S-400'leri Ben Alsaydım

Kısa bir süre için paralel bir evrende bir ülke yönettiğimi düşünelim. Her egemen ulus gibi bizim de hava savunma sistemlerine ihtiyacımız olacak. Ülkemizin bir iç denizi var o yüzden deniz üstü savunma sistemlerine ihtiyacımız yok. Etrafımızdaki dağlar da kara operasyonunu neredeyse imkansız hale getiriyor. Kısacası ülke, dört tarafı dağlarla çevrili ve denizin dört tarafını çeviren şirin bir bir yer. Ben de kral olarak "alacam S-2000Xi'leri, vurucam kırbacı, vurucam kırbacı" deseydim, aklıma gelen ilk konu bu sistemlerin içinde ne olduğu olurdu. Elbette broşürlerde bir şeyler yazıyorlar ama bu sistemlere ihtiyacım olduğunda çalışacaklarından nasıl emin olabilirim?

S-2000Xi görseli bulamadım, S-400'le idare edeceğiz

Hava savunma sistemi alacak olsam ilk gün yapacağım bazı şeyler olurdu. 

Hava savunma sistemlerini bekleyen tehlike

2007 yılının Eylül ayında, İsrail "Bostan Operasyonu" olarak adlandırılan saldırıda Suriye'nin kuzey doğusunda bir tesis bombaladı. 

Suriye'nin hava savunma sistemleri konusunda, onu bölgedeki diğer ülkelerden ayırın bir özelliği sahip olduğu hava savunma sistemleri. Önceki başkan Hafız Esat'ın hava kuvvetlerinde subay olmasından da kaynaklı olabileceğini düşünüyorum ama bu konuda elimde bir kanıt yok. Sonuçta Suriye 1967 yılından başlayarak hava savunma sistemlerine ciddi yatırım yapmış. Günümüzde 200'ün üzerinde bataryası olduğu düşünülen Suriye'nin en büyük tedarikçisi Rusya. 

2007 yılında düzenlenen saldırının parçalarına bakarsak;

• Suriye'nin elinde o dönemin gelişmiş sistemlerinden olan S-200 bataryaları vardı.
• İsrail saldırıyı 69. Filodan 4 adet F-15I (Ra'am - Yıldırım) ve 119. ve 253. filolardan 4 adet F-16I (Sufa - Fırtına) ile gerçekleştirdi. Fikir vermesi için F-15'in ilk uçuş tarihi 1972, F-16'nın ilk uçuş tarihi 1974. 

Görece yeni bir hava savunma sistemine karşı görece eski uçaklar. Peki İsrail bütün Suriye hava sahasını geçip saldırıyı nasıl gerçekleştirebildi? 

Tahmin edebileceğiniz gibi Suriye'nin hava savunma sistemlerini hackleyerek. Ra'am ve Sufa'lar Suriye üstünden uçarken hava savunma sistemleri bunları hiç görmedi. S-200'lerin ekranlarında sakin ve olaysız bir gökyüzünü bir kaç ticari uçuş dışında hiç bir şey yoktu. 2007 yılının Ağustos ayında (saldırıdan 1 ay önce) teslim edilen 96K6E Pantsyr'ler bile 30 yıldan eski bu uçakları göremedi. 

Bu olayın 2007 yılında yaşanmasının ardından hava savunma sistemleri gelişti. Ancak saldırganların da kendi silahlarını geliştirmediğini düşünmek, en hafif tabirle, saflık olur. 

Peki, benzer bir riskin var olup olmadığı ve bunun dışında S-400 konusunda nelere dikkat etmemiz gerektiğini nasıl bileceğiz? Bir kez daha bu tür sıkıntıların ilgili savunma sisteminin broşürlerinde yazacağını düşünecek kadar saf olmamakta fayda var. 

Nelere bakmak lazım?

Bu tür bir sistemi değerlendirirken iç ve dış riskleri ayrı olarak değerlendirmek lazım. Riskleri de kendi içlerinde ikiye ayırabiliriz; hatalar ve art niyetli olanlar. 

Sistemin kendisinden kaynaklı riskleri "iç riskler" olarak düşünebiliriz. Sistemin tasarımından, üretimine kadar geçen süreçte sisteme dahil olabilecek riskleri listelersek;

• Tasarım hataları
• Yazılım hataları
• Sistemin tedarikçi zincirinden kaynaklı riskler
• Üretim hataları
• Sistemi üretenler tarafından bırakılmış olabilecek arka kapılar
• Sistemin bağlı olduğu ağa yönelik yapması muhtemel keşif çalışmaları

Dış riskler ise sistemleri dışarıdan etkileyebileceklerdir;

• Sistemin saldırılara karşı kendini koruma becerisi
• Sistemin siber saldırılara karşı ne kadar açık olduğu
• Sahte GPS sinyallerini tespit etme becerisi olup olmadığının tespiti (Bu saldırı vektörünün çok basit olması ve istismar edilmesi için çok az yatırım gerektirmesi beni biraz endişelendiriyor. Sadece hava savunma sistemleri için değil, Sahil Güvenlik botlarımızdan, Jandarma unsurlarına kadar ciddi şekilde ele alınması gereken bir tehdit olduğunu düşünüyorum. 

Özetle; kendi ülkeme S-400 alacak olsam bunları ülkeye girer girmez uzmanlara teslim ederdim. Arka kapı aramaktan siber saldırılara kadar sistemin kapsamlı bir güvenlik değerlendirmesinden geçirildiğinden emin olurdum. 

Tarih tekerrürden ibarettir derler, 2007 yılında Suriye'de yaşanan olaydan sonra yapılacak en önemli şey bu sistemlerin Rus, İsrail, A.B.D., Almanya, yunanistan, İran, ermenistan, Bulgaristan, aklınıza kim geliyorsa uçaklarını görebildiğinden ve görmeye devam edeceğinden emin olmaktır. 

Siber Ajan Olsam...

 FBI’ın “siber ajan” adıyla yeni nesil ajanlar alacağının haberleri çıktı. Bu ajanların, siber uzayda araştırma/soruşturma gibi faaliyetleri yürüterek, FBI’yı 2015 yılının gerçeklerine biraz daha yaklaştırmayı hedefledikleri ortada.

Ben Ajanken (temsili)

Bu haber üzerine biraz düşündüm ve fantezi olarak “siber ajan olsam...” dedim kendi kendime, “...bunları yapardım” diyerek başladım, iş biraz büyüdü ve “siber istihbarat ajansı kursam...” boyutuna vardı. Buyursunlar efendim; 2015 yılında “Siber MİT” veya “Siber İstihbarat Teşkilatı” (SİT) kuracaklara naçizane önerilerim.

Siber uzayı hava, kara, deniz ve uzaydan sonra beşinci savaş alanı olarak tanımlayanlar var, bana kalırsa da beşinci savaş alanı ama, kişisel görüşüm, dördüncü savaş alanının uzay değil, ekonomi olduğu yönündedir. Siber istihbarat işi yapacaksak, öncelikle düşman unsurları tespit edip, takip edip ve gerektiğinde müdahale edecek yeteneklere sahip olmalıyız. İsrail istihbarat birimleri konusunda biraz araştırma yapmış olanlar tanıdık bazı noktalara rastlayabilirler, tabii ki tesadüf değil. Amerika’yı yeniden keşfetmeye gerek olmadığını düşündüğüm için, bu konuda iyi örnekler arasında gösterilen İsrail’in istihbarat yapısından bazı öğeleri yorumladım.

Çatı birim

Siber uzayda her saniye bir gelişme oluyor, bunların arasından önemli ve raporlanması gerekenleri derleyecek ve “SİT” dışındaki paydaşlara bu bilgileri iletecek, bir çeşit arayüz görevi görecek birim.

Saldırılar, duyumlar, gelişmeler, yeni çıkan zafiyetler, siber casusluk ve açık kaynak istihbarat faaliyetleri sonucunda elde edilen bilgiler, önem ve yetki seviyesine göre diğer istihbarat birimleri, bakanlıklar ve özel şirketlerle paylaşılır. Özel şirketlere iletilecek bilgiler uluslararası alanda rekabetçi güçlerini arttıracak nitelikte olacaktır.

Çatı Birimi altındaki yapı çeşitli görevleri yürütecek şekilde bölünecek, ana konular;

• -       Açık kaynak istihbarat birimi
• -       Sızma ve siber saldırılar birimi
• -       İç eğitimler birimi
• -       Zafiyet tespiti ve istismar geliştirme birimi
• -       Operasyon güvenliği birimi
• -       Sinyal ve görüntü işleme birimi
• -       Donanım birimi
• -       Saldırı tespit birimi

Birimlerin işlerine kısaca ele alalım

Açık Kaynak İstihbarat Birimi

İnternete açık kaynakları kullanarak bilgi toplayacak birimin amacı iz bırakmadan ve “saldırgan” olarak yorumlanabilecek davranışlarda bulunmadan (port taraması, zafiyet taraması vs. yapmadan) bilgi toplamaktır. Sosyal medya üzerinden derlenecek bilgiler de bu birim tarafından anlamlandırılacaktır. Google aramasıyla ne bulunur ki? demeyin, aşağıda basit bir örnek verdim. Bir ödeme sistemi altyapısının kullanıcı kılavuzuna sadece arama motoru ile ulaştım, gördüğünüz gibi, hem “gizli” hem de “izinsiz dağıtılamaz” ibareleri var.

 Sızma ve Siber Saldırı Birimi

“Devletin Hackerları” burada çalışacak. Bu birimin amacı sıkça duyduğumuz APT (Advanced Persistent Threat – Gelişmiş Sürekli Tehdit) saldırılarını planlamak ve düzenlemek olmalı. “Dost” olarak niteleyemeyeceğimiz ülkelerin iletişim altyapılarından ve kamu kurumlarından düzenli olarak bilgi sızdıracak ve gerektiğinde sabotaj eylemi yapabilecek şekilde “sürekli saldırı” yaklaşımı ile çalışmalıdır.

İç Eğitimler Birimi

“Eğitim Şart”. Diğer birimlerin bilgi ve teknoloji olarak güncel olmasını sağlamak ve “Zafiyet Tespit ve İstismar Geliştirme Birimi” tarafından oluşturulan saldırı senaryolarının kullanılmasını sağlamak amacıyla sürekli eğitim verecek birimdir.

Zafiyet Tespit ve İstismar Geliştirme Birimi

Saldırı Biriminin işini anti-virüs yazılımlarına yakalanmadan ve devamlı olarak yapabilmesi için sıfır gün (0-day) açıklarını tespit edip, bunlardan faydalanabilecek istismar kodlarını geliştirecek birim.

Operasyon Güvenliği Birimi

Amerikalıların “OPSEC” (Operations Security) olarak adlandırdığı görevleri üstlenecek birim. Düşman unsurların “SİT” hakkında elde edebilecekleri bilgileri derleyen ve bunlardan nasıl faydalanabileceklerini düşünen birim. Siber istihbarat yapısının görünmez kalması önemlidir.

Sinyal ve Görüntü İşleme Birimi

Telsiz, radyo veya radar gibi internet dışında kalan iletişim kanallarının takip edilip buradan bilgi toplanmasının yanında diğer birimlerce elde edilen görüntülerde metadata veya gölge/yansıma gibi konularda analizler yaparak bunlardan bilgi çıkartacak birimdir.

Donanım Birimi

Donanımsal Truva atları veya ortam dinleme dronelarından telefonlarının içine Semtex veya PVV-5A yerleştirmeye kadar geniş bir yelpazedeki işlerde donanım “hacking” becerilerine sahip bir ekibe ihtiyaç olacak.

Saldırı Tespit Birimi

SİT kurulduktan sonra sürekli saldırı altında olmayacağını düşünmek saflık olur. Bu  nedenle genel yapının ve birimler arasındaki iletişimin güvenliğini sağlamak amacıyla bir Birim kurulması da gerekecek.

