Siber Riskler 13.02.2013 [Hakan Akan]

Report
Siber Riskler
SİBER SUÇ
SİBER CASUSLUK
SİBER SAVAŞ
Siber Risklerin Kaynakları
Silahlı
Kuvvetler ve
İstihbarat
Örgütleri
Organize
Suç
Örgütleri,
Mafya, Neo
STK’lar
Kişisel
Hackerlar ve
hatta
Sıradan
Vatandaş
Siber Risklerin Kaynakları
 Estonya ve Gürcistan olayları
 Estonya
Estonya’nın başkenti Tallin’de Sovyetlerin dağılmasından sonra
etnik Ruslar ve Estonya’lılar arasında gerilimler oluşmaya başladı.
 Gerilimin merkezinde Sovyet döneminden kalma bronz
«Kahraman Kızılordu Askeri» heykeli bulunuyordu.
 27 Nisan 2007’de iki taraf arasında çatışmalar yaşanması üzerine
Estonya hükümeti heykelin kaldırılmasına karar verdi.
 Konu Rus medyasına ve Meclisi Duma’ya yansıyınca çatışmalar
siber uzaya taşındı.
 Tüm Estonya, bankaları, kamu kurumları ve özel sektörüyle
çalışamaz hale geldi.
 Konu Kuzey Atlantik Konseyine taşındı.

Siber Risklerin Kaynakları
 Estonya ve Gürcistan olayları
 Estonya
Kuzey Amerika ve Avrupa’nın Internet Güvenliği uzmanları
yardıma koştular.
 Rusya hükümeti yapılan saldırıların durdurulması ve sorumluların
yakalanması yönündeki tüm diplomatik başvuruları reddetti.
 Bu Dünya’da Siber Savaş için devlet ve mafya işbirliğinin en
önemli örneklerinden biri olarak kabul edildi.
 Yaşananlardan yola çıkarak Nato merkezi Tallin’de bulunan Siber
Savunma Merkezi kurdu.

Siber Risklerin Kaynakları
 Estonya ve Gürcistan olayları
 Gürcistan
1993 yılında Sovyetlerin dağılmasından sonra kurulan Gürcistan,
toprakları içerisinde yer alan Güney Osetya ve Abhazya’yı Rusya
destekli isyancıların çabaları sonucu terketmek zorunda kaldı.
 2008 yılının Tammuz ayında Gürcistan Güney Osetya’dan
topraklarına yapılan saldırıları gerekçe göstererek Güney
Osetya’nın başkentini bombaladı. 7 Ağustos’ta ise bölgeyi işgal etti.
 Ertesi gün Rus ordusu karşı saldırıya geçerek Gürcüleri bölgeden
dışarı attı. Rus ordusu yanında Rus Siber Savaşçıları da karşı
saldırıya geçtiler. Gürcistanlı kullanıcıların CNN ve BBC
sayfalarına erişimlerini engellediler.

Siber Risklerin Kaynakları
 Estonya ve Gürcistan olayları
 Gürcistan
Gürcistan Internet’e Rusya ve Türkiye üzerinden geçen fiber
hatlarla bağlıydı. Saldırılar da bu ülkelerden geliyordu.
 Hacker’lar buralardaki routerları ele geçirdiler.
 Gürcistan Rusya’dan gelen trafiği blokladı. Ancak bu kez Ruslar
Çin üzerinden saldırmaya devam ettiler.
 Ruslar bu saldırılarda komuta kontrolü Moskova’da bulunan ve uç
sistemleri Kanada, Estonya ve Türkiye’deki kullanıcı
bilgisayarlarına bulaşmış olan Bot’lari kullandılar.
 Gürcü bankaları çalışamaz hale geldi. Özellikle Avrupa’daki
bankalarla Interbank ilişkileri durunca ekonomik tedirginlik daha
da arttı.

Siber Risklerin Kaynakları
 Estonya ve Gürcistan olayları
 Gürcistan
Ruslar Gürcü karşıtı siteler üzerinden yeni botnet uç sunucuları
dağıtarak saldırının boyutunun daha da fazla büyümesini
sağladılar.
 Batı ilk kez saldırıların kaynağının Rus İstihbarat Örgütlerine ait
sunucular olduğunu tespit etti.
 Yine saldırıdan sonra başta Kuzey Avrupalıların desteklediği bir
konsorsiyum, Romanya ile Gürcistan arasında Türkiye ve
Rusya’dan geçmeyen, buna karşın Karadeniz’i baştan başa geçen
yeni bir fiber altyapısı kurmaya giriştiler. Bu fiber şu anda aktif
olarak kullanılmakta.

