Etiket arşivi: pentagon

ABD

ABD ordusundan, hackerlara ‘hadi bizi hackleyin’ daveti

10 Mayıs 2017 Ergün Varlık Yorum yapın

Amerikan ordusu, siber güvenliğini geliştirmek amacıyla başlattığı ödül avcılığı (bug bounty) programlarına devam ediyor.

Bu kapsamda ‘Hack the Air Force’ ( Hava Kuvvetlerini Hackle) adıyla gelecek ay başlatılacak yarışmada beyaz şapkalı hackerlar, güvenlik zaafiyetlerini bulmak için ABD ordusunun kamuya açık web sitelerini hedef alacak.

Kurumların güvenlik sistemelerindeki açıkları bulmak üzere kurulan HackerOne adlı platformun yönettiği program kapsamında, onaylı uluslararası hackerlar, Amerikan ordusunun belirlenen bazı web sitelerini hacklemeye çalışacak.

Yeni yarışma, 138 güvenlik zaafiyetinin ortaya çıkarıldığı geçen yılki ‘Hack the Pentagon’ (Pentagon’u Hackle) programı ile 118 açığın tespit edildiği ‘Hack the Army’ (Orduyu Hackle) progamlarının devamı niteleğinde.

İlgili haber >> ABD’den hackerlara açık davet: Pentagon’u hackle!

SADECE ‘FIVE EYES’ VATANDAŞLARI KATILABLİYOR

Kayıtların 15 Mayıs’ta alınmaya başlanacağı yarışmaya birbirleriyle istihbarat paylaşımında bulunan beş Anglosakson ülke ABD, İngiltere, Kanada, Avustralya ve Yeni Zellanda’dan oluşan Five Eyes (Beş Göz) vatandaşı beyaz şapkalı hackerlar katılabilecek.

‘Hack the Pentagon’ programında, beyaz şapkalı hackerlara buldukları açıklar karşılığında toplam 75 bin dolar ödül verilmişti. Kişi başına ödüller 1 dolar ile 15 bin dolar arasında değişmişti. ‘Hack the Air Force’ programındaki ödül dağılımının ne olacağı ise açıklanmadı.

İlgili haber >> Pentagon’un gizlice anlaştığı uzmanlar, 4 saatte kritik sistemleri avladılar

‘AMAÇ SİBER GÜVENLİĞİ ARTIRMAK’

Yarışmayla ilgili bilgi veren ABD Hava Kuvvetleri Bilişim Güvenliği Daire Başkanı Peter Kim, “Kötü niyetli hackerlar her gün sistemimize sızmaya çalışıyor. Bu kez dost hackerlerın hedef alması güzel olacak. En önemlisi, siber güvenliğimizi ve savunma durumumuzu nasıl geliştireceğimizi göreceğiz.” diye konuştu.

Teknoloji haber-analiz sitesi Nextgov, Amerikan ordusunun bu programlarına ek olarak ABD Savunma Bakanlığı’nın da web siteleri yerine, ısıtma sistemlerindeki sensörler gibi altyapının hedef alınacağı bir başka programın startını verebileceğini yazdı.

İnternet bağlantılı olabilen bu tür fizikî altyapılar, muhtemel saldırılara karşı zaafiyet oluşturabiliyor.

Nextgov’un konuyla ilgili haberine göre 15 askerî tesise yapılan ziyaretlerde, kontrol sistemlerindeki teçhizatların yüzde 75’inde artık desteklenmeyen Windowx XP, Windows 98 ve Windows 95 gibi işletim sistemleri bulundu.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]

Siber Güvenlik

Gizli bilgiler güvensiz ağlara emanet edilebilir mi? DARPA’ya göre ‘evet’

27 Şubat 2017 Ergün Varlık Yorum yapın

Amerikan Savunma Bakanlığı’na bağlı İleri Savunma Araştırma Projeleri Ajansı (DARPA), güvenli el ağları geliştirmek için bir program başlattı. SHARE (The Secure Handhelds on Assured Resilient networks at the tactical Edge) adı verilen program, tıkalı taktiksel ağlar üzerinden gizli bilgi paylaşma problemini çözmeyi amaçlıyor. DARPA, bu programla gizli veya hassas bilgileri güvensiz ağlar üzerinden güvenli bir şekilde göndermeyi başarmayı umuyor.

