Murat Can Haber tarafından yazılmış tüm yazılar

Teknik, Zafiyet

Her Şey Cep Telefonunuz Gibi Çalıştığında

Yorum yapın

Bugün The Atlantic dergisinde çıkan Alexis C. Madrigal ve Robinson Meyer imzalı bir haber, eşyaların interneti (internet of things) olgusunun beraberinde getirdiği sahiplik/aitlik meselesinin nasıl olacağını irdeliyor. Yazı şu şekilde ilerliyor:

Bir şey internete bağlandığı zaman üç şey olur: Akıllı hale gelir, hacklenebilir hale gelir, ve artık size ait olmayan bir şeye dönüşür.

Herkes bir pompanın nasıl çalıştığını bilir. Bir dükkana gidip pompa satın aldığınızda o artık sizindir. Pompa elinizden alınırsa artık pompalık vasıfları da onunla birlikte gider. Fakat cep telefonu daha farklıdır. Sahibine ait olmasına rağmen ayrıca başka başka platformların da parçasıdır. Şirketler GPS yoluyla aletin dünyada nerede olduğunu belirler; hizmet sağlayıcısı ile yapılan sözleşme yoluyla da kullanıcı bağlanır. Bunlar cihazdan ayrılamayacak özelliklerdir. Yani aslında bir telefona “sahip olmak” bir pompaya sahip olmaktan çok farklıdır.

“Eşyanın internetinin” gelişimi ile hayatımızdaki bir çok nesne de artık sahip/ait olunma özellikleri açısından bir değişikliğe uğrayacak gibi görünüyor. Sıradan eşyaların önüne gelen “akıllı” kelimesi, bu cihazların kendi işletim sistemleri bulunduğu ve ağ erişimleri nedeniyle de güvenlik sorunlarına açık hale geldiklerini gösteriyor.

Geçtiğimiz günlerde Apple’ın tanıttığı akıllı saatler de bu özelliklere sahip. Akıllı eşyalar beraberlerinde bütün bir ekosistemi de getiriyor. Diğer bir deyişle, akıllı eşyaların uygulama marketleri ve güncellenme özellikleri bulunuyor. Bu akıllılık özellikleri sadece saatlere değil, diğer kimi eşyalara da uygulanmaya çalışılıyor. Günümüzde halihazırda akıllı şemsiyeler veya tencereler üretmenin çalışmalarını yürüten şirketler bulunuyor.

Akıllılık ile birlikte bir özellik daha eşyalara gelmiş oluyor: Hacklenebilme. Bir bilgisayarınız varsa ve ağa bağlıysa, herhangi bir kişi veya şey tarafından içinde sızılması mümkün demektir. Yani akıllı bir vantilatör yaptığınızda artık bu da hacklenebilir demektir. SmartHomes şirketinin siber güvenlikten sorumlu uzmanı ve genel müdürü Kevin Meagher de, GigaOm’a verdiği bir röportajda, akıllı evlerin hayata geçirilmesi halinde son derece karışıklık içinde bulunacağını ima eden ifadeler kulllandı:

“Bu kadar büyük bir ekosistemi yönetebilmenin tek yolu, buluttan buluta (cloud-to-cloud) bir sistem kurmak. Yani aslında cihazın üreticiyle erişim kurduğu zaman, bunu bulut platformu üzerinden yapması.”

Meagher’in bununla kastettiği de şu anlama geliyor: Akıllı evlerin iletişimi, doğrudan birbiriyle değil de, devasa veri merkezleri ile, ve bu merkezlerin birbiri ile iletişmesi ile olacak.

Siber suçluların bir vantilatörü hackleyerek ülkenize saldırması tabi ki akıl dışı bir senaryo. Ama hafızası olan her şey, bir botnete katılarak bir siber saldırının parçası olma patonsiyelini içinde barındırır. Buna vantilatörler veya akıllı olan diğer ev eşyaları da dahil.

