Siber Ajan Olsam...

 FBI’ın “siber ajan” adıyla yeni nesil ajanlar alacağının haberleri çıktı. Bu ajanların, siber uzayda araştırma/soruşturma gibi faaliyetleri yürüterek, FBI’yı 2015 yılının gerçeklerine biraz daha yaklaştırmayı hedefledikleri ortada.

Ben Ajanken (temsili)

Bu haber üzerine biraz düşündüm ve fantezi olarak “siber ajan olsam...” dedim kendi kendime, “...bunları yapardım” diyerek başladım, iş biraz büyüdü ve “siber istihbarat ajansı kursam...” boyutuna vardı. Buyursunlar efendim; 2015 yılında “Siber MİT” veya “Siber İstihbarat Teşkilatı” (SİT) kuracaklara naçizane önerilerim.

Siber uzayı hava, kara, deniz ve uzaydan sonra beşinci savaş alanı olarak tanımlayanlar var, bana kalırsa da beşinci savaş alanı ama, kişisel görüşüm, dördüncü savaş alanının uzay değil, ekonomi olduğu yönündedir. Siber istihbarat işi yapacaksak, öncelikle düşman unsurları tespit edip, takip edip ve gerektiğinde müdahale edecek yeteneklere sahip olmalıyız. İsrail istihbarat birimleri konusunda biraz araştırma yapmış olanlar tanıdık bazı noktalara rastlayabilirler, tabii ki tesadüf değil. Amerika’yı yeniden keşfetmeye gerek olmadığını düşündüğüm için, bu konuda iyi örnekler arasında gösterilen İsrail’in istihbarat yapısından bazı öğeleri yorumladım.

Çatı birim

Siber uzayda her saniye bir gelişme oluyor, bunların arasından önemli ve raporlanması gerekenleri derleyecek ve “SİT” dışındaki paydaşlara bu bilgileri iletecek, bir çeşit arayüz görevi görecek birim.

Saldırılar, duyumlar, gelişmeler, yeni çıkan zafiyetler, siber casusluk ve açık kaynak istihbarat faaliyetleri sonucunda elde edilen bilgiler, önem ve yetki seviyesine göre diğer istihbarat birimleri, bakanlıklar ve özel şirketlerle paylaşılır. Özel şirketlere iletilecek bilgiler uluslararası alanda rekabetçi güçlerini arttıracak nitelikte olacaktır.

Çatı Birimi altındaki yapı çeşitli görevleri yürütecek şekilde bölünecek, ana konular;

• -       Açık kaynak istihbarat birimi
• -       Sızma ve siber saldırılar birimi
• -       İç eğitimler birimi
• -       Zafiyet tespiti ve istismar geliştirme birimi
• -       Operasyon güvenliği birimi
• -       Sinyal ve görüntü işleme birimi
• -       Donanım birimi
• -       Saldırı tespit birimi

Birimlerin işlerine kısaca ele alalım

Açık Kaynak İstihbarat Birimi

İnternete açık kaynakları kullanarak bilgi toplayacak birimin amacı iz bırakmadan ve “saldırgan” olarak yorumlanabilecek davranışlarda bulunmadan (port taraması, zafiyet taraması vs. yapmadan) bilgi toplamaktır. Sosyal medya üzerinden derlenecek bilgiler de bu birim tarafından anlamlandırılacaktır. Google aramasıyla ne bulunur ki? demeyin, aşağıda basit bir örnek verdim. Bir ödeme sistemi altyapısının kullanıcı kılavuzuna sadece arama motoru ile ulaştım, gördüğünüz gibi, hem “gizli” hem de “izinsiz dağıtılamaz” ibareleri var.

 Sızma ve Siber Saldırı Birimi

“Devletin Hackerları” burada çalışacak. Bu birimin amacı sıkça duyduğumuz APT (Advanced Persistent Threat – Gelişmiş Sürekli Tehdit) saldırılarını planlamak ve düzenlemek olmalı. “Dost” olarak niteleyemeyeceğimiz ülkelerin iletişim altyapılarından ve kamu kurumlarından düzenli olarak bilgi sızdıracak ve gerektiğinde sabotaj eylemi yapabilecek şekilde “sürekli saldırı” yaklaşımı ile çalışmalıdır.

İç Eğitimler Birimi

“Eğitim Şart”. Diğer birimlerin bilgi ve teknoloji olarak güncel olmasını sağlamak ve “Zafiyet Tespit ve İstismar Geliştirme Birimi” tarafından oluşturulan saldırı senaryolarının kullanılmasını sağlamak amacıyla sürekli eğitim verecek birimdir.

Zafiyet Tespit ve İstismar Geliştirme Birimi

Saldırı Biriminin işini anti-virüs yazılımlarına yakalanmadan ve devamlı olarak yapabilmesi için sıfır gün (0-day) açıklarını tespit edip, bunlardan faydalanabilecek istismar kodlarını geliştirecek birim.

Operasyon Güvenliği Birimi

Amerikalıların “OPSEC” (Operations Security) olarak adlandırdığı görevleri üstlenecek birim. Düşman unsurların “SİT” hakkında elde edebilecekleri bilgileri derleyen ve bunlardan nasıl faydalanabileceklerini düşünen birim. Siber istihbarat yapısının görünmez kalması önemlidir.

Sinyal ve Görüntü İşleme Birimi

Telsiz, radyo veya radar gibi internet dışında kalan iletişim kanallarının takip edilip buradan bilgi toplanmasının yanında diğer birimlerce elde edilen görüntülerde metadata veya gölge/yansıma gibi konularda analizler yaparak bunlardan bilgi çıkartacak birimdir.

Donanım Birimi

Donanımsal Truva atları veya ortam dinleme dronelarından telefonlarının içine Semtex veya PVV-5A yerleştirmeye kadar geniş bir yelpazedeki işlerde donanım “hacking” becerilerine sahip bir ekibe ihtiyaç olacak.

Saldırı Tespit Birimi

SİT kurulduktan sonra sürekli saldırı altında olmayacağını düşünmek saflık olur. Bu  nedenle genel yapının ve birimler arasındaki iletişimin güvenliğini sağlamak amacıyla bir Birim kurulması da gerekecek.

FBI tarafından verilen ilanda temel kriterler dışında pek bilgi yok ama önemli bir cümle var: “Temel değişmiyor: ‘Kötü adamları/kişiyi/kurumu/örgütü engellemek’”

Siber istihbarat konusunun sadece devletleri ilgilendirdiğini düşünmek yanlış olur. 2015 yılında, iş süreçlerimizin internete ve teknolojiye giderek daha bağlı hale gelmesi nedeniyle kuruluşlar da kendi “siber cephelerinde” savaşmak zorunda kalıyor.

KOBİ Siber İstihbarat Teşkilatı

Kabul ediyorum, yukarıda tarif ettiğim kadar geniş bir yapı olmayacak ama bugün KOBİ’lerden Bankalara, Bakanlıklardan Derneklere, internet üzerinde hizmet veya mal alan veya satan her kuruluşun temel düzeyde bir “istihbarat” becerisine sahip olması gerekmektedir.

Bu kapsamda ihtiyaç duyulacak becerilerden bazıları şunlardır;

Siber Olay Tespit Kabiliyeti: Belli aralıklarla yayınlanan araştırma sonuçları hala olay tespitinde yeterince hızlı davranamadığımızı gösteriyor. Ağınızda birilerinin varlığını tespit etmek veya veritabanınızın sızdırıldığını fark etmek  ve bunlarla ilgili zamanında ve doğru süreçler işletebilmek önemli. Bu nedenle saldırıları ve olayları tespit edecek bir yapı kurulmalıdır.

Zafiyet taraması: Açık kaynaklı veya ticari olarak satılan zafiyet tarama araçlarını kullanarak belirli aralıklarla sistem ve ağınızı zafiyetlere karşı taramak, en azından basit, saldırılara karşı tedbir almanıza imkan verir.

Pasif zafiyet taraması: Kuruluş envanterinizde bulunan donanım ve yazılımlarla ilgili yayınlanan zafiyetleri takip edip, bunlar için gerekli tedbirleri almak önemlidir. Çoğu saldırının zafiyetler yayınlandıktan sonra ile güncellemenin yapılması arasında geçen sürede en etkili olduğunu düşünürsek bu çalışma risk seviyenizi düzenli olarak belli bir seviyenin altında tutmanızı sağlar.

Komşularla ilişkiler: İstenmeyen e-postaların hangi IP bloğundan geldiği, web sunucusunu paylaştığınız diğer şirketlerden birinin sayfasının hacklenip hacklenmediği, mail adreslerinizin karalistelerden birine girip girmediği gibi temel göstergeleri takip ederek siberuzayda sizi ilgilendiren gelişmeleri takip etmekte fayda var.

Intel İşlemcilerde Rowhammer Zafiyeti

Belirli aralıklarla “seksi” zafiyetler çıkıyor. Bunlardan bazıları Heartbleed ve Shellshock gibi etkileri veya hedef aldıkları sistemlerin yaygınlığı ile dikkat çeker (ki hatırlayalım Heartbleed’in logosu vadı), bazıları ise istismar kolaylıkları ile. Geçtiğimiz aylarda iPhone’ları bir SMS ile kilitleyen bir zafiyet çıkmıştı, yakın zamanda ise Android telefonların MMS mesajıyla ele geçirilmesini sağlayan bir zafiyet çıktı.

Ne olursa olsun, magazin medyası gibi pek çok güvenlik ürünü satan şirket bunları “korku hikayesi” anlatmak için kullanmayı seviyorlar. Neredeyse “tek MMS’le Android hackleniyormuş, gelin firewallunuzu yenileyin” diyecekler. Hele bir de “APT” kelimesini aynı cümle içine yerleştirmenin yolu bulunursa, ilgili ofislerde öyle bir bayram havası eser ki, sanırsınız Ankara’dan abileri gelmiş.

Yazılımlar olduğu sürece bu tür zafiyetler çıkacak, tıpkı başka bir ülkenin “siber ordusuna” bağlı hackerların istedikleri sisteme sızabilecekleri gerçeği gibi, bu kabullenmek zorunda olduğumuz bir şey. Bunlardan kaynaklı riskleri kabul edip, yönetmemiz gerekiyor.

