GİRİŞ
Bilişim Hukuku Derneği tarafından hazırlanan bu rapor, adliyelere yansıyan suç dosyalarından ve aynı zamanda Derneğin bilişim uzmanlarınca yapılan çalışmalardan derlenerek hazırlanmıştır.
Raporun amacı; içeriğinde sunulmuş olan bilgiler doğrultusunda Kamuoyunun, Kamu Kurum ve kuruluşların, bankaların, elektronik ticaret alanında faaliyet gösteren firmaların ve diğer tüm ilgililerin bilgilendirilmesi ve tedbir almalarının sağlanmasıdır.
Siber güvenlik konusu içinde bulunduğumuz dönem itibariyle kişiler, şirketler ve devletler açısından büyük önem arz etmektedir. Siber güvenlik konusunda oluşabilecek muhtemel açıklar telafisi mümkün olmayan zararlara, büyük maddi kayıplara ve hatta Devlet güvenliğinin riske girmesine neden olabilir.
Konu her ne kadar oldukça geniş kapsamlı ve uzun anlatımlara gereksinim duysa da mümkün olduğu kadar yalın ve kısa değinmelerle açıklanmaya çalışılmıştır.
Kamuoyunun Bilgisine Saygılarımızla Sunarız.
E-Ticaret, Mobil Uygulamalar, Bankacılık Sistemleri, Kamu Kurumları açısından Bazı Siber Güvenlik Açıkları ve Penetrasyon Testi
İnternet siteleri, yapıları itibariyle bir bilgisayar üzerinde isteklere cevap veren yazılımlarla oluşturulan, herkese açık bir protokoldür. Siteyi oluşturan ve yöneten kişilerin davranışları ve isteklerine göre saklanan kimi bilgiler herkese açık, kimi bilgiler ise sadece belirli kullanıcıların görebilecekleri şekilde filtrelenirler.
E-posta gönderebilmek için kullanılan mail sistemleri, kullanıcı adı ve şifre gibi (kimi zaman telefon doğrulaması) 2 veya 3 sabit değere bağlı olarak çalışırlar. Sistemin mail sahibini tanıması için bu bilgiler yeterlidir. Bu açıdan bakıldığında bu bilgilere bir şekilde ulaşan herhangi başka bir şahıs, asıl yetkili adına mail gönderebilir, mailleri görüntüleyebilir veya sistemde herhangi bir değişiklik yapmadan akışı izleyebilir. Herhangi bir özel bilgi içermeyen mail adresleri için bu bir sorun teşkil etmese de kurumlar için bu tarz bir zafiyet, güvenlik açısından fazlasıyla önemlidir.
İnternet siteleri, yapıları itibariyle kendisine verilen komutlara cevap verecek şeklinde oluşturulmuştur. Yayını gerçekleştiren sunucu bilgisayar üzerine erişilip isteğe uygun komutların yazılması, istenilen bilgilere ulaşılabileceği anlamını taşır. Bir web sayfasının herhangi bir kısmında bulunan güvenlik açığı kullanılarak, o bilgisayar üzerinde erişim izni için şifre isteyen herhangi bir bilgi kolaylıkla ulaşılabilir hale gelebilmektedir. Peki bu ne gibi sıkıntılara yol açar?
E-TİCARET
İnternetten alışveriş yapmak ve ticaret gerçekleştirmek günümüzde fazlasıyla popülerdir. Kredi kartı sahipleri sadece saniyeler içerisinde istedikleri ürünü satın alabilmektedirler. İnanılmaz derecede hızla yükselen bu teknoloji, kolaylaştırdığı hayatın yayında büyük riskleri de beraberinde taşır. E-ticaret siteleri bu hızlı teknolojiye yardımcı olmak ve kimi zaman ise bilgi deposu oluşturabilmek için kullanıcıların sisteme giriş yaptığı verileri saklarlar. Bir sonraki alışverişlerinde herhangi bir bilgiye ihtiyaç duymadan tek tıkla sistemdeki kart bilgileriyle alışveriş yapabilme imkanı sunan siteler, üyelerin kredi kartı bilgilerini kendi veritabanlarında saklamaktadırlar.
Mail sistemindeki gibi e-ticaret sitelerinin de sizi tanıyabilmesi için kimi bilgileri sisteme girmeniz gerekmektedir. Mail sisteminde verilen örnekler bu kısım için de geçerlidir. Sistem üzerinde yönetim gücüne sahip olabilmek ve site veritabanındaki bilgilerin hepsine sınırsız bir erişim sağlamak, sadece adres çubuğundan siteye gönderilecek bir satır kod kadar basit olabilmektedir. Yazılımsal, tasarımsal ve sunucu bazlı güvenlik zafiyetleriyle herhangi bir kullanıcı adı şifreye bağlı olmadan web sitelere tamamen hükmedebilir, kimi zaman site yöneticisinin de yetkisinin üzerinde işlemler gerçekleştirebilirsiniz. (SQL Injection, XSS ve RFI gibi methodlar, günümüzde birçok web sitesinde karşılaşılan ve ciddi sorunlara yer açan maniplasyon yöntemlerindendir.)
