YAZARLARIMIZ
Erhan Selim
Vergi Müfettişi
E. Gelirler Kontrolörü
erhanselim@yahoo.com



Araya Kaynak Olacağına Açık Kaynak Olsun

Her şey Çin Halk Cumhuriyeti’nde iş yapan Avustralya menşeli bir IT firmasının bir vergi yazılımını kullanmak zorunda bırakılmasıyla başlıyor. Çin’de çalışılan banka, yerel vergilerin ödenmesi için Golden Tax Department of Aisino Credit Information Co. isimli şirket tarafından yazılan “Intelligent Tax” isimli programın, şirket tarafından kurulması gerektiğini belirtiyor.(Yerel vergilerin ödenmesi için kullanılması zorunlu) Programı kuran şirket belli bir süre sonunda programla ilgili bazı tuhaflıklar olduğunu görünce, durumu danışmanlık aldığı siber güvenlik firmasına bildiriyor. Siber güvenlik firması gerçekleştirdiği araştırmada yüklenen programın svm.exe ve svmm.exe adında iki küçük programı daha arka planda indirdiğini ve çalıştırdığını tespit ediyor.

Küçük Haylazların Marifetleri

Profesyonel olarak yazılan tüm zararlı yazılımlarda olduğu gibi aslında kademeli bir yükleme süreci var. Ana yazılımın zararlı bir yazılım olduğunu söylemek mümkün değil ve vergiyle ilgili işlemlerde mükelleflere yardımcı oluyor. Ana yazılım yüklenirken beraberinde plugin.exe isimli bir dosyası getiriyor. Plugin.exe iki saat beklemenin ardından internetten svminstall.exe isimli başka bir programcığı indiriyor. Bu programda belli bir aradan sonra yine internetten svm.exe ve svmm.exe dosyalarını çekiyor. Söz konusu yükleme sürecini kurgulayan kişilerin yakalanmamak için çaba sarf ettiğini görüyoruz.

Svm.exe ve svmm.exe auto start servis olarak çalıştığından kullanıcı tarafından kapatıldığında kendilerini yeniden aktif hale getirebiliyorlar. Bunlardan herhangi biri silindiğinde, internetten yeniden indirilmelerini sağlayan bir koruma modülü mevcut. Intelligent Tax isimli ana program kullanıcı tarafından sistemden kaldırılsa dahi kaldırma süreci svm.exe ve svmm.exe dosyalarını kapsamıyor.

Bu programcıkların indirildiği adresin(www.ningzhidata[.]com) ana programın indirildiği adresle (i-xinnuo[.]com) bağlantısı bulunmuyor. Svm.exe topladığı sistem bilgisini işte bu alakasız adrese gönderiyor. Bilgi göndermek için gerçekleştirdiği bir iki denemenin ardından bilgi gönderme zamanlarını rastgele hale getirerek ağ güvenliğine yakalanmamaya çalışıyor.

Svm.exe ayrıca sistem yetkilerine sahip. Bu onu daha da tehlikeli kılıyor. Güncelleme mekanizması sayesinde (www.ningzhidata[.]com) adresinden dosya indirme ve çalıştırma kabiliyeti de var. Tüm bu özellikleri bir arada değerlendirdiğimizde svm.exe ve svmm.exe sayesinde kullanıcının sistemine bir arka kapı(backdoor) açıldığını anlıyoruz.  Siber güvenlik firması halihazırda bu uygulamayı GoldenSpy olarak adlandırılmış durumda.

Devlet Üzerimize Spy Salıyor

Ana programa bu zararlı yazılımın; devlet, programı yazan firma ya da art niyetli bir yazılımcı tarafından mı eklendiğine ilişkin net bir bilgi yok. Tek bildiğimiz Çin Halk Cumhuriyeti’nde iş yapan firmalarımızın bu yazılımı kaldırması gerektiği. Endüstriyel casusluğun tavan yaptığı günümüzde, yurtdışında iş yapan firmalarımız için konuya ilişkin birkaç tavsiyemiz bulunuyor:

