Monday, October 19, 2020

Yalan Haber Tespit Yöntemleri 101


 

Anneme bir yerden “şu alışveriş sitesini patlatmışlar” diye bir Whatsapp mesajı gelmiş. Ben de bunu “Ay kız Necla noolmuş biliyon mu?” diyerek paylaştım. Benim açımdan mesajın içeriğinin yalan olduğu o kadar netti ki, herhangi bir şekilde “inanmayın” deme ihtiyacı bile duymadım. 

 


Sonrasında özelden yazmaya başlayanlar oldu “naapçaz?”, “ay benim kart numaram da gitmiş midir?”. Fark ettim ki ben ve belki de pek çok kişi için bariz olan şeyler başkaları tarafından görünmüyordu. Buyrunuz efendim; “YALAN HABER ANLAMA REHBERİ”. Bu yazıdaki noktaları etrafınızdakilerle ama özellikle de 40 yaş üstü tanıdıklarınızla paylaşmanızda fayda olacaktır.

 
 

Haberin kaynağı

Yalan haberler genellikle iletilir. Bunun sonuncunda mesaj size geldiğinde ilk çıktığı noktayı belirlemeniz neredeyse imkansız hale gelir. Örgütlü bir çalışma yapıldıysa (örn: bilinçli olarak rakip bir alışveriş sitesini karalamak) eşzamanlı olarak birden fazla çıkış noktası da olabilir. Mesajı size ileten kişiye “bunu sana kim iletti?” diye sormanız yerinde olacaktır. Bu sorunun cevabı “ben yazdım” olmadığı sürece halk arasındaki adıyla “dedikodu” olduğunu unutmayın. Bu örnekte olduğu gibi haberin kaynağı “arkadaşlar” olabileceği gibi var olmayan bir dernek veya meslek örgütü de belirtilmiş olabilir. Hatta bazı durumlarda olan bir meslek örgütüne atfedilen ama gerçek olmayan basın açıklamaları da görülebilir. Gerçek bir meslek örgütü veya kuruluş adı geçiyorsa haberi ilgili internet sayfasından bizzat teyit etmeden kimseyle paylaşmayın.

 

Otorite figürü

Bu tür haberlerde genelde bir otorite figürü kullanılır. Bunlar duruma göre hâkim, avukat, doktor, hemşire veya polis olabilirler. Bunun gibi bazı örneklerde ise kaynak “arkadaşlar” gibi muallak bırakılmış da olabilir. Ancak bunu “siber suçlara çok şikâyet geliyormuş” şeklinde destekleyip otorite figürünü, alakasız da olsa, eklemenin yolunu bulmuşlar.

 

Yazım hataları

Nedenini tam bilmiyorum ama Türkçe veya İngilizce yalan haberlerin önemli bir kısmında yazım hataları oluyor. Bunları ilk yazan kişinin zekâ seviyesine dair bir ipucu olabileceği gibi, arama motorlarının bunları endekslemesini veya mesajı ilk paylaşan kişinin tespitini zorlaştırmak adına alınan tedbirler de olabilir.

 

Çözüm önerisine bakın

“Hemşire tanıdık söyledi, burnunuza fön makinesi tutmak coronayı engelliyormuş” benzeri haberlere maruz kalmış olabilirsiniz. İlk okuyuşta bir çözüm önerisi gibi duran ancak birazcık düşününce saçma olduğu kolayca anlaşılan çözüm veya eylem önerileri sunulabilir. Halk hareketinin belli bir gün sayısının geçmesi halinde AB yasası gereği hükümetin düşeceğine inanlar da oldu, arabalarının dikiz aynasına CD asmanın polis radarlarını yanıltacağına da… Sunulan çözüm önerisi birçok örnekte kendi içerisinde bir tutarsızlık veya eksiklik barındırıyor. 

Elimizdeki örneği de şöyle özetleyebiliriz;

Sorun: Kart bilgilerinin çalınması

Çözüm: Çalınan kartın numarasının çalındığı yerden silinmesi

Çalanların olduysa onların sistemlerinden bu numaraları silmek gerektiğini eklemeyi unutmuşlar.

