Banka Nasıl Hacklenir?

Dijital kabus gerçek oldu ve banka aşağıdaki açıklamayı yaptı. 

“Bankalarımız ne kadar güvenli?” sorusu en sık karşılaştıklarım arasında. Bankadaki paramızın veriden ibaret olduğu bir dönemde yaşamanın getirdiği tedirginlik aslında. Bütün varlığımız bir bilgisayardaki birler ve sıfırlardan oluşuyor. Birilerinin bankayı hackleyip paramızı çaldığı senaryolar Hollywood tarafından da sıkça konu ediliyor.

Bu arada; ajitasyon yapmayı sevmem ama başka bir Türk bankasının da benzer şekilde hedef alındığı konuşuluyor. Önümüzdeki günlerde onlar da resmi bir açıklama yaparlarsa konu tekrar gündeme gelecektir.

Olayın duyulmasından sonra pek çok kişi olayın nasıl gerçekleşmiş olabileceğini öğrenmek için beni aradı. Başlamadan belirteyim; Akbank müşterim değil ve olay sonrası da konuya doğrudan dahil olmadım. Bu yazı jenerik olarak “yaptıkları milyonlarca lira yatırıma rağmen bir banka nasıl hacklenir?” sorusunu yanıtlamayı amaçlıyor.

Türkiye’de bankalar ne kadar güvenli?
Sorunun cevabı çok net: Türkiye’de bankalar dünya ortalamasının üstünde diyebileceğimiz bir seviyede güvenli. Bu seviyeye gelinmesind Bankacılık Düzenleme ve Denetleme Kurumu’nun 2012 yılında yayınladığı “:Bilgi Sistemlerine İlişkin Sızma Testleri” konulu genelgenin payının büyük olduğu düşünüyorum. Bankalarımızın Bilgi Teknolojileri birimileri de güvenlik konusuna ayrıca önem verip bu konuda sistemlerine ve kendilerine eğitim ve donanım konusunda yatırım yapan ve özveriyle çalışan kişilerle dolu. Dünyanın çeşitli yerlerinde bankacılık sistemleri ve banka BT birimi çalışanlarıyla çeşitli seviyelerde ilişkilerim oldu ve güvenliği Türkiye’deki arkadaşlar kadar kafa yoran pek az ülke gördüm. Örneğin Sırbistan’da bir sızma testinde gişe bilgisayarlarında Torrent yazılımı bile tespit ettim. “Ülkemizde bankalar ne kadar güvenli?” sorusuna yanıtım her zaman “dünyanın kalanına göre çok güvenli” olmuştur ve bu olay da bunu değiştirmez. BDDK ve bankaların BT birimleri paramızın güvende olması için çalışıyor, rahat uyuyabiliriz.

Bir banka nasıl hacklenir?
Yapılan bunca güvenlik yatırımına ve alınan o kadar tedbire rağmen bir bankanın hacklenmesi çok sıradışı bir olay olmayabilir. Bankalara yönelik siber saldırılarla ilgili hatırlamakta fayda gördüğüm bazı önemli noktalar var, bunları kısaca ele alırsak;

  • Bankalar siber suçlular için cazip hedefler. Para orada ve siber suçluların çok önemli bir bölümü parayla motive oluyor.
  • Bireysel olarak hesaplarımız daha sık hedef alınıyor. Bankaların aldıkları tedbirlerin bizlerin kişisel bilgisayarlarında aldığı tedbirlerden fazla olduğunu düşünürsek bu gayet normal. Banka müşterileri bankanın kendisine göre daha kolay hedeflerdir.
  • Bütün sistemler hacklenebilir. Yapılan yatırımların hiç biri sistemlerin “hacklenemez” hale gelmesini sağlayamaz.
  • Suçlular bizim bildiğimiz “meraklı çocuklar” değil. Yine filmlerden edinilen “hackerlar biraz meraklı iyi niyetli çocuklardır” imajı artık çok geride kaldı. Bugün siber suçlular iyi eğitimli, teknik becerileri yüksek, kaynak sorunu olmayan ve gerçekten para çalmayı hedefleyen suç gruplarıdır.
  • BT güvenlik birimi bütün kararları vermiyor. Bankaların iş birimlerinin çalışmaları ve müşterilerin sistemleri ne kadar kolay kullanabildiği gibi kriterler de bazı güvenlik tedbirlerinin alınmasını zorlaştırabiliyor. Güvenlik; işlerin kolay ve hızlı yürütülmesiyle güvenli bir şekilde yürütülmesi arasında kurulması gereken bir dengedir. Bazı durumlarda güvenlik, bazı durumlarda müşterinin kullanım kolaylığı ağır basabilir.

