Kategori arşivi: Makale & Analiz

Siberbülten siber güvenlik ile ilgili haberlerin bulunduğu bir site olmanın dışında, siber güvenliğin sosyal bilimler ile kesişme noktalarındaki konularla ilgilenen akademisyen, öğrenci ve araştırmacılar için bir yayın platformudur. Bu bölümde siberalan ve siber güvenliğin uluslararası hukuk, uluslararası ilişkiler, strateji, güvenlik ve siyaset bilimine ile ilişkisi ve yansımaları ile ilgili blog tarzı yazılar ve derin analizler bulabilirsiniz.

Makale & Analiz

Münih Güvenlik Konferansı ve ‘gece kulübünde’ siber güvenlik konuşmak

Yorum yapın

ABD Federal Soruşturma Bürosu (FBI) analistlerinin bir kısmı ciddi mesai harcayarak Amerikan Başkanı başta olmak üzere ülkenin milli güvenliğinden sorumlu ekibe belirli aralıklarla Küresel Tehdit Raporu hazırlar. Bu raporda ABD açısından ulusal güvenlik riski oluşturabilecek gelişmeler tespit edilerek öncelik sırasına göre dizilir ki, politika yapıcılara karar verirken yol gösterici olsun.

Rodrigo Bijou ‘Hükümetler siber savaşı anlayamaz hackerlara ihtiyacımız var’ başlıklı TED konuşmasında 2007’de FBI’ın hazırladığı tehdit raporunda siber suçlara hiçbir şekilde değinilmediğine dikkat çeker. 2011’de yayınlanan raporda ise siber suçlar Batı Afrika’daki uyuşturucu kaçakçılığının da altında -listenin sonunda- yer alır. Siber güvenlik meselesinin geçtiğimiz on yılda ne kadar az önem verildiğinin en önemli göstergesi ABD’nin terörizme açtığı savaşta Bush yönetimiyle anlaşamadığı için afaroz edilen danışman Richard Clarke’a bir nevi ceza olarak siber güvenlik dosyasının verilmesidir.

İlgili yazı >> ‘11 Eylül geliyor’ dedi, cezası siber güvenlik oldu

Sayısı artırılabilecek bu örneklerin bize gösterdiği tek bir şey var: Konvansiyonel yapılar içerisinden geçmekte olduğumuz dijital değişimi kapsamlı bir şekilde anlamakta ve gereklerine göre hareket etmekte -en hafif ifadeyle- geç kalıyorlar.

Fakat durumun değişmeye başladığının bir göstergesini geçtiğimiz hafta düzenlenen Münih Güvenlik Konferansında gördük. Her ne kadar Davos Zirvesi kadar popüler olmasa da 1963 yılından bu yana düzenlenen Münih Güvenlik Konferansı dünya siyasetine şekil verenlerin bir araya geldiği önemli bir organizasyon. Devlet başkanları, CEO’lar, kanaat önderleri, danışmanlar ve daha birçok stratejik yöneticinin ajandasında mutlaka bulunan çok önemli bir etkinlik.

Birkaç senedir konferanstan önce dünyanın en büyük risk danışmanlığı şirketi Euroasia Group küresel güvenlik risklerini sıraladığı bir rapor yayınlayarak, katılımcılara dağıtıyor. Bu sene Ian Bremmer ve Cliff Kupchan’in hazırladığı raporunun başlığı ‘Jeopolitik Resesyon’ adını taşıyor. dünyanın önündeki en önemli 10 risk sıralanıyor. Önümüzdeki yılın bir jeopolitik çalkalanmaya sahne olacağını belirten uzmanlar 2017’nin gelecekte küresel piyasaların ciddi anlamda savrulduğu 2008 kadar önemli olduğunu kaydetti. Raporda ayrı bir başlık altında ‘Teknoloji ve Ortadoğu’ konusu hakkında geleceğe dair öngörüler sıralanıyor. Bu başlık altında dikkat çeken 3 konu var:

  • İran dünyanın en fazla siber silah ülkeleri arasında yer alıyor ve şimdi kendini daha az kısıtlanmış hissediyor. Suudi Arabistan’a karşı her geçen gün artan siber saldırılar karşısında ne Suudiler ne de baş müttefikleri ABD yeterli bir karşılık veremiyor.

 

  • Ülkemizi de ilgilendiren genç işsizlik problemi bir diğer başlık. Her ne kadar geleneksel olarak genç nüfus bir ekonomik artı olarak görülse de, üretim süreçlerinde otomasyonun daha geniş role sahip olması bu ülkeler için genç nüfusun işsiz kalması tehlikesini ortaya çıkarıyor.

 

  • Bir başka başlık ise, Siber Bülten’de fırsat buldukça yer verdiğimiz teknoloji firmalarının ülke yönetimleri ile olan ilişkisi üzerine dayandırılmış. Trump’ın milli güvenlik üzerine kurulu siyaset anlayışı ile Silikon Vadisi’ndeki özgürlük ve mahremiyete önem veren yaklaşımın birbiriyle çelişeceği bir çok nokta bulunuyor. Çekişmenin en zorlu bölümü ise güvenlik temelinde yaşanıyor. Trump istihbarat üzerindeki kontrolü başkanlık gücünün ayrılmaz bir parçası olarak görüyor ve dinleme/gözetleme faaliyetlerinde hükümetin hareket alanını genişletme konusunda hiçbir fırsatı kaçıracağa benzemiyor. Dolayısıyla San Bernardino saldırısından sonra olduğu gibi FBI ve Apple arasındaki çekişmenin benzerlerini yakın zamanda görmemiz muhtemel.

