Siber Ajan Olsam...

 FBI’ın “siber ajan” adıyla yeni nesil ajanlar alacağının haberleri çıktı. Bu ajanların, siber uzayda araştırma/soruşturma gibi faaliyetleri yürüterek, FBI’yı 2015 yılının gerçeklerine biraz daha yaklaştırmayı hedefledikleri ortada.

Ben Ajanken (temsili)

Bu haber üzerine biraz düşündüm ve fantezi olarak “siber ajan olsam...” dedim kendi kendime, “...bunları yapardım” diyerek başladım, iş biraz büyüdü ve “siber istihbarat ajansı kursam...” boyutuna vardı. Buyursunlar efendim; 2015 yılında “Siber MİT” veya “Siber İstihbarat Teşkilatı” (SİT) kuracaklara naçizane önerilerim.

Siber uzayı hava, kara, deniz ve uzaydan sonra beşinci savaş alanı olarak tanımlayanlar var, bana kalırsa da beşinci savaş alanı ama, kişisel görüşüm, dördüncü savaş alanının uzay değil, ekonomi olduğu yönündedir. Siber istihbarat işi yapacaksak, öncelikle düşman unsurları tespit edip, takip edip ve gerektiğinde müdahale edecek yeteneklere sahip olmalıyız. İsrail istihbarat birimleri konusunda biraz araştırma yapmış olanlar tanıdık bazı noktalara rastlayabilirler, tabii ki tesadüf değil. Amerika’yı yeniden keşfetmeye gerek olmadığını düşündüğüm için, bu konuda iyi örnekler arasında gösterilen İsrail’in istihbarat yapısından bazı öğeleri yorumladım.

Çatı birim

Siber uzayda her saniye bir gelişme oluyor, bunların arasından önemli ve raporlanması gerekenleri derleyecek ve “SİT” dışındaki paydaşlara bu bilgileri iletecek, bir çeşit arayüz görevi görecek birim.

Saldırılar, duyumlar, gelişmeler, yeni çıkan zafiyetler, siber casusluk ve açık kaynak istihbarat faaliyetleri sonucunda elde edilen bilgiler, önem ve yetki seviyesine göre diğer istihbarat birimleri, bakanlıklar ve özel şirketlerle paylaşılır. Özel şirketlere iletilecek bilgiler uluslararası alanda rekabetçi güçlerini arttıracak nitelikte olacaktır.

Çatı Birimi altındaki yapı çeşitli görevleri yürütecek şekilde bölünecek, ana konular;

• -       Açık kaynak istihbarat birimi
• -       Sızma ve siber saldırılar birimi
• -       İç eğitimler birimi
• -       Zafiyet tespiti ve istismar geliştirme birimi
• -       Operasyon güvenliği birimi
• -       Sinyal ve görüntü işleme birimi
• -       Donanım birimi
• -       Saldırı tespit birimi

Birimlerin işlerine kısaca ele alalım

Açık Kaynak İstihbarat Birimi

İnternete açık kaynakları kullanarak bilgi toplayacak birimin amacı iz bırakmadan ve “saldırgan” olarak yorumlanabilecek davranışlarda bulunmadan (port taraması, zafiyet taraması vs. yapmadan) bilgi toplamaktır. Sosyal medya üzerinden derlenecek bilgiler de bu birim tarafından anlamlandırılacaktır. Google aramasıyla ne bulunur ki? demeyin, aşağıda basit bir örnek verdim. Bir ödeme sistemi altyapısının kullanıcı kılavuzuna sadece arama motoru ile ulaştım, gördüğünüz gibi, hem “gizli” hem de “izinsiz dağıtılamaz” ibareleri var.

 Sızma ve Siber Saldırı Birimi

“Devletin Hackerları” burada çalışacak. Bu birimin amacı sıkça duyduğumuz APT (Advanced Persistent Threat – Gelişmiş Sürekli Tehdit) saldırılarını planlamak ve düzenlemek olmalı. “Dost” olarak niteleyemeyeceğimiz ülkelerin iletişim altyapılarından ve kamu kurumlarından düzenli olarak bilgi sızdıracak ve gerektiğinde sabotaj eylemi yapabilecek şekilde “sürekli saldırı” yaklaşımı ile çalışmalıdır.

İç Eğitimler Birimi

“Eğitim Şart”. Diğer birimlerin bilgi ve teknoloji olarak güncel olmasını sağlamak ve “Zafiyet Tespit ve İstismar Geliştirme Birimi” tarafından oluşturulan saldırı senaryolarının kullanılmasını sağlamak amacıyla sürekli eğitim verecek birimdir.

Zafiyet Tespit ve İstismar Geliştirme Birimi

Saldırı Biriminin işini anti-virüs yazılımlarına yakalanmadan ve devamlı olarak yapabilmesi için sıfır gün (0-day) açıklarını tespit edip, bunlardan faydalanabilecek istismar kodlarını geliştirecek birim.

Operasyon Güvenliği Birimi

Amerikalıların “OPSEC” (Operations Security) olarak adlandırdığı görevleri üstlenecek birim. Düşman unsurların “SİT” hakkında elde edebilecekleri bilgileri derleyen ve bunlardan nasıl faydalanabileceklerini düşünen birim. Siber istihbarat yapısının görünmez kalması önemlidir.

Sinyal ve Görüntü İşleme Birimi

Telsiz, radyo veya radar gibi internet dışında kalan iletişim kanallarının takip edilip buradan bilgi toplanmasının yanında diğer birimlerce elde edilen görüntülerde metadata veya gölge/yansıma gibi konularda analizler yaparak bunlardan bilgi çıkartacak birimdir.

Donanım Birimi

Donanımsal Truva atları veya ortam dinleme dronelarından telefonlarının içine Semtex veya PVV-5A yerleştirmeye kadar geniş bir yelpazedeki işlerde donanım “hacking” becerilerine sahip bir ekibe ihtiyaç olacak.

Saldırı Tespit Birimi

SİT kurulduktan sonra sürekli saldırı altında olmayacağını düşünmek saflık olur. Bu  nedenle genel yapının ve birimler arasındaki iletişimin güvenliğini sağlamak amacıyla bir Birim kurulması da gerekecek.

FBI tarafından verilen ilanda temel kriterler dışında pek bilgi yok ama önemli bir cümle var: “Temel değişmiyor: ‘Kötü adamları/kişiyi/kurumu/örgütü engellemek’”

Siber istihbarat konusunun sadece devletleri ilgilendirdiğini düşünmek yanlış olur. 2015 yılında, iş süreçlerimizin internete ve teknolojiye giderek daha bağlı hale gelmesi nedeniyle kuruluşlar da kendi “siber cephelerinde” savaşmak zorunda kalıyor.