FBI tarafından verilen ilanda temel kriterler dışında pek bilgi yok ama önemli bir cümle var: “Temel değişmiyor: ‘Kötü adamları/kişiyi/kurumu/örgütü engellemek’”

Siber istihbarat konusunun sadece devletleri ilgilendirdiğini düşünmek yanlış olur. 2015 yılında, iş süreçlerimizin internete ve teknolojiye giderek daha bağlı hale gelmesi nedeniyle kuruluşlar da kendi “siber cephelerinde” savaşmak zorunda kalıyor.

KOBİ Siber İstihbarat Teşkilatı

Kabul ediyorum, yukarıda tarif ettiğim kadar geniş bir yapı olmayacak ama bugün KOBİ’lerden Bankalara, Bakanlıklardan Derneklere, internet üzerinde hizmet veya mal alan veya satan her kuruluşun temel düzeyde bir “istihbarat” becerisine sahip olması gerekmektedir.

Bu kapsamda ihtiyaç duyulacak becerilerden bazıları şunlardır;

Siber Olay Tespit Kabiliyeti: Belli aralıklarla yayınlanan araştırma sonuçları hala olay tespitinde yeterince hızlı davranamadığımızı gösteriyor. Ağınızda birilerinin varlığını tespit etmek veya veritabanınızın sızdırıldığını fark etmek  ve bunlarla ilgili zamanında ve doğru süreçler işletebilmek önemli. Bu nedenle saldırıları ve olayları tespit edecek bir yapı kurulmalıdır.

Zafiyet taraması: Açık kaynaklı veya ticari olarak satılan zafiyet tarama araçlarını kullanarak belirli aralıklarla sistem ve ağınızı zafiyetlere karşı taramak, en azından basit, saldırılara karşı tedbir almanıza imkan verir.

Pasif zafiyet taraması: Kuruluş envanterinizde bulunan donanım ve yazılımlarla ilgili yayınlanan zafiyetleri takip edip, bunlar için gerekli tedbirleri almak önemlidir. Çoğu saldırının zafiyetler yayınlandıktan sonra ile güncellemenin yapılması arasında geçen sürede en etkili olduğunu düşünürsek bu çalışma risk seviyenizi düzenli olarak belli bir seviyenin altında tutmanızı sağlar.

Komşularla ilişkiler: İstenmeyen e-postaların hangi IP bloğundan geldiği, web sunucusunu paylaştığınız diğer şirketlerden birinin sayfasının hacklenip hacklenmediği, mail adreslerinizin karalistelerden birine girip girmediği gibi temel göstergeleri takip ederek siberuzayda sizi ilgilendiren gelişmeleri takip etmekte fayda var.

Robotların yarattığı tehlike

Mert Özkan Özcan’a fikir ve destek için teşekkür ederim

 Tehlikeli robot (temsili)

Robotların dünyayı ele geçirdiği “korkunçlu” senaryolardan birisini kastetmiyorum. Google ve benzeri arama motorları tarafından kayıtlara alınmasını istemediğimiz sayfaları yazdığımız ve kısaca aşağıdaki benzer bir tablo oluşturan robots.txt sayfasını kastediyorum.

Göreceğiniz gibi arama motorlarına açıkça “bu sayfalara bakma” demek için kullandığımız bu sayfalar, saldırganlar için bir bilgi madeni olabilir. 2015 yılı itibariyle “gizleyerek güvenlik” (security through obscurity – korumaya çalıştığımız şeyleri saldırganlardan gizleyerek bir savunma hattı oluşturma fikri) yaklaşımından hızla çıkmamız gerekiyor. Binlerce belki de yüzbinlerce arama motorunun ve “örümceğin” sürekli gezdiği ve endekslediğin bir yer olan internete koyduğunuz hiç bir şeyi gizlemeniz mümkün değildir.

Sadece robots.txt dosyasına bakarak saldırganların ulaşabileceği bilgilere birkaç basit örneği aşağıda derledim.

Örnek 1: Yetkili kullanıcı girişi tespiti

Aşağıdaki örnekte, web sayfasının yetkili kullanıcı girişinin robots.txt dosyasına yazıldığını görüyoruz. 

kurum.gov.tr/administrator adresini ziyaret ettiğimizde ise aşağıdaki sayfayı görüyoruz. 

Bu sayfaya bakarak kurumun Joomla içerik yönetimi sistemini kullandığı konusunda bir tahmin yürütmemiz mümkün olabilir. Giriş ekranlarını atlatmaya yönelik teknikler bu sayfa üzerinde denenebilir ve zayıf parola kullanımı, fabrika ayarlı kullanıcı/parola eşleşmesi, kaba kuvvet giriş denemesi, vb. herhangi birinin başarılı olması durumunda saldırgan hedef web sayfasını değiştirebilecek hale gelebilir. 

Örnek 2: Hedef sistem tespiti

Aşağıdaki örnekte robots.txt dosyasında "/log/" adresini görüyoruz. 

Bu adresi ziyaret ederek, kullanılan sistem tarafından yayınlanan özelleştirilmiş bir hata ekranına ulaşıyoruz.

Örnek 3: Güvenlik tedbiri ifşası

Bir başka kurumunun web sayfasındaki robots.txt dosyası aşağıdaki gibidir;

Bu dosyadaki adresleri ziyaret ederek aşağıdaki bilgilere rastlıyoruz;

Web sunucusu dizin yapısı ve sunucu bilgisi ifşası.

Talebin "filtreleme modülü" tarafından engellendiğini belirten uyarı mesajı.

Bu örnekte de karşımıza yetkili kullanıcı girişi ekranı çıkmaktadır. Bu seferki içerik yönetim sisteminin özel olarak geliştirilmiş olması ve geliştiren firmanın da bilgilerinin ekranda bulunması bu yapının ticari veya yaygın olarak kullanılan içerik yönetim sistemlerine göre daha az güvenli olabileceğini düşündürüyor. 

Örnek 4: Kullanıcı bilgileri ve kullanım alışkanlıkları ifşası

Güvenlik ve yazılım konularında yazılar yazan ve kendini geliştiren, çok takdir ettiğim bir arkadaşımın sitesinde ise robots.txt dosyasında, pek çok şey arasında, "/statistics.html" adresini görüyoruz. 

