Virüslerde Yeni Boyut: Kriptoviroloji

23 Mayıs 2005 tarihinde WebSense firması yeni bir güvenlik duyurusu yayınladı. Duyuruya göre yapılan bu yeni saldırıda saldırıya uğrayan kişinin bilgisayarındaki dosyaları farkedilmeden saldırgan tarafından kriptolanarak erişilemez hale getirildiği ve daha dosyalarına tekrar erişmek için ise bir şifre çözücü programın satın alınmasını mecbur tutarak fidye istendiğinden bahsediliyor. Bu duyuru ve oluşan yeni saldırı şekli, virüs, kurtçuk (worm) ve truva atı olaylarının yeni bir boyuta taşınarak, fidye ve şantaj için kullanılması anlamını taşıyor.

Websense’in analizine göre bahsedilen saldırı Microsoft Internet Explorer programının bir açığını kullanıyor. Bu açığı taşıyan bir tarayıcı ile saldırgan web sitesi ziyaret edildiğinde, kullanıcı onayı sorulmadan bir program çalışıyor ve kriptolama işlemi yerine getiriliyor. Saldırgan web sitesi Windows Help sistemi ve CHM dosya formatını kullanarak bir truva atını (download-aag) bilgisayar indirerek çalıştırıyor. Daha sonra bu truva atı başka bir saldrıgan siteye HTTP üzerinden bağlanarak, hedef bilgisayardaki ve bağlantılı tüm sürücülerdeki dosyaları kriptolayan uygulamayı çalıştırıyor. Saldırı programı ayrıca kişinin bilgisayarına şifre çözücü programı nasıl satın alarak dosyalarına yeniden erişebileceklerini tarif eden bir mesaj da bırakıyor. Websense firmasının analizine göre saldırgan Microsoft’un MS04-023 numaralı güvenlik yamasıyla kapatılan açıkları kullanıyor.

Aslında söz konusu saldırı, yapılabileceği bir süredir teorik olarak bilinen bir saldırı tekniğinin ilk örneklerinden birini temsil ediyor. Kriptolojinin kötü amaçlar için kullanımına ilişkin bu konuya kriptoviroloji de deniyor. Konuyu inceleyen uzmanlardan Bruce Schneier kriptoloji kullanan kurtçukların yakın zamanda görülebileceğine dair uyarıda bulunuyor. Buna göre, yazılan bir worm programı kullanan bir saldırgan da ulaştığı makinelerdeki dosyaları kriptolayarak fidye talebinde bulunabilir.

Bu tip saldırılardan daha etkin korunmak için istemci yamalarının geçilmesi ve açıkların kapatılması ile ilgili süreçlerin iyi işletilmesi, 0-günlük yeni virüsleri tanıma yeteneği daha gelişmiş antivirüs yazılımlarının kullanılması önerilebilir. Ayrıca, teknik olarak bilgili kullanıcılar bilgisayarda başlatılan süreç ve uygulamaları kontrol edip onay talep eden kişisel güvenlik duvarı / saldırı tespit sistemi gibi teknolojileri kullanarak bu tip saldırılardan korunmaya çalışabilirler.Görüldüğü gibi son yıllarda internet saldırıları artık belirli teknik konuları çok iyi bilen “hacker”lardan, fidye peşindeki adi suçlulara doğru yayılıyor. Gelecekte bu tip saldırıların daha sıklıkla yaşanacağını düşünebiliriz.