Siber Suçlar
Siber Suçlar – Türkiye’de Durum
 Güvenlik sızmaları ile ilgili saldırı sayısı yüksek
olmasına rağmen saldırıların ortalama kalitesi
düşük.
 Saldırılar çoğunlukla fazla teknik bilgiye sahip
olmadan Internet üzerinden indirilen yazılımlarla
gerçekleşiyor.
 Servis sağlayıcılara yurt içinden gelen çok sayıda
saldırı var. Sayının fazla olması gerçek riskleri
ayırmada sorun haline dönüşebiliyor.
Siber Suçlar – Türkiye’de Durum
 Botnet’ler açısından bakıldığında ise Türkiye tam bir
cennet.
 Türkiye’de bu kadar Bot bulaşmış makina olması
hem ulusal bir risk hem de bizi diğer ülkelere yapılan
saldırılarda bir araç haline getiriyor. Gürcistan
olayında saldırının ciddi bir kısmı Türkiye’den
kaynaklanmaktaydı.
Siber Suçlar – Türkiye’de Durum
 Üç kullanım türü Türkiye için riskler
oluşturmaktadır :



Gerek gelir seviyesinin düşük olduğu yerlerde gerekse güvenlik
bilincinin azlığı sebebiyle, bina içi ADSL paylaşımı
Wifi imkanı olan ADSL Modem cihazlarında şifreleme
yapılmaması veya şifrelerin fabrikadan çıktığı gibi bırakılması
Yasalar emretmesine rağmen, «Ticari olmayan erişim
sağlayıcılar», kafeler, restorant ve benzerlerinde gerekli
loglama işlemlerinin yapılmıyor olması
Siber Suçlar – Türkiye’de Durum
 Siber Suçlarla Mücadele’de Türk Hukuk Sisteminin
ihtisaslaşma merkezli olmaması, sonuç almakta
büyük zaaflar yaratıyor.
 Mahkemelerin tespit kararları vermeleri bile günler,
aylar alabiliyor. Bu süre içerisinde zaten önemli
ölçüde hasar verilmiş olabiliyor.
Siber Suçlar – Türkiye’de Durum
 Siber Suçlarla mücadele eden ekiplerin sayısının
azlığı, soruşturmaların derinlemesine yapılmasını
engelliyor.
 Derinlemesine yapılmayan soruşturmalar,
profesyonel saldırganları cesaretlendiriyor.
Siber Suçlar – Türkiye’de Neler Yapılmalı




Bireysel kullanıcıların ve kurumların Internet Güvenliği
konusundaki bilgi ve algılarının artırılması için BTK
tarafından ivedilikle bir kampanya başlatmalıdır.
Yıllardır birçok alan için söylenmesine rağmen ülkemizde
ihtisas mahkemelerinin kurulması sağlanamamış olmasından
yola çıkarak Yargı sisteminde eğitim düzeyi artırılmalıdır.
Hukuk Fakültelerinde Bilişim Suçları konusunda eğitim
güçlendirilmelidir.
Soruşturma yapan organlara teknik destek için en azından
Bilişim tarafında «kurumsal özel sektör soruşturma
organizasyonları»nın önü açılmalı, hukuki temelleri
oluşturulmalıdır.
Siber Suçlar – Türkiye’de Neler Yapılmalı
 Acil
Tespit ve Müdahale Gücü oluşturulması
 Bilişim
suçları ışık hızıyla oluşmakta hatta geride
bıraktığı izler de ışık hızıyla ortadan kalkmaktadır.
 Bunların tespiti, önlenmesi ve cezalandırılması da aynı
hızda hareket edilmesini gerektirmektedir.
 Böyle bir yapılanma hem İşletmeciler, hem de TİB/BTK
nezninde bazı yapıların oluşturulmasını da
gerektirmektedir.
Siber Suçlar – Türkiye’de Neler Yapılmalı
 Botnet’lerle
 Botnet’leri
Mücadele
tespit eden yazılımların bulunduğu bir site
açılmalıdır. Almanya’daki örneği tekrarlamak yeterli
olacaktır.
 İşletmecilerin kendi kullanıcılarının Botnet yazılımı
bulaşmış makinalarını tespit etmesi , öncelikle
bloklaması ve daha sonra bildirim ile tamizlenmesini
sağlaması da zorunlu bırakılmalıdır.
 İşletmecilerin büyük çapta saldırılar durumunda kısa
sürede (saniyeler mertebesinde) binlerce blok işlemi
yapabilir yetkinlikte olması zorunlu hale getirilmelidir.
Siber Suçlar – Türkiye’de Neler Yapılmalı
 Uluslararası
 Bilimsel
Operasyon ve Suçlarla Mücadele
bilgi birikimi sağlaması açısından bir üniversite
çatısı altında «Ulusal Siber Güvenlik Akademisi» kurulmalı
bu yapı ile botnetlere öncelikli olarak sızma, komuta ve
kontrol sistemlerini çözme ve komuta edenleri tespit etme
konusunda ihtisaslaşması sağlanmalıdır.
 Uyuyan Botnet’leri ile ilgili olarak İşletim Sistemi üreticileri
ile işbirliği yapılmalıdır.
 Emniyet’in Bilişim Suçları bölümü ve TİB uluslararası
işbirliklerini artırmalı, çok ülkeyi ilgilendiren operasyonları
gerçekleştirme yetenekleri geliştirilmelidir.
Siber Suçlar – Türkiye’de Neler Yapılmalı
 Istanbul
Internet Değişim Noktası
İleriki bölümde detaylı olarak incelenecek
 Ancak kurulması ve geliştirilmesi ile siber suçların tespiti
kolaylaşacak, etkinliği azalacaktır.
 İçerik Türkiye’ye geri dönecek ve Türk Siber Uzayının hukuki
şemsiyemiz altına girmesi ancak böyle mümkün olacaktır.
 Sürmekte olan siber çatışmaların gerçekleştiği muharebe alanını
oluşturacak olan Internet Değişim Noktası, muharebe alanının
kontrolü açısından kritik öneme sahip olacaktır.

Siber Casusluk
Siber Casusluk – Türkiye’de Neler Yapılabilir?
 Türkiye’nin siber casusluk açısından risk envanteri
çıkarılmalıdır.
 Risk Envanteri için Altyapı, Donanım, Yazılım
açısından tasnif yapılmalıdır.
 Risk envanterini ele alarak gerek bilgilendirme,
gerek sertifikasyon, gerek kaynak kodunun
denetlenmesi, gerek Elektromanyetik inceleme ile
güvenlik kriterlerini yukarı çekmelidir.
Siber Casusluk – Türkiye’de Neler Yapılabilir?

İstanbul Internet Değişim Noktası
Konu ileriki bölümlerde daha detaylı olarak incelenecektir.
 Siber Casusluk ve Siber Karşı Casusluk açısından nasıl kendi
elimizle böyle stratejik bir imkanı engellediğimiz ayrı bir araştırma
konusudur.
 Durum bıkmadan usanmadan tüm taraflar nezninde
anlatılmalıdır.

Siber Savaş
Siber Savaşın Gerçekleri
 Siber Savaş Gerçektir




Farkında olmamız gereken ilk şey tarafların henüz en güçlü siber
savaş yöntemlerini ortaya koymadıklarıdır.
Asıl olan herkesin bildiği, medyada konuşulan saldırılar değildir.
Sızılan sistemler gizlidir. Siber savaş açısından sızılmış sistemleri ulu
orta duyurmak saldıran tarafın asla yapmayacağı bir hatadır. Sızılmış
ise sessiz kalacak ve bekleyeceklerdir. Bu sebeple güvenlik açısından
DDoS tuzağına düşülmemelidir. Önlemler DDoS yanında asıl
sızmaları önlemek için alınmalıdır.
Siber Savaş bilişim ve iletişim altyapısı güçlü, modern bir ülkeyi
mahfedebilir.
Estonya ve Gürcistan olayları ancak genel siber savaş olarak
tanımlanabilir. Diğerleri münferit olaylar kısıtlı cephelerde
gerçekleşmiştir.
Siber Savaşın Gerçekleri
 Siber Silahlar Karşı Tarafı Işık Hızında Vurmaktadır
 Saldırı paketleri, uluslararası dev fiber Internet şebekelerinden
ışık hızında geçmektedir.
 Eğer Siber Saldırılar için önceden alınmış bir önleminiz yoksa
saldırı başladığında herşey için çok geçtir. Eğer saldırıdan
değil, yıkıcı sonuçlarından haberdar oluyorsanız şaşırmayın.
Siber Savaşın Gerçekleri
 Siber Savaş Küreseldir.
 Siber Savaş da, karşı savaş da küresel yapıdadır.
 Siber Savaşın silahları daha önceden elegeçirilmiş sunucular ve
kişisel kullanıcıların makinalarıdır.
 Küresel savaşı gerçekleştiren tim ve takımlarında kendi
ülkelerinde yerleşik olmaları gerekmez. (Örneğin Kuzey
Kore’nin Güney Kore’ye saldırılar düzenleyen «Lab 110»
biriminin Çin topraklarında Dandong şehrindeki Şanghay
otelinin 4 katında yerleşik olduğu ve operasyonlarını bir süre
buradan gerçekleştirdiği tespit edilmiştir)
 Siber savaş için küresel işbirlikleri, beklenmeyen koalisyonlar
sürpriz olmamalıdır.
Siber Savaşın Gerçekleri
 Siber Savaş, Geleneksel Savaştan Öncedir.
 Eğer ortada bir geleneksel savaş riski varsa, siber savaş
geleneksel savunma sistemlerinin, hava savunma radar ve
füzelerinin, deniz kuvvetlerinin ve diğer kritik sistemlerin
çökertilmesi için kullanılmaya başlanmıştır bile.
 Geleneksel savaş öncesi siber savaş yıllar önce başlatılmış
olabilir. Örneğin İsrail’în kısa süre önce Türkiye Hava Sahası
üzerinden gerçekleştirdiği Suriye’deki Nükleer Tesis İnşaatına
yönelik saldırı öncesi, İsrail timlerinin Suriye’nin Rusya’dan
aldığı Radar Sistemlerinin yazılımlarına daha Rusya’da iken
sızarak önlem aldıkları ve Suriye Hava Savunma Sistemini
saldırı sırasında körelttikleri iddialar arasındadır.
Siber Savaşın Gerçekleri
 Siber Savaş Çoktan Başladı.
 Önümüzdeki dönemde siber çatışmaların kaçınılmaz olduğunu
bilen ülkeler çoktan siber savaşı başlattılar.
 Siber savaş bütün yoğunluğu ile etrafımızda gerçekleşiyor.
 «Klasik Barış» döneminde taraflar birbirlerinin açıklarını
tespit ediyor, tuzaklar, açık kapılar, lojik bombalar
yerleştiriyor, savunma sistemlerine sızıyor, hatta tüm
sistemlerde kullanılan microchiplere arka kapılar
yerleştiriyorlar.
 Bu şekilde savaş ve barışın birbirine karışması, dünyayı
«Soğuk Savaş» dönemine benzer bir istikrarsızlık ortamına
sürüklüyor.
Siber Savaşın Gerçekleri
 Sorular





Siber Savaş tamamen veya kısmen kinetik savaşın yerini alacak mı?
ABD’nin «Siber Saldırıları», «Kinetik Savaş» sebebi sayacağı söylemi
ne kadar gerçekçi?
Bir «Siber Savaş» durumunda ABD en büyük saldırıyı
gerçekleştirecek taraf olsa da, en büyük hasarı alan taraf da olabilir
mi? Bu büyük hasar küresel bir yıkım getirebilir mi?
Çin ve Hint orijinli akademisyenlerin ve mühendislerin ABD’deki
büyük etkinliği aynı zamanda Siber Güvenlik Riski oluşturuyor mu?
Siber Savaş için ABD, İsrail, İngiltere, Rusya, Çin, Hindistan, Kuzey
ve Güney Kore, Japonya’nın çalıştıklarını biliyoruz. Ya İran,
Endonezya, Malezya, Gürcistan, Ermenistan, Güney Afrika ve bazı
ulusal ve uluslararası örgütlerin desteği ile Global Terör Örgütleri?
Siber Savaşın Türkiye Gerçekleri
 Devlet – Ne Yapılmalı?
 Bugüne kadar Türkiye’de bir «Internet Değişim Noktası» IXP kurulması için insiyatif alınamamıştır. Oysa IXP’ler son 15
yıl içerisinde hızla gelişerek ülkeler için vazgeçilmez stratejik
değerler haline gelmişlerdir.
 Özellikle Avrupa’da Alman IXP’si DE-CIX, Hollanda IXP’si
AMS-IX, ve İngiliz IXP’si LINX köşe başlarını tutmuş
durumdadırlar.
 Yukarıda adı geçen IXP’ler kendi ülkelerinin trafikleri için
değişim noktası olduğu kadar aynı zamanda bölgesel değişim
noktaları da olmuşlardır. Bu 3 IXP’nin herbirinden saniyede 1
Terabit ve üzeri trafik geçmektedir.
Siber Savaşın Türkiye Gerçekleri
 Devlet – Ne Yapılmalı?
 Avrupa’da Frankfurt’un doğusunda büyük bir IXP
oluşmamıştır. Ancak tarafların bu konudaki gönülsüz tavrı,
gerek bilgi güvenliği, gerekse istihbarat açısında büyük
stratejik avantajlar sağlayacak bir «İstanbul Internet Değişim
Noktası» yerine diğer operatörlerin gelişimini engellemek
adına Sofya ve Budapeşte’deki IXP’lere girilmesi stratejisine
göz yummak olmuştur.
 Yukarıdaki sebeplerle Türkiye’deki kurum ve kuruluşların,
hatta belediye ve diğer yerel yönetimlerin içeriklerini
Almanya’da, Hollanda’da bulundurmaları olağan hale
gelmektedir. Bu da siber espionaj ve bilgi güvenliği risklerini
katlayarak artırmaktadır.
Siber Savaşın Türkiye Gerçekleri
 Devlet – Ne Yapılmalı?
 Hollanda Başbakanı Balkanende, Amsterdam’daki Internet
Değişim Noktası AMS-IX gezisi sırasında «AMS-IX Hollanda
için stratejik bir değerdir» demiştir.
 Balkanende’nin görüp de bizim göremediğimiz, Ortadoğu gibi
karmaşık bir bölgede stratejik avantajları önemsemeyen
anlayış kendi içeriğimizi, dolayısıyla kısmi istihbaratımızı
kendi elimizle trafiğin geçtiği yol boyunca (Bulgaristan,
Yunanistan, Sırbistan, İtalya, Macaristan, Avusturya, Almanya
ve Hollanda’ya hediye etmek değil midir?
Siber Savaşın Türkiye Gerçekleri
 Devlet - Neler Yapılmalı?
 İster BTK içerisinde, ama tercihan daha teknokrat bir yapıda,
isterse BTK dışında «Ulusal Bilgi Güvenliği Akademisi»
tarzında bir ihtisas yapılanmasına ihtiyaç vardır.
 Bugün ABD’de toplam olarak 30.000 kişinin siber güvenliğin
sadece bir alt parçası olan «Malware/Spyware» konusunda
çalıştığı bilinmektedir.
 CIA tarafında yıllar önce In-Q-Tel adıyla bir Venture Capital
firması kurulmuş ve 100’e yakın arge firması bu fonlarla
desteklenmiştir. Örneğin ABD’nin kamu kuruluşlarında
«Malware/Spyware» ile uğraşan sistemler geliştiren
firmalarından Fireeye bir In-Q-Tel yatırımıdır.
 Benzer bir yapıya Türkiye’de de ihtiyaç vardır.
Siber Savaşın Türkiye Gerçekleri
 Devlet-Neler Yapılmalı?
 Ulusal Bilgi Güvenliği Akademisi Neler Yapmalı
Ulusal iletişim güvenliği politikalarını belirlemeli
 Malware/Spyware ile savaşmak için en az 100 kişilik bir ekip
oluşturmalı
 Stratejik noktalarda kullanılacak olan ekipmanların ve sistemlerin
bilgi güvenli denetim ve sertifikasyonların, gerekirse bunların
kullanıldığı noktalarda sürekli denetim yapmalıdır.
 Genel ulusal güvenlik politikası gereği olarak Siber Saldırıların
kaynaklandığı başlıca ülkeler olan, Moldova, Beyaz Rusya,
Gürcistan, Kuzey Kore, Çin, Bulgaristan ve Romanya gibi
ülkelerden kaynaklanan Internet trafiklerini sürekli denetim
altında tutmalı

