Saturday, November 23, 2013

Hackerlar fiyatlarını güncelledi

"Kredi kartı bilgisi satın almak çok pahalı değil, 5 - 10 dolardır" dediğimde karşımdakiler hep şaşırırdı. Sonunda tahminlerimin çok da temelsiz olmadığını kanıtlayacak bir araştırma yayınlandı.
Bizden zararlı yazılım veya hacking ile çaldıkları bilgileri sattıkları geniş bir küresel pazar var.

Kredi kartı ve kimlik bilgilerinin satıldığı derin internet'teki pazar (temsili)

Yapılan araştırmalar ışığında yer altın dünyasının hacking fiyat listesinin aşağıdaki gibi şekillendiği görülmektedir.

A.B.D. Visa ve Mastercard kredi kartı bilgisi (CVV kodu dahil): 4 USD
A.B.D. American Express kredi kartı bilgisi (CVV kodu dahil): 7 UDS
Avrupa Visa ve Mastercard kredi kartı bilgisi (CVV kodu dahil): 15 USD
Avrupa American Express kredi kartı bilgisi (CVV kodu dahil): 18 USD
A.B.D. kredi kartı manyetik şerit ve çip bilgisi (Track 1 ve Track 2): 12 USD
Avrupa kredi kartı manyetik şerit ve çip bilgisi (Track 1 ve Track 2): 28 USD
Pek çok nedenle kredi kartı bilgileri sanıldığı kadar cazip değildir. Bu numaraların teker teker değil, geçtiğimiz günlerde çiçek gönderme sitelerinde olduğu gibi, yüz veya binlerle ele geçirildiği düşünürse saldırganların sürümden kazandıkları görülmektedir.

A.B.D. "Fullz" kimlik bilgileri: 25 USD
Kurbana ait aşağıdkai bilgilerin tamamına "Fullz" adı verilmektedir;
Kimlik bilgileri
Ev adresi
İş adresi
eposta adresi (parola dahil)
Sosyal güvenlik numarası
Vatandaşlık numarası (varsa)
Banka hesap bilgileri
İnternet bankacılığı bilgileri

70,000 - 115,000 USD bakiyeli banka hesabı erişim bilgileri (kullanıcı adı/parola): 300 USD

1,000 bilgisayarlık zombi ordusu: 20 USD
5,000 bilgisayarlık zombi ordusu: 90 USD
10,000 bilgisayarlık zombi ordusu: 160 USD
15,000 bilgisayarlık zombi ordusu: 250 USD
Bir yere saldırmak veya ele geçirilen bilgisayarı kullananların kişisel bilgilerini çalmak için kullanılabilir. Korsan yazılım kullanıyorsanız ve/veya anti virüs yazılımınız yoksa büyük ihtimalle bilgisayarınız bunların arasında.

Web sitesi hackleyip bilgi çalmak: 100 - 300 USD arası

DDoS saldırısı: Saati: 3 - 5 USD, Haftası: 90 - 100 USD, Ayı: 400 - 600 USD
DDoS saldırıları bir siteyi erişilmez hale getirmek için bu sitenin kaynaklarının (internet bağlantısı veya hizmet verebildiği kullanıcı sayısı) saldırgan tarafından tüketilmesidir. Bunun sonucunda normal kullanıcılar siteye erişemeyecektir.

Bize çok önemli gibi gelen bu bilgilerin bu kadar ucuza satılmasının nedenlerinden biri de gerekli güvenlik önlemlerini almayan bizleriz.


Sunday, November 17, 2013

Alışveriş Yaptığınız Site Hacklendi

Alışveriş yaptığınız site hacklenir ve kredi kartı bilgileriniz çalınırsa ne olur?
Her geçen gün hataımızın bir parçası olan internet üzerinden alışveriş konusunda hazır olmamız gereken olumsuz senaryolardan birisi ne yazık ki kredi kartı bilgilerinizin hackerların eline geçmesi olur. Kullanıcı olarak bizim yapabileceğimiz bir hata nedeniyle olabileceği gibi bu olumsuz durum, sitenin hacklenmesi sonucu da olabilir.

