stuxnet

azwepsa azwepsa
epey zaman evvel ortaya çıkmış bir worm imiş. internet üzerinden değil de flash disk'ten bulaşan bir virüs imiş. yayıldığı andan itibaren en çok iran'da görülmüş. inceleyenler, üzerinde çok ciddi emek, insan ve para kaynağı harcanmış bir iş olduğu için bir devletin ürettiği bir iş olabilir demişler. bu wormun özelliği de endüstride scada sistemlere musallat olup onları muzur şekilde mnipüle edebilmesi imiş. yani birileri özellikle siemens ürünleri kullanan iran endüstrisini hedef almış olabilirmiş. özellikle de buşehr nükleer santrlı olabilirmiş bu hedef.
panikyok panikyok
ülkelere göre bulaştığı bilgisayar sayısı şu şekilde olan solucan:

iran: 62867
endonezya: 13336
hindistan: 6552
amerika birleşik devletleri: 2913
avustralya: 2436
ingiltere: 1038
malezya: 1013
pakistan: 993
finlandiya: 7
almanya: 5

buradan açık hedefin iran olduğu iddiaları da güçleniyor böylece. iran'da bulunan uranyum zenginleştirme programını sekteye uğratan yazılımlardan birisiydi bu. mahmud ahmedinejad da bu olayı doğrulamıştı.

bu tür siber saldırılarda saldıranların kimliğini belirlemenin çok zor olduğu söyleniyor. iran'ın nükleer silahlanmasına karşı çıkan ülkeler ve siber savaş teknolojisinin gelişme oranlarına bakılırsa israil ve amerika'nın bu saldırıyı gerçekleştirme ihtimalleri en yüksek ülkelerden olduğu söylenebilir.

ntvblm mart 2011 sayısında "siber savaş burada" başlıklı makalede bu konuya da değinilmiştir.
azwepsa azwepsa
sadece ve sadece natanz uranyum zenginleştirme tesisinin plc sistemini etkilemek üzere tasarlanmıştır. bilgisayarınıza bulaşırsa size sorun etmez.
azwepsa azwepsa
stuxnet'in özelliği ırandaki tesislere odaklı olmasıdır. başka bir nükleer santralde calışmaz, orayı bozamaz. hatırlatma: fukuşima'da yaşananlar tesisi vuran tsunami dalgalarının soğutma suyu pompalarına mekanik hasar vermesi sonucu soğutamamaktan kaynaklanan problemler... stuxnet ile zerre kadar alakası yoktur.
azwepsa azwepsa
bu virüs ile ilgili atladığımız bir önemli nokta da siemens'ten bu virüsü yazanlara büyük bir sızıntı olduğudur. natanz'da kullanılan tüm plc sistemi ve kodları virüsü yazan ekibe aktarılmıştır.

stuxnet ne yapar derseniz kısaca şunu: uranyum zenginleştirme tesisindeki santrifüjlerin düzgün çalışırken hatalı çalışıyor gibi görünmesini sağlamak ve bir yandan da bir daha çalışamaz hale getirmek. iranlılar zenginleştirmeye başladıklarında nedenini çözemedikleri bir sürü arıza ile cebelleşirken bir yandan da santrifüjleri ellerine alacaklardı. olmadı.

siemens'in plcleri bugün dünyada son derece yaygın kullanılan ve "hassas" noktalarda kullanılan donanımlardır. eğer dün ırana karşı bir sızıntı olduysa yarın kim bilir hangi termik santral, demir-celik fabrikası ya da ekmek fırını için bir "stuxnet" çıkar, bilemeyeceğiz. siemens'in içinde bununla ilgili neler oldu ben takıp edemedim. bir bilen yazar onu da.
nükleer santral tamircisi nükleer santral tamircisi
şimdi baktım da hack yoktur bilgi sızdırma vardır başlığında beni azarlayıp, ayaralayan üstad ta bir yukarıdaki giride benim gibi düşünüyormuş.

