turk-internet.com’daki yazan arkadaşlarımdan birisinin bugün yayınlanan “Siber Güvenlik Üzerinde Ciddi Çalışılması Zamanı Geldi, Geçiyor” yazısını [1] okuyunca, bu yazıyı yazma ihtiyacı duydum.
Zaman geldi, geçiyor derken Alkaç % 100 haklı. Çünkü öncelikle belirtelim; allahtan şu ana kadar ki önemli sayılan siber saldırıları yapanlar, tabiri caiz ise “bizim çocuklar”. Dincisi, Türkçüsü, Akıncısı ya da Solcusu da olsa Türk hackerlar. Bir nevi onlara teşekkür etmemiz lazım. Adeta “uyarıcı” görevi yapıyorlar..
Neye karşı mı? öncelikle “siber saldırı tatbikatı başarıyla sonuçlandı” palavralarına karşı..
Ama daha önemlisi, Clinton döneminin danışmanı ve Stuxnet virüsünün arkasındaki kişi olduğu iddia edilen Robert Clarke’nin “Kültür Üniversitesi yayınları arasında çıkan “Siber Savaş” başlıklı kitabına bakarsanız, 3.dünya savaşı denen şey “Siber Savaş” formatında olacak.
Lenin heykelini yıkmaları sonrasında Litvanya’nın 4 gün boyunca Ruslar’ın siber saldırıları altında hiçbir banka ya da diğer internete-bilişime bağlı işlemleri yapamadıklarını hatırlayalım. Üstelik bu durum sadece bir “uyarıydı”. Bankalardaki paraları boşaltmak, bir takım ticari ya da diğer bilgileri çalmak bile değildi.
Clarke’ın kitabındaki uyarılar sadece bu kadarla da kalmıyor. Ocak ayında İstanbul başta olmak üzere Marmara Bölgesinde yaşanan elektrik çökmesini hatırlayın[2]. Bu bir sürü şeyi yapamamak anlamına gelip, 3 saat kadar sürünce herkesi çılgına çevirmişti. Bazılarımız kışın en soğuk günlerinin yaşandığı o günlerde kesintinin uzun sürmesi durumunda ne yapacağını şaşırmıştı.
Bizim yetkililerin duruma yönelik bir açıklamaları vardı ama Clarke, kendi ülkesinde elektrik, su, gaz gibi konularda da siber savaştan bahsediyor. Düşman olarak Rus’lardan çok Çin ya da Hint kaynaklara işaret ediyor.
Şimdi yeniden bakalım; bu hacker çocukların yaptıklarını bir de bu açıdan değerlendirelim..
Hacker team’leri saldırıyorlar. Çünkü ülkemizde bir altyapı temeli mevcut. Bu temel öylesine mevcut ki, eğer Clarke’ın kitabındaki Litvanya saldırısının detaylarına dikkatlice bakarsanız, Rus’ların bazı saldırıları Türkiye’deki kaynaklar üzerinden gerçekleştirdiği görülüyor.
Uyarıları Değerlendiren var mı?
Türkiye’deki kaynaklar derken, hackerların becerilerinden bahsetmiyoruz. O konuda başka bir yazı yayınlayacağız. Birilerinin bu düzeyde olması belki bazılarına üzücü geliyor, ama iyi bir yönü de olduğunu belirtelim.
Sonuçta ülkedeki boşlukları gösteriyorlar. Ama bu boşlukları gören ve tedbir alanlar var mı? Emin değiliz. Çünkü ne özür, ne özeleştiri, ne “ne olduğuna dair” açıklama, hiçbirisi yok. Bunun yerine “sessizlik ile olayı kapatma” veya daha vahimi “başarı palavraları” duyuyoruz.
Toplam satırına bakarsanız, siber saldırılarda 2 bileşen söz konusu, altyapının (donanım ve yazılım) kalitesi ve insan faktörü. Buradaki sorunlara kısaca bakalım;
Altyapı Kalitesine Dikkat
Burada 3 faktör anlatacağım, bunlar TNAP, açık kaynak olmayan yazılımlar ve hosting firmalarındaki malware tehlikesi.
Trafik Değişim Noktaları
Robert Clarke’ın kitabına bakarsanız, siber saldırıların karşılanacağı ilk nokta olarak Internet Exchange Point’lerden bahsediyor.
Bunlar internet trafiklerinin rota değiştirme noktası olarak tanımlanan bir yapı. Örneğin ABD’ye taşınan Avrupa trafiğinin büyük bir kısmı LINX yani Londra Exchange Point üzerinden geçer. British Telekom’un da içinde olduğu 5 ISP tarafından 1994 yılında kurulan[3] LINX bugün 340’den fazla operatörün trafiğini teslim ettiği noktadır. Yani bir kavşak noktasıdır.
Bu noktanın para kazanması (hele ülkemizin Orta Doğu, Kafkaslar, Avrupa arasındaki durumu düşünüldüğünde) bir yana, siber savaş için önemli bir fonksiyonu var. Ama kurulmuyor. Neden? Çünkü Türk Telekom ticari kaygularla bu konuda yaklaşımlı davranmıyor. Örneğin Bulgaristan’daki bir trafik değiştirme noktasına giriyor ama Türkiye’de bulunan TNAP’e dahil olmaktan kaçınıyor[4]. Bu da ülkeyi “ilk cephe” konusunda zayıf bırakıyor.
