Londra’nın merkezindeki bir okulun bilgi teknolojileri yöneticisi olan Matthew’nun telefonuna 23 Kasım 2020 Pazartesi akşamı saat 21.00 sularında bir bildiri geldi. İş arkadaşlarından biri okulun internet sitesine erişilemediğini haber veriyordu.
Matthew kendi de girmeyi denedi siteye lakin başarılı olamadı. Başta “Acaba şifremi mi unuttum?” diye düşünse de kısa müddet içinde sitenin kullanıcı ismini tanımadığını fark etti.
Soyadının açıklanmasını istemeyen Matthew’nun çalıştığı devlet okulu, Hindistan, Pakistan ve Doğu Avrupa’dan gelen ve çok da varlıklı olmayan ailelerin çocuklarının devam ettiği bir kurum. Yaşları 5 ile 10 ortasında değişen 150 kadar öğrencinin birçoklarının en değerli besin kaynağı öğlenleri verilen fiyatsız okul yemekleri. Kraliçe Victoria devrinden kalmış eski binanın içinde kısıtlı bütçeyle öğrencileri için ellerinden geleni yapmaya çalışan öğretmenler, çocukların kalemlerini birinci tuttukları andan itibaren tüm ilerlemelerini, fotoğraflarını çekerek kayıt altına alıyor. Akabinde bu fotoğraflar okulun öbür işlerinin de yürütüldüğü bir ortak işlemciye yükleniyor.
Dışarıdan mutabakatlı olarak çalışmaya 2016 yılında başlayan Matthew’nun işi, çocukların öğrenme seyahatine ilişkin bu yeri doldurulmaz kayıtları korumak. Bu işin karşılığında aldığı para epeyce sonlu lakin Matthew bu kıymetli vazifesi büyük bir bağlılıkla yerine getiriyor.
23 Kasım 2020 gecesine dönersek… Matthew siteye erişilemediğini görünce elinden gelen her şeyi denemeye başladı. Saat 02.00 olduğunda son deva olarak sunucu hizmetini veren şirketin müşteri hizmetlerini aramaya karar verdi. Yeni bir sunucu aldı ve okulun sitesini bu sunucuya bağladı. Fakat tuhaflık devam ediyordu. Matthew, sunucuda isimlerini gördüğü evrakları açamıyordu. Hepsinin isminin sonuna “.encrypt” (şifrele) diye bir uzantı eklenmişti.
Matthew bir anda olan biteni fark ederek dehşete düştü: Okul, günümüzde süratle yaygınlaşmakta olan bir siber hata olan fidye saldırısı kurbanı olmuştu.
Korsanlıkla kriptografi ortasında noktada yer alan fidye yazılımları, bulaştıkları sistemlerdeki belgeleri kilitliyor. Kilidi açmak yalnızca gerçek şifre anahtarının girilmesiyle mümkün olabiliyor. Korsanlar bu şifre anahtarı karşılığında çok büyük paralar talep ediyor.
“TÜM EVRAKLARINIZ KİLİTLENDİ, ÖDEME YAPMAK İÇİN 2 GÜNÜNÜZ VAR”
Korsanlar okulun sistemine öğretmenlerin içerik idaresi maksadıyla kullandığı bir internet portalı üzerinden sızmıştı. Aslında portalın güvenliğini artıracak bir yama yayımlanmıştı ancak tıpkı anda birden fazla müşteriye hizmet veren Matthew, çok meşgul olduğundan o güncellemeyi yapmayı unutmuştu.
“Başkalarına verdiğim tavsiyeyi kendim uygulamamıştım. Çok büyük hüsrana uğradım ve çok utandım. Birileri karnıma yumruk atmış üzere hissettim” kelamlarıyla aktardı Matthew o andaki hislerini.