İlgili haber >> DARPA yenilmez kodu hayata geçirmeye hazırlanıyor

DARPA tarafından yapılan açıklamaya göre, “Bu tür bilgilerin paylaşımı için normal süreç, özel güvenlik seviyesine sahip verilerin iletimi için, onaylanmış özel dijital ‘borularla’ sunucuları güvene alan uçtan uca bağlantı gerektiriyor. Eğer taktiksel ağ aşırı yüklenmişse ya da bir aksaklık dijital zincirde bir kesintiye sebep olursa, mesaj veya veriler genellikle kayboluyor ve bir bağlantı tamamlanıncaya kadar sürecin tekrarlanması gerekiyor, böylece bu durum potansiyel olarak hızlı hareket eden taktiksel durumlarda görevin gerçekleştirilmesini engelliyor. Buna ek olarak, farklı seviyelere sahip Amerikan gizli bilgilerini yönetmek için gerekli olan mevcut bilgisayarlar ve altyapı, sahada taktiksel kullanım için çok hantal durumda ve harekete geçirilmesi aylar ya da daha uzun süreler alabiliyor.”

İlgili haber >> Sıfırıncı gün pazarı düzenlenebilir mi?

Yine DARPA’ya göre; “SHARE, trafiği güvenli veri merkezleri üzerinden yönlendirmek zorunda kalmadan, cihazları birbirine bağlayan esnek, güvenli bir ağ kullanan, tek bir el cihazında birden fazla güvenlik sınıflandırmasına göre bilgi işleyebilecek bir sistem oluşturmayı amaçlıyor. Bu kapasite, hassas bilgilerin güvenliğini ve operasyonların güvenliğini korurken, mevcut ticari ve askeri ağlar üzerinde çalışabilir.”

SHARE üç alana odaklanacak: El cihazlarında dağıtılmış taktiksel güvenlik yönetimi için teknoloji ve politika araçları; zorlu ortamlarda çalışan dayanıklı ve güvenli mimarilere dayanan ağ teknolojileri ve ağ üzerinden güvenliği hızla yapılandıran yazılımlar. Amaç, bazı aygıtların ve güvenlik sınıflandırma düzeylerinin bir karışımının güvensiz ağlar üzerinden güvenli bilgi iletmesine izin vermek.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]

ABD, Uluslararası İlişkiler

Pentagon, kendi ağlarını hackleyecek şirket arıyor!

25 Ağustos 2015 Ergün Varlık Yorum yapın

Endgame şirketi, hükümetlere açıklıklarını belirlemek için “zero days – sıfır gün” adı verilen hackleme aracı satan yasal ama tartışmalı bir endüstrinin bir parçası.

Amerikan Savunma Bakanlığı, özellikle askeri ağlarını korumak için sivil bir siber güvenlik şirketi olan Endgame ile anlaşmayı planlıyor. Endgame şirketinden almayı düşündüğü “sıfır gün” adı verilen güvenlik uygulamaları, bir siber savunma uygulamasından daha çok siber saldırı amacıyla üretilmiş uygulamalar gibi gözüküyor. Ancak askeri yetkililer, satın alınacak bu uygulamalarla ağlardaki açıkların, hataların, eksikliklerin tespit edileceğini söylüyor. Bunun yanı sıra “en iyi savunma saldırıdır” düşüncesiyle bu araçların, saldırı hazırlığı içinde bulunan veya saldırı gerçekleştiren düşmanlara karşı bir “önleyici silah” veya “misilleme” olarak da kullanılacağı konuşuluyor.

Amerikan Siber Komutanlığı’nın koruma dairesi, sadece askeri ağlarını korumak için, hackleme araçları üreten Endgame şirketinin ürünlerine ihtiyaçları olduğunu söylüyor. Bir zamanların bu aşırı gizli tedarikçisi, şimdilerde hükümetlere sömürü (exploit) araçları veya bilgi güvenliği deyimiyle “sıfır gün” adlı ürünlerini satan, yasal ama tartışmalı bir endüstri olan siber silah ticaretinin bir parçası. Endgame’in geleneksel ürünleri, geliştiricilerin yazılımlarda tespit edemedikleri açıkları veya hataları bulmaları için üretiliyor. Genellikle kötü amaçlı yazılımlar, rakiplerin sistemlerini bozmak veya sızmak için yerleştiriliyor.

