Botnetlerle Mücadelede Dünyadaki ve Türkiye deki Durum

Benzer belgeler
Botnetlerle Mücadelede Dünyadaki ve Türkiye deki Durum

Botnetler Ve Tehdit Gözetleme Sistemi

Sunum İçeriği. 1. Siber Savaş (Siber Terör) 2. Siber Savunma 3. USOM

Bilgisayar Güvenliği ve Internet

Ağ Trafik ve Forensik Analizi

Sibergüvenlik Faaliyetleri

Linux Temelli Zararlı Yazılımların Bulaşma Teknikleri, Engellenmesi ve Temizlenmesi

ÜLKEMİZDE SİBER GÜVENLİK

Siber Savaş ve Terörizm Dr. Muhammet Baykara

ERİŞİM ENGELLEME DOS VE DDOS:

AĞ ve SİSTEM GÜVENLİĞİ

aselsan Güvenli Bilgi Paylaşımı ve SAHAB aselsan Ali YAZICI Türk Silahlı Kuvvetlerini Güçlendirme Vakfı nın bir AZERBAYCAN-Temmuz kuruluşudur.

Gelişmiş Siber Tehdidler (APT): Genel Bakış

Geleceğin güçlü Türkiye'si için Türkiye'nin Geleceğine Öneriler

ULUSAL BİLGİ SİSTEMLERİSTEMLERİ GÜVENLİK PROGRAMI

Yeni Nesil Güvenlik Duvarlarında Olması Beklenen Özellikler ve Uygulama Bazlı Filtreleme

Venatron Enterprise Security Services W: P: M:

Daha Güçlü Türkiye için Etkin SOME ler Nasıl Olmalı?

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

Siber Savunma. SG 507Siber Savaşlar Güz 2014 Yrd. Doç. Dr. Ferhat Dikbıyık

SOSAM: SANAL ORTAM SAVUNMA MERKEZİ

1. AMAÇ Bu Prosedürün amacı, Aksaray Üniversitesi bünyesinde yürütülen bilgi işlem hizmetlerinin yürütülmesi ile ilgili esasları belirlemektir.

Siber Güvenlikte Neler Oluyor? Hasan H. SUBAŞI KAMU SİBER GÜVENLİK DERNEĞİ GENEL SEKRETER

BotNet vs Kurumsal Güvenlik. 15 Şubat 2011 Volkan ERTÜRK

INFORMATION & SECURITY TECHNOLOGIES. BOA - Trend Micro. Zararlı Yazılım Analizi ve APT. Yasin SÜRER yasin.surer@boateknoloji.com

Devrim Seral. Proceedings/Bildiriler Kitabı. ve hatta siyasi yada politik nedenlerle sorun. (Domain Name System Amplification)

KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ

Sisteminiz Artık Daha Güvenli ve Sorunsuz...

Dünyada ve Türkiye de Siber Güvenlik Tatbikatları. Ünal TATAR Uzman Araştırmacı

Fidye Virüslerinden Korunma Rehberi

Uluslararası İlişkilerde Güvenlik Çalışmaları Bahar 2018 X. Güncel Uluslararası Güvenlik Sorunları - I Siber Güvenlik

İnternet te Bireysel Güvenliği Nasıl Sağlarız? Rauf Dilsiz Bilgi Güvenliği Uzmanı

SİBER GÜVENLİK FARKINDALIĞI

Internet / Network Güvenlik Sistemleri

Bilgisayar Ağları ve Ağ Güvenliği DR. ÖĞR. ÜYESİ KENAN GENÇOL HİTİT ÜNİVERSİTESİ ELEKTRİK-ELEKTRONİK MÜH.

BİLGİSAYAR VE AĞ GÜVENLİĞİ

Mobil Güvenlik ve Denetim

GLOBAL SİBER ATAK GÖRSELLEŞTİRME SİSTEMLERİ

BTK nın IPv6 ya İlişkin Çalışmaları

TR-BOME KM (Türkiye Bilgisayar Olayları Müdahale Ekibi - Koordinasyon Merkezi) Mehmet ERİŞ eris at uekae.tubitak.gov.tr Tel: (262)

Bilgi Güvenliği Eğitim/Öğretimi

ORTA DOĞU TEKNİK ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI. Güvenlik ve Virüsler. ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk


TBD KAMU-BİB Kamu Bilişim Platformu Ekim 2017

KURUM AĞLARINI ÖNEMLĠ ZARARLI YAZILIM SALDIRILARINDAN KORUMA. Osman PAMUK

Ülkelerin Siber Savaş Kabiliyetleri. SG 507 Siber Savaşlar Güz 2014 Yrd. Doç. Dr. Ferhat Dikbıyık

Yeni Nesil Ağ Güvenliği

Güvenlik Araçları. Savunmadan çok saldırı ya yönelik araçlar. Amaç, saldırganlardan önce sistemdeki açıkları ortaya çıkarıp gereken önlemleri almak.

