TR-CERT/TR-BOME Hakkında Karalamalar...

Tübitak bir süre önce TR-CERT / TR-BOME (Bilgisayar Olaylarına Müdahale Ekibi) oluşturulması konusunda yetkilendirildi ve TR-BOME kuruldu. Kurulma aşamasında ve hemen sonrasında www.bilgiguvenligi.gov.tr adresinden Bilgi Güvenliği Kapısı yaşama geçirildi. Kurulma aşaması ile beraber TR-BOME için Bilgi Güvenliği Kapısı altında bir bölüm (Türkçe, İngilizce) açıldı ve bazı bilgileri paylaşıldı.

TR-BOME kurulduğu andan itibaren üretilen içerik olarak sadece www.bilgiguvenligi.gov.tr'den haberdarım, yazının bundan sonraki kısmını da ilgili site üzerinden ve e-posta listelerine gönderilen e-postalardan yola çıkarak hazırlıyorum. Yani bir başka kaynak var ise benim bilgim dahilinde değildir, dolayısıyla bilmeden yazmışımdır ve bu durum benim araştırma yapmamaktan kaynaklanan hatamdır.

TR-BOME için rekabet sıkıntısı, Tübitak'ın rekabet oyuncusu olmasından kaynaklanan sorunlar ve bağımsız kişilerin bu içeriğe destek vermesinin önündeki engelleri başka bir yazımda anlatmıştım. Bu nedenle aynı konuyu tekrar anlatmaya çalışmayacağım. Bu yazıda TR-BOME'nin yaptıklarını ve yapmadıklarını tartışmak istedim.

TR-BOME'nin web sayfasını incelediğimde "Hakkımızda" bölümünün, "Olay Bildirim Formu"nun ve Duyuru/Bildiri bölümlerinin içerik barındırdığını gördüm. Aklıma takılan aşağıdaki soruların cevaplarını site üzerinde bulamadım, yanılıyorsam yorumlarda bağlantı verebilirseniz sevinirim. Sıkça sorulan sorular bölümünde ise hiçbir soru/cevap görünmüyor, dolayısıyla orada da bir cevap bulamadım.

• TR-BOME'nin hakkımızda bölümünde gönüllülük esasına göre çalıştığı belirtiliyor. TR-BOME'nin kendi ekibinin varlığı, görev dağılımı ve ana görevlerde yer alan personel bilgisi açıklanmamış; kişi isimleri gizli ise sitenin içindeki yazılarda paylaşıldığını hatırlatırım.
• TR-BOME'nin gönüllülük esasında beklediği katkının ne olduğu ve bu konuda katkı sağlayanlara hangi imkanları sunabileceği belirtilmemiş. Konuların neler olduğu belirtilmeyince insanların nasıl gönüllü olması beklenir ? Konular kısmında ise siteye makale yazmak değil de araştırma yapmak, güvenlik standart belgeleri hazırlamak, etkinliklerde veya organizasyonda aktif katılım aklıma geliyor. Eğer bu konu açığa kavuşturulursa ikinci soru da katılım sağlanacak etkinliklerde yol-konaklama giderlerinin ve diğer masrafların karşılanıp karşılanmayacağıdır, birçok dernek bu tür katkıları sağlayarak gönüllülük esasındaki çalışmalara hız verebiliyor.
• TR-BOME'nin hakkımızda bölümünde belirttiği eğitim ve danışmanlık hizmetlerinin ücretsiz/ücretli olduğu belirtilmemiş. Sanırım soru sormadan bu konuda da cevap almak pek mümkün değil, kaldı ki kurum yöneticilerinin bu tür bilgilere dayanarak atacakları adımlar olacaktır ve birçoğu sadece sorular ile böyle bir bilgiyi alırken dahi vazgeçeceklerdir. TR-BOME, bilgi güvenliği konusunda hevesli ve çalışmaya hazır, sadece kendilerine rehber bekleyen bir müşteri/hedef kitle bekliyor ise çok yanılıyor. O insanlara birşeyler verebilmek için dahi çok fazla emek sarfetmek gerekir, zamanında çaba sarfettik tecrübe ile söylüyoruz.
• Eğitim ve danışmanlık hizmetlerinin koşulları, eğitmen/danışman bilgileri ve kurum tarafından sunulacak hizmetlerin ek şartları da belirtilmemiş.
  
• TR-BOME "Olay Bildirim Formu" hazırlamış, birçok açıdan çok güzel görünebilir ancak ortada "OLAY" tanımı dahi bulunmuyor. TR-BOME'ye göre "OLAY" tanımı nedir (Evet Incident yerine kullanılmış ama içinde ne var, mesela MSN çalınması kapsamda yer alıyor mu) ? Bildirim sonrasında atılacak adımlar nelerdir, insanlar neden böyle bir bildirimde bulunacaklar ?
• TR-BOME "OLAY" kavramı içine giren durumların sadece bildirim formu ile gelmesini mi beklemektedir ? Ulusal ve Uluslararası e-posta listeleri, güvenlik siteleri, günlükler ve basın gibi kaynaklarda takip ediliyor ve görev/ihbar kabul ediliyor mu ? Sonrasında atacağı adımlar ve aşamaların neler olduğu listelenmemiş.
• Kurulma işlemi sonrasında yapılan çalışmalar ile ilgili bir bilgilendirme raporu veya bildiri göremedim. Siteyi incelediğimde gördüğüm ise güvenlik sitelerinde olduğu gibi belge, makale ve klavuz hazırlamakla kısıtlı çalışmalar olduğu. Bazı çalışmaların olduğunu ise üstü kapalı bildirimler ile öğrendim, ancak gördüğüm kadarıyla şeffaflıktan sınıfta kalıyorlar.
• Olaya müdahale sırasında ve sonrasında elde edilen bilgileri ne tür bir gizlilik ile koruyorlar. Gizlilik prensipleri bölümünde "Bilgiler Güvenlik Politikasına Uygun Korunmaktadır" denmiş, lakin ortada bir güvenlik politikası varmı ? ilgilendiren bölümü paylaşılmış mı ?
• Tübitak'ın ağ güvenliği hizmeti satan/sunan bölümlerinin TR-BOME verilerine erişim imkanı bulunmaktamıdır ? Gizlilik prensipleri kurum içi gizliliği mi bölüm içi gizliliği mi kastetmektedir ?
  

Daha pek çok soru aklıma geliyor, eminim sizlerinde aklına çok şeyler gelmiştir. TR-BOME bizim çok şey beklediğimiz bir organizasyondur, bu nedenle yapılan çalışmaların sadece bir güvenlik sitesi açmak olması yeterli değildir. Güvenlik sitesine içerik beklerken dahi "Site yaptık, o zaman yazmamaları onların suçu" yaklaşımı da ayrı saçmadır, davet türü ve beklenen desteğin gelmesinin önündeki sorunların azaltılması gibi konular umursanmamakta mıdır ?

TR-BOME ile ilgili en önemli eleştirim ise devlet koruma kalkanına sahip tüm kurumlar gibi sorgulamaya ve şeffaflığa sonuna kadar kapalı olmalarıdır. Sitede yapılan çalışmalar, projeler veya araştırma raporlarına dair hiçbir şey bulunmuyor. Yukarıda ki sorular konusunda dahi ("Bilgi Edinme" bölümü var oradan girerseniz cevaplarız) yaklaşımını benimsemeleri bu durumun en somut göstergesi. Benzer bir organizasyon "ÖZEL" bir kuruma verilseydi şu ana kadar nasıl bir e-posta bombardımanı, araştırma raporları, çalışmalar ve içerik görürdük hayal edin.

TR-BOME ile ilgili gördüğüm tek basın bağlantısını da aşağıda paylaşıyorum. TR-BOME'nin kurulduğu, araştırmaları ve diğer çalışmalarının değil; sadece bir anti-virüs firmasından farksız olarak Virüs uyarısı göndermesi nasıl karşılanmalıdır ? Sanırım hepimiz bu tür duyuruların kendilerinin görevi olduğu konusunda hem fikiriz, bence garip olan TR-BOME'nin başka bir haberinin olmamasıdır.

TÜBİTAK'tan Virüs Uyarısı
http://www.hurriyet.com.tr/teknoloji/10882829.asp

Fatih Özavcı
IT Security Consultant Devamı

posted by Fatih Ozavci @ 3:19 PM Yorumlar: 0

TUBITAK, REKABET ve TR/Cert

Önceki hafta "Bilgi Güvenliği" posta listesine attığım bir e-posta ve sonrasında gelişen yazışmalar sonucu Tübitak konusunda birçok tartışma oldu. Tübitak konusunda ve TR/Cert'ün yerleşimi konusunda duyduğum çok sayıda rahatsızlığı ilgili e-postada belirtmiştim. Bu rahatsızlıkları paylaşmak ve Tübitak'ın davranışları hakkındaki endişelerimin neler olduğunu net olarak ifade etmek istedim. Daha sonra bir başka yazı da TR/Cert ile ilgili düşünce, öneri ve endişelerim için yazacağım.

Tübitak'ın Bilgi Güvenliği alanındaki çalışmaları konusunda birçok rahatsız olduğum nokta var; ancak bu durum Tübitak'ın yaptığı diğer olumlu işleri (Geliştirilen ulusal kriptolama altyapısı, araştırma/geliştirme çalışmaları, kamusal bilgi güvenliği çalışmaları, diğer projeler {pardus vb.}) beğenmediğim anlamına gelmiyor. Şu unutulmamalı; bir kurumu/davranışı eleştirirken tarafın güzel/beğenilen hareketlerini de listelemek gereksiz ve yersizdir. Evet güzel çalışmalar yapmış olabilir, bir kısmını takdir de etmekteyim; ama bu durum benim rahatsız olduğum noktalar ile ilintili değildir.

Gerçekler ;

• Tübitak, özel şirketlere bilgi güvenliği alanında denetim ve danışmanlık hizmetleri satmaktadır; yani bilgi güvenliği hizmet pazarının "REKABET EDEN BİR OYUNCUSUDUR".
• Tübitak bir kamu kuruluşudur, kamusal görevleri ve sorumlulukları bulunmaktadır.
• TR/Cert, Türkiye'nin ihtiyaç duyduğu ve bilgi güvenliği konusunda yaşadığımız birçok eksikliği giderebilecek organizasyondur.
  
• TR/Cert bir kamusal görev olarak değerlendirilmiş ve Tübitak bu doğrultuda yetkilendirilmiştir.
• Tübitak, Türkiye'nin tüm bilgi güvenliği uzmanlarını bünyesinde toplamamıştır; Türkiye'de özel şirketler için çalışan ve Tübitak'ın sahip olduğundan çok daha fazla bilgi güvenliği uzmanı bulunmaktadır.
  

Kamusal görev olan TR/Cert, bir rekabet unsuru olarak kullanılmasa dahi haksız rekabeti doğuracak bir olgudur. TR/Cert görevleri doğrultusunda kuruluşlara "güvenlik ihlali müdahale", "güvenlik bilinci arttırılması" ve "güvenlik organizasyonu yapılandırılması" konularında bedelsiz/kamusal hizmetler sunacaktır. Söz konusu hizmeti alan kuruluş çalışmalarını devam ettirmek, teknoloji ve hizmet yatırımı yapmak istediğinde ise izleyeceği bir yol olacaktır. Pazar oyuncularını (hizmet sağlayıcıları) davet edecek ve çözüm önerilerini, fiyatı içeren bir teklif dahilinde isteyecektir. TR/Cert'ün de içinde bir bölüm olduğu Tübitak'ın bir başka bölümü ise çalışmalarını ve fiyat teklifini bu kapsamda iletecektir. Bu durum dünyanın neresinde olursa olsun "HAKSIZ REBAKET" olarak değerlendirilir ve cezalandırılır.

Bu durum sadece rekabet rahatsızlığı yaratmayacaktır; TR/Cert'e destek vermek isteyen ve çalışma hayatını belirtilen "RAKİP" kurumlarda çalışan insanların geri adım atmasına neden olacaktır. Pazar rekabeti içinde bulunulan bir kuruma çalışmalarında "ÜCRETSİZ" yardım edilmesini beklemek ve böyle önemli organizasyonların desteklenmesini istemek ise en iyimser ifade ile "SAFLIK" olacaktır. TR/Cert'e belirtilen sebeple yardımcı olamayan/olmayan kişilerin, kar amacı gütmeyen bağımsız dernek ve kuruluşlarda yaptığı çalışmalar ise TR/Cert'e aktarılamayacaktır.

Yukarıda ki tanıma uyan, kamusal görev ve ticari rekabeti beraber devam ettiren çok sayıda kamu kuruluşu bulunmaktadır. Geçtiğimiz yıllarda belirtilen şartlardaki kamu kuruluşlarından bazıları özel şartlarla satılmıştır. Türk Telekom örneği düşündürücü ve çarpıcı örneklerden sadece biridir. Kamu görevleri icra eden, gelir elde eden ve alanında tekel olan Türk Telekom özelleştirildi. Özelleştirme süreci öncesinde PTT ve Türksat şirketlerine belirtilen kurumun görevlerinden bazıları aktarıldı; özelleştirmeye konu olan Internet altyapısı ve İletişim altyapısı halen ilgili kurumun hizmet verdiği alanda tekel olmasını sağlamaktadır. Kamusal görevler arasında yer alan "iletişim güvenliği" konusunda ise Askeri önlemler (özel bir iletişim altyapısı) ve kamusal önlemler geliştirildi.

Anlatılan koşullar çerçevesinde;

• TR/Cert'e sadece Tübitak (yeni/eski)çalışanlarının veya hizmet alan kurum bünyesindeki kişiler destek verecek; önemli bir danışman/denetmen/eğitmen kitlesi icraat esnasında (sözde olmasa bile) dışlanacaktır.
• TR/Cert ile Tübitak kendisine "Bilgi Güvenliği" çalışma alanı için "REKABET BOZAN" bir özellik kazandırmıştır.
• Tübitak'ın tamamen veya kısmen özelleştirilmesi söz konusu olduğunda (böyle birşey hayalidir, hatta kabusidir) ise zaten bozulmuş olan "REKABET", "ULUSAL BİLGİ GÜVENLİĞİ POLİTİKASI", "HİZMETTE ELDE EDİLEN BİLGİLERİN GİZLİLİĞİ" ve birçok prensip rahatsızlık uyandıracaktır.

TR/Cert'ün önemli zarar görmesi, ticari faaliyette bulunan Tübitak'ın geleceği, kamusal hizmet ile ticari faaliyetin karıştırılması dışında zararlarda vardır.

Özel şirketlerin hizmet aldıkları Tübitak; hizmet zararını göze alabilmekte, çalışanlarını farklı bütçeler altında eğitebilmekte ve çok sayıda çalışanı bünyesinde barındırabilmektedir. Bu durum maliyetlerin azalması, hizmet bedellerinin ve kalitenin zamanla düşmesi sonucuna da gidecektir. Belirtilen düşük maliyet ve zarar ise sadece sermayesi güçlü olan kurumlar tarafından kaldırılır; belirtilen örnekteki "BİLGİ GÜVENLİĞİ HİZMET/ÜRÜN PİYASASI" için sermaye rahatlığı içindeki tek kurum TUBITAK'tır. Zaman içinde küçük hizmet şirketleri, özel bir alanda hizmet sunmak için kurulan şirketler veya büyük oyuncular piyasadan silinecektir. Bu durumu görmek için pazar analizi yapılmasına gerek yoktur; oluşan Türkiye Internet altyapısı ve hizmet sunan kurumların durumu da incelenebilir. Müşteriler için başlangıçta "UCUZ" olan hizmet bir süre sonra kalitesiz, otomatize ve yetersiz olacak; zamanla oyuncular silindikçe ve tekel oluştukça "PAHALI" olacaktır. Pazardaki hizmet sunan küçük kurumların yok edilmesi ve hizmet kalitesinin yetersizliği sonrasında ise YABANCI kurumların Türkiye temsilciliklerinden hizmet alınacak; hatta "BU KONUDA ÇALIŞAN BİR TÜRK FİRMASI DAHİ YOK, HEPSİNİN KALİTESİ YERLERDE" denilebilecektir.

Özetle; TR/Cert kanaatimce sorunlu doğmuştur. TR/Cert gibi yıllarca kurulması için çaba gösterdiğimiz kurum, içeriğine sağlanacak katkılara engeller ile oluşturulmuştur. TR/Cert'ün Tübitak tarafından kullanılış tarzına bağlı olarak "REKABET BOZAN" yapısı ileride çok ciddi tehlikeler oluşturacaktır. TR/Cert'ün bünyesinden ayrılması durumunda dahi Tübitak'ın "REKABET İHLALİ" yaptığı noktalar bulunmakta ve kamusal fayda ile uyuşmamaktadır. Türkiye'nin bilgi güvenliği çalışma alanındaki "Araştırma/Geliştirme" yapan özel şirketlerin sayısının azlığı, hizmete (yabancı kökenli ürünlere değil) yatırım yapan hizmet/ürün sunan şirketlerin azlığı ve piyasada bulunan hizmet bedelleri incelendiğinde, gelecekteki tehlike daha net görülebilir. Halen birçok kurum bilgi güvenliği hizmetlerini -daha iyi oldukları gerekçesi ile- çok yüksek meblağlar ile yurtdışı kökenli -bünyesinde türk mühendislerini kullanan- firmalardan almaktadır.

Fatih Özavcı
IT Security Consultant Devamı

posted by Fatih Ozavci @ 1:22 PM Yorumlar: 1

Etik! Etik! Diyeni Meşe Odunuyla Dövmek

Bir su tesisatçısının etik olması söz konusu mudur ? Gelir, musluğu değiştirir ve gider. Musluğun bozuk olması, damlatması veya montajı sorunlu ise işini doğru yapmıyordur. Ama genel olarak muslukçuyu etik olmamakla suçlayamazsınız; sadece parasını verdiğiniz işi yapıp yapmaması ile yargılarsınız. Başka yerlerde muslukların veriminden, yeni modellerden ve kendisinin tercihlerinden bahsettiğinde "etik olarak yanlış, bir daha bu adama musluklarımı değiştirmeyeceğim" denmez, diyenini görmedim. Oysa doktorun yazdığı ilaçlar, seçtiği tedavi yöntemi, dene(k/y)leri ve ötanaziye bakışı önemlidir; kendinizi ona göre emanet edersiniz. Sadece muslukçu yoktur; tamirci, lastikçi, kapıcı ve manav vardır. Doktor da yanlız değildir, avukat, polis ve hatta çilingir de aynı kategoriye girebilir.

Meslek seçimini yaparken uyulması gereken kuralları veya genel kriterleri de bilmelisiniz. Bilgi güvenliği işi çok hassas dengeler üzerinde yürümektedir, atacağınız adımların güven/etik gibi kavramlar ile sorgulandığını görürsünüz. Bilgi güvenliği, çok sayıda kişinin çalışmak için seçtiği bir alandır ve kendine özel kriterleri vardır. Bu kriterler farklı alanlarda farklı isimler ile anılır; sonuçta sizin yaptığınız tüm hareketler ile beraber yargılandığınızı farkedersiniz. Yazdığınız makaleler,yaptığınız yorumlar, araçlar, dahil olduğunuz gruplar, arkadaşlarınız ve panellerdeki katılımınız başlıca incelenecek işlemlerdir. Böylece müşteriler en hassas bilgilerini size emanet edip etmemeye karar vereceklerdir.

Bilgi güvenliğindeki çalışma alanlarından birinde ise etik doruklarda gezer; sistem sızma denetimleri.Sistem sızma kavramını bilmeyenler için Penetration, Hacking, Ethical Hacking gibi kavramların yerine kullandığımı hatırlatayım. Eğer sistem sızma denetimi yapıyor iseniz ahlaki sorgulamalara daha çok maruz kalırsınız, kaldı ki Ethical Hacking dikkatinizi çekmiştir. Bu sorgulamanın nedeni ise denetmenlerin, hedef sistemde bir güvenlik açığını araştırması ve bu araştırma sonrasında bulguları müşteriye raporlamasıdır. Kötü olasılıklar ise açığın kullanımı ile bundan çıkar elde etmesi, bu açık ile övünmesi veya açığı kullanım içeride bir arka kapı bırakara sonrası için yatırım kararı alması.

