İçeriğe geç

TÜBİTAK Raporu 2

Tutuklandığımız günden itibaren bilgisayarımızda bulunduğu iddia edilen sözde belgelerin nereden, nasıl geldiğinin araştırılmasını istedik. Ne Savcılık, ne mahkeme oralı oldu. Boğaziçi’ne, ODTÜ’ye, Yıldız Teknik’e ve bir ABD bilişim şirketine başvurup, o incelemeyi bizler yaptırdık. Yani onlar sadece iddia etti, bizler masumiyetimizi ispatlamak zorunda bırakıldık.

Birbirinden habersiz bu kurumlar saniyesi saniyesine aynı sonuçlara ulaştı. Sözde belgelerin sahte e-mail adresleri kullanılarak, ABD’den (Jangomail adresinden) gönderildiği ortaya çıktı.

Ancak Mahkeme bunları da önemsemedi, “İlla TÜBİTAK” dedi. 3 bilgisayarın incelemesi tam 7 ay sürdü!.. Bakalım TÜBİTAK bilgisayarlarımızda bulduğu “zararlı yazılımlar” hakkında ne diyor?

Raporun 229. sayfasından:

“Tespit edilen bu zararlı yazılımların birçoğu ya aktif konumda değil, ya da aynı zararlı yazılımın uzantısı olan farklı dosyaları göstermektedir. Bunun yanında tespit edilen zararlı yazılımların büyük çoğunluğu genel amaçlı olup birçok kullanıcı bilgisayarında bulunabilmektedir…

Bahse konu olan dosyaları ilgili bilgisayarlara uzaktan koyabilmek için:

İlgili bilgisayar kullanıcısını özel olarak hedef almış olan bir sosyal mühendislik saldırısının düzenlenmesinin,Bu saldırı ile uzaktan kontrol ve dosya atma özelliği olan bir zararlı yazılım gönderilmesinin,Gönderilen zararlı yazılımın kurbanın bilgisayarında başarılı bir şekilde çalışmasının

gerekli olduğu değerlendirilmektedir.”

Sosyal Mühendislik ifadesine dikkat! Türkçesi, bizlere bu tuzağı kuranlar en çok hangi konularla ilgilendiğimizi, nereden gelen e-mailleri açtığımızı takip etmiş; sonra tezgah başına geçmiş!.. Sonra? Sonrasını TÜBİTAK raporundan takip edelim:

Sayfa 230 ve 231’de bulunan Tablo 12’de görüleceği üzere aynı Jangomail adresinden([email protected]) -Barış Terkoğlu, Barış Pehlivan, Soner Yalçın ve OdaTv e-posta adresleri kanalıyla- OdaTv bilgisayarına Doğan Haber Ajansı, CHP basın birimi, DİSK ve Leman dergisinden geliyor gibi gösterilerek atılan 10 e-posta var.

Raporun 231. sayfasında bu e-postaların içerdiği yazılımların uzaktan kontrol ve dosya atma özelliklerine de sahip oldukları anlatılıyor.

Bu durumda sayfa 229’daki “uzaktan dosya yollama gereklilikleri”nden ilk ikisi; yani “kullanıcıyı özel olarak hedef almış sosyal mühendislik saldırısı”nın ve “uzaktan kontrol ve dosya atma özelliği olan bir zararlı yazılım gönderilmesi”nin gerçekleştirildiği açıktır.

Biraz daha açarsak;

Barış Terkoğlu’na ait e-posta adresine bu yolla gönderilen 10 e-postada bulunan 2 zararlı dosyadan birisinin (Ataturk_Ekrankoruma.scr) indirilmesine e-posta servisi tarafından izin verilmediği, ancak diğerinin (Duyuru.pdf) çalıştığı anlaşılıyor(Sayfa 234-235). Bu da yukarıda 229. sayfadan alıntıladığımız gerekliliklerden 3’üncü ve sonuncusunun da yerine getirildiğini gösteriyor.

Sonuç olarak raporda da belirtilen, “bahse konu olan dosyaları ilgili bilgisayarlara uzaktan koyabilmek” şartlarının tümü OdaTv bilgisayarı için geçerlidir.

Öte yandan raporun 243. ve 244. sayfalarında, OdaTV ve Müyesser Yıldız’ın bilgisayarlarındaki virüslerin benzerliği ve virüslerin bağlantı kurmaya çalıştığı adreslerin aynı olması nedeniyle, her iki bilgisayara gönderilen virüslerin aynı saldırgan tarafından gönderildiği ihtimalinin güçlü olduğu vurgulanıyor.

Barış Pehlivan’ın bilgisayarına gelirsek;

Barış Pehlivan’ın e-posta adresine de bahsi geçen zararlı dosyalar gönderilmiş. Yine dosyalardan birinin çalıştırılmasına izin verilmezken, “Duyuru.pdf”in bir bilgisayarda bıraktığı anlaşılan 24 izden 10’una Pehlivan’ın bilgisayarında da rastlanmış(sayfa 245). O izlerden belki de en önemlisi olan “Svchost.exe”nin birden fazla kez çalıştırıldığı (ilki 6 Şubat, sonuncusu 13 Şubat’ta olmak üzere) tespit edilmiştir.

Ve benim bilgisayarım;

E-posta adresime -yine Leman dergisi ve CHP basın birimi gibi görünen adreslerden- gönderilen zararlı dosyalardan ikisinin (0tayyip2it2.scr, 1tayyip.scr) bilgisayarımda çalıştırıldığı tespit ediliyor(sayfa 256). Bu iki dosya çalıştırıldığında ilk iki bilgisayarda bulunan virüslerin yaptığına benzer faaliyetlerde bulunduğu (aynı isme sahip dosya yaratmak, aynı adresle bağlantı kurmaya çalışmak, vb) belirtiliyor.

Sonuç; Sayfa 259’da yer alan “Zararlı Yazılım Analiz Sonucu”nda, bilgisayarlarımıza “uzaktan dosya atma işleminin yapılmış olması mümkündür” şeklinde görüş bildiriliyor.

Müyesser YILDIZ

28 Ağustos 2012

Odatv Link: https://odatv4.com/yazar/muyesser-yildiz/kim-bu-sosyal-muhendisler-2808121200.html

Kategori:Uncategorized