Geçtiğimiz hafta İstanbul Emniyet Müdürlüğü'ne bağlı Siber Suçlar Müdürlüğü ekipleri tarafından yapılan bir operasyonda suçluların bilgisayarlarında, özellikle çiçek gönderme sitelerine ait, müşteri bilgileri bulunmuş. Emniyet tarafından yapılan duyuruyu buradan görebilirsiniz http://sibersuclar.iem.gov.tr/duyurular/15_11_2013_Hackeroperasyonu.html

Şekil 1: Kredi kartıyla alışveriş yapmak (temsili)


Saldırganların bu sitelerdeki güvenlik açıklarından faydalanarak kredi kartı bilgilerinin çalındığı tespit edilmiş.

Yazının konusuyla doğrudan ilgili olmasa da iki önemli noktayı dile getirmeden edemeyeceğim.
Hem sektörün tümünü etkileyecek bir güvensizlik ortamına izin vermemek, hem de mağdurların gerekli tedbirleri alabilmesini sağlamak için bu sitelerin hangileri olduğu acilen açıklanmalıdır.
Bununla da kalmayıp, alışveriş sitelerinde yaşanan güvenlik ihlallerinin adli makamlara ve site kullanıcılarına duyurulmasını mecburi hale getiren bir yasal düzenleme yapılmalıdır.


Alışveriş yaptığınız site hacklenip kredi kartı bilgileriniz çalınırsa yapabileceklerinizi aşağıda özetledim;

  • Durumu bankanıza bildirin
  • Kullandığınız kredi kartını iptal edin
  • Bankamatik kartınızı kullandıysanız bu kartı iptal etmek yeterli olmayabilir, kartın bağlı olduğu hesabı da kapatmak gerekebilir
  • Son birkaç ayın ekstrelerini kontrol edin. Yaptığınızı hatırlamadığınız harcamaları (1 TL olsa bile) inceleyin
  • Önümüzdeki birkaç ayın ekstrelerini benzer şekilde dikkatlice inceleyin

İnternet üzerinden alışveriş yaparken mutlaka sanal kart kullanın, zararınızı sınırlandırmanız mümkün olacaktır.

İnternet üzerinden daha güvenli alışveriş yapmanızı sağlayacak bazı önerileri aşağıdaki bağlantıda bulunan sunumda bulabilirsiniz.

http://www.slideshare.net/AlperBasaran/nternette-gvenli-alveri-iin-neriler


Tuesday, November 12, 2013

Siber Casusluk ve Siber Casusları Atlatmak

Siber Casusluk

Siber casusluk pazarının var olduğunu biliyoruz ancak büyüklüğü konusunda net bir bilgi vermek zor. Tahminler, gelişmiş siber casusluk yazılımlarının satışının, yıllık 5 milyar dolar civarında bir pazar oluşturduğu yönünde.

Şekil 1: Siber Casusluk Yazılımı (temsili)

Suriye'li yetkililer tarafından yakalanan ve işkence gördüğünü iddia eden Karim adlı bir Suriyeli "bilgisayarım benden önce tutuklanmıştı" ifadesini kullanmış. Kendisini sorguya çekenlerin elinde Skype görüşmelerinin kayıtları ve anlık mesajlaşma çıktılarının olması bu iddiasında haksız olmadığının göstergesi olabilir mi?

Sınır Tanımayan Gazeteciler birliğinin yayınladığı "İnternet'in Düşmanları" raporunda 5 firmayı "siber paralı asker" (cyber mercenary) olarak tanımlıyor ve bu firmaların sattıkları ürünlerin dünyanın çeşitli yerlerinde baskıcı rejimler tarafından halklarına karşı kullanıldığı belirtiliyor.

Tam bir liste olmamakla birlikte, akla ilk gelen firmalar şöyle sıralanıyor;

  1. Blue Coat (A.B.D)
  2. Gamma Group (İngiltere)
  3. Hacking Team (İtalya)
  4. Trovicor (Almanya)
  5. Amesys (Fransa)


Bu firmalar tarafından üretilen ve satılan siber casusluk yazılımlarının Suriye, İran, Çin, Bahreyn ve Vietnam gibi totaliter rejimler tarafından alındığı ve halkın iletişimini yakından takip etmek ve gerektiğinde keyfi tutuklamalar için temel oluşturduğu raporda belirtilmektedir.

Satılan yazılımların temel özellikleri benzerlik göstermektedir, bunlar;

  1. Bilgisayar disklerine uzaktan erişim sağlamak ve içeriğini okumak
  2. Kullanıcı adı ve parola bilgilerini çalmak
  3. Sosyal medya hesaplarının izlenmesi
  4. Epostaların okunması ve takibi
  5. İnternet üzerinden yapılan telefon görüşmelerinin dinlenmesi
  6. Anlık mesajlaşma oturumlarının kaydedilmesi

Asıl amaçları siber suçlarla mücadele olması gereken bu yazılımların amacı dışında kullanılmasına neden olan yasal boşlukların hızla doldurulması gerektiği belirtilen raporda bu yazılımların siber silah kapsamına alınması ve ihracatının sınırlandırılması önerilmiş.

İnternet'te yürüyüp izini belli etmemek

Yaklaşık 3 hafta önce Londra Kevin Mitnick ("Kevin David Mitnick gibi sosyal mühendisliğin babası sayılabilecek birisi..." Teşekkür ederim "Burhann") ile sohbetim sırasında kendisi "İnternet'e kendinizi gizlemek önemli, ancak peşinizdeki bir devletse bunu yapmanız neredeyse imkansız" demişti. Buna rağmen kendinizi korumak adına dijital izlerinizi gizlemenizde fayda var, bunu yapmak için aşağıdaki basit öneriler faydalı olabilir.

Şekil 2: Siber Casus (Temsili)

Güvenli surf
Mümkün olduğunca http:// yerine https:// ile başlayan siteleri kullanın. Https:// ile başlayan siteler güvenlik sertifikasına sahiptir ve başkalarının bu sitelerle kurduğunuz iletişimi dinlemesi daha zordur. Ziyaret ettiğiniz sayfada "Web Sitesinin Güvenlik Sertifikasında Sorun Var" uyarısı çıkması halinde kesinlikle "Anlıyorum ve devam etmek istiyorum" seçeneğini kullanmayın, derhal uzaklaşın.

Belgeleriniz Konuşuyor
İnternete yüklediğiniz fotoğraf ve ofis belgeleri kendi içlerinde bazı veriler barındırır. Örneğin fotoğraflar çekildikleri yerin bilgisini, PDF uzantılı dosyalar ise dosyayı oluşturan kişi ve bilgisayarı hakkında bilgiler barındırabilir. Bu nedenle bu tür belgeleri paylaşırken tekrar düşünmekte fayda var.

Sosyal Medya güvenlik ayarları
Facebook gibi sosyal medya paylaşım siteleri belirli güvenlik profilleri ve politikaları çerçevesinde çalışır. Bu politikalar paylaşım sitesinden sitesine farklılık gösterebildiği gibi aynı site içerisinde zamanla değişebilir. Kimsenin göremediğini zannettiğiniz profiliniz basit bir politika değişikliği ile bir gecede dünyaya açılabilir. Kabul ettiğiniz güvenlik politikasını okumak ve belirli aralıklarla tekrar okumak faydalıdır.

Cep telefonunuz
Bazılarınız şaşırabilir ama açık olduğu sürece cep telefonunuz aşağıdaki bilgileri baz istasyonuna sürekli olarak göndermektedir.

  1. IMEI: Telefonunuza üretici tarafından verilen tekil tanıma numarası
  2. IMSI: SIM kartını doğrulayan şifre bilgisi
  3. TMSI: Coğrafi konumunuza göre operatör tarafından verilen geçici numara
  4. İçerisinde bulunduğunuz hücre bilgisi
  5. Coğrafi konumunuz
Bu bilgilerin dışında görüşme bilgilerinize anlık olarak ulaşmak veya rehber ve görüşme bilgilerinize ulaşmak mümkündür. Bunun için kullanılabilecek bazı şifreler ve yöntemler mevcuttur, yazının konusu olmadığından detaya girmeyeceğim, merak edenlere özel olarak anlatabilirim. 

Bellekleriniz
Laptop, masaüstü veya USB belleklerinizi mutlaka şifreleyin. TrueCRYPT gibi bir yazılım kullanmak en basitinden laptopunuzu çalan birinin kişisel belgelerinize ulaşmasını önleyecektir. 

TAILS (The Amnesic Incognito Live System)
Adından da anlaşılabileceği gibi gizliliği sağlamayı amaçlayan bir işletim sistemidir. Windows yerine bunu kullanmak size ek bir görünmezlik pelerini sağlayacaktır. 

E-posta mesajlarınız
E-posta mesajlarınızı PGP anahtarı ile şifrelemek araya giren birinin epostalarınızın içeriğini okumasını zorlaştıracaktır. Bu konuda Windows ile bir PGP şifreleme anahtarı oluşturmak ve eposta istemcisi olarak Thunderbird kullanmak ücretsiz ve etkili bir çözüm oluşturmanıza imkan verecektir. 

Siber casusluktan korunmanın mümkün olmadığı Kevin Mitnick'in kabullenmiş yaklaşımının yanısıra Edward Snowden tarafından ortaya çıkartılan olaylarla bir kez daha anlaşılmıştır. Bu nedenle elimizden gelen önlemleri almak şart olmuştur. Ne olursa olsun, İnternet'in dost bir ortam olmadığını unutmamak gerekiyor. 





Sunday, September 22, 2013

Zafiyet Yönetimi

Doğrudur, zafiyet taraması, sızma testleri kadar "fantastik" değil. 

Zafiyet Taraması (temsili) "Güvenlik kamerası gibi zafiyetleri izlemek"

Hatta çoğu zaman işini iyi yapmadığını iddia ettiğimiz bazı firmaları aşağılamak için bile kullanırız; "sızma testi değil, zafiyet taraması yapmışlar" cümlesini duyduysanız tam olarak bunu kastediyorum.

Tek doğrunun sızma testleri olduğuna inananların daha fazla zaman kaybetmelerini önlemek için belirteyim: Yazının devamında zafiyet taramasının ne kadar gerekli olduğunu ve kurum içerisinde kalıcı bir zafiyet taraması yapısının nasıl oluşturulabileceğini anlatacağım.

İnternet ortamındaki saldırganları 2 farklı gruba ayırabiliriz: belirli bir hedefi olanlar ve fırsatçılar. Belirli hedefi olanlar için dünyada iki türlü ağ vardır, sızdıkları ve sızacakları. Bu nedenle bu saldırgan profiline karşı sızma testi bile kesin bir çözüm değil, sadece işlerini zorlaştırmak için atılabilecek adımların ortaya çıkartılmasından ibarettir. Pareto kuralı, her alanda olduğu gibi, bilgi güvenliği konusunda da geçerlidir ve görüldüğü üzere saldırıların %20'si kendilerine bir hedef belirlemiş saldırganlar tarafından gerçekleştirilirken, %80'i fırsatçı olarak adlandırabileceğimiz saldırganlarca gerçekleştirilmektedir.
Fırsatçı saldırganlara verebileceğim en iyi örnek "pen tester" olmak için mülakata gelen 15 yaşında bir çocuktur. Saldırı metodolojisi gayet basitti, basit ama etkili. PHP shell yükleyebileceği bir siteyi Google araması ile buluyordu. Bing ile aynı IP üzerinde çalışan sitelere bakıp, içlerinden birini "hacklemek" için kendince bir bahane buluyordu ve eylemini gerçekleştiriyordu.

Zafiyet Taraması Metodolojisi
Sızma testlerini birkaç "cana yakın heykır arkadaşın" bir araya gelip ağ ve sistemlerinizi "kurcalamasından" fazlası olarak gördüğümden beraber çalıştığım insanların beni pek sevmediğini söyleyebilirim. Öyle ya, bulduğumuz ilk açıktan ağa sızabilecekken belki de hiçbirşey vermeyecek 78 daha az önemli ve sıkıcı noktayı test etmelerini istemem bazılarına ağır gelebilir. Sızma testini bilgi işlem tehditlerinin kurumun iş süreçlerine ve bilgi güvenliğine etkilerini ölçmek için yapıyorsak, ne yazık ki bunu bu şekilde ele almak zorundayız. Değilse, işimizi sadece teknik olarak bir ağa sızılabileceğini kanıtlamak olsaydı, bunun ticari bir değeri olmazdı.

