Siber Ajan Olsam...

 FBI’ın “siber ajan” adıyla yeni nesil ajanlar alacağının haberleri çıktı. Bu ajanların, siber uzayda araştırma/soruşturma gibi faaliyetleri yürüterek, FBI’yı 2015 yılının gerçeklerine biraz daha yaklaştırmayı hedefledikleri ortada.

Ben Ajanken (temsili)

Bu haber üzerine biraz düşündüm ve fantezi olarak “siber ajan olsam...” dedim kendi kendime, “...bunları yapardım” diyerek başladım, iş biraz büyüdü ve “siber istihbarat ajansı kursam...” boyutuna vardı. Buyursunlar efendim; 2015 yılında “Siber MİT” veya “Siber İstihbarat Teşkilatı” (SİT) kuracaklara naçizane önerilerim.

Siber uzayı hava, kara, deniz ve uzaydan sonra beşinci savaş alanı olarak tanımlayanlar var, bana kalırsa da beşinci savaş alanı ama, kişisel görüşüm, dördüncü savaş alanının uzay değil, ekonomi olduğu yönündedir. Siber istihbarat işi yapacaksak, öncelikle düşman unsurları tespit edip, takip edip ve gerektiğinde müdahale edecek yeteneklere sahip olmalıyız. İsrail istihbarat birimleri konusunda biraz araştırma yapmış olanlar tanıdık bazı noktalara rastlayabilirler, tabii ki tesadüf değil. Amerika’yı yeniden keşfetmeye gerek olmadığını düşündüğüm için, bu konuda iyi örnekler arasında gösterilen İsrail’in istihbarat yapısından bazı öğeleri yorumladım.

Çatı birim

Siber uzayda her saniye bir gelişme oluyor, bunların arasından önemli ve raporlanması gerekenleri derleyecek ve “SİT” dışındaki paydaşlara bu bilgileri iletecek, bir çeşit arayüz görevi görecek birim.

Saldırılar, duyumlar, gelişmeler, yeni çıkan zafiyetler, siber casusluk ve açık kaynak istihbarat faaliyetleri sonucunda elde edilen bilgiler, önem ve yetki seviyesine göre diğer istihbarat birimleri, bakanlıklar ve özel şirketlerle paylaşılır. Özel şirketlere iletilecek bilgiler uluslararası alanda rekabetçi güçlerini arttıracak nitelikte olacaktır.

Çatı Birimi altındaki yapı çeşitli görevleri yürütecek şekilde bölünecek, ana konular;

• -       Açık kaynak istihbarat birimi
• -       Sızma ve siber saldırılar birimi
• -       İç eğitimler birimi
• -       Zafiyet tespiti ve istismar geliştirme birimi
• -       Operasyon güvenliği birimi
• -       Sinyal ve görüntü işleme birimi
• -       Donanım birimi
• -       Saldırı tespit birimi

Birimlerin işlerine kısaca ele alalım

Açık Kaynak İstihbarat Birimi

İnternete açık kaynakları kullanarak bilgi toplayacak birimin amacı iz bırakmadan ve “saldırgan” olarak yorumlanabilecek davranışlarda bulunmadan (port taraması, zafiyet taraması vs. yapmadan) bilgi toplamaktır. Sosyal medya üzerinden derlenecek bilgiler de bu birim tarafından anlamlandırılacaktır. Google aramasıyla ne bulunur ki? demeyin, aşağıda basit bir örnek verdim. Bir ödeme sistemi altyapısının kullanıcı kılavuzuna sadece arama motoru ile ulaştım, gördüğünüz gibi, hem “gizli” hem de “izinsiz dağıtılamaz” ibareleri var.

 Sızma ve Siber Saldırı Birimi

“Devletin Hackerları” burada çalışacak. Bu birimin amacı sıkça duyduğumuz APT (Advanced Persistent Threat – Gelişmiş Sürekli Tehdit) saldırılarını planlamak ve düzenlemek olmalı. “Dost” olarak niteleyemeyeceğimiz ülkelerin iletişim altyapılarından ve kamu kurumlarından düzenli olarak bilgi sızdıracak ve gerektiğinde sabotaj eylemi yapabilecek şekilde “sürekli saldırı” yaklaşımı ile çalışmalıdır.

İç Eğitimler Birimi

“Eğitim Şart”. Diğer birimlerin bilgi ve teknoloji olarak güncel olmasını sağlamak ve “Zafiyet Tespit ve İstismar Geliştirme Birimi” tarafından oluşturulan saldırı senaryolarının kullanılmasını sağlamak amacıyla sürekli eğitim verecek birimdir.

Zafiyet Tespit ve İstismar Geliştirme Birimi

Saldırı Biriminin işini anti-virüs yazılımlarına yakalanmadan ve devamlı olarak yapabilmesi için sıfır gün (0-day) açıklarını tespit edip, bunlardan faydalanabilecek istismar kodlarını geliştirecek birim.

Operasyon Güvenliği Birimi

Amerikalıların “OPSEC” (Operations Security) olarak adlandırdığı görevleri üstlenecek birim. Düşman unsurların “SİT” hakkında elde edebilecekleri bilgileri derleyen ve bunlardan nasıl faydalanabileceklerini düşünen birim. Siber istihbarat yapısının görünmez kalması önemlidir.

Sinyal ve Görüntü İşleme Birimi

Telsiz, radyo veya radar gibi internet dışında kalan iletişim kanallarının takip edilip buradan bilgi toplanmasının yanında diğer birimlerce elde edilen görüntülerde metadata veya gölge/yansıma gibi konularda analizler yaparak bunlardan bilgi çıkartacak birimdir.

Donanım Birimi

Donanımsal Truva atları veya ortam dinleme dronelarından telefonlarının içine Semtex veya PVV-5A yerleştirmeye kadar geniş bir yelpazedeki işlerde donanım “hacking” becerilerine sahip bir ekibe ihtiyaç olacak.

Saldırı Tespit Birimi

SİT kurulduktan sonra sürekli saldırı altında olmayacağını düşünmek saflık olur. Bu  nedenle genel yapının ve birimler arasındaki iletişimin güvenliğini sağlamak amacıyla bir Birim kurulması da gerekecek.

FBI tarafından verilen ilanda temel kriterler dışında pek bilgi yok ama önemli bir cümle var: “Temel değişmiyor: ‘Kötü adamları/kişiyi/kurumu/örgütü engellemek’”

Siber istihbarat konusunun sadece devletleri ilgilendirdiğini düşünmek yanlış olur. 2015 yılında, iş süreçlerimizin internete ve teknolojiye giderek daha bağlı hale gelmesi nedeniyle kuruluşlar da kendi “siber cephelerinde” savaşmak zorunda kalıyor.

KOBİ Siber İstihbarat Teşkilatı

Kabul ediyorum, yukarıda tarif ettiğim kadar geniş bir yapı olmayacak ama bugün KOBİ’lerden Bankalara, Bakanlıklardan Derneklere, internet üzerinde hizmet veya mal alan veya satan her kuruluşun temel düzeyde bir “istihbarat” becerisine sahip olması gerekmektedir.

Bu kapsamda ihtiyaç duyulacak becerilerden bazıları şunlardır;

Siber Olay Tespit Kabiliyeti: Belli aralıklarla yayınlanan araştırma sonuçları hala olay tespitinde yeterince hızlı davranamadığımızı gösteriyor. Ağınızda birilerinin varlığını tespit etmek veya veritabanınızın sızdırıldığını fark etmek  ve bunlarla ilgili zamanında ve doğru süreçler işletebilmek önemli. Bu nedenle saldırıları ve olayları tespit edecek bir yapı kurulmalıdır.

Zafiyet taraması: Açık kaynaklı veya ticari olarak satılan zafiyet tarama araçlarını kullanarak belirli aralıklarla sistem ve ağınızı zafiyetlere karşı taramak, en azından basit, saldırılara karşı tedbir almanıza imkan verir.

Pasif zafiyet taraması: Kuruluş envanterinizde bulunan donanım ve yazılımlarla ilgili yayınlanan zafiyetleri takip edip, bunlar için gerekli tedbirleri almak önemlidir. Çoğu saldırının zafiyetler yayınlandıktan sonra ile güncellemenin yapılması arasında geçen sürede en etkili olduğunu düşünürsek bu çalışma risk seviyenizi düzenli olarak belli bir seviyenin altında tutmanızı sağlar.

Komşularla ilişkiler: İstenmeyen e-postaların hangi IP bloğundan geldiği, web sunucusunu paylaştığınız diğer şirketlerden birinin sayfasının hacklenip hacklenmediği, mail adreslerinizin karalistelerden birine girip girmediği gibi temel göstergeleri takip ederek siberuzayda sizi ilgilendiren gelişmeleri takip etmekte fayda var.

Robotların yarattığı tehlike

Mert Özkan Özcan’a fikir ve destek için teşekkür ederim

 Tehlikeli robot (temsili)

Robotların dünyayı ele geçirdiği “korkunçlu” senaryolardan birisini kastetmiyorum. Google ve benzeri arama motorları tarafından kayıtlara alınmasını istemediğimiz sayfaları yazdığımız ve kısaca aşağıdaki benzer bir tablo oluşturan robots.txt sayfasını kastediyorum.

Göreceğiniz gibi arama motorlarına açıkça “bu sayfalara bakma” demek için kullandığımız bu sayfalar, saldırganlar için bir bilgi madeni olabilir. 2015 yılı itibariyle “gizleyerek güvenlik” (security through obscurity – korumaya çalıştığımız şeyleri saldırganlardan gizleyerek bir savunma hattı oluşturma fikri) yaklaşımından hızla çıkmamız gerekiyor. Binlerce belki de yüzbinlerce arama motorunun ve “örümceğin” sürekli gezdiği ve endekslediğin bir yer olan internete koyduğunuz hiç bir şeyi gizlemeniz mümkün değildir.

Sadece robots.txt dosyasına bakarak saldırganların ulaşabileceği bilgilere birkaç basit örneği aşağıda derledim.

Örnek 1: Yetkili kullanıcı girişi tespiti

Aşağıdaki örnekte, web sayfasının yetkili kullanıcı girişinin robots.txt dosyasına yazıldığını görüyoruz. 

kurum.gov.tr/administrator adresini ziyaret ettiğimizde ise aşağıdaki sayfayı görüyoruz. 

Bu sayfaya bakarak kurumun Joomla içerik yönetimi sistemini kullandığı konusunda bir tahmin yürütmemiz mümkün olabilir. Giriş ekranlarını atlatmaya yönelik teknikler bu sayfa üzerinde denenebilir ve zayıf parola kullanımı, fabrika ayarlı kullanıcı/parola eşleşmesi, kaba kuvvet giriş denemesi, vb. herhangi birinin başarılı olması durumunda saldırgan hedef web sayfasını değiştirebilecek hale gelebilir. 

Örnek 2: Hedef sistem tespiti

Aşağıdaki örnekte robots.txt dosyasında "/log/" adresini görüyoruz. 

Bu adresi ziyaret ederek, kullanılan sistem tarafından yayınlanan özelleştirilmiş bir hata ekranına ulaşıyoruz.

Örnek 3: Güvenlik tedbiri ifşası

Bir başka kurumunun web sayfasındaki robots.txt dosyası aşağıdaki gibidir;

Bu dosyadaki adresleri ziyaret ederek aşağıdaki bilgilere rastlıyoruz;

Web sunucusu dizin yapısı ve sunucu bilgisi ifşası.

Talebin "filtreleme modülü" tarafından engellendiğini belirten uyarı mesajı.

Bu örnekte de karşımıza yetkili kullanıcı girişi ekranı çıkmaktadır. Bu seferki içerik yönetim sisteminin özel olarak geliştirilmiş olması ve geliştiren firmanın da bilgilerinin ekranda bulunması bu yapının ticari veya yaygın olarak kullanılan içerik yönetim sistemlerine göre daha az güvenli olabileceğini düşündürüyor. 

Örnek 4: Kullanıcı bilgileri ve kullanım alışkanlıkları ifşası

Güvenlik ve yazılım konularında yazılar yazan ve kendini geliştiren, çok takdir ettiğim bir arkadaşımın sitesinde ise robots.txt dosyasında, pek çok şey arasında, "/statistics.html" adresini görüyoruz. 

Bu adresi ziyaret ettiğimizde ise sitenin yetkili kullanıcısının bilgilerini, yazdığı yazı sayısını ve siteye en son ne zaman giriş yaptığı gibi saldırgan için önemli olabilecek bilgilere ulaşabiliyoruz

Sosyal Medya'da Aldatılıyor Musunuz?

Her zamanki gibi…

O: Ne iş yapıyorsun?
Ben: “Hacker’ım”
O: (şüpheci) “Hacker?”
Ben: Şirketlerin siber güvenlik seviyelerini arttırmalarını sağlamak için hackerlar tarafından kullanılan araç ve teknikleri kullanarak sistemlerine sızıp, nasıl sızdığımı raporlayarak önlem almalarını sağlıyorum”
O: (benim son cümlemi zerre dinlemediği belli olurken) benim de bir arkadaşın Facebook’u…

O “arkadaş” çoğu zaman karşı cinsten olup, süren veya yakın zamanda bitmiş bir gönül ilişkisinin diğer paydaşı oluyor. Buna benzer talepler mail yoluyla doğrudan da geliyor “Hocam merhaba, eski erkek/kız arkadaşımın maili/Facebook’u…”

Taleplerin yasadışı olmasına karşılık insanların “aldatılıyor muyum?” sorusunu kendilerine sorması da gayet doğaldır. Bu nedenle, şimdiye kadar incelediğim bazı vakalardan yola çıkarak aşağıdaki ipuçlarını derledim.

Sosyal medya üzerinden yaşanan ilişkilerin önemli bir kısmının “gerçek” hayata yansımadığını görüyoruz. İnsanların bu ortamda daha rahat davranmalarının ise bazı bilimsek nedenleri var:

E-posta gibi değil
E-posta mesajlarını yazarsınız… gönderirsiniz… karşı taraf okur… cevap verir… sonuçta bu, ideal bir sohbet ortamından çok uzaktır. Ancak sosyal medya platformlarının sunduğu anında mesajlaşma ortamları yazışmaların gerçek zamanlı olarak ve karşılıklı yapılmasına imkan veriyor. Bu sayede, örneğin e-posta yazışmalarında, mesajlar arasında geçen sürede, duygular etkilerini ve yoğunluklarını kaybederken, anında mesajlaşma duyguların gerçek iletişimlerde olduğu gibi yaşanmasına imkan veriyor. Birlikte güldüğünüz, birlikte üzüldüğünüz algısı anında mesajlaşma ile kurulan iletişim sırasında duyguların ortaya çıkmasına ve “yaşamasına” imkan veriyor.

Parmaklarınızın ucunda
Muhasebe bölümündeki hoş kızı/çocuğu düşünün. Gerçek hayatta flörtle uzaktan yakından alakası olan bir ortamın oluşması için kahve molasında, öğle tatilinde veya iş dışında, üstelik belli bir süre birlikte olmanız gerekecekti. Sosyal medya sayesindeyse gerek kedi videosuna yorum yaparak, gerek doğum gününü kutlayarak sürekli iletişim halinde kalabilirsiniz.

Klavye kahramanlığı
Gerçek hayatta birinin gözlerinin içine bakarak söyleyemeyeceğiniz kadar “cesurca”, hatta “ayıp” şeyleri klavye ve ekranın arkasında olmanın verdiği güven hissi sayesinde çekinmeden yazabiliyoruz.

Masum olduğunuz yanılgısı 
Sanal olması, gerçek hayatta bir yansıması olmaması sosyal medya üzerinden yaşanan ilişkilerin zararsız olduğu hissine kapılmamıza neden olabiliyor. Bu nedenle bazı sosyal medya “arkadaşlıklarını” aldatma olarak görmüyor ve devam ettiriyoruz.

Gizlilik yanılgısı
İki kişi arasındaki bir Facebook mesajının gizli olduğu varsayımı ile mesajlarımızı kimsenin göremeyeceğini varsayıyoruz. Hacker olarak çalıştığım yılların bana öğrettiği bir şey varsa o da, söz konusu internet olduğunda, gizliliğin sadece bir hayal olduğudur.

Tehlikeli bölgede olduğunuzu nasıl anlarsınız? (veya eşiniz sizi sosyal medya üzerinden aldatıyor mu?)

Yukarıda ele aldığımız nedenlerle ve insan psikolojisinin doğal bir sonucu olarak kendinizi bir sosyal medya ilişkisinin içinde bulabilirsiniz. Aşağıdaki maddeler sizin böyle bir ilişki içerisinde bulunup bulunmadığınızı anlamanızı sağlayacaktır. Bu maddeler aynı zamanda eş veya sevgilinizin de sosyal medya üzerinde bir ilişki yaşaması halinde gözlemlenebilecek davranışlardır. Bu noktada önemli bir uyarı yapma ihtiyacı duyuyorum, bu maddelerden birinin veya birkaçının size veya eşinize uyması KESİNLİKLE aldattığınız veya aldatıldığınız anlamına gelmez, aklımızı kullanalım, sakin olalım.

1. Bu kişiyi eklerken içiniz rahat değildi 
   Tamam, tanıyorsunuz ama iş/okul dışında da ortak bir noktanız yok gibi. Arkadaşlık isteğini “ayıp olmasın” diye kabul etmek zorunda kaldınız. Hayal kurmayın, bu tedirginlik içgüdülerinizin “size asılacak” demesidir.
2. Mesajlarınızı kontrol etmek bir dürtü haline geldi
   “Acaba bir şey yazdı mı?” sorusu sürekli aklınızda ve siz fark etmeden bile eliniz telefona gidiyor ve mesajlarınızı kontrol ediyorsunuz.
3. Bilgisayarın başından kalkmak veya telefonunuzu elinizden bırakmak zorlaştı
   Mesaj programının önünüzde açık olmadığı dakikalar size saat gibi gelmeye başladı. Telefon adeta elinizin bir uzantısı halini aldı. Evet, siz bu sosyal “arkadaşınıza” bir sosyal “arkadaşın” başka bir sosyal “arkadaşa” vermesi gerekenden çok daha fazla değer veriyorsunuz demektir.
4. Eşiniz/sevgiliniz odaya girdiğinde boş masaüstüne bakıyorsunuz
   İtiraf vakti; yaklaştığını duydunuz ve tam odaya girmeden mesajları yazdığınız ekranı kapattınız. Karşınızda ya boş masaüstü kaldı, ya da alt tarafta açık olduğunu bile unuttuğunuz bir sayfanın en anlamsız bölümü.
5. Sosyal medya “arkadaşınıza” eşinize karşı olduğunuzdan çok daha açıksınız, daha çok konuda ve size daha anlamlı gelen paylaşımlarınız var
   Müdürünüzle konuştuklarınızı, trafiği, arkadaşlarınızla aranızda geçenleri eşinizden/sevgilinizden önce sosyal medya “arkadaşınıza” anlatıyorsunuz. Öyle ki, bazı günler aynı şeyi ikinci kez anlatamayacak kadar yorgun olduğunuz veya içinizden gelmediği için eşiniz/sevgilinizle paylaşmıyorsunuz bile.
6. Telefonunuzun tuş kilidini açmak matematik problemi çözmekten daha zor
   Tuvaletteyken, yemek yaparken veya uyurken bir şekilde telefonunuzun “ortada kalması” halinde eşinizin okumasını istemediğiniz mesajların da yoğunluğuna bağlı olarak parolanızı veya kilit şeklinizi değiştirdiniz/zorlaştırdınız.
7. Yüz yüze görüşme fikri size sıcak gelmeye başladı
   Sadece yazmak size yetmemeye başladı, gerçek hayatta görüşmek ve paylaşımlarınızı orada da sürdürmek istiyorsunuz. Kendinize bile itiraf edemeseniz de; sosyal medya “arkadaşınızı” resmen özlüyorsunuz.
8. Sosyal medya “arkadaşınızın” sizinle yazışmadığı zamanlarda neler yaptığını düşünmeye başladınız
   Lisedeki gibi; kendinize “acaba şimdi ne yapıyor?”, “acaba o da beni düşünüyor mudur?” benzeri naif sorular sormaya başladınız. Dalgınsınız, eşinizin/sevgilinizin söylediklerinin yarısını dinliyorsunuz, aklınızın bir köşesinde hep sosyal medya “arkadaşınız” var.
9. Sosyal medya “arkadaşınızla” diğer arkadaşlarınızla veya ailenizle geçirdiğinizden daha fazla süre geçirmeye başladınız
   Akşam yemeğinizi yediniz normalde televizyon seyredecekken elinize telefonunuzu alıp “arkadaşınızla” yazışmaya başladınız. İştekilerle öğle yemeğine gittiniz, onlarla sohbet etmek yerine telefonunuz elinizde “arkadaşınızla” yazışıyorsunuz. Evet, fiziksel olarak aileniz veya arkadaşlarınızla olabilirsiniz ama zamanınızı onlarla değil, “arkadaşınızla” geçiriyorsunuz.
10. Siz veya “arkadaşınız” birbirinize karşı olan duygularınızı açıkça yazmaya başladınız
    “Seni seviyorum” da yazılmış olabilir, “biliyor musun seninle aynı katta çalışırken sana hayrandım” gibi daha masum ve kaçış planı hazır (örn. ama şimdi Deniz’le çok mutluyum, o benim herşeyim, önümüzdeki ay Paris’te evleniyoruz) bir cümle de. Hangisi olursa olsun, duygular artık açıkça yazılmaya başlandı.
11. Sosyal medya arkadaşınız size eşiniz veya sevgilinizden daha çekici gelmeye başladı
    Gerçekten açıklamaya gerek var mı?
12. İkinizden biri “sence de çok hızlı gitmiyor muyuz?”, “daha önce böyle bir şey yapmamıştım”, “bu yazdıklarıma ben bile inanamıyorum”, “anlatsam inanmazlar”, “sanki bunları yazan başkası” gibi cümleler kuruyorsanız
    Evet, bunları yazan siz değilsiniz, sağduyunuz. İçgüdüsel olarak bir şeylerin ters gittiğinin farkındasınız ve karşı taraftan vicdanınızı rahatlatacak şeyler duymaya ihtiyacınız var. Bu cümlelerin ayrıca karşı tarafın kendini özel hissetmesini sağlarken sizin de olası bir kaçış planınızın temelini oluşturma gibi işimize çok yarayan özelliklerinin olduğunu hepimiz biliyoruz.

Kurumsal Kaynak Planlama Yazılımı (ERP) güvenliği

İş hayatına ilk başladığım yıllarda ERP çok moda bir kelimeydi. Şirketler kurumsal kaynak planlama yazılımlarına yatırım yapıyor, fabrikalardaki süreçler bunlara aktarılıyor ve patronlar oturdukları yerden üretimi, satışları ve finansal durumu “anında” görüyorlardı. “Anında” diyorum çünkü bu şimdiki haliyle “anında” kavramından ziyade Müdürlerden birinin “kimse işlem yapmasın rapor çalıştıracağım” diye yaptığı bir uyarının ardından geçen 1-2 saatlik zaman dilimiydi.

Bugün geldiğimiz noktada “patron” durumu gerçekten anında görebiliyor. ERP yazılımlarının güvenliği ise, o yıllarda kimsenin umurunda olmayan bir konuyken, bugün güvenlik alanında çalışanların ciddi kafa yormasına neden olmaktadır.

ERP güvenliği neden zor?
Bütün yazılımlarda bulunan güvenlik zafiyetlerine ek olarak ERP yazılımlarının güvenlik açısından daha da zor bir konu haline gelmesine neden olan birkaç önemli nokta vardır;

1. ERP yazılımların karmaşık yapıları vardır
2. ERP yazılımları dış dünyadan yalıtılmıştır
3. Ağ katmanından uygulama katmanına kadar pek çok zafiyetten etkilenirler
4. Ya hiç ya da çok seyrek güncellenirler

KDBA 12 cilt tekmili birden 
Buna karşılık KDBA (Kulaktan Dolma Bilgiler Ansiklopedisi) kaynaklı bazı argümanlar ağ/sistem yöneticilerinin bir kısmının bu güvenlik sorunlarını görmezden gelmelerine neden olmaktadır.

1. Dış dünyayla bağlantısı olmadığı için ERP internet kaynaklı saldırılardan etkilenmez
2. ERP üreticisi firma güvenliği zaten sağlar
3. Kimse bize özel yazılmış bir modülde zafiyet aramakla uğraşmaz
4. Her kullanıcın yapabilecekleri zaten sınırlı

KDBA Cilt 1: Dış dünyayla bağlantısı yok
Kötü haberi hemen vereyim, aslında var. ERP yazılımınız doğrudan internete veya VPN ile başka bir ofise/fabrikaya bağlı olmayabilir, ama yazılımı kullandığınız ağ internete bağlı. 2015 yılında “o internete bağlı” değil demek, son derece özel bir kullanım şekliniz yoksa (örn: bütün sistem hiç bir yere bağlı olmayan tek bir bilgisayar üzerinde çalışmıyorsa) büyük ihtimalle ucundan/kıyısından internete bağlısınız. Bu durumda saldırganların ERP yazılımınıza giden bir yol bulması ve bunu kullanarak bu yazılımınızı hedef almaları pekala mümkün olacaktır.
Gelişen iş yapış biçimleri nedeniyle bazı durumlarda uygulamanın doğrudan internete açılması da gerekebilir. Bu durumda ERP yazılımı, internet uygulamalarına karşı gördüğümüz saldırıların tamamından etkilenecektir. İnternet üzerinden erişilebilir durumda olan bir ERP yazılımının kullanıcılarının sosyal mühendislik saldırılarının hedefi olacağını da burada belirtmekte fayda var.

KDBA Cilt 2: ERP Üreticisi firma güvenliği zaten sağlar
Kötü haber var, daha kötü haber var. Kötü haber; hayır ERP üreticisi güvenliği sağlamıyor. Daha kötü haber; çoğu lisans anlaşmasında ERP üreticisi firmanın böyle bir sorumluluğu da yok. Peki bu ERP yazılımı üreten firmanın bize istediğini satabileceği anlamına mı geliyor?
Tabii ki hayır. Yazılım üreticileri teknik aksaklıklar, yazılım ve mimari hataları düzeltmek ve bunlara karşı tedbir almak için çok sıkı çalışıyorlar zaten.
Ancak bunların dışında kalan aşağıdaki konular büyük ölçüde ERP yazılımını kullananların sorumluluğundadır:

• Kurulum sırasında yapılan mimari hatalar
• Fabrika ayarlarında bırakılan konfigürasyonlar / konfigürasyon hataları
• Kullanıcı hataları
• Yama ve güncellemelerin yapılması
• Eksik/yanlış politika ve süreçler

Kısaca ERP yazılımını üreten firma size güvenli bir yazılım teslim etse bile kurulum, konfigürasyon ve kullanım sırasında yapılabilecek hatalar güvenlik zafiyetlerine neden olabilir.

KDBA Cilt 3: Kimse bize özel yazılmış bir modülde zafiyet aramakla uğraşmaz
Öyle ya Windows işletim sisteminde bir zafiyet bulup şan, şöhret ve para kazanmak dururken kim bizim ABAP’ta haftalarca uğraşıp zar zor yazdığımız bu modülle uğraşsın? İşin gerçeği bir saldırganın kendi kullanımınız için geliştirdiğiniz bir modülde zafiyet bulması Windows gibi bir sistemde zafiyet bulmasından çok daha kolaydır. ERP yazılımlarının da kurumsal bütçeye yakın uygulamalar olmaları (dolayısıyla para çalmak isteyen bir saldırgan için cazip bir hedef) bu uğraşı haklı çıkartacaktır. Önceki iki varsayımın sonucu olarak çoğu ERP yazılımı ve modülü günümüz saldırganları tarafından kullanılan tekniklere karşı oldukça savunmasızdır. Windows, MAC OS, Linux, iOS gibi yaygın işletim sistemleri üzerinde binlerce kişi her gün zafiyetler ararken bu taramadan hiç geçmemiş, dolayısıyla hiç bir açığı tespit edilip kapatılmamış modülünüz büyük ihtimalle saldırgan karşısında fazla dayanamayacaktır.

KDBA Cilt 4: Her kullanıcın yapabilecekleri zaten sınırlı
Görevler ayrılığı ilkesi gereği her kullanıcının yetkilerini özel olarak ayarlamış olabilirsiniz. Bu zaten yapılması gereken birşey ve, ne yazık ki, tek başına bir güvenlik tedbiri sayılamaz. OWASP tarafından yayınlanan Kurumsal uygulama güvenlik zafiyetleri Top 10 listesi (OWASP Enterprise Application Security Project) tarafından ortaya konulan en yaygın olarak görülen güvenlik zafiyetleri listesinde kullanıcı hakları yönetiminden kaynaklı zafiyetler ancak üçüncü sırada yer almaktadır. Yama ve güncellemelerin yapılmaması ve fabrika çıkışı (default) parola kullanımı çok daha büyük sorunlardır.

ERP güvenliğinin zorlukları
Başta söylediğim gibi ERP yazılımları karmaşık yapılar üzerine kuruludur ve karmaşık olan herşeyin güvenliğinin sağlanması zordur. ERP güvenliği için yapılabilecek 5 basit şey sıralamak gerekirse aşağıdaki liste bize bir ölçüde yol gösterecektir.

1. Güvenli bir ERP yazılımı bulmak: Çoğu üreticinin yazılımları nispeten güvenlidir. Size özel gelişitirilen veya sizden başka çok az kullanıcısı olan yazılımlarının güvenliği konusunda endişeleriniz varsa yazılımı almadan önce tarafsız bir şirketten yazılım güvenliğine ve performansına ilişkin testlerin yapılmasını ve bulunan zafiyetlerin giderilmesini talep edebilirsiniz.

2. Güvenli bir kurulum yapmak
Yazılımın kurulacak ağ mimarisinin güvenli olması, yazılımın çalışacağı sunucuların işletim sistemlerinin güvenliği, fabrika çıkışı kullanıcı adları ve parolaların değiştirilmesi, üretici tarafından sunulan ek güvenlik seçenekleri/modülleri varsa bunların devreye alınması gibi konular titizlikle ele alınmalıdır.

3. Yazılımı yönetenlerin eğitimini sağlamak
ERP yazılımı üzerinde hangi değişikliklerin nasıl yapılacağının belirlenmesi, hangi kullanıcıların hangi yetkilerle bu yazılıma erişebileceği, uzaktan erişim şartlarının ne olduğu, kullanıcı davranışlarının ve veri tabanı hareketlerinin nasıl izleneceği gibi konular ele alınmalıdır.

4. Kullanıcı farkındalığının artırılması
Kullanıcıların oltalama saldırıları gibi sosyal mühendislik saldırılarına karşı bilinçlendirilmesi bu saldırılara karşı alınabilecek en etkili tedbirdir. Kullanıcı eğitimlerine güvenlik konusu mutlaka dahil edilmelidir.

5. Süreçlerin sürekli denetlenmesi
ERP yazılımının, kullanıcılarının ve veritabanının sürekli izlenmesi ve saldırgan veya alışılmışın dışında gözlemlenen hareketlerin hızlıca tespit edilip gerekli müdahalelerin yapılması hayati önem taşımaktadır.

İnternete bağlı olmayan sistemleri hacklemek

Son zamanlarda “side channel” olarak adlandırılan “yan kanal” saldırıları üzerinde yapılan çalışmalar ve elde edilen başarılı sonuçlar bu saldırı vektörünün önümüzdeki yıllarda daha fazla kullanılabileceğinin göstergesidir. Bir sistemle Ethernet bağlantısı gibi “normal” tabir edebileceğimiz bir iletişim kanalı dışında elektromanyetik sinyaller veya işlemci tarafından tüketilen elektrik miktarından yola çıkılarak yapılan işlemi anlamak veya hedef sisteme komut göndermek mümkün olmaktadır.

İngilizcesi “air-gap” olarak bilinen ve özünde korumaya çalıştığımız ağ veya sistem ile internet arasında bir “hava boşluğu” oluşturmak üzerine kurulu olan yaklaşımın son zamanlarda çeşitli şekillerde atlatılabildiği ortaya çıkmaktadır. 2014 yılının yaz aylarında İsrail’de Ben-Gurion Üniversitesi Profesörlerinden Yuval Elovici bu konuda yeni bir yöntem ortaya koymuştu.

Hava boşluğu yaklaşımı günümüzde aşağıdaki gibi önemli ağ ve sistemleri korumak için kullanılmaktadır:
– Askeri/Hükümet sistemlerin güvenliği
– Finansal/Bankacılık sistemlerin güvenliği
– SCADA sistemleri gibi altyapı kontrolü için kullanılan sistemlerin güvenliği
– Nükleer tesis bilgisayar sistemleri
– Uçuş ve uçuş kontrol sistemleri
– Bilgisayar destekli tıbbi cihazların güvenliği

Belli bir hedefe özel geliştirilmiş ve APT (Advanced Persistent Threat) saldırıları dahilinde kullanılan zararlı yazılımların “megastar’ı” olan Stuxnet‘in hava boşluğunu USB bellek gibi taşınabilir depolama aygıtları sayesinde aşmaktadır. Geçtiğimiz yaz ortaya konulan araştırma sonuçları ise hava boşluğu ile sağlanan güvenliğin sistemlerin yaydığı elektromanyetik dalgalar kullanılarak atlatılabildiğini göstermiştir.

NSA’in COMSEC (Communication Security – iletişim güvenliği) altında ve “TEMPEST” kod adıyla bilinen bir program kapsamında sistemlerin yaydığı elektro-manyetik sinyallerin yakalanarak işlenmesi ve düşmanın da kendi elektro-manyetik sinyallerini yakalamasını engellemek üzerine çalıştığını zaten biliyorduk.

Geçtiğimiz senenin sonlarında Almanya’da bir araştırma biriminin iki adet Lenovo T400 laptop arasında, sadece fabrika çıkışı mikrofon ve hoparlörleri kullanarak veri alışverişi yapabilmiş olması IP dışında yöntemlerin veri sızdırılması için kullanılmasını gündeme getirmişti. Bağlantı hızı saniyede 20 bit ve uzaklık 19 metre idi ama pek çok kişinin aklında soru işaretleri oluşturmaya yetecek kadar önemli bir gelişmeydi. Bu gelişme üzerine TEMPEST’in önemi bir kez daha anlaşılmıştı.

TEMPEST standartlarının gizli olarak sınıflandırılmış olması sebebiyle bu konuda çok detaylı bilgiye sahip değiliz, ancak NATO’nun kendi TEMPEST standartları 3 temel koruma düzeyi belirlemektedir. Bunlar; NATO SDIP-27 seviye A, B ve C (NATO SDIP-27 Level A, B and C) olarak bilinmektedir. C seviyesi düşmanın korunması gereken sisteme 100 metreden fazla yaklaşamadığı senaryolara göre hazırlanmıştır ve A ve B seviyelerine göre biraz daha rahattır. B seviyesi ise düşman ile en az 20 metre mesafe olan durumlara göre düzenlenmiştir. NATO SDIP-27 seviye A ise düşmanın korunması gereken sistemlere 1 metre kadar yaklaşabileceği durumlara göre hazırlanmıştır.

Geçtiğimiz yaz ise Profesör Elovici hava boşluğu ile korunan sistemler için cep telefonlarının bir tehdit oluşturduğunu ortaya koydu. Oltalama (phishing) saldırısı ile akıllı telefona bulaştırılan bir zararlı yazılım bulaştığı telefonun bulunduğu ortamlarda havadaki elektro-manyetik sinyalleri taramaya başlıyor.

Zararlı yazılım havada tespit ettiği sinyallere müdahale ederek hedef sisteme bir zararlı yazılım yüklenmesini sağlıyor. Yüklediği zararlı yazılım ile telefon arasında radyo sinyalleri kullanan bir ağ oluşturan zararlı hedef sistemden elde ettiği bilgileri cep telefonunun bağlantılarını kullanarak dışarıya aktarmakta ve aynı şekilde talimatları telefon üzerinden almaktadır. Bu saldırının demosu aşağıdaki videoda görülebilir.

Profesör Elovici bu saldırılara karşı şu anda tek etkin yöntemin telefonları kapatmak olduğunu belirtiyor ancak günümüzde bunun ne kadar uygulanabilir bir çözüm olduğu tartışılır.

Bu ay ise, yine Ben-Gurion Üniversitesi’nde Profesör Yuval Elovici yönetiminde araştırmacı Mordechai Guri tarafından yapılan bir araştırmanın sonucu yayınlandı. Araştırma sonuçlarına göre hava boşluğu ile ayrılmış sistemlerden “BitWhisper” oalrak adlandırılan yöntem ile bilgi sızdırılabilmiştir.

Saldırı ele geçirilmiş ve hava boşluğu ile ayrılmış iki sistem arasında bilgisayarların içinde bulunan ısı sensörleri kullanılarak gerçekleştirilmektedir.

Aşağıdaki videoda birbirine kablolu veya kablosuz hiçbir bağlantısı olmayan iki sistem görülmektedir. Ekranın sağ tarafında görünen bilgisayar füze komuta sistemi olarak düşünülmüş ve USB portu üzerinden bu ufak çaplı simülasyona imkan verecek bir düzenek kullanılmıştır. Sol taraftaki sistem ise farklı bir ağa bağlı ve ele geçirilmiş bilgisayardır.
Saldırgan önce oyuncak füze rampasının döndürülmesi için bir komut, ardından da fırlatma komutunun gönderiyor.
Ekranın sol alt köşesinde ise bu işlemin sistem ısısı üzerindeki etkileri izlenebiliyor.

Ülkemizde de Aselsan tarafından üretilen SAHAB (2180 Sanal Hava Boşluğu Sistemi) veya tek yönlü veri iletişimine imkan veren data diyotları benzeri hava boşluğu ile korunan sistemlerin güvenliğinin sağlanması için kullanılan çeşitli yöntemler aklınıza gelebilir. Hava boşluklarını atlatmak için kullanılan yöntemlerin “yan kanal” (side channel) olarak adlandırılabilecek ve sistemlerin asıl iletişim yollarının dışında faaliyet göstermesi bu tür güvenlik sistemlerinin etkisiz kalmasına neden olmaktadır. Saldırı kodlarının iletilmesi için bilgisayarın ethernet kablosu yerine işlemcinin yaydığı ve kullandığı elektromanyetik sinyallerden faydalanılması bu tür yöntemlere verilebilecek güzel bir örnektir.

