İçeriğe geçmek için "Enter"a basın

Arka Kapı Nedir, Ne İşe Yarar ve Nasıl Tespit Edilir?

(Backdoor) Arka Kapı Nedir?

Genelgenin 12. maddesi uyarınca yazılım ve donanım tedarikçilerinden sistem veya uygulama üzerinde “arka kapı” olmadığına dair taahhütname alınması gerekiyor. Gerçi maddeye “imkanlar ölçüsünde” ibaresi eklenmiş ama bu konu ilk bakışta göründüğü kadar basit olmayabilir.

Sistem veya uygulamanın normal kullanıcı giriş mekanizmasını atlatarak sisteme bağlanmaya imkân veren her şey arka kapı olarak değerlendirilebilir. Aklımıza hemen kötü niyetli kişilerce uygulamaya uzaktan ve gizlice erişmek için yerleştirilen bir mekanizma geliyor olabilir ancak gerçekte bunların büyük çoğunluğu kötü niyetli değildir.

2016 yılında Fortinet ürünlerine SSH üzerinden bağlanmaya imkân veren fabrika çıkışlı bir kullanıcı tespit edilmişti (CVE 2016-1909 https://www.cvedetails.com/cve/CVE-2016-1909/). Teknik olarak arka kapı olsa bile, üreticinin kendi servis ve destek ihtiyaçları için oluşturulmuş bir erişim yöntemiydi. Sıkça karşılaşılan bir diğer olay ise fabrika çıkışlı kullanıcılardır. Aldığınız yazılım üzerinde “test” veya “admin” adıyla açılmış kullanıcılar olabilir. Siber güvenlik hijyeni kapsamında bunları zaten devre dışı bırakıyorsunuz (değil mi?). Ancak bazı durumlarda fabrika çıkışlı kullanıcıların bazıları gözden kaçabilir. Örneğin teknik destek için oluşturulmuş bir kullanıcı hesabı. Veya bildiğiniz “admin” yetkili kullanıcısından bile daha yetkili bir firma kullanıcısı olabilir. Bu nedenle aldığınız yazılım veya donanımın dokümanlarını okuyarak bütün kullanıcıları bulmanızda fayda var.

Arka kapı uygulamanın kendisinde olabileceği gibi, daha sonra yüklenen bir modül veya eklentiyle de gelebilir. Bu nedenle yazılım veya donanımın kendisi kadar yardımcı modülleri de bu kapsamda değerlendirilmelidir.

Ne işe yarar?

arka kapı nedir? (backdoor)

Arka kapı saldırılarını incelediğimizde aşağıdaki amaçlarla kullanıldıklarını görüyoruz:

  • Sisteme başka zararlı yazılımlar yüklemek
  • Veri çalmak
  • Sistem üzerinde komut çalıştırmak
  • Sisteme dosya yüklemek
  • Sistemi kapatmak
  • Sistem ayarlarını değiştirmek

Saldırılar nasıl yapılıyor?

Yazılım veya donanım üzerinde bir arka kapı bulunması siber saldırganlar için yeterli değildir. Diyelim ki bir şekilde Yunanistan Dışişleri Bakanlığı bünyesinde kullanılan bir yazılıma arka kapı yerleştirmeyi başardık. Elimizdeki tek bilgi bu yazılımın bakanlığa ait bir sistem üzerinde çalıştığı olacaktır. Peki buna nasıl ulaşacağım? Bakanlığın dışarıya açık IP adreslerini kullanan bir sistem üzerinde değilse buna ulaşmam pek mümkün değil. Yazılımı 192.168.19.23 IP adresli sunucuya kurduklarını bir şekilde öğrensen bile bu adrese doğrudan ulaşmam mümkün olmayacaktır. Arka kapıdan faydalanabilmem için buna bağlanmam lazım, bu nedenle saldırılarının büyük çoğunluğunda dışarıdaki bir sisteme bağlanıldığını görüyoruz. Bunu HTTP gibi yaygın olarak kullanılan protokolleri kullanarak da yapabilirler veya ICMP ve DNS gibi daha az kullanılan bir protokolün içerisinde tünel oluşturup yapabilirler.

Nasıl tespit edilir?

Arka kapı olmadığı konusunda taahhüt almak güzel ama sektörde hep söylendiği gibi “güven kontrole engel değildir”. Bu nedenle kuruluşların arka kapıları tespit edebilecek durumda olmaları önemlidir. Tespit etmek ve engellemek için öncelikle fabrika çıkışlı bütün kullanıcıları temizlediğinizden emin olun. Bunun ardından ağ trafiğini izleyerek ipucu verebilecek davranışları tespit edecek duruma gelin. Yazılım veya donanım üzerinde bir arka kapı olduğuna işaret edebilecek bazı davranışlar şunlar olabilir;

  • Bilmediğiniz bir IP adresine düzenli olarak gönderilen paketler
  • Yerel ağdaki diğer sistemlere gönderilen paketler
  • Uygulama üzerinde çalışması için ihtiyaç duymadığı bir portun açık olması
  • İnternetle konuşmaması gereken bir protokol (SMB, RDP, SSH, vb.) üzerinden iletişim kurma çabası
  • İlgili protokol için normal sayılmayacak boyutta veya sıklıkta paket gönderimi. Uygulama internet bağlantısını kontrol etmek için 3 dakikada bir 8.8.8.8 adresine ping atabilir ancak her gece 84.205.251.33 adresine 500 tane ping gönderiyorsa bu bir soruna işaret eder

#arka kapi nedir

İlk yorum yapan siz olun

    Bir cevap yazın

    E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir