ManşetSiber Güvenlik

SQL Server Üzerinde “Sessiz ve Sinsi” Tehdit!

Değerli Bilişim Profesyonelleri, Kıymetli Okuyucularımız,

Sayın Ömer Çolakoğlu‘nun (Microsoft MVP, DB Admin) sosyal medya hesabı üzerinden yapmış olduğu çok önemli bir paylaşımı haber değeri olduğu için yayınlayarak, sizleri de bilgilendirmek istedik. Kendisine bu vesile ile buradan bir kez daha teşekkür ediyoruz.

Umarız hiç bir meslektaşımız ve firmamız bu tür saldırılara maruz kalmaz.

Saygılarımla, Osman SELÇOK
İmtiyaz Sahibi & Genel Yayın Yönetmeni
Bilişim Profesyonelleri Haber Sitesi (www.bp.tr)


Verileriniz Yerinde Ama Erişemiyorsunuz: SQL Server Üzerinde “Sessiz ve Sinsi” Tehdit!

Siber saldırganlar her geçen gün taktik değiştiriyor; geleneksel savunma mekanizmalarını ve klasik yedekleme stratejilerini boşa çıkaracak yenilikçi yöntemlerle karşımıza çıkıyor. Geçtiğimiz günlerde karşılaştığımız ve ezber bozan yeni bir vaka, siber tehditlerin ulaştığı tehlikeli boyutu gözler önüne seriyor. Bu seferki tehdit, bildiğimiz klasik fidye yazılımı (ransomware) saldırılarına hiç benzemiyor.

Görünürde Her Şey Normal: Kusursuz Kamuflaj

Alışılagelmiş siber saldırılarda, saldırganlar sisteme sızdıktan sonra disk üzerindeki dosyaları doğrudan şifreler. Bu durum sistemde ani kesintilere ve dosya uzantılarının değişmesine yol açtığı için BT ekipleri tarafından hızla fark edilir.

Ancak bu son vakada siber korsanlar, tespiti neredeyse imkansız hale getiren ve kurumlara “sahte bir güven hissi” veren çok farklı bir strateji izledi. Sistem kontrol edildiğinde panelde en ufak bir alarm durumu göze çarpmıyor:

  • Sunucu normal şekilde çalışıyor.
  • SQL Server servisleri ayakta.
  • MDF ve LDF (veritabanı) dosyaları yerinde duruyor.
  • Yedekleme işleri (Backup) sorunsuz şekilde sonlanıyor.

Ortada ne fiziksel bir disk arızası, ne veri bozulması (corruption) ne de silinmiş bir dosya var. Veriler fiziksel olarak hala sunucunun içinde duruyor ancak sistem arka planda tamamen kilitlenmiş durumda.

Sinsice Kurgulanan Tuzak: İçeriden Şifreleme

Saldırganlar, işletim sistemi veya dosya seviyesinde bir şifreleme yapmak yerine, doğrudan SQL Server yetkilerini ele geçirerek veritabanlarını SQL Server’ın kendi iç mekanizmalarıyla (sertifika ve anahtarlarla) şifrelemişler. Hemen ardından, bu şifreleri çözebilecek, veritabanını erişilebilir kılan şifreleme sertifikalarını ve özel anahtarları (private keys) sistemden tamamen silip ortadan kaldırmışlar.

Sonuç? SQL Server veritabanı dosyalarını okumaya çalışıyor ancak gerekli kriptografik anahtar ve sertifikalar yerinde olmadığı için veritabanını hiçbir şekilde kullanıma açamıyor.

Büyük Yanılgı: “Yedeğim Var, Bana Bir Şey Olmaz”

Pek çok kurum siber güvenlik stratejisinde “Veeam yedeklerim var, nasıl olsa geriye dönerim” mantığına güvenir. Ancak bu sinsi senaryoda durum çok farklı bir boyut kazanıyor.

Saldırganlar sisteme aylar öncesinden sızarak bu şifreleme altyapısını ve anahtar manipülasyonunu uzun süre önce gerçekleştirmiş olabiliyor. Siz farkında olmadan alınan tüm günlük, haftalık ve aylık yedekler, aslında o andaki şifreli ve anahtarsız yapıya bağımlı hale geliyor. Gerekli anahtar ve sertifikalar elinizde olmadığı için, en sağlam yedekten bile geri dönseniz SQL Server veritabanını ayağa kaldıramıyorsunuz. Günün sonunda; veriniz duruyor, sunucunuz çalışıyor, yedekleriniz var ama hiçbirini kullanamıyorsunuz.

BT Yöneticileri İçin Çıkarılacak Dersler ve Önlemler

Bu sıra dışı vaka, siber güvenlikte sadece “veri odaklı” koruma anlayışının artık yeterli olmadığını net bir şekilde ortaya koyuyor. Sistemlerimizi korumak için şu adımların hızla atılması kritik önem taşıyor:

  1. Sadece Veriyi Değil, Anahtarları da Koruyun: Şifreleme sertifikalarının, private key’lerin ve master key yapılandırmalarının yedekleri, ana veritabanından tamamen bağımsız, izole ve güvenli bir ortamda saklanmalıdır.
  2. Yedek Doğrulama Testlerini Değiştirin: Yedekleme süreçlerinin sadece başarılı bitip bitmediği değil, geri dönüldüğünde içeriğin gerçekten okunabilir olup olmadığı düzenli olarak test edilmelidir.
  3. Yetki Yönetimini Sıkılaştırın: SQL Server üzerinde ‘sysadmin’ yetkisine sahip hesaplar çok sıkı denetlenmeli, veri tabanında izinsiz sertifika/anahtar üretimi veya silinmesi süreçleri anlık alarm mekanizmalarına bağlanmalıdır.

Özetle; Günün sonunda doğru anahtara sahip değilseniz, verilerinizin yerinde duruyor olmasının hiçbir önemi yoktur. Lütfen sistemlerinizde bu spesifik riski zaman kaybetmeden kontrol edin.

Konunun teknik detaylarını, SQL Server üzerinde bu durumun nasıl tespit edilebileceğini ve alınması gereken önlemleri Ömer Çolakoğlu’nun adım adım paylaştığı, detaylı videosunu izleyerek altyapınızı bu sinsi tehlikeye karşı test edebilirsiniz.

https://www.linkedin.com/embed/feed/update/urn:li:ugcPost:7471770099797123073?compact=1


Sayın Ömer Çolakoğlu ile daha önce gerçekleştirdiğimiz Video Röportajlarımız: