Backdoor saldırısı nedir? Tanım, Örnekler ve Kendinizi Korumak İçin Alabileceğiniz Önlemler

Backdoor, İngilizcede “arka kapı” demektir ve yetkisiz bir kişinin belirli bir sisteme erişmek için normal güvenlik önlemlerini aşmasını sağlayan herhangi bir yol anlamına gelir. Yazılımlar çoğunlukla dahili arka kapılara sahiptir. Zira geliştiriciler, yerleşik savunma özellikleriyle uğraşmadan sisteme doğrudan bağlanıp kullanıcıların sorunlarını çözmek için bu arka kapıları kullanırlar. Ancak bunu siber suçlular da verilere ve sistemlere yetkisiz erişim elde etmek için yapabilir.

Saldırganlar, bir ağa veya cihaza bu şekilde erişim sağladıktan sonra malware (kötü amaçlı yazılım) yükleyebilir, verileri çalabilir veya kullanıcı faaliyetlerini gözetleyebilir. Backdoor, bir virüs değildir, zira ağdaki veya sistemdeki dosyaları bozmaz. Bu nedenle, “backdoor virüsü” yanlış bir tanımlama olacaktır. Bu, yetkisiz bir kişinin bir ağ veya sistemde üst düzey yetki kazanmasına neden olan bir güvenlik açığıdır. Aynı nedenle, “backdoor virüsü nedir” sorusu da yanlış olacaktır: Backdoor, kendi başına bir şey yapmaz ancak kötü niyetli saldırganların sisteme giriş yapabileceği bir “kapı” olarak kullanılabilir.

Backdoor saldırıları son derece tehlikeli olabilir zira bilgisayar korsanlarının bir sistem veya ağa genellikle “yönetici” seviyesinde erişim elde etmesine neden olurlar. Bir bilgisayar korsanı bunu tespit edilmeden yapabilirse, aylar boyunca kullanıcıların yaptıklarını takip edebilir. Bir backdoor, veri hırsızlığı, phishing (oltalama) saldırıları, siber casusluk ve hatta siber savaş amacıyla bile kullanılabilir. Diğer bir deyişle, belirli bir sistem veya ağa “yönetici” yetkisiyle erişimi olan birinin yapabileceği her şeyi, backdoor sayesinde bilgisayar korsanları da yapabilir.

Backdoor saldırıları, erişim elde etmek için kullanılan yöntem ve erişim amacı bakımından farklı türlere ayrılır. Aşağıda, bunları bir liste halinde görebilirsiniz.

Pek çok yazılım geliştiricisi, kendi tasarladığı sistemin farklı alanlarına kolayca erişebilmek için programa bir backdoor ekler. Bunu, kullanıcıların sorunlarını gidermek ve güvenlik açıklarını düzeltmek amacıyla yaparlar. Ancak bu tip arka kapılar, siber suçlular tarafından keşfedilirse, bir siber saldırı düzenlemek için kullanılabilirler.

Bu backdoor türü, kötücül amaçlarla yaratılır ve teknik olarak bir Truva atı virüsü gibi çalışır. Bilgisayar korsanları, örneğin e-posta ekleri aracılığıyla hedef olarak seçilen kişinin cihazına bir backdoor yükleyebilir. Bunun ardından bu cihaza uzaktan erişim elde ederek onun bağlı olduğu ağlara sızmaya başlayabilir. Bilgisayar korsanları, bir işletim sisteminin koduna erişebilirse, o sistemi kullanan her cihaza uzaktan bağlanmasını sağlayacak arka kapılar bile ekleyebilir.

Pek çok backdoor, insani hatalar sonucunda açılır. Örneğin, bir geliştirici, programında zayıf bir nokta bırakmış ve bunu tespit edememiş olabilir. Bir bilgisayar korsanı bu güvenlik açığını bulursa, onu işletim sistemine veya uygulamaya sızmak için bir backdoor olarak kullanabilir. Bu türden arka kapılar oldukça tehlikeli olabilir zira ilgili güvenlik açığı fark edilmediği sürece, saldırgan onu kullanmaya devam edecek ve bu açığa sahip program veya işletim sistemini kullanan her cihaza erişebilecektir. Dahası, ilgili güvenlik açığı bir güncelleme ile kapatılsa bile, kullanıcıların bazıları bu güncellemeyi yüklemeyebilir.

