Telefonunuz ya da modeminiz, gizlice kiraya verilen 17 milyon cihazdan biri olabilir

Bir botnet kendini her zaman telefonu yavaşlatarak ya da ekranı açılır pencerelerle doldurarak ele vermez. Hollanda polisinin az önce çökerttiği ağ, sıradan bir kullanıcının fark edebileceği neredeyse hiçbir şey yapmıyordu. 17 milyondan fazla cihazın, yani bilgisayarların, akıllı telefonların, tabletlerin, ev modemlerinin ve internete bağlı aygıtların küçük bir payını sessizce ödünç alıyor, bağlantılarını yabancılara kiralıyordu. O cihazlardan biri sizinkiyse, hiç tanışmayacağınız biri aylarca sizin ev hattınız üzerinden gezinmiş, veri kazımış ya da sitelere saldırmış olabilir.

Hollanda Ulusal Polisi ve ülkenin Ulusal Siber Güvenlik Merkezi, Hollanda sınırları içindeki bir barındırma sağlayıcısından yaklaşık 200 sunucuya el koyduktan sonra operasyonu durdurdu. Soruşturmacılar ağı bir konut proxy hizmeti olarak tanımlıyor: başkalarının trafiğini gerçek tüketici cihazları üzerinden yönlendirerek sıradan bir ev kullanımı gibi görünmesini sağlayan bir sistem. Bu kılık aslında ürünün ta kendisi. Gerçek bir ev adresinden geliyormuş gibi görünen trafik, bilinen bir veri merkezi sunucusunu anında engelleyecek dolandırıcılık filtrelerinin arasından sıyrılıp geçiyor; konut proxy’lerinin reklamcılar, veri kazıyıcılar ve suçlular tarafından bu denli değerli görülmesinin nedeni de tam olarak bu.

Hollanda basını altyapıyı, konut ve mobil proxy erişimini ticari olarak satan, merkezi Rusya’da bulunan ASOCKS adlı şirketle ilişkilendirdi. Yüzeyde ASOCKS sıradan bir abonelik işi gibi görünüyor. Sorun, konut bağlantılarının nereden geldiği. Güvenlik araştırmacıları yıllardır, bu tür ağları besleyen cihazların büyük bölümünün hiçbir zaman bilerek kaydedilmediği ve sahiplerinin bant genişliklerinin satışta olduğundan haberi olmadığı konusunda uyarıyor.

Cihazlar birkaç farklı yolla devşirildi ve neredeyse hepsi ücretsiz yazılıma duyulan yersiz güvene dayanıyor. Bazı kişiler ücretsiz bir uygulama, bir duvar kâğıdı aracı, bir telefon yardımcısı ya da resmi olmayan bir VPN kurdu; bu yazılım arka planda sessizce bir proxy bileşeni getiriyordu. Android’de, uygulama geliştiricilerin ürünlerine eklediği bir geliştirme kitinin içine gizlenmiş PROXYLIB adlı bir kod kütüphanesi, telefonları sormadan proxy düğümü olarak kaydediyordu. Diğer makineler ise aynı yeteneği doğrudan kuran kötü amaçlı yazılımla enfekte edildi. Her durumda cihaz normal çalışmaya devam ederken, bağlantısı bir başkası için çalışıyordu.

Bir cihaz havuza girdikten sonra bağlantısı, masum bir ev kullanıcısı gibi görünmekten fayda sağlayan hemen her şey için kullanılabiliyordu. Hollanda makamları ağın oltalama kampanyalarını, istenmeyen postayı, çevrimiçi hizmetleri devre dışı bırakan hizmet engelleme saldırılarını, kaba kuvvet ve kimlik bilgisi doldurma giriş denemelerini, tıklama dolandırıcılığını ve katma değerli mesajlar üzerinden sessizce para sızdıran SMS pompalama düzeneklerini beslediğini söylüyor. Ele geçirilmiş tek bir modem kendi başına pek bir şey üretmez. On yedi milyonu bir araya geldiğinde ciddi bir altyapıya dönüşür.

Operasyon gerçek, ama bir tedavi değil. Polis ağı koordine eden sunuculara el koydu, ancak ASOCKS’un web sitesine sonrasında hâlâ erişilebiliyordu ve arkadaki işin ne kadarının gerçekten yok edildiği belirsiz. Komuta sunucularını kapatmak 17 milyon cihazı otomatik olarak temizlemiyor; çünkü gömülü proxy kodu ve kötü amaçlı yazılım, yeni bir operatör onları devralana dek bir telefonda veya modemde el değmeden durabiliyor. Üstelik konut proxy’lerinin kötüye kullanımı tek bir şirket değil, bir pazar. Bir ağı kapatırsınız, talep bir sonrakine kayar; çünkü reklam doğrulama firmalarından web’i tarayan yapay zekâ şirketlerine kadar gerçek adreslere duyulan meşru iştah, bu modeli kârlı tutuyor.

Ölçek vermek gerekirse, 17 milyon cihaz bu ağı şimdiye dek kapatılan en büyük proxy ağları arasına yerleştiriyor; tek bir virüs yaydığı için manşetlere çıkan birçok kötü amaçlı yazılım botnetinden çok daha büyük. Yine de bir fidye yazılımı bulaşmasının aksine belirgin bir belirti nadiren olur. İpuçları genelde sıradandır: sebepsiz yere ısınan ya da yeniden başlayan bir modem, sürekli veri sınırına çarpan bir ev tarifesi, pil ve veri tüketimi gerçek kullanımınızla örtüşmeyen bir telefon ya da adresinizi şüpheli bulduğu için size tekrar tekrar captcha çözdüren web siteleri.

Enfekte cihazlar tek bir ülkede toplanmak yerine dünya geneline dağıldığı için risk bölgesel değil. Eski bir modem ya da ücretsiz araçlarla dolu ucuz bir Android telefon kullanan herkes bu ağa kapılmış olabilir. Pratik savunmalar gösterişsiz ve tanıdık: modemleri ve telefonları güncel tutun, gerçekten kullanmadığınız ücretsiz uygulamaları silin, resmi mağazaların dışından indirilen yazılımlardan ve hiçbir karşılık beklemeden bir şey vadeden resmi olmayan VPN’lerden uzak durun ve yıllardır el değmeden çalışan bir modemi yeniden başlatın.

Dava, bir güvenlik araştırmacısının siber güvenlik merkezine şüpheli proxy etkinliğini bildirmesiyle başladı; Hollanda makamları el konulan sunucuların incelemesinin sürdüğünü, şimdiye kadar herhangi bir gözaltının açıklanmadığını belirtti. Olayın açıkça ortaya koyduğu şey şu: cihaz ekonomisi artık bant genişliğinizin kara borsasını da kapsıyor. Bir uygulama bir dahaki sefere ücretsiz olduğunda, satılan ürün zaten parasını ödediğiniz internet bağlantınız olabilir.