MMS ile Android hacklemenin magazinsel boyutunu bir yana bırakarak, özellikle benim hizmet verdiğim kurumsal müşteri profilinde, daha çok can yakabileceğini düşündüğüm başka bir zafiyete dikkat çekmek istiyorum. Henüz 1 milyara yakın Android işletim sistemini kullanan cihazın olabileceğinin şokunu atlatamamışken, Intel işlemcileri etkileyebilecek bir zafiyet duyuruldu.

“Rowhammer” adı verilen bu zafiyeti istismar eden saldırganlar hedef sistem üzerinde yetkilerini yükseltebiliyorlar. Bilindiği kadarıyla uzaktan istismar edilebilen ve yazılımın donanımı etkilediği ilk zafiyet bu. Kötü haberi hemen vereyim; bu donanımsal bir zafiyet olduğu için 2009 yılından beri üretilen bütün Intel işlemcilerde olma ihtimali var.

Rowhammer nedir?
Kısaca; DRAM (Dynamic Random Access Memory) işlemcilerde iki hafıza parçasına (saldırgan) sıkça ve sürekli erişerek üçüncü bir hafıza parçasında (kurban) bit değişikliğine neden olan bir zafiyettir. Konu hakkında yayınlanmış makaleye http://users.ece.cmu.edu/~yoonguk/papers/kim-isca14.pdf adresinden ulaşabilirsiniz. Kurban olarak belirlenen hafıza parçasının saldırgan tarafından kullanılan prosesin emrindeki hafıza parçasının dışında olması nedeniyle bu zafiyet istismar edilerek yetki yükseltilebiliyor.

Zafiyet işlemcilerin boyutlarının sürekli küçülmesinin doğal bir sonucu olarak karşımıza çıkmaktadır. İşlemci küçülürken işlemci bileşenleri birbirlerine yaklaşıyor ve kullandıkları elektrik akımının bir başka bloğa atlamasını engellemek zorlaşıyor. Bu elektrik “kaçakları” kullanılarak da hafızanın, kullanıcı yetkilerimiz veya uygulamalarımız itibariyle, bizimle hiç alakası olmayan bir hafıza bloğuna etki etmemiz mümkün oluyor. Konuyu çok dağıtmadan anlatmak adına aşağıdaki görseli hazırladım;

Rowhammer
Bu örnekte DRAM hücresi olan A’ya saldırgan kendi yetkileriyle yazabildiğini varsayalım, bu kısım yetkisiz bir kullanıcının kullanabildiği bir yazılımın ulaşabildiği blok olsun. B ise kullanmaya yetkimiz olmayan bir hafıza bloğu. A’ya kısa sürede belli miktarda veri yazarsam (bkz. 1’i devamlı 0, 1, 0, 1, 0, vb… değiştirmek) oluşturduğum elektrik akımıyla bir süre sonra B’deki değer de değişebiliyor (0 ise 1, 1 ise 0 oluyor). Google tarafından test edilen 29 laptop işlemcisinin önemli bir kısmının bu zafiyetten etkilendiği görülmüş. Kullandığınız sistemlerde bu zafiyetin olup olmadığını anlamak için, yine Google’un geliştirdiği bir test yazılımına https://github.com/google/rowhammer-test adresinden ulaşabilirsiniz.

Aklımıza hemen gelen Intel işlemci kullanan PC’lerin dışında Apple’ların veya Cisco gibi ağ ve güvenlik cihazlarının da Intel marka işlemci kullanmaları bu tehdidin çok geniş bir kitleyi etkilemesine neden olmaktadır.

Neden Şimdi?
Yukarıda okuduklarınız geçen senenin sonu ve bu senenin başında belirli çevrelerde konuşulan bir konuydu. Genelde bunun gibi, henüz yaygınlaşmamış veya çok özel koşulların oluşmaması durumunda istismar edilemeyecek zafiyetleri, biraz da yok yere uykumuz kaçmasın diye, çok dillendirmiyorum. Geçtiğimiz hafta Avusturya Graz Üniversitesinden araştırmacılar tarafından yayınlanan bir makalede (http://arxiv.org/pdf/1507.06955v1.pdf) Rowhammer zafiyetinin bir JavaScript betiği ile nasıl istismar edilebileceği gösterildi.

Normal şartlar altında, saldırganın doğrudan işlemciyle konuşabileceği durumlarda istismar edilebilecek bu zafiyet herhangi bir websayfasının içine saklanabilecek hale geldi. Teorik bir saldırı bir anda karşımıza, “kurban buraya tıklıyor ve işleri bitiyor” senaryosu ile, çıktı. Rowhammer zafiyetine karşı bir süredir üreticiler BIOS güncellemeleri yayınlıyorlar ancak kullanıcıların ne kadar azının düzenli olarak BIOS güncellemesi yaptığını düşünürsek tehdidin internet kökenli olması nedeniyle tarayıcı üreticilerinin de bir çözüm üzerinde çalışmalarında fayda olacak gibi görünüyor.

Süper Zafiyet’e Hazır Olmak
Android “Stagefright”, “Heartbleed”, “POODLE” ve “Shellshock” gibi internete bağlı pek çok sistemi etkileyebilecek bir “Süper Zafiyet” ile daha karşı karşıyayız. Son zamanlarda bu tür zafiyetlerin sıkça çıkması nedeniyle kuruluşların bu ölçekteki zafiyetlere karşı hazır olmaları gerekiyor. Bu amaçla aşağıdaki noktaları dikkate alarak “bir sonraki geniş çaplı zafiyete” hazırlık yapmamızda fayda var;

“Bununla yaşamayı öğrenmeliyiz”
Deprem zamanı sıkça duyduğumuz bu söz bilgi güvenliği konusunda da geçerlidir. Er yada geç, bu geniş çaplı “süper zafiyetlerden” birisi kuruluşumuzda bulunan sistemleri etkileyecek (kayıtlara geçmesi açısından, şu ana kadar yazıda adı geçenlerin hepsi, büyük ihtimalle zaten etkiledi veya etkiliyor).

Takip Etmek
Bilinmeyen bir zafiyetin istismar edilmesini engelleyemeyiz. Mesela Rowhammer, kumhavuzu (sandbox) teknolojisinin atlatılması için de rahatlıkla kullanılabileceği için savunma hattımız etkisini yitirecektir. Bu nedenle sadece savunmaya odaklanmak yerine savunmanın aşıldığı senaryoları da dikkate alarak, örneğin kuruluş ağından çıkan internet trafiği izlenmelidir.

Hazır Olmak
Kuruluş içerisinde bilgi güvenliğinden sorumlu birimlerin hazır olması gerekmektedir. Böyle bir durumla karşılaştıklarında nasıl tepki verecekleri kuruluşun olaydan asgari kayıpla çıkmasını sağlayabilecek önemli bir etkendir. SOME (Siber Olaylara Müdahale Ekibi) süreçlerine ve hazırlık senaryolarına bu tarz “süper zafiyet” durumlarının da eklenmesi şarttır.

Evanteri Bilmek
Kuruluş bünyesinde kullanılan bütün yazılım ve donanımların listesinin olması Rowhammer örneğinden de anlaşılacağı gibi çok önemlidir. Bu yazıyı okurken ya kuruluş ağınızdaki Intel işlemcileri biliyordunuz veya yarın ilk iş bunları çıkartmak için uğraşacaksınız. Kriz durumları yaşanmadan bu envanter çalışmasını yapmakta fayda var.

En kötüsüne Hazır Olmak 
Üreticinin güncelleme yayınladığı durumlarda işimiz nispeten kolay ancak üreticinin güncelleme veya yama yayınlamadığı durumlarda da ne yapacağımızı bilmemiz şarttır. Üreticinin size yardımcı olamadığı (en azından an itibariyle) durumlar için de bir kontrol listesi hazırlamamız gerekiyor.

Elektrik kesintisi ve PLC güvenliği

Çocukken “elektrikler kesikti çalışamadım hocam” derdik, bugün yaşanan geniş çaplı kesinti sırasında ise “siber saldırı var hocam” sözünü çokça duyduk. Bugün yaşanan elektrik kesintisinin bir siber saldırı olduğunu ima etmiyorum, sadece bugün popüler olan bir konuyu ele almak istedim.

PLC, ICS ve SCADA nedir ve neden önemlidir?
Özünde aynı şey, üretim hattı veya makineleri yönetmek için kullanılan sistemlerdir. Protokol ve/veya üretici farkı olsa da temelde programlanabilir bir mikroişlemci sayesinde fabrika veya üretim otomasyonu yapmamızı sağlarlar.

Terimlere kısaca bakacak olursak;
PLC: İngilizce “Programmable Logic Controller” yani programlanabilir mantıksal denetleyici kelimelerinin baş harflerinden oluşmaktadır.
ICS: İngilizce “Industrial Control Systems” yani endüstriyel kontrol sistemleri kelimelerinin baş harflerinden oluşmaktadır.
SCADA: İngilizce “Supervisory Control and Data Acquisition” yani Kapsamlı ve entegre bir Veri Tabanlı Kontrol ve Gözetleme Sistemi kelimelerinin baş harflerinden oluşmaktadır.

Hedefe özel yazılmış zararlı yazılımların megastarı olarak adlandırabileceğimiz STUXNET’in ortaya çıkmasıyla bu sistemlerin siber saldırıların hedefi olabileceği gerçeği geniş kitlelerin dikkatini çekti.
Otomasyon sistemlerinin hedef alındığı saldırılar aslında yeni değildir ve ilk örnekleri soğuk savaş yıllarında görülmüştür. Soğuk savaşın en yaygın olarak anlatılan siber saldırı hikayelerinden birisi (CIA tarafından resmi olarak teyit edilen bir olay olmadığı için bu aşamada “hikaye” demek zorundayız) de 1982 yılında Sibirya Boru Hattında yaşanan patlamaydı. Rusya’nın en önemli boru hattı projelerinden birinin sonuna yaklaşan dönemin Sovyet yönetimi bu boru hattını yönetecek bir yazılıma sahip olmadıklarını farkedince bu eksikliklerini A.B.D’nin elindeki yazılımlardan birini çalarak gidermeye karar verir. Fransız istihbarat örgütünün uyarısı üzerine CIA Rusların çalmaya çalıştığı koda bir hata ekleyecek 1982 yılının Temmuz ayında boru hattında bir patlamaya neden olurlar.

SSCB Tarafından patlamaya konu Sibirya Boru Hattı anısına basılmış bir pul. 

