Siber güvenlik ile ilgili organizasyonları uzun sayılabilecek bir süredir takip eden biri olarak, bu tarz teknik ve akademik anlamda donanımlı isimleri ve nitelikli bir kalabalığı bir araya getiren etkinlikleri özlediğimi söylebilirim. Son zamanlarda düzenlenen çoğu etkinlik ne yazık ki bundan uzak, ürün ve reklam odaklı, alanına çok da hakim olmayan veya devlet özelinde yeni bir atanmayla bu alanla ilgilenmeye başlamış insanların, aynı konular üzerinde, çoğunlukla da aynı sunumları kullanarak konuşması şeklinde ilerliyor. Herkese söz verelim, gerek katılımcı gerek konuşmacı herkesi misafir edelim derken alanla ilgili bilgisi kısıtlı geniş kalabalıklar bir araya geliyor ve sonuçsuz bir dinleti ortaya çıkıyor. Önceki gün bu döngünün kırılması açısından oldukça yararlıydı, sonuna kadar bulunma imkanı bulduğum TOBB-ETÜ Siber Güvenlik Günü’nde konuşmacıların değindiği, başlıca ilgimi çeken noktaları sizlerle de paylaşmak istiyorum.
Etkinlik Doç. Dr. Hüsrev Taha Sencar’ın dosya arama/kurtarma olarak çevirebileceğimiz ‘file carving’ odaklı sunumuyla başladı. Sencar, bu alanda çalşanların karşısındaki dört ana zorluğu şifreleme (kendiliğinden şifreli diskler), her bloğun taşıdığı dosya tipinin içindeki data tipini tespit edecek jenerik yöntemlerin yokluğu, dosya fragmanentasyonu ve yetim dosya verileri (partial file data) olarak özetledi. Bir sürü birbirinden ayrı yapboz parçasını, paralel olarak anlamdırıp, kurtarabilir miyiz sorusunu araştıran Sencar, fragmentasyona karşı bir araya getirme (re-assembly) tekniklerinin farklı tiplerdeki dosyaları anlamlandırıp, kurtarmada ancak %70’e kadar başarı sağlayabildiğinin, bunun da hala düşük bir başarı oranı olduğunun altını çizdi. File carving kontekstindeki JPEG vurgusundan dolayı, çoğu dosya tipinin göz ardı edildiğinden veya manuel olarak analiz edildiğinden bahseden Sencar, adli bilişimde başarılması gereken en önemli konulardan birinin bir data bloğunun içerisinde işe yarar bir şey olup olmadığını hızlıca anlamlandırmak, bu doğrultuda incelemeye devam etmek olduğuna da değindi.
Zararlı yazılımların sınıflandırılması mümkün mü?
Symantec araştırmacısı Dr. Leyla Bilge’nin sunumu benim için en ilgi çekici iki sunumdan biriydi. Siber güvenlikte kabullenmemiz gereken yeni bir döneme vurgu yaptığı sunumunda Bilge, 80 milyon yeni zararlı yazılımdan bahsederken bu zararlı yazılımlar içinde üç öne çıkan kategori paylaştı: fidye yazılımları (ransomware), espiyonaj yazılımları ve sabotaj yazılımları. Bilge, fidye yazılımlarının büyük şirketleri hedef almaya başladığı ölçüde önem kazandığını, büyük şirketlerin de bu parayı çoğunlukla ödemeyi tercih ettiğini belirtti. Siber espiyonajın devlet destekli saldırganlar tarafından yürütüldüğü düşünüldüğünü (Çin, Rusya, ABD, İngiltere vb.) açıklayan Bilge, amacın çoğunlukla devlet ya da şirket sırlarını ele geçirmek olduğunu da söyledi. Sunumunda en sık rastlanan iki espiyonaj tekniğini paylaşması önemliydi, bu saldırı teknikleri spearphishing (bir hedef belirleyip, bu hedefe özel içerikte, güvenilir bir kaynaktan geliyor gibi gözüken bir mail, link vb. atılması) ve watering hole sites (yine hedefe yönelik, hedefin rutin ziyaret ettiği sitelerin takibi yapılarak, bu sitelerden herhangi birinin arayüzünde bir zararlı site linkinin paylaşılması) olarak sıralanabilir. Sabotaj yazılımlarının genellikle kritik altyapıları ve askeri tesisatı hedef aldığına değinen Bilge, Shamoon, Jokra, Stuxnet/Duqu, Estonya siber saldırılarını sabotaj örnekleri arasında paylaştı.
Bilge’nin sunumdaki önemli noktalardan biri, mevcut zararlı programların her birinin türünü tespit edip kategorilendirmenin mümkün olmamasıydı. Bu noktada tespit işini tam otomatize etmek önemli diyen Bilge, zararlı yazılımı önleme, yakalama, analiz tekniklerinin çoğu gerçek hayatta kullanılmadığını söyledi. Tam da bu nedenle siber güvenlikte yeni bir çağa ihtiyacımız olduğu gerçeğini ortaya çıkaran sunumda, eski kafa teknikler yerine, geçmiş saldırılar ve zararlı yazılımların incelenmesi ışığında daha işlevsel bir ‘prediction’ sistemi kurmanın, saldırganların hedef alacağı bilgisayarları, sistemlerin olası açıklıklarını ve sistemdeki zayıf kişileri önceden tahmin edip, daha karmaşık zararlı yazılım sistemlerini aktive edebilme adına daha önemli olduğu belirtildi. Bilge’nin güldüren tespiti, yine zararlı yazılımlara yönelikti: “zararlı yazılımlar volkswagen gibidir, test edildiklerini hissederlerse sonuçları değiştirebilirler”.
Milli sosyal ağ eksikliği
Etkinlikte ikinci favori sunumum Prof. Dr. Engin Kırda’ya aitti. Sistem güvenliği özelinde konuşan Kırda, bugünün saldırılarına baktığımızda, saldırıların hala kolay, düşük riskli ve saldırganların yakalanmasının zor olduğunu belirtti. Bazı araştırmacıların, bütün güvenlik sorunlarını sil baştan yaparak çözebileceğimize inandığına değinen Kırda, tek bir çözüm olduğuna inanmıyorum dedi, bu anlamda geçmişin, bugünün ve geleceğe yönelik araştırmaların sentezine, pratik çözümlere ve mevcut kod ve sistemleri daha iyi anlamaya ihtiyacımız olduğunu söyledi. Kırda’nın öne çıkardığı üç tehdit alanı oldukça önemliydi. Bunlardan ilki olan mobil tehditler konusunda Kırda, geleneksel tehditlerin mobil ortama taşındığını, yeni tehditlerin özellik, gizlilik ve mahremiyete yönelik olduğunu belirtti. İkinci olarak değinilen sosyal ağlar konusunda Kırda, tek bir sosyal paylaşım sitesine tüm bilgilerinizi vermeseniz de, farklı farklı ortamlarda paylaştığınız bilgilerin bir araya getirilip, hakkınızda büyük resme ulaşmanın mümkün olabileceği tespitinde bulundu. Bu başlıkta bir diğer önemli tespit, Türk halkının teknolojiye çok açık, kolay benimseyip kullanmaya başladığı, ancak aynı ölçüde de kullanılan teknolojiyi umursamadığı yönündeydi. Çin ve Rusya gibi ülkelerde bu durum böyle olmadığını, sosyal ağları ulusal güvenliğe etkisi olabilecek bir mesela olarak değerlendirip, milli sosyal ağlar yaratmaya yönelindiğini aktaran Kırda, bu konuda Türkiye’nin bir girişimi olmadığından bahsetti.
Bulut servislerinin kendisi mi düşman?
Kaan Onarlıoğlu ve Dr. Melek Önen tarafından aktarılan son iki sunum oldukça teknikti. Takip etmem teknik odaklılığı ve ilgi alanımın dışında kalması nedeniyle çok kolay olmayan ilk sunumda ana başlık, işletim sistemlerine ‘privacy’ özelliklerinin nasıl eklemlendirilebileceği özelindeydi. Önen’in sunumu ise Bulut’taki veri kaybı ve veri ihlali sorunlarını özelinde ilerledi. İhtiyaçların gizlilik, bütünlük ve big data’ya yönelik alınması gerektiğini belirten Önen’in, hala daha çok erken aşamasında olan Bulut’a dair, “düşman bulutun kendisi mi, buluta güvenmeli miyiz, güvenmemeli miyiz?” sorularını sorması önemliydi. Bir tam gün süren etkinlikten ayrılırken kafamı en çok kurcalayan Kırda’nın sunumu oldu. Türkiye’de bilgisayar bilimi alanının diğer alanlara göre daha geride olması, üniversiteler özelinde yayınların dergi odaklı teşvik edilmesine bağlı olarak, asıl olayın döndüğü konferanslara katılımın geri planda kalması ve bu alana yönelik derslerdeki eksiklikler meselelerinin her biri, dinleyiciler arasında bulunan akademi, sektör ve devlet çalışanları tarafından benim kadar etkileyici oldu mu bilmiyorum, öyle olmasını umuyorum.
HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN DOLDURUNUZ
[wysija_form id=”2″]
Kaan hocamın sunumundan çok az bahsedilmiş ama benim en çok beğendiğim sunumlardandı. Akademik çalışmalarla mühendisliği çok güzel birleştirip pratikte kullanılabilir işler yapmışlar. Kısaca bahsetmek gerekirse sunumda aşağıdaki 3 çalışmasından bahsetti Kaan:
– PrivExec: Private Execution as an Operating System Service: OS seviyesinde proses izolasyon vesilesiyle mahremiyet.
– Overhaul: Input-Driven Access Control for Better Privacy on Traditional Operating Systems: Anti-click-jacking ama tüm inputlar için(mikrofon, camera vs) ve sistem seviyesinde.
– Toward Robust Hidden Volumes using Write-Only Oblivious RAM – Bu biraz fazla ilerici olmuş, keywords: encryption, plausibly deny, more powerful adversaries with multiple-snapshot capabilities
Çalışmasının detayları ve çıktıları (paper, source code vs) sitesinden ulaşılabilir:
http://www.onarlioglu.com/
Oldukça teknik bir sunum olduğundan sizin kadar kapsamlı takip edip aktaramadım, eklemeniz için teşekkürler.