KOBİ Siber İstihbarat Teşkilatı

Kabul ediyorum, yukarıda tarif ettiğim kadar geniş bir yapı olmayacak ama bugün KOBİ’lerden Bankalara, Bakanlıklardan Derneklere, internet üzerinde hizmet veya mal alan veya satan her kuruluşun temel düzeyde bir “istihbarat” becerisine sahip olması gerekmektedir.

Bu kapsamda ihtiyaç duyulacak becerilerden bazıları şunlardır;

Siber Olay Tespit Kabiliyeti: Belli aralıklarla yayınlanan araştırma sonuçları hala olay tespitinde yeterince hızlı davranamadığımızı gösteriyor. Ağınızda birilerinin varlığını tespit etmek veya veritabanınızın sızdırıldığını fark etmek  ve bunlarla ilgili zamanında ve doğru süreçler işletebilmek önemli. Bu nedenle saldırıları ve olayları tespit edecek bir yapı kurulmalıdır.

Zafiyet taraması: Açık kaynaklı veya ticari olarak satılan zafiyet tarama araçlarını kullanarak belirli aralıklarla sistem ve ağınızı zafiyetlere karşı taramak, en azından basit, saldırılara karşı tedbir almanıza imkan verir.

Pasif zafiyet taraması: Kuruluş envanterinizde bulunan donanım ve yazılımlarla ilgili yayınlanan zafiyetleri takip edip, bunlar için gerekli tedbirleri almak önemlidir. Çoğu saldırının zafiyetler yayınlandıktan sonra ile güncellemenin yapılması arasında geçen sürede en etkili olduğunu düşünürsek bu çalışma risk seviyenizi düzenli olarak belli bir seviyenin altında tutmanızı sağlar.

Komşularla ilişkiler: İstenmeyen e-postaların hangi IP bloğundan geldiği, web sunucusunu paylaştığınız diğer şirketlerden birinin sayfasının hacklenip hacklenmediği, mail adreslerinizin karalistelerden birine girip girmediği gibi temel göstergeleri takip ederek siberuzayda sizi ilgilendiren gelişmeleri takip etmekte fayda var.

İnternete bağlı olmayan sistemleri hacklemek

Son zamanlarda “side channel” olarak adlandırılan “yan kanal” saldırıları üzerinde yapılan çalışmalar ve elde edilen başarılı sonuçlar bu saldırı vektörünün önümüzdeki yıllarda daha fazla kullanılabileceğinin göstergesidir. Bir sistemle Ethernet bağlantısı gibi “normal” tabir edebileceğimiz bir iletişim kanalı dışında elektromanyetik sinyaller veya işlemci tarafından tüketilen elektrik miktarından yola çıkılarak yapılan işlemi anlamak veya hedef sisteme komut göndermek mümkün olmaktadır.

İngilizcesi “air-gap” olarak bilinen ve özünde korumaya çalıştığımız ağ veya sistem ile internet arasında bir “hava boşluğu” oluşturmak üzerine kurulu olan yaklaşımın son zamanlarda çeşitli şekillerde atlatılabildiği ortaya çıkmaktadır. 2014 yılının yaz aylarında İsrail’de Ben-Gurion Üniversitesi Profesörlerinden Yuval Elovici bu konuda yeni bir yöntem ortaya koymuştu.

Hava boşluğu yaklaşımı günümüzde aşağıdaki gibi önemli ağ ve sistemleri korumak için kullanılmaktadır:
– Askeri/Hükümet sistemlerin güvenliği
– Finansal/Bankacılık sistemlerin güvenliği
– SCADA sistemleri gibi altyapı kontrolü için kullanılan sistemlerin güvenliği
– Nükleer tesis bilgisayar sistemleri
– Uçuş ve uçuş kontrol sistemleri
– Bilgisayar destekli tıbbi cihazların güvenliği

Belli bir hedefe özel geliştirilmiş ve APT (Advanced Persistent Threat) saldırıları dahilinde kullanılan zararlı yazılımların “megastar’ı” olan Stuxnet‘in hava boşluğunu USB bellek gibi taşınabilir depolama aygıtları sayesinde aşmaktadır. Geçtiğimiz yaz ortaya konulan araştırma sonuçları ise hava boşluğu ile sağlanan güvenliğin sistemlerin yaydığı elektromanyetik dalgalar kullanılarak atlatılabildiğini göstermiştir.

NSA’in COMSEC (Communication Security – iletişim güvenliği) altında ve “TEMPEST” kod adıyla bilinen bir program kapsamında sistemlerin yaydığı elektro-manyetik sinyallerin yakalanarak işlenmesi ve düşmanın da kendi elektro-manyetik sinyallerini yakalamasını engellemek üzerine çalıştığını zaten biliyorduk.

Geçtiğimiz senenin sonlarında Almanya’da bir araştırma biriminin iki adet Lenovo T400 laptop arasında, sadece fabrika çıkışı mikrofon ve hoparlörleri kullanarak veri alışverişi yapabilmiş olması IP dışında yöntemlerin veri sızdırılması için kullanılmasını gündeme getirmişti. Bağlantı hızı saniyede 20 bit ve uzaklık 19 metre idi ama pek çok kişinin aklında soru işaretleri oluşturmaya yetecek kadar önemli bir gelişmeydi. Bu gelişme üzerine TEMPEST’in önemi bir kez daha anlaşılmıştı.

TEMPEST standartlarının gizli olarak sınıflandırılmış olması sebebiyle bu konuda çok detaylı bilgiye sahip değiliz, ancak NATO’nun kendi TEMPEST standartları 3 temel koruma düzeyi belirlemektedir. Bunlar; NATO SDIP-27 seviye A, B ve C (NATO SDIP-27 Level A, B and C) olarak bilinmektedir. C seviyesi düşmanın korunması gereken sisteme 100 metreden fazla yaklaşamadığı senaryolara göre hazırlanmıştır ve A ve B seviyelerine göre biraz daha rahattır. B seviyesi ise düşman ile en az 20 metre mesafe olan durumlara göre düzenlenmiştir. NATO SDIP-27 seviye A ise düşmanın korunması gereken sistemlere 1 metre kadar yaklaşabileceği durumlara göre hazırlanmıştır.

Geçtiğimiz yaz ise Profesör Elovici hava boşluğu ile korunan sistemler için cep telefonlarının bir tehdit oluşturduğunu ortaya koydu. Oltalama (phishing) saldırısı ile akıllı telefona bulaştırılan bir zararlı yazılım bulaştığı telefonun bulunduğu ortamlarda havadaki elektro-manyetik sinyalleri taramaya başlıyor.