Son günlerde sıkça konuştuğumuz NSA (National Security Agency) istihbarat görevlerinin yanı sıra A.B.D. hükümetinin internet altyapısının güvenliğini sağlama konusunda da çeşitli görevler üstlenmiştir. Benzer şekilde İngiliz hükümetinin GESC CHECK girişimi devlete ait sistemlerdeki zafiyetlerin belirlenmesi konusunda bir yol haritası çıkartmaktadır. PCI DSS ise bunlardan farklı olarak sivil ve ticari bir girişim olarak değerlendirilebilir. Bu 3 programın amacı da zafiyetleri belirli bir metedoloji izleyerek ortaya çıkartmak, takip etmek ve düzeltmektir.

Zafiyet taraması metodolojisi temelde 3 aşamadan oluşan bir döngüdür. Bu aşamalar, zafiyet taraması öncesi, zafiyet taraması ve zafiyet taraması sonrasıdır.

Zafiyet taraması öncesi adımları:
Zafiyet taramasının kapsamın belirlenmesi
Tarama sırasında gerekli olacak süreçlerinin oluşturulması
Kritik varlıkların belirlenmesi ve ölçülmesi

Zafiyet taraması adımları:
Ağ mimarisinin analizi
Tehditlerin ortaya konulması
Zafiyet taramasının gerçekleştirilmesi
Bulunan zafiyetlerin teyit edilmesi
Güvenlik politikalarının ve süreçlerinin incelenmesi
İş etki analizinin yapılması
Risk modellemesinin yapılması
Kapsamda ise fiziksel zafietlerin belirlenmesi

Zafiyet taraması sonrası adımları:
Tarama sonuçlarının önceliklendirilmesi
İyileştirme önerilerinin belirlenmesi ve önceliklendirilmesi
Tavsiye edilen iyileştirmeler için bir eylem planının oluşturulması
Sonraki taramaların etkisini artırmak için öneriler

Yukarıdaki iş akışı bünyesinde izlenebilecek çeşitli metodolojiler vardır. Aralarında büyük farklar yoktur ve genellikle aşağıdaki gibi bir yol izlerler:

Hedef ağ ve ağ üzerindeki sistemlerle ilgili bilgi toplama
Hedef ağ üzerindeki sistemlerin taranması
Taranan sistemler üzerindeki zafiyetlerin tespit edilmesi
Tespit edilen zafiyetlerin istismar yöntemlerinin belirlenmesi

Zafiyet taraması için kullanılabilecek araçlar
Yukarıda belirttiğim gibi bir zafiyet taraması yapmak için kullanılabilecek bazı araçlar şunlardır:

Komut satırı
Whois, Dig, traceroute, Hping3 gibi komut satırı araçları sayesinde bilgi toplanır. Zafiyet taramasını kurum personeli gerçekleştiriyorsa, sahip olunan IP adresleri gibi konular hakkında bilgi sahibi olunacağından bu tarz bir araştırma gereksiz görünebilir. Ancak, büyük yapılarda bilgi işlem biriminin bilgisi dışında bazı gelişmeler yaşanabilmektedir (Örn: bir reklam kampanyasının sunucularının açılması) bu nedenle bu adımı atlamamakta fayda vardır.
Bu araçlar kullanılarak kurum IP adresleri, sahip olduğu sunucular, DNS bilgileri gibi önemli konularda bilgiler toplanır.

Nmap
Nmap kullanılarak kurumun IP adresleri arasında dışarıya açık (dış taramalar için) veya kurum içerisinde açık (iç taramalar için) cihazlar tespit edilir.
Nmap aynı zamanda ayakta olan cihazların işletim sistemleri, dışarıya açık servisleri gibi önemli bilgiler elde edilebilir. Aşağıdaki tarama sonucuna bakacak olursak Nmap ile taranan bir sistem hakkında elde edilebilecek bilgileri görebiliriz.




Nmap ile farklı parametreler kullanılarak hedef sistem üzerinde çalışan servisler hakkında daha detaylı bilgi de elde edilebilir.


Nmap tek bir hedef için kullanılabileceği gibi bir alt ağ için de kullanılabilir.

Nessus
En yaygın olarak kullanılan zafiyet tarama araçlarından biri Nessus'tur.
Nessus bilinen zafiyetlerin hedef sistem üzerinde bulunup bulunmadığını denetler ve olduğunu düşünürse raporuna ekler. Bunun gibi zafiyet tarama çözümleri konusunda unutulmaması gereken bazı önemli noktalar vardır. Öncelikle bu sistemler sadece yaygın olarak bilinen zafiyetleri aramaktadır. Dolayısıyla 0-day olarak adlandırılan yeni zafiyetler bu taramalarda bulunmayabilir. Bunun yanında raporlarda "false positive" olarak adlandırılan ve aslında olmayan bir zafiyetin varmış gibi raporlanması da sıkça görülmektedir.
Web uygulamalarında bulunabilecek zafiyetleri taramak için Acunetix gibi bu konuda biraz daha uzmanlaşmış bir araç kullanılabilir.
Daha etkili bir zafiyet taraması için birden fazla tarama aracı kullanılması ve sonuçların el ile teyit edilmesi gereklidir.

Zafiyet taraması sürecinin önemli noktaları
Zafiyet tarama sürecinin en önemli aşaması, şüphesiz, doğru kapsamın belirlenmesidir. taranacak veya incelenecek sistem sayısının az olması veya bu sistemlerin yaygın olarak kullanılan sistemlerden farklı özelliklerde olmaları yanıltıcı sonuçlar doğuracaktır.
Zafiyet taraması konusunda bir diğer önemli nokta ise belirli aralıklarla tekrar edilmesidir. Senede bir gün yapılan bir taramanın faydası çok az olacaktır. Bu nedenle eldeki kaynakların el verdiği ölçüde sık tekrarlanması çok önemlidir.
Zafiyet taraması sürecinin en değerli çıktısı ise rapordur. Rapor okunabilir, doğru veriler içeren ve mantıklı öneriler taşıyan bir içeriği olması gerekmektedir. Ne yazık ki hayatımda gördüğüm çoğu sızma testi raporu okunmamıştı, bunun nedeni raporu teslim alan kişinin tembel olması değil, raporda okumaya değer çok az yer olmasıydı. Sayfalarca Nmap çıktısı raporu kalın ve önemli gösterebilir ancak raporu okuyan kişiyi ilgilendiren kısım bu olmayacaktır. Zafiyet analizi raporları da benzer şekilde okunabilir ve anlaşılabilir olmalıdır.








Tuesday, June 4, 2013

Polis'ten Facebook Uygulaması

Aşağıdaki ekranla karşılaşabilirsiniz.



Symantec firmasının tespit ettiği yeni phishing saldırısı ile kurbanlar Polis tarafından hazırlanmış gibi görünen bu sayfaya yine Polis tarafından gönderilmiş gibi gözüken epostalarla yönlendiriliyorlar.

Bu sayfanın amacı kişisel bilgilerinizi almaktır, lütfen formu kesinlikle doldurmayınız ve gelen epostayı "istenmeyen eposta" (spam) olarak işaretleyiniz.

Bu sayfaya Facebook veya Twitter üzerinden de yönlendirilebilirsiniz, tanımadığımız kişilerden gelen mesajlarda veya paylaşımlardaki bağlantılara tıklarken dikkatli olmakta fayda var. Özellikle kısaltılmış bağlantıların kullanıldığı Twiter üzerinden insanları phishing için hazırlanmış ve resmi görünen sitelere yönlendirmek çok kolay olmaktadır.


Saturday, March 30, 2013

Bostan Operasyonu: İsrail'in Suriye'yi bombaladığı gece



6 Eylül 2007 günü saatler gece yarısını henüz biraz geçmişken Suriye’nın Kuzey Doğusunda bulunan Deir ez-Zor bölgesindeki bir tesis İsrail Hava Kuvvetlerine ait F15 ve F16’lardan oluşan bir filo tarafından bombalandı. Sayıları tam olarak bilinmese de 12 – 14 arasında uçaktan oluştuğu düşünülen bu filo’nun eylemi bizim açımızdan çok önemli olmasa da olay gerçekleşme biçiminin aklımıza getirdiği sorular çok ilginçtir. 

2012 yılının Haziran ayında bize ait bir uçağı düşüren Suriye hava savunma sisteminin bu filoyu görmemiş olmasına imkan yoktur. Buna rağmen saldırıya katılan uçakların düşürülmesi bir ana, ateş bile açılmamıştır. Aşağıda “Bostan Operasyonu” (Operation Orchard) olarak da bilinen saldırının en önemli bileşeninin bir siber saldırı olabileceğine işaret eden bulguları paylaşıyorum. 

Resim 1: Bombalanan tesisin olaydan önce ve sonra çekilmiş uydu fotoğrafları


Bostan Operasyonu

Aşağıdaki Suriye haritasında bombalanan tesisin bulunduğu Deir ez-Zor vilayetinin konumu gösterilmiştir.
Resim 2: Bombalanan tesisin bulunduğu Deir ez-Zor vilayeti



Bu durumda basit bir gözlemle İsrail uçaklarının Suriye’yi neredeyse boydan boya geçmesi gerektiğini görebiliriz. Aşağıda izledikleri rota işaretlenmiştir.

Resim 3: İsrail savaş uçakları tarafından izlenen rota


 Suriye’nin hava savunma sistemlerini ne kadar etkin kullandığını gösteren  2012 yılında yaşanan acı olayın yanısıra aşağıdaki harita üzerinde bu sistemlerin konumlarını görebiliriz. 

Resim 4: Suriye hava savunma sistemlerinin konumları


 Üçgenler hava savunma sistemlerinin konumlarını göstermektedir. Uçuş rotasını bu harita üzerine yerleştirirsek operasyonun aslında ne kadar tehlikeli olduğunu daha net görebiliriz.

Resim 5: İsrail uçaklarının rotasının hava savunma sistemleriyle karşılaştırılması



Görüldüğü üzere kırmızı dairenin içerisinde kalan alan hava savunma sistemlerinin yoğun olarak bulunduğu alan. Kısaca operasyona katılan uçakların İsrail’de havalanmasının ardından Suriye sınırına yaklaştıkları anda bu sistemler tarafından tespit edilmiş olması gerekirdi. 

8 Eylül tarihli aşağıdaki gazete haberine göre ise Gaziantep ve Hatay’da İsrail savaş uçakları tarafından bırakılmış yedek yakıt tankları bulunmuştur.

Resim 6: İsrail savaş uçakları tarafından bırakılan yakıt tanklarına dair çıkan haberler


Bu durumda dönüş yolunu da hesaba katarsak İsrail uçaklarının defalarca Suriye hava savunma sistemlerinin menziline girmiş ve tespit edilmiş olmaları gerekmektedir. Aşağıdaki haritaya dönüş yolu da eklenmiştir.

Resim 7: İsrail uçaklarının dönüş rotası

                                         
Beyaz olarak gösterdiğimiz rotanın başladığı yerin bize ait F4 uçağının düşürüldüğü yerde olması nedeniyle Suriye hava savunma sistemlerinin bu bölgeyi rahatlıkla gözlemleyip gerektiğinde vurabildiğini biliyoruz. 

Operasyonda kullanılan F15 uçaklarının 1976’da hizmete girdiğini düşünürsek 2000’li yılların radar sistemleri tarafından görülmemiş olması imkansızdır. Günümüz uçaklarının aksine kompozit malzemeler yerine çelik ve titanyumdan üretilmiş uçakların gövdelerinin gözden kaçması imkansızdır. Bu durumda elimizde kalan tek geçerli seçenek bombardımanın sanal ortamda yürütülen bir operasyonla eşzamanlı olarak gerçekleştirilmiş olmasıdır.




3 farklı senaryo

Ele alacağımız 3 senaryoda da Suriye’ye ait hava savunma sistemlerinin “hacklenmesi” ihtimal dâhilindedir. 

