Dünyanın ilk CPU seviyesinde fidye yazılımı geliştirildi

Merhabalar,Bu gelişme gerçekten siber güvenlik tarihinde yeni bir dönüm noktası olabilir. CPU seviyesinde çalışan bir fidye yazılımının ortaya çıkması, klasik güvenlik yaklaşımlarını tamamen yetersiz hâle getirme potansiyeli taşıyor. Şahsen bu olayı sadece bir “fidye yazılımı” haberi olarak değil, mimari düzeyde bir güvenlik paradigma kayması olarak değerlendiriyorum..
CPU Seviyesinde Fidye Yazılımı;Genel olarak fidye yazılımları (ransomware), işletim sistemi seviyesinde çalışır..Yani kullanıcı alanında (user space) çalışan yazılımlar üzerinden sistem dosyalarını şifreleyerek verileri erişilemez hâle getirirler..Ancak bu yeni nesil tehdit;Mikro mimari (microarchitectural) seviyede çalışan, CPU'nun en düşük düzeyli yapısal kaynaklarına erişen bir zararlı ve sıkıntılı bir durum..Yani bu yazılım, işletim sistemi çekirdeğinden (kernel) bile daha aşağıda, donanım düzeyinde bir etki alanına sahip..Nasıl Mümkün Oluyor diye soracak olursanız;Bu tarz bir zararlının temelinde genellikle şunlar yer alır:Speculative Execution Abuse;Modern işlemcilerdeki speculative execution gibi performans artırıcı teknikler, tahmine dayalı veri işleme yapar..Meltdown ve Spectre gibi güvenlik açıklarında olduğu gibi, bu mekanizmalar yan kanal saldırılarına (side-channel attacks) olanak tanır..CPU düzeyindeki fidye yazılımı, bu gibi tahminsel yürütme birimlerini veya önbellek (cache) mimarisini kötüye kullanarak;Bellek içeriğini işletim sisteminin müdahale edemeyeceği düzeyde şifreleyebilir,İşlemci içi register ve cache satırları üzerinden şifreleme anahtarlarını saklayabilir ve en önemlisi, bu işlemleri yaparken antivirüs veya sandbox sistemleri tarafından tespit edilmeden çalışabilir..
Firmware veya Microcode Saldırıları;Eğer bu zararlı yazılım işlemcinin mikrokod seviyesine ulaşabiliyorsa, Intel veya AMD gibi üreticilerin yayınladığı firmware güncellemelerini kötüye kullanarak işlemci davranışını geçici olarak değiştirebilir. Bu durumda sistemin BIOS/UEFI güncellemesi bile zararlıyı etkisiz kılamaz..
Klasik Güvenlik Önlemleri Neden Yetersiz Kalır Çünkü;Geleneksel güvenlik önlemleri şunlara odaklanır:Uygulama katmanı (örneğin antivirüs),Sistem çağrıları üzerinden anormallik tespiti ve Sandbox ortamında davranışsal analiz..Ancak bu tehdit;Kullanıcı alanının dışına çıkıyor,Kernel bile onu göremiyor,Kendi dosyası bile olmayabilir (in-memory çalışabilir ve davranışı, “klasik fidye yazılımı gibi” görünmeyecek kadar düşük seviyede işliyor..Yani şu anki savunma sistemlerinin çoğu için görünmez bir tehdit.. Sonuç olarak ileriki yıllarda;Bu gelişme, bize şunu gösteriyor: Donanım güvenliği artık sadece üreticilerin sorumluluğu değil, yazılım geliştiricilerin ve sistem mimarlarının da doğrudan ilgilenmesi gereken bir katman hâline geldi..Artık güvenlik sadece yazılımı değil, işlemcinin mikro mimarisini de anlamayı gerektiriyor..Konu çok kritik. Bu gelişmeyle birlikte;BIOS/UEFI seviyesinde bütünlük kontrolü (Secure Boot gibi) daha da önemli hâle gelecek..Donanım-tabanlı güvenlik (Intel SGX, AMD SEV) daha fazla kullanılacak ve belki de ileride "donanımsal sandbox" sistemleri göreceğiz..Bu tarz fidye yazılımları, işletim sistemi tarafından değil, doğrudan CPU üreticisi tarafından çıkarılan mikrocode patch’leriyle çözülebilir. Dolayısıyla sıradan kullanıcıdan çok, donanım mühendislerinin ve üreticilerin omzuna yük binecek..Bu konuda gelişmeleri teknik detaylarıyla izlemek şart. İş sadece “dosya şifrelendi mi, ransom notu yazıldı mı” meselesinden çok daha derin artık..
İsteyen olursa bu konuyla ilgili işlemci güvenlik mimarilerine dair teknik kaynak önerisi de paylaşabilirim..
Saygılarımla..