Okulun sitesinin enkazında dolanan Matthew bir not buldu. “Hack for Life” (Ölümüne Korsanlık) başlıklı notta şu tabirler yer alıyordu:
“Tüm Belgeleriniz Kilitlendi! Evraklarınızın yapısı ve içeriğindeki datalar geri döndürülemeyecek biçimde değiştirildi. Onları göremez, okuyamaz, üzerlerinde çalışamazsınız. Lakin bizim yardımımızla evraklarınızı eski haline getirebilirsiniz. Siz fidyeyi ödedikten sonra, tüm evraklarınızın şifresini çözebiliriz. Fidye elimize geçtikten sonra sizi kandırmak için bir sebebimiz bulunmuyor zira biz barbar değiliz ve bu türlü bir şey yapmak bizim yararımıza ziyan verir.
Ödeme Yapmak İçin 2 Gününüz Var. 2 Günden sonra Şifre Çözme Fiyatı, İkiye Katlanacak. 1 haftanın akabinde ise üçe… Bu nedenle ödemeyi birkaç saat içinde yapmanızı tavsiye ediyoruz.”
Bu, Matthew’nun fidye yazılımlarıyla birinci müsabakası değildi. Daha evvel çalıştığı yazılım şirketi de 2018 yılında hücuma uğramıştı. Matthew ödeme yapmak yerine iki gün boyunca şirketin datalarını kurtarmak için çalışmıştı. Şirket yetkilileri ise olay duyulduğunda kurumun prestijine ziyan geleceğini ve yatırımcıların paniğe kapılacağını düşünüyordu. İki günün akabinde pes eden yöneticiler Matthew’ya 2 bitcoin’lik (o günün parasıyla yaklaşık 10 bin dolar) fidyeyi ödemesini söyledi. Ödemeyi yapan Matthew’ya şifreyi çözmek için gerekli anahtar teslim edildi ve şirket olayı geride bırakıp faaliyetlerine kaldığı yerden devam etti.
Ancak büyük bir şirketin kıymetsiz bir aksaklık muamelesi yaptığı bu türlü bir akın, ekonomik manada zorluklar yaşayan bir okul için felaket potansiyeli taşıyordu. Matthew, “Çocukların değerlendirmeleri imkânsız hale gelecekti. Öğretmenlerin aylarca verdiği emekler çöpe gidecekti. Okul teftişten geçemeyecekti” diye konuştu.
10 BİN EURO’LUK FİDYE TALEBİNİ 1000 EURO’YA İNDİRDİLER AMA…
Uykusuz geçirdiği bir gecenin akabinde Matthew üstlerine durumu bildirdi ve saldırganlarla pazarlık etmekle görevlendirildi. Okulun saldırganlara para vermekten öbür dermanı yokmuş üzere görünmesi öbür okulların da amaç alınmasına yol açacaktı. Matthew ve yöneticileri saldırıyı bâtın tutmaya karar verdi. Okulun prestiji lekelensin istemiyorlardı, bu nedenle kolluk güçlerine haber vermemeyi seçtiler. Öğretmenlere ve velilere ise sistemin çalışmadığı söylendi.
Fidye notunda saldırganların istediği meblağ yer almıyordu. Matthew, korsanların belirttiği Gmail adresine “Bilgisayarımın şifresini kaldırmak için ne kadar istiyorsunuz?” diye bir e-posta gönderdi. Gelen yanıtta, “10 bin euro ödemek zorundasınız. Bugün 10 bin. Yarın 15 bin. İki gün daha beklerseniz 20 bin” deniyordu.
Matthew, okulun bu türlü bir ödeme yapmaya gücünün yetmeyeceğini biliyordu. O nedenle akın çok fazla hasara yol açmamış üzere davranarak pazarlık yapmaya karar verdi.
“Size ödeyecek 10 bin euro’m yok. Kusura bakmayın lakin gülünç bir talep bu. Biz kaynakları hudutlu olan küçük bir okuluz. Bilgilerimizin çok büyük bir kısmı yedeklenmiş halde, yalnızca yakın vakitte yüklenmiş birkaç fotoğraf kayıp. En fazla 500 dolar ödeyebilirim. Bu sizin için uygunsa bana haber verin” diye bir ileti daha gönderen Matthew’nun stratejisi başta işe yaramış üzere görünüyordu. Korsanlardan gelen yanıt “1000 Euro Son Teklif Şayet kabul etmezseniz bu konuşmayı sonlandırmak zorunda kalacağız” formundaydı.