“Gerçek dünya” olarak adlandırabileceğimiz fiziksel boyutta herhangi bir şeyi kontrol eden herhangi bir yazılımı ele geçirebilmek, şüphesiz hepimizin hayal gücünü devreye sokar. Trafik ışıklarını kendi geçişimize göre yönetebilmek, asansörün her zaman bizi katta beklemesi, köprüden ücretsiz geçmek, emniyet şeridini kontrol eden kameraların bize ceza yazmaması, mağaza alarmını devre dışı bırakmak, gibi yüzlerce senaryo aklımıza gelir. Bunların bir uzantısı olarak da, belki de filmlerde görmeye alışkın olduğumuz ve dünyayı yok etmeye çalışan “deli profesörler” gibi bir nükleer tesisi patlatmak veya bir ülkenin elektriklerini tamamen kesmek gibi daha “fantastik” senaryolar aklımıza gelebilir.

Bütün ülkenin elektriğini kesmek?

Bugün yaşanan geniş çaplı elektrik kesintileri siber odaklı geniş çaplı komplo teorilerine neden oldu. Bu konulara bulaşmış birisi olarak gerçek durumumuz hakkında biraz araştırma yapma ihtiyacı duydum.

PLC’ler nasıl bulunur?
İnternete bağlı PLC sistemleri bulmak için kullanılabilecek onlarca farklı yöntem vardır, bunlardan bazıları;

1. Arama motorlarının kullanımı
2. ERIPP veya scan.io projelerinin sonuçlarından faydalanmak
3. Port taraması yapmak

Port taraması yapmak kaynak ve saldırgan IP’lerin hedef sistemler tarafından tespit edilmesi gibi belli ölçüde risk almayı gerektirdiği için ilk tercih edilen yöntem olmayacaktır. Bunun yerine arama motorları her ne kadar daha sınırlı sonuçlar verse de ilk aşamada daha hızlı bir yaklaşım olacaktır.

Aşağıdaki bir kaç örnekte Google aramaları ile bulduğum internete açık bazı PLC sistemlerini görüyorsunuz.

Yukarıda: SIMATIC PLC'leri tespit etmek için kullanılabilecek bir Google arama sorgusu

Yukarıda: Bulunan SIEMENS SIMATIC PLC'lerden birinin arayüzü

Yukarıda: Başka bir PLC arayüzü

Yukarıda: Rüzgar enerjisinden elektrik üreten bir istasyonun günlük enerji üretim değerleri tablosu. Google araması ile bulundu.

Yukarıda: Yaygın olarak kullanılan ROCKWELL marka bir PLC'nin internete açık arayüzü

Yukarıda: Başka bir PLC'nin ağ bağlantıları tablosu

Google aramaları dışında ShodanHQ gibi internete bağlı belli cihazları endeksleyen arama motorlarının da saldırganlar tarafından hedef bulmak için kullanıldığını biliyoruz.
Aşağıda bazı ShodanHQ arama sonuçlarını görebilirsiniz. Aramaları Türkiye ile sınırlandırıp belli başlı PLC üretici isimlerini kullanarak yaptım ve ilk çıkan sonuçların ekran görüntülerini aldım. Daha detaylı aramalarla sonuç sayısı artacaktır.

Gerçek durum nedir? 
2008 yıllarının ortasında başlayan ve internete bağlı PLC sistemleri endeksleyen SHINE (SHodan INtelligence Extraction) projesi 2013 yılının sonuda 1,000,000’dan fazla PLC’nin internete bağlı olduğunu ve her gün yüzlerce yenisinin eklendiğini açıklamıştı 2014 yılının sonlarında yayınladığı rakam ise 2,100,000’i geçmişti.

Amerika Birleşik Devletleri, Almanya ve Çin gibi sanayisi gelişmiş ülkelerden oluşan ülkeler dünya genelinde internete bağlı PLC sistemlerinin 1,800,000’den fazlasını barındırıyor. A.B.D. ile Almanya’nın toplamı dünya genelinde internete bağlı PLC sistemlerin %49’unu barındırıyor.

2014 yılının son aylarında Türkiye’de internete bağlı 16,348 PLC sistem tespit edilmiş. PLC’lerin internete bağlı olmasının oluşturduğu en önemli problemlerden biri şüphesiz yüksek güvenlik riskleridir. PLC’lerin temellerinin atıldığı yıllarda siber güvenlik konusu ne yazık ki çok gündemde değildi. Hatta bugün de internetin temelinde yatan pek çok “güvenilmez” uygulama o yılların naif mimari yaklaşımlarından kaynaklanmaktadır.
Günümüzde kullanılan pek çok PLC yalıtılmış iç ağlarda çalışacakları varsayılarak tasarlandığı için güvenlik özellikleri genelde ikinci plana itilmiştir.

PLC Güvenliği için neler yapılabilir?
İnternete bağlı otomasyon sistemlerinin güvenliğinin sağlanabilmesi için atılabilecek en önemli adım üreticilerin bu konuda harekete geçmesi olacaktır. O gün gelene kadar ise, her konuda olduğu gibi, güvenliği sağlama sorumluluğu biz kullanıcılar üzerindedir.

