Herşeyin Bağlantılı Olduğu Bir Dünyada Milli İşletim Sistemi Gerekliliği

IPv6’nın en büyük itici güçlerinden birisi, her ürünün adreslenecek olması. Akıllı ev aletleri, endüstriyel arabirimler, hatta giydiğiniz ayakkabı, arabalar, hepsi IP adresine sahip olup bu protokol üzerinden haberleşecekler. Hatta aslında prototipler bir süredir piyasada var bile. Akıllı ev aletleri için en güzel örnek, akılı televizyonlar! Samsung ve Sony bu alanda öncü durumdalar bildiğiniz üzere. Akıllı buzdolapları ise, sizin alışkanlıklarınıza göre içerisinde ne eksik olduğunu tespit edip size bunu haber verebiliyor. Akıllı Televizyonlar Linux/Android tabanlı işletim sistemi yüklü olarak geliyor[1]. Çoğumuzun cebinde iPhone ve Android tabalı bir akıllı telefon olduğunu düşünürsem de yanılmış olmam.

Konu aslında bütün bu parçaların aynı protokol üzerinden haberleşmeye başlaması, hepsinin birbirine ve internet’e bağlı olması. Ayağımızdaki ayakkabıdan, cebimizdeki telefon’a (ve aynı zamanda GPS cihazı), evimizdeki televizyondan(ki kendisinin kamerası da var) ofisimizdeki bilgisayara kadar her bir parça birbiriyle haberleşebiliyor.

Komplo teorileri bir yana, teknik köklerden gelen ve sistemlerin ne kadar kırılgan olduğunu bilen insanlar olarak, bu durumun aslında ne kadar muazzam bir güzellikte, ihtişamlı olduğunu görebildiğimiz gibi; ne kadar ürkütücü olduğunu düşünmezsek gerçekçiliğimize analitik düşünce metodumuza ihanet etmiş oluruz.

 

Sistemler, özellikle kompleks ve büyük sistemler, tıpkı büyük ülkeler gibidir. Korumanız gereken alan, kollamanız gereken kapı arttıkça aslında saldırılara karşı daha zayıf hale gelirsiniz. Güvenlik eğitimlerinde her zaman verdiğim bir örnek vardır. Siber güvenlik ile gerçek güvenlik temel yaklaşımda aynı temeller üzerinden değerlendirilebilir. Sınıftakilere “Karşınızda size saldıran 10 kişi var, ilk olarak ne yaparsınız?” diye sorarım. Tecrübeli olanlar “Sırtımı sağlama alırım” der. Gerçekten de öyle. Öncelikle arkanızdan bir saldırı olmaması için sırtınızı duvara yakın tutmanız gerekir. Bu basit hamle dahi, size saldırılabilecek yüzeyi yarıya indirir. Daha sonra saldırganları aynı hizaya almaya çalışırsınız, yani atak vektörünü/kendinizi korumanız gereken yeri teke indirmeyi amaçlarsınız.

Tabi durum artık bundan daha karmaşık. Kendinizi Taksim Meydanı’nda, yani saldırının nereden geleceğini asla bilemediğiniz bir yerde hayal edin. Bir yerlerden saldırı geleceğinden eminsiniz, ama bir yandan da orada bulunmanız gerekiyor. Her yaklaşan kişi potansiyel bir tehdit, arkanızda göremediğiniz her şey sizi tedirgin ediyor. Bu durumda, savunmanız kalmıyor.

İşte bu avucumuza, evimize, kıyafetimize kadar giren sistemlerin de durumları bundan farksız değil. Her birisi muazzam bir mühendislik örneği olmakla birlikte, kusursuz eser olamayacağı gerçeği ve bu eserlerin çok “büyük” oldukları bir araya getirildiğinde, kasıt olmasa dahi zafiyetlerin ortaya çıkması kaçınılmaz bir hal alıyor.

Akıllı televizyonunuzdaki ve cep telefonunuzdaki Android için her geçen gün yeni zararlı yazılımlar(malware) piyasaya çıkıyor. Akıllı ev aletleri ve akıllı ev güvenlik sistemleri için de yakında benzer tehditlerle karşılaşacağız. Zaten bunların çok daha büyük örnekleri olan üretim tesisleri ve akıllı şebekeler(Smart Grid) için gerçek saldırılarla karşılaşıldı. Bunlardan bir kısmı sadece eğlence için, bir kısmı paranızı çalmak için, bir kısmı da bilgilerinize erişmek için üretiliyor. [2]

Konunun iki boyutu var. İlki kasıtlı ikincisi de kasıtsız olarak sistemler bırakılan zayıflıklar. Çoğunlukla sonuçları aynı olsa da, konuyu tam kavramak için her iki yoldan da sonuçlarımıza ulaşmamız gerekiyor.

Bu sistemlerin ne derece kompleks ve yeni nesil olduğu göz önünde bulundurulursa, kasıtsız dahi olsa bolca güvenlik açığı barındıracağından hiç bir şüphemiz olmasın. Bu durumda evimizin içerisini görebilecek, yerimizi adım adım takip edebilecek bir sürü oyuncağı, bizi hedef alan kişiye ya da kuruma sunmuş oluyoruz. Hele ki yakın gelecekte IPv6 sayesinde NAT’lamanın çoğunlukla “gereksiz” olacağını, cihazların dopğrudan dışarıya açık birer IP adresi olacağını düşünürsek durum daha da sorunlu. Hoş, böyle olmasa dahi risklerimiz yüksek. Bir çok servisin yanı sıra, en temelde, TCP stack’inde dahi güvenlik açığı çıkabileceğini düşündüğümde(“o kadarı da imkansız” diyenler için gelsin : ms08-001),  büyük resim bizim için küçük bir kıyamet provası haline geliyor.

Kasıtlı olan kısmına gelince.. Bundan 30+ yıl önce, dünyanın çift kutuplu olduğu dönemde, hangi devlet istemezdi ki her evde, her cepte bir gözünün olmamasını? Hepi topu 15 yıl önce, ’97 başında söyleselerdi de “çok uçuk” gelirdi. Her bilgisayarda ve televizyonda gömülü kamera olacağı, cebimizde bizim lokasyonumuzu sürekli kaydeden ayrıca kameralı bir cihazla gezeceğimizi söylesek hakikaten kibarca güler ve “belki 30 yıl sonra” derlerdi. Fakat şu anda, her devletin arzulayacağı bir ağın ortasındayız. Siz, devlet reflekslerine sahip bir organizma olsaydınız, bu ağın merkezinde oturup tehditleri değerlendirmek için bilgi akışı için musluğu açmaz mıydınız? Hayır diyorsanız mevcuttaki “devlet” kavramı ile yeterince  empati kuramamışsınız demektir, tekrar deneyin:)

Her iki tehlikenin de sonucu aynı. Ulusal açıdan değerlendirdiğimizde, yabancı/düşman herhangi bir gücün, ülkenizdeki evlerin, şirketlerin, devlet dairelerinin ve bürokratların her alanında gözü-kulağı olduğu gerçeğinden kaçamıyorsunuz. Bu karşıt güç ister bir devlet olsun, ister terörist bir organizasyon, isterse genç bir hacker. Tehdit, varlığını sürdürdüğü sürece, rahat olmanız mümkün değil.

Dünya, geçtiğimiz yüzyılın üçüncü çeyreğindekine benzer bir dengeye doğru hızla ilerliyor aslında. Bu sefer çift kutup değil, belki de üç kutuplu olacağız. Hali hazırdaki süper güç Amerika, 80 ve 90’lardaki karşı koyulamaz ve eşsiz gücünü yavaş yavaş tekrar kendine gelen Rusya ve yeni ekonomik süper güç Çin ile paylaşıyor. Nasıl ki çift kutuplu zamanlarda, soğuk savaş zamanında, en büyük yarış teknoloji alanındaysa; yeni yarış ve savaş da bu alanda olacak. Zira dünya eskisinden çok daha teknoloji bağımlı ve bu alandaki zafer, savaşın gidişatını eskisinden kat kat daha fazla etkileyebilir durumda.

Bütün bunlar ışığında değerlendirmeye devam ettiğimizde, Rusya’nın kendine güvenli bir tablet yazılımı geliştirmesi haberi ise çok daha anlamlı hale geldi elbette.[3]

Milli işletim sistemi konusunda oldukça fazla çekincem ve çekincelerimden daha fazla da isteğim var. Bizim “Milli İşletim Sistemi” diye duyurduğumuz ve aslında sadece “Milli Dağıtım” olan Pardus konusunda baştan beri sürdürdüğüm tutum da, hatalı yöntemlerden kaynaklıydı. Gidişatın sakatlığı, ana fikrin güzelliğini tamamen gölgelemişti. Lakin olaya milli strateji ve güvenlik perspektifinden bakıldığında, ana fikir gerçekten doğru bir noktayı hedef alıyordu.

Bilmediğimiz bir işletim sisteminin, bilmediğimiz çağrılarını, bilmediğimiz bir protokol için yazılmış bilmediğimiz kodlarını inceleme şansımız olmadığına göre, yapmamız gereken elbette açık sistemler üzerinden kendi çalışmalarımızı yürütmekti. Hala da öyle.

Büyük resmi iyi görmemiz gerekiyor. Bugün değil, 5-15 yıl sonrasını hedefleyerek çalışmamız gerekiyor. Durum artık acil eylem planı gerektirir hal almış durumda, yine de hem soğuk kanlı olmalı hem de çok çalışmamız gerekiyor.

Büyük resim bize yeni nesil teknolojileri anlatıyor, sadece gündelik gürültüleri unutup gözünüzü kapatıp hayal etmeniz gerekiyor. “Yok canım o kadarı da olmaz” diye kendinizi limitlemediğinizde, gerçekten nelerle karşı karşıya olduğumuzu ve ileride nelerle yüzleşeceğimizi görebilirsiniz. Milli sistemler olmadıkça, en azından kritik sistemlerimizi millileştirmedikçe, bu işi bilen insanların geceleri uyumaya hakkı yok. Milli sistem adı altında “çakma” bir çözümü kakalamaya çalışanların da yatacak yerleri yok.

Geleceğimiz aşağı-yukarı belli. Ya varız, ya yokuz.

 

—

[1] http://en.wikipedia.org/wiki/Smart_TV
[2] http://www.securityweek.com/android-malware-increased-3325-percent-seven-months-says-juniper-networks
[3] http://www.securityweek.com/russia-unveils-secure-android-tablet-keeps-data-away-google