İlgili haber >> Apple FBI arasında sürpriz kilit kırıcı belli oldu

Raporda siber güvenlik özelinde sadece İran tehdidine odaklanılırken, konferansın programında siber güvenliğe özel oturumlar dikkat çekiyor. Genel olarak bakıldığında konuların ABD Başkanlık seçimlerine yapılan siber müdahale ile şekillendiği ortada. Stratejistleri derinden etkileyen bir konu olduğunu bir kez daha fark ediliyor. Konferansın başladığı Perşembe akşamı ilk oturumun ismi de aynı izlenimi veriyor: Hack Against Democracy : Combating Foreign Cyber Interference. Başlıktaki ‘foreign’ ifadesini ‘Russian’ diye okunduğundan şüphe yok. Sonraki günlerde ise daha dikkat çekici bir bölüm var. ‘Att(h)acking Democracy’ başlıklı oturum Night Club konseptinde gerçekleşiyor. Yani gece 22.30 – 23.30 arasında düzenlenen oturuma sadece katılımcılar girebiliyor ve tamimiyle off the record. Katılımcılara baktığımızda tanıdık isimler görmek mümkün: Nicholas Burns’ün moderatörlüğünü yaptığı oturumda Rus siber operasyonu sonrasında FBI ile ortak çalışarak Democratic National Commitee’nin sistemlerinde adli analiz çalışmaları yapan Dmitri Alperovitch,  eski Rus Savunma Bakan yardımcısı Evelyn Farkas, Russia in Global Affairs dergisinin genel yayın yönetmeni Fyodor Lukyanov, Economist’in Moskova büro şefliğini yapmış olan Edward Lucas ve Ohio valisi ve başkan adayı John Kasich. Konuşmacıların backgroundları stratejik siber güvenlik konularının kimler tarafından yönetildiğini konusunda da açıkça bir fikir veriyor.

İlgili yazı >> ABD’nin çıkarları bir Rus’a emanet: Dmitri Alperovitch

Münih’te aynı zamanda Küresel Siber Alan İstikrar Komisyonu’nun da toplantısı gerçekleşti. Toplantı moderatörlüğünü stratejik siber güvenlik çalışmalarının saygın ismi Aleander Klimburg yaptı. Klimburg’un siber güvenlik stratejisinin nasıl hazırlanacağına dair iyi kurgulanmış bir de kitabı bulunuyor. Katılımcılar arasında Estonya Cumhurbaşkanlığı için adı geçen Mariana Kaljurand da bulunuyordu. Kendisi BM nezdindeki çalışmalarda oldukça aktif. Bu arada Münih Güvenlik Konferansına Türkiye’den de Dışişleri Bakanı Mevlüt Çavuşoğlu ve Savuma Bakanı Fikri Işık katıldı. Görebildiğim kadarıyla siber alan çalışmalarıyla ilgili kısımlara ülkemizden katılan kimse yoktu.

Konferans sonrasında tartışılan konuları özetleyen Munich Security Report 2017 yayınlandı. Aslında dünyanın 2010 yılında Wikileaks ile tanıştığı, 2013’de Snowden ile perçinleşen, Türkiye’nin de aynı yıl internet üzerinden yayılan ses kayıtları ile tecrübe ettiği bir olgunun geleceğin dünyasını -maalesef- şekillendireceğinden bahsediliyor: ‘Fake it, Hack it, Leak it, Spread it: A-post truth World and the Defense of Democracy’. İnternet bir yandan ifade özgürlüğüni güçlendiren daha demokratik bir ortamın oluşması konusunda baş katalizör olarak görülürken, son başkanlık seçimlerinde Trump’ın yanıltıcı (fake) haberler ile kamuoyu algısını şekillendirdiği kampanyasının baş taşıyıcısı da yine İnternet medyası oldu. Münih’ten sezilebildiği kadarıyla ‘Yeni ve Cesur Dünya’nın’ ayak seslerini duyuyoruz. Ürkütücü geliyor.

Konuk Yazar, Makale & Analiz

Pastanın üstündeki vişne: Ödül avcılığı (Bug Bounty)

Yorum yapın

Dünyada uzun bir süredir devam eden ödül avcılığı programları (bug bounty) ülkemizde daha da popüler bir hal almaya başladı.

Öncelikle ödül avcılığının ne olduğundan bahsetmek yerinde olur diye düşünüyorum. Ödül avcılığı programı firmaların sistemlerinde bulduğunuz zafiyeti ilk olarak onlara bildirmeniz karşılığında ödüllendirildiğiniz bir yapı. Bu ödül ciddi miktarlarda para ödülleri olabildiği gibi firmanın kendine ait tişört, bardak vs. gibi eşantiyonlar, hatta bazı durumlarda ise sadece firmanın web sitesinde bir bölümde size teşekkür edilmesi şeklinde de olabiliyor.

Ödül avcılığının en önemli avantajlarından biri dünyanın herhangi bir yerindeki bir araştırmacı sisteminizde herkesin gözünden kaçan bir zafiyet bulmasına imkan sağlaması. Geleneksel sızma testi yaklaşımında yapılan testin kalitesinin kısıtlı bir ekibin yetenekleri ve tecrübeleri ile orantılı olduğunu düşünürsek bu konuda ciddi bir avantaja sahip. Gördüğüm kadarıyla firmanın ölçeğine bağlı olarak bazı yerlerde güvenlik ekibi, sızma testi ve ödül avcılığı yaklaşımı olabildiği gibi bazı yerlerde sadece ödül avcılığı programının yeterli olacağı düşünülmekte. Naçizane tecrübelerim neticesinde ben ödül avcılığını bir cupcake’in üstündeki vişneye benzetiyorum. Bu sebeple birbirinin muadili gibi davranmak yerine bunları bütünleştirmek en doğru yaklaşım.

Bugün firmaların kendi ekipleriyle bu işi organize edebildikleri örnekler olduğu gibi, BugCrowd ya da HackerOne gibi bunu size hizmet olarak sağlayan oldukça güzel platformlar da mevcut. Birçok programda eskiye nazaran şeffaflık daha ön planda. Bu da zamanla oluşan sıkıntılardan, özellikle bu zafiyetleri bulup bildiren ve daha önce bildirildiği sebebiyle ödüllendirilemeyen kişiler tarafından gelen eleştiriler neticesinde zamanla birçok konuda iyileşmeler olduğu gözleniyor.

AÇILIŞI GOOGLE YAPTI

Ödül avcılığı programlarının geçmişleri hakkında biraz araştırma yaptığımızda aslında buna benzer bir yapının ilk olarak NetScape tarafından 90’ların ortasında uygulandığını görüyoruz. Ancak bu programların gerçek ivme kazanması 2010 yılında Google’un programı ile başlamış; diğer büyük teknoloji firmalarının böyle programları duyurması aslında bu akımın fitilini ateşlemiştir.