MOBİL CİHAZLAR VE UYGULAMALAR
Kabuk bağlantılar olarak adlandırılan shell ismindeki dosyalar, cep telefonundan çekilen bir resmin dosya boyutundan daha küçük, hızlı tanışabilir zararlı dosyalardır. Bu dosyaların bulunduğu bilgisayarlar, uzak bir istemci üzerinden sistemin tamamen ulaşılabilir hale gelmesini sağlamaktadır. Bunlar iletişim formlarından, ziyaretçi defterlerinden, profil fotoğrafı yükleme alanlarından, mesaj gönderme sayfalarından sisteme enjekte edilebilir. Enjekte edildiği anda ise o sisteme şifreyle erişim istenen verilere ulaşılması sadece saniyeleri almaktadır. Şifreyle girilen ve bilgi barındıran, dünya çapındaki tüm web siteleri bu riskleri her an taşımaktadır. Sistemin yöneticileri tarafından istenmeyen, zararlı aksiyonlar gösterebilmek için art niyetli kişiler tarafından gerçekleştirilecek herhangi bir saldırı, milyonlarca kişinin 3. kişilerin eline geçmemesi gereken bilgilerini ifşa edebilir. Bu bilgiler, kredi kartı bilgileriyle birlikte paylaşılması rahatsızlık verebilecek özlük bilgileri de olabilir.
Mobil uygulamalar, akıllı telefonların artmasıyla birlikte büyük bir pazar alanı oluşturarak insanlara hizmet etmektedirler. Kimi zaman keyifli vakit geçirmek için indirilen oyunlar, kimi zaman ise o anı kolaylaştırabilecek pratik birçok uygulama, mobil cihazların marketlerinden kolaylıkla erişilebilir haldedir. Bu uygulamalar kendilerinin sistemde stabil bir şekilde çalışabilmesi için, yükleme öncesinde yükleyen tarafa bir takım izin isteklerinde bulunur. Bu izinler genel olarak sistem dosyalarına, kameraya, mikrofona, kişi listesine, arama kaydına, mesajlara, fotoğraflara, videolara, müziklere şeklinde listelenmektedir. İndirdiğiniz bir uygulama, bu izinlere neden ihtiyaç duyar?
Mesajlaşma uygulamalarını ele aldığımızda, uygulama üzerinden fotoğraf gönderebilmek için fotoğraflara ve kamera uygulamasına erişimin, yükleme öncesinde onaylanması gerekir. Birçok kişinin okumadan geçtiği izin sayfalarında bu izinlerin hangi amaçlarla kullanılacağı belirtilmektedir. Daha basit bir ifadeyle, bu izinler verildikten sonra uygulama, size herhangi bir şekilde soru sormadan izin aldığı alanları, istediği an kullanabilmektedir. Mesajlaşma uygulaması için verilen fotoğraf ve mikrofon donanım aygıtlarına erişim, sadece bu amaçla mı kullanılmaktadır? Elbette hayır. Bu izinler verildikten sonra uygulama sahibi, herhangi bir belirteç olmadan sizin telefonunuza hükmedebilir. Uygulama marketlerine yüklenirken, işletim sistemi denetçileri için mesajlaşma uygulaması gibi görünen ve izinleri almasında herhangi bir sıkıntı bulunmayan uygulamalar, günümüzde rahatlıkla ortam dinlemesi ve günlük hayatın izinsiz bir şekilde takip edilmesinde kullanılmaktadır. Uygulama sahipleri bu izinleri sadece kendi programlarının düzgün bir şekilde çalışması için almış olsa bile, web ortamındaki atakların mobil uygulamalar için de geçerli olduğunu söyleyebiliriz.
Command Injection olarak bilinen saldırı tipi, platform farkı gözetmeksizin tüm faaliyet alanlarında kullanılabilir. Markette indirilme sayısı milyonları geçmiş olan herhangi bir uygulamayı saniyeler içerisinde komut enjeksiyonuna tabi tutarak zafiyetleri üzerinden etkisiz hale getirebilirsiniz. Egoist olan hackerlar genel olarak uygulamaları ya etkisizleştirirler ya da kendi imzalarını atıp sistemden uzaklaşırlar. Bu durumda market ve uygulama sahibi durumdan anlık olarak haberdar olur ve zafiyeti giderir. Kötü senaryo ise market ve uygulama geliştiricisinin bu durumdan haberdar olmaması, yani sisteme izinsiz bir şekilde yönetici rütbesiyle giriş yapan kişinin sistemi aksatmaması, imza atmaması veya manipüle etmemesi. İşte bu noktada uygulamaların aldığı erişim izinleri, art niyetli kullanıcıların hizmetine sunuluyor. Basit bir vakit geçirme aracı olarak gördüğünüz ses değiştirme uygulamasının keyifli dakikalar yaşattığı doğru olabilir fakat bu uygulama hacklendiğinde bu faaliyeti gerçekleştiren kişilerin sizden herhangi bir izne ihtiyaç duymadan, uygulamanın açık olmasına dahi gerek kalmadan ortam dinlemesi yapabileceğini biliyor muydunuz? Riskler sadece bununla da sınırlı değil. Böyle bir zararlı faaliyetin gerçekleşmesi durumunda telefonunuzdaki mesajların, yaptığınız sesli ve görüntülü görüşmelerin kopyaları istenen kişilere eş zamanlı olarak ulaştırılabilir, bulunduğunuz konum anlık olarak takip edilebilir, sizden izinsiz olarak aramalar ve mesaj gönderimleri gerçekleştirilebilir.