Bu konuda LINX’in 10.cu yılında yazdığım makale[5] bugün de hala geçerli. Yani dediğimiz gibi, biz anlatıyoruz ama duyan yok. Şimdi olayın ticari dışında başka bir boyutu daha var; Siber güvenlik. Aldıran var mı?
Açık Kaynak Olmayan ve de Bug’ları Olan Çok Uluslu Yazılımlar
Açık kaynak konusu da maalesef 10 yılı aşkın süredir gözönüne alınmayan bir sorun. Çok uluslu firmaların kapalı kaynak yazılımlarını korkunç büyük paralar ödeyerek aldığımız ve yıllarca lisans paraları ödediğimiz yetmiyormuş gibi, bir de bu yazılımların içinde ne olduğunu, bizim bildiğimiz dışında fonksiyonları olup olmadığını bilemiyoruz.
Örneğin, “Bilgi Mafyası” başlıklı 1997’de yayınlanan bir kitap, ABD üzerinden Ürdün sular idaresine satılan bir sunucudaki yazılımın, yakındaki bir eve de sonuçları ilettiğini yazar. Bu sonuçlardan hareketle, herhangi bir evde su tüketiminin % 50 gibi yüksek miktarda arttığı görüldüğünde, o evde Filistin’li saklanıyor şüphesiyle baskın yapıldığı ve o dönem aranan Filistinlilerin eliyle konulmuş gibi bulunulduğu anlatılır.
Bir de bu yazılımların dünya çapındaki yayılımı ve binlerce insan tarafından kullanılmaları sonucunda, açıkları daha kolay bulunabiliyor. Dolayısıyla bunların açıkları da önemli bir risk taşıyor. Bugün yapılan pek çok saldırının bir nedeni de budur.
Yazılım konusunda bugün önlem anlamında neler yapılabilir? Kısa sürede değil ama planlı şekilde uzun vadede yapılabilecekler olduğunu düşünüyoruz. Ülkemizdeki yazılım geliştirme kapasitesi de gün geçtikçe gelişiyor.
Teknik Altyapı – Hosting Firmaları
2010’da yayınlanan bir rapor, 10.000’den fazla web sitesi host edip de, en fazla malware içeren 50 hosting firması arasında ülkemizden 3 firmayı yani TTnet, Teletek ve Sadece Hosting’i listeliyor[6]. Bir de Hollanda’da yer alan ve çok fazla Türk sitesi konuşlandıran Leaseweb isimli hosting firması listede yer alıyor. Bu raporun daha yenisi yok, o yüzden aradan geçen sürede durum iyiye gitmiş mi raporlayamıyoruz.
Bu malware yükleri, siber saldırılara temel sağlıyor. Sorumlu firmaların bu konuya özen göstermeleri gerekir. Düzenleyici kurumun da buna dikkat etmesi lazım. Çünkü bu malware tabanı sadece saldırılar için değil, aynı zamanda bilgi güvenliği açısından da risk taşıyor
Her ne kadar BTK kayıtlarındaki hosting firması sayısı 3000’e yakın gözüküyorsa da, bunların çoğunluğu bir sunucu-yazılım-yönetim yatırımı yapmadan, mevcut hosting firmalarındaki işin üzerine işlerini kurmuş olanlar. Bugün ülkemizdeki hosting firması sayısı 1 elin 2 parmakları civarında. Dolayısıyla bunların 3’ünün listede olmasının önemini siz okuyucular tartın.
Eleman kalitesi Arttırılmalı
Tabiki önem verilmesi gereken diğer konu, eleman kalitesi. 2-3 tane önemli siber saldırının gerçekleşmesinin nedeni şifrelerin “default”ta unutulması ya da çok basit seçilmesi.
Üniversite, özel kurum, devlet kurumları ya da hükümetin bu konuya ağırlık vermesi, eleman yetiştirilmesinin teşvik edilmesi gerekli. Türk insanı, bir Rus kadar matematik ağırlıklı eğitim almasa da, aradaki boşluğu zekasıyla dolduruyor. Bu kaynağı oluşturmak ve değerlendirmek lazım.
Özellikle Üniversitelerin bu konuya “biz güvenlik konusunda çok güçlüyüz çünkü filan Akademimiz var” şeklinde yaklaşıp tembellik etmemeleri lazım. Bu akademileri kuran firmaların hedefi en iyi güvenlik teknolojilerini öğretmek değil, aksine bir sürü açığı da olsa, öğrencileri yani yarının yöneticilerini kendi teknolojilerine bağımlı kılmak.
Bu firmaların bazılarının açıkları alay konusuyken, güvenlik eğitimi mi veriyorlar? Bir üniversite bunu yapmamalı, öğrencilere tarafsız teknoloji öğretmeli.
Ha bir de, bu siber saldırıları gerçekleştiren delikanlıları kullanmak da mümkün müdür acaba diye düşünmeden duramıyorum. Devlet onlara kızıyor belki ama bu durum acaba daha serinkanlı düşünülmesi gereken bir durum mudur?
[1] Siber Güvenlik Üzerinde Ciddi Çalışılması Zamanı Geldi, Geçiyor
[2] EMO; Elektrik Sistemlerindeki Çökme Tesadüfi Değil
[3] LINX Celebrates 15th Anniversary at LINX67 Member Meeting in London
[4] İnternet Servis Sağlayıcılar, TNAP’i Kurdular
[5] LINX 10 Yaşına Bastı.. Ya Türkiye’de Neler Oldu?
[6] Profiling Autonomous Systems Hosting Blacklisted Websites
Kaynak : 