Sonrasında BugCrowd ve HackerOne gibi platformların oluşması ve ödül avcılığı programına sahip olmayı düşünen ancak bunları değerlendirebileceği ciddi bir çalışana sahip olmayan ya da bu altyapıyı hazırlama konusunda sıkıntı yaşayabilecek firmalar için etkisi yok sayılamayacak bir katalizör olmuştur. Aynı zamanda bu platformlar sayesinde ödül avcılığı programlarının birçok firma için bir standardı olmasını da sağlamıştır.

90’lardan sonra bir üreticiye bir zafiyet bildirmek gerçekten sıkıntılı bir işti. Tarihte üretici firmaların avukat ordusu ile konferansları bastıkları ya da bu sunumları zorla konferans programından çıkarttıkları örnekler mevcut. Yakın zamana kadar hala buna benzer şekilde avukatlar aracılığıyla konferans organizatörlerine yapılan baskılar mevcuttu.

SORUMSUZ BİR FİRMAYA SORUMLU BİLDİRİM YAPAMAZSINIZ

Literatürde “Responsible Disclosure” denilen ve Türkçe’ye “sorumlu bildirme” olarak çevirebileceğimiz, zafiyeti bulduktan sonra yaptığımız örnekleri üretici ya da yayıncı firmaya bildirerek kapatılmasını sağlamak, zafiyet kapatılıp kimse zarar görmeyecek hale geldikten sonra bunu yayınlayabilmek üzerine kurulu ve aslında kazan kazan ilkesinin taşıyan bir yöntem sektörde senelerdir mevcut. Hatta bununla ilgili “ISO 29147 Vulnerability disclosure” ve “ISO 30111 Vulnerability handling processes” ISO standartları bile belirlendi. Bulunan zafiyet herhangi bir şekilde kötüye kullanılmadan üreticiye bildirildiği için üretici de memnun, bu araştırmayı yapan kişi de bu çalışması sebebiyle kimse zarar görmediği ve bu çalışmasının bir başarı olarak paylaşılabileceği için memnundu. Ancak sorumlu bildirim kavramı bence içerisinde sadece araştırmacının sorumluluğunu değil aynı zamanda üreticinin sorumluluğunu da barındırıyor. Dolayısıyla “sorumsuz bir firmaya” sorumlu bildirim yapamazsınız. Hal böyle olunca ödül avcılığı programlarının aslında ne kadar da değerli olduğunu bir kez daha kavramış oluyoruz.

Ödül avcılığı programlarına dönecek olursak; bu programı başlatan firmalar bunun duyurusunu yaptıkları yerde mutlaka bir yasal duyuru yayınlarlar. Bunun da sebebi aslında siz zafiyet bulmaya çalışan iyi niyetli bir araştırmacı da olabilirsiniz, bütün bu iyi niyetli sıfatları kullanan ama aslında niyeti kötü biri de olabilirsiniz. Hatta ilgilenmesi gereken sayfaların dışına çıkıp hiç de ilgilenmemesi gereken yerlere burnunu sokan biri de. Bunlarında bir noktada birbirlerinden net olarak ayrılması gerekiyor. Bunu da aslında programın yapısında sağlayan yer, bu ödül avcılığı programının kurallarının yer aldığı bölüm.

ALTIN KURAL: ÇALIŞAN SİSTEME ZARAR VERME

Belirlenen bu kurallar arasında mutlaka yer alan iki temel kural vardır. Bunlardan biri kesinlikle ama kesinlikle üçüncü bir kişinin hesabı üzerinde işlem yapmamak ve çalışan sisteme zarar vermemektir. Bunun yerine sizden sahip olduğunuz test hesaplarını kullanarak bu zafiyeti göstermeniz istenir. Belki de bu duruma en iyi örnek Facebook’ta var olan bir zafiyet ile Mark Zuckerberg’in duvarında durum yayınlayıp binlerce dolar ödülü alamayan araştırmacı olabilir.

“İyi niyetle” de olsa başkasının ya da hatta başkalarının hesapları üzerinde bir şeyler yapmaya çalışıyorsanız sizin iyi niyetli olduğunuzu anlamaları, aynı bir saldırgan davranışı sergilediğiniz için o kadar da kolay değil.  Kaldı ki böyle bir iyi misin, kötü müsün değerlendirmesini yapmak zorundalar mı? O da ayrı mesele. Sistemde veya uygulamada bir zafiyetin var olduğunu göstermek için binlerce kullanıcı üzerinde işlem yapmaya çalışmak yerine kendinize ait iki tane test hesabında göstermeniz yeterlidir. Yüzlerce veya binlerce kullanıcının verisi üzerinde zafiyeti ispatlamaya çalışmanın firma tarafından olağan ya da kabul edilebilir bir durum olmadığını bilmekte fayda var ve bu net olarak kural ihlalidir.

Bunu aslında şuna benzetebiliriz; açık olmaması gerektiği halde kapısı açık bir iş yeri görmüşsünüz ve içeride de ciddi derecede gizlilik gerektiren belgeler var. Siz de kapının açık olmasına güvenerek içeri girip bütün bu belgeleri alıyorsunuz ve sonra bu iş yerinin sahibini bulup “hey dostum kapıyı açık bırakmışsın, ben de bütün belgeleri aldım. Bak ben iyi niyetliyim sana geri getirdim” diyorsunuz. Peki iş yeri sahibi bu gizli bilgileri okuyup okumadığınızı ya da bir kopyasını almadığınızı nereden bilecek? Aslında böyle bir örnekle de anlatınca bu sefer “kapıyı açık bırakmasaymış o zaman” diye bir yaklaşım geliyor ama emin olun hepimiz çok iyi biliyoruz ki yarattığımız bu sanal dünyada bu kapıların hepsini kapatmak gerçekten zor. Teknoloji, onu güvenli hale getirmemizden daha hızlı gelişiyor. Hepimiz bu kapıların o kadar da kolay kapatılmıyor oluşundan para kazanmıyor muyuz zaten…

En önemli ikinci kural ise belirlenen kapsam dahilinde bu testleri gerçekleştirmektir. Çünkü kapsam dışında bazen üçüncü parti barındırıcılarda ya da servis sağlayıcılarda yer alan sayfalar olabilmektedir.

Yine kapsam konusu içerisine giren bir diğer alt başlık da firmanın yeni satın aldığı girişimlerle ortaya çıkan iştirakleri. Teknoloji haberlerini az da olsa takip edenler bilirler ki, günümüzde büyük firmaların sadece kendi altyapıları ile bir ürün ve servis geliştirmenin yanından piyasada iyi bir ivme yakalamış ya da farklı teknolojik yaklaşımlara sahip girişimleri satın alma yoluna giderek bünyelerine katmaktadadır. Hal böyle olunca, ödül avcılığı programına sahip bir firmanın yeni bir girişimi iştirakleri arasına katması beraberinde elbette ki güvenlik ile ilgili yeni durumları beraberinde getiriyor olması sebebiyle, iyi bir programa sahip diyebileceğimiz firmalarda bu yeni iştiraklerdeki zafiyetlerin ödüllendirilmesi noktasında bir kural karşımıza çıkıyor.

Firmanın belirlediği kurala bağlı olarak, genellikle de 3-6 ay süreyle, bu yeni girişimle gelen servisler ödül avcılığı programına kısmen katılıyor. Belirlenen bu süre kapsamında girişimi satın alan ya da ortak olan firmanın güvenlik ekibi tarafından yeni iştirak tarafından kullanılan sistemler ve uygulamalar belirli analizler ve süreçlerden geçiriliyor. Bu süre boyunca, bu büyük firma ödül avcılığı programına sahip olsa bile zafiyet bildirdiğinizde herhangi bir ödül alamıyorsunuz. Bu sebeple zafiyetin bildirildiği zaman böyle durumlarda oldukça önemli. Yoksa ödül alamayabilirsiniz.

İLK GÖNDEREN KAZANIR

Bu iki temel kurala ek olarak bazı programlarda zafiyet tespiti için otomatize araç kullanımı, bu araçların anlamlı anlamsız her şeyi denemeye çalışması sebebiyle, ciddi miktarda ama gereksiz olan bir trafik yaratacağından yasaklanmış ya da sınırlandırılmıştır. Şu mantıkla da gidersek büyük teknoloji firmalarının da bir güvenlik ekipleri hatta bunlara ek ürün güvenliği ekipleri var ve onlar da bazı testleri zaten kendileri gerçekleştiriyorlar. Dolayısıyla yasak ya da kısıtlı olmasına karşın yine de otomatize araçlarla buralarda zafiyet bulmak gerçekten büyük şans olsa gerek. Onun yerine bir proxy ile uygulamanın nasıl çalıştığına odaklanıp, o mantığa göre zafiyet ararsanız hem daha başarılı olursunuz hem de büyük ölçekte uygulamaların nasıl geliştirildiği hakkında bilgi sahibi olursunuz.

Unutmayınız ki, iyi bir ödül avcılığı programında zafiyeti bildirdikten sonra bir yandan çözümlerin üretilmesi ve zafiyetin kapatılması için zaman harcandığı gibi bir yandan bu zafiyet daha öncesinde kötüye kullanılmış mı gibi bir araştırma da yapılabiliyor.

Ödül avcılığı programlarında sık karşılaşılan durumlardan biri de bildirdiğiniz zafiyetin daha önce bildirilmiş olması sebebiyle ödüllendirilmiyor oluşunuzdur. Bu oldukça can sıkan bir durum. Olayı firmalardan bizzat yüz yüze dinlemiş biri olarak şunu söyleyebilirim ki; sizin bildirdiğiniz zafiyet daha önce bildirilmiş olması durumunda sizin bu zafiyeti gerçekten kendiniz mi bulduğunuz yoksa size birinin söylemesi üzerine mi bildirdiğiniz noktasında herhangi bir ölçüm yapılamadığı için ilk gönderen kazanır ilkesi üzerinden gidiliyor. Ancak zamanla yeni platformlarda şeffaflık konusuna daha dikkat edildiği için en azından size daha önce bildirilmiş denilen zafiyetin de gerçekten daha önce bildirilip bildirilmediğinin takibini yapabiliyorsunuz.

İYİ RAPOR YAZAN BONUSU KAZANIR

Günümüzde birçok program araştırmacıları teşvik etmek ve motive etmek için size bazı ek sıfatlar veya ödüller verebiliyor. Böylece diğerlerinden farklı bir konumda olmanız hem sizi yeni araştırmalarınız için motive ediyor hem de firmanın sizi ya da yeni insanları teşvik etmesi noktasında ciddi bir etkisi oluyor. Ek olarak sürekli bir program için çalışıyor olmanız, firmaya bir sadakat göstergesi olduğu için, bazen ödüllendirme konusunda daha cüretkar olabiliyorlar. Daha önceki çalışmalarınızı da bildiklerine sizi hayal kırıklığına uğratmak yerine yine ödülle teşvik etmeye çalışıyorlar. Hatta gönderdiğiniz raporlara olan güven de artıyor. Yine kazan-kazan ilkesi. Çünkü bu alanda büyük kısmı var olmayan zafiyetlerin bildirilmesi gibi sahte raporlar kapsıyor. Hepsine ek olarak programa belirli bir sadakatiniz varsa ve daha önce gönderdiğiniz raporlar belirli bir kalite de ise henüz herkese duyurulmayan yeni özellikleri test etme şansına da sahip olabiliyorsunuz.

Yine iyi bir ödül avcılığı programında eğer para ödülü teklif ediliyorsa, daha önce belirttiğim şeffaflık sebebiyle, hangi zafiyetin ne kadar ücretle ödüllendirileceği açık bir şekilde bildirilir ve istisnai durumlarda (ör. raporunuzun çok güzel yazılmış olması ya da zorluğu sebebiyle oldukça etkileyici bir zafiyet olması) bu tabloda belirtilen ödüllere ek olarak bonus ödüller elde edebilirsiniz.

Bu ödül cetveli detayına sahip firmalarda bir de aynı zafiyetin daha önemli olduğu düşünülen yerlerde, daha önemsiz olduğu düşünülen yerlere göre daha fazla ödüllendirildiği gözlemlenmektedir. Ya da bir alt alan adında o zafiyetin olması çok önemli görülmemesi ya da değersiz olarak görülmesine karşın daha çok etkiye sahip olduğu başka bir yerde en önemli zafiyet bile olabilir.

