25 Nisan 2017, Salı   |   English
Kullanıcı Adı:  Şifre: Kayıt Ol     Şifremi Unuttum
Murat Lostar : Siber Güvenlik Çalışma Biçiminin, Çıktılarının, Gidiş Yollarının Saydam Olması Gerekiyor - 3
Yazan: Fusun S.Nebil      20 Ocak 2017, Cuma      Sayfayı Yazdır         Tavsiye Et Paylaş
Lostar Bilgi Güvenliği Genel Müdürü Murat Lostar : "VPN aslında biz güvenlikçilerin çok sevdiği, çok kullandığı çok değerli bir teknoloji. Kurum dışındaki bir yerden sizin içerideki iletişiminizi hiç kimsenin görmediği, izleyemediği, değiştiremediği bir güvenli hat üzerinden, güvenli bağlantı üzerinden şirketime erişip şirketimdeki hassas işlemlerimi yapabilmemi sağlıyor ama bunun için bir VPN yazılımına sahip olması gerekiyor kurumumun ve bana bununla ilgili lisans temin etmesi, yazılımlar temin etmesi gerekiyor."

  En Son Haberler
2016 yılının güvenlik konularını değerlendirme söyleşimize, bugün altyapılara saldırılar ve VPN konuları ile devam ediyoruz. Swift saldırılarını konuştuğumuz ilk bölümü burayı tıklayarak ve fidye yazılımları konuştuğumuz 2ci bölümü burayı tıklayarak okuyabilirsiniz.

turk-internet.com: Şimdi bir de yeni moda bir kavram var. Gerçi biz bunu Bruce Willis’in filmlerinden birinde gördük: Kıyamet Günü diye. Virüsler ile kritik alt yapılara ulaşmak: elektrik gibi, su gibi veya doğalgaz, enerji sistemleri, trafik lambaları vesaire, vesaire… Yani kritik alt yapılar. Böyle bir tehlike var mı? Bunu kim yapar? Devletler mi yapar daha doğrusu?

Murat Lostar :
Bu konu çok uzun zamandır aslında biz güvenlikçilerin gündeminde. Daha ilk örnekler yaşanmadan beri hızla bilgisayarlaşan bir kritik alt yapı yönetiminin güvenlik risklerini hep söyleyegeldik. 10 küsur, 15-20 yıldır belki de tarif ediyoruz bunu ama ilk bilinen büyük örneğini aslında İran yaşadı ve Stuxnet dediğimiz saldırı ile yaşadı.

Hatırlatmak adına, daha önceli eminim kayıtlarda, arşivde vardır ama İran’daki Stuxnet, İran Nükleer Programı’nı durdurmak isteyen batılı ülkelere karşı İran durdurmadığında bir virüsün internete hiçbir şekilde bağlı olmayan bir ağa bulaşması sonucunda ve o ağda hiçbir şey yapmadan sadece gidip bir nükleer cihazın, nükleer zenginleştirme santrifüj cihazını bozarak, İran’ın nükleer çalışmalarına aylarca ve belki yıllarca zarara, gecikmeye uğramasını sağlayan bir siber saldırı yöntemiydi.

Bunun dışında 2004 yılında Amerika’nın doğu sahilindeki geniş bir elektrik kesintisinin önce bir siber saldırı olduğundan korkuldu fakat sonra onun bilinçli bir siber saldırı olmadığı ama yine de bir virüsün neden olduğu anlaşıldı. Onun dışında geçtiğimiz yıl, 2016’nın mart ayında Rusya ve Ukrayna arasındaki ihtilaf sonucunda Ukrayna’nın önemli bir bölgesinde ciddi bir elektrik kesintisinin bir Rus hacker tarafından gerçekleştirildiği ortaya çıktı.

Bunun gibi şeyleri otomatik olarak görüyoruz ve görmeye de devam edeceğiz gibi duruyor. Buradaki mekanizma şu: bizim sahip olduğumuz altyapıları trafik ışıklarından, evimize elektriği getiren alt yapıları, doğalgaz sistemlerinden, su sistemlerine kadar ya da hatta evimizdeki çocuğumuzun odasının ısısını ayarlayan klima sistemine kadar eğer bunu bir IOT cihazı ile yönetiyorsak yani ben bir otomatik cihaz ile uzaktan sıcaklığı ölçüp yönetecek bir cihaza sahipsem, aslında bir kritik alt yapı parçası haline getirmiş oluyorum yapıyı.