BANKACILIK SİSTEMLERİ
Güvenlik riskleri sadece internet siteleri ve mobil uygulamalar için geçerli değildir. Bir bilgisayar üzerinden bir ağa bağlı olarak hizmet veren, tüm donanımlar ve yazılımlar kapsamları çerçevesinde kendilerine problem doğurabilmektedirler. Televizyon yayını gerçekleştiren donanımlar, yurt çapındaki ATMler, trafik lambaları, POS cihazları ve daha fazlası...
Cep telefonunuzdan yaptığınız bir havale işlemi, transfer yaptığınız tarafa ulaştığında tutar ATM üzerinde görüntülenebilmektedir. Aynı şekilde internet üzerinde kredi kartıyla yaptığınız işlemi, bankanın mobil uygulaması ile işlem detayları şeklinde inceleyebilirsiniz. Çerçeveye geniş açıdan baktığımızda, aslında platform farkı gözetmeksizin tüm işlemlerin ana bir birimde gerçekleştirilip yansı sonuçların farklı yerlerden ulaşılabilir halde olduğunu görüyoruz. Tüm faaliyetler sırasında birçok internet ağ yapısı, farklı cihazlara uygun yazılımlar, intranetler ve veritabanları devreye giriyor. Bu da daha grift bir yapı alarak zafiyet riskini artırıyor. Kontrol edilebilir en rahat ve güvenlikli sistem, fişi çekilmiş olan yapıdır.
Tamamen güvenliğine hükmettiğinizi düşündüğünüz anda gelen bir yazılım güncellemesi sizi tekrar çalışma yapmaya iter. Bu döngü herhangi bir zamanda doygunluk noktasına ulaşamayacağı için güvenlik konusu, başa gelen ciddi bir marka veya ticari kayıptan sonra değil, öncesinde rutin olarak ele alınması gereken önemli bir başlıktır. Bu güvenlik zafiyetleri, sızma testi (penetrasyon test) adıyla gerçekleştirilen testlerle, ön görülebilir şekilde raporlandırılırlar. Bankacılık mevzuat hükümleri de bu testin yaptırılması (belirli aralıklarla) zorunlu kılınmıştır.
Bankalar tüm platformlardan istek alabilir şekilde yapılandırıldığı için, donanıma ve yazılıma sahip olduğu tüm alanlarda farklı türde risklere sahiptir. Mobil uygulama üzerinden kredi kartı hesabınıza erişebiliyor olmanız, ciddi bir kolaylık olduğu gibi, zararlı faaliyet yürüten ve yüklü diğer uygulamalara erişim izni almış olan bir mobil yazılım, sizin gerçekleştirebileceğiniz tüm aksiyonları hesabınız üzerinde gerçekleştirebilir. Bunun için ekstra herhangi bir bilgiye ihtiyaç duymadan telefonunuzu bir zombi olarak kullanarak kendisini bir perde arkasında da gizleyebilir. Bu da yasal olarak, kişilerin bulunabilmesi için ehemmiyetli bir zorluk çıkarmaktadır.
Yorucu bir gün sonrasında kahve içmek için arkadaşınızla oturduğunuz bir kafede ödeme yaptığınız anda dahi bilgileriniz başkalarının eline geçebilir. Bunu paranoya haline dönüştürmeye gerek yok desek de, durum ne işletmenin ne de sizin elinizde. Yeni teknolojilerle birlikte artık bir işletme için birden fazla pos cihazına ihtiyaç yok. İşletmeye konulan bir sunucu yardımıyla (POS Server) seyyar cihazlar ödeme işlemlerini WIFI ağı üzerinden sunucuya gönderiyor ve işlem tek bir bilgisayar üzerinde gerçekleştiriliyor. Birden fazla masada ödemenin alınabilmesi için birden fazla pos cihazı yerine sadece ödeme detayının ve şifre bilgilerinin girilmesi için POS cihazına benzer donanımların WIFI üzerinden sunucuya bilgi aktarması, maliyet açısından daha avantajlı görünüyor ve dünya bu teknolojiye geçiş yapıyor. Tekrar tekrar anlatıldığı gibi, teknolojinin bu hızla ilerlemesi iyi yanlarıyla birlikte kötü senaryoları da peşinden sürüklüyor.
Günümüzde telefonlar, birçok cracking ve hacking işleminde rahatlıkla kullanılabiliyor. Maliyetleri düşen donanımlar yardımıyla telefonlar birden çok özelliğe kavuşuyor. Wifi aracılığıyla internete girebilme özelliğine sahip olan telefonlar, yüklü yazılımlar yardımıyla POS Server yapısını kullanan işletmelerde kredi kartı bilgilerini herhangi bir başka işlem yapmadan, sadece uygulamayı açıp masanızda kahvenizi yudumlarken toplayabilir. İşin vahim tarafı ise seyyar cihazlardan toplanan bilgiler sunucu bilgisayara şifrelenmeden gidiyorsa, eş zamanlı olarak karşı masada yapılan bir ödeme detayının (kredi kartı bilgileri de dahil olmak üzere) bir kopyasını kendinize mail atabilirsiniz. Penetrasyon testin önemi burda kendini bir kez daha gösteriyor. Sızma testi sadece web uygulamalarına değil, ağ yapısını kullanan tüm donanımlara ve *** programlama da dahil olmak üzere tüm yazılım alt yapılarına periyodik uygulanması gerekir.
