S-400'leri Ben Alsaydım

Kısa bir süre için paralel bir evrende bir ülke yönettiğimi düşünelim. Her egemen ulus gibi bizim de hava savunma sistemlerine ihtiyacımız olacak. Ülkemizin bir iç denizi var o yüzden deniz üstü savunma sistemlerine ihtiyacımız yok. Etrafımızdaki dağlar da kara operasyonunu neredeyse imkansız hale getiriyor. Kısacası ülke, dört tarafı dağlarla çevrili ve denizin dört tarafını çeviren şirin bir bir yer. Ben de kral olarak "alacam S-2000Xi'leri, vurucam kırbacı, vurucam kırbacı" deseydim, aklıma gelen ilk konu bu sistemlerin içinde ne olduğu olurdu. Elbette broşürlerde bir şeyler yazıyorlar ama bu sistemlere ihtiyacım olduğunda çalışacaklarından nasıl emin olabilirim?

S-2000Xi görseli bulamadım, S-400'le idare edeceğiz

Hava savunma sistemi alacak olsam ilk gün yapacağım bazı şeyler olurdu. 

Hava savunma sistemlerini bekleyen tehlike

2007 yılının Eylül ayında, İsrail "Bostan Operasyonu" olarak adlandırılan saldırıda Suriye'nin kuzey doğusunda bir tesis bombaladı. 

Suriye'nin hava savunma sistemleri konusunda, onu bölgedeki diğer ülkelerden ayırın bir özelliği sahip olduğu hava savunma sistemleri. Önceki başkan Hafız Esat'ın hava kuvvetlerinde subay olmasından da kaynaklı olabileceğini düşünüyorum ama bu konuda elimde bir kanıt yok. Sonuçta Suriye 1967 yılından başlayarak hava savunma sistemlerine ciddi yatırım yapmış. Günümüzde 200'ün üzerinde bataryası olduğu düşünülen Suriye'nin en büyük tedarikçisi Rusya. 

2007 yılında düzenlenen saldırının parçalarına bakarsak;

• Suriye'nin elinde o dönemin gelişmiş sistemlerinden olan S-200 bataryaları vardı.
• İsrail saldırıyı 69. Filodan 4 adet F-15I (Ra'am - Yıldırım) ve 119. ve 253. filolardan 4 adet F-16I (Sufa - Fırtına) ile gerçekleştirdi. Fikir vermesi için F-15'in ilk uçuş tarihi 1972, F-16'nın ilk uçuş tarihi 1974. 

Görece yeni bir hava savunma sistemine karşı görece eski uçaklar. Peki İsrail bütün Suriye hava sahasını geçip saldırıyı nasıl gerçekleştirebildi? 

Tahmin edebileceğiniz gibi Suriye'nin hava savunma sistemlerini hackleyerek. Ra'am ve Sufa'lar Suriye üstünden uçarken hava savunma sistemleri bunları hiç görmedi. S-200'lerin ekranlarında sakin ve olaysız bir gökyüzünü bir kaç ticari uçuş dışında hiç bir şey yoktu. 2007 yılının Ağustos ayında (saldırıdan 1 ay önce) teslim edilen 96K6E Pantsyr'ler bile 30 yıldan eski bu uçakları göremedi. 

Bu olayın 2007 yılında yaşanmasının ardından hava savunma sistemleri gelişti. Ancak saldırganların da kendi silahlarını geliştirmediğini düşünmek, en hafif tabirle, saflık olur. 

Peki, benzer bir riskin var olup olmadığı ve bunun dışında S-400 konusunda nelere dikkat etmemiz gerektiğini nasıl bileceğiz? Bir kez daha bu tür sıkıntıların ilgili savunma sisteminin broşürlerinde yazacağını düşünecek kadar saf olmamakta fayda var. 

Nelere bakmak lazım?

Bu tür bir sistemi değerlendirirken iç ve dış riskleri ayrı olarak değerlendirmek lazım. Riskleri de kendi içlerinde ikiye ayırabiliriz; hatalar ve art niyetli olanlar. 

Sistemin kendisinden kaynaklı riskleri "iç riskler" olarak düşünebiliriz. Sistemin tasarımından, üretimine kadar geçen süreçte sisteme dahil olabilecek riskleri listelersek;

• Tasarım hataları
• Yazılım hataları
• Sistemin tedarikçi zincirinden kaynaklı riskler
• Üretim hataları
• Sistemi üretenler tarafından bırakılmış olabilecek arka kapılar
• Sistemin bağlı olduğu ağa yönelik yapması muhtemel keşif çalışmaları

Dış riskler ise sistemleri dışarıdan etkileyebileceklerdir;

• Sistemin saldırılara karşı kendini koruma becerisi
• Sistemin siber saldırılara karşı ne kadar açık olduğu
• Sahte GPS sinyallerini tespit etme becerisi olup olmadığının tespiti (Bu saldırı vektörünün çok basit olması ve istismar edilmesi için çok az yatırım gerektirmesi beni biraz endişelendiriyor. Sadece hava savunma sistemleri için değil, Sahil Güvenlik botlarımızdan, Jandarma unsurlarına kadar ciddi şekilde ele alınması gereken bir tehdit olduğunu düşünüyorum. 

Özetle; kendi ülkeme S-400 alacak olsam bunları ülkeye girer girmez uzmanlara teslim ederdim. Arka kapı aramaktan siber saldırılara kadar sistemin kapsamlı bir güvenlik değerlendirmesinden geçirildiğinden emin olurdum. 

Tarih tekerrürden ibarettir derler, 2007 yılında Suriye'de yaşanan olaydan sonra yapılacak en önemli şey bu sistemlerin Rus, İsrail, A.B.D., Almanya, yunanistan, İran, ermenistan, Bulgaristan, aklınıza kim geliyorsa uçaklarını görebildiğinden ve görmeye devam edeceğinden emin olmaktır. 

TEMPEST Nedir?

Elektromanyetik sinyal yayan cihazların güvenliğinin sağlanması için geliştirilmiş bir standarttır. “Telecommunications Electronics Material Protected from Emanating Spurious Transmissions” kelimelerinin baş harflerinden oluşturulan TEMPEST konusu 1960’lardan beri A.B.D. ordusunun gündemindedir.

