Botnetler son yıllarda siber ataklar başta olmak üzere geniş çaplı İnternet atakları için en yaygın kullanılan zararlı yazılımlardır. Bot kelimesi “Robot” kelimesinden türetilmiştir. Robot daha önceden planlanmış işleri yapan makinedir. Bu botların bir merkezden yönetilen büyük gruplarına botnet adı verilmektedir. Botnetler genellikle tek bir merkezden yönetilerek botların bir koordinasyon içerisinde belli amaçlar için yönlendirilmesinde kullanılırlar. Botnetler tarafından kontrol edilen bilgisayarlar botnet üyesi ya da köle bilgisayar (Zombie) olarak adlandırılmaktadır.

Botnet tehdidi 1999 yılında win32/prettypark zararlı yazılımı ile ilk defa yapılan dağınık servis dışı bırakma (DDoS) atağından beri bilinmektedir. 2007 yılının sonunda tüm güvenlik endüstrisi, botnetleri güvenlik listelerinin en önemli tehdidi olarak kabul etmiştir. İlk botnetler IRC (Internet Relay Chat) protokolünü kullanmışlardır. Daha sonra IRC protokolünün kolayca fark edilmesi ve önlenebilmesinden dolayı http, https, P2P gibi yeni haberleşme protokolü arayışlarına girmişlerdir.

2007 Nisan ayında Panda software arka kapı sağlayan bir kodu açıklayarak ilk defa Zunker’i tanımlamıştır. Bu botnet dünyasında Botnet 1.0 mimarisinden Botnet 2.0 mimarisine geçiş olarak kabul edilmiştir [1]. Bu yapıda IRC değil http protokolü kullanılarak haberleşme sağlanmıştır. Bu yapıda kurban bilgisayar e-posta ile gelen açıklığı çalıştırarak ya da bir web sayfasını ziyaret ederek Zunker’in bilgisayarına bulaşmasını sağlıyordu. Bir defa zararlı yazılım bilgisayara bulaştıktan sonra bilgisayar korsanları bilgisayarı uzaktan kontrol edebiliyordu. Zunker web sunucu üzerinde çalışan çok iyi yazılmış php ve CGI betiklerinden oluşuyordu. Fakat sadece bir arayüzden ibaret olup, ancak kurbanları izleyebiliyordu. Doğrudan bilgisayarları tarayıp bulaşamıyordu. Daha sonra rootkit teknolojisini kullanarak şifreli haberleşmeleri dinleyen, dinlediği verileri MySQL’de sorgulama yapabilecek formatta gönderebilen Gozi botneti ortaya çıktı ve onu değişik yetenekler içeren Mpack, Dream Downloader, Storm worm izledi.

Günümüzde de Pandex, Cutwail, Rustock, Donbot, Ozdok, Xarvester, Grum gibi botnetler çeşitli önlemler alınmasına karşı başta istenmeyen eposta olmak üzere pek çok atak yapmaktadır. 2009 yılı Aralık ayı verilerine göre her gün 85 milyar istenmeyen e-posta botnetler tarafından gönderilmektedir [2]. Yaygın görülen botnetlerin 2008-2009 yıllarında yaydıkları istenmeyen e-posta oranları Şekil 1’de verilmektedir. Bu aynı zamanda bu yıllardaki aktif botnetleri de göstermektedir [3].


Şekil 1. Botnetlerin gönderdiği istenmeyen eposta oranları

Günümüzde diğer zararlı yazılımlar gibi botnetler de çoğunlukla aşağıdaki yollardan birini kullanarak yayılmaktadır [4].


    [*] Güvenlik olmayan ya da zayıf olan politikalardaki açıklıklar,
    [*] BT (Bilişim Teknolojileri) ürünlerdeki güvenlik açıklıkları,
    [*] Sosyal mühendislik taktikleri

Botnetler, verdikleri zararlar ve uygulama alanları açısından zararlı yazılımlar içinde ön sıralarda bulunmaktadır.

Botnetler çevrimiçi (online) bilgisayar sistemlerinin karşı karşıya olduğu en büyük tehdittir. Dağıtık bilgisayar sistemleri olan botnetler, finansal **************lık, siber ataklar, dağıtık servis dışı bırakma atakları (DDoS), istenmeyen eposta gönderme, ajan yazılımlar, yemleme (Phising) epostaları, yazılımların yasal olmayan dağıtımı, bilgi ve bilgisayar kaynaklarının çalınması, kimlik hırsızlığı gibi birçok bilgisayar saldırısı için de kullanılabilirler.

