Microsoft firmasına ait işletim sistemlerini etkileyen Stuxnet, İran’ın nükleer enerji tesisleri hedefliyor ve bu özelliği onun endüstriyel casusluk için geliştirildiği şüphelerini güçlendiriyor.
17 Haziran’da, Belarus menşeli bir antivirüs firması olan VirusBlokAda, şimdilerde Stuxnet olarak bilinen zararlı yazılımın, Windows sistemlerin henüz fark edilmemiş açıklarından yararlanarak bilgisayarlara sızdığını açıklamıştı. Yaklaşık bir ay kadar sonra Microsoft, yazılımın, endüstriyel otomasyon ve kontrol programlarını çalıştıran sistemleri hedef aldığını doğruladı.
VirusBlokAda’nın yayınladığı raporda, yazılımın, harici belleklerin takılıp içeriğinin görüntülenmesiyle sisteme bulaştığı bildirildi. Bu yöntem, güvenlik gerekçesiyle İnternet bağlantısı olmayan süreç kontrol ve otomasyon programları kullanan bilgisayarlar için epey uygun. Biraz daha açıklamak gerekirse, toplam boyutu neredeyse 500 KB kadar küçük olan Stuxnet, harici medyanın dosya görüntüleyicide açılırken, sistemin dosya simgelerini göstermek için kullandığı algoritmayı kullanarak sisteme sızıyor ve kendini Realtek firmasının imzalarıyla sürücü dizinine kopyalıyor. Yazılımın Realtek firmasının elektronik imzalarını nasıl ele geçirdiği konusunda henüz bir bilgi yok. VirusBlokAda’nın uyarılarına da, rapor haberinin kaleme alındığı tarih olan 19 Temmuz itibariyle Realtek tarafından resmi bir açıklama getirilmemişti.
Bugüne kadarki en karmaşık virüs!
Symantec güvenlik takımının yöneticisi Liam O. MURCHU, “Bu yazılıma harcanan kaynaklar büyüleyici. Gerçekten!” diyerek kötü amaçlı kodun ne kadar karmaşık bir yapıda olduğunu dile getiriyor. Kasperksy’de kıdemli araştırmacı olarak çalışan Roel SCHOUWENBERG ise, “Google da dâhil olmak üzere pek çok şirketin ağını etkileyen Aurora, bunun yanında çocuk oyuncağı kalır.” diyerek, Murchu’ya katılıyor.
Araştırmacılar, Stuxnet’in şimdiye kadar hiçbir zararlı yazılımda görülmemiş sayıda çok sıfır gün saldırısı (zero day attack) diye adlandırılan bir yöntemle bulaştığını söylüyorlar. Peki, nedir bu sıfır gün saldırısı? Tam olarak tanımı, yazılımın geliştiricileri tarafından henüz farkına varılmamış ve yazılımın kullanıma sürüldüğü halindeki açıklardan faydalanan saldırılardır. Yazılımın geliştiricisi tarafından farkedildikleri ve yamanarak düzeltildikleri ana kadar kullanılabilirler. Kapalı kaynaklı yazılımlarda da, özgür yazılımlara oranla farkedilmesi ister istemez daha çok vakit alır ve sistemin güvenliğini tehdit eder. İşte Stuxnet bu şekilde, ortalama bir kötü amaçlı yazılımın bir adet açığı hedeflediği genel kabul görürken, şimdilik bilinen dört açığı kullanıyor ki bu da komplo teorisyenleri tarafından, sistemin karmaşıklığı da ele alındığında devlet destekli bir saldırı olarak yorumlanıyor.
Microsoft bahsedilen açıklardan iki tanesini, saldırıdan çok sonra, 2 Ağustos’ta yayınladığı yamayla kapadı. Geri kalan az riskli iki tanesiniyse daha sonra yayınlamayı planladığı genel bir güvenlik güncelleştirmesi ile kapayacak!
