Geçtiğimiz ayın sonunda, 25-28 ocak 2011 tarihleri arasında, ülkemizde bir siber saldırı tatbikatı yapıldı[1]. Tübitak ve BTK koordinasyonunda yapılan tatbikatın sonunda “başarıyla” tamamlandığı duyuruldu[2].
Ülkeler arası siber saldırıların yaşandığı, Polonya’daki bir heykel nedeniyle Rus’ların ülkenin internetini bloke ettiği, Çin’li (askeri denilen) hackerların Pentagon’a sızdığı [3]ve Pentagon’un bunu önleyemediği için sistemi kapattığı günler/aylar/yıllar yaşıyoruz[4]. Bu nedenle ülkemizde böylesine bir tatbikatın düşünülmüş olması ve de gerçekleştirilmesini turk-internet.com olarak çok önemli buluyoruz ve yetkilileri bu tatbikatı düzenleme düşüncesinden ötürü tebrik ediyoruz.
Tatbikatın yapılması sonrası bir özet rapor yayınlandı ama bu arada turk-internet.com’a ulaşan haber, tatbikattan 1 gün önce test makinalarından birisine sızılmış olduğunu bildiriliyordu. Gerçi çok sofistike bir sorun olmadığı ve sızma yapan kişinin de güvenlik konusunda eğitim almış olmadığı görülüyor ama bu kadar basit hataların yapılması hayli şaşırtıcı.
Konuyu sızma işlemini gerçekleştirdiği anlaşılan kişiye sorduk, cevaplarını verdi, biz de yayınlıyoruz. Çünkü, sadece spekülasyon bile olsa, konu önemli. Biz araştırılması ve bundan sonrası için gözönüne alınması gerektiği görüşündeyiz. Siber saldırıyı kendi kendimize yapıp, sonra da “başarılıyız” demek yerine en ufak ihtimali bile değerlendirmek gerektiği düşüncesindeyiz. Bu nedenle bu haberi yayınlıyoruz.
Konuyu ilgili kişinin yanısıra sızma olayını, “tatbikatın başlama ve bitiş” duyurularını yapan BTK’ya da sorduk. BTK’nın cevabı şu şekilde :
Ulusal Siber Güvenlik Tatbikatının sonucu bir rapor ile katılımcı kurum ve kuruluşlarla paylaşılacak, ayrıca genel olarak da kamuoyu ile paylaşılacak. Henüz bizdeki ve TÜBİTAK’daki arkadaşlarımız rapor üzerinde çalışıyorlar. Sanırım bir bir buçuk ay sonra hazırlanmış olur.
Bu arada, Tatbikatın sonunda iki düzenleyici kurumun başkanlarının da belirttiği gibi Tatbikatta Türkiye kazandı,Tatbikatta kuruluşlar bazında neler olduğu/yapıldığı/karşılaşıldığı gibi bilgiler herhangi bir şekilde paylaşılmayacak. Bu Tatbikat amacına ulaştı ve tüm katılımcı kuruluşlar başarılı bir şekilde tamamladılar. Kendilerini değerlendirdiler. Bu nedenle, biz hiçbir şekilde bunun dışında davranmayacağız.
Dolayısı ile söylenti şeklinde kalacak olan çıkan haberleri de muhatap alamayacağız.
Biz uzun yıllardan bu yana ülkemizdeki hacker ya da lamer olarak adlandırılan grupları izliyor ve eleştirilsek bile yazıyoruz. Eleştiri sahipleri de genellikle güvenlik konusunda eğitim almış kişiler. Ancak eğitim almamış olan kişiler bazen ilginç ataklara imza atabiliyorlar. Biz bu kişilerin potansiyellerinin değerlendirilmesi gerektiğini de düşünüyoruz. Özellikle de siber saldırıların bu kadar önemli olduğu günümüzde, azıcık imkanlarla kendilerini yetiştiren kişiler oldukları için. Güvenliğin kendisini konuya yakın hisseden herkesin alanına girdiğini söyleyip, şimdi gelelim, test makinasına sızdığını söyleyen kişi bize neler anlattı :
turk-internet.com : Neden böyle bir sızma denemesi yaptınız?
