Siber Caydırıcılık. SG 507Siber Savaşlar Güz 2014 Yrd. Doç. Dr. Ferhat Dikbıyık

(1)

SG 507Siber Savaşlar Güz 2014

Yrd. Doç. Dr. Ferhat Dikbıyık

Siber Caydırıcılık

(2)

Caydırıcılık

Yrd. Doç. Dr. Ferhat Dikbıyık

 Nükleer silah sahibi olmak ve bunu kullanmakla tehdit

etmek, diğer ülkeleri nükleer saldırı yapmaktan caydırabilir.

 ABD – Sovyet Rusya arasındaki soğuk savaş döneminde olduğu gibi.

 Aynı şeyi siber caydırıcılık ile ilgili de söyleyebilir miyiz?

(3)

Siber caydırıcılıkla ilgili sorular

 Kritik sorular

 Kimin yaptığını biliyor muyuz?

 Muhtemel saldırganların varlıklarını risk altında tutabilir miyiz?

 Tekrarlayabilir miyiz?

(4)

Siber caydırıcılıkla ilgili sorular

 Yan sorular

 Misilleme işe yaramazsa, en azından silahsızlandırabilir mi?

 Üçüncü taraflar savaşa katılacak mı?

 Misilleme kendi tarafımıza doğru mesajı verecek mi?

 Tepki için eşiğimiz nedir?

 Gerginliğin tırmanmasından sakınabilir miyiz?

 Ya saldırganın kaybedecek çok şeyi yoksa?

(5)

Kimin yaptığını biliyor muyuz?

(6)

Kim yaptı?

 Misilleme yapmak için kimin yaptığını bilmek gerekir.

 Hatta caydırıcı olması için kimin yaptığını bilebileceğiniz ve misilleme yapabileceğiniz endişesini vermeniz gerekir.

 Peki kimin yaptığı bilinebilir mi?

 Eğer yanlış ülkeye misilleme yapılırsa, sadece caydırıcılığın mantığına uymakla kalmaz, aynı zamanda yeni bir düşman edinebilirsin.

(7)

Suçlama ve Misilleme

 Suçlamanın doğruluğuna sadece kendini değil, aynı zamanda üçüncü tarafları da ikna etmek gerekir.

 Ve saldırganın da suçlamanın doğru olduğuna ikna olması gerekir.

O yaptı

Evet o yapmış görünüyor

Evet ben yaptım

3.

Taraf

3.

Taraf

3.

Taraf

(8)

Suçlama ve Misilleme

 Soğuk savaş dönemindeki iki kutuplu nükleer caydırıcılığın aksine, günümüzde 3. tarafları ikna etmek daha önemlidir.

 İddialara göre 100’ün üstünde ülke siber saldırı kapasitesine

sahip. _Saldırıyı

gerçekten o mu gerçekleştirdi?

3.

Taraf

3.

Taraf

3.

Taraf

(9)

Suçlama ve Misilleme

 Saldırganın, hedefin saldırıyı bildiğine ve kendisine saldırıldığı için misilleme yapıldığına inanması gerekir.

 Saldırgan yıllardır bir saldırı da gerçekleştiriyor olabilir, fakat başka ülkeler de bunu yapıyor. Neden o? Neden şimdi?

Saldırıyı gerçekten o mu

gerçekleştirdi?

3.

Taraf

3.

Taraf

3.

Taraf

Niye ben?

Niye şimdi?

(10)

Suçlama niye zor?

 Siber uzayda saldırgan

olduğunuzu birinin bilmesi çok zor.

 Bilgisayarlar ayırt edici

kanıtlar bırakmıyor geride.

 Devlet destekli hackerlar bir kafeden, wifi olan bir

kütüphaneden, yada halka açık herhangi bir yerden yapılabilir.

 Paketler geriye sürülebilir mi? (Network Forensics)

by Peter Steiner has been reproduced from page 61 of July 5, 1993 issue of The New Yorker, (Vol.69 (LXIX) no. 20)

(11)

Cui bono siber uzayda mantıklı olmayabilir.

 Cui bono: Bir olaydan en çok fayda sağlayan o olayın müsebbbidir.

 Misilleme yapmanın önündeki en büyük engel yanlış-bayrak operasyonlarıdır.

 Bir ülkenin saldırıyı kimin yaptığına dair yapılacak olan soruşturmaya yardım etmek istememesi o ülkenin suçlu olduğundan kaynaklanabilir (2007 Estonya – Rusya)

 Dost ülkeler bile paketlerin geriye doğru takip edilmesine

yardımcı olmakta tedirgin olabilir, çünkü yapılacak suçlamanın küresel bir krize neden olacağını düşünebilirler.

 Soruşturmaya yardım etmemek masum sebeplerden de

kaynaklanabilir, örneğin araştırma tekniklerinin kişi mahremiyet haklarını çiğnemek olduğunu düşünebilirler.

(12)

Soruşturma zorluğu

(13)

Soruşturma zorluğu

 Herhangi bir sistem hatası gerçekten bir saldırı olduğu anlamına gelir mi?

 Paranoya: Kasım 2001’de Amerikan havayollarına ait bir uçak düştüğünde saatlerce bunun bir terörist saldırısı olduğu

 Bir sistem, kötü yazılımdan, insan hatasından veya doğal

kazalar sonucu oluşabilir. Örneğin, 2003 Kuzeybatı Amerika elektrik kesintisi.

 Kasıtlı saldırıların bile istenmeyen/beklenmeyen sonuçları olabilir. 1998 Morris Worm.

(14)

Suçlamanın zorluğu

 Kanıtlar belirli bir ülkeyi yada devlet ağını gösterse bile saldırının arkasında o devletin olduğunu gösterir mi?

 Saldırının arkasında devlet-destekli hackerlar olduğuna dair bazı ipuçları

 Bireysel hackerlar genellikle internette dolaşan ve bilinen teknikleri

kullanırlar. Çok azı 0-day saldırısı düzenleme kabiliyetine sahiptir. Onların da birden fazla farklı 0-day saldırıları düzenleme ihtimalleri çok düşüktür.

 Devlet destekli hackerların saıldıları daha metodolojik ve tekdüzedir, bireysel hackerlar ise farklı, maceraperest ve deneysel çalışmayı severler.

 Sadece devlet destekli hackerlar hedefin askeri operasyonel sistemleri ile ilgili temel bilgilere sahiptir. Hedefledikleri sistemin donanım bilgisi eğer gizli bilgi ise ve yapılan saldırılar bu bilgi bilinmeden yapılamıyorsa, bu önemli bir ipucu verir.

 Eğer saldırı çok kapsamlı bir kod-kırma gerektiriyorsa, bu da saldırının

arkasında devlet destekli hackerlar olduğunu söyler, çünkü bireysel hackerlar bunu yapabilecek süper bilgisayarlara sahip değillerdir (?).

 Organize suç çetelerine bağlı hackerlar?

(15)

Suçlama imkansız mı?

 Saldırganlar çok akıllı olmayabilirler ve bağlı bulundukları ülkeye bağlı bir adresten saldırı yapabilirler.

 Kendini beğenmiş bu nedenle de özensiz davranmış olabilirler.

 Arkalarında ipucu bırakmayı kafalarına takmıyor olabilirler, çünkü ipuçları kanıt değildir.

 Açık forumlarda veya chat ortamlarında saldırgan yaptığı ile övünüyor olabilir (özellikle bireysel bir saldırgan belirli bir iş için tutulmuşsa)

(16)

Modus Operandi (MO)

 Yoğun bir saldırı belirli bir MO’yu ortaya çıkarabilir ve bu da saldırganı tarif edebilir.

 Yoğun ve sürekli saldırılar arkalarında bir örüntü tekrarı bırakırlar ve bu atakların arkasında disiplinli bir hacker grubunun mu yoksa botnetlerden bir atak yapılıp

yapılmadığını belirtir.

 Eğer saldırıların arkasında bir hacker grubu varsa böyle bir hacker grubunu finanse edecek ve yönlendirebilecek ülke sayısı sınırlı olacaktır.

(17)

Suçlama kabiliyeti ve misilleme gücü her zaman caydırıcı mıdır?

 Bir ülkenin suçlama kabiliyeti ve misilleme gücü saldırganın izlerini daha iyi saklamasına, değişik metotlar kullanmasına da neden olabilir. Yani caydırmak yerine tespit etmesi ve suçlaması daha zor saldırganlar oluşturabilir.

(18)

Yakalanırsa ne yapmak gerekir?

 “sen yaptın işte kanıtı” demek siber uzayda çok da kolay değildir.

 Yeterince kanıtınız yoksa saldırganın suçunu itiraf etmesini yada 3. tarafları ikna etmeyi başaramayabilirsiniz.