Web Uygulama Güvenliği Kontrol Listesi 2010

SÜRE BAŞLAMA TARİHİ : 19/12/2018 BİTİŞ TARİHİ : 20/02/2019 KURS SÜRESİ : 144 Saat KURS NO :

Siber Teröristlere Karşı Kurumlar Nasıl Korunmalıdır? Yusuf TULGAR NetDataSoft Genel Müdürü

TBD Aralık

Sızma Testlerinde İleri Düzey Teknikler. Ozan UÇAR

Muhammet Fatih AKBAŞ, Enis KARAARSLAN, Cengiz GÜNGÖR

SİBER SUÇLARA KARŞI SİBER ZEKA

Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu

Kaspersky Küçük ve Orta Ölçekli İşletmeler İçin Güvenlik

Kaspersky Open Space Security: Release 2. İşletmeniz için birinci sınıf bir BT güvenliği çözümü

BİLGİSAYAR GÜVENLİĞİ BİLGİSAYAR GÜVENLİĞİ BİLGİSAYAR GÜVENLİĞİ

Kurumlarda Siber Güvenlik. Hasan Hüseyin SUBAŞI

Sızma Testlerinde İleri Düzey Teknikler. Ozan UÇAR

Ülkemizdeki Üniversite Web Sayfalarının Siber Güvenlik Açısından Hızlı Bir Değerlendirmesi

Kampüs Ağ Yönetimi. Ar. Gör. Enis Karaarslan Ege Ü. Kampüs Network Yöneticisi. Ege Üniversitesi BİTAM Kampüs Network Yönetim Grubu

SMTP Protokolü ve Spam Mail Problemi

Güvenlik Mühendisliği

Akıllı Şebekede Siber Güvenlik Standardizasyonu

Bilgisayar Güvenliği Etik ve Gizlilik

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

Avrupa hukuku referanslarıyla Alman bilişim suçları ceza hukuku

BİLGİ GÜVENLİĞİ. Bu bolümde;

Kurumsal Ağlarda Web Sistem Güvenliği

Güvenlik Java ve Web Uygulama Güvenliği

Siber Güvenlik Ülkemizde Neler Oluyor?

3. SORUMLULAR: Üniversitemizin tüm e-posta hizmetleri için gereken yazılım, donanım ve hizmetler Bilgi İşlem Daire

Forcepoint WDLP-C-CP24-N Forcepoint TDSD-C-CP24-N

Temel Kavramlar, DoS/DDoS Saldırıları ve Çeşitleri

Gezgin Etmen Sistemlerinin Başarım Ölçümü: Benzetim Tekniği

BİLGİSAYAR BİLİMLERİ ARAŞTIRMA VE UYGULAMA MERKEZİ BİLGİ GÜVENLİĞİ

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı

Elbistan Meslek Yüksek Okulu GÜZ Yarıyılı. Öğr. Gör. Murat KEÇECĠOĞLU

e-dönüşüm TÜRKİYE Bilgi Güvenliği Projeleri Mert ÜNERİ Başuzman Araştırmacı

Türkiye Ekonomisinde Büyüme ve Rekabet Politikası

SİBER ESPİYONAJ FAALİYETLERİ VE TÜRKİYE

GELİŞMİŞ SİBER SİLAHLAR VE TESPİT YÖNTEMLERİ. Bahtiyar BİRCAN Uzman Araştırmacı Siber Güvenlik Enstitüsü

ANET Bilgi Güvenliği Yönetimi ve ISO Ertuğrul AKBAS [ANET YAZILIM]

PAROLA GÜVENLİĞİ. İlker Korkmaz. homes.ieu.edu.tr/ikorkmaz 08/06 UBE

Windows Temelli Zararlı Yazılımlarla Mücadele

Network Access Kontrol Ağ Erişim Kontrolü (NAC)

Web Servis-Web Sitesi Bağlantısı

BT Güvenliği Güncel Durum ve Eğilimler Mert ÜNERİ Baş Uzman Araştırmacı

BİLGİ GÜVENLİĞİ FARKINDALIK EĞİTİMİ NASIL OLMALI? 28/04/2015 SUNA KÜÇÜKÇINAR İBRAHİM ÇALIŞIR / 9. ULAKNET ÇALIŞTAYI 2015 KUŞADASI - AYDIN 1

SOC unuz siber saldırılara hazır mı?

