Tuesday, July 23, 2019

SSL Sertifikaları: Dubai İstihbaratından Nasıl Kurtuldum?



Birkaç yıl önce Sırbistan’da düzenlenen Balkan Bilgisayar Kongresine konuşmacı olarak gitmiştim. Yurt dışında yaptığım konuşmalarda 2 konuya özen gösteriyorum; lokum ve yerel espriler. Tel Aviv’den Paris’e bütün konuşmalarıma aynı şekilde başlıyorum: “I’m Turkish and these are Turkish delights” (ben Türk’üm, bunlar da Türk lokumu). 

Yerel espri konusunda ise “bu adam böyle bir espri olduğunu nereden biliyor?” diye düşünmelerine neden olabilecek kadar özel bir şey bulmaya çalışıyorum. Yer Sırbistan olunca Arnavutluk ile ilgili birkaç espri iyi olur gibi gelmişti. Aşağıdaki görsel de en çok güldükleri slaytta yer alıyordu. 


“Merhaba, ben Arnavut bir virüsüm ama ülkemdeki teknolojinin geri kalmış olması sebebiyle bilgisayarınıza zarar veremiyorum. Rica etsem sizin için önemli olan dosyalarınızı silip beni başka bir kullanıcıya iletebilir misiniz?”. 

O zamanlar virüsün kendi yapması gereken bir şeyi sizden istemesi komikti. Kazakistan’da benzer bir konu fıkra olmanın ötesine geçmiş. 17 Temmuz 2019 tarihinden itibaren Kazakistan’da internete bağlananlar devletin yayımladığı bir mesajla karşılaştılar: “HTTPS trafiğinizi izleyebilmemiz için lütfen bu sertifikayı yükleyin”. Zaytung haberi gibi değil mi? Özetle, Kazakistan devleti vatandaşına “senin HTTPS trafiğini izlemek, maillerini okumak, DM’den kimlere yürüdüğünü görmek, bankacılık işlemlerine göz atmak istiyoruz” diyor. Bunun için özel olarak geliştirilmiş teknolojileri kullanmak yerine en basit ve ekonomik yolu seçmişler. Oluşturdukları bir sertifikayı kullanıcılar tarayıcılarına tanımlayacak, böylece de HTTPS trafiği diledikleri gibi görüntüleyebilecekler. 

HTTPS nedir?
İnternet siteleriyle bilgisayarımız arasındaki iletişimin güvenliğini sağlayan en önemli unsurlardan birisi SSL sertifikalarıdır. Bunlar; hem bağlandığımız sitenin kimliğini doğrular (“evet, burası gerçekten Facebook”) hem de aradaki iletişimin şifreli gerçekleşmesini sağlar. Normalde dünya çapında güvenilen sertifika otoriteleri tarafından oluşturulan sertifikalar zaten bilgisayarlarımız tarafından “güvenilir” kabul edilir. https://www.facebook.com adresine bağlandığınızda sayfanın sertifikası güvenilir bir sertifika otoritesi tarafından verildiyse herhangi bir sorun yaşamazsınız. Tanınmayan veya güvenilmeyen bir sertifika otoritesi tarafından verilen bir sertifika olması durumunda ise tarayıcınızda, daha önce rastlamış olabileceğiniz “bu sayfanın sertifikasına güvenilmemektedir. Devam etmek istediğinizden emin misiniz?” benzeri uyarıyı görürsünüz. 

SSL sertifikalarına güvenilir mi?
Bugün interneti, alışveriş veya e-posta gibi işlemler için “güvenle” kullanabiliyorsak bu SSL sertifikaları sayesindedir. SSL özünde güvenilir bir yapıdır ancak yapının güvenilirliğinin büyük ölçüde sizin “güvenilir” kabul ettiğiniz sertifika otoritelerine bağlı.
Aşağıdaki örneği ele alalım. Vatandaşımız bir işlem için e-devlet kapısına gidiyor (www.turkiye.gov.tr), sayfanın kimliğini teyit eden ve aramızdaki iletişimin şifreli yapılmasını sağlayan bir SSL sertifikası var. Adres çubuğundaki kilit işaretine tıkladığımızda bu sertifikaya ilişkin ayrıntıları görebiliyoruz. 

Bir siber suçlu olarak vatandaşın e-devlet işlemlerini izlemeye çalıştığımı düşünelim. Bunun için kullanıcı ile e-devlet arasındaki internet bağlantısını kendime yönlendiriyorum. Bu durumda SSL sertifikası olan sayfalarda aşağıda görülen uyarıyı alacağım.


Uyarının çıkmasının nedeni aradaki sistemin SSL bağlantısının bütünlüğünü bozması. Kısaca saldırganın “burası e-devlet” demesinin, sistem açısından bir geçerliliği yok. Bilgisayarlarımız sadece “güvenilir” sertifika otoritesi olarak tanımlanan kaynakların ürettiği SSL sertifikalarını geçerli sayıyor. Aynı senaryoda vatandaş ile e-devlet arasına girmek için kullandığım yazılımı “güvenilir sertifika otoritesi” olarak tanımlarsam uyarının ortadan kalktığını görüyorum. Aşağıda görüldüğü gibi Firefox tarayıcısının “güvenilir” kabul ettiği sertifika otoritelerinin bir listesi var. Buraya bağlantıyı yakalamak için kullandığım yazılımı üreten firmayı ekliyorum. 


Sorun kalmıyor :)



Bu sayede ikisi arasındaki iletişimi sorunsuz bir şekilde görüntüleyebiliyorum. (Ufak bir not: Bu saldırı turkiye.gov.tr özelinde çalışmayacağı için örneği orayı kullanarak verdim. Güzel hareketi tebrik eder, başarılarının devamını dilerim.)