Botnetler birkaç katmanlı C&C (komuta kontrol - Command&Control) merkezleri sayesinde değişik dillerdeki, değişik ülkelerdeki, değişik zaman dilimlerindeki, değişik yasalar altındaki bilgisayarları kontrol etmeyi sağlayan mekanizmalardır. Bu mekanizmalar botnetlerin izlerini sürmeyi zorlaştırdığı için onları bilişim suçları için çekici bir araç haline getirmektedir.

Önceki nesil virüs ve kurtçuklarda olduğu gibi botnetler de kendi kendilerine açıklık içeren bilgisayarlara bulaşarak yayılan zararlı yazılımlardır. Buna karşın botnetleri diğerlerinden ayıran özellik C&C merkezi ile haberleşerek, kendilerini güncelleyebilmeleri ve yönetilebilmeleridir. Çok katmanlı komuta kontrol yapısı botnet yöneticilerini gizleyen yapılar sunmaktadır. Botnetler C&C merkezlerine göre IRC tabanlı, http tabanlı, P2P (Point To Point) tabanlı ve DNS tabanlı olmak üzere dört kategoride değerlendirilmektedir [2,4,5,6].
Tipik bir botnetin yaşam döngüsü, enfeksiyon, bilgi çalma, bağlantıyı sürdürme, zararlı faaliyetleri yerine getirme, enfekte etme ve botnet oluşturma olmak üzere beş fazdan oluşur. Şekil 2’de tipik bir botnet yaşam döngüsü görülmektedir.

Enfeksiyon fazında kurban bilgisayara botnet zararlı yazılımı bulaşır. İkinci fazda zararlı yazılım aracılığı ile bilgisayardaki önemli bilgiler (kredi kartı numarası, lisans anahtarları, kişisel bilgiler, parolalar vb.) C&C merkezine gönderilir: Üçüncü aşamada saldırgan C&C merkezinden aldığı komutlarla altağı bilinen açıklıklar için tarar ve açıklık bulduğu makineleri enfekte eder. Dördüncü aşamada C&C merkezinden gelen komutlarla istenilen zararlı faaliyetler yürütülür. Beşinci aşamada ise kendini günceller ve faaliyetlerine devam eder. Köle bilgisayar her başlatıldığında bot uygulaması otomatik olarak başlar ve çevrimdeki görevlerini yerine getirir[5,6,7 ].


Şekil 2. Botnet yaşam döngüsü

Enfeksiyon fazından sonra botnet üyesi bilgisayar tüm faaliyetlerini C&C merkezinden gelen komutlarla yürütür. Bu arada aradaki haberleşmenin tespit edilmemesi için değişik güvenlik mekanizmaları (şifreli haberleşme, farklı protokol kullanma, farklı C&C merkezlerine bağlanma vb.) kullanır.

[SIZE=3]Botnet Tespit Yöntemleri[/SIZE]
Son yıllarda botnet tespiti üzerinde çok sayıda araştırma yapılmaktadır. Bu araştırmalarda botnetleri tespit etmek için temel iki yöntem kullanılmaktadır. Bir tanesi balküpleri (Honeypot) diğeri ise pasif trafik analizidir. Balküplerinin kullanılması botnet davranışları ve botnet teknolojilerinin anlaşılması için çok faydalı fakat botnet enfeksiyonunun tespiti için yeterli değildir. Diğer taraftan pasif ağ trafiğinin dinlenmesi ağdaki botnetlerin yakalanması için çok faydalıdır. Pasif ağ trafiğinde botnetlerin analizi için imza tabanlı, anormallik tabanlı, DNS trafiği temelli ve veri madenciliği temelli tespit olmak üzere dört metot ön plana çıkmaktadır. Bu metotların uygulanması ağlardaki gerçek botnetlerin tespit edilmesini sağlamaktadır.

[SIZE=3]İmza Tabanlı Tespit[/SIZE]
Botnetlerin davranış ve imzaları tespit edilmeleri için çok faydalı bilgiler sunmaktadır. Bu tür tespitlerde genellikle saldırı tespit sistemleri kullanılmaktadır. Bilinen botlar için saldırı tespit sistemine imza girilerek botnetlerin tespit edilmeleri sağlanmaktadır. Fakat bu yöntem bilinmeyen botnetlerin tespit edilmesinde etkisiz kalmaktadır. Çünkü botnet tespit edilip imza üretilinceye kadar önemli zararlar vermektedir. Son yıllarda birçok atağın doğrudan kişi ya da kurumu hedeflediği düşünüldüğünde bu yöntemin tek başına etkin koruma sağlamayacağı görülebilir.

[SIZE=3]Davranış Tabanlı Botnet Tespiti[/SIZE]
Davranış tabanlı botnet tespiti ağ trafiğindeki gecikme, belli porttan aşırı trafik, belli trafiklerin oluşması gibi anormalliklere bakarak botneti tespit etmeye çalışır[8].

Davranış tabanlı botnet henüz ortaya çıkmamış botneti tespit etmesine karşın hatalı tespit oranı da yüksektir. Örneğin normal bir IRC trafiğini botnet gibi algılayabilir. Bunun için Binkley ve Singh IRC trafiğinde botneti başarılı olarak tespit eden bir algoritma geliştirmişlerdir [13].

2007 yılında Karasiridis ve arkadaşları taşıma katmanındaki trafik davranışlarına bakarak botneleri tespit eden etkili bir algoritma geliştirmişlerdir [9]

Bu tür yaklaşımda trafik çok iyi incelenmeli, kurum politikaları ve trafik arasındaki ilişki incelenmelidir. Botnet olduğu düşünülen aktivite tespit edildikten sonra trafik üzerinde ek incelemeler yapıldıktan sonra kesin karar verilmelidir. Bu tespit yönteminde yanlış alarm olasılığı yüksektir.

[SIZE=3]DNS Tabanlı Tespit[/SIZE]
Bu yöntemde DNS (Domain Name System) trafiği incelenerek davranış tabanlıda olduğu gibi DNS trafiğindeki anormalliklerden botnetler tespit edilir. Botnet C&C merkezi ile bağlantı kurmak için sık sık DNS ile haberleşir. C&C merkezinin kolayca tespit edilmesini önlemek için DNS’ten faydalanılır. DNS trafiğindeki bu anormal değişikliklerde botnetin tespit edilmesinde önemli veri sağlar.

[SIZE=3]Veri Madenciliği Tabalı Tespit[/SIZE]
Botnet tespitinde önemli tekniklerden biri botnet ve C&C merkezi arasında trafiğin tespit edilmesidir. Botnet ve C&C arasındaki trafik hem limiti düşük hem gecikmesi düşük normal trafiktir bu yüzde davranış tabanlı botnet tespit yöntemleriyle kolayca tespit edilemezler.

Bu konuda IRC trafiği başta olmak üzere birçok çalışma yapılmıştır. Masud ve arkadaşları tarafından geliştirilen yöntem ağ trafiği kayıtlarının ilişkilendirmeye (kolerasyona) tabi tutularak botnetlerin tespit edilmesi sağlanmıştır[10]. Bu yöntemde veri kısmıyla ilgilenilmediği için C&C ile şifreli haberleşen botnetlerin bile tespit edilmesi sağlanmıştır. Botminer aracı bu konuda geliştirilmiş başarılı sonuçlar üreten araçlardan biridir [11].

[SIZE=3]Dünyada ve Türkiye’deki Durum[/SIZE]
Botneler ilk görülmeye başladığı günden bu tarafa zararlı yazılımlara paralel olarak hızla artmaktadır. Özellikle geniş kitleleri hedef almaları, etkilerinin çok yüksel olması ve yönetilebilir olmalarından dolayı bilgisayar korsanları tarafından tercih edilmektedir. Bu esnek yapı finansal sahtecilik, bilgisayarlara yasal olmayan yollarla girme, hırsızlık, korkutma gibi çok çeşitli bilgisayar suçlarının kolayca işlenmesine altyapı oluşturmaktadır. Şekil 3’te botnetlerin zararlı yazılımlar içerisinde önemli bir yer tuttuğu görülmektedir. Hatta botnetler bu zararlı yazılımları kullanarak köle bilgisayarlardan bilgi toplamakta ya da onlar üzerinde işlem yapmaktadır.


