About

Posts by :

Bilgi Güvenliği ve Tehditler

Kişisel verilerimizin güvenliği için almış olduğumuz sayısız tedbir belki gündelik hayatımızı biraz zorlaştırıyor olabilir. Ancak alınan her tedbirin karşısında yeni bir bilgi çalma, istihbarat yönteminin geliştirildiğini de unutmamak lazım.

Biz, en basit haliyle kişisel verilerimiz için bu denli zaman ve emek harcıyorken, kurumlar, topluluklar ve daha ötesi ülkelerin bilgi güvenliğini sağlamak için verdikleri ne düzeyde olabilir?

Bilgiyi korumak ve bunun karşısında bilgiyi ele geçirmek için yürütülen istihbarat faaliyetleri, öncelikle askeri ve politik konuları akıllara getiriyor. Bir genelleme olması amacıyla NATO’nun güvenlik yapılanmasına bakacak olursak Bilgi Güvenliği, Temel Güvenlik başlığının altında, Fiziksel Güvenlik, Personel Güvenliği, Prosedür Güvenliği ve Doküman Güvenliği ile birlikte en üst seviyede yer alıyor. Bir alt kırılımda ise Bilgi Güvenliği (InfoSec); Bilgisayar Güvenliği (CompuSec) ve Haberleşme Güvenliği (ComSec) bileşenleri ile değerlendiriliyor. Sonrası, detayına girdikçe dallanıp budaklanan, farklı tehditler için oluşturulmuş farklı güvenlik alt birimleri…

Peki nedir bunca farklı önlemi gerekli kılan tehditler?

Tehditleri uzun uzun anlatmak mümkün değil, net bir şekilde söyleyebilirim ki biz bu konuları tartışıyorken yeni istihbarat yöntemleri türüyor bir yerlerde…Ama genel olarak tehdidin bizim istemdışı yaydığımız bilgilerin pasif olarak ele geçirilmesi ve bizim gizlediğimiz bilgilere yetkisiz şekilde aktif olarak nüfuz edilmesi gibi iki ayrı yöntemle karşımıza çıktığını özetleyebiliriz.

Bugün kurum ve kuruluşlar, özel işletmeler öncelikle bilgisayar ortamındaki verilere nüfuzu engellemeye çalışıyorken, antivirüslerle, güvenlik duvarlarıyla (firewall) aktif saldırılara karşı güvende olduklarını düşünüyorken aslında bilgi istem dışı olarak farklı şekillerde ortama yayılıyor. Pasif dinlemede olan yetkisiz kişilere ise sadece, teknik imkanları ile ortamdaki bilgiyi toplamak kalıyor. Eski bir teknoloji olan “uzaktan gönderilen lazer işareti ile camlarda oluşan titreşimi anlamlı ses ve yazıya dönüştüren sistemler (optik istihbarat) ile ortamda konuşulanları dinlemek” bugün bile bazılarına ütopik gelebiliyor. Aynı şekilde TEMPEST teknolojisi (elektromanyetik ışımalardan bilginin elde edilmesi) ile bilgisayar ekranları, sabit disk, yazıcı, tarayıcı gibi bilgi teknolojisi cihazlarındaki bilgileri on metrelerce uzaktan elde etme, ilk olarak 1960’larda kullanılmış olan bir yöntem olmasına rağmen hala ilgi çekici.

Kablosuz veri işaretleri ile “duygu” analizi: EQ-Radio…..

MIT Bilgisayar Bilimi ve Yapay Zeka Laboratuvarında (CSAIL) bir grup bilim insanının duyguları kablosuz veri işaretleri göndererek analiz etme üzerine çalışma yürüttükleri ve %87 oranında başarılı oldukları haberini okumuşsunuzdur. Gönderilen kablosuz işaretler ile kişilerin heyecanlı, üzgün veya sinirli ruh hallerini tespit edebiliyorlar. EQ-Radio olarak adlandırılan bu teknolojinin kişilerle ilgili şimdilik yüzeysel ama zamanla daha detaylı bilgiye ulaşmada aktif olarak kullanılacağı şüphe götürmez. Girdiğimiz her ortamda kablosuz modemlerin yaygın şekilde bulunduğu gerçeği, modemlerden gönderilen işaretler ile ne gibi bilgilerin toplanabildiği konusunda aklımızı zorlayacaktır. Biz güvenlik duvarı ile bilgisayarımızdaki verileri güvende tuttuğumuzu sanaduralım, aklımızdaki bilgilerin ele geçirilmediğinin garantisi olmayan bir çağda yaşıyoruz.