hepsi bir tarafa dışarıyla networkü olmayan bir tesise bu virüs flaş bellekle girmiş durumda. flaşı takan eleman da her halde bu otomasyon bilgisayarında "dur şu çocukların resmini şuraya atayım burdan bakarım" diyerek takmadı.
azwepsa azwepsa
siemens'ten natanz'daki tesisin otomasyon sistemi sızdırılmıştır. sızdırılan sistem içinde çalışacak ve okunan parametreleri yavaşça tutarsız hale getirilecek bir virüs yazılmıştır. bu virüs de belli bölgelere yayılmıştır. natanz'da çalışan birilerinin bilgisayarına bir şekilde bulaşabilmesi hedeflenmiştir. natanz'a ulaşana kadar on binlerce bilgisayara bulaşmıştır. bu bilgisayarlardan hiçbirinin spesifik bir plc tasarımına sahip olmaması sebebiyle sadece oradan yayılma faaliyeti göstermiştir. ne zaman ki natanz'dan bir bilgisayara, natanz'ın kendi ağına girmiştir, ancak orada etkili olmuştur. özel bilgilerin olduğu kurumlara genelde pek çok dallama "dur şu çocukların resmini şuraya atayım burdan bakarım" diye ya da "dur şu dosyaları topluca müdüre götüreyim" diye dışardan, virüs kontrolü yetersiz yapılmış flash bellekler sokulur. askeri nizamiyelerde, büyük sanayi kuruluşlarının girişlerinde kağıt üstünde sokulması yasak ya da kayıt altına alınması gereken aletlerdendir. ama dünyanın her yerinde cezalarına karşı bunu marifet gibi yapan insanlar oluyor.
pilavi seven adam pilavi seven adam
aslında bu olayın biraz geçmişine de bakmak lazım.

1900'lü yılların ortalarında amerika ve iran ilişkileri bir hayli iyiydi. iran'da henüz islam devrimi gerçekleşmemişti. o zamanlar amerika, iran'ın kendisine ait bir nükleer santrali olması yönünde oldukçta destek veriyordu. karşılıklı güzel demeçler veriliyordu. sonrası biraz karanlık dönem. iran'ın islam devrimiyle islamcı bir devlet haline gelmesi. yeni iran'la arası o kadar iyi olmayan amerika, nükleer santral için verdiği desteği geri çekti. dünya'daki diğer ülkelere de böyle bir girişim ihtimaline karşın iran'a gerekli şeyleri satmamaları konusunda baskı yaptı. gelin görün ki pakistan sinsi bir yardımla 2000'li yıllarda iran'a bu konuda gerekli desteği sağlıyor. burada mevzu şu, iran nükleer santral işine girişeceği yıla kadar amerika'yla olası bir çatışma korkusu yüzünden uzak duruyor. ama amerika, ırak'a ve afganistan'a yaptığı saldırılardan sonra "islam düşmanı" etiketi almamak için bir daha islam ülkelerini işgal konusunda o kadar rahat davranamayacağı bir döneme girince, iran da fırsat bu fırsat diyip nükleer santral işine girişiyor. bunun için çölün tam ortasında gizli gizli bir tesis kuruyor.

şimdi amerika ve diğer batılı devletlerin ve ayrıyetten israil'in bu durum karşısında ne yaptığını konuşalım. öncelikle yüksek ambargolar. birleşmiş milletlerde, orda burda "iran bir an önce bu sevdasından vazgeçmeli. yoksa sonuçlarına katlanır." minvalinde konuşmalar. gene de kimsenin de askeri bir müdahale yapma hevesi yoktu. çünkü bu hem dünya savaşı demek hem de iran'ın kuvvetli savunma gücü yüzünden ağır hasar almak demekti. tehditler lafta ve ekonomik yaptırımlarda kaldı. iran geri adım atmadı. tesis kuruldu. işlemeye başladı. ve şaşırtıcı derecede iran'lı biliminsanları çok iyi ilerliyorlardı. her şey modern bir batı tesisinde olduğu ve hatta bazen daha iyisi gibiydi.

amerika'nın, batının özellikle israil'in bu işe bir dur demesi de şarttı. çünkü islamla yönetilen bir ülkenin bu denli büyük bir güce sahip oluyor olması (nükleer güç) batılılar için büyük bir tehditti. herkes rahatsızdı. beyaz saray'da, tel aviv'de, londra'da kapılar arkasında konuşulan konu bunu nasıl engelleyeceğiz olmaya başlamıştı.

