ABD Başkanı Barack Obama’nın güvenlik danışmanı ve ABD İç Güvenlik Bakanlığı danışmanı Jeff Moss’un da yer alacağı CODE BLUE siber güvenlik konferansı, 17-18 Şubat tarihlerinde Tokyo’da düzenlenecek. Konferansta Türkiye’yi temsil edecek güvenlik araştırmacısı Celil Ünüver, sanayi tesislerinin kontrolü temsil eden SCADA sistemleri hakkında yapacağı sunumla, söz konusu sistemlerde keşfettiği ve devletleri riske sokan güvenlik açıklarını gözler önüne serecek.
Japon yetkililer tarafından konferans öncesinde yapacağı sunum hakkında kendisinden bilgi sunması istenen Ünüver, sunumunun güvenlik riski doğurabileceği gerekçesiyle sansürlenmek istediğini belirtti. Sunumunda birçok önemli kısma değinmesi istenmeyen Ünüver, bu şekilde çalışmalarının bir anlam ifade etmeyeceğini belirterek, önemli tespitlerini ‘özel olarak sunmaya devam edeceğini’ söyledi.
Ünüver, CODE BLUE konferansı öncesinde Japon yetkililerin sunumu hakkındaki yaklaşımı ve bu durumun altındaki sebepleri ntvmsnbc’ye anlattı:
Konferans hakkında kısa bir ön bilgi verir misin?
Code Blue, Japonya'da düzenlenecek uluslararası bilgi güvenliği konferansını temsil ediyor. Konferansı düzenleyen uzmanların amacı, dünyanın en ünlü uzmanlarını bu konferansta buluşturarak yetişmekte olan güvenlik araştırmacılarına katkıda bulunmak ve önemli bilgileri bir araya getirmek. Japonlar bugün siber güvenlik altyapılarında 80 bin kişilik bir iş gücü eksiği olduğunu belirtiyor. Japonlar yeni uzmanların yetiştirilmesinde uluslararası konferanslara büyük önem veriyor.
Yapacağın sunum hakkında bilgi verir misin?
Benim sunumum nükleer, elektrik santralleri gibi çeşitli kritik altyapılarda kullanılan SCADA yazılımlarının güvenliği hakkında. Sunumumun başlığı "SCADA Software or Swiss Cheese Software", yani “SCADA Yazılımı veya İsviçre Peyniri Yazılımı.” Bu ifadeyle, SCADA yazılımlarının İsviçre peyniri gibi ‘delik-deşik’ olduğuna dikkat çekerken, kendi bulduğum ve Amerikan Ulusal Güvenlik Bakanlığıyla organize çalışarak yamadığımız güvenlik açıklarına değineceğim.
‘BİLGİLERİ ÖZEL OLARAK PAYLAŞACAĞIM’
Peki, Japonları bu aşamada endişelendiren ne oldu ?
Japonlar sunumumun dosyasını önceden incelemek istediler çünkü içerisinde barındırdığı bilgilerin çok kritik olabileceğini düşündüler. Dosyamı kendilerine ilettim ve inceledikten sonra sunumda bahsettiğim SCADA yazılımlarının Japonya'da da kritik altyapılarda kullanıldığını söylediler. Sunumumda henüz yaması olmayan bazı güvenlik açıkları da olduğu için bunun Japonya'da büyük hasarlara sebep olabileceğini düşündüler.
Ne gibi tesisler olduğuna dair belli isimler verdiler mi? Doğrudan nükleer tesisler yer alıyor mu veya bu tesisler arasında?
Doğrudan isim vermediler ancak nükleer tesislerin de bu yazılımları kullandığını belirttiler. Dolayısıyla eğer konferansta kötü niyetli kişi veya kişiler bulunursa anlattığım bilgiyi kötü amaçla Japonya’ya zarar vermek için kullanabilir diye korktular. Bu kaygılarını ilettikten sonra da sunum dosyamdaki bazı sayfaları ‘maskelememi’ , kısaca kritik teknik detayları gizlememi istediler.
Tam olarak nasıl bir ‘kırpma’ istediler?
Sunumda bahsedeceğim yaması mevcut olmayan zafiyetlerin detaylarını kesinlikle gizlememi istediler. Bunun dışında konferansa katılanları ve (basın da orada olacağı için) toplumu korkuya, endişeye sürüklememek adına diğer paylaşacağım açıkların da nasıl yamanacağı ve kapatılacağı konusunda mutlaka bilgi vermemi istediler.
Sen Japonya'nın bu tür bir tehdit altında olduğuna inanıyor musun?
Evet, açıkçası endişeleri gayet yerinde ve gerçekçi. Ben kişisel olarak bilimin gelişmesi için bilginin özgür olmasına inansam da maalesef bu sistemler insanlar için tehdit oluşturabiliyor. Bu yüzden kaygı duymakta haklılar. Üstelik sadece birkaç yıl önce Stuxnet yazılımıyla İran'daki nükleer faaliyetlerin durdurulduğu örneğini herkes hatırlıyor.
Japonlara hassas oldukları bir dönemde en çok kim zarar vermek isteyebilir?
Çin ve Rusya bu tarz siber sabotajlarda bulunabilir. Üstelik Çin ve Japonya arasındaki tarihi kavga, Çinlileri bu konuda bu tür bir olasılıkta bir adım öne çıkarıyor.
Senden istenen talebi yerine getirmen sunumunu nasıl bir hale sokacak?
Açıkçası onlar teknik detayları gizlesem de sunumumun beğeni toplayacağını düşünüyor. Ancak ben bu detayları gizleyince sunumumun değerini kaybedeceğine inanıyorum. Çünkü insanlar bu konferansa genelde teknik detay dinlemek için geliyor. Ben ise mecburen pek fazla teknik detay verememiş olacağım.
İstediğin detayları verirsen Japonların bahsettiği tehdit edici durum ortaya çıkacak mı?
Açıkçası sunuma katılacak kişileri gizlilik soruşturmasından geçirmeyecekleri için böyle bir tehdit riski her zaman var.
Japon yetkililer tarafından konferans öncesinde yapacağı sunum hakkında kendisinden bilgi sunması istenen Ünüver, sunumunun güvenlik riski doğurabileceği gerekçesiyle sansürlenmek istediğini belirtti. Sunumunda birçok önemli kısma değinmesi istenmeyen Ünüver, bu şekilde çalışmalarının bir anlam ifade etmeyeceğini belirterek, önemli tespitlerini ‘özel olarak sunmaya devam edeceğini’ söyledi.
Ünüver, CODE BLUE konferansı öncesinde Japon yetkililerin sunumu hakkındaki yaklaşımı ve bu durumun altındaki sebepleri ntvmsnbc’ye anlattı:
Konferans hakkında kısa bir ön bilgi verir misin?
Code Blue, Japonya'da düzenlenecek uluslararası bilgi güvenliği konferansını temsil ediyor. Konferansı düzenleyen uzmanların amacı, dünyanın en ünlü uzmanlarını bu konferansta buluşturarak yetişmekte olan güvenlik araştırmacılarına katkıda bulunmak ve önemli bilgileri bir araya getirmek. Japonlar bugün siber güvenlik altyapılarında 80 bin kişilik bir iş gücü eksiği olduğunu belirtiyor. Japonlar yeni uzmanların yetiştirilmesinde uluslararası konferanslara büyük önem veriyor.
Yapacağın sunum hakkında bilgi verir misin?
Benim sunumum nükleer, elektrik santralleri gibi çeşitli kritik altyapılarda kullanılan SCADA yazılımlarının güvenliği hakkında. Sunumumun başlığı "SCADA Software or Swiss Cheese Software", yani “SCADA Yazılımı veya İsviçre Peyniri Yazılımı.” Bu ifadeyle, SCADA yazılımlarının İsviçre peyniri gibi ‘delik-deşik’ olduğuna dikkat çekerken, kendi bulduğum ve Amerikan Ulusal Güvenlik Bakanlığıyla organize çalışarak yamadığımız güvenlik açıklarına değineceğim.
‘BİLGİLERİ ÖZEL OLARAK PAYLAŞACAĞIM’
Peki, Japonları bu aşamada endişelendiren ne oldu ?
Japonlar sunumumun dosyasını önceden incelemek istediler çünkü içerisinde barındırdığı bilgilerin çok kritik olabileceğini düşündüler. Dosyamı kendilerine ilettim ve inceledikten sonra sunumda bahsettiğim SCADA yazılımlarının Japonya'da da kritik altyapılarda kullanıldığını söylediler. Sunumumda henüz yaması olmayan bazı güvenlik açıkları da olduğu için bunun Japonya'da büyük hasarlara sebep olabileceğini düşündüler.
Ne gibi tesisler olduğuna dair belli isimler verdiler mi? Doğrudan nükleer tesisler yer alıyor mu veya bu tesisler arasında?
Doğrudan isim vermediler ancak nükleer tesislerin de bu yazılımları kullandığını belirttiler. Dolayısıyla eğer konferansta kötü niyetli kişi veya kişiler bulunursa anlattığım bilgiyi kötü amaçla Japonya’ya zarar vermek için kullanabilir diye korktular. Bu kaygılarını ilettikten sonra da sunum dosyamdaki bazı sayfaları ‘maskelememi’ , kısaca kritik teknik detayları gizlememi istediler.
Tam olarak nasıl bir ‘kırpma’ istediler?
Sunumda bahsedeceğim yaması mevcut olmayan zafiyetlerin detaylarını kesinlikle gizlememi istediler. Bunun dışında konferansa katılanları ve (basın da orada olacağı için) toplumu korkuya, endişeye sürüklememek adına diğer paylaşacağım açıkların da nasıl yamanacağı ve kapatılacağı konusunda mutlaka bilgi vermemi istediler.
Sen Japonya'nın bu tür bir tehdit altında olduğuna inanıyor musun?
Evet, açıkçası endişeleri gayet yerinde ve gerçekçi. Ben kişisel olarak bilimin gelişmesi için bilginin özgür olmasına inansam da maalesef bu sistemler insanlar için tehdit oluşturabiliyor. Bu yüzden kaygı duymakta haklılar. Üstelik sadece birkaç yıl önce Stuxnet yazılımıyla İran'daki nükleer faaliyetlerin durdurulduğu örneğini herkes hatırlıyor.
Japonlara hassas oldukları bir dönemde en çok kim zarar vermek isteyebilir?
Çin ve Rusya bu tarz siber sabotajlarda bulunabilir. Üstelik Çin ve Japonya arasındaki tarihi kavga, Çinlileri bu konuda bu tür bir olasılıkta bir adım öne çıkarıyor.
Senden istenen talebi yerine getirmen sunumunu nasıl bir hale sokacak?
Açıkçası onlar teknik detayları gizlesem de sunumumun beğeni toplayacağını düşünüyor. Ancak ben bu detayları gizleyince sunumumun değerini kaybedeceğine inanıyorum. Çünkü insanlar bu konferansa genelde teknik detay dinlemek için geliyor. Ben ise mecburen pek fazla teknik detay verememiş olacağım.
İstediğin detayları verirsen Japonların bahsettiği tehdit edici durum ortaya çıkacak mı?
Açıkçası sunuma katılacak kişileri gizlilik soruşturmasından geçirmeyecekleri için böyle bir tehdit riski her zaman var.
‘TÜRKİYE SCADA SİSTEMLERİNDE GERİDE KALDI’
Nasıl orta nokta bulacaksınız? Konferanstan çekilmeyi düşünüyor musun?
Hayır, konferanstan çekilmeyi düşünmüyorum. Kimseyi sıkıntıya sokmayacak şekilde sunumumu biraz kırpacağım ancak teknik detayları öğrenmek isteyen kurumsal (devlet kurumları vb.) katılımcılarla bilgileri özelden paylaşabileceğimi belirteceğim.
Sunumu yapacak olsan da bu özel paylaşım konusuna Japonlar ne diyecek sence ?Haberleri olacak mı paylaşabileceğinden?
Evet, kendilerinden onay alacağım bu özel paylaşım için. Sadece devlet kurumları ve saygın şirketlerde çalışanlarla paylaşmamdan onlar da sakınca duymayacaktır.
Vereceğin bilgiler Japonya başta olmak üzere kritik tesislerin güvenliğinde devletlere neler kazandıracak ?
Devlet kurumları bu sistemlerin gerçekten İsviçre peyniri gibi delik deşik olduğunun farkına varacaklar. Aynı zamanda sunumumda eski SCADA açıkları için yayınlanan yamaların nasıl bypass edildiğini de anlatacağım. Bu da üretici firmaların yamalarına güvenerek, güvende kalamayacaklarını gösterecek. Güvende kalmak için defansta kalmaktansa, erken uyarı ve istihbarat gibi agresif güvenliğe yatırım yapmaları gerektiğini anlayacaklar.
Türkiye bu gelişmelerin neresinde? Kritik tesislerimiz iyi korunuyor mu? Konferansları ne kadar yakından takip ediyoruz?
Maalesef Türkiye'deki güvenlik sektörü çalışanlarının bir çoğu yurtdışındaki konferanslara konuşmacı ya da dinleyici olarak katılmıyor. Bu durumda kurumların konferans katılımı için çalışanlarına bütçe ayırmaması da büyük bir etken. Dolayısıyla gelişmeleri çok geriden takip eden bir sektörümüz mevcut. Henüz network güvenliği gibi konular dahi yeterince ülkemizde oturmamışken, SCADA güvenliği çok spesifik olduğu için kurumlar da bu yazılımların yeterince farkında değil. Dolayısıyla Türkiye'deki kritik tesislerde bu konuda oldukça zayıf diyebilirim.
Jeff Moss’un konferansa katılımının önemi ne sence?
Prestij açısından oldukça önemli. Jeff Moss sektördeki birçok güvenlik uzmanının sevdiği bir isim. DEFCON ve BLACKHAT gibi meşhur hacker konferanslarının kurucusu aynı zamanda. Obama'nın Siber Güvenlik Danışmanlığını yapmış olması da ününü artırıyor.
Nasıl orta nokta bulacaksınız? Konferanstan çekilmeyi düşünüyor musun?
Hayır, konferanstan çekilmeyi düşünmüyorum. Kimseyi sıkıntıya sokmayacak şekilde sunumumu biraz kırpacağım ancak teknik detayları öğrenmek isteyen kurumsal (devlet kurumları vb.) katılımcılarla bilgileri özelden paylaşabileceğimi belirteceğim.
Sunumu yapacak olsan da bu özel paylaşım konusuna Japonlar ne diyecek sence ?Haberleri olacak mı paylaşabileceğinden?
Evet, kendilerinden onay alacağım bu özel paylaşım için. Sadece devlet kurumları ve saygın şirketlerde çalışanlarla paylaşmamdan onlar da sakınca duymayacaktır.
Vereceğin bilgiler Japonya başta olmak üzere kritik tesislerin güvenliğinde devletlere neler kazandıracak ?
Devlet kurumları bu sistemlerin gerçekten İsviçre peyniri gibi delik deşik olduğunun farkına varacaklar. Aynı zamanda sunumumda eski SCADA açıkları için yayınlanan yamaların nasıl bypass edildiğini de anlatacağım. Bu da üretici firmaların yamalarına güvenerek, güvende kalamayacaklarını gösterecek. Güvende kalmak için defansta kalmaktansa, erken uyarı ve istihbarat gibi agresif güvenliğe yatırım yapmaları gerektiğini anlayacaklar.
Türkiye bu gelişmelerin neresinde? Kritik tesislerimiz iyi korunuyor mu? Konferansları ne kadar yakından takip ediyoruz?
Maalesef Türkiye'deki güvenlik sektörü çalışanlarının bir çoğu yurtdışındaki konferanslara konuşmacı ya da dinleyici olarak katılmıyor. Bu durumda kurumların konferans katılımı için çalışanlarına bütçe ayırmaması da büyük bir etken. Dolayısıyla gelişmeleri çok geriden takip eden bir sektörümüz mevcut. Henüz network güvenliği gibi konular dahi yeterince ülkemizde oturmamışken, SCADA güvenliği çok spesifik olduğu için kurumlar da bu yazılımların yeterince farkında değil. Dolayısıyla Türkiye'deki kritik tesislerde bu konuda oldukça zayıf diyebilirim.
Jeff Moss’un konferansa katılımının önemi ne sence?
Prestij açısından oldukça önemli. Jeff Moss sektördeki birçok güvenlik uzmanının sevdiği bir isim. DEFCON ve BLACKHAT gibi meşhur hacker konferanslarının kurucusu aynı zamanda. Obama'nın Siber Güvenlik Danışmanlığını yapmış olması da ününü artırıyor.