Son yapılan siber saldırıları düşündüğümüzde bunların ileri derecede dizayn edilmiş kodlarla değil, bulut bilişim (cloud) servislerine erişim sağlayarak başarılmış olduğunu görebiliyoruz. Akıllı evler veya diğer akıllı eşyalar da tam da bu şekilde başarısızlıkla sonuçlanmış bulut sistemlerini kullanmayı amaçlıyor.

Akıllı eşyaların “sahipliği” meselesine geri dönersek, bu eşyalar sadece size ait olmadığı gibi bazı açılardan da tamamen size ait olabiliyor. Yani diğer eşyalarınız çalınırsa artık başkalarının oluyor, ama akıllı aletler çalındığı zaman eğer özellikler yüklenmişse, sahibine geri bildirimde bulunuyor ve bu şekilde dünyanın neresine giderse gitsin bir bakıma sizin kalıyor. Gerçek hayatta da bunun etkilerini görmek mümkün. Apple, telefonlarına uzaktan erişim imkanı tanıma özelliğini yerleştirdiği zaman iPhone hırsızlığı olayları yüzde 19 azalmıştı.

Bu çok farklı bir “sahiplik” çeşidi. Neredeyse “mistik” olarak bile nitelendirilebilecek bu sahiplik özelliği ile, size “tabi olan” bir eşya, artık çok uzaklarda olsa bile size durumunu bildiriyor, ne yaptığından sizi haberdar edebiliyor. Aynı zamanda elinizde tuttuğunuz bir eşya tamamen size ait de değil; herhangi bir program yükleyerek veya yaptığınız sözleşme yoluyla, bir yerlere bağlı kalmak durumundasınız.

ABD, Siber Güvenlik

Beyaz Saray: Siber Güvenlik Yeni Bir Yaklaşıma Muhtaç

Yorum yapın

Beyaz Saray Siber Güvenlik Koordinatörü Michael Daniel, sorunun ekonomik ve psikolojik boyutunu kavramadaki genel yetersizlik sebebiyle, siber alan güvenliğini geliştirmeye yönelik çabaların yetersiz kaldığını belirtti.

Daniel, Washington’daki Billington Sibergüvenlik Konferansı’nda konuşurken, kötü adamların bildiğimiz zayıf noktalardan sızdığını ve aslında bu zayıflığı nasıl giderebileceğimizi bildiğimizi de ifade ederek “bu şekilde düşünüldüğünde çözüm basit olmalı: delikleri tıkamak” dedi.

Aralarında hükümet yetkilileri ve endüstri temsilcilerinin bulunduğu dinleyicilere dönerek “Peki bunu neden yapmıyoruz? Bu demektir ki çözülmesi zor bir problemle karşı karşıyayız” diye ekledi.

Daniel, siber güvenliğin bir insan davranışı ve motivasyonu problemi olarak görülmesinden çok, teknik bir problem olarak görülmesinden yakındı. “İnsan faktörünü anlamadan bu sorunu çözmede başarısız olmaya devam edeceğiz” dedi.

Siber alanın modern hayatın merkezine yerleşmesiyle hükümetin de daha iyi bir küresel siber güvenlik yaratmada rolü olduğunu fakat, hükümetin siber alana müdahalesinin, siyasi süreç açısından daha önce kolayca alınabilen kararları, alınması daha zor hale getirdiğini söyledi.

Bunun tersine çevrilebilen bir durum olmadığı konusunda uyararak zamanı geri döndüremeyeceğimizi ve bununla yaşamayı öğrenmek zorunda olduğumuz bir dünyada yaşadığımızı hatırlattı.

Somut çözümler için de Obama hükümetinin, geleneksel düzenleme veya sözleşme kurallarına bağlı olmayan özel sektörü devreye sokacak alternatif bir yöntem aradığını söyledi. “Bunun tam olarak ne olacağını söyleyemem” dedi ve ekledi: “Öncelikle federal hükümet tarafından tanınan kritik altyapının 16 sektöründe duyurulacak”.

Ayrıca, Obama yönetiminin, güvenlikte şifre merkezliliğe alternatifler bulmak için çalışmalar yapan, NSTIC (Siber Alanda Güvenilen Kimlikler için Ulusal Strateji) olarak da bilinen Standartlar ve Teknoloji Ulusal Enstitüsü’nün siber güvenlik çerçevesini anlattı ve internette, hükümetin menfaat sahiplerini diyaloğa, karar alma ve çözüm üretme süreçlerine katılmaya davet ettiği “multistakeholder” modelini yürürlükte tutmanın gerekliliğini vurguladı.

Küresel, Sektörel, Teknik, Veri Kaybı

Apple Güvenlik Önlemlerini Artırıyor

Yorum yapın

Apple’ın iCloud hizmetinden Jennifer Lawrance, Kate Upton gibi ünlülerin fotoğfaflarının çalınması, teknoloji devini harekete geçirdi. Apple CEO’su Tim Cook, kullanıcıların güvenliğini sağlamak için şirketin daha fazla emek sarfedeceğini duyurdu. Wall Street Journal‘da Cuma günü çıkan bir haberde, Cook, fotoğrafların nasıl çalındığını açıkladı. Apple’ın gelecekte benzeri bir mahremiyet hırsızlığını engellemek için ne yapacağına değinen Cook, fotoğrafların “sosyal mühendislik” yoluyla sızdırıldığını doğruladı. Siber saldırganların, kullanıcıların güvenlik sorularını doğru cevaplayarak ya da phishing saldırıları düzenleyerek dosyaların çalındığını belirtti.

Cook, Apple şirketinin bu saldırıları nasıl engellemeyi planladığına da değindi. Bu tür bir saldırının tekrarlanmaması için artık Apple, herhangi biri şifre değiştirmeye, iCloud dosyalarını başka bir cihaza geri döndürmeye, veya yeni bir cihazdan ilk defa bir hesaba girmeye çalışırsa, hesap sahiplerine uyarı mesajı gönderecek. Ayrıca iCloud için gelecek iOS güncellemelerinde iki faktörlü giriş sitemi geleceğini aktardı. Google’ın bir süredir uygulamakta olduğu bu güvenlik önlemleri, Apple gibi bazı teknoloji şirketlerince geriden takip ediliyor.

Fotoğrafların sızdırılmasından sonra bir çok kullanıcı, Apple’ın FindMyiPhone hizmetindeki bir açıklıktan dolayı bu sızdırmanın gerçekleştiğini düşünüyor. Bu konuda müşteri güvenini sarsmamak için herhangi bir açıklama yapmayan Apple, bu hafta tanıttığı yeni iPhone ürünlerine olan güvenin azalmaması için böylesi bir suskunluğa başvurmuş olabilir. Cook röportajında buna değinmiyor fakat Apple’ın kullanıcılarını gerektiği şekilde uyarıp eğitmemiş olduğu konusunda bir itirafta bulunuyor. Farkındalık artırmanın önemini tekrar vurguluyor ve bu bu farkındalık artırma görevinin de öncelikle teknoloji üreticisi şirketlere düştüğünü kabul ediyor.

ABD kanunları, teknoloji şirketlerinin kullanıcıların bilgi güvenliğini sağlamaları konusunda herhangi bir düzenleme getirmiyor. Bu tür şirketler de kullanım kolaylığını sağlamak maksadıyla, bazı güvenlik önlemlerinden feragat etmeyi seçebiliyor.

Ünlü fotoğrafları sızdırılması hadisesi, Apple’ı bu konuda daha somut adımlar atmaya itmiş görünüyor. Bazı uzmanlarsa Apple’ın uygulamayı düşündüğü kimi ek önlemlerin işe yaramayacağı görüşünde.

İran, İsrail, Uluslararası İlişkiler

Netanyahu: Siber Saldırılar İran Kaynaklı

Yorum yapın

İsrail başbakanı Binyamin Netanyahu, pazar akşamı Tel Aviv Üniversitesi siber güvenlik konferansında, İnternet güvenliğinin önemi ve Gazze savaşı sırasında İran kaynaklı siber saldırılar hakkında bir konuşma gerçekleştirdi. İsrail’e yönelik saldırıların arkasındaki birincil kaynağın İran olduğunu belirten Netanyahu, İnternetin sağladığı güvenli ve anonim ortamın İran ve müttefiki Hamas gibi gruplara, İsrail’e saldırmak için uygun bir otam teşkil ettiğini anlattı.

İsrail, son yıllarda siber güvenlik konusunda yaptığı devasa yatırımlar ve altyapılar ile adından söz ettirdi. Kurulduğu günden bu yana bulunduğu coğrafyadaki güvensiz konumu, ülkeyi askeri teknolojilere yatırım yapmaya ve bu alanda öncülük etmeye itti. Siberalanı da bir savaş mecrası olarak gördüklerini konuşmasında belirten Netanyahu, İsrail’i global bir siber güç olarak ortaya çıkaracaklarının altını çizdi. Başbakan konuşmasını şu şekilde sürdürdü:

Siber güvenlik, bir gün herkesin meselesi olacak. Bu yüzyıl, ya siber güvenliği tesis etmeyi başaracağımız ya da insanlık için bazı fırsatları kaçıracağımız bir yüzyıl olacak.

TED

Virüslerle Savaşmak, İnterneti Korumak

Yorum yapın

Bilgisayar güvenliği uzmanı Mikko Hypponen, 2011 yılında TED Talks için yaptığı konuşmasında, internet güvenliğinin önemini anlatıyor.

İlk bilgisayar virüsü Brain.A’nın üzerinden 25 yıl geçtiğini anlatan Hypponen, bu virüsün kodlarını dinleyicileri ile paylaşıyor. Kodlarda, virüsü yazan iki Pakistanlı kardeşin adı bulunuyor. Bu kardeşleri gösteren Hypponen, Brain.A virüsünün ve eski virüslerin nasıl çalıştığını göstererek zararsızlıklarını vurguluyor. Bu virüsler, çoğunlukla ekranda eski tip animasyonlar ve renkler gösterdiğinden, bir bilgisayara virüs bulaştığını anlamak çok kolay. Fakat Hypponen, günümüzde virüslerin artık bu şekilde basit olarak değil, çok daha profesyonel şekillerde yazıldığını ve dolayısıyla tespitlerinin zor olduğunu vurguluyor. Bunlara örnek olarak keylogger’ları veriyor. Keyloggerlar, bilgisayarlarda farkettirmeden çalışarak, kullanıcıların tüm klavye hareketlerini bir merkeze gönderiyor. Siber suçluların özellikle kredi kartı bilgileri ele geçirmede sıklıkla kullandıkları bu türden yöntemler sayesinde çalıntı bilgiler piyasası bile oluşmuş durumda.

İnternetin küreselliği nedeniyle, bu türden virüsler ve zararlı yazılımların dünyanın her yerinde serbestçe dolaşabilmesi, siber suçların arksında kimin olduğunun tespitini zorlaştırıyor. Hypponen, buna örnek olarak tespit ettikleri genç bir Rus hackerın bilgilerini izleyicilerle paylaşıyor. Diğer suçluların tespit edilmesinin bu kadar kolay olmadığını vurgulayan Hypponen, suçlular tespit edilse bile ülkelerin yerel polislerinin harekete geçirilmesinin pek de kolay olmadığını anlatıyor.

Konuşmasının ilerleyen kısımlarında, kontrol sistemlerine geçiyor. Günlük hayatta kullandığımız asansör veya havalandırma gibi sistemlerden, daha büyük fabrikalarda veya tesislere kadar bir çok mekanda kullanılan bu kontrol sistemleri, hacklendikleri takdirde ciddi ulusal zararlar verebilme riski taşıyor. Örneğin, elektrik sisteminin kendisi bile internete bağımlı. Hypponen, internet zarar gördüğü takdirde yine de kritik sistemlerinin çalışmaya devam edebilmesi için hazırlanmak gerektiğini vurguluyor. Hypponen konuşmasını şöyle bitiriyor:

“Eğer internetin güvenliği için gerekli adımları atmazsak, hepsini birden kaybetme riskimiz bulunuyor. Ne yapmamız gerekiyorsa küresel olarak yapmalıyız, ve hemen yapmalıyız.”