İlgili Kişi : Bunu deneme amacım, gerçekleştirilecek olan Siber Tatbikat eylemi öncesinde, tatbikatı yapan kurumların güvenliği var mı diye test etmekti.
turk-internet.com : Nasıl bir İşlem Yaptınız?
İlgili kişi : Bir web sisteminde güvenlik açığı bulmak, herhangi bir yöntemle sağlanabilir. Mesela www.deneme.com adlı bir site olduğunu düşünelim. Bu sitedeki dosyaların yazılım dili ne ise ona göre SQL Injection, Cookie Çalma ya da envai çeşit saldırı yöntemiyle o siteye izinsiz erişebilir ve tahribata sebep olabilirsiniz.
Genelde site tasarımcıları, siteyi tasarladıktan sonra deneme kullanıcıları oluştururlar. Mesela kullanıcı adı ve şifresi “deneme” olan bir yönetici hesabı düşünelim. Şayet site yöneticisi deneme hesabını açtıktan sonra silmemiş ya da deaktif etmemişse, bazı art niyetli uyanıklar tahmin yoluyla o yönetici hesabına giriş yapabilirler. Sonra efendim, binbir türlü teknik açıkla hedefinizde bulunan web sitesini alt edebilirsiniz. Kişisel bilgilerin bulunduğu kurumlarının bu konuda daha dikkatli olmalarını temenni ederim.
turk-internet.com : Karşı taraf bu eylemi farketti mi?
İlgili Kişi :Bu eylemi karşı tarafın farketmesi söz konusu olabilir. Yani sisteme girişte IP adresi kaydı yapılabilir. Ama sisteme “proxy siteleri” adını verdiğimiz (hani şu yasaklı sitelere girmek için kullanılan web siteleri) sitelerle giriş yaptığınız zaman, giriş yapılan IP adresi girdiğiniz proxy sitesinin IP adresi olarak algılanır. Böylece yakalanma riskiniz azalır.
Söylemek istediğim bir web sitesinde güvenlik en ön planda olması gerekir. Ne kadar iyi web tasarımcı olursanız olun, ne kadar profesyönel web programlayıcı olursanız olun; dikkatinizden kaçan bir şey tüm web sitesindeki bilgilerin ele geçirilmesine, tahrip edilmesine neden olabilir. Bu konuda kesinlikle “Benim yaptığım siteye bir şey olmaz” dememek gerekir.
turk-internet.com : Siz nereye kadar ne yaptınız?
İlgili Kişi : Yönetim paneline giriş yaptıktan sonra dosya yükleme seçeneğinin aktif olduğunu gördüm. Mesela internet üzerinde bir sürü zararlı yazılım dosyası mevcut. Yani bu dosyalardan birini siteye yüklüyorsunuz, sonra o dosyaya erişerek sitenin host edildiği bölümdeki tüm dosyalara erişebiliyorsunuz. Tabi bu dosyalardan başlıcaları R57, C99, Aspx Shell vs. Bu dosyalardan birini siteye yüklemeye çalıştım ama başarılı olamadım. O sayfanın kaynak kodunu indirerek, kodlar içerisinde bazı değişiklikler yaparak siteye dosya yükleyebildim. Bu dosyaya eriştiğim ve tüm dosyaları görmeyi başardım. Netîcede art niyetli bir eylemde bulunmadım ve sitedeki dosyayı tekrar sildim. Sonra da o siteye erişim sağlayamadım.
turk-internet.com : Siz bu tatbikati nasıl değerlendiriyorsunuz?