Zararlı yazılım havada tespit ettiği sinyallere müdahale ederek hedef sisteme bir zararlı yazılım yüklenmesini sağlıyor. Yüklediği zararlı yazılım ile telefon arasında radyo sinyalleri kullanan bir ağ oluşturan zararlı hedef sistemden elde ettiği bilgileri cep telefonunun bağlantılarını kullanarak dışarıya aktarmakta ve aynı şekilde talimatları telefon üzerinden almaktadır. Bu saldırının demosu aşağıdaki videoda görülebilir.

Profesör Elovici bu saldırılara karşı şu anda tek etkin yöntemin telefonları kapatmak olduğunu belirtiyor ancak günümüzde bunun ne kadar uygulanabilir bir çözüm olduğu tartışılır.

Bu ay ise, yine Ben-Gurion Üniversitesi’nde Profesör Yuval Elovici yönetiminde araştırmacı Mordechai Guri tarafından yapılan bir araştırmanın sonucu yayınlandı. Araştırma sonuçlarına göre hava boşluğu ile ayrılmış sistemlerden “BitWhisper” oalrak adlandırılan yöntem ile bilgi sızdırılabilmiştir.

Saldırı ele geçirilmiş ve hava boşluğu ile ayrılmış iki sistem arasında bilgisayarların içinde bulunan ısı sensörleri kullanılarak gerçekleştirilmektedir.

Aşağıdaki videoda birbirine kablolu veya kablosuz hiçbir bağlantısı olmayan iki sistem görülmektedir. Ekranın sağ tarafında görünen bilgisayar füze komuta sistemi olarak düşünülmüş ve USB portu üzerinden bu ufak çaplı simülasyona imkan verecek bir düzenek kullanılmıştır. Sol taraftaki sistem ise farklı bir ağa bağlı ve ele geçirilmiş bilgisayardır.
Saldırgan önce oyuncak füze rampasının döndürülmesi için bir komut, ardından da fırlatma komutunun gönderiyor.
Ekranın sol alt köşesinde ise bu işlemin sistem ısısı üzerindeki etkileri izlenebiliyor.

Ülkemizde de Aselsan tarafından üretilen SAHAB (2180 Sanal Hava Boşluğu Sistemi) veya tek yönlü veri iletişimine imkan veren data diyotları benzeri hava boşluğu ile korunan sistemlerin güvenliğinin sağlanması için kullanılan çeşitli yöntemler aklınıza gelebilir. Hava boşluklarını atlatmak için kullanılan yöntemlerin “yan kanal” (side channel) olarak adlandırılabilecek ve sistemlerin asıl iletişim yollarının dışında faaliyet göstermesi bu tür güvenlik sistemlerinin etkisiz kalmasına neden olmaktadır. Saldırı kodlarının iletilmesi için bilgisayarın ethernet kablosu yerine işlemcinin yaydığı ve kullandığı elektromanyetik sinyallerden faydalanılması bu tür yöntemlere verilebilecek güzel bir örnektir.

Bu gelişmelere rağmen hava boşluğu ile korunan sistemlerin güvenliğinin yok olduğunu söylemek mümkün değildir. Elektromanyetik veya ısı sinyallerinin net olmaması, ortamda benzer özelliklerde pek çok sinyal kaynağının bulunması (BitWhisper örneğinde güç kaynağı gibi diğer ısı kaynaklarını düşünebiliriz) saldırganların sinyalleri yakalamalarını ve kullanabilecekleri sinyalleri parazitlerden ayırdetmeleri oldukça sordur. Buna ek olarak elektromanyetik veya ısı sinyallerinin zayıf olmaları da işi biraz daha zorlaştırmaktadır. Georgia Institute of Technology araştırma görevlisi olarak çalışan Alenka Zajic daha önce bu sorunların saldırganlar tarafından nasıl aşılabileceğini kanıtlamak adına SAVAT adlı bir teknoloji geliştirmişti. Signal AVailable to ATtacker (saldırgan tarafından yakalanabilen sinyal) kelimelerinden türetilmiş bu isim belli bir komut veya programın işlemci tarafından uygulanırken oluşan elektromanyetik sinyallerin daha hassas biçimde yakalanmasına ve işlenmesine imkan vermektedir. Ben-Gurion üniversitesinin çalışmaları ise bu tür saldırıların üniversitelerin laboratuvarlarının dışında da görülebileceğini açıkça ortaya koymaktadır.

İlk bakışta bu saldırıların bazı askeri ağlar dışında kimi ilgilendirdiğini göremeyebiliriz ama bir sisteme Ethernet gibi normal kabul edilebilecek iletişim yolları dışında saldırabilmenin aşağıdaki senaryolarda sayısız faydası olacaktır;

Ortak veri merkezleri:
Saldırganın hedefin bulunduğu veri merkezine bilgisayar konumlandırabileceği veya aynı veri merkezinde bulunan ve hedefle doğrudan bağlantısı olmayan bir sistemi ele geçirebilmesi durumunda.

Sanallaştırma:
Bulut bilişim altyapıları gibi saldırganın hedefle aynı sanallaştırma platformundan makine kiralayabileceği durumlar. Bu tür altyapılar kullanıldığında sanal güvenlik duvarı gibi çözümlerin kullanılmasında fayda vardır. “Side channel” çalışmaları sanallaştırma platformları için de yürütülmekte ve hypervisor ile sanal makine arasında bilgi alışverişinin sanal ağ dışında sağlanabildiğini gösteren sonuçlar vardır. Sanallaştırma platformlarına karşı yapılan yan kanal saldırıları arasında en etkin olarak görüleni fiziksel makinenin işlemcisinin saldırgan tarafından izlenerek hedef sistemin işlemci kullanımının kaydedilmesidir.

Yukarıda sözü edilen saldırılar dışında bugün bilinen yan kanal saldırılarını aşağıdaki başlıklara ayrılabilir;
– Zamanlama saldırıları: Apache sunucu üzerinde mod_SSL ile belirli talepleri işlemek için gerekli süre ölçülerek 1024 bitlik şifreleme anahtarı tespit edilebildi.
– Akustik kryptanaliz: 10 dakikalık klavye sesi ile yazılan metnin %96’sı ve 10 haneli parolaların %69’u tespit edilebilmiştir.
– Güç tüketimi analizi: İşlemci tarafından harcanan güç ölçülerek “if” gibi şartlı işlemlerin sonucunun tespit edilmesi mümkün olmuştur.