KAMU KURUM VE KURULUŞLARI
Televizyon üzerindeki canlı yayına veya trafik lambalarına müdahele edebilmek, sadece yabancı menşeli filmlerde karışılaşılan bir olgu gibi görünse de, aslında durum ve şu anki zafiyetler bunu gerçekleştirebilecek kadar rahat. Sistemli bir çalışma ile intranet (kendi içinde kapalı ağ yapısı olarak çevirilebilir) alt yapıları dahi dışarıdan kontrollerle erişime açık hale getirilebilir. Bir televizyon kanalının web sayfasında bulunan bir SQL Injection açığı, o sunucuya tamamen erişim yetkisi kazandırabilir. Bu server, intranete organik olarak bağlı olmasa bile, aynı ağ alt yapısını kullanan cihazlarla kesişebilmektedir. Web siteyi bir araç olarak kullanarak, ana sistem içerisindeki canlı yayını gerçekleştiren cihazlara, prompterlere, yazıcılara, hoparlörlere ve daha fazla birçok donanıma erişebilirsiniz.
Gerçek intranet ile Türkiyedeki intranet arasında en çok karıştırılan konu ise dışarıya tamamen kapalı bir ağ yapıları olduğuna inanılmasıdır. Intranetlerin tamamen kapalı bir ağ olabilmesi için ağa katılmış olan tüm cihazların herhangi başka bir yapı ile iletişim kurmaması gerekmektedir. Bu diğer yapının en büyük örneği ise internettir. Intranete bağlı herhangi bir bilgisayarın internete bağlanması, o ağın kapalı olarak hizmet vermesi konusunda zafiyet oluşturur. Aynı şekilde gerçek intranet sistemlerinde haberleşme protokollerinin hepsi kapatıldığı gibi, paket yazılımlar da kullanılmamaktadır.
Tüm bu siber tehditlerin doğrultusunda asıl hedefleri, web siteler veya mobil uygulamalar olarak sınırlandırmak yanlış olur. Örneklerle belirtildiği gibi bu uygulamalar yazılımsal ve donanımsal açıdan amaç değil, araç olarak kullanılabilirler. Örneğin bir kurumun ağ yapısına ulaşmak, dışardan çok güç olsa da web siteleri üzerinden bir tünel oluşturup içerden birisi gibi davranabilmeniz mümkün olabilir.
Devlet kurumları içerisinde barındırılan sunucular ve ağ yapıları, kendi web siteleri üzerinden birçok riskli duruma açık bir halde yayın hayatına devam etmektedir. İç görüşmeler, bilgi aktarımları, önemli belgelerin saklandığı intranet sunucuları, mail sistemleri, evrak depolama arşivleri gibi dijital ortamda saklanan ama organik olarak internet bağlantısı bulunmayan yapılara erişim, içerdeki ağa bağlı herhangi bir bilgisayarı çözümleyerek kaldırılabilir. Bu durum çalıştırılabilecek ve antivirüslere takılmayacak olan bir uygulamayla veya web sitelerin hacklenmesi durumunda proxy olarak kullanılmasıyla çok rahat bir şekilde gerçekleştirilebilir.
Türkiyede son süreçte siber saldırıların hedefi halindedir. Kurumların bilgi işlem güvenliği teknik personel açığından dolayı tam anlamıyla sağlanamamaktadır. TÜBİTAK ve diğer konu ile ilgili bilirkişi kabul edilen kurumlar mahkeme taleplerine cevap veremez hale gelmiştir. Gerekli görevlendirmelerin yapılıp durumun düzeltilememesi halinde çok daha vahim neticelerle karşılaşılması muhtemeldir.
PENETRASYON TESTİ
ÖSYM sınav sorularına ilişkin sızıntılar, elektrik santrallerine ve termik santrallere yönelik saldırılar, Kurumların bilgi sistemlerinde görülen casus yazılımlar ve ticari operasyonlar siber saldırı yolları ile gerçekleştirilmektedir. Herhangi bir siber saldırı durumunda yeterlilikler ile alakalı durumu görebilmek adına düzenli olarak gerçekleştirilmesi gereken sızma (penetrasyon) testi, hastalık sonrası iğne değil, bağışıklık kazanılmak için vurulan aşıların bütünüdür.
Her gün yeni bir saldırı tipinin geliştiği siber savaş ortamında bağışıklık sistemini dirençli tutulabilmek için gerekli tüm müdahaleler öncesinden alınmalıdır. Kaybedilecek şeyler ülke güvenliği ve milli değerler için riskli olabileceği gibi marka ve ekonomik yönden itibar kayıplarına da neden olabilecek derecededir.
Genel olarak sızma testleri, teknik terimler bir yana; bilginin olduğu, depolandığı ve aktif olarak kullanıldığı her yerde gerçekleştirilmesi gereken önemli bir uygulamadır. Olumsuz sonuçlar vuku bulduğunda değil, sistemin sağlığı açısından, belirli aralıklarla rutin olarak gerçekleştirilmesi gereken bir testtir.
Bilişim Hukuku Derneği tarafından hazırlanan bu rapor, adliyelere yansıyan suç dosyalarından ve aynı zamanda Derneğin bilişim uzmanlarınca yapılan çalışmalardan derlenerek hazırlanmıştır.
Raporun amacı; içeriğinde sunulmuş olan bilgiler doğrultusunda Kamuoyunun, Kamu Kurum ve kuruluşların, bankaların, elektronik ticaret alanında faaliyet gösteren firmaların ve diğer tüm ilgililerin bilgilendirilmesi ve tedbir almalarının sağlanmasıdır.
Siber güvenlik konusu içinde bulunduğumuz dönem itibariyle kişiler, şirketler ve devletler açısından büyük önem arz etmektedir. Siber güvenlik konusunda oluşabilecek muhtemel açıklar telafisi mümkün olmayan zararlara, büyük maddi kayıplara ve hatta Devlet güvenliğinin riske girmesine neden olabilir.
Konu her ne kadar oldukça geniş kapsamlı ve uzun anlatımlara gereksinim duysa da mümkün olduğu kadar yalın ve kısa değinmelerle açıklanmaya çalışılmıştır.
Kamuoyunun Bilgisine Saygılarımızla Sunarız.
E-Ticaret, Mobil Uygulamalar, Bankacılık Sistemleri, Kamu Kurumları açısından Bazı Siber Güvenlik Açıkları ve Penetrasyon Testi
İnternet siteleri, yapıları itibariyle bir bilgisayar üzerinde isteklere cevap veren yazılımlarla oluşturulan, herkese açık bir protokoldür. Siteyi oluşturan ve yöneten kişilerin davranışları ve isteklerine göre saklanan kimi bilgiler herkese açık, kimi bilgiler ise sadece belirli kullanıcıların görebilecekleri şekilde filtrelenirler.
E-posta gönderebilmek için kullanılan mail sistemleri, kullanıcı adı ve şifre gibi (kimi zaman telefon doğrulaması) 2 veya 3 sabit değere bağlı olarak çalışırlar. Sistemin mail sahibini tanıması için bu bilgiler yeterlidir. Bu açıdan bakıldığında bu bilgilere bir şekilde ulaşan herhangi başka bir şahıs, asıl yetkili adına mail gönderebilir, mailleri görüntüleyebilir veya sistemde herhangi bir değişiklik yapmadan akışı izleyebilir. Herhangi bir özel bilgi içermeyen mail adresleri için bu bir sorun teşkil etmese de kurumlar için bu tarz bir zafiyet, güvenlik açısından fazlasıyla önemlidir.
İnternet siteleri, yapıları itibariyle kendisine verilen komutlara cevap verecek şeklinde oluşturulmuştur. Yayını gerçekleştiren sunucu bilgisayar üzerine erişilip isteğe uygun komutların yazılması, istenilen bilgilere ulaşılabileceği anlamını taşır. Bir web sayfasının herhangi bir kısmında bulunan güvenlik açığı kullanılarak, o bilgisayar üzerinde erişim izni için şifre isteyen herhangi bir bilgi kolaylıkla ulaşılabilir hale gelebilmektedir. Peki bu ne gibi sıkıntılara yol açar?
E-TİCARET
İnternetten alışveriş yapmak ve ticaret gerçekleştirmek günümüzde fazlasıyla popülerdir. Kredi kartı sahipleri sadece saniyeler içerisinde istedikleri ürünü satın alabilmektedirler. İnanılmaz derecede hızla yükselen bu teknoloji, kolaylaştırdığı hayatın yayında büyük riskleri de beraberinde taşır. E-ticaret siteleri bu hızlı teknolojiye yardımcı olmak ve kimi zaman ise bilgi deposu oluşturabilmek için kullanıcıların sisteme giriş yaptığı verileri saklarlar. Bir sonraki alışverişlerinde herhangi bir bilgiye ihtiyaç duymadan tek tıkla sistemdeki kart bilgileriyle alışveriş yapabilme imkanı sunan siteler, üyelerin kredi kartı bilgilerini kendi veritabanlarında saklamaktadırlar.
Mail sistemindeki gibi e-ticaret sitelerinin de sizi tanıyabilmesi için kimi bilgileri sisteme girmeniz gerekmektedir. Mail sisteminde verilen örnekler bu kısım için de geçerlidir. Sistem üzerinde yönetim gücüne sahip olabilmek ve site veritabanındaki bilgilerin hepsine sınırsız bir erişim sağlamak, sadece adres çubuğundan siteye gönderilecek bir satır kod kadar basit olabilmektedir. Yazılımsal, tasarımsal ve sunucu bazlı güvenlik zafiyetleriyle herhangi bir kullanıcı adı şifreye bağlı olmadan web sitelere tamamen hükmedebilir, kimi zaman site yöneticisinin de yetkisinin üzerinde işlemler gerçekleştirebilirsiniz. (SQL Injection, XSS ve RFI gibi methodlar, günümüzde birçok web sitesinde karşılaşılan ve ciddi sorunlara yer açan maniplasyon yöntemlerindendir.)
MOBİL CİHAZLAR VE UYGULAMALAR
Kabuk bağlantılar olarak adlandırılan shell ismindeki dosyalar, cep telefonundan çekilen bir resmin dosya boyutundan daha küçük, hızlı tanışabilir zararlı dosyalardır. Bu dosyaların bulunduğu bilgisayarlar, uzak bir istemci üzerinden sistemin tamamen ulaşılabilir hale gelmesini sağlamaktadır. Bunlar iletişim formlarından, ziyaretçi defterlerinden, profil fotoğrafı yükleme alanlarından, mesaj gönderme sayfalarından sisteme enjekte edilebilir. Enjekte edildiği anda ise o sisteme şifreyle erişim istenen verilere ulaşılması sadece saniyeleri almaktadır. Şifreyle girilen ve bilgi barındıran, dünya çapındaki tüm web siteleri bu riskleri her an taşımaktadır. Sistemin yöneticileri tarafından istenmeyen, zararlı aksiyonlar gösterebilmek için art niyetli kişiler tarafından gerçekleştirilecek herhangi bir saldırı, milyonlarca kişinin 3. kişilerin eline geçmemesi gereken bilgilerini ifşa edebilir. Bu bilgiler, kredi kartı bilgileriyle birlikte paylaşılması rahatsızlık verebilecek özlük bilgileri de olabilir.
Mobil uygulamalar, akıllı telefonların artmasıyla birlikte büyük bir pazar alanı oluşturarak insanlara hizmet etmektedirler. Kimi zaman keyifli vakit geçirmek için indirilen oyunlar, kimi zaman ise o anı kolaylaştırabilecek pratik birçok uygulama, mobil cihazların marketlerinden kolaylıkla erişilebilir haldedir. Bu uygulamalar kendilerinin sistemde stabil bir şekilde çalışabilmesi için, yükleme öncesinde yükleyen tarafa bir takım izin isteklerinde bulunur. Bu izinler genel olarak sistem dosyalarına, kameraya, mikrofona, kişi listesine, arama kaydına, mesajlara, fotoğraflara, videolara, müziklere şeklinde listelenmektedir. İndirdiğiniz bir uygulama, bu izinlere neden ihtiyaç duyar?
Mesajlaşma uygulamalarını ele aldığımızda, uygulama üzerinden fotoğraf gönderebilmek için fotoğraflara ve kamera uygulamasına erişimin, yükleme öncesinde onaylanması gerekir. Birçok kişinin okumadan geçtiği izin sayfalarında bu izinlerin hangi amaçlarla kullanılacağı belirtilmektedir. Daha basit bir ifadeyle, bu izinler verildikten sonra uygulama, size herhangi bir şekilde soru sormadan izin aldığı alanları, istediği an kullanabilmektedir. Mesajlaşma uygulaması için verilen fotoğraf ve mikrofon donanım aygıtlarına erişim, sadece bu amaçla mı kullanılmaktadır? Elbette hayır. Bu izinler verildikten sonra uygulama sahibi, herhangi bir belirteç olmadan sizin telefonunuza hükmedebilir. Uygulama marketlerine yüklenirken, işletim sistemi denetçileri için mesajlaşma uygulaması gibi görünen ve izinleri almasında herhangi bir sıkıntı bulunmayan uygulamalar, günümüzde rahatlıkla ortam dinlemesi ve günlük hayatın izinsiz bir şekilde takip edilmesinde kullanılmaktadır. Uygulama sahipleri bu izinleri sadece kendi programlarının düzgün bir şekilde çalışması için almış olsa bile, web ortamındaki atakların mobil uygulamalar için de geçerli olduğunu söyleyebiliriz.
Command Injection olarak bilinen saldırı tipi, platform farkı gözetmeksizin tüm faaliyet alanlarında kullanılabilir. Markette indirilme sayısı milyonları geçmiş olan herhangi bir uygulamayı saniyeler içerisinde komut enjeksiyonuna tabi tutarak zafiyetleri üzerinden etkisiz hale getirebilirsiniz. Egoist olan hackerlar genel olarak uygulamaları ya etkisizleştirirler ya da kendi imzalarını atıp sistemden uzaklaşırlar. Bu durumda market ve uygulama sahibi durumdan anlık olarak haberdar olur ve zafiyeti giderir. Kötü senaryo ise market ve uygulama geliştiricisinin bu durumdan haberdar olmaması, yani sisteme izinsiz bir şekilde yönetici rütbesiyle giriş yapan kişinin sistemi aksatmaması, imza atmaması veya manipüle etmemesi. İşte bu noktada uygulamaların aldığı erişim izinleri, art niyetli kullanıcıların hizmetine sunuluyor. Basit bir vakit geçirme aracı olarak gördüğünüz ses değiştirme uygulamasının keyifli dakikalar yaşattığı doğru olabilir fakat bu uygulama hacklendiğinde bu faaliyeti gerçekleştiren kişilerin sizden herhangi bir izne ihtiyaç duymadan, uygulamanın açık olmasına dahi gerek kalmadan ortam dinlemesi yapabileceğini biliyor muydunuz? Riskler sadece bununla da sınırlı değil. Böyle bir zararlı faaliyetin gerçekleşmesi durumunda telefonunuzdaki mesajların, yaptığınız sesli ve görüntülü görüşmelerin kopyaları istenen kişilere eş zamanlı olarak ulaştırılabilir, bulunduğunuz konum anlık olarak takip edilebilir, sizden izinsiz olarak aramalar ve mesaj gönderimleri gerçekleştirilebilir.
BANKACILIK SİSTEMLERİ
Güvenlik riskleri sadece internet siteleri ve mobil uygulamalar için geçerli değildir. Bir bilgisayar üzerinden bir ağa bağlı olarak hizmet veren, tüm donanımlar ve yazılımlar kapsamları çerçevesinde kendilerine problem doğurabilmektedirler. Televizyon yayını gerçekleştiren donanımlar, yurt çapındaki ATMler, trafik lambaları, POS cihazları ve daha fazlası...
Cep telefonunuzdan yaptığınız bir havale işlemi, transfer yaptığınız tarafa ulaştığında tutar ATM üzerinde görüntülenebilmektedir. Aynı şekilde internet üzerinde kredi kartıyla yaptığınız işlemi, bankanın mobil uygulaması ile işlem detayları şeklinde inceleyebilirsiniz. Çerçeveye geniş açıdan baktığımızda, aslında platform farkı gözetmeksizin tüm işlemlerin ana bir birimde gerçekleştirilip yansı sonuçların farklı yerlerden ulaşılabilir halde olduğunu görüyoruz. Tüm faaliyetler sırasında birçok internet ağ yapısı, farklı cihazlara uygun yazılımlar, intranetler ve veritabanları devreye giriyor. Bu da daha grift bir yapı alarak zafiyet riskini artırıyor. Kontrol edilebilir en rahat ve güvenlikli sistem, fişi çekilmiş olan yapıdır.
Tamamen güvenliğine hükmettiğinizi düşündüğünüz anda gelen bir yazılım güncellemesi sizi tekrar çalışma yapmaya iter. Bu döngü herhangi bir zamanda doygunluk noktasına ulaşamayacağı için güvenlik konusu, başa gelen ciddi bir marka veya ticari kayıptan sonra değil, öncesinde rutin olarak ele alınması gereken önemli bir başlıktır. Bu güvenlik zafiyetleri, sızma testi (penetrasyon test) adıyla gerçekleştirilen testlerle, ön görülebilir şekilde raporlandırılırlar. Bankacılık mevzuat hükümleri de bu testin yaptırılması (belirli aralıklarla) zorunlu kılınmıştır.
Bankalar tüm platformlardan istek alabilir şekilde yapılandırıldığı için, donanıma ve yazılıma sahip olduğu tüm alanlarda farklı türde risklere sahiptir. Mobil uygulama üzerinden kredi kartı hesabınıza erişebiliyor olmanız, ciddi bir kolaylık olduğu gibi, zararlı faaliyet yürüten ve yüklü diğer uygulamalara erişim izni almış olan bir mobil yazılım, sizin gerçekleştirebileceğiniz tüm aksiyonları hesabınız üzerinde gerçekleştirebilir. Bunun için ekstra herhangi bir bilgiye ihtiyaç duymadan telefonunuzu bir zombi olarak kullanarak kendisini bir perde arkasında da gizleyebilir. Bu da yasal olarak, kişilerin bulunabilmesi için ehemmiyetli bir zorluk çıkarmaktadır.
Yorucu bir gün sonrasında kahve içmek için arkadaşınızla oturduğunuz bir kafede ödeme yaptığınız anda dahi bilgileriniz başkalarının eline geçebilir. Bunu paranoya haline dönüştürmeye gerek yok desek de, durum ne işletmenin ne de sizin elinizde. Yeni teknolojilerle birlikte artık bir işletme için birden fazla pos cihazına ihtiyaç yok. İşletmeye konulan bir sunucu yardımıyla (POS Server) seyyar cihazlar ödeme işlemlerini WIFI ağı üzerinden sunucuya gönderiyor ve işlem tek bir bilgisayar üzerinde gerçekleştiriliyor. Birden fazla masada ödemenin alınabilmesi için birden fazla pos cihazı yerine sadece ödeme detayının ve şifre bilgilerinin girilmesi için POS cihazına benzer donanımların WIFI üzerinden sunucuya bilgi aktarması, maliyet açısından daha avantajlı görünüyor ve dünya bu teknolojiye geçiş yapıyor. Tekrar tekrar anlatıldığı gibi, teknolojinin bu hızla ilerlemesi iyi yanlarıyla birlikte kötü senaryoları da peşinden sürüklüyor.
Günümüzde telefonlar, birçok cracking ve hacking işleminde rahatlıkla kullanılabiliyor. Maliyetleri düşen donanımlar yardımıyla telefonlar birden çok özelliğe kavuşuyor. Wifi aracılığıyla internete girebilme özelliğine sahip olan telefonlar, yüklü yazılımlar yardımıyla POS Server yapısını kullanan işletmelerde kredi kartı bilgilerini herhangi bir başka işlem yapmadan, sadece uygulamayı açıp masanızda kahvenizi yudumlarken toplayabilir. İşin vahim tarafı ise seyyar cihazlardan toplanan bilgiler sunucu bilgisayara şifrelenmeden gidiyorsa, eş zamanlı olarak karşı masada yapılan bir ödeme detayının (kredi kartı bilgileri de dahil olmak üzere) bir kopyasını kendinize mail atabilirsiniz. Penetrasyon testin önemi burda kendini bir kez daha gösteriyor. Sızma testi sadece web uygulamalarına değil, ağ yapısını kullanan tüm donanımlara ve *** programlama da dahil olmak üzere tüm yazılım alt yapılarına periyodik uygulanması gerekir.
KAMU KURUM VE KURULUŞLARI
Televizyon üzerindeki canlı yayına veya trafik lambalarına müdahele edebilmek, sadece yabancı menşeli filmlerde karışılaşılan bir olgu gibi görünse de, aslında durum ve şu anki zafiyetler bunu gerçekleştirebilecek kadar rahat. Sistemli bir çalışma ile intranet (kendi içinde kapalı ağ yapısı olarak çevirilebilir) alt yapıları dahi dışarıdan kontrollerle erişime açık hale getirilebilir. Bir televizyon kanalının web sayfasında bulunan bir SQL Injection açığı, o sunucuya tamamen erişim yetkisi kazandırabilir. Bu server, intranete organik olarak bağlı olmasa bile, aynı ağ alt yapısını kullanan cihazlarla kesişebilmektedir. Web siteyi bir araç olarak kullanarak, ana sistem içerisindeki canlı yayını gerçekleştiren cihazlara, prompterlere, yazıcılara, hoparlörlere ve daha fazla birçok donanıma erişebilirsiniz.
Gerçek intranet ile Türkiyedeki intranet arasında en çok karıştırılan konu ise dışarıya tamamen kapalı bir ağ yapıları olduğuna inanılmasıdır. Intranetlerin tamamen kapalı bir ağ olabilmesi için ağa katılmış olan tüm cihazların herhangi başka bir yapı ile iletişim kurmaması gerekmektedir. Bu diğer yapının en büyük örneği ise internettir. Intranete bağlı herhangi bir bilgisayarın internete bağlanması, o ağın kapalı olarak hizmet vermesi konusunda zafiyet oluşturur. Aynı şekilde gerçek intranet sistemlerinde haberleşme protokollerinin hepsi kapatıldığı gibi, paket yazılımlar da kullanılmamaktadır.
Tüm bu siber tehditlerin doğrultusunda asıl hedefleri, web siteler veya mobil uygulamalar olarak sınırlandırmak yanlış olur. Örneklerle belirtildiği gibi bu uygulamalar yazılımsal ve donanımsal açıdan amaç değil, araç olarak kullanılabilirler. Örneğin bir kurumun ağ yapısına ulaşmak, dışardan çok güç olsa da web siteleri üzerinden bir tünel oluşturup içerden birisi gibi davranabilmeniz mümkün olabilir.
Devlet kurumları içerisinde barındırılan sunucular ve ağ yapıları, kendi web siteleri üzerinden birçok riskli duruma açık bir halde yayın hayatına devam etmektedir. İç görüşmeler, bilgi aktarımları, önemli belgelerin saklandığı intranet sunucuları, mail sistemleri, evrak depolama arşivleri gibi dijital ortamda saklanan ama organik olarak internet bağlantısı bulunmayan yapılara erişim, içerdeki ağa bağlı herhangi bir bilgisayarı çözümleyerek kaldırılabilir. Bu durum çalıştırılabilecek ve antivirüslere takılmayacak olan bir uygulamayla veya web sitelerin hacklenmesi durumunda proxy olarak kullanılmasıyla çok rahat bir şekilde gerçekleştirilebilir.
Türkiyede son süreçte siber saldırıların hedefi halindedir. Kurumların bilgi işlem güvenliği teknik personel açığından dolayı tam anlamıyla sağlanamamaktadır. TÜBİTAK ve diğer konu ile ilgili bilirkişi kabul edilen kurumlar mahkeme taleplerine cevap veremez hale gelmiştir. Gerekli görevlendirmelerin yapılıp durumun düzeltilememesi halinde çok daha vahim neticelerle karşılaşılması muhtemeldir.
PENETRASYON TESTİ
ÖSYM sınav sorularına ilişkin sızıntılar, elektrik santrallerine ve termik santrallere yönelik saldırılar, Kurumların bilgi sistemlerinde görülen casus yazılımlar ve ticari operasyonlar siber saldırı yolları ile gerçekleştirilmektedir. Herhangi bir siber saldırı durumunda yeterlilikler ile alakalı durumu görebilmek adına düzenli olarak gerçekleştirilmesi gereken sızma (penetrasyon) testi, hastalık sonrası iğne değil, bağışıklık kazanılmak için vurulan aşıların bütünüdür.
Her gün yeni bir saldırı tipinin geliştiği siber savaş ortamında bağışıklık sistemini dirençli tutulabilmek için gerekli tüm müdahaleler öncesinden alınmalıdır. Kaybedilecek şeyler ülke güvenliği ve milli değerler için riskli olabileceği gibi marka ve ekonomik yönden itibar kayıplarına da neden olabilecek derecededir.
Genel olarak sızma testleri, teknik terimler bir yana; bilginin olduğu, depolandığı ve aktif olarak kullanıldığı her yerde gerçekleştirilmesi gereken önemli bir uygulamadır. Olumsuz sonuçlar vuku bulduğunda değil, sistemin sağlığı açısından, belirli aralıklarla rutin olarak gerçekleştirilmesi gereken bir testtir.