Yukarıdaki noktaları da göz önüne alınca bir bankanın veya başka herhangi bir yerin hacklenmesi imkansız değildir.

Siber saldırının anatomisi
Bankalar, kamu kurumları, savunma ve enerji sektörü kuruluşları gibi finansal veya stratejik öneme sahip kuruluşları hedef alan saldırıların bazı ortak özellikleri var.

Hedefliler: Saldırılar tesadüfen gerçekleşmiyor. Belli gruplar hedeflerini seçiyor ve aylarca bunun üzerinde çalışıyorlar. Bu kadar uzun bir döneme yayılan saldırının da başarıya ulaşma ihtimali artıyor.

Saldırgan işlerinde iyi: Akbank saldırının 8 Aralık günü gerçekleştiğini belirtmiş, önceki olaylardan edindiğim tecrübeye bakarak bankanın sistemlerine bundan daha önceki bir tarihte sızıldığını rahatlıkla söyleyebilirim. Dünya istatistikleri bize saldırganların, sızdıkları sistemlerde fark edilmeden, ortalama 200 gün kalabildiklerini gösteriyor. Bu rakam, saldırganların teknik becerilerinin ne kadar iyi olduğunun basit göstergelerinden birisi. Sunumlarımda “hackerların referansları” başlıklı bir slayt kullanıyorum ve oradaki isimlere bakınca nasıl bir tehditle karşı karşıya olduğumuzu daha net görebiliyoruz. Bir arkadaşımın dediği gibi “Facebook’un, FBI’ın hacklendiği bir dünyada sen harcarlar KOBİ!”

En zayıf halkayı bulurlar: Savunma hattınızın ne kadar güçlü olduğu T anında önemlidir. Ama saldırı zamana yayıldıkça saldırganların dikkatsiz davrandığınız veya deneme amaçlı açtığınız sistemleri tespit etme ve mevcut sistemleriniz üzerinde bir güvenlik açığına rastlama ihtimalleri o kadar artıyor. Bir yerde kimsenin bilmediğini veya “yakında güncellenecek nasılsa” diye düşündüğünüz bir sistem varsa saldırganların onu bulacağından hiç şüpheniz olmasın.

Birileri oltaya gelecek: Her gün onlarca belki yüzlerce oltalama (phishing) maili alıyoruz. Bunlardan birine tıklama veya bunlardan birinin ekinde gelen dosyayı açma ihtimalimiz her zaman var. Yüzlerce kişinin çalıştığı yerlerdeyse bu ihtimal çok daha yüksek. Sinara Labs phishing test platformuyla yaptığımız çalışmalarda gördüğümüz kadarıyla; 50 kişilik bir şirkette bile çok jenerik bir oltalama mailindeki link tıklanma oranı %30’a yakın. 500 kişilik bir şirket ve dikkatle hazırlanmış bir oltalama mailini düşünürsek, oran artmasa bile tuzağa düşenlerin sayısı artacaktır.

Hackerin notları
İncelediğim benzer saldırıları da değerlendirerek bu tür bir olayda saldırganın yaptıklarını not ettiği bir defter olsa aşağıdakileri yazacağını düşünebiliriz. Bu iş akışı hedefli saldırıların pek çoğu için gerçeklidir. Bu akış kısmen benim ve ekibimin de sızma testleri sırasında kullandıkları bazı vektörleri kapsıyor. Okuma kolaylığı açısından gün olarak belirttiğim aşamalar arasında haftalar veya aylar olabilir. Aşağıdaki süreç onlarca farklı senaryoda sadece 1 tanesidir, belirttiğim gibi Akbank’ta yaşanan olayla ilgisi yoktur.

