Sİber suç Sİber Casusluk SİBER SAVAŞ

... konulu sunumlar: "Sİber suç Sİber Casusluk SİBER SAVAŞ"— Sunum transkripti:

1 Sİber suç Sİber Casusluk SİBER SAVAŞ
Siber Riskler Sİber suç Sİber Casusluk SİBER SAVAŞ

2 Siber Risklerin Kaynakları
Silahlı Kuvvetler ve İstihbarat Örgütleri Kişisel Hackerlar ve hatta Sıradan Vatandaş Organize Suç Örgütleri, Mafya, Neo STK’lar

3 Siber Risklerin Kaynakları
Estonya ve Gürcistan olayları Estonya Estonya’nın başkenti Tallin’de Sovyetlerin dağılmasından sonra etnik Ruslar ve Estonya’lılar arasında gerilimler oluşmaya başladı. Gerilimin merkezinde Sovyet döneminden kalma bronz «Kahraman Kızılordu Askeri» heykeli bulunuyordu. 27 Nisan 2007’de iki taraf arasında çatışmalar yaşanması üzerine Estonya hükümeti heykelin kaldırılmasına karar verdi. Konu Rus medyasına ve Meclisi Duma’ya yansıyınca çatışmalar siber uzaya taşındı. Tüm Estonya, bankaları, kamu kurumları ve özel sektörüyle çalışamaz hale geldi. Konu Kuzey Atlantik Konseyine taşındı.

4 Siber Risklerin Kaynakları
Estonya ve Gürcistan olayları Estonya Kuzey Amerika ve Avrupa’nın Internet Güvenliği uzmanları yardıma koştular. Rusya hükümeti yapılan saldırıların durdurulması ve sorumluların yakalanması yönündeki tüm diplomatik başvuruları reddetti. Bu Dünya’da Siber Savaş için devlet ve mafya işbirliğinin en önemli örneklerinden biri olarak kabul edildi. Yaşananlardan yola çıkarak Nato merkezi Tallin’de bulunan Siber Savunma Merkezi kurdu.

5 Siber Risklerin Kaynakları
Estonya ve Gürcistan olayları Gürcistan 1993 yılında Sovyetlerin dağılmasından sonra kurulan Gürcistan, toprakları içerisinde yer alan Güney Osetya ve Abhazya’yı Rusya destekli isyancıların çabaları sonucu terketmek zorunda kaldı. 2008 yılının Tammuz ayında Gürcistan Güney Osetya’dan topraklarına yapılan saldırıları gerekçe göstererek Güney Osetya’nın başkentini bombaladı. 7 Ağustos’ta ise bölgeyi işgal etti. Ertesi gün Rus ordusu karşı saldırıya geçerek Gürcüleri bölgeden dışarı attı. Rus ordusu yanında Rus Siber Savaşçıları da karşı saldırıya geçtiler. Gürcistanlı kullanıcıların CNN ve BBC sayfalarına erişimlerini engellediler.

6 Siber Risklerin Kaynakları
Estonya ve Gürcistan olayları Gürcistan Gürcistan Internet’e Rusya ve Türkiye üzerinden geçen fiber hatlarla bağlıydı. Saldırılar da bu ülkelerden geliyordu. Hacker’lar buralardaki routerları ele geçirdiler. Gürcistan Rusya’dan gelen trafiği blokladı. Ancak bu kez Ruslar Çin üzerinden saldırmaya devam ettiler. Ruslar bu saldırılarda komuta kontrolü Moskova’da bulunan ve uç sistemleri Kanada, Estonya ve Türkiye’deki kullanıcı bilgisayarlarına bulaşmış olan Bot’lari kullandılar. Gürcü bankaları çalışamaz hale geldi. Özellikle Avrupa’daki bankalarla Interbank ilişkileri durunca ekonomik tedirginlik daha da arttı.

7 Siber Risklerin Kaynakları
Estonya ve Gürcistan olayları Gürcistan Ruslar Gürcü karşıtı siteler üzerinden yeni botnet uç sunucuları dağıtarak saldırının boyutunun daha da fazla büyümesini sağladılar. Batı ilk kez saldırıların kaynağının Rus İstihbarat Örgütlerine ait sunucular olduğunu tespit etti. Yine saldırıdan sonra başta Kuzey Avrupalıların desteklediği bir konsorsiyum, Romanya ile Gürcistan arasında Türkiye ve Rusya’dan geçmeyen, buna karşın Karadeniz’i baştan başa geçen yeni bir fiber altyapısı kurmaya giriştiler. Bu fiber şu anda aktif olarak kullanılmakta.

8 Siber Suçlar

9 Siber Suçlar – Türkiye’de Durum
Güvenlik sızmaları ile ilgili saldırı sayısı yüksek olmasına rağmen saldırıların ortalama kalitesi düşük. Saldırılar çoğunlukla fazla teknik bilgiye sahip olmadan Internet üzerinden indirilen yazılımlarla gerçekleşiyor. Servis sağlayıcılara yurt içinden gelen çok sayıda saldırı var. Sayının fazla olması gerçek riskleri ayırmada sorun haline dönüşebiliyor.

10 Siber Suçlar – Türkiye’de Durum
Botnet’ler açısından bakıldığında ise Türkiye tam bir cennet. Türkiye’de bu kadar Bot bulaşmış makina olması hem ulusal bir risk hem de bizi diğer ülkelere yapılan saldırılarda bir araç haline getiriyor. Gürcistan olayında saldırının ciddi bir kısmı Türkiye’den kaynaklanmaktaydı.

11 Siber Suçlar – Türkiye’de Durum
Üç kullanım türü Türkiye için riskler oluşturmaktadır : Gerek gelir seviyesinin düşük olduğu yerlerde gerekse güvenlik bilincinin azlığı sebebiyle, bina içi ADSL paylaşımı Wifi imkanı olan ADSL Modem cihazlarında şifreleme yapılmaması veya şifrelerin fabrikadan çıktığı gibi bırakılması Yasalar emretmesine rağmen, «Ticari olmayan erişim sağlayıcılar», kafeler, restorant ve benzerlerinde gerekli loglama işlemlerinin yapılmıyor olması

12 Siber Suçlar – Türkiye’de Durum
Siber Suçlarla Mücadele’de Türk Hukuk Sisteminin ihtisaslaşma merkezli olmaması, sonuç almakta büyük zaaflar yaratıyor. Mahkemelerin tespit kararları vermeleri bile günler, aylar alabiliyor. Bu süre içerisinde zaten önemli ölçüde hasar verilmiş olabiliyor.

13 Siber Suçlar – Türkiye’de Durum
Siber Suçlarla mücadele eden ekiplerin sayısının azlığı, soruşturmaların derinlemesine yapılmasını engelliyor. Derinlemesine yapılmayan soruşturmalar, profesyonel saldırganları cesaretlendiriyor.

14 Siber Suçlar – Türkiye’de Neler Yapılmalı
Bireysel kullanıcıların ve kurumların Internet Güvenliği konusundaki bilgi ve algılarının artırılması için BTK tarafından ivedilikle bir kampanya başlatmalıdır. Yıllardır birçok alan için söylenmesine rağmen ülkemizde ihtisas mahkemelerinin kurulması sağlanamamış olmasından yola çıkarak Yargı sisteminde eğitim düzeyi artırılmalıdır. Hukuk Fakültelerinde Bilişim Suçları konusunda eğitim güçlendirilmelidir. Soruşturma yapan organlara teknik destek için en azından Bilişim tarafında «kurumsal özel sektör soruşturma organizasyonları»nın önü açılmalı, hukuki temelleri oluşturulmalıdır.

15 Siber Suçlar – Türkiye’de Neler Yapılmalı
Acil Tespit ve Müdahale Gücü oluşturulması Bilişim suçları ışık hızıyla oluşmakta hatta geride bıraktığı izler de ışık hızıyla ortadan kalkmaktadır. Bunların tespiti, önlenmesi ve cezalandırılması da aynı hızda hareket edilmesini gerektirmektedir. Böyle bir yapılanma hem İşletmeciler, hem de TİB/BTK nezninde bazı yapıların oluşturulmasını da gerektirmektedir.

16 Siber Suçlar – Türkiye’de Neler Yapılmalı
Botnet’lerle Mücadele Botnet’leri tespit eden yazılımların bulunduğu bir site açılmalıdır. Almanya’daki örneği tekrarlamak yeterli olacaktır. İşletmecilerin kendi kullanıcılarının Botnet yazılımı bulaşmış makinalarını tespit etmesi , öncelikle bloklaması ve daha sonra bildirim ile tamizlenmesini sağlaması da zorunlu bırakılmalıdır. İşletmecilerin büyük çapta saldırılar durumunda kısa sürede (saniyeler mertebesinde) binlerce blok işlemi yapabilir yetkinlikte olması zorunlu hale getirilmelidir.

17 Siber Suçlar – Türkiye’de Neler Yapılmalı
Uluslararası Operasyon ve Suçlarla Mücadele Bilimsel bilgi birikimi sağlaması açısından bir üniversite çatısı altında «Ulusal Siber Güvenlik Akademisi» kurulmalı bu yapı ile botnetlere öncelikli olarak sızma, komuta ve kontrol sistemlerini çözme ve komuta edenleri tespit etme konusunda ihtisaslaşması sağlanmalıdır. Uyuyan Botnet’leri ile ilgili olarak İşletim Sistemi üreticileri ile işbirliği yapılmalıdır. Emniyet’in Bilişim Suçları bölümü ve TİB uluslararası işbirliklerini artırmalı, çok ülkeyi ilgilendiren operasyonları gerçekleştirme yetenekleri geliştirilmelidir.