 

Yalan Haber Nasıl Tespit Edilir?

Sosyal medya veya doğrudan mesaj, kaynağı ne olursa size gelen bir haberin doğrulunu teyit etmek için aşağıdaki birkaç öneriyi kullanabilirsiniz (Bu liste basın genelinde yalan haberleri ortaya çıkartma amacıyla kurulmuş Factcheck.org önerilerini temel almıştır);

 

Kaynağı değerlendirin

Papatyasevenlerdernegi.com sayfasında okuduğunuz “papatya yağı Corona tedavisinde kullanılıyor” başlıklı bir haberin belli bir ticari amaçla hazırlanmış olması muhtemeldir. Haber kaynağının bu haberin yapılmasından bir kazanç sağlayıp sağlamadığını değerlendirin. DİKKAT: Bazı haber sitelerinde reklamlar haberlere benzeyecek biçimde tasarlanmıştır, “ufacık da olsa “bu bir reklamdır” ibaresi bulunabilir. Yazıyı gördüğünüz yerin ötesinde yazan kişiyi tanıyıp tanımadığınızı ve bu haberi farklı kaynaklardan doğrulayıp doğrulayamadığınıza da bakın. Genellikle basit bir Google araması yeterli olur. 

 

Başlıktan fazlasını okuyun

Birçok haber başlığında aslında haberin en can alıcı veya yayımlayanın işine gelen kısmı kullanılır. Bu nedenle başlık veya manşetin dışında kalan kısımları da okumayı unutmayın. Bazı haberlerde başlıkla haberin içeriğinin birbirinden farklı olduğuna bile rastlayabilirsiniz. 

 

Tarihleri kontrol edin

Eski haberlerin veya eski haberlerin parçalarının yeni bilgiymiş gibi sunulduğunu görüyoruz. Örneğin “Lizbon Antlaşmasında İrlanda’nın Referandum Oyunu!” diye bir başlık okuyan birinin Lizbon Antlaşmasının 2007 yılında imzalandığını bilmesinde fayda olacaktır. Eski haber görsellerinin de yeni gelişmelere aitmiş gibi servis edildiğini görebiliyoruz. Bu noktada ilgili görseli Google Image Search (bu şekilde Google araması ile bulabilirsiniz) ile aratıp gerçek kaynağını bulabilirsiniz.

 

Mantıklı mı?

Çok iddialı “patlatmışlar” veya “kesin bilgi” gibi ibareler olabileceği gibi haberin içeriği de olağanüstü gelebilir. Örneğin “Uçan arabaya ilk trafik cezası kesildi” gibi bir haberin gerçek olması için uçan arabaların trafiğe çıkabilmiş olması gerekir, bu olduysa öncesinde “uçan arabalar artık trafikte” konulu en az bir haber görmüş olmanız gerekir.

 

Kişisel konumunuzu tartın

Düşünce yapınız, eğitiminiz, aile düzeniniz, gelir seviyeniz gibi pek çok etken düşüncelerinizi etkiler. Bunun sonucu olarak bizlere yakın gelen bilgilerin doğruluğunu daha kolay kabul etme eğilimi gösteririz. Okuduğunuz haber içerisinde size kişisel olarak hitap eden bir nokta olup olmadığını düşünün. Örneğin Eşcinsel evliliklerle ilgili net bir görüşünüz var bu konudaki haberleri buna göre tartarsınız. Bu örneği bilerek eşcinsel evlilikler üzerinden verdim. Bu konuda gerçekten net bir duruşunuz varsa bu açıklamayı okuyana kadar benim bu evlilikleri desteklediğimi düşünmüş olmanız gayet normal mesela. Ama desteklemiyorum. Bu son kısmı okuyana kadar bazıları da “ne kadar açık görüşlü bak örnek vermiş” diye düşünmüştü, onlar da şimdi hayal kırıklığına uğradı :) 

Gördüğünüz gibi kendi düşünceleriniz farkında olmasanız bile bilgileri süzme şeklinizi etkiliyor. Bu nedenle haberleri bir değil, belki iki kere teyit etmekte fayda var. 

