SİBER GÜVENLİK VE
SİBER SAVAŞ
HERKESİN BİLMESİ GEREKENLER
“Dijital
çağımızda siber güvenlik konuları artık sadece teknoloji kitlesini
ilgilendirmiyor; bunlar hepimiz için önemli. İster iş dünyasında, ister
politikada, ister orduda ya da medyada çalışıyor olun, ister sıradan bir
vatandaş olun, bu mutlaka okunması gereken bir kitap."
—Eric
Schmidt, Google İcra Kurulu Başkanı
“Bu,
siber dünya üzerine şimdiye kadar yazılmış en ulaşılabilir ve okunabilir kitap.
Yazarlar temel gerçekleri ve politikaları özetlediler, mantıklı önerilerde
bulundular ve genel olarak bilgi sahibi her vatandaşa tartışmayı açtılar: eşsiz
bir başarı. Hem uygulayıcıların hem de akademisyenlerin mutlaka okuması gereken
bir eser.”
—Amiral
James Stavridis, ABD Donanması (Emekli), eski NATO Müttefik Yüksek Komutanı
“Siber
güvenlik sorunuyla yüzleşirken bilgili olmak ve sürece dahil olmak hepimiz için
önemli. Bu kitap bunu mümkün kılıyor ve aynı zamanda büyüleyici. Siber güvenlik
hakkında bilmeniz gereken her şey, net ve akıllı bir şekilde harika bir şekilde
sunuluyor."
Steve
Jobs'un yazarı
“Eğer
'tüm bu siber şeyler' hakkında tek bir kitap okuyorsanız, onu bu kitap yapın.
Singer ve Friedman, en karmaşık materyali bile nasıl erişilebilir ve hatta
eğlenceli hale getireceklerini biliyorlar ve aynı zamanda hepimizin, içinde
yaşadığımızı bildiğimiz (siber) dünya hakkında neden daha fazla şey bilmemiz ve
daha fazla düşünmemiz gerektiğine dair güçlü bir örnek oluşturuyorlar . “
—Anne-Marie
Slaughter, Başkan, Yeni Amerika Vakfı
“Singer
ve Friedman, takip edilmesi son derece kolay bir SSS formatını ilgi çekici bir
anlatımla harmanlıyor, siber güvenlik unsurlarına ilişkin açıklamaları
açıklayıcı anekdotlarla örüyor. İnternet mimarisinin temellerinden güncel
güvenlik sızıntılarının güncel entrikalarına kadar bu kitap, mevcut siber
güvenlik ortamının ve gelecekte nasıl görünebileceğinin erişilebilir ve keyifli
bir analizini sunuyor."
—Jonathan
Zittrain, Harvard Üniversitesi Hukuk Profesörü ve Bilgisayar Bilimleri
Profesörü ve The Future of the kitabının yazarı
İnternet—-Ve
Nasıl Eğilir?
“Singer
ve Friedman, siber olayların mevcut ve muhtemel gelecekteki riskli durumunu
belgeleme konusunda son derece güvenilir bir iş çıkarıyorlar. Bu bir açık
çağrıdır."
—Vint
Cerf, “İnternetin Babası”, Başkanlık Özgürlük Madalyası sahibi
“Bu
kitabı sevdim. Vay. Bu şaşırtıcı ve önemli kitabı okuyana kadar siber güvenlik
ve siber savaşın gizli dünyası hakkında ne kadar çok şey bilmediğimi
bilmiyordum. Singer ve Friedman inanılmaz derecede karmaşık bir konuyu
anlaşılır hale getiriyor ve ne kadar savunmasız olduğumuza dair korkutucu
gerçeği açığa çıkarıyor. Kişisel ve ulusal güvenliğimize yönelik çoğu zaman
görünmez olan bu tehditleri anlamak, kendimizi onlara karşı savunmak için
gerekli bir ilk adımdır. Bu önemli bir okuma.”
—Howard
Gordon, 24'ün Baş Yapımcısı ve Homeland'ın ortak yaratıcısı
SİBER GÜVENLİK VE
SANAL SAVAŞ
HERKESİN BİLMESİ
GEREKENLER ®
P W. SINGER VE
ALLAN FRIEDMAN
OXFORD
GİRİŞI 1
Neden Siber Güvenlik ve Siber Savaş Hakkında Bir Kitap
Yazmalısınız? 1
Neden
Siber Güvenlik Bilgi Açığı Var ve Neden Önemli? 4 Kitabı Nasıl Yazdınız ve Ne
Umarsınız?
başarmak? 8
BÖLÜM HER ŞEY NASIL
ÇALIŞIYOR 12
Dünya Çapında Ne? Siber Uzayı Tanımlamak 12
Bu "Siber
Şeyler" Nereden Geldi? İnternetin Kısa Tarihi 16
İnternet Aslında Nasıl Çalışıyor? 21
Kim Çalıştırıyor? İnternet Yönetişimini Anlamak 26
İnternette
Köpek Olup Olmadığınızı Nasıl Biliyorlar?
Kimlik ve Kimlik Doğrulama 31
Peki “Güvenlik” Deyince Neyi Kastediyoruz? 34
Tehditler Nelerdir? 36
Bir Kimlik Avı, İki Kimlik Avı, Kırmızı Kimlik
Avı, Siber Kimlik Avı: Nedir?
Güvenlik açıkları mı? 39
Siber Uzaya Nasıl Güvenebiliriz? 45
Odak: WikiLeaks'te Ne
Oldu? 51
Gelişmiş Kalıcı Tehdit (APT) Nedir? 55
Kötü Adamları Nasıl Uzak Tutarız? Bilgisayar
Savunmasının Temelleri 60 En Zayıf Halka Kim? İnsan Faktörleri 64
BÖLÜM II
NEDEN ÖNEMLİDİR 67
Siber Saldırının Anlamı
Nedir? Terimlerin ve Çerçevelerin Önemi 67
Kimin? Atıf Sorunu 72
Hacktivizm Nedir? 77
Odak: Anonim Kimdir? 80
Yarının Suçları Bugün: Siber Suç Nedir? 85
Gölgeli RAT'lar ve Siber Casuslar: Siber Casusluk Nedir? 91
Siber Terörizmden Ne Kadar Korkmalıyız? 96
Peki Teröristler Web'i Gerçekte Nasıl Kullanıyor? 99
Peki ya Siber Terörle Mücadele? 103
İnsan Haklarının Güvenlik Riski mi? Dış Politika ve İnternet 106
Odak: Tot Nedir ve Soğanı Soymak Neden Önemlidir?
108 Vatansever Hackerlar Kimdir? 110
Odak: Stuxnet Neydi? 114
Stuxnet'in
Gizli Dersi Nedir? Siber Silahların Etiği 118 "Siber Savaş, Ah, Sıfırlar
ve Birler Ne İşe Yarar?":
Siber Savaşın Tanımlanması 120
Başka Bir İsmin Wat'ı Var mı? Siber Çatışmanın Hukuki Tarafı 122
Bir
“Siber Savaş” Aslında Neye Benzer? Bilgisayar ağı
Operasyonlar 126
Odak: ABD Askerinin Siber Savaşa Yaklaşımı Nedir? 133
Odak: Çin'in Siber Savaşa Yaklaşımı Nedir? 138
Siber Savaş Çağında Caydırıcılık hakkında ne düşünüyorsunuz? 144
Tehdit Değerlendirme Siber Uzayda Neden Bu Kadar Sert? 148
Siber Güvenlik Dünyası Güçlüden Zayıfı mı Kayırıyor? 150
Savunmanın Avantajı ve Hücum Kimde? 153
Yeni Bir Tür
Silahlanma Yarışı: Tehlikeleri Nelerdir?
Siber Yayılım mı? 156
PasrArms Yarışlarından Dersler Var mı ? 160
Perde Arkası : Siber Endüstriyel Kompleks Var mı ? 162
BÖLÜM III NE
YAPABİLİRİZ? 166
Aldanmayın: Neden Yeni ve Daha Fazlasını İnşa
Edemiyoruz?
Güvenli İnternet? 166
Güvenliği Yeniden
Düşünün: Dayanıklılık Nedir ve Neden Önemlidir ? 169
Sorunu (ve Çözümü) Yeniden Çerçevelendirin: Ne
Öğrenebiliriz?
Halk Sağlığı'ndan mı? 173
Tarihten Ders Alın: (Gerçek) Korsanlar Bize Neler
Öğretebilir?
Siber güvenlik? 177
World Wide Web için Dünya
Çapında Yönetişimi Koruyun: Rolü veya Uluslararası Kurumlar Nedir? 180
Kuralı veya Yasayı
“Aşılamak”: Bir Siber Uzay Anlaşmasına İhtiyacımız Var mı? 185
Siber Uzayda Devletin Sınırlarını Anlayın: Neden
Yapamıyorsunuz?
Hükümet Başa Çıkıyor mu? 193
Hükümetin Rolünü Yeniden Düşünmek: Nasıl Daha İyi
Örgütlenebiliriz?
Siber güvenlik? 197
Kamu-Özel Sorunu Olarak Yaklaşın: Nasıl Daha
İyiyiz
koordine etmek mi ? 205
Egzersiz Sizin İçin İyidir: Nasıl Daha İyi
Hazırlanabiliriz?
Siber Olaylar mı? 211
Siber Güvenlik Teşvikleri Oluşturun: Neden İstediğinizi
Yapmalıyım? 216
Paylaşmayı Öğrenin: Bilgi Üzerinde Nasıl Daha İyi
İşbirliği Yapabiliriz? 222 Talep Açıklaması: Şeffaflığın Rolü Nedir? 228
Ger
“Güçlü”Sorumluluk Hakkında: Nasıl Yaratabiliriz
Güvenlik Sorumluluğu? 231
235 241
|
SONUÇLAR |
247 |
|
Siber Güvenlik Bundan Sonra Nereye Gidiyor? |
247 |
|
Sonunda Gerçekten Neyi Bilmem Gerekiyor? |
255 |
|
TEŞEKKÜRLER |
257 |
|
NOTLAR |
259 |
|
SÖZLÜK |
293 |
|
301 |
Neden Siber
Güvenlik ve Siber Savaş Hakkında Bir Kitap Yazmalısınız?
"Bütün bu siber şeyler."
Ortam
Washington DC'de bir konferans odasıydı. Konuşmacı ABD Savunma Bakanlığı'nın
kıdemli bir lideriydi. Konu, siber güvenliğin ve siber savaşın neden bu kadar
önemli olduğuydu. Ancak sorunu yalnızca "tüm bu siber şeyler" olarak
tanımlayabildiğinde, istemeden de olsa bizi bu kitabı yazmaya ikna etti.
İkimiz
de otuzlu yaşlarımızdayız ama yine de kullandığımız ilk bilgisayarları hâlâ
hatırlıyoruz. Beş yaşındaki Allan için bu, Pittsburgh'daki evinde erken bir
Apple Macintosh'tu. Disk alanı o kadar sınırlıydı ki bu kitabı hafızasına bile
sığdıramadı. Yedi yaşındaki Peter için bu, Kuzey Carolina'daki bir bilim
müzesinde sergilenen bir Commodore'du. İnsanlık tarihindeki en önemli
icatlardan birinin gülen yüz çıktısını almak amacıyla tamamen yeni bir dil
öğrenerek "programlama" dersi aldı. Bir makaralı yazıcıdan çıktı, yan
tarafı delikli kağıt şeritlerle doluydu.
Otuz yıl sonra bilgisayarların hayatımızdaki merkezi yerini
anlamak neredeyse imkansız hale geldi. Hatta etrafımız o kadar bilgisayarlarla
çevrili ki artık onları “bilgisayar” olarak bile düşünmüyoruz. Bilgisayarlı
saatlerle uyanıyoruz, bilgisayarla ısıtılan suyla duş alıyoruz, bilgisayarda
demlenmiş kahve içiyoruz, yulaf yiyoruz. - bilgisayarda ısıtılan yemek, daha
sonra yüzlerce bilgisayar tarafından kontrol edilen bir araba ile işe giderken,
bilgisayarda dün gecenin spor sonuçlarına göz atılması ve sonra işte günümüzün
çoğunu bilgisayarın düğmelerine basarak geçiririz. , ebeveynlerimizin zamanında
o kadar fütüristik bir deneyim ki, The Jetsons'ın malzemesiydi
(George Jetson'un işi bir "dijital indeks operatörüydü"). Ancak belki
de bilgisayarların modern her yerde bulunuşuna dair bir ipucu bile elde etmenin
en iyi yolu günün sonundadır. Yatağınıza uzanın, ışıkları kapatın ve size bakan
küçük kırmızı ışıkların sayısını sayın.
Bu
makineler sadece her yerde mevcut değil, aynı zamanda bağlantılılar. Küçükken
kullandığımız bilgisayarlar tek başına duruyordu; duvardaki elektrik prizinden
ve belki de o makara yazıcıdan başka hiçbir şeye bağlı değildiler. Sadece bir
nesil önce İnternet, birkaç üniversite araştırmacısı arasındaki bağlantıdan
biraz daha fazlasıydı. İlk "elektronik posta" 1971'de gönderildi. Bu
bilim adamlarının çocukları artık yılda yaklaşık 40 trilyon e-postanın gönderildiği
bir dünyada yaşıyor. İlk "web sitesi" 1991'de yapıldı. 2013'te 30'un
üzerinde e-posta vardı. trilyon bireysel web sayfası.
Üstelik
İnternet artık yalnızca posta göndermek veya bilgi toplamaktan ibaret değil:
artık elektrik santrallerini bağlamaktan Barbie bebek satın alımlarını takip
etmeye kadar her şeyi gerçekleştiriyor. Gerçekten de, İnternet'in arka ucunun
büyük bir kısmının çalıştırılmasına yardımcı olan bir şirket olan Cisco,
2012'nin sonuna kadar 8,7 milyar cihazın İnternet'e bağlı olduğunu tahmin
ediyor; bu rakamın 2020'de otomobil olarak 40 milyara çıkacağına inanıyor.
buzdolapları, tıbbi cihazlar ve henüz hayal edilmemiş veya icat edilmemiş
gadget'ların hepsi birbiriyle bağlantılıdır. Kısacası, ticaretten iletişime ve
günümüz uygarlığına güç veren kritik altyapıya kadar uzanan alanların tümü,
küreselleşmiş bir ağ üzerinde çalışır. ağların.
Ancak
"tüm bu siber şeylerin" yükselişiyle birlikte, bilgisayarların ve
İnternet'in bu son derece önemli ama inanılmaz derecede kısa tarihi,
belirleyici bir noktaya ulaştı. Siber alanın olumlu tarafı, hızlı ve
genellikle beklenmedik sonuçlarla birlikte fiziksel alana da yansıyorsa,
olumsuz tarafı da aynı şekildedir.
İnceleyeceğimiz
gibi, "tüm bu siber olayların" ardındaki şaşırtıcı rakamlar,
tehditlerin ölçeğini ve kapsamını ortaya koyuyor: Fortune 500 şirketlerinin
yüzde 97'si saldırıya uğradı (ve yüzde 3'ü de muhtemelen hacklendi ve bunu
bilmiyor) ve yüzden fazla hükümet çevrimiçi alanda mücadele etmeye
hazırlanıyor. Alternatif olarak sorunlar, bu "şeylerin" halihazırda
ürettiği zorlu siyasi meseleler aracılığıyla kavramsallaştırılabilir: WikiLeaks
ve NSA izleme gibi skandallar, Stuxnet gibi yeni siber silahlar ve sosyal
ağların Arap Baharı devrimlerinden kendi devrimlerinize kadar her şeyde
oynadığı rol. kişisel mahremiyetle ilgili endişeler. Aslında Başkan Barack
Obama, Britanya'dan Çin'e kadar birçok ülkenin liderleri tarafından tekrarlanan
bir görüş olarak, "siber güvenlik risklerinin 2. yüzyılın en ciddi
ekonomik ve ulusal güvenlik sorunlarından bazılarını oluşturduğunu" ilan
etti.
Bilgi
çağının tüm umutlarına ve vaadlerine rağmen, çağımız aynı zamanda bir “siber
kaygı” dönemidir . Boston Globe geleceğin zaten burada olduğunu iddia
ederken , "kanlı, dijital siper savaşı" ile sonuçlanacak bir
"siber dünya savaşı" sürüyor.
Bu
korkular, dünyanın en hızlı büyüyen endüstrilerinden biri olan siber güvenlik
alanında hızla büyüyen bir sektörle birleşti. Bu, çeşitli yeni devlet
dairelerinin ve bürokrasilerin oluşmasına yol açmıştır (ABD İç Güvenlik
Bakanlığı'nın Ulusal Siber Güvenlik Bölümü, kuruluşundan bu yana her yıl iki
veya üç katına çıkmıştır). Aynı şey, ABD Siber Komutanlığı ve Çin'in
"Bilgi Güvenliği Üssü" (xinxi baozhang jidi) gibi dünyanın
dört bir yanındaki silahlı kuvvetler için de geçerli; bu birimlerin asıl görevi
siber uzayda savaşmak ve savaşları kazanmak.
Daha
sonra ele alacağımız gibi, "siber konuların" bu yönleri çok ciddi
riskler doğurmaktadır, ancak bu riskleri nasıl algıladığımız ve bunlara nasıl
tepki verdiğimiz sadece İnternet için değil, gelecek için çok daha önemli
olabilir. Joe Nye, eski Dekan Harvard Kennedy Hükümet Okulu, eğer kullanıcılar
İnternet'in emniyet ve emniyetine olan güvenlerini kaybetmeye başlarlarsa siber
uzaydan çekilip "güvenlik arayışında refah" ticareti yapacaklarını
belirtiyor.
Siber
güvenlikle ilgili korkular, gizlilik kavramlarımızı giderek daha fazla
tehlikeye atıyor ve gözetleme ve İnternet filtrelemenin işyerinde, evde ve
hükümet düzeyinde daha yaygın ve kabul edilebilir hale gelmesine olanak
tanıyor. Bütün uluslar da geri çekiliyor, bu da küresel bağlantıdan gördüğümüz
ekonomik ve insan hakları faydalarını baltalayacak. Çin, halihazırda gelen
mesajları taramasına ve gerekirse dünya çapındaki İnternet bağlantısını
kesmesine olanak tanıyan bir "Büyük Güvenlik Duvarı"nın arkasında
kendi şirketler ağını geliştiriyor. Yale Hukuk Fakültesi'ndeki bir makalenin
belirttiği gibi, tüm bu eğilimler "birbirine yaklaşıyor" açıklık,
işbirliği, yenilikçilik, sınırlı yönetişim ve özgür fikir alışverişi gibi
geleneksel İnternet değerlerini tehdit eden mükemmel bir fırtına ."
Bu
sorunların internetin çok ötesinde sonuçları olacak. Sanal dünya aracılığıyla
gerçekleşen yeni siber saldırı vektörleri nedeniyle fiziksel dünyada giderek artan
bir güvenlik açığı hissi var. “Yeni Siber Silahlanma Yarışı” başlıklı raporda
şöyle anlatılıyor: “Gelecekte savaşlar sadece silahlı askerler veya bomba atan
uçaklarla yürütülmeyecek. Ayrıca, yarım dünya öteden, kamu hizmetleri, ulaşım,
iletişim ve enerji gibi kritik sektörleri sekteye uğratan veya yok eden
dikkatle silahlandırılmış bilgisayar programlarını serbest bırakan bir fare
tıklamasıyla da onlarla savaşılacak. Bu tür saldırılar aynı zamanda birliklerin
hareketini, savaş uçaklarının yolunu, savaş gemilerinin komuta ve kontrolünü
kontrol eden askeri ağları da devre dışı bırakabilir.”
Böyle
bir maliyetsiz savaş veya anında yenilgi vizyonu, tamamen siber saldırının
hangi tarafında olduğunuza bağlı olarak korkutur veya rahatlatır. Kitabın
ilerleyen kısımlarında keşfedeceğimiz üzere gerçek çok daha karmaşıktır. Bu tür
vizyonlar sadece korkuları körüklemekle ve bütçeleri yönlendirmekle kalmıyor.
Bunlar aynı zamanda potansiyel olarak siber uzayın militarizasyonuna da yol
açıyor. Bu vizyonlar, daha geniş bir gezegene muazzam miktarda bilgi, yenilik
ve refah sağlayan, uluslar arasındaki gerilimleri körükleyen ve yukarıda adı
geçen raporun başlığının da ortaya koyduğu gibi, belki de yeni bir küresel
silahlanma yarışını harekete geçiren bir alanı tehdit ediyor.
Kısacası
siber güvenlik kadar önem taşıyan bir konu bu kadar hızlı ortaya çıkmadı. Ancak
yine de bu "siber şeyler" kadar az anlaşılan bir konu daha yok.
Neden Siber Güvenlik Bilgi Açığı Var ve Neden
Önemli?
"Bir şeyin bu kadar önemli olduğu ve
hakkında giderek daha az netlik ve daha az anlaşılır anlayışla bu kadar
konuşulduğu nadirdir .
Washington'da
çok küçük grup toplantıları. . . (meslektaşlarımla birlikte) bir eylem
planına karar veremiyoruz çünkü alabileceğimiz herhangi bir kararın uzun
vadeli hukuki ve politik sonuçlarına ilişkin net bir resme sahip değildik.”
CIA eski Direktörü General Michael Hayden, siber güvenlik
bilgi açığını ve bunun sunduğu tehlikeleri bu şekilde tanımladı. Bu kopukluğun
büyük bir kısmı bilgisayarlarla olan ilk deneyimlerin sonucudur, daha doğrusu
pek çok liderin bilgisayar eksikliğinden kaynaklanmaktadır. Günümüzün gençliği,
bilgisayarların her zaman var olduğu ve doğal bir özellik gibi göründüğü bir
dünyada büyümüş olan “dijital yerlilerdir”. Ancak dünya hala çoğunlukla
"dijital göçmenler" tarafından yönetiliyor; bilgisayarların ve
İnternet çağının sunduğu tüm sorunların doğal olmadığı ve çoğu zaman kafa
karıştırıcı olduğu daha yaşlı nesiller.
Başka
bir deyişle, elli yaşın üzerindeki çok az kişi üniversite eğitimini bilgisayar
kullanarak bile tamamlamış olacaktır. Muhtemelen tek başına duran, dünyayla
bağlantısı olmayan bir tane kullanan çok az kişi bile vardı. Şu anda altmışlı
ve yetmişli yaşlarında olan en kıdemli liderlerimiz muhtemelen kariyerlerinin
sonuna kadar bilgisayarlara aşina bile değillerdi ve bugün birçoğunun
bilgisayarlarla ilgili deneyimi hâlâ çok sınırlı. 2001 gibi geç bir tarihte,
FBI Direktörü'nün ofisinde bir bilgisayar yoktu , oysa ABD Savunma Bakanı
asistanına kendisine gönderilen e-postaların çıktısını alıp yanıtını kalemle
yazmasını ve ardından asistanın tipini yazmasını sağlıyordu. Bu kulağa çok
tuhaf geliyor, ancak tam on yıl sonra, ülkeyi siber tehditlerden korumakla
görevli olan İç Güvenlik Bakanı, 2012'deki bir konferansta bize şunları
söyledi: “Gülmeyin ama e-posta kullanmıyorum. -posta at." Bu bir güvenlik
korkusu değildi ama e-postanın yararlı olduğuna inanmamasından kaynaklanıyordu.
Ve 2013'te Yargıç Elena Kagan, aynı şeyin Amerika Birleşik Devletleri Yüksek
Mahkemesi yargıçlarının dokuzundan sekizi için de geçerli olduğunu, yani bu
alanda neyin yasal olup olmadığına nihai olarak karar verecek olan kişiler
olduğunu ortaya çıkardı.
Bu sadece
yaş meselesi değil. Öyle olsaydı, o eski osuruklar geçene ve her şey çözülene
kadar bekleyebilirdik. Birinin genç olması, o kişinin temel konuları otomatik
olarak anladığı anlamına gelmez. Siber güvenlik, yalnızca teknik olarak
kafalarını karıştırmaya en yatkın olanlara bırakılan alanlardan biridir.
Sıfırların ve birlerin dijital dünyasıyla ilgili her şey yalnızca bilgisayar
bilimcileri ve BT yardım masasının sorunuydu. Ne zaman konuşsalar, çoğumuz
sadece sessiz kalırız, başlarımızı sallarız ve yazar Mark Bowden'ın
"sır" dediği şeyi takarız. bir bilgisayarın." Sır, bir şeye
sadece "şey" diyebildiğin zaman taktığın yüzdür. Benzer şekilde,
teknik açıdan fazla eğilimli olanlar, politikanın ve iş dünyasının yabancı
mantığına gözlerini devirerek, "eski yöntem"le alay ederler.
teknoloji ve insanlar arasındaki etkileşimi anlamadan iş.
Sonuç
olarak siber güvenlik, sahipsiz bir alana düşüyor. Bu alan, mahremiyetiniz
kadar mahrem ve dünya siyasetinin geleceği kadar önemli alanlar açısından
hayati önem taşıyor. Ancak bu yalnızca "BT Grubu" tarafından iyi
bilinen bir alandır. Kamu ve özel sektörün ilgilendiği tüm önemli alanlara
dokunmaktadır , ancak yalnızca gençler ve bilgisayar meraklısı bununla iyi bir
şekilde ilgilenmektedir. Buna karşılık, teknik iletişim - İşleyişleri çok sık
anlayan toplum, dünyayı yalnızca belirli bir mercekten görür ve daha geniş
resmi veya teknik olmayan yönleri takdir etmekte başarısız olabilir.Bu nedenle
kritik konular yanlış anlaşılır ve çoğu zaman tartışılmaz.
Tehlikeler
çeşitlidir ve bizi bu kitabın yazımına yöneltmiştir. Hayatta oynadığımız rol ne
olursa olsun, her birimiz, bilgisayar dünyasının çok ötesinde geleceği
şekillendirecek siber güvenlik konusunda kararlar vermeliyiz. Ancak çoğu zaman
bunu uygun araçlar olmadan yaparız. Neyin mümkün ve uygun olduğunu tanımlayan
temel terimler ve temel kavramlar gözden kaçırılıyor, hatta daha da kötüsü
çarpıtılıyor. Geçmiş mit ve gelecekle ilgili yanıltıcı bilgiler çoğu zaman
birlikte örülür ve gerçekte ne olduğunu ve şu anda gerçekte nerede olduğumuzu
gizler. Bazı tehditler abartılıyor ve bunlara aşırı tepki veriliyor, bazıları
ise göz ardı ediliyor.
Bu
boşluğun geniş etkileri vardır. ABD'li bir general bize, modern savaşın
neredeyse her bölümünü etkilediği için "siberi anlamanın artık bir komuta
sorumluluğu olduğunu" anlattı. Ancak bir başka generalin de açıkça
belirttiği gibi, "Siberde gerçek bir doktrin ve politika eksikliği
var." siberuzay dünyası." Daha sonra inceleyeceğimiz gibi onun
endişesi, yalnızca askeri tarafın "siber hesaplama" konusunda daha
iyi bir iş çıkarması değil, aynı zamanda sivil tarafın herhangi bir
koordinasyon veya rehberlik sağlamamasıydı. Bazıları bugünü Birinci Dünya
Savaşı öncesindeki zamana benzetiyor, Avrupa orduları demiryolları gibi yeni
teknolojileri kullanmayı planladığında Sorun şuydu ki, onlar, sivil liderler ve
onların arkasındaki halk, bu teknolojileri veya bunların sonuçlarını
anlamadılar ve bu nedenle bilgisizce kararlar vererek uluslarını istemeden
savaşa sürüklediler. Soğuk Savaş'ın ilk yıllarıyla paralellikler kurun. Nükleer
silahlar ve bunların yol açtığı siyasi dinamikler iyi anlaşılmadı ve daha da
kötüsü, büyük ölçüde uzmanlara bırakıldı. Sonuç şu ki, artık Dr. Strangelovian
olarak gülüp geçdiğimiz kavramlar aslında ciddiye alınıyor ve neredeyse gezegeni
radyoaktif bir yığın halinde bırakıyor.
Anlaşılan
ile bilinen arasındaki bu kopukluk, uluslararası ilişkileri şimdiden
zehirlemeye başladı. Her ikimiz de Amerikalı olmamıza ve dolayısıyla bu
kitaptaki örneklerin ve derslerin çoğu bu arka planı yansıtmasına rağmen,
"siber şeyler" sorunu yalnızca Amerika'yı ilgilendiren bir sorun
değil. Çin'den Abu Dabi'ye kadar birçok yerden yetkililer ve uzmanlar da bize
aynı şeyi söylediler. Dhabi'den Britanya ve Fransa'ya. Küresel uçurumun sadece
bir örneği, Avustralya'da siber güvenlik için "çar" olarak atanan
yetkilinin, bu alan ve geleceği için kritik bir teknoloji olan Tor'u hiç
duymamış olması (endişelenmeyin, siz ve umarım o da Bölüm II'de herkesin Tor
hakkında bilmesi gerekenleri öğreneceksiniz).
Bu sadece bu tür kamu görevlilerinin
"saflıkları" nedeniyle değil, aynı zamanda küresel düzen üzerinde
tehlikeli bir etki yaratmaya başlaması nedeniyle de endişe vericidir. Örneğin,
küresel istikrarın geleceği açısından iki büyük güç olan ABD ve Çin arasındaki
ilişki kadar önemli başka bir ilişki muhtemelen yoktur. Ancak her iki taraftaki
üst düzey politika yapıcılar ve kamuoyu siber dünyanın temel dinamiklerini ve
sonuçlarını anlamaya çalışırken, siber güvenlik konusu ABD-Çin ilişkilerinde
her zamankinden daha büyük bir hal alıyor. Gerçekten de, Çin Askeri Bilimler
Akademisi, şüphenin, abartmanın, cehaletin ve gerilimin nasıl tehlikeli bir
karışıma dönüşmeye başladığını etkili bir şekilde yansıtan bir üslupla bir
rapor yayınladı. "Son zamanlarda, bir İnternet kasırgası tüm dünyayı kasıp
kavurdu... dünyayı büyük ölçüde etkiledi ve şok etti .
İnternet
savaşına yönelik bu ısınma sürecinde her ulus ve ordu pasif kalamaz, İnternet
savaşına karşı mücadele etmek için hazırlık yapıyor."
ABD'de
de görülen bu tür bir dil, gelişmekte olan küresel siber kaygıyı yansıtmıyor.
Ayrıca sorunun temelleri hakkındaki kafa karışıklığının ve yanlış bilginin bu
korkuyu artırmaya nasıl yardımcı olduğunu da ortaya koyuyor. Her iki taraf da,
daha sonra inceleyeceğimiz gibi, hem siber saldırıda hem de savunmada aktif
olsa da, sorunun bu kadar yeni olması bu kadar zor görünüyor. Üst düzey
Amerikalı ve Çinli hükümet liderleri, siber güvenliği nasıl kendi ulusları
arasındaki geleneksel kaygılardan çok daha zorlu bulduklarını anlattılar.
Ticaret, insan hakları ve bölgesel toprak anlaşmazlıkları gibi konularda
anlaşamasalar da en azından bunları anlıyorlar. Bırakın karşı tarafı, kendi
uluslarının ne yaptığı hakkında konuşmak için bile ne yazık ki donanımsız
kaldıkları siber için durum böyle değil. Örneğin, Çin ile siber konulardaki
görüşmelere katılan üst düzey bir ABD yetkilisi bize "ISP"nin ne
olduğunu sordu (burada yine, henüz bilmiyorsanız endişelenmeyin, bu konuyu
yakında ele alacağız!). Eğer bu Soğuk Savaş'ta olsaydı, bu soru Sovyetlerle nükleer
konularda müzakerelerin ortasında ICBM'nin ne olduğunu bilmemeye benzerdi.
Bu
tür konular sadece generallerin, diplomatların değil, tüm vatandaşların
meselesidir. Bu konudaki genel anlayış eksikliği aynı zamanda bir demokrasi
sorunu haline geliyor. Biz yazarken, ABD Kongresi'nde görüşülmekte olan elliye
yakın siber güvenlik yasa tasarısı var, ancak konu sonuçta seçmenler için
önemsenmeyecek kadar karmaşık algılanıyor ve bunun sonucunda da meselelere
kendi kararlarını verecek olan seçilmiş temsilciler ortaya çıkıyor. adına. Tüm
bu yasa tasarılarına rağmen 2002 ile bu kitabın yazıldığı on yıl arasında geçen
sürede hiçbir önemli siber güvenlik mevzuatının çıkarılmamasının nedenlerinden
biri de budur.
Yine
teknoloji o kadar hızlı gelişti ki seçmenlerin ve onların seçilmiş liderlerinin
çoğunun siber güvenlik kaygılarıyla çok az ilgilenmesi şaşırtıcı değil. Ama
öyle olmalılar. Bu alan, banka hesaplarınızın ve çevrimiçi kimliğinizin
güvenliğinden, kişisel sırlarınıza hangi hükümetlerin kimlerin erişebileceği ve
hatta ulusunuzun ne zaman ve nerede savaşa gireceği gibi daha geniş konulara
kadar uzanan alanları birbirine bağlar. Hepimiz bu alanın kullanıcılarıyız ve
hepimiz onun tarafından şekilleniyoruz, ancak bu konuda herhangi bir düzgün
kamusal diyaloga sahip değiliz. ABD Ulusal Savunma Üniversitesi'nden bir
profesörün belirttiği gibi, "Gerçekten iyi ve bilinçli bir tartışma
yürütmüyoruz." "Bunun yerine, sorunu ya başkalarının çözmesi için
yolun aşağısına ya da dumanlı arka odalarda önemli politikalar yapan az
sayıdaki insana aktarırız." Ve günümüzün dumanlı arka odalarındaki çoğu
insanın asla bunu yapmadığı göz önüne alındığında, bu bile yetersizdir. bir
internet sohbet odasındaydım.
Kitabı Nasıl Yazdınız ve Neyi Başarmayı
Umarsınız?
Tüm
bu sorunlar göz önüne alındığında, siber güvenlik ve siber savaş hakkında
herkesin bilmesi gereken temel sorunları ele almaya çalışan bir kitabın
zamanlaması ve değeri ideal görünüyordu. Ve tüm kitapların “soru-cevap”
tarzında olduğu bu Oxford serisinin formatı da tam da o tatlı noktaya gelmiş
gibi görünüyordu.
Kitabı
araştırmaya ve yazmaya başladığımızda bu soru-cevap tarzı metodolojimizi
yapılandırdı. Başka bir deyişle, eğer Soru-Cevap formatına kilitlenmişseniz,
öncelikle doğru Soru dizisine karar verseniz iyi olur.
İnsanların bu alanla ilgili aklındaki tüm önemli soruları,
yalnızca politika veya teknoloji alanında çalışan kişilerin sorduğu soruları
değil, aynı zamanda çok daha ötesindeki etkileşimlerimiz ve röportajlarımızdan
da toplamaya çalıştık. Bu soru dizisi, daha önce "literatür
araştırması" olarak adlandırılan şeyle destekleniyordu. Eski (İnternet
öncesi) günlerde bu, kütüphaneye gitmek ve kütüphanenin o bölümündeki
tüm kitapları raftan kaldırmak anlamına geliyordu. Dewey ondalık sistemi. Bugün
özellikle bu konuyla ilgili kitaplardan çevrimiçi dergilere ve mikrobloglara
kadar uzanan kaynaklar var. Ayrıca Washington'da çalıştığımız düşünce kuruluşu
Brookings'teki bir dizi çalıştay ve seminerden de büyük yardım aldık. Bunlar
önemli kamuoyunu bir araya getirdi. - ve özel sektör uzmanlarının siber
caydırıcılığın etkinliğinden botnet'ler hakkında neler yapılabileceğine kadar
çeşitli soruları araştırmasını sağladık (tüm sorular daha sonra kitapta ele
alındı).Ayrıca önemli Amerikalı yetkililer ve yetkililerle bir dizi toplantı ve
röportaj düzenledik. Bunlar, Genelkurmay Başkanı, en yüksek rütbeli ABD askeri
subayı ve Ulusal Güvenlik Teşkilatı Direktörü gibi üst düzey kişilerden, düşük
rütbeli sistem yöneticilerine, sivil valilerden, kabine sekreterlerinden ve
CEO'lardan küçüklere kadar uzanıyordu. işletme sahipleri ve genç bilgisayar
korsanları. Kapsamımız küreseldi ve dolayısıyla toplantılara Çin'den (dışişleri
bakanı ve PLA'dan generaller de dahil) liderler ve uzmanların yanı sıra
İngiltere, Kanada, Almanya, Fransa, Avustralya, Estonya, Birleşik Arap
Emirlikleri ve Birleşik Arap Emirlikleri de dahil oldu. Singapur. Son olarak,
sanal bir dünya olmasına rağmen, DC Çevre Yolu ve Silikon Vadisi'nden Paris ve
Abu Dabi'ye kadar uzanan bölgelerdeki önemli tesisleri ve çeşitli siber
güvenlik merkezlerini de ziyaret ettik.
Bu
yolculuk boyunca bir model fark ettik. Sorular (ve onlardan gelen konular)
genel olarak üç kategoriye ayrılıyordu. Bunlardan ilki, siber uzayın ve siber
güvenliğin temel hatlarına ve dinamiklerine ilişkin sorulardı, yani "Her
şey nasıl çalışıyor?" soruları. Bunları, çevrimiçi dünyanın temel yapı
taşlarını veren "sürücü eğitimi" kısmı olarak düşünün. - Siber
güvenliğin siber uzayın ötesindeki daha geniş etkilerine ilişkin sorular da
vardı: "Neden önemli?" sorular. Daha sonra olası yanıtlara ilişkin
sorular, yani “Ne yapabiliriz?” soruları vardı. Aşağıdaki bölümler bu temel
yapıyı takip etmektedir.
Ortaya
konan sorularla birlikte onları yanıtlama görevi de geldi. Bu kitap bunun
sonucudur. Sorular çeşitli olsa da, bunları yanıtlarken kitapta yer alan birkaç
temanın ortaya çıktığını fark edeceksiniz:
•
Bilgi önemlidir: Eğer bu alanı
güvence altına almak için etkili bir şey yapmak istiyorsak, bu alanın gizemini
çözmemiz hayati önem taşımaktadır.
•
İnsanlar önemlidir: Siber güvenlik,
karmaşıklıklarla ve değiş-tokuşlarla dolu "kötü" sorunlu alanlardan
biridir. Bunun nedeni büyük ölçüde teknik açıdan değil, insan kısmından
kaynaklanmaktadır. Makinelerin arkasındaki insanlar doğası gereği herhangi bir
şeyin içindedir. sorun veya gerekli çözüm.
•
Teşvikler önemlidir: Siber uzayda bir
şeyin neden olup bittiğini anlamak istiyorsanız, sorunun arkasındaki
motivasyonlara, maliyetlere ve gerilimlere bakın. Aslında siber alanda basit
bir "sihirli çözüm" olduğunu iddia eden herkes ya cahildir ya da
hiçbir işe yaramayacaktır.
•
Kalabalık önemlidir: Burası
hükümetlerin tüm yanıtlara sahip olabileceği veya olması gereken bir alan
değildir. Siber güvenlik hepimize bağlıdır.
•
Devletler önemlidir: Bununla birlikte,
hükümetlerin, özellikle de ABD ve Çin'in rolleri çok önemlidir. Bunun nedeni yalnızca
bu iki ülkenin güçlü ve nüfuzlu kalması değil, aynı zamanda siber güvenlik
konusunda sıklıkla farklılaşan vizyonlarının etkileşiminin hem İnternet'in hem
de dünya siyasetinin geleceği açısından kritik öneme sahip olmasıdır.
•
Kediler önemlidir: Sonuçta internet
bizim yaptığımız şeydir. Bu da, içinde ciddi "şeyler" söz konusu olsa
da, siber uzayın aynı zamanda dans eden bebekler ve klavye çalan kediler gibi
memlerle dolu, genellikle eğlenceli ve tuhaf bir alan olduğu anlamına geliyor.
Bu nedenle, herhangi bir tedavi bu tuhaflığı yakaladığından emin olmalıdır.
Başka
bir deyişle amacımız, bizi bu yolculuğa çıkaran "siber şeyler"
sorunuyla doğrudan boğuşmaktı. Bu, iki araştırmacı tarafından sıkı akademik
yönergeler izlenerek yazılan ve saygın bir üniversite yayınevi tarafından
basılan bir kitaptır. Ama amacımız sadece akademisyenlere yönelik bir kitap
değildi. Dünyadaki en iyi araştırma, ihtiyacı olanların eline geçmezse
değersizdir. Gerçekten de siber güvenlikle ilgili akademik makalelerin sayısı
on yılı aşkın süredir yıllık yüzde 20'lik bir bileşik büyüme oranında arttı.
Ancak hiç kimse dünyanın daha geniş bir alanda daha bilgili olduğunu
söyleyemez.
Bunun
yerine, bu serinin temel fikri olan "herkesin bilmesi gerekenler"i
benimsedik. Herkesin Stuxnet'in yazılım programlama sırlarını veya ISP sigorta
planlarının yasal dinamiklerini bilmesine gerek yok. Ancak hepimiz siber
güvenlikle daha fazla ilgilendikçe ve ona bağımlı oldukça, hepimizin sahip
olması gereken bazı anlayış yapı taşları var. Siber güvenlik söz konusu
olduğunda cehalet mutluluk değildir. Siber sorunlar kelimenin tam anlamıyla
herkesi etkiliyor: Siber suçlardan çevrimiçi özgürlüğe kadar her şeyle boğuşan
politikacılar; yeni siber savaşlar planlarken ülkeyi yeni saldırı türlerinden
koruyan generaller; firmaları bir zamanlar hayal bile edilemeyecek tehditlere
karşı koruyan ve onlardan para kazanmaya çalışan şirket yöneticileri;
hukukçular ve etik uzmanları doğru ve yanlış için yeni çerçeveler inşa ediyor.