Görüldüğü gibi güvenliğimiz SSL sertifikalarına, SSL sertifikalarının güvenliği de hangi sertifika otoritelerini güvenilir kabul ettiğimize bağlı. 

SSL sertifika otoriteleri güvenilir mi?
SSL sertifikalarını üreten şirketler genelde çok sıkı denetlenirler. Bu sayede de yapının belli ölçüde güvenilirliği devam edebilmektedir. Bugüne kadar sertifika üreticilerinin güvenilirliğinin sarsılmasına neden olan belli başlı olay türleri şunlar oldu: 
  • Sertifika otoritesinin hacklenmesi: 2011 yılında bazı sertifika otoritelerinin ağlarına sızan siber saldırganlar kendi amaçlarına hizmet edecek bazı sertifikalar ürettiler. Bu sayede Gmail gibi e-posta servisleri üzerinden gönderilen e-postaları okuyabildiler. 
  • Yanlış sertifika üretilmesi: 2013 yılında bir kamu kurumu (evet, Türkiye’de) “sehven” üretilen bir Google sertifikasını sistemlerine yükleyince olay uluslararası basında yer almıştı. Google için üretilen bir sertifika ile başta Gmail olmak üzere bütün Google hizmetleriyle yapılan bağlantıları görüntüleme imkanı sağlamıştı. 
  • Sertifika otoritesinin güvenilmez hale gelmesi: 2015 yılında Türkiye’den bir sertifika otoritesi güvenlik denetimlerine yeterli özeni göstermediği için Firefox tarafından güvenilir sertfika otoriteleri listesinden çıkartılmıştı. 
  • Sertifika otoritesinin çelişkili olması: 2019 yılında sertifika otoritesi olmak için başvuran Dark Matter Firefox ve Google (Chrome ve Android’de) güvenilmez olarak kabul ediliyor. Bunun nedeni Dark Matter şirketinin Birleşik Arap Emirlikleri adına siyasi amaçlı pek çok siber saldırıyı düzenleyen ve ülkenin istihbarat yapısının siber uzantısı olarak değerlendirilen grup olması. 
SSL güvenliği için yapılabilecekler
Kuruluş içerisinde veya kendi bilgisayarınızda hangi sertifika otoritelerinin güvenilir sayıldığını denetlemenizi öneririm. Böylece adını sanını duymadığımız veya kötü niyetle oluşturulmuş sertifikaların internet güvenliğinizi tehlikeye atmasının önüne geçebilirsiniz. 

Windows sistemlerde arama kutucuğuna certmgr.msc yazarak sertifika yönetimi uygulamasına ulaşabilirsiniz. 

Bu listede, özellikle Dark Matter’a ait aşağıdaki sertifikaları görürseniz mutlaka silin. Bunun dışında biraz mesai harcayarak hangilerini tutmak istediğinize de karar verebilirsiniz.
  • Dark Matter
  • UAE Global 
  • Quo Vadis


Windows sistemlerin düzgün çalışması için gerekli olan sertifika otoriteleri listesine https://support.microsoft.com/tr-tr/help/293781/trusted-root-certificates-that-are-required-by-windows-server-2008-r2 adresinden ulaşabilirsiniz. Bunların dışındakiler gidebilir. 
Örneğin aşağıdaki ekran görüntüsünde görünen Quo Vadis sertifika otoritesi aslında Dark Matter ve Dubai istihbaratının SSL ile şifreli trafiğinizi okumasını önlemek amacıyla derhal kaldırılmalı. 



Active Directory kullanıyorsanız bu işlemi ağ genelindeki sistemler için bu işlemi Group Policy Manager üzerinden gerçekleştirebilirsiniz. 

SSL sertifikalarının kullanımı konusunda bir miktar bilgi sahibi olmak buradan doğabilecek risklerin değerlendirilmesi ve yönetilmesi için gerekli gibi duruyor. 


Saturday, July 20, 2019

FaceApp kötü Instagram iyi mi?


Söz konusu kişisel verilerimiz olduğu zaman topumun büyük çoğunluğu ne yazık ki düşündüğümüz kadar hassas davranmıyor. Son moda uygulama FaceApp de bunun için güzel bir sınav oldu. Tanımadığımız bir Rus firmasına 150 milyondan fazla kişisel fotoğraf ve veri gönderildi. Kişisel olarak çok eğlenceli gelmedi. Yaşlanmış halimi görmeyi çok da merak etmiyorum sanırım. 




FaceApp ne yapıyor?

Yapay zeka kullanarak fotoğrafları değiştiriyor. Acun Ilıcalı’dan Ajda Pekkan’a (pardon, Ajda’nınki normal fotoğrafıymış), bir sürü ünlü ve ünsüzün yaşlı hallerini gördük. Uygulamayı kullananların büyük çoğunluğunun gizlilik ve kullanım şartlarını okumadığından eminim. Gelin buna bir bakalım. 


FaceApp hangi verilerinizi topluyor?

“Bize gönderdiğiniz bütün verileri” diye başlıyor gizlilik sözleşmesi. Yüklediğiniz veya telefonunuz üzerinden elde ettikleri bütün verileri hem kendileri kullanıyor hem de üçüncü taraflara veriyor.  FaceApp aynı zamanda tarayıcı kayıtlarınızı da topladığını belirtiyor, bu bilgiler içerisinde ziyaret edilen sayfalar ve tıklanan bağlantılar gibi bilgiler de FaceApp tarafından toplanıyormuş. 

FaceApp, toplandığı verileri (yüklediğiniz fotoğraflar, fotoğraflarla birlikte mevcut olan metadata verileri, tarayıcı kayıtlarınız ve kullandığınız cihaza ait veriler) üçüncü taraflara kiralayabileceğini veya satabileceğini de açıkça belirtmiş. Bu arada, uygulamayı kullanarak verilerinizin sahipliğini ve kullanım hakkını süresiz (bkz. Sonsuza kadar) FaceApp’e vermiş oluyorsunuz. Kısaca, bundan 3 veya 5 yıl sonra cinsel sorunlarla ilgili bir makalenin veya bir sohbet hattının yüzü olarak kendinizi görürseniz şaşırmayın. 

FaceApp’in başarısı pek çok benzerinin ortaya çıkmasına neden olmuş. Aslına bakarsanız FaceApp art niyetli bir uygulama değil. Kullanım sözleşmesinde açıkça yazdıkları dışında bir şey yapmıyor ve sadece yüklediğiniz fotoğrafın tüm telif ve kullanım haklarını sonsuza kadar alıyor. Benzer şeyler yapmayı vaad eden (sizi yaşlı, genç, uzun saçlı, sakallı, vb. gösteren) bazı uygulamaların bir kez fotoğraflarınıza erişim hakkı elde ettikten sonra bütün fotoğraflarınızı aldığını görüyoruz.
FaceApp’le ilgili gündeme gelen çekincelerin kaynağı tanınmayan bir Rus firmasında olmasından ileri geliyor olabilir. Bu da ister istemez iki yüzlülük yapıp yapmadığımız sorusunu gündeme getiriyor. 

Daha eski bir uygulama olan Instagram’ın kullanım politikalarına bakalım mı?
Instagram tarafından toplanan veriler: “Sağladığınız bilgiler ve içerikler. Bir hesap açmanız, içerik oluşturmanız veya paylaşmanız ve başkalarıyla mesajlaşmanız ya da iletişim kurmanız dahil olmak üzere, Ürünlerimizi kullanmanız sırasında sağladığınız içerikleri, mesajları ve diğer bilgileri toplamaktayız. Bir fotoğrafın çekildiği konum veya bir dosyanın oluşturulduğu tarih gibi, sağladığınız içerikteki veya içerik hakkındaki bilgiler (meta veriler gibi) buna dahil olabilir.” Bu yeterince kötü değilse, ek olarak alınanlara bakalım: “En çok iletişim kurduğunuz kişiler veya üyesi olduğunuz gruplar gibi, iletişime geçtiğiniz kişiler, Sayfalar, hesaplar, konu etiketleri veya üyesi olduğunuz gruplar hakkında ve bu kişi ya da gruplarla Ürünlerimiz aracılığıyla nasıl etkileşimde bulunduğunuz hakkında bilgi toplamaktayız. Buna ek olarak, bir cihazdan (ör. bir adres defteri, çağrı kayıtları, SMS kaydı geçmişi) yüklemeyi, senkronize etmeyi veya aktarmayı seçtiğiniz kişi bilgilerini de toplamakta” SMS kaytları mı? Çağrı kayıtları mı?
Instagram’ın sadece fotoğraflarınızı, Instagram üzerinden mesajlaştığınız kişileri değil, telefonla görüştüğünüz kişileri ve size gelen SMS’leri de topluyor. Instagram’la ilgili canınızı biraz daha sıkmak isterseniz kullanım politikasına https://help.instagram.com/155833707900388 adresinden ulaşabilirsiniz. 

FaceApp, Instagram ve diğerlerine karşı ne yapacağız?
Kullanmayacağız. Özellikle kişisel verileriniz veya mahremiyetiniz konusunda bir hassasiyetiniz varsa bu uygulamaları kullanmaktan kaçının. Uygulamaları kullanmaya başladığınız andan itibaren yapacağınız ayar değişiklikleri vicdanınızı rahatlatmaktan öteye gidemiyor ne yazık ki. Fotoğraf veya veri bir kez yüklendikten sonra bunların sahipliği ve kullanım hakları süresiz olarak karşı tarafa geçiyor. 

Fotoğrafların bir kez internete düştükten sonra mahremiyetinizi sonsuza kadar kaybedebileceğinizi hatırlamakta fayda var. Örneğin dün Hürriyet gazetesinde yayımlanan bir haberde, aşağıda görebileceğiniz gibi tarafların hem isimleri hem de yüzleri gizlenmiş. 

Buna rağmen fotoğrafı internette aratınca daha önce yapılmış bir haberde isim bilgilerine kolayca ulaşılabiliyor.

Kısaca, internetin unutmayacağını bilip neyi ne kadar paylaşmamız gerektiğine kendimiz karar vermeliyiz. 

Monday, July 15, 2019

Siber Şantaj Nedir? Nasıl Yapılır?

Son günlerde bize ulaşan siber şantaj olaylarının sayısında ciddi bir artış görüyoruz. Senaryo aşağı yukarı aynı; kurban (olayların %90’nından fazlasında bir erkek) internet veya whatsapp üzerinden bir hanımla yazışmaya başlıyor. Konu konuyu açıyor ve kısa sürede yazışmalar daha mahrem bir hal alıyor. Birkaç masum fotoğrafın ardından daha “özel” fotoğraflar paylaşılıyor. 
Belki karşılıklı birkaç görüntülü görüşme. 
Kurban karşısındakine iyice güvenmeye başladığında görüşmeler daha açık bir hal alıyor ve nihayet kapan kapanıyor. Kurban, yeni bulduğu sanal sevgilisiyle özel görüntülerini paylaştığı anda karşısındakilerin gerçek yüzüyle karşılaşıyor. 
Görüntüleri tanıdıklarına göndermekle tehdit ediliyorlar ve görüntülerin gizliliğine karşı ciddi miktarlarda paralar isteniyor. Geçen hafta karşılaştığımız bazı olaylarda, şantajcılar niyetlerinin ciddi olduğunu göstermek için görüntüleri kurbanın bazı tanıdıklarına gönderdi ve ondan sonra para talep etti.








Bu durum oldukça can sıkıcı. 

Sadece mahremiyetin ihlali değil, sonsuza kadar internette kalabilecek bir şantaj görüntüsünün ortaya çıkması da kötü. Bu olaylarda verdiğimiz danışmanlık hizmetinde ne yazık ki sadece kurbanın ve itibarının görebileceği hasarı azaltabiliyoruz ancak kimseyi tamamen kurtarmamız mümkün olmuyor. 

“Sextortion” olarak bilinen bu şantaj yöntemi 1 yıldır ülkemizde pek çok kişiyi hedef aldı. Tam sayıyı bilmek mümkün olmasa bile, bize başvuranların sayısına bakarak bu sayının binlerde, belki on binlerde olduğunu söyleyebiliriz. Dünya çapında yayılan bu siber şantaj dalgasının ardında kimi zaman uluslararası çalışan şebekeler, kimi zaman da ergenler çıkabiliyor. Konunun hassas yapısı nedeniyle çoğu kurban adli makamlara başvurmaktan kaçınıyor. Uluslararası örgütler kurbanlarının ödemelerini Fildişi sahili veya Nijerya gibi ülkelere göndermelerini talep edebiliyor. Talep edilen paralar 2.000 Euro ile 50.000 euro arasında olabiliyor. 

Sextortion ve siber şantaj nasıl yapılıyor?

Birçok olayda kurbanın karşısında hiçbir zaman karşı cinsten gerçek bir insan olmuyor. Hacker forumlarında, bu işe uygun olarak hazırlanmış fotoğraf ve video setleri satılıyor. Tek bir kadına ait yüzlerce görüntüden oluşan bu setler sayesinde suçlular yazıştıkları kişiye işte, evde, arkadaşlarıyla tatilde, banyoda veya daha özel durumlarda çekilmiş fotoğraflarını gönderebiliyor. Böylece kurban yazıştığı kişinin günlük hayatından da öğeler görüp bunun gerçek bir kişi olduğuna daha kolay ikna oluyor.
Bu setleri kullanan bazı dolandırıcılar ise işi şantaj boyutuna götürmeden, sadece maddi yardım isteyebiliyor. Böylece konu şantaj değil, basit bir dolandırıcılık olarak kalabiliyor. 

Deepweb’de satılan setlerin ilanları “936 fotoğraf, 40 video, 1 saatlik videochat, sarışın” veya “700 fotoğraf, 3 saat videochat, aynı kadın sarışın ve kumral boyalı saçlar” gibi başlıklarla yayınlanıyor. Snapchat ve Tinder gibi sosyal medya platformlarına özel olarak hazırlanmış setlerin olması bunların da kurban aramak için yaygın olarak kullanılan yerler olduğuna işaret ediyor. Setlerin bazılarının ücretsiz dağıtılıyor olması ise suçluların bu işe girmelerini daha da kolaylaştırıyor. 
Setlerle birlikte video görüntülerini inandırıcı biçimde Skype görüşmesi sırasında yayımlayacak yazılımlar da dağıtılıyor. Böylece siber şantaj için ihtiyaç duyulacak bütün kaynaklara ücretsiz ulaşmak da mümkün oluyor. İnternette siber şantaj için hazırlanan araçların nasıl kullanılacağını, kurbanların telefon ve e-posta adreslerinin nasıl bulunabileceğini ve kurban seçerken nelere dikkat edilmesi gerektiğini de anlatan yüzlerce video mevcut. 
Mobil uygulamaları sanal sistemler üzerine kuran şantajcılar tek bir bilgisayar üzerinden aynı anda onlarca kurbanla görüşebiliyor. Forumlarda bulunan “siber şantajla ayda binlerce dolar kazanın” türü ilanların sayısının artmasından da anlaşılabileceği gibi, siber şantaj bazı kişiler için ciddi bir kazanç kapısı olarak görülüyor ve kolay yoldan para kazanmak isteyen herhangi birisinin de yapabileceği hale getirilmiş. Aşağıdaki ekran görüntüsü bu araçların ve videoların bir araya getirilerek nasıl siber şantaj yapılacağını anlatan bir videodan. 




Sol taraf şantajcının bilgisayarında oynayan video, sağ tarafta ise kurbanın görüntülü görüşme programında göreceği hali. Sol taraftaki ekranda hazır bulunan “el salla”, “öpücük gönder”, “göbeğini aç” benzeri komutları görebilirsiniz. Bunlara tıklamak ilgili hareketin görüntülü görüşmeye dahil edilmesini, böylece kurban ile daha interaktif ve gerçekçi bir sohbet yürütülmesini sağlıyor. 

Facebook, Twitter, Whatsapp gibi bir mesajlaşma platformunda kurbanın ilgisini çeken şantajcılar daha sonra Skype benzeri bir platform üzerinden görüntülü görüşmek istiyorlar. Ellerindeki hazır görüntülü görüşme kayıtlarını belirli sırada oynatarak kurbanı o anda biriyle konuştuğuna ikna ettikten sonra konuyu daha mahrem paylaşımlara getiriyorlar. Tuzağa düşmek üzerinden habersiz olan kurban şantaj için kullanılabilecek bir görüntü verdiğinde bu kayıt altına alınıyor ve görüşme sonlandırılıyor. Hemen ardından da para talebi geliyor.
Görüşmeler başladığı andan itibaren kurbanları hakkında sosyal medya üzerinden ciddi araştırma yürüten suçlular bu sayede kurbanın iş arkadaşlarını ve ailesini tespit ediyor. Böylece kurban parayı ödemek veya bütün çevresine rezil olmak, belki de eşinden ayrılmak gibi iki seçenekle karşı karşıya kalıyor. 

Ne yaparsanız yapın ama sakın ödeme yapmayın

Bir kez ödeme yapıldıktan sonra şantajcılar kurbanı “ödeme yaptı” olarak belirliyor ve ilerleyen zamanlarda tekrar para talep ediyorlar. Dijital görüntüleri tamamen yok edip etmediklerini bilmenin bir yolu olmadığı için de ilk ödeme yapılırken verilen taahhütlerin hiçbirinin aslında önemi yok. 

Uluslararası çalışan çetelerin izlerini sürmek ve bunları tespit etmek bazen mümkün olabiliyor. Dikkatsiz davranan bir grupla karşı karşıya olunun durumlarda az da olsa grubun kullandığı bilgisayarlara sızarak görüntüleri tamamen silmek mümkün olabiliyor. 

Siz yine de tedbiri elden bırakmayın. Ne kadar canlı görünürse görünsün, sadece bir video kaydı ile sohbet ediyor olabilirsiniz.

Saturday, July 13, 2019

S-400'leri Ben Alsaydım

Kısa bir süre için paralel bir evrende bir ülke yönettiğimi düşünelim. Her egemen ulus gibi bizim de hava savunma sistemlerine ihtiyacımız olacak. Ülkemizin bir iç denizi var o yüzden deniz üstü savunma sistemlerine ihtiyacımız yok. Etrafımızdaki dağlar da kara operasyonunu neredeyse imkansız hale getiriyor. Kısacası ülke, dört tarafı dağlarla çevrili ve denizin dört tarafını çeviren şirin bir bir yer. Ben de kral olarak "alacam S-2000Xi'leri, vurucam kırbacı, vurucam kırbacı" deseydim, aklıma gelen ilk konu bu sistemlerin içinde ne olduğu olurdu. Elbette broşürlerde bir şeyler yazıyorlar ama bu sistemlere ihtiyacım olduğunda çalışacaklarından nasıl emin olabilirim?

S-2000Xi görseli bulamadım, S-400'le idare edeceğiz

Hava savunma sistemi alacak olsam ilk gün yapacağım bazı şeyler olurdu. 

Hava savunma sistemlerini bekleyen tehlike
2007 yılının Eylül ayında, İsrail "Bostan Operasyonu" olarak adlandırılan saldırıda Suriye'nin kuzey doğusunda bir tesis bombaladı. 
Suriye'nin hava savunma sistemleri konusunda, onu bölgedeki diğer ülkelerden ayırın bir özelliği sahip olduğu hava savunma sistemleri. Önceki başkan Hafız Esat'ın hava kuvvetlerinde subay olmasından da kaynaklı olabileceğini düşünüyorum ama bu konuda elimde bir kanıt yok. Sonuçta Suriye 1967 yılından başlayarak hava savunma sistemlerine ciddi yatırım yapmış. Günümüzde 200'ün üzerinde bataryası olduğu düşünülen Suriye'nin en büyük tedarikçisi Rusya. 
2007 yılında düzenlenen saldırının parçalarına bakarsak;
  • Suriye'nin elinde o dönemin gelişmiş sistemlerinden olan S-200 bataryaları vardı.
  • İsrail saldırıyı 69. Filodan 4 adet F-15I (Ra'am - Yıldırım) ve 119. ve 253. filolardan 4 adet F-16I (Sufa - Fırtına) ile gerçekleştirdi. Fikir vermesi için F-15'in ilk uçuş tarihi 1972, F-16'nın ilk uçuş tarihi 1974. 
Görece yeni bir hava savunma sistemine karşı görece eski uçaklar. Peki İsrail bütün Suriye hava sahasını geçip saldırıyı nasıl gerçekleştirebildi? 
Tahmin edebileceğiniz gibi Suriye'nin hava savunma sistemlerini hackleyerek. Ra'am ve Sufa'lar Suriye üstünden uçarken hava savunma sistemleri bunları hiç görmedi. S-200'lerin ekranlarında sakin ve olaysız bir gökyüzünü bir kaç ticari uçuş dışında hiç bir şey yoktu. 2007 yılının Ağustos ayında (saldırıdan 1 ay önce) teslim edilen 96K6E Pantsyr'ler bile 30 yıldan eski bu uçakları göremedi. 

Bu olayın 2007 yılında yaşanmasının ardından hava savunma sistemleri gelişti. Ancak saldırganların da kendi silahlarını geliştirmediğini düşünmek, en hafif tabirle, saflık olur. 

Peki, benzer bir riskin var olup olmadığı ve bunun dışında S-400 konusunda nelere dikkat etmemiz gerektiğini nasıl bileceğiz? Bir kez daha bu tür sıkıntıların ilgili savunma sisteminin broşürlerinde yazacağını düşünecek kadar saf olmamakta fayda var. 

Nelere bakmak lazım?
Bu tür bir sistemi değerlendirirken iç ve dış riskleri ayrı olarak değerlendirmek lazım. Riskleri de kendi içlerinde ikiye ayırabiliriz; hatalar ve art niyetli olanlar. 

Sistemin kendisinden kaynaklı riskleri "iç riskler" olarak düşünebiliriz. Sistemin tasarımından, üretimine kadar geçen süreçte sisteme dahil olabilecek riskleri listelersek;
  • Tasarım hataları
  • Yazılım hataları
  • Sistemin tedarikçi zincirinden kaynaklı riskler
  • Üretim hataları
  • Sistemi üretenler tarafından bırakılmış olabilecek arka kapılar
  • Sistemin bağlı olduğu ağa yönelik yapması muhtemel keşif çalışmaları
Dış riskler ise sistemleri dışarıdan etkileyebileceklerdir;
  • Sistemin saldırılara karşı kendini koruma becerisi
  • Sistemin siber saldırılara karşı ne kadar açık olduğu
  • Sahte GPS sinyallerini tespit etme becerisi olup olmadığının tespiti (Bu saldırı vektörünün çok basit olması ve istismar edilmesi için çok az yatırım gerektirmesi beni biraz endişelendiriyor. Sadece hava savunma sistemleri için değil, Sahil Güvenlik botlarımızdan, Jandarma unsurlarına kadar ciddi şekilde ele alınması gereken bir tehdit olduğunu düşünüyorum. 
Özetle; kendi ülkeme S-400 alacak olsam bunları ülkeye girer girmez uzmanlara teslim ederdim. Arka kapı aramaktan siber saldırılara kadar sistemin kapsamlı bir güvenlik değerlendirmesinden geçirildiğinden emin olurdum. 

Tarih tekerrürden ibarettir derler, 2007 yılında Suriye'de yaşanan olaydan sonra yapılacak en önemli şey bu sistemlerin Rus, İsrail, A.B.D., Almanya, yunanistan, İran, ermenistan, Bulgaristan, aklınıza kim geliyorsa uçaklarını görebildiğinden ve görmeye devam edeceğinden emin olmaktır. 


Saturday, July 6, 2019

TEMPEST Nedir?


Elektromanyetik sinyal yayan cihazların güvenliğinin sağlanması için geliştirilmiş bir standarttır. “Telecommunications Electronics Material Protected from Emanating Spurious Transmissions” kelimelerinin baş harflerinden oluşturulan TEMPEST konusu 1960’lardan beri A.B.D. ordusunun gündemindedir.

TEMPEST Nedir?
TEMPEST Nedir?

Günümüzde başta NATO olmak üzere pek çok farklı standardın temelde TEMPEST konusunu kapsadığını görüyoruz. Bu standartların amacı elektromanyetik yayın yapan sistemlerin güvenliğinin sağlanmasıdır. Konular; cihazların birbirinde parazit yapmasından klavye sinyallerinin yakalanarak yazılanların okunmasına kadar geniş bir alanda değerlendirilebilir.

Genelge çerçevesinde ele alınan TEMPEST öncelikle yayılan sinyallerde hassas (kritik ve/veya gizli) veri olup olmadığına bakacaktır. Bu yola veri sızdırılmasının engellenmesi için alınması gereken fiziksel tedbirler cihazları pencerelerden uzak tutmaktan Faraday kafesli odaların inşaatına kadar gidebilir.

TEMPEST’e uyum için en büyük yardımcınız üreticiler olacaktır. Doğru üreticilerle çalışmak sizi bu konuda yapılması gereken yatırımlardan büyük ölçüde kurtarabilir. Kuruluş içerisinde milli güvenlik açısından hassas ve kritik verilerin tutulduğu sistemlerin üreticilerinden TEMPEST konusunda sahip oldukları sertifikaları talep etmenizde fayda var.


TEMPEST’in aslında tek bir güvenlik seviyesinden oluşmadığını biliyoruz. NATO TEMPEST’i 3 seviyede ele alır ve bunlara alan (zone) der. Alanlar cihazların yaydığı elektromanyetik sinyallere göre belirlenir. Örneğin bir cihazın sinyalleri 20 metreden algılanabiliyorsa bu TEMPEST seviye B’dir (bu A.B.D. ordusunda NSTISSAM seviye II’ye eşittir).

Görüldüğü gibi TEMPEST uygulanabilmesi için cihazların yaydığı sinyallerden yol çıkmak gerekiyor. Bu aşamada sinyalleir ölçürtmeye çalışmak yerine, yukarıda belirttiğim gibi üreticilerin bu konudaki sertifikalarına bakmak daha kolay olacaktır.

Aşağıdaki örnek planda kırımızı kutucuğun kritik verinin bulunduğu sistem olduğunu düşünelim. Sinyallerin ulaştığı alanların uzaklığına bağlı olarak 3 seviye görebiliriz.



Üreticinin size vereceği değerlere bağlı olarak bunlardan hangisi veya hangilerinin düşünülmesi gerektiği ortaya çıkacak ve her biri için alınabilecek tedbirler belirlenebilecektir.

Güvenli ve Güvenilir bir Veri Merkezi Seçmek


5 Temmuz 2019 tarihinde yayımlana Bilgi ve İletişim Güvenliği Tedbirleri ile İlgili 2019/12 Sayılı Cumhurbaşkanlığı Genelgesinde yer alan önemli başlıklardan birisi kritik verilerin yurtiçinde tutulması gerekliliğidir. Bunun sonucu olarak yurtiçindeki veri merkezlerini değerlendirmeniz gerekebilir. 


Güvenli ve güvenilir bir veri merkezi seçmek
Güvenli bir Veri Merkezi Seçmek


Güvenli ve güvenilir bir veri merkezi seçmek için aşağıdaki başlıklara dikkat etmekte fayda olacaktır:


·       Gezin

Veri merkezini gezin. Neyin nasıl yapıldığına, personele ve altyapıya yakından bakın. Ziyaret önce kısa bir soru formu oluşturmanızda fayda var.