Bu tür saldırılara karşı alınabilecek bazı tedbirler vardır. Ancak hem saldırıların henüz çok yaygın olarak görülmüyor olması hem de tedbirlerin bazılarının ciddi yeniden yapılandırma çalışmaları gerektirebileceğini düşünerek askeri, kamu kurumu ve savunma sanayi gibi stratejik sektörler dışında kalanların bu saldırılar konusunda henüz paniklemelerine gerek olmadığını söyleyebiliriz. Stratejik olarak sayabileceğimiz kurumların ise bu tür saldırılara ne kadar duyarlı olduklarını ortaya çıkartmalarında fayda vardır.

Yan kanal saldırılarına karşı alınabilecek bazı tedbirler şunlardır:
– Elektromanyetik sinyallerin yayınlanmasını engelleyecek tedbirlerin alınması
– Kullanılan altyapının kimlerle ve nasıl paylaşıldığının denetlenmesi ve gerekli hallerde sistemlerin yerlerinin değiştirilmesi
– Kurum içerisinde cep telefonu kullanımının sınırlandırılması ve hava boşluğu ile korunan sistemlerin duvarlara, pencerelere ve internete bağlı diğer sistemlere olan uzaklığının denetlenmesi.
– Farklı sinyal kaynaklarını eklenerek parazit oluşturulması.
Araştırmalar bu tür bir parazit sinyal kaynağının bulunduğu ortamlarda başarılı bir saldırı için saldırganın en az iki kat fazla sayıda sinyal numunesine ihtiyaç duyduğunu göstermektedir.

Bu tedbirler dışında, biraz daha teknik olmakla beraber aşağıdaki önemlerin düşünülmesinde fayda vardır;
– Rastgele anlarda ve kritik bir işlem yapılmıyorken işlemcinin çalıştırılması (örn: rastgele şifre çözme ve şifreleme işlemlerinin yapılması)
– Kararların IF yerine AND veya OR gibi operatörlerin veren uygulamaların kullanılması
– Rastgele bekleme (DELAY) eklemek

Yukarıdaki liste, yan kanal saldırılarına karşı savunma mantığının nasıl kurulması gerektiğine dair bir fikir vermesi için derlenmiştir ve tam ve eksiksiz bir liste olarak düşünülmemelidir.

Mevcut bilgi güvenliği yönetimi anlayışımızın dışında yaklaşımlar sergilememizi gerektiren bu saldırı vektörü konusunda yeni çalışmalar konusunda meraklanmamak elde değil.  

Webcam Adlı Kısa Filmde Bir Siber Suçlu Kurbanını Ele Geçiriyor…

“Webcam” adlı kısa film; bir siber suçlunun kurbanını ele geçirdiği laptopun kamerası üzerinden izlemesiyle başlıyor ve çok da “sürpriz” sayılamayacak bir sonla bitiyor.

Bilgi güvenliği konusunda yaptığım uyarılar, ne yazık ki, bazen “bilgisayarımda zaten önemli bir bilgi yok”, “benim ders notlarımı kim ne yapsın?” veya “Skype konuşmalarımı dinleyecekler de ne olacak?” gibi tepkilerle karşılanıyor. İş için kullandığımız bilgisayarları neden güvende tutmamız gerektiği konusunda sanıyorum kimsenin bir şüphesi yoktur, ancak kişisel bilgisayarlarımızın güvenliğini doğrudan birinin etkileyebileceğini unuttuğumuz için bu sistemlerin güvenliğinin ne kadar önemli olduğunu gözden kaçırmak mümkün olabilir.

Her şeyden önce evde kullandığımız bilgisayarlar, laptoplar ve tabletlerin güvenliği siber suçlulara evimize ve hayatımıza bir pencere açabileceği için önemlidir. Eve kaçta geliyoruz? İşe kaçta gidiyoruz? hangi sitelerde geziyoruz? Sosyal paylaşım sitelerindeki kullanıcı bilgilerimiz ve parolalarımız neler? Özel yazışmalarımızın içeriği nedir? Evde yalnız mı yaşıyoruz? Çocuğumuz hangi  konuda ödev yapıyor? Tatile nereye gittik? Kimlerle fotoğraf çektirdik? Kredi kartı numaramız nedir? Gibi bilgisayar üzerinde tuttuğumuz bütün kişisel verilerimiz, bilgisayarımıza sızan bir siber saldırgan tarafından ele geçirilebilir. Bunlardan çok daha tehlikeli olan bir şey ise kamera ve mikrofon üzerinden siber suçluların sizi ve evinizi, bilgisayarınız açık olduğu sürece aralıksız izleyebilecek bir yapı kurmalarının mümkün olmasıdır.

Evde kullandığımız bilgisayarları güvende tutmak ve bu sayede kendimizin ve sevdiklerimizin güvenliğini ve mahremiyetini korumak için aşağıdaki ipuçlarını dikkate almakta fayda var.

1.Antivirüs kullanınBundan kaçışımız ne yazık ki yok. Apple Macbooklarınızda, Windows bilgisayarlarınızda veya Android tablet ve telefonlarınızda mutlaka antivirüs yüklü olmalıdır. Rakamlar korkunç, günde 70 ila 80 BİN (yetmiş bin, rakam ile 70,000) yeni zararlı yazılım sürümünün görüldüğüne dair raporlar var. Bu kadar yeni zararlı yazılım 7/24 aralıksız olarak bulaşacak yeni sistemler arıyor ve, buluyorlar da. Yukarıda saydığım işletim sistemlerinin tamamı için ücretli ve ücretsiz antivirüs yazılımları mevcuttur, bunlardan size en uygun olanını indirip kurmanızı öneririm.

2.Kullanmadığınız/bilmediğiniz yazılımları ve uygulamaları kaldırınBilgisayarınızda veya tabletinizde tam olarak ne işe yaradığını bilmediğiniz veya kullanmadığınız uygulamalar varsa bunlardan kurtulabilirsiniz. Bu sayede bu uygulamalara bulaşacak bir zararlı yazılım veya bu yazımlardaki güvenlik zafiyetlerini istismar ederek sisteme sızacak bir siber suçlu riskini ortadan kaldırmış olursunuz.

3.İşletim sisteminizi güncelleyinMac OS, Windows, iOS veya Android, ne olduğunun bir önemi yok, işletim sistemlerinin üreticileri düzenli olarak güncellemeler çıkartır. Güncellemelerin bir bölümü işlevsellik veya mevcut sorunları ortadan kaldırmaya yöneliktir ancak önemli bir kısmı tespit edilmiş güvenlik zafiyetlerinin kapatılmasını amaçlamaktadır. Siber suçluların bu güncellemeleri yakından takip ettiklerini biliyoruz. Her güncelleme ile birlikte üreticilerin yayınladığı “X bileşeninde bulunan y zafiyeti kapatılmıştır” türü notlar suçluların dünyasında neredeyse altın değerindedir, bu bilgiler doğrultusunda bir önceki sürümde (veya güncelleme öncesi durumda) var olan güvenlik zafiyetlerine yönelik istismar teknikleri geliştirirler Her hangi bir güncellemeyi çıkar çıkmaz uygulamak işletim sisteminizi güvende tutmanızı sağlar.

4. Ziyaret ettiğiniz sitelere dikkat edinSadece oyun ve pornografik içerikli sitelerin değil, “normal” görünen sitelerin de zararlı yazılım dağıtmak için kullanıldığını pek çok olayda gördük. Siber suçluların popüler sitelere reklam verip, daha sonra reklam içeriğini değiştirip buralarda da zararlı yazılım dağıttığı olaylarda da artış gözlemlenmektedir. Bu nedenle ziyaret ettiğiniz sitenin ne olduğuna dikkat etmekte fayda var. Örneğin Facebook gibi görünen bir site pekala siber suçlular tarafından hazırlanmış bir tuzak olabilir. Adres çubuğuna ve bulunduğunuz siteye nasıl geldiğinizi düşünün. Bankanızdan gelen bir e-postadaki bağlantıya mı tıkladığınız? Tanımadığınız birinin Facebook’tan gönderdiği mesajdaki bağlantıyı tıkladınız ve Facebook sizden tekrar giriş yapmanızı mı istedi? Bu iki örnek üzerinde sayısız senaryo türetilebilir

5.Tahmin etmesi zor parolalar kullanınİnternet bankacılığından sosyal paylaşım sitelerine kadar pek çok yerde parola hem kişisel bilgilerinizi hem de kimliğinizi korur, bu nedenle tahmin edilmesi zor olması çok önemlidir. Küçük/büyük harf, sayı ve özel karakterlerden oluşan ve sözlükte bulunmayan bir dizilim olması çok önemlidir. Her site için farklı bir parola kullanmak ve parolalarınızı sık sık değiştirmek parolanızın güvenlik seviyesini artıracak ek tedbirlerdir

6.Tarayıcınızı güncel tutunSiber suçluların ve zararlı yazılımların sistemlerinizle ilk temas kurduğu yer çoğu zaman tarayıcınızdır (Chrome, Firefox, Explorer, Safari, Opera, vb.). Tarayıcınızda bulunan güvenlik zafiyetlerini istismar etmek için e-posta mesajlarından internet sayfalarına kadar geniş bir yelpazede saldırı vektörleri kullanılmaktadır. İşletim sistemlerinde olduğu gibi tarayıcınızın güncel olması sizi yaygın olarak bilinen pek çok güvenlik zafiyetinin istismar edilmesinden korur.

7.Farklı “işlere” farklı tarayıcılar kullanınTarayıcınızın ele geçirilmiş olması ihtimaline veya durumuna karşılık bankacılık ve online alışveriş gibi hassas bilgileri paylaştığınız işlemleri bir tarayıcıda, günlük internet kullanımınızı başka bir tarayıcı kullanarak yapmanızda fayda olabilir. Her iki tarayıcı da güncel tutarak kendinize ek bir güvenlik katmanı oluşturabilirsiniz.

8.Ortak kablosuz ağlara güvenmeyinEvde kullandığınız bir laptop veya tablet ile halka açık bir kablosuz ağı (Wi-Fi) kullanırken dikkatli olun. Mümkün olduğunca şifresiz bağlanılan kablosuz ağları kullanmayın ve, şifreli bile olsa, ortak bir kablosuz ağ üzerinden bankacılık işlemleri veya e-postalarınızı kontrol etmek gibi hassas işlemleri yapmamanızda fayda var.

9.Korsan yazılımlardan uzak durunİşletim sistemi, tasarım programı veya ofis yazılımı olabilir, korsan yazılım kullanıyorsanız siber suçluları ve zararlı yazılımları bilerek ve isteyerek sisteminize davet ediyorsunuz. Çoğu korsan yazılım yüklendikleri bilgisayarı veya tableti ele geçirmeyi amaçlayan siber suçlular tarafından hazırlanmakta ve yayılmaktadır. Korsan yazılımlar veya korsan olarak indirdiğiniz bir dizi bölümü veya film ile bilgisayarınıza erişmek için bir “arka kapı” açan siber suçlular bu kapıyı kullanarak hem kişisel olarak sizi hedef alırlar (bilgi ve mahremiyet kaybı) hem de sizin bilgisayarınızı ve internet bağlantınızı kullanarak başka sistemlere saldırırlar. Yeterince tehdit varken korsan yazılım ile “bile bile lades” yapmaya gerek olmadığını düşündüğümden, korsan yazılımdan uzak durulmasını şiddetle tavsiye ederim.

10.E-posta eklerine dikkat edinZararlı yazılımların e-postalarda ek veya bağlantı olarak gönderilmesi çok yaygın olarak görülen bir durumdur. Bu saldırılar özel olarak sizi (veya çalıştığınız yeri) hedef alabileceği gibi geniş çaplı “kampanyalar” kapsamında rastgele türetilen e-posta adreslerine gönderilmektedir. E-postanın kimden geldiğine (gerçek adres görünen isimden farklı olabilir), size mi gönderildiğine (BCC gibi gizli kopya olarak mı eklenmişsiniz?), ekinde nasıl bir dosya olduğuna (genel olarak .txt uzantılı dosyalar dışındaki bütün dosya türleri zararlı yazılım bulaştırmak için kullanılabilmektedir) gibi teknik ayrıntılara baktıktan sonra durup gelen e-postanın “mantığını” değerlendirmekte fayda var. Tanımadığınız biri size “define haritası” veya “fotoğraflarını” mı göndermiş? Beklediğiniz bir e-posta mı? Telefon hizmeti aldığınız firma size faturaları e-posta yoluyla mı gönderiyor? İnternet hizmeti aldığınız firmanın e-faturaları normalde .zip uzantılı mı geliyor? Bu bağlantıya tıklamam için merakımı uyandırmaya mı çalışıyorlar? Bu bağlantıya hemen tıklamazsam “önemli bir fırsatı” mı kaçıracağımı söylüyorlar? Benzeri soruları kendinize sormakta fayda var.

Intel İşlemcilerde Rowhammer Zafiyeti

Belirli aralıklarla “seksi” zafiyetler çıkıyor. Bunlardan bazıları Heartbleed ve Shellshock gibi etkileri veya hedef aldıkları sistemlerin yaygınlığı ile dikkat çeker (ki hatırlayalım Heartbleed’in logosu vadı), bazıları ise istismar kolaylıkları ile. Geçtiğimiz aylarda iPhone’ları bir SMS ile kilitleyen bir zafiyet çıkmıştı, yakın zamanda ise Android telefonların MMS mesajıyla ele geçirilmesini sağlayan bir zafiyet çıktı.

Ne olursa olsun, magazin medyası gibi pek çok güvenlik ürünü satan şirket bunları “korku hikayesi” anlatmak için kullanmayı seviyorlar. Neredeyse “tek MMS’le Android hackleniyormuş, gelin firewallunuzu yenileyin” diyecekler. Hele bir de “APT” kelimesini aynı cümle içine yerleştirmenin yolu bulunursa, ilgili ofislerde öyle bir bayram havası eser ki, sanırsınız Ankara’dan abileri gelmiş.

Yazılımlar olduğu sürece bu tür zafiyetler çıkacak, tıpkı başka bir ülkenin “siber ordusuna” bağlı hackerların istedikleri sisteme sızabilecekleri gerçeği gibi, bu kabullenmek zorunda olduğumuz bir şey. Bunlardan kaynaklı riskleri kabul edip, yönetmemiz gerekiyor.

MMS ile Android hacklemenin magazinsel boyutunu bir yana bırakarak, özellikle benim hizmet verdiğim kurumsal müşteri profilinde, daha çok can yakabileceğini düşündüğüm başka bir zafiyete dikkat çekmek istiyorum. Henüz 1 milyara yakın Android işletim sistemini kullanan cihazın olabileceğinin şokunu atlatamamışken, Intel işlemcileri etkileyebilecek bir zafiyet duyuruldu.

“Rowhammer” adı verilen bu zafiyeti istismar eden saldırganlar hedef sistem üzerinde yetkilerini yükseltebiliyorlar. Bilindiği kadarıyla uzaktan istismar edilebilen ve yazılımın donanımı etkilediği ilk zafiyet bu. Kötü haberi hemen vereyim; bu donanımsal bir zafiyet olduğu için 2009 yılından beri üretilen bütün Intel işlemcilerde olma ihtimali var.

Rowhammer nedir?
Kısaca; DRAM (Dynamic Random Access Memory) işlemcilerde iki hafıza parçasına (saldırgan) sıkça ve sürekli erişerek üçüncü bir hafıza parçasında (kurban) bit değişikliğine neden olan bir zafiyettir. Konu hakkında yayınlanmış makaleye http://users.ece.cmu.edu/~yoonguk/papers/kim-isca14.pdf adresinden ulaşabilirsiniz. Kurban olarak belirlenen hafıza parçasının saldırgan tarafından kullanılan prosesin emrindeki hafıza parçasının dışında olması nedeniyle bu zafiyet istismar edilerek yetki yükseltilebiliyor.

Zafiyet işlemcilerin boyutlarının sürekli küçülmesinin doğal bir sonucu olarak karşımıza çıkmaktadır. İşlemci küçülürken işlemci bileşenleri birbirlerine yaklaşıyor ve kullandıkları elektrik akımının bir başka bloğa atlamasını engellemek zorlaşıyor. Bu elektrik “kaçakları” kullanılarak da hafızanın, kullanıcı yetkilerimiz veya uygulamalarımız itibariyle, bizimle hiç alakası olmayan bir hafıza bloğuna etki etmemiz mümkün oluyor. Konuyu çok dağıtmadan anlatmak adına aşağıdaki görseli hazırladım;

Rowhammer
Bu örnekte DRAM hücresi olan A’ya saldırgan kendi yetkileriyle yazabildiğini varsayalım, bu kısım yetkisiz bir kullanıcının kullanabildiği bir yazılımın ulaşabildiği blok olsun. B ise kullanmaya yetkimiz olmayan bir hafıza bloğu. A’ya kısa sürede belli miktarda veri yazarsam (bkz. 1’i devamlı 0, 1, 0, 1, 0, vb… değiştirmek) oluşturduğum elektrik akımıyla bir süre sonra B’deki değer de değişebiliyor (0 ise 1, 1 ise 0 oluyor). Google tarafından test edilen 29 laptop işlemcisinin önemli bir kısmının bu zafiyetten etkilendiği görülmüş. Kullandığınız sistemlerde bu zafiyetin olup olmadığını anlamak için, yine Google’un geliştirdiği bir test yazılımına https://github.com/google/rowhammer-test adresinden ulaşabilirsiniz.

Aklımıza hemen gelen Intel işlemci kullanan PC’lerin dışında Apple’ların veya Cisco gibi ağ ve güvenlik cihazlarının da Intel marka işlemci kullanmaları bu tehdidin çok geniş bir kitleyi etkilemesine neden olmaktadır.

Neden Şimdi?
Yukarıda okuduklarınız geçen senenin sonu ve bu senenin başında belirli çevrelerde konuşulan bir konuydu. Genelde bunun gibi, henüz yaygınlaşmamış veya çok özel koşulların oluşmaması durumunda istismar edilemeyecek zafiyetleri, biraz da yok yere uykumuz kaçmasın diye, çok dillendirmiyorum. Geçtiğimiz hafta Avusturya Graz Üniversitesinden araştırmacılar tarafından yayınlanan bir makalede (http://arxiv.org/pdf/1507.06955v1.pdf) Rowhammer zafiyetinin bir JavaScript betiği ile nasıl istismar edilebileceği gösterildi.

Normal şartlar altında, saldırganın doğrudan işlemciyle konuşabileceği durumlarda istismar edilebilecek bu zafiyet herhangi bir websayfasının içine saklanabilecek hale geldi. Teorik bir saldırı bir anda karşımıza, “kurban buraya tıklıyor ve işleri bitiyor” senaryosu ile, çıktı. Rowhammer zafiyetine karşı bir süredir üreticiler BIOS güncellemeleri yayınlıyorlar ancak kullanıcıların ne kadar azının düzenli olarak BIOS güncellemesi yaptığını düşünürsek tehdidin internet kökenli olması nedeniyle tarayıcı üreticilerinin de bir çözüm üzerinde çalışmalarında fayda olacak gibi görünüyor.

Süper Zafiyet’e Hazır Olmak
Android “Stagefright”, “Heartbleed”, “POODLE” ve “Shellshock” gibi internete bağlı pek çok sistemi etkileyebilecek bir “Süper Zafiyet” ile daha karşı karşıyayız. Son zamanlarda bu tür zafiyetlerin sıkça çıkması nedeniyle kuruluşların bu ölçekteki zafiyetlere karşı hazır olmaları gerekiyor. Bu amaçla aşağıdaki noktaları dikkate alarak “bir sonraki geniş çaplı zafiyete” hazırlık yapmamızda fayda var;

“Bununla yaşamayı öğrenmeliyiz”
Deprem zamanı sıkça duyduğumuz bu söz bilgi güvenliği konusunda da geçerlidir. Er yada geç, bu geniş çaplı “süper zafiyetlerden” birisi kuruluşumuzda bulunan sistemleri etkileyecek (kayıtlara geçmesi açısından, şu ana kadar yazıda adı geçenlerin hepsi, büyük ihtimalle zaten etkiledi veya etkiliyor).