Matthew rahatlamıştı. Okul 1000 euro’yu toplayabilirdi. Felaket atlatılmış üzere görünüyordu. Korsanlar ödemeyi bitcoin olarak istiyordu. Matthew kendisi de kripto paraya yatırım yaptığından nasıl bitcoin alabileceğini biliyordu. 1000 euro’yu bitcoin’e çevirdi ve korsanların bildirdiği bir cüzdana aktardı. Akabinde da “Tamam, gönderdim. Lütfen belgelerimi nasıl kurtaracağımı bildirin bana” diye bir bildiri yazdı.
Gelen yanıtı gördüğünde ise beyninden vurulmuşa döndü: “Üzgünüm 1000 euro’yu kabul edemiyoruz. 10 bin euro ödemek zorundasınız. Borcunuz 9000 euro siz ödemeyi yaptıktan sonra şifre çözme belgesini size göndereceğim.”
Saldırganlar Matthew’yu kandırmıştı. Taviz veriyormuş numarasıyla Matthew’nun ön ödeme yapmasını sağlamış ve anahtarı vermemişlerdi. Matthew o kadar bozulmuştu ki pazarlığın “Rakibine güç durumda olduğunu muhakkak etme” biçimindeki bir numaralı kuralını bile unutmuştu. Umutsuzca yalvarmaya başladı: “1000 euro son teklif demiştiniz ve anlaşmıştık.”
Ama saldırganın geri adım atmaya niyeti yoktu. “Bunu kabul edemem” diye cevap verdi ve ekledi: “Üzgünüm, bu benim problemim değil.”
ŞİFREYİ KIRABİLECEK TEK KİŞİ VARDI
Matthew bir mucize bulma umuduyla interneti taramaya başladı. BleepingComputer (Bip’li Bilgisayar) sitesinin forum kısmında VashSorena isimli fidye yazılımının kurbanlarının yazışmalarına denk geldi. Bu yazılım da evrakların sonlarına “.encrypt” formunda bir uzantı ekliyordu.
Matthew foruma, “Bugün bu fidye yazılımı bilgisayarıma bulaştı, fidyeyi ödedim fakat saldırgan yardımcı olmadı” diye yazdı.
Diğer kullanıcılar Matthew’ya fidye notunu ve şifrelenmiş evraklardan birkaçını ID Ransomware isimli siteye yüklemesini ve sitenin demonslay335 kullanıcı ismiyle bilinen kurucusuyla temasa geçmesini tavsiye etti. “Şifreyi kırabilecek biri varsa o da demonslay335’tir” diyorlardı.
Bunun üzerine Matthew demonslay335’e, “Selam, çalıştığım okulun öğrencilerin ilerlemesini kaydettiği sunucum atağa uğradı ve şifrelendi. Lütfen, bana yardım edebilir misin? Büsbütün sıkışmış durumdayım” diye ileti gönderdi.
George Orwell’in yıllar önce dediği üzere, “Medeniyetin tarihi büyük ölçüde silahların tarihidir”. Günümüzde dijital silahlar dünyayı tekrar şekillendiriyor, en büyük tehdit de fidye yazılımları olacak üzere görünüyor. Fidye yazılımları kimlik hırsızlığı üzere siber cürümlere kıyasla çok daha verimli ve kârlı. Hayatımızın her alanında internete olan bağımlılığımız arttıkça da hatalıların para kazanıp kaos yaratma olasılıklarının sonları sonsuzluğa gerçek genişliyor. Fidye yazılımı taarruzlarının ne kadar sık gerçekleştiği ve nasıl tesirler yarattığı tam olarak bilinmiyor zira birçok kurban başlarına geleni yetkililere bildirmekten ya da kamuoyuyla paylaşmaktan kaçınıyor. Lakin Bad Rabbit, LockerGoga üzere tuhaf isimleri olan yazılımlar son yıllarda milyonlarca şirketi, devlet kurumunu, kâr maksadı gütmeyen kuruluşu ve kişiyi felç etti. Toplumun bilgisayarlara olan bağımlılığını sömüren korsanlar, sistemleri tekrar devreye almak için binlerce, milyonlarca hatta on milyonlarca dolar istiyor. Pandemi sırasında siber şantaj dalgası hastaneleri ve öteki hayati kurumları çalışamaz hale getirdi, şirketleri ve okulları kapanmaya zorladı, insanların akrabaları, dostları ve iş arkadaşlarıyla olan uzaklığının daha da açılmasına neden oldu.
