SG 507Siber Savaşlar Güz 2014
Yrd. Doç. Dr. Ferhat Dikbıyık
Siber Caydırıcılık
Caydırıcılık
Yrd. Doç. Dr. Ferhat Dikbıyık
Nükleer silah sahibi olmak ve bunu kullanmakla tehdit
etmek, diğer ülkeleri nükleer saldırı yapmaktan caydırabilir.
ABD – Sovyet Rusya arasındaki soğuk savaş döneminde olduğu gibi.
Aynı şeyi siber caydırıcılık ile ilgili de söyleyebilir miyiz?
Siber caydırıcılıkla ilgili sorular
Kritik sorular
Kimin yaptığını biliyor muyuz?
Muhtemel saldırganların varlıklarını risk altında tutabilir miyiz?
Tekrarlayabilir miyiz?
Siber caydırıcılıkla ilgili sorular
Yrd. Doç. Dr. Ferhat Dikbıyık
Yan sorular
Misilleme işe yaramazsa, en azından silahsızlandırabilir mi?
Üçüncü taraflar savaşa katılacak mı?
Misilleme kendi tarafımıza doğru mesajı verecek mi?
Tepki için eşiğimiz nedir?
Gerginliğin tırmanmasından sakınabilir miyiz?
Ya saldırganın kaybedecek çok şeyi yoksa?
Kimin yaptığını biliyor muyuz?
Kim yaptı?
Yrd. Doç. Dr. Ferhat Dikbıyık
Misilleme yapmak için kimin yaptığını bilmek gerekir.
Hatta caydırıcı olması için kimin yaptığını bilebileceğiniz ve misilleme yapabileceğiniz endişesini vermeniz gerekir.
Peki kimin yaptığı bilinebilir mi?
Eğer yanlış ülkeye misilleme yapılırsa, sadece caydırıcılığın mantığına uymakla kalmaz, aynı zamanda yeni bir düşman edinebilirsin.
Suçlama ve Misilleme
Suçlamanın doğruluğuna sadece kendini değil, aynı zamanda üçüncü tarafları da ikna etmek gerekir.
Ve saldırganın da suçlamanın doğru olduğuna ikna olması gerekir.
O yaptı
Evet o yapmış görünüyor
Evet ben yaptım
3.
Taraf
3.
Taraf
3.
Taraf
Suçlama ve Misilleme
Yrd. Doç. Dr. Ferhat Dikbıyık
Soğuk savaş dönemindeki iki kutuplu nükleer caydırıcılığın aksine, günümüzde 3. tarafları ikna etmek daha önemlidir.
İddialara göre 100’ün üstünde ülke siber saldırı kapasitesine
sahip. Saldırıyı
gerçekten o mu gerçekleştirdi?
3.
Taraf
3.
Taraf
3.
Taraf
Suçlama ve Misilleme
Saldırganın, hedefin saldırıyı bildiğine ve kendisine saldırıldığı için misilleme yapıldığına inanması gerekir.
Saldırgan yıllardır bir saldırı da gerçekleştiriyor olabilir, fakat başka ülkeler de bunu yapıyor. Neden o? Neden şimdi?
Saldırıyı gerçekten o mu
gerçekleştirdi?
3.
Taraf
3.
Taraf
3.
Taraf
Niye ben?
Niye şimdi?
Suçlama niye zor?
Yrd. Doç. Dr. Ferhat Dikbıyık
Siber uzayda saldırgan
olduğunuzu birinin bilmesi çok zor.
Bilgisayarlar ayırt edici
kanıtlar bırakmıyor geride.
Devlet destekli hackerlar bir kafeden, wifi olan bir
kütüphaneden, yada halka açık herhangi bir yerden yapılabilir.
Paketler geriye sürülebilir mi? (Network Forensics)
by Peter Steiner has been reproduced from page 61 of July 5, 1993 issue of The New Yorker, (Vol.69 (LXIX) no. 20)
Cui bono siber uzayda mantıklı olmayabilir.
Cui bono: Bir olaydan en çok fayda sağlayan o olayın müsebbbidir.
Misilleme yapmanın önündeki en büyük engel yanlış-bayrak operasyonlarıdır.
Bir ülkenin saldırıyı kimin yaptığına dair yapılacak olan soruşturmaya yardım etmek istememesi o ülkenin suçlu olduğundan kaynaklanabilir (2007 Estonya – Rusya)
Dost ülkeler bile paketlerin geriye doğru takip edilmesine
yardımcı olmakta tedirgin olabilir, çünkü yapılacak suçlamanın küresel bir krize neden olacağını düşünebilirler.