Her bilgisayar programı yanlış çalışma adayıdır, her bilgisayar programı farklı bir program ile yanlış ya da kötü işler yapmak üzere programlanabilir ve bu alt yapının sonucunda eğer bir eskiden bizim şehrimize su getiren vanalar el ile açılıp kapanıyordu, onun başında bir insan vardı. Birisine telefon edip şu vanayı kapa, dediğinizde kapatıyordu, aç dediğinizde açıyordu. Şu anda bunu bir bilgisayar yapıyor. Eğer o bilgisayarı dolaşıp da vanayı kapat, şurayı aç, burayı kapat burayı aç dersem bir, şehri susuz bırakabilirim, iki, farklı yerlerdeki vanaları kapat, aç diyerek şehrin borularını yüksek basınç ile patlatabilirim. Dolayısıyla artık o sistemi hemen düzeltilemez, tamir edilemez hale getiriyor olabilirim, elektriği keserek, ülkeyi, şehri, ekonomiyi elektriksiz bırakabilirim, bankacılık sistemini çalışmaz hale getirerek, bankacılık sistemini çalışmaz hale getirebilirim; birçok şeyi yapmak mümkün.

turk-internet.com: Bazen soruyorlar ya, kıyamet günü yaşatmak mümkün bir ülkeye? Yani, Taş Devri’ne döndürmek diyorlar. Bu mümkün mü?

Murat Lostar :
Ekonomiyi, finansı ve de sonundaki ulaşımı yani trafik ışıklarını ortadan kaldırırsanız, bir ülkeyi hani Taş devri değilse bile, herhalde rahatlıkla 1800, 1700’lere döndürürsünüz ama sorun şu ki, 2017 yılında yaşamak üzere tasarlanmış bir şehre, o kalabalıktaki, o yoğunluktaki bir nüfusu 1800’e indirmeye kalksanız, şehirden çıkamazsınız bir daha artık.

turk-internet.com: Aynen. Peki, şimdi siber ordular kuruluyor; duyuyoruz. Yani siber orduları olanlar zaten çok uzun zamandır olanlar var. Ama 2010’dan sonra sanki o varolanlar bile yeni bir yapılanma geçirdiler. Siz, siber ordu Türkiye açısından nasıl kurulmalı, ne yapılmalı, ne düşünüyorsunuz o konuda? Veya Türkiye’deki, şöyle sorayım: biliyorsunuz bir Siber Güvenlik Stratejisi tekrar yayınlandı. 2 yıldır yoktu; bir eksikti. Ama var olan strateji açısından da bazı eleştiriler var. Örneğin, özel sektörün çok fazla şeyinin alınmadığı gibi. Ne düşünüyorsunuz? Siz, bu konuya nasıl bakıyorsunuz?

Murat Lostar :
Strateji raporu değdiniz gibi 2 sene sessiz kaldı. Sonra hakikaten çok fazla özel sektörün görüşü alınmadan, o eksiklik tamlanmaksızın apar topar yapıldı ama tabii ki yenilenecek yani o yola doğru bir gidiş var ama Strateji Raporu’ndan ya da Strateji Dokümanı’ndan belki daha da önemlisi, olayın askeri tarafı.

Şimdi şöyle düşünelim: tarihe baktığımız zaman dünyada sadece kadar orduları varmış bir zamanlar, bizlerden önce. Fakat daha sonra bakmışlar ki, kara ordusu bir savaşı kazanmak için mutlaka gerekli ama yeterli değil. Yanına deniz ordusu gelmiş. Sonra 3. boyutu fark etmişiz ve dolayısıyla artık bir de hava ordusu eklenmiş ama şimdi yepyeni bir cephe var. Üstüne üstük bu cephe öyle bir cephe ki, fiziksel lokasyon, komşuluk artık önemli değil. Dolayısıyla, bir ülkenin bir başka ülkeye saldırması için kara ordusu ile onun komşusu olması gerekiyor ya da bir gemi ya da bir uçağa binip ya da bir uçak gemisine binip oradan oraya gidiyor olması gerekiyordu ordunun.

Şimdi bir ordu ya da birileri dünyanın öbür ucundaki birisini hiçbir komşuluk ya da bir şey ilişkisi olmadan, herhangi bir nedenle, “ vay benim hakkımda film yaptın” diye oraya saldırıyor olabilir ya da “ benim hakkımda şöyle bir şey söyledin” diye bir sinirleniyor olabilir. Dünyadaki bütün ordularda olduğu gibi Türkiye’deki siber ordunun da birinci görevinin savunma olması lâzım ama dünyada bildiğim kadarıyla, yanlış ya da eksik biliyor olabilirim, saldırı siber ordusu yok ama görüyoruz ki, gayrı resmi orduların bir kısmı biraz saldırı amacıyla çalışıyorlar. Bunu biraz daha ergenlik çağındaki bir şeyin, özellikle bir erkek çocuğunun el ense çekmesi gibi de düşünebiliriz. Yani, “ ben acaba ne kadar kuvvetliyim, neyi yapabilirim, ne yapabilirim” i biraz deniyorlar.

Hem saldırı hem savunma. Bunu biraz savaştan çok savaş oyunu gibi görüyorlar. Şu an olup bitenleri ben yeterince önemli saldırılar ve savunmalar olarak görmüyorum. Bence bunun daha bir süresi var. Gerçekten bir ordunun kendisini siber olarak dünyayı ele geçireceğini ve tüm saldırılara karşı kendini koruyacağını düşünüp savaş ilân ettiği bir günü göreceğimizi düşünüyorum. Şu anda böyle küçük el-enseler, küçük parmaklaşmalar, küçük denemeler olduğunu düşünüyorum.

turk-internet.com: Peki, yine eleştirilen bir konu, bir Siber Güvenlik Kurulu var, biliyorsunuz ve fakat mesela Obama’nın Siber Güvenlik Kurulu bütün özel sektörden kurulu. Bir tek NSA var içinde devletten ama bizimkinde hep böyle müsteşarlar. Milli Savunma müsteşarı, okey; Kalkınma bilmem ne filan… Fakat içinde hiç özel sektörden uzmanların yer almadığını görüyoruz. Bunu eleştiren kişiler, eli yanan kişileri yani işin içindeki kişileri almadıkları için bu kurul çalışmaz diye değerlendiriyor. Siz nasıl değerlendiriyorsunuz?

Murat Lostar :
Bu tarz kurumların çalışma şekilleri, yaklaşımları felsefi olarak değişmeden zaten çok fazla dışarıdan birlerinin alınması gerektiğini düşünmüyorum. Bence buradaki mesele özel sektörden birilerinin içinde olup olmamasından öte, elbette bazı çalışmalar gizli olacaktır ama temelde çalışma biçiminin, çıktılarının gidiş yollarının da biraz daha saydam olması gerekiyor. O saydamlık olmadan özel sektörden birilerini alıp almamak çok fazla katma değer sağlamayacaktır diye düşünüyorum Türkiye’ye.

turk-internet.com: Peki, sırası gelmişken bir de VPN’den bahsedelim. VPN sağlam bir şey mi? Nedir? Biliyorsunuz erişimi engelleme çok sık uygulanıyor. İnsanlar da bundan rahatsızlık duyuyor ve VPN kullanıyor. Hele son zamanlarda çok kullanılan, bilinen VPN’ler de engellendi. Dolaysıyla burada devlete düşen nedir? VPN konusuna halkın nasıl bakması lâzım? Bunun çeşitli boyutlarını bize anlatır mısınız?

Murat Lostar :
Memnuniyetle! Bir ara bu konuda tartışma olduğu için gittim, baktım. Hani hep deniyordu ki, Türkiye’de çok fazla siteye engelleme var. Dünyanın geri kalanı, batı ülkeleri, gelişmiş ülkeler bu kadar değil ama dönüp baktığım zaman aslında oradaki problem sayı problemi değil. Yani Türkiye’de engelli siteler ile yurt dışındaki engelli siteler sayı olarak belki de çok fazla birbirinden farklı değil.