Backdoor saldırılarının çoğu yazılım kusurlarından oluşur ancak bir cihaza fiziki olarak da bir arka kapı eklemek mümkündür. Örneğin, NSA, “Clipper” adında bir çipin henüz üretim aşamasında belirli cihazlara eklenmesini planlamıştı: Bu çip, istihbarat ajansının ABD’de kullanılan pek çok elektronik cihaza uzaktan erişebilmesini sağlayacaktı. Ancak donanımsal arka kapılar, hedeflenen cihaza fiziksel erişim gerektirdiğinden sıradan siber suçlular için yüksek risk taşır, bu nedenle çoğunlukla tercih edilmezler.

Kötü amaçlı backdoor saldırılarının ilk örneklerin biri, 1998’de bilgisayar korsanlarından oluşan bir topluluk olan Cult of the Dead Cow’un geliştirdiği programdı. Bu program, Windows işletim sistemindeki güvenlik açıklarını kullanarak saldırganın enfekte olmuş cihazı uzaktan kontrol edebilmesini sağlıyordu.

On yıl sonrasına gidersek, bir yönetici arka kapısı örneği verebiliriz. Juniper Networks adında bir şirket, ürettiği bazı ürünlerin yazılımlarına kasıtlı olarak arka kapılar yerleştirdi. Bu sayede, çalışanları sadece bir ana şifre kullanarak herhangi bir cihaza yönetici yetkisiyle bağlanabiliyordu. Ancak aynı yöntemi NSA’nın da istihbarat elde etmek için kullandığı ortaya çıktı.

Benzer bir durum, 2020 yılında ABD devlet kurumlarına yazılım tedarik eden bir şirket olan SolarWinds’de de yaşandı. Saldırganlar, SolarWinds yazılımına arka kapılar kurarak güvenlik protokollerini atlattı ve yaklaşık bir yıl boyunca ABD hükümetinin faaliyetlerini gözetleyebildi.

Bireysel kullanıcıların kendileri backdoor saldırılarından korumak için yapabilecekleri sınırlıdır, zira bu saldırılar genellikle sıradan kullanıcıları değil, büyük kuruluşları ve hizmet sağlayıcıları hedefler. Bununla birlikte, bilgisayar korsanlarının şirketinize sızmasından endişe duyan bir çalışansanız, kendinizi korumak için yapabileceğiniz bazı şeylerden aşağıda bahsediyoruz.

• İş cihazınızı kişisel internet gezintileri için kullanmayın. Yüksek riskli web sitelerini ziyaret etmeseniz bile, yanlışlıkla kötü amaçlı bir reklama veya kimlik avı bağlantısına tıklama riskiniz vardır. Bunu yaparak kötü amaçlı bir yazılımın cihazınıza yüklenmesine neden olabilirsiniz. Kişisel bilgisayar veya telefon gibi bir iş cihazı, bilgisayar korsanının tüm şirket ağına erişmesine neden olabilir, dolayısıyla onu korumak sizin sorumluluğunuzdadır.
• Olağandışı veya şüpheli olayları bildirin. Cihazınız tuhaf davranmaya mı başladı? Şüpheli bir e-posta mı aldınız? Belki boş yere endişeleniyorsunuz ancak belki de bir saldırgan şansınızı deniyordur. Şüpheli her türden olayı çalıştığınız kuruluştaki yetkililere bildirin. Şirketin bir güvenlik ekibi veya IT uzmanı varsa doğrudan onlarla iletişime geçebilirsiniz. Size önemsiz görünebilecek bir şey, uzmanın hemen tanıyabileceği bir yetkisiz giriş denemesi olabilir.
• Özellikle seyahat ederken bir VPN kullanın. Uzaktan çalışma giderek yaygınlaşıyor, ancak yerel dışarıdayken halka açık Wi-Fi noktasına bağlanmak riskli olabilir. Bu türden erişim noktaları genellikle bilgisayar korsanları tarafından da kullanılır. Bu nedenle çevrimiçi etkinliğinizi gizli tutmak için iş cihazınızda bir VPN kullanın.