ZORBALIKLA, YOKSULLUKLA, KANSERLE UĞRAŞLA GEÇEN BİR ÇOCUKLUK…
İnternet aleminde demonslay335 (iblis avcısı) ismiyle tanınan Michael Gillespie o sırada Londra’dan kilometrelerce uzakta, Illinois kentinde yaşıyor, konutunun üst katındaki mütevazı ofisinden fidye yazılımlarına karşı savaşıyordu. Sekiz kedileri, iki köpekleri ve bir tavşanları vardı ve Gillespie’nin ofisini “kedi odası” diye adlandırıyorlardı. Masanın üzerindeki dizüstü bilgisayar, duvardaki rafa yerleştirilmiş bir ekran, eskimiş bir kanepe ve en sevdiği sinema olan Aslan Kral’ın afişi dışında oda boştu.
O günlerde 29 yaşına girmek üzere olan Gillespie epey sıkıntı bir hayat yaşamıştı. Okulda zorbalığa uğramış, yoksullukla ve kanserle uğraş etmişti. Çocukluk yıllarında o kadar yoksuldular ki vakit zaman arkadaşlarının ya da akrabalarının yanına taşınmak zorunda kaldığı oluyordu. 16 yaşındayken bilgisayar tamir hizmeti veren Nerds on Call’da (Nöbetçi İnekler) çalışmaya başladı. 10 yıldan fazla çalıştığı bu şirkette kendi kendine fidye yazılımlarını kırmayı öğrendi.
Zamanla dünyanın en âlâ fidye yazılım kırıcılarından biri haline geldi. Yarattığı şifre kırma araçları, dünyanın dört bir yanında en az 1 milyon kişi tarafından indirildi. Karşılığında bir kuruş bile almayan Gillespie, yardım ettiği şahısları toplamda yüz milyonlarca dolar pahasında fidye ödemekten kurtardı. Bilinen 1000’den fazla fidye yazılımı ortasında 100’den fazlasını kırmayı başardı.
Gillespie için bugün internet bir tıp sığınak, bir yuva. Uyanık olduğu saatlerin neredeyse tamamını çevrimiçi geçiren Gillespie’nin Illinois’deki akrabaları ve arkadaşları demonslay335’in internet alemindeki nüfuzundan habersiz.
FİDYE YAZILIM AVI TİMİ’NİN EN TANINMIŞ ÜYESİ
Becerikliliği ve yorulmazlığıyla tanınan Gillespie, Fidye Yazılım Avı Timi’nin en tanınmış üyesi. Yalnızca davetle iştirak sağlanan bu seçkin takım, hayatını fidye yazılımlarını kırmaya adamış bir küme teknoloji dâhisinden oluşuyor. Dünyanın dört bir yanına yayılmış bu gönüllüler, fidye ödemeye gücü yetmeyen ya da prensip gereği ödeme yapmayı reddeden kurbanların yardımına koşuyor. Takım üyeleri toplamda 300’den fazla fidye yazılımını kırmayı başardı, aşağı üst 4 milyon kadar kurbana gelen milyarlarca dolar kıymetindeki fidye talebini boşa çıkardı.
Fidye Yazılım Avı Timi’nin üyelerinin birden fazla tıpkı Gillespie üzere yokluktan muvaffakiyete ulaşmış şahıslar. Teknik eğitimleri yok, her şeyi kendi kendilerine öğrenmişler. Kimilerinin geçmişte yaşadığı yokluklar ve istismarlar, zorbalara karşı harekete geçmelerinde tesirli olmuş. Ataklarını savuşturdukları hatalıların misilleme yapma ihtimaline karşı takma isimlerin ya da çevrimiçi kimliklerin gerisine saklanıyorlar. Birden fazla birbirini hiç görmemiş bile.
