Görüş
Siber savaşın eşiğinde: Sıfırıncı gün
Bugün hayatın her alanı; özel, kamu ve askerî tüm kuruluşların yürüttüğü her faaliyet ve sistem, bilgisayar, akıllı cihaz ve internete bağlı, bağımlı. Bu durum siber risklerin kaçınılamayacak temel kaynağıdır. Dolayısıyla siber saldırı günümüzün bir gerçeğidir.
teknoloji baş döndürücü hızda ilerliyor. bilgisayarlar 40 yılda büyük odalardan, masamızın üzerine, oradan dizimizin üzerine, elimizin altına, ceketimizin, çantamızın cebine girdi ve nihayetinde saat, gözlük gibi giysimizin bir parçası hâlini aldı; ufaldı, yakınlaştı ve seyyarlaştı. bilgisayar ve iletişim, akıllı telefonlar ile bütünleşti. bugün, ağların ağı internet, artık sadece bilgisayar ve telefonlarla insanların ve kurumların birbirine hiç olmadığı ölçüde bağlı olduğu bir ortam olmanın da ötesine geçmiştir. internete bağlı televizyon, buzdolabı, otomobil, trafik ışıkları gibi her tür cihaz ile beraber “eşyaların interneti” doğmuştur. pek gün ışığına çıkartılmayan ileri ülkelerin askeri silah ve algılayıcıları da bir taraftan ağ tabanlı harp için birleşmiştir.
bu devrimsel dönüşümün etkilerinin sadece gündelik yaşamla sınırlı kalmadan bilimsel, sosyal, ekonomik, politik ve askerî alanlarda olumlunun yanında kötüye kullanılabilecek pek çok yansıması olacağı kesin. çünkü adı geçen tüm teknolojiler bilgi güvenliğinin temel unsurlarını (gizlilik, bütünlük ve kullanabilirlik) zedeleyen ciddi tasarım ve uygulama kusurları ile üretilmektedirler.
böylesine büyük bir dönüşümde tarihi derinlikte bakılırsa; i. dünya savaşı’ndan bir yüzyılın geçtiği bu dönemde geldiğimiz noktada, siber uzay olarak nitelendirilen bu ortamda kara bulutlar da görünmekte ve zaman zaman bölgesel fırtınalar baş göstermektedir. 1914’te saraybosna’da savaşın fitili ateşlenmişti. acaba nisan 2007’de estonya’nın internete bağlı tüm sistemlerini günlerce devre dışa bırakan saldırı bir siber savaşın habercisi olabilir mi, diye sarsılan nato üyeleri dâhil pek çok ülke, siber uzayı yeni bir savunma ve savaş alanı görmeye başladılar. tahmin edilen edilmeyen bazı ülkelerin saldırmacı bakış açısı ile hareket ettiği düşünülmektedir. 2010’da iran’daki stuxnet ve diğer ülkelerdeki saldırılar bu düşüncenin sağlam dayanaklarını oluşturmaktadır.
hayatın her alanı; özel, kamu ve askerî tüm kuruluşların yürüttüğü her faaliyet ve sistem, artık geri dönülmeyecek şekilde bilgisayar, akıllı cihaz ve internete bağlı, bağımlı. ‘tek hata noktası’ olarak görülmesi gereken bu durum, bunların tasarımından ve uygulanmasından gelen kusurlarla ne yazık ki siber risklerin kaçınılamayacak temel kaynağıdır.
türkiye neler yapıyor?
ülkemize baktığımızda, özellikle 2010’dan itibaren gerçekleştirilen siber güvenlik tatbikatları, türk silahlı kuvvetleri'nde (tsk) kurulan siber savunma merkezi, kamu çerçevesinde teşkil edilen ulusal siber güvenlik koordinasyon kurulu ve yayınlanan ulusal siber güvenlik stratejisi ve 2013-2014 eylem planı ile siber savunmada önemli adımlar atılmıştır. akademi ve özel sektörde kayda değer çalışmaların yapıldığı söylenebilir.
aynı dönemde bir yandan da dışarıdan ve içeriden, kimileri devlet destekli olmak üzere, bilişim korsanları tarafından ülkemizde de kamu ve özel sektörü hedef alan çeşitli siber saldırılar gerçekleşmektedir. örneğin geçen günlerde suriye elektronik ordusu tarafından ifşa edilen 2008-2012 tarihlerine ait e-posta yazışmalarında, türkiye’ye ait olanlar da bulunmaktadır. yazışmalar incelendiğinde çoğu yazışmada yazışmaların diğer tarafın farklı ülkeden bir yetkilisi etrafında gerçekleştiği görülmektedir. bu da sızdırılan bilgilerin iletişim kurulan türkiye dışında başka ülkeler hedef alınarak elde edildiği olasılığını akla getirmektedir. bu tür vakalarda, ortaya çıkan zararı küçültmese de, karmaşık siber saldırılar yerine e-postaların bulunduğu bilgisayarın kaybolması gibi bir ihmâlin de göz önünde bulundurulması yerinde olur.