Kötü niyetli arka kapıları cihazınızdan kaldırmak için kullanabileceğiniz tek bir sihirli formül yoktur, zira her biri farklı şekilde çalışır. Ancak yapabileceğiniz bazı şeyler halen vardır. Örneğin:

• Kötü amaçlı yazılım önleme programları kullanın. İyi bir kötü amaçlı yazılımdan koruma programı, sisteminizdeki arka kapıları da bulup kaldırabilir. Böyle bir yazılımı henüz backdoor sorunu ortaya çıkmadan kullanmaya başlamak en iyisidir.
• Sisteminizi sıfırlayın. Belirli bir cihazın veya işletim sisteminin backdoor yaratmak için kullanılan bir kötü amaçlı yazılım içerdiğini düşünüyorsanız, sistemi sıfırlamak da yardımcı olacaktır. Yedeklenmemiş tüm verileri kaybedersiniz, ancak kötü amaçlı yazılım da diğer dosyalarla birlikte silinecektir. Bununla birlikte, backdoor işletim sisteminin kendisine kodlanmışsa, bunu yapmak sorunu çözmeyecektir.
• Kötü amaçlı yazılımları manuel kaldırın. Backdoor, sisteminize adware gibi kötü amaçlı bir yazılım aracılığıyla bulaşmışsa, bazı durumlarda onu manuel olarak kaldırmanız mümkün olabilir. Bu programlar genellikle kendilerini gizler ve normal aramalarda görünmez. Ancak bazılarını halen “program ekle – kaldır” ekranında görebilir veya anti virüs programları aracılığıyla tespit edebilirsiniz. Söz konusu dosyayı bulduktan sonra silin ve çöp kutunuzu da boşaltın.

Çevrimiçi ortamda endişelenmeniz gereken tek tehdit backdoor saldırıları değildir. Karşılaşabileceğiniz en yaygın siber güvenlik risklerinden bazılarını aşağıda listeliyoruz.

• Kimlik avı saldırıları. Bunlar, bilgisayar korsanları tarafından genellikle e-posta aracılığıyla düzenlenen saldırılardır. Saldırı, hedef olarak seçilen kişiye şüpheli bir bağlantı içeren bir e-posta gönderilmesiyle başlar. Gönderici, gerçek bir şirket veya tanıdık bir isim gibi görünebilir. Her halükârda, mesaj içeriği, alıcıyı bağlantıya tıklamaya teşvik eder. Bu bağlantı da, ya kötü amaçlı bir yazılım yükler ya da hedef olarak seçilen kişiyi gizli bilgilerini ifşa etmesi için kandıran bir sayfaya yönlendirir.
• Kötü amaçlı reklamlar. Çoğu çevrimiçi reklam can sıkıcıdır, ancak bazıları buna ek olarak tehlikeli de olabilir. Bilgisayar korsanları, kötü amaçlı yazılım içeren web sitelerine bağlantı veren ve hatta kötü amaçlı yazılımları kendileri barındıran reklamlar yaratabilir. Bu reklamlar bazen bilindik web sitelerinde bile görülebilir. Örneğin, The New York Times ve Spotify gibi büyük platformlar dahi kötü amaçlı reklamlara ev sahipliği yapmıştır.
• Brute force (kaba kuvvet) saldırıları. Siber suçlular, doğru şifreyi bulana kadar saniyeler içinde milyonlarca şifre kombinasyonu deneyebilen güçlü programlara sahiptirler. Bunların tek yaptığı, gerçek şifreyi bulana kadar çok sayıda kombinasyonu artarda denemektir. Aynı nedenle, “kaba kuvvet” adını alırlar ve zayıf bir şifre kullanıyorsanız, bu tür saldırılara karşı savunmasız olabilirsiniz. Genel olarak, mümkün olduğu kadar uzun şifreler seçmeniz ve gerçek kelimeler veya ayırt edilebilir sayı dizileri içermeyen parolalar tercih etmeniz gerekir.
• DDoS saldırıları. Dağıtılmış hizmet reddi saldırıları (DDoS saldırısı), bilgisayar korsanlarının bir ağı veya web sitesini çökene ve kullanılamaz hale gelene kadar sahte trafikle meşgul etmesi anlamına gelir. Korsanlar, bu sahte trafiği oluşturmak için botnet’ler (kötü amaçlı yazılım bulaşmış cihazlardan oluşan ordular) kullanabilir.