ABD Savunma Bakanlığı’na bağlı Savunma İleri Araştırma Projeleri Ajansı (DARPA), Temmuz-Ekim 2020 tarihleri arasında, kuruluşların sistemlerindeki güvenlik açıklarını bulmak amacıyla tarihinde ilk kez “Bug Bounty Yarışması” düzenledi
Yaklaşık 580 siber güvenlik araştırmacısının 13 bin saatten fazla süreli hackerlik faaliyetlerini üç ay boyunca incelemesinin ardından DARPA tarafından yapılan açıklamada Donanım ve Yazılım Aracılığıyla Sistem Güvenliği Entegrasyonu (SSITH) kapsamında geliştirilen güvenli donanım mimarilerinin başarısının kanıtlandığı duyuruldu.
Yarışma, Savunma Bakanlığının Dijital Savunma Hizmeti (DDS) ve kitle kaynaklı bir güvenlik platformu olan Synack ile ortaklaşa gerçekleştirildi. Synack’in mevcut araştırmacı topluluğu tarafından 980’den fazla SSITH işlemcisi test edildi ve tüm güvenli mimari uygulamalarında sadece 10 güvenlik açığı keşfedildi.
DARPA’NIN SSITH PROGRAMI DONANIM AÇIKLARINA KARŞI KORUMA SAĞLIYOR
DARPA’nın SSITH programı, elektronik sistemleri yazılım aracılığıyla kötüye kullanılan yaygın donanım açıklarına karşı koruyan güvenlik mimarileri ve araçları geliştirmeyi amaçlıyor. SSITH üzerinde çalışan ekipler, araştırmalarını test etmeye ve değerlendirmeye yardımcı olmak için yeni donanım güvenlik korumalarını RISC-V işlemci çekirdeklerine sahip FPGA tabanlı “benzetilmiş“ sistemlere entegre etti. Korumasız işlemcilerde kötüye kullanılabilecek savunmasız uygulamalarla doldurulmuş her sistemin üzerine tam yazılım yığınları oluşturuldu. Bu benzetilmiş sistemler daha sonra, kuruluşun güvenlik araştırmacıları grubu olan Synack Red Team’e (SRT) Amazon Web Services (AWS) EC2 F1 bulutu aracılığıyla iletildi.
SSITH ve FETT’ten sorumlu DARPA program yöneticisi Keith Rebello, “Neredeyse hiçbir sistemin hacklenemez olmadığını bildiğimiz için işlemcilerdeki hataları keşfetmeyi bekliyorduk, ancak FETT sayesinde SSITH teknolojilerinin yaygın yazılım tabanlı donanım istismarlarına karşı korumada oldukça etkili olduğu ortaya çıkmış oldu” dedi.
Üç aylık süre içinde SRT tarafından yalnızca 10 güvenlik açığı ortaya çıkarıldı. Common Vulnerability Scoring System 3.0 (Genel Zaafiyet Puanlam Sistemi) standartlarına göre bunlardan yedi tanesi “kritik”, üçü “yüksek” olarak belirlendi. Bug Bounty yarışması sırasında keşfedilen güvenlik açıklarından dördü yamalanıp ve SRT tarafından doğrulandı. SSITH araştırma ekiplerinin, programın üçüncü aşaması sırasında güvenlik açıklarını azaltmaları beklenmektedir.
SSITH programı şu anda üçüncü ve son aşamasında. Araştırma ekipleri, daha da fazla güvenlik korumaları için ısrar ederken teknolojilerinin performansını iyileştirmeye odaklanıyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Pentagon güvenebileceğimiz otomatik sistemleri tehdit eden siber saldırganlarla mücadele etmek için büyük teknoloji şirketleriyle birlikte çalışıyor.
Şubat ayında DARPA ( Savunma İleri Araştırma Projeleri Ajansı ) yeni bir program için proje teklif çağrısı yaptı. Diğer DARPA projeleri gibi, bu projenin de baş harfleri bir anlam oluşturuyor ; Guaranteeing Artificial Intelligence (AI) Robustness against Deception (GARD). Dört yıllık bu girişime bir milyon dolardan fazla para harcanacak. Projenin hedefi ise algılayıcı bazlı yapay zeka yazılımları için -yüz tanıma programları, ses tanıma araçları, sürücüsüz otomobiller, silah tespit etme yazılımları dahil- bir savunma sistemi yaratmak.
