Yüzde Yüz Güvenlik – Denis Legezo / Kaspersky Lab

by Sinan Oymacı 0

Kaspersky Lab’da küresel araştırma ve analiz ekibi lideri olan Denis Legezo, İstanbul’u ziyaret ederken güvenlik konusundaki düşüncelerini ve fikirlerini paylaştı. Kaspersky Lab’ın Ar-Ge Ekibi global bir ekip. Hedefli saldırıların araştırılması ve bulunmasından sorumlu.

Hedefli saldırının ne olduğunu aklınıza gelebilir. Hedefli saldırı; kötü niyetli yazılım geliştiricilerin neyi tam olarak ve kimden almak istediklerini bildikleri bir siber saldırı sınıfı. Belirledikleri verileri elde etmek için belirli kurumlara saldırıyorlar. Denis, görevinin, müşterileri bu tür saldırılardan korumak olduğunu söylüyor.

– Neden güvenlik konusuyla ilgileniyorsun?

– Siber saldırılardan ve çevresindeki şeylerden etkilenmemek çok zor. Her gün yeni bir şeyler bulmak güzel. Yeni teknolojiler konusunda hiçbir sınır yok. Her zaman görevde olmamız gerekiyor. Bunun zorlukları olmasına rağmen sonucun işe yaraması keyifli.

– Kaspersky Lab’da ne gibi sorumluluklarınız var?

– Biz buna ‘olaya müdahale’ deriz. Farklı araçları kullanarak saldırıyı bulmalı, bu saldırının arkasında neler olduğunu analiz etmeliyiz. Biraz teknik soruşturma gibi. Neler olduğunu anlamaya çalışıyoruz.

– Bu tür saldırıları önleyebiliyor musunuz?

– Ürünlerimizi bu tip saldırılardan kaçınmak için konumlandırıyoruz. Araştırmalarımızda yeni bir teknik görürsek, ürünlerimize yeni fikirler ekliyoruz. KATA ürünümüzde, hedefli saldırı tehditleri için benzersiz bir çözümümüz mevcut. KATA’da mühendislerimiz, hedefli saldırıya karşı müşterinin organizasyonunu korumak için yeni önlemleri devreye alır. Ancak ben bir geliştirici değilim.

– Günümüzde ne gibi tehditler var?

– Otomotiv endüstrisi hakkında konuşursak, gerçek şu ki bunlar kapalı ağlarda çalışan sistemler. Verileri çalmak için otomobillere karşı henüz kötü niyetli bir saldırı yok ‘en azından bizim bildiğimiz’ – siyah şapka saldırısı -. Ancak bazı otomobiller saldırıya uğramış olabilir.

– Bu çok tehlikeli değil mi?

– Doğru, tehlikeli tabii. Ancak bunu uzun bir ticari öykü olarak görmek gerekiyor. Global üreticiler kendi cihazlarını korumaya çalışıyor, kötü niyetli kod geliştiricileri ise bunu her gün çözmeye çalışıyor. Yatırımlarından kazanç elde etmek istiyorlar. Amaç sadece para değil. Birisini öldürmek, bir arabanın içinde casusluk yapmak için konuştuklarınız dinlemek de olabilir. Yaygın değil ancak henüz gerçekleşmediyse bile gerçekleşecektir.

Kamuya açık ağlardaki akıllı araçlara yönelik kitlesel tehditleri gözlemlemek üzere pazar beklemede kalacaktır. Benzin satın aldığınızda ödeme yapmak için, aracınızın kimliği olan – VIN ‘Vehicle Identification Number’ – araç tanımlama numaranızla işlem yaptıysanız, kitlesel kötü niyetli kod geliştiricilerin yüksek riskli hedef grubunda olabilirsiniz. Bilgilerini ticarileştirmeye çalışıyorlar. Ağa bağlı araçlar hakkında kaçırma, casusluk gibi daha fazla öykü konuşabiliriz.

