Internet’in iş yaşamının ayrılmaz bir parçası olmasının ardından, şirketlerin bilgi işlem müdürleri tüm ilgilerini web ve mail sunucuları ile tümünün korumasını sağlayan firewall ve benzeri güvenlik sistemleri üzerine odakladılar. Peki unuttuğumuz bir başka yumuşak karın yok mu? Örneğin PBX sistemlerimiz gibi.
Teknolojinin baş döndürücü hızında, tehdit algımız çok hızlı bir şekilde değişti. Günlük gazete haberlerinde bile Hacker’ların bankalara, kamu kuruluşlarına yaptığı siber saldırıları olağan karşılamaya başladık. Ancak unutmayalım ki, Internet’ten önce ve halen özellikle iş yaşamımızın en önemli parçası telefon!
Telefon dendiğinde aklımıza gelen ilk gelen şey, şirketimizde masamızda duran bir telefon, yanı başımızdaki bir faks ve de şirketimizi aradığımızda karşımıza çıkan ses anonslu PBX sistemleri. Hatta bazıları birçok Internet uygulamasından çok daha fazla karmaşık. Oysa Internet’in gelişimi ile birlikte PBX santral sistemleri de evrimleşti ve orta, büyük ölçekli işletmelerin birçoğunda PBX sistemleri “soft” hale gelip; sesli mesaj kutuları, faks desteği ve kısaca güvenliği için endişe içinde olduğumuz “ağ” ile bütünleşik haldeler. Internet dendiğinde ortalama bir İnternet kullanıcısının anlatacağı çok şey olacaktır. Peki PBX dendiğinde çağrıştırdığı şey sizin için nedir?
Özellikle son dönemde şirketlerin PBX sistemlerine yönelik saldırılarda ve tehditlerde önemli bir artış var. Bu artışın temel nedeni, sanırım yukarıda tarif etmeye çalıştığım, en yumuşak karnı haline gelen PBX sistemlerinin ne yazık ki; henüz şirketler için tehdit olarak algılanmaması. Ancak basit bir Google sorgusunda bile, PBX sistemlerine yönelik saldırılarla gerçekleştirilen ve “akronim”e bile sahip olan “Cramming” isimli bu yeni tehditle ilgili birçok haber, yazı bilgi bulabilirsiniz.
Genel olarak “Telephony Fraud” başlığı altında incelenen ve eski bir mazisi olan bu tehdit, daha önce kaleme aldığım “Dialer Kime Kazandırıyor?” yazı dizisinde olduğu gibi nihai tüketici nezdinde yüksek telefon faturaları çıkmasına neden olan bir uygulama olarak dikkat çekti. Avrupa ve Amerika’da Telekomünikasyon Kurumu’na benzer otoritelerin kontrolünde bir ödeme sistemi olarak büyük ölçüde sağlıklı çalışan bu sistem; ülkemizde ne yazık ki; yasal ve düzenleme boşlukları yüzünden soruna neden olmuştu. Şimdi ise Avrupa ve Amerika’da broadband kullanımın yaygınlaşması yüzünden doğal olarak ortadan kalkan bu uygulama, yine aynı ülkelerde “anolog” sistemlerin varlığını halen sürdürdüğü şirketler için tehdit oluşturuyor. Amerikan Ticaret Komisyonu (www.ftc.gov) ilk uyarısını 1998 yılında yaptı. Ancak “Cramming” olarak adlandırılan bu yeni tehdit şirketleri PBX sistemlerinde de vurabilir. Türkiye de tehdit altında olabilir.
Şirketler genelde ISDN/PRI bağlantı ile PBX sistemlerine hat aldıklarından, İnternet’te rahatlıkla bulunabilecek bir WAR DIALER isimli yazılım, modem ve bir laptop rahatlıkla bir PBX sisteme saldırı yapmak için gerekli asgari gereksinimler. PBX sistemlerin programlanması ile ilgili bilgi sahibi bir Hacker, PBX sistemin “ağ” ile bağlantısına göre şirketinize telefon edip; odanıza ve hatta PC’nize kadar yaklaşabilir. Çünkü bahsettiğim yazlımla sahip olduğunuz hatların kaçının faksa ya da üzerinde modem bulunan bir PC’ye bağlı olduğu görülebiliyor. Burada amaç bu suçun işlenmemesi ve zarar görmemek için hemen bugün ve hatta bu yazıyı bitirir bitirmez hemen önlem almak!
Peki Türkiye’deki orta, büyük özel işletmeler ve hatta kamu kuruluşlarını düşünecek olursanız; böyle bir saldırıya karşı hazırlıklı mıyız? Ben bu soruya “Evet!” karşılığını verebilecek az sayıda bilgi işlem müdürü olduğunu düşünüyorum.
Amerika’da hat taraması alanında iki resmi patenti olan ve güvenlik profesyonellerinin tercihi olduğunu belirten Sandstorm şirketine ait Phone Sweep isimli yazılım, kendi ürün tanıtımında PBX santral sistemleri ile ilgili tehdidi güzelce tarif etmektedir. (www.sandstorm.net)
Ayrıca 90’ların sonunda bile tehdidin Amerika’daki boyutu hakkında fikir sahibi olmak için Multi-milyon dolarlık bu sorunla ilgili haber de belki ilginizi çekebilir. (okumak için burayı tıklayınız)
Telecom & Network Security Review, 1996 yılında dünya genelinde bahsettiğim tehdidin maliyeti olarak 1,3 Milyar USD tahmininde bulunmuş. Ancak raporun 2006 edisyonunu bulamadım. Bu yüzden bulanların benimle paylaşmasını çok arzu ederim.
Bilgi işlem müdürlerine PBX Info’dan (www.pbxinfo.com) ilgili yazıyı okumalarını öneririm. Ayrıca bilgi işlem departmanı olsun olmasın, her PBX sisteme sahip şirkete ya da kuruluşa santral sistemlerinin destek ve bakımını yürüten firmalara burada altı çizilen konularla ilgi danışıp; bu tehdide ilişkin önlem almalarını.
Çünkü 21.yy’da tehdit algımızın değişmesi ve telefon gibi çok basit görünen bir iletişim aracında bile sadece şirketlerin gereksiz telefon faturası ödemekle kalmayıp; ticari sır kapsamına bile girebilecek çok önemli bilgilerinin risk altında olabileceğini hatırlamakta fayda var. Bu hem özel sektör hem de kamu açısından bir açık ve ciddiye alınması gerekiyor.
Sanırım dönüp dolaşıp hep aynı yere geliyoruz…
Türkiye’nin bilgi güvenliği!
Rafta bekleyen “Ulusal Bilgi Güvenliği Teşkilatı Ve Görevleri Hakkında Kanun Tasarısı” çok önemli bir adım ve jeo-stratejik konumumuz itibariyle “Ulusal Bilgi Güvenliği Teşkilatı”na ihtiyacımız var…
Hele bilginin bu kadar “çok uluslu” uluslar arası ağlar üzerinde dolaştığını düşünecek olursanız.
Uyarması bizden olsun…
Gerisi de…
Kaynak : 