Bu makale, “Herkese Bilim Teknoloji” dergisinin 18 Kasım 2016 tarihli sayısında yayınlanmıştır.

Bilgi Güvenliği ve Tehditler

Bilgi Güvenliği ve Türkiye

Bilgi Teknolojisindeki baş döndürücü gelişimin Bilgi Güvenliği konusunda bizlerin hayatını zorlaştırıcı bir çok tedbire yönelttiğini daha önceki yazımda paylaşmıştım. Bireysel, sektörel, ticari, ulusal ve aslında global anlamda bilgi güvenliği gerekleri her geçen gün kendini yeniliyor.

Tüm dünyada bilgi güvenliği için her dakika yeni bir şeyler yapılıyorken ülkemizde durum nasıl?

Aslında bu sorunun cevabı sadece ülkemiz için değil, tüm ülkeler ve hatta AB, NATO gibi topluluklar için epeyce karışık. Öncelikle şunu belirtmekte yarar var, bilgi güvenliğinin amiral gemisi olarak SİBER GÜVENLİĞİ görebiliriz. Özellikle haberleşme güvenliğinde alınması gereken tedbirler zincirin ilk halkasını oluşturuyor. Türkiye’de bu konudan sorumlu bakanlık Ulaştırma, Denizcilik ve Haberleşme Bakanlığı. 2008 yılında yapılan değişiklik ile yeni ismini de alan Bilgi Teknolojileri ve İletişim Kurumu (BTK) sürecin baş aktörü. Bölgesel, ulusal ve uluslararası düzeyde bilgi teknolojileri konusunda çalışmaları yürütüyor. 15 Temmuz sürecine kadar internet dahil bütün haberleşme kanallarından yapılan iletişimlerin takibi Kurumun bir alt birimi olan Telekomünikasyon İletişim Başkanlığı (TİB) tarafından yürütülüyordu, sonrasında lağvedilen birimin yetkileri BTK bünyesinde toplandı.

Peki BTK ile merkezi bir Bilgi Güvenliği yapısı oluşturuldu mu?

Net olarak Hayır. Aslında kapsamlı ve otoriteyi elinde bulunduran bir Ulusal Bilgi Güvenliği Teşkilatı kurma fikri ve çalışmaları farklı farklı dönemlerde alevlenmiş olarak yıllardır var. Bir dönem benim de TÜBİTAK-UEKAE adına içinde görev aldığım ve Başbakanlık, MSB ve diğer ilgili bakanlıklar, MİT Müsteşarlığı, Genelkurmay Başkanlığı ve Kuvvet Komutanlıklarının MEBS temsilcilerinden oluşan ve MGK Genel Sekreterliğinin ev sahipliğinde çalışan ekip, bu teşkilatın kurulması ve ilgili kanunların çıkarılması için epey uzun mesai yapmıştı. Mevcut durumda her yıl geliştirilmekte olan bu kanun tasarısının kısmen hayata geçmiş hali, Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi ve Koordinasyonuhakkındaki Bakanlar Kurulu kararıdır. Yine somut bir yapılanma olan, ülkemizin maruz kalabileceği siber tehditleri tespit etme, buna karşı koymak için çalışmalar yürütme ve ilgili yerleri bilgilendirme görevini üstlenmiş ve BTK bünyesinde yer alan Ulusal Siber Olaylara Müdahale Merkezi’ni (USOM) örnek olarak verebiliriz.

Ulusal Bilgi Güvenliği konusunda merkezi bir yapılanma çalışmalarına rağmen, Bakanlıkların, Genelkurmay ve Kuvvet Komutanlıklarının, Emniyet Genel Müdürlüğünün, TÜBİTAK’ın ve diğer bazı Kamu Kurumlarının ve hatta bankaların farklı köşelerinden destek verdiği bir denge söz konusu ülkemiz için.

Çağın en önemli enstrümanı olan interneti kamusal işlerde daha güvenli kullanmak için gelişmiş tüm ülkelerde olduğu gibi elektronik imza, elektronik sertifika kullanımı da ülkemizde hızla yaygınlaşıyor.

Alınan önlemler, planlanan tedbirler, kanunlar, kanun tasarıları, teşkilatlar, kurullar geçen her gün durmak bilmeyen bir yenilenme sürecinde olacak, bu çok açık. Ancak çok yakın geçmişte 50 milyona yakın vatandaşımızın kişisel bilgilerinin çalınıp internette yayınlandığı gerçeği, bu dinamik süreçte çok daha ciddi adımlar atmamız gerektiğinin en somut göstergesi…

Bu makale, “Herkese Bilim Teknoloji” dergisinin 7.Ekim.2016 tarihli sayısında yayınlanmıştır. 

Türkiye bilgi güvenliği

 

Bilgi Güvenliği ile Yaşamak

Bilgi teknolojisi çağında yaşıyor olmamız, bilgiye ulaşmak için sınırsız kolaylıklar sağlıyor. Daha dün ulaşmak istediğimiz bilgi için önce doğru kütüphaneyi bulmak, sonrasında binlerce kitap içinde doğru kaynağı ayırmak zorundayken, bugün bilgi, yaygın bir benzetme ile, bir tuş kadar uzağımızda.

Bilgiye ulaşmanın bu denli kolay olduğu bir ortamda çok doğaldır ki gizli kalması gereken bilgiyi korumak bir o kadar zor.

Bilgi güvenliği (information security), genel anlamda korunmak istenen bilgiye ulaşılmasına, zarar verilmesine, bu bilginin yetkisiz kişilerce kullanımına, değiştirilmesine ve de kaydedilmesine karşı yapılan çalışmaların bütünüdür.

Her ne kadar bugün bilgi güvenliği kavramı neredeyse siber güvenlik ile eşanlamlı kullanılıyor olsa da bilginin korunması için yapılan çalışmalar çok eskiye dayanıyor. M.Ö. 1.yy.’da yaşamış olan Roma İmparatorluğunun büyük lideri Julius Caesar’ın ilettiği özel mesajları, bugün Caesar Şifrelemesi adını verdiğimiz teknikle güvende tutmaya çalıştığını biliyoruz. Günümüze daha yakın geçmişin akılda kalan örneği ise İkinci Dünya Savaşı sırasındaki istihbarat mücadelesi ve istihbarata karşı koyma yöntemleridir. Almanya’nın efsanevi kripto cihazı Enigma, belki bugün kriptoloji denildiği zaman bu bilimle ilgilenmeyen insanların bile aklında yer etmiştir.

Bilgi güvenliği sadece devletlerin gizli bilgilerini ve muhabere emniyetini sağlamak için mi önemli?

Şüphesiz hayır.

Bilgi güvenliği konusu ticari gizlilik hatta kişisel gizliliğin vazgeçilmezi durumunda. Ticari şirketlerin rakiplerinden önce atacakları adımlar, izledikleri politikalar ve stratejiler, yaptıkları Ar-Ge çalışmaları, finansal aksiyonlar ve daha birçok konu, bilgi güvenliğinin sağlanması üzerine dayanan çok hassas bir dengeye sahip. Bizler ise cep telefonumuza dahi pin kodu tuşlayarak giriyoruz, kişisel gizlilik her şeyin önünde yer alıyor.

Bu konudaki en ilginç istatistik siber güvenlikle ilgili adli vakalar incelendiğinde ortaya çıkıyor. Bilgi güvenliğinin yeni trend ihlalleri, dijital oyun hesaplarının çalınması… Evet, her gün bir internet dolandırıcılığı haberi, banka hesabı boşaltma vakası duyuyor olsak da dijital oyun hesabı hırsızlığı şaşırtıcı şekilde benzer boyutta bir illegal gelir kapısı olmuş durumda.

Haberleşme güvenliği, bilgisayar güvenliği, kripto güvenliği, RF güvenlik, optik güvenlik derken bilgi güvenliği konusunun hayatımızın çok daha basit aşamalarında karşımıza çıkması, teknoloji ile gelişen bir hırsız-polis mücadelesi izletiyor bizlere… Ve bu mücadelenin bir parçası olarak bugün sanal dünyada attığımız her adımda kullanmak ve aklımızda tutmak zorunda olduğumuz onlarca şifre ile yaşıyoruz. Bu durumdan ne kadar memnunuz, tartışılır…

Bu makale, Herkese Bilim Teknoloji dergisinin 16.Eylül.2016 tarihli sayısında yayınlanmıştır. 