Bu adresi ziyaret ettiğimizde ise sitenin yetkili kullanıcısının bilgilerini, yazdığı yazı sayısını ve siteye en son ne zaman giriş yaptığı gibi saldırgan için önemli olabilecek bilgilere ulaşabiliyoruz

İnternete bağlı olmayan sistemleri hacklemek

Son zamanlarda “side channel” olarak adlandırılan “yan kanal” saldırıları üzerinde yapılan çalışmalar ve elde edilen başarılı sonuçlar bu saldırı vektörünün önümüzdeki yıllarda daha fazla kullanılabileceğinin göstergesidir. Bir sistemle Ethernet bağlantısı gibi “normal” tabir edebileceğimiz bir iletişim kanalı dışında elektromanyetik sinyaller veya işlemci tarafından tüketilen elektrik miktarından yola çıkılarak yapılan işlemi anlamak veya hedef sisteme komut göndermek mümkün olmaktadır.

İngilizcesi “air-gap” olarak bilinen ve özünde korumaya çalıştığımız ağ veya sistem ile internet arasında bir “hava boşluğu” oluşturmak üzerine kurulu olan yaklaşımın son zamanlarda çeşitli şekillerde atlatılabildiği ortaya çıkmaktadır. 2014 yılının yaz aylarında İsrail’de Ben-Gurion Üniversitesi Profesörlerinden Yuval Elovici bu konuda yeni bir yöntem ortaya koymuştu.

Hava boşluğu yaklaşımı günümüzde aşağıdaki gibi önemli ağ ve sistemleri korumak için kullanılmaktadır:
– Askeri/Hükümet sistemlerin güvenliği
– Finansal/Bankacılık sistemlerin güvenliği
– SCADA sistemleri gibi altyapı kontrolü için kullanılan sistemlerin güvenliği
– Nükleer tesis bilgisayar sistemleri
– Uçuş ve uçuş kontrol sistemleri
– Bilgisayar destekli tıbbi cihazların güvenliği

Belli bir hedefe özel geliştirilmiş ve APT (Advanced Persistent Threat) saldırıları dahilinde kullanılan zararlı yazılımların “megastar’ı” olan Stuxnet‘in hava boşluğunu USB bellek gibi taşınabilir depolama aygıtları sayesinde aşmaktadır. Geçtiğimiz yaz ortaya konulan araştırma sonuçları ise hava boşluğu ile sağlanan güvenliğin sistemlerin yaydığı elektromanyetik dalgalar kullanılarak atlatılabildiğini göstermiştir.

NSA’in COMSEC (Communication Security – iletişim güvenliği) altında ve “TEMPEST” kod adıyla bilinen bir program kapsamında sistemlerin yaydığı elektro-manyetik sinyallerin yakalanarak işlenmesi ve düşmanın da kendi elektro-manyetik sinyallerini yakalamasını engellemek üzerine çalıştığını zaten biliyorduk.

Geçtiğimiz senenin sonlarında Almanya’da bir araştırma biriminin iki adet Lenovo T400 laptop arasında, sadece fabrika çıkışı mikrofon ve hoparlörleri kullanarak veri alışverişi yapabilmiş olması IP dışında yöntemlerin veri sızdırılması için kullanılmasını gündeme getirmişti. Bağlantı hızı saniyede 20 bit ve uzaklık 19 metre idi ama pek çok kişinin aklında soru işaretleri oluşturmaya yetecek kadar önemli bir gelişmeydi. Bu gelişme üzerine TEMPEST’in önemi bir kez daha anlaşılmıştı.

TEMPEST standartlarının gizli olarak sınıflandırılmış olması sebebiyle bu konuda çok detaylı bilgiye sahip değiliz, ancak NATO’nun kendi TEMPEST standartları 3 temel koruma düzeyi belirlemektedir. Bunlar; NATO SDIP-27 seviye A, B ve C (NATO SDIP-27 Level A, B and C) olarak bilinmektedir. C seviyesi düşmanın korunması gereken sisteme 100 metreden fazla yaklaşamadığı senaryolara göre hazırlanmıştır ve A ve B seviyelerine göre biraz daha rahattır. B seviyesi ise düşman ile en az 20 metre mesafe olan durumlara göre düzenlenmiştir. NATO SDIP-27 seviye A ise düşmanın korunması gereken sistemlere 1 metre kadar yaklaşabileceği durumlara göre hazırlanmıştır.

Geçtiğimiz yaz ise Profesör Elovici hava boşluğu ile korunan sistemler için cep telefonlarının bir tehdit oluşturduğunu ortaya koydu. Oltalama (phishing) saldırısı ile akıllı telefona bulaştırılan bir zararlı yazılım bulaştığı telefonun bulunduğu ortamlarda havadaki elektro-manyetik sinyalleri taramaya başlıyor.

Zararlı yazılım havada tespit ettiği sinyallere müdahale ederek hedef sisteme bir zararlı yazılım yüklenmesini sağlıyor. Yüklediği zararlı yazılım ile telefon arasında radyo sinyalleri kullanan bir ağ oluşturan zararlı hedef sistemden elde ettiği bilgileri cep telefonunun bağlantılarını kullanarak dışarıya aktarmakta ve aynı şekilde talimatları telefon üzerinden almaktadır. Bu saldırının demosu aşağıdaki videoda görülebilir.

Profesör Elovici bu saldırılara karşı şu anda tek etkin yöntemin telefonları kapatmak olduğunu belirtiyor ancak günümüzde bunun ne kadar uygulanabilir bir çözüm olduğu tartışılır.

Bu ay ise, yine Ben-Gurion Üniversitesi’nde Profesör Yuval Elovici yönetiminde araştırmacı Mordechai Guri tarafından yapılan bir araştırmanın sonucu yayınlandı. Araştırma sonuçlarına göre hava boşluğu ile ayrılmış sistemlerden “BitWhisper” oalrak adlandırılan yöntem ile bilgi sızdırılabilmiştir.

Saldırı ele geçirilmiş ve hava boşluğu ile ayrılmış iki sistem arasında bilgisayarların içinde bulunan ısı sensörleri kullanılarak gerçekleştirilmektedir.