Türkiye’deki sorun, halkın yoğun olarak kullandığı ve çok fazla günlük hayatının parçası olarak kullandığı web sitelerinin bir kısmı kapandı; çok uzun süre kapalı kaldı. Örnek: Youtube. Bir kısmı çok sık sık kapanır, açılır hale geldi. Örnek: Twitter ve bu insanların günlük hayat alışkanlıklarında bir yoksunluk duygusu yaratıyor. Yani, öğlen yemek yemeyen tanıdığım arkadaşlarım var; hiç sorun değil. Onlar öğlen yemek yememeye devam edebilirler ama ben her öğlen yemek yiyorum. Bir gün öğlen yemek yemesem, o gün aç hissediyorum kendimi. Bu insanlığa ilişkin bir şey değil, bana ilişkin bir şey. Ben çünkü her öğlen yemek yemeye alışkınım. Her akşam Twitter’a bakmayı alışkanlık haline getirmiş olan birisi de, akşam yemek yememiş gibi hissediyor kendisini. Dolayısıyla, “ ben bu Twitter’a nasıl erişirim?” diyor ve hani biliniyor ki, geçmişte Youtube vs deneyimlerinden de biliniyor ki, geçmişte çok basit sadece bir DNS numarası değiştirilerek, değiştirilebilir siteler artık devletçe DNS değiştirerek ulaşılamıyor bu sitelere.

Dolayısıyla başka bir modele geçmek gerekiyor. Neydi o? VPN. VPN aslında biz güvenlikçilerin çok sevdiği, çok kullandığı çok değerli bir teknoloji. Kurum dışındaki bir yerden sizin içerideki iletişiminizi hiç kimsenin görmediği, izleyemediği, değiştiremediği bir güvenli hat üzerinden, güvenli bağlantı üzerinden şirketime erişip şirketimdeki hassas işlemlerimi yapabilmemi sağlıyor ama bunun için bir VPN yazılımına sahip olması gerekiyor kurumumun ve bana bununla ilgili lisans temin etmesi, yazılımlar temin etmesi gerekiyor. Ben buna interneti Türkiye’den kullanmak yerine, yurt dışından kullanmak için de kullanmak mümkün ve birçok insan da bunu yapıyor ama buradaki güvenilir VPN çözümleri yerine merdiven altı, ücretsiz ya da çok ucuza art niyeti olan başka VPN hizmetleri kullanıldığında aslında o şirketlere acaba bunu niye verdiler diye sorgulamak gerekiyor.

There is no free lunch: bedava yemek yok’un karşılığı. Biri size bedava bir şey veriyor ise, şüphelenin! Yani, niye bedava biri size VPN versin? Ya bunun üzerinden yaptıklarınızı izliyor, dinliyor ya siz bunu yaparken aslında o sırada bankaya girerken siz bankaya girdiğinizi zannediyorsunuz ama başka bir aynı görüntülü siteye sizi sokuyor ve banka bilgilerinizi alıyor. Belki birtakım şifrelerinizi ele geçiriyor… gibi birtakım işlemler hayatımıza girmeye başlıyor. Bedava zannettiğimiz ama aslında bize çok pahallıya mâl olacak sistemler sayesinde. O yüzden, evet yoksunluk duygusunu çok iyi anlıyorum ama “ gerçekten güvenilir bir VPN ile ben bu yasaklardan etkilenmek istemiyorum” demiyor ise eğer birisi ve bunu nasıl yapacağını bilmiyor ise, belki yoksunluk duygusu yaşamak daha doğru bile olabilir.
Yazan: Fusun S.Nebil      20 Ocak 2017, Cuma      Sayfayı Yazdır         Tavsiye Et Paylaş
  
Eski Haberlerden Bir Tutam
  Bu Kategorideki Son 10 Yazı

  Yorumlar

Bu yazıya hiç yorum yapılmamış. İlk yorumu siz yapın.



Yorum yazabilmek için giriş yapmanız gerekmektedir.
Yukarıdaki giriş panelinden giriş yaptıktan sonra yorum yazabilirsiniz