Siber Savaşın Türkiye Gerçekleri
 Devlet-Neler Yapılmalı
 Ulusal Bilgi Güvenliği Kurumu/Akademisi Neler Yapmalı
Ulusal olarak yüksek hızlı Network İşlemcileri üzerinde en azından
yazılım geliştirecek bir ekip kurarak veya özel sektörü
destekleyerek yerli «Deep Packet Inspection» sistemi
geliştirilmesini sağlamalıdır. Özellikle bu konu «yerli tank», yerli
savaş uçağı» gibi projeler kadar önemlidir.
 Kamu tarafında bilgi güvenli denetimi yapılmalıdır.
 Özel sektörde bilgi güvenliği bilincini oluşturacak aktiviteler
gösterilmelidir.

Siber Savaşın Türkiye Gerçekleri
 Bilgi Teknolojileri ve İletişim Kurumu-Neler
Yapılmalı


İstanbul Internet Değişim Noktası kurulması desteklenmeli ve
bölge ülkeleri için bir çekim noktası oluşturulması
sağlanmalıdır.
Sadece rekabetin önlenmesi için Avrupa’da sadece 3 ülke hariç
(Lichtenstein, Monaco, Bosna-Hersek) her ülkede bulunan
IXP’lerin Türkiye’de kurulmaması, hele ki Bulgaristan
IXP’sinin desteklenmesi önümüzdeki yıllarda tarihin yazacağı
önemli bir eksiklik/dar görüşlülük olacaktır.
Internet Değişim Noktaları
(Internet Exchange Point –IXP)
Internet Değişim Noktası
NEDİR ?
Internet Değişim Noktaları (IXP), Internet Servis Sağlayıcıların
(ISS/ISP) kendi aralarındaki trafiği, bir transit taşıyıcı olmaksızın
birbirlerine aktardıkları sistemleri içeren fiziksel altyapıdır.






Bu altyapı genelde bölgenin en güçlü veri merkezinde
bulundurulur.
IXP’ler ISS’lere hız, yedeklilik ve en önemlisi maliyet avantajı
sağlarlar.
IXP’ler genellikle ISS’lerin bir araya gelmesi ile kar amacı gütmeyen
organizasyonlar olarak kurulmaktadır.
2009 sonu itibarıyla Avrupa’nın 33 ülkesinde 121 IXP
bulunmaktadır.
Londra’da LINX, Frankfurt’ta DE-CIX, Amsterdam’da AMS-IX
bölgenin 3 dev IXP’sidir.
IXP bulunmayan ülkeler Arnavutluk, Bosna Hersek, Sırbistan,
Lichtenstein gibi küçük veya serbestleşmemiş ülkeler ve
Türkiye’dir.
Mevcut Telekom Altyapısı
Yabancı
Veri
Merkezi
Internet Değişim Noktası
 Büyük IXP’ler genellikle finans ve lojistik




merkezlerinde oluşmaktadır.
Uluslararası telekom operatörleri güçlü veri
merkezlerinin ve büyük IXP’lerin bulunduğu yerlere
gelmektedirler.
Romanya’da NXData adlı veri merkezinde 120
uluslararası operatör ve bölgenin önemli
ISP’si bulunmaktadır.
Büyük IXP’lerin bulunduğu yerler bilişim sektörü
için de bir çekim noktası oluşturmaktadır.
Cisco benzeri firmalar Avrupa’daki en önemli
noktasını AMS-IX’in civarına kurmuştur.
Internet Değişim Noktası
 Türk Telekom, LINX, AMS-IX, ve DE-CIX’e (Londra, Amsterdam




ve Frankfurt’taki IXP’lere) doğrudan bağlıdır.
Türkiye’de 7 servis sağlayacının birlikte kurmakta olduğu
TNAP adlı IXP henüz başlangıç safhasındadır ve
desteklenmelidir.
Telekom İşletmecilerimizin, ulusal bir IXP’ye katılımı
ülkemizin sosyo-ekonomik yapısını ve ticari faaliyetlerini
geliştirmek açısından son derece kritiktir.
Batı’daki büyük IXP’lere gidildiğinde hem IXP’lerin
bulundukları ülkelere hem de kullanılan fiber güzergahı boyunca
geçilen ülkelere karşı bilgi gizliliği zaafiyeti oluşmaktadır.
Türkiye’ye henüz çok az sayıda telekomünikasyon işletmecisi
kendi fiber altyapıları ile gelmiştir. Oysa bu Bulgaristan’da
50+, Romanya’da 100+ işletmeci hizmet vermektedir.
Dünyada Durum - Peering
Dünyada 150 kadar noktada degisim yapılmaktadır.
1990’ların neredeyse başlarında
başlayan peering hareketi 20 seneye
yakın bir süredir gelişimini devam
ettirmektedir.
Internet Değişim Noktası
TÜRKİYE’DE GÜÇLÜ BİR IXP OLMASIYLA...








Büyük Telekom İşletmecileri Türkiye’ye gelecekler.
Maliyetlerin düşmesi, içeriğin zenginleşmesini sağlayacaktır,
Yurtdışındaki içerik ülkemize geri dönecek.
MSN, Facebook, YouTube, Google gibi global fenomenler
Türkiye’de de altyapı kuracaklar.
Türkiye’de de kurulan bu altyapılar bu kurumlara yönelik vergi
yükümlülüğü ve denetim imkanı oluşturacak.
Jeopolitik konumuyla Türkiye, Balkanlar, Ortadoğu ve
Kafkaslar’ın doğal IXP noktası olacak.
Zaman içerisinde Çin ve Hindistan’ı Avrupa’ya bağlayan fiber
altyapılar Rusya ve Süveyş-Hint Okyanusu güzergahı yerine
Türkiye üzerine kayacak.
Sayısı artan alternatif fiber güzergahları diğer ülkelerin
dinleme faaliyetlerini zorlaştıracak.
Internet Değişim Noktası
TÜRKİYE’DE GÜÇLÜ BİR IXP OLMASIYLA...







Türkiye’nin, bilişim hizmetlerini sağlayan dış kaynak
(outsourcing) ülkesi olması kolaylaşacak.
Bilgi güvenliği ve gizliliğinin korunmasında (istihbarat ve
karşı istihbarat) avantaj Türkiye’ye geçecek.
Veri Merkezleri güçlenecek ve çoğalacak, yeni nitelikli
işgücü istihdamı artacak.
Başta bilişim, finans ve lojistik olmak üzere global firmalar
Türkiye’ye daha fazla yatırım yapacaklar.
Hindistan ile Avrupa’ya yönelik bilişim hizmeti üretmek (başta
outsourcing) için işbirliği fırsatı oluşacak.
Türkçe içerik bölgedeki diğer ülkelerde yaşayan insanlara daha
kolay ulaşacak.
Türkiye’nin kültürel etkisi Internet ortamında da artacaktır.
Veri Merkezleri ve Barındırma Hizmeti
 Türkçe içerik yurtiçi ve yurtdışındaki birçok veri merkezinden





yayınlanmaktadır.
Türkiye’deki veri merkezi endüstrisinin yeterince gelişmemiş olması ve
maliyet faktörleri içeriğin büyük kısmının yurtdışına kaçmasına
yol açmaktadır.
Tahmini olarak Türkçe içeriğin %55-65’i yurtdışındadır.
Almanya’daki kullanıcıların ülke dışına giden trafiği 600 Gbit gibi
bir seviyede iken Türkiye’nin bağlantıları 400-500 Gbit
seviyesindedir.
Internet penetrasyonu çok daha yüksek olmasına rağmen
Almanya’nın trafiğinin Türkiye’ye oranla düşük olması güçlü VMleri ve
IXP’ler ile içeriğini kendi ülkesinde tuttuğunun göstergesidir.
Ayrıca Google, MSN, YouTube, Facebook gibi globalleşmiş
hizmetler de altyapılarını güçlü Alman VM’lerini kullanarak
tüketicilerine ulaştırmaktadır.
Veri Merkezleri ve Barındırma Hizmeti
 Yukardaki hedef gerçekletirildiği takdirde, Türkiye,



bilgi güvenliği,
uluslararası ekonomik istihbarat,
vergi ve işletmelerin rekabet gücü açısından büyük avantajlar
sağlayacaktır.
Fırsatlar
Türkiye’nin stratejik
konumu, Veri Merkezi
kurulması ve
potansiyel Türkiye’ye
çekilmesi için çok
büyük bir fırsattır.
Türkiye’de IXP (Internet Exchange Point – Internet Değişim Noktası) kurulması
Türkiye’ye rekabet avantajı sağlayacaktır.
Fırsatlar
Frankfurt – Istanbul ~3000 km
Frankfurt – Mumbai ~15000 km
Hindistan yazılım ve IT hizmetleri bakımından dünyada en çok
ihracat yapan ülkelerden biri konumundadır.
1.
Hindistan insan gücü bakımından avantajlı
olmasına rağmen mesafeden ötürü veri
gecikmesi konusunda dezavantaja sahiptir.
2.
Türkiye stratejik konumu gereği veri merkezi
konusunda ciddi bir avantaja sahiptir.
Türkiye stratejik konumu sayesinde, Avrupa ve Ortadoğu pazarında IT
outsourcing için iyi bir adaydır.
Yeni Nesil Siber Güvenlik Sensörü
SGTaaM
AnelArge – Grid Ortak Projesi
Aralık 2012
SGTaaM’ın Başlatılma Gerekçeleri
 Gelişmiş siber saldırıların sayısındaki artış ve yaşanan olaylar,
 Mevcut siber güvenlik ürünlerin gelişmiş siber saldırıların tespitinde ve
önlenmesinde yetersiz kalması ve yeni nesil siber saldırı algılama ve
müdahele ürünlerinin geliştirilmeye başlanması,
 Savunma, finans, telekom, enerji gibi ulusal kritik altyapılarımız ve
ulusal güvenliğimiz için Milli ürünler,
 Farklı kurum veya operatörlere ait ağ cihazlarının gerçek zamanlı
birbirleriyle otomatik koordinasyon kurma ve müdahele
 Daha yüksek ağ durum farkındalığı için 10-40 Gbps ağ hızında gömülü
sistem olarak tasarlanmış siber sensörler,
Projenin Amacı
 Yeni nesil saldırı tespiti için;


