Sony Pictures’ın hack edilmesi ve “ayrıcalıklı” hesaplar

2014 yılında yaşanan en ciddi bilgi güvenliği ihlali nedir diye sorduğunuzda birçok

kişi Sony Pictures diyecektir. Çok ciddi gündem oldu/oluyor ve hatta ülkeleri bile

karşı karşıya getirdi.

 

Sony Pictures’ın hack edilmesine yönelik bugüne kadar bir sürü şey söylendi,

söylenmeye de devam ediyor. Benim gördüğüm ise en kesin söylenebilecek lerin,

Sony Pictures’da kötü korunan, yapılandırılmamış tonlarca veri olduğu ve bu

saldırıyı yapanların verilere erişmek için ayrıcalıklı (privileged) hesapları

kullandığıdır.

Görünen o ki, Sony’de 2000li yılların başından beri oluşan veriler bulunuyordu.

 

Peki, bu veriler/dökümanlar açıkta ne yapıyordu? Niye açıkta duruyorlardı?

 

Bu kadar eskiden beri oluşan bu verilere günlük olarak erişilmesi gereken

durumlar ve erişmesi gereken Sony çalışanları mı vardı?

 

 

İlk bakıldığında Sony’de kalıcı bir güvenlik sorunu olduğu rahatlıkla söylenebilir.

Benzer sorunlar, yapılandırılmamış verileri olan ve bu verileri dert edinmeyen her

yerde vardır diye de rahatlıkla diyebiliriz.

 

Her kurumda/işletmede mutlaka hassas veriler, sözleşmeler vardır ve genelde de

bunlar yapılandırılmamış bir şekilde ve genelde de uygun olmayan güvenlik

şartlarıyla işletmelerin ağlarında, verilerin depolandığı dosya sistemlerinde

bulunuyorlardır.

Bir kısım işletmeler bu verilerle ilgili sınıflandırma, yaşlandırma ve daha sıkı

kontrol edebileceği ortamlar oluşturuyorlar ve eğer bunların bir kısmına günlük

bazda erişmek gerekmiyorsa, daha da az erişilen güvenli ortamlara taşıyorlar.

Sony de dahil birçok yerde sorun sadece yapılandırılmamış verilen risk altında

olması mı?

“Büyük müşterilerinizin önemli bilgilerini (kimlik bilgileri vs.) korumanız gerekmiyor

mu?” diye hangi kuruma sorarsanız sorun, size verilen cevap “Evet, kesinlikle

korumamız gerekiyor.” şeklinde olur.

“Peki, siz, bir müşteriyle ya da iş ortağıyla yaptığınız özel şartlar içeren bir

kontrata, Word belgesine, kimlerin eriştiğini ve baktığını sorsak, bilebilir misiniz?”

diye sorulduğunda size dönen cevap genellikle “Bilmiyoruz”, ya da biraz daha

yumuşak bir şekilde “Tam kesin söyleyemeyiz.” şeklinde olacaktır.

 

Bu soruları daha farklı şekilllerde de sorabiliriz.

 

İçinde şifre içeren belgeler her zaman, herkes için çok dikkat çekicidir.

Birçok kişi içinde şifre olan verileri bu dökümanların içinde tutulmamasını söyler

ama aynı kişiler eleştirdiği bu yanlışlığı kendi sosyal medya hesaplarının şifreleri

için yaparlar. Basit bir güvenlik kuralı ihlalidir bu.

Sony şu anda, bu temel güvenlik hatası için, belki de hepimiz adına ders alarak

bu bedeli ödüyor.

Bu temel güvenli hatasının yapılmaması lazım ama çoğumuz bu hatayı hala

yapmaya devam ediyoruz.

 

İşletmelerde yapılan, dosya sistemlerinin yönetiminde kullanılan erişim/yetki

şifrelerini korunulması gereken hassas verilerle aynı yerde tutmaktır. Hatta

hassas verileri yönetmek için kullanılan şifreler hassas verilerin olduğu yerlerde

değil daha da az güvenlikli yerlerde tutulur genellikle.

Her malware saldırısının hedefi kendini içerde bir yerde gömülü hale getirmek ve

yapılması hedeflenen “kirli işler” için bir hesaba erişmek ve ele geçirmektir.

Malware için erişilecek en iyi hesap ayrıcalıklı (privileged) hesaptır. Ayrıcalıklı

hesaplar da genelde işletmenin sistemlerinin yönetiminde yer alan kişilerin ve IT

yöneticilerinin hesaplarıdır. Bazen de sadece bir kullanıcı hesabıyla – ki

işletmelerde bir kısım kullanıcılarda ilginç erişim hakları olabilmekte – ciddi

hasarlar oluşturabilmek mümkündür.

 

Yönetici asistanlarının – özellikle de CXO asistanlarının- hangi hassas verilere

erişme yetkisi olduğunu bir düşünelim. Kötü adamlar işletmelerde bir kısım

insanların meraklı/zaaf içinde olduğunun farkındalar ve bu tür insanların

yapılandırılmamış verilerle ilgili yanlış şeyler yaptıklarının farkındalar.

IT yöneticileri hassas verilere ve özel kontratlara erişirlermi diye,

karşılaşacağımız cevap ilginç ilginç olacaktır. Halbuki, gerçekte bir kısım

ayrıcalıklı haklara sahip IT çalışanlarının bu tür girişimleri var, ve hepimiz bunu

biliyoruz ve farkındayız. Yaptığımız ise sadece onlara güvenmek… Yeterli mi?

Peki bu tür haklara sahip bir IT çalışanının hesabı kötü adamların eline geçince

ne olur? Yabancıların deyimiyle “ game over” olur, yani oyun biter.

Sony’de de dışarıya çıkan bilgilere, büyüklüklerine baktığımızda görünen ilk şey

kötü adamların elinde sistemlere/bilgilere/belgelere erişimde kullandıkları yönetici

yetkileri var olduğudur.

Peki o zaman başka bir soru daha soralım. Genelde de sorulmaktan korkulan bir

soru bu. IT yöneticileri neden hassas iş verilerini görme hakkına sahip?

Ya da “sistemlerimizi yönetenleri, gözlemleyenleri kim izliyor?” sorusu. Çok temel

bir soru bu bence.

Şirketin operasyonlarından sorumlu yöneticisinin elinde nasıl kurumsal web

sunucusuna müdahale yetkisi yoksa, IT yöneticilerinin elinde de kurumsal hassas

verilere erişme/okuma yetkisi olmamalıdır.

Aslında basit bir görev ayrışımı konusu.

Ve güvenlikle ilgili çalışan herkesin de bilmesi gereken en temel yaklaşımlardan

biri.

0 cevaplar

Cevapla

Want to join the discussion?
Feel free to contribute!

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir