Kaspersky’nin, Singapur’da INTERPOL’ün iki yılda bir düzenleme kararı aldığı INTERPOL World etkinliği ile paralel olarak düzenlediği Kaspersky Cybersecurity Summit 2015’te açılış konuşmasını yapan Eugene Kaspersky, “Siz ona Nesnelerin İnterneti diyorsunuz; ben Tehditlerin İnterneti adını veriyorum” diyordu.
Bu, dünyanın en büyük özel siber güvenlik şirketi Kaspersky Lab’ın kurucusunun ilk defa dile getirdiği bir tanımlama değil ancak INTERPOL’ün Singapur’da INTERPOL Global Inovasyon Merkezi’ni (IGCI) açtığı dönemde tekrarlanınca dikkat çekiyor. IGCI, ilk olarak özel sektörden siber güvenlik şirketleri ile işbirliği içinde siber saldırganlara karşı harekete geçireceği bir yapı olarak işlev görecek.
Kaspersky, “İnternetten bahsediyorsak, bunun güvenliğini sağlayacak kurum olarak da INTERPOL’den bahsetmemiz gerekiyor. Internet, INTERPOL…” demekle kalmıyor; “Ben bunu 12 sene önce söyledim. Şimdi yapıyorlar. Geç de olsa iyi” diye ekliyordu. Bunu INTERPOL temsilcilerinin yanında basın önünde ifade ettiğinde itiraz gelmemesi, Kaspersky’nin doğruyu söylediğini gösteriyor.
IGCI’de Kaspersky ile derin bir ilişki kurulduğunu anlamak için çaba gerekmiyor. Kriminal incelemelerin yapıldığı bölümde çalışanlar şüpheli yazılım parçalarını özel bir hat üzerinden Kaspersky merkezi ile paylaşarak birlikte çalıştıklarını ve zaman zaman da Kaspersky uzmanlarının merkeze gelip kendileri ile işbirliği yaptığını ifade ediyor. Daha ciddi çalışma alanları da var.
Bitcoin sistemine sızmayı engellemeye yönelik çalışmalar bir diğer deneyim paylaşma alanı. Kendi doğrulama kodlarını oluşturarak finansal işlem gerçekleştirmeye olanak tanıyan bu dijital para sistemine sızılıp herhangi bir kod yerleştirildiğinde bunun sistemin doğası gereği ebediyen orada kalacak olması, tehdidin ciddiyetini artırıyor. Siber saldırganların sisteme bir kere sızması, sisteme kullanılamayacak hale getirecek büyüklükte zarar verme potansiyeline sahip. Bu nedenle IGCI’de simülasyonlar oluşturularak ortaya çıkabilecek tehditler üzerinde ciddi bir çalışma yürütülüyor.
Bu ve buna benzer iş birliği alanları, Kaspersky’yi sıkıntılı uç birim güvenliği alanından daha kurumsal olan siber güvenlik alanına taşıma konusunda önemli bir kaldıraç. Eugene Kaspersky, Kaspersky Lab’ın siber tehdit analizleri tarafındaki gücünü bu alandaki işbirlikleri ile daha merkezi bir alana taşımaya çok istekli. Nisan ayındaki INTERPOL World öncesinde Kaspersky’nin Asya Pasifik Merkezi’ni –Eugene Kaspersky’nin kiraların yüksekliğinden şikayet ettiği- Singapur’daki geçici bir ofise alelacele taşıması bu istekliliğin göstergesi. Kalıcı ofise geçmek için de hazırlıklar sürüyor.
Bu, bir ada olarak kontrol edilebilir ve daha güvenli bir ortam oluşturmaya olanak tanıyan Singapur’un uzun vadeli olarak güvenlik üssü olacağının ve uzun süreli işbirliği beklentisinin göstergesi. IGCI’nin açıldığı günlerde Singapur’da gösterime giren yeni Avengers, adanın güvenlik üssü kimliğini sembolik olarak kutsarken bölgedeki ve daha geniş coğrafyadaki siber saldırılar, masalsı havaya son veriyor ve ayakların yere basmasını sağlıyor.
Saldırıların sayısında ve karmaşıklığında ciddi bir artış yaşanırken bankalar ve finans kuruluşları başta olmak üzere büyük şirketler bu saldırıların odağına oturuyor. Endüstriyel sistemler de saldırıların dikkat çekici bir hedefi haline gelirken önemli bir gelişme de sanal olmayan dünyadaki suç organizasyonlarının ve özellikle mafyanın oyuncu olarak bu alana katılması.
Bu gelişmeler Eugene Kaspersky’nin şüpheci yaklaşımlarını daha fazla işe yarar hale getiriyor. Akıllı televizyonlar, akıllı saatler ve akıllı gözlükleri gelecekteki saldırıların hedef alacağı cihazlar olacağını öngören Kaspersky’nin dahi mi paranoyak mı olduğu konusunda karar vermek güç. Bu listeye otomobilleri de ekleyebilirsiniz. Bilgisayarımda kurulu olan Kaspersky güvenlik yazılımının her Wi-Fi ağına bağlanırken, o halka açık Wi-Fi ağının neden güvensiz olduğunu öğrenmek için kutucuğa tıklamamı istemesi ikinci taraftaki değerlendirmeyi güçlendiriyor. Üstelik sistem, evde toplam sekiz cihazın bağlı olduğu ağı da halka açık ağ görüp aynı uyarıları yineliyor.
Ancak bu şüphecilik yeni tehditler dünyasının tam da gerektirdiği şey olabilir. Nesnelerin interneti gelişip bağlı cihazların sayısı artarken bunlara saldırmanın daha kârlı hale gelmesi, buradan payını almaya niyetli suç gruplarının harekete geçmesi için sadece “istenen ekonomik fayda düzeyinin” ortaya çıkması. “Akıllı televizyonların güvenliği için prototipimizi hazırladık. Devreye almak için ilk saldırının gerçekleşmesini bekliyoruz” diyen Kaspersky, bu anti-kahramanlara karşı cephede önemli bir karakter.
Akıllı sayaç sitemlerinin bağlı olduğu şebekelerin kurulmasının ardından enerji altyapılarının saldırılara uğrmasının yeni trend olarak açıklanmasının üzerinden daha birkaç sene geçmişken fabrikaların otomasyon sistemlerini hedef alarak fiziksel hasara yol açma, deneyimlenen yeni bir saldırı olarak gündeme gelmiş durumda. Bu, üretim hatlarındaki malzemelerin yerlere yuvarlanması ve ortalığın kırılıp dökülmesi gibi bir sonuç doğuran bir süreç olarak veri çalmak ya da silmekten veya hard diskin yanmasına neden olmaktan ileri bir adım.
Endüstrinin ciro ve üretim hacminin yüksekliği düşünüldüğünde ve buradaki tam zamanında üretim ve talep olduğunda üretim gibi farklı modeller düşünüldüğünde tehdidin daha büyük olduğu görülüyor. Tayvan’daki doğal afetin bellek üretimini aksatmasının bilgisayar ve cep telefonu üretimini sekteye uğratması örneği, bu tür saldırıların tedarik zincirlerini etkileyerek katlamalı zararlara da yol açabileceğini gösteriyor.
Gelişmeleri daha çarpıcı hale getiren, siber saldırganların “altyapı yatırımlarına” çok büyük bir önem verdikleri bir döneme girmeleri. Teknoloji şirketlerinin bulut teknolojileri ile birlikte en önemli gündem maddesi olan “servis olarak sunma” yaklaşımı, siber saldırı organizasyonlarının da önem verdiği bir konu. Üstelik bu konuda, teknoloji şirketlerinin iş dünyasının dönüşümünü sağlamada yarattığından daha büyük bir etki yarattıkları da söylenebilir.
Siber saldırganların yarattığı son örneklerden biri olan, Simda botnet’i iyi bir başarı öyküsü. Bilgisayarlara sızarak bunları ele geçirmeye ve güçlerini saldırı amacıyla kullanmaya dayanan botnet uygulamaları, Roma İmparatorluğu’nun kurduğu lejyonlara benzer bir güç sunuyor. Singapur’da INTERPOL Dijital Suç Merkezi’nde (Interpol Digital Crime Center-IDCC) Soruşturma Destek Koordinatörü Brad Marden, 190 ülkede 770 binin üzerinde PC’ye yayıldığını tespit ettiklerini söylüyor. Burada benzersiz olan, doğrudan ya da donanım düzeyinde kodlanmış IP kullanılması ve oluşturulan özel modüllerle zararlı yazılım servisinin oluşturulması. Bu, siber saldırganların sürekli geliştirdikleri strateji ve uygulamaların yeni bir örneği oldu.
