Harvard, Massachusetts Institute of Technology (MIT) ve Cornell diplomalarıyla tüm zamanların “en eğitimli” bilgisayar korsanlarından biri olarak kabul edilen Robert Tappan Morris, kendi icadı olan ve internetteki ilk bilgisayar solucanı…

Dünyaca Ünlü Hackerlar-5:Robert Tappan Morris

Dünyaca Ünlü Hackerlar-5:Robert Tappan Morris

Harvard, Massachusetts Institute of Technology (MIT) ve Cornell diplomalarıyla tüm zamanların “en eğitimli” bilgisayar korsanlarından biri olarak kabul edilen Robert Tappan Morris, kendi icadı olan ve internetteki ilk bilgisayar solucanı olarak bilinen Morris Solucanı ile ismini duyurmuş bir bilgisayar korsanı. Viaweb ve Y Combinator’un kurucularından biri olan Morris, MIT’nin Elektronik Mühendisliği ve Bilgisayar Bilimi bölümünde profesör olarak çalışmalarına devam ediyor.

Lisans eğitimini Harvard Üniversitesi’nin Bilgisayar Bilimleri bölümünde tamamladıktan sonra, master eğitimine Cornell Üniversitesi’nin Bilgisayar Bilimleri bölümünde devam etmeye başladı. Henüz 23 yaşında olan Morris, master projesi olarak deneysel, kendini kopyalayan, kendi kendine yayılan, aynı zamanda internete de enjekte edilebilen bir programın üzerinde çalışıyordu. Morris, kendi soyadından yola çıkarak Morris Solucanı adını verdiği bu programı, 2 Kasım 1988 tarihinde denemeye karar verdi. Fakat bu deneyi eğitimini sürdürdüğü Cornell Üniversitesi yerine Harvard Üniversitesi’nin internet sisteminde test etmeyi planlayan Morris, böylelikle hem kimliğini hem de solucanın Cornell’den geldiğini gizleyebileceğine inanıyordu. Deney esnasında fark edeceği bir hata ise, Morris’in başına büyük belalar açacaktı.

Harvard’da  öğrnemini sürdürürken Ulusal Bilgisayar Bilimleri Güvenlik Merkezinde ve Donanma Araştırma Laboratuvarında bilgisayar güvenliği konusunda konuşmalar yapıyordu. Tatillerde ise çeşitli şirketler hesabına çalışıyordu. Ama bu çalışmalar sırasında, bilgisayar güvenliği  konusunda çocukluğundaki Bell Laboratories kadar duyarlı davranılmadığını farketti. Bir güvenlik açığı yakaladığında şirketler ya hiçbir şey yapmıyor ya da hatayı aylar sonra düzeltiyorlardı.

1985 yılında aldığı derslerin hepsinde başarı gösteremedi. Bu yüzden derslere ara verip bir bilgisayar şirketinde çalışmaya başladı. Ertesi yıl okula dönüş yaptı. Bir süre sonra da ünlü solucanı tasarlamaya başladı.

Interneti felç eden solucandan bir süre önce, RTM, yaklaşık 600 km’lik bir mesafeyi aşıp arkadaşı Paul Graham’ı ziyaret etti. “Unix içinde büyük bir delik saptamıştı ve bunu birisine anlatması gerekiyordu.””Arkadaşı Paul, Robert’ın ruh halini böyle anlatıyordu. Saptadığı deliği kullanarak yalnızca Cornell ya da Harvard’da değil bütün Amerika’da hatta dünyanın herhangi bir yerindeki bir bilgisayarın süper kullanıcısı olabilirdi.

Sistemde saptadığı hatalar temelde iletişimle ilgiliydi ama bunları kullanarak bağlanılan bir makinede herhangi bir dosyayı okuyabilir, daha da kötüsü silebilirdi.

Bulduğu şeyi birisiyle paylaşmak için 600 km. Katetmesinin nedeni de ortaya çıkacağını düşündüğü gücün görkemi idi. Düşünsenize, bütün dünyaya yayılan, gittikçe çoğalan, kocaman, yaşayan bir organizma. Böylesini o güne kadar hiç kimse başaramamıştı.

İki arkadaş uzun bu virüs hakkında konuştular. Bu konuşma sırasında arkadaşı Morris’e solucanın, içinde bulunduğu bilgisayara birşeyler kaydetmesini teklif etti. Robert buna karşı çıktı. Herhangi bir yazma denemesi, ne kadar iyi niyetli olursa olsun, çok tehlikeli olurdu.

İkisinin bir türlü çözemediği bir sorun vardı: Her makinede  yalnızca tek bir solucanın bulunmasını sağlamak. Herhangi bir bilgisayarcı, solucana önlem olarak, sanki bir solucanmış gibi çalışan bir program yazabilir bu da solucanın sisteme girişini engelleyebilirdi. Bu yüzden bir sistemde birden fazla solucanın bulunmasına izin verildi. Sisteme fazladan giren solucanların bir süre sonra kendilerini imha etmesi de kararlaştırılanlar arasında idi. Bu durumdaki 7 solucandan yalnızca bir tanesi hayatta kalabilecekti. Yedide bir oranı herhangi bir özel hesaba değil yalnızca RTM’in solucanın çoğalması hakkındaki sezgilerine dayanıyordu. Düşüncesine göre birkaç saatte bir yeni bir solucanın üretilmesi gerekiyordu.

Başlangıçta RTM ve Graham, solucanı nitelemek için yaygın bir terim olan virüsü kullandılar ama program biçimlendikçe bir virüsten daha çok  bir solucana benzemeye başladı. Virüsler kendi başlarına çoğalamazlar; girdikleri hücreyi ele geçirip çalışmasını değiştirirler ve bu hücreyi kendilerini çoğaltmak için kullanırlar. Bilgisayar virüsleri de aynı şekilde çalışır. Solucanlar ise kendi başlarına çoğalabilirler.

RTM, solucanı kendi kendine çoğalabilecek ve bütün bir ağ boyunca yayılacak şekilde tasarladı. Solucan girdiği bilgisayarda diğer bilgisayarların adreslerini gösteren listeleri tarıyor, bunların arasından bağlanılması en kolay olanları seçiyor ve bu hedeflere birbiri ardına saldırılar düzenliyordu. Eğer bir saldırı yöntemi başarısızlıkla sonuçlanırsa hemen bir başkası deneniyordu. Bu saldırılar üç kategoride toplanıyordu: Bir güvenlik açığını kullanmak, bağlanma hakkı olan bilgisayarlardan yararlanmak ve kullanıcıların şifrelerini saptamaya çalışmak.

Güvenlik açıklarından yararlanmak için iki yol vardı: Bunlardan birincisinde Fingerd adındaki bri sistem programı kullanılıyordu.  Bu program, kullanıcıların adını, telefon bilgilerini, çalıştıkları bölümü saptamada kullanılıyordu. Solucan, bu programın bilgi almak için kullandığı küçük alana, alabileceğinden fazla bilgi yazarak alanı taşırıyor ve bu alandan sonra gelen bölüme yazdığı bilgiler yoluyla solucanın çengelinin yüklenmesini, yüklendiği makine üzerinde derlenmesini ve çalıştırılmasını sağlıyordu. Bu şekilde harekete geçen çengel, Sun iş istasyonları ile WAX bilgisayarları için ayrı ayrı derlenmiş olan asıl programı çağırıyordu. Bu iki bilgisayar o zaman için Internette en çok rastlanılan bilgisayarlardı. Eğer çengel, yerleştiği bilgisayar hakkında yanlış bir tahminde bulunmuşsa bu sefer programın diğer uyarlamasını çağırıyordu.

RTM, solucanını bu iki makine için ayrı ayrı derleme yoluyla programının kaynak kodunun kolayca ortaya çıkarılması tehlikesinden kurtuluyordu.Programın yalnızca küçük bir kısmının kaynak kodu açıktaydı. Bu durum, programın açığa çıkarılmasını engelliyordu ama bu şekilde de solucan yalnızca Sun ve WAX’lara bulaşabiliyordu.