Takip Etmek
Bilinmeyen bir zafiyetin istismar edilmesini engelleyemeyiz. Mesela Rowhammer, kumhavuzu (sandbox) teknolojisinin atlatılması için de rahatlıkla kullanılabileceği için savunma hattımız etkisini yitirecektir. Bu nedenle sadece savunmaya odaklanmak yerine savunmanın aşıldığı senaryoları da dikkate alarak, örneğin kuruluş ağından çıkan internet trafiği izlenmelidir.

Hazır Olmak
Kuruluş içerisinde bilgi güvenliğinden sorumlu birimlerin hazır olması gerekmektedir. Böyle bir durumla karşılaştıklarında nasıl tepki verecekleri kuruluşun olaydan asgari kayıpla çıkmasını sağlayabilecek önemli bir etkendir. SOME (Siber Olaylara Müdahale Ekibi) süreçlerine ve hazırlık senaryolarına bu tarz “süper zafiyet” durumlarının da eklenmesi şarttır.

Evanteri Bilmek
Kuruluş bünyesinde kullanılan bütün yazılım ve donanımların listesinin olması Rowhammer örneğinden de anlaşılacağı gibi çok önemlidir. Bu yazıyı okurken ya kuruluş ağınızdaki Intel işlemcileri biliyordunuz veya yarın ilk iş bunları çıkartmak için uğraşacaksınız. Kriz durumları yaşanmadan bu envanter çalışmasını yapmakta fayda var.

En kötüsüne Hazır Olmak 
Üreticinin güncelleme yayınladığı durumlarda işimiz nispeten kolay ancak üreticinin güncelleme veya yama yayınlamadığı durumlarda da ne yapacağımızı bilmemiz şarttır. Üreticinin size yardımcı olamadığı (en azından an itibariyle) durumlar için de bir kontrol listesi hazırlamamız gerekiyor.

Elektrik kesintisi ve PLC güvenliği

Çocukken “elektrikler kesikti çalışamadım hocam” derdik, bugün yaşanan geniş çaplı kesinti sırasında ise “siber saldırı var hocam” sözünü çokça duyduk. Bugün yaşanan elektrik kesintisinin bir siber saldırı olduğunu ima etmiyorum, sadece bugün popüler olan bir konuyu ele almak istedim.

PLC, ICS ve SCADA nedir ve neden önemlidir?
Özünde aynı şey, üretim hattı veya makineleri yönetmek için kullanılan sistemlerdir. Protokol ve/veya üretici farkı olsa da temelde programlanabilir bir mikroişlemci sayesinde fabrika veya üretim otomasyonu yapmamızı sağlarlar.

Terimlere kısaca bakacak olursak;
PLC: İngilizce “Programmable Logic Controller” yani programlanabilir mantıksal denetleyici kelimelerinin baş harflerinden oluşmaktadır.
ICS: İngilizce “Industrial Control Systems” yani endüstriyel kontrol sistemleri kelimelerinin baş harflerinden oluşmaktadır.
SCADA: İngilizce “Supervisory Control and Data Acquisition” yani Kapsamlı ve entegre bir Veri Tabanlı Kontrol ve Gözetleme Sistemi kelimelerinin baş harflerinden oluşmaktadır.

Hedefe özel yazılmış zararlı yazılımların megastarı olarak adlandırabileceğimiz STUXNET’in ortaya çıkmasıyla bu sistemlerin siber saldırıların hedefi olabileceği gerçeği geniş kitlelerin dikkatini çekti.
Otomasyon sistemlerinin hedef alındığı saldırılar aslında yeni değildir ve ilk örnekleri soğuk savaş yıllarında görülmüştür. Soğuk savaşın en yaygın olarak anlatılan siber saldırı hikayelerinden birisi (CIA tarafından resmi olarak teyit edilen bir olay olmadığı için bu aşamada “hikaye” demek zorundayız) de 1982 yılında Sibirya Boru Hattında yaşanan patlamaydı. Rusya’nın en önemli boru hattı projelerinden birinin sonuna yaklaşan dönemin Sovyet yönetimi bu boru hattını yönetecek bir yazılıma sahip olmadıklarını farkedince bu eksikliklerini A.B.D’nin elindeki yazılımlardan birini çalarak gidermeye karar verir. Fransız istihbarat örgütünün uyarısı üzerine CIA Rusların çalmaya çalıştığı koda bir hata ekleyecek 1982 yılının Temmuz ayında boru hattında bir patlamaya neden olurlar.

SSCB Tarafından patlamaya konu Sibirya Boru Hattı anısına basılmış bir pul. 

“Gerçek dünya” olarak adlandırabileceğimiz fiziksel boyutta herhangi bir şeyi kontrol eden herhangi bir yazılımı ele geçirebilmek, şüphesiz hepimizin hayal gücünü devreye sokar. Trafik ışıklarını kendi geçişimize göre yönetebilmek, asansörün her zaman bizi katta beklemesi, köprüden ücretsiz geçmek, emniyet şeridini kontrol eden kameraların bize ceza yazmaması, mağaza alarmını devre dışı bırakmak, gibi yüzlerce senaryo aklımıza gelir. Bunların bir uzantısı olarak da, belki de filmlerde görmeye alışkın olduğumuz ve dünyayı yok etmeye çalışan “deli profesörler” gibi bir nükleer tesisi patlatmak veya bir ülkenin elektriklerini tamamen kesmek gibi daha “fantastik” senaryolar aklımıza gelebilir.

Bütün ülkenin elektriğini kesmek?

Bugün yaşanan geniş çaplı elektrik kesintileri siber odaklı geniş çaplı komplo teorilerine neden oldu. Bu konulara bulaşmış birisi olarak gerçek durumumuz hakkında biraz araştırma yapma ihtiyacı duydum.

PLC’ler nasıl bulunur?
İnternete bağlı PLC sistemleri bulmak için kullanılabilecek onlarca farklı yöntem vardır, bunlardan bazıları;

1. Arama motorlarının kullanımı
2. ERIPP veya scan.io projelerinin sonuçlarından faydalanmak
3. Port taraması yapmak

Port taraması yapmak kaynak ve saldırgan IP’lerin hedef sistemler tarafından tespit edilmesi gibi belli ölçüde risk almayı gerektirdiği için ilk tercih edilen yöntem olmayacaktır. Bunun yerine arama motorları her ne kadar daha sınırlı sonuçlar verse de ilk aşamada daha hızlı bir yaklaşım olacaktır.

