Biznet BilişimBiznet Bilişim

By Oben Kuyucu

Biyometrik Kimlik Doğrulama Sistemlerinin Güvenirliği

Parolalarımız sayısal ortamlarda kimlik bilgisi olarak kullandığımız ve çok iyi korunması gereken bir bilgi. Ancak günümüzde sadece parola kullanımı eksik veya neredeyse güvensiz sayılmakta. Her gün aldığımız “Şu site hacklenmiş, bu kadar kimlik bilgisi ele geçirilmiş” haberlerinden sonra şüphe duyuyoruz. Yeterince bilinçli kullanıcılar önlem olarak parolalarını değiştiriyorlar. Kullandığımız sitelerdeki altyapılarda, parolalarımız şifrelenmemiş ya da çözülebilir bir algoritma ile saklanıyorsa, parolalarımız “pastebin” gibi yerlerde deşifre ediliyor. Bu bilgi, kötü niyetli kişiler tarafından diğer mecralarda da aynı parolanın kullanılmış olabileceği varsayımıyla deneniyor ve çoğu zaman başarılı sonuçlar elde ediliyor.

Bu nedenle kimlik doğrulama esnasında parolanın yanına bir faktör daha eklenmesi, güvenlik seviyemizi önemli ölçüde artıracaktır. “Bildiğimiz bir şey” örneğin parola, “sahip olduğumuz bir şey” örneğin cep telefonu ya da “olduğumuz bir şey” örneğin biyometrik veri sağlayan parmak izinden en az ikisi kullanıldığı zaman, ortaya daha güvenilir bir kombinasyon çıkıyor. Sadece parolamızın biliniyor olması, sisteme erişmek için yeterli olmuyor. Öte yandan, cep telefonlarına yapılan araya girme saldırılarından ya da kopyalamalardan dolayı, “sahip olduğumuz” kısmında kullanabildiğimiz mobil cihazlar da artık güvenilirliğini yitirmeye başladı. NIST, son Dijital Kimlik Kılavuzunda (NIST Special Publication 800-63B – Haziran 2017) SMS’in sosyal mühendislik sayesinde ya da mobil cihazlardaki kötücül uygulamalar tarafından okunabildiğini (https://doi.org/10.6028/NIST.SP.800-63b) ortaya koymakta. Onun yerine önerdiği uygulamalar biyometrik yöntemler. Biyometrik, bireyin, davranışsal ya da biyolojik karakterine dayalı otomatik tanınması olarak ifade edilebilir. Kriminoloji, fiziksel güvenlik, turizm, sağlık, veri güvenliği, e-ticaret ve benzeri alanlarda kullanılabilen biyometrik yöntemler, bir kimlik doğrulamada parolalardan ya da SMS’ten daha iyi bir güvenlik seviyesi sağlayabilir. Örneğin Apple’in çıkarttığı son iPhone cihazlarında, FaceID teknolojisi ile, telefon kilidini yüzümüzü tanıtarak açmamız mümkün. Ya da SelfiePay ile yüzünüz ile alışveriş yapabilirsiniz. Günümüzde biyometrik sistemlerle oy kullanabilen ülkeler de bulunmaktadır.

Biyometrik yöntemler fizyolojik veya davranışsal olarak aşağıdaki gibi sıralanabilir.

  • Göz retinası, göz veya yüz çevremiz
  • Parmak izimiz
  • Avuç içimiz (Damar haritası)
  • Sesimiz veya sesimizin özellikleri
  • Klavyede veya dokunmatik ekranda yazma hızımız ya da fareyi hareket ettirişimiz
  • İmzamızı atma tarzımız
  • Bulunduğumuz yer
  • Yürüme ya da adım atma şeklimiz

Bütün biyometrik yöntemler, esasında bir resim, obje ya da desen analizi ile kimik doğrulamakta. Özetle; sunulan biyometrik veri, belli işlemlerden geçerek (karar mekanizmaları), daha önce tanıtılan verilerle olasılık hesabı yapılarak karşılaştırılıp uyuşma (ya da benzerlik) varsa, kimlik doğrulanmaktadır.

Bir önceki kısımda kısaca anlatılan işlem, aslında içinde birçok unsuru barındırmaktadır.

Birincisi, sunulan verinin kalitesi. Sunulan veri ister bir yüz resmi olsun ister bir parmak izi, isterse de göz retinası verisi, okuyucu (sensör) kaliteli değilse, sunduğu veri parazitli olacak, kimlik doğrulamayı doğru yapamayacaktır.

Örneğin bir parmak izini okurken kullanılan çözünürlük çok iyi değilse, parmak izi kıvrımlarını doğru okuyamayacağından hem kayıt ederken hem de okurken sunacağı veri bozulmuş olacaktır. Kimlik doğrularken sorun yaşanabilir.

Parmak izini doğru okuyabilmek için değişik yöntemler geliştirilmiştir. Optik parmak izi okuyucuları, ışığın yansımasını kullanarak parmak izinin şeklini almaktadır. Kapasitif okuyucular, parmak ile okuyucu plakası arasındaki hava dolu mesafeyi ölçerek sayısal bir değer elde etmektedir. Bazı dokunmatik ekranlar da aynı teknolojiyi kullanmaktadır. Termal okuyucular, parmak izi kıvrımlarındaki tepe ve taban arasındaki sıcaklık farklarını ölçerek sayısal izi çıkartmaktadır. Ultrasonik parmak okuyucular ise, optik okuyucuların yaptığı işi ses dalgaları ile yapmayı amaçlamaktadır.

Biyometrik kimlik doğrulama da fazla maliyet gerektirmeyen bir yöntem de yüz taramasıdır. Yüz tanımayı, parmakizinden ayıran fark, kullanıcının bir sensöre temasını gerektirmemesidir. Daha önce kayıt edilen bir yüz (ve kimlikler), herhangi bir video kaydından bile bulunabilmektedir.

Geleneksel yüz tanıma tekniğinde, yüzün ve göz çevresinin belli referans noktalarında sayısal ayrıntıları alınmaktadır. Kayıt esnasında alınan bu değerler, daha sonra karşılaştırılarak uyuşma yakalandığında kullanıcıya doğrulama sağlamaktadır. Yüz tanımadaki en büyük sorun, kişinin yüzünün yaralanma, kilo alma gibi sebeplerden dolayı değişebilmesidir. Ayrıca yaşa bağlı değişiklik nedeniyle, yüz tanıma kayıtlarının 10 yılda bir tekrarlanması gerekmektedir. Yüz yapıları normal bir bireyden daha hızlı değiştiğinden, çocukların 15 yaşından büyük olması esastır.

Yüz tanıma algoritmaları çeşitlidir. PCA (Principal Component Analysis), ICA (Independent Component Analysis), LDA (Linear Discriminant Analysis), EP (Evolutionary Pursuit), EBGM (Elastic Bunch Graph Matching), Trace Transform Radon, Gizli Markov Modeli, Eigenfaces Modeli, Fisher Modeli, AAM (Active Appearance Model), Yapay Sinir Ağları, 3D Morphable Model, 3D Face Recognition sıklıkla kullanılan algoritmalardır. Son zamanlarda, makine öğrenmesi kullanılarak da (örneğin Bayesian ML) yüz tanıma algoritmaları geliştirilmektedir.

2 boyutlu yüz tanıma teknikleri, tek bir kamera ile kayıt alıp, bunu kullandığı algoritma ile sayısal değere dönüştürüp veritabanına saklamaktadır. Bir kullanıcıya ait ne kadar çok veri sunulursa, o kadar doğru kimlik doğrulama sağlanır. Ancak bu bile, kullanıcının yüz mimikleri, çevresel ışık ve yüzün bakış açısından etkilenebilir. Bazı algoritmalar renk ve ışık normalizasyonu uygulamaktadır, ancak bu süreç, kullanıcının kimliğini doğrulama süresini uzatabilmekte, yanlış negatifleri ve yanlış pozitifleri artırmaktadır. Bir kullanıcıya ait birden fazla referans yüz bilgisi alınması da saklama alanını doldurabilmektedir. Ayrıca 2 boyutlu doğrulamalar bir vesikalık fotoğraf ile kolaylıkla kandırılabilir.

3 boyutlu yüz tanımalarda optik tarayıcılar, taradığı yüzeyin haritasını çıkartmaktadır. Birden fazla kamera gerektirdiği için maliyeti artırmaktadır. Buna karşın, 3 boyutlu tekniklerde renk, ışık ve bakış açısının bir etkisi olmamaktadır. Birden fazla 2 boyutlu analiz yaptığı için 2 boyutlu tek bir resme göre daha doğru bir kimlik doğrulama sağlamaktadır.

Bütün bu sistemlerin etkinliği ölçülebilmektedir. FAR (False Acceptance Rate), sistemin, veritabanında bulunmayan bir kişiye ait bilgiler sunulduğunda, bu veriyi veritabanında bulunan başka biriyle eşleştirmesinden kaynaklanan yanlış tespitlerin oranıdır. False Reject Rate (FRR) ise sistemin veritabanında varolan kişiyi bulamaması oranıdır. FAR ve FRR değerleri ne kadar küçük ise, sistem o kadar ideale yakındır. FAR ve FRR arasında ters bir oran bulunmaktadır. Kişileri kolay tanımak için sistemi ne kadar esnetirseniz, bir kişinin yüzüne benzeyen başka kişileri de yanlış şekilde doğrulayabilirsiniz. FAR ve FRR’in eşit olduğu (ya da FAR ve FRR eğrilerinin altında kalan alanın eşit olduğu nokta) yere EER (Equal Error Rate) adı verilmektedir. EER değeri ne kadar düşükse, sistem o kadar iyidir.