İlgili kişi : Geçen haftalarda gerçekleştirilen Siber Güvenlik Tatbikatı’nın sonuçları ne oldu, onu bilemiyorum. Ama umarım tatbikata katılan kurumların sistemlerindeki zaafiyetler giderilmiştir.
turk-internet.com : Size göre ülkemiz bu konuda ne durumda? eDevlet siteleri, bankalar, yayıncı siteler, ozel firma siteleri, askeri siteler vsvs
İlgili Kişi : Ülkemizdeki bilişim güvenliğini yeterli bulmadığımı belirtmeliyim. Yani bildiğim kadarıyla E-Devlet’te şu ana kadar bir güvenlik zaafiyeti ortaya çıkmadı ama bu çıkmayacağı anlamına gelmiyor. Askeri siteler, özel firmalar, bankalar ve diğerleri. Her an her şey olabilir diyorum.
Bu konuda daha yetenekli kişilerin, bu gibi kurum ve kuruluşların güvenliğini sağlamalıdır diye düşünüyorum.
turk-internet.com : Ülkeler arası zaman zaman hacker gruplarının çarpışmasını görüyoruz. Bu alanı bize anlatır mısınız? Neler oluyor?
İlgili Kişi : Ülkeler arası diplomatik krizler devam ettikçe, ülkeler arası hacker çarpışmaları elbet olacaktır. Medyada “hacker” diye tabir edilen bazı kişilerin, bir kriz ya da skandal ortaya çıktığında, derhal arama motorlarına girerek krize ya da skandala sebep olan kişi veya kurumların web sitelerini tarayıp güvenlik zaafiyetlerini bulduktan sonra o siteye ideolojik içerikli yazılar yazdıklarına her geçen gün şahit oluyoruz. Elbette bu kendilerine göre bir mesajdır. Ama bu aynı zamanda hukuki boyutta suç kapsamına girer. Yani birini öldürüp mesaj vermek gibi. Öldürmek demeyelim de, yaralamak diyelim. Bu kişiler bu tür cürümleri işledikten sonra medyada ün, şöhret, nam, şan gibi kavramlara sahip oluyorlar. Bir kısım eleştiriyor, bir kısım destek çıkıyor. Elbette her insanın kendine göre doğruları vardır.
turk-internet.com : Kendinizi nasıl eğitiyorsunuz?
İlgili Kişi : Kendimi eğitmek için fazla çaba sarfetmiyorum. Asp, Php ya da herhangi bir bilgisayar dili kodlayamıyorum. Ama merak insana her şeyi yaptırıyor, onu söyleyebilirim. Sadece tahmin ve empati yoluyla birçok güvenlik zaafiyetine ulaşmak mümkün. Yani her keşfin sonrasında bir kat yukarısı geliyor peşinden. İnanılmaz eğlenceli ama tehlikeli bir oyunun yarışmacı koltuğunda oturmak gibi.
turk-internet.com : Çalışıyor musunuz?
İlgili Kişi : Maalesef şu an lise mezunuyum ve henüz bir mesleğe sahip değilim. Mart ayında tekrar YGS’ye girerek “üniversiteli olmak” kavramını canlı yayında yaşamak istiyorum.
turk-internet.com : Devletten bir beklentiniz var mı, mesela siber güvenlikçi anlamında sizlere fırsat tanımalı mı?
İlgili Kişi :Geçenlerde özel bir televizyon kanalında bilişim uzmanı bir adam vardı. “Bu ülkenin daha fazla siber güvenlik elemanına ihtiyacı var” diye bir cümle sarfetmişti. Bu cümleye katılarak, devletimizin bu konuda daha hassas davranmasını temenni ediyorum.
Yani sadece okul okuyarak bu işlerin hallolmayacağını, okul okumamış bir çok insanın bu konudaki bilgi ve tecrübesinin devletimiz tarafından olumlu yönde kullanılması gerektiğini düşünüyorum.
Düşünün. Öyle bir bilgi çağında yaşıyoruz ki; her an her şeye anında erişebiliyoruz. Yine düşünün. Bazı forum sitelerinden edindiği bilgiyle 12-13 yaşlarındaki bir öğrenci, devletin resmi bir kurumunun web sitesine sızabiliyor. Böyle bir çağda, siber güvenliğimizin seviyesini tahmin edebiliyorsunuzdur. Daha güçlü olmalıyız.