örüntü ve imza eşleştirmesi, protokol analizi ve anormallik tespit metodlarını
bütünleşik olarak çalıştırabilen
bütün bunların gerektirdiği performans için çok çekirdek işlemci mimarisini içeren
gömülü bir sistem olarak geliştirilecektir.
 Ağ üzerinde belirli protokollere ait veya şüpheli görülen trafiğin sonradan
analiz edilebilmesi için ağ disklerine aktarımı sağlanarak

zamana yayılmış veya 0.gün gibi gelişmiş siber tehditlerin ve saldırıların deşifresi
mümkün olacaktır
Dünyadaki Eğilimler
 Gartner araştırma raporlarına göre bugün pazarın sadece %1'inin yeni
nesil ağ cihazlarıyla korunduğu, ama 2014 sonunda piyasadaki saldırı
tespit ve önleme (IDS/IPS) ürünlerinin %20'sinin yeni nesil cihazlar
olacağı,
 Checkpoint, IBM, McAfee, HP TippingPoint ve Fortinet gibi firmaların
ürünleri 2010'dan sonra çıkarmaya başlamış, yeni nesil güvenlik pazarını
hedefleyen Sourcefire, Corero Network Security, Palo Alto Networks gibi
yeni kurulan firmalar da bu pazara giriş yapmaya başlaması.
 10 -40 Gbps arası hızda çalışan bu cihazların satış fiyatı 150.000-300.000
USD arasında değişmekte olup tamamı ithal edilmektedir.
 Farklı firmaların ürünleri birbirleriyle koordineli olarak çalışamamakta,
dolayısı ile DDOS, Botnet ve APT gibi gelişmiş saldırılara karşı savunma
sağlanamamaktadır.
Fonksiyonel Mimari
Fiziksel Mimari ve Bileşenler
Paket Yakalama ve
Birleştirme
NAPATECH Akıllı Ağ
Bağdaştırıcısı
Tam Paket
Analizi
Saldırı Tespit
Sistemi
SNORT veya
Suricata
Gömülü Sistem Altyapısı
TİLERA TILE-Gx36TM çok çekirdek işlemcisi ve Geliştirme Plaformu
Kompleks Olay
İşleme
Ağ Bağlantı
ve İşlemci
Kartları
Napatech
4x10GbE
40GbE
Paket
Yakalama
ve Analizi
Trafik
Filtrelem
e ve Akış
Dağıtımı
Napatech
Software
Suite
Threaded
PF_RING
NAPI
Intel® 82599
- PCIe
Kontrolcüsü
(200 Gbs)
- Zero-copy
DMA
- Zero-Copy
BPF
-Libzero for
DNA
- Frame
Buffering
- Cache
Optimizatio
n
Core #: Uygulama Protokol
Tespiti ve Sınıflaması
Core #: Uygulama Protokol
Çözümü
Core #: İmza Temelli Saldırı
Tespit Sistemi
Core #: Anomali Tespit
Sistemi
Core #: DNS Temelli Malware
Trafik Analizi
Core #: DDS ve CEP
Core #: Şüpheli Trafik
Birleştirilmesi ve Aktarılması
Core #: Cihaz ve Uygulama
Yönetimi
Tilera GX
iMesh, mPipe, MiCa
SGTaaM
Proje Çıktıları
SGTaaM kullanıma hazır bir Rackmount bir ağ güvenlik cihazı olacaktır.
1.
2.
3.
4.
5.
6.
Paket Yakalayıcısı: Napatect 1x40Gb (NT40E2-1), 4x10Gb (NT40E2-4) veya
Intel 4x10 Gb : 40 Gb'lık kartlar için QSFP+ arayüzü, 10 Gb'lık kartlar için
SFP+ SR/LR/ER/CR
Akış Yönetimi ve Dağıtımı: %1'den küçük bir CPU utilizasyonu
Tam Protokol Analiz İşlemcisi: Sub-protokol analizi, simetrik ve asimetrik
trafik tespiti, tünel protokollerinin çözülmesi, istatistiksel trafik ölçümleri
konularıni kapsayan açık trafik için port ve imza tabanlı, şifreli trafik için
heuristik tabanlı bir tam protokol analizcisi: 200’e yakın protokol
Tam Protokol Çözümü: Gerçek zamana yakın ve çoklu gigabit hızlarında bir
tam protokol çözümü
Saldırı Tespit Sistemi: imza temelli, protokol temelli ve davranış temelli
anormallik tespit sistemi
Kompleks Olay İşleme ve Aksiyon İletim Altyapısı: Kayıt ve uyarıları kurallar
ve karar ağaçları yardımıyla yüksek hızlarda işleme ve aksiyona dönüştürme
Hedefleri ve Başarı Ölçütleri