·       Personelle tanışın

Sonuçta gecenin 2’sinde bir sorun yaşadığınızda bir insanla muhattap olacaksınız, Tier 8 sertifikasıyla değil. Bu nedenle personelin yetkinliklerini ve becerilerini sorgulamanız ayıp değil. Sorun, öğrenin çünkü veri merkezinin personeli bir sorunla karşılaştığınızda sizin takımınızı oluşturacak.


·       Altyapı

Veri merkezinin altyapısında kullanılan sistemleri denetleyin. Jeneratörün, UPS’in, firewall’ın, switchlerin ve sunucuların markası genel hizmet kalitesini etkileyebilecek unsurlardır.


·       Bağlantı

Veri merkezinin sahip olduğu bağlantının yedekli olması önemlidir. Genelge’nin son maddesinde kritik verilerin, mecbur kalınmadıkça, radyolink üzerinden taşınmaması gerektiği belirtilmiş. Bu nedenle “1 Gbps fiberimiz ve radyolink üzerinden yedekli” olması sizler için yeterli olmayabilir. Öncelikli olarak fiberoptik ile yedekliliği olan veri merkezlerini tercih etmenizde fayda var.


·       Güvenlik standartları

Veri merkezinin sahip olduğu güvenlik sertifikaları kadar bunların nasıl uygulandığı da önemli. Habersiz gideceğiniz bir denetimde veri merkezi kapısı bir yangın söndürme tüpü ile açık tutuluyorsa muhtemelen güvenlik standartlarına çok uymayan bir yerle karşı karşıyasınız. Bu durumda sahip oldukları belgelerin bir anlamı kalmayacaktır ve burayla çalışmak ileride başınızın ağrımasına neden olabilir.


·       Fiziksel durum

Yükseltilmiş döşemenin ve kablo tavalarının durumu, genel temizlik, kabinetlerin içerisindeki kabloların düzeyi gibi pek çok şey size veri merkezinin nasıl idare edildiği dolayısıyla ne kadar güvenilir olabileceği konusunda ciddi ipuçları verir.  


·       Konum

Veri merkezinin bulunduğu binanın konumu, yaşı ve size uzaklığı işbirliğinizin başarısını etkileyebilecek unsurlardır, göz ardı edilmemesinde yarar var.

Sözleşme
İyi günde ihtiyacınız olmayacak ama işlerin ters gitmesi halinde elinizdeki tek dayanağın sözleşmeler olacağını unutmayın. Bu nedenle "oraya öyle yazdık ama aslında şöyle yapalım" gibi esnemelere izin vermeyin.


·       Diğer

Siz paylaşımlı firewall hizmeti almayabilirsiniz ama veri merkezinin firewallunda yapılan herhangi bir değişiklik aldığınız hizmetin kesintiye uğramasına neden olabilir. Bu nedenle, firewall kuralları için bir değişiklik izleme prosedürlerinin olup olmadığı gibi belli başlı konularda da durumu değerlendirmek gerekir.

Seçtiğiniz herhangi bir veri merkeziyle çeşitli sorunlar yaşama ihtimaliniz var. Bu tür durumlar için bir eylem planını hazırlamakta ayrıca fayda olacaktır.

Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi


Cumhurbaşkanlığı tarafından yayımlanan “Bilgi ve İletişim Güvenliği Tedbirleri" genelgesinin içeriğinde söz edilen tedbirlerini gözden geçirdik.

Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi
Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi Yayımlandı


Bu tür genelgelerin ardından hızlıca türeyen ve kuruluşlara türlü çeşit güvenlik çözümlerini “genelge kapsamında alınması gerekiyor” diye duyuran özel firmaların ziyaretinize gelmesi ihtimaline karşın öncelikle şunu söyleyeyim: bu genelgeye “uyumlu” hale gelmek için satınalmanız gereken hiçbir şey yok. Tamamı mevcut güvenlik çözümlerinizle uygulanabilir durumda. Bu anlamda kimseye yeni bir rant kapısı açmadığı için Genelgeyi ayrıca takdir ettim.


Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi Neyi Amaçlıyor?


Verilerin gizliliğini, bütünlüğünü ve erişilebilirliğini korumak amacıyla, özellikle milli güvenliği tehdit edebilecek türdeki verilerin korunması amaçlanmış.


Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi Kimleri Kapsıyor?


Genelge olduğu için elbette öncelikle Kamu Kurumlarına hitaben yazılmış ancak her kesimden kuruluşun kendi güvenliği için buradan çıkartabileceği güzel dersler var.


Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi maddeleri:
  1. Nüfus, sağlık ve iletişim kayıt bilgileri ile genetik ve biyometrik veriler gibi kritik bilgi ve veriler yurtiçinde güvenli bir şekilde depolanacaktır.
  2. Kamu kurum ve kuruluşlarında yer alan kritik veriler, internete kapalı ve fiziksel güvenliği sağlanmış bir ortamda bulunan güvenli bir ağda tutulacak, bu ağda kullanılacak cihazlara erişim kontrollü olarak sağlanacak ve log kayıtları değiştirilmeye karşı önlem alınarak saklanacaktır.
  3. Kamu kurum ve kuruluşlarına ait veriler, kurumların kendi özel sistemleri veya kurum kontrolündeki yerli hizmet sağlayıcılar hariç bulut depolama hizmetlerinde saklanmayacaktır.
  4.  Mevzuatta kodlu veya kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil uygulamalar hariç olmak üzere, mobil uygulamalar üzerinden, gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır.
  5. Sosyal medya üzerinden gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır.
  6. Sosyal medya ve haberleşme uygulamalarına ait yerli uygulamaların kullanımı tercih edilecektir.
  7. Kamu kurum ve kuruluşlarınca gizlilik dereceli bilgilerin işlendiği yerlerde yayma güvenliği (TEMPEST) veya benzeri güvenlik önlemleri alınacaktır.
  8. Kritik veri, doküman ve belgelerin bulunduğu ve/veya görüşmelerin gerçekleştirildiği çalışma odalarında/ortamlarında mobil cihazlar ve veri transferi özelliğine sahip cihazlar bulundurulmayacaktır.
  9. Gizlilik dereceli veya kurumsal mahremiyet içeren veri, doküman ve belgeler kurumsal olarak yetkilendirilmemiş veya kişisel olarak kullanılan cihazlarda (dizüstü bilgisayar, mobil cihaz, harici bellek vb.) bulundurulmayacaktır.
  10. Kişisel olarak kullanılanlar da dâhil olmak üzere kaynağından emin olunmayan taşınabilir cihazlar (dizüstü bilgisayar, mobil cihazlar, harici bellek/disk, CD/DVD vb.) kurum sistemlerine bağlanmayacaktır. Gizlilik dereceli verilerin saklandığı cihazlar, ancak içerisinde yer alan veriler donanımsal ve/veya yazılımsal olarak kriptolanmak suretiyle kurum dışına çıkarılabilecek; bu amaçla kullanılan cihazlar kayıt altına alınacaktır.
  11. Yerli ve milli kripto sistemlerinin geliştirilmesi teşvik edilerek, kurumlara ait gizlilik dereceli haberleşmenin bu sistemler üzerinden gerçekleştirilmesi sağlanacaktır.
  12. Kamu kurum ve kuruluşlarınca temin edilecek yazılım veya donanımların kullanım amacına uygun olmayan bir özellik ve arka kapı (kullanıcıların bilgisi/izni olmaksızın sistemlere erişim imkânı sağlayan güvenlik zafiyeti) açıklığı içermediğine dair üretici ve/veya tedarikçilerden imkânlar ölçüsünde taahhütname alınacaktır.
  13. Yazılımların güvenli olarak geliştirilmesi ile ilgili tedbirler alınacaktır. Temin edilen veya geliştirilen yazılımlar kullanılmadan önce güvenlik testlerinden geçirilerek kullanılacaktır.
  14. Kurum ve kuruluşlar, siber tehdit bildirimleri ile ilgili gerekli tedbirleri alacaktır.
  15. Üst düzey yöneticiler de dahil olmak üzere, personelin sistemlere erişim yetkilendirmelerinin, fiilen yürütülen işler ve ihtiyaçlar nazara alınarak yapılması sağlanacaktır.
  16.  Endüstriyel kontrol sistemlerinin internete kapalı konumda tutulması sağlanacak, söz konusu sistemlerin internete açık olmasının zorunlu olduğu durumlarda ise gerekli güvenlik önlemleri (güvenlik duvarı, uçtan uca tünelleme yöntemleri, yetkilendirme ve kimliklendirme mekanizmaları vb.) alınacaktır.
  17.  Milli güvenliği doğrudan etkileyen stratejik önemi haiz kurum ve kuruluşların üst yöneticileri ile kritik altyapı, tesis ve projelerde görev alacak kritik önemi haiz personel hakkında ilgili mevzuat çerçevesinde güvenlik soruşturması veya arşiv araştırması yaptırılacaktır.
  18. Kamu e-posta sistemlerinin ayarlan güvenli olacak biçimde yapılandırılacak, e-posta sunucuları, ülkemizde ve kurumun kontrolünde bulundurulacak ve sunucular arasındaki iletişimin şifreli olarak yapılması sağlanacaktır.
  19.  Kurumsal olmayan şahsi e-posta adreslerinden kurumsal iletişim yapılmayacak, kurumsal e-postalar şahsi amaçlarla (özel iletişim, kişisel sosyal medya hesapları vb.) kullanılmayacaktır.
  20. Haberleşme hizmeti sağlamak üzere yetkilendirilmiş işletmeciler Türkiye’de internet değişim noktası kurmakla yükümlüdür. Yurtiçinde değiştirilmesi gereken yurtiçi iletişim trafiğinin yurtdışına çıkarılmamasına yönelik tedbirler alınacaktır.
  21.  İşletmeciler tarafından, kritik kurumların bulunduğu bölgelerdeki veriler, radyolink ve benzeri yöntemlerle taşınmayacak, fiber optik kablolar üzerinden taşınacaktır. Kritik veri iletişiminde, radyolink haberleşmesi kullanılmayacak; ancak kullanımın zorunlu olduğu durumlarda veriler milli kripto sistemlerine sahip cihazlar kullanılarak kriptolanacaktır.

 Bunların dışında genelgede bir Bilgi ve İletişim Güvenliği Rehberi hazırlanması gerektiği ve uygulanması konusunda düzenli denetimlerin yapılması gerektiği belirtilmiş.


Genelge bu haliyle daha önce yayınlanmış “Kamu Kurumların Uyması Gereken Asgari Kriterler” başlığında Ulaştırma Bakanlığı tarafından yayımlanan kadar teknik konulara girmemiş. Daha ziyade yönetim kadrosunun anlayabileceği dilden yazılmış. Bu haliyle, en azından kamu kuruluşlarının bu konudaki farkındalıklarını artırmaya faydası olacak gibi duruyor.  

MITRE ATT&CK Gerçek Hayatta Ne İşimize Yarar?

  Rusya kaynaklı siber saldırılar webinarı sırasında üzerinde durduğum önemli bir çalışma vardı. MITRE ATT&CK matrisini ele alıp hangi...