Son zamanlarda bazı ülkelerin Türkiye’ye yönelik ambargolarına firmaların ürün ve hizmet satışı kısıtlamaları da eklendi. İsrail merkezli siber güvenlik firması Cellebrite daha önce birçok kez çalıştığı Türkiye’ye boykot kararı aldı.
Teknolojinin yaygınlaşmasıyla çevrimiçi olarak, elektronik cihazlarla suç işlenme oranı giderek artıyor. Özellikle mobil cihazların incelenmesi bilişim suçlarının çözüme kavuşturulmasında son derece önemli bir rol oynuyor. Bu iş için adli bilişim firmaları tarafından geliştirilen pek çok yazılım olsa da teknoloji üreticileri de cihazların güvenliği için yeni önlemler almaya devam ediyor.
Amerikan Federal Araştırma Bürosu (FBI) 2015’te de ABD’nin San Bernardino kentinde 14 kişinin öldürüldüğü terör saldırısında saldırganlardan birinin şifreli telefonundaki bilgilere erişmek için Apple’ın kapısını çalmış ve “hayır” cevabı aldıktan sonra İsrailli Cellebrite firmasına başvurmuştu.
FBI mobil cihazlarının imajlarının kopyalarının alınmasını sağlayan firmaya 1 milyon dolardan fazla ödemişti. Geçtiğimiz yıl FBI, Amerikan deniz üssünde silahlı saldırı düzenleyen kişiye ait iki telefonda bulunan verileri istemek için bir kez daha Apple’a başvurdu. Fakat Apple, iş birliği yapmayı yine reddetti. Mahkemeye taşınan olay, bilişim suçları ile teknoloji dünyası arasındaki veri gizliliği savaşını yeniden alevlendirdi.
HEM KURUMLARI HEM DE ÖZEL ŞİRKETLERİ OLUMSUZ ETKİLEYEBİLİR
Bu ve benzeri vakalar şifreli telefonlardaki verilerin elde edilmesi için üretilen adli bilişim yazılımlarının önemini ortaya koyuyor. Öte yandan telefon modelleri çok hızlı güncellendiği ve her çıkan model ile şifrelerinin kırılmasının yeniden başlayan bir süreç olduğunu hesaba katıldığında, bu alanda yazılım geliştirme konusunda büyük bir rekabetin olduğunu da söylemek mümkün.
Tüm dünyada olduğu gibi ülkemizde de bilişim suçlarında kritik rol oynayan bu yazılımları geliştiren iki dünyaca ünlü firmanın son dönemde Türkiye’ye yazılım satışını durdurmaları gündeme geldi. Bu firmalardan biri Türkiye’de Emniyet, Jandarma ve Adli Tıp Kurumu’nun incelemeler için yaygın olarak kullandığı İsrailli Cellebrite. İsrailli firma Wassenaar Düzenlemesini gerekçe göstererek Türkiye’yi ihraç listesinden çıkardı ve Türkiye’ye yazılım satmama kararı aldı.
Siber kısıtlamaların sebep olduğu sorunlar hem kurumları hem de özel şirketleri olumsuz etkileyebilir. Kurumların işlerlikleri zarar görebileceği gibi, bu kurumlardan hizmet alan başka kurumların ya da kişilerin huzur ve refahının yanı sıra, maddi zararlar görmesine de sebep olabilir. Bu durumun farkında olan ülkeler kendi siber ordularını kurma çabasındalar.
Wassenaar Düzenlemesi (WD) konvansiyonel silahların ve çift kullanımlı malzeme ve teknolojinin ihracatını kontrol etmeyi hedefliyor. Türkiye, düzenlemeye 1996 yılında kurucu üye olmuştu.Türkiye konvansiyonel silahlar ve çift kullanımlı malzeme ve teknolojinin bütün ihracat kontrol rejimlerine taraf bir ülke.
Dünya genelinde 42 üyenin konvansiyonel silahların ve çift kullanımlı mal ve teknolojilerin transferleri hakkında bilgi alışverişinde bulunduğu gönüllü bir ihracat kontrol rejimi olan Wassenaar, bu tür değişimler aracılığıyla, silah ve çift kullanımlı mal ihracatında üyeleri arasında “daha fazla sorumluluk” geliştirmeyi ve “istikrarsızlaştırıcı birikimleri” önlemeyi amaçlıyor.
Wassenaar Düzenlemesine üye ülkeler ayrıca diğer üyelerin önerilen ihracatları üzerinde veto yetkisine sahip değiller. Wassenaar, şeffaflığı teşvik etmek için devletleri, anlaşmanın iki kontrol listesinde yer alan silahlar ve maddelerle ilgili ihracat faaliyetleri hakkında bir dizi gönüllü bilgi alışverişi ve bildirimde bulunmaya çağırıyor.
Danimarka’da yetkililer, delil olarak sunulan cep telefonu izleme verilerindeki hatalar nedeniyle 10.000’den fazla mahkeme kararını gözden geçirmeyi planladıklarını belirtti. Hatalar ve bunların olası sonuçları araştırılırken başsavcı da pazartesi günü savcıların ceza davalarında cep telefonu verilerini kullanımını iki aylık bir süre ile durdurma talimatı verdi.
Adalet Bakanı Nick Haekkerup yaptığı açıklamada “Bu durum hukuk sistemimize olan güvenimizi sarstı” ifadesini kullandı. İlk hata, telefon şirketlerinin ham verilerini polis ve savcıların bir kişiyi suçlu konumuna düşürecek delillere dönüştürebilme ihtimalinin olduğu sistemde tespit edildi. Dönüştürmeler esnasında sistem bir cep telefonunun bulunduğu yere ait daha az detaylı bir görsel oluşturmak suretiyle bazı bilgileri dahil etmeme durumunda kaldı. Hata, mart ayında ulusal polisin keşfetmesiyle düzeltildi.
Başsavcı Jan Reckendorff, kaydedilen ikinci hatada ise olayın şu şekilde geliştiğini aktardı: “Bazı cep telefonu izleme verileri, telefonları yanlış cep telefonu kuleleri ile eşleştirdi. Bu da potansiyel olarak masum insanları suç mahalli ile ilişkilendirmek anlamına geliyor” Danimarka devlet televizyonuna açıklama yapan Reckendorff bunun çok ciddi bir durum olduğunu belirterek “İnsanları hapse gönderen yanlış bilgilerle yaşayamayız” dedi.
Yetkililer, sorunların kısmen polisin I.T. sistemleri, kısmen de telefon şirketlerinin sistemlerinden kaynaklandığını ifade etti. Bir telekomünikasyon sektörü temsilcisi ise telefon şirketlerinin bu hatalara nasıl yol açmış olabileceklerini anlayamadıklarını söyledi.
Ulusal polis, hataların 2012 yılına dayanan 10 bin 700 davayı ilgilendirdiği belirledi ancak hatalı verilerin herhangi bir kararda belirleyici bir faktör olup olmadığı henüz net değil. Adalet bakanı, neden olabileceği hukuki sorunların kapsamını takip etmek ve etkilenmiş olabilecek davaların incelemesini izlemek için bir yürütme kurulu kurdu.
Adalet Bakanlığı parlamentoya gönderdiği bir yazıda incelemelerin, halihazırda mahkemesi devam edenler, hapis cezasına çarptırılan kişilere ilişkin kararlar ve savunma avukatları tarafından açılan davalarla başladığını kaydetti. Yazıya göre her bir inceleme mahkemeye ve davanın savunma avukatına gönderilecek ve gerekirse yeniden yargılama yapılacak.
Başsavcılık’tan bir sözcü Danimarka’nın Avrupalı yetkililere hatalar hakkında bilgi verdiğini, ancak diğer ülkelerdeki davalar ya da soruşturmalar ilişkin bir bilgisi olmadığını ifade etti. Danimarka Hakimler Birliği Başkanı Mikael Sjoberg, veri hatalarının Danimarka’da yanlış kovuşturmalara yol açabileceği fikrinin huzursuz edici olduğunu belirterek ekledi: “Verdiğimiz kararların doğruluğunu sorgulatarak bizi oldukça müşkül bir duruma soktu”
Uzmanlar, ülkedeki cep telefonu alıcıları verilerine dayanarak kaç kararın verildiğine dair istatistikler bulunmadığını, ancak verilerin genellikle başka kanıtlarla birlikte kullanıldığını ve mahkemenin kararını her iki yönde de belirleyebileceğini söylüyorlar.
Danimarka Barosu ve Hukuk Derneği’nin Ceza Hukuku Komisyonu Başkanı Karoline Normann, avukatların cep telefonu verilerinin önemini tartışırken, tipik olarak sistem hataları ortaya çıkmadan önce doğruluğunu sorgulamadıklarını söyledi. Normann, avukatların artık “objektif görünebilen delillerin illa yüksek kanıt değeri taşımak zorunda olmadığını anlamak durumunda olacaklarını söyledi.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Türkiye’de adli bilişim deyince akla ilk gelen isimlerden biri Halil Öztürkçi. Siber güvenlik alanında yaptığı çalışmalar ve başında bulunduğu ADEO şirketinin faaliyetleri yanı sıra kendisini takip edenlerin yakından bildiği gibi sanat müzik ve edebiyat düşkünü. Çok yönlü kişiliği ile güvenlik camiasında ön plana çıkan Öztürkçi ile siber alanda giriştiği suçlu avından, kişisel güvenlik tedbirlerine, ADEO’unun gelecek vizyonundan devletin siber alan stratejisine kadar birçok konuyu konuştuk. Tabi ki, Twitter fenomeni Faut Avni’nin kendisi hakkındaki ‘İran ajanı’ iddialarını da sormadan edemedik.
Yıldız Teknik Üniversitesi Elektronik Haberleşme bölümünden mezun olan Halil Öztürkçi 2002 yılına kadar ağ yöneticisi olarak çalışmış. O yıldan sonra gelecekte güvenlik sektöründe bir patlama olacağını öngörerek, çalışmalarını bu alana kaydırmış. Kendi deyimiyle kariyerini üçe ayırıyor: ‘İşin önce operasyonel tarafındaydım, daha sonra güvenlik açıklarının kimlerin nasıl kullandığı üzerinde çalıştım; bir sonraki aşama olarak da bu açıkları kullananları nasıl yakalarız sorusu üzerinde durdum.’
Her ne kadar iki kez yüksek lisanstan atılmayı başarsa da, bugün birkaç üniversitede ders vermeye devam ediyor; her sene onlarca konferans ve seminere konuşmacı olarak katılıyor. ‘Bilgisinin zekatını vermeye çalışan bir adamım, arkadaş!’ diye de bu durumu açıklıyor.
Fiziksel dünyada suçlu-polis ilişkisi hakkında ‘mahalledeki hırsızları en iyi polisler tanır’ ifadesinin siber dünyada ne kadar geçerli olduğunu sorduğumuz Öztürkçi, özellikle APT analizlerinde aslında işin arkasındaki kim olduğuna dair önemli ipuçlarının bulunduğuna dikkat çekti. ‘Aynı DLL dosyasının kullanılması, şifrelemek için başvurulan tool’lar, Twitter üzerinden CC sunucusuyla haberleşilmesi, aynı ülkedeki sunucu üzerinden data çıkartılması gibi birçok yöntemdeki benzerlik suçun arkasındaki kişiler hakkında bilgi verebilir.’ ifadelerini kullanan Öztürkçi, ‘bu ipuçlarının büyük hacker grupları için kullanılabileceğini bireysel suçluları tespit etme de işe yaramayabileceği’ uyarısını eklemeyi ihmal etmiyor.
Devlet devletliğini göstermeli
Röportaj sırasında Halil Öztürkçi’nin bir konuda şikâyetçi olduğunu görüyoruz. O da devletin veri kaçaklarına karşı duyarsızlığı ve yaptırım uygulamaması. ‘Siber alemde bir başıboşluk var.’ diye söze başlayan Öztürkçi, ‘Devlet devletliğini göstermeli, otoritesini ortaya koymalı. Hem ceza hem ödül açısından devletliğini yapmalı.’ ifadelerini kullanıyor ve ekliyor: ‘Maalesef bugün siber alanda bir suç işleyenin büyük oranda bu suç yanına kar kalıyor. Devlet sadece suçluları bulup cezalandırmakla yetinmemeli, suça imkan verecek ortamı da önlemeli. Suça giden yolları kapatma konusunda yaptırım uygulamalı, sorumluluk vermeli.’
Devlet ve özel sektördeki yöneticilerin bilgi güvenliği konusundaki farkındalığın beklenen seviyede olmadığı hatırlatılan siber güvenlik uzmanı, üst düzey yöneticilere bilgi güvenliği anlatmaya teknik terimleri bir yana bırakarak başlanması gerektiğinin üzerinde duruyor. ‘İş açısından yaklaşılması lazım. Risk nedir, bu riski üstlendiğinizde sürdürdüğünüz işteki etkisi ne olacaktır? Bunun düzgün şekilde yöneticilerin önüne konulması gerekiyor.’
HAFTALIK SİBER BULTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ
[wysija_form id=”2″]
3-5 siber güvenlik uzmanıyla büyük etki oluşturabilirsiniz
Devletlerin siber güvenlik operasyonlarını asimetrik bir güç olarak kullandığı bir dünyada yaşıyoruz. Bugün Kuzey Kore gibi bir yönetim siber saldırılar ile ABD’ye kafa tutabiliyor. Bu konudaki görüşleri sorulan Öztürkçi ülkelerin çok büyük yatırımlar yapmaya gerek kalmadan siber alanda geniş operasyon alanı bulabileceğine dikkat çekti. Nükleer silahlarla siber silahları karşılaştıran uzman, “Nükleer silah için know-how, finansal yatırım ve insan gücüne ihtiyacınız var. Bunlar olsa bile bazı malzemelerin size satılmadığı için uranyum zenginleştirilmesi gereken malzeme size verilmiyor. Siber dünyada böyle bir şey yok. Siz siber güvenlik konusunda yetişmiş 3-5 uzmanınızı iki sene dışarıya çalışmaya gönderin, sizin adınıza çok büyük etki oluşturabilecek saldırılar yapacak duruma gelebilir. Ufak bir güçle büyük etki oluşturabilirsiniz. Bu zaman kadar siber saldırıların şirketlerin kapatılmasına neden olduğunu gördük. Aynısını hükümetler için de yapabilirsiniz. Hükümetin bir parçasını da devirebilirsiniz. Bunu yapmanız için milyarlarca dolara ihtiyacınız yok.” ifadelerini kullandı.
Taarruz kadar savunma da önemli
Türkiye Cumhuriyeti devleti ofansif siber stratejiler üretme konusunda çekingen mi davranıyor?
“Hem ofansif, hem defansif tarafta çok da iç açıcı durumda değiliz. Bir takımda 11 kişi gol atmaya giderse kale boş kalır gol yersiniz. Karşı tarafın 11 kişisine karşı kalede sadece 1 kişiniz varsa yine gol yersiniz. Dengeyi iyi kurmanız gerekiyor.
Her adımınızı ofansif olarak dizayn ederseniz, sizinle alakalı olarak yapılacak bir operasyona karşı gelecek elinizde ne bilgi vardır, ne insan gücü ne de teknik kapasite kalır. Siber güvenlik uzmanı yetiştiriyoruz diyenlerin çok büyük bir kısmı saldırı tarafına daha fazla ağırlık veriyor. Ama bunun savunma tarafını da düşünmeniz lazım. Saldırı gücünüzü geliştirdiğiniz defansif tarafa yeterince önem vermediğiniz zaman, bilgi toplarsınız fakat başkalarının da sizin bilginizi çalmasına engel olamazsın. Bunun için savunma eğitimi içerisine saldırıyı yerleştirebiliriz. Fakat görünen o ki bugün herkes beyaz şapkalı hacker yetiştirme derdinde. Siber ordu sadece öncü kuvvetlerden oluşmaz. Ön taraftaki kuvvetleri besleyen arka tarafta da birimler vardır.”
Böyle giderse zombi bir ülke haline geliriz
Dünyadaki örneklerle Türkiye’yi karşılaştıran Öztürkçi insana yatırımın altını çiziyor. “Alttan zehir gibi gençler geliyor. Bunlara yönelik de bir politika geliştirilmesi gerekiyor. Aklı bu konuda meraklı çocukları bulup 2050 vizyonunda bunlara yer açmak lazım. Eğer biz bu çocukları oyunun içine katmazsak, her geçen saat biz bu oyundan düşüyoruz. ‘10 sene onlar yatırım yapmış biz aynı yatırımı 2 seneden yapar bu işi başarırız’ gibi bir anlayış söz konusu olamaz. Biz eğer yarıştan düşmeye devam edersek zombi bir ülke haline geliriz.”
Fuat Avni sizin İran ajanı olduğunuzu iddia etti. Ne diyorsunuz?
Çok komik. Fuat Avni’nin dijital soytarı ve yalancı olduğunu düşünüyorum. Ben 35 yaşında türemiş bir adam değilim. Oldukça açık bir adamım. Dünya müziklerine merakı olan bir adamım. İran müzikleri benim için kıymetlidir. Paylaştığım İran müziklerinden yola çıkarak böyle bir çıkarım yaptılar.
Fuat Avni diye değil de Suat Avni diye bir şey çıkartıp algı operasyonu yapabilirim. Bu sosyal medyanın artık maalesef bir gerçeği. Ben neden böyle bir iftiraya maruz kaldım. Kritik bir davada bilirkişiydim. O davanın sonucu o örgütün geleceğini de etkileyecekti. Ben ne Fuat Avni’yi ne başkasını takacak adam değilim. Doğru bildiğimi yaparım. Bir Allah’ta korkarım.
Bir iş adamısınız İran’dan bir iş gelirse bunu kabul eder misiniz?
Öyle bir konjonktürdeyiz ki, ülke içindeki bir şirketle bile iş yaparken bir kaç kez düşünmeniz gerekiyor.
Aslında biliyor olabilir diye bir ifade kullanmıştım. Birkaç kez manşet şehvetine kurban gitmişliğim vardı, bu da onlardan biri oldu. Devlet Fuat Avni’nin kimliğini biliyor olabilir. Ama biliyor demedim hiçbir zaman.
Kişisel olarak nasıl bilgi güvenliği önlemleri alıyorsunuz?
Kendini ispatlamış dijital platformlar kullanıyorum. Evimde kritik işler yapmam. En fazla Netflix’den dizi Youtbe’dan video izlerim. Kişisel ve iş bilgisayarlarım ayrıdır. 3 tane bilgisayarım var birini asıl iş için kullanırım. Disk şifrelemesi var ciddi bir kimlik doğrulama sürecinden geçmek gerekiyor, yanlış bir şey olursa disk kendini yok ediyor. İş bilgisayarımda açık kablosuz internet bağlantısını kullanmıyorum.
Fiziksel güvenlik önlemleri olarak, bilgisayarımı yanımdan ayırmıyorum. Elzem değilse iş bilgisayarımı seyahatte yanımda götürmüyorum. İş ve ofisimde güvenlik kamerası ve alarm sistemi mevcut.
Ofiste analiz için gelen dijital verilerin saklandığı yerlere iki kat güvenlik uyguluyoruz. Güvenlik hayatımın bir parçası. Ofisimin önünde aynı arabayı 3. gün gördüğümde benim için soru işaretleri doğurmaya başlar. Siber dünyanın kişiye kattığı özelliklerden biri de, fiziksel dünyadaki güvenlik açıklarına karşı algılarınız daha açık oluyor.
ADEO’yu on sene sonra nerede görüyorsunuz?
Devlet zehir gibi öğrencilere el atsın diyoruz ama Adeo olara biz de el atıyoruz. İkincisini bu sene düzenlediğimiz staj & çalışma programınıdüzenliyoruz. Özel projelerin eğitimlerin bulunduğu 3 aylık bir süreç. Bunu başarıyla tamamlayanlarla yola devam ediyoruz. 10 sene sonra Adeo’nun işlerinde Türkiye ufak bir kısmını oluşturacak. Bundan sonra yerel pazarı adresleyerek bir şey yaparsanız ayakta kalmanız zor gibi düşünüyorum. Burada 1 müşteriniz varsa, dışarda 99 müşteriniz var. Neden açılmayalım?