Aşağıdaki bir kaç örnekte Google aramaları ile bulduğum internete açık bazı PLC sistemlerini görüyorsunuz.

Yukarıda: SIMATIC PLC'leri tespit etmek için kullanılabilecek bir Google arama sorgusu

Yukarıda: Bulunan SIEMENS SIMATIC PLC'lerden birinin arayüzü

Yukarıda: Başka bir PLC arayüzü

Yukarıda: Rüzgar enerjisinden elektrik üreten bir istasyonun günlük enerji üretim değerleri tablosu. Google araması ile bulundu.

Yukarıda: Yaygın olarak kullanılan ROCKWELL marka bir PLC'nin internete açık arayüzü

Yukarıda: Başka bir PLC'nin ağ bağlantıları tablosu

Google aramaları dışında ShodanHQ gibi internete bağlı belli cihazları endeksleyen arama motorlarının da saldırganlar tarafından hedef bulmak için kullanıldığını biliyoruz.
Aşağıda bazı ShodanHQ arama sonuçlarını görebilirsiniz. Aramaları Türkiye ile sınırlandırıp belli başlı PLC üretici isimlerini kullanarak yaptım ve ilk çıkan sonuçların ekran görüntülerini aldım. Daha detaylı aramalarla sonuç sayısı artacaktır.

Gerçek durum nedir? 
2008 yıllarının ortasında başlayan ve internete bağlı PLC sistemleri endeksleyen SHINE (SHodan INtelligence Extraction) projesi 2013 yılının sonuda 1,000,000’dan fazla PLC’nin internete bağlı olduğunu ve her gün yüzlerce yenisinin eklendiğini açıklamıştı 2014 yılının sonlarında yayınladığı rakam ise 2,100,000’i geçmişti.

Amerika Birleşik Devletleri, Almanya ve Çin gibi sanayisi gelişmiş ülkelerden oluşan ülkeler dünya genelinde internete bağlı PLC sistemlerinin 1,800,000’den fazlasını barındırıyor. A.B.D. ile Almanya’nın toplamı dünya genelinde internete bağlı PLC sistemlerin %49’unu barındırıyor.

2014 yılının son aylarında Türkiye’de internete bağlı 16,348 PLC sistem tespit edilmiş. PLC’lerin internete bağlı olmasının oluşturduğu en önemli problemlerden biri şüphesiz yüksek güvenlik riskleridir. PLC’lerin temellerinin atıldığı yıllarda siber güvenlik konusu ne yazık ki çok gündemde değildi. Hatta bugün de internetin temelinde yatan pek çok “güvenilmez” uygulama o yılların naif mimari yaklaşımlarından kaynaklanmaktadır.
Günümüzde kullanılan pek çok PLC yalıtılmış iç ağlarda çalışacakları varsayılarak tasarlandığı için güvenlik özellikleri genelde ikinci plana itilmiştir.

PLC Güvenliği için neler yapılabilir?
İnternete bağlı otomasyon sistemlerinin güvenliğinin sağlanabilmesi için atılabilecek en önemli adım üreticilerin bu konuda harekete geçmesi olacaktır. O gün gelene kadar ise, her konuda olduğu gibi, güvenliği sağlama sorumluluğu biz kullanıcılar üzerindedir.

1. Sistemlerin mevcut durumunu anlayın
PLC sistemleriniz üzerinde yaptıracağınız güvenlik testleri size sistemlerinizin mevcut güvenlik seviyesi hakkında somut bilgiler verecektir. PLC sistemlerinin güvenliğini sağlamak için bütçe ayırmak ilk bakışta mantıklı gelse de kapsamlı güvenlik testleri ve risk analizlerinin sonucunda belki de bu sistemlere para harcamaya gerek olmadığı ortaya çıkacaktır. Durumu anladıktan sonra harekete geçmek daha doğru olacaktır.

2. Dokümantasyon
Evet, sıkıcı konular. Herşeye prosedür yaz, prosedürleri uygula, güncelle, vs. Ama neyin nasıl yapılması gerektiğini ortaya koymadan ve buna uymadan PLC gibi kritik sistemler üzerinde yapılacak her işlem (en basit güncellemeden sistem mimarisi değişikliklerine kadar) yeni zafiyetlerin ortaya çıkmasına neden olabilir.

3. Eğitim
Sistemleri idare eden personelin PLC konusunda eğitim alması sistemlerin daha güvenli ve verimli çalışmasını sağlar. Eğitimler sırasında PLC güvenliği konularına da değinmek önemlidir.

4. Subnetleri unutmayın
Bilgisayar ağlarında yaptığımız gibi PLC ağlarını da birbirinden bağımsız altağlara ayırmak güvenlik açısından fayda sağlar.

5. Erişimi denetleyin
PLC’lere kimin hangi şartlarda ve hangi işlemleri yapmak için erişebildiğinin belli olması şarttır. Bu erişimlerin ve yapılan işlemlerin kayıt altına alınması hem operatör hatalarını azaltabilecek bir çalışmanın temelini oluşturur hem de yetkisiz müdahalelerin kısa zamanda tespit edilmesini sağlar.

6. Sistemleri yalıtın
Kimsenin sistemleri dışarıdan yönetmesi gerekmiyorsa PLC'nin internetle bağlantısı olmadığından emin olun. Bu bağlantının bir şekilde (yanlış kablolama, altağ değişikliği, vb.) yanlışlıkla sağlanmadığından emin olmak için düzenli olarak kontrol edin.

7. Sistemleri izleyin
PLC üzerindeki işlemleri takip edip yetkisiz veya olmaması gereken işlemlerin tespit edilmesini sağlayacak bir yapının mutlaka kurulması gerekmektedir.

PLC güvenliği konusunda da, tıpkı ağ güvenliğinde olduğu gibi, 5 yıl öncesinin “saldırganın içeri girmesini engelleyelim” yerine “saldırganlar eninde sonunda sızacak bunu mümkün olduğunca hızlı tespit edip etkisiz hale getirelim” yaklaşımı günümüz tehditlerine karşı daha uygun bir yaklaşımdır. Güvenliği “sağlanan” bir şey olmadığını ve sürekli izlenmesi gerektiğini hatırlamakta ve bunun özellikle, PLC’ler gibi fiziksel etkileri olabilecek sistemler için, daha da önemli olduğunu bilmekte fayda var.