1940’lardan beri çalışma prensiplerinde değişiklik göstermeyen radar sistemleri gönderilen bir radyo dalgası veya lazer ışınının havadaki bir cisim üzerinden yansıyarak geri gelmesi üzerine kuruludur.
“Hayalet uçak” olarak da adlandırılan uçaklar ise gövde yapıları ve kullanılan kaplama malzemeleri sayesinde radarların gönderdiği sinyalleri emerek veya yönünü değiştirerek radara geri gitmesini engelleyerek “görünmez” olurlar. 

Bu durumda ilk geçerli senaryo İsrail uçaklarından oluşan filonun önünden radarlar tarafından görünmeyen ufak bir insansız hava aracının uçması ve bu araçtan Suriye radarlarına sahte radar sinyallerinin gönderilmesi olacaktır. Radarlarda, ne yazık ki, gelen sinyalleri kendilerinin gönderip göndermediğini kontrol edebilecekleri bir sistem bulunmamaktadır. Bu nedenle “havada bir şey yok” sinyali gönderecek bir insansız hava aracı radarların kendi sinyallerinin geri gelmesini, geri gelse bile dikkate alınmasını engellemiş olacaktır. 

İkinci senaryo ise operasyon’a katılan F16’lara bir açıklama da getirebilir. BAE Systems adlı bir İngiliz firması tarafından geliştirilen bir sistem düşman radar sistemlerinin zafiyetlerinin kullanılmasına imkan sağlamaktadır. Bir çeşit “radar sistemi için metasploit” olarak adlandırabileceğimiz sistem sayesinde düşman radarına istenilen görüntü gönderilebilmektedir. A.B.D. ordusunun bu sistemi 2006 yılından beri aralarında F16’ların da bulunduğu bazı uçaklara yerleştirmiş olması nedeniyle bu operasyona katılan F16’ların da bu sisteme sahip olduklarını düşünmemize neden olmaktadır.  

Son senaryo ise Suriye’nin Rusya’dan satınaldığı radar sistemlerinde kullanılan yazılımlarda bir çeşit “arka kapı” bulunmuş olmasıdır. Bu sayede sistemi ele geçiren birisi radarları yönetme kabiliyeti kazanmış olabilir. Arka kapı sonradan keşfedilmiş olabileceği gibi, üretim sırasında kaynak koda da yerleştirilmiş olabilir. Günümüzde kurumsal ağlarda kullanılan bazı ağ ve güvenlik cihazlarında da gördüğümüz bu arka kapılardan gerçekleşecek bağlantı büyük ihtimalle gözden kaçacaktır. Bu sayede ele geçirilen bir sistem tam anlamıyla teslim olmuş olacağı için saldırının bundan sonrası saldırganın insafına kalmıştır. 


Askeri açıdan bu saldırıdan çıkartılabilecek sayısız ders vardır. Bilgi güvenliği alanında çalışan bizler için en önemlisi ise siber savaşlarının nasıl gerçekleşebileceği konusunda bazı ipuçları vermesidir. Askeri ve kamu kurumlarının yanında şirketlerin de artık bilgi güvenliği konusunu sadece bilgisayarlarla sınırlandırarak ele almasının ne kadar tehlikeli olabileceğini görüyoruz. SCADA gibi önemli altyapıları yöneten sistemlerinin siber saldırıların kurbanı olduğunu zaten biliyoruz ve ne yazık ki bu saldırılar artık Stuxnet gibi çok gelişmiş yazılımlarla değil, basit araçlarla yapılmaktadır. 

“Bizim radarımız yok ki?” diyenler için; IP telefonlarınız ortam dinlemesi için kullanılabilir, kullandığınız video konferans sistemine dahil olunup görüşmeleriniz dinlenebilir veya güvenlik kameralarınız sizi izlemek için kullanılabilir. 

Evet, siber savaş cephesi her geçen gün genişliyor ve ne yazık ki bu genişlemeyi yakından takip etmemiz hayati önem taşımaktadır. 

MITRE ATT&CK Gerçek Hayatta Ne İşimize Yarar?

  Rusya kaynaklı siber saldırılar webinarı sırasında üzerinde durduğum önemli bir çalışma vardı. MITRE ATT&CK matrisini ele alıp hangi...