Siber güvenlik sorunları en çok birey olarak bizi etkiliyor. Hem çevrimiçi hem
de gerçek dünyanın vatandaşları olarak hak ve sorumluluklarımızdan, kendimizi
ve ailelerimizi yeni bir tehlike türünden nasıl koruyacağımıza kadar her konuda
yeni sorularla karşı karşıyayız.
Yani
bu sadece uzmanlara yönelik bir kitap değil; daha ziyade alanın kilidini
açmayı, genel uzmanlık düzeyini yükseltmeyi ve ardından tartışmayı ileriye
taşımayı amaçlayan bir kitap.
Bu
yolculuğu, tıpkı "siber şeyler" dünyasının kendisi gibi yararlı ve
ideal olarak eğlenceli bulacağınızı umuyoruz.
Peter Warren Singer ve
Allan A. Friedman, Ağustos 2013, Washington, DC
Dünya Çapında Ne?
Siber Uzayı Tanımlamak
“Bu bir kamyon değil. Bu bir dizi tüp."
bilgisayarlar
veya internet hakkında Jack Bleep'i bilmiyormuş
gibi görünen ... onu düzenlemekten sorumlu adam" Washington politika
yapıcılarının teknolojik gerçeklerden ne kadar kopuk olabileceğinin mükemmele
yakın bir örneğidir.
Yaşlı
senatörün elektronik mektupların tüplerden geçtiği fikriyle dalga geçmek kolay
olsa da gerçek şu ki siber konularda fikir ve terimleri tanımlamak zor
olabilir. Stevens'ın "tüpler"i aslında "borular" fikrinin
çarpıtılmış halidir; bu alandaki uzmanlar tarafından veri bağlantılarını
tanımlamak için kullanılan bir benzetmedir.
Eğer tamamen doğru olmak isteseydi, Stevens bilim
kurgu yazarı William Gibson'ın orijinal siber uzay anlayışını kullanabilirdi .
Gibson, "sibernetik" ve "uzay" sözcüklerinin bir karışımı
olan bu sözcüğü ilk kez 1982'de yazdığı bir kısa öyküde kullandı. İki yıl
sonra, türde devrim yaratan romanı Neuromancer'da bunu şöyle tanımladı :
"Her ulusta, milyarlarca meşru operatörün günlük olarak deneyimlediği,
mutabakata dayalı bir halüsinasyon.
Siber
uzayı tanımlamanın bu kadar zor olmasının bir nedeni, yalnızca onun geniş,
küresel doğasında değil, aynı zamanda günümüzün siber uzayının mütevazi
başlangıcına kıyasla neredeyse tanınmaz olması gerçeğinde de yatmaktadır. ABD
Savunma Bakanlığı, siber uzayın vaftiz babası olarak kabul edilebilir; geçmişi
ilk bilgisayarlara ve ARPANET gibi orijinal ağlara fon sağlamasına kadar uzanır
(bu konuda daha fazla bilgi yakında). Ancak Pentagon bile bebeği büyürken buna
ayak uydurmakta zorlandı. Yıllar boyunca siberuzay olarak düşündüğü şeye
ilişkin en az on iki farklı tanım yayınladı . Bunlar , siber uzayın yalnızca
iletişim amaçlı ve büyük ölçüde hayali olduğunu ima ettiği için reddedilen
" dijitalleştirilmiş bilginin bilgisayar ağları üzerinden iletildiği
kavramsal ortam"dan "elektronik ve elektromanyetik özelliklerin
kullanımıyla karakterize edilen bir alana" kadar uzanır. trum",
bilgisayarlardan füzelere, güneşten gelen ışığa kadar her şeyi kapsadığı için
de reddedildi.
Pentagon,
2008'deki son girişiminde, siber uzayın başka bir tanımı üzerinde anlaşmaya
varmak için bir yıldan fazla zaman harcayan uzmanlardan oluşan bir ekip
oluşturdu. Bu sefer onu "internet, telekomünikasyon ağları, bilgisayar
sistemleri ve yerleşik işlemciler ve denetleyiciler dahil olmak üzere birbirine
bağımlı bilgi teknolojisi altyapıları ağından oluşan bilgi ortamı içindeki
küresel alan" olarak adlandırdılar. Kesinlikle daha ayrıntılı ama çok
yoğun bir tanımdır. insan neredeyse sadece "tüplere" geri dönebilmeyi
diliyor.
Bu
kitabın amaçları açısından, konuyu basit tutmanın en iyisi olduğunu
düşünüyoruz. Özünde siber uzay, bilgilerin çevrimiçi olarak depolandığı,
paylaşıldığı ve iletildiği bilgisayar ağlarının (ve bunların arkasındaki
kullanıcıların) alanıdır. Ancak siber uzayın tam ve mükemmel ifade edilmiş
tanımını bulmaya çalışmaktan ziyade, bu tanımların ulaşmaya çalıştığı şeyi
açmak daha faydalıdır. Siber uzayı oluşturan, aynı zamanda onu benzersiz kılan
temel özellikler nelerdir?
Siberuzay
her şeyden önce bir bilgi ortamıdır. Oluşturulan, saklanan ve en önemlisi
paylaşılan dijitalleştirilmiş verilerden oluşur. Bu, buranın yalnızca fiziksel
bir yer olmadığı ve dolayısıyla her türlü fiziksel boyutta ölçüme meydan
okuduğu anlamına gelir.
Ancak
siber uzay tamamen sanal değildir. Verileri depolayan bilgisayarların yanı sıra
bu verilerin akışına izin veren sistem ve altyapılardan oluşur. Buna ağ
bağlantılı bilgisayarların interneti, kapalı intranetler, hücresel
teknolojiler, fiber optik kablolar ve uzay tabanlı İletişim dahildir.
“İnternet”i
sıklıkla dijital dünyanın kısaltması olarak kullansak da, siber uzay aynı
zamanda bu bilgisayarların arkasındaki insanları ve onların bağlantılarının
toplumlarını nasıl değiştirdiğini de kapsamaya başladı. O halde siber uzayın en
önemli özelliklerinden biri sistemleri ve teknolojilerinin insan yapımı
olmasıdır. Bu nedenle siber uzay, fiziksel veya dijital olduğu kadar bilişsel
alan tarafından da tanımlanmaktadır. Algılar önemlidir ve siber uzayın iç
yapılarını, siber uzaydaki isimlerin nasıl atandığından, altyapının hangi
bölümlerine kimin sahip olduğuna ve ona güç veren ve kullanana kadar her konuda
bilgilendirir.
Bu,
sıklıkla yanlış anlaşılan önemli bir noktaya yol açmaktadır. Siber uzay küresel
olabilir, ancak "devletsiz" veya "küresel ortak alanlar"
değildir; her iki terim de hükümetlerde ve medyada sıklıkla kullanılmaktadır.
Tıpkı biz insanların yerküremizi yapay olarak "uluslar" dediğimiz
bölgelere böldüğümüz ve sırasıyla, İnsan türümüzün “milliyetler” gibi çeşitli
gruplara ayrılmasının aynısı siberuzay için de yapılabilir. Fiziksel altyapıya
ve coğrafyaya bağlı insan kullanıcılara dayanır ve dolayısıyla egemenlik,
milliyet ve mülkiyet gibi insani kavramlarımıza da tabidir. Veya başka bir
deyişle, siberuzaydaki bölünmeler, Amerika Birleşik Devletleri'ni Kanada'dan
veya Kuzey'i Güney Carolina'dan ayıran anlamlı ama aynı zamanda hayali çizgiler
kadar gerçektir.
Ancak
hayat gibi siber uzay da sürekli gelişiyor. Teknoloji ile onu kullanan
insanların melez birleşimi her zaman değişiyor; siber uzayın boyutundan ve
ölçeğinden, ona rehberlik etmeye çalışan teknik ve politik kurallara kadar her
şeyi amansız bir şekilde değiştiriyor. Bir uzmanın belirttiği gibi, “Siber
uzayın coğrafyası diğer ortamlara göre çok daha değişkendir. Dağları ve okyanusları
hareket ettirmek zordur, ancak siber uzayın bazı kısımları bir anahtara
basılarak açılıp kapatılabilir." Temel özellikler aynı kalır, ancak
topografya sürekli bir değişim halindedir. Günümüzün siber uzayı her ikisi de
ile aynıdır. ama aynı zamanda 1982'nin siber uzayından da tamamen farklı.
Örneğin
siber uzayı oluşturan donanım ve yazılım, başlangıçta sabit kablolar ve telefon
hatlarıyla çalışan bilgisayarlar için tasarlanmıştı. Mobil cihazlar ilk önce Star
Trek'in malzemesiydi ve daha sonra sadece "araba telefonu" kadar
egzotik bir şeye sahip olabilen Miami Vice'taki uyuşturucu satıcıları
içindi . öyle ki küçük çocukların masaüstü bilgisayarların ekranlarına sanki
kırık iPad'lermiş gibi yumruk attıklarını gördük.
Siber
uzay teknolojisiyle birlikte ondan beklentilerimiz de aynı şekilde değişiyor.
Bu, çocukların nasıl "oynadığından", hepimizin siber uzaya erişmesi
ve bir Hollywood yıldızının yeni saç modelinden ne düşündüğümüze kadar her
konuda kişisel görüşlerimizi burada ifade edebilmemiz gerektiği şeklindeki daha
güçlü kavrama kadar yeni davranış normları üretir. otoriter bir liderin
Dolayısıyla
İnternet'in kendisini oluşturan şey, önümüzde daha da temel bir şekilde
gelişiyor. Aynı zamanda çok daha büyük hale geliyor (her gün küresel dijital
bilgi kaynağına yaklaşık 2.500.000.000.000.000.000 bayt ekleniyor) ve çok daha
kişiselleşiyor. Bireysel kullanıcılar, bu çevrimiçi bilgi saldırısını pasif bir
şekilde almak yerine, siteleri kişisel kullanımlarına göre oluşturuyor ve
uyarlıyor, sonuçta çevrimiçi olarak kendileri hakkında daha fazla bilgi
veriyor. Bu siteler, Amerika Birleşik Devletleri'ndeki Facebook ve Çin'deki
RenRen gibi sosyal ağlardan Twitter ve Çin'deki eşdeğerleri Tencent ve Sina
gibi mikrobloglara kadar çeşitlilik göstermektedir. Gerçekten de, Çin'deki
(Weibo adı verilen) mikrobloglar, 2012 yılında 550 milyonun kayıtlı olduğu bir
düzeye ulaştı.
Böylece,
siberuzay bir zamanlar sadece iletişim ve daha sonra e-ticaret alanıyken
(satışları yılda 10 trilyon doların üzerine çıktı), "kritik altyapı"
dediğimiz şeyi kapsayacak şekilde genişledi. Tarım ve gıda dağıtımından
bankacılığa, sağlık hizmetlerine, ulaşıma, suya ve elektriğe kadar uzanan
günümüz uygarlığının her biri bir zamanlar birbirinden ayrıydı ama şimdi hepsi
birbirine bağlı ve bilgi teknolojisi yoluyla, genellikle "" olarak
bilinen şey aracılığıyla) siber uzaya bağlanıyor. denetleyici kontrol ve veri
toplama" veya SCADA sistemleri. Kritik altyapının diğer süreçlerini
izleyen, anahtarlamayı ayarlayan ve kontrol eden bilgisayar sistemleridir.
Özellikle, özel sektör ABD'deki kritik altyapının kabaca yüzde 90'ını kontrol
ediyor ve arkasındaki firmalar, diğer şeylerin yanı sıra, şehrinizin suyundaki
klorlama seviyelerini dengelemek, evinizi ısıtan gaz akışını kontrol etmek ve
uygulamaları yürütmek için siber uzayı kullanıyor. döviz fiyatlarını sabit
tutan finansal işlemler.
Böylece
siberuzay, Başkan George W. Bush'un bir zamanlar söylediği gibi "sinir
sistemi -ekonomimizin kontrol sistemi" olmaktan çıkıp daha fazlasına
dönüşüyor. Wired dergisi editörü Ben Hammersley'in tanımladığı gibi,
siberuzay "dünyadaki yaşam için baskın platform" haline geliyor. 2.
yüzyıl."
Bu
konuda şikayet edebiliriz ama Facebook, Twitter, Google ve geri kalan her şey
birçok açıdan demokratik batıdaki modern yaşamın tanımıdır. Çoğu kişi için,
ifade özgürlüğüne sahip, işleyen bir İnternet ve tercih ettiğimiz sosyal ağlara
iyi bir bağlantı, yalnızca modernliğin değil, aynı zamanda uygarlığın da bir
işaretidir. Bunun nedeni, insanların " video ekranına bağımlı"
olmaları ya da başka bir küçümseyici psikolojik teşhise sahip olmaları değil.
İnternet yaşadığımız yer olduğu için. İş yaptığımız, buluştuğumuz, aşık
olduğumuz yer. iş, kültür ve kişisel ilişkiler için merkezi bir platform.
Geriye pek bir şey kalmadı. Bu hizmetlerin günümüz toplumundaki merkezi önemini
yanlış anlamak temel bir hata yapmaktır. İnternet hayata eklenen lüks bir şey
değildir; çoğu kişi için İnsanlar, bilerek ya da bilmeyerek hayattır.
Ancak
hayatta olduğu gibi herkes iyi oynamıyor. Hepimizin sevmeye başladığı ve artık
ihtiyaç duyduğu İnternet, giderek daha fazla risk ve tehlike içeren bir yer
haline geliyor.
Bu "Siber Şeyler" Nereden Geldi?
"Evet."
Elektronik
iletişim ağları, bazılarının geriye dönüp baktığında "Viktorya Dönemi
İnterneti" olarak adlandırdığı telgrafın icadından bu yana bilgiyi nasıl
paylaştığımızı şekillendiriyor. Bu eski teknolojinin etrafındaki heyecan da
aynı şekilde yüksekti; çağdaşları telgrafla şunu ilan ettiler: “Eski
önyargıların ve düşmanlıkların artık var olması imkânsızdır.”
İnterneti
eski telgraf ve ardından telefon ağları gibi önceki iletişim ağlarından farklı
kılan şey, devre anahtarlamalı yerine paket anahtarlamalı olmasıdır. Paketler,
verilerin küçük dijital zarflarıdır. Her paketin başlangıcında, esas olarak
zarfın "dış kısmında", ağ kaynağı, hedef ve paket içerikleri hakkında
bazı temel bilgiler hakkında ayrıntılar içeren başlık bulunur. Veri akışlarını
daha küçük bileşenlere bölerek Her biri bağımsız ve merkezi olmayan bir şekilde
teslim edilebilir, daha sonra uç noktada yeniden birleştirilebilir. Ağ, her
paketi geldiği anda yönlendirir, hem esneklik hem de dayanıklılık yaratan
dinamik bir mimaridir.
Yaygın
bir efsane olan paket anahtarlama, ABD'nin nükleer saldırı durumunda bile
iletişimi sürdürmesine izin verecek şekilde geliştirilmemiştir. Gerçekten
bilgisayarlar arasında daha güvenilir, daha verimli bağlantılar sağlamak için
geliştirildi. i9/os'un yükselişinden önce, iki bilgisayar arasındaki iletişim
özel bir devre veya önceden atanmış bant genişliği gerektiriyordu. Bu doğrudan
bağlantı, hiçbir veri aktarılmasa bile bu kaynakların başkaları tarafından
kullanılamayacağı anlamına geliyordu. Bu konuşmaları daha küçük parçalara
bölerek birden fazla farklı konuşmadan gelen paketler aynı ağ bağlantılarını
paylaşabilir. Bu aynı zamanda, iki makine arasındaki ağ bağlantılarından birinin
iletişimin ortasında kesilmesi durumunda, görünürde bir bağlantı kaybı
olmaksızın (başlangıçta hiçbir bağlantı olmadığı için) iletimin otomatik olarak
yeniden yönlendirilebileceği anlamına geliyordu.
ARPA
(şimdi DARPA, "Savunma" anlamına gelen D harfi eklenmiştir),
araştırmalarda ileri sıçrayarak teknolojik sürprizleri önlemek için Pentagon
tarafından geliştirilen bir organizasyondu. Bilgisayarlar 1960'ların sonlarında
hızla çoğalıyordu, ancak daha fazla araştırmacı onları kullanmak istiyordu.
ARPA için bu, farklı kurumlardaki kişilerin ülke çapında kullanılmayan
bilgisayar süresinden yararlanmasına olanak sağlayacak yollar bulmak anlamına
geliyordu.
Vizyon,
üniversiteler arasında özel ve pahalı bağlantılardan ziyade, bilgi işlem
kaynaklarının paylaşıldığı, paylaşılan veri bağlantılarından oluşan bir ağdı.
Bireysel makinelerin her biri, gerçek ağ bağlantısını yöneten bir Arayüz Mesaj
İşlemcisine bağlanacaktır. Bu ağ, ilk "Lo"nun evi ve modern siber
çağın başlangıcı olan ARPANET'ti. 1969'da UCLA'dan Stanford'a olan bu ilk
bağlantı, 1972'de kırk düğümü birbirine bağlayacak şekilde büyüdü. Çok geçmeden
dünya çapında daha fazla üniversite ve araştırma merkezi bu ilk ağa katıldı
veya alternatif olarak kendi ağlarını yarattı.
"
internet" olarak sayılmaz . İnternet, birçok farklı ağın, bu durumda
ARPANET'in ötesinde, kısa süre sonra ortaya çıkan ancak bağlantısız kalan diğer
çeşitli bilgisayar ağlarının birbirine bağlanmasını ima eder.
Buradaki
zorluk, farklı ağların çok farklı temel teknolojileri kullanmasıydı. Teknik
sorun, bu farklılıkların soyutlanması ve etkili iletişimin sağlanmasından
kaynaklanıyordu. 1973 yılında çözüm bulundu. O zamanlar Stanford'da profesör
olan Vint Cerf ve ARPA'dan Robert Khan, ortak bir iletim protokolü fikrini
geliştirdiler. Bu "protokol", iletişim bağlantısının her bir ucunun
diğerinden yapması gereken beklentileri belirledi. Bağlantı kurmak için üç
yönlü el sıkışmanın bilgisayar eşdeğeri ile başladı, her bir tarafın yeniden
birleştirilecek mesajları nasıl parçalaması gerektiği ve bant genişliği
kullanılabilirliğini otomatik olarak tespit etmek için iletim hızlarının nasıl
kontrol edileceği ile devam etti.
Modelin
muhteşemliği, iletişimi "katmanlara" ayırması ve her katmanın
bağımsız olarak çalışmasına izin vermesidir. Bu paketler, ses dalgalarından
radyo dalgalarına ve cam elyaf üzerindeki ışık darbelerine kadar her türlü ağ
üzerinden gönderilebilir. Bu tür Aktarım Kontrol Protokolleri veya TCP'ler her
türlü paket protokolü üzerinde kullanılabilir, ancak artık neredeyse yalnızca
modern İnternet'te İnternet Protokolü veya IP adı verilen bir tür kullanıyoruz.
Bu
protokol, bir ağ ağının oluşturulmasını mümkün kıldı. Ancak elbette internet
bununla bitmedi. Yeni bağlantılar makineleri birbirine bağlamada başarılıydı,
ancak insanlar teknolojiyi kendi isteklerine uygun hale getirmede başarılıydı.
İnsanlar araştırma için makineleri paylaştıkça, birbirlerine sohbet oluşturacak
şekilde düzenlenebilecek basit dosyalar içeren mesajlar bırakmaya başladılar.
Bu biraz hantallaştı ve 1972'de teknik danışmanlık firması BBN'den Ray
Tomlinson mesajları okumak, oluşturmak ve göndermek için temel bir program
yazdı. Bu e-postaydı: İnternetin ilk "mükemmel uygulaması." Bir yıl
içinde, başlangıçta araştırma için oluşturulan ağdaki trafiğin çoğunluğu
e-postaydı. Artık ağ bağlantılı iletişim insanlarla ilgiliydi.
Modern
İnternet'i yaratmanın son adımı giriş engellerini ortadan kaldırmaktı. Erken
kullanım, araştırma ve savunma kurumlarındaki ağ bağlantılı bilgisayarlara
erişimi olanlarla sınırlıydı. Bu kuruluşlar özel veri hatları aracılığıyla
iletişim kuruyordu. Ağ bağlantılı iletişimin gözle görülür değeri arttıkça ve
bilgisayarların fiyatı düştükçe, daha fazla kuruluş katılma arayışına girdi.
Verileri ses dalgalarına ve geriye dönüştüren modemler, temel telefon hatlarının
diğer bilgisayarlara bağlantı görevi görmesine olanak sağladı.
