Sistem GüvenliğiSosyal Mühendislik Saldırıları

Siber Zincirler ve Zayıf Halka İlişkisi

Merhabalar,

Çok güzel bir söz var, “Zincirinizin en zayıf halkası kadar güçlüsünüz” diyor. Muhtemelen hepiniz bu sözü defalarca kez duymuşsunuzdur. Gerçekten hoşuma gidiyor. Düşündüşüğüzde ne kadar güçlü yanlarımız olursa olsun, en zayıf alanımızdan gol yeriz. Futbolda da, muhteşem bir forvetiniz olsa da, defansınız kötüyse, defansın kalitesi kadar kaliteli bir takımsınız.

Eğer bir savunmadan bahsediyorsak, bu milli savunma da olur, siber savunma da.. Burada bir takım oyunu olması, her halkanın birbirinden daha güçlü olması ve ciddi bir “başarı” ortaya konulması gerekmektedir.

Siber Güvenlik alanında düşünecek olursak, bir dosyadan bahsediyoruz ki bu dosya, Ülke ile alakalı ciddi bir veri. Bazen karara bağlanmak için 7-8 tane kurumun elinden geçmekte olan, en son aynı döngüyü tekrarlayarak karara bağlanan bir dosya. Bu dosyanın içeriğinde “değerli bir veri” olduğunu varsayarsak ki, devlet içerisinde dönen yazışmaların bir bölümü de bu verilerden oluşuyor.

  1. A kurumu bu dosyayı hazırlıyor ve muhteşem bir titizlikte, muhteşem bir güvenlikle B kurumuna iletiyor,
  2. B kurumunda dosyayı alanlar, okuyanlar belli. Okuyan kişilerin güvenlik eğitimleri tam, onaylanıp C kurumuna gidiyor.
  3. C kurumundaki personeller bilgi güvenliği eğitimlerini tamamlamış, sadece gerekli kişiler tarafından görülüp D kurumuna iletiliyor,
  4. D kurumunda sistemler muhteşem tasarlanmış, kimse erişemeden E kurumuna geliyor.
  5. E kurumunda dosya elden ele geziyor, dışardan birisi rahatlıkla ulaşabiliyor, masaların üstünde gezen dosyalar, sızılabilir durumda sistemlerden geçip F kurumuna geliyor.
  6. F kurumu yine muhteşem bir güvenlikle dosyayı alıp onaylayıp gerekli kuruma iletiyor.

A-B-C-D ve F kurumlarında efsane güvenlik önlemlerinin olması, verilerin dışarıya hiç bir şekilde sızdırılmıyor olması, bilgi güvenliğine dikkat ediliyor olması, elektronik sistemlerini sızmaya karşı önlemlerinin alınmış olması bu “değerli veriyi” güvende tuttu mu? Hayır. Oysa ki A-B-C-D ve F kurumları milyon dolarlık yatırımlarla muhteşem Firewall’lar, Muhteşem IPS’ler aldı. Binlerce dolarlık eğitimler verdi personellerine.. Bu kadar para, bu kadar emek “değerli veriyi” güvende tutmaya yetti mi? Hayır.

Şimdi tekrar dönelim yukardaki söze, “Bir zincir en zayıf halkası kadar kuvvetlidir” diyordu. 6 kurumda dönen bir dosyadan bahsettik ve E kurumundaki sıkıntıdan dolayı diğer onlarca kurumun verdiği emeğin boşa gittiğini, yaptığı yatırımların boşa gittiğini gördük.

“Ama efendim biz önlemlerimizi aldık, biz şöyle yaptık biz böyle yaptık” sözlerinin ne kadar boş olacağını, değerinin olmayacağını görüyoruz.

Çok mu soyut geldi örnek? O zaman daha somut bir örnek ile durumu anlatalım.

2009 Seçmen Kayıtları

İnsanlara bu işin ciddiyetini anlatmanın en kolay yolu haline geldi artık. İnsanlar, kendilerine dokunan bir şeyler olmaya başladığı zaman artık siber dünyanın “sanal” dünya olmadığını, her ne kadar adı sanal olsa da verdiği zararların gerçek hayatta ne boyutlara ulaştığını görüyorlar.

YSK seçmen bilgi sistemi diye bir sistem oluşturdu ve havuz üzerinden o seçimde oy kullanacak kişiler tespit edilip ayrı bir veritabanına aktarılıyor. Gerekli adresler vs için oradan güncellemeleri yapılıyor. Güvenlik sağlanıyor mu? Bir nebze de olsa sağlanıyor. En azından tek kurum içinde, veriye ulaşanlar belli, veriler üzerinde yapılan değişiklikler belli. Peki kanunumuzda ne var? YSK seçimden önce seçmen bilgilerinin tamamını “seçmenlere yardımcı olmaları açısından” götürüp siyasi partilere teslim ediyor. Senin bilgilerini, benim bilgilerimi, canımız ciğerimiz insanların bilgilerini..

Şimdi geliyoruz zincirin zayıf halkasına

Siyasi partiler bu verileri nasıl saklıyor? Yukarda bir E kurumu örneği vermiştik değil mi? Elden ele gezen, değerinden haberi olmayan insanların kullandığı veriler.. Yeterince somut olmadıysa, daha detaylı olarak anlatayım.

Bir siyasi parti verileri aldı ve seçmen bilgi sistemi diye bir subdomain üzerinden bunu sorgulamaya açtı. 12345678912 numaralı TC kimliği giriyorsunuz, karşınıza o TC kimliğe ait bütün dosyalar çıkıyor. TC kimliğini bildiğiniz bir insana ait tüm veriler gözünüzün önünde.

Bir adım öteye gidelim, TC Kimliğini bilmediğiniz, ama sallayarak tutturabileceğiniz ihtimali. Tanımadığınız bir kaç kişinin daha verilerini elde ettiniz. Peki sistem buna izin veriyor mu? EVET! Herhangi bir sınır olmadan, Captcha olmadan..

O zaman bot yazsak? Rastgele TC Kimlik üretsek, geri dönen kodları da alıp saklasak, TÜM VERİTABANINI almış olur muyuz?

Soruya cevap vermeye gerek yok sanırım. Şu an elinizde bulunan kayıtlar, tam da bu şekilde alınmış kayıtlar. Zincirin en zayıf halkasını mı arıyoruz? İşte tam da burası.

Peki ne yapılmalı?

Öncelikle YSK’nın siyasi partilere “kişisel verileri” paylaşmayı bir an önce durdurması gerekiyor. Eğer gerçekten ihtiyaç varsa, bir web servisi üzerinden güvenli bir bağlantı ile açılır, hangi tarihte hangi siyasi parti bilgilerinize ulaştı görülür.

Bu benim hakkım olmalı, hangi siyasi parti ne zaman benim verilerime ulaştı, bunları görmeliyim. Ben görmeliyim tamam, ama birileri de denetlemeli. Belli sınırlar, belli limitler olmalı. Her önüne gelen milyonlarca kişinin kayıtlarını çekip gitmemeli.

Velhasıl, zinciri ne kadar kısa tutarsanız, halkaları güçlendirmek de o kadar kolay olur.

Güvenli günler..

Share:

Leave a reply