Aşağıdaki videoda birbirine kablolu veya kablosuz hiçbir bağlantısı olmayan iki sistem görülmektedir. Ekranın sağ tarafında görünen bilgisayar füze komuta sistemi olarak düşünülmüş ve USB portu üzerinden bu ufak çaplı simülasyona imkan verecek bir düzenek kullanılmıştır. Sol taraftaki sistem ise farklı bir ağa bağlı ve ele geçirilmiş bilgisayardır.
Saldırgan önce oyuncak füze rampasının döndürülmesi için bir komut, ardından da fırlatma komutunun gönderiyor.
Ekranın sol alt köşesinde ise bu işlemin sistem ısısı üzerindeki etkileri izlenebiliyor.

Ülkemizde de Aselsan tarafından üretilen SAHAB (2180 Sanal Hava Boşluğu Sistemi) veya tek yönlü veri iletişimine imkan veren data diyotları benzeri hava boşluğu ile korunan sistemlerin güvenliğinin sağlanması için kullanılan çeşitli yöntemler aklınıza gelebilir. Hava boşluklarını atlatmak için kullanılan yöntemlerin “yan kanal” (side channel) olarak adlandırılabilecek ve sistemlerin asıl iletişim yollarının dışında faaliyet göstermesi bu tür güvenlik sistemlerinin etkisiz kalmasına neden olmaktadır. Saldırı kodlarının iletilmesi için bilgisayarın ethernet kablosu yerine işlemcinin yaydığı ve kullandığı elektromanyetik sinyallerden faydalanılması bu tür yöntemlere verilebilecek güzel bir örnektir.

Bu gelişmelere rağmen hava boşluğu ile korunan sistemlerin güvenliğinin yok olduğunu söylemek mümkün değildir. Elektromanyetik veya ısı sinyallerinin net olmaması, ortamda benzer özelliklerde pek çok sinyal kaynağının bulunması (BitWhisper örneğinde güç kaynağı gibi diğer ısı kaynaklarını düşünebiliriz) saldırganların sinyalleri yakalamalarını ve kullanabilecekleri sinyalleri parazitlerden ayırdetmeleri oldukça sordur. Buna ek olarak elektromanyetik veya ısı sinyallerinin zayıf olmaları da işi biraz daha zorlaştırmaktadır. Georgia Institute of Technology araştırma görevlisi olarak çalışan Alenka Zajic daha önce bu sorunların saldırganlar tarafından nasıl aşılabileceğini kanıtlamak adına SAVAT adlı bir teknoloji geliştirmişti. Signal AVailable to ATtacker (saldırgan tarafından yakalanabilen sinyal) kelimelerinden türetilmiş bu isim belli bir komut veya programın işlemci tarafından uygulanırken oluşan elektromanyetik sinyallerin daha hassas biçimde yakalanmasına ve işlenmesine imkan vermektedir. Ben-Gurion üniversitesinin çalışmaları ise bu tür saldırıların üniversitelerin laboratuvarlarının dışında da görülebileceğini açıkça ortaya koymaktadır.

İlk bakışta bu saldırıların bazı askeri ağlar dışında kimi ilgilendirdiğini göremeyebiliriz ama bir sisteme Ethernet gibi normal kabul edilebilecek iletişim yolları dışında saldırabilmenin aşağıdaki senaryolarda sayısız faydası olacaktır;

Ortak veri merkezleri:
Saldırganın hedefin bulunduğu veri merkezine bilgisayar konumlandırabileceği veya aynı veri merkezinde bulunan ve hedefle doğrudan bağlantısı olmayan bir sistemi ele geçirebilmesi durumunda.

Sanallaştırma:
Bulut bilişim altyapıları gibi saldırganın hedefle aynı sanallaştırma platformundan makine kiralayabileceği durumlar. Bu tür altyapılar kullanıldığında sanal güvenlik duvarı gibi çözümlerin kullanılmasında fayda vardır. “Side channel” çalışmaları sanallaştırma platformları için de yürütülmekte ve hypervisor ile sanal makine arasında bilgi alışverişinin sanal ağ dışında sağlanabildiğini gösteren sonuçlar vardır. Sanallaştırma platformlarına karşı yapılan yan kanal saldırıları arasında en etkin olarak görüleni fiziksel makinenin işlemcisinin saldırgan tarafından izlenerek hedef sistemin işlemci kullanımının kaydedilmesidir.

Yukarıda sözü edilen saldırılar dışında bugün bilinen yan kanal saldırılarını aşağıdaki başlıklara ayrılabilir;
– Zamanlama saldırıları: Apache sunucu üzerinde mod_SSL ile belirli talepleri işlemek için gerekli süre ölçülerek 1024 bitlik şifreleme anahtarı tespit edilebildi.
– Akustik kryptanaliz: 10 dakikalık klavye sesi ile yazılan metnin %96’sı ve 10 haneli parolaların %69’u tespit edilebilmiştir.
– Güç tüketimi analizi: İşlemci tarafından harcanan güç ölçülerek “if” gibi şartlı işlemlerin sonucunun tespit edilmesi mümkün olmuştur.

Bu tür saldırılara karşı alınabilecek bazı tedbirler vardır. Ancak hem saldırıların henüz çok yaygın olarak görülmüyor olması hem de tedbirlerin bazılarının ciddi yeniden yapılandırma çalışmaları gerektirebileceğini düşünerek askeri, kamu kurumu ve savunma sanayi gibi stratejik sektörler dışında kalanların bu saldırılar konusunda henüz paniklemelerine gerek olmadığını söyleyebiliriz. Stratejik olarak sayabileceğimiz kurumların ise bu tür saldırılara ne kadar duyarlı olduklarını ortaya çıkartmalarında fayda vardır.

