Bireysel ve kurumsal bilgilerin hızla dijital platforma taşındığı günümüzde, siber tehditler de artıyor. Küresel alanda 2010’dan itibaren giderek artan siber savaşlar, devletleri hedef alan kötü amaçlı yazılımlar ve casusluk eylemleri, sadece birey ve kurumları değil, devletlerin kendisini tehdit ediyor.
İlişkili Haberler
Türkiye, özel sektör ve devlet kurumları olmak üzere son hızla dijital dünyanın yeniliklerine adapte olmaya çalışıyor. Peki, küresel hacker örgütlerine, yurt içi ve dışından gelecek casusluk ve sabotaj amaçlı eylemlere ne kadar hazırlıklıyız?
Anonymous gibi hacker örgütlerin ve Stuxnet gibi kötü amaçlı yazılımların kurbanı olmamak için, siber dünyayı tanımamız gerekiyor. Türkiye’de güvenlik açıkları araştırması ve istihbaratı üzerinde çalışan tek şirket olan SignalSec’in kurucusu Celil Ünüver, siber dünyanın içerdiği birçok tehdidi ve dikkat edilmesi gerekenleri ntvmsnbc’ye anlattı. Ünüver, ‘Ortadoğu'da liderliğe oynayan Türkiye’nin siber saldırılarla karşılaşacağını söylemek için kahin olmak gerekmez’ ifadesini kullandı.
Altı yıldır bilgi güvenliği sektöründe yer alıyorsun. Bu alandaki çalışmalarından kısaca bahseder misin?
Bilgi güvenliğinin çeşitli alt dallarında çalışmalar yapan bir güvenliği araştırmacısıyım. Özellikle uygulama güvenliği, güvenlik açıkları istismarı, mobil güvenlik ve SCADA güvenliği üzerine yaptığım teknik çalışmalar bulunmakta. Adobe, IBM, Microsoft, HTC gibi bir çok büyük üreticilerin yazılımlarında keşfettiğim zafiyetler sonrası çeşitli global firmalara siber tehdit istihbarat sağlayıcısı ve güvenlik araştırmacısı olarak hizmet verdim. 2011 yılı itibariyle Türkiye'de ofansif ve ileri seviye bilgi güvenliği çalışmaları yapma amacıyla SignalSEC'i kurdum.
SignalSec çok yeni bir şirket olmasına rağmen yazılım paketi sunuyor, eğitim veriyor, makaleler yayımlıyor ve PR etkinlikleri gerçekleştiriyor. Bu kadar sosyal ve üretken bir altyapı nasıl kurdunuz? Ekibinizden biraz bahseder misin?
Yeni bir şirket olmamıza rağmen ekibimiz sektörde yazılım ve güvenlik gibi alanlarda kendini geliştirmiş ve kanıtlamış arkadaşlardan oluşuyor.
Ekip arkadaşlarımızla yerel bilgi güvenliği camiasına katkı sağlamak, gelişmesine destek olmak amacıyla yola çıktığımız için "üretme" odaklı çalışıyoruz. Bu doğrultuda bugüne kadar hem çeşitli makaleler, ücretsiz güvenlik yazılımları yayınladık, hem de yurtdışında önemli güvenlik konferanslarında ülkemizi temsil ettik. Ayrıca Türkiye'nin ilk ve tek uluslararası hacker konferansı NOPcon'u düzenleyerek, alanında uzman yabancı güvenlik uzmanlarını bilgi güvenliği sektörü çalışanları ve meraklılarıyla ücretsiz buluşturduk.
Windows Mobile işletim sisteminde keşfettiğin açık uluslararası alanda da tanınmanı sağladı. Sence bugün siber dünyanın güvenlik alanındaki en büyük sıkıntısı ne? Kötü amaçlı yazılımların saldırısı olmadan gelişmek mümkün değil mi?
Güvenlik bir kısır döngüden ibaret diyebilirim. Kötü taraf olmadan gelişim sağlanamaz. Önlemler arttıkça, saldırılar da artacak. Güvenlik uzmanları önlem ve koruma mekanizmaları geliştirirken, hacker’lar bu mekanizmalar için bypass yöntemleri geliştirecek. Ancak bu kısır döngü her seferinde güvenliğin bir adım daha ileriye gitmesini sağlayacak ve siber saldırılar gerçekleştirilmesi daha karmaşık, zor hale gelecek.
SignalSec anladığım kadarıyla başta sanayi kuruluşları ve tesislerine güvenlik hizmeti sunmayı amaçlıyor. Sence Türkiye Stuxnet veya Flame gibi virüslere karşı ne kadar dayanıklı? SignalSec bu konuda Türkiye'ye ne sunabilir?
SCADA güvenliği de çalışma yaptığımız ve uzman olduğumuz bir alan. Çeşitli SCADA yazılımlarında bulduğumuz güvenlik açıklarının, ABD Ulusal Güvenlik Bakanlığına bağlı US-CERT kurumu ile koordineli çalışarak yamanmasını sağladık.
SCADA sistemler güvenlik ön planda tutulmadan kodlanmış yazılımlardan oluşuyor. Çünkü Stuxnet vakasına kadar bu yazılımları hedef alan herhangi bir saldırı yoktu. Ayrıca bu sistemlerin sürekliliği ön planda olduğu için yama ve güncelleme yapmak pek kolay değil. Doğal olarak Türkiye'deki enerji ve sanayi kurumları da diğer ülkeler gibi bu saldırılara açık durumda.
Örneğin 2011 yılında incelediğimiz IGSS SCADA yazılımı, güvenlik açığını keşfettiğimiz ve gerekli kurumlara bildirerek yamanmasını sağladığımız yazılımlardan biriydi. Bu yazılım dünya genelinde 50 ülkede 28000 endüstriyel sistemde kullanılıyordu. Çek Cumhuriyeti Doğalgaz Dağıtım sistemleri de bu yazılımı kullanan kurumlar arasındaydı.
Bu yazılımda keşfettiğimiz güvenlik açığı, kötü bir amaçla profesyonel bir şekilde kullanılsaydı Çek Cumhuriyeti'nin doğal gaz altyapısını kesintiye uğratabilirdi. Benzer saldırı senaryoları bir ülkenin elektrik, trafik, ulaşım gibi birçok altyapı sistemine uygulanabilir.
Hali hazırda bizimle iletişime geçen çeşitli yabancı kurumlara SCADA güvenliği için denetim yazılımları sağlıyoruz ve sistemlerini tehdit eden güvenlik açıkları için erken uyarı/istihbarat hizmeti sunuyoruz. Türkiye'deki kurumlar da konunun önemini kavradığında benzer hizmetleri verebiliriz.
Güvenlik bir kısır döngüden ibaret diyebilirim. Kötü taraf olmadan gelişim sağlanamaz. Önlemler arttıkça, saldırılar da artacak. Güvenlik uzmanları önlem ve koruma mekanizmaları geliştirirken, hacker’lar bu mekanizmalar için bypass yöntemleri geliştirecek. Ancak bu kısır döngü her seferinde güvenliğin bir adım daha ileriye gitmesini sağlayacak ve siber saldırılar gerçekleştirilmesi daha karmaşık, zor hale gelecek.
SignalSec anladığım kadarıyla başta sanayi kuruluşları ve tesislerine güvenlik hizmeti sunmayı amaçlıyor. Sence Türkiye Stuxnet veya Flame gibi virüslere karşı ne kadar dayanıklı? SignalSec bu konuda Türkiye'ye ne sunabilir?
SCADA güvenliği de çalışma yaptığımız ve uzman olduğumuz bir alan. Çeşitli SCADA yazılımlarında bulduğumuz güvenlik açıklarının, ABD Ulusal Güvenlik Bakanlığına bağlı US-CERT kurumu ile koordineli çalışarak yamanmasını sağladık.
SCADA sistemler güvenlik ön planda tutulmadan kodlanmış yazılımlardan oluşuyor. Çünkü Stuxnet vakasına kadar bu yazılımları hedef alan herhangi bir saldırı yoktu. Ayrıca bu sistemlerin sürekliliği ön planda olduğu için yama ve güncelleme yapmak pek kolay değil. Doğal olarak Türkiye'deki enerji ve sanayi kurumları da diğer ülkeler gibi bu saldırılara açık durumda.
Örneğin 2011 yılında incelediğimiz IGSS SCADA yazılımı, güvenlik açığını keşfettiğimiz ve gerekli kurumlara bildirerek yamanmasını sağladığımız yazılımlardan biriydi. Bu yazılım dünya genelinde 50 ülkede 28000 endüstriyel sistemde kullanılıyordu. Çek Cumhuriyeti Doğalgaz Dağıtım sistemleri de bu yazılımı kullanan kurumlar arasındaydı.
Bu yazılımda keşfettiğimiz güvenlik açığı, kötü bir amaçla profesyonel bir şekilde kullanılsaydı Çek Cumhuriyeti'nin doğal gaz altyapısını kesintiye uğratabilirdi. Benzer saldırı senaryoları bir ülkenin elektrik, trafik, ulaşım gibi birçok altyapı sistemine uygulanabilir.
Hali hazırda bizimle iletişime geçen çeşitli yabancı kurumlara SCADA güvenliği için denetim yazılımları sağlıyoruz ve sistemlerini tehdit eden güvenlik açıkları için erken uyarı/istihbarat hizmeti sunuyoruz. Türkiye'deki kurumlar da konunun önemini kavradığında benzer hizmetleri verebiliriz.
Siber güvenlik alanında Batı dünyası ve Türkiye arasında nasıl farklılıklar var? SignalSec olarak elinizde belli rakamlar var mı?
Öncelikle Türkiye'de siber güvenlik alanında Ar-Ge faaliyeti yapan firma sayısı çok az. Firmalar yerli ürün geliştirmektense, yabancı ürünlerin distribütörü, bayisi olmayı tercih ediyor. Siber güvenlik stratejik bir sektör, geliştirilen her güvenlik yazılımının stratejik bir amacı olabilir.
Devlet son zamanlarda siber güvenliğe önem verse de henüz yeterli çalışma ve destek olduğunu söylemek zor. Sektörün büyümesi için devletin desteği şart. Örneğin ABD hükümeti, Ulusal Güvenlik Bakanlığına, 2013 yılında sadece siber güvenlik çalışmaları için 769 milyon dolarlık bir bütçe ayırdı. Amerikan kamu kurumlarının siber güvenlik için 2015 yılına kadar 10 trilyon dolar harcayacağı hesaplanıyor.
Batı dünyası aynı zamanda devletin siber güvenlik faaliyetlerini özel sektörle iş birliği içinde gerçekleştiriyor. Bütün faaliyetleri tek bir devlet kurumuna yüklemek gibi hatalarda bulunmuyor.
Devlet kurumları yakın dönemde RedHack ve Anonymous'un çok sayıda siber saldırısına uğradı. Dünyada ise ABD başta olmak üzere en güçlü kurumlar bile hacker'lara karşı çaresiz kaldı. Onlarda olup da devletler de olmayan yetenek ne?
Güvenlik uzmanları bu işi meslek olarak yapıyor ve belli bir süreden sonra çeşitli sosyal, psikolojik etkenlerden dolayı hacker bakış açılarını maalesef kaybediyorlar. Hacker’ların ise en başta mesai saati gibi bir kavramları yok. Bir sistemin güvenlik açığını mesai saatleri diliminde aramak yerine gerekirse 7/24 yoğunlaşabiliyorlar. Ayrıca güvenlik uzmanlarının genelde tek motivasyonu para iken, hackerların şöhret, siyasi ideoloji ve ego gibi birçok ek motivasyonu var.
RedHack ve Anonymous saldırıları buz dağının sadece görünen ucu. Arka planda çeşitli devletlerin, istihbarat kurumlarının gizlice gerçekleştirdiği siber espiyonaj faaliyetleri olabilir. Yabancı devletler tarafından gerçekleştirilen siber espiyonaj çalışmaları ülkeler için daha büyük bir problem oluşturuyor.
Öncelikle Türkiye'de siber güvenlik alanında Ar-Ge faaliyeti yapan firma sayısı çok az. Firmalar yerli ürün geliştirmektense, yabancı ürünlerin distribütörü, bayisi olmayı tercih ediyor. Siber güvenlik stratejik bir sektör, geliştirilen her güvenlik yazılımının stratejik bir amacı olabilir.
Devlet son zamanlarda siber güvenliğe önem verse de henüz yeterli çalışma ve destek olduğunu söylemek zor. Sektörün büyümesi için devletin desteği şart. Örneğin ABD hükümeti, Ulusal Güvenlik Bakanlığına, 2013 yılında sadece siber güvenlik çalışmaları için 769 milyon dolarlık bir bütçe ayırdı. Amerikan kamu kurumlarının siber güvenlik için 2015 yılına kadar 10 trilyon dolar harcayacağı hesaplanıyor.
Batı dünyası aynı zamanda devletin siber güvenlik faaliyetlerini özel sektörle iş birliği içinde gerçekleştiriyor. Bütün faaliyetleri tek bir devlet kurumuna yüklemek gibi hatalarda bulunmuyor.
Devlet kurumları yakın dönemde RedHack ve Anonymous'un çok sayıda siber saldırısına uğradı. Dünyada ise ABD başta olmak üzere en güçlü kurumlar bile hacker'lara karşı çaresiz kaldı. Onlarda olup da devletler de olmayan yetenek ne?
Güvenlik uzmanları bu işi meslek olarak yapıyor ve belli bir süreden sonra çeşitli sosyal, psikolojik etkenlerden dolayı hacker bakış açılarını maalesef kaybediyorlar. Hacker’ların ise en başta mesai saati gibi bir kavramları yok. Bir sistemin güvenlik açığını mesai saatleri diliminde aramak yerine gerekirse 7/24 yoğunlaşabiliyorlar. Ayrıca güvenlik uzmanlarının genelde tek motivasyonu para iken, hackerların şöhret, siyasi ideoloji ve ego gibi birçok ek motivasyonu var.
RedHack ve Anonymous saldırıları buz dağının sadece görünen ucu. Arka planda çeşitli devletlerin, istihbarat kurumlarının gizlice gerçekleştirdiği siber espiyonaj faaliyetleri olabilir. Yabancı devletler tarafından gerçekleştirilen siber espiyonaj çalışmaları ülkeler için daha büyük bir problem oluşturuyor.
Hacker'ların aynı zamanda yazılım geliştiricileri olduğu çok belli. Anonymous gibi bir örgütte devletler veya özel şirketler için çalışan çok sayıda güvenlik yazılımcısı yer alıyor olabilir mi?
Anonymous, hacktivist ve ideolojik bir grup olduğu için aynı ideolojiye, fikirlere sahip çeşitli kurum çalışanları da bu tarz oluşumlarda yer alıyor olabilir.
Dünyada olduğu gibi Türkiye'de de mobil cihaz kullanımı son sürat artıyor. Ancak birçok kullanıcı güvenlik yazılımı kullanmıyor. Bu alanda ne gibi riskler yatıyor? Sizin çalışmalarınız neler?
Özellikle Android telefonları hedef alan zararlı yazılım sayısı çok fazla. 2011 yılından 2012 yılına kadar Android telefonları tehdit eden zararlı yazılım sayısında artış yüzde 580 civarında. Bu zararlı yazılımlar bazen online bankacılık işlemlerinde telefonunuza gelen tek kullanım şifreleri çalmakta, bazen çeşitli yurtdışı numaralara sizden habersiz SMS gönderip, pahalı aramalar yapmakta.
Telefonuna zararlı yazılım bulaşan bir kullanıcı boş bir banka hesabı ya da kabarık bir telefon faturası ile karşılaşabilir.
Kullanıcılar mutlaka bir mobil güvenlik ürünü kullanmalılar. Android sistemler için geliştirmeye başladığımız bir mobil güvenlik yazılımını 2013 yılında kullanıcılara ücretsiz sunmayı planlıyoruz.
Anonymous, hacktivist ve ideolojik bir grup olduğu için aynı ideolojiye, fikirlere sahip çeşitli kurum çalışanları da bu tarz oluşumlarda yer alıyor olabilir.
Dünyada olduğu gibi Türkiye'de de mobil cihaz kullanımı son sürat artıyor. Ancak birçok kullanıcı güvenlik yazılımı kullanmıyor. Bu alanda ne gibi riskler yatıyor? Sizin çalışmalarınız neler?
Özellikle Android telefonları hedef alan zararlı yazılım sayısı çok fazla. 2011 yılından 2012 yılına kadar Android telefonları tehdit eden zararlı yazılım sayısında artış yüzde 580 civarında. Bu zararlı yazılımlar bazen online bankacılık işlemlerinde telefonunuza gelen tek kullanım şifreleri çalmakta, bazen çeşitli yurtdışı numaralara sizden habersiz SMS gönderip, pahalı aramalar yapmakta.
Telefonuna zararlı yazılım bulaşan bir kullanıcı boş bir banka hesabı ya da kabarık bir telefon faturası ile karşılaşabilir.
Kullanıcılar mutlaka bir mobil güvenlik ürünü kullanmalılar. Android sistemler için geliştirmeye başladığımız bir mobil güvenlik yazılımını 2013 yılında kullanıcılara ücretsiz sunmayı planlıyoruz.
Çin ve ABD arasında 2010-2011 döneminde çok ciddi bir siber çatışma yaşandı. Siber savaş 21'inci yüzyılda dengeleri nasıl değiştirecek? Türkiye dahil tüm ülkeler için siber savaş kaçınılmaz bir durum mu?
Siber savaş sadece Çin ve ABD değil birçok ülke arasında yaşanıyor. Çoğu siber saldırı vakasını basında duymuyoruz.
Örneğin 2011 yılında Gürcistan, çeşitli devlet kurumlarında siber espiyonaj faaliyetlerinde bulunan bir zararlı yazılım keşfetti. Bu gelişmiş zararlı yazılım bulaştığı bilgisayarlardaki dosyaları tarayarak, "USA, NATO, DoD, CIA, FSB, KGB" gibi kelimeler içeren dokümanları çalmaya çalışıyordu. Gürcistan'ın siber güvenlik kurumu bu saldırıyı ve zararlı yazılımı geliştiren kişilerin doğrudan Rusya'nın istihbarat ve kolluk kuvvetleri olduğunu kanıtladı.
Ortadoğu'da liderliğe oynayan ve bu coğrafyadaki en önemli müttefik devlet olarak bilinen ülkemizin de bu tarz siber saldırılarla karşılaşacağını söylemek için kahin olmak gerekmez.
Ayrıca siber silah geliştirme maliyetinin ve oluşturacağı diplomatik risklerin düşük olması da kolluk kuvvetlerini bu alanda çalışmaya doğru itmektedir.
Siber savaş sadece Çin ve ABD değil birçok ülke arasında yaşanıyor. Çoğu siber saldırı vakasını basında duymuyoruz.
Örneğin 2011 yılında Gürcistan, çeşitli devlet kurumlarında siber espiyonaj faaliyetlerinde bulunan bir zararlı yazılım keşfetti. Bu gelişmiş zararlı yazılım bulaştığı bilgisayarlardaki dosyaları tarayarak, "USA, NATO, DoD, CIA, FSB, KGB" gibi kelimeler içeren dokümanları çalmaya çalışıyordu. Gürcistan'ın siber güvenlik kurumu bu saldırıyı ve zararlı yazılımı geliştiren kişilerin doğrudan Rusya'nın istihbarat ve kolluk kuvvetleri olduğunu kanıtladı.
Ortadoğu'da liderliğe oynayan ve bu coğrafyadaki en önemli müttefik devlet olarak bilinen ülkemizin de bu tarz siber saldırılarla karşılaşacağını söylemek için kahin olmak gerekmez.
Ayrıca siber silah geliştirme maliyetinin ve oluşturacağı diplomatik risklerin düşük olması da kolluk kuvvetlerini bu alanda çalışmaya doğru itmektedir.
Çok sayıda bireysel hacker, hacker örgütü, devletlere bağlı hacker'lar var. Kimin ne zaman nasıl bir saldırıya maruz kalacağı belli değil. Bu kadar karmaşık bir ortamda devletler tüm kurumlarını kontrol altına alan bir güvenlik ağı kurabilir mi? Sizin sanayi tesisleri ve devlete ait bilgileri korumak için çalışmalarınız var mı?