Paket Yakalama Hızı: 20 Gbps
Tam Paket Analizi Hızı: 20 Gbps
Saldırı Tespit Sistemi Hızı > 10 Gbps
Tam Protokol Çözümü Hızı: 5 Gbps
(Ortalama Trafikte: Paket büyüklüğü en fazla 1518 byte) Toplam Gecikme: <100
μs.
Saniyede Ortalama Bağlantı Sayısı: 100 000
Uygulama Seviyesi Protokol Sayısı: 200
Dış sistemlerden entegre olunacak uyarı ve kayıt toplama protokolleri: Syslog,
Netflow, IDMEF, IPFIX ve CEF
Internet servis sağlayıcıları (ISP) ve Bilgisayar Olaylarına Müdahale Ekipleri
arasında bilgi paylaşımına yönelik Incident Object Description Exchange Format
(IODEF), Real-time Inter-network Defense (RID), The Intrusion Detection
Message Exchange Format (IDMEF), Real-time Internetwork Defense-Transport
(RID-T) standartları desteklenecektir.
Projede ürün geliştirme süreci EAL 3+ süreçlerine uygun tanımlanacaktır ve
sertifikasyon için başvurulacaktır.
Donanım bileşenleri CE Emission, FCC Class A, RoHS sertifikalarına sahip
ürünler arasından seçilecektir.
Projenin Yenilikçi Yönleri
 Teknolojik Altyapısı: Yüksek ağ̆ hızlarında çalışabilen yeni nesil ağ̆
işlemcileri üzerinde gömülü sistem -> Seviye 1 Ağ Sensörü






Çok çekirdek (many core) teknolojisi
(System on Chip) Tilera işlemcileri üzerinde iMesh, mPIPE yapılarının kullanılması
Ağ işlemcisi (network processor) veya ağ denetleyicisi (network inspection) kartlar
üzerine paket yakalama işlemi (PF_RING, Libzero DNA)
Next-Generation Firewall: Konsepti
Tam paket analizi ve uygulama kimliği ile birleştirilen saldırı tespit sistemi
APT: SIEM formatta (IDMEF, IPFIX ve CEF) uyarı ve kayıt üretme
 Bilgi Paylaşımı ve Karar Oluşturma: Gerçek zamanlı paylaşım ve
koordineli bir siber savunma -> Seviye 2 Ağ Cihazı




DDS Altyapısı ile bilgi paylaşımı
1. Seviye ağ cihazı yerine koordineli biçimde karar alabilen 2. Seviye ağ cihazı
Karar veriyici ve aksiyon verici altyapının üst düzey politika ve kurallarında
işleyebildiği Kompleks Olay İşleme motoru
Ağ hızı gibi yüksek hızlarda çalışan Akış İşleme (Stream Processing)
Proje Beklentileri
 SGTaaM ürünü -> inline çalışma -> NGIPS
 STGaaM Projesinde Tilera (System on Chip) gömülü sistem geliştirme
deneyimini savunma, mobil haberleşme ve telekom sektorlerine
yönelik diger ürünler
 WiMAX, LTE, HSDPA gibi yeni nesil mobil platformlar için verimli ve
etkin protokollerin ve sinyal işleme algoritmalarının çok çekirdek
üzerinden gerçeklenmesi için
 İstihbarat, Gözetleme ve Keşif Sistemleri gelişmiş görüntü ve video
işleme algoritmalarını paralel koşan sensörler
 SSM ile imzalanmış olan ve proto-tip olarak geliştirilen BSGS
projemizin ileride tüm askeri unsurları (ve kamu kurumlarını)
kapsayacak biçimde yaygınlaştırılması beklenmekte olup, tüm taşıyıcı
ağ altyapılarında SGTaaM ürünümüzün kullanılması sağlanarak top
yekün bir siber güvenlik farkındalığ ı yaratmak mümkün olacaktır.
BSGS ve SGTaaM
Müşterek Siber Güvenlik
Durum Resmi
Bütünleşik Siber Güvenlik
Sistemi
Organizasyonel Birlik #1
ArcSight
Olay Kayıt
ve
Uyarıları
Omurga Ağ
Organizasyonel Birlik #2
Ulusal Kazanımlar
 Projemizde, yeni nesil siber saldırıları tespit edip gereken mudahale için
diger cihazlarla koordineli olarak karar ve aksiyon alabilen yenilikçi bir siber
güvenlik ürünü geliş̧tirilecek olup, ulusal kritik altyapılarımızın gelişmiş
milli ürünlerle korunması ile siber saldırılar sonucu oluşan ekonomik
kaybımızın azaltılmasında büyük katkısı olacagı öngörülmuştür.
 Çok çekirdekli işlemci (Too many core) kullanarak gömülü sistem geliş̧tirme
deneyiminin ülkemize kazandırılarak, bu yetkinlik sayesinde savunma,
güvenlik ve telekom sektörlerinde de en son teknolojiye sahip yenilikçi
ürünlerin geliştirilmesinin önünü açabilecektir.
 Nihai amacımız ise bilgi ve iletişim sistemleri açısından ülkemizin en fazla
ithal kalemlerinden birisi olan ağ güvenlik cihazlarını uygun maliyette yurt
içi ve dünya pazarları için geliştirmek ve ihracat potansiyelimizi arttırmaktır.

similar documents