BAZI ÖDÜLLER SİGORTALI İŞTEN DAHA İYİ KAZANDIRIR

Tüm bu süreçlere ek olarak da bir de ödülün size ulaşması aşamasına değinmek gerek. Unutmayın ki verilen ödül bir mecburiyet değil, harcadığınız emeğe bir teşekkürdür.

Bugüne kadar bu programlar vasıtasıyla milyonlarca dolar ödül dağıtılarak binlerce kişiye teşekkür edildi. Bu ödüller çoğu ülkenin gelir düzeyine göre oldukça iyi miktarlarda olduğu için ciddi bir ekonomiye de sahip. Bazı durumlarda sigortalı bir işe girip çalışmaktan kat be kat fazlasını kazanabilirsiniz.

Birçok firma bu ödülleri belirli bir bütçe dahilinde verdiği için size ödemiş olduğu ödülü bulunduğu ülkenin yasaları çerçevesinde belirli süreçlerden geçirmesi gerekiyor. Dolayısıyla ödemeyi SWIFT ya da PayPal gibi yasal yollardan yapmayı tercih ediyorlar. Eğer firmanın bulunduğu ülke başka ülkelere ekonomik yaptırımlar ve ambargolar uygulaNmıyorsa  (ör. Amerika menşeili firmalar Küba, Suriye, Kuzey Kore gibi ülkelere ödeme yapmıyor) ödülü almanıza herhangi bir sıkıntı yaşamıyorsunuz. Bitcoin borsası olup da ödül avcılığı programı başlatan firmalar dışında, büyük çapta olup BTC ile ödeme yapan firma yok diye biliyorum.

Bu yollarla elde ettiğiniz gelir bir kazanç olduğu için kazanç vergisi kapsamına giriyor. Dolayısıyla bu vergiyi bazı durumlarda firma karşıladığı gibi bazı durumlarda sizin kazancınız üzerinden kesinti yapılıyor ya da siz ödüyorsunuz. Bu o firmaya ve bulunduğu ülkeye göre değişebilen bir durum. Ek olarak bulunduğunuz ülkenin, firmanın bulunduğu ülke ile olan vergi anlaşmalarını da gözden geçirmekte büyük fayda var.

Tüm bunlardan sonra sizin isminizi sitelerinde yayınlayıp teşekkür ettiklerinde bunun size bir de güzel manevi bir getirisi oluyor. Araştırmacının vatandaşı olduğu ülke ile ilgili ortaya çıkan bir sorunu veya engellemeyi bugüne kadar hiç duymadım. Benim de ismimde bazı Türkçe karakterlerin çok olması sebebiyle ismimi İngilizce karakterlerle yazmak istemeleri gibi bir istek dışında açıkçası başka bir olayla karşılaşmadım. Bunu da oldukça normal bir istek olarak değerlendiriyorum. Çünkü her dilin kendine has harfleri olabiliyor.

Ülkemizden ödül avcılığı programlarına katılan ve oldukça başarılı olan genç arkadaşlarımız var. Kendilerinden teker teker bahsedemesem de hepsini ayrı ayrı tebrik ediyor, başarılarının devamını diliyorum.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]

 

Makale & Analiz

CEO’ların dijital çağda yaşam savaşı

Yorum yapın

Yazarımız Burak Sadıç’ın, PwC 20. Küresel CEO Araştırmasından derlediği İngilizce makalesinin Türkçe çevirisini ilginize sunuyoruz:

Geçtiğimiz 20 yıl boyunca CEOlar, küreselleşme ve teknolojik değişimin sonucu olan muazzam gelişmelere tanık oldu. Dünya genelindeki yaklaşık 1.400 CEO, bu değişimin büyüme, yetenek, güven ve toplum üzerine etkileri konusundaki görüşlerini PwC’nin 20.sini yayınladığı Küresel CEO Yıllık Araştırması’nda paylaştı.

Araştırmaya katılan birçok CEO, giderek dijitalleşen dünyada işletmelerin insanların güvenini kazanmasının ve kazandığı bu güveni sürdürmesinin gittikçe daha zor olduğuna inanıyor.

Ayrıca CEOlara göre, şirketlerini hem daha geniş paydaş beklentilerine hitap eden bir şekilde yönetmek hem de örgütün değer, kültür ve davranışının yansıtılabileceği güçlü bir kurumsal amaç oluşturmak gittikçe daha önemli hale geliyor.

Peki bu bağlantılılıktan kaynaklanan risklerden en çok hangileri CEOları endişelendiriyor?

Ne zaman ‘teknoloji’ ve ‘güven’ kelimeleri aynı cümle içerisinde kullanılsa, çoğumuz otomatik olarak şöhretlerin bir gecede kitlesel iletişim yollarıyla nasıl elde edilip kaybedildiğini düşünürüz.

CEOların yüzde 87’si aslında sosyal medyanın önümüzdeki beş yıl içinde paydaşların güven düzeyini olumsuz yönde etkileyebileceğine inanıyor.

Ancak, raporda CEOlar yeni ve mevcut teknolojilerin kullanımı yaygınlaştıkça, yeni tehlikelerin ortaya çıktığını, eskilerin ise daha kötüye gittiğini ifade ediyor.

Birçok şirketin, spesifik müşterilerini hedeflemek ve de onların davranışlarını çoğunlukla çok ince şekillerde etkilemek için devasa miktardaki müşteri bilgisini halihazırda toplamış olması hiç de şaşılacak bir durum değil artık.

Türkçeye ‘Nesnelerin İnterneti’ diye çevrilen Internet of Things (loT) giyilebilir nesnelere, otomobillere ve evin akla gelebilecek her parçasına kadar her şeye yayılırken, şirketlerin insanlar hakkında bildikleri de katlanarak artacak.

İlgili haber >> IBM X-FORCE raporu: Dünyanın botnet haritası ve nesnelerin İnterneti

Bu veriler, şirketler ve müşterileri için inanılmaz birer varlık. İşletmelerin daha iyi bir hizmet sunmasını, müşterileriyle daha yakın ilişkiler geliştirmesini ve onların güvenini kazanmasını sağlamakta yardımcı oluyorlar. Müşterilerin daha hedefli teklifler almasına ve şirketlerle daha anlamlı şekilde ilişki kurmasına olanak tanıyorlar.

Ancak, bir şirket, müşterilerin ihtiyaçlarını tahmin etmek ile gizliliklerine müdahale etmek arasındaki çizgiyi aşarsa ya da bir hükümet güvenlik risklerini kontrol etmek için verilere erişmeye çalışırsa ne olur?

Veriler kaybolur ya da çalınırsa ve suçluların eline geçerse ne olur? Daha da kötüsü, otomobiller ve evler giderek birbirine bağlı hale geldiğinden, insanların fiziksel güvenliği tehlikeye atılabilir.

İş yerinde verilerin gittikçe artan bir şekilde kullanımı yeni güven sorunlarını da beraberinde getiriyor.

İK departmanları veri analitiklerinin kullanımını yavaşça ama emin adımlarla arttırdıkça, yetenek yönetimi yarım yamalak bir sanat dalından bilime dönüşüyor.

Ancak çalışanların iş ve iş dışı faaliyetlerini izlemek durumu çabucak tatsız bir hale getirebilir. Peki şirketlerin topladığı bilgilerin limitleri nelerdir? Çalışanın ödülleri veya cezaları ile ilgili kararlar alırken bu verilerin kullanımı ne kadar şeffaftır?

CEO’lar durumun karmaşıklığının farkındalar.

Yüzde 91’i veri gizliliği ve etik ihlallerinin önümüzdeki beş yıl içinde paydaş güvenini olumsuz yönde etkileyeceğini, yüzde 89’u ise halihazırda konuyla ilgili adımlar atmaya başladıklarını iddia ediyor.

Bununla birlikte, en büyük şirketlerin CEO’ları küçük firmalara kıyasla bu sorunların üzerine daha fazla eğiliyor.

Güvenlik ihlalleri müşteri verileriyle sınırlı kalmıyor; siber casusluk bazı sektörler için büyük bir tehdit oluşturuyor. Altyapı, enerji ve bankacılık gibi kilit alanlarda faaliyet gösteren işletmeler özellikle saldırılara en açık olanlar.

Bu durum, pek çok CEO’nun, neden işle ilgili kritik bilgi ve sistemleri etkileyen ihlallerin kamu güvenini de bozabileceğinden endişe ettiğini açıklıyor. Büyük çoğunluk zaten bu tür sorunları önlemeye yönelik adımlar atıyor lakin bu konuda da en aktif olanlar yine büyük firmalar.

Bilişim Teknolojilerinin kesintiye uğraması ise başka bir endişe kaynağı…

Teknolojiye aşırı bağımlı olan bir dünyada ışıkların kesilmesi çok sarsıcı sonuçlar doğurabilir.

Müşteriler paralarına ihtiyaç duyduklarında paralarına erişemezse veya akıllı evlerinde kilitli kalırlarsa ne olur?

Bu tür olayları düşünmesi bile oldukça rahatsız edici, fakat bunlar, teknolojiye daha bağımlı hale geldikçe ortaya çıkacak fiziksel risklerin yanında önemsiz kalıyor. Örneğin, bir veya daha fazla akıllı arabada bir bilgisayar hatası sonucu meydana gelebilecek kazayı düşünün.

Birçok CEOnun IT kesintileri ve aksamalarının paydaşların güvenini etkileyebileceğinden korkmaları ve konuyla ilgili harekete geçmeleri oldukça normal.

Fakat bu tür risklere dikkat etmek gün geçtikçe daha zorlaşıyor. Kurumsal sistemlerin karmaşıklığı ve birbirine bağımlılığı büyük bir soruna dönüşüyor.

Dijital çağ için bir güven stratejisi

Bazı açılardan dijital bağımlılık bizi daha güven dolu bireylere dönüştürdü. Örneğin paylaşım ekonomisini düşünün; artık daha çok insan yabancıların evinde kalmasına ya da daha önce hiç duymadığı işletmelerden ürün satın almaya sıcak bakıyor.

Diğer açıdan ise, dijital bağımlılık yeni tehditler oluşturarak ve kuruluşları daha fazla incelemeye maruz bırakarak güven zedeliyor.

Teknolojinin gittikçe artan karmaşıklığı şirketlerin güven oluşturmasına ya da kaybedilen güvenin yeniden inşa edilmesini daha güç hale getirdi.

Ve her firma bu durumun üstesinden gelemiyor, bu yüzden etkin kriz yönetimi sağlam risk yönetimi kadar önemlidir.

Güven sadece risk değil aynı zamanda da bir fırsattır. 

Birçok CEO, firmalarının verileri nasıl yönettiğinin gelecekte ayırıcı bir faktör olacağına inanıyor.

Ve bu CEO’lar, giderek daha sanal bir dünyada insan deneyimine öncelik verilmesinin, müşterilere dürüstlükle davranılmasını zorunlu hale getirdiğinin de artık çok iyi farkında.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]

 

Makale & Analiz

Hangi rüzgar Kaspersky’i Ankara’ya attı?

1 Yorum

‘Timing is Everything’ Garrett Hedlund’ın 2010 yılında çıkan parçasının ismi. Bu parçayı benim aklıma getiren ise geçen hafta Ankara’da düzenlenen 2. Kaspersky Siber Güvenlik Zirvesi’ne aldığım davet.

Gerçekten de hem yerli yazılım konusunun gündemde sıcak bir şekilde tartışıldığı bir zamanda hem de Türk Rus ilişkilerinin krizi atlatıp çok daha sağlam ilerlemeye başladığı süreçte sadece kamu kurumlarına yönelik, Eugene Kaspersky’nin bizzat katıldığı bir etkinliği hiçbir şey daha iyi özetleyemezdi.

Geçtiğimiz hafta Çarşamba günü Ankara’da düzenlenen Kaspersky Siber Güvenlik Zirvesine katılım oldukça yüksekti. Otelin büyük salonunu dolduran kalabalığa konuşan Kaspersky Türkiye Genel Müdürü Sertan Selçuk, geride bırakılan kriz dönemini boş geçirmediklerini ve bu dönemde insana yatırım yapmayı stratejisinin ekseni haline getirdiklerini aktardı. Ufak bir de ayrıntı veren Selçuk, Cumhurbaşkanı Erdoğan’ın çağrısından çok önce Kaspersky ürünlerini Türk Lirası ile satmaya başladıklarını belirtti.

Selçuk’un konuşmasına devam ettiği sırada salonun ön kapısından Kaspersky giriverdi içeri. Yerine geçmeden önce ayakta beklemesi dinleyiciler arasında bunun klasik bir PR jesti olduğu fısıltılarının yükselmesine neden oldu. Konuşmasını sonlandırmadan Kaspersky Türkiye Müdürü ülkemizde 300’den fazla kamu kuruluşunda ürünlerinin bulunduğunu da hatırlattı. Bu arada salonda kritik kurumlarda çalışan görevlilerden büyükşehir belediyelerinin IT sorumlularına kadar geniş bir kitleyi bir araya getirmeyi başaran organizatörleri de tebrik etmek lazım.

İlgili biyografi >> Siber dünyanın Deli Petro’su Kaspersky

Eugene Kaspersky sahneye çıkmıyor adeta zıplıyor. 52 yaşındaki iş adamı enerjisini salona yansıtmakta gayet başarılı. Genel olarak siber tehditlerden bahsettiği sunumuna yerel ögeler sıkıştırmayı da ihmal etmedi.  Örneğin siber suçların küresel ekonomiye yıllık maliyetini 500 milyar dolar olduğunu söylerken, bu parayla 167 adet Yavuz Sultan Selim Köprüsü inşa edilebileceğini anlattı. Yaşadığımız çağı insanlığın Orta Çağ’ına benzetti. O zamanda yeni buluşlar (tekerlek gibi) ortaya çıkıyordu fakat bunların güvenli bir şekilde kullanımı ikinci planda kalıyordu, diyen Kaspersky konuşmasında siber tehditleri anlatırken belli başlı siber sabotajlara değindi. Rusya’nın faili olduğu Estonya (2007) ve Ukrayna (20014-15) olaylarını sıralarken gözler Güney Osetya Savaşı sırasında (2008) Rusya’nın düzenlediği siber operasyonları aradı. Dikkatimi çeken başka bir nokta da SWIFT saldırılarından bahsederken Kaspersky’nin Rusya Merkez Bankası’nı vuran (Akbank olayından bir hafta önce) 31 milyon dolarlık saldırıyı listeye koymaması oldu.

Konuşmasının sonunda geleceğe yönelik öngörülerini sıralayan Kaspersky, siber alandaki tehdit ortamının hızla fiziksel-siber alana doğru evrildiğini ve buna karşı koymak için siber bağışıklılığı olan sistemler dizayn edilmesi gerektiğini ifade etti. Kaspersky’nin verdiği izlenim yakın zamanda sadece ürün geliştirici olmanın dışında, Mandiant tarzı bir yapılanmayı da bünyesinde güçlendirmeye başlayacağı. Diğer taraftan siber-fiziksel yakınsamasında Türkiye’de özellikle kritik altyapılar alanında ciddi bir pazar olduğu aşikâr. Öyle anlaşılıyor ki, Türkiye’de bir nükleer tesis inşa etmekte olan Rusların öncü siber güvenlik firması bu boşluğu doldurmaya kararlı. Kaspersyky konuşmasından sonra aynı hızla bir sonraki konuşmacıyı dinlemeden salondan ayrıldı. Geç gelip erken çıkması sanılanın aksine bir jeste değil, sıkışık bir ajandanın sonucu.

Zamanlamanın bu kadar iyi ayarlanabildiği başka bir etkinliğe yakın zamanda şahit olacağımızı tahmin etmiyorum. Bunun iki nedeni var. Birincisi zirvenin Türk-Rus ilişkilerinin Kasım 2015’deki uçak krizini atlatıp güçlenmeye başladığı bir döneme denk gelmesi. İlişkilerimiz öyle bir düzeye ulaştı ki, Rus uçaklarının Suriye’de Türk askerini ‘kazaen’ vurması dahi bu ilişkileri sarsamıyor.

İlgili yazı >> Sizce Rus hackerlar şimdi ne yapıyordur?

İkinci faktör ise, Türkiye’de özellikle 15 Temmuz’dan sonra hemen her platformda (sosyal medya, TV, dergi, gazete) yerli yazılım konusunun tekrar ediliyor olması. Yerli yazılıma geçmemiz gerektiğini şiddetle savunan ciddi bir kesim bulunuyor. Yerli ve milli yazılımın tanımını tartışmayı başka bir yazıya (belki de röportaj?) erteleyip, yabancı yazılımdan ne anlaşıldığını irdelemek istiyorum. Verilen örnekler WhatsApp ve Facebook gibi günlük yaşamın vazgeçilmezi haline gelmiş ürünlerin kişisel mahremiyetimize yönelik tehditleri. Yıllardan beri süregelen ‘Biri Bizi İzliyor’ haklı çekincesinin, 15 Temmuz sonrasında uçuşa geçen Batı (Amerikan) karşıtlığı ile kombine edilmiş hali sadece Batılı teknoloji firmalarına yönelik bir dışlayıcı farkındalık oluşmasını mı sağlıyor? Başka bir deyişle Batılı olmayan ülkelerin ürettiği yazılımlara da yabancı diyor muyuz? Örneğin Mısırlı bir şirketin ürettiği anti-virüs yazılımı da aynı şekilde antipatik bulunup, dışlanması istenecek mi Türkiye pazarından?

Bence tam da bu algı bulanıklığı sürecinde Kaspersky ‘güvenilir’ bir Batı-dışı kaynak izlenimi verebilmeyi başarmak için çaba sarfediyor.

Stratejilerin temelini kavramların nasıl tanımlandığı oluşturur, bugün Türkiye yerli/yabancı yazılımın tanımını düşman/rakip ülke temeline dayandırırsa yarın siyasi arenadaki değişimler sonucunda bu kavramların altındaki halı da kaymış olur.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]
Makale & Analiz

Trablusgarp Savaşı’nın CyCon açılışında ne işi var?

Yorum yapın

Trablusgarp Savaşı’na veya dünya harp tarihindeki adıyla İtalyan-Türk savaşına lise kitaplarından aşinayız. Mustafa Kemal’in yerel halkı örgütleyerek İtalyanlara karşı gayri nizami harp örneği sergilediği savaş hiçbir şekilde sıradan değildi ve birçok ilk bu savaşta gerçekleşmişti. Öyle ki, dünyanın en büyük stratejik siber güvenlik konferansı olan CyCon’un bu seneki açılış konuşmasına konu oldu.

Konferansın organizatörü Müşterek Siber Savunma Mükemmeliyet Merkezi’nin (CCD COE) ilk sivil direktörü olan Sven Sakkov konuşmasının hemen başında 1911’deki savaşta kritik bir ismi anıyor; İtalya saflarında savaşan ve ilk kez hava bombardımanı yapan Giulio Gavotti.

İlgili yazı >> NATO’nun ilk sivil siber güvenilk direktörü: Sven Sakkov

Gavotti bir hava görevi sırasında komutanından izinsiz olarak tek motorlu uçağına 4 el bombası alıyor. Keşif için Osmanlı Ordusu’nun kamp yaptığı yerlerin üzerinden geçerken bombaları aşağıya bırakıyor. Olay sonunda herhangi bir yaralanma ya da ölüm meydana gelmiyor ama Gavotti ilk hava saldırısını yapan asker olarak tarih geçiyor. Bu hadisenin günümüz siber güvenlik tartışmalarına birinci benzerliği tam da burada. Gavotti de günümüz hackerları gibi otoriteyi sevmiyor, kural dışına çıkmakta fayda görüyor, konvansiyonel olmayan yolların asimetrik etki oluşturacağına inanıyor.

İlgili haber >> FBI otçu hackerlara muhtaç mı kaldı?

Olay sonrasında Osmanlı uluslararası hukuka başvuruyor. Savaş hukukunu düzenleyen 1899 Lahey Konvansiyonu’na göre hava saldırılarının hukuk dışı olduğunu savunuyor. Buna karşın İtalyan tarafı söz konusu dokümanın sadece ‘balonlar’ (Kapadokya’dakiler gibi) tarafından yapılan hava saldırılarını hukuk dışı olduğunu savaş hukukunun henüz uçakla yapılan hava saldırılarıyla ilgili bir hükmünün olmadığını karşı tez olarak masaya koyuyor. Alın size siber alan ve Trablusgarp Savaşı ile ilgili ikinci benzerlik. Mevcut savaş hukukunu siber alanın ortaya çıkardığı yeni sorunlarla başa çıkmak için yoğun çalışmalar yapılsa da siber alandaki değişime uluslararası hukukun yetişmesi mümkün değil. Bunu ABD seçimlerini etkileyen siber operasyonların uluslararası hukukta bir karşılığının olmamasıyla da bir kez daha fark ettik. Bu arada şunu not etmekte fayda var, CCD COE siber savaş hukuk adına yaptığı çalışma olan Tallinn Manuel’in ikinci versiyonu da çok sayıda uzmanın katılımıyla hazırlandı ve 2 Şubat’ta yayınlandı.

Gavotti’nin 1911 yılında düzenlediği saldırı, havacılık tarihinde bir çığır açıyor. Hava kuvvetlerinin düşmana karşı sağlayacağı üstünlük bazı askeri yetkililer de o kadar büyük bir heyecana neden oluyor ki, ABD Hava Kuvvetleri’nin babası sayılan Billy Mitchell kara ve deniz kuvvetlerini daha önemli görerek hava kuvvetlerine yeterli yatırım yapmayan komutanlarını ‘ihanet’le suçluyor. Eleştirinin dozunu ayarlayamayan Mitchell hava kuvvetlerine daha fazla yatırım yapılması için adeta savaşıyor. Eleştirinin dozunu kaçırmış olacak ki, rütbesi tuğgenerallikten albaylığa düşürülüyor. Bir süre sonra ordudan ayrılan Mitchell öldükten sonra(!) ödüle boğuluyor.

Mitchell’in düşüncesine göre hava kuvvetleri ordular içerisinde o kadar büyüyecekti ki, kara ve denizin yerini alacaktı. Öyle olmadı ayrı bir muharebe alanı olarak diğerlerinin yanından yerini aldı. Tıpkı şimdilik siber alan gibi. Takip edenlerin bileceği gibi ‘siber savaş’ kavramına yönelik akademik meydan okumalardan biri olan ‘Cyber War Will Not Take Place’ kitabının yazarı Thomas Rid, günümüzde yaşanan siber operasyonların geleneksel savaş kavramına oturmadığından ‘siber savaş’ adlandırmasını reddederek yaşananların ancak sabotaj seviyesinde olabileceğini savunuyor. Fakat günümüzün Billy Mitchell’ları siberin diğer muharebe alanlarına girintili olduğunu, yani deniz kara ve hava araçlarının siber alandan kontrol edildiğini- belirterek diğer alanları domine edeceğini ileri sürüyor.

Sakkov’un konuşmasının uyandırdığı düşünceler bunlar. Tabi Trablusgarp savaşı demişken, Mustafa Kemal ve Enver Paşa gibi önde gelen komutanların yerli halka gerilla eğitimi vererek teknolojik ve askeri açıdan daha üstün olan İtalyanlara ağır kayıp verdirmesi de pekala siber alana uyarlanabilecek bir örnek. Büyük devletler için siber alan stratejilerindeki yumuşak karın teknolojik ve askeri anlamda daha zayıf fakat siber kabiliyetlerini geliştirmiş ülkelerle nasıl mücadele edileceği. ABD’nin bugün her alanda üstünlük sağladığı İran ve Kuzey Kore’ye siber alanda kimi olaylarda yenik düşmesi bu durumun göstergesi. Diğer mesele ise, gerilla eğitiminden geçmiş milis kuvvetlerin oluşturacağı oyun değiştirici etki.

Bunlar üzerinde düşünce üretilmesine ciddi şekilde ihtiyaç var; sadece Türkiye’de değil dünyada da…

CyCon 2016’da yapılan tüm sunumları buradan izleyebilirsiniz https://ccdcoe.org/cycon/2016/

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]