Bu söyleşinin ilk bölümünü Seçkin Gürler : Siber Güvenlik Açısından Yurtdışından Gelen Yabancı Ürünler için Masumiyet Testi Yapmak Faydalı Olacaktır – I başlığı altında okuyabilirsiniz.
Labris Network ülkemizin az sayıdaki siber güvenlik teknoloji üreticisi firmalardan birisi. Bu ürünlerini 20’den fazla ülkeye de satıyorlar. Bir tane İstanbul’da, bir de Polonya’da anlık saldırı tespit merkezleri bulunuyor. Genel Müdür Seçkin Gürler ile siber güvenlik konusundaki söyleşimizi sürdürüyoruz.
turk-internet.com: Seçkin Bey, aralık ayında yaşadığımız siber saldırıların benzeri bir olayı Polonya’daki merkezinizden takip ettiğinizi söylemiştiniz. Bunu anlatır mısınız?
Seçkin Gürler : Kuzeyde Rusya’ya komşu ülkeler –2007 Estonya olayından da alışkınlar– Rusya’nın Polonya’ya girmesi, Kırım bölgesindeki yaşanan olaylar görüldüğü için, onlar da diken üstünde duruyorlardı ve tedbirlerini de ona göre aldılar. Onlar alışkınlar Rusya ve belli bölgelerden gelen saldırılara. Tedbirlerini biraz daha insana önem vererek, biraz daha eğitimli personele önem vererek, artı bizim gibi firmaların oradaki hubları, yani güvenlik noktaları ile işbirliği yaparak, saldırıların üstesinden gelebilmiş durumdalar. Türkiye’nin buradaki en büyük eksikliği, daha o farkındalığa ulaşmaya çalışıyor. En büyük eksikliği farkındalık.
turk-internet.com : Aralıktaki saldırılar epeyce katkıda bulundu değil mi?
Seçkin Gürler : Aynen, aynen! Saldırı anında, bizim kendimizden başkası –eğer ben bu kurumun bir işlemci isem– olmayacak. ISP bir yere kadar görevini yapacak.
Şöyle diyelim, ISP’nin bu tür DDoS saldırıları ve benzeri saldırılarda görevi nedir? Layer 3, Layer 4’te –paketin daha fazla içeriğini açmadan– Layer 3, Layer 4’te bu saldırılarını engellemek.
Bu ne demek? Bu da 2010 yılına baktığımız zaman saldırıların % 90’ı buydu; ama bugüne baktığımızda saldırıların ancak yüzde 40’ı veya 50’si haline geldi.
turk-internet.com: Bunu bir daha tekrarlayalım: 2010’da saldırıların yüzde 90’ı Layer 3, Layer 4’tü. Şimdi gerisi yani % 60 nedir?
Seçkin Gürler : Şu anda yüzde 40’lara kadar geri çekildi Layer 3, Layer 4’ler. Geri kalanlar aplication layer’e gidiyor yani artık uygulamanın içine gömülü…
turk-internet.com: Layer 7 dediğimiz?
Seçkin Gürler : Evet, Layer 7 dediğimiz uygulama katmanına geliyor. Artık uygulamanın içerisine gömülmüş olarak geliyor DDoS saldırıları. Siz Layer 8’de paketi açmadan, o saldırı ile karşılaşamıyorsunuz. Böylece de ISP’ler bu tür saldırıları engelleyemiyorlar.
turk-internet.com: Peki, bu saldırılar tekbaşına mı? Ya da arka planda trojan sokma ya da veri çalma gibi bir şeyler olabiliyor mu?
Seçkin Gürler : Yan saldırı olarak gerçekleşiyor aslında onlar.
turk-internet.com : turk-internet.com: Nasıl yani?
Seçkin Gürler : Şöyle ki, diyelim ki yüzde 40’lık, yüzde 60’lık bir saldırı ağınıza kadar geldi; ISP göremedi bunu, engelleyemedi ve bu tür konfigürasyonlar da yapılamıyor aslında. ISP’lerin bütün konfigürasyonları tahmin bazlı konfigürasyonlar yani bir saldırı ancak “şu kadar zamandan fazla olabilir” veya “bir IP şu kadar paket gönderir ise bu bir saldırıdır” gibi bir şeyler ama karşıda bir insan varsa ve akıllı iseniz, o işi bu kalıpların dışında yapıyorsunuz yani gereğini yapıyorsunuz ve oradan geçiyorsunuz. Sonuç olarak durum bu; % 40’ı ile % 60 arasındaki saldırılar artık ISP’den geçiyor, ağa geliyor. Nereye geliyor? Firewall ve IPS’lere geliyor.
Firewall ve IPS’lerin konfigürasyon dediğimiz eş zamanlı oturum sayıları çok düşüktür. Yani, bu ne demek? Sizin, ayarlarınız bin tane ziyaretçiye göre ise, bin tane ziyaretçi geldi, Firewall’da ve IPS’te onları değerlendirmeye aldınız, bunun dışındaki 1001cisi gelemez. Yani işleyeceğiniz oturum sayısını kısıtlamış oluyorsunuz. IPS belli bir süre sonra kendini kapatıyor veya iş görmez hale geliyor. Bu da şuna sebebiyet veriyor: otomatikman o saldırılar içeriye geçmiş oluyor. IPS önleyemez hale geliyor.