 


Saturday, August 29, 2020

Bir Önceki Savaşa Hazırlanmak


Savaş tarihinde "ordular her zaman bir önceki savaşa hazırlanır” diye bir söz vardır.

Birinci Dünya Savaşından sonra Avrupa orduları buradan çıkarttıkları derslere bakarak yeni savunma duruşlarını belirlemeye başladı. İlgili olanların bileceği gibi; Birinci Dünya Savaşı Batı Avrupa’da büyük ölçüde orduların kazdıkları siperlerden yürüttüğü bir mücadeleyle geçti. Bunun sonucunda daha iyi tahkimata sahip olanın daha az kayıp verdiği, iyi hazırlanmış bir savunma hattının askerlerin sağlığını da koruduğu gibi pek çok önemli ders çıkartıldı. Fransa bu dersleri en iyi şekilde uygulayan ve buradan çıkarttığı derslerle kendini bir sonraki savaşa hazırlayan ülke oldu. Maginot Hattı’nı bilen bilir.

Peki çıkartılan derslerin sonucu ne oldu? Fransa siper savaşına hazırlanırken Almanya tanklarını ve hava kuvvetlerini hazırladı ve İkinci Dünya Savaşı’nın ilk yarısında bu sayede üstünlüğü elde etti.

Benzer örnekler hemen her savaş için verilebilir. A.B.D. İkinci Dünya Savaşı’ndan öğrendiklerini Vietnam Savaşı’nda kullanamadığı gibi, zararını da gördü.

Sadece ordular değil, havacılık sektörü de benzer bir gelişim izledi ve izliyor. Bir uçak düşünce nedeni araştırılıyor ve olayın tekrarlanmaması için düzeltilmesi gerekenler düzeltiliyor.

Aynı davranış kalıbını siber güvenlik alanında görüyoruz ne yazık ki. Bir güvenlik ihlali yaşanıyor ve genel duruş buradan çıkartılan derslere göre yeniden tasarlanıyor. Kısaca biz de farkında olmadan bir önceki savaşa hazırlanıyor olabiliriz.

Siber güvenlik konusunda güncel tehditlere karşı hazır olmanın 5 temel adımı olacaktır.

Varsayımlardan kurtulmak

“Bütün sistemlerde antivirüs var” dendikten sonra birçok sistemde aslında antivirüsün yüklü olmadığını tespit ettiğimiz kaç tane sızma testimiz olduğunu hatırlamıyorum bile. Benzer şekilde “VLAN ayrımını yaptık” denildiğinde VLAN ayrımının olmadığına defalarca tanık olduk.

Kuruluşların güvenlik seviyesi ne yazık ki çoğunlukla varsayımlara dayanıyor ve çok az durumda bu varsayımların doğru çıktığını görüyoruz. Bu nedenle varsayım yapmaktan kurtulmak şart. Geçerli olabilecek tek varsayım güvende olmadığınızdır.

Eğitim

Hukuk fakültesinden 50 yıl önce mezun olmuş ve hiç avukatlık yapmamış birini avukat olarak güvenir misiniz? Yeni çıkan kanunlardan haberi var mıdır? Aynı şekilde bir muhasebeci olsa? Veya bir doktor? Siber güvenlik alanı, bilişimin her dalında olduğu gibi sürekli değişiyor. Her gün hayatımıza yeni saldırı teknikleri ve tehditler giriyor.

Internette bir ömür boyu okunabileceklerden çok daha fazla ücretsiz kaynak var. Bunları düzenli olarak takip etmek güncel tehditlerden haberdar olmak için çok önemlidir.

Gerçeklerle yüzleşmek

Hacklenebilirsiniz, öncelikle bunu kabul etmeniz lazım. Gerçekler sandığınız kadar tozpembe değil, bunlarla yüzleşin.

Sürekli İyileştirme

Saat başı yeni tehditlerin ortaya çıktığı bir ortamda savunma duruşunuzda son 1-2 ay içerisinde hiç değişiklik yapmadıysanız bu iyiye işaret olamaz. Saldırılar geliştikçe savunmanın da kendini geliştirmesi lazım.