Çok
geçmeden, bilgisayar bilimi dışındaki araştırmacılar, yalnızca paylaşılan bilgi
işlem kaynaklarından yararlanmak için değil, aynı zamanda yeni ağ teknolojisini
incelemek için de erişim istediler. ABD Ulusal Bilim Vakfı daha sonra ülke
çapındaki mevcut süper bilgisayar merkezlerini NSFnet'e bağladı; bu ağ o kadar
hızlı büyüdü ki genişleme ticari yönetim gerektirdi. Her yükseltme, daha fazla
talebi, daha fazla kapasite ihtiyacını ve bağımsız olarak organize edilen
altyapıyı beraberinde getirdi. Farklı bölgesel ağlar arasındaki trafiği yöneten
bir “omurga” mimarisi etkili çözüm olarak ortaya çıktı.
Bu
dönem aynı zamanda internetin yaygınlaşmasında kar amacının da devreye
girdiğini gördü. Örneğin, bu noktada Vint Cerf telekomünikasyon firması MCI'ya
katılmıştı. 1983 yılında internetteki ilk ticari e-posta hizmeti olan MCI
mail'in başlatılması çalışmalarına öncülük etti. 1980'lerin sonlarına
gelindiğinde , yeni ortaya çıkan
İnternet'i yönetmenin araştırma topluluğunun işi olmadığı açıkça ortaya çıktı.
Ticari aktörler interneti destekleyen gerekli ağ hizmetlerini sağlayabilir ve
aynı zamanda hevesli tüketiciler haline gelebilir. Bu nedenle Beyaz Saray Bilim
ve Teknoloji Ofisi, omurga hizmetlerini genişletmek ve ticarileştirmek için bir
plan geliştirdi ve bunu yeni İnternet'in gerçek anlamda ilerlemesinin tek yolu
olarak gördü.
Ancak
planlamacılar, ticari devir teslimin son aşamalarının 1990'ların sonlarına kadar tamamlanmadığı on yıllık bir süreç
öngördüler. Neyse ki Tennessee'den genç bir senatör bu işin
hızlandırılması gerektiğine ikna oldu. 1989'da Al Gore, ağın daha hızlı
özelleştirilmesi çağrısında bulunan bir yasa tasarısı yazdı. Daha sonra
"İnternet'in yaratılmasında inisiyatif aldığını" biraz abartmış olsa
da, Kongre'nin işleri hızlandırmaya yönelik bu hamlesi İnternet'in yayılması
açısından hayati önem taşıyordu. Gore 1994'te Başkan Yardımcısı olduğunda, NSF
Bölgesel omurga bağlantılarının resmi kontrolünün özel çıkarlara devredilmesi.
Bu
özelleştirme, daha sonra İnternet'i demokratikleştiren ve popülerleştiren
çeşitli yeni icatlar ve iyileştirmelerle aynı zamana denk geldi. 1990 yılında,
İsviçre'deki Avrupa araştırma merkezi CERN'deki bir araştırmacı, bir dizi
bağlantılı bilgisayar belgesinde bilgi sunmanın nispeten belirsiz bir biçimini
benimsedi ve bunun için yeni bir ağ arayüzü oluşturdu. Bu HyperText Transfer
Protokolü (HTTP) ve bağlantılı belgeleri (URL'ler) tanımlamaya yönelik eşlik
eden bir sistemle Tim Berners-Lee, şu anda baktığımız şekliyle World Wide Web'i
"icat etti". İlginç bir şekilde, Berners-Lee bunu bir akademik
konferansta sunmaya çalıştığında, buluşu resmi bir panel yapmaya bile layık
görülmedi. Bunun yerine koridorda bir poster göstermek zorunda kaldı. Birkaç
yıl sonra, Illinois Üniversitesi'ndeki araştırmacılar, hem web tasarımını
basitleştiren hem de genel halk için yeni "web'de gezinme"
uygulamasını tanıtan Mosaic web tarayıcısını tanıttı.
Kabul
etmek istesek de istemesek de bu dönem pornografi endüstrisinin İnternet
tarihinin ayrılmaz bir parçası olduğunu kanıtladığı dönemdir. Bazı tahminlere
göre tüm İnternet aramalarının yüzde 25'ini oluşturan daha karanlık bir alan
olan müstehcenlik endüstrisi, hem yeni çevrimiçi kullanıcıları hem de anlık
mesajlaşma, sohbet odaları, çevrimiçi satın alma, video akışı, dosya ticareti
ve web kameraları (ve her biri artan talep) gibi yeni çevrimiçi kullanımları
teşvik etti. Bunların çoğu bant genişliğine yerleştirilerek daha fazla temel iş
elde edilmesini sağlar). Silikon Vadisi'ndeki bir düşünce kuruluşu olan Gelecek
Enstitüsü'nden analist Paul Saffo, "Elbette pornografi Web'de önemli bir
rol oynadı" diyor. "Gençler için sivilce ne ise, yeni medya
formatları için de porno odur" dedi. "Bu sadece büyüme sürecinin bir
parçası."
Ve
çok geçmeden ana akım medya internette büyük bir şeyin gerçekleştiği gerçeğinin
farkına varmaya başladı. New York Times'ın 1994'te bildirdiği gibi
(elbette basılı bir gazetede!), "İnternetin ticarileşmesinin artması, onun
Amerikalı bilgisayar bilimcileri için ezoterik bir iletişim sisteminden bilgi
akışını sağlayan uluslararası bir sisteme dönüşmesini hızlandıracaktır.
işletmeler, müşterileri ve tedarikçileri arasında veri, metin, grafik, ses ve
video."
Bakın
gerçekten de.
İnternet Aslında Nasıl Çalışıyor?
Pakistan,
Şubat 2008'de birkaç saat boyunca dünyadaki tüm sevimli kedi videolarını rehin
aldı.
Bu
durum, Pakistan hükümetinin, kendi vatandaşlarının rahatsız edici olduğuna
karar verdiği içeriğe erişimini engellemek amacıyla Pakistan Telekom'a video
paylaşım sitesi YouTube'a erişimi engellemesi emrini vermesiyle ortaya çıktı.
Bunu yapmak için Pakistan Telekom, müşterilerinin bilgisayarlarına YouTube'a
giden en doğrudan yolun Pakistan Telekom olduğu konusunda yanlış bilgi verdi ve
ardından Pakistanlı kullanıcıların gerçek YouTube sitesine ulaşmasını
engelledi. Ne yazık ki şirketin ağı, bu sahte kimlik iddiasını kendi ağının
ötesinde de paylaştı ve YouTube'a giden en doğrudan yolun yanlış haberi,
İnternet'in altında yatan mekanizmalara yayıldı. Kısa süre sonra dünyadaki
İnternet kullanıcılarının üçte ikisinden fazlası sahte YouTube konumuna yanlış
yönlendirildi ve bu da Pakistan Telekom'un kendi ağını kapladı.
Etkiler
geçiciydi ancak olay, İnternet'in nasıl çalıştığını bilmenin öneminin altını
çizdi. Bu anlayışı kazanmanın en iyi yolu, sanal dünyada bilginin bir yerden
başka bir yere nasıl ulaştığını incelemektir. Biraz karmaşık ama kolaylaştırmak
için elimizden geleni yapacağız.
Diyelim
ki çalıştığımız düşünce kuruluşu Brookings Enstitüsü'nün bilgilendirici ve
-eğlenceli de diyebiliriz- web sitesini ziyaret etmek istediniz. Temelde,
cihazınızdan Washington DC'de Brookings tarafından kontrol edilen bir
bilgisayarla konuşmasını istediniz. Makinenizin iletişim kurabilmesi için
bilgisayarın nerede olduğunu öğrenmesi ve bağlantı kurması gerekir.
Bilgisayarınızın bilmesi gereken ilk şey Brookings web
sayfasını barındıran sunucuları nasıl bulacağınızdır. Bunu yapmak için,
İnternet'teki uç noktaların adresi olarak hizmet veren İnternet Protokolü (IP)
numarasını kullanacaktır. Makinenize büyük olasılıkla İnternet servis
sağlayıcınız veya kullandığınız ağ ne olursa olsun otomatik olarak bir IP
adresi atanmıştır. Ayrıca yönlendiricisinin adresini veya daha geniş İnternet'e
giden yolu da bilir. Son olarak bilgisayarınız Etki Alanı Adı Sistemi
sunucusunun adresini bilir.
Alan
Adı Sistemi veya DNS, bilgisayarların alan adlarını (Brookings.edu gibi
insanların hatırlayabileceği isimler) karşılık gelen IP adreslerine
(192.245.194.172 gibi makine verileri) bağladıkları protokol ve altyapıdır. DNS
küreseldir ve merkezi değildir. Mimarisi bir ağaç gibi düşünülebilir. Ağacın
"kökü", Alan Adı Sistemi için yönlendirme noktası görevi görür. Bunun
üstünde üst düzey alanlar vardır. Bunlar .uk gibi ülke kodlarının yanı sıra
.com ve .net gibi diğer alan adlarıdır. Daha sonra bu üst düzey alanların her
biri alt bölümlere ayrılır. Pek çok ülkede sırasıyla iş ve akademik kurumları
belirtmek için co.uk ve ac.uk gibi belirli ikinci düzey alan adları bulunur.
Üst
düzey alan adları kulübüne giriş, 1998 yılında daha önce ICANN tarafından
gerçekleştirilen çeşitli İnternet yönetimi ve operasyon görevlerini yürütmek
üzere kurulmuş, kar amacı gütmeyen özel bir kuruluş olan İnternet Tahsisli
Sayılar ve İsimler Kurumu (ICANN) aracılığıyla uluslararası olarak kontrol
edilmektedir. ABD hükümet kuruluşları.
Her
üst düzey alan adı, alan adlarıyla ilgili kendi iç politikalarını belirleyen
bir kayıt defteri tarafından çalıştırılır. Brookings, Apple veya ABD Dışişleri
Bakanlığı gibi kuruluşlar, alan adlarını kayıt şirketi adı verilen aracılar
aracılığıyla edinir. Bu kayıt şirketleri, her bir üst düzey alan adındaki alan
adlarının benzersiz kalmasını sağlamak için birbirleriyle koordineli çalışır.
Buna karşılık, her alan adı mail.yahoo.com gibi kendi alt alan adlarını
yönetir.
Brookings
etki alanına ulaşmak için bilgisayarınız bir dizi çözümleyici aracılığıyla DNS
sistemini sorgulayacaktır. Temel fikir ağacın seviyelerine çıkmaktır. Kökten
başlayarak Educause tarafından yönetilen .edu kaydına işaret edilecektir.
Educause, .edu'da kayıtlı her alan adının listesini tutan yaklaşık 2.000 eğitim
kurumunun organizasyonudur. Daha sonra bilgisayarınız bu listeden Brookings'in
dahili isim sunucusunun özel IP adresini öğrenecektir. Bu, Brookings alanı
içinden içerik veya uygulamalarla ilgili belirli sorguların yanıtlanmasına olanak
tanıyacaktır. Daha sonra Brookings ad sunucusu, onu barındıran makinenin IP
adresini döndürerek bilgisayarınızı aradığı belirli içeriğe yönlendirecektir.
Gerçekte
bu süreç biraz daha karmaşıktır. Örneğin, sunucular genellikle gelecekte
kullanılmak üzere verileri yerel olarak önbelleklerde saklar, böylece her
sorgunun köke gitmesine gerek kalmaz ve protokol, hataları öngörülebilir
şekilde ele almak için belirli hata koşullarını içerir. Ancak yukarıdaki kaba
taslak her şeyin nasıl çalıştığına dair bir fikir veriyor.
Artık
bilgisayarınızda verilerin konumu olduğuna göre, bu veriler bilgisayarınıza
nasıl ulaşacak? Brookings'teki sunucunun makinenize veri göndermesi gerektiğini
ve verilerin oraya ulaşması gerektiğini bilmesi gerekiyor. Şekil 1.1, isteği paketlere
bölüp İnternet üzerinden göndererek bilgisayarınızın bir web sayfasını nasıl
istediğini göstermektedir. İlk olarak, uygulamanın "katmanında",
tarayıcınız farenizin tıklamasını, içeriğin nasıl isteneceğini ve iletileceğini
tanımlayan Köprü Metni Aktarım Protokolü'ndeki (HTTP) bir komut olarak
yorumlar. Bu komut daha sonra taşıma ve ağ katmanlarına aktarılır. Aktarım,
verileri paket boyutunda parçalara bölmekten ve tümünün
Bilgisayarınız
bir web sitesiyle nasıl konuşur?
3.
Your computer sends packets to
the local network. IP
Packets 7. The web server reassembles the packets, and
interprets 6. Website’s ISP sends the traffic to the web
server.
Şekil 1.1
parçalar
hatasız olarak ulaşır ve yukarıdaki uygulama katmanı için doğru sırayla yeniden
birleştirilir. Ağ katmanı, paketlerin İnternet'te gezinmesi için elinden
gelenin en iyisini yapmaktan sorumludur. Göndermeye ve almaya çalıştığınız
veriyi bir bilgi paketi olarak düşünürseniz, taşıma katmanı paketlerin
paketlenmesinden ve alınmasından, ağ ise bunların kaynaktan hedefe
taşınmasından sorumludur. Hedefe vardıklarında paketler yeniden birleştirilir,
kontrol edilir ve ardından uygulamaya geri gönderilir; bu durumda, istediğiniz
web içeriğini size gönderen bir web sunucusuna gönderilir.
Peki
paketler İnternet üzerinden hedeflerine nasıl ulaşacaklarını nasıl biliyorlar?
Bilgisayarınızın aradığı web sitesini bulmasına yardımcı olan DNS gibi,
İnternet ağlarının organizasyonu da bir hiyerarşi olarak düşünülebilir. Her
bilgisayar, bir İnternet servis sağlayıcısının (ISP) tüm müşterilerini
birbirine bağlayan ağ gibi bir ağın parçasıdır. İSS'ler esasen İnternet'e
erişimin yanı sıra e-posta veya web sitesi barındırma gibi diğer ilgili
hizmetleri sağlayan kuruluşlardır. İSS'lerin çoğu özel, kar amacı güden
şirketlerdir; bu şirketler arasında, saha yaygınlaştığında İnternet erişimi
sunmaya başlayan bazı geleneksel telefon ve kablolu TV firmaları da vardır;
diğerleri ise devlete veya topluluğa aittir.
Bu
ağlar, küresel internette Otonom Sistemler (AS) adı verilen düğümleri
oluşturur. Otonom Sistemler İnternet bağlantılarının mimarisini tanımlar.
Trafik, AS aracılığıyla yerel olarak yönlendirilir ve o kuruluşun politikaları tarafından
kontrol edilir. Her AS'nin bir dizi bitişik IP adresi bloğu vardır ve bu
hedefler için "ev"i oluşturur. Hepsinin başka bir AS ile en az bir
bağlantısı varken, büyük İSS'lerin birçok bağlantısı olabilir. Dolayısıyla,
belirli bir IP adresine yönlendirme, yalnızca onun AS'sini bulma meselesidir.
Ancak
bir sorun var: İnternet büyük. Bugün internette 40.000'den fazla AS düğümü var
ve bunların ara bağlantıları zaman içinde değişiyor ve değişiyor. Bu ölçek göz
önüne alındığında, her şeyi aynı şekilde yönlendirmeye yönelik küresel bir
yaklaşım imkansızdır.
Bunun
yerine İnternet, ağın herhangi bir zamanda nasıl göründüğüne dair kalıcı bir
vizyon sağlamayan dinamik, dağıtılmış bir sistem kullanır. Yönlendirme ilkesi
oldukça basittir: Ağdaki her noktada bir yönlendirici, gelen paketin adresine
bakar. Hedef ağ içerisinde ise paketi saklar ve ilgili bilgisayara gönderir.
Aksi takdirde, paketi hedefine daha yakın bir yere göndermek için bir sonraki
en iyi adımı belirlemek üzere bir yönlendirme tablosuna başvurur.
Şeytan
bu yönlendirme tablosunun yapısının ayrıntılarında gizlidir. Küresel bir adres
defteri olmadığından ağdaki düğümler, hangi IP adreslerinden sorumlu oldukları
ve başka hangi ağlarla konuşabilecekleri gibi önemli bilgileri diğer
yönlendiricilerle paylaşmak zorundadır. Bu süreç, İnternet yönlendirme
sürecinden ayrı olarak "kontrol düzlemi" olarak bilinen yerde
gerçekleşir. Yönlendiriciler ayrıca komşularına bilgi aktararak ağın durumu ve
kimin kiminle konuşabileceği hakkında güncel haberler paylaşırlar. Daha sonra
her yönlendirici, gelen trafiğin en iyi şekilde nasıl yönlendirileceğine
ilişkin kendi dahili, geçici modelini oluşturur. Bu yeni model, yönlendiricinin
komşularının artık yeni trafiği nasıl aktaracağını bilmesi için paylaşılıyor.
Bu
kulağa karmaşık geliyorsa, bunun nedeni budur! Yalnızca birkaç sayfada, onlarca
yıl süren bilgisayar bilimi araştırmalarının yarattığı şeyleri özetledik. Siber
güvenliğin çıkarımı, tüm sistemin güvene dayalı olmasıdır. Verimli çalışan bir
sistemdir, ancak kazara veya kötü niyetli olarak sisteme kötü veri beslenmesi
yoluyla bozulabilir.
Pakistan
örneği, bu güvenin kötüye kullanılması durumunda neler olabileceğini
gösteriyor. Hükümet, YouTube'a hizmet veren IP adresine doğrudan erişime sahip
olduğunu iddia ederek "İnternet'i kırdı". Bu dar görüşlü, yerel ve
siyasi amaçlı bir duyuruydu. Ancak İnternet'in çalışma şekli nedeniyle, çok
geçmeden Asya'daki her ISP, yalnızca Pakistan'ın asıl amaçlanan hedeften daha
yakın olduğuna inandıkları için tüm YouTube trafiğini Pakistan'a yönlendirmeye
çalıştı. Oluşturdukları modeller yanlış bilgilere dayanıyordu. Daha fazla ağ
bunu yaptıkça komşuları da YouTube'un Pakistan'ın IP adresi olduğuna inanmaya
başladı. Google mühendisleri ağ üzerinde doğru rotaların reklamını yapana kadar
tüm bu karışıklık çözülmedi.
Özetle,
İnternet'in temel merkezi olmayan mimarisini anlamak, siber güvenlik için iki
anlayış sağlar. İnternetin yukarıdan aşağıya koordinasyon olmadan nasıl
işlediğine dair bir değerlendirme sunar. Ancak bu aynı zamanda İnternet
kullanıcılarının ve kapı denetleyicilerinin düzgün davranmasının önemini ve
belirli yerleşik tıkanıklıkların, eğer yapmazlarsa nasıl büyük güvenlik
açıkları yaratabileceğini de gösteriyor.
Kim Çalıştırıyor? İnternet Yönetişimini Anlamak
1998
yılında, bir bilgisayar araştırmacısı ve ağ topluluğunun saygın bir lideri olan
Jon Postel, sekiz kişiye zararsız görünen bir e-posta gönderdi. Onlardan
sunucularını, İnternet trafiğini Herndon, Virginia'daki bir bilgisayar yerine
Güney Kaliforniya Üniversitesi'ndeki bilgisayarını kullanarak yönlendirecek
şekilde yeniden yapılandırmalarını istedi. Bunu hiç sorgulamadan yaptılar,
çünkü (orijinal ARPANET'i kuran ekibin bir parçası olan) Postel, ağın
adlandırma sisteminin birincil yöneticisi olarak hizmet veren, alanda bir
simgeydi.
Postel
bu tek e-postayla internetin ilk darbesini gerçekleştirdi. E-posta gönderdiği
kişiler, tüm isim sunucularını kontrol eden on iki kuruluştan sekizini
yönetiyordu; bilgisayarlar, "Brookings.edu" gibi bir alan adını,
bilgisayar tarafından adreslenebilir bir IP adresine dönüştürmekten nihai
olarak sorumluydu. İnternetin kök sunucularının üçte ikisini uzaklaştırdığı
Virginia, ABD hükümeti tarafından kontrol ediliyordu. Postel daha sonra
İnternet'in kök sunucularının çoğunluğunun kontrolünü yalnızca bir
"test" olarak ele geçirdiğini söylerken, diğerleri onun onun olduğunu
düşünüyor. Bunu protesto amacıyla yaptı ve ABD hükümetine "İnternetin
kontrolünü, ağı son otuz yılda kuran ve sürdüren geniş araştırmacı topluluğunun
elinden alamayacağını" gösterdi.