Dünyanın bilgisine açılan pencere... Ya da sadece yeni çağın eğlencesi...

Raporda öne çıkanlar:

Bilgi Güvenliği Hizmetleri Siber güvenliği ciddiye alın!

Tarih Saat Modül Adı Öğretim Üyesi. 01/05/2018 Salı 3 Bilgisayar Bilimlerine Giriş Doç. Dr. Hacer Karacan

BİLGİ GÜVENLİĞİ VE ZARARLI YAZILIMLAR. Bilgi Güvenliği: Kendimize ait olan bilginin başkasının eline geçmemesidir.

RSA. Güvenlikte Büyük Veri Yaklaşımları, Teknolojiler ve Operasyon Modeli. Vedat Finz. Copyright 2012 EMC Corporation. All rights reserved.

Transkript:

Botnetlerle Mücadelede Dünyadaki ve Türkiye deki Durum Mehmet Kara -Necati E. Şişeci TÜBİTAK-BİLGEM UEKAE, Kocaeli TÜBİTAK-BİLGEM UEKAE, Kocaeli mkara@uekae.tubitak.gov.tr, siseci@uekae.tubitak.gov.tr Özet: Botnetler günümüzde verdiği zararlar ve uygulama alanları açısından zararlı yazılımlar içinde ön sıralarda yer almaktadır. 999 yılından beri bilinmelerine karşın sürekli protokol ve uygulama açısından güncellendikleri için etkin bir mücadele yöntemi geliştirilememiştir. Botnetlerle mücadele kişisel ve kurumsal anlamda yapılsa bile büyük başarılar elde edilememektedir. Bu makalede botnetlerin genel yapısı, kullanım alanları, tespit yöntemleri, verdiği zararlar açısından dünyadaki ve Türkiye deki durumları ele alınmış ve etkin bir mücadele için kurumlara arası ve ülkeler arası işbirliği ve koordinasyonun gerekliliği vurgulanmıştır. Anahtar Sözcükler: Botnet, Komuta Kontrol Merkezi, İstenmeyen Eposta, Dağıtık Servis Dışı Bırakma Atağı, Siber Ataklar. Fighting with Botnets in the World and Turkey Abstract: Botnets are the malicious software, known since 999 at internet and computer networks. Because of fast changing applications and protocols of botnets there is not an effective prevention method. In this paper architecture, application fields, detection mechanisms and economics of botnets are investigated. General botnet and malware statistics is given in the world and Turkey. Individual and organizational prevention mechanism is not enough for total success. It is stated that strong collaboration and coordination require between organizations and countries. Keywords: Botnets, Command&Control Center, Spam, Distributed Denial of Service, Cyber Attack. Giriş Botnetler son yıllarda siber ataklar başta olmak üzere geniş çaplı internet atakları için en yaygın kullanılan zararlı yazılımlardır. Bot kelimesi Robot kelimesinden türetilmiştir. Robot daha önceden planlanmış işleri yapan makinedir. Bu botların bir merkezden yönetilen büyük gruplarına botnet adı verilmektedir. Botnetler genellikle tek bir merkezden yönetilerek botların bir koordinasyon içerisinde belli amaçlar için yönlendirilmesinde kullanılırlar. Botnetler tarafından kontrol edilen bilgisayarlar botnet üyesi ya da köle bilgisayar (Zombie) olarak adlandırılmaktadır. Botnet tehdidi 999 yılında win3/prettypark zararlı yazılımı ile ilk defa yapılan dağınık servis dışı bırakma (DDoS) atağından beri bilinmektedir. 007 yılının sonunda tüm güvenlik endüstrisi, botnetleri güvenlik listelerinin en önemli tehdidi olarak kabul etmiştir. İlk botnetler IRC (Internet Relay Chat) protokolünü kullanmışlardır. Daha sonra IRC protokolünün kolayca fark edilmesi ve önlenebilmesinden dolayı http, https, PP gibi yeni haberleşme protokolü arayışlarına girmişlerdir. 007 Nisan ayında Panda software arka kapı sağlayan bir kodu açıklayarak ilk defa Zunker i tanımlamıştır. Bu botnet dünyasında Botnet.0 mimarisinden Botnet.0 mimarisine geçiş olarak kabul edilmiştir []. Bu yapıda IRC değil http protokolü kullanılarak haberleşme sağlanmıştır. Bu yapıda kurban bilgisayar e-posta ile gelen açıklığı çalıştırarak ya da bir web sayfasını

ziyaret ederek Zunker in bilgisayarına bulaşmasını sağlıyordu. Bir defa zararlı yazılım bilgisayara bulaştıktan sonra bilgisayar korsanları bilgisayarı uzaktan kontrol edebiliyordu. Zunker web sunucu üzerinde çalışan çok iyi yazılmış php ve CGI betiklerinden oluşuyordu. Fakat sadece bir arayüzden ibaret olup, ancak kurbanları izleyebiliyordu. Doğrudan bilgisayarları tarayıp bulaşamıyordu. Daha sonra rootkit teknolojisini kullanarak şifreli haberleşmeleri dinleyen, dinlediği verileri MySQL de sorgulama yapabilecek formatta gönderebilen Gozi botneti ortaya çıktı ve onu değişik yetenekler içeren Mpack, Dream Downloader, Storm worm izledi. Günümüzde de Pandex, Cutwail, Rustock, Donbot, Ozdok, Xarvester, Grum gibi botnetler çeşitli önlemler alınmasına karşı başta istenmeyen eposta olmak üzere pek çok atak yapmaktadır. 009 yılı Aralık ayı verilerine göre her gün 85 milyar istenmeyen eposta botnetler tarafından gönderilmektedir []. Yaygın görülen botnetlerin 008-009 yıllarında yaydıkları istenmeyen eposta oranları Şekil de verilmektedir. Bu aynı zamanda bu yıllardaki aktif botnetleri de göstermektedir [3]. Sıralama Yüzde Botnet 009 008 009 008 4 Pandex 8% <% 7 Rustock 5% % 3 3 Mega_d 0% 3% 4 0 Grum 8% % 5 9 Donbot 6% <% 6 9 Xarvester 5% <% 7 3 Bagle 5% <% 8 Other 6 5% % botnets 9 9 Bobax % % 0 Gheg % % Şekil. Botnetlerin gönderdiği istenmeyen eposta oranları Günümüzde diğer zararlı yazılımlar gibi botnetler de çoğunlukla aşağıdaki yollardan birini kullanarak yayılmaktadır [4]. Güvenlik olmayan ya da zayıf olan politikalardaki açıklıklar, BT (Bilişim Teknolojileri) ürünlerdeki güvenlik açıklıkları, Sosyal mühendislik taktikleri Botnetler, verdikleri zararlar ve uygulama alanları açısından zararlı yazılımlar içinde ön sıralarda bulunmaktadır. Botnetler çevrimiçi (online) bilgisayar sistemlerinin karşı karşıya olduğu en büyük tehdittir. Dağıtık bilgisayar sistemleri olan botnetler, finansal dolandırıcılık, siber ataklar, dağıtık servis dışı bırakma atakları (DDoS), istenmeyen eposta gönderme, ajan yazılımlar, yemleme (Phising) epostaları, yazılımların yasal olmayan dağıtımı, bilgi ve bilgisayar kaynaklarının çalınması, kimlik hırsızlığı gibi birçok bilgisayar saldırısı için de kullanılabilirler. Botnetler birkaç katmanlı C&C (komuta kontrol - Command&Control) merkezleri sayesinde değişik dillerdeki, değişik ülkelerdeki, değişik zaman dilimlerindeki, değişik yasalar altındaki bilgisayarları kontrol etmeyi sağlayan mekanizmalardır. Bu mekanizmalar botnetlerin izlerini sürmeyi zorlaştırdığı için onları bilişim suçları için çekici bir araç haline getirmektedir. Önceki nesil virüs ve kurtçuklarda olduğu gibi botnetler de kendi kendilerine açıklık içeren bilgisayarlara bulaşarak yayılan zararlı yazılımlardır. Buna karşın botnetleri diğerlerinden ayıran özellik C&C merkezi ile haberleşerek, kendilerini güncelleyebilmeleri ve yönetilebilmeleridir. Çok katmanlı komuta kontrol yapısı botnet yöneticilerini gizleyen yapılar sunmaktadır. Botnetler C&C merkezlerine göre IRC tabanlı, http tabanlı, PP (Point To Point) tabanlı ve DNS tabanlı

