Bilgiselhayat'a hosgeldin, umarim yazilari severek okur ve onlardan faydalanabilirsiniz. Icerigi RSS olarak almak isterseniz lütfen buraya tiklayin. Ziyaretiniz için tesekkürler!
Yolda yürürken bir taşa takıldığınız zamanları anımsayın. Düşme eylemi başlar başlamaz ellerimiz, düştükten sonraki zararı azaltmak için uygun pozisyonu alırlar, bu bazen tamamen istemsel olarak bazen de içgüdüsel olarak gelişir, ama sonuç aynı. Yakından bakalım; asıl bulunduğumuz güvenli durum yürüdüğümüz an. Takılıp düşmemiz bir güvenlik sorunu ve bulunduğumuz güven ortamından bizi ayırıyor. Ellerimizi uygun pozisyona alıp düşmemiz ise ikinci güvenlik ortamımız oluyor. İlk güven ortamını kaybetmemize rağmen, ikinci güven ortamına mümkün olduğu kadar az zarar alacak şekilde geçiyoruz. İşte tüm elektronik sistemlerin güvenlik anlayışı bundan ibaret, en azından amaç bu anlayışta bir güvenlik sistemi olmalı. Bilgisayarlarımızın bir anda mavi ekranla hata verip kapanması da bu yüzden. Bulunduğu güvenlik ortamından bir şekilde çıkan bilgisayar, daha fazla zarar görmemek için, ikinci ve en güvenli ortam olan kapanma devresine geçiyor.
Çevrenize bakarsanız, sistemlerin hep bu güvenlik anlayışına eğilimli olduğunu görebilirsiniz. Bu kadar açık örnekler varken, bilgisayar sistemlerinde bu anlayışta bir güvenlik mekanizması uygulamamak mantıksız olacaktır. Sunucu ve ağ sistemlerini koruyan onlarca güvenlik sistemi bulunmakta. Güvenlik duvarları, IPS, IDS, antivirüs, proxy ve loglama sistemleri ve spesifik konularda çalışan onlarca güvenlik sistemini saymak mümkün. Bu sistemlerin amacı “korumak”, “izlemek”, “göstermek” olduğu kadar, bir güvenlik açığı saldırganlar tarafından değerlendirildiğinde ya da sistemlerin kendi içlerinde bir sorun nedeniyle çökmeleri durumunda, sistemlerin sağlıklı bir şekilde ikinci güvenlik moduna geçmeleri gerekiyor. Ağımızı koruyan bir güvenlik duvarının, ikinci güvenlik aşamasına kapanarak geçtiğini düşünelim. Kapanırken, internetin iç ağa bağlantısını keserek kapanması, sağlıklı bir geçiştir. Aksi halde tüm iç ağ belli bir süre tamamen saldırılara açık hale gelebilir.
Bir süre yolculuk ve taşınma nedeniyle ara vereceğim arkadaşlar, ama siz güvenliğinizi ve güvenlik sistemlerinizi düşünmeye ara vermeyin. Görüşmek üzere.
Gizlilik yoluyla güvenliğe kredi kartı şifrelerini, çanta anahtarlarını örnek verebiliriz. Gizli olan şifre mutlak bir güvenlik kapısı olarak tanımlanabilir. Şifreler gizli olduğu sürece güvenlik sözkonusuyken, şifrelerin en ufak şekilde başka bir kişiye geçmesi sonucu tüm sistem çökecektir. Bu anlamda, tek noktada gizlilik içeren bir güvenlik kontrolü uyguladğımızda, güvenlik kontrollerini uyguladığımız sistemin, beklenmeyen durumlarda değişebilir ve mümkün olduğunca güvenli çökebilir olması gerekmekte. Yine kredi kartı örneğini alalım. Şifrenin herhangi bir şekilde açığa çıktığını düşündüğümüz anda bankayı arayıp kartı iptal ettirmemiz, sistemin ilk güvenlik kontrolü çöktükten sonra (şifre oluyor) bir sonraki güvenlik aşamasına yani kart iptali basamağına geçmesi anlamına geliyor. Bu sistem içinde her ne kadar çok önemli bir gizlilik faktörü içerse de efektif ve basamaklar halinde kredi kartının iptaline giden bir çöküş sistemi.