Öte yandan, – beyaz şapka hackerler – bunları sadece bu tür saldırıların nasıl başarılı olabileceğini göstermek, araştırma yapmak için yapıyorlar. Örneğin; Bir aracı kilitleyebiliriz. Eminim birinin kendisini iki yıl önce gideceği yerin kilometrelerce uzağındaki bir varış noktasında bulduğu öyküden haberiniz vardır. Ancak bunların tümü araştırmacılardan, otomobil üreticilerinin bu tür olaylara karşı farkındalığını artırmak ve onların bilgi güvenliği danışmanı, uzmanı istihdam etmeleri için geldi. Gelecekte, bilgi güvenliği uzmanı için çok büyük fırsatlar var.

– Son kullanıcı olarak cihazlarımı korumak için bir ürün satın alabilirim. Peki, aracımı korumak için ne yapmam gerek? Belki henüz değil ancak yakın gelecekte.

– Otomobiller hakkında konuşurken, kullanıcının aracı koruması için bir ürün satın almasını bekleyemeyiz. Otomobilin tüm güvenlik önlemlerini üretici şirketlerin üstlenmesi gerekir.

Biz ‘Kaspersky Endüstriyel Güvenlik Koruması – Kaspersky Industrial Security Protection ‘nı geliştiriyoruz. Kaspersky Lab’de endüstriyel sistemleri korumak üzere konumlanmış gelecek teknolojisti olarak adlandırdığımız bir birim var. Otomobillerde elektronik kontrol ünitesi var. Bu birim otomobil üreticilerinin endüstriyel ürünlerine yönelik bizim çözümümüzü uyarlayabilir.

Ayrıca otomotiv bölümümüz var – Kaspersky Motorsport. Otomotiv pazarı ile birlikte hareket etmeye çalışıyoruz. Bu, son kullanıcıya bir flash bellek vererek, bunu takın ve bir şeyler kurun kadar basit bir öykü değil.

Bana göre, öncelikle, bağlı otomobilin ne olduğunu tanımlamamızda yarar var. Bağlı araçta bir ana ünite vardır. Ana ünite, fren sistemi, ışıklar gibi birçok kontrol birimini içeren güçlü bir bilgisayar gibidir. ECU – elektronik kontrol üniteleri – çok güçlü değildir. İçlerinde sadece küçük bir yazılım var. Ancak ana ünite güçlü bir bilgisayardır. Hemen hemen her şeyi önceden yerleştirebilirsiniz. Elektronik ana üniteye sızma testi yapmanız ve gerekli güvenlik çözümünü önceden yüklemeniz gerekir. Bazı bilgi güvenliği şirketleri sadece çözüm üretiyor ancak şimdi otomobil üreticileri de uzunca bir süredir yol planları yaptılar. Zamana ihtiyaçları var. Hangi tedbirlerin alınması gerektiğinin farkındalar.

On yıl önce, Ford ve Toyota’ya yerel ağlarından bir otomobilin nasıl kaçırılabileceğine ait bir altyapı gösterdi. Otomobil üreticileri bunun bir sorun olmadığını düşündüler çünkü bu uzaktan erişim değil yerel. Ardından araştırmacılar, uzaktan erişim ile bir aracı kaçırabileceklerini gösterdiler. O andan itibaren, bu bir sorun haline geldi. FCA’nın – Fiat Chrysler Automotive – bir parçası olan Chrysler Automative 1.5 milyon aracı yeniden programlamak zorunda kaldı.

– İnternet’e bağlandığımızda, her zaman tehdit var diye düşünüyorum. %100 güvenli olmak mümkün mü?

– Güvenlik konusunda yüzde yüz emniyet diye bir şey yoktur. Bilgi güvenliği yatırımının ardındaki fikir, verileri elde etmek ve daha sonra o veriyi korumak için bedelini ödemektir. Ana fikir budur.

Hiç kimse size yüz yüzde garanti veremez.

Uçaktayken, kimse size uçağın düşmeyeceğini garanti edemez. Hayatımızda, yüzde yüz olasılıkla gerçekleşecek hiçbir şey. Ancak kötü amaçlı kod geliştiricilerin yatırımlarının mantıksız olduğuna dair gerekli önlemleri alıyoruz.

Otomobilin modern ana ünitesine baktığımızda, ana üniteden sorumlu elektronik bileşen üreticisi, elinden gelenin en iyisini yapmaya çalışmak zorundadır. Bu sadece otomobil üreticisinin sorunu değil.