Simda’nın kamu ve özel sektör işbirliği ile çökertildiğini belirten Marden, “Regülasyonlar başta olmak üzere çeşitli nedenlerle bu tür işbirliklerini oluşturmakta siber saldırganlara göre ağır kalıyoruz” diyor. Stratejik açıdan ise, IDCC’nin planı polis, özel sektör ve akademiyi bir araya getirerek eylem planları oluşturmak. Bunun önündeki yegane engel, polis teşkilatını kapalı kutu olarak tutan regülasyonlar değil.
Kâr amacı güden ve büyük şirketleri hedef alan saldırılarda “olay yeri inceleme” yapılması için alınması gereken verilerin gizliliği ve rakiplerin eline geçmesi ihtimali kafaları karıştırıyor. Bu sadece verilerin rakip şirketlerin eline geçmesi ile ilgili bir sıkıntı değil. Avrupa şirketlerinin, Rusya ile Avrupa arasında Ukrayna ve yaptırımlar krizi varken Kaspersky gibi bir Rus şirketinin içinde yer aldığı operasyona veri sağlaması ile ilgili soru işaretleri bulunuyor. Bu, para kazanmak ve kâr elde etmek gibi net bir hedefi olan siber saldırganlara karşı önemli bir handikap.
Bilgilerin gizliliği konusundaki hassasiyet, merkezde polislerin çalışması için ayrılmış 20 masalık bölme ile özel sektör yani güvenlik şirketlerinin uzmanlarının bulunduğu bölme arasında kurulan bağlantıya -ya da ayrıma- gösterilen özende ifadesini buluyor. Cam perde elektronik olarak şeffaf ya da buğulu hale getirilebiliyor. İki bölme arasındaki iki kapı ise hem iki tarafı bölüyor hem de birleştiriyor.
İngiltere’den gelen uzman polis Paul Ward, “Çalışırken cam şeffaflaşıyor ve kapılar da genellikle açık oluyor” diyor. INTERPOL üyesi 190 ülkenin büyükelçiliği gibi düşünülebilecek olan merkezde Japonya’dan geçici olarak gelen bir meslektaşı ve Singapurlu bir kadrolu çalışanla birlikte açıklamalar yapan Ward’un, konukları olan gazetecilerden bile bilgisayarlardan uzak ve pencereler tarafında durmalarını istemesi, güvenlik şirketleri ile çalışırken de hassasiyetin korunduğunun işaretini veriyor.
Bununla birlikte Ward, güvenlik şirketleri ile bir araya gelmelerinin nedenini de açık yüreklilikle ifade ediyor. Ward, “Polis dedektifleri fiziksel dünyada olay yerlerini inceleme konusunda çok deneyimli ve başarılı sonuçlar elde ediyor. Siber saldırıların gerçekleştiği dünyada ise, aynı düzeydeki becerilere sahip değiliz” diyor.
Bu, Kaspersky’nin yanısıra TrendMicro’nun da liderliğini yaptığı işbirliği arayışının net bir açıklaması ancak hâlâ kağıt üzerindeki stratejiler ile hedef olarak konulan eylem planlarını geliştirmek arasındaki mesafeyi kısaltması gerekiyor. Bunun nedeni, saldırganlar tarafında yeni trendleri takip etme konusundaki başarı.
Mobilitenin yükseliş trendini yakalayan saldırganların son üç yılda bu alana verdiği önem katlamalı olarak arttı. 2005 ile 2011 arasında sadece 2 bin 359 modifikasyon sadece 2012’de 40 bine ulaşırken 2014’te 300 bine yaklaştı. Bunların yüzde 99’unun Android cihazları hedeflediğini söyleyen Kaspersky’nin tehditler tarafında mobiliteye yaptığı vurgu, bütün cephelerde yansımasını buluyor. Herkes mobilitenin hızlı yükselişi karşısında gereken önlemleri almasını sağlamaya çalışıyor. Ancak savunma tarafındaki adımların henüz siber saldırganların kâr elde etme güdüsü kadar güçlü bir motif oluşturamamış olması, bu alanda saldırganlar kadar güçlü bir ittifaklar toplamı oluşmasını engelliyor. Şu anda en kritik konu olarak bu görünüyor.