Postel'in
"darbesi", teknik alan için bile yönetişim konularının hayati rolünü
göstermektedir. İnternet küçük bir araştırma ağından dijital toplumumuzun
küresel desteğine dönüştükçe, onu kimin yönettiğine dair sorular giderek daha
önemli hale geldi. Veya, Eric Schmidt'in (daha sonra Google olarak bilinen
küçük bir firmanın CEO'su oldu) 1997'de San Francisco'daki bir programcılar
konferansında söylediği gibi: "İnternet, insanlığın inşa ettiği ve
insanlığın anlamadığı ilk şeydir, dünyadaki en büyük deneydir. şimdiye kadar
yaşadığımız anarşi."
Kilit
karar noktaları, birlikte çalışabilirlik için teknik standartlar,
bilgisayarlara paket gönderip almalarına olanak tanıyan bir adres veren IP
numaralarının dağıtımı ve İnternet adlandırma sisteminin yönetimi etrafında
döner. İlginçtir ki, en fazla çatışmayı yaratan şey, adlandırmanın teknik ve
teknik olmayan yönlerinin kesiştiği bu son kategoridir.
İnternetin
operasyonları, bağımsız aktörlerin standartlar olarak bilinen, birlikte
çalışabilirliği garanti eden temel kurallara uymasını gerektirir. Bu
standartlara dayalı yaklaşım, ilk sistemleri oluşturan mühendislerin önerilen
standartlar hakkında geri bildirim almak için Yorum İstekleri (RFC'ler)
yayınladığı İnternet'in başlangıcına kadar uzanır . Zamanla, ağ mühendisleri
ve araştırmacılarından oluşan bu grup, İnternet Mühendisliği Görev Gücü (IETF)
adı verilen uluslararası, gönüllü bir standartlar organizasyonuna dönüştü.
IETF, yeni İnternet standartları ve protokolleri geliştirir ve daha iyi
performans için mevcut olanları değiştirir. IETF tarafından geliştirilen her
şey yönlendirme, uygulamalar ve altyapı gibi alanlara yoğunlaşan belirli
çalışma gruplarının kapsamına girer. Bu gruplar çoğunlukla e-posta listeleri
aracılığıyla çalışan açık forumlardır ve herkes katılabilir. İçlerindeki
bireylerin çoğu büyük teknoloji firmalarından geliyor ancak hiçbir aktör ya da
küçük parti, fikir birliğine dayalı olan süreci hızlandıramaz.
Açıklık
ve hatta kaprisli olma duygusu IETF kültürü için kritik öneme sahiptir. Bazı
çalışma grubu toplantılarında üyeler bir önerinin lehinde veya aleyhinde
mırıldanarak bir konu üzerinde karara varırlar. En yüksek uğultu avantajına
sahip olan teklif kazanır. Kulağa biraz saçma gelse de, orijinal İnternet
yaratıcılarının fikir birliğini teşvik etme ve kararlara nispeten hızlı bir
şekilde ulaşma etiğini sürdürmenin bir yolu olarak görülüyor. Sistemi kötüye
kullanmadığınız sürece uğultu sesi aynı zamanda anonimlik düzeyinin korunmasına
da yardımcı olur: Yani, ağzınızı açmadan mırıldanabilirsiniz veya
mırıldanamazsınız, ancak bir oylamayı çok açık bir şekilde etkilemeden daha
yüksek sesle mırıldanmak zordur . bu da tepkiye yol açacaktır.
Çalışma
grubu üyelerini harekete geçiren eğlence duygusuna rağmen güvenlik, sistemdeki
temel kaygılardan biridir. Belirli güvenlik konularına odaklanan çalışma
gruplarına ek olarak, önerilen her standartta açık bir "Güvenlik
Hususları" bölümü bulunmalıdır. Ayrıca, bir güvenlik müdürlüğü, çalışma
gruplarından Yönlendirme Grubuna iletilen tüm önerilen standartları inceler.
IETF'nin
resmi bir kurulu veya resmi liderliği olmasa da, İnternet Mühendisliği
Yönlendirme Grubu (IESG), hem standartlar süreci hem de standartların kendisi
için gözetim ve rehberlik sunmaktadır. Buna karşılık, 1900'lerin başlarında
orijinal ARPANET yönetiminin teknik danışma kurulundan gelişen İnternet
Mimarisi Kurulu (IAB), IESG'nin daha fazla gözetimini sunmaktadır.
Bu
kuruluşların her ikisi de, 1992'de kurulan ve teknik standartlar sürecinin
çoğunu denetleyen uluslararası bir grup olan İnternet Topluluğunun veya
ISOC'nin himayesi altındadır. ISOC, İnternet yönetişiminin sadece teknik
koordinasyon konularının ötesine geçmesiyle ortaya çıktı. Web küreselleştikçe ve
şirketler İnternet işlerine bağımlı olmaya başladıkça, giderek daha fazla
katılımcı sistemin şu ya da bu yöndeki evriminde mali ya da politik çıkar
sahibi oldu. Kuruluşlar süreç konusunda anlaşmazlığa düşmeye başladı ve ABD
hükümetinin merkezi katılımı birçok kişiyi endişelendirdi. ISOC, bağımsız ve
açık standart süreçlerini korumaya yönelik resmi, yasal araçlar sunmak amacıyla
bağımsız, uluslararası bir kuruluş olarak kuruldu. ISOC'un gücü üyeliğinden
kaynaklanmaktadır; herhangi bir kişiye ve bir ücret karşılığında her kuruluşa
açıktır. Bu üyeler daha sonra mütevelli heyeti seçerler ve onlar da IESG'nin
yönetişim sürecini ve rehberlik ettikleri çalışma gruplarının sürecini
denetleyen IAB'ye liderlik atarlar.
Bu
alfabe çorbasını, bir arada iç içe geçmiş gayri resmi, yarı resmi ve resmi
grupların bir karışımı olarak hayal edin. Bu yapı yüksek derecede bağımsızlığı
teşvik ederken aynı zamanda İnternet topluluğuna karşı hesap verebilirliğe de
izin vermektedir. Siyasi ve mali nedenlerden kaynaklanan anlaşmazlıklar olsa
da, konu standartların geliştirilmesine geldiğinde, süreç şu ana kadar işleyen
bir İnternet'i sürdürme konusunda küresel olarak ortak ilgiyi teşvik etti.
Ancak
bu ortak çıkar etiği, mülkiyet hakları ve internetteki diğer kıt kaynaklarla
uğraşırken daha da zorlaşıyor. İnternet görünüşte sonsuz büyüklükte olabilir
ama yine de sıfır toplamlı oyunlara sahiptir. IP adresleri ve etki alanları
gibi tanımlayıcıların benzersiz olması gerekir; birden fazla taraf aynı IP
adresini kullanmaya çalışırsa veya bir etki alanı adını rakip bir adrese
çözümlemek isterse İnternet çalışmaz. İlk gözetim rollerinden biri bu sayıları
ve isimleri paylaştırmaktı. Ortaya çıkan şey, ABD hükümetinin ve orijinal
teknolojiyi geliştiren ilk araştırmacıların ortak çabası olan İnternet Tahsisli
Sayılar Otoritesi'ydi. Ancak İnternet büyüdükçe bu sürecin kontrolü daha da
önem kazandı. İsim ve numara atamak, internete kimin ve nasıl erişebileceğinin
kontrol edilmesi anlamına geliyordu. Jon Postel'in “darbesi” daha şeffaf ve
erişilebilir bir yönetim yapısına duyulan ihtiyacı ortaya koydu.
Ticari
internete yönelik artan baskı ve Amerikalıların ağı sonsuza kadar kontrol
etmeyi bekleyemeyeceği gerçeğinin ortaya çıkması, bu yeni yapının ABD hükümeti
tarafından yönetilemeyeceği anlamına geliyordu. 1998 yılında, kamuoyundan ve
önde gelen İnternet liderlerinden ve kuruluşlarından görüş alan bir anket
döneminin ardından sorumluluk, "İnternetin coğrafi ve işlevsel
çeşitliliğini yansıtan" bir yönetim yapısına sahip bağımsız bir şirkete devredildi.
İnternet Tahsisli Sayılar ve İsimler Kurumu veya ICANN doğdu.
Kaliforniya'da
kâr amacı gütmeyen bir kuruluş olarak görevlendirilen ICANN, İnternet'in
küresel doğasını daha uygun şekilde yansıtan IP adreslerini dağıtmak için
yapılandırılmış bir yöntemi harekete geçirdi. 2004 yılında Kuzey Amerika,
Avrupa ve Asya'daki, ardından Latin Amerika ve son olarak Afrika'daki bölgesel
otoriteler bu görevi devraldılar ve bugün de bu rolü yerine getirmeye devam
ediyorlar.
ICANN'de
her şey kolay değildir. Etki alanları internetteki kimliği tanımlar ve bu da
güçlü ticari ve politik çıkarları çatışmaya sokar. Kimin hangi İnternet
kimliğini alacağına ilişkin kararlar doğası gereği kazananlar ve kaybedenler
yaratır; .tech gibi yeni üst düzey alan adlarının eklenmesi, yeni iş modellerine
olanak sağlar ancak "gecekonducuları" savuşturmak amacıyla ticari
marka koruması için daha fazla harcama gerektirir. Ticari markaların kendileri
risk oluşturabilir. Örneğin, adında "Apple" bulunan birçok işletmeden
hangisinin apple.com'u alacağına karar vermek için bir süreç gerekiyordu. Aynı
zamanda bu süreç, <herhangi bir ticari markayı ekleyin gibi ifade özgürlüğü
fırsatlarını reddedecek şekilde bozulamazdı. sevmediğiniz isim>sucks.com. Bu
süreç ulusal kimlikle ilgili sıcak konulara bile değindi. Uluslar
bağımsızlığını kazandığında veya iç savaşa sürüklendiğinde ülkelerinin üst
düzey alanını kim kontrol ediyor? Batı Sahra'da kırkın her iki tarafı da
-yıllık çatışma üst düzey alan adı .eh'in haklarını talep ediyor.
ICANN'in
süreci ve yönetimi daha da fazla tartışmaya yol açtı. Politika akademisyenleri,
organik, açık ancak temsili olmayan yaklaşımını tanımlamak için "çok
paydaşlı süreç" terimini kullanıyor. Kararların fikir birliği ile alınması
beklenirken, bir dizi danışma komitesi de İnternet'in sorunsuz işleyişinde
kilit grupların temsil edilmesine yardımcı oluyor. İnternet servis
sağlayıcıları ve fikri mülkiyet topluluğu gibi. Dünyanın her yerindeki ulusal
çıkarlar, Hükümet Danışma Komitesi aracılığıyla temsil edilmektedir. Ancak bu
çok paydaşlı model, bazıları için güçlülerin lehine tasarlanmış gibi
görünmektedir. Hükümetler ve büyük ticari çıkarlar bunu karşılayabilir. kar
amacı gütmeyen sivil toplum grupları masaya oturacak kaynaklara sahip
olmayabilirken, birçoğu özel çıkarların karar vericiler arasında çok fazla
temsil edildiğini savunuyor. Diğerleri ise bunun daha geleneksel olmasını
istiyor. Birleşmiş Milletler'in "tek devlet, tek oy" modelini takip
etme eğiliminde olan uluslararası kuruluşlar.
İnternet
yönetimini küreselleştirme çabalarına rağmen birçok kişi hâlâ ICANN'i ABD
çıkarlarının esiri olarak görüyor. İsim ve numara atamanın kontrolü hala
görünürde ABD Ticaret Bakanlığı'na ait olup, yenilenebilir sözleşmeyle ICANN'e
devredilmektedir. Yani, yönetim işlevi endüstri liderliğindeki bir kuruluş
tarafından yürütülürken, ABD genel kontrolü elinde tutuyor. Her ikisinin de
statükoyu koruma konusunda kazanılmış çıkarı var.
Buradaki
zorluk elbette başka hiçbir kurumun veya sürecin ICANN'in yerini kolaylıkla
alamamasıdır. ICANN'i eleştirmek kolay olsa da, dünyanın dört bir yanından ve
karmaşık politika konularının tüm yönlerinden bu kadar geniş bir yelpazedeki
çıkarları temsil etmesi ve dengelemesi gereken alternatif bir kuruluş için
pratik bir model yoktur.
Siber
güvenlikle ilgili bu yönetişim sorunlarının çıkarımı, yalnızca güven ve açık
fikirliliğin İnternet'in büyümesinde oynadığı önemli rol değil (artan güvenlik
endişeleri nedeniyle zorlanan yönler), aynı zamanda İnternet'in her zaman
tehditlere meydan okuyan bir alan olarak kabul edilmesidir. Geleneksel yönetim
modelleri. 1992 yılında, İnternet öncüsü MIT'den David Clark, topluluğa yönelik
cesur vecizesini ortaya koydu:
Reddediyoruz:
kralları, başkanları ve oylamayı.
Biz
inanıyoruz: kaba fikir birliği ve kod çalıştırma.
Bu
alıntı geniş çapta yayıldı. Daha az bilinen ise Clark'ın bir sonraki slaytında
yazdığı şey: "Neyde kötüyüz? Boyutumuzla eşleşecek şekilde sürecimizi
büyütüyoruz.”
İnternette Köpek Olup Olmadığınızı Nasıl
Biliyorlar? Kimlik ve Kimlik Doğrulama
Carnegie
Mellon Üniversitesi profesörü Alessandor Acquisti'nin eğlenceli ama korkutucu
bir parti numarası var: Ona yüzünüzün çevrimiçi bir resmini gösterin, o da
Sosyal Güvenlik numaranızı tahmin edecek.
Acquisti'nin
bunu nasıl yaptığını anlamak, Amerikalı olmayanlar (bu sözde gizli Sosyal Güvenlik
numaralarına sahip olmayanlar) için bile faydalıdır çünkü kimlik ve kimlik
doğrulamanın öyküsünü ve bunların nasıl ters gidebileceğini gösterir. Acquisti
ilk olarak bir sosyal ağ sitesinde yüzünüzü bulmak için görüntü eşleştirme
teknolojisini kullanıyor. Çoğu insanda olduğu gibi doğum tarihiniz ve
doğduğunuz şehir çevrimiçi olarak listeleniyorsa, zamanı ve konumu Sosyal
Güvenlik numaranızdaki dokuz rakamın ilk beşine bağlayan kalıpları
kullanabilir. O zaman bu sadece kalan rakamlar için bir sayı tahmin oyunudur.
Delaware gibi küçük bir eyaletten geliyorsanız Sosyal Güvenlik numarası 10
denemeden daha kısa sürede belirlenebilir.
Teorik
olarak kimsenin umursamaması gerekiyor çünkü Sosyal Güvenlik numaraları hiçbir
zaman gizli olmayacaktı. 1972'den önce Sosyal Güvenlik kartlarının üzerinde
“Kimlik Tespit Amaçlı Değil” yazıyordu. Ancak bilgisayarları insanları takip
etmek için kullanmaya başladıkça, bilgisayarların bireyleri ayırt etmesi kritik
hale geldi. Birinin adını tek başına kullanmak yeterli değildi: Ayrıca var.
Dünyada pek çok John Smith vardı. Her veri tabanında, her kayda, o kişiye özel
bir tanımlayıcıyla erişilmesi gerekiyordu. Ve her Amerikalının benzersiz bir
Sosyal Güvenlik numarası olduğundan, bunu kullanmak daha kolaydı.
Şimdiye
kadar, çok iyi. Numara sadece bilgisayarda birisini aramanın bir yoluydu. Ancak
bu sayı aynı zamanda iki sistemin de aynı kişiden bahsettiğini bilmesinin yolu
oldu. Çok geçmeden Sosyal Güvenlik numarası banka hesaplarını, vergi
ayrıntılarını ve diğer her türlü kişisel bilgiyi takip etmek için kullanılmaya
başlandı. Bu arada kuruluşlar, Sosyal Güvenlik numaraları yayınlanmadığı için
bunların kamuya açık olmadığını, kamuya açık değilse de gizli olması
gerektiğini varsaydılar. Yanlış.
Bilgisayar
dünyasında "kimlik belirleme", bir varlığın o varlıkla ilgili bazı
bilgilerle eşleştirilmesi eylemidir. Bu, bir kişi ile kişinin iddia ettiği isim
arasındaki ilişkiyi kabul eden bir fantezi futbol web sitesi kadar sıradan veya
çok kritik olabilir. Bilinci yerinde olmayan bir hastayla tıbbi kayıtların
eşleştirilmesi.
Kimlik doğrulamayı, kimlik doğrulamanın kanıtı olan
"kimlik doğrulamadan" ayırmak önemlidir. Bu kanıt, geleneksel olarak "bildiğiniz
bir şey, sahip olduğunuz bir şey veya olduğunuz bir şey" olarak
tanımlanır. "Bildiğiniz" şey, temel şifredir. model. Bu, muhtemelen
yalnızca doğru kişi tarafından bilinen bir sırdır. "Sahip olduğunuz"
bir şey, erişimi sınırlı olan ve dolayısıyla yalnızca doğru kişinin sahip
olabileceği fiziksel bir bileşeni ifade eder . Banka ATM'lerinde bu, bir
karttır. , son zamanlarda ise cep telefonu, tek kullanımlık kod içeren kısa
mesajları almak için fiili bir kimlik doğrulayıcı haline geldi. Bu tek
kullanımlık kodu girerek, Web'de işlem yapan kişiler, doğrulanmış cep
telefonunun kontrolüne sahip olduklarını gösterir. mesajları almak. Son olarak,
tanınabilir bir şey aracılığıyla "kim olduğunuzu"
kanıtlayabilirsiniz. Bu genellikle kişinin kişisini ifade ettiğinden buna
"biyometrik" diyoruz. Biyometri, başka bir insanın yüzünüzü tanıması
kadar basit veya bir bilgisayar kadar karmaşık olabilir. Gözünüzün retinasını
tanıyan sensör.
Bu
kanıtların zayıf yönleri var. Şifreler tahmin edilebilir veya kırılabilir ve
bilişsel bir yük gerektirir (bunları ezberlemeniz gerekir). Farklı bağlamlarda
yeniden kullanılırlarsa, bir sistemi kırmak, saldırganın diğerlerine girmesine
olanak tanır. "Sahip olduğunuz" şeyler çalınabilir veya sahte
olabilir. Biyometri bile tehlikeye girebilir. Örneğin, sözde benzersiz parmak
izleri gerektiren erişim okuyucuları, Sakızlı Ayı şekerine basılan sahte parmak
izleri ile veya çok daha korkunç bir şekilde, kesilmiş bir parmağın makineye
basılmasıyla kandırılmıştır (Rus mafya üyeleri ironik bir şekilde bundan pek
hoşlanmıyor gibi görünmektedir). sevimli, ayı şeklinde şeker).
Bu
önlemleri destekleyecek çeşitli mekanizmalar vardır. Bunlardan biri, kişilerin
söyledikleri kişi olduklarını doğrulamak için güvenilir arkadaşlarla iletişime
geçmektir. Bu fikir, "Her şey kimi tanıdığınızla ilgilidir"
şeklindeki eski sözden alınmıştır, çünkü karşılıklı olarak güvenilen bir
arkadaş, söz konusu kişinin iddia edilen kimliğe uygun olduğunu doğrulayabilir.
Diğer sistemler kontrolleri kandırmanın maliyetini de hesaba katıyor. Herkes
belirli bir kimliğe sahip olduğunu iddia eden bir web sitesi oluşturabilir, ancak
Twitter veya Facebook gibi ilgili bir sosyal medya platformunda aktif ve uzun
süreli bir varlığı sürdürmek zaman ve çaba gerektirir. Burada da yine bunlar
hacklenebilir veya sahte olabilir, ancak bunu başarmak saldırgana çok daha
büyük bir maliyet getirir.
Kimlik
doğrulamadan sonra yetkilendirme yapılır. Artık bir sistem sizin kim olduğunuzu
bildiğine göre ne yapabilirsiniz? Klasik bilgisayar güvenliğinde yetkilendirme,
ağ dosyalarına erişim izni vermekle ilgiliydi ancak giderek daha fazla
birbirine bağlanan dünyamızda, yetki kazanmak neredeyse her şeyin kapısını
açabilir. Yetkilendirme, bu teknik konuları politika, iş, siyasi ve ahlaki
sorulara bağlayan kısımdır. Kişinin, çevrimiçi kumar sitesindeki hesap gibi bir
şeyi satın alma yetkisi var mı? Öyle olsa bile birey katılacak kadar yaşlı mı?
Veya, biraz daha büyük bir dünya sahnesinde, sırf birisinin bir ordunun gizli
ağlarına erişimi olduğu için, bu kişinin bu ağlardaki her dosyayı okuma ve
kopyalama yetkisine sahip olması gerekir (Bradley Manning ve Edward'daki ABD
ordusunun rahatsız edeceği bir uygulama). Snowden sızdırıyor)?
Tüm
sorun belki de tarihte en çok alıntı yapılan karikatürlerden birinde en iyi
şekilde resmedilmiştir. 1993 yılında New Yorker dergisi Peter Steiner'in
bilgisayarın yanında oturan iki köpeği gösteren bir çizimini yayınladı.
Köpeklerden biri diğerine şöyle diyor: "İnternette kimse senin köpek
olduğunu bilmiyor."