İkinci ve gizliliğin asıl kaçınılması gereken noktaya geçelim. Sistemlerde kullanılan gizlilik faktörü, sistemin dizaynı sırasında aynı derecede kullanılırsa ne olur? Yine kredi kartı örneği üzerinden gidelim. Kredi kartı sistemi belli derecede konuyla ilgilenen herkes tarafından bilinen bir sistem. Teknik altyapısı ilgili tüm teknik insanlar tarafından iyi biliniyor, sistemin açıkları ve bu açıkları kapamak için uygulanan yöntemler bu insanlar tarafından bulunuyor ve geliştiriliyor. Kredi kartı sisteminin açıklarını bulmak ve faydalanmak için saldırganlar canla başla uğraşırken, bir o kadar çok sayıda kişi bu açıkları önceden tahmin etmek ve kapamak için çalışıyor. Bu esnekliğin sebebi sistemin büyük ölçüde açıklanmış ve gizliliğin az olması. Buna karşın, bazı sistemlerin dizaynında tam anlamıyla bir gizlilik politikası uygulanıyor. Sistemin dizayn ve işleyişini sayılı kişiler biliyor. Bu yaklaşımın sebebi ise ne kadar az kişi sistemi bilirse o kadar az kişi sisteme saldıracak kadar bilgiye yetkin olabilir mantığı. Ne kadar az bilgi o kadar çok güvenlik. Kulağa mantıklı geliyor. Peki; bu mantıkla sistemin aslında güvenlik açıklarına karşı çok hassas ve herhangi birisi açığa çıktığı anında ölümcül risklerle karşı karşıya kalacağı da çok açık değil mi? Gizlilik bir süre güvenliği sağlayacaktır, fakat gizlilik nedeniyle araştırılamayan ve haliyle bilinemeyen bir açık, bir saldırgan tarafından keşfedilince sistemin direk çöküşüne neden olacak bir olayı tetikleyecektir. Çünkü sistemdeki gizlilik, muhtemel açıkların (ki her sistemin açıkları vardır, tam anlamıyla güvenli bir sistem yoktur) bulunmasına ve bu açıkların kapatılması için çalışılmasına da engel olmaktadır.
Bu konuya en uygun örnek yıllardır kodlarını saklayan Microsoft olabilir. Bir çok ciddi açıkları bulunan yazılımların kodları ve haliyle açıkları saldırganlar keşfedene kadar bulunamıyor. Tabi saldırganların ilk keşfeden olması da ilk aşamada devasa güvenlik tehditlerini ortaya çıkarıyor. Tam tersine, bir çok alanda, açık kaynak kodlu yazılımlarda, yazılımların açıklarını bulmak ve kapaman için yazılıma ilgi duyan bir topluluk sözkonusu. Evet, kodlar iyi kişiler kadar saldırganlara da açık durumda. Fakat açıkların bulunması ve sistemin zayıflıklarının önceden keşfedilmesi gizlilik yoluyla değil açıklık üzerinden yürüyor. Tabiki bir bir nükleer teknolojinin sırları bir çok kişiye de açılamaz ama bilişim teknolojileri için gizlilik artık dizayn aşamasında değil kullanım sürecinde düşünülen bir konu olmuş durumda.
Hırsızlık elekronik ortam (dolayısıyla internet ve bilişim ortamı) dışında, ev ve mağazaları tehdit ediyor, hırsızlar maddi değeri olan varlıklara ulaşmaya çalışıyorlar. İnternet ortamında da hırsızlığın amacı aynı fakat bu sefer tehdit, kişisel bilgiler, kredi kartları, devlet ve şirket gizli bilgileri üzerinde. Aynı şekilde imzaları taklit etme, sahte çek ve para gibi tehditleri düşünün. Bu tehditler de internet ortamında karşımıza sahte internet sayfaları, çalınan kredi kartları ile alışveriş ve çalınan kişisel bilgilerin elektronik ortamda kullanılması olarak çıkyor. Saldırganların yüzyıllardır amaçları aynı, kullandıkları araç ve metotlar farklı.
Yaşamımız boyunca bağışıklık kazanıp, önlemler aldığımız bu güvenlik saldırılarının elektronik ortamda karşımıza çıkması hem bireysel hem de profesyonel yaşamda bizleri sıkıntıya sokmaya yetiyor. Birincisi, güvenlik saldırıları alıştığımız metotların dışında yollar izliyor. İkincisi eski güvenlik tehditleri, elektronik ortamdakilerin yanında kaplumbağa hızında gelişiyor. Üçüncüsü ise biz tüm tehditlerle aynı anda uğraşmak zorunda, olabilecek tüm güvenlik saldırılarına hazır olmak durumundayken, saldırganların tek amacı sadece bir çeşit tehdidi çok iyi uygulamak olabiliyor. Biz hayatımızdaki her alanı mümkün olduğunca güvenilir kılmak için çabalıyoruz, tam tersi tarafta saldırgan hayatımızdaki sadece bir alana izinsiz girmek için uğraşıyor. Haksızlık ne kadar da açık değil mi?
Dezavantaj sadece bu üç konuyla sınırlı değil. Elektronik ortamda yapılan saldırılar atalarından daha kompleksler. Teknoloji ilerledikçe kompleksleşiyor ve zorlaşıyor. Sistemleri korumak ve açıkları bulmak daha zor hale geliyor. Aynı zorluk saldırganlar için de geçerli olsa, saldırganların hedefi sadece bir taneyken, bizlerin korumakla sorumlu olduğu sistemler sayıca çok fazla olabiliyor. Bu durumda, teknolojinin zorlaşması saldırganların lehine işliyor. Bir saldırgan sadece kredi kartlarına odaklanıp bu sistemin zayıf noktalarına konsantre olurken, biz hem kredi kartlarını, hem de yaşamın diğer alanlarının güvenliğini önemsemek zorunda kalıyoruz. Sistemlerin ve hayatımızdaki belli alanların fonksiyonel fakat basit olması güvenlik açısından anahtar nokta. Böylece birden çok alanda başarılı bir şekilde güvenliği korumak mümkün. Bu konuya yakında çok ayrıntılı değineceğim.
Güvenliği yaşamımızın her anında farkında olmadan ele alıyoruz. Marketten meyve alırken seçip en iyisini alıyoruz, sağlığımızın bozulmasına karşı bir güvenlik kontrolü uyguluyoruz. Otobüzlerde ve uçaklarda cep telefonumuzu yine güvenliğimiz için kapalı tutuyoruz. Ev ve işyerlerine kamera ve alarm sistemleri taktırmamızın tek nedeni yine güvenlik. Bütün bu kontrollerin iki aşaması var: psikolojik ve fiziksel. Tüm kontroller bir şekilde bizi tehlikeyle temastan yani fiziksel ilişkiden korumaya ve uzaklaştırmaya yönelik. Hayatımızın neredeyse her aşamasında risk analizi yapıyoruz (bazıları tam anlamıyla içgüdüsel olarak), ve en az riskli seçeneği seçiyoruz. Psikolojik olaraksa, uyguladığımız kontrollerin ne kadar efektif olduğuna bakmadan kendimizi güvende hissetmek istiyoruz. Çoğu zaman güvenli hissettiğimiz anlarda, aslında gerçek bir güvenlik sözkonusu olmuyor. Uçakları düşünün; bazılarımız daha güvenli hissettiği için otobüslere biniyor. Halbuki uçak kazası oranları, karasal taşımacılığın kaza oranından katlarca aşağısında. Fakat, ikinci seçenekte kendimizi güvende hissettiğimiz için güvenlik kontrolü olarak kara taşımacılığını seçiyoruz. Bu durumda güvenliği yanlış fakat kendimizi iyi hissettirecek anlamda uygulamış oluyoruz. Risk analizine tamamen karşıt seçenekleri seçiyoruz.