Ancak Siber Komutanlığı’nın “siber koruma ekipleri” için üretilen bu araçlar, rakip ağlara saldırmak için kullanılmayacak. Aksine bu satın almaları gerçekleştiren Hava Kuvvetleri’nin ifadesine göre etki alanlarındaki açıkları bulmak için kullanılacak. Yani saldırı değil, savunma amaçlı kullanılacak.

Hava Kuvvetleri Sözcüsü Üsteğmen Samanta Degnan’ın Nextgov’a anlattığına göre “İhale, saldırmaya yönelik hiçbir siber kabiliyeti içermiyor.” Ona göre temin edilen araçlar “tamamen savunma amaçlı ve savunmamızı geliştirmemiz için ağlarımız içindeki açıklıkları belirlememizi sağlıyor.”

Siber Komutanlığın koruma ekipleri çeşitli bölgesel savaşçı ekiplere ve askeri dallara bölünmüş durumda. Hava Kuvvetleri operasyonel endişelerden dolayı Endgame şirketinin teknolojilerini kimin kullanacağını açıklamıyor.

Degnan, “Amacımız herşey dahil bir ağ keşfi ve savunma farkındalığı elde etmek.” diye konuşuyor ve şöyle ekliyor: “Hükümet ağ taramalarını görselleştirme kapasitesine ve bizi sürekli olarak ağımızın durumu hakkında bilgilendirmesine ihtiyaç duyuyor. Ama aynı zamanda hedeflenen bir ağ akışına, sürekli olarak ağ içinde dolaşan ve o ağın mimarisini ve bilgilerini rapor eden daha kapsamlı ve detaylı bir rapor aracına ihtiyaç duyuyor.”

Amerikan Hava Kuvvetleri’ne ait 4 Ağustos tarihli ihale teklifi, anlaşmanın değerini içermiyor. Ancak Hava Kuvvetleri Nisan ayında Deniz Piyadeleri siber koruma ekibi için 2.64 milyon dolar değerinde bir anlaşma düzenlemişti.

Ardından geçen birkaç yılda Endgame, bilgi güvenliği ürünlerini şirketlere pazarlamaya başladı ve hükümet hizmetleri konusunda daha açık hale geldi.

Siber koruma ekibi olan CYBERCOM hakkında Endgame CEO’su Nate Fick, şunları söylüyor: “Ekipleri, ağ içinde bulunan düşmanları yakalamaları ve kendi çevreleri dışından gelebilecek potansiyel saldırıları izlemeleri için güçlendiriyoruz. Bu kapasiteler, korumacı bir duruş arayışında olan ve olası bir saldırının etkilerini minimize etmek isteyen müşterilerimiz için çok önemli kapasiteler.”

Gazeteci Shane Harris, 2014 yılında yayınlanan “@War: The Rise of the Military-Internet Complex/ @Savaşta: Askeri İnternet Kompleksinin Yükselişi” adlı kitabında

Endgame kurucusu ve eski CEO’su Chris Rouland’ın, bilgi güvenliği ihlalinden mağdur olanların önleyici ve misilleme saldırıları ile “geri hackleme” haklarını desteklediğini yazmıştı. 2013 yılı Eylül ayında New York’ta gerçekleştirilen uluslararası ilişkiler ve etik konulu bir konferansta katıldığı bir panelde ise Rouland, şu ifadeleri kullanmıştı: “Karşı koyabilmek için eninde sonunda bu ülkedeki şirketlere olanak vermemiz gerekiyor.” Harris, her ne kadar kişisel görüşlerini dile getirdiğini beyan etse de Rouland’ın Amerikan şirketlerinin misilleme yapmadıkları müddetçe asla güvenlik ihlallerinden kurtulamayacaklarını söylediğini bildirmişti.

4 Ağustos tarihli ihbarnameye göre Endgame’in, bu yeni siber koruma ekibi anlaşmasını hiçbir rekabet olmadan sağlama alması bekleniyor. Hava Kuvvetleri yetkilileri, kayıt sırasında “Ek ihale uyarısına yegane kaynak doğrulamasının ekleneceğini” söyledi.

HAFTALIK SİBER BÜLTEN RAPORUNA ULAŞMAK İÇİN FORMU DOLDURUNUZ[wysija_form id=”2″]

En İyi Savunma İyi Bir Saldırıdır

Bazı askeri uzmanlar, Pentagon’ın ağ kayıtları ve sensörlerinin Savunma Bakanlığı’nın bilgilerini korumak için yeterli olmadığını bu yüzden de Endgame’in test edilip onaylanmış çalışmalarının faydalı olabileceğini söylüyor.

New America Foundation’da deneyimli bir stratejist olan Peter W. Singer, “Savunma sadece kötü adamları ağın dışında tutmak veya bir kere girdiklerinde onları dışarı çıkarmak değildir. Savunma aynı zamanda onları bir saldırı hazırlığı içindeyken ve saldırı gerçekleştirirlerken de izlemektir. Hatta onların komuta etme, kontrol etme veya saldırıyı gerçekleştirebilme kabiliyetlerini onların ellerinden almaktır.” diye düşünüyor.

Endgame sistemlerini satın almak için Nisan ayında açıklanan gerekçede Lightstorm ve Torchpoint adlı iki ürünün özellikleri detaylandırılıyor. Buna göre bu iki ürünün kapasiteleri şu şekilde:

-Savunulan bölgelerdeki ağ araçlarını, bu sistemlere ayrıcalıklı erişim yetkisi olmadan tanımlamak

-Özelleştirilmiş veri seti ve/veya üçüncü taraf veri kaynakları ile birlikte çalışabilir ve ölçeklenebilir olmak

-Siber uzaydaki araçları ve değerleri komuta ve kontrol etmek

-Web tabanlı bir arayüz kullanan güvenli bir komuta ve kontrol altyapısı vasıtasıyla yasak çevrelere uzaktan ajan yerleştirmek

-Windows ve Linux platformlarında önceden belirlenmiş şekilde (hem sistem operasyonları hem de iletişim mekanizmaları) çalışmak

-Ajan yerleştirme sonrasında yönetebilmek, görüntüleme yapabilmek ve ortak bir Web arayüzü ile bütün araçlar hakkında raporlama yapabilmek

Yeni alışveriş listesindeki maddeler arasında Endgame’in Torchpoint Uygulaması, Kontrol ve Komuta Uygulaması Torchpoint Av Paketi, Torchpoint Dinleme Noktası ve Torchpoint Ajan Gizleme Paketi bulunuyor. Ürünler hakkında bir tanım ise bulunmuyor.

Üç çeşit Siber Komuta ekibi bulunuyor: siber koruma ekipleri, düşmanlara karşı saldırı operasyonları gerçekleştirebilen muharebe görev ekipleri ve önemli Amerikan sektörlerini hedef alan korsan saldırılarını püskürtecek ulusal görev ekipleri. CYBERCOM’un iş gücünün 2016 yılında 133 ekip ile 6,200 çalışana ulaşması bekleniyor.

Siber Komutanlığı komutanı Amiral Mike Rogers’ın 23 Temmuz’da Colorado’da gerçekleştirilen Aspen Güvenlik Forumu’nda söylediğine göre şu anda komutanın neredeyse yarısı tamamlandı. Rogers, “Savunma tarafındaki ilk ekipler, Savunma Bakanlığı ağlarını korumak üzere kelimenin tam manasıyla dünya genelinde ilk görevleri için konuşlandırıldılar.” dedi. Foruma katılmak için Washington’dan ayrılmadan hemen önce de “Dürüst olmak gerekirse başkentten ayrılmadan önce son yaptığım iş, dün gece bir ekibin özel bir konuda dünyadaki bir yerde çalışmak için konuşlanmaları talimatını vermek oldu.” açıklamasında bulunmuştu. Ancak bunun ne olduğunu açıklamayı reddetmişti.

Küresel, Sektörel

ABD’li Güvenlik Şirketine Saldırı Aylarca Tespit Edilmedi

7 Kasım 2014 Ergün Varlık Yorum yapın

Associated Press’in haberine göre, ABD hükümetinin taşeron şirketlerinden biri olan USIS’in bilgisayar ağlarına yapılan bir siber saldırı aylarca tespit edilemedi. USIS, ABD hükümetinin güvenlik istihbaratı işlerini yapan en önemli taşeron şirket.

İlk defa Ağustos’ta ortaya çıkarılan siber saldırı, Anayurt Güvenliği Bakanlığı’nda çalışan 25.000 çalışanın özel bilgilerini içeriyor. Saldırının şirkete maliyetinin milyonlarca dolar olmasından korkuluyor. Saldırganların kimliğini belirlemeye ve çalınan bilgilerin maliyetini hesaplamaya ek olarak, devlet yetkilileri saldırılan neden ilk anda tespit edilemediğini de araştırmaya çalışıyor.

Soruşturma hakkında detaylar, federal yetkililer ve olayın ilgilileri tarafından açıklandı. Taşeron şirketin avukatları, şirketin siber saldırı uyarı sisteminin federal yetkilerce Şubat ayında kontrol edildiğini belirtti. Saldırının daha önce Çin’den düzenlenen siber saldırılara benzediği vurgulanıyor. FBI’ın siber biriminin yönetici yardımcısı Joseph Demarest, saldırının oldukça “ustaca” olduğunu belirtirken daha fazla detay vermekten kaçındı.

Siber saldırıya uğrayan güvenlik şirketi USIS’in, devlette memur olarak görevli bireylerin sabıka kayıtlarını incelediği ve düzenlediği biliniyor. Bu durum, şirketi siber saldırganlar için çok değerli bir bilgi hazinesi haline getiriyor.

ABD, Sektörel, Siber Güvenlik

Pentagon satın alımlarda siber güvenliğe dikkat etmeli

6 Kasım 2014 Ergün Varlık Yorum yapın

Eğer önümüzdeki beş sene içinde Pentagon’u bekleyen en büyük sorunun ne olacağı sorusu ile muhatap kalsaydınız, muhtamelen siber güvenlik, şirket satın alımları ve savaş sistemlerinin ekonomisi aklınıza gelmezdi. Ancak bu üçlünün kesişiminde mühim bir zaafiyet yatıyor.

Satın alımlar ve paydaşlar meselesi, ve tabi siber güvenlik, bir çok insanın gözlerinin bulanmasına neden olabilir. Ancak terimler sizi aldatmasın. Bu, ilgi, ve dahası, eylemlilik gerektiren bir konu.

Her ne kadar şeytan ayrıntılarda gizli, ve ayrıntılar da genellikle karmaşık olsa da, meselenin özü basit: Silah platform ve sistemlerinin güvenliğini sağlayamazsak kontrolleri ele geçirilebilir.

Siber güvenliği sistem mimarisinin bir parçası yapmazsak, düşmalarımıza kendi elimizle bir avantaj vermiş oluruz.

Ulus devletlerden, teröristlere ve suçlulara, bize zarar vermek isteyen aktörlerin listesi uzayıp gidiyor. ABD sistemlerini ele geçirmek için bu aktörlerin ellerindeki kaynaklar arasında tedarik zinciri ve üretimi kullanmak da yer alıyor.

Düşmanlarımızın motivasyonu uçak ve uydularımızın tasarımlarını ele geçirerek bunlara karşı etkili siber saldırı strtejileri geliştirmek.

Bu onlar için de mantıklı. Ekonomik casusluk yolu ile ABD silahlarının tasarılarını ele geçirmek, zayıflıkları keşfetmek ve bu zayıflıkları olağan yollardan faydalanma şansı sağlıyor. Bu da düşmanlarımıza para ve emek tasarrufu yapıp, bunları kendi silahlarını geliştirmede harcama imkanı sunarak Amerikan ekonomisine zarar veriyor.

Savunma Bakanlığı, bilgisayar ağlarının korunması konusunda büyük bir uzmanlık birikimi edindi. Şimdi de savaş sistemlerinin korunması konusunda birikim edinmeli.

Savunma Bakanlığı tedarik zincirinin güvenliğini sağlıyor

Yoğun yazılım içeren ağ sistemleri için yüzlerce tedarikçiye bağlı olduğumuz ortada. Ancak ABD güvenlik sistemlerine güvenebilmemiz çok önemli. Bunun için de üretim ve tedarik zincirlerinden kaynaklanabilecek, sistemlerin uzaktan kontrol edilebilmesi potansiyelini en aza indirmemiz gerekiyor.

Bu amaca ulaşmak için çeşitli bakanlıkların direktifleri var.

Savunma Bakanlığı’nın Güvenilir Sistemler ve Ağlar Stratejisi alınan elektronik parçaların siber güvenliği ile ilgili olarak direktifler sunuyor. Direktifler, zaafiyet analizi, risk yönetimi sürecini bilgilendirmek için istihbarat sunulması ve güvenli tasarımlar gibi konuları içeriyor. Yakın zamanda Federal Savunma Satınalımlarının Denetimi ve Tamamlanması adıyla atılan adımlar sahte elektronik parçaların belirlenmesi konusunda doğru yönde gelişmeleri teşvik etti.

Ancak atılan adımların sonuçları uygulama aşamasında belli olacak. Sistemlerimizin mimarisi saldırıları belirlemek ve engellemek için bir bütün olarak ele alınmalı.

Savunma Bakanlığı’nın atması gereken 3 adım

Bu tür siber güvenlik sorunlarına göğüs gerebilmek için, şirket satınalma camiasında özellikle endistüri ile ortaklıklar kurup kritik parçaların güvenliğini inşa etmek gerekli. Basit bir çözüm olmasa da bu üç adım ilerleme sağlamak için önemli:

Eğitim: İşyeri eğitimleri ile konunun aciliyeti hakkında farkındalık sağlanmalı. Üniversitelere ulaşılmalı ve gelecek için sağlam bir temel atmak için güvenli mimari ve güvenli kodlama gibi konulara ağırlık verilmeli.

Yaymak: Sağlam bir siber güvenlik kültürü inşa etmek için, sürekli bir liderlik sağlanmalı.

Mühendislik: Güvenlik gereksinimlerinin analizi ve bu gereksinimlerin karşılanması tasarım sürecinin merkezi bir parçası olmalı. Mesela, ihlal belirleme sistemleri, sistemin ön kısmına entegre edilmeli. Dahası, daha genel anlamda mühendislik yaratıcılık ve tarasım olarak düşünülmeli, ve güvenlik sonradan eklenen bir düşünce değil, ana fikir olmalı.

Siber bir olayın yaşanmasıyle ilgili ancak ‘’ne zaman’’ sorusunu sorabiliriz, ‘’olacak mı’’ sorusunu değil. Bu nedenle en ihtiyatlı yaklaşım direnç ve saldırı anında işlevselliğin sağlanmasını odak almalı.

Bu bir parça da bizim riskleri daha iyi yönetebilmek için tehditlere ilişkin anlayışımızı geliştirmemiz gerektiği anlamına geliyor. Savunma Bakanlığı siber güvenlik verimliliği için, kritik silah ve güvenlik sistemlerini gözden geçirmeli.

Güvenlik ve kapasite tercihlerinin bedelleri analiz edilmeli

Savunma Bakanlığı’nın atabileceği bir diğer değerli adım, güvenlik ve kapasiteye ilişkin tercihlerin ne tür bedelleri olduğunun analiz edilmesi. Bu güvenlik ve kapasite arasında ne tür bir denge gerektiğini belirlemek için Savunma Bilim Kurulu tarafından tasarlanıp yürütülebilir.

Eğer doğru yapılırsa, böyle bir analiz siber güvenlik politikalarının şirket satınalma süreçlerine bilimsel bir şekilde dahil edilmesini sağlar.

Ulusal Standartlar ve Teknoloji Enstitüsü’nün siber güvenlik çerçevesinin kabul edilmesi, satın alma çevrelerine güvenlik kontrollerinin öneminin belirtilmesinde yardımcı olabilir.

Ancak, eğitim ve kültür değişimi zaman alır. Yeterince emek ile, güvenlikli teknolojilerin üretilmesi ve bu teknolojilerin kullanılması, ve dahası, risk temelli siber güvenlik anlayışının yaygınlaşması, ‘’havalı’’ bir davranış olarak kabul görebilir.

Bu aşamaya ne kadar hızlı erişirsek, ülkemiz için o kadar iyi olacaktır.

* Bu yazının orjinali www.nextgov.com adlı site için Michael Papay , Frank J. Cilluffo ve Sharon Cardash tarafından kaleme alınmıştır.

Siber Bülten