Gecenin saat üçü. Dünyanın en büyük finans kuruluşlarından birinin veri merkezinde operasyon odasındasınız. Ekranlarda yüzlerce log akıyor, güvenlik duvarları en ufak bir sızıntı emaresi göstermiyor, antivirüs yazılımları yeşil ışıklarıyla her şeyin yolunda olduğunu fısıldıyor. Ancak tam o anda, milyarlarca dolarlık kritik veri ve en mahrem müşteri kayıtları, dijital okyanusun derinliklerinde bir yerlere çoktan sızdırılmış durumda. Üstelik müfettişler sistemi didik didik etseler de tek bir şüpheli dosya, tek bir bozuk kod satırı bile bulamıyorlar. Neden mi? Çünkü karşınızdaki saldırganlar ne arka kapı bıraktı ne de sisteme bir virüs yükledi. Onlar, dijital adli bilişimin (forensics) en kırılgan, en mahrem cephesine; yani sistemin uçucu belleğine (volatile memory / RAM) sızdılar. Asia Pacific Security Magazine (APSM) tarafından paylaşılan ve siber güvenlik topluluğunda adeta bir "mahşer günü" etkisi yaratan son özel rapora göre, yeni nesil bir APT (Gelişmiş Sürekli Tehdit) grubu, siber soygun tarihini kökten değiştirdi. Sabit diskleri (SSD/HDD) tamamen pas geçen, doğrudan RAM’in geçici hafıza hücrelerinde yaşayan ve işi bittiğinde kendi kendini imha eden "dosyasız" (fileless) bir zararlı yazılım mimarisi sahneye çıktı. Bu tam anlamıyla Wired ya da The Verge sayfalarından fırlamış bir siber gerilim filmi: Dijital dedektifler durumu fark edip panikle sunucunun fişini çektiği an, suç aleti de elektrik akımıyla birlikte sonsuzluğa karışıyor. Geride sadece dijital bir hayaletin gölgesi kalıyor.

Sabit Disk Öldü, Yaşasın Canlı Bellek Soygunu!

Yıllardır siber savunma stratejilerimiz tek bir mantık üzerine kuruluydu: "Hacker bir yere sızarsa, mutlaka bir iz bırakır." Bir dosyayı değiştirir, bir log kaydını silmeye çalışır ya da sisteme yabancı bir kod enjekte eder. Dijital adli bilişim uzmanları da olay yerine intikal ettiklerinde diskin imajını alır, silinen dosyaları geri getirir ve saldırganın dijital ayak izini sürerek suçluyu bulurdu. Ancak APSM’nin radarına takılan bu son "Canlı Bellek Soygunu" (Live Memory Heist), bu geleneksel dedektiflik oyununu tamamen hükümsüz kılıyor. Saldırganlar, sistemin işletim sistemi çekirdeğine (kernel) sızmak için diske hiçbir veri yazmıyorlar. Bunun yerine, meşru ve sistemin zaten güvendiği işlemlerin (process) içine kendilerini enjekte ediyorlar. Yazılım, bilgisayarın uçucu belleğinde, yani sadece elektrik akımı var olduğu sürece veriyi tutan RAM modüllerinin içinde bir hayalet gibi geziniyor. Bilgisayar çalıştığı sürece veri çalıyor, şifreleri deşifre ediyor, arka planda ağ trafiğini manipüle ediyor. Ama en akıllıca (ve en şeytani) kısım burası: En ufak bir siber güvenlik taraması algılandığında veya olağanüstü bir durum sezişinde, kod kendini RAM hücrelerinden tamamen siliyor. Eğer bir sistem yöneticisi durumdan şüphelenip "Kapatıp açalım, belki düzelir" derse, siber güvenlik tarihinin en büyük delil karartma suçunu bizzat kendi elleriyle işlemiş oluyor. Elektrik kesiliyor, RAM boşalıyor ve suç kanıtı bir daha asla geri getirilemeyecek şekilde duman olup uçuyor.

Uçucu Belleğin Jurisprudansı: Hukuk ve Kanıtların Buharlaşma Noktası

Bu durum siber adli bilişimi teknik olarak çaresiz bırakmakla kalmıyor, siber hukukun ve adli süreçlerin (jurisprudence) temelini de sarsıyor. Bir mahkemede bir siber suçluyu mahkum etmek için somut, değiştirilemez adli kanıtlara ihtiyacınız vardır. Peki ya kanıtın kendisi saniyenin binde biri kadar bir sürede buharlaşabiliyorsa? APSM analistleri, bu yeni tehdit dalgasına karşı "Canlı Forensics" (Live Forensics) denilen ve bilgisayar çalışmaya devam ederken RAM'in anlık haritasını çıkaran ultra agresif tekniklerin kullanılmasını öneriyor. Ancak bu da devasa bir risk barındırıyor. Canlı bir sisteme adli bilişim araçlarıyla müdahale etmek, RAM’deki dinamik veriyi bozabilir, saldırganın tuzaklarını tetikleyebilir ya da hukuki olarak "kanıt zincirinin manipüle edildiği" iddiasıyla savunma avukatlarının eline dev kozlar verebilir. Yani, dijital dedektifler şu an iki ucu keskin bir bıçak sırtında yürüyor: Ya sistemi açık bırakıp verinin canlı canlı çalınmasını izleyecekler ya da sistemi kapatıp kanıtları sonsuza dek kaybedecekler. Tricky (kurnazca) dedikleri şey tam olarak bu. Geleceğin siber savaşları artık antivirüs programlarının yakalayabileceği basit virüslerle yapılmayacak. Karşımızda, sistemin kendi biyolojisini, kendi hafıza yönetim algoritmalarını insanlığa karşı kullanan yapay zekâ destekli otonom gölgeler var. Sabit diskleri birer kale gibi korumaya devam edebilirsiniz, ancak kapıdaki düşman çoktan çatının altındaki uçucu havaya karışmış durumda. The Portill ekibi olarak uyarımızı yapalım: Siber güvenlik dünyasında mutlak güvenliğin bir illüzyon olduğunu biliyorduk ama artık "kanıt" kavramının kendisi de bir illüzyona dönüştü. Bilgisayarlarınızın fişini çekmeden önce iki kez düşünün; çünkü o an, gerçeği de beraberinizde karanlığa gömüyor olabilirsiniz. Kemerlerinizi bağlayın, siber dünyada adli tıp çöktü, şimdi hayalet avlama zamanı!