Soruşturmaya yardım etmemek masum sebeplerden de
kaynaklanabilir, örneğin araştırma tekniklerinin kişi mahremiyet haklarını çiğnemek olduğunu düşünebilirler.
Soruşturma zorluğu
Yrd. Doç. Dr. Ferhat Dikbıyık
Soruşturma zorluğu
Herhangi bir sistem hatası gerçekten bir saldırı olduğu anlamına gelir mi?
Paranoya: Kasım 2001’de Amerikan havayollarına ait bir uçak düştüğünde saatlerce bunun bir terörist saldırısı olduğu
Bir sistem, kötü yazılımdan, insan hatasından veya doğal
kazalar sonucu oluşabilir. Örneğin, 2003 Kuzeybatı Amerika elektrik kesintisi.
Kasıtlı saldırıların bile istenmeyen/beklenmeyen sonuçları olabilir. 1998 Morris Worm.
Suçlamanın zorluğu
Yrd. Doç. Dr. Ferhat Dikbıyık
Kanıtlar belirli bir ülkeyi yada devlet ağını gösterse bile saldırının arkasında o devletin olduğunu gösterir mi?
Saldırının arkasında devlet-destekli hackerlar olduğuna dair bazı ipuçları
Bireysel hackerlar genellikle internette dolaşan ve bilinen teknikleri
kullanırlar. Çok azı 0-day saldırısı düzenleme kabiliyetine sahiptir. Onların da birden fazla farklı 0-day saldırıları düzenleme ihtimalleri çok düşüktür.
Devlet destekli hackerların saıldıları daha metodolojik ve tekdüzedir, bireysel hackerlar ise farklı, maceraperest ve deneysel çalışmayı severler.
Sadece devlet destekli hackerlar hedefin askeri operasyonel sistemleri ile ilgili temel bilgilere sahiptir. Hedefledikleri sistemin donanım bilgisi eğer gizli bilgi ise ve yapılan saldırılar bu bilgi bilinmeden yapılamıyorsa, bu önemli bir ipucu verir.
Eğer saldırı çok kapsamlı bir kod-kırma gerektiriyorsa, bu da saldırının
arkasında devlet destekli hackerlar olduğunu söyler, çünkü bireysel hackerlar bunu yapabilecek süper bilgisayarlara sahip değillerdir (?).
Organize suç çetelerine bağlı hackerlar?
Suçlama imkansız mı?
Saldırganlar çok akıllı olmayabilirler ve bağlı bulundukları ülkeye bağlı bir adresten saldırı yapabilirler.
Kendini beğenmiş bu nedenle de özensiz davranmış olabilirler.
Arkalarında ipucu bırakmayı kafalarına takmıyor olabilirler, çünkü ipuçları kanıt değildir.
Açık forumlarda veya chat ortamlarında saldırgan yaptığı ile övünüyor olabilir (özellikle bireysel bir saldırgan belirli bir iş için tutulmuşsa)
Modus Operandi (MO)
Yrd. Doç. Dr. Ferhat Dikbıyık
Yoğun bir saldırı belirli bir MO’yu ortaya çıkarabilir ve bu da saldırganı tarif edebilir.
Yoğun ve sürekli saldırılar arkalarında bir örüntü tekrarı bırakırlar ve bu atakların arkasında disiplinli bir hacker grubunun mu yoksa botnetlerden bir atak yapılıp
yapılmadığını belirtir.
Eğer saldırıların arkasında bir hacker grubu varsa böyle bir hacker grubunu finanse edecek ve yönlendirebilecek ülke sayısı sınırlı olacaktır.
Suçlama kabiliyeti ve misilleme gücü her zaman caydırıcı mıdır?
Bir ülkenin suçlama kabiliyeti ve misilleme gücü saldırganın izlerini daha iyi saklamasına, değişik metotlar kullanmasına da neden olabilir. Yani caydırmak yerine tespit etmesi ve suçlaması daha zor saldırganlar oluşturabilir.
Yakalanırsa ne yapmak gerekir?
Yrd. Doç. Dr. Ferhat Dikbıyık
“sen yaptın işte kanıtı” demek siber uzayda çok da kolay değildir.
Yeterince kanıtınız yoksa saldırganın suçunu itiraf etmesini yada 3. tarafları ikna etmeyi başaramayabilirsiniz.
Bu durumda en iyisi misillemenin aynı MO kullanılarak yapılmasıdır. Neden?