BÜYÜK KURULUŞLAR BAŞI ÇEKİYOR
DARPA, GARD projesinde çalışmak üzere 17 kuruluş seçti. Bu kuruluşların içinde, Johns Hopkins University, Intel, Georgia Tech, MIT, Carnegie Mellon University , SRI International and IBM’s Almaden Research Center gibi önemli kurumlar da var. Intel ve Georgie Tech düşman ataklarını savunmaya odaklanarak bu projenin bir kısmına önderlik edecek.
Bilgisayarlı görü algoritması kullanan sensörler, araştırmacıların “çekişmeli saldırılar” olarak adlandırdığı saldırılara karşı savunmasız kalabilir. Bu hackler yanılsama üzerine kurulu. Yani yapay zekanın gördüğünde yapmayı programlandığı şeyleri göstererek onu yanıltmayı amaçlıyor.
Yeni oluşmaya başlayan sürücüsüz otomobil endüstrisi halihazırda bu saldırıların nasıl görünebileceğiyle ilgileniyor. Bunlar dur işaretlerini tanınmayacak hale çeviren ve insan gözüyle etkin bir biçimde görünmeyen çıkartmalar olabilir. Bu çıkartmalar kendi aracınızın yolunu açması için diğer araçları kandırabilir, yol kenarındaki tabelaları değiştirip bir aracı bir işletmenin otoparkına yönlendirebilir veya gelecekte daha kötü etkilere yol açabilir.
Protocol sitesine konuşan GARD programı menajeri Bruce Draper “Günümüz dünyasında kötülük yapmak isteyen insanların var olduğunu biliyoruz” dedi. Bu konudaki endişelerini dile getiren Draper şunları söyledi: “Dışarıda bir çok tehlikenin olduğunu biliyoruz, eğer gelecekte çokça sürücüsüz otomobil olan bir şehir düşünürseniz ve bunların yanlış davranmasına neden olursanız, bütün şehri bloke edebilirsiniz. Büyük bir etki yaratmış olursunuz. Daha korkutucu bir senaryo ise, ilk müdahale araçlarının sürücüsüz olması ve ilk müdahale ekibinin etkisiz hale getirebilmesi ihtimali…”
Üç gruba ayrılan projede bazı kuruluşlar yapay zekaya yönelik saldırıların nasıl gerçekleştiğini ve sistemin nasıl etkisiz hale getirilebildiğinin teorik temellerini araştıracak. Bir başka grup bu saldırılara karşı bir savunma sistemi inşa edecek ve son grup bunları değerlendirecek. Her altı ayda bir son grup yeni saldırı senaryoları oluşturarak diğerlerinin oluşturduğu savunma sistemini test edip verimlilik ve pratiklik açısından gözden geçirecek.
DARPA önümüzdeki 4 yıl boyunca gelişmeleri değerlendirmek için diğer kuruluşlarla düzenli olarak görüşecek. Ancak şimdilik bir araştırma projesi olan bu projede DARPA’ya bir ürün veya materyal sağlamak gibi bir amaç yok.
Gartner araştırma şirketinin başkan yardımcısı ve analisti olan Arun Chandrasekaran, araştırma şirketlerinin Generative Adversarial Network ( GAN) kaynaklı kötü niyetli saldırılarda bir artış tespit ettiğini söyledi. Chandrasekaran, “Saldırı ve savunma teknolojilerinin çeşitlilik kapsamı büyük ölçüde değişse de tespit etmek ve saldırılara cevap verme konusunda tam olarak saldırıların kendisi kadar gelişkin olmadıklarını” belirtti.
Draper ise “Sorunun hala üzerinde” olduklarını dile getirdi. Askeri ve sivil ortamlarda algoritma kullanımı son yıllarda artış gösteriyor. Yöntemin kullanım alanı, film projeleri oluşturmaktan borsa yönetimine hatta savaşlarda karar almaya kadar uzanıyor. “Yeni bir eşiğe geçiyoruz” diyerek sözlerine devam eden Draper, “Önümüzdeki beş ila on yılı düşündüğümüzde askeri veya sivil yaşamda yapay zekanın önemli rollerde kullanıldığını düşünmeden edemiyorum” dedi.
