Siber Savas, Siber Ordu ve Silahlar

Siber savas konsepti devletlerin gundemlerinde son yıllarda iyice yer edindi. Turkiye”de de zaman zaman basinin sevdigi konular oldugu icin gundeme geliyor, “Turkiye siber ordu kurdu” minvalinde basliklarla haber yapiliyor.

Dunyanin genelinde olmasa da bazi ulkelerde durum farkli. Ozellikle ABD, Cin, Israil ve Ingiltere bu konuda oldukca oldukca ilerlemis durumda. ABD, teknoloji altyapisini askeri ve idari alanlarda ilk kullanan ulke oldugu icin bu konuda ilk kazalari ve saldirilari da yasayan ulke. Tabii bu sayede en tecrubeli ulke. USCYBERCOM(United States Cyber Command) su anda dort yildizli bir general tarafindan yonetiliyor.  [1][2]

Diger ulkeler hakkinda cok fazla bilgi bulunmasa da, Ingiltere”nin teknik istihbarat kapasitesi her devirde yuksektir. Cin”in ispatlanamasa da “kazayla” bircok siber saldiri gerceklestirdigi biliniyor ve hatta USCYBERCOM”un kurulus sebeplerinin basinda Cin”in batili ulkelerin altyapilarina gerceklestirdigi saldirilar geliyor. Bu saldirilar arasinda ABD Enerji Sebekesine saldirilar, Cin”li hacker Titan Rain”in[3] ABD askeri laboratuvarlarindan, NASA”dan ve Dunya Bankasi”ndan cok yuklu iktarda bilgi calmasi, Ghostnet[4] isimli 103 ulkede cogunlukla konsolosluklara, STK”lara, medya kurumlarina ve Tibet ile iliskideki hemen her organizasyona bulastan ve buradan bilgi sizdirdigi kesfedilen worm saldirisi bulunuyor. Son olarak Lockheed Martin”in F-35 programindan bilgi calinmasi saldirisinda da en buyuk supheli Cin.[5]

Israil”in bu seviyede bir faaliyeti bilinmese de, Iran nukleer tesislerine yonelik gerceklestirilen Stuxnet saldirisinin da en buyuk suphelisi, politik durum ve cesitli motivasyonlar sebebiyle  ABD ve Israil.

Haziran basinda NATO siber saldirilarin savas sebebi sayilabilecegini acikladi. Tabii burada gozden kacan nokta, siber saldirinin sinirlarini tanimlamamasiydi. Zira sinirlari belirlerse ulkelerin bu sinirlar dahilinde at kosturma ihtimali mevcut. Aslinda adresi belli bir gozdagi verdi. NATO, siber tehdit ile ilgili uzun suredir faaliyet gosteriyer. Daha once siber tatbikatlar, uye ulkelerin birimleriyle toplantilar gibi faaliyetleri oldu.[6]

Siber saldiri veya siber savunma yapabilmek icin devletlerin tabii ki bu gorevleri gerceklestirebilecek birimlere ihtiyaci var. “Siber Ordu” kavrami da bu ihtiyacla ortaya cikiyor.

Konvansiyonel ordu sadece savunma hatti icin degildir. Ordunun cesitli birimleri farkli gorevler ustlenir. Sadece bir operasyonun bile hedef tespiti, kesif, istihbarat, sizma, temizlik, komuta kontrol gibi farkli uzmanliklar gerektiren parcalari vardir. Ayni konvansiyonel orduda oldugu gibi siber ordudan bahsettigimiz zaman da, sadece defansif bir yapidan bahsetmek dogru olmaz. Siber savas icin hazirlanan bir ordu, ofansif olmalidir. Defans sadece guvenlik yoneticilerinin isi olarak kalmali ve siber ordunun temel gorevi taaruz olmalidir.

Siber savas aninda belirsiz kaynaklardan gelen saldirilar karsisinda kendi fasilitelerimizi korumaya calismak bir noktaya kadar sonuc verir. Asil onemli olan siber savas aninda kendi saldirimizin gerceklesitrilmesi ve bu karsi saldiriyi yapabilecek bir altapinin bulunmasi. Bu altyapi ise savas aninda olusturulmaya calisilirsa zaten o savas bastan kaybedilmistir.

Ofansif olmasi gereken siber ordu, kurulusuyla birlikte, tehdit algisi dahilindeki hedeflere iliskin internet uzerindeki butun zayif noktalari kesfedip bunlarla ilgili son durum bilgilerini surekli guncel tutulmak zorundadir. Butun bu hedeflere yonelik saldiri senaryolari, alternatif senaryolar ile birlikte hazir bulundurulmali ve hedefe saldiri talimati geldiginde beklemeden aksiyon alabilmesi icin gereken kaynaklar da simdiden organize edilmeli. Yani herhangi bir savas aninda saldirmak istenildiginde kime, nereye, nasil, hangi kanalla saldiri yapilacagi dusunulmeden; cok daha onceden hazirlanmis protokoller uygulanmali.

Tehdit algisi dogrultusunda belirlenen hedeflere saldirmak icin olusturulan bu protokoller, tabii ki resmi olarak iliskilendirilemeyecek kaynaklar uzerinden uygulanmali. Bunun en dogrusu da hedef secilen ulke/organizasyon dahilindeki yerel kaynaklarin yine onlara karsi kullanilmasidir. Misal, X ulkesine siber saldiri yapilacagi zaman buraya yurtdisi baglantilari uzerinden saldiri yapmak yerine, X ulkesinin icerisinde bulunan kamu kurumlarinin/universitelerin/sirketlerin/servis saglayicilarin sistemleri uzerinden saldiri yapmak daha efektif olacaktir. Bunu gerceklestirebilmek icin dogrudan ve dolayli operasyonlar icin henuz baris zamanindayken “cephe” ilerisinde “cephane” konuslandirilmalidir. Boylelikle siber ordu henuz savas oncesinde dahi, hedeflere yonelik dogrudan ve dolayli sizma islemlerini gerceklestirmis ve emir geldiginde dugmeye basmaya hazir durumda bulunur. Bu konuda en rahat alanlar, cogunlukla univeritelerin ve STK”larin cok nadiren guncellenen ve cok fazla yonetilmeyen sistemleridir.

Siber ordunun savasabilmesi icin ise siber silahlar gerekir. Bunlar da bolca zafiyet(vulnerability), suistimal yazilimi(exploit), arka kapi(backdoor), rootkit belki de StuxNet gibi onceden hazirlanmis worm”lar anlamina gelir.

Guzel, faydali ve etkili bir guvenlik zafiyetini kesfetmek ve bunu saklamak maliyetlidir. Bunun sebebi sadece yaygin kullanilan sistemlerin degil, cok az bulunan ve nadir kullanilan sistemlerin de hedef secilmesidir. Yani bir enerji santralinin, telekomunikasyon omurga cihazinin, telsiz/radar sisteminin veya sehir yonetim sisteminin SCADA sisteminde bir acik bulmak icin elinizin altinda bu sistemden (en azindan yazilimindan) bir tane olmasi ve bunun uzerinde calisilmasi gerekmektedir.

Yaygin kullanilan sistemlerin de guvenilir ve kararli calisan bir exploit”inin yazilmasi da yorucu ve maliyetlidir. Sistemler yayginliklari olcusunde hedefte olduklari icin, kesfettiginiz guvenlik aciginin ne kadar sure sadece sizin elinizde bulundugunu kestirmeniz mumkun degildir, cunku ayni sistem uzerinde guvenlik acigi arayan bircok guvenlik arastirmacisi olabilir.

Yaygin veya nadir bulunan sistemlerle ilgili buldugunuz guvenlik aciklari sizin henuz cephaneniz degildir. Ancak bunlari kullanan exploit”ler gelistirdiginizde artik elinizde bir silahiniz olur. Fakat elinizde sadece size ait olan bir exploit varken dahi bunun karsidaki sistemde hataya sebep olmadan istediginiz kodu calistiracagindan emin olmaniz zordur. Zira sistemin, sizin test ve gelistirme ortaminizda bulunmayan bircok degisik parametresi bulunabilir. Hic beklenilmedik bicimde karsidaki sistemde calisan herhangi bir uygulama, exploit”in istenildigi gibi calismasini engelleyebilir. Sisteme erisim elde etmeye calisilirken yanlislikla sistemin cokmesine sebep olunabilir. Bunlari yasamamak icin silah olarak tanimladigimiz exploit”lerin “Reliable” olmasi gerekir. Reliable exploit gelistirmek de ayni guvenlik aciklarini kesfetmek gibi mesakkatli ve maliyetlidir, bunun icin cok cesitli kosullarda ve gercek ortama uygun test ortamlari gerekir.

Elimizdeki “cephanenin” bir kismi on hazirlik icin internet ortaminda kullanilsa da, yakalanmamalari ve yamalanmamalari icin fazla yayilmamalari gerekir. Benzer durum backdoor ve rootkit”ler icin de gecerli. Mumkun olabildigince her sisteme benzersiz backdoor/rootkit birakmak gerekir ki birisinde yakalanilsa ve guvenlik yazilimlari reaksiyon gelistirse dahi diger sistemlerdeki calismalarin gizliligi riske atilmasin.

Hedefe yonelik dahi olsa Worm saldirilari neredeyse kacinilmaz olarak yakalanmaya mahkumdur. Stuxnet gibi sabotaj amacli hedefli saldirilarda kullanilabilir veya savas aninda hedef altyapilara saldirmak uzere cok hizli yayilacak worm”lar dagitilabilir. Worm”un yayilma hizi/genisligi ile yakalanma suresi kabaca dogru orantilidir. Ne kadar fazla sisteme bulasirsa, o kadar cabuk birilerilerinin dikkatini ceker ve analiz edilerek tedbirler alinir.

Genis yayginliga erisen Worm”lar genellikle kana saldirilar, DoS/DDoS ataklari icin kullanilir, hedefli saldirilarda ise worm”un olabildigince daha hassas yayilmasi gerekir. Genis alana yayilan wormlari tabii sadece kaba saldirilar icin degil ayni zamanda veri sizdirmak icin de kullanmak mumkun. Cogu kritik kurumun DLP(Data Leakage Prevetion) cozumleriyle veri sizintisini engellemesi bu isi zorlastirdigi icin, veri sizdirmak icin “Secure Backchannel Communication” (Guvenli Arka-kanal Iletisimi) yontemleri kullanilmalidir. Ornegin cogunlukla takip edilmeyen protokoller(ornegin DNS) veya SSL baglantilari uzerinden kodlanmis ve parcalara bolunmus olarak veya baska verlierin icerisine gomulerek cogu iletisim agindan disari veri sizdirilabilir. [7]

Siber ordunun defansif degil ofansif olmasi gerektigi, on hazirligin sart oldugu, on hazirligin ne gibi sistemler uzerinde yapilabilecegi tamam. Pek hedefler nerler olmali ve ne tip saldirilar gerceklestirilmeli? Bunu daha sonra dusunup yazalim.

Referanslar

[1] US DoD USCYBERCOM Fact Sheet
[2] http://en.wikipedia.org/wiki/Keith_B._Alexander
[3] http://en.wikipedia.org/wiki/Titan_Rain
[4] http://en.wikipedia.org/wiki/GhostNet
[5] http://online.wsj.com/article/SB124027491029837401.html
[6] http://www.nato.int/cps/en/natolive/topics_49193.htm?
[7] http://en.wikipedia.org/wiki/Steganography#Network_steganography