Stuxnet’in hedef aldığı programın otomasyon ve kontrol programları olduğunu söylemiştik. Şimdiye kadar bildirilen vakalar içerisinde Siemens’in kontrol sistemleri dışında sistemler kullanıp da bu yazılımdan etkilenen yok. Siemens ise Stuxnet’in 15 adet sistemine bulaştığını fakat henüz bir zarara neden olmadığını bildirdi.
Nasıl Çalışıyor?
Stuxnet bir bilgisayara harici bellekle bulaştıktan sonra kendini sürücü dizinine kopyalıyor ve Siemens’in WinCC ve PCS 7 adını verdiği SCADA (kontrol yönetimi ve veri toplayıcı) programlarını arıyor. Eğer bu programları bulursa kendini Siemens’in öntanımlı parolalarını kullanarak programa entegre ediyor ve kontrol mantığını, kötü amaçlı yazılımın yazarının isteği doğrultusunda değiştirecek ek modülleri programa ekleyerek değiştiriyor. Böylelikle bütün bir tesisin kontrol mekanizmasını etkiliyor.
Bu tarz saldırıların boyutunu şöyle bir örnekle kafamızda canlandırabiliriz: Stuxnet’in bulaştığı bilgisayarların %60’ı İran’da olduğu için örneğimiz nükleer reaktör olsun. Diyelim ki bir nükleer reaktörün kontrol sisteminden sorumlusunuz. Reaktörün üst sıcaklık değerini 750 dereceye ayarladınız. Termoçiftiniz reaktörün sıcaklığı 750 dereceye yaklaşmaya başladığı anda, kontrol sisteminize haber verir. Bu girdiyi alan sistem, sıcaklığın düşürülmesi için gerekli adımları, içerisinde kodlanmış mantığa uygun olacak şekilde izler. Örneğin soğutma suyunun devrini hızlandırır. İşte bu noktada eğer Stuxnet kontrol adımlarını yeniden tanımlarsa, örneğin reaktör 750 dereceye geldiğinde su akışını hızlandırmak yerine yavaşlatırsa, kazalar kaçınılmaz hale gelir. Yazılım bunun gibi pek çok nedenden dolayı endüstriyel tesisler için tehlike arz ediyor.
Uzmanlar Stuxnet’in yazarının tek bir kişi olamayacağını, çünkü, sistemin veritabanından, kök takımlara, PLC algoritmalarından, Realtek’in elektronik imzalarının çalınmasına ve Siemens’in donanımına kadar her şeye vakıf tek bir kişinin olamayacağını, farklı disiplinlerde eğitim görmüş bir grup tarafından yazıldığını düşünüyor. Bu da yukarıda da belirtildiği üzere, devlet destekli bir yazılım olduğu teorilerini destekler nitelikte.
Ne Yapılabilirdi?
Böyle bir şeyin hiç yaşanmamış olması için ne yapılabilirdi? Elbette özgür işletim sistemleri ve kontrol programları kullanılabilirdi!
Kapalı kaynak kodlu ve sahipli platformlar, sıfır gün saldırıları için mükemmel bir ortam sunarlar. Adı üstünde, “kapalı kaynak kodlu” bir sistemi denetleme, düzeltme ya da özellikle bırakılmış “arka kapılar” olmadığını kontrol etme şansınız yoktur!
Linux işletim sistemleri ve bir amaca yönelik özel olarak üretilen özgür yazılımların endüstriyel pazardaki yeri, umarız bu gibi hatalardan ders alınarak büyür. Firmalar ne yaptıklarını bilmedikleri “kapalı kutulara” milyonlarca lira ödemektense, işini iyi yapan sistem yöneticileri ve mühendisler tarafından çok daha az bir maliyetle, çok daha güvenli şekilde çalışmaya devam edebilir.
Bu haberi okuduktan sonra “Amaaan, bana ne İran’da olan bitenden!” diyebilirsiniz. Sorun şu ki, aslında anlatılan sizin hikâyeniz. Bugün İran’ın nükleeer tesisleri ne kadar güvendeyse, yarın siz de o kadar güvende olacaksınız…
Kaynaklar: InfoWorld, Computerworld, pvbrowser, OpenBSD, Wikipedia (1, 2)