Yan kanal saldırılarına karşı alınabilecek bazı tedbirler şunlardır:
– Elektromanyetik sinyallerin yayınlanmasını engelleyecek tedbirlerin alınması
– Kullanılan altyapının kimlerle ve nasıl paylaşıldığının denetlenmesi ve gerekli hallerde sistemlerin yerlerinin değiştirilmesi
– Kurum içerisinde cep telefonu kullanımının sınırlandırılması ve hava boşluğu ile korunan sistemlerin duvarlara, pencerelere ve internete bağlı diğer sistemlere olan uzaklığının denetlenmesi.
– Farklı sinyal kaynaklarını eklenerek parazit oluşturulması.
Araştırmalar bu tür bir parazit sinyal kaynağının bulunduğu ortamlarda başarılı bir saldırı için saldırganın en az iki kat fazla sayıda sinyal numunesine ihtiyaç duyduğunu göstermektedir.

Bu tedbirler dışında, biraz daha teknik olmakla beraber aşağıdaki önemlerin düşünülmesinde fayda vardır;
– Rastgele anlarda ve kritik bir işlem yapılmıyorken işlemcinin çalıştırılması (örn: rastgele şifre çözme ve şifreleme işlemlerinin yapılması)
– Kararların IF yerine AND veya OR gibi operatörlerin veren uygulamaların kullanılması
– Rastgele bekleme (DELAY) eklemek

Yukarıdaki liste, yan kanal saldırılarına karşı savunma mantığının nasıl kurulması gerektiğine dair bir fikir vermesi için derlenmiştir ve tam ve eksiksiz bir liste olarak düşünülmemelidir.

Mevcut bilgi güvenliği yönetimi anlayışımızın dışında yaklaşımlar sergilememizi gerektiren bu saldırı vektörü konusunda yeni çalışmalar konusunda meraklanmamak elde değil.  

Tıbbi Cihazların Hacklenmesi

Billy Rios adlı bir Bilgi Güvenliği Uzmanı geçtiğimiz yaz ölümcül bir durumla karşı karşıya kalmasına neden olan bir durumda hastanenin acil servisine girdiğinde kendi durumunun kritikliğine çok az odaklanabilmişti. Bunun nedeni ise, acil serviste gördüğü otomatik ilaç pompalarını daha önce yürüttüğü bir güvenlik araştırmasından hatırlamasıydı. Bilgi Güvenliği Uzmanının beyin omurilik sıvısın burnundan akıyor olmasından çok, onu bağlayacakları ilaç pompasının “hacklenmesi” konusunun endişelendirmesinin somut bir nedeni vardı.

Rios’un tespit ettiği zafiyet her hangi birinin internet üzerinden pompanın ilaçlar için belirlediği üst ve alt doz miktarlarını değiştirmesine imkan veriyordu. Bu güvenlik açığından faydalanan bir hacker pompaların ölümcül sınırların üstünde ilaç verip hastaların ölümüne neden olmalarını sağlayabilirdi.

Bu konuda araştırma yapan başka bilgi güvenliği uzmanları daha önce internet üzerinden erişilebilir ve yönetilebilir halde insülin pompaları, defribilatör ve çeşitli tıbbi cihaz tespit etmişlerdi. 2011 yılında Jerome Radcliffe adlı bir araştırmacı birkaç dolarlık basit bir düzenek kurarak otomatik insülin pompalarının dozlarının uzaktan değiştirilebileceğini göstermiş ve ondan beri her sene kalp pilinden, radyoloji cihazlarına kadar pek çok tıbbi cihaz için yeni “hacklenme” yöntemleri ortaya çıkmaktadır.

  Üzgünüz, böbreğinizi “hacklemişler” (temsili) 

İlaçları hastalara otomatik olarak veren bu pompaların üreticilerinin dokümanları cihazların yazılımlarında “insan hatasından kaynaklanan nedenlerle yanlış doz kullanımı” durumlarına karşı ek tedbirlerin bulunduğu açıkça belirtmektedir. Rios tarafında tespit edilen güvenlik zafiyeti ise, cihazın hastane yönetim sistemi ile kurduğu iletişime müdahale ederek, sistemden alması gereken güncelleme yerine saldırgan tarafından gönderilen sahte güncellemenin cihaza yüklenmesine imkan veriyor. Bu sayede hacker pompanın kendi üzerinde bulunan ve bu tür müdahalelere karşı bir miktar koruması bulunan yazılıma saldırmak yerine bu pompaları merkezi olarak yöneten yazılıma müdahale ederek amacına ulaşabilir.

Billy Rios, markasını burada vermeyeceğim ancak dünya genelinde 55,000’den fazla hastanede kullanılan bu ilaç pompalarını yöneten yazılımda 4 farklı güvenlik zafiyeti tespit etmiştir.

Tespit ettiği bu yazılım kaynaklı güvenlik zafiyetlerine ek olarak sistemlerin güncellemeleri için kullanılan işlemlerde de önemli bir zafiyet bulunmaktadır. Akıllı telefonlarımızın güncelleme indirirken güncellemenin kaynağını ve indirilen güncelleme dosyasının bütünlüğünü kontrol etmesini sağlayan bazı tedbirler vardır ve bu nedenle her hangi birinin size “uygulama güncellemesiymiş gibi” zararlı yazılım gönderme imkanı yoktur. Rios, yaptığı çalışmalarda, yazılımda tespit ettiği güvenlik zafiyetlerine ek olarak bu tür bir kontrolün de yapılmadığını görmüş. Bu zafiyet her hangi birinin “güncelleme” dosyası gibi görünen bir zararlı yazılımı pompaya yükleyerek pompanın yönetimini ele geçirmesine imkan verebilir.

Her geçen gün, kardiyolojiden onkolojiye kadar geniş bir yelpazede kullanılan başka cihazların da hastane yönetim sistemleri ile bağlantılı halde (güncelleme, doz, tedavi veya hasta bilgisi gibi verileri gönderip aldığı) çalışmaya başlaması tıbbi cihazların güvenliği konusunu gündemimize taşımaktadır. Nesnelerin interneti konusunun somutlaşmaya başladığı bu günlerde, özellikle acil servis gibi noktalarda cihazların gerçek zamanlı veri akışına imkan verecek biçimde birbirine veya bir sisteme bağlı olması hayat kurtarabilecek bir gelişmedir.