Olağan şüpheliler
Kimin yaptığını
bilmiyorsanız, kimin yapmadığını da
bilmiyorsunuzdur.
Bu durumda gözler olağan şüphelilere çevrilerek
yapmadıklarını ispat etmeleri beklenebilir.
Muhtemel saldırganların varlıklarını risk altında tutabilir miyiz?
Yrd. Doç. Dr. Ferhat Dikbıyık
Muhtemel zararı önlemek için karşı tarafı risk altında tutmak
Soğuk savaş döneminde Rusya nükleer füzeleri Washington D.C.’ye yönelttiğinde caydırıcılık için ABD de nükleer
füzeleri Moskovaya yöneltirdi.
Türkiye – Yunanistan üzerine savaş uçaklarının karşılıklı salvoları
Saldırının zararlarını bilmek caydırıcılık için önemlidir.
Siber zarar
Yrd. Doç. Dr. Ferhat Dikbıyık
Siber saldırıların zararlarını (sonuçlarını) kestirmek mümkün olmayabilir (hem hedef hem de saldırgan tarafından).
Bir petrol rafinerisine yapılan siber saldırı rafinerinin
sistemlerini bozarak çalışmaz hale getirebilir yada yakıtların içerisine katılan kimyasalların değerlerini değiştirerek yakıtı kullanan araçların belirli bir zaman sonra bozulmasına yol açabilir.
Hangi sistemin hangi noktaya kadar zarar vereceğini ve bu zararın ne kadar çabuk giderileceğini bilmek çok zordur.
Misilleme
Bu durumda misilleme için muhtemel tarafların varlıklarını nasıl risk altına sokabiliriz?
Gerçek zararı ne saldırgan ne de hedef bilebilir?
Yrd. Doç. Dr. Ferhat Dikbıyık
Bozma faaliyetlerine zarar açıktır.
Çürütme faaliyetlerinde ise sistemin hangi mekanizmasının bozulduğunu veya nasıl tamir edileceğini etkilerinden yola çıkarak bulmak çok zordur. Bunun cevabı en iyi saldıran taraftadır.
Saldırgan da sistemler arası korelasyonu bilemediğinden
yürüttüğü çürütme faaliyetlerinin hedef sistem dışında hedef sistemle ilişkili diğer sistemler ne zarar verdiğini bilemez.
Zararı anlamak için
test sistemleri kurulabilir mi?
Mümkündür. Fakat test sistemleri çok yanıltıcı olabilir.
Yazılım tabanlı sistemler aylar veya yıllar boyunca aynı
sabitlikte çalışmazlar. Test ortamındaki setup gerçek ortamda sabit değildir.
Tekrarlayabilir miyiz?
Yrd. Doç. Dr. Ferhat Dikbıyık
Tekrarlı Misilleme
Şimdi yapılan misilleme, gelecekteki misillemeleri
engelliyorsa, caydırıcılık kırılgandır ve isteneni vermeyebilir.
Siber alanda tekrarlı saldırılar problem oluşturur. Çünkü her saldırı bir sonraki saldırının etkisi/başarısını azaltır. Bunun nedeni karşı tarafın açıklıklarını fark etmesi ve kapatmasıdır.
Tekrarlı saldırının başarısı saldırının fark edilip edilmeyeceği ile alakalıdır. Karşı tarafa zarar veren saldırıların fark edilme ihtimali yüksek iken veri çalma çalışmaları fark edilmeyebilir, bu yüzden tekrarlanması daha mümkündür.
Muhtemel siber saldırı seçeneklerinin tüketilmesi, bir sonraki güvenlik açığının da daha zor bulunması anlamına gelir.
Yan Sorular
Misilleme işe yaramazsa, en azından silahsızlandırabilir mi?
Üçüncü taraflar savaşa katılacak mı?
Misilleme kendi tarafımıza doğru mesajı verecek mi?
Tepki için eşiğimiz nedir?
Gerginliğin tırmanmasından sakınabilir miyiz?
Ya saldırganın kaybedecek çok şeyi yoksa?
Yrd. Doç. Dr. Ferhat Dikbıyık
Misilleme caydırıcı olmazsa, en azından silahsızlandırabilir mi?
Geleneksel yada nükleer caydırıcılıkta misilleme ile
caydırıcılık aynı zamanda karşı tarafı zararsız hale getirebilir.
Fakat siber saldırılarda bu mümkün olmaz.
Siber saldırılar için ön şartlar nelerdir? Yani saldırı ekipmanları (siber silahları) nelerdir?