olmak üzere dört kategoride değerlendirilmektedir [,4,5,6]. Tipik bir botnetin yaşam döngüsü, enfeksiyon, bilgi çalma, bağlantıyı sürdürme, zararlı faaliyetleri yerine getirme, enfekte etme ve botnet oluşturma olmak üzere beş fazdan oluşur. Şekil de tipik bir botnet yaşam döngüsü görülmektedir Enfeksiyon fazında kurban bilgisayara botnet zararlı yazılımı bulaşır. İkinci fazda zararlı yazılım aracılığı ile bilgisayardaki önemli bilgiler (kredi kartı numarası, lisans anahtarları, kişisel bilgiler, parolalar vb.) C&C merkezine gönderilir: Üçüncü aşamada saldırgan C&C merkezinden aldığı komutlarla altağı bilinen açıklıklar için tarar ve açıklık bulduğu makineleri enfekte eder. Dördüncü aşamada C&C merkezinden gelen komutlarla istenilen zararlı faaliyetler yürütülür. Beşinci aşamada ise kendini günceller ve faaliyetlerine devam eder. Köle bilgisayar her başlatıldığında bot uygulaması otomatik olarak başlar ve çevrimdeki görevlerini yerine getirir[5,6,7 ]. Şekil. Botnet yaşam döngüsü Enfeksiyon fazından sonra botnet üyesi bilgisayar tüm faaliyetlerini C&C merkezinden gelen komutlarla yürütür. Bu arada aradaki haberleşmenin tespit edilmemesi için değişik güvenlik mekanizmaları (şifreli haberleşme, farklı protokol kullanma, farklı C&C merkezlerine bağlanma vb.) kullanır.. Botnet Tespit Yöntemleri Son yıllarda botnet tespiti üzerinde çok sayıda araştırma yapılmaktadır. Bu araştırmalarda botnetleri tespit etmek için temel iki yöntem kullanılmaktadır. Bir tanesi balküpleri (Honeypot) diğeri ise pasif trafik analizidir. Balküplerinin kullanılması botnet davranışları ve botnet teknolojilerinin anlaşılması için çok faydalı fakat botnet enfeksiyonunun tespiti için yeterli değildir. Diğer taraftan pasif ağ trafiğinin dinlenmesi ağdaki botnetlerin yakalanması için çok faydalıdır. Pasif ağ trafiğinde botnetlerin analizi için imza tabanlı, anormallik tabanlı, DNS trafiği temelli ve veri madenciliği temelli tespit olmak üzere dört metot ön plana çıkmaktadır. Bu metotların uygulanması ağlardaki gerçek botnetlerin tespit edilmesini sağlamaktadır.. İmza Tabanlı Tespit Botnetlerin davranış ve imzaları tespit edilmeleri için çok faydalı bilgiler sunmaktadır. Bu tür tespitlerde genellikle saldırı tespit sistemleri kullanılmaktadır. Bilinen botlar için saldırı tespit sistemine imza girilerek botnetlerin tespit edilmeleri sağlanmaktadır. Fakat bu yöntem bilinmeyen botnetlerin tespit edilmesinde etkisiz kalmaktadır. Çünkü botnet tespit edilip imza üretilinceye kadar önemli zararlar vermektedir. Son yıllarda birçok atağın doğrudan kişi ya da kurumu hedeflediği düşünüldüğünde bu yöntemin tek başına etkin koruma sağlamayacağı görülebilir.. Davranış Tabanlı Botnet Tespiti Davranış tabanlı botnet tespiti ağ trafiğindeki gecikme, belli porttan aşırı trafik, belli trafiklerin oluşması gibi anormalliklere bakarak botneti tespit etmeye çalışır[8].