Takip

Güncel saldırılara hazır olmak için belki de en önemli nokta yeni tehditleri takip etmektir. Bunun için hem kuruluş ağındaki riskleri (sistemler ve uygulamalardaki zafiyetler veya geçerli saldırı vektörleri gibi) hem de güncel saldırıları takip etmek lazım. Bu noktada siber tehdit istihbaratı önemli bir yardımcı olacaktır.

 

Siber Tehdit İstihbaratı Nedir?

Siber tehdit istihbaratı kuruluşların siber saldırılarla daha etkin mücadelede ve müdahale etmesini sağlayabilecek önemli bir kaynaktır. Türkiye’de pek çok kuruluşun faydalandığı siber istihbaratın özünde “şu IP adreslerini bloklayın” ötesinde kuruluşunuza neler sağlayabileceğine bakalım.

Etkin bir siber tehdit istihbaratı yapısı kuruluşunuza aşağıdaki konularda da bilgi sağlayabilmelidir;

  • Kuruluş bünyesinde bulunan zafiyetler
  • Zararlı yazılımlar
  • Oltalama saldırıları
  • Hedefli saldırılar

Bilinen saldırgan IP adresleri bir miktar bilgi sağlar elbette ancak bu konu sadece saldırgan kaynak IP adresi hakkında bilgi vermekten ibaret kalıyorsa siber tehdit istihbaratı sürecinizin geliştirilmesi şarttır. IP adresleri “bize kim saldırıyor?” sorusuna sınırlı da olsa bir yanıt verirken “nasıl saldırıyor?”, “saldırganın teknik bilgi seviyesi nedir?” ve “amaçları ne?” gibi önemli soruları da cevapsız bırakır.

Herhangi bir siber güvenlik ihlali yaşandığında ve tespit edildiğinde olay müdahalesi sırasında yapacaklarınız saldırganın başarılı veya başarısız olması arasındaki farkı oluşturabilir.

Siber tehdit istihbaratı nasıl kullanılır?

Herhangi bir kaynaktan gelen veri, bilgi veya istihbarat bir şekilde kullanılırsa kuruluşunuza faydalı olacaktır. Aksi takdirde yapılan çalışmaların etkinliği sınırlı kalacağından sağlayacağı fayda da oldukça düşük olacaktır. İlk aşamada siber tehdit istihbaratı siber ölüm zinciri çerçevesinde düşünülmelidir.

Hatırlayacağınız gibi “Siber Ölüm Zinciri” 2011 yılında Lockheed Martin tarafından ortaya atılan ve siber saldırıların aşamalarının takibi için geliştirilmiştir. Bu zincir siber saldırganların başarılı olabilmek için atmak zorunda kaldıkları adımlardan oluşur.

  1. Keşif: Hedef kuruluş hakkında bilgi toplama ve olası saldırı noktalarının belirlenmesi.
  2. Silahlandırma: Kuruluş bünyesinde tespit edilen güvenlik açıklarını istismar edecek kodun hazırlanması (bu bir USB bellek de olabilir, PDF belgesi de)
  3. Teslimat: Bir önceki adımda oluşturulan silahın hedefe iletilmesi (örn: USB belleğin kargoya verilmesi, mailin gönderilmesi, vb.)
  4. İstismar: Saldırı kodunun hedef tarafından çalıştırılması sonucunda sistemin ele geçirilmesi
  5. Kurulum: Ele geçirilen ilk sisteme ek yazılımlar yüklenmesi ve kalıcı olmak için (bu adımda hedeflerden birisi de bilgisayar yeniden başlatıldığında bağlantının kopmaması olacaktır) gerekli işlemlerin yapılması.
  6. Komuta ve kontrol: Saldırganın içerideki sistemle iletişim kurmasını ve veri alışverişi yapmasını sağlayacak iletişim yapısının kurulması (örn: HTTPS üzerinden tünel)
  7. Hedef üzerinde işlemler: Saldırganın asıl amacını gerçekleştireceği adım burasıdır (veri çalmak, veri şifrelemek, casusluk, vb.)