18 Siber Suçlar – Türkiye’de Neler Yapılmalı
Istanbul Internet Değişim Noktası İleriki bölümde detaylı olarak incelenecek Ancak kurulması ve geliştirilmesi ile siber suçların tespiti kolaylaşacak, etkinliği azalacaktır. İçerik Türkiye’ye geri dönecek ve Türk Siber Uzayının hukuki şemsiyemiz altına girmesi ancak böyle mümkün olacaktır. Sürmekte olan siber çatışmaların gerçekleştiği muharebe alanını oluşturacak olan Internet Değişim Noktası, muharebe alanının kontrolü açısından kritik öneme sahip olacaktır.

19 Siber Casusluk

20 Siber Casusluk – Türkiye’de Neler Yapılabilir?
Türkiye’nin siber casusluk açısından risk envanteri çıkarılmalıdır. Risk Envanteri için Altyapı, Donanım, Yazılım açısından tasnif yapılmalıdır. Risk envanterini ele alarak gerek bilgilendirme, gerek sertifikasyon, gerek kaynak kodunun denetlenmesi, gerek Elektromanyetik inceleme ile güvenlik kriterlerini yukarı çekmelidir.

21 Siber Casusluk – Türkiye’de Neler Yapılabilir?
İstanbul Internet Değişim Noktası Konu ileriki bölümlerde daha detaylı olarak incelenecektir. Siber Casusluk ve Siber Karşı Casusluk açısından nasıl kendi elimizle böyle stratejik bir imkanı engellediğimiz ayrı bir araştırma konusudur. Durum bıkmadan usanmadan tüm taraflar nezninde anlatılmalıdır.

22 Siber Savaş

23 Siber Savaşın Gerçekleri
Siber Savaş Gerçektir Farkında olmamız gereken ilk şey tarafların henüz en güçlü siber savaş yöntemlerini ortaya koymadıklarıdır. Asıl olan herkesin bildiği, medyada konuşulan saldırılar değildir. Sızılan sistemler gizlidir. Siber savaş açısından sızılmış sistemleri ulu orta duyurmak saldıran tarafın asla yapmayacağı bir hatadır. Sızılmış ise sessiz kalacak ve bekleyeceklerdir. Bu sebeple güvenlik açısından DDoS tuzağına düşülmemelidir. Önlemler DDoS yanında asıl sızmaları önlemek için alınmalıdır. Siber Savaş bilişim ve iletişim altyapısı güçlü, modern bir ülkeyi mahfedebilir. Estonya ve Gürcistan olayları ancak genel siber savaş olarak tanımlanabilir. Diğerleri münferit olaylar kısıtlı cephelerde gerçekleşmiştir.

24 Siber Savaşın Gerçekleri
Siber Silahlar Karşı Tarafı Işık Hızında Vurmaktadır Saldırı paketleri, uluslararası dev fiber Internet şebekelerinden ışık hızında geçmektedir. Eğer Siber Saldırılar için önceden alınmış bir önleminiz yoksa saldırı başladığında herşey için çok geçtir. Eğer saldırıdan değil, yıkıcı sonuçlarından haberdar oluyorsanız şaşırmayın.

25 Siber Savaşın Gerçekleri
Siber Savaş Küreseldir. Siber Savaş da, karşı savaş da küresel yapıdadır. Siber Savaşın silahları daha önceden elegeçirilmiş sunucular ve kişisel kullanıcıların makinalarıdır. Küresel savaşı gerçekleştiren tim ve takımlarında kendi ülkelerinde yerleşik olmaları gerekmez. (Örneğin Kuzey Kore’nin Güney Kore’ye saldırılar düzenleyen «Lab 110» biriminin Çin topraklarında Dandong şehrindeki Şanghay otelinin 4 katında yerleşik olduğu ve operasyonlarını bir süre buradan gerçekleştirdiği tespit edilmiştir) Siber savaş için küresel işbirlikleri, beklenmeyen koalisyonlar sürpriz olmamalıdır.

26 Siber Savaşın Gerçekleri
Siber Savaş, Geleneksel Savaştan Öncedir. Eğer ortada bir geleneksel savaş riski varsa, siber savaş geleneksel savunma sistemlerinin, hava savunma radar ve füzelerinin, deniz kuvvetlerinin ve diğer kritik sistemlerin çökertilmesi için kullanılmaya başlanmıştır bile. Geleneksel savaş öncesi siber savaş yıllar önce başlatılmış olabilir. Örneğin İsrail’în kısa süre önce Türkiye Hava Sahası üzerinden gerçekleştirdiği Suriye’deki Nükleer Tesis İnşaatına yönelik saldırı öncesi, İsrail timlerinin Suriye’nin Rusya’dan aldığı Radar Sistemlerinin yazılımlarına daha Rusya’da iken sızarak önlem aldıkları ve Suriye Hava Savunma Sistemini saldırı sırasında körelttikleri iddialar arasındadır.

27 Siber Savaşın Gerçekleri
Siber Savaş Çoktan Başladı. Önümüzdeki dönemde siber çatışmaların kaçınılmaz olduğunu bilen ülkeler çoktan siber savaşı başlattılar. Siber savaş bütün yoğunluğu ile etrafımızda gerçekleşiyor. «Klasik Barış» döneminde taraflar birbirlerinin açıklarını tespit ediyor, tuzaklar, açık kapılar, lojik bombalar yerleştiriyor, savunma sistemlerine sızıyor, hatta tüm sistemlerde kullanılan microchiplere arka kapılar yerleştiriyorlar. Bu şekilde savaş ve barışın birbirine karışması, dünyayı «Soğuk Savaş» dönemine benzer bir istikrarsızlık ortamına sürüklüyor.

28 Siber Savaşın Gerçekleri
Sorular Siber Savaş tamamen veya kısmen kinetik savaşın yerini alacak mı? ABD’nin «Siber Saldırıları», «Kinetik Savaş» sebebi sayacağı söylemi ne kadar gerçekçi? Bir «Siber Savaş» durumunda ABD en büyük saldırıyı gerçekleştirecek taraf olsa da, en büyük hasarı alan taraf da olabilir mi? Bu büyük hasar küresel bir yıkım getirebilir mi? Çin ve Hint orijinli akademisyenlerin ve mühendislerin ABD’deki büyük etkinliği aynı zamanda Siber Güvenlik Riski oluşturuyor mu? Siber Savaş için ABD, İsrail, İngiltere, Rusya, Çin, Hindistan, Kuzey ve Güney Kore, Japonya’nın çalıştıklarını biliyoruz. Ya İran, Endonezya, Malezya, Gürcistan, Ermenistan, Güney Afrika ve bazı ulusal ve uluslararası örgütlerin desteği ile Global Terör Örgütleri?

29 Siber Savaşın Türkiye Gerçekleri
Devlet – Ne Yapılmalı? Bugüne kadar Türkiye’de bir «Internet Değişim Noktası» - IXP kurulması için insiyatif alınamamıştır. Oysa IXP’ler son 15 yıl içerisinde hızla gelişerek ülkeler için vazgeçilmez stratejik değerler haline gelmişlerdir. Özellikle Avrupa’da Alman IXP’si DE-CIX, Hollanda IXP’si AMS-IX, ve İngiliz IXP’si LINX köşe başlarını tutmuş durumdadırlar. Yukarıda adı geçen IXP’ler kendi ülkelerinin trafikleri için değişim noktası olduğu kadar aynı zamanda bölgesel değişim noktaları da olmuşlardır. Bu 3 IXP’nin herbirinden saniyede 1 Terabit ve üzeri trafik geçmektedir.

30 Siber Savaşın Türkiye Gerçekleri
Devlet – Ne Yapılmalı? Avrupa’da Frankfurt’un doğusunda büyük bir IXP oluşmamıştır. Ancak tarafların bu konudaki gönülsüz tavrı, gerek bilgi güvenliği, gerekse istihbarat açısında büyük stratejik avantajlar sağlayacak bir «İstanbul Internet Değişim Noktası» yerine diğer operatörlerin gelişimini engellemek adına Sofya ve Budapeşte’deki IXP’lere girilmesi stratejisine göz yummak olmuştur. Yukarıdaki sebeplerle Türkiye’deki kurum ve kuruluşların, hatta belediye ve diğer yerel yönetimlerin içeriklerini Almanya’da, Hollanda’da bulundurmaları olağan hale gelmektedir. Bu da siber espionaj ve bilgi güvenliği risklerini katlayarak artırmaktadır.

31 Siber Savaşın Türkiye Gerçekleri
Devlet – Ne Yapılmalı? Hollanda Başbakanı Balkanende, Amsterdam’daki Internet Değişim Noktası AMS-IX gezisi sırasında «AMS-IX Hollanda için stratejik bir değerdir» demiştir. Balkanende’nin görüp de bizim göremediğimiz, Ortadoğu gibi karmaşık bir bölgede stratejik avantajları önemsemeyen anlayış kendi içeriğimizi, dolayısıyla kısmi istihbaratımızı kendi elimizle trafiğin geçtiği yol boyunca (Bulgaristan, Yunanistan, Sırbistan, İtalya, Macaristan, Avusturya, Almanya ve Hollanda’ya hediye etmek değil midir?

32 Siber Savaşın Türkiye Gerçekleri
Devlet - Neler Yapılmalı? İster BTK içerisinde, ama tercihan daha teknokrat bir yapıda, isterse BTK dışında «Ulusal Bilgi Güvenliği Akademisi» tarzında bir ihtisas yapılanmasına ihtiyaç vardır. Bugün ABD’de toplam olarak kişinin siber güvenliğin sadece bir alt parçası olan «Malware/Spyware» konusunda çalıştığı bilinmektedir. CIA tarafında yıllar önce In-Q-Tel adıyla bir Venture Capital firması kurulmuş ve 100’e yakın arge firması bu fonlarla desteklenmiştir. Örneğin ABD’nin kamu kuruluşlarında «Malware/Spyware» ile uğraşan sistemler geliştiren firmalarından Fireeye bir In-Q-Tel yatırımıdır. Benzer bir yapıya Türkiye’de de ihtiyaç vardır.

33 Siber Savaşın Türkiye Gerçekleri
Devlet-Neler Yapılmalı? Ulusal Bilgi Güvenliği Akademisi Neler Yapmalı Ulusal iletişim güvenliği politikalarını belirlemeli Malware/Spyware ile savaşmak için en az 100 kişilik bir ekip oluşturmalı Stratejik noktalarda kullanılacak olan ekipmanların ve sistemlerin bilgi güvenli denetim ve sertifikasyonların, gerekirse bunların kullanıldığı noktalarda sürekli denetim yapmalıdır. Genel ulusal güvenlik politikası gereği olarak Siber Saldırıların kaynaklandığı başlıca ülkeler olan, Moldova, Beyaz Rusya, Gürcistan, Kuzey Kore, Çin, Bulgaristan ve Romanya gibi ülkelerden kaynaklanan Internet trafiklerini sürekli denetim altında tutmalı

34 Siber Savaşın Türkiye Gerçekleri
Devlet-Neler Yapılmalı Ulusal Bilgi Güvenliği Kurumu/Akademisi Neler Yapmalı Ulusal olarak yüksek hızlı Network İşlemcileri üzerinde en azından yazılım geliştirecek bir ekip kurarak veya özel sektörü destekleyerek yerli «Deep Packet Inspection» sistemi geliştirilmesini sağlamalıdır. Özellikle bu konu «yerli tank», yerli savaş uçağı» gibi projeler kadar önemlidir. Kamu tarafında bilgi güvenli denetimi yapılmalıdır. Özel sektörde bilgi güvenliği bilincini oluşturacak aktiviteler gösterilmelidir.

35 Siber Savaşın Türkiye Gerçekleri
Bilgi Teknolojileri ve İletişim Kurumu-Neler Yapılmalı İstanbul Internet Değişim Noktası kurulması desteklenmeli ve bölge ülkeleri için bir çekim noktası oluşturulması sağlanmalıdır. Sadece rekabetin önlenmesi için Avrupa’da sadece 3 ülke hariç (Lichtenstein, Monaco, Bosna-Hersek) her ülkede bulunan IXP’lerin Türkiye’de kurulmaması, hele ki Bulgaristan IXP’sinin desteklenmesi önümüzdeki yıllarda tarihin yazacağı önemli bir eksiklik/dar görüşlülük olacaktır.

36 Internet Değişim Noktaları (Internet Exchange Point –IXP)

37 Internet Değişim Noktası
NEDİR ? Internet Değişim Noktaları (IXP), Internet Servis Sağlayıcıların (ISS/ISP) kendi aralarındaki trafiği, bir transit taşıyıcı olmaksızın birbirlerine aktardıkları sistemleri içeren fiziksel altyapıdır. Bu altyapı genelde bölgenin en güçlü veri merkezinde bulundurulur. IXP’ler ISS’lere hız, yedeklilik ve en önemlisi maliyet avantajı sağlarlar. IXP’ler genellikle ISS’lerin bir araya gelmesi ile kar amacı gütmeyen organizasyonlar olarak kurulmaktadır. 2009 sonu itibarıyla Avrupa’nın 33 ülkesinde 121 IXP bulunmaktadır. Londra’da LINX, Frankfurt’ta DE-CIX, Amsterdam’da AMS-IX bölgenin 3 dev IXP’sidir. IXP bulunmayan ülkeler Arnavutluk, Bosna Hersek, Sırbistan, Lichtenstein gibi küçük veya serbestleşmemiş ülkeler ve Türkiye’dir.

38 Mevcut Telekom Altyapısı
Yabancı Veri Merkezi

39 Internet Değişim Noktası
Büyük IXP’ler genellikle finans ve lojistik merkezlerinde oluşmaktadır. Uluslararası telekom operatörleri güçlü veri merkezlerinin ve büyük IXP’lerin bulunduğu yerlere gelmektedirler. Romanya’da NXData adlı veri merkezinde 120 uluslararası operatör ve bölgenin önemli ISP’si bulunmaktadır. Büyük IXP’lerin bulunduğu yerler bilişim sektörü için de bir çekim noktası oluşturmaktadır. Cisco benzeri firmalar Avrupa’daki en önemli noktasını AMS-IX’in civarına kurmuştur.

40 Internet Değişim Noktası
Türk Telekom, LINX, AMS-IX, ve DE-CIX’e (Londra, Amsterdam ve Frankfurt’taki IXP’lere) doğrudan bağlıdır. Türkiye’de 7 servis sağlayacının birlikte kurmakta olduğu TNAP adlı IXP henüz başlangıç safhasındadır ve desteklenmelidir. Telekom İşletmecilerimizin, ulusal bir IXP’ye katılımı ülkemizin sosyo-ekonomik yapısını ve ticari faaliyetlerini geliştirmek açısından son derece kritiktir. Batı’daki büyük IXP’lere gidildiğinde hem IXP’lerin bulundukları ülkelere hem de kullanılan fiber güzergahı boyunca geçilen ülkelere karşı bilgi gizliliği zaafiyeti oluşmaktadır. Türkiye’ye henüz çok az sayıda telekomünikasyon işletmecisi kendi fiber altyapıları ile gelmiştir. Oysa bu Bulgaristan’da 50+, Romanya’da 100+ işletmeci hizmet vermektedir.

41 Dünyada Durum - Peering
1990’ların neredeyse başlarında başlayan peering hareketi 20 seneye yakın bir süredir gelişimini devam ettirmektedir. Dünyada 150 kadar noktada degisim yapılmaktadır.

42 Internet Değişim Noktası
TÜRKİYE’DE GÜÇLÜ BİR IXP OLMASIYLA... Büyük Telekom İşletmecileri Türkiye’ye gelecekler. Maliyetlerin düşmesi, içeriğin zenginleşmesini sağlayacaktır, Yurtdışındaki içerik ülkemize geri dönecek. MSN, Facebook, YouTube, Google gibi global fenomenler Türkiye’de de altyapı kuracaklar. Türkiye’de de kurulan bu altyapılar bu kurumlara yönelik vergi yükümlülüğü ve denetim imkanı oluşturacak. Jeopolitik konumuyla Türkiye, Balkanlar, Ortadoğu ve Kafkaslar’ın doğal IXP noktası olacak. Zaman içerisinde Çin ve Hindistan’ı Avrupa’ya bağlayan fiber altyapılar Rusya ve Süveyş-Hint Okyanusu güzergahı yerine Türkiye üzerine kayacak. Sayısı artan alternatif fiber güzergahları diğer ülkelerin dinleme faaliyetlerini zorlaştıracak.

43 Internet Değişim Noktası
TÜRKİYE’DE GÜÇLÜ BİR IXP OLMASIYLA... Türkiye’nin, bilişim hizmetlerini sağlayan dış kaynak (outsourcing) ülkesi olması kolaylaşacak. Bilgi güvenliği ve gizliliğinin korunmasında (istihbarat ve karşı istihbarat) avantaj Türkiye’ye geçecek. Veri Merkezleri güçlenecek ve çoğalacak, yeni nitelikli işgücü istihdamı artacak. Başta bilişim, finans ve lojistik olmak üzere global firmalar Türkiye’ye daha fazla yatırım yapacaklar. Hindistan ile Avrupa’ya yönelik bilişim hizmeti üretmek (başta outsourcing) için işbirliği fırsatı oluşacak. Türkçe içerik bölgedeki diğer ülkelerde yaşayan insanlara daha kolay ulaşacak. Türkiye’nin kültürel etkisi Internet ortamında da artacaktır.

44 Veri Merkezleri ve Barındırma Hizmeti
Türkçe içerik yurtiçi ve yurtdışındaki birçok veri merkezinden yayınlanmaktadır. Türkiye’deki veri merkezi endüstrisinin yeterince gelişmemiş olması ve maliyet faktörleri içeriğin büyük kısmının yurtdışına kaçmasına yol açmaktadır. Tahmini olarak Türkçe içeriğin %55-65’i yurtdışındadır. Almanya’daki kullanıcıların ülke dışına giden trafiği 600 Gbit gibi bir seviyede iken Türkiye’nin bağlantıları Gbit seviyesindedir. Internet penetrasyonu çok daha yüksek olmasına rağmen Almanya’nın trafiğinin Türkiye’ye oranla düşük olması güçlü VMleri ve IXP’ler ile içeriğini kendi ülkesinde tuttuğunun göstergesidir. Ayrıca Google, MSN, YouTube, Facebook gibi globalleşmiş hizmetler de altyapılarını güçlü Alman VM’lerini kullanarak tüketicilerine ulaştırmaktadır.

45 Veri Merkezleri ve Barındırma Hizmeti
Yukardaki hedef gerçekletirildiği takdirde, Türkiye, bilgi güvenliği, uluslararası ekonomik istihbarat, vergi ve işletmelerin rekabet gücü açısından büyük avantajlar sağlayacaktır.

46 Fırsatlar Türkiye’nin stratejik konumu, Veri Merkezi kurulması ve potansiyel Türkiye’ye çekilmesi için çok büyük bir fırsattır. Türkiye’de IXP (Internet Exchange Point – Internet Değişim Noktası) kurulması Türkiye’ye rekabet avantajı sağlayacaktır.

47 Fırsatlar Frankfurt – Istanbul ~3000 km Frankfurt – Mumbai ~15000 km
Hindistan yazılım ve IT hizmetleri bakımından dünyada en çok ihracat yapan ülkelerden biri konumundadır. Hindistan insan gücü bakımından avantajlı olmasına rağmen mesafeden ötürü veri gecikmesi konusunda dezavantaja sahiptir. Türkiye stratejik konumu gereği veri merkezi konusunda ciddi bir avantaja sahiptir. Türkiye stratejik konumu sayesinde, Avrupa ve Ortadoğu pazarında IT outsourcing için iyi bir adaydır.

48 Yeni Nesil Siber Güvenlik Sensörü SGTaaM AnelArge – Grid Ortak Projesi
Aralık 2012

49 SGTaaM’ın Başlatılma Gerekçeleri
Gelişmiş siber saldırıların sayısındaki artış ve yaşanan olaylar, Mevcut siber güvenlik ürünlerin gelişmiş siber saldırıların tespitinde ve önlenmesinde yetersiz kalması ve yeni nesil siber saldırı algılama ve müdahele ürünlerinin geliştirilmeye başlanması, Savunma, finans, telekom, enerji gibi ulusal kritik altyapılarımız ve ulusal güvenliğimiz için Milli ürünler, Farklı kurum veya operatörlere ait ağ cihazlarının gerçek zamanlı birbirleriyle otomatik koordinasyon kurma ve müdahele Daha yüksek ağ durum farkındalığı için Gbps ağ hızında gömülü sistem olarak tasarlanmış siber sensörler,

50 Projenin Amacı Yeni nesil saldırı tespiti için;
örüntü ve imza eşleştirmesi, protokol analizi ve anormallik tespit metodlarını bütünleşik olarak çalıştırabilen bütün bunların gerektirdiği performans için çok çekirdek işlemci mimarisini içeren gömülü bir sistem olarak geliştirilecektir. Ağ üzerinde belirli protokollere ait veya şüpheli görülen trafiğin sonradan analiz edilebilmesi için ağ disklerine aktarımı sağlanarak zamana yayılmış veya 0.gün gibi gelişmiş siber tehditlerin ve saldırıların deşifresi mümkün olacaktır

51 Dünyadaki Eğilimler Gartner araştırma raporlarına göre bugün pazarın sadece %1'inin yeni nesil ağ cihazlarıyla korunduğu, ama sonunda piyasadaki saldırı tespit ve önleme (IDS/IPS) ürünlerinin %20'sinin yeni nesil cihazlar olacağı, Checkpoint, IBM, McAfee, HP TippingPoint ve Fortinet gibi firmaların ürünleri 2010'dan sonra çıkarmaya başlamış, yeni nesil güvenlik pazarını hedefleyen Sourcefire, Corero Network Security, Palo Alto Networks gibi yeni kurulan firmalar da bu pazara giriş yapmaya başlaması. Gbps arası hızda çalışan bu cihazların satış fiyatı USD arasında değişmekte olup tamamı ithal edilmektedir. Farklı firmaların ürünleri birbirleriyle koordineli olarak çalışamamakta, dolayısı ile DDOS, Botnet ve APT gibi gelişmiş saldırılara karşı savunma sağlanamamaktadır.

52 Fonksiyonel Mimari

53 Fiziksel Mimari ve Bileşenler
Paket Yakalama ve Birleştirme NAPATECH Akıllı Ağ Bağdaştırıcısı Saldırı Tespit Sistemi SNORT veya Suricata Kompleks Olay İşleme Tam Paket Analizi Gömülü Sistem Altyapısı TİLERA TILE-Gx36TM çok çekirdek işlemcisi ve Geliştirme Plaformu

54 Tilera GX SGTaaM Ağ Bağlantı ve İşlemci Kartları Napatech 4x10GbE
iMesh, mPipe, MiCa Core #: Uygulama Protokol Tespiti ve Sınıflaması Ağ Bağlantı ve İşlemci Kartları Napatech 4x10GbE 40GbE Paket Yakalama ve Analizi Napatech Software Suite PF_RING Trafik Filtreleme ve Akış Dağıtımı Threaded NAPI Core #: Uygulama Protokol Çözümü - PCIe Kontrolcüsü (200 Gbs) - Zero-copy DMA - Zero-Copy BPF -Libzero for DNA - Frame Buffering - Cache Optimization Core #: İmza Temelli Saldırı Tespit Sistemi Core #: Anomali Tespit Sistemi Core #: DNS Temelli Malware Trafik Analizi Core #: DDS ve CEP Core #: Şüpheli Trafik Birleştirilmesi ve Aktarılması Intel® 82599 Core #: Cihaz ve Uygulama Yönetimi SGTaaM

55 Proje Çıktıları SGTaaM kullanıma hazır bir Rackmount bir ağ güvenlik cihazı olacaktır. Paket Yakalayıcısı: Napatect 1x40Gb (NT40E2-1), 4x10Gb (NT40E2-4) veya Intel 4x10 Gb : 40 Gb'lık kartlar için QSFP+ arayüzü, 10 Gb'lık kartlar için SFP+ SR/LR/ER/CR Akış Yönetimi ve Dağıtımı: %1'den küçük bir CPU utilizasyonu Tam Protokol Analiz İşlemcisi: Sub-protokol analizi, simetrik ve asimetrik trafik tespiti, tünel protokollerinin çözülmesi, istatistiksel trafik ölçümleri konularıni kapsayan açık trafik için port ve imza tabanlı, şifreli trafik için heuristik tabanlı bir tam protokol analizcisi: 200’e yakın protokol Tam Protokol Çözümü: Gerçek zamana yakın ve çoklu gigabit hızlarında bir tam protokol çözümü Saldırı Tespit Sistemi: imza temelli, protokol temelli ve davranış temelli anormallik tespit sistemi Kompleks Olay İşleme ve Aksiyon İletim Altyapısı: Kayıt ve uyarıları kurallar ve karar ağaçları yardımıyla yüksek hızlarda işleme ve aksiyona dönüştürme

56 Hedefleri ve Başarı Ölçütleri
Paket Yakalama Hızı: 20 Gbps Tam Paket Analizi Hızı: 20 Gbps Saldırı Tespit Sistemi Hızı > 10 Gbps Tam Protokol Çözümü Hızı: 5 Gbps (Ortalama Trafikte: Paket büyüklüğü en fazla 1518 byte) Toplam Gecikme: <100 μs. Saniyede Ortalama Bağlantı Sayısı: Uygulama Seviyesi Protokol Sayısı: 200 Dış sistemlerden entegre olunacak uyarı ve kayıt toplama protokolleri: Syslog, Netflow, IDMEF, IPFIX ve CEF Internet servis sağlayıcıları (ISP) ve Bilgisayar Olaylarına Müdahale Ekipleri arasında bilgi paylaşımına yönelik Incident Object Description Exchange Format (IODEF), Real-time Inter-network Defense (RID), The Intrusion Detection Message Exchange Format (IDMEF), Real-time Internetwork Defense-Transport (RID-T) standartları desteklenecektir. Projede ürün geliştirme süreci EAL 3+ süreçlerine uygun tanımlanacaktır ve sertifikasyon için başvurulacaktır. Donanım bileşenleri CE Emission, FCC Class A, RoHS sertifikalarına sahip ürünler arasından seçilecektir.

57 Projenin Yenilikçi Yönleri
Teknolojik Altyapısı: Yüksek ağ̆ hızlarında çalışabilen yeni nesil ağ̆ işlemcileri üzerinde gömülü sistem -> Seviye 1 Ağ Sensörü Çok çekirdek (many core) teknolojisi (System on Chip) Tilera işlemcileri üzerinde iMesh, mPIPE yapılarının kullanılması Ağ işlemcisi (network processor) veya ağ denetleyicisi (network inspection) kartlar üzerine paket yakalama işlemi (PF_RING, Libzero DNA) Next-Generation Firewall: Konsepti Tam paket analizi ve uygulama kimliği ile birleştirilen saldırı tespit sistemi APT: SIEM formatta (IDMEF, IPFIX ve CEF) uyarı ve kayıt üretme Bilgi Paylaşımı ve Karar Oluşturma: Gerçek zamanlı paylaşım ve koordineli bir siber savunma -> Seviye 2 Ağ Cihazı DDS Altyapısı ile bilgi paylaşımı 1. Seviye ağ cihazı yerine koordineli biçimde karar alabilen 2. Seviye ağ cihazı Karar veriyici ve aksiyon verici altyapının üst düzey politika ve kurallarında işleyebildiği Kompleks Olay İşleme motoru Ağ hızı gibi yüksek hızlarda çalışan Akış İşleme (Stream Processing)

58 Proje Beklentileri SGTaaM ürünü -> inline çalışma -> NGIPS
STGaaM Projesinde Tilera (System on Chip) gömülü sistem geliştirme deneyimini savunma, mobil haberleşme ve telekom sektorlerine yönelik diger ürünler WiMAX, LTE, HSDPA gibi yeni nesil mobil platformlar için verimli ve etkin protokollerin ve sinyal işleme algoritmalarının çok çekirdek üzerinden gerçeklenmesi için İstihbarat, Gözetleme ve Keşif Sistemleri gelişmiş görüntü ve video işleme algoritmalarını paralel koşan sensörler SSM ile imzalanmış olan ve proto-tip olarak geliştirilen BSGS projemizin ileride tüm askeri unsurları (ve kamu kurumlarını) kapsayacak biçimde yaygınlaştırılması beklenmekte olup, tüm taşıyıcı ağ altyapılarında SGTaaM ürünümüzün kullanılması sağlanarak top yekün bir siber güvenlik farkındalığı yaratmak mümkün olacaktır.

59 BSGS ve SGTaaM

60 Ulusal Kazanımlar Projemizde, yeni nesil siber saldırıları tespit edip gereken mudahale için diger cihazlarla koordineli olarak karar ve aksiyon alabilen yenilikçi bir siber güvenlik ürünü geliş̧tirilecek olup, ulusal kritik altyapılarımızın gelişmiş milli ürünlerle korunması ile siber saldırılar sonucu oluşan ekonomik kaybımızın azaltılmasında büyük katkısı olacagı öngörülmuştür. Çok çekirdekli işlemci (Too many core) kullanarak gömülü sistem geliş̧tirme deneyiminin ülkemize kazandırılarak, bu yetkinlik sayesinde savunma, güvenlik ve telekom sektörlerinde de en son teknolojiye sahip yenilikçi ürünlerin geliştirilmesinin önünü açabilecektir. Nihai amacımız ise bilgi ve iletişim sistemleri açısından ülkemizin en fazla ithal kalemlerinden birisi olan ağ güvenlik cihazlarını uygun maliyette yurt içi ve dünya pazarları için geliştirmek ve ihracat potansiyelimizi arttırmaktır.