Yukarıdakine benzer bir başka saldırı da Sendmail adındaki elektronik posta programına yöneltiliyordu. RTM, bu programın az kullanıldığı düşünen debug seçeneğinin kullanıcılara bazı olanaklar sağladığını farketmişti. Kullanıcılar normalde kullanıcı adresini göndermekteyken debug seçeneği aktifse bir dizi komut da gönderebiliyorlardı. Solucanın bu boşluktan yararlanarak sisteme giren çengeli, Fingerd saldırısına benzer şekilde bir dakidadan daha az bir süre içinde hedef makine üzerinde tümüyle fonksiyonel bir solucan oluşturabiliyordu.

Solucan bir başka saldırıyı da yerleştiği makineyi güvenlik bakımından sorgulamayan diğer makinelere yöneltiyordu. Bir makine solucan tarafından ele geçirildiğinde hemen, bağlanmak için kendisinden şifre istemeyen başka makineler olup olmadığını araştırıyordu.

Tüm bu saldırılar sonuçsuz kalırsa solucan içerdiği 432 adetlik parola listesinden parolaları teker teker deniyordu. Ama bu parolaları teker teker denemek çok zaman alan bir işti. Çünkü parolalar sistemde oldukları gibi değil belli kurallara göre değiştirilerek (şifreleme) saklanıyordu.

Solucan, yukarıdaki yöntemlerden birisiyle yeni bir bilgisayara başarılı bir şekilde taşındıktan sonra disk üzerindeki kopyasını yok ediyor, yalnızca bellekten çalışıyordu. Üç dakika içinde de yavruluyarak ölüyordu. Yavru solucan yepyeni bir başlangıç yapıyor, böylece annesinin sistemde bıraktığı izler yok oluyordu (sistem kaynaklarını kullandığına dair bilgiler). Bu kısa yaşam süresi solucanın ortaya çıkarılmasını, ortaya çıkarılırsa elde edilmesini zorlaştırıyordu.

Ayrıca her onbeş bulaşmadan sonra solucan Berkeley Üniversitesindeki bir bilgisayara bağlanmaya çalışacak ve kuşkuları bu bilgisayar üzerinde toplayacaktı. Ama bu tür bağlantılar hiç gerçekleşmedi.

Eğer bu önlemlerin hiçbirisi işe yaramaz da solucan ele geçirilirse, çok büyük bir kısmı makine dilinde yazıldığı için ne yaptığının anlaşılması uzun sürecekti.

İlginizi Çekebilir:  McAfee, 2018’in En Ciddi Siber Güvenlik Tehditlerini Açıkladı

Solucanın yapısını bu şekilde kuran RTM, yaklaşık üç hafta boyunca değişik zamanlarda bu iş üzerinde uğraştı. Stanford, Harvard, Berkeley ve diğer üniversitelerden parola dosyaları topladı.Şifreleri değiştirmek için gereken hızlı yordamları Bell Laboratuvarlarında yazılan bir programdan aldı. Şifre kırmak için kullandığı teknikleri ise babasının Unix güvenliği hakkındaki klasik olmuş makalesinden elde etti. Başka yerlerden aldığı ve kendi yazdığı yordamlarda hata kontrolü yapmak için zamanı yoktu. Üstelik büyük bir hata yapmayacağına da inanmıştı. Ama inancının aksine solucan programında hata vardı. Bu hatanın etkisi de büyük oldu.

RTM için herşey yolunda görünüyordu. 2 Kasım 1988 Çarşamba günü saat 10 civarında Cornell Üniversitesindeki terminalinden sistem giriş yaptı ve öğle yemeğine kadar çalıştı. Akşam saat 8 sularında solucanı MIT’de sık sık saldırıya uğrayan bir hesaba kopyalayıp çalışmasını sağladı., Mümkün olduğunca kendisiyle bağlantısının kurulmamasını sağlamak için solucanı kendisinden uzaklaştırıyordu. Sonraki 20 dakika boyunca solucanın hareketlerini izlemeye çalıştı.Gördüğü kadarıyla doğru çalışmıyordu. Sanki orada tıkanıp kalmıştı. Daha sonra terminalinin başından ayrılıp evine gitti.

Ortaya çıkışından bir saat 24 dakika sonra solucan dünyaca ünlü bir savunma sanayii şirketi olan Rand Corporation’ın bilgisayarını vurdu. İki saat sonra Kaliforniya Üniveristesinin dünya ile bağlantısını sağlayan bilgisayar geçitini vurdu.Aynı anlarda New Mexico’daki Los Alamos Ulusal Laboratuvarına ve Berkeley’deki Lawrence Livermore Laboratuvarına karşı da saldırıya geçmiş ve başarılı olmuştu.