Ancak
bu, insanların isterlerse sizinle ilgili özel bilgileri öğrenemeyecekleri
anlamına gelmiyor. İnternetteki her etkinlik, bir İnternet Protokolü (IP)
adresinden yönlendirilen verilerdir. Önceki bölümde gördüğümüz gibi IP adresi,
İnternet'teki adreslenebilir bir bağlantıya atanan sayısal bir etikettir. Çoğu
tüketici için IP adresi, cihazlarına kalıcı olarak atanmamaktadır. Bunun yerine
IP adresi dinamik olacaktır. Tüketicinin İnternet servis sağlayıcısı belirli
bir süre için bir IP adresi atayacaktır, ancak tüketicinin bağlantısı
kesildikten sonra bu adres başka birine yeniden atanabilir. Bununla birlikte,
eğer bir İnternet servis sağlayıcısı ilgili verileri saklıyorsa, belirli bir
tarih ve saatteki IP adresini belirli bir hizmet abonesiyle ilişkilendirebilir.
IP
adresi tek başına kimliği belirlenebilir bir kişi hakkında bilgi değildir.
Ancak coğrafi konum ve bireyin internete erişim araçları hakkında bazı bilgiler
sağlayabilir. Gizlilik savunucularını ilgilendiren konu, IP adresinin diğer
bilgilerle nasıl birleştirilebileceği (veya diğer bilgilerle makul şekilde
birleştirilebileceği) potansiyelidir. Bu çevrimiçi ve çevrimdışı bilgileri
yeterince birleştirebilirseniz kimin neyi, nerede yaptığına ilişkin yüksek
olasılıklı bir tahmin yapmak için yeterli veriye sahip olabilirsiniz. Örneğin,
2012 yılında CIA direktörü General David Petraeus'u saran skandalda FBI,
metresinin kaldığı ortaya çıkan bir otelin iş merkezine bir dizi tehdit
e-postası gönderen isimsiz kişinin izini sürmeyi başardı .
Kimlik
hakkında toplanan bilgiler kimlik kanıtı ile aynı değildir. IP adresine
güvenmek, sürücüleri tanımlamak için plakalara güvenmek gibi olacaktır. Bilgili
bir kullanıcı, aktivitelerini İnternet'teki başka bir noktaya yönlendirerek,
orijinal trafikten o düğümün sorumlu olduğu izlenimini vererek IP adresini
kolayca gizleyebilir veya gizleyebilir. Bununla birlikte, toplanabilecek ve
saklanması daha zor olan birçok başka veri türü de vardır. Bireysel
kullanıcıların bir web sitesine nasıl göz attığına ve tıkladığına ilişkin
kalıplar bile onları tanımlamak için kullanılabilir.
tanımlayıp
doğrulayabileceğimize ilişkin bu soru, nasıl yapmamız gerektiği sorusundan
farklı bir sorudur . Bir partide Sosyal Güvenlik numaranızın ortaya çıkmasını
istememiş olabilirsiniz. Ya da o köpek, en azından ikiniz birkaç çevrimiçi
randevuya daha çıkana kadar kimliğinin gizli kalmasını tercih etmiş olabilir.
Siber
güvenlik amaçları açısından, sonuç olarak dijital kimlik, bilgiyi koruma ve
paylaşma arasında bir dengedir. Edinilen bilgilerin sınırlandırılması yalnızca
mahremiyet açısından iyi olmakla kalmaz, aynı zamanda başkalarının daha
karmaşık kimlik doğrulama dolandırıcılığı amacıyla bilgi edinmesini de
engelleyebilir. Aynı zamanda her sistemin topladığı veri miktarını en üst
düzeye çıkarma ve bu verileri kendi amaçları için kullanma teşvikleri vardır.
Zaten “Güvenlik” Deyince Neyi Kastediyoruz?
Güvenlik
sektöründe herhangi bir bilgisayarın güvenliğinin nasıl sağlanacağı konusunda
eski bir şaka vardır: Fişi prizden çekin.
Sorun
yalnızca kablosuz ve şarj edilebilir cihazlar çağında şakanın geçerliliğini
yitirmesi değil, aynı zamanda bir makine prize takıldığında, kullanımının
amaçlanan amacından sapabileceği neredeyse sonsuz sayıda yol bulunmasıdır. Bu
sapma bir arızadır. Beklenen davranış ile gerçek davranış arasındaki fark bir
düşmandan kaynaklanıyorsa (basit bir hata veya kaza yerine), o zaman arıza bir
"güvenlik" sorunudur.
Örnek
olarak, 2011 yılında Federal Havacılık İdaresi ABD hava sahasının neredeyse
yarısının kapatılmasını ve 600'den fazla uçağın yere indirilmesini emretti. Bu,
11 Eylül saldırılarından sonra Amerikan hava sahasının nasıl kapatıldığının
tekrarı gibiydi. Ancak bu olay arkasında kimse olmadığı için bir güvenlik
meselesi değildi. Bunun nedeni Atlanta merkez binasındaki tek bir
bilgisayardaki yazılım hatasıydı. Aynı durumu ele alın ve aksaklığı bir hack'e
dönüştürün: bu bir güvenlik sorunudur.
Bilgi
ortamındaki güvenliğin kanonik hedefleri bu tehdit kavramından
kaynaklanmaktadır. Geleneksel olarak üç hedef vardır: Gizlilik, Bütünlük,
Erişilebilirlik, bazen "CIA üçlüsü" olarak da adlandırılır.
Gizlilik,
verilerin gizli tutulmasını ifade eder. Gizlilik yalnızca sosyal veya politik
bir amaç değildir. Dijital dünyada bilginin değeri vardır. Bu nedenle bu
bilgilerin korunması büyük önem taşımaktadır. Yalnızca şirket içi sırların ve
hassas kişisel verilerin korunması gerekmez, aynı zamanda işlem verileri de
firmaların veya bireylerin ilişkileri hakkında önemli ayrıntıları ortaya
çıkarabilir. Gizlilik, yasal korumaların yanı sıra şifreleme ve erişim kontrolü
gibi teknik araçlarla da desteklenmektedir.
Dürüstlük,
klasik bilgi güvenliği üçlüsünün en incelikli ama belki de en önemli
parçasıdır. Bütünlük, sistemin ve içindeki verilerin izinsiz olarak uygunsuz
şekilde değiştirilmediği veya değiştirilmediği anlamına gelir. Bu sadece güven
meselesi değil. Sistemin hem kullanılabilir olacağına hem de beklendiği gibi
davranacağına dair güven olmalıdır.
Dürüstlüğün
inceliği, onu en karmaşık saldırganların sık sık hedefi haline getiren şeydir.
HIV-AIDS gibi karmaşık hastalıkların insan vücudunun doğal savunmasını hedef
alması gibi, genellikle ilk önce saldırıları tespit etmeye çalışan
mekanizmaları çökertecekler. Örneğin Stuxnet saldırısı (bunu daha sonra Bölüm
II'de inceleyeceğiz) çok sarsıcıydı çünkü ele geçirilen bilgisayarlar, Stuxnet
virüsü onları sabote ederken bile İranlı operatörlere normal çalıştıklarını
söylüyordu. Bir sistemin mevcut işlevi hakkında bize bilgi vermesine
güvenirsek, sistemin normal şekilde çalışıp çalışmadığını nasıl bilebiliriz?
Kullanılabilirlik,
sistemi beklendiği gibi kullanabilmek anlamına gelir. Burada da
kullanılabilirliği bir güvenlik sorunu haline getiren yalnızca sistemin çökmesi
değildir; yazılım hataları ve "mavi ölüm ekranları"
bilgisayarlarımızda her zaman meydana gelir. Birisi kullanılabilirlik
eksikliğinden bir şekilde yararlanmaya çalıştığında bu bir güvenlik sorunu
haline gelir. Bir saldırgan bunu, kullanıcıları (GPS kaybının bir çatışma
sırasında askeri birimleri nasıl engelleyebileceği gibi) veya yalnızca
"fidye yazılımı" saldırısı olarak bilinen bir sistemin kaybıyla
tehdit ederek bağlıdırlar. Bu tür fidye örnekleri, bireysel banka hesaplarına
yapılan küçük ölçekli saldırılardan, Dünya Kupası ve Super Bowl gibi büyük spor
etkinlikleri öncesinde kumar web sitelerine yönelik küresel şantaj
girişimlerine kadar uzanıyor.
başka
bir özelliği eklemenin önemli olduğuna inanıyoruz : dayanıklılık.
Dayanıklılık, bir sistemin kritik düzeyde başarısız olmak yerine güvenlik
tehditlerine dayanabilmesini sağlayan şeydir. Dayanıklılığın anahtarı,
tehditlerin kaçınılmazlığını ve hatta savunmanızdaki sınırlı başarısızlıkları
kabul etmektir. Saldırıların ve olayların sürekli olarak gerçekleştiği anlayışıyla
operasyonel kalmakla ilgilidir. Burada da yine insan vücuduyla bir paralellik
söz konusu. Vücudunuz, dış savunma katmanınız (cildiniz) bir kesikle delinse
veya hatta viral bir enfeksiyon gibi bir saldırı tarafından atlatılsa bile,
çalışmaya devam etmenin bir yolunu bulmaya devam eder. Tıpkı vücutta olduğu
gibi, bir siber olay durumunda da amaç, kaynakları ve operasyonları
önceliklendirmek, önemli varlıkları ve sistemleri saldırılardan korumak ve
sonuçta normal operasyonlara geri dönmek olmalıdır.
Güvenliğin
tüm bu yönleri yalnızca teknik konular değildir; bunlar aynı zamanda
organizasyonel, yasal, ekonomik ve sosyaldir. Ancak en önemlisi güvenliği
düşündüğümüzde sınırlarının farkına varmamız gerekiyor. Güvenlikteki herhangi
bir kazanç her zaman bir çeşit ödünleşmeyi gerektirir. Güvenlik paraya mal olur
ama aynı zamanda zaman, rahatlık, yetenekler, özgürlükler vb.'ye de mal olur.
Benzer şekilde, daha sonra inceleyeceğimiz gibi, gizlilik, kullanılabilirlik,
bütünlük ve dayanıklılığa yönelik farklı tehditlerin her biri farklı yanıtlar
gerektirir. Fişi çekmek dışında mutlak güvenlik diye bir şey yoktur.
Muhabirlerin
sırf bir siber saldırıyı izlemek için Idaho'ya bir yolcu uçağıyla gitmesi tuhaf
gelebilir ama 2011'de olan da tam olarak buydu.
Halkın artan siber tehditlerin boyutunu anlamadığından endişe
duyan İç Güvenlik Bakanlığı, gazetecileri ülkenin dört bir yanından Idaho
Ulusal Laboratuvarı'na gönderdi. Sadece dört yıl önce, Enerji Bakanlığı'nın
nükleer araştırma tesisini barındıran inanılmaz derecede güvenli ve gizli bir
tesis olan INL, büyük bir jeneratörü siber saldırı yoluyla yok etmek için çok
gizli bir test gerçekleştirmişti. 2011 yılında, siber tehditler konusunda
farkındalığı artırmak amacıyla, hükümet uzmanları yalnızca 2007 testinin bir
videosunun gizliliğini kaldırmakla kalmadı, aynı zamanda gazetecilerin sahte
bir kimya fabrikasına yapılan sahte bir siber saldırıyı "izlemeleri"
için halka açık bir tatbikat düzenledi . kendi uzmanları bile kiralık
bilgisayar korsanlarından oluşan bir ekibin ("kırmızı takım" olarak
bilinir) kritik bir tesisin savunmasını alt etmesini engelleyemedi.
Bu
bölüm, siber güvenlik hakkında profesyonel olarak düşünen ve konuşanların,
tehditlerle ilgili tartışmalarının göz ardı edilmesinden veya küçümsenmesinden
nasıl endişe duyduklarının iyi bir örneğidir. Hayal kırıklığına uğrayan sonuç,
sesi meşhur Spinal Tap 11'e kadar açmaya başvurmaları , tuhaf
egzersizler yapmaları ve konu hakkında yalnızca en aşırı şekillerde konuşmaları
ve daha sonra medyada ve kamuoyunda yankı bulması. Gerçekten de, ABD hükümet
yetkilileri tarafından yapılan bir dizi uyarının ardından, 2013 yılına gelindiğinde
medyada "siber Pearl Harbor"a yarım milyonun üzerinde çevrim içi atıf
yapıldı ve diğer çeyrek milyon da korkulan "siber 9/11"e atıfta
bulunuldu.
Bu
uzmanların endişe duyduğu kayıtsızlık, kısmen siyasi sistemimizin genel olarak
zor, karmaşık sorunları ve özel olarak da siber güvenliği ele alma konusundaki
isteksizliğinden kaynaklanıyor. Ancak bu tür bir tenor aynı zamanda tehditlerin
yanlış anlaşılmasına da yol açıyor. Örneğin, üç ABD senatörü 2011 yazında büyük
bir siber güvenlik yasa tasarısına sponsor oldu ve Washington Post'ta kendi
yasalarına destek verilmesi çağrısında bulunan bir köşe yazısı yazdılar.
Citigroup ve RSA şirketlerine yönelik saldırılar ve Stuxnet solucanının İran'ın
nükleer araştırmalarına yönelik saldırısı da dahil olmak üzere yakın zamanda
gerçekleşen bir dizi yüksek profilli saldırıdan bahsettiler. Sorun şu ki, bu üç
vaka son derece farklı tehditleri yansıtıyordu. Citigroup saldırısı mali
dolandırıcılıkla ilgiliydi. RSA saldırısı endüstriyel hırsızlıktı ve Stuxnet de
yeni bir savaş biçimiydi. Bilgisayarla ilgili olmaları dışında çok az ortak
noktaları vardı.
Siber
olayları veya potansiyel olaylara ilişkin korkuları tartışırken, güvenlik açığı
fikrini tehditten ayırmak önemlidir. Kilitlenmemiş bir kapı bir güvenlik
açığıdır ancak kimse içeri girmek istemiyorsa bir tehdit değildir. Tersine, bir
güvenlik açığı birçok tehdide yol açabilir: Kilitlenmemiş bir kapı,
teröristlerin gizlice bomba sokmasına, rakiplerin ticari sırlarla dışarı
çıkmasına, hırsızların değerli malları çalmasına, yerel holiganların mülklere
zarar vermesine ve hatta kedilerin içeri girip dikkatlerini dağıtmasına neden
olabilir. klavyelerde çalarak personelinizin Tehditlerin belirleyici yönleri
aktör ve sonuçtur.
Bir
aktörün tanınması bizi tehditler hakkında stratejik düşünmeye zorluyor. Düşman,
herhangi bir amaç için hangi güvenlik açığından yararlanacağını seçip
seçebilir. Bu, yalnızca herhangi bir tehdide ilişkin çeşitli güvenlik
açıklarını ele almamız gerektiği değil, aynı zamanda tehdidin savunma
eylemlerimize yanıt olarak gelişebileceğini de anlamamız gerektiği anlamına
gelir.
Pek
çok türde kötü aktör vardır, ancak hepsini bir araya toplamak için
"hackerlar" gibi medya klişelerini kullanmaya kapılmak çok kolaydır.
Bir aktörün hedefi, bunları parçalara ayırırken başlamak için iyi bir yerdir.
Citigroup saldırganları, yukarıdaki senatörler tarafından finansal hırsızlık
amacıyla banka müşterilerinin hesap ayrıntılarını istediler. RSA'ya yapılan
saldırıda, saldırganlar diğer şirketler hakkında casusluk yapmak için önemli
ticari sırları istediler. Stuxnet için (bu vakayı ele alacağız) Bölüm II'de
daha ayrıntılı olarak ele alacağız), saldırganlar İran'ın nükleer programını
sabote etmek amacıyla uranyum zenginleştirmeyle ilgili endüstriyel kontrol
süreçlerini bozmak istediler.
Son
olarak, tehlikenin içinizden birinden geldiğini kabul etmek faydalıdır. Bradley
Manning ve WikiLeaks veya Edward Snowden ve NSA skandalı gibi vakaların
gösterdiği gibi, "içeriden gelen tehdit" özellikle zordur çünkü
aktör, yalnızca güvenilir aktörler tarafından kullanılmak üzere tasarlanmış
sistemler içindeki güvenlik açıklarını arayabilmektedir. İster sırları çalmaya
ister bir operasyonu sabote etmeye çalışıyor olsun, neyin değerli olduğuna ve bu
değerden en iyi şekilde nasıl yararlanılacağına dair perspektifler.
saldırmak
mı istediğini yoksa sadece saldırmak mı istediğini dikkate almak da
önemlidir . Bazı saldırılar belirli aktörleri belirli nedenlerden dolayı hedef
alırken, diğer saldırganlar ise onu kimin kontrol ettiğine bakılmaksızın
belirli bir hedefin peşinden gider. Hedeflenmemiş kötü amaçlı kod, örneğin
e-posta yoluyla bir makineye bulaşabilir, herhangi birinin kayıtlı kredi kartı
ayrıntılarını arayabilir ve bu ayrıntıları herhangi bir insan müdahalesi
olmadan sahibine iletebilir. Bu otomatik saldırılardaki en önemli fark, hem
saldırgan hem de savunucu açısından maliyettir. Saldırgan için otomasyon,
kurbanın seçilmesinden varlığın tanımlanmasına ve saldırının koordine
edilmesine kadar ihtiyaç duyulan tüm görevlere yatırım yapmak zorunda
kalmadığından maliyeti büyük ölçüde azaltır. Kaç kurban alırlarsa alsınlar
saldırı maliyeti hemen hemen aynı oluyor. Öte yandan hedefli bir saldırı,
kurban sayısı arttıkça maliyetler hızla artabilir. Aynı dinamikler beklenen
getirileri de şekillendiriyor. Hedefli saldırılara yatırım yapmaya istekli
olmak için, bir saldırganın her kurban için daha yüksek bir beklenen getiri
değerine sahip olması gerekir. Buna karşılık, otomatik saldırıların kar
marjları çok daha düşük olabilir.
İyi
haber şu ki, bir bilgisayara yapabileceğiniz yalnızca üç şey vardır: verilerini
çalmak, kimlik bilgilerini kötüye kullanmak ve kaynakları ele geçirmek. Ne
yazık ki bilgi sistemlerine olan bağımlılığımız, yetenekli bir aktörün
bunlardan herhangi birini yaparak çok fazla zarara yol açabileceği anlamına
geliyor. Çalınan veriler bir ülkenin stratejik planlarını ortaya çıkarabilir
veya tüm bir sektörün rekabet gücünü zayıflatabilir. Çalınan kimlik bilgileri,
kod ve verileri değiştirme veya yok etme, maaş bordrolarını değiştirme veya
barajları açma ve ayrıca izleri kapatma yeteneği verebilir. Kaynakların ele
geçirilmesi, bir şirketin müşterilere ulaşmasını engelleyebilir veya bir
ordunun iletişim kurma yeteneğini engelleyebilir.
Sonuçta
olabilecek pek çok şey var ama bunların birilerinin sebep olması gerekiyor.
Tehditler, potansiyel kötü aktörlerin ne yapmaya çalıştıklarını ve nedenini
anlayarak değerlendirilmelidir.
Ve
bunu öğrenmek için ta Idaho'ya uçmanıza gerek yok.
Bir Kimlik Avı, İki Kimlik Avı, Kırmızı Kimlik
Avı, Siber Kimlik Avı: Güvenlik Açıkları Nelerdir ?
2011
yılında Londra polisi araba hırsızlıklarında gizemli ve alışılmadık bir artışla
karşılaştı. Tuhaf olan sadece çok fazla arabanın çalınması değildi (toplamda
300'den fazla), arabaların hepsinin belirli bir markaya ait olması, yeni
BMW'ler olmasıydı. İkincisi, hırsızlar bir şekilde dünyadaki en gelişmiş araç
güvenlik sistemlerinden bazılarıyla donatılmış yüzlerce arabayı, alarmları
etkinleştirmeden çalıyordu.
Polis, hırsızların iş başındaki gizli güvenlik kamerası
görüntülerini izleyerek kısa süre sonra, soyguncuların arabanın ileri
teknolojisini kendilerine karşı nasıl kullanacaklarını bulduklarını anladı. İlk
olarak, bir arabanın elektronik anahtarının sinyalini engellemek için radyo
frekansı bozucular kullandılar. Araba sahibi uzaklaşırken kapıları kilitlemek
yerine, kapılar açık kalacaktı. Hırsız araca girdikten sonra OBD-II
konnektörünü (teknisyenlerin arabanızın sorunlarını teşhis etmek için
kullandığı elektronik bağlantı noktası) takar ve bunu arabanın benzersiz
anahtarlık dijital kimliğini elde etmek için kullanır. Daha sonra hırsız, boş
bir elektronik anahtarı arabanın kimliğine uyacak şekilde yeniden
programlayacaktı. Daha sonra, gelişmiş lüks arabanın sahibinin hiçbir fikri
olmadığı halde, arabayı alıp gittiler. Her şey sadece birkaç dakika sürdü. Bu
güvenlik açıkları o kadar çok hırsızlığa yol açtı ki polis, Londra'da park
halindeki tüm BMW'lerin üzerine onları tehlikeye karşı uyaran kağıt broşürler
bırakmaya başvurdu.
Kaybolan
lüks otomobil vakası, karmaşık bir sistem kurmanın, kötü adamların yararlanmaya
çalışabileceği yeni açıklıklar ve gizli güvenlik açıkları nasıl
yaratabileceğinin iyi bir örneğidir. Farklı güvenlik açıkları, bir saldırganın
farklı hedeflere ulaşmasını sağlar. Bazı durumlarda gizli verileri okuma
yeteneği olabilir. Ya da amaç nihai ödül olabilir ; tüm sistemin tehlikeye
atılması. Saldırgan böyle bir "kök erişimine", herhangi bir komutu
yürütme yeteneğine sahip olduğunda, kurban tamamen savunmasız hale gelir veya
bilgisayar korsanlarının "pwned" dediği duruma düşer (Kıyametsiz bir
hikaye, bir bilgisayar korsanının hedefin artık "sahip olunduğunu"
yazmak istemesidir. Ancak çok hızlı yazdı, yanlışlıkla o'nun yanındaki p tuşuna
bastı ve harika bir terim doğdu.)
Genellikle
sistemin kontrolünü ele geçirmenin en kolay yolu sormaktır. Bilgisayar
korsanlığının ilk günlerinden bu yana sistemlere sızma konusunda köklü bir
gelenek, düşük seviyeli bir çalışanı aramak, teknik destekten olduğunu iddia
etmek ve kişinin şifresini istemektir. Bu, insanları gizli bilgileri açıklamaya
yönlendiren ve böylece saldırgana yardım eden "sosyal mühendislik"
kategorisine girer. Manipülasyon, genellikle saldırganın işbirliğini teşvik
etmek için tasarlanmış bir senaryo oluşturmaya çalışmasıyla birçok biçim
alabilir. psikolojik mekanizmalar yoluyla. Korku güçlü bir motive edicidir. Bir
kullanıcının bilgisayarı, pornografik bir web sitesindeki faaliyetleri ifşa
etme tehdidinde bulunan bir mesaj görüntülediğinde, ifşa edilme korkusu ödemeyi
motive edebilir. Ancak daha sıklıkla kullanıcılar yalnızca sosyal ipuçlarını
takip eder. Günlük yaşamlarımızda , siz "burayı tıklayana" kadar
kapanmayan bir program gibi düzeltilmesi gereken sorunlarla veya İzlanda'da bir
şekilde soyulan Suzy Teyzeniz gibi yardımımıza ihtiyacı olan kişilerle düzenli
olarak karşılaşıyoruz ve parasını aracılığıyla aktarmanızı istiyor. Bangkok.
Sosyal
mühendisliğin özellikle yaygın bir biçimi, "kimlik avı" saldırısıdır.
Kimlik avı e-postaları, kurbanın bankasından, işvereninden veya başka bir
güvenilir kuruluştan gelen resmi e-postalara benzer. Mağdurun bazı eylemlerde
bulunmasını gerektirdiğini iddia ederler. Belki bir hesap hatasını düzeltmek
veya Facebook'ta bir mesaj görmek ve kurbanları kendilerinden kimlik
bilgilerini girmelerinin istendiği bir web sayfasını ziyaret etmeleri konusunda
kandırmak için. Para transferinden gizli e-postaların okunmasına kadar bu
bilgiler. Sahte kimlik bilgileri web sayfası, orijinaline benzeyen bir URL'ye
sahip olabilir. Yakından bakmazsanız, www.paypai.com www gibi görünebilir
. paypal.com Karmaşık
kimlik avı saldırılarında sahte sayfa, tespit edilme şansını en aza indirmek
için kullanıcının gerçek web sitesinde oturum açmasını da sağlayabilir.
Bu
"kimlik avı" saldırılarının en zorlu alt kümelerinden biri
"hedef odaklı kimlik avı" olarak bilinir. Bunlar sadece ağları değil,
bu ağların içindeki kilit kişileri de hedef alıyor. Bu, sizin ve diğer birçok
insanın, yalnızca banka hesap bilgilerinize ihtiyacı olan o nazik Nijeryalı
prensten bir e-posta almanızla, tam olarak annenizden gelmiş gibi görünen bir
e-posta almanız arasındaki farktır. Bu, son bölümde okuduğunuz otomatik ve
hedefli tehditler arasındaki farkın iyi bir örneğidir. Bu tür özel saldırılar,
belirli bir kişinin nasıl kandırılacağını anlamak için önceden istihbarat
toplanmasını gerektirir ve çoğunlukla ana hedeflere yöneliktir.
Saldırganlar
ayrıca, kullanıcıların sıklıkla değiştirmeyi unuttuğu varsayılan oturum açma
adları ve parolalara sahip ürünler gibi temel önlemleri göz ardı eden
sistemleri de hedef alır. Çoğu ev kablosuz yönlendiricisinin, şaşırtıcı sayıda
kullanıcının yerinde bıraktığı varsayılan şifreleri vardır. Doğru olanı
bulduğunuzda komşunuzun Wi-Fi bağlantısını çalmak ve konuşmalarına kulak
misafiri olmak kolaydır. Bu tür bir güvenlik açığı , güvenliğe yeterince
öncelik vermeyen veya olası insan hatalarını ve hatta müşterilerinin
tembelliğini hesaba katmayan ürün üreticileri tarafından da yaratılabilir . Örneğin,
Microsoft'un veritabanı ürünü MS-SQL 2005, yönetici parolası olmadan
gönderiliyordu, böylece herhangi bir kullanıcı, bir yönetici parolası
belirlenene kadar tüm veritabanını kontrol edebiliyordu. Diğer durumlar,
kullanışlı olabilecek ancak BMW uzaktan erişim anahtarları gibi gerçek güvenlik
açıklarını temsil eden özelliklere sahip sistemleri içerir.
Uygulamalar
yanlış yapılandırılırsa güvenlik açıkları da oluşturabilir. Bir çalışmada Dartmouth'taki
araştırmacılar, kullanıcıların kendi bilgisayarlarındaki belirli dosyaları,
genellikle film veya TV şovları gibi eğlence dosyalarını başkalarıyla
paylaştığı eşler arası dosya paylaşım hizmetlerini araştırdı. Yanlış
yapılandırılmış ayarlar nedeniyle Game of Thrones'un bölümlerini paylaşan
kullanıcıların yanı sıra , çok sayıda kullanıcı istemeden kişisel banka
hesap özetlerini ve vergi belgelerini de paylaştı. Benzer bir çalışma, büyük
finans kuruluşlarının, yanlış yapılandırılmış uygulamalar yoluyla, son derece
hassas dahili belgeleri istemeden sızdırdığını ortaya çıkardı.
Diğer
bir vektör ise daha gelişmiş saldırganlar tarafından istismar edilen,
sistemlerin kendisindeki hatalardır (yazılım açıkları). Keşfedilmeyi bekleyen
bazı gizli güvenlik açıkları olmadan modern bir BT sistemi oluşturmak neredeyse
imkansızdır. Modern işletim sistemleri milyonlarca kod satırına ve etkileşim
içinde olan yüzlerce alt bileşene sahiptir. Saldırganın amacı, bu kodun
zırhında, sistemin tam olarak tasarlandığı gibi davranmadığı bir çatlak bulmak
ve bu zayıflıktan yararlanmaktır. Daha önce bilinmeyen bir güvenlik açığından
yararlanan bir saldırı "sıfır gün" olarak bilinir. Terim,
saldırıların dünyanın geri kalanının bu güvenlik açığına ilişkin farkındalığının
sıfırıncı gününde ve dolayısıyla daha önce gerçekleştiği fikrinden gelir. Bunu
düzeltmek için bir yama uygulanabilir.
Farklı
güvenlik açıkları türleri ve bunları farklı şekillerde kullanma yolları vardır,
ancak yaygın bir yaklaşım, kurbanın bilgisayarını, amaçlanan programın
komutları yerine saldırganın komutlarını yürütmesi için kandırmanın bir yolunu
bulmaktır. Anahtar nokta, çoğu bilgisayar sisteminin verileri hem işlenecek
bilgi hem de yürütülecek komutlar olarak ele almasıdır. Bu ilke, modern
bilgisayar fikrinin temelini oluşturur ancak aynı zamanda büyük bir güvensizlik
kaynağıdır. Bunun iyi bir örneği, bir web sitesine saldırmanın en yaygın
yollarından biri olan SQL ("devam filmi" olarak telaffuz edilir)
enjeksiyonudur. Birçok web uygulaması, verileri yönetmek için kullanılan bir
tür programlama dili olan Yapılandırılmış Sorgu Dili (SQL) üzerine kurulmuştur.
Geçmişi 19. yüzyıla kadar uzanan oldukça etkili bir sistemdir . Ancak
saldırgan, istenildiği gibi bir ad ve adres girmek yerine, yalnızca depolanacak
veriler yerine, veritabanının okuyup program kodu olarak yorumlayacağı özel
hazırlanmış komutlar girebilir. Bu komutlar veritabanı hakkında bilgi edinmek,
verileri okumak ve yeni hesaplar oluşturmak için kullanılabilir. Bazı
durumlarda erişim, sunucudaki güvenlik ayarlarını keşfetmek ve değiştirmek için
kullanılabilir, böylece saldırganın tüm web sistemini kontrol etmesine olanak
sağlanır. Bilgisayar korsanlarıyla ilgili Bölüm II bölümünde daha sonra
inceleyeceğimiz gibi, Anonymous grubu bu tür bir saldırıyı güvenlik firması HB
Gary'ye sızmak ve utanç verici sırlarını dünyayla paylaşmak için kullandı.
Saldırganlar,
uygulamalara saldırmanın ötesinde sistem düzeyinde koddaki güvenlik
açıklarından da yararlanabilir. Yaygın bir güvenlik açığı arabellek taşmasıdır.
Bilgisayarlar verileri ve talimatları depolamak için hafızayı kullanır. Bir
program, beklenenden daha büyük miktarda girdi verisi yazacak şekilde
kandırılabilirse, tahsis edilen "arabellek" veya depolama alanını
aşabilir ve bilgisayarın yürütülecek bir sonraki talimatı sakladığı alanın
üzerine yazabilir. Eğer yeni yazılan hafıza alanı bilgisayar tarafından okunur
ve yorumlanırsa program bozulabilir veya saldırganın talimatlarını takip
edebilir. Program keyfi talimatları yürüttüğünde, saldırgan sistemin kontrolünü
etkili bir şekilde ele geçirebilir. Temelde, bilgisayarın verileri talimat
olarak yorumladığı SQL saldırısıyla aynı prensibi izler, ancak artık sistem
belleği düzeyinde gerçekleşir.
Bu
tür saldırıları tasarlamak büyük miktarda beceri ve deneyim gerektirir, ancak
güvenlik açığından yararlanıldıktan sonra paketlenmesi nispeten kolaydır. Bu
"istismar", güvenlik açığından yararlanabilen bir yazılım veya komut
dizisi parçasıdır. İşte bu noktada siber risk, diğer, daha az gelişmiş
saldırganların da eyleme dahil olmasına izin vererek tamamen yeni bir endişe
düzeyine ulaşır. sanki usta hırsız şimdi kasa hırsızlığı hakkında kullanışlı
bir dizi aletle birlikte gelen bir kitap yazıyormuş gibi.
Kötü
amaçlı yazılım veya "kötü amaçlı yazılım", bir güvenlik açığının önceden
paketlenmiş bir şekilde kullanılmasıdır. Genellikle sistemin tehlikeye
girdikten sonra ne yapması gerektiğini ayrıntılarıyla anlatan talimatlardan
oluşan bir "yük" bulunur. Bazı kötü amaçlı yazılım türleri, saldırıyı
yaymak için çoğaltma talimatları içerir. "Solucanlar" ağ üzerinde
otomatik olarak yayılır. Bazı durumlarda bu ciddi zarara neden olmak için
yeterli olabilir: iqqos'un sonları ve 2000'lerin başlarında Microsoft Windows'a
saldıran solucanların birçoğunun doğrudan kötü niyetli bir etkisi yoktu, ancak
yine de kurumsal ağları istila ettiler çünkü Katlanarak çok sayıda kopya
göndermeye çalıştı. Hatta bir solucan, savunmasız bilgisayarlara yama yapmaya
çalıştı, "iyi bir solucan", ama yine de ağları felce uğratmayı
başardı. Saldırganın değerli kişisel verileri ele geçirmesine veya anarşist bir
yaklaşımla kurbanın bilgisayarındaki verileri yok etmesine olanak sağlamak için
diğer güvenlik açıklarından yararlanıldı.
Kötü
amaçlı yazılım aynı zamanda kurbanın tek hatasının yanlış web sitesini ziyaret etmesi
olan "geçici" saldırılar yoluyla da Web üzerinden yayılabilir. Bu tür
saldırılar, web tarayıcısındaki veya web tarayıcılarının karmaşık web
sitelerinden yararlanmak için kullandığı birçok bileşen ve eklentideki güvenlik
açıklarından yararlanır. Saldırgan önce web sunucusunun güvenliğini ihlal eder
ve daha sonra o web sitesinden dosya isteyen herhangi bir tarayıcıdaki güvenlik
açıklarından yararlanmaya çalışır.Arabadan geçen saldırganlar genellikle
belirli topluluklar tarafından kullanılan web sitelerinin peşinden giderek
grupları hedefler, buna "sulama deliği" saldırısı denir (akıllı
aslanların Afrika savanlarında avlarını kovalamayın, bunun yerine hepsinin
sulama deliğine gelmesini bekleyin. Örneğin, bir ABD savunma şirketinin
sırlarını çalmak için yola çıkan bir grup, popüler bir havacılık dergisinin web
sitesini tehlikeye atarak onu dolaylı olarak hedef aldı. Birçok çalışan bunu
okuyor.Bir vakada, bir sulama deliği saldırısı tek bir günde beş yüz hesaba
bulaştı.
Son
zamanlarda, kötü amaçlı yazılımlar yalnızca bir bilgisayar sisteminin
kontrolünü ele geçirmek için değil, aynı zamanda o bilgisayarın hesaplama ve ağ
kaynaklarından yararlanmak amacıyla bilgisayarın kontrolünü elinde tutmak için
de kullanılıyor. Saldırganlar, kurbanların sistemlerini ele geçirerek ve
davranışlarını koordine ederek "zombi" bilgisayarlardan oluşan
ordular oluşturabilirler. Milyonlarca makine, bir dizi farklı komuta ve kontrol
mekanizması aracılığıyla tek bir aktör tarafından kontrol edilebilir. Bunlara
"botnet'ler, " ve çoğu bilgisayar kullanıcısı bir parçası olup
olmadığını asla bilemeyecek.
Bot
ağları, bir dizi hain faaliyet için güçlü kaynaklardır. Kurbanların
makinelerine düzenli erişim, izlemenin değerli verileri yakalamasına olanak
tanır. Botnet denetleyicileri ayrıca spam göndermek, yasadışı ürünler satmak
için web siteleri barındırmak veya çevrimiçi reklamverenleri dolandırmak için
kurbanlarının sistemlerinin ağ bağlantılarından yararlanabilir. Belki de en
sinsi olanı, bot ağlarının "dağıtılmış hizmet reddi" (DDoS) saldırısı
başlatabilmesidir.
DDoS
saldırıları, web sunucuları gibi İnternet bağlantılarını yöneten alt sistemleri
hedef alır. Güvenlik açıkları, gelen bir sorguya yanıt vermenin hesaplama ve
bant genişliği kaynaklarını tüketmesi ilkesine dayanmaktadır. Birisi
telefonunuzu sürekli ararsa, önce konsantre olma yeteneğinizi, ardından
telefonunuzu başka bir amaç için kullanma yeteneğinizi kaybedersiniz. Benzer
şekilde siber dünyada da saldırganın bağlantı bağlantısını aşması durumunda
sistem etkili bir şekilde internetten uzaklaştırılır. Sabit bir kaynaktan gelen
tek bir saldırgana karşı savunma yapmak oldukça kolaydır: tıpkı sinir bozucu
bir arayanın numarasını engellemek gibi (ancak asla annenizinkini değil. Asla.)
göndereni engellemek yeterlidir. Dağıtılmış hizmet reddi saldırısında
saldırgan, kurbanı bunaltmak için binlerce, hatta milyonlarca botnet kullanır.
Bu, binlerce hatta milyonlarca insanın telefonunuzu aramaya çalışmasına
eşdeğerdir. Sadece hiçbir şey yapamayacaksınız, aynı zamanda gerçekten almak
istediğiniz aramalar da kolayca ulaşamayacaktır.
Bu
tür bir güç ve bu tür saldırıların oldukça açık ve bariz olması, DDoS
saldırılarının sıklıkla başka hedeflerle bağlantılı olduğu anlamına gelir. Suç
çeteleri bir web sitesine gidebilir ve "koruma" için ödeme yapmadıkları
takdirde siteyi çevrimdışına almakla tehdit edebilir. ("Orada güzel bir
web siteniz var. Eğer bir şey olursa... çok yazık olur.") Ya da kurbanın
dikkatini ve savunmasını bunaltmak için bir oyalama olarak da
kullanılabilirler. başka yerde veri peşinde koşuyorum. Ayrıca bir siyasi
protesto ve hatta baskı biçimi olarak da giderek yaygınlaşıyorlar. 2011 yılında
Suriye'deki krizin ilk aşamalarında, Suriye rejiminin destekçileri, hükümeti
eleştirenlere ve artan şiddeti haber yapan haber kuruluşlarına saldırmak için
DDoS araçlarını paylaştılar.
Sonuç
olarak siber uzaydaki her tür bilgi sisteminde güvenlik açıkları mevcuttur.
Kulağa ne kadar korkutucu gelse de çoğu yeni değil. Örneğin, yaygın arabellek
taşması saldırısı ilk olarak 19/0'larda geliştirildi ve 1980'lerde ergen
internetini neredeyse çökertti. 1996 yılında bir hacker dergisinde ayrıntılı
bir nasıl yapılır kılavuzu yayınlandı.
Tehditler
geliştikçe onlara yanıtlarımız da değişmelidir. Bazıları davranıştaki küçük
değişikliklerle veya koddaki ince ayarlarla hafifletilebilirken, tüm güvenlik
açıkları sınıflarının tümü yalnızca yeni teknolojilerin geliştirilmesi ve
uygulanmasıyla önlenebilir. Diğer güvenlik açıkları, sistemleri nasıl
kullandığımızın yapısal bir sonucudur. Bölüm III'te inceleyeceğimiz gibi, bu
zorluklarla nasıl başa çıkacağımız, kötü adamların bu güvenlik açıklarından
yararlanmaya çalıştığını kabul etmemize ve ardından siber çağın iyi yanlarından
yararlanmaya devam etmemizi sağlayacak mümkün olan en iyi yanıtları
geliştirmemize bağlıdır.
Ya da
vazgeçebilir, gelişmiş lüks arabanızı satabilir ve onun yerine otobüse
binebilirsiniz. Otobüs tarifelerini çevrimiçi olarak kontrol etmediğinizden
emin olun.
Siber Uzaya Nasıl Güvenebiliriz?
Olay,
bilgisayar korsanlarının birkaç öğleden sonrasını eski bir bilgisayar
ekipmanıyla oynayarak geçirmeyi sevdiği eğlenceli projelerden biri olarak
başladı. Buradaki fark, söz konusu donanımın 2008 seçimlerinde kullanılan bir
AVC Edge elektronik oylama makinesi olmasıydı. Bu tür sistemlerin kurcalamaya
dayanıklı olması veya en azından birisinin onları değiştirmeye çalışıp
çalışmadığını ortaya çıkarması gerekiyor. Ancak Michigan Üniversitesi ve
Princeton'dan iki genç araştırmacı, kurcalamaya karşı dayanıklı contalarda
herhangi bir iz bırakmadan makineyi yeniden programlamayı başardılar. Oylama
makinesini, 1980'lerin sevilen
video oyunu Pac-Man'i zararsız bir şekilde oynayacak şekilde yeniden
programlamayı seçerken , kurcalamaya karşı korumalı olduğu varsayılan makinenin
çok daha sinsi saldırılara karşı savunmasız olduğunu açıkça ortaya koydular.
Olayın
da gösterdiği gibi, dijital sistemlere olan bağımlılığımız, onlara nasıl
güvenebileceğimiz sorusuyla giderek daha fazla karşı karşıya kaldığımız
anlamına geliyor. Siber güvenlik için kullanıcıların sistemlere güvenmesi,
sistemlerin de kullanıcılara nasıl güveneceğini bilmesi gerekiyor. Her
makinenin ekranında bize bir şeylerin ters gittiğini söyleyen istenmeyen bir
Pac-Man bulunmayacak. Bilgisayarın beklediğimiz gibi davrandığını veya
meslektaşımızdan gelen bir e-postanın aslında o meslektaşımızdan geldiğini
nasıl bilebiliriz? Ve daha da önemlisi, bilgisayarlar bizim öyle olmamız
gerektiğini ve davranmamız gerektiği gibi davranıp davranmadığımızı nasıl
biliyorlar?
