Şirketinizin internet sitesi, korsanlar için kolay hedef mi?

Şirketinizin internet sitesi, bir mağaza vitrini gibidir. Tasarımı, müşterileriniz ve iş ortaklarınız için çok önemlidir ve internet sitenizi güvende tutmanız gerekir. Yine de dünya genelinde günlük yaklaşık 30.000 internet sitesi ele geçirilmektedir. Ne tür saldırılar beklenebilir ve bu saldırılar nasıl gerçekleşir?

1) DoS ve DDoS saldırısı

Bir siber saldırı türü olan hizmet aksatma saldırısında (DoS) saldırganlar; bir internet sitesini, ağı veya çevrim içi hizmeti aksatmaya çalışır. Peki nasıl? Bunu, birçok sahte veya önemsiz istek gönderip söz konusu hizmete aşırı yükleme yaparak gerçekleştirirler. Siber suçlular, bir ağ kaynağına bağlanmak için gerekli olan bir veya birden fazla unsuru hedefleyip DoS saldırısını, dağıtılmış hizmet aksatma anlamına gelen DDoS saldırısına çevirerek sistemleri aksatmak için genellikle dağıtılmış ve saldırıya uğramış cihazları kullanır. En yaygın türleri şunlardır:

• Hacimsel saldırı: Kurbanın ağı ile internet arasındaki bant genişliği kapasitesini veya kurbanın ağındaki kapasiteyi doldurmak için büyük hacimli trafik kullanan en eski (D)DoS saldırısı türü. En büyük hacimsel saldırılar (şu anda) saniyede terabit (Tb/sn) cinsinden ölçülür, bu ortalama 9.000 tipik internet bağlantısına eşdeğerdir.

• Protokol saldırısı: Bu saldırı türü, hedeflenen sistemin kaynaklarını tüketmek için temel haberleşme protokolünü kötüye kullanır. Örneğin, bir SYN baskınında saldırgan ilk bağlantı istek (SYN) paketlerini arka arkaya gönderip hedeflenen cihazın yasal trafiğe ağır bir şekilde cevap vermesini ya da hiç cevap vermesini sağlayarak hedeflenen bir sunucu bilgisayarındaki erişilebilir tüm bağlantı noktalarını istila edebilir.

• Uygulama katman saldırısı: Bu saldırı türü ise birçok sahte trafik ile halka açık uygulamaları hedefler. Saniyede on milyonlarca sayıda gerçekleşen yasal HTTP GET ve HTTP POST isteklerine sahip belirli bir internet sunucusuna akın eden HTTP baskın saldırısı bu saldırı türüne örnek olarak gösterilebilir. Söz konusu sunucunun yeterli bir bant genişliği olsa da sahte istekler yasal muadillerinin bu sunucu tarafından işlenmesini sınırlandırarak sunucuyu yorar. Saldırı yeteri kadar uzun sürerse sunucu işleme kapasitesini tüketir.

2) İnternet siteleri arası komut dizisi saldırısı

Siteler arası komut dizisi saldırısı, saldırganların kullanıcı ile güvenlik açığı olan bir uygulama arasındaki etkileşimleri ihlal etmesine imkan tanır. Peki nasıl? OWASP’a göre, siteler arası komut dizisi saldırıları “bir kod yerleştirme türü olup bu saldırılarda normalde iyi huylu ve güvenilir internet sitelerine kötü amaçlı komutlar yerleştirilir.” Söz konusu kötü amaçlı kod, kurbanın tarayıcısında çalışmaya başladığı zaman saldırganlar, kurbanın uygulama ile olan etkileşimini tamamen ihlal edebilir.

Güvenlik açığı, saldırganların web sitelerini birbirinden ayırmak için tasarlanmış aynı kaynak politikasını atlatmasına olanak tanır. Siber suçlular, kurbanı taklit ederek kullanıcının yapabileceği eylemleri uygulayarak kullanıcının verilerine ulaşabilir. Kurbanların uygulama içerisinde ayrıcalıklı erişimi varsa saldırganlar, uygulamanın işlevselliği ve verileri üzerinde tam kontrol sağlayabilir.

3) Kod yerleştirme saldırıları

• Kod yerleştirme: Geçersiz verilerin işlenmesi sonucu oluşan bir bilgisayar hatasının kullanılmasıdır. Saldırganlar, güvenlik açığı olan bir bilgisayar programına genellikle kötü amaçlı bir kod yerleştirip çalışma akışını değiştirir. Kod yerleştirmenin başarılı olması durumunda ciddi sonuçlar ortaya çıkabilir. Bu saldırı; kötü amaçlı yazılımların, özellikle şirket ağ sistemlerindeki bilgisayar solucanlarının yayılmasını tetikleyebilir. Saldırganlar, veritabanının bütünlüğü ile gizlilik özelliklerini, güvenliğini ve hatta verilerin doğruluğunu ihlal edebilir.