  1. Öncelikli olarak belli programları yüklemek zorunda bırakılan ve bu konuda bazı şüpheleri bulunan firmalarımızın hassas kabul ettikleri bilgileri başka bir bilgisayarda tutmalarını öneririz,
  2. Ucuza kaçılarak internetten indirilen ve “cracklı” olarak tabir edilen yazılımların önemli bir kısmı zararlı kodlar barındırıyor. İşletim sistemleri de keza aynı şekilde. Kırılmış bir işletim sistemi kullanıyorsanız zaten sisteminizde halihazırda belli zafiyetler barındırıyorsunuz demektir,
  3. Türkiye’de kamu ve özel sektör tarafından dağıtılan pek çok programda örneğine rastlamadığımız üzere, her programın ve bu programın her versiyonunun bir özet değeri(hash) kamuoyuna açıklanmak zorunda. Özet değerler şu açıdan önemli. Sisteminize kurmak istediğiniz hacimli bir program size bir CD veya flashdisk içerisinde gelmiş olabilir. Programın yayınladığı siteye giderek ilgili versiyondaki özet değeri bulup bu özet değerin oluşturulduğu algoritmayla, elinizdeki kurulum dosyasının özetini alırsanız, sitedeki aynı özet değere ulaşmalısınız. Eğer aynı değere ulaşamazsanız programın kaynak koduna müdahale edilmiş olduğunu anlıyorsunuz,
  4. Ağ güvenliği tehlike arz ediyor. Sonuçta zararlı yazılımların önemli bir kısmı aktif olduktan sonra internet üzerinde veri gönderme ve veri alma işlemleri gerçekleştiriyor. Trafik düzenli şekilde taranarak şüpheli bir trafik sezinlendiğinde bu trafiğin kaynağı programın veri gönderimi ve alımı durdurulmalı ve durum derinlemesine analiz edilmeli. Ağı tarayan ve izleyen pek çok profesyonel program mevcut, bunlardan faydalanılmasını gündeminize taşıyabilirsiniz,
  5. Antivirüs programları sisteminizin bir parçası haline gelmeli. Mevcut Antivirüs programları bilindik tehditleri karşı sistemleri kullanmada oldukça başarılı,
  6. Antivirüs yazılımların bazen çaresiz kaldığı sıfırıncı gün (zero day) zafiyetleri de söz konusu olabiliyor. Sıfırıncı gün saldırılarını, bir yazılım ve sistemde yer alan bir açığın bilinir olmasından, bu yazılım ve sistem için üretici veya ilgili firmalar tarafından açığı kapatmaya yönelik bir güncelleme yayınlanana kadar geçen sürede gerçekleşen ataklar olarak tanımlayabiliriz. Yani yüklediğiniz bir program art niyetli olmasa dahi sisteminizde büyükçe bir açığa neden olabiliyor. Bu yüzden hem programların güncellemelerinin hızlı bir şekilde kurulması hem de IT dünyasındaki gelişmelerin aktif bir şekilde takip edilmesi gerekli,
  7. Bilgileriniz, ticari sırlarınız, kişisel verileriniz sizin için değerliyse, belli bir hacmin üzerine çıkmış ve yurtdışında iş yapar hale gelmişseniz; nitelikli IT personelleri ve çağdaş bir IT politikasına sahip olmak zorundasınız. Bilgi varlıklarınızın güvenliğini sağlamak ve bilişim sistemlerinizin şirket hedeflerine uygun çalışıp çalışmadığını test edebilmek için bu sistemleri belli aralıklarla dış denetime tabi tutabilirsiniz, 
  8. GoldenSpy örneğinde olduğu gibi şirket imkanlarının yetersiz kaldığı durumlarda siber güvenlik firmalarının hizmetinden yararlanabilirsiniz. Belli aralıklarla gerçekleştirilen sızma testleri bir zarar ortaya çıkmadan önce bilişim sistem ve politikanızdaki sorunları ortaya çıkararak çözmenize yardımcı olabilir.

Yurtdışında faaliyet gösteren firmalarımız kaynağı ne olursa olsun zorunlu olarak sistemlerine kurdukları yazılımlar konusunda dikkatli olmak zorunda. Çok değerli mali ve ticari sırlarınız ilgili devletlerin, istihbarat örgütlerinin, ilgili ülkelerdeki mali kuruluşların veya rakiplerinizin eline geçebilir. Yerel firmalarımızın da genel olarak yukardaki tavsiyelere kulak kabartması faydalarına. Verinizi çaldırmasanız bile fidye yazılımlar nedeniyle kaybedebilir, zararlı bir yazılımı kendi sistemleriniz üzerinden başka bir sisteme bulaştırıyor veya zararlı yazılım nedeniyle kontrolü başkalarının eline geçen sistemleriniz üzerinden(botnet) farkında olmadan başka bir sisteme saldırı düzenliyor dahi olabilirsiniz.

Son cümlelerimizi kamu bilişimine ayırarak bu yazımızı da sona erdirebiliriz. Kamu tarafından kullanıcıların sistemine yüklenerek kullanılma zorunluluğu getirilen yazılımların mutlak surette, kullanıcının ihtiyarına bırakılan programların ise ileride yanlış bir ithamla karşılaşmamak üzere uygun düştüğü ölçüde açık kaynak olması gerekiyor. Açık kaynak, IT ekiplerinin programın yapısını anlamasını kolaylaştırırken devlet kurumlarına olan güvenin artırılmasını sağlayan bir mekanizma barındırıyor. Ayrıca açık kaynak programların geliştirilmesine devlet tarafındaki yazılımcılar dışındaki yazılımcılar da katkı sağlayabiliyor. Elbette bazı programların açık kaynak olmaması, örneğin GİB E-fatura görüntüleyici de olduğu gibi WebStart üzerinden cache’e indirilen bir programın DJ gibi bir programla geriye derlenerek, kodlarının okunmasına engel değil. Ancak bir kamu bilişim politikası olarak açık kaynağı yine de tavsiye etmekte fayda görüyoruz.

12.08.2020

Kaynak: www.MuhasebeTR.com
(Bu makale kaynak göstermeden yayınlanamaz. Kaynak gösterilse dahi, makale aktif link verilerek yayınlanabilir. Kaynak göstermeden ve aktif link vermeden yayınlayanlar hakkında yasal işlem yapılacaktır.)

GÜNDEM