– Genel güvenlik, koruma için ne diyeceksiniz? Her endüstri dalı için bunları düşünmek zorundayız. IoT sisteminde birbirine bağlı pek çok cihaz bulunmakta.

– Sorunun kökeni, endüstriyel güvenlik. Otomotiv güvenliği sadece yaklaşık otuz yıl önce geliştirildi. Örneğin, modern otomobillerin içinde yer alan KANBAS otuz yıl önce keşfedildi. Görevini de mükemmel yerine getirmekte. Sinyal kaybetmez. Fakat otuz yıl önce o otomobilin bir yere bağlanacağını kimse düşünmüyordu. İzole edilmiş bir ortamdı. Her araba üreticisi, izole edilmiş çevreyi düşünmüş ve çözümlerini izole edilmiş çevre için uygulamıştı.

Ancak şimdi, her yerde endüstriyel kontrol sistemlerinde, herkes için erişilebilen özel ağ ve yerel ağ arasında bilgisayarlar var. Bir yüksek profilli saldırının hava yastığından araca atlayabileceğini söyleyebilirim. Kötü amaçlı kod geliştirici bir şeyi güncellemek veya bazı veriler yüklemek için USB bellek kullanabilir. Veya birisi bu flash diski dikkatsizce kullanır ve aracına bunu bulaştırabilir.

Bu sadece tek bir otomobil üreticisinin sorunu değil. Tüm otomobil üreticilerinin araçlarına koruma koyması gerekir. Bu bir nevi bağlı araçlar için bilgi güvenliğinde standardizasyon meselesi.

Gömülü cihazlar hakkında sadece kurumsal cihazlar için değil tüm gömülü cihazlar hakkında konuşursak, çoğunlukla satıcı tarafında sorun vardır. Son kullanıcı varsayılan şifreyi değiştirmekten hoşlanmaz. Ve birçok malware ve kötü amaçlı kod yazarı bunu kullanır. Herhangi bir güvenlik açığı kullanmayan bir malware biliyorum. Sadece interneti tarıyor ve standart şifreyi kontrol ediyor. Standart şifre uymuyorsa, bir sonraki aygıta veya IP adresine gidiyor.

Bir son kullanıcı yeni bir bellenim sürümünü uygulamazsa, ürün satıcısı bunu yapmalıdır. Varsayılan kimlik bilgilerini kullanırsanız, teknik olmayan bir kullanıcı bile kötü amaçlı yazılım yükleyebilir.

Bazı ağ ekipmanı satıcılarının ödül programları mevcut. Bu uygulamayı takdir ediyorum. Mesele bir güvenlik açığını bulduktan sonra önlemini almak. Ancak bazen kötü amaçlı kod üretenlere güvenlik açığı gerekmez. Varsayılan kimlik bilgileri yeterli gelir.

Beyaz şapka bilgisayar korsanları bir güvenlik açığı bulduğunda, son kullanıcı bu güvenlik açığını kapatan yamayı olabildiğince çabuk yüklemelidir. Bu, bu tarz saldırılara karşı birincil koruma yöntemidir. Çünkü savunmasız aygıtları bulmak için tüm ağları tarayan araçlar mevcut. Varsayılan parolayla bir video kamera bulursanız, videonun kontrolünü ele alabilir, yönetebilir ve hatta o kameradan resim alabilirsiniz.

Ayrıca endüstriyel kontrol sistemlerini de keşfedebilirsiniz. Örneğin, Shodan bir servis olarak çalışır. Shodan, web sayfalarının içeriğini indekslemez, ancak ikili yanıtlarını indeksler. Bu taramada tipik yanıtları bilirler. Bundan sonraki seviye güvenlik açığını ortaya çıkarmaktır.

Tekrar ediyorum; Doğru kimlik bilgilerini kullanmanız gerekiyor. İlk güvenlik seviyesi.

Otuz yıl önce televizyon, araba, buzdolabı gibi cihazlar internete bağlı değildi. Ve üreticiler kendilerini güvende hissediyorlardı. Fakat şimdi, bilgi güvenliğini düşünmeleri gerekiyor. Akıllı televizyona Cryptolocker dahi kurulabilir.

