Siber Caydırıcılık SG 507Siber Savaşlar Güz 2014
Caydırıcılık Nükleer silah sahibi olmak ve bunu kullanmakla tehdit etmek, diğer ülkeleri nükleer saldırı yapmaktan caydırabilir. ABD Sovyet Rusya arasındaki soğuk savaş döneminde olduğu gibi. Aynı şeyi siber caydırıcılık ile ilgili de söyleyebilir miyiz? 2
Siber caydırıcılıkla ilgili sorular Kritik sorular Kimin yaptığını biliyor muyuz? Muhtemel saldırganların varlıklarını risk altında tutabilir miyiz? Tekrarlayabilir miyiz? 3
Siber caydırıcılıkla ilgili sorular Yan sorular Misilleme işe yaramazsa, en azından silahsızlandırabilir mi? Üçüncü taraflar savaşa katılacak mı? Misilleme kendi tarafımıza doğru mesajı verecek mi? Tepki için eşiğimiz nedir? Gerginliğin tırmanmasından sakınabilir miyiz? Ya saldırganın kaybedecek çok şeyi yoksa? 4
Kimin yaptığını biliyor muyuz? 5
Kim yaptı? Misilleme yapmak için kimin yaptığını bilmek gerekir. Hatta caydırıcı olması için kimin yaptığını bilebileceğiniz ve misilleme yapabileceğiniz endişesini vermeniz gerekir. Peki kimin yaptığı bilinebilir mi? Eğer yanlış ülkeye misilleme yapılırsa, sadece caydırıcılığın mantığına uymakla kalmaz, aynı zamanda yeni bir düşman edinebilirsin. 6
Suçlama ve Misilleme Suçlamanın doğruluğuna sadece kendini değil, aynı zamanda üçüncü tarafları da ikna etmek gerekir. Ve saldırganın da suçlamanın doğru olduğuna ikna olması gerekir. O yaptı 3. Taraf 3. Taraf 3. Taraf Evet o yapmış görünüyor Evet ben yaptım 7
Suçlama ve Misilleme Soğuk savaş dönemindeki iki kutuplu nükleer caydırıcılığın aksine, günümüzde 3. tarafları ikna etmek daha önemlidir. İddialara göre 100 ün üstünde ülke siber saldırı kapasitesine sahip. 3. Taraf 3. Taraf 3. Taraf Saldırıyı gerçekten o mu gerçekleştirdi? 8
Suçlama ve Misilleme Saldırganın, hedefin saldırıyı bildiğine ve kendisine saldırıldığı için misilleme yapıldığına inanması gerekir. Saldırgan yıllardır bir saldırı da gerçekleştiriyor olabilir, fakat başka ülkeler de bunu yapıyor. Neden o? Neden şimdi? 3. Taraf 3. Taraf 3. Taraf Saldırıyı gerçekten o mu gerçekleştirdi? Niye ben? Niye şimdi? 9
Suçlama niye zor? Siber uzayda saldırgan olduğunuzu birinin bilmesi çok zor. Bilgisayarlar ayırt edici kanıtlar bırakmıyor geride. Devlet destekli hackerlar bir kafeden, wifi olan bir kütüphaneden, yada halka açık herhangi bir yerden yapılabilir. Paketler geriye sürülebilir mi? (Network Forensics) 10 by Peter Steiner has been reproduced from page 61 of July 5, 1993 issue of The New Yorker, (Vol.69 (LXIX) no. 20)
Cui bono siber uzayda mantıklı olmayabilir. Cui bono: Bir olaydan en çok fayda sağlayan o olayın müsebbbidir. Misilleme yapmanın önündeki en büyük engel yanlış-bayrak operasyonlarıdır. Bir ülkenin saldırıyı kimin yaptığına dair yapılacak olan soruşturmaya yardım etmek istememesi o ülkenin suçlu olduğundan kaynaklanabilir (2007 Estonya Rusya) Dost ülkeler bile paketlerin geriye doğru takip edilmesine yardımcı olmakta tedirgin olabilir, çünkü yapılacak suçlamanın küresel bir krize neden olacağını düşünebilirler. Soruşturmaya yardım etmemek masum sebeplerden de kaynaklanabilir, örneğin araştırma tekniklerinin kişi mahremiyet haklarını çiğnemek olduğunu düşünebilirler. 11
Soruşturma zorluğu 12
Soruşturma zorluğu Herhangi bir sistem hatası gerçekten bir saldırı olduğu anlamına gelir mi? Paranoya: Kasım 2001 de Amerikan havayollarına ait bir uçak düştüğünde saatlerce bunun bir terörist saldırısı olduğu Bir sistem, kötü yazılımdan, insan hatasından veya doğal kazalar sonucu oluşabilir. Örneğin, 2003 Kuzeybatı Amerika elektrik kesintisi. Kasıtlı saldırıların bile istenmeyen/beklenmeyen sonuçları olabilir. 1998 Morris Worm. 13
Suçlamanın zorluğu Kanıtlar belirli bir ülkeyi yada devlet ağını gösterse bile saldırının arkasında o devletin olduğunu gösterir mi? Saldırının arkasında devlet-destekli hackerlar olduğuna dair bazı ipuçları Bireysel hackerlar genellikle internette dolaşan ve bilinen teknikleri kullanırlar. Çok azı 0-day saldırısı düzenleme kabiliyetine sahiptir. Onların da birden fazla farklı 0-day saldırıları düzenleme ihtimalleri çok düşüktür. Devlet destekli hackerların saıldıları daha metodolojik ve tekdüzedir, bireysel hackerlar ise farklı, maceraperest ve deneysel çalışmayı severler. Sadece devlet destekli hackerlar hedefin askeri operasyonel sistemleri ile ilgili temel bilgilere sahiptir. Hedefledikleri sistemin donanım bilgisi eğer gizli bilgi ise ve yapılan saldırılar bu bilgi bilinmeden yapılamıyorsa, bu önemli bir ipucu verir. Eğer saldırı çok kapsamlı bir kod-kırma gerektiriyorsa, bu da saldırının arkasında devlet destekli hackerlar olduğunu söyler, çünkü bireysel hackerlar bunu yapabilecek süper bilgisayarlara sahip değillerdir (?). Organize suç çetelerine bağlı hackerlar? 14
Suçlama imkansız mı? Saldırganlar çok akıllı olmayabilirler ve bağlı bulundukları ülkeye bağlı bir adresten saldırı yapabilirler. Kendini beğenmiş bu nedenle de özensiz davranmış olabilirler. Arkalarında ipucu bırakmayı kafalarına takmıyor olabilirler, çünkü ipuçları kanıt değildir. Açık forumlarda veya chat ortamlarında saldırgan yaptığı ile övünüyor olabilir (özellikle bireysel bir saldırgan belirli bir iş için tutulmuşsa) 15
Modus Operandi (MO) Yoğun bir saldırı belirli bir MO yu ortaya çıkarabilir ve bu da saldırganı tarif edebilir. Yoğun ve sürekli saldırılar arkalarında bir örüntü tekrarı bırakırlar ve bu atakların arkasında disiplinli bir hacker grubunun mu yoksa botnetlerden bir atak yapılıp yapılmadığını belirtir. Eğer saldırıların arkasında bir hacker grubu varsa böyle bir hacker grubunu finanse edecek ve yönlendirebilecek ülke sayısı sınırlı olacaktır. 16
Suçlama kabiliyeti ve misilleme gücü her zaman caydırıcı mıdır? Bir ülkenin suçlama kabiliyeti ve misilleme gücü saldırganın izlerini daha iyi saklamasına, değişik metotlar kullanmasına da neden olabilir. Yani caydırmak yerine tespit etmesi ve suçlaması daha zor saldırganlar oluşturabilir. 17
Yakalanırsa ne yapmak gerekir? sen yaptın işte kanıtı demek siber uzayda çok da kolay değildir. Yeterince kanıtınız yoksa saldırganın suçunu itiraf etmesini yada 3. tarafları ikna etmeyi başaramayabilirsiniz. Bu durumda en iyisi misillemenin aynı MO kullanılarak yapılmasıdır. Neden? 18
Olağan şüpheliler Kimin yaptığını bilmiyorsanız, kimin yapmadığını da bilmiyorsunuzdur. Bu durumda gözler olağan şüphelilere çevrilerek yapmadıklarını ispat etmeleri beklenebilir. 19
Muhtemel saldırganların varlıklarını risk altında tutabilir miyiz? 20
Muhtemel zararı önlemek için karşı tarafı risk altında tutmak Soğuk savaş döneminde Rusya nükleer füzeleri Washington D.C. ye yönelttiğinde caydırıcılık için ABD de nükleer füzeleri Moskovaya yöneltirdi. Türkiye Yunanistan üzerine savaş uçaklarının karşılıklı salvoları Saldırının zararlarını bilmek caydırıcılık için önemlidir. 21
Siber zarar Siber saldırıların zararlarını (sonuçlarını) kestirmek mümkün olmayabilir (hem hedef hem de saldırgan tarafından). Bir petrol rafinerisine yapılan siber saldırı rafinerinin sistemlerini bozarak çalışmaz hale getirebilir yada yakıtların içerisine katılan kimyasalların değerlerini değiştirerek yakıtı kullanan araçların belirli bir zaman sonra bozulmasına yol açabilir. Hangi sistemin hangi noktaya kadar zarar vereceğini ve bu zararın ne kadar çabuk giderileceğini bilmek çok zordur. 22
Misilleme Bu durumda misilleme için muhtemel tarafların varlıklarını nasıl risk altına sokabiliriz? 23
Gerçek zararı ne saldırgan ne de hedef bilebilir? Bozma faaliyetlerine zarar açıktır. Çürütme faaliyetlerinde ise sistemin hangi mekanizmasının bozulduğunu veya nasıl tamir edileceğini etkilerinden yola çıkarak bulmak çok zordur. Bunun cevabı en iyi saldıran taraftadır. Saldırgan da sistemler arası korelasyonu bilemediğinden yürüttüğü çürütme faaliyetlerinin hedef sistem dışında hedef sistemle ilişkili diğer sistemler ne zarar verdiğini bilemez. 24
Zararı anlamak için test sistemleri kurulabilir mi? Mümkündür. Fakat test sistemleri çok yanıltıcı olabilir. Yazılım tabanlı sistemler aylar veya yıllar boyunca aynı sabitlikte çalışmazlar. Test ortamındaki setup gerçek ortamda sabit değildir. 25
Tekrarlayabilir miyiz? 26
Tekrarlı Misilleme Şimdi yapılan misilleme, gelecekteki misillemeleri engelliyorsa, caydırıcılık kırılgandır ve isteneni vermeyebilir. Siber alanda tekrarlı saldırılar problem oluşturur. Çünkü her saldırı bir sonraki saldırının etkisi/başarısını azaltır. Bunun nedeni karşı tarafın açıklıklarını fark etmesi ve kapatmasıdır. Tekrarlı saldırının başarısı saldırının fark edilip edilmeyeceği ile alakalıdır. Karşı tarafa zarar veren saldırıların fark edilme ihtimali yüksek iken veri çalma çalışmaları fark edilmeyebilir, bu yüzden tekrarlanması daha mümkündür. Muhtemel siber saldırı seçeneklerinin tüketilmesi, bir sonraki güvenlik açığının da daha zor bulunması anlamına gelir. 27
Yan Sorular Misilleme işe yaramazsa, en azından silahsızlandırabilir mi? Üçüncü taraflar savaşa katılacak mı? Misilleme kendi tarafımıza doğru mesajı verecek mi? Tepki için eşiğimiz nedir? Gerginliğin tırmanmasından sakınabilir miyiz? Ya saldırganın kaybedecek çok şeyi yoksa? 28
Misilleme caydırıcı olmazsa, en azından silahsızlandırabilir mi? Geleneksel yada nükleer caydırıcılıkta misilleme ile caydırıcılık aynı zamanda karşı tarafı zararsız hale getirebilir. Fakat siber saldırılarda bu mümkün olmaz. Siber saldırılar için ön şartlar nelerdir? Yani saldırı ekipmanları (siber silahları) nelerdir? Karşı tarafın bu silahları ellerinden alınabilir mi? Saldırının geldiği bilgisayarlara karşı otomatik saldırı düzenlenmesi mantıklı mıdır? Geleneksel saldırıların aksine, bir ülkenin siber saldırı kabiliyeti, saldırıya uğradıkça değil, kullandıkça azalır. 29