Bu 7 adımı tamamlayabilen saldırgan başarılıdır. Bu 7 adımdan herhangi birinin engellenmesi durumundaysa saldırgan başarısız, savunma başarılı kabul edilebilir.

İdeal şartlarda siber güvenlik yapısı da bu 7 adımı tespit edip engelleyecek biçimde kurgulanmış olmalıdır. Siber tehdit istihbaratının da aynı yaklaşımla bu 7 adımı tespit etmek ve engellemek için kullanılması gerekmektedir.

Siber tehdit istihbaratı kaynağından gelen IP adreslerinin “bilinen” olduğu unutulmamalıdır. Kısaca bu IP adreslerinin saldırgan davranışları olduğu veya komuta sunucusu (bkz. siber ölüm zinciri 6. Adım) olduğu tespit edilmiştir. Bu noktada saldırganların farklı IP adreslerine sahip olması veya kuruluşunuzu hedef alan farklı bir saldırgan grubu olması halinde bu bilgi çok faydalı değildir. Siber tehdit istihbaratının başlıca amaçlarından birisinin de kuruluşunuza “bilinmeyen” konusunda bir miktar bilgi sağlamaktır. Mevcut siber güvenlik çözümlerinizin tespit edemediği her şey “bilinmeyen” olarak düşünülebilir.

Siber Tehdit istihbaratı entegrasyonu

Yukarıda belirtildiği gibi siber güvenlik duruşu siber ölüm zincirinin bu 7 adımını tespit edip engelleyebilecek şekilde kurgulanmalıdır. Siber tehdit istihbaratının da aynı yaklaşımla siber ölüm zincirine göre kurgulanması faydasını artıracaktır. Bunun için ilk adım olarak siber tehdit istihbaratının aşağıdaki soruları yanıtlayabilmesi gerekmektedir:

  •  Bize kim saldırabilir?
  • Bize kim saldırıyor?
  • Bize nasıl saldırabilirler?
  • İlk sistem ele geçirildikten sonra nasıl yayılabilirler?
  • Dışarıya nasıl veri sızdırabilirler?

Soruların sayısını artırmak için MİTRE tarafından yayımlanan ATT&CK yapısından faydalanılabilir.

Bize kim saldırabilir?

Siber tehdit istihbaratı abonelikleri tarafından sağlanan bilinen saldırgan IP adresleri bu noktada bir girdi oluşturabilir. Belli bir IP adresinin belli bir sektörde faaliyet gösteren kuruluşları hedef aldığı bilgisi bizi de hedef alması muhtemel saldırganlar konusunda fikir verebilir. Bu IP adreslerinin engellenmesi, bildirim tarihinden önce kuruluşumuzla herhangi bir iletişimleri olup olmadığının kontrol edilmesi ve iletişim olduysa ayrıntılı incelenmesi gerekmektedir.

Bize kim saldırıyor?

IPS ve firewall loglarına bakarak saldırı girişimlerinin kaynakları belirlenebilir. Loglar incelendiğinde internete açık sistemlere çok sayıda saldırı geldiğini göreceksiniz. Bu saldırıların bir kısmını mevut IPS yapınız tespit edebilecekken bir kısmını saldırı olarak görmeyecektir. Dolayısıyla ilk aşamada IPS alarmına neden olan IP adreslerini ele aldıktan sonra Firewall üzerinden geçen trafiğin de izlenmesi gerekir. Engellenmesi gereken IP adresleri konusunda USOM (Ulusal Siber Olaylara Müdahale Merkezi) tarafından yayımlanan listeden başlayarak dünya genelinde bu tür IP adreslerini yayımlayan kaynakları da dahil edebilirsiniz. USOM tarafından yayımlanan listeye https://www.usom.gov.tr/zararli-baglantilar/1.html adresinden ulaşabilirsiniz.

Bunun yanında aşağıda örneklerini verdiğim gibi kaynaklar da faydalı olacaktır:

 

 

 

 

MITRE ATT&CK Gerçek Hayatta Ne İşimize Yarar?

  Rusya kaynaklı siber saldırılar webinarı sırasında üzerinde durduğum önemli bir çalışma vardı. MITRE ATT&CK matrisini ele alıp hangi...