 

bilgi_guvenligi_ile_yasamak

Uçaklarda Cep Telefonunu Neden Kapatıyoruz?

cellphone3

Mobil telefonlarımızın yanımızda olmadığı zamanlarda kendimizi ıssız bir adada savunmasız gibi hissettiğimiz şu günlerde uçaklarda en çok duyduğumuz ve hiç hoşlanmadığımız anonstur “lütfen cep telefonunuzu kapalı konuma getiriniz” ikazı. Hoşlanmasak da uymak zorunda olduğumuz bu tedbir neden gerekli? Aslında cevabı sorusunda saklı bir durum bu, en kaba haliyle bu bir tedbir..!

Elektronik cihazların çevrelerine yaydıkları istemli veya istemdışı emisyonların diğer elektronik cihazları etkilemesineElektromanyetik Girişim” (EMI, Electromagnetic Interference), herhangi bir girişimden etkilenmeden ve girişimde bulunmadan çalışmaya da Elektromanyetik Uyumluluk” (EMC, Electromagnetic Compatibility) dendiğini önceki yazımda paylaşmıştım. Uçaklarda alınan bu tedbirin en temel sebebinin bu kavram olduğunu bulmak zor değil.. Peki cep telefonları gerçekten EMI sebep olur mu? Bu sorunun net ve genel geçerli bir cevabı yok, sadece olabilir, olma ihtimali var denilebilir çunku girişim bir çok etmene bağlı; kaynağın frekansına, genliğine, ortama, kuplaj şartlarının gerçekleşmesine vs vs. Bütün elektronik cihazlar çalışırken doğaları gereği çevreye bir miktar emisyon yayarlar, az ya da çok…Bu emisyonların uçağın duyarlı sistemleri üzerinde girişimde bulunması durumunda hayati öneme sahip risk oluşturacağı tartışmasız bir gerçek!

cell

Her ne kadar uçaklar gerek cihaz bazında gerek bütün sistem olarak EMC testlerinden geçirilip standartlara uygunluğu sertifikalandırıldıktan sonra uçuşa çıksalar da, test koşulları ile gündelik hayatta karşılaşacakları koşulların birebir uyumlu olacağının garantisi yok! Yüzde birlik bir hata payının bildirilmesi bile uçağı kullanmaktan vazgeçmemiz için yeterliyken bu girişim riskini almak çok da akılcı durmuyor…

Peki riskin büyüklüğü nedir???

Cep telefonumuzu haberleşme amacı dışındaki fonksiyonlarıyla kullanırken (fotoğraf çekme, müzik dinleme vs.) gerçekleşen işlevin  istem dışı ve de çok küçük genlikte emisyonlar yarattığını rahatlıkla söyleyebilirim. Yani “risk büyüktür sıfır” ama net bir şekilde çok çok küçük. Ancak konu mesajlaşma, konuşma vb şekilde kablosuz haberleşmeyi gerektiriyorsa, bu işlevleri yapmak için cihazımızın istemli olarak emisyonda bulunduğunu, baz istasyonu ile haberleştiğini veya haberleşmeye çalıştığını, kesintisiz haberleşebilmek için gücün yüksek değerlere çıkabildiğini, bunun da uçağın sefer sistemlerini bozabilecek riski yarattığını biliyoruz. Günümüz teknolojisinde bu risk de minimize edilmiş olmasına rağmen gözardı edilemeyecek kadar önemli..

Sonuç; uçuş süresince cep telefonlarından uzak kalmak, tehlike riskimizi azalttığı gibi yüz yüze iletişime mecbur ederek sosyalleşmemiz için bir fırsat da yaratabilir…

Tek Suçlu Cep Telefonları mı??

Teknolojinin hayatımızın her aşamasına girmesinden, kazandırdığı konfor nedeniyle oldukça memnunuz. Ancak bizi mutlu eden herşeyin mutlaka bir şekilde zararı da oluyor. Cep telefonları bundan 15 yıl önce oldukça kısıtlı kullanıma sahipken şimdi hepimiz iki telefon taşıyor, çocuklarımıza ayrı mobil telefonlar alıyoruz. Cep telefonlarının insan sağlığına ne derece zarar verdiği konusu, sadece akademik çevrelerin çalışmalarının değil, günlük yaşantımızda futbolun, modanın hatta yemek tariflerinin konuşulduğu ortamların da popüler bir konusu. 🙂

Bu konuda yapılan binlerce çalışma, yayınlanan çok sayıda makale ve kitap var. TÜBİTAK’ta görev yaptığım dönemlerde bu konu daha popülerdi…yaptığımız akademik çalışmalar ayrıca değerlendirilebilir, ancak gündelik yaşantımızdan gelen sorular bir dönem ciddi bir e-posta ve telefon trafiği oluşturuyordu…

Cep telefonları ile ilgili iki temel merak var; birincisi evinin-ofisinin yakınına baz istasyonu kurulan insanların aldıkları radyasyon konusunda endişeleri…ikincisi ise daha genel.. cep telefonu kullanırken sağlığımıza verdiğimiz zarar..