Gün 1: Arama motorlarını ve bazı özel siteleri kullanarak yaptığım siber istihbarat çalışmalarında hedefin dışarıya açık sistemlerini etkileyebileceğini düşündüğüm bazı güvenlik açıklarını tespit ettim. Hedefte çalışan personelin adları, üzerinde çalıştıkları projeler/işleri ve kullandıkları yazılımları da öğrendim. (Saldırganların bu aşamada kullandıkları araç ve teknikleri merak ediyorsanız; Türkiye’nin ilk ve en çok mezun veren Siber İstihbarat eğitimi hakkında http://garnizon.com.tr/egitimler/siber-istihbarat-egitimi-2/ adresinden bilgi alabilirsiniz)

Gün 2: Gizem’in kredi takip formu ve Cem’in yasal takibe düşmüş krediler konusunda çalıştığı öğrendim. Bu konularda onlara birer oltalama maili gönderdim.

Gün 3: Cem gönderdiğim dosyayı indirdi. Bankanın antivirüsü bilgisayarı uzaktan yönetmek için kullandığım arka kapı yazılımını tespit edemedi.

Gün 4: Bankadaki yazıcı üzerinden Cem’le aynı ağa bağlı diğer bilgisayarları ve bunları kullananların adlarını öğrendim

Gün 5: Yazıcıdan aldıkları çıktıların isimlerine bakarak Ayşegül ve Sedat’ı hedef alacak mailleri gönderdim. Yazıcı üzerinden elde ettiğim diğer bilgiler

Gün 6: Ağ genelinde 7 bilgisayara erişimim var.

Gün 7: İçerinde kullandıkları bir uygulamada SQL injection açığı tespit ettim ve kredi kartı numaralarını Pazarlamadaki Ayşegül’ün bilgisayarına indirip kendime mail attım. Bunun için kredi kartı numaralarını şifreleyen ve şifreli halini dosya ismi olarak kullanan özel bir yazılım kullandım. Bankanın veri sızdırma yazılımı bunları yakalayamadı. Bu işlemle 1234123412341234 olan kredi kartı numarasını MTIzNDEyMzQxMjM0MTIzNA olarak (base64) şifreleyip MTIzNDEyMzQ.txt ve xMjM0MTIzNA.txt adlı, içerisinde rastgele bir metin olan, iki tane Word belgesi oluşturuyorum.

Gün 8: SWIFT sistemine erişim sağladım. Filipinlerdeki hesabıma 120 Milyon dolar göndereyim harçlığım çıksın.

Hacker’in not defteri (temsili)

Çözüm?
Yukarıdaki jenerik saldırı akışı her an herhangi bir bankada yaşanabilir. Bu nedenle kullanıcıların bilgi güvenliği konusunda farkındalıklarının artırılması hayati önem taşımaktadır. Bunun yanında sistemleri takip eden SIEM (Security Incident and Events Monitoring – Güvenlik İhlali ve Olayları İzleme) çözümlerinin de doğru korelasyon kurallarıyla bu tür bir saldırıyı tespit edebilecek hale getirilmesi gerekiyor.

Vatandaş ne yapsın?
Şu aşamada bankanın yapılması gerekenleri fazlasıyla yaptığından eminim. Önümüzdeki aylarda ekstrenize biraz yakından bakmak bankanın gözünden kaçan bir şey olması durumunda fark etmenizi sağlayacaktır. İçiniz rahat değilse yeni bir kart talep edebilirsiniz ama sanırım bu olayda buna gerek kalmayacak.

Fırsattan istifade kendi güvenlik durumuzu gözden geçirmenizde fayda olabilir, özellikle;

  • Mail, vb. hesaplarınızda tahmin edilmesi zor parolalar kullanın
  • Akıllı telefonunuzda uygulama erişim yetkilerini gözden geçirin (hayır, el feneri uygulamanızın SMSlerinize ulaşmasını gerektirecek bir durum yok)
  • Bankacılık işlemleri için kullandığınız bilgisayarda korsan yazılım olmadığından ve bir antivirüs olduğundan emin olun
  • İnternette dizi izlemek için kullandığınız tarayıcıyı bankacılık işlemleri veya online alışveriş için kullanmayın