Sistem sızma ve genel güvenlik ile ilgili işlerde, müşteriler tarafından yetkinliği algılamak adına sertifika sorgulaması yapılır. CISSP (Certified Information Systems Security Professional) ve CEH (Certified Ethical Hacker) sertifikaları beraberinde yukarıdaki bahsedilen etik kavramını asgari koşulları içinde anarlar. Aşağıda "Code of Ethics"ten yapılmış bir alıntı var.

---- ALINTI-----
Code of Ethics Canons:

• Protect society, the commonwealth, and the infrastructure.
• Act honorably, honestly, justly, responsibly, and legally.
• Provide diligent and competent service to principals.
• Advance and protect the profession.

---- ALINTI-----

Ülkemizde ise ilgili sertifikalara sahip olduğunu her fırsatta belirtmek isteyen, yazılarının altına ekleyen, hatta eğitmeni olan arkadaşlarımız söz konusu etik konusunda kafamda soru işareti oluşturan çok sayıda hareket yapıyorlar. Bir güvenlik açığını bulmak ve yayınlamak konusunda izlenebilecek yollar vardır; ancak bir kurumun kaynaklarının üzerindeki zaafiyetleri konuşurken -eğer yukarıda yazan gerçeklerin farkındaysanız- uymanız gereken kurallar vardır. İzlenebilecek olan yollar ile uyulması gereken kurallar arasındaki fark "etik zorunluluktur". Beni rahatsız eden hareketler ise tam bu konuda ortaya çıkıyor.


Etik olacağını, yaptığı hareketlerin onurlu olacağını "vaad eden" kişiler, özellikle bir kurumun kaynaklarındaki açığı kamuyla paylaşma lüksüne sahip değildir; açar aldığı sertifikanın referanslarını ve doğru yollardan birini seçerek çözüme kavuşturur. Yani özünde amaç güvenlik açığını barındıran kurumun zarar görmemesini sağlamaktır, ayrıca güvenlik açığının kapattırılması da amaç ise ortası bulunur. Genel kullanımı olan bir ürünün -Örnek Microsoft IIS- açığını tartışmak farklıdır, bir kurumun web sitesindeki sorunu tartışmak - Örnek Microsoft'un web sayfasında halen devam eden SQL sorguları değiştirme açığı- farklıdır. İkisini karıştırıyor iseniz, bir kurumun yüklenmemiş yamalarından bahsetmeye devam eder iseniz, kurumdaki yetkililerin bu konuda sahip oldukları birçok iş kuralı nedeniyle yaşadıkları sorunları görmezden geliyor iseniz; ETİK DEĞİLSİNİZDİR, başka birşeysinizdir. Kurumun ilgili açığı duyurmanızdan veya alenen tartışmanızdan göreceği zarar sizi ilgilendirmiyor yanılgısında olabilirsiniz; ancak yarın güvenliğini sağlamak/denetlemek zorunda kalacağınız kurum size bunların karşılığını sorabilir.

Etik olmak demek bir güvenlik açığını duyurmamak, hasır altı etmek, dünyayı toz pembe saymak değildir; -konuştuğumuz konu sınırlarında- güvenlik açığını kapatmak ve kurumun açığını gidermek noktasında, kurumun ve kamunun zarar görmemesini sağlamaktır. Açığı kapattırmak istiyor iseniz bunun nasıl yapılacağı üzerinde yazılmış çok şey bulunmaktadır; bir çıkış noktası olması adına sadece bir yolu içeren kişisel tecrübemi aşağıda paylaşıyorum. Birçok farklı yol, yöntem ve doğru olabilir; ama hedef kurumların ve kamunun zarar görmesini engellemektir. Bazen kamu ve kurum zararı çakışabilir, böyle bir durumda orta yolu bulmakta o kişinin asli görevlerinden biridir; kimse size bu işin kolay olduğunu söylemedi.


Bir Güvenlik Açığını Yayınlamak
http://www.bilgiguvenligi.org/2007/05/bir-gvenlik-yaynlamak.html

Fatih Ozavci
IT Security Consultant Devamı

posted by Fatih Ozavci @ 12:31 AM Yorumlar: 1