amerika ve israil'in ortak olarak yürüteceği struxnet mevzusu burada ortaya çıktı. mükemmel bir fikirdi. iz yok, başka insanlar etkilenmeyecek, can kaybı yok. ama iran'a çok net bir mesaj verilecek ve geri adım attırılacaktı. proje kısaca şuydu: bir bilgisayar virüsü yazılıp dünyaya salınacak. bu virüs o kadar gelişmiş bir virüs olacak ki yaptığı kontrollerle kendisinin iran'daki nükleer tesis'te olduğunu anlayabilecek ve o anda kodları aktif hale gelecek. bu kodlarla nükleer santralde işlenen uranyumu bozacak bazı donanımsal aktiviteler yaparak sistemi bozacak ve çok çok büyük zararlar verecekti. bu donanımsal aktiviteler çarkların hızıyla ilgili. şöyle bir örnek verebiliriz: 100'le gitmesi gereken bir trenin sisteminde değişiklik yaratarak hızını 200 yapıyorsunuz. raydan çıkıyor. zarar vermiş oluyorsunuz. sistemine saldırıp işleyişini bozuyorsunuz. yapılmak istenen tam olarak buydu.

amerika nsa birimi altında kurulan siber ekibi ve israil'deki 8200 siber ekibi ortaklaşa olarak bu projeyi çok gizli bir bilgi olarak gerçekleştirdiler. bütün dünya'ya yayıldı. çok fazla sürümü olmakla birlikte stuxnet virüsü genel olarak usb, ağ üzerinden sessizce bulaşan bir virüstü. ilk olarak belarus'lu mühendisler tarafından saptandı. daha sonra bütün dünyadaki güvenlik şirketlerine gönderildi incelenilmesi için. ama incelenmesi bir hayli zor bir virüstü. komplikeydi. diğerlerinden farklıydı. hatasızdı. ve yapanın kim olduğuna dair hiçbir kanıt tabii ki yoktu. tıpki amerika'nın ve israil'in istediği gibi. nitekim istenen oldu ve virüs bir şekilde tesise ulaştı. bir çok maddi zarar verdi. çok fazla uranyum'u piç etti. çok fazla alet hasar gördü. ama buradaki ince nokta şu ki, israil'lilerin acelesi yüzünden virüs çığrığından çıktı ve dünya'da çok dikkat çekti. başka yerlere de zarar vermesiyle iran'lılar tarafından durum anlaşıldı. amerika'lılar ve israil'liler yapmıştı. bütün sistem tekrar gözden geçirildi. tekrar yapılandırıldı. iran stuxnet'ten sonra güçlenerek nükleer işine bir süre daha devam etti.

ama amerika boka batmıştı. çünkü bunu yapması ve dünya'nın bunu görmesi demek artık siber saldırıları meşrulaştırmış olması demekti. nasıl yani? amerika iran'a siber saldırı düzenledi ve zarar verdi. demek ki iran da aynısını amerika'ya yapabilirdi. amerika kendisini uluslararası arenada nasıl savunacaktı? nitekim bunun üstünde obama çok özel bir karar çıkarttı. bundan sonra amerika birleşik devletleri ne olursa olsun yalnızca ve yalnızca başkan'ın izniyle siber saldırı yapabilir niteliğinde bir karardı. amerika'da bu sadece nükleer silahlar için geçerliydi. ve artık tabii siber saldırılar için de.