Davranış tabanlı botnet henüz ortaya çıkmamış botneti tespit etmesine karşın hatalı tespit oranı da yüksektir. Örneğin normal bir IRC trafiğini botnet gibi algılayabilir. Bunun için Binkley ve Singh IRC trafiğinde botneti başarılı olarak tespit eden bir algoritma geliştirmişlerdir [3]. 007 yılında Karasiridis ve arkadaşları taşıma katmanındaki trafik davranışlarına bakarak botneleri tespit eden etkili bir algoritma geliştirmişlerdir [9] Bu tür yaklaşımda trafik çok iyi incelenmeli, kurum politikaları ve trafik arasındaki ilişki incelenmelidir. Botnet olduğu düşünülen aktivite tespit edildikten sonra trafik üzerinde ek incelemeler yapıldıktan sonra kesin karar verilmelidir. Bu tespit yönteminde yanlış alarm olasılığı yüksektir..3 DNS Tabanlı Tespit Bu yöntemde DNS (Domain Name System) trafiği incelenerek davranış tabanlıda olduğu gibi DNS trafiğindeki anormalliklerden botnetler tespit edilir. Botnet C&C merkezi ile bağlantı kurmak için sık sık DNS ile haberleşir. C&C merkezinin kolayca tespit edilmesini önlemek için DNS ten faydalanılır. DNS trafiğindeki bu anormal değişikliklerde botnetin tespit edilmesinde önemli veri sağlar..4 Veri Madenciliği Tabalı Tespit Botnet tespitinde önemli tekniklerden biri botnet ve C&C merkezi arasında trafiğin tespit edilmesidir. Botnet ve C&C arasındaki trafik hem limiti düşük hem gecikmesi düşük normal trafiktir bu yüzde davranış tabanlı botnet tespit yöntemleriyle kolayca tespit edilemezler. Bu konuda IRC trafiği başta olmak üzere birçok çalışma yapılmıştır. Masud ve arkadaşları tarafından geliştirilen yöntem ağ trafiği kayıtlarının ilişkilendirmeye (kolerasyona) tabi tutularak botnetlerin tespit edilmesi sağlanmıştır[0]. Bu yöntemde veri kısmıyla ilgilenilmediği için C&C ile şifreli haberleşen botnetlerin bile tespit edilmesi sağlanmıştır. Botminer aracı bu konuda geliştirilmiş başarılı sonuçlar üreten araçlardan biridir []. 3. Dünyada ve Türkiye deki Durum Botneler ilk görülmeye başladığı günden bu tarafa zararlı yazılımlara paralel olarak hızla artmaktadır. Özellikle geniş kitleleri hedef almaları, etkilerinin çok yüksel olması ve yönetilebilir olmalarından dolayı bilgisayar korsanları tarafından tercih edilmektedir. Bu esnek yapı finansal sahtecilik, bilgisayarlara yasal olmayan yollarla girme, hırsızlık, korkutma gibi çok çeşitli bilgisayar suçlarının kolayca işlenmesine altyapı oluşturmaktadır. Şekil 3 te botnetlerin zararlı yazılımlar içerisinde önemli bir yer tuttuğu görülmektedir. Hatta botnetler bu zararlı yazılımları kullanarak köle bilgisayarlardan bilgi toplamakta ya da onlar üzerinde işlem yapmaktadır. Sıralama 009 008 Ülke United States Yüzde 009 008 Zararlı Yazılım 009 Aktivite Sıralaması İstenmeyen Eposta Oltalama Bot Atak Kaynağı 9% 3% 6 China 8% 9% 3 8 6 3 5 Brazil 6% 4% 5 3 6 4 3 Germany 5% 6% 7 5 3 5 India 4% 3% 3 6 4 0 United Kingdom 3% 5% 4 9 7 4 7 Russia 3% % 5 8 0 Poland 3% 3% 3 4 8 8 7 9 7 Italy 3% 3% 6 9 8 6 8 0 6 Spain 3% 4% 4 7 9 Şekil 3. Botnetlerin zararlı yazılımlar içindeki yeri 9 8 4 0