Geçtiğimiz senenin Ekim ayında A.B.D. İç Güvenlik Bakanlığı (U.S. Department of Homeland Security) 20’den fazla tıbbi cihazın hackerlar tarafından ele geçirilebileceği düşüncesiyle geniş çaplı bir araştırma başlatmıştı. Reuters haber ajansına kimliğini gizleyerek açıklamalarda bulunan bir bakanlık yetkilisi, araştırmaların siber saldırı şüphesi üzerine başlatıldığını söylemişti. Söz konusu tıbbi cihazların “hacklenmesi” olduğunda 2007 yılında, o dönemin A.B.D. Başkan Yardımcısı olan Dick Chenney’in kullandığı kalp pilinin kablosuz iletişim özelliğini devreden çıkarttığını hatırlamadan edemeyiz. Bu konu çok geniş yankılar bulmuş ve bazı dizilerin senaryolarına bile eklenmişti.

Tıbbi cihazların “hacklenmesi” konusunda tek felaket senaryosu birilerinin uzaktan öldürülmesi ile sınırlı değildir. Bu cihazların hasta kayıtlarını ve verileri gönderdiği ve depoladığı sunucuların da bu cihazlarla olan iletişiminin güvenlik seviyesinin yetersiz olduğunu gösteren araştırmalar vardır. Bu seviyedeki güvenlik zafiyetlerinin istismar edilmesi hasta kayıtlarının silinmesine veya değiştirilip yanlış teşhis ve tedavilere neden olunmasına imkan verebilir.

Tıbbi cihazlarının güvenliği konusunda karşılaşılan en büyük sorunlardan birisi de bu cihazların yönetildiği ara yüzlerin internet üzerinden erişilemez olduğu ve sadece hastane içerisindeki bir bilgisayardan çalıştığı varsayıldığı için asgari güvenlik tedbirlerinin de bir bölümünün alınmamasıdır. Örneğin, hemşire bilgisayarından yönetilen veya takip edilen bir cihazın kontrol paneline ulaşmak için ya hiç parola istenmemesi veya “1234” gibi çok basit parolaların kullanılması, tıbbi cihazların güvenliğini olumsuz yönde etkilemektedir. Yaptığım güvenlik testlerinden birinde 100’e yakın hemşirenin kullandığı bir yazılımda “test” adlı tek bir kullanıcı gördüğümde inanamamıştım, sonradan bu kullanıcının hastane henüz yazılımı almadan denerken açıldığı ortaya çıkmıştı. Hastane yazılımı satınaldıktan sonra da kimse yeni kullanıcılar eklemekle uğraşmamış, mevcut kullanıcı bilgilerini paylaşıp kullanmaya devam etmişlerdi.

İnternete doğrudan bağlı olmasa bile başka cihaz veya sistemlerle kablolu veya kablosuz olarak her hangi bir şekilde iletişim kuran bütün cihazların “hacklenebilir” olduğunu hatırlayıp gerekli güvenlik tedbirlerinin alınmasında her zaman fayda vardır.

Intel İşlemcilerde Rowhammer Zafiyeti

Belirli aralıklarla “seksi” zafiyetler çıkıyor. Bunlardan bazıları Heartbleed ve Shellshock gibi etkileri veya hedef aldıkları sistemlerin yaygınlığı ile dikkat çeker (ki hatırlayalım Heartbleed’in logosu vadı), bazıları ise istismar kolaylıkları ile. Geçtiğimiz aylarda iPhone’ları bir SMS ile kilitleyen bir zafiyet çıkmıştı, yakın zamanda ise Android telefonların MMS mesajıyla ele geçirilmesini sağlayan bir zafiyet çıktı.

Ne olursa olsun, magazin medyası gibi pek çok güvenlik ürünü satan şirket bunları “korku hikayesi” anlatmak için kullanmayı seviyorlar. Neredeyse “tek MMS’le Android hackleniyormuş, gelin firewallunuzu yenileyin” diyecekler. Hele bir de “APT” kelimesini aynı cümle içine yerleştirmenin yolu bulunursa, ilgili ofislerde öyle bir bayram havası eser ki, sanırsınız Ankara’dan abileri gelmiş.

Yazılımlar olduğu sürece bu tür zafiyetler çıkacak, tıpkı başka bir ülkenin “siber ordusuna” bağlı hackerların istedikleri sisteme sızabilecekleri gerçeği gibi, bu kabullenmek zorunda olduğumuz bir şey. Bunlardan kaynaklı riskleri kabul edip, yönetmemiz gerekiyor.

MMS ile Android hacklemenin magazinsel boyutunu bir yana bırakarak, özellikle benim hizmet verdiğim kurumsal müşteri profilinde, daha çok can yakabileceğini düşündüğüm başka bir zafiyete dikkat çekmek istiyorum. Henüz 1 milyara yakın Android işletim sistemini kullanan cihazın olabileceğinin şokunu atlatamamışken, Intel işlemcileri etkileyebilecek bir zafiyet duyuruldu.

“Rowhammer” adı verilen bu zafiyeti istismar eden saldırganlar hedef sistem üzerinde yetkilerini yükseltebiliyorlar. Bilindiği kadarıyla uzaktan istismar edilebilen ve yazılımın donanımı etkilediği ilk zafiyet bu. Kötü haberi hemen vereyim; bu donanımsal bir zafiyet olduğu için 2009 yılından beri üretilen bütün Intel işlemcilerde olma ihtimali var.

Rowhammer nedir?
Kısaca; DRAM (Dynamic Random Access Memory) işlemcilerde iki hafıza parçasına (saldırgan) sıkça ve sürekli erişerek üçüncü bir hafıza parçasında (kurban) bit değişikliğine neden olan bir zafiyettir. Konu hakkında yayınlanmış makaleye http://users.ece.cmu.edu/~yoonguk/papers/kim-isca14.pdf adresinden ulaşabilirsiniz. Kurban olarak belirlenen hafıza parçasının saldırgan tarafından kullanılan prosesin emrindeki hafıza parçasının dışında olması nedeniyle bu zafiyet istismar edilerek yetki yükseltilebiliyor.