genel bakış açısı ile siber savunma için ülke ve vatandaşlar olarak öncelikle, teknolojide sadece kullanan değil, bilinçli kullanan taraf olmalıyız. bunun da ötesinde teknolojik çözüm ve başta güvenlik sistemleri dâhil muadil ürün geliştiren bir ülke olmalıyız. kendi sistemimizi millî unsurlarla kendimiz geliştirmeliyiz ve yönetmeliyiz. ortaya çıkan olaylardan da anlaşılacağı üzere, başkalarının sunucularında bulunan bilgilerimiz emniyette değil. siber savaş temenni edilmese de siber çatışma ve saldırı günümüzün bir gerçeği; siber uzay, ya bir saldırı aracı ya bir saldırı hedefidir. bu yüzden siber uzayda da millî teknoloji ile caydırıcı olmalıyız.
siber saldırılar nasıl gerçekleşiyor?
siber saldırıların çoğu “sazan avlama” olarak adlandırılan e-posta ile kişilere gönderilen iletilerle başlatılmaktadır. içeriği ile sizi ikna edip, kandırmaya çalışan bu iletide muhatabın ya ekinde yer alan kötücül kod olan bir dosyayı açması ya da çalıştırması veya korunması olmayan bilgisayarlara bulaşabilecek bir internet bağlantısını tıklaması amaçlanır. bunun dışında kullanıcılara akla hayale gelmeyecek yöntemlerle kötücül yazılım bulaştırma teknikleri geliştirilmeye çalışılmaktadır. özellikle bu tür saldırılar bilgi güvenliği farkındalığı olan ve bilgisayarının güvenlik güncellemelerini yapıp, koruma yazılımları ile destekleyen dikkatli kişiler tarafından önlenebilmektedir.
saldırganlar bu yöntemi bırakacağa benzemiyor. ancak son yıllarda karmaşık siber saldırılarda, uygulanması daha zahmetsiz ancak daha etkin olabilecek bir yönteme geçilmiştir. artık, saldırganlar sizi olmadık bir şeye tıklamak ya da çalıştırmaya zorlamak ile uğraşmıyorlar; bunun yerine bilgisayarınızda ya da cep telefonunuzda zaten var olan yazılımlarda her gün kullanageldiğiniz dosyalarla cihazınıza bulaşma yöntemini uyguluyorlar.
can alıcı hareket noktası
bir bilgisayara ya da cep telefonuna herhangi bir yazılım kurmakla onu biraz daha yaralanabilir hâle getirirsiniz.
bu hareket noktası ile yazılımın illa sizin tarafınızdan kurulması da gerekmiyor. örneğin, aldığınız bir dizüstü bilgisayarda ya da akıllı telefonda üreticisinin size ‘hediye’ olarak önden kurduğu yararlı yazılımlar ve oyunlar da bu kapsamda düşünülmelidir. çünkü, kurulan o yazılımlarda, kasten konulmuş olanları bir kenara bıraksak bile, geliştiricisinin bile fark etmediği hatalar söz konusu olabilir ki güvenlik camiası bu hataları “sıfırıncı gün korunmasızlığı” şeklinde adlandırmaktadır.
sıfırıncı gün korunmasızlığı, bunu bulan ya da öğrenen kötü niyetli kişiler tarafından istismar edilerek, çoğunlukla bilgisayarlarda kendi istedikleri programı uzaktan yükleyip, görünen bir emare göstermeden çalıştırmalarını sağlarlar. bu programlar basit amaçlar için değil, bilgisayarınızın kontrolünü ele almaya yarayan programlardır. artık bilgisayarınız korsanın eline geçmiştir ve bundan sonra bir kurban olarak; bilgilerinizin alınması, bilgisayar ve internet kullanımınızın izlenmesi, konuşmalarınızın kaydedilmesi, kameranızdan görüntünüzün çekilmesi, önemli bilgilerinizin silinmesi, şifrelenmesi ve hatta bilgisayarınızın ve bu şekilde ele geçirilen binlerce diğer bilgisayarın bir robot ağ hâline getirilerek tek bir komutla başka yerlere saldırmak için kullanılması işten bile değildir. kurban, sıradan bir vatandaş, bir firmanın genel müdürü ya da üst düzey bir yetkili olsun olmasın durum değişmeyecektir.