Bu listede Türkiye. sırada yer almaktadır. 008 yılının raporlarında ise ilk onun içerisinde yer alıyordu. Türkiye nin bu listede biraz daha gerilere düşmesinin ardında İSS lerde (İnternet Servis Sağlayıcı)eposta için kullanılan 5 numaralı port yerine daha güvenli olan 587 numaralı portun kullanılmaya başlaması ve Polonya, Rusya ve Hindistan daki zararlı yazılımların hızlı artmasıdır. Gerçekte Türkiye deki zararlı yazılımların önlenmesinde önemli mesafeler alınmış değildir[3]. Avrupa, Orta Doğu ve Afrika (EMEA) zararlı yazılım istatistiklerine bakıldığında Türkiye nin üst sıralarda yer aldığı görülmektedir []. Bu durum Şekil 4 de verilmiştir. Sıralama Ülke Yüzde Zararlı Yazılım İstenmeyen Eposta Oltalama Bot Atak Kaynağı Germany 5% 3 4 United Kingdom 3% 3 5 3 Italy 9% 7 5 6 3 4 Russia 8% 4 4 5 9 5 Netherlands 7% 9 4 6 France 6% 5 3 7 5 7 Poland 6% 8 9 7 4 7 8 Spain 6% 6 7 8 6 6 9 Turkey 5% 6 5 8 8 0 Hungary 3% 6 7 6 3 3 Şekil 4. 00 yılı Avrupa Orta Doğu ve Afrika bölgesi zararlı yazılım istatistikleri Botnetler son yıllarda özellikle siber savaşların en önemli aracı olarak değerlendirilmektedir. Bu çerçevede 007 yılında Estonya ya yapılan siber savaşta ve 008 yılında Gürcistan-Rusya savaşında kullanılmıştır. Zaman zaman ülkeler ve kurumlar için bu tür atakların yapıldığı ileri sürülse de bazılarında botnetlerin doğası gereği yeterince delil ortaya konulmamış, bazıların da ise hedef olan ülkeler ya da kurumlar prestij kaygısı ile bu atakları doğrulamamışlardır. Eylül 00 de ikiz kulelere yapılan saldırıdan sonra başta ABD olmak üzere Avrupa Birliği, Japonya, Kanada gibi ülkeler siber savunmayı da içeren güvenlik önlemleri için çalışmalar başlatmışlardır. Siber saldırılarda botnetler en sık kullanılan saldırı aracıdır. Bu konuda gerekli yasal düzenlemeler, ilgili kurumların oluşturulması, stratejilerin belirlenmesi konularında önemli mesafeler alınmıştır. NATO, OECD gibi organizasyonlar da bu konularda çalışmalar yapmaktadır. Türkiye de botnetlerin önlenmesi konusunun da içinde yer aldığı zararlı yazılımlara ya da dışarıdan gelebilecek siber ataklara karşı önlem alınması için bazı çalışmalar başlatılmıştır. NATO tarafından Estonya da kurulan Siber Savunma Mükemmeliyet Merkezi ne ülkelerin temas noktası bildirilmesi istenmiştir. Dışişleri Bakanlığı şu anda ülkemizdeki Bilgisayar Olaylarına Müdahale ekiplerinin (CERT) koordinasyonunu yapan BİLGEM-UEKAE yi ulusal temas noktası olarak belirmiştir. Yine NATO tarafından istenilen Ulusal Sayısal Savunma Politikası nı hazırlama görevi UEKAE ye verilmiştir. Söz konusu politika dokümanı UEKAE nin koordinasyonunda 9 adet kamu kurumunun katılımıyla hazırlayıp Ocak 009 da Başbakanlığa teslim edilmiştir. Hali hazırda belgenin onaylanması beklenmektedir. Ülkemizde kritik altyapılar ile ilgili daha yakın bir gelişme 009 Sonbaharı nda gerçekleşmiştir. Başbakanlık Kanunlar ve Kararlar Genel Müdürlüğü bünyesinde oluşturulan ve çalışmalarına fiilen 3 Mart

009 tarihinde başlayan e-mevzuat Çalışma grubu, 7 Ağustos 009 tarihi itibarıyla e- Devlet ve Bilgi Toplumu Kanun Tasarısı Taslağı nı hazırlamıştır. Bu da hali hazırda yasalaşmamıştır. Bu resmi çalışmalar dışında birçok kurum kendi içerisinde BT sistemlerinin güvenliği için standart, politika, prosedür uygulamaktadır. Başbakanlık, BDDK, BTK, EPDK gibi kurumlar düzenleme ve denetimlerini yaptıkları kurumlar için çeşitli düzenlemeler getirmektedir. Fakat bunların ötesinde ülkedeki BT sistemlerinin güvenliğinin sağlanması için bütüncül bir bakış açısı ve ülke genelinde bu olayları ele alıp yönetecek düzenlemelere ihtiyaç vardır. 4. Botnet Önleme Yöntemleri Botnetler karşı etkin bir mücadele için teknik önleme yöntemlerinin yanında ulusal ve uluslar arası politikalar oluşturulup BT sistemlerinde güvenliği sağlayacak standart ve çerçevelerin kullanılması sağlanmalı, hali hazırdakiler yeterli değilse yeni standart ve çerçeveler geliştirilmelidir. Bu güvenlik standartları belli düzenlemelerle tüm kurumlara uygulanmalı ve ülkedeki bilgi güvenliği olayları koordine edilmelidir. Zararlı yazılmalarla mücadelede ülke için mücadele yanında uluslararası koordinasyon da büyük önem arz etmektedir. Bunun için de ülkedeki bilgisayar olaylarını ele alacak dış ülkelerle koordinasyonu sağlayacak BOME ekipleri kurularak uluslararası koordinasyon sağlanmalıdır. Ulusal ve uluslar arası koordinasyon yanında botnetlerle etkin mücadele için kurumsal düzeyde aşağıdaki güvenlik önlemleri alınmalıdır: Kurumlar kendi içlerinde bilgisayar olaylarına müdahale mekanizmasını kurarak bilgisayar olayı olduğunda kolayca müdahale edilmesini sağlamalıdır. Kullanıcılar bilgisayar teknolojileri güvenliği konularında sürekli bilinçlendirilmelidir. Derinlemesine güvenlik stratejisi uygulanmalıdır. Bu yüzden tek nokta hataları giderilmeli sistemdeki güvenlik varlıklarının (işletim sistemleri, sunucular, güvenlik duvarları, saldırı tespit sistemleri, vb.) güncellikleri ve güvenli yapılandırılmaları sürekli kontrol edilmelidir. İstenmeyen epostaları engellemek için DNS karalisteleri kullanılmalıdır. Sistem yöneticileri kullanıcıların sistem üzerindeki haklarını sadece işlerini yapabilecek düzeye çekmelidir. Etkin bir parola politikası uygulanmalıdır. Ağdan içeri giren ve dışarı çıkan trafik etkin filtreleme araçları ile kontrol edilmeli, yetkilerin aşılması ya da zararlı aktivitelere karşı sistem kayıtları düzenli olarak incelenmelidir. Eposta sunucular, kurum içinden gelen fakat kaynağı başka yer olarak gözüken epostaları engelleyecek şekilde yapılandırılmalıdır. Eposta sunucu yaygın olarak virüs yaymak için kullanılan uzantıları (exe, vbs, bat, pif, src)içeren epostaları engelleyecek şekilde yapılandırılmalıdır. 5. Sonuç ve Öneriler Botnetler, siber ataklar, finansal sahtecilik, servis dışı bırakma atakları, bilgisayarlara yasal olmayan yollarla girme, bilgi hırsızlığı, korkutma gibi çok çeşitli bilgisayar suçlarının kolayca işlenmesine altyapı oluşturmaktadır. Botnetler kullanılarak yapılan ataklar kişileri ve kurumları hedef almaları yanında ülkeleri de hedef alabilmektedir. Bu yönüyle bakıldığında botnetlerle mücadelede kişilerin ve kurumların aldığı güvenlik önlemlerinin yanında ulusal ve uluslar arası düzenleme ve koordinasyona ihtiyaç duyulmaktadır. Bu konuda birçok ülke çalışmalar başlatmıştır. Türkiye de kurumsal bazda kısıtlı bazı koruma önlemeleri alınmasına karşın ulusal düzeyde koruma sağlayacak yasal bir