Baz İstasyonları..!

Öncelikle şunu belirtmek lazım, cep telefonları kendi aralarında değil, baz istasyonları ile haberleşir. Yani baz istasyonlarının bizden aldığı ve bize verdiği işaret ile cep telefonunu kullanırız. Bu hizmeti baz istasyonunun gücü yettiğince ve aynı baz istasyonundan aynı anda faydalanan telefon sayısı belirli bir limitin altında ise alabiliriz. Baz istasyonları, üzerlerindeki antenleri kullanarak GSM işaretlerini yayınlar. Bu ışıma, antenlerin baktığı yöne de bağlı olarak belirli bir açı ile yol alır.

Daha kolay hayal edebilmek için çizgifilmlerden karanlık ortamdaki bir deniz feneri görüntüsünü düşünebilirsiniz. O sahnedeki ışık gibi baz istasyonundaki elektromanyetik ışıma antenden başlayarak ve uzaklaştıkça genişleyerek yol alır. Mum dibini aydınlatmaz atasözünü de gözönüne alarak deniz fenerinin dibinde oturan kişinin fenerin ışığından etkilenmesi mümkün müdür?? Baz istasyonlarında da durum aynı, binamıza konulan istasyonun bize zararı olmadığı gibi herhangi bir faydası da olmaz..Bu konuda genel geçerli bir standart olmamakla birlikte Dünya sağlık örgütünün ve ICNIRP’nin verdiği limitler var. Ülkemizde bu limitlerin epey altında değerler sınır kabul ediliyor.

Peki ya cep telefonları??

Kullandığımız cep telefonlarına gelince…sesimizi, mesajımızı, resmimizi hatta videoumuzu bir yerden bir yere gönderebildiğimize göre bir elektromanyetik radyasyon olduğu kesin. Zaman geçtikçe canlı sağlığına daha az zarar veren teknolojiler geliştiriliyor, ürünler daha sıkı test ediliyor…Elektromanyetikte çok temel bir kural bize oldukça fayda sağlayabilir: “Elektromanyetik alan mesafe ile zayıflayarak azalır”. Cep telefonunu kulağımıza dayayarak konuşma ile 5 cm mesafede tutarak konuşma arasında ciddi bir fark var. Kulaklık kullanıp telefonu bedenimizden uzak tutmak ise en ideal çözüm.

Baz istasyonlarının yayınımı ile ilgili onlarca ölçme yapmıştım; bunu sistemi aklamak için söylemiyorum ama insanların bulunabileceği alanlarda, verilen limitlere uzaktan da olsa yaklaşan bir değer hiç görmedim. Peki ya cep telefonu kullanımı?? İnsan vücuduna, özellikle metabolizmaya, az ya da çok, zararlı olduğu kesin olmakla birlikte evde gündelik hayatımızda kullandığımız elektrikli süpürge, mutfak robotu, saç kurutma makinesi, bilgisayar, televizyon gibi cihazların elektromanyetik yayınımının kimsenin zihnini meşgul etmemesi bir çelişki gibi..bu aletlerin radyasyon miktarlarını araştırın derim 🙂

Sonuç olarak, yüksek genlikli elektromanyetik enerjiye uzun süre maruz kalmanın zararı tartışılmaz..genlik için verilen sınır değerler insan üzerinde yıllarca süren deneylerle doğrulanmış değil de, teori ile türetilmiş değerler olduğundan güvenilir değerler olduklarını kimse iddia edemez. Kanser vakalarındaki artışın önemli bir nedeni de teknoloji ile hayatımızda yaygınlaşan elektonik cihazların emisyonları mı??.. belki..! Bunu yıllar sonra daha net goreceğiz..Günümüz teknolojisinde çevremizdeki elektromanyetik enerji kaynağı olan yüzlerce cihazdan sadece biri cep telefonu…zararı çok mu?? Sıfırdan büyük 🙂