Şekil 3. Botnetlerin zararlı yazılımlar içindeki yeri



Bu listede Türkiye 12. sırada yer almaktadır. 2008 yılının raporlarında ise ilk onun içerisinde yer alıyordu. Türkiye’nin bu listede biraz daha gerilere düşmesinin ardında İSS’lerde (İnternet Servis Sağlayıcı)eposta için kullanılan 25 numaralı port yerine daha güvenli olan 587 numaralı portun kullanılmaya başlaması ve Polonya, Rusya ve Hindistan’daki zararlı yazılımların hızlı artmasıdır. Gerçekte Türkiye’deki zararlı yazılımların önlenmesinde önemli mesafeler alınmış değildir[3].

Avrupa, Orta Doğu ve Afrika (EMEA) zararlı yazılım istatistiklerine bakıldığında Türkiye’nin üst sıralarda yer aldığı görülmektedir [12]. Bu durum Şekil 4’de verilmiştir.


Şekil 4. 2010 yılı Avrupa Orta Doğu ve Afrika bölgesi zararlı yazılım istatistikleri

Botnetler son yıllarda özellikle siber savaşların en önemli aracı olarak değerlendirilmektedir. Bu çerçevede 2007 yılında Estonya’ya yapılan siber savaşta ve 2008 yılında Gürcistan-Rusya savaşında kullanılmıştır. Zaman zaman ülkeler ve kurumlar için bu tür atakların yapıldığı ileri sürülse de bazılarında botnetlerin doğası gereği yeterince delil ortaya konulmamış, bazıların da ise hedef olan ülkeler ya da kurumlar prestij kaygısı ile bu atakları doğrulamamışlardır.

11 Eylül 2001’de ikiz kulelere yapılan saldırıdan sonra başta ABD olmak üzere Avrupa Birliği, Japonya, Kanada gibi ülkeler siber savunmayı da içeren güvenlik önlemleri için çalışmalar başlatmışlardır. Siber saldırılarda botnetler en sık kullanılan saldırı aracıdır. Bu konuda gerekli yasal düzenlemeler, ilgili kurumların oluşturulması, stratejilerin belirlenmesi konularında önemli mesafeler alınmıştır. NATO, OECD gibi organizasyonlar da bu konularda çalışmalar yapmaktadır.

Türkiye de botnetlerin önlenmesi konusunun da içinde yer aldığı zararlı yazılımlara ya da dışarıdan gelebilecek siber ataklara karşı önlem alınması için bazı çalışmalar başlatılmıştır.

NATO tarafından Estonya’da kurulan Siber Savunma Mükemmeliyet Merkezi’ne ülkelerin temas noktası bildirilmesi istenmiştir. Dışişleri Bakanlığı şu anda ülkemizdeki Bilgisayar Olaylarına Müdahale ekiplerinin (CERT) koordinasyonunu yapan BİLGEM-UEKAE’yi ulusal temas noktası olarak belirmiştir. Yine NATO tarafından istenilen Ulusal Sayısal Savunma Politikası’nı hazırlama görevi UEKAE’ye verilmiştir. Söz konusu politika dokümanı UEKAE’nin koordinasyonunda 19 adet kamu kurumunun katılımıyla hazırlayıp Ocak 2009’da Başbakanlığa teslim edilmiştir. Hali hazırda belgenin onaylanması beklenmektedir.

Ülkemizde kritik altyapılar ile ilgili daha yakın bir gelişme 2009 Sonbaharı’nda gerçekleşmiştir. Başbakanlık Kanunlar ve Kararlar Genel Müdürlüğü bünyesinde oluşturulan ve çalışmalarına fiilen 3 Mart 2009 tarihinde başlayan e-Mevzuat Çalışma grubu, 7 Ağustos 2009 tarihi itibarıyla “e-Devlet ve Bilgi Toplumu Kanun Tasarısı Taslağı”nı hazırlamıştır. Bu da hali hazırda yasalaşmamıştır.

Bu resmi çalışmalar dışında birçok kurum kendi içerisinde BT sistemlerinin güvenliği için standart, politika, prosedür uygulamaktadır. Başbakanlık, BDDK, BTK, EPDK gibi kurumlar düzenleme ve denetimlerini yaptıkları kurumlar için çeşitli düzenlemeler getirmektedir. Fakat bunların ötesinde ülkedeki BT sistemlerinin güvenliğinin sağlanması için bütüncül bir bakış açısı ve ülke genelinde bu olayları ele alıp yönetecek düzenlemelere ihtiyaç vardır.