Bireylerin özel bilgilerini içeren sistemlerin daha profesyönel kişiler tarafından korunup, denetlenmesini sağlamalıyız. Bu konuda bilgisayar dahisi biri gibi konuşuyor olabilirim. Ama öyle olduğumu düşünmüyorum. Bunlar sadece kişisel ve bu konuyla alakalı kişilerin bana hak vereceğini düşündüğüm fikirler.
turk-internet.com : BTK’nın verdiği cevap konusunda ne düşünüyorsunuz? Sızmayı ispatlayabilir misiniz?
İlgili Kişi : Başta MGK olmak üzere KYK, UBAK ve Çukurova Üniversitesi gibi birçok devlet kurumuna ait web sitelerindeki kritik güvenlik zaafiyetlerini gördükten sonra size daha neyi ispat etmek zorunda olabilirim ki? Çocukların boyama yapması gibi web siteleri yapılıyor bu kurumlara. E sen kumdan kale yaparsan, biri gelip yıkmak istemez mi? En ufak yelde tozları uçuşur kalenin. Sizce ülkemize yakışan bu mu?
Örneğin MGK ülkemiz için en önemli kararları veren kurumlardan birisi. Sizce bu kuruma ait web sitesinde, basit bir açık sayesinde yönetim paneline ulaşmak zor mu? Siteyi yöneten kişilerin gözden kaçırdığı şeyleri bulmak ben ve benim gibi kişilere mi düşüyor? Bu yöneticiler web programlarken çay mı içiyorlardı, yoksa köşedeki pizzacıdan pizza sipariş etmiş onu mu yiyorlardı afiyetle?
Sonra da bu yöneticiler bir ton para alıyor devletten. Her ay binlerce lira maaş alıyorlar. Ama bu güvenlik işinden zerre miktarı anlamıyorlar. Kodlama yapamıyorum ama kodlamayı yapanın o anki ruh halinden çok ama çok iyi anlıyorum. Bu kişiler sabahları işe istedikleri saatte son model arabalarıyla gidiyor. Sıcak kahvelerini alıp masalarının başına gidiyorlar.
İşini güzel yapanları tenzih ediyorum. Ama bu kişiler kahvelerini yudumlarken, E-Posta gelmiş mi diye kontrol ederek ve belki de canları sıkıldığı için oyun oynayıp sohbet ederek tüm günlerini geçiriyorlar. Yaptıkları şeyin bir “meslek” olduğunu düşünüp maaşlarını çatır çutur yiyorlar.
Biliyorum öfke kusarak dert anlatılmaz. Ama yıllardır bu iş böyle gelip geçiyor. Düşünün ya hu, bu zamana dek sayısız devlet sitesi, sayısız emniyet birimleri sitesi, sayısız üniversite ve okul sitesi birileri tarafından hack edildi. Elbette yakalananlar oldu, birkaç yıl yatıp çıktılar. Ama devletin o duruma düşmesi, belki de siteye girince devlet aleyhine yazıların görülmesi insanı çileden çıkaran şeyler arasında yer alıyor.
Güçlü bir devlet olmamız için hem sanal dünyada hem de gerçek dünyada önlemleri artırmalıyız, diye düşünüyorum. “Her Türk asker doğar” diyoruz. Her Türk genci 20 yaşına geldiğinde zorunlu askerlik görevini yapıyor. Pekala buna eyvallah. Ama neden Türkiye kendini gerçek dünyada olduğu gibi sanal dünyada da koruyamıyor? İhmalin sorumluları kim? Neden ihmal sonucunda o siteyi yöneten kişiye de ceza verilmiyor? Bunları bilmek hepimizin en doğal hakkı.
[1] BTK Ulusal Siber Güvenlik Tatbikatı’nın Başladığını Duyurdu
[2] Ulusal Siber Güvenlik Tatbikatının Başarıyla Tamamlandığı Açıklandı
[3] Çin Hükümet Hacker’larının, Diğer Devletlerin Sitelerine Saldırıda Bulunduğu İddia Ediliyor
Kaynak : 