TEMPEST Nedir?

Günümüzde başta NATO olmak üzere pek çok farklı standardın temelde TEMPEST konusunu kapsadığını görüyoruz. Bu standartların amacı elektromanyetik yayın yapan sistemlerin güvenliğinin sağlanmasıdır. Konular; cihazların birbirinde parazit yapmasından klavye sinyallerinin yakalanarak yazılanların okunmasına kadar geniş bir alanda değerlendirilebilir.

Genelge çerçevesinde ele alınan TEMPEST öncelikle yayılan sinyallerde hassas (kritik ve/veya gizli) veri olup olmadığına bakacaktır. Bu yola veri sızdırılmasının engellenmesi için alınması gereken fiziksel tedbirler cihazları pencerelerden uzak tutmaktan Faraday kafesli odaların inşaatına kadar gidebilir.

TEMPEST’e uyum için en büyük yardımcınız üreticiler olacaktır. Doğru üreticilerle çalışmak sizi bu konuda yapılması gereken yatırımlardan büyük ölçüde kurtarabilir. Kuruluş içerisinde milli güvenlik açısından hassas ve kritik verilerin tutulduğu sistemlerin üreticilerinden TEMPEST konusunda sahip oldukları sertifikaları talep etmenizde fayda var.


TEMPEST’in aslında tek bir güvenlik seviyesinden oluşmadığını biliyoruz. NATO TEMPEST’i 3 seviyede ele alır ve bunlara alan (zone) der. Alanlar cihazların yaydığı elektromanyetik sinyallere göre belirlenir. Örneğin bir cihazın sinyalleri 20 metreden algılanabiliyorsa bu TEMPEST seviye B’dir (bu A.B.D. ordusunda NSTISSAM seviye II’ye eşittir).

Görüldüğü gibi TEMPEST uygulanabilmesi için cihazların yaydığı sinyallerden yol çıkmak gerekiyor. Bu aşamada sinyalleir ölçürtmeye çalışmak yerine, yukarıda belirttiğim gibi üreticilerin bu konudaki sertifikalarına bakmak daha kolay olacaktır.

Aşağıdaki örnek planda kırımızı kutucuğun kritik verinin bulunduğu sistem olduğunu düşünelim. Sinyallerin ulaştığı alanların uzaklığına bağlı olarak 3 seviye görebiliriz.

Üreticinin size vereceği değerlere bağlı olarak bunlardan hangisi veya hangilerinin düşünülmesi gerektiği ortaya çıkacak ve her biri için alınabilecek tedbirler belirlenebilecektir.

Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi

Cumhurbaşkanlığı tarafından yayımlanan “Bilgi ve İletişim Güvenliği Tedbirleri" genelgesinin içeriğinde söz edilen tedbirlerini gözden geçirdik.

Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi Yayımlandı

Bu tür genelgelerin ardından hızlıca türeyen ve kuruluşlara türlü çeşit güvenlik çözümlerini “genelge kapsamında alınması gerekiyor” diye duyuran özel firmaların ziyaretinize gelmesi ihtimaline karşın öncelikle şunu söyleyeyim: bu genelgeye “uyumlu” hale gelmek için satınalmanız gereken hiçbir şey yok. Tamamı mevcut güvenlik çözümlerinizle uygulanabilir durumda. Bu anlamda kimseye yeni bir rant kapısı açmadığı için Genelgeyi ayrıca takdir ettim.

Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi Neyi Amaçlıyor?

Verilerin gizliliğini, bütünlüğünü ve erişilebilirliğini korumak amacıyla, özellikle milli güvenliği tehdit edebilecek türdeki verilerin korunması amaçlanmış.

Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi Kimleri Kapsıyor?

Genelge olduğu için elbette öncelikle Kamu Kurumlarına hitaben yazılmış ancak her kesimden kuruluşun kendi güvenliği için buradan çıkartabileceği güzel dersler var.


Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi maddeleri:

