Uzunca bir süredir bütün dünyada U3 USB belleklerin üzerinde çalışabilen hack araçları konuşuluyor. Beyaz Şapka?ya konuyu biraz geç taşıdık çünkü hem ülkemizde durumdan etkilenmeyen şirket yok denecek azdı ve çözüm sayısı oldukça sınırlıydı. Bu aygıtların yarattığı riski ve tedbirleri kısaca anlatmaya çalışacağım.
U3 USB Bellekler bildiğimiz standart belleklere ek olarak, bellek bölümlerinin bir bölümünü işletim sistemine CD-ROM olarak tanıtabiliyor. Bu özelliğin en büyük avantajı USB bellekler üzerinde autorun özelliğinin çalıştırılması. İşletim sistemleri varsayılan olarak yeni bir sürücü gördüğünde autorun.inf dosyasını arar ve içeriğini otomatik olarak çalıştırır.
Peki ya autorun içinde zararlı kod bulunursa?
USC Switchblade, USB Hacksaw, Blat, USBDumper ve Stunnel gibi küçük yazılımlarla U3 USB sürücüsü bir hack makinesine çevrilebilir.
Neleri Hack eder?
Bahsettiğim yazılımlar yüklenmiş bir U3 Usb belleği bilgisayardan password hash, LSA Secret, IP yapılandırması, Internet Explorer ve Firefox?a kaydedilmiş şifreler, MSN şifresi, bilgisayar diskinin belirli bölümlerine kayıt edilmiş dosyalar veya belirli uzantılara sahip dosyalar ve kablosuz ağ şifreleri gibi değerli bilgileri çalabilir. Ayrıca VNC yazılımını bilgisayara yükleyerek uzaktan erişim imkânı yaratabilir.
Nasıl Çalıştırılır?
U3 Bellek önceden hazırlanmıştır. Çalıştırmak için bilgisayar takmak yeterlidir. Herhangi bir uzmanlığa gerek yoktur çünkü zaten bu yazılımlar hazır şekilde internet üzerinden dağıtılıyor. Üstelik bütün bunlar ?silent? diye tabir ettiğimiz şekilde, gizlice yapılır.
Bilgi Nasıl Toplanır?
Hack edilen bilgi varsayılan olarak USB diske kaydedilir. İstenirse belirtilen bir eposta adresine otomatik olarak gönderilebilir. Bazı ek araçlar ile ftp veya http sitelerine yüklenebilir.
Hangi sistemler etkilenir?
Tüm dünyada genel olarak USB güvenliğine odaklanılıyor ancak bu yazılımlar CD-ROM?lar üzerinde de çalışabiliyor. Tek farkı hack edilen verilerin cd-rom?a yazılmak yerine hacker?a ait e-posta adresine veya ftp sitesine gönderiliyor olması.
Yanlış Bilinenler
Birçok internet kaynağında (Türkiye?deki kaynaklar da dahil) işletim sisteminin autorun özelliğinin kapatılması öneriliyor. Bu yöntem belki kendi bilgisayarının güvenliğini sağlamaya çalışan bireysel kullanıcılar için etkin olabilir. Ancak kurumsal yapılarda durum biraz daha farklı. Kurum çalışanları da bu bilgilere sahip olmak isteyebilir. Autorun özelliği kapatılmış olsa bile bu yazılımları çalıştırmak isteyebilir ve bir sistem kullanıcısı olarak buna yetkisi vardır. Özellikle finans, kamu, güvenlik, denetim&danışmanlık gibi sektörlerde bu durum göz ardı edilemeyecek kadar büyük riskler taşıyabilir.
Korunma Yöntemleri
Bilişim sistemlerinin çalışma düzenleri ve amaçlarına göre değişik yöntemler geliştirilebilir. Hemen hemen her kurumda alınabilecek tedbirleri kısaca sıralamak istiyorum.
1. Autorun özelliğini kapatın
Yukarıda da bahsettiğim üzere bireysel kullanıcılar için daha önemli bir nokta olmasına rağmen kurumlarda da yapılması gerekir.
2. USB Araç Denetimi
Başta kamu ve finans sektörü olmak üzere tüm dünyada USB denetimi yapılmaya başlanmış ve hatta bazı standartlar gereği zorunluluk haline gelmiştir. Kuruma ait veri sadece kurum tarafından sağlanmış donanımlarda bulunabilir ve sadece yetkilendirilmiş personel bu verilere ulaşabilir. Kurum USB araçlarını sağlar ve sadece kurum tarafından sağlanmış araçlar kullanılır. Device Control yazılımları USB cihazlarının seri numaralarına ve/veya çeşitlerine göre sisteme takılıp takılamayacağına karar verebilir. Bu sayede kurumunuz tarafından sağlanmamış USB cihazların bilgisayarınıza bağlanmasını engelleyebilirsiniz.
3. Veri güvenliği denetimi
Temel amacımız kritik verilerin çalınmasını engellemek. Yine device control ürünleri ile USB (ve diğer) sürücülere kullanıcıların kopyaladığı dokümanlar gizlice merkezi bir sunucuda yedeklenebilir. Bu sayede hangi kullanıcının hangi veriye eriştiğini takip edebilirsiniz.
Birçok üretici için Data Loss Prevention (DLP) ürünü, Device Control ürününün biraz daha gelişmişidir. Device Control ürünlerine ek olarak verinin içeriğini kontrol ederek güvenliğini sağlayabilirler. Bu sayede kurumunuza ait gizli verinin bilgisayarlarınızdan dışarı çıkmasına engel olabilirsiniz. Örneğin finansal dokümanlar, entelektüel sermaye verileri, geliştirilen yazılımların kaynak kodları, ürün tasarımları vb?
4. Malware yazılımları
Endpoint Security ürünlerinizin kalitesinden ve konfigürasyonundan emin olun. USB veya CD-ROM üzerinden çalıştırılabilen kötü amaçlı bu yazılımlar Endpoint Security ürünleri tarafından engellenebilir. Ancak bazı endpoint security çözümleri bu yazılımları bulamaz, bazıları için ek lisans almak gerekebilir ve bazıları için özel konfigürasyon yapmak şarttır.
5. Host Security
Türkiye?de hep atlanan bir konudur host security. Çok defa bu konu üzerine yazdım, anketler düzenledim. Durum oldukça basit. Bir Kurumunuza ait bir bilgisayarda sizden habersiz olarak bir yazılım veya kod tarafından e-posta gönderilebiliyorsa, bu sistemin güvenliğinden söz edemeyiz.
?Port 25 (smtp e-posta portu) istemcilerde sadece Outlook tarafından kullanılabilir, başka hiçbir yazılım bu porta veri yükleyemez.?
Sisteminizde böyle bir kural tanımladığınızda exploit ve solucanların önemli bir bölümü etkisiz kalacaktır.
Diğer bir konu da Host IPS. USB belleklerde bulunan yazılımlar bazı sistem kritik kaynaklara erişmeye çalışır. Host IPS yazılımları ile bu gibi atakları proaktif olarak engelleyebilirsiniz.
Son Söz
Kendi sistemlerinizde size ait olmayan ve kontrol edemediğiniz yazılım ve donanımların çalışmasını engellemelisiniz. Risklerinizi tanımlamak için bilgi güvenliği danışmanınıza başvurmak en iyi yöntemdir.
Kaynak