tempest

Bilgisayarınızdaki Gizli Bilgilerin Çevreye Yayıldığını Biliyor muydunuz?

Elektrikli ve elektronik cihazların çalışmaları esnasında istemli veya istemdışı olarak çevrelerine elektromanyetik enerji yaydıklarını biliyoruz. Telsiz vericiler, mobil telefonlar, radarlar, algılayıcılar, kablosuz veri iletim sistemleri gibi yapılar istemli olarak bu enerjiyi yayarlar. Ama bir bilgisayarın, fotokopi makinesinin veya projeksiyon cihazının çevresine elektromanyetik enerji yayması istenmeyen bir durumdur. Önceki yazımda da anlattığım gibi TEMPEST, gizlilik dereceli bilgi işleyen elektrikli ve elektronik teçhizattan kaynaklanan istemdışı elektromanyetik enerji yayılımlarını ve bu yayılımların araştırılmasını, incelenmesini, kontrol altına alınmasını ifade eden bir terim, daha doğrusu A.B.D. tarafından verilmiş bir kod addır.

Her ne kadar ütopik gibi görünse de aslında TEMPEST oldukça eski bir istihbarat yöntemi. Elektrikli cihazın çevresine yaydığı enerjiyi bir anten ve alıcı vasıtasıyla topladıktan sonra kuvvetlendirip yeniden işleme, bazen de görüntü işleme yöntemleriyle iyileştirme neticesinde kaçak bilgi elde edilebilir. Bu yöntem Türkiye’ye benim de içinde olduğum bir ekip tarafından 1990’lı yıllarda getirildi ve “TEMPEST Problemini” tamamen milli imkanlarla oluşturabilen, çözebilen, test edebilen bir laboratuvar ve teknik altyapı kuruldu, personel yetiştirildi. Problemin en dikkat çekici noktası, bilgi işleyen “herhangi bir cihazdan” yayılan kaçakların elde edilebilir olması… Yani bilgisayar ekranında gösterilen bilgi, CD sürücüsünde okunan bilgi, fotokopi makinesinde çoğaltılan bilgi, faks ile iletilen, tarayıcıda taranan, yazıcıda basılan… Aklınıza gelebilecek bütün bilgi işleyen teçhizat potansiyel bir TEMPEST kaçağı kaynağıdır.

Aldığınız güvenlik önlemleri ile bilgisayarınızdaki bilgilerin gizli kalabildiğine emin misiniz??

En basit TEMPEST senaryosu, siz masanızda oturmuş bilgisayarınızda GİZLİ gizlilik derecesinde bir yazı yazıyorken istismarcının bir anten, alıcı ve işleyici sistem ile bilgisayarınızın ekranından kaçan işaretleri toplaması ve yeniden oluşturarak sizin ekranınızı çalması… Tıpkı çatı anteniyle kilometrelerce uzaktan gönderilen havadaki yayın bilgilerini toplayıp, işleyip, evimizin salonundaki televizyonumuzda yayınları izlememiz gibi… Bu işlem bitişik binanızdan, üst katınızdan veya ofisinizin önüne park edilen siyah camlı bir panelvanın içinden, size hiç hissettirmeden yapılabilir, tıpkı havadan yapılan televizyon yayınlarını kimlerin izlediğinin bilinmemesi gibi. Bu kaçak şekline uzaysal ışımayla yayılım denir. Havadaki işaretlerin anten vasıtasıyla toplanmasından öte bir yöntem de, bilgi işleyen cihazın bağlı olduğu herhangi bir şebekeye girerek bilgiye ulaşmak… Aynı örnek üzerinden gidecek olursak GİZLİ yazı hazırladığınız bilgisayarınızı bağlamış olduğunuz internet hattından veya gücünü beslediğiniz şebeke hattından da bu bilgiler bir izleme probu yardımıyla alınabilir, hem de yüzlerce metre mesafeden..! Bu yöntem ise iletkenlikle yayılım olarak bilinir. Sisteminizdeki ne antivirüslerin güncelliği, ne de güvenlik duvarınızın (firewall) gücü TEMPEST’e karşı bir şey ifade eder, çünkü bilgi sizin ekranınızda açık ise aynı bilgi havada ve şebeke hattınızda, dolayısıyla istismarcının anteninde veya probundadır…

Peki TEMPEST kaçaklarına karşı nasıl tedbir alabiliriz??