1. Nüfus, sağlık ve iletişim kayıt bilgileri ile genetik ve biyometrik veriler gibi kritik bilgi ve veriler yurtiçinde güvenli bir şekilde depolanacaktır.
2. Kamu kurum ve kuruluşlarında yer alan kritik veriler, internete kapalı ve fiziksel güvenliği sağlanmış bir ortamda bulunan güvenli bir ağda tutulacak, bu ağda kullanılacak cihazlara erişim kontrollü olarak sağlanacak ve log kayıtları değiştirilmeye karşı önlem alınarak saklanacaktır.
3. Kamu kurum ve kuruluşlarına ait veriler, kurumların kendi özel sistemleri veya kurum kontrolündeki yerli hizmet sağlayıcılar hariç bulut depolama hizmetlerinde saklanmayacaktır.
4.  Mevzuatta kodlu veya kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil uygulamalar hariç olmak üzere, mobil uygulamalar üzerinden, gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır.
5. Sosyal medya üzerinden gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır.
6. Sosyal medya ve haberleşme uygulamalarına ait yerli uygulamaların kullanımı tercih edilecektir.
7. Kamu kurum ve kuruluşlarınca gizlilik dereceli bilgilerin işlendiği yerlerde yayma güvenliği (TEMPEST) veya benzeri güvenlik önlemleri alınacaktır.
8. Kritik veri, doküman ve belgelerin bulunduğu ve/veya görüşmelerin gerçekleştirildiği çalışma odalarında/ortamlarında mobil cihazlar ve veri transferi özelliğine sahip cihazlar bulundurulmayacaktır.
9. Gizlilik dereceli veya kurumsal mahremiyet içeren veri, doküman ve belgeler kurumsal olarak yetkilendirilmemiş veya kişisel olarak kullanılan cihazlarda (dizüstü bilgisayar, mobil cihaz, harici bellek vb.) bulundurulmayacaktır.
10. Kişisel olarak kullanılanlar da dâhil olmak üzere kaynağından emin olunmayan taşınabilir cihazlar (dizüstü bilgisayar, mobil cihazlar, harici bellek/disk, CD/DVD vb.) kurum sistemlerine bağlanmayacaktır. Gizlilik dereceli verilerin saklandığı cihazlar, ancak içerisinde yer alan veriler donanımsal ve/veya yazılımsal olarak kriptolanmak suretiyle kurum dışına çıkarılabilecek; bu amaçla kullanılan cihazlar kayıt altına alınacaktır.
11. Yerli ve milli kripto sistemlerinin geliştirilmesi teşvik edilerek, kurumlara ait gizlilik dereceli haberleşmenin bu sistemler üzerinden gerçekleştirilmesi sağlanacaktır.
12. Kamu kurum ve kuruluşlarınca temin edilecek yazılım veya donanımların kullanım amacına uygun olmayan bir özellik ve arka kapı (kullanıcıların bilgisi/izni olmaksızın sistemlere erişim imkânı sağlayan güvenlik zafiyeti) açıklığı içermediğine dair üretici ve/veya tedarikçilerden imkânlar ölçüsünde taahhütname alınacaktır.
13. Yazılımların güvenli olarak geliştirilmesi ile ilgili tedbirler alınacaktır. Temin edilen veya geliştirilen yazılımlar kullanılmadan önce güvenlik testlerinden geçirilerek kullanılacaktır.
14. Kurum ve kuruluşlar, siber tehdit bildirimleri ile ilgili gerekli tedbirleri alacaktır.
15. Üst düzey yöneticiler de dahil olmak üzere, personelin sistemlere erişim yetkilendirmelerinin, fiilen yürütülen işler ve ihtiyaçlar nazara alınarak yapılması sağlanacaktır.
16.  Endüstriyel kontrol sistemlerinin internete kapalı konumda tutulması sağlanacak, söz konusu sistemlerin internete açık olmasının zorunlu olduğu durumlarda ise gerekli güvenlik önlemleri (güvenlik duvarı, uçtan uca tünelleme yöntemleri, yetkilendirme ve kimliklendirme mekanizmaları vb.) alınacaktır.
17.  Milli güvenliği doğrudan etkileyen stratejik önemi haiz kurum ve kuruluşların üst yöneticileri ile kritik altyapı, tesis ve projelerde görev alacak kritik önemi haiz personel hakkında ilgili mevzuat çerçevesinde güvenlik soruşturması veya arşiv araştırması yaptırılacaktır.
18. Kamu e-posta sistemlerinin ayarlan güvenli olacak biçimde yapılandırılacak, e-posta sunucuları, ülkemizde ve kurumun kontrolünde bulundurulacak ve sunucular arasındaki iletişimin şifreli olarak yapılması sağlanacaktır.
19.  Kurumsal olmayan şahsi e-posta adreslerinden kurumsal iletişim yapılmayacak, kurumsal e-postalar şahsi amaçlarla (özel iletişim, kişisel sosyal medya hesapları vb.) kullanılmayacaktır.
20. Haberleşme hizmeti sağlamak üzere yetkilendirilmiş işletmeciler Türkiye’de internet değişim noktası kurmakla yükümlüdür. Yurtiçinde değiştirilmesi gereken yurtiçi iletişim trafiğinin yurtdışına çıkarılmamasına yönelik tedbirler alınacaktır.
21.  İşletmeciler tarafından, kritik kurumların bulunduğu bölgelerdeki veriler, radyolink ve benzeri yöntemlerle taşınmayacak, fiber optik kablolar üzerinden taşınacaktır. Kritik veri iletişiminde, radyolink haberleşmesi kullanılmayacak; ancak kullanımın zorunlu olduğu durumlarda veriler milli kripto sistemlerine sahip cihazlar kullanılarak kriptolanacaktır.

 Bunların dışında genelgede bir Bilgi ve İletişim Güvenliği Rehberi hazırlanması gerektiği ve uygulanması konusunda düzenli denetimlerin yapılması gerektiği belirtilmiş.


Genelge bu haliyle daha önce yayınlanmış “Kamu Kurumların Uyması Gereken Asgari Kriterler” başlığında Ulaştırma Bakanlığı tarafından yayımlanan kadar teknik konulara girmemiş. Daha ziyade yönetim kadrosunun anlayabileceği dilden yazılmış. Bu haliyle, en azından kamu kuruluşlarının bu konudaki farkındalıklarını artırmaya faydası olacak gibi duruyor.  

Siber Ajan Olsam...

 FBI’ın “siber ajan” adıyla yeni nesil ajanlar alacağının haberleri çıktı. Bu ajanların, siber uzayda araştırma/soruşturma gibi faaliyetleri yürüterek, FBI’yı 2015 yılının gerçeklerine biraz daha yaklaştırmayı hedefledikleri ortada.

Ben Ajanken (temsili)

Bu haber üzerine biraz düşündüm ve fantezi olarak “siber ajan olsam...” dedim kendi kendime, “...bunları yapardım” diyerek başladım, iş biraz büyüdü ve “siber istihbarat ajansı kursam...” boyutuna vardı. Buyursunlar efendim; 2015 yılında “Siber MİT” veya “Siber İstihbarat Teşkilatı” (SİT) kuracaklara naçizane önerilerim.

Siber uzayı hava, kara, deniz ve uzaydan sonra beşinci savaş alanı olarak tanımlayanlar var, bana kalırsa da beşinci savaş alanı ama, kişisel görüşüm, dördüncü savaş alanının uzay değil, ekonomi olduğu yönündedir. Siber istihbarat işi yapacaksak, öncelikle düşman unsurları tespit edip, takip edip ve gerektiğinde müdahale edecek yeteneklere sahip olmalıyız. İsrail istihbarat birimleri konusunda biraz araştırma yapmış olanlar tanıdık bazı noktalara rastlayabilirler, tabii ki tesadüf değil. Amerika’yı yeniden keşfetmeye gerek olmadığını düşündüğüm için, bu konuda iyi örnekler arasında gösterilen İsrail’in istihbarat yapısından bazı öğeleri yorumladım.