1. Sistemlerin mevcut durumunu anlayın
PLC sistemleriniz üzerinde yaptıracağınız güvenlik testleri size sistemlerinizin mevcut güvenlik seviyesi hakkında somut bilgiler verecektir. PLC sistemlerinin güvenliğini sağlamak için bütçe ayırmak ilk bakışta mantıklı gelse de kapsamlı güvenlik testleri ve risk analizlerinin sonucunda belki de bu sistemlere para harcamaya gerek olmadığı ortaya çıkacaktır. Durumu anladıktan sonra harekete geçmek daha doğru olacaktır.

2. Dokümantasyon
Evet, sıkıcı konular. Herşeye prosedür yaz, prosedürleri uygula, güncelle, vs. Ama neyin nasıl yapılması gerektiğini ortaya koymadan ve buna uymadan PLC gibi kritik sistemler üzerinde yapılacak her işlem (en basit güncellemeden sistem mimarisi değişikliklerine kadar) yeni zafiyetlerin ortaya çıkmasına neden olabilir.

3. Eğitim
Sistemleri idare eden personelin PLC konusunda eğitim alması sistemlerin daha güvenli ve verimli çalışmasını sağlar. Eğitimler sırasında PLC güvenliği konularına da değinmek önemlidir.

4. Subnetleri unutmayın
Bilgisayar ağlarında yaptığımız gibi PLC ağlarını da birbirinden bağımsız altağlara ayırmak güvenlik açısından fayda sağlar.

5. Erişimi denetleyin
PLC’lere kimin hangi şartlarda ve hangi işlemleri yapmak için erişebildiğinin belli olması şarttır. Bu erişimlerin ve yapılan işlemlerin kayıt altına alınması hem operatör hatalarını azaltabilecek bir çalışmanın temelini oluşturur hem de yetkisiz müdahalelerin kısa zamanda tespit edilmesini sağlar.

6. Sistemleri yalıtın
Kimsenin sistemleri dışarıdan yönetmesi gerekmiyorsa PLC'nin internetle bağlantısı olmadığından emin olun. Bu bağlantının bir şekilde (yanlış kablolama, altağ değişikliği, vb.) yanlışlıkla sağlanmadığından emin olmak için düzenli olarak kontrol edin.

7. Sistemleri izleyin
PLC üzerindeki işlemleri takip edip yetkisiz veya olmaması gereken işlemlerin tespit edilmesini sağlayacak bir yapının mutlaka kurulması gerekmektedir.

PLC güvenliği konusunda da, tıpkı ağ güvenliğinde olduğu gibi, 5 yıl öncesinin “saldırganın içeri girmesini engelleyelim” yerine “saldırganlar eninde sonunda sızacak bunu mümkün olduğunca hızlı tespit edip etkisiz hale getirelim” yaklaşımı günümüz tehditlerine karşı daha uygun bir yaklaşımdır. Güvenliği “sağlanan” bir şey olmadığını ve sürekli izlenmesi gerektiğini hatırlamakta ve bunun özellikle, PLC’ler gibi fiziksel etkileri olabilecek sistemler için, daha da önemli olduğunu bilmekte fayda var.

Laptopumu kaybettim hükümsüzdür

“Laptopumu açabildiğim her yer ofisim” söyleminin devamı olarak bazı kafelerin birçok ofisten fazla iş ürettiğine inanıyorum. 

Ankara’yı bilenler için bu “ofis kafelere” verilebilecek en iyi örnek şüphesiz Kafes Fırın’dır. Üniversite yıllarımda limonatası için gittiğim ve benziliğin içinde bir ufak bir kafe olan, şimdilerde ise iki görüşme arasında çalışmak için gittiğim Kafes Fırın kendini geliştirip her anlamda Ankara’nın gurur duyması gereken markalardan biri haline geldi. Ankara’ya iş için geldiyseniz ve vaktiniz olursa Eskişehir yolundaki Kafes Fırın’a mutlaka uğrayın. Ankara’daysanız ve şimdiye kadar gitmediyseniz de bu eksiğinizi hızlıca tamamlamanızı öneririm.

Hayır, burası kafe-yiyecek-içecek blogu olmadı. Mobil ofis konseptine girmişken keyifli bir ortamı ve lezzetli tatları paylaşmak istedim sadece.

Laptoplar ve tabletler sayesinde işimizi gittiğimiz her yere götürme imkanımızın olması bizlere çalışma alanı konusunda esneklik sağlarken beraberinde de bazı riskleri hayatımıza soktu. Bunların başında laptopumuzu kaybetmek veya çaldırmak geliyor. Belki ikinci planda laptopların, sıvı dökülmesi veya düşmesi sonucu fiziksel olarak hasar görmelerini sayabiliriz. Laptoplardan bahsederken aslında işimizi yapabilmemizi sağlayan bütün taşınabilir cihazlardan söz ediyorum, tabletlerimizi ve kurumsal e-posta alıp gönderdiğimiz akıllı telefonlarımızı da düşünmeliyiz.

Laptop kaybının gerçek değeri nedir?

 Kimimiz pahalı laptoplar kullanırken kimimiz ise şirketin verdiği, zor açılan ve zor kapanan eski laptoplar kullanıyor olabiliriz ancak yaşanacak bir çalınma veya kaybolma olayında kaybımızın cihazın etiket fiyatıyla sınırlı olmayacağını şüphesiz hepimiz biliyoruz. Aşağıdaki fotoğrafı bu Cumartesi günü Ankara’da çektim. Gördüğünüz gibi laptopun kendisinden çok içindeki verilerin derdine düşülmüş ve olayın yaşandığı sokakta pek çok noktaya bu yazı yapıştırılmış.