konu bir hayli detaylı. uzun. sonuç olarak dünya'daki siber saldırıların gücünü gösteren ve gelecekteki sıkıntılara referans olacak bir virüstür bu stuxnet. yukarıda olayların öncesini ve bir kısmını anlatsam da çok daha spesifik ve detaylı bir konudur. yukarıda ufak tefek hatalar, karıştırmalar olduysa affola. bu konuda daha fazla bilgi almak isteyenler, zero days isimli belgeseli izleyebilirler.
ya umutlar da biterse ya umutlar da biterse
stuxnet solucanı; siber güvenlik camiası tarafından game-changer
kötücül bir yazılım olarak tanımlanmaktadır . çünkü, bu kötücül yazılımın
karmaşıklığı, amacı ve çıkarımları diğer kötücül yazılımlardan farklıdır.
stuxnet solucanı, diğer bilgisayar solucanları gibi güvenlik açığı olan bir bilgisayardan
bir diğerine ayrım gözetmeksizin yayılmaktadır. diğer binlerce bilgisayar solucanından
ayıran en büyük özelliği daha önce hiçbir solucan ıcs ( endüstriyel kontrol sistemi ) üzerinden fiziksel olarak sistemlere zarar verememişken stuxnet bunu başarmıştır.natanz'da iran'ın nükleer zenginleştirme tesisinde ıcs üzerinden plc ( programlanabilir mantıksal denetleyiciler ) kodlarını kurcalamıştır.stuxnet solucanının teknik analizinde, daha önce görülmemiş karmaşık özelliklere
sahip bir kötücül yazılım olduğu ve siber güvenliğe yeni bir boyut kazandırdığı
görülmektedir.
stuxnet solucanının işlevsellik
bakımından çok karmaşık olması bu saldırının bir hacker grubu tarafından yapılması
ihtimalini küçük düşürmektedir. içerisinde 4 adet 0-gün güvenlik açığı bulunduran ve
çok karmaşık olan bu saldırının arkasında devlet destekli yetiştirilmiş özel bir ekibin
olduğunu düşündürmektedir.stuxnet solucanının tespitinin üzerinden 5 yıldan fazla süre geçmesine rağmen hala iran'a yapılan saldırıyı üstlenen bir grup veya devlet olmamıştır. saldırının ispatlanması konusunda ciddi sıkıntılar doğmuştur. zira siber saldırıların çoğunda saldırganlar kendi ıp adreslerini gizleyerek saldırıları gerçekleştirmesi diğer saldırılarda olduğu gibi stuxnet saldırısının kaynağını bulmada da ciddi zorluklar teşkil etmiştir
stuxnet'in bilgisayara zaten bulaşmış olduğunu bildirmek için kayıt defteri değeri olarak"19790509"e ayarlanmıştır. ayarlanan bu değer açık bir şekilde bir tarihe tekabül etmektedir. 09.05.1979 tarihinde tahran yahudi topluluğuna hizmet eden ve
1970'lerde iran yahudi topluluğunun simge isimlerinden olan iranlı yahudi işadamı
habibullah elghanin idam edilerek öldürülmüştür. iran'da islam devrimi'nden sonra
"israil'le bağlantılı olmak ve siyonist" suçlarından idamla cezalandırılan ilk yahudi ve
sivil iran vatandaşıdır. ayrıca hebrew incil'inde pers kralı ahasuerus'un prensesi olan
yahudi esther'in adı "myrtle" (mersin ağacı) anlamına gelmektedir. esther, pers
krallığı'nda hayatını yahudi sürgün kişilere adamış ve sürgün insanları kudüs'e
yerleştirmeyi başarmıştır. stuxnet virüsünün içinde "myrtus" isimli bir dosyanın
(myrtussrcobjfre_w2k_x86i386guava.pdb) olması ve "19790509" değeri stuxnet'i
yazanların israil kökenli oldukları iddialarını güçlendirmektedir. aynı zamanda bu kodu yazanların böyle bir değer ayarlayıp şüpheleri israil üzerinde yoğunlaştırmaya
çalıştıkları iddiaları da bulunmaktadır.stuxnet'te bulunan bir başka değer 0xdeadf007'dir. bu değerin "dead fool" veya "dead foot" olma ihtimalleri yüksek olup pilotların uçak motoru arızası durumunda kullandıkları bir terimdir. muhtemelen bu stuxnet'in hedef sistemin arızaya uğramasına sebebiyet vereceği ve sistem başındaki operatörlerin plc cihazlarının kontrolünü sağlayamayacakları anlamına gelmektedir. girilen bu değerler belirli bir noktayı işaret ettiği aşikardır ve belli bir slogan taşımaktadır.