Makine öğrenmesi sisteminin ve eğitme verilerinin satıcılara sağlanmasıyla birlikte hackerların erişime ulaşmasının daha uygun hale geldiğini vurgulayan Chandrasekaran, art niyetli saldırıların da artacağına inandığını ve doğal olarak bunların yaratacağı etkinin de büyük olacağını söyledi.
Temel olarak bunun mevcut tespit sistemlerinden kaçınmakla alakalı olduğunu söyleyen Chandrasekaran “Diyelim ki görüntü ve ses kombinasyonuna dayanan bir sisteminiz var, sesinize veya görüntünüze çok benzer şekilde yeni bir şey yaratmanızın mümkün olduğu gerçeği, temelde önleme sisteminizin doğruluğunu bypass edebileceğiniz anlamına da gelebilir” dedi. Chandrasekaran ayrıca şu anda kullanılan mevcut sistemlerin de ciddi bir şekilde geliştirilmeye muhtaç olduğunu ekledi.
Intel, halihazırda güvenlik açıklarını kapatmaya ve tehditlerin önüne geçmeye odaklanmış durumda. Intel Labs’da çalışan kıdemli araştırmacı bilim insanı Jason Martin bu konu hakkında şimdilik bilinmesi gerekenin bugünün tehdidi olmadığı görüşünde. Ancak yarının problemleri üzerinde yoğunlaşan araştırmaların ender olduğunu da vurguluyor. Burada olmanın güzel olduğunu söyleyen Martin, bu durumun ‘şu an bir tehlike altındayız’ senaryolarından biri olmadığını, aksine sakince araştırma yapıp sorunların üstesinden gelmeyle alakalı olduğunu ekledi.
Intel ve Georgia Tech yıllardır saldırı araştırmaları konusunda işbirliği içindeler. Bu kurumların odak noktalarından biri ise, kötücül aktörlerin algoritmayı birkaç pikseli değiştirerek, bir kuşun bir bisiklet olduğunu düşünmesinin veya dur işaretinin yanlış etiketlenmesinin kolayca kandıralabiliyor olması üzerinde çalışmak.
Georgia Tech’de görenli akademisyen Duen Horng “Polo” Chau önderliğinde devam eden araştırmanın şu ana kadarki ana fikri: Bir şeyi saldırılardan koruyamıyorsanız, onu hesaplanamaz kılın. Örneğin bazı şifreleme sistemlerinde, saldırganların büyük ölçüde hesaplama kaynakları kullanarak kod şifrelerini çözme olasılıkları vardır ancak bu imkansıza yakındır. Martin ise, fiziksel çekişmeli saldırıların savunmasına benzer bir yoldan yaklaşarak “Umudum, savunma alanındaki teknik kombinasyonların çekişmeli saldırı örneği oluşturmayı çok pahalıya mal edilir hale getirmesi” diyor.
INTEL VE GEORGIA TECH’IN SALDIRI PLANI
Intel ve Georgia Tech, ImageNet ve Microsoft’s Common Objects in Context gibi bazı açık kaynaklı veri kümelerini kullanmayı planlıyor. Açık kaynak verileri bir DARPA gereksinimidir ve Intel ile Georgia Tech araştırmanın tekrarlanabilirliğine öncelik veriyorlar. Ancak bu veri kümeleri halka açık ve geniş bir kullanıcı ağı var. Bu da akla şu soruyu getiriyor: bu çalışmanın öncekilerden farkı ne?
Chau yeni olan şeyin verileri nasıl kullanmayı planladıklarında yattığını iddia ediyor. Plan, yapay zekaya “tutarlılık” öğreterek, şeyleri daha bütünsel olarak görmesine yardımcı oluyor ya da bir şekilde sağduyuyu kullanmaya dayanıyor. Genellikle insanlar bunu doğduklarında veya sonrasında öğrenirler ancak bunu teknolojiyle yeniden yaratmak oldukça zordur. Intel ve Georgia Tech bu karışık sorun için somut olarak üç tane çözüm önerisi sunmayı amaçlıyor: zamansal, anlamsal ve mekânsal tutarlılık.
Buradaki zamansal tutarlılık aniden kaybolan veya aniden ortaya çıkan fiziksel şeyleri anlamakla ilgili. Örneğin eğer sürücüsüz bir otomobil, görünümü titreşip sonra kaybolan bir insan, bir obje veya bir dur işareti kaydederse, hackerlar onun sistemi üzerine etki etmiş olabilir.
Anlamsal tutarlılık anlam kazandırma ile ilgilidir. İnsanlar şeyleri, parçalarının bir toplamı olarak tanımlar. Örneğin bir kuş göz, kanat ve gaga içerir. Araştırma ekibinin planı bir algılama sistemine ikinci bir savunma hattı eklemek. Yani eğer sistem bir bisiklet kaydederse, daha sonra tekerleği, gidonu ve pedalları kontrol etmelidir. Bu bileşenleri bulamazsa, bir şeyler yanlış gitmiş olabilir.
Daha sonra mekânsal tutarlılık ya da şeylerin göreli konumlanışından bilgi edinme. Eğer bir obje detektörü havada dalgalanan bir insan görürse örneğin bu muhtemelen bir şeyleri yanlış çözümlediğine işaret eder. Tüm bu üç strateji için ekip, obje detektörlerine sadece bir saldırıyı çözümlemeyi değil bunu düzeltmeyi de öğretmeyi umuyor.
“Kesinlikle çok iyi bir başlangıç noktası” diyor Chandrasekaran, Intel ve Georgia Tech’in bu planı için.
Chau’nun uzun vadeli önceliği ölçeklenebilir olmakla birlikte, ekibin şeffaf şekilde yürüttüğü araştırmaları ve yöntemleri açık kaynaklı sunuculara yüklemeyi amaçlıyor. Chau, kötücül aktörlerin açık olan bilgilere erişip kendi avantajları için kullanma riskini kabul ediyor ancak önemli olanın teknolojiden sorumlu olan insanların bu bilgilere erişmesi olduğunu savunuyor. Ayrıca bütün yapay zeka sistemlerinin de bir kara kutu olduğunu söylüyor.
“İşin aslı yapay zeka ve makine öğrenme teknikleri bazen işe yaramıyor, daha da kötüsü çalışsa bile ikinci işlemlerde çok farklı sonuçlar ortaya çıkıyor” diyen Chau ekliyor: “Ne zaman ve nasıl çalıştığını bilmek çok önemli, daha da önemlisi herhangi biri saldırdığında neleri ifşa edebiliyor, bunu bilmek daha da önemli.”
Ekibin bu tehditlere karşı koyabilmesi için, kötücül aktörlerin henüz farkında olmadıkları savunmasız alanları erkenden keşfetmek hayati öneme sahip. Eğer erkenden keşfedemezlerse, kötücül aktörler kullandıkları yeni tekniklerin kaynak kodunu oluşturmak için gerekli olan araçlara sahip olabilir.
Draper, “En iyi savunmayı bulacağımız konusunda ikna olmuş değiliz, teorimizi geliştirip ‘sınırlar nedir?’ sorusunu anlamlandırmaya çalışıyoruz. Yapabileceğimiz en iyi şekilde onları savunmaya ve sağlamlaştırmaya çalışıyoruz. Fakat aynı zamanda yeterli teorik altyapıya sahip olmayı da istiyoruz. Böylece insanlar bir yapay zeka sistemi konuşlandırdığında onlara bu sistemin ne derece savunmasız olup olmadığını söyleyebiliriz” dedi.
Geleceğin kritik sistemleri için bu her şeyde fark yaratacak. Son olarak Draper “Eğer işi film önermek olan bir sistemle uğraşıyorsanız, bir saldırının size ne kadar zarar vereceğinden korkmayabilirsiniz ancak sürücüsüz otomobil sistemleriyle uğraşıyorsanız bu çok tehlikeli hale gelebilir” dedi.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
ABD Merkezi Haberalma Teşkilatı (CIA) web sitesinin TOR ağından girilebilecek şekilde konfigüre edilmiş versiyonunu tüm dünyada kullanıma açtı.
Geçtiğimiz yıllarda Facebook, New York Times ve Hollanda polisi de benzer bir yöntem izleyerek web sitelerine TOR’dan erişim sağlamıştı. CIA böyle bir yol izleyen ilk istihbarat teşkilatı oldu. Web sitelerinin TOR’dan erişilebilir versiyonlarına ‘soğan site’ (onion site) ismi veriliyor.
CIA Halkla İlişkiler Direktörü Britanny Bramell sitenin açılışıyla ilgili wired.com a yaptığı açıklamada, “Küresel misyonumuz insanların dünyanın her yerinden bize güvenli bir şekilde ulaşması gerekliliğini dayatıyor. İnsanların bulunduğu yere ulaşmamız için kullandığımız birçok farklı yoldan sadece birisi soğan site açmak” ifadelerini kullandı.
TOR’u ABD geliştirmişti
CIA’in soğan sitesinde, kendi sitesinde olan tüm içerikler bulunuyor. Bunun içinde insanların CIA ile nasıl güvenli iletişim sağlayacağını anlatan yöntemlerde bulunuyor. Yetkililer TOR üzerinden gizli servisin sitesine daha çok bilgi vermek isteyen kişilerin gireceğini öngörüyor. Bunun yanı sıra iş başvurularının da TOR üzerinden yapılmasının tercih edilebileceği düşünülüyor.
CIA soğan sitesi 2017 yılında geliştirilen yüksek kriptografi algoritmasına sahip TOR versiyonunu kullanıyor.
ABD Deniz Kuvvetleri Araştırma Laboratuarı ve DARPA tarafından büyük bir bölümü geliştirilen TOR projesinin ilk amacı Amerikan istihbarat kurumları arasında güvenli iletişimi sağlamaktı. 2002 yılında kamuoyuna açılan TOR bu tarihten itibaren açık kaynak kodlu bir proje olarak ilerledi.
2006’dan beri kimlik gizliliği sağlayan ağın yönetilmesini TOR adlı kar amacı gütmeyen kuruluş sağlıyor. CIA’in TOR projesine gizli kanallardan fon sağladığına dair iddialar bulunsa da, TOR fon aldığı kuruluşların şeffaflık içerisinde açıklandığını savunuyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
ABD Savunma Bakanlığı’na bağlı araştırma birimi, kontrolleri altında bulunan sistemlere insan beynini bağlayan bir proje üzerinde çalışıyor. Savunma İleri Araştırma Projeleri Ajansı (DARPA), hem askerlerin beyin dalgalarını kullanarak askeri sistemlere bağlanmasına hem de bu sistemlerin bilgiyi doğrudan kullanıcının beynine aktarmasına izin verecek bir ‘sinirsel arayüz’ geliştirecek ekipler seçiyor.
DARPA’dan yapılan açıklamada, Gelecek Nesil Cerrahi Dışı Nöroteknoloji ya da N3 programının bilgisayarların hızını ve işlem gücünü insanların karmaşık durumlara uyum sağlama yeteneği ile birleştirmeyi amaçladığı belirtildi. Diğer bir deyişle, söz konusu teknoloji uzaktan bir makineyle insanların kendi bedenlerinin bir parçasıymışçasına, hissetmelerini ve etkileşim kurmasını sağlayacak.
DARPA’nın Biyolojik Teknoloji Ofisi’nin program yöneticisi Al Emondi, “İnsanların taşı oyup bir bıçağa ya da mızrağa dönüştürdüğü ilk zamanlardan bu yana, insanoğlu çevrelerindeki dünyayla etkileşim kurmaya yardım edecek araçlar üretiyor. Kullandığımız araçlar zamanla daha karmaşık hale geldi… Ama bunlar hâlâ dokunma, hareket veya ses gibi birtakım fiziksel kontrol ara yüze ihtiyaç duyuyor. Sinirsel ara yüzlerin vaat ettiği şeyler zenginleştikçe, beynimizin etkili bir araç haline geldiği daha zengin, daha güçlü ve daha doğal bir deneyim yaşanacaktır, ” şeklinde konuşuyor.
DARPA’nın insanlarla makineler arasındaki etkileşime yönelik çalışmaları 1960’lara dayanıyor. İkisini birleştiren teknoloji kulağa inanılmaz gibi gelse de kuruluş bunun hali hazırda mümkün olduğunu kanıtlamış durumda.