Araştırma kuruluşu Ponemon Institute tarafından 138 laptop kaybı olayı üzerinde yapılan bir araştırma sonucunda ortalama bir laptop kaybı olayının 50,000 A.B.D. Dolarına mal olduğu belirtilmektedir. Raporda bu değere yeni laptop bedeli, kaybolan veriler, konuyla ilgili yaşanan iş kaybı ve hatta yeni laptop kurulumu için harcanan bilgi işlem personeli zamanı gibi pek çok konuda görünen veya görünmeyen giderler hesaplanarak ulaşılmış. Laptopun kurumsal merdivenin hangi basamağında kullanıldığına göre bu değer azalabilir (orta kademe yöneticilerde ortalama 28,000 A.B.D. Doları) veya artabilir (üst kademe yöneticilerde ortalama 61,000 A.B.D. Doları).

Laptopunuzu nerede çaldırırsınız?

Sizin de ilk aklınıza gelen yerlerdir; araba, ofis dışında çalıştığımız ortamlarda veya havaalanı gibi seyahat sırasında bulunduğumuz yerlerde. Prey Labs tarafından yayınlanan bir blog yazısında ise araştırmalarına göre, laptopunuzu çaldırma ihtimalinizin en yüksek olduğu yerler şunlar;

Arabanız: Yukarıda paylaştığım yazıda tarif edilen olay. Hırsız araba camını kırıp laptopu veya laptopun içinde bulunduğu çantayı çalar. Düşündüğümüzün aksine AVM veya havaalanı gibi halka açık otoparklarda bıraktığımız arabalar güvende değildir ve bunun sonucunda arabanın içerisinde bıraktığımız şeyler de aynı oranda güvensizdir. Yeri gelmişken; arabanın bagajından laptop çaldıran arkadaşlarım oldu (ve hayır laptopu arabanın bagajına AVM’ye park ettikten sonra koymamışlardı).

Halka açık alanlar: İnsanların toplandığı, oturduğu, bulunduğu kalabalık yerler laptop hırsızlıklarının yaygın olarak görüldüğü yerlerdir. Bu alanlarda bir de kablosuz internet hizmeti de varsa, hırsızlar buradaki taşınabilir cihaz yoğunluğuna uygun olarak oranın fırsatlarla dolu olacağının farkındadır. Havaalanları veya otobüs terminalleri, genel olarak hırsızlıkların sık görüldüğü yerler oldukları gibi taşınabilir cihaz özelinde de hırsızlık faaliyetlerinin yoğun olduğu yerlerdir.

Ofisiniz: AVM otoparkında bıraktığınız arabanız gibi, ofisiniz de aslında güvenli bir ortam değildir. Bundan birkaç yıl önce, Ankara’da bir Bakanlık binasına “çiçek getirdik” bahanesiyle ellerinde çiçekle giren 2 kişi en üst kata çıkmış ve aşağı her katta bulabildikleri laptopları, cüzdanları, çantaları ve diğer kıymetli eşyaları “toplayarak” inmişlerdir. Çalışma ortamınız satış ofisi, devlet dairesi veya mağaza gibi “halka açık” ise buraların güvenli olmadığını bilmekte fayda var.

Hangi tedbirleri almalıyız?

Laptop hırsızlıklarına karşı alabileceğimiz tedbirleri fiziksel ve bilgi güvenliğine yönelik olarak 2 gruba ayırabiliriz. Fiziksel olarak alınacak tedbirlerin başında aklınızı kullanmak ve içgüdülerini dinlemek gibi zaten başka eşyalarınızın çalınmasını engellemek için uyguladığınız tedbirler gelir. Biraz daha somutlaştırmak ve akılda kalmasını sağlamak için laptopunuzun çalınmasını önlemek için iki basit benzetme yapabiliriz.

En geçerli kural “laptopunuza nakit para gibi davranın” olacaktır. Bir kafede çalışırken tuvalete gidecek veya kahvenize biraz daha şeker alacak olsanız ve masanızda 10 adet 200 TL banknot olsa tahmin ediyorum onları yanınıza alıp öyle kalkarsınız. Aynı kuralı laptopumuza uygulamanın sonsuz faydası olacaktır. En kötüsü, benim başıma sıkça gelir, garson “ kalkıyor musunuz?” diye sorar, siz de benim gibi “yok, sadece tuvalete gidiyorum” dersiniz. Utanılacak bir şey yok. Benim genelde uyguladığım kural fiziksel teması kesmemektir. Örneğin yemek yerken laptop çantada ve yanında olsa bile kolumla veya bacağımla sürekli temas halinde dururum (özellikle güvenlik konularında “normal” olduğumu hiç iddia etmedim, siz isterseniz daha rahat davranabilirsiniz tabii ki)

