SAYISAL SAVAŞ VE HAREKAT ORTAMINA YÖNELİK ÇEVİK YAZILIM GELİŞTİRME Murat Paşa UYSAL Dr.Mu.Yb., Kara Harp Okulu Savunma Bilimleri Enstitüsü, 06524, Ankara, mpuysal@kho.edu.tr ÖZET Barış zamanında karmaşık ve güvensiz olan sayısal ortamın muharebe şartlarında farklı bir boyut kazanacağı düşünülmektedir. Harekat ortamında ortaya çıkabilecek askeri yazılım projeleriyle ilgili gereksinimlerin, uzun süreli tasarım, geliştirme, test ve dökümantasyon süreçlerini içeren yöntemlerle karşılanmaları mümkün görülmemektedir. Harekat ve sayısal ortam ihtiyaçları dikkate alındığında, esnek ve hızlı kod üretilebilen, ihtiyaçların tam ve zamanında karşılandığı, karşılıklı güven ve ekip çalışmasına dayalı yöntemlere olan ihitiyaç ortaya çıkmaktadır. Bu çalışmada, harekat ortamı ihtiyaçları ile sayısal ortam saldırılarını dikkate alan ve Çevik Geliştirme metodolojilerini benimseyen bir yazılım geliştirme yaklaşımı önerilmiştir. Anahtar Kelimeler: Çevik Geliştirme, Sayısal Ortamda Savaş. ABSTRACT It is thought that the cyber space, which is already complex and insecure during peace time, will have a different dimension with the warfare. It is seen impossible to meet all the needs of military software projects during wartime, especially using standart methodologies which include long-term design, development, test, and documentation procedures. Taking into consideration of the needs of the warfare and cyber space, new methodologies are needed, by which rapid and dinamic code is produced, requirements are fulfilled ontime, and which is also based on a team-work. In this study, a software development approach was proposed, which is adopting Agile Software Development methodologies and also considering requirements of warfare along with the cyber space attacks. Keywords: Agile Software Development, Cyber Warfare.
1. GİRİS Yirminci yüzyılın son çeyreğinden itibaren bilgi, iletişim ve bilişim teknolojilerinde görülen baş döndürücü gelişmeler toplum hayatının bütün örgüt ve kurumlarında önemli değişiklikler getirmiştir. Yeni teknolojiler sayesinde ses, video ve çeşitli verileri içeren bilgi sayısallaşarak fiziksel ortamdan bağımsızlaşmış, farklı ortamlara kolayca iletilebilir, paylaşılabilir ve en önemlisi değiştirilip silinebilir hale gelmiştir. Bu durum, sunulan hizmetlerde kalite ve kolaylıklar sağladığı gibi bireyleri, toplumları ve devlet kurumlarını birbirlerine bağımlı hale getirmiştir. Her kurum gibi askeri kurum ve ulusal savunma sistemleri de bilgi çağındaki bu değişim sürecini bütün yönleriyle yaşamaktadır. Stratejik ve operatif birlikler şebekelerle birbirleriyle bütünleşmekte, platform merkezli harekattan ağ merkezli muharebelere doğru bir gelişme gözlenmektedir. Klasik anlamda savunmaya odaklanmış geleneksel düşünce yerini, bilgi ve teknolojiden azami derecede faydalanan, farklı harekat konseptlerini asitmetrik tehditlerle birlikte ele alan, insan ve sistem entegrasyonunu geleceğin karmaşık muharebe ortamlarına göre gerçekleştiren bir bakış açısına bırakmıştır. Sayısal Ortam veya Siber Uzay, bilginin tanımlanması, kaydedilmesi, iletilmesi amacıyla ağ merkezli sistemler ve elekromanyetik spektrumun kullanılması suretiyle oluşturulan, internet ve benzeri haberleşme ağlarını da kapsayan bir ortam olarak tanımlanmaktadır. Ülke savunması için hayati öneme sahip olan kritik bilgi ve iletişim alt yapıları büyük ölçüde bu ortama bağlıdır. Sayısal ortamda gerçekleştirilen bilgi ve sistem güvenliğine yönelik ihlal girişimleri ile yine ekonomik, politik ve askeri amaçlar doğrutusunda gerçekleştirilen organize saldırılar Sayısal Ortamda Savaş kapsamında yer almaktadır. Kullanıcısının haberi olmadan kontrol edilen ve Bot adı verilen bilgisayarlar ile bu bilgisayarların dahil olduğu ağ yapılarından oluşan Botnet ler bu saldırıların ana kaynağını oluşturmaktadır. Böylelikle, barış zamanında zaten karmaşık ve güvensiz olan sayısal ortam, muharebe şartlarında daha da farklı bir boyut kazanabilecektir. Bu durum karşısında dünya orduları, başta teknolojik olmak üzere pek çok açıdan karmaşık olan geleceğin savaş ortamına uyum sağlayabilecek sistem, konsept ve harekat tekniklerini hayata geçirmenin yollarını aramaktadırlar. Ağ Merkezli Muharebe bunlardan birisidir. Silah sistemleri, sensörler, karar destek ve diğer bilgi sistemleri etkin bilgi paylaşımı ve durumsal farkındalığı arttırmak amacıyla bir ağ mimarisi içinde entegre edilmektedir. Geliştirilen birçok bilgi ve komuta sistemlerinde ağ destekli yetenek ve birlikte çalışabilirlik ön plana çıkmaktadır. Ağ merkezli muharebe kapsamında ele alınan Komuta Kontrol, Karar Destek ve Muharebe Sahası Yönetim Sistemleri gibi başlıca askeri bilgi sistemleri uluslararası yazılım standartlarıyla geliştirilmektedir. Tarihsel süreç içerisinde MIL-STD-1679, DOD-STD-2167, MIL-STD-498 gibi standartlar kullanılmış, son olarak IEEE/EIA-12207 yazılım ömür devri süreçlerini içeren standart benimsenmiştir [10]. Ayrıca, yazılım mühendisliği kapsamında Şelale Modeli (Waterfall), Spiral Model, Prototip Model ile Yinelemeli Modeller (Iterative)
veya bunların ihtiyaçlara göre karışımından oluşan metodolojiler kullanılmaktadır. Doğası itibariyle askeri bilgi sistemleri büyük çaplı ve karmaşık bir yapıya sahip olup bu gibi projelerin gerçeklenmeleri uzun süreli tasarım, geliştirme ve test süreçlerini içermektedir. Üstelik birçok yazılım geliştirme standardı öncelikle performans ve fonksiyonel ölçütleri dikkate almakta, sayısal ortam saldırılarına yönelik güvenlik açıkları uygulama sonrası yamalarla kapatılmaya çalışılmaktadır. 2. AMAÇ Bu çalışmanın temel amacı, Çevik Geliştirme (ÇYG) süreçlerini sayısal savaş ve harekat ortamı yazılım geliştirme yöntemlerine entegre edecek genel kavramsal çerçeveyi ortaya koymaktır. Bu çerçevede belirli türdeki savunma projeleri hedef alınmamakta, standart proje geliştirme süreçleriyle ÇYG yöntemlerinin bütünleştirilmesi düşünülmektedir. 3. IEEE/EIA 12207 VE ŞELALE MODELİNE UYARLANMASI IEEE/EIA-12207 literatürde ve askeri projelerde yaygın olarak kullanılan yazılım geliştirme standartlarından birisidir [7]. Özellikle büyük çaplı projelerde sistem tasarımı ve yazılım geliştirme süreçlerini birlikte ele alması bu standardın benimsenmesindeki başlıca etken olduğu söylenebilir. Şekil 1 de IEEE/EIA-12207 standardının Şelale Modeline uyarlaması gösterilmiştir [7]. Bu modelde her bir aşamada detaylı bir analiz ve tasarım yapılmakta, proje genellikle kalabalık bir ekip tarafından yürütülmektedir. Bu standart, gerekli süreçleri ana hatlarıyla ele alarak genel çerçeveyi belirlemiş, ayrıntılı ve somut uygulama adımlarını ihtiyaç makamına bırakmıştır. Bu tür metodolojilerin en belirgin özelliği ise binlerce sayfadan oluşabilen proje dokümanlarının hazırlanmasıdır. Hiyerarşik yapının hakim olduğu durumlarda, yazılım ekibininde bulunanların ayrı ya da sık sık bir araya gelme imkanı bulunmadığında daha çok tercih edilebilmektedir. Ancak bilindiği gibi, uzun süreli ve kapsamlı yazılım projelerinde gereksinimleri başlangıçtan itibaren öngörebilmek mümkün olmamaktadır. Test sonucu veya sonrasında ortaya çıkabilecek ihtiyaçların projeye uyarlanması çoğu zaman maliyeti arttırdığı gibi köklü değişiklikleri de gerektirebilmektedir. Harekat ve sayısal savaş ortamındaki saldırılar da göz önüne alındığında, esnek, hızlı kod üretilebilen, ihtiyaçların tam ve zamanında karşılandığı, karşılıklı güven ve ekip çalışmasına dayalı yazılım geliştirme yöntemlerine olan ihtiyaç, bizi Çevik Geliştirme yöntemlerine doğru yönlendirmektedir.
İhtiyaç Analizi ı Kodlama ve Test Mimari Tasarımı Testi Entegrasyonu Sistem Testi Sistem Entegrasyonu Kurulumu Sistem İhtiyaç Analizi Sistem Mimarisi Tasarımı Bileşenleri Donanım Bileşenleri Kabulü ve Bakım Şekil 1. IEEE/EIA-12207 Standardının Şelale Modeline Uyarlanması [7] 4. ÇEVİK YAZILIM GELİŞTİRME Çevik Geliştirme (Agile Software Development) (ÇYG) yöntemleri, aşırı derecede kurallara bağlı, uygulama açısından zor, bürokratik ve sıkıcı yazılım geliştirme yöntemlerine tepki akımı olarak ortaya çıkmıştır. Bu akımın öncüleri 2001 yılında bir araya gelerek hızlı, basit ve müşteri odaklı yazılım geliştirmenin önemini vurgulayan Çevik Yaklaşımı adlı manifestoyu yayımlamıştır [3]. Son yıllarda yinelemeli yöntemlerle ele alınan bu yaklaşım, özellikle orta ölçekli yazılım geliştirme şirketleri tarafından yaygın olarak kullanılmaktadır. Scrum, Extreme Programming-XP, Agile Modeling, Agile Unified Process ve Feature Driven Development gibi metodolojiler belli başlı ÇYG yöntemleri arasında sayılmaktadır. ÇYG, yinelemeli yazılım geliştirme yöntemlerini esas alan, sık aralıklarla, parça ve arttırımsal yazılım geliştirmeyi teşvik eden bir metodolojidir [3]. Esnek ve kullanışlı yazılım geliştirmeyi hedefleyen bu yaklaşım, ayrıntılı modelleme ve tasarım teknikleri yerine, bunların ihtiyaç ve değişiklik isteklerine nasıl uygulanması gerektiğiyle ilgili çerçeveyi belirlemektedir. İhtiyaç ve değişiklik taleplerinin tam olarak öngörülemediği, uzun süreli ve detaylı planlamanın yapılamadığı, süreçlerle ilgili zaman kısıtlamasının olduğu ve ekip çalışmasının gerektiği durumlarda uygun bir yöntemdir. ÇYG, yazılımla ilgili
ihtiyaçları yineleme (iteration) adı verilen kısa süreli takvimlerde gerçekleştirir (Şekil 2). Bütün ekip genellikle 4-5 kişiyi geçmeyen takımlara ayrılır ve her bir takım yazılımla ilgili bir modül üzerinde takvime uygun olarak çalışmaktadır. Aslında her bir yineleme; analiz, tasarım, kodlama ve birim testi gibi temel yazılım geliştirme süreçlerini içeren küçük projelerdir. Yineleme sonunda yazılım projesinin test edilmiş, eksik ama çalışan bir sürümü elde edilmektedir. Yineleme süresi 2 veya 4 hafta ile en fazla 3 ay olacak şekilde belirlenebilmektedir. ÇYG de dökumantasyon, performans ve verimliliğin önüne geçmemek kaydıyla gerektiği kadar yapılmaktadır. Analiz Tasarım Kodlama Test Yineleme-1 Yineleme-n Şekil 2. ÇYG de Yinelemeli Projesi Geliştirme 5. HAREKAT ORTAMI İÇİN ÖNERİLEN ÇEVİK YAZILIM GELİŞTİRME YAKLAŞIMI Bilgi ve iletişim teknolojilerindeki baş döndürücü gelişmeler dünya ordularında dönüşüm faaliyetlerini iki ana grupta toplamaktadır. Birincisi bilginin kuvvet çarpanına dönüştüğü Ağ Merkezli Muharebe, diğeri ise siber uzayın barıştan itibaren etkin olarak kullanıldığı Sayısal Savaş Ortamıdır. Her iki ortamda yürütülmesi düşünülen yazılım geliştirme süreçleri ve metodolojileri, değişik yazılım gereksinimlerini harekat ihtiyaçlarına uygun biçimde hızlı, zamanında ve tam olarak karşılayabilmelidir. Barış zamanından itibaren kullanılan ve harekat ortam ihtiyaçları öngörülerek geliştirilen yazılım projeleri muharebelerin başlamasıyla birlikte yeni gereksinimleri ortaya çıkarabilecektir. geliştirme yöntemi ve oluşturulacak küçük yazılım ekipleri bu tür gereksinimlerin karşılanmasında iki önemli faktördür. Şekil 3 te harekat ve sayısal savaş ortamı için uygun olduğu düşünülen yaklaşım gösterilmiştir. Bu ortamda harekatın başlamasıyla birlikte ortaya çıkan yazılım gereksinimleri genel olarak üç grupta toplanmaktadır. Birincisi, barış zamanında önceden
geliştirilen yazılım projelerine ait yeni veya çeşitli güncellemelere ilişkin gereksinimler. İkincisi, tamamen yeni yazılım proje ihtiyaçlarıdır. Üçüncüsü ise sayısal ortam saldırılarıdır. Birinci gruptaki gereksinimlerde, mevcut proje dökümanları incelenerek ihtiyaca yönelik kısa süreli yinelemelerden oluşan bir çalışma takvimi oluşturulmaktadır. Yineleme sonucunda geliştiren modüller yazılıma entegre edilerek proje güncellenmektedir. İkinci grup gereksinimleri için önceden belirlenen ÇYG yöntemlerinden birisi doğrultusunda yazılım projesi geliştirilmektedir. Üçüncü grup gereksinimler, hizmetin engellenmesi (denial of service), kötü amaçlı yazılımlar, yemleme (phishing), yığın ileti (spam), şebeke trafiğinin dinlenmesi (sniffing, monitoring) ve çeşitli eloktronik harp uygulamaları sonucu ortaya çıkmaktadır [6]. Bu tür sayısal ortam saldırıları, Çevik Proje ve ÇYG yaklaşımını banimsemiş yazılım ekipleri tarafından ele alınmalıdır. Bu ekiplerde görevli personel yazılım geliştirme süreçlerinde olduğu kadar güvenlikle ilgili konularda da temel bilgi ve becerilere sahip olmaları gerekmektedir. Ayrıca ekipte yer alması düşünülen sayısal saldırı uzmanı ise: Bilgisayar ağları, telekominikasyon sistemleri ve bu sistemlerde kullanılan araç ve tekniklerde üst seviyede mühendislik bilgisine sahip olmalı, İkili sayı sistemi (binary), çevirici (assembly) dil ve yazılımla ilgili kaynak kod dili ile ağ ve iletişim protokollerinde uzman olmalı, Kötü amaçlı kullanım ve tersine mühendislik konularında, yazılımların zayıf ve hassas taraflarının tespiti ve karşı kullanımıyla ilgili uygulamalarda deneyimli olmalı, Ağ yetenekli sistemlerin geliştirilmesi, test ve değerlendirilmesi gibi konularda gereken becerileri gösterebilmeli, Sistem analizi, tasarımı, tanımlanması, yazılımın geliştirilmesi veya entegrasyonu devam ederken proje ekibine liderlik ederek yönlendirecek gerekli niteliklere sahip olmalıdır.
Harekat veya Sayısal Ortam Gereksinimleri Mevcut Proje Sayısal Saldırı Mevcut Proje Yeni Gereksinim Gereksinim Yineleme-1 Yineleme-2 Yineleme-n Çevik Geliştirme Ortamı Şekil 3. Harekat ve Sayısal Ortam İçin Önerilen ÇYG Yaklaşımı 6. SONUÇ VE ÖNERİLER Teknoloji ve sayısal ortamla ilgili baş döndürücü gelişmeler savunma teknolojileri ve stratejilerinde de dönüşüm sürecini başlatmıştır. Geleceğin orduları, klasik yapılanmadan ayrı olarak farklı harekat konseptlerini sayısal saldırı gibi asitmetrik tehditlerle beraber düşünmeli, insan ve sistem entegrasyonunu karmaşık harekat ortamını dikkate alarak gerçekleştirmelidir. Ağ destekli muharebe ortamı gibi farklı harekat ortamları, dinamik ve hızlı değişen bir yapıda olup ihtiyaçların tam ve zamanında karşılanmasını gerektirmektedir. Bu amaçla geliştirilen bilgi, komuta ve muharebe sistemlerine yönelik askeri yazılımlar genellikle uzun soluklu süreçleri içeren standart yöntem ve modellerle geliştirilmektedir. ÇYG, uzun süreli ayrıntılı modelleme ve tasarımın yerine ekip çalışmasına dayalı, yinelemeli ve arttırımsal yazılım geliştirmeyi benimseyen, ihtiyaç ve değişiklik isteklerinin zamanında karşılandığı bir yazılım geliştirme yöntemidir. Konuyla ilgili olarak bu çalışmada önerilen yazılım geliştirme yaklaşımında harekat ortamı ile sayısal ortam saldırıları birlikte ele alınmakta, yazılım ihtiyaçlarına yönelik olarak ÇYG nin standart yazılım gelitirme süreçlerine
entegrasyonu önerilmektedir. Gerçeğe uygun senaryolara dayalı ve farklı gereksinimlerin dikkate alındığı uygulama ve tatbikatlar yapılmalı, yazılım geliştirme süreçlerinin etkinlikleri çeşitli yöntemlerle karşılaştırılmalıdır. Deneysel yazılım mühendisliği çerçevesinde yapılacak bilimsel çalışmaların ÇYG yöntemlerinin etklinlik ve verimliliğine önemli katkıda bulunabileceği değerlendirilmektedir. KAYNAKÇA [1] S.R. Pressman. Software Engineering. McGaw-Hill, Inc. New York USA, (1992). [2] A. Cockburn. Agile Software Development, Addison Wesley.USA, (2000). [3] Larman C.. Agile and Iterative Development: A Manager s Guide, Addison Wesley. USA, (2003). [4] P. Abrahamson, O Salo., J. Ronkainen. Agile Software Development Methods, Julkaisija- Utkivare Publishers. Finland, (2002). [5] H.Ş. Albayrak ve R.O. Yıldırım. Siber Savaşlar ve Akıllı Otonom Savunma Çözümleri, Sayısal Ortamda Savaş Sempozyumu, 10 Aralık 2009-SSM, Ankara, Türkiye, (2009). [6] A. Yazıcı. Küresel Tehlike: Siber Savaş, Sayısal Ortamda Savaş Sempozyumu, 10 Aralık 2009-SSM, Ankara, Türkiye, (2009). [7] IEEE/EIA-12207. Standard for Software Life Cycle Processes- Implementation Considerations, (2008). [8] Koch A.S. Agile Software Development, Artech House, Inc. USA, (2005). [9] F. Paetsch. Requirements Engineering and Agile Software Development. http://ase.cpsc.ucalgary.ca adresinden 10 Ekim 2009 tarihinde alınmıştır, (2003). [10] K.B. Codur. Askeri Uygulamalarda Kullanılan Geliştirme Standartlarının Değişimi, Gelişimi ve Gelekle İle İlgili Tahminler. Yayınlanmamış Doktora Tezi, (2009).