WannaCry

Teknolojinin artık hayatımızın bir parçası olduğu günümüz dünyasında; kitleleri kontrol etmenin, toplumu izlemenin ve en önemlisi savaşlarda bir adım öne geçmenin yolu şüphesiz ki teknolojide ilerlemekten geçer. Bunun en somut göstergesi ise günümüzde yapılan büyük siber saldırılar ve eylemlerin, devletler ve hükümetler tarafından fonlanmasıdır. Hatta bunun en büyük örneği; ABD ile İsrail'in, İran'ın nükleer programını herhangi bir fiziksel saldırıda bulunmadan yalnızca bir bilgisayar virüsü kullanarak sabote etmesi olabilir. Bunun bilincinde olan Amerikan Ulusal Güvenlik Ajansı (NSA), kuruluşu olan 1952'den beri kitleleri kontrol altında tutabilmek ve ayrıca yeri geldiğinde düşman ülkelerden kolayca veri çalabilmek için çok sayıda istihbarat yazılımı geliştirmiş, farklı işletim sistemlerinde global çapta krizlere sebep olacak açıklar oluşturmuş, açıkça söylemek gerekirse canavarlar yaratmış ve bunları zamanı geldiğinde kullanmak için saklamıştır. Peki bu canavarlardan biri kafesinden kaçar, yanlış kişinin ellerine düşer ve kontrolden çıkıp tüm dünyayı tehdit eden bir virüse dönüşürse, sonucu ne olabilir? Bir dönem neredeyse her bilgisayara bulaşarak, bilgisayar kullanıcılarının kabusu haline gelmiş ve Dünya çapında geçici olarak hayatı durdurmuş olan WannaCry virüsünü hatırlıyor musunuz?

Takvimler 12 Mayıs 2017 tarihini gösterdiğinde küresel ölçekte birçok bilgisayar kullanıcı ortak bir kabusla güne başladı. Bilgisayarlarını açan herkesin sistemlerinin arka planı aynı şekilde değişmiş, dosyaları şifrelenmiş ve herkesin bilgisayarların ekranlarında aynı yazı belirmişti. Birileri ya da birisi sistemlerine sızmış, bütün dosyalarını şifreleyerek kilitlemiş ve tüm bunların düzelmesi için fidye talebinde bulunuyordu. İnsanlık WannaCry virüsü ile bu şekilde tanıştı. O gün bilgisayardan oyun oynayanlardan, kargo firmalarına, operatör servislerinden, sigortacılık şirketlerine ve hatta daha da kötüsü, hastaneler de dahil olmak üzere 150 ülkeden 250 bin bilgisayar aynı kaderi yaşıyor; WannaCry kabusu yüzünden sistemleri kitleniyor ve bilgisayarları kullanılmaz hale geliyordu. Bazı ülkelerde telekomünikasyon şirketleri WannaCry virüsünden etkilenerek çöktüğünden dolayı, etkilenen operatörlerin kullanıcıları arama yapamıyor; İngiltere'de hastaneler çalışamıyor ve ambulans çağırılamıyor, Rusya'da üniversiteler eğitime devam edemiyordu. Resmen hayat durma noktasına gelmişti ve işin kötü yanı kimse virüsün nerden bulaştığını ve sisteme nasıl sızdığını anlayamıyor, en güvenli sistemler bile hackleniyor; tüm haber kanalları, teknoloji forumları ve gazeteler bu büyük siber saldırıyı konurlarken akıllardaki soru ise belliydi. Kim, nasıl ve neden böylesine büyük bir siber saldırı düzenlemişti? Cevap aransa da bulmak imkansızdı çünkü saldırı bir ülkeye veya gruba değil küresel ölçekte yapılıyordu. Yaşanan bu saldırı aslında yeni değildi. Kaynağı 5 yıl öncesine, ABD'nin Maryland eyaletindeki ABD Ulusal Güvenlik Ajansı'na (NSA) dayanıyordu. 2011 yılının bahar aylarında; NSA, Windows cihazlarda fark ettiği bir güvenlik açığı üzerine istihbarat projesi geliştirmeye başladı. Tüm Dünya'dan istedikleri zaman veri toplamak, toplumu ve büyük kitleleri kontrol altında tutabilmek için daha önce yüzlerce proje geliştirmiş olan NSA; bu sefer yeni ve çok daha büyük bir projeye imza atmıştı.