Zafiyet işlemcilerin boyutlarının sürekli küçülmesinin doğal bir sonucu olarak karşımıza çıkmaktadır. İşlemci küçülürken işlemci bileşenleri birbirlerine yaklaşıyor ve kullandıkları elektrik akımının bir başka bloğa atlamasını engellemek zorlaşıyor. Bu elektrik “kaçakları” kullanılarak da hafızanın, kullanıcı yetkilerimiz veya uygulamalarımız itibariyle, bizimle hiç alakası olmayan bir hafıza bloğuna etki etmemiz mümkün oluyor. Konuyu çok dağıtmadan anlatmak adına aşağıdaki görseli hazırladım;

Rowhammer
Bu örnekte DRAM hücresi olan A’ya saldırgan kendi yetkileriyle yazabildiğini varsayalım, bu kısım yetkisiz bir kullanıcının kullanabildiği bir yazılımın ulaşabildiği blok olsun. B ise kullanmaya yetkimiz olmayan bir hafıza bloğu. A’ya kısa sürede belli miktarda veri yazarsam (bkz. 1’i devamlı 0, 1, 0, 1, 0, vb… değiştirmek) oluşturduğum elektrik akımıyla bir süre sonra B’deki değer de değişebiliyor (0 ise 1, 1 ise 0 oluyor). Google tarafından test edilen 29 laptop işlemcisinin önemli bir kısmının bu zafiyetten etkilendiği görülmüş. Kullandığınız sistemlerde bu zafiyetin olup olmadığını anlamak için, yine Google’un geliştirdiği bir test yazılımına https://github.com/google/rowhammer-test adresinden ulaşabilirsiniz.

Aklımıza hemen gelen Intel işlemci kullanan PC’lerin dışında Apple’ların veya Cisco gibi ağ ve güvenlik cihazlarının da Intel marka işlemci kullanmaları bu tehdidin çok geniş bir kitleyi etkilemesine neden olmaktadır.

Neden Şimdi?
Yukarıda okuduklarınız geçen senenin sonu ve bu senenin başında belirli çevrelerde konuşulan bir konuydu. Genelde bunun gibi, henüz yaygınlaşmamış veya çok özel koşulların oluşmaması durumunda istismar edilemeyecek zafiyetleri, biraz da yok yere uykumuz kaçmasın diye, çok dillendirmiyorum. Geçtiğimiz hafta Avusturya Graz Üniversitesinden araştırmacılar tarafından yayınlanan bir makalede (http://arxiv.org/pdf/1507.06955v1.pdf) Rowhammer zafiyetinin bir JavaScript betiği ile nasıl istismar edilebileceği gösterildi.

Normal şartlar altında, saldırganın doğrudan işlemciyle konuşabileceği durumlarda istismar edilebilecek bu zafiyet herhangi bir websayfasının içine saklanabilecek hale geldi. Teorik bir saldırı bir anda karşımıza, “kurban buraya tıklıyor ve işleri bitiyor” senaryosu ile, çıktı. Rowhammer zafiyetine karşı bir süredir üreticiler BIOS güncellemeleri yayınlıyorlar ancak kullanıcıların ne kadar azının düzenli olarak BIOS güncellemesi yaptığını düşünürsek tehdidin internet kökenli olması nedeniyle tarayıcı üreticilerinin de bir çözüm üzerinde çalışmalarında fayda olacak gibi görünüyor.

Süper Zafiyet’e Hazır Olmak
Android “Stagefright”, “Heartbleed”, “POODLE” ve “Shellshock” gibi internete bağlı pek çok sistemi etkileyebilecek bir “Süper Zafiyet” ile daha karşı karşıyayız. Son zamanlarda bu tür zafiyetlerin sıkça çıkması nedeniyle kuruluşların bu ölçekteki zafiyetlere karşı hazır olmaları gerekiyor. Bu amaçla aşağıdaki noktaları dikkate alarak “bir sonraki geniş çaplı zafiyete” hazırlık yapmamızda fayda var;

“Bununla yaşamayı öğrenmeliyiz”
Deprem zamanı sıkça duyduğumuz bu söz bilgi güvenliği konusunda da geçerlidir. Er yada geç, bu geniş çaplı “süper zafiyetlerden” birisi kuruluşumuzda bulunan sistemleri etkileyecek (kayıtlara geçmesi açısından, şu ana kadar yazıda adı geçenlerin hepsi, büyük ihtimalle zaten etkiledi veya etkiliyor).

Takip Etmek
Bilinmeyen bir zafiyetin istismar edilmesini engelleyemeyiz. Mesela Rowhammer, kumhavuzu (sandbox) teknolojisinin atlatılması için de rahatlıkla kullanılabileceği için savunma hattımız etkisini yitirecektir. Bu nedenle sadece savunmaya odaklanmak yerine savunmanın aşıldığı senaryoları da dikkate alarak, örneğin kuruluş ağından çıkan internet trafiği izlenmelidir.

Hazır Olmak
Kuruluş içerisinde bilgi güvenliğinden sorumlu birimlerin hazır olması gerekmektedir. Böyle bir durumla karşılaştıklarında nasıl tepki verecekleri kuruluşun olaydan asgari kayıpla çıkmasını sağlayabilecek önemli bir etkendir. SOME (Siber Olaylara Müdahale Ekibi) süreçlerine ve hazırlık senaryolarına bu tarz “süper zafiyet” durumlarının da eklenmesi şarttır.

Evanteri Bilmek
Kuruluş bünyesinde kullanılan bütün yazılım ve donanımların listesinin olması Rowhammer örneğinden de anlaşılacağı gibi çok önemlidir. Bu yazıyı okurken ya kuruluş ağınızdaki Intel işlemcileri biliyordunuz veya yarın ilk iş bunları çıkartmak için uğraşacaksınız. Kriz durumları yaşanmadan bu envanter çalışmasını yapmakta fayda var.

En kötüsüne Hazır Olmak 
Üreticinin güncelleme yayınladığı durumlarda işimiz nispeten kolay ancak üreticinin güncelleme veya yama yayınlamadığı durumlarda da ne yapacağımızı bilmemiz şarttır. Üreticinin size yardımcı olamadığı (en azından an itibariyle) durumlar için de bir kontrol listesi hazırlamamız gerekiyor.