Ancak hem davalarına hem de birbirlerine olan bağlılıkları çok güçlü. Örneğin biri ekonomik manada güç günler yaşadığında, grup arkadaşlarından biri kesinlikle devreye giriyor, bağış ya da iş teklifi yoluyla zora düşeni kurtarıyor. ABD, İngiltere, Almanya, İspanya, İtalya, Macaristan ve Hollanda üzere çeşitli ülkelere dağılmış durumdalar lakin hepsinin asıl yaşadığı yer internet alemi.
“HEPİMİZ BİR HALDE DIŞLANMIŞ İNSANLARIZ”
Ekip üyelerinin maaşlı işleri de var: birden fazla siber güvenlik alanında çalışıyor. Fidye yazılımlarını kırmayı ise bir tutku olarak görüyorlar. Birçoğu, bir sorunu çözmeye odaklanınca dünyayı unutup gece gündüz aralıksız bunun için çalışıyor. Varlıklı olmak umurlarında değil; o denli olsaydı var olan fidye yazılımlarını kırmak yerine yeni yazılımlar tasarlamakla uğraşırlardı.
Ekibin üyelerinden Fabian Wosar, “Bence hepimiz bir biçimde dışlanmış insanlarız” kelamlarıyla özetledi kümenin genelini. Almanya’da doğup büyüyen, şu an ise Londra’nın dış mahallelerinden birinde yaşayan Wosar’ın lise diploması dahi yok. Gillespie’nin akıl hocası ve Fidye Yazılım Avı Timi’nin en değerli şifre kırıcısı olan Wosar, “Hepimizin olağan dünyadan izole olmamıza neden olan lakin fidye yazılımlarını izleyip insanlara yardım ederken işimize yarayan tuhaflıkları var. Tam da bu nedenle birlikte çok güzel çalışabiliyoruz. İçinizde tutku ve kendinize gerekli hünerleri öğretme azmi olduğu surece diplomaya gereksiniminiz yok” diye konuştu.
Elbette grup bütün yazılımları kıramıyor. Çünkü yanlışsız biçimde kodlanmış bir fidye yazılımının kırılması imkânsız. Fakat kimi saldırganların beceriksizlikleri, kestirmeden gitmek istemeleri veyahut rakiplerini küçümsemeleri sonucu ortaya zayıf noktalar çıkıyor. Fidye Yazılım Avı Timi de tam olarak bu noktalardan vuruyor.
Ekip üyeleri gitgide büyümekte olan bir boşluğu dolduruyor. Çünkü resmi makamlar fidye yazılımı ataklarına karşı şimdi gereğince tedbir alabilmiş değil. Örneğin FBI kurbanlara fidyeyi ödememelerini tavsiye etmenin dışında bir alternatif sunamıyor. Korsanların değerli bir kısmı Rusya, İran, Kuzey Kore üzere ülkelerde faaliyet gösteriyor. Bu ülkelerin hükümetleri korsanları durdurmak için pek bir şey yapmıyor, üstüne üstlük Batı’ya karşı yürütülen isimsiz sanal savaşın bir kesimi kabul edilen bu taarruzlardan istihbarat elde etmek gayesiyle faydalandıkları hatta ödenen fidyelerden hisse aldıkları dahi söyleniyor. Fidye hücumları yaygınlaştıkça çıkarları katlanan sigortacılar ve siber güvenlik şirketleri üzere özel dal temsilcileri de kesin tahliller üretme konusunda gönülsüz davranıyor.
KORSANLARLA SAVAŞANLAR, KORSANLARA ÇOK BENZİYOR
Ahlaki açıdan iki zıt uçta yer alan fidye yazılımı korsanları ile avcılar aslında tıpkı dünyanın insanları. Kedi fare oyununu bir kenara bıraktıkları vakitlerde korsanlar, avcılarla hem hakaretler hem de övgülerle dolu sohbetler ediyor. Fidye yazılımına duydukları hayranlık da maharetleri de ortak.
Korsanların kodlarını kırma konusundaki maharetini tekraren sergilemiş olan Wosar, sık sık hem iltifatların hem de hakaretlerin gayesi oluyor.
Avcılar ve korsanların karakter özellikleri de misal. Birçoğu işi kendi kendine öğrenmiş işsiz teknoloji meczupları. Toplumsal nezaket açısından biraz zayıflar. Birebir oyunları, tıpkı sineması seviyorlar. Örneğin HakunaMatata isimli fidye yazılımının ismi, Gillespie’nin en sevdiği sinema olan Aslan Kral’ın Oscar’a aday gösterilmiş ünlü müziğinden geliyor. Tıpkı Fidye Yazılım Avı Timi’nin üyeleri üzere korsanların da birden fazla genç erkekler. Dünyanın dört bir yanına yayılmış haldeler fakat birçok Doğu Avrupa ülkelerinde yaşıyor.
Bazı korsanlar için benimsedikleri ahlaki kıymetler birer gurur kaynağı. Örneğin fidye ödendikten sonra kelamlarını tutup şifreleri çabucak kaldırıyorlar. Çünkü kelamlarını tutmayıp muhataplarını kandırdıkları takdirde gelecekteki kurbanlarından para alma ihtimallerinin azalacağını biliyorlar. Neden bu türlü akınlar düzenledikleri sorulduğunda farklı münasebetler sunuyorlar. Bu münasebetlerin ortak noktası ekseriyetle “Mesele para değil” oluyor. Lakin bu açıklamanın doğruluğu kuşkulu. Aslında Fidye Yazılım Avı Timi ile korsanlar ortasındaki en büyük fark da ikinci gruptakilerin paragözlüğü.
Fabian Wosar, son yıllarda o kadar çok fidye yazılımı kırdı ki korsanları püskürtmek hayatının rutinlerinden biri haline geldi. Bu durum bir noktada korsanların da ilgisini çekmeye başladı. Örneğin 2016 sonlarında yaygınlaşan NMoreira isimli yazılımını kodlayan kişi Wosar’a bir ileti bırakmayı ihmal etmemişti. “FWosar, adamsın” diye başlayan bildiri şöyle devam ediyordu: “Yaptığı işi anlayan herifler bana ilham veriyor. Umarım bunu da kırabilirsin, ukalalık olsun diye söylemiyorum, nitekim ilham vericisin. Kucaklıyorum seni.” Olağan tüm bildiriler bu kadar müspet değildi. Örneğin bir saldırgan, “Wosar, lütfen, beni kırma! Bu son teşebbüsüm. Şayet bu versiyonu da kırarsan uyuşturucuya başlayacağım” diye yalvarıyordu. (Bu kelamlar pek tesirli olmadı. Fidye yazılımını kıran Wosar, üzerine bir de bir şifre kırıcı tasarladı.) En sık karşılaştığı bildiriler ise hakaret içerikli olanlardı. Örneğin bir yazılımın satırlar dolusu harf ve sayıdan oluşan kodlarının ortasında “Hadi beni yeniden kırsana Wosar! Bakalım cüretin var mıymış” kelamları dikkat çekiyordu. Wosar, 2019 yılında BBC’ye yaptığı açıklamada fark edilmenin kendisini mutlu ettiğini belirterek, “Benim o iletisi göreceğimi bildikleri için yazma zahmetine girmişler. Çalışmalarımızın kimi pis siber hata çetelerini üzdüğünü bilmek çok güzel bir motivasyon kaynağı” sözlerini kullanmıştı.
İLK BAKIŞTA “KIRILAMAZ” DEDİ LAKİN YANILGISINI KISA MÜDDETTE ANLADI
Gillespie, 2020 yılının Kasım ayının sonlarında bir salı günü ofisinde çalışıyordu. Kurbanlardan gelen talepler ortasında öylesine kaybolmuştu ki Matthew’un gönderdiği belgeye göz gezdirecek vakti bile sıkıntı bulmuştu.
Hızlı bir incelemeden sonra okula düzenlenen taarruzda Ouroboros ismi verilen ve kırılması mümkün olmayan bir fidye yazılımının altıncı versiyonunun kullanıldığını anladı.
Antik bir sembol olan Ouroboros, kendi kuyruğunu yiyen bir yılanı tasvir ediyor.
Antik bir sembol olan Ouroboros, kendi kuyruğunu yiyen bir yılanı tasvir ediyor.
Gillespie bu keşfin akabinde Matthew’ya biraz da hudutla, “Ouroboros v6, kusurlarının tamir edildiği Ekim 2019’dan bu yana kırılamayan bir yazılım. Bunu ID Ransomware’den çoktan öğrenmiş olman lazım” diye bir e-posta gönderdi.
Ancak Matthew’nun geri adım atmaya niyeti yoktu. Gillespie’nin kendi internet sitesinde yazılım, VashSorena olarak isimlendiriliyor gerçek şartlar altında kırılabileceği belirtiliyordu. Matthew, “Aynı yazılımın iki farklı isminden mi bahsediyoruz yoksa şifreyi kırmak için bir bahtım olabilir mi?” diye sordu.
Dosya ismindeki karakterleri ve başka işaretleri tekrar inceleyen Gillespie, çabukla karar verdiğini ve çok anlaşılabilir bir kusur yaptığını fark etti. Hem Ouroboros’un hem de VashSorena’nın İran kökenli korsanlar tarafından geliştirildiğine inanılıyordu. İki yazılım da evrakları birebir formda şifreliyordu. Bunu durumu idrak edince işe koyuldu.
KORSANLARIN AÇIĞINI YAKALAMIŞ FAKAT AÇIKLAMAMIŞTI
VashSorena’yı tasarlayan yazılımcılar bir noktada kestirmeden gitmek istedikleri için yazılımın bir zayıflığı bulunuyordu. Fidyenin ödenip ödenmediğini takip etmek isteyen yazılımcılar, her kurbana özel bir kimlik numarası ataması yapıyordu. Aslına bakılırsa bu fidye yazılımında standart bir uygulamaydı. Bir öteki standart uygulama ise her kurbana belgeleri üzerindeki şifreyi kaldıracak özel bir anahtar gönderilmesiydi. VashSorena’daki farklılık kimlik numarası ise anahtarın birbiriyle kontaklı olmasıydı. Bu sayede Gillespie bir açık bulabileceğine inanıyordu.
Gillespie, VashSorena’nın birinci versiyonunu Haziran 2020’de kırmayı başarmış lakin birçok vakit yaptığı üzere bu muvaffakiyetini pek dillendirmek istememişti. Çünkü saldırganların durumu öğrendiklerinde açığı kapatmaları işten bile değildi. Korsanlara yazılımlarını mükemmelleştirmelerinde yardımcı olmak, Av Timi’nin yapmak isteyeceği son şeydi. Gillespie kendisine BleepingComputer üzerinden ulaşan en az 40 kurbanı VashSorena’dan kurtarmış fakat nasıl bir tahlil yolu geliştirdiğine dair bir paylaşım yapmamıştı. Fazla dikkat çekmemek üzerine konseyi bu yaklaşım işe yaramış üzere görünüyordu. Saldırganlar VashSorena’ya beş kere güncelleme yapmış lakin Gillespie’nin bulduğu boşluğu kapatmamıştı.
Matthew’nun kendisine gönderdiği fidye notundaki kimlik numarasını kullanan Gillespie, yazılımı kırıp belgelerin üzerindeki şifreyi kaldıracak anahtarı üretmeyi başardı. Akabinde Matthew’nun datalarını kurtarmak için kullanabileceği bir şifre kaldırma programı yazdı. Bir de anahtar üretti ve “Bir daha bakar mısın? Sahiden de VashSorena’ymış ve senin anahtarını kırabildim” bildirisi eşliğinde Matthew’ya gönderdi.
“İNANILMAZ! İŞE YARIYOR!”