düzenleme ve denetleme mekanizması bulunmamaktadır. Gerekli yasal düzenlemeler ve kurumsal güvenlik önlemleri yanında botnet gibi organize atakları gözetleyecek, tespit edip önleyecek ulusal düzeyde altyapılar kurulmalıdır. 5. Kaynaklar [] Rachreiner C., Pinzon S., Understanding and Blocking The New Botnets www.watchguard.com, (008). [] Zorz Z., http://www.net-security.org/ secworld.php?id=8599, (009) [3] Symantec Global Internet Security Threat Report Trends For 009, Symantec, (00) [4] Microsoft Security Intelligence Report v9, http://www.microsoft.com/security/sir,(00) [5] M. Rajab, J. Zarfoss, F. Monrose, and A. Terzis, A multifaceted approach to understanding the botnet phenomenon, in Proc. 6th ACM SIGCOMM Conference on Internet Measurement (IMC 06), (006), pp.4 5. [6] Z. Zhu, G. Lu, Y. Chen, Z. J. Fu, P.Roberts, K. Han, "Botnet Research Survey," in Proc. 3nd Annual IEEE International Conference on Computer Software and Applications (COMPSAC '08), 008, pp.967-97. [7] K. K. R. Choo, Zombies and Botnets, Trends and issues in crime and criminal justice, no. 333, Australian Institute of Criminology, Canberra, (007). [8] B. Saha and A, Gairola, Botnet: An overview, CERT-In White PaperCIWP- 005-05, (005) [9] A. Karasaridis, B. Rexroad, and D. Hoeflin, Wide-scale botnet detection and characterization, in Proc. st Workshop on Hot Topics in Understanding Botnets, (007). [0] M. M. Masud, T. Al-khateeb, L. Khan, B. Thuraisingham, K. W.Hamlen, Flowbased identification of botnet traffic by mining multiple log file, in Proc. International Conference on Distributed Frameworks & Applications (DFMA), Penang, Malaysia, (008). [] G. Gu, R. Perdisci, J. Zhang, and W. Lee, Botminer: Clustering analysis of network traffic for protocol- and structure independent botnet detection, in Proc. 7th USENIX Security Symposium, 008 [] Symantec Intelligence Quarterly-EMEA, Haziran-Eylül 00, (00) [3] J.R. Binkley and S.Singh, An algorithm for anomaly-based botnet detection, in Proc. USENIX Steps to Reducing Unwanted Traffic on the Internet Workshop SRUTI 06), (006).

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim