Siber alanda güvenlik açıkları araştırması ve istihbaratı alanında hizmet veren ilk Türk şirketi olan SignalSec uyardı: Türkiye’nin sanayi ve enerji şirketleri siber saldırılara karşı hazırlıksız. RedHack ve Anonymous saldırıları buz dağının sadece görünen ucu. Bireysel ve kurumsal bilgilerin hızla dijital platforma taşındığı günümüzde, siber tehditler de artıyor. Küresel alanda 2010’dan itibaren giderek artan siber savaşlar, devletleri hedef alan kötü amaçlı yazılımlar ve casusluk eylemleri, sadece birey ve kurumları değil, devletlerin kendisini tehdit ediyor.
Türkiye, özel sektör ve devlet kurumları olmak üzere son hızla dijital dünyanın yeniliklerine adapte olmaya çalışıyor. Peki, küresel hacker örgütlerine, yurt içi ve dışından gelecek casusluk ve sabotaj amaçlı eylemlere ne kadar hazırlıklıyız?
Anonymous gibi hacker örgütlerin ve Stuxnet gibi kötü amaçlı yazılımların kurbanı olmamak için, siber dünyayı tanımamız gerekiyor. Türkiye’de güvenlik açıkları araştırması ve istihbaratı üzerinde çalışan tek şirket olan SignalSec’in kurucusu Celil Ünüver, siber dünyanın içerdiği birçok tehdidi ve dikkat edilmesi gerekenleri ntvmsnbc’ye anlattı. Ünüver, ‘Ortadoğu'da liderliğe oynayan Türkiye’nin siber saldırılarla karşılaşacağını söylemek için kahin olmak gerekmez’ ifadesini kullandı.
Altı yıldır bilgi güvenliği sektöründe yer alıyorsun. Bu alandaki çalışmalarından kısaca bahseder misin?
Bilgi güvenliğinin çeşitli alt dallarında çalışmalar yapan bir güvenliği araştırmacısıyım. Özellikle uygulama güvenliği, güvenlik açıkları istismarı, mobil güvenlik ve SCADA güvenliği üzerine yaptığım teknik çalışmalar bulunmakta. Adobe, IBM,
Microsoft,
HTC gibi bir çok büyük üreticilerin yazılımlarında keşfettiğim zafiyetler sonrası çeşitli global firmalara siber tehdit istihbarat sağlayıcısı ve güvenlik araştırmacısı olarak hizmet verdim. 2011 yılı itibariyle Türkiye'de ofansif ve ileri seviye bilgi güvenliği çalışmaları yapma amacıyla SignalSEC'i kurdum.
00SignalSec çok yeni bir şirket olmasına rağmen yazılım paketi sunuyor, eğitim veriyor, makaleler yayımlıyor ve PR etkinlikleri gerçekleştiriyor. Bu kadar sosyal ve üretken bir altyapı nasıl kurdunuz? Ekibinizden biraz bahseder misin?**
Yeni bir şirket olmamıza rağmen ekibimiz sektörde yazılım ve güvenlik gibi alanlarda kendini geliştirmiş ve kanıtlamış arkadaşlardan oluşuyor.
Ekip arkadaşlarımızla yerel bilgi güvenliği camiasına katkı sağlamak, gelişmesine destek olmak amacıyla yola çıktığımız için "üretme" odaklı çalışıyoruz. Bu doğrultuda bugüne kadar hem çeşitli makaleler, ücretsiz güvenlik yazılımları yayınladık, hem de yurtdışında önemli güvenlik konferanslarında ülkemizi temsil ettik. Ayrıca Türkiye'nin ilk ve tek uluslararası hacker konferansı NOPcon'u düzenleyerek, alanında uzman yabancı güvenlik uzmanlarını bilgi güvenliği sektörü çalışanları ve meraklılarıyla ücretsiz buluşturduk.
'Sanal dünyanın Robin Hood'u'
Windows Mobile işletim sisteminde keşfettiğin açık uluslararası alanda da tanınmanı sağladı. Sence bugün siber dünyanın güvenlik alanındaki en büyük sıkıntısı ne? Kötü amaçlı yazılımların saldırısı olmadan gelişmek mümkün değil mi?
Güvenlik bir kısır döngüden ibaret diyebilirim. Kötü taraf olmadan gelişim sağlanamaz. Önlemler arttıkça, saldırılar da artacak. Güvenlik uzmanları önlem ve koruma mekanizmaları geliştirirken, hacker’lar bu mekanizmalar için bypass yöntemleri geliştirecek. Ancak bu kısır döngü her seferinde güvenliğin bir adım daha ileriye gitmesini sağlayacak ve siber saldırılar gerçekleştirilmesi daha karmaşık, zor hale gelecek.
SignalSec anladığım kadarıyla başta sanayi kuruluşları ve tesislerine güvenlik hizmeti sunmayı amaçlıyor. Sence Türkiye Stuxnet veya Flame gibi virüslere karşı ne kadar dayanıklı? SignalSec bu konuda Türkiye'ye ne sunabilir?
SCADA güvenliği de çalışma yaptığımız ve uzman olduğumuz bir alan. Çeşitli SCADA yazılımlarında bulduğumuz güvenlik açıklarının,
ABD Ulusal Güvenlik Bakanlığına bağlı US-CERT kurumu ile koordineli çalışarak yamanmasını sağladık.
SCADA sistemler güvenlik ön planda tutulmadan kodlanmış yazılımlardan oluşuyor. Çünkü Stuxnet vakasına kadar bu yazılımları hedef alan herhangi bir saldırı yoktu. Ayrıca bu sistemlerin sürekliliği ön planda olduğu için yama ve güncelleme yapmak pek kolay değil. Doğal olarak Türkiye'deki enerji ve sanayi kurumları da diğer ülkeler gibi bu saldırılara açık durumda.
Örneğin 2011 yılında incelediğimiz IGSS SCADA yazılımı, güvenlik açığını keşfettiğimiz ve gerekli kurumlara bildirerek yamanmasını sağladığımız yazılımlardan biriydi. Bu yazılım dünya genelinde 50 ülkede 28000 endüstriyel sistemde kullanılıyordu.
Çek Cumhuriyeti Doğalgaz Dağıtım sistemleri de bu yazılımı kullanan kurumlar arasındaydı.
Bu yazılımda keşfettiğimiz güvenlik açığı, kötü bir amaçla profesyonel bir şekilde kullanılsaydı Çek Cumhuriyeti'nin doğal gaz altyapısını kesintiye uğratabilirdi. Benzer saldırı senaryoları bir ülkenin elektrik, trafik, ulaşım gibi birçok altyapı sistemine uygulanabilir.
Hali hazırda bizimle iletişime geçen çeşitli yabancı kurumlara SCADA güvenliği için denetim yazılımları sağlıyoruz ve sistemlerini tehdit eden güvenlik açıkları için erken uyarı/istihbarat hizmeti sunuyoruz. Türkiye'deki kurumlar da konunun önemini kavradığında benzer hizmetleri verebiliriz.
Siber güvenlik alanında Batı dünyası ve Türkiye arasında nasıl farklılıklar var? SignalSec olarak elinizde belli rakamlar var mı?
Öncelikle Türkiye'de siber güvenlik alanında Ar-Ge faaliyeti yapan firma sayısı çok az. Firmalar yerli ürün geliştirmektense, yabancı ürünlerin distribütörü, bayisi olmayı tercih ediyor. Siber güvenlik stratejik bir sektör, geliştirilen her güvenlik yazılımının stratejik bir amacı olabilir.
Devlet son zamanlarda siber güvenliğe önem verse de henüz yeterli çalışma ve destek olduğunu söylemek zor. Sektörün büyümesi için devletin desteği şart. Örneğin ABD hükümeti, Ulusal Güvenlik Bakanlığına, 2013 yılında sadece siber güvenlik çalışmaları için 769 milyon dolarlık bir bütçe ayırdı. Amerikan kamu kurumlarının siber güvenlik için 2015 yılına kadar 10 trilyon dolar harcayacağı hesaplanıyor.
Batı dünyası aynı zamanda devletin siber güvenlik faaliyetlerini özel sektörle iş birliği içinde gerçekleştiriyor. Bütün faaliyetleri tek bir devlet kurumuna yüklemek gibi hatalarda bulunmuyor.
Devlet kurumları yakın dönemde RedHack ve Anonymous'un çok sayıda siber saldırısına uğradı. Dünyada ise ABD başta olmak üzere en güçlü kurumlar bile hacker'lara karşı çaresiz kaldı. Onlarda olup da devletler de olmayan yetenek ne?
Güvenlik uzmanları bu işi meslek olarak yapıyor ve belli bir süreden sonra çeşitli sosyal, psikolojik etkenlerden dolayı hacker bakış açılarını maalesef kaybediyorlar. Hacker’ların ise en başta mesai saati gibi bir kavramları yok. Bir sistemin güvenlik açığını mesai saatleri diliminde aramak yerine gerekirse 7/24 yoğunlaşabiliyorlar. Ayrıca güvenlik uzmanlarının genelde tek motivasyonu para iken, hackerların şöhret, siyasi ideoloji ve ego gibi birçok ek motivasyonu var.
RedHack ve Anonymous saldırıları buz dağının sadece görünen ucu. Arka planda çeşitli devletlerin, istihbarat kurumlarının gizlice gerçekleştirdiği siber espiyonaj faaliyetleri olabilir. Yabancı devletler tarafından gerçekleştirilen siber espiyonaj çalışmaları ülkeler için daha büyük bir problem oluşturuyor.
'ABD kınamasaydı, Redhack hesabı kapatılmazdı'
Hacker'ların aynı zamanda yazılım geliştiricileri olduğu çok belli. Anonymous gibi bir örgütte devletler veya özel şirketler için çalışan çok sayıda güvenlik yazılımcısı yer alıyor olabilir mi?
Anonymous, hacktivist ve ideolojik bir grup olduğu için aynı ideolojiye, fikirlere sahip çeşitli kurum çalışanları da bu tarz oluşumlarda yer alıyor olabilir.
Dünyada olduğu gibi Türkiye'de de mobil cihaz kullanımı son sürat artıyor. Ancak birçok kullanıcı güvenlik yazılımı kullanmıyor. Bu alanda ne gibi riskler yatıyor? Sizin çalışmalarınız neler?
Özellikle
Android telefonları hedef alan zararlı yazılım sayısı çok fazla. 2011 yılından 2012 yılına kadar Android telefonları tehdit eden zararlı yazılım sayısında artış yüzde 580 civarında. Bu zararlı yazılımlar bazen online bankacılık işlemlerinde telefonunuza gelen tek kullanım şifreleri çalmakta, bazen çeşitli yurtdışı numaralara sizden habersiz SMS gönderip, pahalı aramalar yapmakta.
Telefonuna zararlı yazılım bulaşan bir kullanıcı boş bir banka hesabı ya da kabarık bir telefon faturası ile karşılaşabilir.
Kullanıcılar mutlaka bir mobil güvenlik ürünü kullanmalılar. Android sistemler için geliştirmeye başladığımız bir mobil güvenlik yazılımını 2013 yılında kullanıcılara ücretsiz sunmayı planlıyoruz.
Müfit Yılmaz Gökmen / Ntvmsnbc