 Bu durumda en iyisi misillemenin aynı MO kullanılarak yapılmasıdır. Neden?

(19)

Olağan şüpheliler

 Kimin yaptığını

bilmiyorsanız, kimin yapmadığını da

bilmiyorsunuzdur.

 Bu durumda gözler olağan şüphelilere çevrilerek

yapmadıklarını ispat etmeleri beklenebilir.

(20)

Muhtemel saldırganların varlıklarını risk altında tutabilir miyiz?

(21)

Muhtemel zararı önlemek için karşı tarafı risk altında tutmak

 Soğuk savaş döneminde Rusya nükleer füzeleri Washington D.C.’ye yönelttiğinde caydırıcılık için ABD de nükleer

füzeleri Moskovaya yöneltirdi.

 Türkiye – Yunanistan üzerine savaş uçaklarının karşılıklı salvoları

 Saldırının zararlarını bilmek caydırıcılık için önemlidir.

(22)

Siber zarar

 Siber saldırıların zararlarını (sonuçlarını) kestirmek mümkün olmayabilir (hem hedef hem de saldırgan tarafından).

 Bir petrol rafinerisine yapılan siber saldırı rafinerinin

sistemlerini bozarak çalışmaz hale getirebilir yada yakıtların içerisine katılan kimyasalların değerlerini değiştirerek yakıtı kullanan araçların belirli bir zaman sonra bozulmasına yol açabilir.

 Hangi sistemin hangi noktaya kadar zarar vereceğini ve bu zararın ne kadar çabuk giderileceğini bilmek çok zordur.

(23)

Misilleme

 Bu durumda misilleme için muhtemel tarafların varlıklarını nasıl risk altına sokabiliriz?

(24)

Gerçek zararı ne saldırgan ne de hedef bilebilir?

 Bozma faaliyetlerine zarar açıktır.

 Çürütme faaliyetlerinde ise sistemin hangi mekanizmasının bozulduğunu veya nasıl tamir edileceğini etkilerinden yola çıkarak bulmak çok zordur. Bunun cevabı en iyi saldıran taraftadır.

 Saldırgan da sistemler arası korelasyonu bilemediğinden

yürüttüğü çürütme faaliyetlerinin hedef sistem dışında hedef sistemle ilişkili diğer sistemler ne zarar verdiğini bilemez.

(25)

Zararı anlamak için

test sistemleri kurulabilir mi?

 Mümkündür. Fakat test sistemleri çok yanıltıcı olabilir.

 Yazılım tabanlı sistemler aylar veya yıllar boyunca aynı

sabitlikte çalışmazlar. Test ortamındaki setup gerçek ortamda sabit değildir.

(26)

Tekrarlayabilir miyiz?

(27)

Tekrarlı Misilleme

 Şimdi yapılan misilleme, gelecekteki misillemeleri

engelliyorsa, caydırıcılık kırılgandır ve isteneni vermeyebilir.

 Siber alanda tekrarlı saldırılar problem oluşturur. Çünkü her saldırı bir sonraki saldırının etkisi/başarısını azaltır. Bunun nedeni karşı tarafın açıklıklarını fark etmesi ve kapatmasıdır.

 Tekrarlı saldırının başarısı saldırının fark edilip edilmeyeceği ile alakalıdır. Karşı tarafa zarar veren saldırıların fark edilme ihtimali yüksek iken veri çalma çalışmaları fark edilmeyebilir, bu yüzden tekrarlanması daha mümkündür.

 Muhtemel siber saldırı seçeneklerinin tüketilmesi, bir sonraki güvenlik açığının da daha zor bulunması anlamına gelir.

(28)

Yan Sorular

Misilleme işe yaramazsa, en azından silahsızlandırabilir mi?

Üçüncü taraflar savaşa katılacak mı?

Misilleme kendi tarafımıza doğru mesajı verecek mi?

Tepki için eşiğimiz nedir?

Gerginliğin tırmanmasından sakınabilir miyiz?

Ya saldırganın kaybedecek çok şeyi yoksa?

(29)

Misilleme caydırıcı olmazsa, en azından silahsızlandırabilir mi?

 Geleneksel yada nükleer caydırıcılıkta misilleme ile

caydırıcılık aynı zamanda karşı tarafı zararsız hale getirebilir.

 Fakat siber saldırılarda bu mümkün olmaz.

 Siber saldırılar için ön şartlar nelerdir? Yani saldırı ekipmanları (siber silahları) nelerdir?

 Karşı tarafın bu silahları ellerinden alınabilir mi?

 Saldırının geldiği bilgisayarlara karşı otomatik saldırı düzenlenmesi mantıklı mıdır?

 Geleneksel saldırıların aksine, bir ülkenin siber saldırı kabiliyeti, saldırıya uğradıkça değil, kullandıkça azalır.

(30)

3. taraflar savaşa katılacak mı?

 Devletler arası siber saldırıda, saldıran ve misillemede bulunan devletler siber saldırı kabiliyetleri ve açıkları ile ilgili bilgiyi savaşı takip eden üçüncü tarafların gözleri önüne sererler.

 Taraflar saldırıları durdursa bile aşırı milliyetçi yada fırsatçı saldırganlar ve üçüncü devletler bu gözlem sonucu edindikleri bilgiler ile saldırıları devam ettirebilirler.

 Üçüncü tarafın saldırılara dahil olması, saldırı, saldıran, misilleme yapan gibi kavramları anlamayı güçleştirir ve gerginliğin

tırmanmasına sebep olabilir.

 Bu durum caydırıcılığa negatif etki ettiği gibi (“sen saldırmayı bırakırsan, ben de bırakırım” konsepti ortadan kalkar), pozitif bir etkisi de “sonuçların azameti”nden dolayı caydırıcılığı

arttırabilmesidir.

(31)

Misilleme kendi tarafımıza doğru mesajı verecek mi?

 Muhtemel siber hedeflerin bazıları özel sektöre aittir.

 Özellikle özelleştirme ile birlikte günlük hayatımızı etkileyen birçok sistem özel sektöre aittir.

 Devlet bunları korumakla sorumlu mudur?

 Özel sektörün tüm korumasını devletin yapması (burada

korumadan kasıt bu hedeflere yapılan siber saldırıyı bir siber savaş sebebi sayması) doğru bir yaklaşım mıdır?

 Bu sistemlere yapılan saldırıları koruyamayan bir devlete özel sektör yatırım yapacak mıdır?

(32)

Tepki için eşiğimiz nedir?

 Sıfır tolerans (yani en ufak saldırıya bile saldırı ile cevap verme) siber uzayda problemlere yol açar.

 Orantılı güç kullanma için saldırının büyüklüğünden çok hasarın etkisi önemlidir. Küçük ama devamlı yapılan bir

saldırı, tek seferde ama büyük bir saldırıdan daha fazla zarar verebilir.

 Büyük saldırıya büyük saldırı ile küçük saldırıya küçük saldırı ile cevap vermenin avantajı ve dezavantajı nedir?

 Eşik değerinin tespit edilmesi de başka bir problemdir.

Neden?

 Teknik bir eşik mi ekonomik bir eşik mi?

(33)

Gerginliğinin tırmanmasından sakınabilir miyiz?

 Misilleme yapılan devletler,

 siber misillemeyi hak etmediklerini düşündüklerinde,

 veya iç baskılar sonucunda,

 veya siber güç yarışını kaybettiklerini düşündüklerinde daha etkili bir karşı saldırı kullanarak gerginliği tırmandırabilirler (hatta gerginlik çok tırmanırsa, karşı saldırı siber uzaydan fiziksel düzleme geçebilir).

 Eğer karşı tarafın fiziksel gücü yüksekse misilleme caydırıcı olabilir mi?

(34)

Ya saldırganın kaybedecek çok şeyi yoksa

 Siber savaş, savaş kabiliyetleri anlamında diğer savaşlardan daha asimetriktir.

 Saldırganın kritik altyapıları hedef devlet kadar kuvvetli bir ağ yapısının üzerinde olmayabilir.

 Örneğin, 2007 Estonya, 2008 Gürcistan saldırıları çok etkili iken 2009 Kırgızistan saldırıları o kadar da etkili olmamıştı.

 Eğer bir devlet teknolojik olarak dışarıya bağımlı ise alt yapısı çok bağlı olmasa da “tedarik zinciri” saldırılarına karşı savunmasızdır.

 Saldırganın kaybedecek çok şeyi yoksa siber misilleme yapmak mantıklı olmayabilir. Fiziksel misillemenin ise ölçülü olması gerekir.

(35)

Son soru

 Siber caydırıcılık için hangisine yatırım yapılmalı:

 Siber Savunma

 Siber Saldırı

(36)

Soru-Cevap

Haftaya: Siber Saldırılar ve Amaçları