Aslında risk büyük olsa da bazı tedbirler oldukça kolay. Öncelikle iletkenlik yoluyla oluşan kaçakların tek ve en güvenli tedbirinin işaret hattına veya güç hattına konulacak TEMPEST filtreleri (süzgeç devreleri) olduğunu söylemeliyim. Filtreler, cihazın çalışmasını etkilemeden oluşan kaçakların süzülüp dışarıya çıkmasını engelleyen cihazlar. Uzaysal ışıma yoluyla oluşan kaçaklar ise özel tedbirler alınmış teçhizat kullanımıyla engellenebilir. TÜBİTAK – UEKAE’de çalıştığım yıllarda milli TEMPEST Filtreler, milli TEMPEST Korunaklı IT Cihazları geliştirme projelerini yönetmiştim. Geliştirdiğmiz milli cihazların binlercesi bugün birçok kritik kamu kurumunda ve askeri bölgelerde kullanılmakta. Maliyetin yüksek olduğu bu özel cihazları kullanma şansınız yoksa elektromanyetik sızdırmazlık özelliği olan ortamlarda çalışmalı veya kaçak işaretlerinin mesafe ile ters orantılı olarak azalması prensibinden faydalanarak risk oluşturabilecek yerlerde kendi kontrolünüzdeki bölgenin mümkün mertebe büyük olmasına dikkat etmelisiniz.

 

Bu makale, “Herkese Bilim Teknoloji” dergisinin 10 Mart 2017 tarihli sayısında yayınlanmıştır.

aysam akses

Elektromanyetik Bilgi Kaçakları: TEMPEST

Bilgi teknolojisi çağında yaşıyor olmamızın sağladığı kolaylıklar, bilginin teknolojik imkanlarla işlenmesini her geçen gün biraz daha yaygınlaştırıyor. Çok değil, 20 yıl öncesine kadar raflarda yüzlerce kitapta ulaşabildiğimiz bilgiyi bugün bir parmak büyüklüğünde disklerin içinde taşıyoruz. Dünyadaki bütün kütüphaneler ise cebimizdeki akıllı telefon kadar yakınımızda…

Bilgi işleyen teknolojilerin bir ortak özelliği, elektrikli ve elektronik sistemlerden oluşması. Haliyle bilgiye ulaşmak isteyen yetkisiz kişilerin ilk başvurdukları açık kapı da bu yapı oluyor. Elektrikli ve elektronik cihazların çalışmaları esnasında istemli veya istemdışı olarak çevrelerine elektromanyetik enerji yaydıklarını biliyoruz. Bu enerjinin cihazların performansları üzerindeki etkisi Elektromanyetik Uyumluluk (EMC) kapsamında inceleniyor. Bilgi güvenliği açısından ise çok ciddi bir tehdit var bu olguda. TEMPEST, elektrikli ve elektronik cihazlardan yayılan elektromanyetik enerjinin toplanmasını, incelenmesini ve içerdiği bilgilerin yeniden elde edilmesi için yürütülen çalışmaları ifade eden bir kod ad. Her ne kadar bir kısaltma gibi görünse de TEMPEST, A.B.D. tarafından bu konudaki çalışmalar için verilmiş bir isim. Evet, ilk bakışta oldukça ütopik gibi görünüyor olabilir ama TEMPEST 1950’lerden bu yana kullanılıyor. Bilgi işleyen bir cihazın gövdesinden havaya veya iletkenlerinden bağlı olduğu güç / işaret şebekesine yayılan elektromanyetik kaçaklar işlenerek içindeki bilgi yeniden oluşturuluyor. Bu bilgi sınıflandırılmış (gizli) bir bilgi ise, tabii ki değeri çok yükseliyor.

TEMPEST’in istihbarat amaçlı bildiğimiz ilk kullanımı 1960’larda İngiliz MI5 teşkilatının Fransa’nın kriptolu haberleşmesindeki bilgileri bu yolla elde etmesi. Ancak İkinci Dünya Savaşı zamanında Amerika’nın bu yöntem üzerinde çalıştığı ve benzer prensiple çeşitli veriler elde ettiği, bugün gizliliği kalkan belgelerden anlaşılabiliyor.

TEMPEST konusunda bilimsel ve tamamen açık ilk çalışma ise 1985’te Hollandalı bir telekom araştırmacısı olan Wim Van Eck tarafından yapılan ve bir bilgisayarın ekran görüntüsünün metrelerce uzaktan alınmasını gösteren deney ve bu deneyin anlatıldığı makale.

Peki Türkiye’de durum???

TEMPEST teknolojisi ülkemize, benim de içinde olduğum bir ekip tarafından 1990’lı yıllarda getirildi. TÜBİTAK Ulusal Kriptoloji Enstitüsü’nde, Genelkurmay Başkanlığı ile imzalanan bir protokol kapsamında TEMPEST çalışmaları yapan bir laboratuvar kuruldu ve milli imkanlarla bu teknoloji geliştirilerek bilgi güvenliği için TSK başta olmak üzere kamu kurumlarının hizmetine sunuldu. Yani önde gelen bazı devletlere göre biraz geriden de olsa, milli imkanlarla teknoloji hala takip edilebiliyor. Burada önemle üzerinde durulması gereken soru, bizim bugünümüzde bu ileri devletler hangi teknolojileri geliştiriyorlar?