[SIZE=3]Botnet Önleme Yöntemleri[/SIZE]
Botnetlere karşı etkin bir mücadele için teknik önleme yöntemlerinin yanında ulusal ve uluslar arası politikalar oluşturulup BT sistemlerinde güvenliği sağlayacak standart ve çerçevelerin kullanılması sağlanmalı, hali hazırdakiler yeterli değilse yeni standart ve çerçeveler geliştirilmelidir. Bu güvenlik standartları belli düzenlemelerle tüm kurumlara uygulanmalı ve ülkedeki bilgi güvenliği olayları koordine edilmelidir. Zararlı yazılmalarla mücadelede ülke için mücadele yanında uluslararası koordinasyon da büyük önem arz etmektedir. Bunun için de ülkedeki bilgisayar olaylarını ele alacak, dış ülkelerle koordinasyonu sağlayacak BOME ekipleri kurularak uluslararası koordinasyon sağlanmalıdır.

Ulusal ve uluslar arası koordinasyon yanında botnetlerle etkin mücadele için kurumsal düzeyde aşağıdaki güvenlik önlemleri alınmalıdır:


    [*] Kurumlar kendi içlerinde bilgisayar olaylarına müdahale mekanizmasını kurarak bilgisayar olayı olduğunda kolayca müdahale edilmesini sağlamalıdır.
    [*] Kullanıcılar bilgisayar teknolojileri güvenliği konularında sürekli bilinçlendirilmelidir.
    [*] Derinlemesine güvenlik stratejisi uygulanmalıdır. Bu yüzden tek nokta hataları giderilmeli sistemdeki güvenlik varlıklarının (işletim sistemleri, sunucular, güvenlik duvarları, saldırı tespit sistemleri, vb.) güncellikleri ve güvenli yapılandırılmaları sürekli kontrol edilmelidir.
    [*] İstenmeyen epostaları engellemek için DNS karalisteleri kullanılmalıdır.
    [*] Sistem yöneticileri kullanıcıların sistem üzerindeki haklarını sadece işlerini yapabilecek düzeye çekmelidir.
    [*] Etkin bir parola politikası uygulanmalıdır.
    [*] Ağdan içeri giren ve dışarı çıkan trafik etkin filtreleme araçları ile kontrol edilmeli, yetkilerin aşılması ya da zararlı aktivitelere karşı sistem kayıtları düzenli olarak incelenmelidir.
    [*] Eposta sunucular, kurum içinden gelen fakat kaynağı başka yer olarak gözüken epostaları engelleyecek şekilde yapılandırılmalıdır.
    [*] Eposta sunucu yaygın olarak virüs yaymak için kullanılan uzantıları (exe, vbs, bat, pif, src)içeren epostaları engelleyecek şekilde yapılandırılmalıdır.

[SIZE=3]Sonuç ve Öneriler[/SIZE]
Botnetler, siber ataklar, finansal sahtecilik, servis dışı bırakma atakları, bilgisayarlara yasal olmayan yollarla girme, bilgi hırsızlığı, korkutma gibi çok çeşitli bilgisayar suçlarının kolayca işlenmesine altyapı oluşturmaktadır. Botnetler kullanılarak yapılan ataklar kişileri ve kurumları hedef almaları yanında ülkeleri de hedef alabilmektedir. Bu yönüyle bakıldığında botnetlerle mücadelede kişilerin ve kurumların aldığı güvenlik önlemlerinin yanında ulusal ve uluslar arası düzenleme ve koordinasyona ihtiyaç duyulmaktadır. Bu konuda birçok ülke çalışmalar başlatmıştır. Türkiye’de kurumsal bazda kısıtlı bazı koruma önlemeleri alınmasına karşın ulusal düzeyde koruma sağlayacak yasal bir düzenleme ve denetleme mekanizması bulunmamaktadır. Gerekli yasal düzenlemeler ve kurumsal güvenlik önlemleri yanında botnet gibi organize atakları gözetleyecek, tespit edip önleyecek ulusal düzeyde altyapılar kurulmalıdır.

Kaynak: bilgiguvenligi.gov.tr