Saturday, March 30, 2013

Bostan Operasyonu: İsrail'in Suriye'yi bombaladığı gece



6 Eylül 2007 günü saatler gece yarısını henüz biraz geçmişken Suriye’nın Kuzey Doğusunda bulunan Deir ez-Zor bölgesindeki bir tesis İsrail Hava Kuvvetlerine ait F15 ve F16’lardan oluşan bir filo tarafından bombalandı. Sayıları tam olarak bilinmese de 12 – 14 arasında uçaktan oluştuğu düşünülen bu filo’nun eylemi bizim açımızdan çok önemli olmasa da olay gerçekleşme biçiminin aklımıza getirdiği sorular çok ilginçtir. 

2012 yılının Haziran ayında bize ait bir uçağı düşüren Suriye hava savunma sisteminin bu filoyu görmemiş olmasına imkan yoktur. Buna rağmen saldırıya katılan uçakların düşürülmesi bir ana, ateş bile açılmamıştır. Aşağıda “Bostan Operasyonu” (Operation Orchard) olarak da bilinen saldırının en önemli bileşeninin bir siber saldırı olabileceğine işaret eden bulguları paylaşıyorum. 

Resim 1: Bombalanan tesisin olaydan önce ve sonra çekilmiş uydu fotoğrafları


Bostan Operasyonu

Aşağıdaki Suriye haritasında bombalanan tesisin bulunduğu Deir ez-Zor vilayetinin konumu gösterilmiştir.
Resim 2: Bombalanan tesisin bulunduğu Deir ez-Zor vilayeti



Bu durumda basit bir gözlemle İsrail uçaklarının Suriye’yi neredeyse boydan boya geçmesi gerektiğini görebiliriz. Aşağıda izledikleri rota işaretlenmiştir.

Resim 3: İsrail savaş uçakları tarafından izlenen rota


 Suriye’nin hava savunma sistemlerini ne kadar etkin kullandığını gösteren  2012 yılında yaşanan acı olayın yanısıra aşağıdaki harita üzerinde bu sistemlerin konumlarını görebiliriz. 

Resim 4: Suriye hava savunma sistemlerinin konumları


 Üçgenler hava savunma sistemlerinin konumlarını göstermektedir. Uçuş rotasını bu harita üzerine yerleştirirsek operasyonun aslında ne kadar tehlikeli olduğunu daha net görebiliriz.

Resim 5: İsrail uçaklarının rotasının hava savunma sistemleriyle karşılaştırılması



Görüldüğü üzere kırmızı dairenin içerisinde kalan alan hava savunma sistemlerinin yoğun olarak bulunduğu alan. Kısaca operasyona katılan uçakların İsrail’de havalanmasının ardından Suriye sınırına yaklaştıkları anda bu sistemler tarafından tespit edilmiş olması gerekirdi. 

8 Eylül tarihli aşağıdaki gazete haberine göre ise Gaziantep ve Hatay’da İsrail savaş uçakları tarafından bırakılmış yedek yakıt tankları bulunmuştur.

Resim 6: İsrail savaş uçakları tarafından bırakılan yakıt tanklarına dair çıkan haberler


Bu durumda dönüş yolunu da hesaba katarsak İsrail uçaklarının defalarca Suriye hava savunma sistemlerinin menziline girmiş ve tespit edilmiş olmaları gerekmektedir. Aşağıdaki haritaya dönüş yolu da eklenmiştir.

Resim 7: İsrail uçaklarının dönüş rotası

                                         
Beyaz olarak gösterdiğimiz rotanın başladığı yerin bize ait F4 uçağının düşürüldüğü yerde olması nedeniyle Suriye hava savunma sistemlerinin bu bölgeyi rahatlıkla gözlemleyip gerektiğinde vurabildiğini biliyoruz. 

Operasyonda kullanılan F15 uçaklarının 1976’da hizmete girdiğini düşünürsek 2000’li yılların radar sistemleri tarafından görülmemiş olması imkansızdır. Günümüz uçaklarının aksine kompozit malzemeler yerine çelik ve titanyumdan üretilmiş uçakların gövdelerinin gözden kaçması imkansızdır. Bu durumda elimizde kalan tek geçerli seçenek bombardımanın sanal ortamda yürütülen bir operasyonla eşzamanlı olarak gerçekleştirilmiş olmasıdır.




3 farklı senaryo

Ele alacağımız 3 senaryoda da Suriye’ye ait hava savunma sistemlerinin “hacklenmesi” ihtimal dâhilindedir. 

1940’lardan beri çalışma prensiplerinde değişiklik göstermeyen radar sistemleri gönderilen bir radyo dalgası veya lazer ışınının havadaki bir cisim üzerinden yansıyarak geri gelmesi üzerine kuruludur.
“Hayalet uçak” olarak da adlandırılan uçaklar ise gövde yapıları ve kullanılan kaplama malzemeleri sayesinde radarların gönderdiği sinyalleri emerek veya yönünü değiştirerek radara geri gitmesini engelleyerek “görünmez” olurlar. 

Bu durumda ilk geçerli senaryo İsrail uçaklarından oluşan filonun önünden radarlar tarafından görünmeyen ufak bir insansız hava aracının uçması ve bu araçtan Suriye radarlarına sahte radar sinyallerinin gönderilmesi olacaktır. Radarlarda, ne yazık ki, gelen sinyalleri kendilerinin gönderip göndermediğini kontrol edebilecekleri bir sistem bulunmamaktadır. Bu nedenle “havada bir şey yok” sinyali gönderecek bir insansız hava aracı radarların kendi sinyallerinin geri gelmesini, geri gelse bile dikkate alınmasını engellemiş olacaktır. 

İkinci senaryo ise operasyon’a katılan F16’lara bir açıklama da getirebilir. BAE Systems adlı bir İngiliz firması tarafından geliştirilen bir sistem düşman radar sistemlerinin zafiyetlerinin kullanılmasına imkan sağlamaktadır. Bir çeşit “radar sistemi için metasploit” olarak adlandırabileceğimiz sistem sayesinde düşman radarına istenilen görüntü gönderilebilmektedir. A.B.D. ordusunun bu sistemi 2006 yılından beri aralarında F16’ların da bulunduğu bazı uçaklara yerleştirmiş olması nedeniyle bu operasyona katılan F16’ların da bu sisteme sahip olduklarını düşünmemize neden olmaktadır.  

Son senaryo ise Suriye’nin Rusya’dan satınaldığı radar sistemlerinde kullanılan yazılımlarda bir çeşit “arka kapı” bulunmuş olmasıdır. Bu sayede sistemi ele geçiren birisi radarları yönetme kabiliyeti kazanmış olabilir. Arka kapı sonradan keşfedilmiş olabileceği gibi, üretim sırasında kaynak koda da yerleştirilmiş olabilir. Günümüzde kurumsal ağlarda kullanılan bazı ağ ve güvenlik cihazlarında da gördüğümüz bu arka kapılardan gerçekleşecek bağlantı büyük ihtimalle gözden kaçacaktır. Bu sayede ele geçirilen bir sistem tam anlamıyla teslim olmuş olacağı için saldırının bundan sonrası saldırganın insafına kalmıştır. 


Askeri açıdan bu saldırıdan çıkartılabilecek sayısız ders vardır. Bilgi güvenliği alanında çalışan bizler için en önemlisi ise siber savaşlarının nasıl gerçekleşebileceği konusunda bazı ipuçları vermesidir. Askeri ve kamu kurumlarının yanında şirketlerin de artık bilgi güvenliği konusunu sadece bilgisayarlarla sınırlandırarak ele almasının ne kadar tehlikeli olabileceğini görüyoruz. SCADA gibi önemli altyapıları yöneten sistemlerinin siber saldırıların kurbanı olduğunu zaten biliyoruz ve ne yazık ki bu saldırılar artık Stuxnet gibi çok gelişmiş yazılımlarla değil, basit araçlarla yapılmaktadır. 

“Bizim radarımız yok ki?” diyenler için; IP telefonlarınız ortam dinlemesi için kullanılabilir, kullandığınız video konferans sistemine dahil olunup görüşmeleriniz dinlenebilir veya güvenlik kameralarınız sizi izlemek için kullanılabilir. 

Evet, siber savaş cephesi her geçen gün genişliyor ve ne yazık ki bu genişlemeyi yakından takip etmemiz hayati önem taşımaktadır. 

MITRE ATT&CK Gerçek Hayatta Ne İşimize Yarar?

  Rusya kaynaklı siber saldırılar webinarı sırasında üzerinde durduğum önemli bir çalışma vardı. MITRE ATT&CK matrisini ele alıp hangi...