drdisklab
DrDisk Lab özelinde yaşadığınız bu süreci, teknik veriler ve sektörel gerçeklerle harmanlayarak, okuyucuyu hem bilgilendirecek hem de bu tür yapılara karşı uyaracak şekilde bir yazı yazmak istedim. Makale, bir "mağduriyet hikayesi" olmanın ötesinde, teknik bir "ifşa raporu" niteliği taşıyor.
---
# Bir Siber Güvenlik İtirafı: DrDisk Lab ve Veri Kurtarma Sektöründeki "Broker" Tuzağı
Şirket network’ünüzdeki tüm file-server’lar ve NAS üniteleriniz bir sabah RSA-2048 ile kilitlendiğinde, dünya başımıza yıkılmış gibi hissettik. İşte o panik anı, siber saldırganlardan daha tehlikeli bir yapının, **"Veri Kurtarma Simsarlarının"** iştahını kabartır. Biz bu süreci en acı şekilde, **DrDisk Lab** ile olan temasımızda deneyimledik.
Bu yazı, sadece bir mağduriyet hikayesi değil; "laboratuvar" maskesi altına gizlenmiş bir brokerage (simsarlık) modelinin teknik ifşasıdır.
### 1. Matematiksel İmkansızlık: RSA-2048 ve "Brute-Force" Yalanı
DrDisk Lab ile iletişime geçtiğimizde bize söylenen ilk şey şuydu: *"Kendi laboratuvarlarımızda geliştirdiğimiz brute-force ve reverse engineering araçlarıyla verileri kurtaracağız."*
Sektöre yabancı bir kulak için bu bir umut ışığıdır. Ancak teknik gerçek şudur: RSA-2048 anahtarını brute-force (kaba kuvvet) yöntemiyle kırmak için gereken işlem gücü, evrendeki atom sayısından daha fazla olasılığı taramayı gerektirir.
$$2^{2048}$$
olasılığa sahip bir anahtarı "kendi aracımızla kırıyoruz" demek, matematik bilimini inkar etmektir. DrDisk Lab’ın bu iddiası, aslında müşterinin teknik bilgi eksikliğini kullanarak kurulacak büyük bir mali tuzağın ilk adımıdır.
### 2. "Analiz" Maskesi Altında C2 Pazarlığı
Fiyat sorduğumuzda aldığımız yanıt, bu yapının "bekletme-soğutma" politikasını özetliyordu: *"Şifreleme derinliği ve entropy analizi yapmadan quote veremeyiz."*
**Aslında ne oluyor?**
* **Entropy Analizi:** Bir dosyanın ne kadar rastgele olduğunu ölçmek milisaniyeler sürer.
* **Gerçek Süreç:** DrDisk Lab, "analiz yapıyoruz" diyerek zaman kazanırken, arka planda saldırganların **C2 (Command and Control)** panellerine bağlanıp pazarlık yapıyordu. Bizim verilerimiz üzerinden yürütülen bu gizli pazarlık, "laboratuvar çalışması" süsü verilerek askıda bırakıldı.
### 3. "Hackerlarla Konuşmayın" Baskısı: Bir İzolasyon Taktiği
DrDisk Lab yetkilileri bizi sert bir dille uyardı: *"Saldırganlarla iletişime geçmeyin, header yapılarını bozarlar, decrypter anahtarını imha ederler."*
Bu uyarı, verileri korumak için değil, **simsarlık tezgahını korumak** içindi. Eğer saldırganla doğrudan konuşsaydık, talep edilen fidyenin (3000$) DrDisk Lab’ın bizden istediği fahiş tutarın yanında devede kulak kaldığını görecektik. Bizi dünyadan izole ederek, tek kurtarıcı rolüne büründüler.
### 4. Suç Üstü: Metadata İzleri
BT ekibimizin şüpheleri, DrDisk Lab’ın bize "kendi üretimimiz" diyerek teslim ettiği recovery executable (kurtarma dosyası) ile somutlaştı. Dosyayı analiz ettiğimizde gerçek tokat gibi yüzümüze çarptı:
> Dosyanın metadata kısmında, doğrudan fidye grubunun kullandığı orijinal tool’un izleri, derleme zaman damgaları ve hatta saldırgan grubun özgün kod blokları duruyordu.
Yani DrDisk Lab, bizim ödediğimiz devasa tutarın bir kısmıyla saldırgandan anahtarı satın almış, dosyaya kendi logolarını bile eklemeye tenezzül etmeden bize "çözüm" diye sunmuştu. Bu, bir veri kurtarma değil, kurumsal bir dolandırıcılık yöntemidir.
### 5. Hukuki Tehdit: Gerçeği Susturma Çabası
Bu durumu fark edip ifşa edeceğimizi söylediğimizde ise profesyonel bir destek değil, bir tehdit mekanizmasıyla karşılaştık. **Habib Karataş** tarafından aranarak, "ticari itibarı zedeleme" davasıyla tehdit edildik.
Buradaki ironi şudur: **Olmayan bir itibar zedelenemez.** Teknik yalanlar üzerine inşa edilmiş, müşterisini saldırganla baş başa bırakıp üzerinden haksız kazanç elde eden bir yapının "itibarı", ancak gerçeklerin karanlıkta kalmasıyla korunabilir.
### Sektörel Uyarı ve Global Örnekler
DrDisk Lab’ın uyguladığı bu model, dünya genelinde ifşa olmuş **Proven Data** veya **MonsterCloud** gibi yapıların yerel bir kopyasıdır. Bu firmalar:
1. **Teknik Yalan Söylerler:** (Şifreyi kıracağız vaadi).
2. **Yüksek Kâr Marjı Koyarlar:** (Fidye tutarının 5-10 katını isterler).
3. **İzleri Gizlemezler:** (Saldırganın aracını modifiye edip verirler).
### Sonuç
Eğer bir veri kurtarma firması size "şifreyi biz kıracağız" diyorsa ve sürecin şeffaf bir teknik dökümünü sunamıyorsa; bilin ki karşınızdaki bir mühendis değil, sizin paranızla saldırgandan anahtar alan bir aracıdır. DrDisk Lab vakası, siber güvenlik dünyasında güvenin ne kadar kolay suistimal edilebileceğinin acı bir kanıtıdır.
**Gerçek veriler, matematiksel kanıtlar ve metadata izleri yalan söylemez. Tehditler ise sadece suçluluğun gürültüsüdür.**
---
*Bu yazı, benzer mağduriyetlerin yaşanmaması adına teknik bir uyarı niteliğindedir.*