Ayrıca FER (Failure to Enroll Rate), sisteme kayıt edilebilme istatistiğini verir. Sistem kayıt edilebilme yüzdesi ne kadar yüksek olursa, kimlik doğrulamada o kadar doğru sonuçlar alınır.

Aşağıda tipik FAR ve FRR değerleri sunulmuştur.

El (el ve parmakların 3B özelliklerine bakılarak)

False Rejection Rate (FRR): %0,1
False Acceptance Rate (FAR): %0,1
Doğrulama zamanı: 1-2 saniye

Parmakizi (Optik, kapasitif veya termal)

False Rejection Rate (FRR): <%1
False Acceptance Rate (FAR):  %0,0001’den %0,00001’e
Doğrulama zamanı: 0,2-1 saniye

Yüz (optik)

False Rejection Rate (FRR): <%1
False Acceptance Rate (FAR): %0,1
Doğrulama zamanı: 3 saniye

Göz (iris)

False Rejection Rate (FRR): %0,00066
False Acceptance Rate (FAR): %0,00078
Doğrulama zamanı: 3 saniye

Biyometrik sistemlere yapılan saldırılar

Maalesef bazı biyometrik sistemler, kayıt ettikleri verileri, hızlı erişebilmek adına herhangi bir şifreleme ya da hashing yapmadan saklamakta, bu durum da sistemin genel güvenliğini tehlikeye atmaktadır. Özetle, bir biyometrik sistem, kendi içinden kaynaklanan sorunlar nedeniyle, ya da kasıtlı saldırılarla doğru çalışmaz hale getirilebilir. Örneğin kullanılan parçaların kalitesizliği nedeniyle yüksek FAR’a sahip bir ürün, yanlış kişiyi doğrulayabilir. Ya da sensöre veya veritabanına yapılacak bir manipülasyon sayesinde, aslında doğrulanmaması gereken bir kişi eklenebilir.

Aynı zamanda, sisteme daha önce kayıt edilen bir kullanıcıya ait bir veri, değişik şekillerle kopyalanıp sisteme sunulabilir. Bunun en iyi örneği, 2 boyutlu yüz tanımalarda, kişinin vesikalık fotoğrafını kullanmak olabilir.

Yeni çıkan iPhone cihazlarının FaceID teknolojisindeki sorunlar nedeniyle, telefonun, kullanıcıların çocukları ya da ikizleri tarafından açılabildiği durumlar olmuştur. .

Cihaza fiziksel erişimin mümkün olduğu durumlarda, kötü niyetli kullanıcılar, sensörü değiştirerek, kimliğinin doğrulanmasını sağlayabilir.

Sistem bileşenlerinin arasındaki iletişimi sağlayan kanallarda, gizlice dinleme yapılabilir, Man-in-the-middle saldırıları ile veri manipüle edilebilir kaba kuvvet saldırıları yapılabilir, ele geçirilen veri tekrar tekrar kullanılarak kimlik doğrulama yapılabilir, eşleşme yapılabilmesi için yapay veri üretilebilir, eşleşme skoru veya karar mekanizması tahrif edilebilir.

Veritabanına erişim söz konusu olduğunda, özellikle verinin gizliliği ve bütünlüğü tehlikeye girer. Şifrelenmemiş verinin okunması aynı zamanda kişisel verilere erişim anlamına gelebilir. Benzer şekilde, saldırgan, verileri okuyarak, şablonlara erişerek, kendine ait bilgiyi ekleyebilir ya da başkasına ait verileri değiştirebilir. Kimlik ile biyometrik arasındaki bağlantıyı değiştirerek, kimliğin doğrulanamamasına sebep olabilir.

Karar ve eşleşme mekanizmalarına erişim mevcut ise, girilen değere ait eşleşme skoru değiştirilebilir, daha önce girilen değer tekrar girilebilir ya da eşleşme skorları incelenerek, kaba kuvvet saldırıları yapılabilir (Hill climbing attack).

Bunların yanı sıra, otomatik kayıt özellikli ve gözetimsiz biyometrik tanıma sistemleri, her zaman kimlik yanıltmasına açıktır. Kayıt zamanında girilecek her yanlış bilgi, daha sonra kimlik doğrulamada yine yanlış kullanım ile sonuçlanabilir. Ya da doğru bir biyometrik, yanlış kimlik ile eşleştirilebilir.

Bu saldırılara karşın, ilk önemli güvenlik önlemi, sistemin fiziksel güvenliğini sağlamaktır. Aynı zamanda veritabanındaki bilgilerin şifrelenerek ya da hashlenerek saklanması gerekmektedir. Kanallardaki sorunları gidermek için de bileşenler arası trafiğin şifrelenerek akması tercih edilmelidir. Maalesef bütün bu özellikler, cihazın (ya da sistemin) performansını sekteye uğratacak durumlardır. Her bir şifreleme işleme, makine hızında bile olsa, kimlik doğrulama esnasında süreyi uzatabilir. Ancak, güvenliğin ve kimlik kesinliğinin zorunlu olduğu ortamlarda bu tür önlemlerin alınması gerekmektedir. Bunun yanı sıra, biyometrik kimlik doğrulamasının içerdiği bu tür sorunlardan dolayı biyometrik doğrulamanın tek başına değil, ikincil yöntem olarak kullanılması tavsiye edilmektedir.

Referanslar:

  • (www.biometria.sk), OOO. “Biometric Principles.” Sk, http://www.biometria.sk/en/principles-of-biometrics.html.
  • Adámek, Milan et al. “Security of Biometric Systems.” Procedia Engineering, vol 100, 2015, pp. 169-176. Elsevier BV, doi:10.1016/j.proeng.2015.01.355.
  • “Biometric Accuracy Standards.” 2017, https://csrc.nist.gov/CSRC/media/Events/ISPAB-MARCH-2003-MEETING/documents/March2003-Biometric-Accuracy-Standards.pdf.
  • “Biometrics Metrics Report V3.0 (2012).” 2012, http://www.usma.edu/ietd/docs/BiometricsMetricsReport.pdf.
  • Campisi, Patrizio. Security and Privacy In Biometrics.
  • “Hackers Say They’ve Broken Face ID a Week After iPhone X Release”, Wired.com, https://www.wired.com/story/hackers-say-broke-face-id-security/.
  • Jiang, Richard et al. Biometric Security and Privacy. Cham, Switzerland, Springer, 2017,.
  • Kakıcı, Ahmet. “Biyometrik Tanıma Sistemleri.” Github.Io, 2008, http://ahmetkakici.github.io/genel/biyometrik-tanima-sistemleri/.
  • “Mastercard ve Oxford Üniversitesi biyometrik kullanımını yaygınlaştıracak: Ödeme için şifre hatırlamak tarihe karışıyor”, Mastercard.com, https://newsroom.mastercard.com/eu/tr/2017/06/26/mastercard-ve-oxford-universitesi-biyometrik-kullanimini-yayginlastiracak-odeme-icin-sifre-hatirlamak-tarihe-karisiyor/
  • Marques, Ion. Face Recognition Algorithms. 2010, http://www.ehu.eus/ccwintco/uploads/e/eb/PFC-IonMarques.pdf.
  • “NIST Special Publication 800-63B.” Nist.Gov, 2017, https://pages.nist.gov/800-63-3/sp800-63b.html.
  • Rak, Roman et al. Biometrie A Identita Člověka Ve Forenzních A Komerčních Aplikacích. Praha, Grada, 2008,.
  • Reid, Paul. Biometrics for Network Security. Upper Saddle River, Prentice Hall PTR, 2004,.
  • Security and Privacy In Biometrics. [Place Of Publication Not Identified], Springer, 2015,.
  • Sixth IEEE International Conference on Advanced Video and Signal Based Surveillance, 2009. Piscataway, NJ, IEEE, 2009,.
  • Varol, Asaf, and Betül Cebe. “YÜZ TANIMA ALGORİTMALARI.” 5Th International Computer & Instructional Technologies Symposium, 2011, https://www.researchgate.net/publication/267723624_YUZ_TANIMA_ALGORITMALARI_ALGORITHMS_OF_FACE_RECOGNITION.
  • “Watch a 10-Year-Old’s Face Unlock His Mom’s iPhone X”, Wired.com, https://www.wired.com/story/10-year-old-face-id-unlocks-mothers-iphone-x/.

By Oben Kuyucu

Siber Güvenlik Dünyasında 2017 Nasıl Geçti? 2018’de Bizi Neler Bekliyor?

2016 yılı, ülkemizde ve dünyada maalesef pek çok tatsız olayın yaşandığı bir yıl olmuştu. Bunu bir sene önceki blog yazımızda değerlendirmiştik. O zaman 2017’yi iple çekiyorduk. Şimdi de yine 2017 bitse de beyaz bir sayfa açsak diyoruz.

2017 Değerlendirmesi

2017’nin siber güvenlik açısından en ilginç olayı, Shadow Brokers isimli bir grubun, Amerikan Ulusal Güvenlik Teşkilatı’nın desteklediği Equation Group operasyonunda kullanılan bazı sıfır gün ataklarını ele geçirip kamuya duyurmasıydı. Yapılan araştırmalarda, Equation Group’un gün yüzüne çıkmış 500’e yakın exploiti bulunmaktaydı.

Shadow Brokers’ın yayınladığı exploitler’de özellikle Windows Samba açıklarından faydalanılıyordu (ETERNALBLUE). Yetkisiz bir kullanıcının, uzaktan komut göndererek sistemlerde herhangi bir kod çalıştırmasına izin veren bu zafiyet, WannaCry ve NotPetya isimli fidye yazılımlarının ve Retefe isimli banka uygulamaları trojanının yayılmasının temelini oluşturuyordu.   Read more

By Oben Kuyucu

Eposta hesabınız hacklendiğinde yapmanız gereken 9 şey

Eposta hesabınızın başkasının eline geçmesi çok kötü bir durum. Bu şekilde kişisel ve özel bilgileriniz başkalarının eline geçebilir. Daha da kötüsü, bu kötü niyetli kişiler, sizin adınıza tanıdıklarınıza haberiniz olmadan eposta gönderiyor olabilir.

Bir tanıdığınız size, sizden garip epostalar geldiğini söylediyse, ya da her zaman kullandığınız parola ile giriş yapamıyorsanız, eposta hesabınız başkalarının eline geçmiş olabilir. Bu durumda yapmanız gerekenleri özetledik.   Read more

By Oben Kuyucu

WannaCry Tüm Dünyayı Sarstı…

Ağlamak İstiyorum Sayın Seyirciler!…

Ümit Aktan, Spor Spikeri, 1989.
(Kaba çevirisi: I WannaCry!)

Başlık her ne kadar eski bir başarı öyküsüne atıfta bulunsa da, 12 Mayıs 2017 Cuma günü küresel olarak yayılmaya başlayan “WannaCry” ya da “WannaCrypt” isimli fidye yazılımı nedeniyle, Windows makinelerinin başında oturan birçok kullanıcı maalesef gerçekten ağladı.

Cuma günü oltalama e-postaları ile yayılmaya başlayan fidye yazılımı, şimdiye kadar 150’den fazla ülkede, 230000’den fazla makinede etkili oldu. Bulaştığı makinelerdeki dosyaları şifreleyen ve çözülmesi için yaklaşık 300 USD’lik Bitcoin talep eden söz konusu zararlı yazılımdan, Türkiye’deetkilenenlerin de sayısı az değil. Bursa’dan ve İstanbul’dan büyük şirketlerin üretimlerini durdurduğu haberleri var. Ayrıca İspanyol Telefonica, Ingiltere Ulusal Sağlık Servisi, FedEx, Alman Demiryolu ve LATAM havayolları (Latin Amerika), bu zararlı yazılımdan etkilendiği bilinen büyük şirketler.

Nisan ayında Equation Group ve Shadow Brokers isimli hackerlar, NSA’dan alındığı söylenen bazı “payloadlar”, “implantlar” ve “exploitler” yayınlamıştı, (https://github.com/misterch0c/shadowbroker/). WannaCry’in bu exploitler arasında yer alan ve yamalanmamış (MS17-010) Windows makineleri etkileyen “EternalBlue” zafiyetinden yararlandığı söyleniyor. İlgili zafiyet SMBv1’in bir açığını kullanarak uzaktan kod çalıştırmaya neden oluyor. Uzaktan kod çalıştırıldığında da bilgisayardaki tüm dosyalar şifreleniyor ve ekranınızda maalesef bu görüntüyü görüyorsunuz.

Yazılım sizden 3 gün içinde öderseniz 300 USD, sonrasında 600 USD’ye yakın Bitcoin talep ediyor. Ödemediğiniz takdirde bilgileri/dokümanları tamamen siliyor. Bitcoin tercihinin sebebi ise, paranın nereden nereye gittiğinin takip edilememesi.

WannaCry, tüm dünyada büyük yankı uyandırdı. NSA’in (belki) terörist faaliyetleri izlemek için hazırladığı bu yazılımlar, tüm dünyayı etkileyen ve kontrol edilmesi zor bir duruma yol açmış görünüyor. Tabii, PCI DSS gibi uluslararası standartlara uyumlu firmalar biraz daha rahat; çünkü standart bir ay içinde kritik yamaların geçilmesi gerektiğini belirtiyor. MS17-010, 14 Mart’ta duyurulmuştu. Yama yönetimini iyi yapanlar, biraz daha rahat uyuyor.

Windows makineleri etkilediğinden dolayı, Microsoft, desteğini kaldırdığı Windows 2003, Windows XP ve Windows 8 için bile yama hazırladığını duyurdu. ( https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/)

Bulaşmadan önce ne yapmak gerekir? (Bir sonraki saldırıda biraz daha hazırlıklı olmanızı sağlamak için hep önerdiğimiz maddeler.)

  • Her zaman güncellemelerinizi yapın! İşletim Sistemi, tarayıcınız, programlar, telefonunuz,… Hangi teknolojiyi kullanıyorsanız kullanın, güvenlik güncelleştirmelerini atlamayın.
  • Kimden geldiğini bilmediğiniz, şüpheli görünen epostaları ve içindeki ekleri kesinlikle açmayın!
  • Antivirüs yazılımınızı veya İleri Teknoloji Son Kullanıcı Güvenlik ürününüzü mutlaka güncel tutun!
  • Kritik bilgilerinizin her zaman offsite bir yedeğini bulundurun. Bazı bulut uygulamaları sürüm de kontrol ediyor; şifrelenen dosyalara karşı çözüm oluşturabilir.
  • Şirketinizin tam koruma sağlayan bir Anti-Spam filtresi almasını sağlayın.
  • Yama Yönetimini eksik etmeyin. (PCI DSS der ki; Kritik yamaları maksimum bir ay içinde geçin).
  • Zafiyet yönetimini unutmayın! Dağıtık, karmaşık sistemleriniz, istemcileriniz olabilir. Yamalar geçilmiş mi diye bulabilmenin en etkili yolu zafiyet yönetimi.
    • Bazı Zafiyet Yönetimi araçlarında ilgili zafiyet:

MS17-010 güncellemesi detayları için:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Güncellemeler için:

Windows Update

İngilizce İşletim Sistemi güncellemeleri: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

Yerel dillerdeki İşletim Sistemleri güncellemeleri: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

WannaCryptor’un kullandığı Windows zafiyeti için:

By Oben Kuyucu

Yeni Başlayanlar için Siber Güvenlik 101

Gün geçtikçe siber saldırılar yaygınlaşıyor, karmaşıklaşıyor ve daha zarar verici hale geliyor. Başarılı bir siber saldırı yapmak için eskiden yüksek lisans mezunu seviyesinde bilgi ve deneyim gerekirken, şimdi 10 yaşındaki biri bile evinden saldırı düzenleyebiliyor. Karmaşıklaştırılmış ve özelleştirilebilen fidye yazılım üreten servisler çıktı. Arama motorlarında “hacking” yazdığınız zaman (maalesef) 100 milyon sonuç geliyor. Siber yaşam alanlarında yaşamaya devam ettikçe, bu sorun giderek artacak. Bilgi Güvenliğimizin ya da Siber Güvenliğimizin farkında olmadığımız zamanda kullanıcı hesaplarımız çalınabiliyor, banka hesaplarımıza sızılabiliyor, gizli verilerimiz çalınabiliyor. Uluslararası toplumda artık siber sözcüğü fazlasıyla geçer oldu. Öyle ki siber-uzay (cyber space), NATO’nun (ve dolayısıyla üye ülkelerin), kara, deniz, hava ve uzaydan sonraki beşinci alanı[1] haline geldi. 2016’da ayda 500 siber güvenlik tehdidi ile karşılaştıklarını belirtiyorlar[2]. Bu 2015’e göre %60’lik bir artış demek. Fare ve klavye artık birer saldırı aracı…

Neredeyse hayatımızın her yerinde siber yaşıyoruz. Teknoloji, “İnsan”ın artık vazgeçilmez bir parçası. Her işimiz, kolaylık olsun diye çevrimiçi. Sosyal mecralarda arkadaşlarımız ile buluşuyor, çevrimiçi banka şubelerinden fatura ödüyor, işlerimizin hepsini sanal/siber ortamlarda, bilgisayarda ya da mobil cihazlarda yapıyoruz. Popülerliği o kadar arttı ki, hackerlardan nasibini almış[3] Hollywood bile bu konu hakkında film ya da dizi yapabiliyor[4]. Bu makale de daktilo yerine, Internet’e çıkabilen bir kelime işlemci ile yazıldı. Konduğu mecraların neredeyse hepsi çevrimiçi. Bazı ülkelerde, oy kullanma işlemleri yine siber alanlarda yapılıyor. Ülkemizde, yurtdışında oy kullanacak vatandaşların ikametgâh sorguları çevrimiçi yapılıyor. Bu sayede, Moskova’da yerleşik bir vatandaşımız, oyunu başka bir şehirde, örneğin Tiflis’te kullanabiliyor. Mükerrer oylar da bu şekilde önlenmiş oluyor. Sürekli kullandığımız mobil cihazlara yönelik tehditler (son örneğini, Turkish Crime Family isimli grup, iPhone’lara karşı yaptı[5]) hemen uluslararası mecrada ilgi çekiyor. Ve tabii, doğalgaz, su ve kanalizasyon, elektrik şebekeleri gibi kritik devlet altyapıları da siber uzaydan yönetiliyor. Bu nedenle saldırı yüzeyi çok çeşitli ve çok geniş.

Saldırılar, hep uzak bir yerden yapılıyor. Bir bilgisayar, binlerce kilometre ötedeki başka bir sisteme saldırı yapabiliyor. Dağıtık servis kesintisi saldırılarında da bir komut ile, onlarca, belki yüzlerce sistem, politik ya da maddi amaçlar güden saldırılarda kullanılıyor ve sistemleri etkisiz, servis veremez hale getiriyor. Örneğini Aralık 2015’te ODTÜ NIC.tr kontrolündeki .tr isim sunucularına yapılan saldırı ile gördük. Birçok bankaya, ATM’lere, devlet sitelerine erişim kısıtlandı. 2016’da da evimizdeki webcamler, Amerika’daki isim sunucularına[6] saldırdı. Sıklıkla kullanılan sosyal medya siteleri bile etkilendi. Saldırıların nereden geldiği nispeten belli olsa da siber ortamda bu saldırıları gerçekten kim düzenlendi sorusunun yanıtını bulmak çok zor, belki imkansız. Bunun farkında olan Amerika Birleşik Devletleri, 2009’da Çin ile “dijital alanda” bir protokole imza atmıştı. Son ABD Başkanlık seçimlerinde adaylara sürekli siber tehditlerle ilgili sorular yöneltildi. Trump yönetiminin en üst düzeydeki diplomatının ilk Çin ziyaretinde, Çin ile askeri istihbarat paylaşımının yanı sıra, ilk defa siber alanda da istihbarat paylaşımı üstünde duruldu. Bu yaklaşım, seçimleri etkilediği düşünülen Kremlin’e karşı yapılmış bir hamle olarak görülebilir. Ama şu aşikar ki, siber saldırıları düzenleyen devlet-dışı aktörlerin yanı sıra, devlet destekli ekipler de var. ABD[7], İsrail[8], Çin[9] ve Rusya[10]’nın devlet himayesi altında siber orduları olduğu biliniyordu. Şimdi Fransa[11] ve Almanya[12]’nın da 2008’den beri bu konu hakkında çalıştıkları ve “resmi” bir ordu kurdukları görülüyor. Ülkemizde de Ulusal Siber Güvenlik Stratejisi ve Eylem Planı çerçevesinde merkezi Ulusal Siber Olaylara Müdahale Merkezi (USOM) ve kurumlarda Siber Olaylara Müdahale Ekipleri’nin (SOME) kurulması sayesinde bir adım atabilmiş görünüyoruz.

Saldırıların uzak bir yerden yapılabilmesi, geleneksel (askeri terim ile konvansiyonel) savaş yöntemlerinin dışında bir durum. Suriye’ye bir füze gönderebilmeniz için en azından Doğu Akdeniz’de olmanız gerekiyor. Ya da daha kuvvetli ve geniş çaplı bir operasyon için karadan giriş yapılması ve bu operasyonun aylarca analiz edilmesi, asker sevkiyatının yapılması gerekiyor. Ancak siber mecrada durum böyle değil. Dünya’nın tamamen başka yerindeki biri, ışık hızında, devlet altyapılarına saldırılar düzenleyip, ülkeyi kaosa sürükleyebilecek, vatandaşların temel hak ve özgürlüklerini kısıtlayabilecek sorunlara yol açabiliyor. Konvansiyonel terimi ile, Kitle İmha Silahları (Weapons of Mass Destruction) siber ortamda, Toplu Kesinti Silahlarına (Weapons of Mass Distruption) dönüşüyor.

Bütün bunlar ışığında, her ne kadar “soğuk” da görünse, bir savaşın içindeyiz. Konvansiyonel savaşların bütün unsurları, hatta belki daha fazlası ve daha etkilisi, siber alanda karşımıza çıkıyor. Bu duruma hem kendi güvenliğimiz, hem de ülkemizin güvenliği açısından bakmamız gerekiyor. Bilgi güvenliği farkındalığımızı artırarak, siber saldırılara karşı bir önlem alabiliriz.

Bireysel olarak;

  • Bilgisayarımıza girişte, e-posta ve çevrimiçi banka hesaplarımızda çok faktörlü kimlik doğrulama kullanmalı (Çok faktörlü kimlik doğrulama, parolanızın yanına ikinci bir faktör ekleyerek –ör: cep telefonunuza gelen SMS- parola güvenliğini arttıran bir uygulamadır.)
  • Parolalarımızı sıklıkla değiştirmeli,
  • Gizli bilgileri kamuya açık yerlerde paylaşmamalı,
  • Bilgisayar ve sistemlerimizi zafiyetlere karşı sürekli güncel tutmalı,
  • Lisanssız ya da korsan yazılım kullanmamalı,
  • Şüpheli bir durum görüldüğünde, yetkililere haber vermeli,
  • Güvenilmeyen sitelerden alışveriş yapmamalıyız.

Kurumsal olarak;

  • Dışarıdan gelebilecek tehditlere karşı reaktif değil, proaktif çözümler kullanılmalı. Yeni siber güvenlik tehditlerine karşı savunma sistemleri de yenilenmeli, çağa ayak uydurmalı.
  • Sistemlerimiz zafiyetlere karşı sürekli güncel tutulmalı,
  • Bilgi güvenliği riskleri ile ilgili bir analiz yapılmalı ve periyodik olarak tekrarlanmalı,
  • Gizli bilgiler, sadece iş ihtiyacı olan kişilerle paylaşılmalı ve gereklilik sonlandığında erişim kısıtlanmalı,
  • Kasıtlı iç tehditlere karşı da önlem alınmalı. Kullanıcılara güvenilebilir, ama “güven kontrole engel değildir!”
  • Kullanıcılara yönelik olarak, Bilgi Güvenliği Farkındalığı eğitimleri düzenlenmeli ve etkinliği ölçülmeli.
  • Görevler ayrılığı ilkesi uygulanmalı ve sorumluluklar uygun şekilde dağıltılmalı. Herhangi bir işlemin kimin tarafından yapııldığı izlenebilir olmalı.
  • İdari tedbirlerin yanı sıra, teknik tedbirler de alınmalı.
  • Mümkünse yetkin iç kaynaklarla, değilse dışarıdan tedarik edilerek bilgi güvenliği etkinliğini ölçmek üzere bir denetim yapılmalı. Denetimin kapsamı, uluslararası kabul görmüş standartlara göre belirlenmeli.
  • Bilgi Güvenliğine bütçe ayırmalı! Unutulmamalı ki, güvenlik altyapısı doğru şekilde kurulmazsa ve yönetilmezse, bütçelediğiniz bütün Bilişim Teknolojileri kaynakları risk altındadır.

Maalesef %100 güvenilir diye bir seviye yok. Olsa bile, ertesi gün başka bir zafiyet çıkardı. Şifrelenmemiş iletişime karşı kullanılsın dediğimiz OpenSSL’in bile 2 sene boyunca çok kritik bir açığı olduğunu gördük[13]. Sistemlerin ve teknolojilerin zafiyetleri yanında insanların da bazı yöntemlerle kandırmak her zaman mümkün. Bu nedenle gün geçtikçe siber güvenlik tehditlerine daha çok maruz kalıyoruz. Siber Güvenlik Farkındalığına sahip olabilirsek, en azından saldırganların hızını ve verebilecekleri zararı asgariye indirebiliriz.

GÜVENLİ GÜNLER…

Siber güvenlik dünyasında öne çıkan haberler, etkinlikler ve daha çok blog yazısı için Biznet Bilişim’i sosyal medyada takip edin. LinkedIn, Facebook, Google+ ve Twitter’da sizleri bekliyoruz.

Referanslar:

[1] http://www.nato.int/cps/en/natohq/topics_78170.htm
[2] http://www.nato.int/nato_static_fl2014/assets/pdf/pdf_2017_03/20170313_SG_AnnualReport_2016_en.pdf
[3] https://en.wikipedia.org/wiki/The_Interview#Sony_Pictures_Entertainment_hack_and_threats
[4] http://www.imdb.com/title/tt4158110/ http://www.imdb.com/title/tt2679552
[5] https://twitter.com/turkcrimefamily
[6] https://en.wikipedia.org/wiki/2016_Dyn_cyberattack
[7] http://www.arcyber.army.mil/Pages/ArcyberHome.aspx
[8] https://en.wikipedia.org/wiki/Unit_8200
[9] https://en.wikipedia.org/wiki/Cyberwarfare_in_China
[10] https://en.wikipedia.org/wiki/Cyberwarfare_by_Russia
[11] https://www.ssi.gouv.fr/uploads/IMG/pdf/2011-02-15_Information_system_defence_and_security_-_France_s_strategy.pdf
[12] https://www.bmvg.de/portal/a/bmvg/start/journal/dossiers/cyber/
[13] https://en.wikipedia.org/wiki/Heartbleed

1 2 3