Buna biz “smoking” diyoruz; askerlerin kullandığı terim. Yani, sisleme yapıyorsunuz. Yani, siz tanklar ile veya farklı cihazlar ile sisliyorsunuz, gerçek saldırıyı gizliyorsunuz. DDoS saldırıları da esas veri çalmak için, içeri trojan yarleştirmek için, coding enjekte etmek için, yerleştirmek için gizleme amacıyla kullanılıyor. Bu trafik geldiyse, IPS ve Firewall’i olması gerektiği gibi kullanamadıysanız, güvenlik amacı ile kullanamadınızsa, içine bir sürü paketler girdi; artık database’iniz de, aplication server’iniz da, web server’iniz da, local area’nızda bu paketler dolaşıyor.
Şunu bilemiyorsunuz: Bu son saldırılarda çok iyi önlemler aldık, şu web sayfamız inmedi aşağıya, internetimiz kesilmedi, kesildi veya bir saat kesildi dedik ama içeri giren paketler de olmuş olabilir.
turk-internet.com: Olmuş olabilir mi? Çok iyi savunma yapıldı, deniyor?
Seçkin Gürler : Kurulumlarımızın % 90’ının önünde bir DDoS cihazı olmadığı ve kurulumlarımızın içerisinde malware analiz ve belli konfigürasyonlar tam olarak yapılmadığı için, ayrıca ağımızın yönetimine insanları sokamadığımız için, bilgi birikimini ağımızın yönetimine sokamadığımız için, bu tip kirlenme ve içeride trojanların bulunması çok mümkün.
Bunlar biliyorsunuz hemen kendini aktive etmiyor. Bugün geliyor, 2 yıl sonra aktive oluyor. Stuxnet’te yaşanılan veya Sony’de yaşanılan olaylar bunlar.
Kişi geliyor, ağı önce analiz ediyor, bilgiler alıyor, bilgilerini, her türlü istihbaratını elde ediyor. Eğer bilgiyi alabiliyor durumda iseniz, orayı bloke etmenin bir anlamı yok ki !! Nedir? Eğer alamaz hale gelir iseniz bilgiyi veya sizin daha sansasyonel bir şey yapma ihtiyacınız var ise – Sony’de yaşanıldığı gibi- o zaman patlatıyorsunuz networkü.
1 yıl boyunca 2 yıl boyunca ağı dinleyebilir, bütün istihbaratî bilgiler alabilirsiniz ve bu arka kapılar, arka kapı olarak nitelendirilen şeyler, bu tür saldırılar DDoS saldırılarında içeriye bizim insan koyamamamız, kurulumlarımızın önünde çalışan bir DDoS cihazımızın olmaması, bütün işimizi ISP’ye bırakmamız nedeniyle onların işini kolaylaştırır.
Trafiğimi ISP veriyor, DDoS saldırılarını da o engellesin !! Ama nereye kadar? Layer 3, Layer 4’e kadar. Layer 7 saldırılar ne olacak? İçerideki networkümüzde biz peki IPS’i de o zaman koymayalım, sadece bir güvenlik duvarı koyalım, sadece IPS yönlendirme verelim, güvenliğimizi başkaları versin.
Böyle düşünemeyiz. Biz baktığımız zaman topolojimize: DDoS cihazımız, Firewall cihazımız, IPS cihazımız, malware cihazımız, anti virüs, kullanıcı güvenliğimiz tam anlamı ile olmalı.
Hani “hattı müdafaa yoktur, sathı müdafaa vardır” deriz ya, burada da öyle; satıh, bütün networktür.
Yani networkün her noktasını ayrı ayrı değerlendirmemiz lâzım. “Bir kurum bana internet veriyor, bütün güvenliğimi o sağlayacak” der isek, işte orada yanılırız – ki, interneti olmayan, ağa bağlı olmayan networklerde bile görüyoruz esas ciddi saldırıları. Stuxnet; İran’ın nükleer santrali; internet bağlantısı yoktu ama ne yaptılar? Bir USB ile oraya hizmet veren, oraya yazılım veren firmanın ağına bulaştırdılar.
Düşünün, yan tarafta 5 kişilik bir firma var ve küçük bir uygulama yazıyor orası için. Oraya bulaştırdılar; oradan oraya gitti, ağı dolaşmaya başladı, işe yaradı; ISP sistemini kontrol eden yazılımı aradı, buldu ve gerekli işlemi yaptı, böylece nükleer zenginleştirme programına sekte vurmuş oldu.
Bizim elektrik dağıtımımız, elektrik üretimimiz, ulaştırmamız bunların tamamı her zaman tehdit altında ve bunu bilerek, uymamız lâzım. Bir tane koruma veya internetinizi veren noktaya güvenerek bu işlemleri yapamayız.
Burada Türk Telekom’un da çağa ayak uydurarak, bu tür önlemleri alarak, öncü olarak bir dik duruşu var. Gereğini yapmaya çalışıyorlar, gerekli duruşu sergiliyorlar ama dediğim gibi, biz kendi işimizi öncelikle yapmalıyız. Yönetici kendi işini yapmalı, ağın yöneticisi kendi işini yapmalı, ondan sonra diğerlerinden kendi işini yapmalarını beklemeli.
Söyleşinin devamını Seçkin Gürler : Siber Tatbikat’a Yerli Üretici Çağrılmalı ki Ürününü Daha İyi Yapabilsin – III başlığı altında okuyabilirsiniz.
Kaynak : 