Türkiye’de birkaç senede bir gündeme gelen ‘yerli milli yazılım’ konusu sadece ülkemizde tartışılmıyor. Özellikle Çin nüfusuna dayalı büyük pazar olma özelliğiyle bir yandan teknoloji şirketlerinin ağzını sulandırırken, diğer taraftan da kabul edilmesi zor şartları şirketlerin önüne koyuyor. Serbest piyasa ekonomisinin hayat bulduğu ABD’de dahi yabancı yazılımlar yasaklanarak yerlerini ABD menşeli güvenlik ürünlerine bırakması isteniyor. Peki güvenlikçiler bu konuda ne düşünüyor?
Estonya’nın başkenti Tallinn’de onuncusu düzenlenen stratejik siber güvenlik konferansı CyCon’a keynote konuşmacısı olarak katılan Bruce Schneier ilham verici ve çok iyi yapılandırdığı konuşmasında Türkiye’de de sıklıkla gündeme gelen ‘yerli-milli’ teknoloji konusu hakkında fikirlerini paylaştı.
Dünyaca ünlü güvenlik uzmanı Schneier, teknolojinin gelişimi ile ilgili olumsuz fikirleri ile biliniyor. Son zamanlarda yaptığı ‘IoT’nin gelişmesi durdurulmalı’ uyarısı bunun en iyi göstergelerinden birini oluşturuyor. Yerli-milli teknoloji ile ilgili görüşlerinden önce Schneier’in ufuk açısı konuşmasından bazı notları sizler için derledik:
Tüm dijital aygıtlar birer bilgisayar halini aldı. Örneğin cebinizdeki telefon değil, sizin başkalarını aramanızı sağlayan bir bilgisayar, arabalar artık dört tekerleği ve motoru olan bilgisayarlar, ATM’ler içinde para olan bilgisayarlar… Dolayısıyla geleneksel olarak İnternet Güvenliği olarak bilinen kavram artık ‘Her Şeyin Güvenliği’ olarak değişti ve bu alanda kazanılan tecrübe daha geniş bir uygulama alanı buldu.
“İnternet güvenliği ‘Her Şeyin Güvenliği’ne dönüşürken aşağıdaki derslerden faydalanılması gerekir,” diyen Schneier usta bugünkü dijital dünyamızın güvenliği hakkında 6 hakikati sıralıyor:
- Geliştirilen yazılımların büyük bir çoğunluğu güvenli değil
Yazılımların büyük çoğunluğu güvenli yazılmıyor. Piyasa güvenli yazılım için para ödemek istemiyor. İçerisinde hata olmayan yazılımın nasıl geliştireceğimizi bilmiyoruz. Geliştirilen yazılımların büyük çoğunluğunda güvenlik açığı olduğunu her ay bilgisayarımıza gelen güncellemelerden anlayabiliyoruz.
- İnternet güvenlik endişesi olmadan tasarlandı
İnternet tasarlanırken hiçbir zaman güvenli olsun diye bir kaygı taşınmadı. Bunu 2018’de söylemek biraz garip ama 70,80 ve 90’larda güvenlik ile ilgili bu düşünce kabul gören genel bir önermeydi. Bunun temel olarak iki sebebi var:
- İnternet ilk ortaya çıktığında önemli şeyler için kullanılmıyordu.
- Dünyanın büyük bir çoğunluğunun internete erişimi yoktu ve yakın zamanda erişimin önündeki bu engellerin aşılacağı öngörülmemişti.
- Genişletilebilirlik (Extensibility)
Dünyada bugün evrensel programlama diye bir kavramdan söz edebiliriz. Buna göre bilgisayarların işlevselliği sınırlanamaz. Bilgisayarlar ve dünyanın geri kalanı arasındaki fark budur. Ben büyürken evimizde bulunan kablolu telefonu ne kadar uğraşsam da bir telefondan fazlasını yapamazdı. Ama programlama ile bilgisayarlardaki işlevsellik sınırlanamayacak bir noktaya erişti.
Bu durumun en önemli etkilerinden bir tanesi sistemlerin sürekli olarak evrilmesi sonucu güvenliksizliğin oluşması. Çünkü cihazları programlayanlar gelecekte kullanıcıların cihazlarla yapabilecekleri sınırsız şeylerin hepsini öngöremezler.
Böyle bir açıdan baktığınızda ‘malware’ de aslında bir işlevsel geliştirmedir (functional upgrade). İhtiyacımız olmadığı halde, istemediğimiz halde dijital cihazlarımıza yüklenir.
- Karmaşıklık (Complexity)
İnternet insanoğlunun bu zamana kadar geliştirdiği en karmaşık makine. Bir sistem ne kadar karmaşık ise o kadar saldırı noktasına sahip oluyor. İnsanoğlu bugün güvenlikli sistem geliştirebilmesine oranla daha hızlı şekilde ve daha karmaşık sistemler geliştiriyor. Yani güvenlik alanında önemli olumlu adımların atılması yadsınamaz ama diğer taraftan daha hızlı şekilde karmaşık sistemler kurmaya devam ediyoruz. Hatta kurduğumuz sistemler de daha karmaşık hale geliyor. Güvenlik testi çok daha zor hale gelirken, saldırganın savunma üzerindeki üstünlüğü perçinleniyor.
- Karşılıklı Bağlılıktan Gelen Güvenlik Zafiyeti (Vulnerability in Interconnectedness)
Herşeyin birbirine bağlı olduğu dünyada, bağlı olan taraflardan birindeki bir güvenlik zafiyeti, diğer tarafı da olumsuz etkiliyor. Mirai Botneti’nin tüm dünyayı kasıp kavuran DDoS saldırısı CCTV kameralarındaki bir açıklıktan meydana geldi. Aynı şekilde geçen sene Las Vegas’daki bir kumarhaneye siber saldırganlar internete bağlı akvaryum üzerinden sızmayı başardılar. Güvenli nesneler arasındaki güvenliksiz bağlantı da günün sonunda güvenliksiz bir dünyaya kapı açıyor.
- Saldırılar sürekli güçleniyor
Saldırılar her geçen gün daha hızlı, kolay ve güçlü hale geliyor. Bunun önemli nedenlerinden bir tanesi bilgisayarların daha güçlü hale gelmesi. Saldırganlar yeni teknikleri öğreniyorlar ve saldırılarını gerçekleştirmek için daha zekice yollar buluyorlar. Eğer kasırgaya karşı bir şey inşa ediyorsanız, kasırganın ya da diğer doğal afetlerin daha zeki hale gelmesini ya da yeni şartlara uyum sağlamasını beklemezsiniz.
Schneier, internet dünyasını güvenlik açısından resmeden 6 maddesini sıraladıktan sonra, kararların böyle bir ortamda verilmesi gerektiğinin altını çiziyor. İlk cep telefonu kuleleri yapıldığında kimsenin aklına, gerçek olmayan (fake) telefon kulesi gibi algılanabilecek cihazların yapılabileceği gelmiyordu. Fakat bugün telefonlardan bilgi almak için güvenliymiş gibi cep telefonlarıyla iletişim kuran cihazlar satılabiliyor. Saldırganlar duruma adapte olup yeni yollar bulurken, savunma tarafının adaptasyonu oldukça maliyetli.
Schneier’in dikkat çektiği maliyetleri açıklamak için cep telefonlarıyla yapılan iletişimin kriptolu hale gelmesi örneğini veriyor. Cep telefonları ile ilk baz istasyonu arasındaki iletişim zayıf şekilde kriptolanmış durumda. Çünkü cep telefonu altyapısı ilk kurgulandığı vakit güçlü bir kripto için daha fazla CPU gücü gerekiyordu ve bu gereksiz maliyet olarak görüldü.