Çatı birim

Siber uzayda her saniye bir gelişme oluyor, bunların arasından önemli ve raporlanması gerekenleri derleyecek ve “SİT” dışındaki paydaşlara bu bilgileri iletecek, bir çeşit arayüz görevi görecek birim.

Saldırılar, duyumlar, gelişmeler, yeni çıkan zafiyetler, siber casusluk ve açık kaynak istihbarat faaliyetleri sonucunda elde edilen bilgiler, önem ve yetki seviyesine göre diğer istihbarat birimleri, bakanlıklar ve özel şirketlerle paylaşılır. Özel şirketlere iletilecek bilgiler uluslararası alanda rekabetçi güçlerini arttıracak nitelikte olacaktır.

Çatı Birimi altındaki yapı çeşitli görevleri yürütecek şekilde bölünecek, ana konular;

• -       Açık kaynak istihbarat birimi
• -       Sızma ve siber saldırılar birimi
• -       İç eğitimler birimi
• -       Zafiyet tespiti ve istismar geliştirme birimi
• -       Operasyon güvenliği birimi
• -       Sinyal ve görüntü işleme birimi
• -       Donanım birimi
• -       Saldırı tespit birimi

Birimlerin işlerine kısaca ele alalım

Açık Kaynak İstihbarat Birimi

İnternete açık kaynakları kullanarak bilgi toplayacak birimin amacı iz bırakmadan ve “saldırgan” olarak yorumlanabilecek davranışlarda bulunmadan (port taraması, zafiyet taraması vs. yapmadan) bilgi toplamaktır. Sosyal medya üzerinden derlenecek bilgiler de bu birim tarafından anlamlandırılacaktır. Google aramasıyla ne bulunur ki? demeyin, aşağıda basit bir örnek verdim. Bir ödeme sistemi altyapısının kullanıcı kılavuzuna sadece arama motoru ile ulaştım, gördüğünüz gibi, hem “gizli” hem de “izinsiz dağıtılamaz” ibareleri var.

 Sızma ve Siber Saldırı Birimi

“Devletin Hackerları” burada çalışacak. Bu birimin amacı sıkça duyduğumuz APT (Advanced Persistent Threat – Gelişmiş Sürekli Tehdit) saldırılarını planlamak ve düzenlemek olmalı. “Dost” olarak niteleyemeyeceğimiz ülkelerin iletişim altyapılarından ve kamu kurumlarından düzenli olarak bilgi sızdıracak ve gerektiğinde sabotaj eylemi yapabilecek şekilde “sürekli saldırı” yaklaşımı ile çalışmalıdır.

İç Eğitimler Birimi

“Eğitim Şart”. Diğer birimlerin bilgi ve teknoloji olarak güncel olmasını sağlamak ve “Zafiyet Tespit ve İstismar Geliştirme Birimi” tarafından oluşturulan saldırı senaryolarının kullanılmasını sağlamak amacıyla sürekli eğitim verecek birimdir.

Zafiyet Tespit ve İstismar Geliştirme Birimi

Saldırı Biriminin işini anti-virüs yazılımlarına yakalanmadan ve devamlı olarak yapabilmesi için sıfır gün (0-day) açıklarını tespit edip, bunlardan faydalanabilecek istismar kodlarını geliştirecek birim.

Operasyon Güvenliği Birimi

Amerikalıların “OPSEC” (Operations Security) olarak adlandırdığı görevleri üstlenecek birim. Düşman unsurların “SİT” hakkında elde edebilecekleri bilgileri derleyen ve bunlardan nasıl faydalanabileceklerini düşünen birim. Siber istihbarat yapısının görünmez kalması önemlidir.

Sinyal ve Görüntü İşleme Birimi

Telsiz, radyo veya radar gibi internet dışında kalan iletişim kanallarının takip edilip buradan bilgi toplanmasının yanında diğer birimlerce elde edilen görüntülerde metadata veya gölge/yansıma gibi konularda analizler yaparak bunlardan bilgi çıkartacak birimdir.

Donanım Birimi

Donanımsal Truva atları veya ortam dinleme dronelarından telefonlarının içine Semtex veya PVV-5A yerleştirmeye kadar geniş bir yelpazedeki işlerde donanım “hacking” becerilerine sahip bir ekibe ihtiyaç olacak.

Saldırı Tespit Birimi

SİT kurulduktan sonra sürekli saldırı altında olmayacağını düşünmek saflık olur. Bu  nedenle genel yapının ve birimler arasındaki iletişimin güvenliğini sağlamak amacıyla bir Birim kurulması da gerekecek.

FBI tarafından verilen ilanda temel kriterler dışında pek bilgi yok ama önemli bir cümle var: “Temel değişmiyor: ‘Kötü adamları/kişiyi/kurumu/örgütü engellemek’”

Siber istihbarat konusunun sadece devletleri ilgilendirdiğini düşünmek yanlış olur. 2015 yılında, iş süreçlerimizin internete ve teknolojiye giderek daha bağlı hale gelmesi nedeniyle kuruluşlar da kendi “siber cephelerinde” savaşmak zorunda kalıyor.

KOBİ Siber İstihbarat Teşkilatı

Kabul ediyorum, yukarıda tarif ettiğim kadar geniş bir yapı olmayacak ama bugün KOBİ’lerden Bankalara, Bakanlıklardan Derneklere, internet üzerinde hizmet veya mal alan veya satan her kuruluşun temel düzeyde bir “istihbarat” becerisine sahip olması gerekmektedir.

Bu kapsamda ihtiyaç duyulacak becerilerden bazıları şunlardır;

Siber Olay Tespit Kabiliyeti: Belli aralıklarla yayınlanan araştırma sonuçları hala olay tespitinde yeterince hızlı davranamadığımızı gösteriyor. Ağınızda birilerinin varlığını tespit etmek veya veritabanınızın sızdırıldığını fark etmek  ve bunlarla ilgili zamanında ve doğru süreçler işletebilmek önemli. Bu nedenle saldırıları ve olayları tespit edecek bir yapı kurulmalıdır.

Zafiyet taraması: Açık kaynaklı veya ticari olarak satılan zafiyet tarama araçlarını kullanarak belirli aralıklarla sistem ve ağınızı zafiyetlere karşı taramak, en azından basit, saldırılara karşı tedbir almanıza imkan verir.

Pasif zafiyet taraması: Kuruluş envanterinizde bulunan donanım ve yazılımlarla ilgili yayınlanan zafiyetleri takip edip, bunlar için gerekli tedbirleri almak önemlidir. Çoğu saldırının zafiyetler yayınlandıktan sonra ile güncellemenin yapılması arasında geçen sürede en etkili olduğunu düşünürsek bu çalışma risk seviyenizi düzenli olarak belli bir seviyenin altında tutmanızı sağlar.

Komşularla ilişkiler: İstenmeyen e-postaların hangi IP bloğundan geldiği, web sunucusunu paylaştığınız diğer şirketlerden birinin sayfasının hacklenip hacklenmediği, mail adreslerinizin karalistelerden birine girip girmediği gibi temel göstergeleri takip ederek siberuzayda sizi ilgilendiren gelişmeleri takip etmekte fayda var.

Robotların yarattığı tehlike

Mert Özkan Özcan’a fikir ve destek için teşekkür ederim

 Tehlikeli robot (temsili)

Robotların dünyayı ele geçirdiği “korkunçlu” senaryolardan birisini kastetmiyorum. Google ve benzeri arama motorları tarafından kayıtlara alınmasını istemediğimiz sayfaları yazdığımız ve kısaca aşağıdaki benzer bir tablo oluşturan robots.txt sayfasını kastediyorum.

Göreceğiniz gibi arama motorlarına açıkça “bu sayfalara bakma” demek için kullandığımız bu sayfalar, saldırganlar için bir bilgi madeni olabilir. 2015 yılı itibariyle “gizleyerek güvenlik” (security through obscurity – korumaya çalıştığımız şeyleri saldırganlardan gizleyerek bir savunma hattı oluşturma fikri) yaklaşımından hızla çıkmamız gerekiyor. Binlerce belki de yüzbinlerce arama motorunun ve “örümceğin” sürekli gezdiği ve endekslediğin bir yer olan internete koyduğunuz hiç bir şeyi gizlemeniz mümkün değildir.

Sadece robots.txt dosyasına bakarak saldırganların ulaşabileceği bilgilere birkaç basit örneği aşağıda derledim.

Örnek 1: Yetkili kullanıcı girişi tespiti

Aşağıdaki örnekte, web sayfasının yetkili kullanıcı girişinin robots.txt dosyasına yazıldığını görüyoruz. 

kurum.gov.tr/administrator adresini ziyaret ettiğimizde ise aşağıdaki sayfayı görüyoruz. 

Bu sayfaya bakarak kurumun Joomla içerik yönetimi sistemini kullandığı konusunda bir tahmin yürütmemiz mümkün olabilir. Giriş ekranlarını atlatmaya yönelik teknikler bu sayfa üzerinde denenebilir ve zayıf parola kullanımı, fabrika ayarlı kullanıcı/parola eşleşmesi, kaba kuvvet giriş denemesi, vb. herhangi birinin başarılı olması durumunda saldırgan hedef web sayfasını değiştirebilecek hale gelebilir. 

Örnek 2: Hedef sistem tespiti

Aşağıdaki örnekte robots.txt dosyasında "/log/" adresini görüyoruz. 

Bu adresi ziyaret ederek, kullanılan sistem tarafından yayınlanan özelleştirilmiş bir hata ekranına ulaşıyoruz.

Örnek 3: Güvenlik tedbiri ifşası

Bir başka kurumunun web sayfasındaki robots.txt dosyası aşağıdaki gibidir;

Bu dosyadaki adresleri ziyaret ederek aşağıdaki bilgilere rastlıyoruz;

Web sunucusu dizin yapısı ve sunucu bilgisi ifşası.

Talebin "filtreleme modülü" tarafından engellendiğini belirten uyarı mesajı.

Bu örnekte de karşımıza yetkili kullanıcı girişi ekranı çıkmaktadır. Bu seferki içerik yönetim sisteminin özel olarak geliştirilmiş olması ve geliştiren firmanın da bilgilerinin ekranda bulunması bu yapının ticari veya yaygın olarak kullanılan içerik yönetim sistemlerine göre daha az güvenli olabileceğini düşündürüyor. 

Örnek 4: Kullanıcı bilgileri ve kullanım alışkanlıkları ifşası

Güvenlik ve yazılım konularında yazılar yazan ve kendini geliştiren, çok takdir ettiğim bir arkadaşımın sitesinde ise robots.txt dosyasında, pek çok şey arasında, "/statistics.html" adresini görüyoruz. 

Bu adresi ziyaret ettiğimizde ise sitenin yetkili kullanıcısının bilgilerini, yazdığı yazı sayısını ve siteye en son ne zaman giriş yaptığı gibi saldırgan için önemli olabilecek bilgilere ulaşabiliyoruz

Sosyal Medya'da Aldatılıyor Musunuz?

Her zamanki gibi…

O: Ne iş yapıyorsun?
Ben: “Hacker’ım”
O: (şüpheci) “Hacker?”
Ben: Şirketlerin siber güvenlik seviyelerini arttırmalarını sağlamak için hackerlar tarafından kullanılan araç ve teknikleri kullanarak sistemlerine sızıp, nasıl sızdığımı raporlayarak önlem almalarını sağlıyorum”
O: (benim son cümlemi zerre dinlemediği belli olurken) benim de bir arkadaşın Facebook’u…

O “arkadaş” çoğu zaman karşı cinsten olup, süren veya yakın zamanda bitmiş bir gönül ilişkisinin diğer paydaşı oluyor. Buna benzer talepler mail yoluyla doğrudan da geliyor “Hocam merhaba, eski erkek/kız arkadaşımın maili/Facebook’u…”

Taleplerin yasadışı olmasına karşılık insanların “aldatılıyor muyum?” sorusunu kendilerine sorması da gayet doğaldır. Bu nedenle, şimdiye kadar incelediğim bazı vakalardan yola çıkarak aşağıdaki ipuçlarını derledim.

Sosyal medya üzerinden yaşanan ilişkilerin önemli bir kısmının “gerçek” hayata yansımadığını görüyoruz. İnsanların bu ortamda daha rahat davranmalarının ise bazı bilimsek nedenleri var:

E-posta gibi değil
E-posta mesajlarını yazarsınız… gönderirsiniz… karşı taraf okur… cevap verir… sonuçta bu, ideal bir sohbet ortamından çok uzaktır. Ancak sosyal medya platformlarının sunduğu anında mesajlaşma ortamları yazışmaların gerçek zamanlı olarak ve karşılıklı yapılmasına imkan veriyor. Bu sayede, örneğin e-posta yazışmalarında, mesajlar arasında geçen sürede, duygular etkilerini ve yoğunluklarını kaybederken, anında mesajlaşma duyguların gerçek iletişimlerde olduğu gibi yaşanmasına imkan veriyor. Birlikte güldüğünüz, birlikte üzüldüğünüz algısı anında mesajlaşma ile kurulan iletişim sırasında duyguların ortaya çıkmasına ve “yaşamasına” imkan veriyor.

Parmaklarınızın ucunda
Muhasebe bölümündeki hoş kızı/çocuğu düşünün. Gerçek hayatta flörtle uzaktan yakından alakası olan bir ortamın oluşması için kahve molasında, öğle tatilinde veya iş dışında, üstelik belli bir süre birlikte olmanız gerekecekti. Sosyal medya sayesindeyse gerek kedi videosuna yorum yaparak, gerek doğum gününü kutlayarak sürekli iletişim halinde kalabilirsiniz.

Klavye kahramanlığı
Gerçek hayatta birinin gözlerinin içine bakarak söyleyemeyeceğiniz kadar “cesurca”, hatta “ayıp” şeyleri klavye ve ekranın arkasında olmanın verdiği güven hissi sayesinde çekinmeden yazabiliyoruz.

Masum olduğunuz yanılgısı 
Sanal olması, gerçek hayatta bir yansıması olmaması sosyal medya üzerinden yaşanan ilişkilerin zararsız olduğu hissine kapılmamıza neden olabiliyor. Bu nedenle bazı sosyal medya “arkadaşlıklarını” aldatma olarak görmüyor ve devam ettiriyoruz.

Gizlilik yanılgısı
İki kişi arasındaki bir Facebook mesajının gizli olduğu varsayımı ile mesajlarımızı kimsenin göremeyeceğini varsayıyoruz. Hacker olarak çalıştığım yılların bana öğrettiği bir şey varsa o da, söz konusu internet olduğunda, gizliliğin sadece bir hayal olduğudur.

Tehlikeli bölgede olduğunuzu nasıl anlarsınız? (veya eşiniz sizi sosyal medya üzerinden aldatıyor mu?)

Yukarıda ele aldığımız nedenlerle ve insan psikolojisinin doğal bir sonucu olarak kendinizi bir sosyal medya ilişkisinin içinde bulabilirsiniz. Aşağıdaki maddeler sizin böyle bir ilişki içerisinde bulunup bulunmadığınızı anlamanızı sağlayacaktır. Bu maddeler aynı zamanda eş veya sevgilinizin de sosyal medya üzerinde bir ilişki yaşaması halinde gözlemlenebilecek davranışlardır. Bu noktada önemli bir uyarı yapma ihtiyacı duyuyorum, bu maddelerden birinin veya birkaçının size veya eşinize uyması KESİNLİKLE aldattığınız veya aldatıldığınız anlamına gelmez, aklımızı kullanalım, sakin olalım.