Bütün bu seçenekler ve seçimler arasında internette geçirdiğimiz zamanın çoğunda güvenliğimizi düşünmememizin sebepleri olmalı. Güvenlik konusunda doğru yada yanlış uygulamalar yapsak bile, internette kontrol uygulamayışımızın sebebi internet ve internet suçları konusunun bize tamamen yabancı olması. İkinci sebebi, herhangi bir güvenlik sorunumuz olana kadar güvenliğin akla gelmemesi. Geldikten sonra ise iş işten geçmiş oluyor.
Korku, hayatımızın çoğu alanındaki güvenlik kontrollerimize sebep olan ana faktör. Tehlikeden korkmamız bizi tehlikelere karşı güvenlik kontrolleri almamıza sebep oluyor. Ya İnternet? Sizce de internette güvenliğimizi hiç düşünmemezin ana sebebi, nelerden korkacağımızı bilemediğimiz olabilir mi?
Bütün bunların yanında, siber saldırganların tarafına bakarsak; saldırıların ve saldırganların profili yeni nesile ayak uydurmuş durumda. Artık hedef sadece büyük şirketler, bankalar ve şirket sırları değil. Ev kullanıcıları hem kişisel ve finansal bilgileri hem de zombi (içlerine trojan-virüs bulaşmış bilgisayarlar) ordusunun bir parçası yapılmaları için hedef halindeler. Siber suç ağı da eski statik yapısından çıkıp, dinamik ve suç servisi sunma karakterine sahip olmuş durumda. İçlerine trojan programı bulaşmış kişisel bilgisayarların bu suç ve saldırgan ağında bir ürün gibi satıldığı artık açıkça biliniyor. Bu uzaktan yönlendirilebilecek hale getirilmiş bilgisayarları, yasadışı amaçlara yönelik kullanım kılavuzları market ürünleri gibi satılıyor.
Güvenlik yönetiminde uygulanan modelleme ve izleme sistemleri, benzer bir şekilde siber suç ağında kullanılıyor. Organizasyonların kendi sunucu ve bilgisayarlarını izlemek için kullandıkları metotlar, zombi bilgisayarları kontrol altına almak için uygulanıyor. Bir şirketteki güvenlik analisti nasıl sorumlu olduğu ağa hakim olmaya çalışıyorsa, siber suç ağı bilgisayarlarımızı aynı şekilde izlemeye uğraşıyor.
Şirketleri artık sadece finansal olarak değil marka değeri ve saygınlık konularında da sarsan saldırıları önlemek için bilindik yöntemler sınıfta kaldı. Güvenlik, organizasyonların tüm iş süreçlerinde yer alması gereken bir bileşen artık. Çalışan herkes, çalışan her sistem kendi işine güvenlik faktörünü de sokmalı. Hatta sistemlerin ve iş süreçlerinin dizaynı güvenlik sürekli akla getirilerek yapılmalı. Bunun yanında internete açık her sistem yeni nesil çok katı, katı olduğu kadar da kullanışlılığı gözardı etmeyecek şekilde, içerik denetleme bileşenlerini kullanmak zorunda kalacak, kalıyor da. İnternetten organizasyonun içine giren trafikteki en ufak parça dahi taranıp, güvenlik politikaları bu parçalar üzerinde uygulanıyor. Bu dinamik ve değişken saldırı tiplerini önlemeye yönelik şu anki en akıllıca adım.