sıfırıncı gün korunmasızlıkları o kadar değerli bir saldırı aracıdır ki üreticisi tarafından bilinmediği sürece eskimeden ‘sıfırlığı’ devam eder. ta ki üretici bunu fark etsin ya da iyi birileri bu korunmasızlığı üreticiye bildirsin. bu durumda bile korunmasızlığın değerinde düşüş olmaz; yani risk ortadan kalkmaz. sıfırıncı gün korunmasızlığı, üreticinin öğrendiği tarihte "birinci gün korunmasızlığı"na dönüşür ve gün geçtikçe yaşı artar ve ama korsanlar tarafından istismar edilmeye devam edilirler. bu endişe veren süreç üretici o korunmasızlığı kapatana kadar ve daha da ötesinde yazılımın yamaları o yazılımın yüklü olduğu tüm bilgisayar ve akıllı telefonlarda düzeltilene kadar devam eder.
bu yüzden bulunması zor olan sıfırıncı gün korunmasızlıklarının bazıları (nasıl istismar edileceği bilgileri ile beraber) karaborsada satılmaktadır ya da üreticiler bunları bulana ödül vermektedir. hatta şapkasının rengi ne ak ne kara belli olmayan, eski korsan yeni güvenlik uzmanlarının bile bu korunmasızlıkları sattığı görülebilmektedir.
yüzde 100 güvenlik mümkün değil
bu noktada, virüs koruma olarak nitelendirilen güvenlik yazılımları akla gelebilir. doğrudur, sürekli güncellenen işletim sistemi ve yazılımlar ile beraber kurulan başarılı bir güvenlik yazılımı bilinen ya da bilinene yakın kötücül yazılımlardan koruyacaktır. ancak, bilinmeyen sıfırıncı gün saldırılarına karşı koruma sağladığını ve bunu bilgisayarda bir başarım düşüşü olmadan yaptığını iddia eden ticari virüs koruma yazılımlarını ciddiye almak zor gözükmektedir.
şimdi, yukarıdaki ‘hareket noktası’nı bir daha okuyunuz. virüs koruma yazılımının kendisi de sıfırıncı gün saldırılarına karşı korunmasızdır. sonuçta bir güvenlik yazılımın kurulması ile de saldırı alanınızı genişletmiş olursunuz. bu bakımdan %100 güvenlik ne yazık ki mümkün değildir. hatta siber uzayın engelsiz yapısı, saldırı için gereken maliyetin düşüklüğü göz önüne alındığında %99 güvenli bir sistem %1 korunmasızsa, aslında %100 güvensiz denilebilir. çünkü, genel uygulamada bir kriptoloji uzmanının söylediği gibi “güvenlik; atlatılır, saldırılmaz”.
abd başkanı barack obama, 13 şubat’ta stanford üniversitesi’nde yaptığı konuşmada -belki de siber savaş tehlikesini ima etmekten imtina ettiğinden- siber uzayı yeni ‘vahşi batı’ olarak adlandırdı. çevrimiçi olan herkesin korunmasız olduğunu ve herkesin devletin 'kasabanın şerifi' olmasını beklediğini açıkladı. bunun kendilerinin boyunu aşan bir konu olduğunu düşünse gerek, siber saldırıları özel sektörün daha fazla çaba göstererek durdurulabileceğini belirtti.
sonuç olarak, internet, evet, batı'da doğdu; ama biz de türkiye olarak, sanayi devriminde geç kalmış bir ülke olarak bu büyük küresel kasabanın önemli bir mahallesiyiz. bizlerin de devletten, kamu kurumlarına; özel sektörden, akademik camiaya; emniyet kurumlarından, yasal kurumlara ve medyaya ve vatandaştan, aile bireylerine kadar herkesin, siber uzayı ‘vahşi batı’dan ‘yahşi batı’ya döndürmesi lâzım. bu şekilde savaş ve karmaşadan uzak sürdürülebilir bir barış ve medeniyet ortamı mümkün olabilecektir. bunun için siber savunmada içte ve dışta işbirliği yapmamız, özgün çözüm geliştirmemiz, çevrimiçi olduğumuz her zaman bilinçli olmamız ve üzerimize düşen sorumlulukları ihmal etmeden yerine getirmemiz gereklidir.
gürol canbek, bilgisayar yüksek mühendisi. istanbul teknik üniversitesi kontrol ve bilgisayar mühendisliği bölümü'nden mezun oldu. yüksek lisansını gazi üniversitesi bilgisayar mühendisliği bölümü'nde yaptı. orta doğu teknik üniversitesi, bilişim sistemleri'nde doktora tezini çalışmaktadır. bilgi güvenliği ve siber güvenlik üzerine çok sayıda makalesi ve "bilgi ve bilgisayar güvenliği: casus yazılımlar ve korunma yöntemleri" (grafiker yayınları, 2006) başlıklı bir kitabı vardır.
bu makalede yer alan görüşler yazara aittir ve al jazeera'nin editöryel politikasını yansıtmayabilir.
Yorumlar