Ulusal Siber Güvenlik Tatbikatı 2013 Eleştirisi/Değerlendirme

İlki 2008 yılında gerçekleştirilen Ulusal Siber Güvenlik Tatbikatı’nın bu yıl üçüncüsü düzenlendi. 2008 yılında gerçekleştirilen ilk tatbikata 34 kurum, 2011 yılında gerçekleştirilen ikinci tatbikata 41 kurum ve bu yıl(2013) gerçekleştirilen üçüncü tatbikata 61 kurumun katıldığı belirtiliyor. 2014 yılındaki tatbikatın uluslararası kapsamda olacağı bilgisi de tatbikat haberlerinde yer almakta.

2010 yılı sonunda ikinci tatbikatın yapılmasından hemen önce “Ulusal Siber Güvenlik Tatbikatı  Nasıl Olmalı? başlığıyla bu konudaki düşüncelerimi yazmıştım ve yazıyı şu cümle ile bitirmiştim:

“Son olarak da medyanın sağlıklı bir şekilde bilgilendirilmesi ve sürece dahil edilmesi önem taşımaktadır. Medya doğru ağızlar tarafından bilgilendirilmediği müddetce konu hakkında bilgi sahibi olmayan kişiler tarafından halkın yanlış bilgilendirilmesine aracı olmaktadır”

Bence oldukça başarılı geçen son tatbikat sonrası sektörün ileri gelenleri ve  somut olarak ortaya koydukları tek şey konuşma, yazma olanları[kimse üzerine alınmasın, genel bir tanımlama ve tabir olarak kullandım] ortalığa Siber Güvenlik Tatbikatı ile ilgili eleştiri yağmuruna tutmaya başladı. Tatbikatın son iki günü hariç her aşamasında resmi olmayan bir şekilde Kamu tarafında yer alan birisi olarak gördüğüm eksiklikleri ve önerilerimi yazmak istedim. Öneriler devlet refkelsiyle bir  olumsuz eleştiri olarak değil, öneri olarak alınmalı.

Doğru Kanallardan Düzenli Bilgilendirme ve Davet

Konuyla ilgili bir önceki yazımda tatbikat düzenleyicilerinin düzenli bir sekilde sektörü ve medyayı bilgilendirmesi gerektiğini belirtmiştim. Bu sene tatbikat sonrası kısa bir araştırma yaptım sadece Anadolu Ajansı’na verilen standart bir metin ve Siber Güvenlik Derneği üyelerinden birinin tatbikat içerisinden yazdığı değerlendirme yazısı çıktı karşıma.

Evet belki böyle önemli bir tatbikat hakkında detay bilgi vermek doğru bulunmayabilir ama tatbikat bittikten sonra biraz daha detay bilgi (neler yapıldı, neler amaçlandı, ortalama kamunun durumu ve bu konuda atılacak adımlar …) verilmesi dışardan konu hakkında bilgi sahibi olmayanlar için oldukca önemli. Bilgi gelmediği durumda konuyla ilgilenmek isteyen fakat bunun için bir yol bulamayan güvenlik uzmanları gördükleri ve duyduklarıyla eleştiri yapma durumunda kalıyorlar.

Tatbikatın ilk duyurularında çoğu özel güvenlik firması tatbikatı izlemek, katkı vermek için davet edilmişti. Beni şaşırtan bu adım yine beni şaşırtmayacak bir şekilde gerçekleşmedi. İyi niyetli olarak tatbikatı katılmak destek vermek isteyen çoğu tanıdık arkadaş tatbikatı düzenleyen idari kuruma ulaşmaya çalıştı, bilgi almaya çalıştı ama tüm çabalar başarısızlıkla sonuçlandı. Buradan bakıldığında son güne bırakılmış, idaresi olmayan, sorumlusu bilinmeyen bir çalışma imajı ortaya çıkıyor. Oysa arka tarafında ne kadar uzun süreli ve meşakkatli bir çalışma olduğunu bizzat biliyorum ama bu dünyada halkla ilişkiler diye bir konu var, ne yaptığınız değil, onu nasıl gösterdiğiniz, reklam ettiğinizin önemli olduğu bir dünyada yaşıyoruz.

Tatbikatın Amacı

Bilgi Teknolojileri ve İletişim Kurulu Başkanı Tayfun Acarer, tatbikatın amacını şu şekilde açıklayıp.  “kamu ve özel kurumların siber saldırılara karşı müdahale kabiliyetlerinin, bilinçlenme ve farkındalıklarının artırılması olarak” ardından bence en önemli konuşma maddelerinden biri olan şu cümleyi kurdu “Sistemin bütünlüğü içinde zayıf halka olmamak için tüm kurumların siber güvenlik tatbikatlarına cesaretle katılmalarını istiyorum”

Kamu’yu iyi tanıyan biri olarak söyleyebilirim ki tatbikatın en zor aşaması kurumları böyle bir çalışmaya ikna etmektir. Katılan kamu kurumlarının sayısı arttıkça tatbikatın etkisi ve başarısı da artacaktır. Tatbikat öncesi bir hafta Ankara’da çoğu kamu kurumunu dolaştım (~10 tane) ve açıkcası tatbikatın etkisini çok net gördüm.

O güne kadar siber saldırıları sadece internetteki haber sitelerinden okuyan ya da kendi başına geldiğinde gören kamu çalışanları Tubitak & BTK tarafından gönderilen senaryoları çözmek icin ekip oluşturmuş, toplandı odası ayarlamış ve ciddiyetle üzerinde uğraşıyor. Hatta bir çoğuna oyle degil soyle yapin su araci kullanin gibi basit ipuçları vermek istememize rağmen kabul etmeyip kendilerinin uğraşmak istediklerini ilettiler.

Kısacası tatbikatın amacı bilinclendirme, farkındalık arttırımı olduğu icin bu konuda bence başarıyla sonuçlanmıştır.

Eleştirmenin Dayanılmaz Hafifliği

Eleştiri bu dünyadaki en kolay iştir. Bir insan uyurken bile harcadığı enerji eleştiri yapan birinden daha fazladır. Vikipedi’de eleştiri şu şekilde tanımlanmış “Bir kişi, eser ya da konuyu doğru ve yanlışlarını göstererek anlatmak amacıyla yazılan kısa metinlerdir. ”

Malesef bizde eleştiri linç kültürüyle yapılıyor, bunun nedenleri bu yazının konusu olmadığı için girmeye gerek duymuyorum. Eleştiriler doğru yapılmayınca insanlar/kurumlar da eleştiri kabul etmez pozisyona giriyor, ya da eleştiri yapanı dikkate almıyor. Eleştiri yaparken ölçüyü kaçırmak da eleştirileri görmezden gelmek de hatalı. Denge olmalı.

Eleştirenler bu konuda biraz empati yaparak ben olsam ne yapardım diye düşünmeli, bu bir çok sorunun çözümü olacaktır ama zor iş bunu yapmak. Hele bizler gibi egosu dağların üzerinde olan güvenlik uzmanları başta şüpheci, araştırmacı ve dikkatli olması gereken insanlar için empati kaf dağının da ötesindedir.

Teknik Değerlendirme

Tatbikat senaryoları teknik olarak ne çok ileri ne de çok basitdi. Tam orta seviye ayarlanmış, insanları uğraştırmak yerine araştırmayı ön plana çıkaran zevkli senaryolardı. Mutlaka farklı öneriler gelecektir, ben de beğenmediğim kısımları oldu ve keşke şoyle yapsalar diye aklımdan geçirdim (ilgili kişilere de iletmek üzere not aldım) ama her işte mutlaka farklı düşünülecek kısımlar olur ve bunlar değerlendirilerek sonraki tatbikatlara uyarlanabilir. Bol bol eğitim notu ve senaryo hazırladığımız için arkada dönen işin ne kadar sıkıntılı ve uğraştırıcı olduğunu biliyorum ve takdir ediyorum.

Benim görebildiğim kadarıyla aşağıdaki ana konu başlıkları üzerinde dönüyordu tatbikat.

• DDoS testleri
• Sosyal mühendislik testleri
• Log analizi ve basit forensic çalışmaları
• Web uygulama testleri ve sistem sızma testleri

DDoS testleri

DDoS testleri bence tatbikatın başarısız teknik  yönlerinden biriydi. Bu kanıya nasıl vardım? Genelleme yapmadan önce bunu açıklama olarak belirteyim, gelebilecek somut düzeltmelere de açığım.

Tatbikatın sadece ddos testleri kısımlarına katılan iki üç kurum kendi sistemlerine yapılan ddos testlerine ait trafik dosyalarını pcap formatında gönderdi. Dosyayı incelediğimde gönderilen isteklerin tamamının hatalı olduğunu ve bu nedenle gerçek sistemlere ulaşmadan aradaki güvenlik cihazları (DDoS sistemi, Güvenlik duvarı IPS vs) tarafından elendiğini gördüm.

TCP paketleri 0. tcp portundan gönderilmiş, DNS istekleri DNS protokolüne uygun şekilde üretilmemiş vs. Paketler üretilirken aradaki cihazlar tarafından basitce engellenmeyecek şekilde üretilse sonuçlar çok daha farklı olurdu.

Bizim BGA olarak daha önce test ederek DDoS konusunda başarısız olarak değerlendirdiğimiz çoğu kurum tatbikatın DDoS kısmından başarıyla geçmiş gözüküyor. Bu da tatbikatta gerçekleştirilen DDoS testlerinin ddos değil bandwitdh testi olduğunu gösteriyor. DDoS testi sadece hedef kurumun trafik kapasitesinden daha fazla gönderip yeni bağlantı alamaz hale getirmek değildir.

Sosyal mühendislik saldırıları

Tatbikata sosyal mühendislik saldırılarının dahil edilmesi oldukca iyi. Zira kurumlara yönelik tehditlerin büyük cogunlugu artık bu konu üzerinden gelecek gözüküyor. Tatbikat boyunca gördüğüm sosyal mühendislik saldırıları esnasında kurumların bunu farkedip hızlı bir şekilde engellemesi istenmedi. Oysa bu da bir başarı, sosyal müh. saldırısı yakalandığında hızlıca ilgili adresler engellenir ve geriye doğru analiz yapılarak kimlerin oltaya takıldığı belirlenir. Yine de sonuclari acisindan oldukca kritik olan bu saldırı tipinin kurumlara kabul ettirilerek denenmesi bence büyük başarı.

Log Analizi

Bu kapsamda kamu kurumlarına daha önce çeşitli güvenlik açıklıkları kullanılarak hacklenmiş sistemlere ait log ve trafik dosyası teslim edilmiş ve sadece logları okuyarak saldırı anatomisi ve sonuçları hakkında yorumları istenmişti.

Çoğu kamu kurumunun en çok zevk aldığı kısmın bu olduğunu düşünüyorum. Zira daha önce sadece aldıkları log yönetim, toplama cihazlarının  çeşitli sistemlerden gelen anlamsız loglarını izlemiş çalışanlar bir log dosyası nasıl ek araçlar olmadan incelenir, nasıl yorumlanır ve doğrulaması yapılır görmüş oldular. Verilen örneğin gerçek hayat senaryosuna oldukça yakın olması(aynı senaryo ve sunucu yazılımlar kullanılarak hacklenmiş onlarca örnek var) konuyu daha eğlenci kılmış ve fakat internette araştırma yapanlar tarafından kolayca çözülmesine neden olmuştur. Belki amaçlardan biri de budur.

Web uygulama güvenliği ve sistem sızma

Bu başlıkta gerçekleştirilen senaryo da yine orta seviye ve gerçek hayattan alınmış bir örneği içeriyordu. Bir SQL injection (baska hatalar da vardi) kullanarak Windows 2003 sunucuyu admin haklarıyla ele geçirme. Şimdi bu satırları okuyan çoğu güvenlikci/hacker icin senaryo çocuk oyuncağı gibi gelecektir, evet bu senaryo artık bayatlamış bir teknik ama hala 2012 yılında Türkiye ve dünyada bu senaryonun aynısı kullanılarak hacklenen, medyaya düşen firmalar var.

Dolayısıyla bence seçim vurucu olmuş ve kamu çalışanları arasında “basit bir web açıklığında ne olabilir ki” sorusunu soranlar için (ozellikle web tarafında zafiyet bulununca önemsemeyen yazılımcılar) güzel bir örnek teşkil etmiş.

Defensive Security

Teknik tarafta gördüğüm en önemli sıkıntı daha önce bu şekilde senaryolu ethical hacking konusunda hiç deneyimi olmayan kurumlara ilk aşamada senaryoların çok zor gelmesi. Belki tatbikat öncesi iki üç günlük bir eğitimle farklı senaryolarla nasıl yapıldığı, hangi araçların kullanıldığı ve koruma için nelerin yapılacağı konusu aktarılabilir. Belki de yapılmıştır ama haberimiz yok:)

Tabikat senaryosunda göremedim ama sanki tatbikat içinde siber savunmaya yönelik bir bölüm yok gibiydi. [Doğru ağızlardan bilgilendirme alınamadığı icin bu konuda varsayım yaparak yazıyorum] Oysa tabikatın amaçlarından en önemlisi savunmanın nasıl yapılacağı olmalı. Kamu gibi güvenlik ürünlerinin elektrik yiyen, pahalı süs cihazları olarak kullanıldığı ortamlarda ellerindeki sistemlerin savunma -log izleme değil- konusunda ne kadar başarılı olduğunu görmek iyi olurdu. Eminim ki böyle bir test yapılsa kullanılan güvenlik sistemlerinin %99’unun rahatlıkla atlatılabileceği sonucu ortaya çıkacaktır.

Sonuç

Sonuç olarak tüm eleştirilere rağmen Ankara için oldukca başarılı bir tatbikat olduğunu düşünüyorum. Bu tatbikatın bugünden yarına kamu kurumlarını güvenli yapacağını düşünmek hata olur ama yıllardır kırılmayan bazı ön yargıları kırmada, devlet büyüklerinin siber tehditler konusunda biraz daha bilinçlenmelerini sağladığı kesin. Bu adımdan daha önemli olanı tatbikat sonrası kamu kurumlarının siber tehditlere karşı daha somut adım atmaları (bu adım kesinlikle gidip yeni bir cihaz almak olmamalı) ve devlet büyüklerinin bu konuda çalışan kişilere yönelik istihdam politikalarını gözden geçirerek daha cazibeli hale getirmeleridir. Kimse sabah 8 akşam 5 çalışmaya alışmış birine aynı maaşı vererek gece gündüzünü bu konuya verip kendisini geliştirmesini beklemesin. Bu işi kendine dert edinen istisna sayıdaki çalışanları saymazsak büyük çoğunluk icin en iyi motivasyon maddi/manevi şartların iyileştirilmesidir.

Son olarak tatbikat öncesi çeşitli ortamlardan Türkiye’deki güvenlik uzmanları davet edilerek tatbikat hakkındaki önerileri dinlenmeli ve uçuk kaçık olmayanları tatbikat sürecine dahil edilmeli. Biliyorum çook zor bir iş ama denemek de yarar var.

Huzeyfe ÖNAL , 20 Ocak 2013 08:30