İkinci kural ise “1 saniye bile olsa gözünüzü laptopunuzdan ayırmayın olacaktır”. Hırsızlık olayları dakikalarca sürmez, 1 en fazla 2 saniye içerisinde olur biter. Bu nedenle bir arkadaşlar sohbet etmek için kalkmanız gerekse bile ya masadan uzaklaşmayın, ya da laptopunuz görebileceğiniz bir yerde ve laptopunuza sık sık bakarak konuşun. Bu noktada sadece laptopa odaklanmanın ötesinde etrafta kimlerin olduğuna ve nereye doğru hareket ettiklerine de bakmanız gerekir. Özellikle birisi laptopunuzla sizin aranızdan geçerken daha da dikkatli olmanız gerekir. Bir kaç kez bir arkadaşımla konuşurken “özür dilerim, laptopumu göremediğim için tedirgin oldum, şurada konuşalım mı?” dedim ve sohbete laptopumu görebileceğim bir noktada devam ettik - “normal” mi? Bu kelimeyi anladığımdan emin değilim? :)

Laptop kayıplarında asıl canımızı yakan bilgi kaybını engellemek içinse aşağıdakileri uygulamakta fayda var.

Parola kullanın

BIOS seviyesinde bir parola belirleyin. Evet, bunlar atlatılabiliyor ve sıfırlanabiliyor ama laptopumuzu bulan kişiyi uğraştırmak önemli. Böyle bir önlemle birlikte laptopun altında bulunacak “bulana ödül verilecektir, şikayetçi olunmayacaktır” türünde bir yazı (ödül rakamını yazmak daha cazip olabilir) bu noktada hırsızın laptopunuzu size getirmesini bile sağlayabilir. BIOS parolasına ek olarak işletim sistemine de ulaşmak için kullanıcı ve parola belirleyin.

Verilerinizi şifreleyin

Dosyalarınızı ve verileriniz şifrelemek hırsızı bir miktar uğraştıracağı ve verilerinizi üçüncü taraflarca erişilemez hale getireceği için mutlaka kullanılması gereken bir çözümdür. Hırsızı uğraştırmanın ne kadar etkili olacağı konusunda şüpheniz varsa, bu insanların çalışmak yerine en kolay yoldan para kazanmaya çalıştıklarını hatırlamanızda fayda var. Şifreyi çözmeye uğraşacak sabrı olsa zaten o işi yapmazdı herhalde.

Verilerinizi yedekleyin

Tamam, olan oldu her şey gitti. Şifrelediğimiz ve parola kullandığımız için büyük ölçüde içimiz rahat ama dosyalarımıza ihtiyacımız var. Bu noktada dosyalarımızı yedeklemiş olmamız hayatımızı çok kolaylaştırabilir. Düzenli olarak ve sık aralıklarla yedek almak veri kaybınızı azaltacak en etkili çözümdür. Yedekleme işlemini satınalacağınız bir harici disk kullanarak da yapabileceğiniz gibi bulut yedekleme hizmetlerinden birisinden de faydalanabilirsiniz.

Diğer konular
İnternet tarayıcılarınızın hatırladığı bütün parolaların hırsızlar tarafından ele geçirileceğini düşünün. Bu nedenle “beni hatırla” seçeneğini günlük hayatınızdan çıkartmanız (ki zaten en başında yeri yoktu) faydalı olacaktır. Her ihtimale karşı bir kayıp/çalıntı olayından sonra bütün parolalarınızı değiştirmenizde fayda var.

Laptopunuzda mümkün olduğunca az veri tutun. 3 yıl öncenin fiyat tekliflerine arada bir ihtiyacınız olabilir (yoksa zaten silin) bu durumda bu dosyaları ofiste bir sunucu üzerinde tutmak daha mantıklı olacaktır. Laptopunuz çalındığında üzerinde ne kadar az veri olursa olayın etkisi o kadar az olacaktır.

Kurumsal olarak ne yapılmalı?

Genel olarak çalışanların ve özellikle de iş için seyahat edenlerin hırsızlıklar konusunda farkındalığının artırılması için çalışmalar yapılmalıdır.

Laptop hırsızlıklarının olması durumda çalışan sorumluluğun biliniyor olması önemlidir. Sorumluluğun ne kadarı yüklenir, tazminat süreci nasıl olur gibi konularda karar yönetimin olacaktır benim bir yorum yapmam doğru olmaz. Çalışana hiç sorumluluk da yüklenmeyebilir, önemli olan bunun biliniyor olmasıdır.

Kuruma ait laptopların detaylı ve güncel envanterinin tutulması çok önemlidir.

İş gereği seyahat eden çalışanların harici disk kullanma kurallarının belirlenmiş olması önemlidir. Bu senaryoda harici diskler veri kaybını azaltacak bir çözüm olarak görülebilir.

Laptoplarda bulunan verilerin düzenli olarak yedeklenmesi için bir yapı kurulmalı ve kullanılmalıdır.

Laptoplar üzerinde kurumun logosu (isteğe bağlı olarak daha önce belirttiğim ödül ve iletişim bilgilerinin) silinemeyecek şekilde bulunmasında fayda vardır.

Kurum genelinde yapılacak bir “önemli bilgi envanteri” çalışması kapmasında veya laptop özellerinde hangi çalışanın laptopunda hangi verilerin bulunduğunun listesinin çıkartılması önemlidir. Laptopla birlikte gerçekten ne çalındığını ancak bu sayede takip edebiliriz.

Çalışanların çalıntı/kayıp olaylarını raporlayabileceği bir sürecin oluşturulması ve yürütülmesi önemlidir.