Bu makale, “Herkese Bilim Teknoloji” dergisinin 10 Şubat 2017 tarihli sayısında yayınlanmıştır.

EM_BilgiKacaklari

Bilgi Güvenliği ve Tehditler

Kişisel verilerimizin güvenliği için almış olduğumuz sayısız tedbir belki gündelik hayatımızı biraz zorlaştırıyor olabilir. Ancak alınan her tedbirin karşısında yeni bir bilgi çalma, istihbarat yönteminin geliştirildiğini de unutmamak lazım.

Biz, en basit haliyle kişisel verilerimiz için bu denli zaman ve emek harcıyorken, kurumlar, topluluklar ve daha ötesi ülkelerin bilgi güvenliğini sağlamak için verdikleri ne düzeyde olabilir?

Bilgiyi korumak ve bunun karşısında bilgiyi ele geçirmek için yürütülen istihbarat faaliyetleri, öncelikle askeri ve politik konuları akıllara getiriyor. Bir genelleme olması amacıyla NATO’nun güvenlik yapılanmasına bakacak olursak Bilgi Güvenliği, Temel Güvenlik başlığının altında, Fiziksel Güvenlik, Personel Güvenliği, Prosedür Güvenliği ve Doküman Güvenliği ile birlikte en üst seviyede yer alıyor. Bir alt kırılımda ise Bilgi Güvenliği (InfoSec); Bilgisayar Güvenliği (CompuSec) ve Haberleşme Güvenliği (ComSec) bileşenleri ile değerlendiriliyor. Sonrası, detayına girdikçe dallanıp budaklanan, farklı tehditler için oluşturulmuş farklı güvenlik alt birimleri…

Peki nedir bunca farklı önlemi gerekli kılan tehditler?

Tehditleri uzun uzun anlatmak mümkün değil, net bir şekilde söyleyebilirim ki biz bu konuları tartışıyorken yeni istihbarat yöntemleri türüyor bir yerlerde…Ama genel olarak tehdidin bizim istemdışı yaydığımız bilgilerin pasif olarak ele geçirilmesi ve bizim gizlediğimiz bilgilere yetkisiz şekilde aktif olarak nüfuz edilmesi gibi iki ayrı yöntemle karşımıza çıktığını özetleyebiliriz.

Bugün kurum ve kuruluşlar, özel işletmeler öncelikle bilgisayar ortamındaki verilere nüfuzu engellemeye çalışıyorken, antivirüslerle, güvenlik duvarlarıyla (firewall) aktif saldırılara karşı güvende olduklarını düşünüyorken aslında bilgi istem dışı olarak farklı şekillerde ortama yayılıyor. Pasif dinlemede olan yetkisiz kişilere ise sadece, teknik imkanları ile ortamdaki bilgiyi toplamak kalıyor. Eski bir teknoloji olan “uzaktan gönderilen lazer işareti ile camlarda oluşan titreşimi anlamlı ses ve yazıya dönüştüren sistemler (optik istihbarat) ile ortamda konuşulanları dinlemek” bugün bile bazılarına ütopik gelebiliyor. Aynı şekilde TEMPEST teknolojisi (elektromanyetik ışımalardan bilginin elde edilmesi) ile bilgisayar ekranları, sabit disk, yazıcı, tarayıcı gibi bilgi teknolojisi cihazlarındaki bilgileri on metrelerce uzaktan elde etme, ilk olarak 1960’larda kullanılmış olan bir yöntem olmasına rağmen hala ilgi çekici.

Kablosuz veri işaretleri ile “duygu” analizi: EQ-Radio…..

MIT Bilgisayar Bilimi ve Yapay Zeka Laboratuvarında (CSAIL) bir grup bilim insanının duyguları kablosuz veri işaretleri göndererek analiz etme üzerine çalışma yürüttükleri ve %87 oranında başarılı oldukları haberini okumuşsunuzdur. Gönderilen kablosuz işaretler ile kişilerin heyecanlı, üzgün veya sinirli ruh hallerini tespit edebiliyorlar. EQ-Radio olarak adlandırılan bu teknolojinin kişilerle ilgili şimdilik yüzeysel ama zamanla daha detaylı bilgiye ulaşmada aktif olarak kullanılacağı şüphe götürmez. Girdiğimiz her ortamda kablosuz modemlerin yaygın şekilde bulunduğu gerçeği, modemlerden gönderilen işaretler ile ne gibi bilgilerin toplanabildiği konusunda aklımızı zorlayacaktır. Biz güvenlik duvarı ile bilgisayarımızdaki verileri güvende tuttuğumuzu sanaduralım, aklımızdaki bilgilerin ele geçirilmediğinin garantisi olmayan bir çağda yaşıyoruz.