1. Bu kişiyi eklerken içiniz rahat değildi 
   Tamam, tanıyorsunuz ama iş/okul dışında da ortak bir noktanız yok gibi. Arkadaşlık isteğini “ayıp olmasın” diye kabul etmek zorunda kaldınız. Hayal kurmayın, bu tedirginlik içgüdülerinizin “size asılacak” demesidir.
2. Mesajlarınızı kontrol etmek bir dürtü haline geldi
   “Acaba bir şey yazdı mı?” sorusu sürekli aklınızda ve siz fark etmeden bile eliniz telefona gidiyor ve mesajlarınızı kontrol ediyorsunuz.
3. Bilgisayarın başından kalkmak veya telefonunuzu elinizden bırakmak zorlaştı
   Mesaj programının önünüzde açık olmadığı dakikalar size saat gibi gelmeye başladı. Telefon adeta elinizin bir uzantısı halini aldı. Evet, siz bu sosyal “arkadaşınıza” bir sosyal “arkadaşın” başka bir sosyal “arkadaşa” vermesi gerekenden çok daha fazla değer veriyorsunuz demektir.
4. Eşiniz/sevgiliniz odaya girdiğinde boş masaüstüne bakıyorsunuz
   İtiraf vakti; yaklaştığını duydunuz ve tam odaya girmeden mesajları yazdığınız ekranı kapattınız. Karşınızda ya boş masaüstü kaldı, ya da alt tarafta açık olduğunu bile unuttuğunuz bir sayfanın en anlamsız bölümü.
5. Sosyal medya “arkadaşınıza” eşinize karşı olduğunuzdan çok daha açıksınız, daha çok konuda ve size daha anlamlı gelen paylaşımlarınız var
   Müdürünüzle konuştuklarınızı, trafiği, arkadaşlarınızla aranızda geçenleri eşinizden/sevgilinizden önce sosyal medya “arkadaşınıza” anlatıyorsunuz. Öyle ki, bazı günler aynı şeyi ikinci kez anlatamayacak kadar yorgun olduğunuz veya içinizden gelmediği için eşiniz/sevgilinizle paylaşmıyorsunuz bile.
6. Telefonunuzun tuş kilidini açmak matematik problemi çözmekten daha zor
   Tuvaletteyken, yemek yaparken veya uyurken bir şekilde telefonunuzun “ortada kalması” halinde eşinizin okumasını istemediğiniz mesajların da yoğunluğuna bağlı olarak parolanızı veya kilit şeklinizi değiştirdiniz/zorlaştırdınız.
7. Yüz yüze görüşme fikri size sıcak gelmeye başladı
   Sadece yazmak size yetmemeye başladı, gerçek hayatta görüşmek ve paylaşımlarınızı orada da sürdürmek istiyorsunuz. Kendinize bile itiraf edemeseniz de; sosyal medya “arkadaşınızı” resmen özlüyorsunuz.
8. Sosyal medya “arkadaşınızın” sizinle yazışmadığı zamanlarda neler yaptığını düşünmeye başladınız
   Lisedeki gibi; kendinize “acaba şimdi ne yapıyor?”, “acaba o da beni düşünüyor mudur?” benzeri naif sorular sormaya başladınız. Dalgınsınız, eşinizin/sevgilinizin söylediklerinin yarısını dinliyorsunuz, aklınızın bir köşesinde hep sosyal medya “arkadaşınız” var.
9. Sosyal medya “arkadaşınızla” diğer arkadaşlarınızla veya ailenizle geçirdiğinizden daha fazla süre geçirmeye başladınız
   Akşam yemeğinizi yediniz normalde televizyon seyredecekken elinize telefonunuzu alıp “arkadaşınızla” yazışmaya başladınız. İştekilerle öğle yemeğine gittiniz, onlarla sohbet etmek yerine telefonunuz elinizde “arkadaşınızla” yazışıyorsunuz. Evet, fiziksel olarak aileniz veya arkadaşlarınızla olabilirsiniz ama zamanınızı onlarla değil, “arkadaşınızla” geçiriyorsunuz.
10. Siz veya “arkadaşınız” birbirinize karşı olan duygularınızı açıkça yazmaya başladınız
    “Seni seviyorum” da yazılmış olabilir, “biliyor musun seninle aynı katta çalışırken sana hayrandım” gibi daha masum ve kaçış planı hazır (örn. ama şimdi Deniz’le çok mutluyum, o benim herşeyim, önümüzdeki ay Paris’te evleniyoruz) bir cümle de. Hangisi olursa olsun, duygular artık açıkça yazılmaya başlandı.
11. Sosyal medya arkadaşınız size eşiniz veya sevgilinizden daha çekici gelmeye başladı
    Gerçekten açıklamaya gerek var mı?
12. İkinizden biri “sence de çok hızlı gitmiyor muyuz?”, “daha önce böyle bir şey yapmamıştım”, “bu yazdıklarıma ben bile inanamıyorum”, “anlatsam inanmazlar”, “sanki bunları yazan başkası” gibi cümleler kuruyorsanız
    Evet, bunları yazan siz değilsiniz, sağduyunuz. İçgüdüsel olarak bir şeylerin ters gittiğinin farkındasınız ve karşı taraftan vicdanınızı rahatlatacak şeyler duymaya ihtiyacınız var. Bu cümlelerin ayrıca karşı tarafın kendini özel hissetmesini sağlarken sizin de olası bir kaçış planınızın temelini oluşturma gibi işimize çok yarayan özelliklerinin olduğunu hepimiz biliyoruz.

Kurumsal Kaynak Planlama Yazılımı (ERP) güvenliği

İş hayatına ilk başladığım yıllarda ERP çok moda bir kelimeydi. Şirketler kurumsal kaynak planlama yazılımlarına yatırım yapıyor, fabrikalardaki süreçler bunlara aktarılıyor ve patronlar oturdukları yerden üretimi, satışları ve finansal durumu “anında” görüyorlardı. “Anında” diyorum çünkü bu şimdiki haliyle “anında” kavramından ziyade Müdürlerden birinin “kimse işlem yapmasın rapor çalıştıracağım” diye yaptığı bir uyarının ardından geçen 1-2 saatlik zaman dilimiydi.

Bugün geldiğimiz noktada “patron” durumu gerçekten anında görebiliyor. ERP yazılımlarının güvenliği ise, o yıllarda kimsenin umurunda olmayan bir konuyken, bugün güvenlik alanında çalışanların ciddi kafa yormasına neden olmaktadır.

ERP güvenliği neden zor?
Bütün yazılımlarda bulunan güvenlik zafiyetlerine ek olarak ERP yazılımlarının güvenlik açısından daha da zor bir konu haline gelmesine neden olan birkaç önemli nokta vardır;

1. ERP yazılımların karmaşık yapıları vardır
2. ERP yazılımları dış dünyadan yalıtılmıştır
3. Ağ katmanından uygulama katmanına kadar pek çok zafiyetten etkilenirler
4. Ya hiç ya da çok seyrek güncellenirler

KDBA 12 cilt tekmili birden 
Buna karşılık KDBA (Kulaktan Dolma Bilgiler Ansiklopedisi) kaynaklı bazı argümanlar ağ/sistem yöneticilerinin bir kısmının bu güvenlik sorunlarını görmezden gelmelerine neden olmaktadır.

1. Dış dünyayla bağlantısı olmadığı için ERP internet kaynaklı saldırılardan etkilenmez
2. ERP üreticisi firma güvenliği zaten sağlar
3. Kimse bize özel yazılmış bir modülde zafiyet aramakla uğraşmaz
4. Her kullanıcın yapabilecekleri zaten sınırlı

KDBA Cilt 1: Dış dünyayla bağlantısı yok
Kötü haberi hemen vereyim, aslında var. ERP yazılımınız doğrudan internete veya VPN ile başka bir ofise/fabrikaya bağlı olmayabilir, ama yazılımı kullandığınız ağ internete bağlı. 2015 yılında “o internete bağlı” değil demek, son derece özel bir kullanım şekliniz yoksa (örn: bütün sistem hiç bir yere bağlı olmayan tek bir bilgisayar üzerinde çalışmıyorsa) büyük ihtimalle ucundan/kıyısından internete bağlısınız. Bu durumda saldırganların ERP yazılımınıza giden bir yol bulması ve bunu kullanarak bu yazılımınızı hedef almaları pekala mümkün olacaktır.
Gelişen iş yapış biçimleri nedeniyle bazı durumlarda uygulamanın doğrudan internete açılması da gerekebilir. Bu durumda ERP yazılımı, internet uygulamalarına karşı gördüğümüz saldırıların tamamından etkilenecektir. İnternet üzerinden erişilebilir durumda olan bir ERP yazılımının kullanıcılarının sosyal mühendislik saldırılarının hedefi olacağını da burada belirtmekte fayda var.