Matthew bildirisi aldığında akşamın saatleriydi. Gillespie’nin yönergelerini uygulayan Matthew, eski sunucuya erişip öğrencilerin fotoğraflarını ve öteki evrakları kurtarmayı başardı.
Gillespie’ye, “İnanılmaz! İşe yarıyor” diye yanıt yazdı ve ekledi: “Sana ne kadar teşekkür etsem az. Nasıl yaptın bunu? Okuldaki öğretmenler ve öğrenciler sana öylesine minnettar olacaklar ki…”
Ancak Matthew’nun işi kendi evraklarını kurtarmakla bitmedi. Google’a bir şikâyet müracaatında bulundu ve fidye yazılımı saldırganlarının Gmail kullanmasına nasıl müsaade verildiğini sordu. (Yanıt alamadı.) Okul yetkilileri ise sonlu bütçelerine rağmen siber güvenlik yatırımlarını artırmaları gerektiğini anladı. Matthew’un yönlendirmesiyle sunucudaki belgelerin yedekleneceği bir aygıt satın alındı.
Matthew, korsanlara kaptırdığı 1000 euro’yu geri almak için de bir plan yaptı. Anahtara hala gereksinimi varmış üzere davranarak pazarlığı sürdürdü. Korsanlara, “Size tekrar güvenebilmenin tek yolu bitcoin’lerimi bana geri göndermeniz. Akabinde evraklarımı kurtarmak için size 3000 euro göndereceğim” diye ileti yolladı.
Ancak korsanların bunu kabul etmeye niyeti yoktu. “Üzgünüm” dedi e-postayı yazan kişi son iletisinde, “Bana bu teklifi 10 yıl boyunca sunsanız bile reddedeceğim”.
Fidye yazılımı hücumları, insan kaçırmanın dijital çağ için güncellenmiş hali olarak tanım ediliyor. Oltalama e-postaları üzere teknikler kullanan korsanlar bilgisayarlara sızıyor. Bir defa girdikten sonra da fidye yazılımını aktive edip bilgisayarları rehin alıyor ve istedikleri kripto para ödenmedikçe geri adım atmıyorlar. Fidye yazılımının temel ögelerinden biri olan kriptografi, günümüzde internette güvenliğin bel kemiği haline gelmiş durumda. Lakin ne yazık ki devletlerin, bölümün ve akademinin geliştirdiği yasal kriptografi yazılımları, siber hatalılar tarafından berbat hedefler için de kullanılıyor. Fidye yazılımı, şifrelemeyi silah haline getiriyor. Bu yazılımlar ortaya çıkmadan evvel, korsanların ataklarını paraya çevirebilmeleri için büyük emek sarf etmeleri gerekiyordu. Çaldıkları kimlik ya da kredi kartı bilgilerini satmak için bir alıcı bulmak zorundaydılar. Bunun olup olamayacağı da şüpheliydi. Fidye yazılımları, kurbanların bilgisayarlarına olan bağımlılıklarını paraya çevirerek korsanlığı kârlı bir iş haline getirdi. Hata teoride de pratikte de çok kolay olduğundan, dark web üzerinden bir fidye yazılım paketi alan herkes şantaj yapabilir hale geldi. Mayıs 2021’de Colonial Boru Çizgisi’ne düzenlenen fidye yazılımı saldırısı sonucu, ABD’nin doğu yakasında çok önemli akaryakıt düşüncesi yaşanınca, Washington idaresi fidye yazılımının kıymet düzeyini terörle eşitledi. FBI ortalarında Fidye Yazılımı Av Timi’nin de bulunduğu özel araştırmacılarla iş birliğini artırdı. Lakin günümüzde saldırganlar da eskiye kıyasla daha mahir. Kriptografilerini geliştirip maksatlarını daha kurnazca seçiyorlar. Her iki taraf da el yükseltirken hücumların maksadı olan iş yerleri, okullar, hastaneler ve devlet kurumlarının Fidye Yazılımı Av Timi’ne duyduğu gereksinim da günden güne artıyor.
The Guardian’da yayımlanan “Ransomware hunters: the self-taught tech geniuses fighting cybercrime” başlıklı haberden derlenmiştir.