Tüm sistemleri koruma altına alacak bir güvenlik ağı kurmak maalesef mümkün değil. Her gün çeşitli yazılımlar için onlarca güvenlik açığı çıkmakta. Devlet kurumlarını ve çeşitli özel kurumları hedef alan saldırılara baktığımızda hacker’ların genelde yazılım güvenliği açıklarını istismar ettiğini ve insan faktörünü kullandığını görüyoruz.
Uygulama tabanlı saldırıları en azından minimize etmek için kurumlara Güvenlik Açıkları ve Siber Tehdit İstihbaratı sağlayan bir SaaS çözümü geliştiriyoruz. Kısaca bu sistemle kurumlara kullandıkları yazılımlarda çıkan güvenlik zafiyetleri için anlık olarak erken uyarı, raporlama ve yönetim hizmeti sunuyoruz.
SignalSec nasıl bir gelecek öngörüyor? Stratejiniz Türkiye ve uluslararası alanda nasıl çizilecek?
Yakın zamanda konvansiyonel savaşlar, yerini dijital savaşlara bırakmaya başlayacak ve bu sürecin sonuçlarını ülkelerin kritik alt yapılarına (enerji ve su kaynakları) düzenlenecek saldırılarla birlikte yakın bir zaman da görmeye başladık ve başlayacağız. Bizim bu çerçevedeki belirlediğimiz strateji ise yeni siber tehditlere global çapta yoğun izleme-analiz-raporlama faaliyetleri gerçekleştirip, en erken çözüm önerilerini sunmak.
Dünyayı kurtaran hacker organizasyonu hakkında bilgi verir misin?
Dünyayı kurtaran hacker, Türkiye'deki yetenekli gençleri keşfedip sektöre kazandırmak ve ödüllendirmek için düzenlenen herkese açık bir Capture The Flag-Hacking yarışması. Yarışmayı Prodaft firması düzenliyor, biz de sponsor olarak elimizden gelen desteği vermeye çalışıyoruz.
Tüm sistemleri koruma altına alacak bir güvenlik ağı kurmak maalesef mümkün değil. Her gün çeşitli yazılımlar için onlarca güvenlik açığı çıkmakta. Devlet kurumlarını ve çeşitli özel kurumları hedef alan saldırılara baktığımızda hacker’ların genelde yazılım güvenliği açıklarını istismar ettiğini ve insan faktörünü kullandığını görüyoruz.
Uygulama tabanlı saldırıları en azından minimize etmek için kurumlara Güvenlik Açıkları ve Siber Tehdit İstihbaratı sağlayan bir SaaS çözümü geliştiriyoruz. Kısaca bu sistemle kurumlara kullandıkları yazılımlarda çıkan güvenlik zafiyetleri için anlık olarak erken uyarı, raporlama ve yönetim hizmeti sunuyoruz.
SignalSec nasıl bir gelecek öngörüyor? Stratejiniz Türkiye ve uluslararası alanda nasıl çizilecek?
Yakın zamanda konvansiyonel savaşlar, yerini dijital savaşlara bırakmaya başlayacak ve bu sürecin sonuçlarını ülkelerin kritik alt yapılarına (enerji ve su kaynakları) düzenlenecek saldırılarla birlikte yakın bir zaman da görmeye başladık ve başlayacağız. Bizim bu çerçevedeki belirlediğimiz strateji ise yeni siber tehditlere global çapta yoğun izleme-analiz-raporlama faaliyetleri gerçekleştirip, en erken çözüm önerilerini sunmak.
Dünyayı kurtaran hacker organizasyonu hakkında bilgi verir misin?
Dünyayı kurtaran hacker, Türkiye'deki yetenekli gençleri keşfedip sektöre kazandırmak ve ödüllendirmek için düzenlenen herkese açık bir Capture The Flag-Hacking yarışması. Yarışmayı Prodaft firması düzenliyor, biz de sponsor olarak elimizden gelen desteği vermeye çalışıyoruz.