KDBA Cilt 2: ERP Üreticisi firma güvenliği zaten sağlar
Kötü haber var, daha kötü haber var. Kötü haber; hayır ERP üreticisi güvenliği sağlamıyor. Daha kötü haber; çoğu lisans anlaşmasında ERP üreticisi firmanın böyle bir sorumluluğu da yok. Peki bu ERP yazılımı üreten firmanın bize istediğini satabileceği anlamına mı geliyor?
Tabii ki hayır. Yazılım üreticileri teknik aksaklıklar, yazılım ve mimari hataları düzeltmek ve bunlara karşı tedbir almak için çok sıkı çalışıyorlar zaten.
Ancak bunların dışında kalan aşağıdaki konular büyük ölçüde ERP yazılımını kullananların sorumluluğundadır:

• Kurulum sırasında yapılan mimari hatalar
• Fabrika ayarlarında bırakılan konfigürasyonlar / konfigürasyon hataları
• Kullanıcı hataları
• Yama ve güncellemelerin yapılması
• Eksik/yanlış politika ve süreçler

Kısaca ERP yazılımını üreten firma size güvenli bir yazılım teslim etse bile kurulum, konfigürasyon ve kullanım sırasında yapılabilecek hatalar güvenlik zafiyetlerine neden olabilir.

KDBA Cilt 3: Kimse bize özel yazılmış bir modülde zafiyet aramakla uğraşmaz
Öyle ya Windows işletim sisteminde bir zafiyet bulup şan, şöhret ve para kazanmak dururken kim bizim ABAP’ta haftalarca uğraşıp zar zor yazdığımız bu modülle uğraşsın? İşin gerçeği bir saldırganın kendi kullanımınız için geliştirdiğiniz bir modülde zafiyet bulması Windows gibi bir sistemde zafiyet bulmasından çok daha kolaydır. ERP yazılımlarının da kurumsal bütçeye yakın uygulamalar olmaları (dolayısıyla para çalmak isteyen bir saldırgan için cazip bir hedef) bu uğraşı haklı çıkartacaktır. Önceki iki varsayımın sonucu olarak çoğu ERP yazılımı ve modülü günümüz saldırganları tarafından kullanılan tekniklere karşı oldukça savunmasızdır. Windows, MAC OS, Linux, iOS gibi yaygın işletim sistemleri üzerinde binlerce kişi her gün zafiyetler ararken bu taramadan hiç geçmemiş, dolayısıyla hiç bir açığı tespit edilip kapatılmamış modülünüz büyük ihtimalle saldırgan karşısında fazla dayanamayacaktır.

KDBA Cilt 4: Her kullanıcın yapabilecekleri zaten sınırlı
Görevler ayrılığı ilkesi gereği her kullanıcının yetkilerini özel olarak ayarlamış olabilirsiniz. Bu zaten yapılması gereken birşey ve, ne yazık ki, tek başına bir güvenlik tedbiri sayılamaz. OWASP tarafından yayınlanan Kurumsal uygulama güvenlik zafiyetleri Top 10 listesi (OWASP Enterprise Application Security Project) tarafından ortaya konulan en yaygın olarak görülen güvenlik zafiyetleri listesinde kullanıcı hakları yönetiminden kaynaklı zafiyetler ancak üçüncü sırada yer almaktadır. Yama ve güncellemelerin yapılmaması ve fabrika çıkışı (default) parola kullanımı çok daha büyük sorunlardır.

ERP güvenliğinin zorlukları
Başta söylediğim gibi ERP yazılımları karmaşık yapılar üzerine kuruludur ve karmaşık olan herşeyin güvenliğinin sağlanması zordur. ERP güvenliği için yapılabilecek 5 basit şey sıralamak gerekirse aşağıdaki liste bize bir ölçüde yol gösterecektir.

1. Güvenli bir ERP yazılımı bulmak: Çoğu üreticinin yazılımları nispeten güvenlidir. Size özel gelişitirilen veya sizden başka çok az kullanıcısı olan yazılımlarının güvenliği konusunda endişeleriniz varsa yazılımı almadan önce tarafsız bir şirketten yazılım güvenliğine ve performansına ilişkin testlerin yapılmasını ve bulunan zafiyetlerin giderilmesini talep edebilirsiniz.

2. Güvenli bir kurulum yapmak
Yazılımın kurulacak ağ mimarisinin güvenli olması, yazılımın çalışacağı sunucuların işletim sistemlerinin güvenliği, fabrika çıkışı kullanıcı adları ve parolaların değiştirilmesi, üretici tarafından sunulan ek güvenlik seçenekleri/modülleri varsa bunların devreye alınması gibi konular titizlikle ele alınmalıdır.

3. Yazılımı yönetenlerin eğitimini sağlamak
ERP yazılımı üzerinde hangi değişikliklerin nasıl yapılacağının belirlenmesi, hangi kullanıcıların hangi yetkilerle bu yazılıma erişebileceği, uzaktan erişim şartlarının ne olduğu, kullanıcı davranışlarının ve veri tabanı hareketlerinin nasıl izleneceği gibi konular ele alınmalıdır.

4. Kullanıcı farkındalığının artırılması
Kullanıcıların oltalama saldırıları gibi sosyal mühendislik saldırılarına karşı bilinçlendirilmesi bu saldırılara karşı alınabilecek en etkili tedbirdir. Kullanıcı eğitimlerine güvenlik konusu mutlaka dahil edilmelidir.

5. Süreçlerin sürekli denetlenmesi
ERP yazılımının, kullanıcılarının ve veritabanının sürekli izlenmesi ve saldırgan veya alışılmışın dışında gözlemlenen hareketlerin hızlıca tespit edilip gerekli müdahalelerin yapılması hayati önem taşımaktadır.