Karşı tarafın bu silahları ellerinden alınabilir mi?
Saldırının geldiği bilgisayarlara karşı otomatik saldırı düzenlenmesi mantıklı mıdır?
Geleneksel saldırıların aksine, bir ülkenin siber saldırı kabiliyeti, saldırıya uğradıkça değil, kullandıkça azalır.
3. taraflar savaşa katılacak mı?
Yrd. Doç. Dr. Ferhat Dikbıyık
Devletler arası siber saldırıda, saldıran ve misillemede bulunan devletler siber saldırı kabiliyetleri ve açıkları ile ilgili bilgiyi savaşı takip eden üçüncü tarafların gözleri önüne sererler.
Taraflar saldırıları durdursa bile aşırı milliyetçi yada fırsatçı saldırganlar ve üçüncü devletler bu gözlem sonucu edindikleri bilgiler ile saldırıları devam ettirebilirler.
Üçüncü tarafın saldırılara dahil olması, saldırı, saldıran, misilleme yapan gibi kavramları anlamayı güçleştirir ve gerginliğin
tırmanmasına sebep olabilir.
Bu durum caydırıcılığa negatif etki ettiği gibi (“sen saldırmayı bırakırsan, ben de bırakırım” konsepti ortadan kalkar), pozitif bir etkisi de “sonuçların azameti”nden dolayı caydırıcılığı
arttırabilmesidir.
Misilleme kendi tarafımıza doğru mesajı verecek mi?
Muhtemel siber hedeflerin bazıları özel sektöre aittir.
Özellikle özelleştirme ile birlikte günlük hayatımızı etkileyen birçok sistem özel sektöre aittir.
Devlet bunları korumakla sorumlu mudur?
Özel sektörün tüm korumasını devletin yapması (burada
korumadan kasıt bu hedeflere yapılan siber saldırıyı bir siber savaş sebebi sayması) doğru bir yaklaşım mıdır?
Bu sistemlere yapılan saldırıları koruyamayan bir devlete özel sektör yatırım yapacak mıdır?
Tepki için eşiğimiz nedir?
Yrd. Doç. Dr. Ferhat Dikbıyık
Sıfır tolerans (yani en ufak saldırıya bile saldırı ile cevap verme) siber uzayda problemlere yol açar.
Orantılı güç kullanma için saldırının büyüklüğünden çok hasarın etkisi önemlidir. Küçük ama devamlı yapılan bir
saldırı, tek seferde ama büyük bir saldırıdan daha fazla zarar verebilir.
Büyük saldırıya büyük saldırı ile küçük saldırıya küçük saldırı ile cevap vermenin avantajı ve dezavantajı nedir?
Eşik değerinin tespit edilmesi de başka bir problemdir.
Neden?
Teknik bir eşik mi ekonomik bir eşik mi?
Gerginliğinin tırmanmasından sakınabilir miyiz?
Misilleme yapılan devletler,
siber misillemeyi hak etmediklerini düşündüklerinde,
veya iç baskılar sonucunda,
veya siber güç yarışını kaybettiklerini düşündüklerinde daha etkili bir karşı saldırı kullanarak gerginliği tırmandırabilirler (hatta gerginlik çok tırmanırsa, karşı saldırı siber uzaydan fiziksel düzleme geçebilir).
Eğer karşı tarafın fiziksel gücü yüksekse misilleme caydırıcı olabilir mi?
Ya saldırganın kaybedecek çok şeyi yoksa
Yrd. Doç. Dr. Ferhat Dikbıyık
Siber savaş, savaş kabiliyetleri anlamında diğer savaşlardan daha asimetriktir.
Saldırganın kritik altyapıları hedef devlet kadar kuvvetli bir ağ yapısının üzerinde olmayabilir.
Örneğin, 2007 Estonya, 2008 Gürcistan saldırıları çok etkili iken 2009 Kırgızistan saldırıları o kadar da etkili olmamıştı.
Eğer bir devlet teknolojik olarak dışarıya bağımlı ise alt yapısı çok bağlı olmasa da “tedarik zinciri” saldırılarına karşı savunmasızdır.
Saldırganın kaybedecek çok şeyi yoksa siber misilleme yapmak mantıklı olmayabilir. Fiziksel misillemenin ise ölçülü olması gerekir.
Son soru
Siber caydırıcılık için hangisine yatırım yapılmalı:
Siber Savunma
Siber Saldırı
Soru-Cevap
Haftaya: Siber Saldırılar ve Amaçları
Yrd. Doç. Dr. Ferhat Dikbıyık