DARPA, devrim yaratan protez programı sayesinde, engelli savaş gazilerin beyinlerine yerleştirilen bir elektrot yardımıyla kontrol edebildikleri bir protez uzuv yaratmıştı. Sistem, kullanıcılara “doğal” kol ve el hareket kabiliyeti sağlarken, beynine dokunma hissini yansıtan sinyaller iletiyordu. Ajans şimdi de engelli olmayan erkek ve kadın ordu mensupları için cerrahi bir ekleme gerektirmeyen benzer bir cihaz geliştirmek istiyor.
N3 Programı iki parçadan oluşuyor: Vücudun tamamen dışına yerleştirilen ve istilacı olmayan ara yüzler ile kullanıcıların beyin aktivitelerini okuyan harici sensörlere yardımcı olmak için farklı kimyasal bileşikleri içermesi gereken küçük istilacı ara yüzler.
Her iki durumda da teknolojiler çift yönlü olmak durumunda. Bu, şu anlama geliyor: iki teknoloji de beyin aktivitesini okuyabilecek ve ayrıca kullanıcıya yeni bilgiler yazabilecekler.
Bahsi geçen teknolojiler hükümetin zihin okuma ve zihin kontrolü gibi komplo teorilerini gündeme getirirken Emondi, Nextgov’a yaptığı açıklamada bunun söz konusu olmayacağını, bilim adamlarının beynin 100 milyar nöronunun nasıl etkileşim kurduklarına dair çözümlemelerinin başlangıcında olduklarını bu etkileşimi kontrol etmenin ise hemen hemen imkânsız olduğunu ifade ediyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
STM Akademi’nin ODTÜ Teknokent işbirliğiyle düzenlediği, kapalı bir etkinlik olan Siber Güvenlik Ekosisteminin Yenilikçi Çözümlerle Geliştirilmesi Çalıştayı, STM’nin yanısıra farklı şirketlerden de konuşmacıları bir araya getirdi.
Odağında etkin bir siber güvenlik kümelenmesi yaratma ve ekosistemi ileri götürecek adımların atılması gibi konular işlenen etkinlikte ilk söz alan, SSM Siber Güvenlik ve Elektronik Harp Daire Başkanı Sami Ulukavak, bu odaktan hareketle SSM olarak her iki konuda da ne kadar çaba sarf ettiklerini vurguladı.
Kendisini en son Nisan ayında dinlediğimde bu alanda üç çalıştayı takiben bir uluslararası konferans olacağına dair önemli bir yol haritası çizen Ulukavak, geçen süre içerisinde bu hedef kapsamında hayata geçirdikleri iki önemli çalıştaydan bahsetti.
Ağustos ayında siber güvenlik özelinde çalışan akademisyenleri bir araya getiren çalışmayı takiben, geçtiğimiz ay BTK’da kamu kurumlarından katılımcıları buluşturduklarını belirten Ulukavak, 23 Ekim’de İTÜ Teknopark’ta bu çalıştayların sonuncusunun düzenleneceğini belirtti. Bütün bu çalıştaylardan kümelenmenin ne şekilde olması gerektiğine dair toplanan verilerin, 27-28 Kasım tarihinde Ankara’da düzenlenecek olan, 3. International Cyber Warfare and Security Conference (ICWC): Strengthening the Cybersecurity Ecosystem and Cybersecurity Cluster başlıklı konferansta sunulacak olması, somut ve istikrarlı adımların atılıyor olduğunu görmemiz açısından oldukça önemliydi.
Etkinliğin ev sahiplerinden biri olan, STM Siber Güvenlik ve Büyük Veri Direktörü Dr. Emin İslam Tatlı, konuşmasına Türkiye’deki siber güvenlik piyasasının odağında yerli ürün ve yazılım üretmek olduğunu belirterek başladı. Tam da bu nedenle pazarda kendini tekrar eden pek çok ürün olduğunu söyleyen Tatlı, yerli ürün üretmeye çalışırken yeni teknolojileri göz ardı etmemek gerektiğini ısrarla vurguladı.
Saldırı yüzeyinin sürekli arttığı bir dönemde olduğumuzu hatırlatan Tatlı, IoT’nin yükselişini, İHA’ların kullanımını ve giderek sayısı artan otomatize cihazların varlığını bunun en temel sebepleri olarak sıraladı. Tatlı, geldiğimiz noktada siber güvenliğin çözüm bulması gereken en büyük sorunlardan birinin username/password meselesi olduğunu da dile getirdi.
Çalıştayda söz alanların bahsettiği pek çok veriyi sunumunda görselleştiren Logo Siber Güvenlik ve Ağ Teknolojileri Genel Müdürü Dr. Murat Apohan, siber güvenlik kapsamındaki önemli yatırım alanlarını UX (user experience), Bulut ve NFV olarak değerlendirdi. Siber güvenlik alanında çok iyi kullanıcı deneyimi yakalamanın oldukça zor olduğunu kaydederken, yükselen değerler olan Bulut ve ağ fonksiyonlarının sanallaştırılması yani NFV teknolojilerinin giderek daha fazla karşımıza çıkacağını belirtti.
Black Hat 2017’de Marina Krotofil tarafından sunulan, endüstriyel bir su pompasının su basıncını değiştirerek bozulmasını konu alan “Evil Bubbles” isimli oldukça güncel bir hacking denemesinden de bahseden Apohan, yeni dönemde hackerların endüstriyel sistemlerin hiç bilinmedik açıklıklarını, bilinmedik şekillerde kullanarak beklenmedik zararlar yaratabileceğinin altını çizdi.
İkinci oturumdaki panelin benim için en öne çıkan ismi, şimdiye kadar ilk defa dinleme imkânı bulduğum Bilkent Üniversitesi hocası ve DataBoss kurucusu Doç. Dr. Serdar Kozat’tı. Yapay zekanın bir “hype” haline geldiğini konuşması boyunca yineleyen Kozat, ufak bir classification algoritmasını bile çalıştırmanın yıllar sürdüğünden, 20 yıllık bir geçmişi olan Google Translate uygulamasının ancak son birkaç yıldır düzgün çalışmaya başladığından, yapay zeka alanında hedeflenenlere ulaşılması için aşılması gereken pek çok teknik sorun olduğundan bahsetti. Kozat, en büyük alıcının devlet olduğu Türkiye pazarında yeterince kaynak olmadığını, tek alıcılı sistemin firmalar arasındaki rekabeti olumsuz etkilediğini vurguladı.
Yerli pazarda bir sürü ürün olmasına rağmen, yeterli test ortamının olmadığına dikkat çeken Kozat, fiziksel kümelenme modeliyle bu tarz bir sorunun önüne geçebileceğini söyledi. Yurtdışına giden iyi öğrenciler kadar, kalan iyi öğrenciler de olduğunu belirtmesi bu konudaki yanlış algının aşılması açısından kanımca oldukça önemliydi. Kalan pek çok yetenekli öğrenci olduğunu, bu öğrencilerin uygun yönlendirme ve kaynak dağıtımıyla büyük işler başarabileceğini duymak eminim salondaki insanlar için umut verici olmuştur.
Son olarak TOBB ETÜ ve Securify adına katılan Prof. Dr. Kemal Bıçakçı’nın STM’nin düzenlediği Capture the Flag yarışmasına benzer bir başka yarışmadan bahsetmesi kayda değerdi. Amerika’da DARPA öncülüğünde ulusal çapta düzenlenen Cyber Grand Challenge’a değinen Bıçakçı, bu yarışmanın tamamı makine (all-machine) bir siber hackleme turnuvası olduğunu kaydetti.
Yarışma sırasında en iyi takımların geliştirdiği Cyber Reasoning System (CRS), otomatik olarak yazılım açıklıklarını keşfediyor, sunucularını koruyor ve ağı olası açıklıklara karşı tarıyor; takımlar sistemlerinin bu kriterleri ne ölçüde yerine getirdiğine göre puanlanıyor. Yarışma sonucunda ilk üç takıma verilen ödüller ise 2 milyon dolar, 1 milyon dolar ve 750bin dolar gibi dudak uçuklatıcı rakamlar. Türkiye henüz böyle teşvikleri sunmaktan uzak olsa da, dünyada neler olup bittiğini yakından takip eden özel sektör, akademi ve kamu çalışanlarının varlığı olumlu sayılabilecek bir başlangıç.
Siber Bülten abone listesine kaydolmak için doldurunuz