EternalBlue projesi; Microsoft'un bilgisayarlar arası dosya gönderimi ve ağa bağlı cihaz kontrolü gibi görevleri yerine getirmek için kullandığı sunucu ileti protokolünün bazı paketleri işleyemeden onayladığını fark eden NSA, bu açığı fark ettikten hemen sonra üzerine yoğunlaşıp ardından da bu açığı da bir proje haline getirmiştir. Bu proje sayesinde istedikleri sistemde istedikleri kodları çalıştırabiliyor, istedikleri verileri elde edebiliyor, isterlerse sistemi kullanılmaz hale getirebiliyor ve hatta tüm bunları o sistemin bağlı olduğu ağdaki tüm cihazlara yapabiliyorlardı. Bu şu anlama geliyor: Bir savaş anında eğer düşman ülke Windows kullanıyor ise o ülkenin tüm hastanelerine, iletişim ağlarına, askeri planlarına ve ağa bağlı olan tüm bilgisayarlarına sızmak, kullanılamaz hale getirmek ve o ülkedeki hayatı durdurabilmek demek. NSA, 2011 yılından 2016 yılına kadar tam 5 yıl boyunca EternalBlue projesini sakladı ve Microsoft'u projeden haberdar etmeden sistemdeki açıkları kullandı. İstedikleri tüm sistemlere sızıp, istedikleri her şeyi yaptılar ve gerçekten çok güçlülerdi ancak unuttukları bir şey vardı. İnternetteki hiçbir sistem güvende değildir.

Bu yüzden EternalBlue projesinin ortaya çıkarılması çok da uzun sürmedi. Ağustos 2016 tarihinde Twitter'da, Shadow Brokers adındaki bir hesap, kendileri tarafından NSA'in hacklendiğini ve EternalBlue projesi dahil olmak üzere NSA'in geliştirdiği tüm projeleri çaldıklarını ve bunu açık arttırma yolu ile satacaklarını iddia ettikleri bir yazı yazan linki paylaştılar. İşin kötü yanı ise linkteki yazılar ciddi kanıtlar içeriyordu, çalınan projeler arasında zamanında İran'ın nükleer programını sabote etmek için üretilmiş ve başarılı olmuş Stuxnet projesi bile vardı. Paylaşılan yazıdaki görsel kanıtlar yetmezmiş gibi Shadow Brokers adı verilen bu grup, bazı projeleri bedava olarak yayınlamış ve insanların açık arttırmaya nasıl katılabileceklerini anlatıp sessizliğe bürünmüşlerdi. Sızıntı gerçekti ve bu yüzden NSA tam 5 yıldır bilmelerine rağmen sakladıkları tüm açıklarla ilgili Microsoft'u bilgilendirdi. Microsoft ise kimseye bir açık olduğunu duyurmadan yeni güvenlik güncelleştirmeleri getirdi ama hangimiz Windows güncelleştirmelerini öncelik haline getiriyor, yayınlandığı gibi yapıyoruz ki? Artık her şey için çok geç kalmışlardı çünkü kimse Shadow Brokers grubunu bulmayı bırakın, onlara dair herhangi bir ize bile rastlayamıyordu. 14 Nisan 2012 tarihinde ise Shadow Brokers, EternalBlue projesini herkese açık olarak paylaştı ve 12 Mayıs 2017 tarihinde kaos başladı. İçerisinde birçok Türk şirketten tutun ünlü kargo firması FedEx, birçok ülkeden onlarca operatör, hava yolu şirketleri hatta en kötüsü insanların hayatlarını kurtaran hastanelerin bile bulunduğu 150 ülkeden 250 bin bilgisayar o gün açıldığında ekranlarında aynı görüntü vardı.