Güvenlik ne yazıkki birisi yada bir sistem tarafından bozulana kadar transparanmış gibi gözüken bir kavram. Temelinde korkuyu ve riski en aza indirmek olan güvenlik kontrollerini, mümkün olduğunca korku alanından çıkarıp sadece risk alanına kaydırmak da önemli noktalardan birisi.
Önce güvenlik…
Yazıda bir güvenlik firmasının, yukarıda bahsettiğim programcıklar olan botnetleri yöneten (yani botnetlerin kullanıcıdan habersiz verileri gönderdiği sunucu) yazılımı kırarak, sahte bir sunucu oluşturmasından basediliyor. İşin ilginç yanı bu sahte sunucu aktif hale gelince, bu sahte sunucuya 1.8 milyon tane botnetten trafik gelmesi. Yani sadece bu botnetin bulaştığı 1.8 milyon bilgisayar var. Şimdi gelelim işin ince kısmına. Uzmanlar bu botnetlerin kurulu olduğu bilgisayarları temizlemekle dokunmamak arasında ikilemde kalıyorlar. Evet botnetlerin bulaşmış olduğu bilgisayarlar yasadışı amaçlar için kullanıbilir fakat etik olarak bu bilgisayarlara uzaktan müdahale etmek kişisel haklara da saygısızlık anlamına geliyor. Aslında uzmanlar küçük bir düzeltmeyle bu bilgisayarları temizleyip, ilerideki muhtemel bir saldırının önüne geçebilirlerdi, ama işin içine kişisel haklar girdiğinde bu davranış şekli etik kabul edilmiyor.
Bu olay yeni bir konu olarak gündemde olan faydalı solucanları akla getiriyor. İnterneti daha virüssüz ve güvenlik açıkları daha az olan bir ortama dönüştürmek için “faydalı solucan” denen yasadışı emellere hizmet etmeyen, tam tersine bulaştığı bilgisayarlardaki güvenlik açıklarını kapatan solucan programlar (worm) sorgulanıyor. Bu proramcıklar aynı virüsler gibi bilgisayarlara yayılacak, fakat zarar yerine fayda getirecekler. Bu gelişmenin önündeki tek engel yine etik kurallar ve az da olsa sistemin terse işleme olasılığı. Ne dersiniz, siz bilgisayarınızda internete yararlı bir virüsün dolaşmasını ister miydiniz?
Etik açıdan bakıldığında tamamen yanlış olan bu saldırı, her ne kadar bir çok kişiyi ego olarak tatmin etse de, geniş çapta bakınca durum hiç de hoş değil. Burada bir süredir ülkelerin saygınlıklarının bilişim alanındaki suçlarla örtüştürüldüğünü yazıp duruyorum. Türkiye’nin adının yetenekli “hacker” larla dolu bir ülke olarak anılmasını mı yoksa güvenlik alanında bilgi üreten bir ülke olmasını mı tercih edersiniz? Bu işte bir yanlışlık var. Diyelim ki bizim çok yetenekli “hacker” larımız var. Peki neden buna paralel oranda güvenlik altyapımız yok? zone-h.org sitesine bir göz atarsanız, yukarıdaki yabancı sitelere saldıranların ülke içinde bir çok kurumun web sitelerine de aynı davranışı gösterdiğini görebilirsiniz. “Hacker” lık yararlı yolda kullanıldığında, güvenlik kontrollerinin ne kadar başarılı olduğu konusunda ve kontrollerin uygulandığı bilişim cihazlarının ve programlarının açıklarının bulunmasında anahtar rol oynayabiliyorlar. Tabi bunun yanında güvenlik kontrollerinin, kanunların ve beyin gücünün tam olarak oturması gerek. Eğer iki dengeyi kuramazsak, güvenlik açıklarını bulan, güvenlik zekası üreten bir ülke yolundan kolayca çıkıp, kriminal ve sabıkalı bir ülke olma yoluna sapmamız çok olası. Hepinize belasız internetle dolu bir gün dilerim.
Hayata eklenti teknik bilgiler, vesaire…