– Akıllı şehirlerden bahsedelim mi?

Akıllı şehir, vatandaşlar hakkında çok miktarda veri toplayan şehirdir. Örneğin; Trafik kontrol merkezleri çok sayıda algılayıcı kullanır. Sadece hız kontrolü değil, yollar inşa etmek amacıyla araç sayılarını belirlemek için. Bu cihazların Bluetooth özellikli cihazlardan erişilebilen Bluetooth ara yüzleri vardır. Otomatik modda olduklarında dahi; bazı komutları iletebilirler. Örneğin hangi şeridin kullanılıp kullanılmayacağını belirlerler. Ancak birisi ayarları Bluetooth protokolüyle değiştirebilir. Sistem saatini vb. değiştirebilir. Böylece iş çıkış saatlerinde trafik sıkışıklığı oluşabilir. Şehir merkezine küçük bir DDoS saldırısı veri iletişimini kesintiye uğratabilir. Dolayısıyla, algılayıcılar herhangi bir video, ses veya veri iletemez. Belediye yetkililerinin, cihazlarına izinli olmayan birinin erişebilmesini istemediklerini düşünüyorum. Bu biraz satıcıların ve kurulumu yapanların üzerinde sızma testinin uygulanması işlemidir.

Şehrin diğer bir parçası da internet servisleridir. Verginizi, ön ödemeli elektrik faturanızı vb. ödeyebilirsiniz. Bu verileri almak için ağlar kullanılır. Burada ağ güvenliği konusuna geliyoruz. Yönetim kademesi, vatandaşların şehir hizmetlerini rahatça kullanabilmesi için onların kişisel verilerini ve kimlik numaralarını bilmeliler. Ancak vatandaşların her seferinde kimlik bilgisi vermesi gerekmiyor. Ayrıca bu verileri idari personelden korumak gerekir. Şehirler, binaların, yolların vb. yanı sıra toplanan verilerin kümelenmesidir.

– Mahremiyet, kişisel bilgiler hakkında ne düşünüyorsun? Ağa bağlı bir otomobil kullanırsam, nerede olduğumu, ne zaman benim araba kullanacağımı biliyorlar.

– Bir cep telefonu kullanıp gsm ağıyla bağlantı kurarsanız, sizi kimse takıntı yapamaz, çünkü birisi sizi taklit ederse siz konuşamazsınız. Ancak, bazı teknolojileri kullandığınızda verilerinizi operatörle paylaşmayı kabul etmeniz gerekir. Çünkü bu teknolojinin ana fikri verilerin paylaşılmasıdır. Bu bir korunma sorunu değil.

– Cep telefonumda konum servislerini etkinleştirmezsem, halâ mümkün mü bulunabilmek?

– Siz, konum servislerinden söz ediyorsunuz. Ben ise baz istasyonlarının nirengi noktaları hakkında konuşuyorum. Nirengi noktalarını takibini önleyemezsiniz. Konum servisine, bulunduğunuz yeri paylaşmak istemediğinizi söyleyebilirsiniz. Telefonunuzu kaybettiğinizde telefonunuzu bulmak istemiyorsanız, bunu söyleyebilirsiniz.

Ayrıca, kişisel verileri depolamayan bazı web tarayıcıları kullanabilirsiniz. Ancak bazı ücretsiz hizmetleri kullanırsanız, onların politikalarını kabul etmeniz gerekir. Bu servislerin hizmetlerini paraya çevirme yöntemi bu. Kişisel verileriniz ile ilgili endişe ediyorsanız, internete bağlanmayın.

– Bir başka deyişle, özel veri yok mu?

– Düzgün bir şekilde sistemlerinizin kurulumunu yaparsanız, özel veri tabii ki var. Ancak herhangi bir seçeneği seçmeden önce düşünmeniz gerekiyor. Hangi hizmetleri kullandığınız konusunda dikkatli olmanızda yarar var. Ancak, gsm ağından gizlenmek istiyorsanız tek çözüm cep telefonu kullanmamak.