• SQL yerleştirme (SQLi) saldırısı: Saldırganlar, internet uygulamalarında kullanılan SQL sorgusunu manipüle edip verilerinize doğrudan erişim sağlamaya çalışır. Bunu da genellikle internet formu veri giriş alanı, yorum alanı veya kullanıcıların internet sitenizle etkileşime geçtiği diğer alanlar üzerinden yaparlar.

• Komut saldırısı: İnternet uygulamaları için zaman zaman internet sunucusunda onları çalıştıran bir sistem komutu gerekir. Kullanıcı verisi doğrulanmamış ve sınırlandırılmamışsa saldırganlar, kullanıcı seviyesinde bir erişim kullanarak sisteme bir komut ekleyebilir. Komut yerleştirilme, bir uygulamayı ve bu uygulamanın verilerini ya da sunucu ve altyapıyla bağlantılı tüm sistemi ihlal edebilir.

4) Sıfır gün saldırısı

MIT Technology Review’e göre 2021 yılında sıfır gün saldırıları rekor kırmıştır. Daha önce bilinmeyen bir güvenlik açığı üzerinden siber saldırı gerçekleştirme yöntemi olan sıfır gün saldırısı, bir bilgisayar korsanının sahip olabileceği en değerli yöntemdir, bu saldırıların değeri açık bir piyasada 1 milyon ABD dolarının üstündedir.

Bir sıfır gün saldırısı genellikle bir bilgisayar işletim sisteminde veya uygulamada yer alan hiç bilinmeyen bir güvenlik açığı ile başlar. Benzer ve biraz daha az tehlikeli olan türü ise n-day saldırısıdır. İşletim sistemindeki veya uygulamalardaki yamanın yayınlanmadığı, uygulama geliştiricilerinin farkında olmadığı veya ele almak için yeterli zamanlarının olmadığı bir güvenlik açığından kaynaklanır. Her iki durumda da bilmesi gerekenler güvenlik açığını fark etmeden ya da bir yama yayınlanmadan önce saldırı gerçekleşir. Bu yüzden yazılım yamalarının kaynağına güvenen kullanıcılar hiçbir zaman bu saldırıların farkında olmaz.

5) MitM saldırısı

En çok bilinen ortadaki adam (MitM) saldırısı örneği aktif gözetleme olup bu saldırı türünde saldırgan, iki veya daha fazla kurban arasındaki trafiği ele geçirir. Böylece saldırgan yalnızca aradaki iletişimi görmekle kalmaz aynı zamanda her iki kurban da saldırganın etkileşimi manipüle ettiğini fark etmeden bu iletişimi değiştirir.

Bu özellikle kimlik doğrulama protokolünün kötüye kullanılabilmesinin bir sonucu olarak gerçekleşir. Ulusal Standartlar ve Teknoloji Enstitüsü, kimlik doğrulama bağlamında saldırganın genellikle hak sahibi ile doğrulayıcı arasında, kayıt sırasında kayıt ettiren ile bulut hizmet sağlayıcı (CSP) arasında veya kimlik doğrulama sırasında abone ile CSP arasında konumlandığını belirtmektedir.

6) Kaba kuvvet saldırısı

Bir kaba kuvvet saldırısında bireysel hesaplara ve kurum sistem ve ağlarına yetkisiz bir şekilde erişim sağlayabilmek üzere şifrelerin, oturum açma bilgilerinin veya şifreleme anahtarların ele geçirilmesi için deneme yanılma yöntemleri kullanılır. Aynı anda tahminde bulunan birçok cihaz bulunduğu için daha hızlı olduklarından botnetler de sıklıkla kullanılır. Bir dizi IP adresi içerdikleri için botnetlerin engellenmesi de daha zordur.

Bu tür bir saldırının gerçekleştirilmesinin nedenleri arasında kötü amaçlı yazılımların dağıtılması, şirket reklamlarının veya etkinlik verilerinin kullanılması ve kurumsal itibara zarar verilmesi yer alır. ESET uzmanı Ondřej Kubovič bu konuda şunları ifade ediyor: “Bugün birçok popüler internet sitesi ve hizmeti, belirli bir IP adresinin yaptığı 5-10 yanlış tahminden sonra erişimi engeller. Bir botnetin ise belirli bir coğrafi bölgedeki bir dizi IP adresini kullanarak doğru tahminde bulunma olasılığı daha yüksektir.”

Bir bilgisayar korsanı, doğru oturum açma bilgilerini bulana kadar birçok kombinasyonu test etmek için genellikle bir bilgisayar kullanarak bir çok kullanıcı adı ve şifre dener. Saldırganlar, birkaç saniye veya dakika içerisinde binlerce şifre tahmin edebilen yazılımlar veya en azından bazı kod ya da komutlar kullanır.

Son olarak ayrıca bakınız: 6 adımda işletmeniz için daha güvenli bir internet sitesi!