Saldırıya uğrayan sistemlerde yolunda gitmeyen bir şeylerin  olduğu kısa zamanda ortaya çıktı. Bilgisayarlar birden fazla solucanın saldırısına uğruyordu. Üniversite ve askeri kuruluşlarda bulunan bilgisayarların gece boyunca kullanımları normalde 1  ya da 2 bağlantı iken şimdi bu sayı, örneğin, Utah Üniversitesinde saat 9.21’e kadar 5’e çıkmıştı. Yirmi dakika sonra bağlantı yükü 7’ye, sonraki 20 dakika içinde 16’ya ve sonraki 5 dakikada tam tamına 100’e çıkmıştı.

Avukatının mahkemede belirttiği gibi, RTM’in ürettiği solucan hiçbir şeyi bozmuyor ve yok etmiyordu ama bu ölçüde çoğalma yoluyla sistem kaynaklarını, başka bir şey yapılamayacak ölçüde, yiyip tüketiyordu.

RTM’in doğum kontrol yöntemi, programdaki hata yüzünden, planlandığı gibi çalışmıyordu. Makine üzerindeki solucanların  yalnızca ilki, diğerlerinin varlığını kontrol ediyordu. Sonraki solucanlar birbirilerinin farkına varmıyorlar ve bu yüzden de 7’de 1 oranından kurtuluyorlardı. Yedide bir oranına uyarak ölmesi gereken solucanlar da ölüm emrini aldıkları halde çalışmaya devam ediyorlardı.

Berkeley, MIT ve diğer bilgisayar merkezlerinde oluşturulan acil müdahale ekipleri işgalci programları denetim altına almak için çılgınca çabalıyorlardı. Solucanın yok edici bir etkisiyle karşılaşılmamış olsa da ekipler solucanın taşıyabileceği saatli bombaları, truva atlarını ve diğer tuzakları saptamaya uğraşıyorlardı.

Saatler gece yarısına yaklaşırken NASA’nın Silikon Vadisinden bulunan araştırma laboratuvarları önlem olarak bilgisayarların dış dünya ile bağlantısını kopardı. Bu önlemi ülke çapında başka bilgisayar merkezleri de uyguladılar. Solucan kollektif bir çalışma ile deşifre edilip panzehiri üretilince bu bilgisayarlar, dış dünya ile bağlantıları kopuk olduğu için bundan yararlanamadılar.

Ülkenin her yanında bilgisayar uzmanları bu solucanla uğraşırken RTM evde sakin bir gece geçiriyordu. Hiçbir şey olmamış gibi arkadaşı Graham’ı aradı. Yine de sesinden bir gariplik seziliyordu. Graham bu durumu ilk anda kız arkadaşıyla arasında çıkabilecek bir soruna bağladı. Ama RTM ne yaptığını anlatınca durum değişti. RTM solucanın kontrolsüz bir biçimde çoğalmasından ve Internet kaynaklarını tüketmesinden rahatsızdı.

İkisi birlikte çareler düşündüler. Hemen hemen gece yarısı olmuştu ve solucan yaklaşık dört saatttir faaliyetteydi. Graham, serbestçe dolaşan solucanı yok etmek üzere yamyam bir solucan yaratıp Internete salamayı önerdi. Ama RTM böyle bir solucanı yaratmadı.

Bir çözüm üzerinde anlaşamadılar. Graham ortak arkadaşları olan Sudduth’a giderek durumun ciddiyetini anlattı. Sudduth, RTM’in solucanı durdurmak için bir çaba göstermemiş olmasına şaşırdı. Bunu, yarattığı solucanın kontrolden çıkmasını kendisine yedirememesine bağladı. Daha sonra RTM Sudduth’u arayarak solucanın Harvard Üniversitesi  bilgisayarlarına bulaşmasının nasıl önleneceğini anlattı. Ama o ana kadar sistem çoktan kilitlenmişti.