Bu makale, “Herkese Bilim Teknoloji” dergisinin 18 Kasım 2016 tarihli sayısında yayınlanmıştır.

Bilgi Güvenliği ve Tehditler

Bilgi Güvenliği ve Türkiye

Bilgi Teknolojisindeki baş döndürücü gelişimin Bilgi Güvenliği konusunda bizlerin hayatını zorlaştırıcı bir çok tedbire yönelttiğini daha önceki yazımda paylaşmıştım. Bireysel, sektörel, ticari, ulusal ve aslında global anlamda bilgi güvenliği gerekleri her geçen gün kendini yeniliyor.

Tüm dünyada bilgi güvenliği için her dakika yeni bir şeyler yapılıyorken ülkemizde durum nasıl?

Aslında bu sorunun cevabı sadece ülkemiz için değil, tüm ülkeler ve hatta AB, NATO gibi topluluklar için epeyce karışık. Öncelikle şunu belirtmekte yarar var, bilgi güvenliğinin amiral gemisi olarak SİBER GÜVENLİĞİ görebiliriz. Özellikle haberleşme güvenliğinde alınması gereken tedbirler zincirin ilk halkasını oluşturuyor. Türkiye’de bu konudan sorumlu bakanlık Ulaştırma, Denizcilik ve Haberleşme Bakanlığı. 2008 yılında yapılan değişiklik ile yeni ismini de alan Bilgi Teknolojileri ve İletişim Kurumu (BTK) sürecin baş aktörü. Bölgesel, ulusal ve uluslararası düzeyde bilgi teknolojileri konusunda çalışmaları yürütüyor. 15 Temmuz sürecine kadar internet dahil bütün haberleşme kanallarından yapılan iletişimlerin takibi Kurumun bir alt birimi olan Telekomünikasyon İletişim Başkanlığı (TİB) tarafından yürütülüyordu, sonrasında lağvedilen birimin yetkileri BTK bünyesinde toplandı.

Peki BTK ile merkezi bir Bilgi Güvenliği yapısı oluşturuldu mu?

Net olarak Hayır. Aslında kapsamlı ve otoriteyi elinde bulunduran bir Ulusal Bilgi Güvenliği Teşkilatı kurma fikri ve çalışmaları farklı farklı dönemlerde alevlenmiş olarak yıllardır var. Bir dönem benim de TÜBİTAK-UEKAE adına içinde görev aldığım ve Başbakanlık, MSB ve diğer ilgili bakanlıklar, MİT Müsteşarlığı, Genelkurmay Başkanlığı ve Kuvvet Komutanlıklarının MEBS temsilcilerinden oluşan ve MGK Genel Sekreterliğinin ev sahipliğinde çalışan ekip, bu teşkilatın kurulması ve ilgili kanunların çıkarılması için epey uzun mesai yapmıştı. Mevcut durumda her yıl geliştirilmekte olan bu kanun tasarısının kısmen hayata geçmiş hali, Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi ve Koordinasyonuhakkındaki Bakanlar Kurulu kararıdır. Yine somut bir yapılanma olan, ülkemizin maruz kalabileceği siber tehditleri tespit etme, buna karşı koymak için çalışmalar yürütme ve ilgili yerleri bilgilendirme görevini üstlenmiş ve BTK bünyesinde yer alan Ulusal Siber Olaylara Müdahale Merkezi’ni (USOM) örnek olarak verebiliriz.

Ulusal Bilgi Güvenliği konusunda merkezi bir yapılanma çalışmalarına rağmen, Bakanlıkların, Genelkurmay ve Kuvvet Komutanlıklarının, Emniyet Genel Müdürlüğünün, TÜBİTAK’ın ve diğer bazı Kamu Kurumlarının ve hatta bankaların farklı köşelerinden destek verdiği bir denge söz konusu ülkemiz için.

Çağın en önemli enstrümanı olan interneti kamusal işlerde daha güvenli kullanmak için gelişmiş tüm ülkelerde olduğu gibi elektronik imza, elektronik sertifika kullanımı da ülkemizde hızla yaygınlaşıyor.

Alınan önlemler, planlanan tedbirler, kanunlar, kanun tasarıları, teşkilatlar, kurullar geçen her gün durmak bilmeyen bir yenilenme sürecinde olacak, bu çok açık. Ancak çok yakın geçmişte 50 milyona yakın vatandaşımızın kişisel bilgilerinin çalınıp internette yayınlandığı gerçeği, bu dinamik süreçte çok daha ciddi adımlar atmamız gerektiğinin en somut göstergesi…

Bu makale, “Herkese Bilim Teknoloji” dergisinin 7.Ekim.2016 tarihli sayısında yayınlanmıştır. 

Türkiye bilgi güvenliği