı. Hedefin bir sistem yöneticisi olması durumunda, bilgisayar korsanı kullanıcının makinesini tamamen ele geçirip tüm dosyalarına erişebiliyordu.
2020: Apple iOS
Apple’ın iOS’u çoğu zaman büyük akıllı telefon platformlarından en güvenlisi olarak anılır. Ancak 2020 yılında, saldırganların iPhone’ları uzaktan ele geçirmesine olanak sağlayan sıfır gün hatası da dahil olmak üzere en az iki iOS sıfır gün güvenlik açığı ortaya çıktı.
2019: Microsoft Windows, Doğu Avrupa
Yerel yükseltme ayrıcalıklarına ve Microsoft Windows’un savunmasız bir kısmına odaklanan bu saldırıda Doğu Avrupa’daki devlet kurumları hedef alındı. Sıfır gün exploit’i, Microsoft Windows’ta rasgele kod çalıştırmak, uygulamaları yüklemek ve güvenliği aşılmış uygulamalardaki verileri görüntülemek ve değiştirmek için bir yerel ayrıcalık güvenlik açığını kullandı. Saldırı tespit edildikten ve Microsoft Güvenlik Yanıt Merkezi’ne bildirildikten sonra, bir düzeltme eki geliştirilip kullanıma sunuldu.
2017: Microsoft Word
Bu sıfır gün exploit’i ile kişisel banka hesap bilgileri ele geçirildi. Kurbanlar, farkında olmadan kötü amaçlı bir Word belgesini açan insanlardı. Belgede, kullanıcılardan başka bir programdan harici erişim talep eden bir açılır pencere gösteren bir “uzak içerik yükle” istemi görüntüleniyordu. Kurbanlar “evet” seçeneğine tıkladığında, bankacılık oturum açma kimlik bilgilerini kaydedebilen kötü amaçlı yazılım cihazayükleniyordu.
Stuxnet
Sıfır gün saldırısının en ünlü örneklerinden biri de Stuxnet’ti. İlk olarak 2010 yılında keşfedilen ancak kökleri 2005’e kadar giden bu kötü amaçlı bilgisayar solucanı, programlanabilir mantıksal denetleyici (PLC) yazılımı çalıştıran üretim bilgisayarlarını etkiledi. Başlıca hedefi, ülkenin nükleer programına zarar vermek için İran’ın uranyum zenginleştirme santralleri oldu. Solucan, PLC’lere Siemens Step7 yazılımındaki güvenlik açıklarıyla sızarak PLC’lerin montaj hattı makinelerinde beklenmeyen komutlar gerçekleştirmelerine yol açtı. Stuxnet’in hikayesi daha sonra Zero Days adlı bir belgesele konu oldu.
Sıfır gün saldırılarına karşı kendinizi koruma
Sıfır gün koruması ve bilgisayarınızı ve verilerinizi güvende tutmak adına, hem bireylerin hem de kuruluşların en iyi siber güvenlik uygulamalarını takip etmeleri çok önemlidir. Bu uygulamalar arasında şunlar sayılabilir:
Tüm yazılımları ve işletim sistemlerini güncel tutun. Bunun nedeni, yeni sürümlerde yeni tanımlanan güvenlik açıklarını kapsayacak güvenlik yamalarının sunulmasıdır. Güncel kalmak daha güvende olmanızı sağlar.
Yalnızca gerekli uygulamaları kullanın. Ne kadar çok yazılıma sahip olursanız o kadar fazla güvenlik açığınız olur. Yalnızca ihtiyacınız olan uygulamaları kullanarak ağınızın maruz kalacağı riski azaltabilirsiniz.
Bir güvenlik duvarı kullanın. Güvenlik duvarı, sisteminizi sıfır gün tehditlerine karşı korumada önemli bir rol oynar. Güvenlik duvarını sadece gerekli işlemlere izin verecek şekilde yapılandırarak maksimum koruma elde edebilirsiniz.
Kuruluşlarda kullanıcıları eğitin. Pek çok sıfır gün saldırısı insan hatalarından yararlanır. Çalışanlara ve kullanıcılara iyi güvenlik alışkanlıkları kazandırmak, çevrimiçi ortamda güvende kalmalarına ve kuruluşları sıfır gün güvenlik açıklarından ve diğer dijital tehditlerden korumalarına yardımcı olur.
Kapsamlı bir antivirüs yazılım çözümü kullanın.