Saat 1.30 sularında RTM tekrar Sudduth’u aradı. Ertesi gün Sudduth’un Internete bir mesaj yollayarak solucanın panzehirini açıklamasını kararlaştırdılar.

Sudduth’un bulabildiği tek çalışır bağlantı Brown Üniversitesinin bülteniydi. Buraya bırakılan mesajların tüm Internete ulaşması çok küçük bir olasılıktı. Yine de Sudduth solucana karşı alınacak önlemleri içeren mesajını geçti.

Saat 4 sıralarında Sudduth kendini yatağa attı. Tüm ülkede bilgisayar merkezleri birbiri ardına dış dünya ile bağlantılarını kesiyor ve solucanla birlikte solucana karşı önerilen çözümlerin ulaşmasını da engelliyorlardı.

Sabah, RTM ihmal ettiği dersleriyle ilgilendi, gevşemeye çalıştı ve akşam olunca da koro çalışmalarına gitti. Bilgisayar merkezine döndüğü zaman solucan hemen hemen 24 saattir faaliyetteydi. Kendisine gelen postaları inceledi.Graham kendisini aramasını istiyordu. Bu arada bir miktar da temizlik yaptı; bazı dosyaları sildi. Sonra da Graham’ı aramak üzere evine gitti.

Graham heyecanlı bir şekilde solucanın ve yarattığı yıkımın gazetelere geçmek üzere olduğunu haber verdi. Bunun üzerine RTM bütün cesaretini toplayarak babasını aradı. Babasının bu habere sevindiği pek söylenemez. Babası evden dışarı hiç çıkmamasını ve hiç kimseyle görüşmemesini istedi. Yine de gazeteciler kısa zamanda solucanı yaratanın RTM olduğunu ortaya çıkardılar. FBI da soruşturmaya başladı ve RTM kendisini mahkemede buldu.

MIT’deki uzmanların hesabına göre solucan, Internete bağlı 60000 kadar bilgisayarın 6000ini işgal etti.  Ülkenin en seçkin bilgisayar uzmanları solucanı saptamak ve temizlemek için birçok uykusuz gece geçirdiler. Binlerce askeri ve sivil araştırmacı bu süre içinde bilgisayarlarından yoksun kaldılar.  Tüm bu yıkımın mali portresi ise 15 milyon dolar olarak hesaplandı. Ama birçok aklı başında kişi de solucanın tüm ülkede bilgisayar güvenliği konusunda yarattığı tartışmaları ve bu tartışmaların sonucu olarak yapılan işleri tüm bu kayıplara değer buluyor.

Solucan deneyini yapan kişinin Morris olduğunun tespit edilmesi çok uzun sürmedi. Bilgisayar Dolandırıcılığı ve Suistimali Yasası kapsamına yargılanan Morris, tartışmalı bir duruma yol açmıştı; çünkü Morris yasada belirtildiği gibi bilgisayar sistemlerini suiistimal etme “niyetiyle” hareket etmemiş, bu durum kontrolden çıkan deneyi neticesinde ortaya çıkmıştı. 1990 yılının Aralık ayında, 8 ay süren dava sonuçlandı. Morris 10.050 dolar para cezasına çarptırılırken, 400 saat kamu hizmetinde bulunmasına ve 3 yıl şartlı tahliyesine karar verildi. Morris, Bilgisayar Dolandırıcılığı ve Suistimali Yasası çerçevesinde ceza alan ilk kişi olarak da kayıtlara geçti.

1994 yılına kadar bütün cezalarını tamamlayan Morris, bilgisayar ve internet sistemleri üzerine yaptığı çalışmalara Harvard ve MIT’de devam etti. 2006 yılında ise profesör ünvanını alarak MIT’nin kadrosuna katıldı. Viaweb ve Y Combinator’ın kurucularından olan Morris, Meraki Networks gibi saygın şirketlere danışmanlık yapıyor.


Kaynak:siberbülten

 

Anıl Avcı

Teknolugat.com teknoloji blog sitesi kurucusu ve yöneticisi. Hızla gelişen teknolojiyi takip etmek,takip ettikçe öğrendiğim araştırdığım tüm konuları sizler ile paylaşmak için buradayım.Takipte kalın

Cevap Yazın

Güvenlik *

This site uses Akismet to reduce spam. Learn how your comment data is processed.