3. taraflar savaşa katılacak mı? Devletler arası siber saldırıda, saldıran ve misillemede bulunan devletler siber saldırı kabiliyetleri ve açıkları ile ilgili bilgiyi savaşı takip eden üçüncü tarafların gözleri önüne sererler. Taraflar saldırıları durdursa bile aşırı milliyetçi yada fırsatçı saldırganlar ve üçüncü devletler bu gözlem sonucu edindikleri bilgiler ile saldırıları devam ettirebilirler. Üçüncü tarafın saldırılara dahil olması, saldırı, saldıran, misilleme yapan gibi kavramları anlamayı güçleştirir ve gerginliğin tırmanmasına sebep olabilir. Bu durum caydırıcılığa negatif etki ettiği gibi ( sen saldırmayı bırakırsan, ben de bırakırım konsepti ortadan kalkar), pozitif bir etkisi de sonuçların azameti nden dolayı caydırıcılığı arttırabilmesidir. 30
Misilleme kendi tarafımıza doğru mesajı verecek mi? Muhtemel siber hedeflerin bazıları özel sektöre aittir. Özellikle özelleştirme ile birlikte günlük hayatımızı etkileyen birçok sistem özel sektöre aittir. Devlet bunları korumakla sorumlu mudur? Özel sektörün tüm korumasını devletin yapması (burada korumadan kasıt bu hedeflere yapılan siber saldırıyı bir siber savaş sebebi sayması) doğru bir yaklaşım mıdır? Bu sistemlere yapılan saldırıları koruyamayan bir devlete özel sektör yatırım yapacak mıdır? 31
Tepki için eşiğimiz nedir? Sıfır tolerans (yani en ufak saldırıya bile saldırı ile cevap verme) siber uzayda problemlere yol açar. Orantılı güç kullanma için saldırının büyüklüğünden çok hasarın etkisi önemlidir. Küçük ama devamlı yapılan bir saldırı, tek seferde ama büyük bir saldırıdan daha fazla zarar verebilir. Büyük saldırıya büyük saldırı ile küçük saldırıya küçük saldırı ile cevap vermenin avantajı ve dezavantajı nedir? Eşik değerinin tespit edilmesi de başka bir problemdir. Neden? Teknik bir eşik mi ekonomik bir eşik mi? 32
Gerginliğinin tırmanmasından sakınabilir miyiz? Misilleme yapılan devletler, siber misillemeyi hak etmediklerini düşündüklerinde, veya iç baskılar sonucunda, veya siber güç yarışını kaybettiklerini düşündüklerinde daha etkili bir karşı saldırı kullanarak gerginliği tırmandırabilirler (hatta gerginlik çok tırmanırsa, karşı saldırı siber uzaydan fiziksel düzleme geçebilir). Eğer karşı tarafın fiziksel gücü yüksekse misilleme caydırıcı olabilir mi? 33
Ya saldırganın kaybedecek çok şeyi yoksa Siber savaş, savaş kabiliyetleri anlamında diğer savaşlardan daha asimetriktir. Saldırganın kritik altyapıları hedef devlet kadar kuvvetli bir ağ yapısının üzerinde olmayabilir. Örneğin, 2007 Estonya, 2008 Gürcistan saldırıları çok etkili iken 2009 Kırgızistan saldırıları o kadar da etkili olmamıştı. Eğer bir devlet teknolojik olarak dışarıya bağımlı ise alt yapısı çok bağlı olmasa da tedarik zinciri saldırılarına karşı savunmasızdır. Saldırganın kaybedecek çok şeyi yoksa siber misilleme yapmak mantıklı olmayabilir. Fiziksel misillemenin ise ölçülü olması gerekir. 34
Son soru Siber caydırıcılık için hangisine yatırım yapılmalı: Siber Savunma Siber Saldırı 35
Soru-Cevap Haftaya: Siber Saldırılar ve Amaçları 36