Notebook Üreticilerinin Genel Siber Güvenlik Umursamazlığı

Bildiğiniz gibi, Asus Live Update’in hacklenmesini “Bir milyon kullanıcıya zararlı yazılım süprizi” başlığı ile duyurduk. Ancak düşünmemiz gereken sadece tek bir markanın notebooklarının siber güvenlik ihlali olayı değil ve bu konu sadece Asus kullanıcılarını ilgilendirmiyor.

Öncelikle yaşanan olayı kısaca hatırlamak gerekirse; Kaspersky Labs araştırmacılarının raporuna göre, belirlenemeyen bir tehdit aktörü tarafından Asus Live Update özelliği, hedeflenen cihazlara yetkisiz erişim sağlanmasına yol açacak şekilde hacklendi. 2017 yılındaki CCleaner saldırısından bu yana yaşanan “en büyük tedarikçi kaynaklı siber güvenlik olayı” olarak tanımlanan saldırıda (CCleaner ile ilgili yazımıza da buradan göz atabilirsiniz) yaklaşık 1 milyon kullanıcının etkilendiği tahmin ediliyor. Sadece Kaspersky kullanıcılarından 57.000 ve Symantec kullanıcılarından 13.000 kişinin etkilendiği tespit edilmiş ancak toplam etkilenen kullanıcı sayısının tam belirlenemediği de açıklandı. Araştırmacılar, Asus Live Update’in yüklendiği cihazlara bir arka kapı yerleştirdiğini ve bunu resmi kanallar vasıtasıyla dağıttığını belirtti. Asus update sunucusunda bulunan ve yasal sertifika ile imzalanan zararlı yazılım versiyonu, resmi versiyon ile aynı boyutta olduğundan fark edilmesi de güçleşti.

Bu saldırı haberlerinin ardından Asus’dan resmi bir açıklama geldi ve firmanın notebooklarının Live Update özelliğinin bir APT (Advanced Persistent Thread) grubu tarafından ele geçirildiği ve bu siber saldırgan grubunun zararlı yazılımından temizlenmiş (update edilmiş) 3.6.8 versiyonunun yayınlandığı duyuruldu. Asus, biraz gecikmiş de olsa, gelecekte yaşanabilecek benzer saldırıları engelleyebilmek amacıyla, uçtan uca şifreleme ve diğer doğrulama mekanizmaları gibi, şifreleme ve güvenlik özellikleri de ekledi. Yapılan açıklamada, Live Update sistemine yapılan gelişmiş/karmaşık bir saldırı ile az sayıda cihazın etkilendiği, bu kullanıcılara Asus müşteri hizmetleri tarafından ulaşılarak, güvenlik tehdidini ortadan kaldırmak amacıyla yardımcı olunduğu belirtildi. Kullanıcılarının bu saldırıdan etkilenip etkilenmediklerinin kontrolünün sağlanabilmesi için https://dlcdnets.asus.com/pub/ASUS/nb/Apps_for_Win10/ASUSDiagnosticTool/ASDT_v1.0.1.0.zip
linki de firma tarafından paylaşıldı.

Asus firması zararlı yazılımdan etkilenen cihaz sayısını yüzlü rakamlar olarak belirtirken, Kaspersky Lab araştırmacılarının tahmini ise 1 milyon kullanıcı civarında. Rakam henüz tam olarak bilinmese de, araştırmacıların ilk tespitlerine göre şimdiden 70.000 kullanıcıya zararlı yazılım bulaştığı belirlenmiş durumda.

Asus’un yaptığı açıklamada, zararlı yazılımın fark edilmesinin Kaspersky araştırmacıları vasıtasıyla olduğundan hiç bahsedilmediği gibi, Kaspersky’nin Gizlilik Anlaşması (NDA) imzalaması istenmiş. Çeşitli kaynaklardan edinilen bilgilere göre, Kaspersky araştırmacıları Asus’u bu saldırı konusunda Ocak ayında uyarmış ve haber geçtiğimiz günlerde Seclist ve kendi bloglarında yayınlandıktan sonra Asus harekete geçmiş.

Biraz daha geriye gidelim;
2016 yılında, içlerinde Asus’un da bulunduğu, en çok satan 5 dizüstü bilgisayar üreticisinin, cihazlarında bu tür bir saldırıyı önleyecek tedbirleri görmezden geldiğini ortaya çıkaran bir rapor yayımlandı. Duo Security isimli güvenlik firmasının raporu; Lenovo, Dell, Acer, Asus ve HP firmalarının, kullanıcılarını hacklenme tehlikesi ile karşı karşıya bıraktığını gösteriyordu. Bu rapora göre Asus, güvenlik açıkları konusunda en kötü durumdakilerden bir tanesiydi ve HTTPS şifrelemesi veya yazılım güncellemeleri için imza/onay bile kullanmıyordu. Ancak aşağıdaki tablodan görülebileceği gibi bu 5 firmanın tümünün güncelleme yazılımlarında ya HTTPS şifrelemesi kullanılmıyor veya kullanılsa dahi düzgün kurulmamış olduğundan hala man-in-the-middle saldırılarına maruz kalabiliyordu.

Araştırmacılar o dönemde farklı kritik zafiyetler olduğunu da ortaya çıkartmış, bu firmaların update araçlarının yeterli teknik bilgiye sahip olmayan siber saldırganlar tarafından bile zararlı yazılım bulaştırabileceğini açıklamıştı.

NSA (National Security Agency) TAO (Tailored Access Operations) başkanı Rob Joyce ise o dönemlerde yaptığı bir açıklamada notebook yazılımlarının işletme sistemlerinin bir bilgisayarı hacklemenin en kolay yolu olduğunu, bu yazılım araçlarının istismar edilmesinin çok basit olduğunu ve laptop üreticilerinin genel güvenlik önlemleri konusunda çok zayıf olduğunu belirtmişti.

Açıkça görülüyor ki, Asus geçtiğimiz üç yılda sadece güvenlik araştırmacılarının uyarılarını dikkate almamakla kalmadı, aynı zamanda hem teorik hem de mevcut saldırılar konusunda Kaspersky firması tarafından açıkça yapılan uyarıları da görmezden geldi.

En sonunda, Kaspersky’nin APT grubunun saldırısını açığa çıkartmak ve bunu basın yoluyla halka duyurmak konusundaki ısrarı karşısında daha fazla duramayan Asus aslında 2016 yılından beri yapması gereken işi yapıp, yazılımını güncelledi ve uygun modern güvenlik özellikleri ile donatmaya karar verdi.

Araştırmalar ve bu son yaşanan olaylar gösteriyor ki; tehdit altında olan veya hacklenen ancak fark edilmeyen tek firma Asus olmayabilir, genel olarak laptop üreticilerinin kullanıcılarını korumak adına acil olarak yapmaları gerekenler var ve bunların bir kısmı oldukça basit siber güvenlik önlemleri. Kullanıcılar daha büyük sıkıntılar yaşamadan bu firmaların harekete geçmesini ummaktan başka çare yok.

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*