Confidentiality (gizlilik) abartılıyor asıl tehlike integrity (bütünlük)
Medyaya yansıyan büyük hacklerin hepsinin CIA (Confidentiality, Integrity ve Availability – Gizlilik, Bütünlük ve Erişilebilirlik) üçlüsünden gizlilik ile ilgili olduğunun altını çizen uzman, bütünlük ve erişilebilirlik özelliklerinin fiziksel hayata etkilerinin daha büyük olduğunu belirtti.
Bir hastanedeki kişisel verilerin çalınması bilgi güvenliği açısından önemli bir olay. Ama daha tehlikeli olan hastanenin kayıtlarındaki hastaların kan gruplarının değiştirilmesi. Fiziksel dünyada etkileri açısından bütünlük ve erişilebilirlik açıklıklarının daha olumsuz sonuçlara neden olabileceği konusunda uyarıda bulundu.
El Kaide’nin yerli-milli kriptoloji teknolojisi: Mücahidin Sırları
Bruce Schneier konuşmasında ABD hükümetinin Kaspersky’e ve ZTE’ye karşı uyguladığı ‘yasaklama’ politikasına da değindi. Rus ve Çin’de yapılan telefonların, bilgisayarların ve de yazılımların güvensiz bulunmasının, yasağın arkasındaki temel neden olduğunu belirten uzman, böyle bir politikayı arz zincir konusu olarak tanımladı.
Bahsedilen ülkelerde üretilen teknolojilerin içine kullanıcılar üzerinden casusluk yapmak amacıyla kötücül yazılım konulduğuna dair bir ‘inanç’ olduğunu söyleyen Schneier, 2014 yılında Symantec ve Kaspersky’nin Çin’de yasaklandığını hatırlattı.
1997’de İsrail menşeli Check Point firmasının ürünlerinde İsrail hükümetinin erişimine açık bir arka kapı bırakıldığı haberlerinin olduğunu söyleyen Schneier, bir örnek de terör örgütü El Kaide’den verdi: Batılı şirketlerin ürettiği kriptolama teknolojilerinin güvenilmez olduğu kararını veren örgüt takipçilerine Mücahidin Sırları adlı bir kriptolama uygulaması kullanmasını tavsiye etmiş.
“Ürünü geliştiren firmanın hangi ülkede bulunduğu bir problem olarak karşımıza çıkıyor. (Elindeki iPhone’u göstererek) bu telefon bir ABD’li şirket tarafından üretilse bile Amerika’da üretilmedi. Bunun içerisindeki çiplerin, diğer cihazların üretildiği yerlere, yazılımının geliştirildiği yere, yazılım sürecine dahil olan programcıların mensubu olduğu ülkelere de güvenmemiz gerekiyor.”
Bunların dışından dağıtım mekanizmasına da güvenilmesi gerekiyor. Snowden belgelerinden öğrendiğimiz kadarıyla NSA, Cisco routerların içerisine kullanıcıları takip için bir arka kapı açıklığı yüklemiş. Yani üreticiler temiz olsa bile hangi ellerden geçip dijital cihazınızın size ulaştığı da güvenlik açısından önemli.
Schneier son olarak cep telefonu ekranlarında telefona kötücül yazılım bulaşabildiği bir örneği de verip konu hakkındaki düşüncesini ortaya koyuyor: “Ya kimseye güvenmeyeceğiz ya da herkese güvenmekten başka bir seçeneğimiz bulunmuyor.”
Teknoloji endüstrisinin birbirine çok bağımlı ve küresel bir karaktere sahip olduğunu bir kez daha söyleyen Bruce Schneier, “Apple’a telefonunda sadece Amerika’da üretilen parçaları kullan ve sadece Amerikalıların yazdığı kodu telefonun programına yerleştir diyemezsiniz,” dedi.
Siber Bülten abone listesine kaydolmak için formu doldurunuz