Mahremiyete gelirsek, yüz tanıma özelliğine sahip yazılımlar var. Büyük şehirlerin her yerinde çok sayıda kamera mevcut. Şehirdeki kameralardan bakarak birisinin nerelerde yürüdüğünü gördüğünüzde tanımlamak ve oluşan verileri saklamak kolay bir iş değil.

– IoT alanında yer alan üzerinde botnet yürütülen cihazlar için örnek var mı bildiğiniz?

– Çoğunlukla DVR – sayısal video kaydediciler -. Sebebi çok basit. Üreticiler bunları gömülü cihazlar olarak ürettiler. DDoS saldırıları için bunları hedeflemek yeterli. Her an çevrimiçi durumdalar. Bu yüzden bunlar etkilenir. En kolay hedeflerdir. Şifrenin karmaşık, zor seçilmesi gerekir.

Yönlendiriciler – Router -. Çoğunlukla evlerde kullanılan yönlendiriciler.

Video kameralar. Başlangıç ​​noktası olarak kullanılabilecek yeterince kamera var. Hayal etmek oldukça güç. Örneğin, bağlı olduğu ağ tamamen güvenli ancak bazı kameralar kamusal ağın dışına bağlı. Bunlar saldırı başlangıç ​​noktası olabilir. Linux işletim sistemine sahipler. Bazı komutları yürütebilmek için kabukları var.

Bitcoin madenciliği için bu cihazları kullanıyorlar. Botnet kullanımı cihazları ele geçirenlerin o cihazları ticari olarak değerlendirmesini sağlar.

– İnsanlara zarar verebilir mi? Ev soğuk ya da sıcak olabilir mi?

– Ben kitlesel tehditlerden bahsediyorum. Hedefli saldırılarda her şeyi yapabilirsiniz.

– Bir fabrikada yangın çıkarabilir mi veya evdeki bir cihazı gereğinden fazla çalıştırabilir mi?

Geçtiğimiz yıl, endüstriyel sistemlere yapılan saldırılarla ilgili bazı sorunlar vardı. Stuxnet en bilineni. Ayrıca Almanya’daki fabrikalarda bazı olaylar bildirildi.

Bir olayın bir sanayi sistemini nasıl etkilediğinden söz ediyoruzz. Endüstriyel şirketlerin bilgisayar altyapısına yönelik tipik saldırılar her gün olur, ancak endüstriyel sistemleri etkilemez. Bazı bilgisayarlar tipik bir Windows etki alanını sadece endüstriyel sistemlerde kullanırlar. Bu her gün olabilir. Ayrıca Ukrayna’da da endüstriyel kontrol sistemi ile ilgili olduğu düşünülen bir başka olay var. Bunlar çalışma sistemini bozuyorlar.

– Türkiye ziyaretinizin amacını öğrenebilir miyiz?

Bilgi güvenliği dünyasında bir kariyer hakkında öğrencilerle konuşmak için buradayım. Çünkü uzman açığı var. Kaspersky Lab için güvenlik ile ilgilenen kişileri bilmek istiyoruz. Bunu sadece firmamız için değil aynı zamanda tüm güvenlik endüstrisi için de istiyoruz.

– Gençler için ne öneriyorsunuz? Ne tür eğitime sahip olmaları gerekiyor?

Her şeyden önce, ilginç bir yaşantıya sahip olsunlar. Matematiksel, programsal problemlere odaklansınlar. Bilgi güvenliği alanı, hayatınızı geçirmenin en uygun yolu değildir. ANcak bazı ilginç fırsatlar mevcut. Kendinizi hedefli saldırılar için araştırmacı konumunda bulursanız, o zaman büyüleyici olur. Yeni püf noktalarını bulacağınızı bilirsiniz. Bu bir boks maçı gibi. Satıcı, araştırmacıya bulması için yeni bir saldırı gönderiyor. Bazı insanlar bunu ezbere yapılacak bir alıştırma olarak görürler. Her gün yeni şeyler bulmak heyecan verici bir iş. Bilgi güvenliği alanı herhangi birimize uyabilir.

Kaspersky Lab’daki atmosfer, diğer şirketlerden farklıdır. Çok katı kurallar yok. Elbette bazı kurallarımız, bazı sistemlerimiz var, ancak gezilerimiz, heyecan verici projelerimiz de var. Kaspersky Lab’da çalışmak çok keyifli.

– Türkiye’de araştırma laboratuvarınız var mı?

– Ticaret ofisimiz var. Bu tür ticari ofislerde en teknik iş, teknik ön satış pozisyonudur. Kişinin BT sektöründe bir geçmişi ve yetenekli olması gerekir. Müşterilere danışmanlık hizmeti veriyorsunuz. Bir çözümü nasıl uygulayacağınızı, nasıl devreye alacağınızı bilmeniz lazım. Sezgileriniz kuvvetli olmalı.

– Kaspersky Lab’da kaç ürün var?

Geleneksel ürünümüz, uç noktaların güvenliği. Bunu sadece virüslerden koruma yazılımı olarak anlamamak lazım. Bundan çok daha fazlasını içeriyor. Ağ saldırı engelleyicisi ve ayrıca anti-malware’ye sahip.

Son ürünümüz, hedefli saldırı engelleme platformu, Kata. Kata, Kaspersky Lab’ın deneyimini hedefli saldırılar gibi tehditleri engellemeye taşıyor.

Hedefli saldırıların farkına varan veya tahmin etmeyi deneyen Robo adlı bağımsız bir ürünümüz var.

Ürünlerin yanı sıra, sızma testleri ve servis hattımız da var. Müşteriler, araştırma raporlarımıza, hedefli saldırılar için çalışmalarımıza abone olabilir. Ayrıca, donanım üreticileri zararlı örneklerin, kötü niyetli alan adları yayınına abone olabilir. Alan adlarının itibarını, dosyaların durumunu biliyoruz. Bazı donanım üreticileri bu tür verileri kullanmak isterse – bazı alan adıyla bağlantıyı kesmek veya istedikleri taktirde bazı örneklerin otomatik olarak durdurulması gibi – bu servislere abone olabilirler ve donanım düzeyinde gerçek zamanlı bizden veri alabilir. Muhteşem bir veritabanımız var. Biz buna Kaspersky Kritik Şebeke – KCN Kaspersky Critical Network – diyoruz. Farklı yerlerden veri topluyor. Donanım veya yazılım üreticisi iseniz hatta tüketiciler de, hizmetlerimizden birine abone olabilirsiniz.

Son yıllarda, uç noktaların dünyası dramatik bir şekilde değişti. Kaspersky Lab’de biz oturup bu uç noktalarına ne olacak diye bekleyemezdik. Çok sayıda uç nokta, kullanıcı, yeni bağlantı, yeni güvenlik hizmeti sağlayıcısı var.

– Bir şeyler eklemek ister misin?

– Üreticiler ve son kullanıcılar, sağlık izleme cihazları, otomobil gibi gömülü cihazlar üzerinde kapsamlı düşünmek zorundalar. Bu birbirine bağlı bir bilgi işlem tekniği.

Düzgün kurulum gerçekleştirmek için biraz vakit harcayın. O zaman sistem kendisini bir şekilde yeterince koruyacaktır.

Cihazı bir an önce sadece sisteme bağlamayın.

Fitness izleyici, video kamera gibi her cihazın ticari güvenliği hakkında biraz düşünün. Bir çocuk dahi bir genel ağa bağlanabilir.

Biraz zaman harcayın. Kurulum ve güncellemeler için zaman ayırın.

Gömülü Cihazlarla yaşamak biraz daha kolaydır. Fakat zayıf noktalar her zaman mevcut olacak. Yeni gömülü aygıtlar için yeni açıklar, ataklar geliştirilecek.

Daha önceden bilinmeyen zayıf noktaları önlememiz gerekiyor.

Ürünlerimizde açıkları önlemeyi otomatik hale getirdik. Yeni açıklar ortaya çıkarsa Otomatik Koruma Önleme sistemi, yürütmeyi durdurması gereken normal dışı bir davranış olduğunı söyler. Önceden bilmediğimiz açıklara gelen saldırıları da durdurabiliriz.

– Teşekkürler. Keyifli bir söyleşiydi.

– Ben de teşekkür ederim.

Sinan Oymacı