Bu gelişmelere rağmen hava boşluğu ile korunan sistemlerin güvenliğinin yok olduğunu söylemek mümkün değildir. Elektromanyetik veya ısı sinyallerinin net olmaması, ortamda benzer özelliklerde pek çok sinyal kaynağının bulunması (BitWhisper örneğinde güç kaynağı gibi diğer ısı kaynaklarını düşünebiliriz) saldırganların sinyalleri yakalamalarını ve kullanabilecekleri sinyalleri parazitlerden ayırdetmeleri oldukça sordur. Buna ek olarak elektromanyetik veya ısı sinyallerinin zayıf olmaları da işi biraz daha zorlaştırmaktadır. Georgia Institute of Technology araştırma görevlisi olarak çalışan Alenka Zajic daha önce bu sorunların saldırganlar tarafından nasıl aşılabileceğini kanıtlamak adına SAVAT adlı bir teknoloji geliştirmişti. Signal AVailable to ATtacker (saldırgan tarafından yakalanabilen sinyal) kelimelerinden türetilmiş bu isim belli bir komut veya programın işlemci tarafından uygulanırken oluşan elektromanyetik sinyallerin daha hassas biçimde yakalanmasına ve işlenmesine imkan vermektedir. Ben-Gurion üniversitesinin çalışmaları ise bu tür saldırıların üniversitelerin laboratuvarlarının dışında da görülebileceğini açıkça ortaya koymaktadır.

İlk bakışta bu saldırıların bazı askeri ağlar dışında kimi ilgilendirdiğini göremeyebiliriz ama bir sisteme Ethernet gibi normal kabul edilebilecek iletişim yolları dışında saldırabilmenin aşağıdaki senaryolarda sayısız faydası olacaktır;

Ortak veri merkezleri:
Saldırganın hedefin bulunduğu veri merkezine bilgisayar konumlandırabileceği veya aynı veri merkezinde bulunan ve hedefle doğrudan bağlantısı olmayan bir sistemi ele geçirebilmesi durumunda.

Sanallaştırma:
Bulut bilişim altyapıları gibi saldırganın hedefle aynı sanallaştırma platformundan makine kiralayabileceği durumlar. Bu tür altyapılar kullanıldığında sanal güvenlik duvarı gibi çözümlerin kullanılmasında fayda vardır. “Side channel” çalışmaları sanallaştırma platformları için de yürütülmekte ve hypervisor ile sanal makine arasında bilgi alışverişinin sanal ağ dışında sağlanabildiğini gösteren sonuçlar vardır. Sanallaştırma platformlarına karşı yapılan yan kanal saldırıları arasında en etkin olarak görüleni fiziksel makinenin işlemcisinin saldırgan tarafından izlenerek hedef sistemin işlemci kullanımının kaydedilmesidir.

Yukarıda sözü edilen saldırılar dışında bugün bilinen yan kanal saldırılarını aşağıdaki başlıklara ayrılabilir;
– Zamanlama saldırıları: Apache sunucu üzerinde mod_SSL ile belirli talepleri işlemek için gerekli süre ölçülerek 1024 bitlik şifreleme anahtarı tespit edilebildi.
– Akustik kryptanaliz: 10 dakikalık klavye sesi ile yazılan metnin %96’sı ve 10 haneli parolaların %69’u tespit edilebilmiştir.
– Güç tüketimi analizi: İşlemci tarafından harcanan güç ölçülerek “if” gibi şartlı işlemlerin sonucunun tespit edilmesi mümkün olmuştur.

Bu tür saldırılara karşı alınabilecek bazı tedbirler vardır. Ancak hem saldırıların henüz çok yaygın olarak görülmüyor olması hem de tedbirlerin bazılarının ciddi yeniden yapılandırma çalışmaları gerektirebileceğini düşünerek askeri, kamu kurumu ve savunma sanayi gibi stratejik sektörler dışında kalanların bu saldırılar konusunda henüz paniklemelerine gerek olmadığını söyleyebiliriz. Stratejik olarak sayabileceğimiz kurumların ise bu tür saldırılara ne kadar duyarlı olduklarını ortaya çıkartmalarında fayda vardır.

Yan kanal saldırılarına karşı alınabilecek bazı tedbirler şunlardır:
– Elektromanyetik sinyallerin yayınlanmasını engelleyecek tedbirlerin alınması
– Kullanılan altyapının kimlerle ve nasıl paylaşıldığının denetlenmesi ve gerekli hallerde sistemlerin yerlerinin değiştirilmesi
– Kurum içerisinde cep telefonu kullanımının sınırlandırılması ve hava boşluğu ile korunan sistemlerin duvarlara, pencerelere ve internete bağlı diğer sistemlere olan uzaklığının denetlenmesi.
– Farklı sinyal kaynaklarını eklenerek parazit oluşturulması.
Araştırmalar bu tür bir parazit sinyal kaynağının bulunduğu ortamlarda başarılı bir saldırı için saldırganın en az iki kat fazla sayıda sinyal numunesine ihtiyaç duyduğunu göstermektedir.

Bu tedbirler dışında, biraz daha teknik olmakla beraber aşağıdaki önemlerin düşünülmesinde fayda vardır;
– Rastgele anlarda ve kritik bir işlem yapılmıyorken işlemcinin çalıştırılması (örn: rastgele şifre çözme ve şifreleme işlemlerinin yapılması)
– Kararların IF yerine AND veya OR gibi operatörlerin veren uygulamaların kullanılması
– Rastgele bekleme (DELAY) eklemek

Yukarıdaki liste, yan kanal saldırılarına karşı savunma mantığının nasıl kurulması gerektiğine dair bir fikir vermesi için derlenmiştir ve tam ve eksiksiz bir liste olarak düşünülmemelidir.

Mevcut bilgi güvenliği yönetimi anlayışımızın dışında yaklaşımlar sergilememizi gerektiren bu saldırı vektörü konusunda yeni çalışmalar konusunda meraklanmamak elde değil.