Tüm sistemlerin arka planları değişmiş, dosyalar şifrelenmiş ve tüm bilgisayarların ekranında aynı program gözüküyordu: WannaCry. İnsanlar nasıl olduğunu anlamadıkları bir şekilde bilgisayarlarına virüs bulaşmasına sebep olmuştu. Wana DecryptOr 2.0 adında bir uygulama, açıkça bilgisayardaki dosyaların tümünü şifrelediğini ve belirtilen süre içerisinde 300 dolarlık Bitcoin yollamazlarsa tüm dosyaları sileceği yazıyor eğer para üç günden geç gelirse ödemenin iki katına çıkacağını açıkça belirtiyordu. Programı kapatamıyor ya da dosyalarınızı geri alamıyordunuz, yani programdan kurtulmanın hiçbir yolu yoktu. Önceki gece bilgisayarlarını normal bir şekilde kapatan hatta belki de hiç açmayan insanlar bile 12 Mayıs'ta bilgisayarlarını açtıklarında virüsle karşılaşıyorlardı. Virüsün bilgisayarınıza bulaşması için yapmanız gereken hiçbir şey yoktu çünkü o bilgisayarınızı buluyor ve bulaşıyordu. Microsoft, EternalBlue projesinden haberdar olmasına rağmen değer kaybetmemek için hiçbir açıklama yapmadığı ve yalnızca bir güvenlik güncellemesi getirdiği için herkes tehlikedeydi. Sebebi ise Windows güncellemesini yapmadıysanız, eski sürümlerdeki sistem açığından dolayı ağa bağlı olduğunuz sürece virüs bilgisayarınızı otomatik olarak tespit ederek bulaşıyordu. İngiltere ve İskoçya'da Ulusal Sağlık Sistemi çöktü, çok acil durumlar olmadığı sürece hiçbir hastane hasta kabul edemedi ve ambulans gönderemedi. Rusya İçişleri Bakanlığı, Rusya Acil Durum Bakanlığı ve Rus telekomünikasyon şirketleri de aynı kaderi yaşayarak çöktü. Nissan ve Renault birkaç günlüğüne üretimi durdurdu. Telefonika, FedEx, Almanya Demir Yolları, Çin Kamu Güvenliği Bürosu, Honda, onlarca petrol şirketi ve bankalar virüsten dolayı kapalı kaldı. Günler boyunca yüzlerce firmanın sistemleri kapalıydı ve sadece firmalar değil, Türkiye'de dahil olmak üzere Dünya'nın dört bir yanından insanlar da verilerini kaybediyordu. WannaCry milyonlarca değil milyarlarca dolar zarara sebep oluyor, Dünya genelinde resmen bir siber pandemi yaşanıyor ve kimse virüsün önüne geçemiyordu.

NSA yani Amerikan Ulusal Güvenlik Servisi, uluslararası çapta güvensizliğe sebep olmuştu. Yarattıkları canavar kontrolden çıkmıştı ancak kimse bunu düzeltmiyordu. Ta ki Marcus Hutchins adında, 23 yaşındaki genç bir siber güvenlik uzmanı kariyerinde büyük bir sıçrama yaşayabilmek ümidiyle WannaCry virüsünün kodlarını incelemeye karar verene kadar. Evet doğru okudunuz WannaCry krizini başa bela eden NSA ya da insanları yeterince bilgilendirmeyen Microsoft değil, genç bir siber güvenlik uzmanı düzeltmeye uğraşıyordu. Hutchins, kodları incelerken bir şey fark etti. WannaCry virüsü, sanal makinelerde çalışmayı önlemek için her açıldığında bir web sitesinde sorgu gönderiyordu ve işin iyi yanı sorgu gönderdiği web sitesi gerçekte hiç var olmamıştı. WannaCry virüsünün her açıldığında sistemin bir ağa bağlı olup olmadığını kontrol etmek için sorgu gönderdiği web sitesi rastgele sayı ve harflerden oluşuyordu. Bu noktaya geldiğinde ise Hutchins, 10 dolar 69 cent vererek bu web sitesini satın aldı. WannaCry virüsü ise sorgu gönderdiği web sitesinden yanıt almaya başlayınca çalışmayı durdurdu. 150 ülkede, 250 bin bilgisayarın hepsinde WannaCry virüsü büyülü bir şekilde çalışmayı durdurmuştu, kabus bitmişti.

Peki olayın ardından Marcus Hutchins'e ne oldu? İncelemeler sonucunda Hutchins'in basit bir siber güvenlikçiden öte, virüs tasarlayıp Dark Web'de satan hatta çok bilinen bir banka virüsü olan Kronos'un yapımcısı olduğu ortaya çıktı ve FBI tarafından Nevada eyaletinin Las Vegas şehrinde tutuklandı. Günümüzde ise WannaCry virüsü, sisteminizi düzenli olarak güncelleyen biri iseniz bir tehdit değil. WannaCry virüsünü kimin yaptığını sorarsanız ABD, Kuzey Kore'yi suçlasa da gerçek hala büyük bir sır.