Caesar
ve generallerinin düşmanlarının gizli mesajlarını anlamasını engellemek için
kullandıkları ilk kodlara kadar uzanan güvenli iletişim uygulaması olan
kriptografi üzerine kuruludur . Genellikle kriptografiyi bilgiyi gizli tutmanın
bir yolu olarak düşünürüz , ancak aynı zamanda bütünlük veya herhangi bir
kurcalamayı tespit etme yeteneği açısından da aynı derecede önemli bir rol
oynar.
Kriptografinin
temel yapı taşı "karma"dır. Hash fonksiyonu herhangi bir veri
parçasını alır ve onu iki spesifik özelliğe sahip daha küçük, ayarlanmış
uzunluktaki bir çıktıya eşler. Birincisi, fonksiyon tek yönlüdür, bu da
çıktıdan orijinal verinin belirlenmesini çok zorlaştırır. İkincisi ve daha da
önemlisi, aynı çıktı karmasını üreten iki girdi veri parçasını bulmak inanılmaz
derecede zordur. Bu, bir belgenin veya e-postanın "parmak izini" almak
için karma işlevini kullanmamıza olanak tanır. Bu parmak izi daha sonra bir
belgenin bütünlüğünü doğrulayabilir. Bir belgenin güvenilen parmak izi, aynı
yöntemi kullanarak kendi oluşturduğunuz parmak iziyle eşleşmiyorsa, farklı bir
belgeniz var demektir.
Kriptografik
bütünlük kontrolleri faydalıdır, ancak bunların güvene uygulanabilmesi için
kimliği tanıtacak bazı araçlara ihtiyacımız var. Sonuçta güven hem bir isim hem
de geçişli bir fiildir; güvenilecek birine veya bir şeye ihtiyaç vardır.
Kriptografik dijital imzalar, "asimetrik" şifrelemeyi kullanarak bu
güveni sağlar. Bu açıklama karmaşıklaşmaya başlıyor, dolayısıyla kriptografinin
birkaç temel noktasını anlamak için kısa bir kafa dağıtmak yararlı olabilir.
Modern
kriptosistemler, güvenin temelini oluşturan bilgiyi kodlamanın veya kodunu
çözmenin gizli yolu olarak "anahtarlara" dayanır. "Simetrik
şifreleme", aynı anahtarın diğer güvenilir taraflarla paylaşılmasına
dayanır. Verileri, sizin kullandığınız anahtarla şifrelerim . Şifresini çözmek
sanki ikimiz de bir banka kasasının aynı anahtarını paylaşıyormuşuz gibi.
Peki
ya birbirimizle hiç tanışmamışsak? Bu gizli anahtarları güvenli bir şekilde
nasıl değiştireceğiz? "Asimetrik kriptografi" bu sorunu çözer.
Buradaki fikir, gizli bir anahtarı herkesle paylaşılan bir genel anahtar ve
gizli kalan bir özel anahtar olarak ayırmaktır. İki anahtar, bir genel
anahtarla şifrelenecek şekilde oluşturulur. karşılık gelen özel anahtarla
şifresi çözülür ve bunun tersi de geçerlidir. Şekil 1.2, genel anahtar
şifrelemesinin bir mesajın hem gizliliğini hem de bütünlüğünü korumak için
nasıl çalıştığını göstermektedir. Kriptografik örneklerin klasik alfabetik
kahramanları olan Alice ve Bob'un iletişim kurmak istediğini varsayalım. her
birinin bir çift anahtarı vardır ve birbirlerinin genel anahtarlarına
erişebilirler. Alice, Bob'a bir mesaj göndermek isterse, mesajı Bob'un genel
anahtarıyla şifreler. Bu durumda, şifreyi çözebilecek tek kişinin Bob'un özel
anahtarına erişimi olması gerekir.
Bir
mesajın dijital imzası, dijital parmak izi kavramını genel anahtar
şifrelemesiyle birbirine bağlar. Yukarıdaki arkadaşlarımızın yanına dönen
Alice, belgenin parmak izini alıp özel anahtarıyla imzalıyor ve şifrelenmemiş
belgeyle birlikte Bob'a iletiyor. Bob imzayı Alice'in ortak anahtarını kullanarak
doğrular ve bunu şifrelenmemiş belgeden oluşturabileceği parmak iziyle
karşılaştırır. Eşleşmiyorlarsa, birileri aradaki belgeyi değiştirmiştir. Bu
dijital imzalar her türlü veri için bütünlük sağlayabilir ve geçişli güvene
izin verecek şekilde zincirlenebilir.
Peki
güven ilk etapta nereden geliyor? Örneğin bir şirketten indirdiğim yazılımın
geçerli olduğunu şirketin genel anahtarıyla karşılaştırarak doğrulayabilirim
ama anahtarın gerçekten o şirkete ait olduğunu nasıl bilebilirim? Hatırlamak,
Genel anahtar şifrelemesi nasıl çalışır?
private key
Alice ve Bob'un her birinin, birini paylaşan ve birini gizli
tutan, matematiksel olarak bağlantılı bir çift anahtarı var.
Bir mesaj göndermek için Alice, mesajı Bob'un
genel anahtarıyla şifreler ve kendi özel anahtarıyla imzalar.
Bob
receives the message. He then decrypts the message with his private key,
and uses Alices’s public key to verify her signature.
Şifreleme mesajın gizliliğini korurken
dijital imza, değiştirilmesini önleyerek bütünlüğü korur.
Şekil
1.2
İmza,
yalnızca genel anahtara karşılık gelen özel anahtara erişimi ifade eder, bu
genel anahtarın geçerliliğini değil. Asimetrik kriptografi, genel anahtarlara
güvenmenin bazı yollarını gerektirir. Çoğu modern sistemde "güvenilir bir
üçüncü tarafa" güveniriz. Bunlar, bir varlığı açıkça bir genel anahtara
bağlayan imzalı dijital "sertifikalar" üreten kuruluşlardır.
Sertifika yetkilileri (CA'lar) olarak bilinen bu kişiler, sertifikaları
imzalarlar ve ortak anahtarları, sahteciliğe izin vermeyecek kadar yaygın
olarak bilinir. CA'ya güveniyorsanız, CA tarafından imzalanan ortak anahtara da
güvenebilirsiniz.
Biz
farkında olmasak bile çevrimiçi olan her kişi bu sistemi günlük olarak
kullanıyor. HTTPS web adreslerini ziyaret ettiğimizde ve güvenli bağlantıyı
doğrulamak için küçük kilit simgesini gördüğümüzde, güvenli bir web sitesini
ziyaret ediyoruz ve sertifika yetkililerine güveniyoruz. Web tarayıcılarımız,
güvenli alan adından genel anahtarını ve CA tarafından imzalanan bir
sertifikayı ister ve genel anahtarı açıkça İnternet alanına bağlar. Bu,
tarayıcımızın konuştuğu sunucunun, ait olduğunu iddia ettiği kuruluşa ait olduğunu
doğrulamanın yanı sıra, şifreleme anahtarlarının değişimi yoluyla güvenilir
iletişime de olanak sağlar. Bu tür bir güven, internette bağımsız taraflar
arasındaki neredeyse tüm güvenli iletişimin temelini oluşturur.
Güven
kaynağı olarak sertifika yetkilileri, siber uzay ekosisteminde belki de çok
önemli, kritik bir rol oynamaktadır. Birisi CA'nın imzalama anahtarını
çalabilirse, hırsız (veya anahtarı kime ilettiği kişi) kurbanın farkına
varmadan "güvenli" trafiğe müdahale edebilir. Bunu başarmak zor ama
yapıldı. 2011 yılında birisi (daha sonra sızdırılan bilgiler NSA'yı ele
geçirdi) Hollandalı bir CA'nın anahtarlarını çaldı ve bunları İranlı
kullanıcıların Google'ın Gmail'ine erişimini engellemek için kullandı. Bazıları
dünya çapında çok fazla CA'nın varlığından şikayetçi oldu; birçoğunun güvenlik
ve mahremiyet konusunda pek de iyi bir geçmişi olmayan ülkelerde olduğu
söyleniyor. Saldırılar geliştikçe güvenin kökleri daha da fazla risk altına
girecek.
Çevrimiçi
güvenin bir tarafı kullanıcının sisteme ve diğer kullanıcılara güven duyması
ile ilgili ise diğer tarafı sistemlerin kullanıcılara nasıl güvenmesi
gerektiğidir. Tanımlama ve kimlik doğrulamanın ardından, sistemin kullanıcıya
sistemi kullanma yetkisi vermesi gerekir. Çoğu sistem, kimin neyi yapabileceğini
belirlemek için bir tür "erişim kontrolü" kullanır. En basit şekliyle
erişim kontrolü, bir işletim ortamında kod okuma, yazma veya yürütme yeteneği
sağlar.
Herhangi
bir sistemin özü, kimin kime ne yapabileceğini tanımlayan bir konu ve nesne
matrisi olan erişim kontrol politikasıdır. Bu basit olabilir (çalışanlar küçük
çalışma gruplarındaki herhangi bir belgeyi okuyabilir, yöneticiler ise daha
büyük bölümlerindeki herhangi bir belgeye erişebilir) veya çok daha karmaşık
olabilir (bir doktor, hastada belirtilen kriterleri karşılayan bir semptom
olduğu sürece herhangi bir hastanın dosyasını okuyabilir). önceden belirlenmiş
bir listedir, ancak yalnızca faturalandırma sistemi ödemeye uygunluğunu
doğruladıktan sonra bu dosyaya yazabilir). İyi erişim kontrolü politikaları,
hem organizasyonel rollerin hem de bilgi sisteminin mimarisinin net bir şekilde
anlaşılmasını ve aynı zamanda gelecekteki ihtiyaçları tahmin etme becerisini
gerektirir. Kullanıcıları yoğun veri kullanan büyük kuruluşlar için bu
politikayı mükemmel bir şekilde tanımlamak inanılmaz derecede zordur. Birçoğu
bunun imkansız olabileceğine bile inanıyor.
bir
müteahhitin bulunduğu) gibi, son yıllardaki bazı daha çarpıcı siber bağlantılı
skandalların arkasında yer almaktadır. NSA'da sistem yöneticisi olarak
çalışmak, basına sızdırdığı çok sayıda tartışmalı ve çok gizli programa erişimi
vardı). Bu vakalar, düşük seviyeli bireylere istedikleri her şeye varsayılan
erişim verilmesinden, erişimi kayıt altına alma ve denetleme konusundaki zayıf
çabalara kadar (Edward Snowden'ın çeşitli güvenlik önlemleriyle ilgili
sızdırılmış belgelerle halka açıklanmasının ardından birkaç ay boyunca) zayıf
erişim kontrolünü tüm ihtişamıyla göstermektedir. NSA hâlâ kaç tane belge
aldığını bilmiyordu ama henüz yayınlamamıştı).
Kuruluş
ister NSA ister bir kek mağazası olsun, verilerin nasıl bölümlere ayrıldığına
ilişkin sorular çok önemlidir. Ne yazık ki çoğu kuruluş, iyi bir ortam bulmaya
çalışmak yerine, erişimi ya çok fazla sağlıyor ya da yetersiz sağlıyor. Fazla
yetkilendirmeler, kuruluşta net bir çıkarı olmayan çok sayıda kişiye çok fazla
erişim sağlıyor ve bu da potansiyel olarak yıkıcı WikiLeaks tipi ihlallere yol
açıyor. Finans ve sağlık hizmetleri gibi pek çok iş alanında bu tür aşırı
erişim, bireylerin belirli türdeki bilgilere erişimini engellemesi gereken
“çıkar çatışması” yasalarını ihlal etme riskini bile taşıyor. Son olarak ve
siber güvenlikle en alakalı olanı, eğer erişim kontrolü zayıfsa, kuruluşlar
ticari sırlar kanunu kapsamındaki fikri mülkiyet korumasını bile
kaybedebilirler.
Diğer
uçta, yetersiz yetkilendirmenin kendi riskleri vardır. İş dünyasında bir
departman, aynı verilere erişimi yoksa, istemeden de olsa bir diğer departmanı
baltalayabilir. Bir hastanede, doktorların acil bir durumda bilmeleri gereken
bilgileri kolayca bulamamaları, kelimenin tam anlamıyla bir ölüm kalım meselesi
olabilir . Eski istihbarat yetkilileri, bilgi paylaşımı eksikliğinin önemli
noktaları bağlantısız bırakabileceği ve 11 Eylül gibi terörist planların
kaçırılabileceği kendi dünyalarında riskin daha da yüksek olduğunu ima etti.
Tüm
bunların gösterdiği şey, teknoloji, karmalar ve erişim kontrolü tartışmalarının
ortasında bile güvenin her zaman insan psikolojisine ve açık risk hesaplamaları
yapmak için kullanılan kararlara geri döndüğüdür. Pac-Man gerçek bir insan
değil ama oylama makinesine girmesine izin veren sistem ve bu erişimin
sonuçları fazlasıyla insani.
Odak noktası: WikiLeaks'te
Ne Oldu?
bradass87: varsayımsal soru: eğer gizli ağlar üzerinde
uzun süreler boyunca özgürce hüküm sürseydiniz . . . 8-9 ay diyelim. . . ve
inanılmaz şeyler gördün, berbat şeyler. . . Washington DC'deki karanlık bir
odada saklanan bir sunucuya değil, kamuya ait olan şeyler. . . sen ne yapardın?
. . .
(12:21:24 PM) bradass87: söyle. . . Irak
savaşı sırasındaki yarım milyon olayı içeren bir veritabanı. . . 2004'ten
2009'a kadar. . . raporlar, tarih saat grupları, enlem konumları, kayıp
rakamları ile. . . ? Yoksa dünyanın her yerindeki büyükelçiliklerden ve
konsolosluklardan gelen 260.000 dışişleri bakanlığı telgrafı, birinci dünyanın
üçüncü dünyayı dahili bir bakış açısıyla nasıl kullandığını ayrıntılı olarak
açıklıyor mu? . . .
(12:26:09 PM) bradass87: Diyelim ki *çok
yakından tanıdığım biri* ABD'nin gizli ağlarına sızıyor, anlatılanlara benzer
veriler çıkarıyor. . . ve bu verileri gizli ağlardan "hava boşluğu"
üzerinden ticari bir ağ bilgisayarına aktarıyorum... verileri sıralıyor,
sıkıştırıyor, şifreliyor ve burada kalamayacak gibi görünen çılgın beyaz saçlı
bir Avustralyalıya yüklüyor. bir ülke çok uzun =L . . .
(12:31:43
PM) bradass87: çılgın beyaz saçlı adam = Julian Assange (12:33:05 PM)
bradass87: diğer bir deyişle... büyük bir karmaşa yarattım.
AOL
Instant Messenger'daki bu alışveriş, siber tarihin en büyük olaylarından birini
başlattı. WikiLeaks yalnızca dünyanın diplomatik sırlara bakış açısını
değiştirmekle kalmadı, aynı zamanda siber uzayın veri ve erişimle olan
ilişkimizi ne kadar kökten değiştirdiğini anlamak için bir odak noktası haline
geldi.
2006 yılında WikiLeaks web sitesi "dünya çapında
yolsuzluk ve suiistimali açığa çıkarmak" amacıyla açıldı. Akademisyenlerin
"radikal şeffaflık" olarak adlandırdığı bir gündemle konsept, güçlü
aktörlerin davranışlarını, yanlış yaptıklarına dair belgelenmiş kanıtları
çevrimiçi olarak açığa çıkararak yeniden düzenlemekti. Artık ikonik hale gelen
"çılgın beyaz saçlı herif" Avustralyalı Julian Assange'ın
önderliğinde, Vikipedi'yi kullandı. Dünyanın dört bir yanından aktivistlerin
bilgi yükleyebildiği ve merkezi fakat ortak olarak arşivlenen bir depo
aracılığıyla paylaşabildiği “açık kaynaklı, demokratik istihbarat teşkilatı”
modeli.
Grup
kısa sürede "çok farklı ülkelerle ve potansiyel yolsuzluk, suiistimal veya
beceriksizlikle ilgili bilgileri yayınlamak" konusunda ün kazandı. İlk
projeler Kenyalı politikacıların, Scientology Kilisesi avukatlarının ve
uluslararası ticaret müzakerecilerinin iddia edilen yanlışlarını açığa çıkardı.
Kısa sürede sansür karşıtı ve insan hakları örgütlerinden övgüler aldı.
Buna
karşılık, radikal şeffaflığın tehlikeleri, gizliliğe dayanan kuruluşlar için
hızla ortaya çıktı. 2008 tarihli bir raporda Pentagon şunları kaydetti:
"WikiLeaks.org, ABD Ordusuna yönelik potansiyel bir kuvvet koruması, karşı
istihbarat, OPSEC ve INFOSEC tehdidini temsil ediyor." (İroniktir ki, bu
gizli değerlendirmeyi yalnızca WikiLeaks'in kendisi 2010'da yayınladığı için
biliyoruz.)
Web
sitesi diplomatik telgraflardan ABD ordusunun Irak ve Afganistan'daki savaş
çabalarıyla doğrudan ilgili notlara ve videolara kadar uzanan çok sayıda
belgeyi yayınlamaya hazır olduğundan Pentagon'un öngörüsü dikkate değerdi. Bu
hikayenin başlangıcı, 1987 doğumlu Bradley Manning'in çevrimiçi adresi
"bradass8/"e kadar uzanıyor.
Bradley
Manning, ABD Ordusunda özel birinci sınıftı ve pek de mutlu biri değildi.
Gazeteci olan başka bir hacker'a gönderdiği anlık mesajlarda açıkladığı gibi,
“Ben doğu Bağdat'ta görevlendirilen bir ordu istihbarat analistiyim ve
'cinsiyet kimliği bozukluğu' yerine 'uyum bozukluğu' nedeniyle terhis edilmeyi
bekliyorum. "
Daha
sonraki araştırmalar, Manning'in diğer askerlerle arasının pek iyi olmadığını
ve YouTube'da yayınladığı video mesajlarında arkadaşlarına ve ailesine çok
fazla bilgi açıkladığı için zaten azarlandığını ortaya çıkardı. Aslında üstleri
onu "kendisi ve muhtemelen başkaları için risk" olarak nitelendirdiği
için neredeyse Irak'a gönderilmiyordu. Ancak sahadaki istihbarat çalışanlarına
olan ihtiyaç çok fazlaydı ve savaş bölgesine gönderildi.
Manning
gizli bilgileri ele almak üzere eğitilmiş olsa da bir analist değildi. Bunun
yerine görevi, "grubundaki diğer istihbarat analistlerinin görmeye hakları
olan her şeye erişmelerini sağlamaktı." Dolayısıyla konumu, ona hükümetin
bilgisayar ağları üzerinden çok çeşitli veri akışlarına erişim olanağı
sağlıyordu.
Manning,
savaştan giderek daha fazla rahatsız olduktan sonra, bu tepki muhtemelen
kişisel sorunlarıyla da birleşti ve "Bilginin ücretsiz olması
gerektiğine" karar verdi. İnternetten gelen güvenli ağlar, yazılabilir CD
sürücülerini kapatmadılar. Manning, içinde müzik bulunan CD'leri getiriyor ve
ardından gizli veri dosyalarını müziğin üzerine dosya halinde yazıyordu.
Kendisinin yazdığı gibi, "Amerikan tarihinin muhtemelen en büyük
veri sızıntısını dışarı çıkarırken Lady Gaga'nın Telephone'unu dinledim ve dudak
senkronizasyonu yaptım ."
Nisan
2010'da WikiLeaks, ABD Ordusu'na ait bir Apache saldırı helikopterinin,
aralarında iki Reuters muhabirinin de bulunduğu, Irak'taki sivillere ateş
ederken çekilmiş, düzenlenmiş, açıklamalı bir videosunu tasvir eden provokatif
başlıklı bir video yayınladı: "İkincil Cinayet". WikiLeaks bunu
Temmuz ve Ekim aylarında takip etti. 2010'da Afganistan ve Irak'taki savaşlarla
ilgili çok sayıda gizli belge yayımlandı.
Manning
başlangıçta WikiLeaks modelinde olduğu gibi isminin gizli kalmasını istese de,
onun kolaylaştırıcısı Assange bunun yerine maksimum tanıtım elde etmeye
çalıştı. Video ilk olarak Washington DC'deki Ulusal Basın Kulübü'nde düzenlenen
bir basın toplantısında gösterildi. Assange, gizli belgeler için New York
Times, Guardian ve Der Spiegel ile birlikte çalışarak belgeleri
doğruladı, analiz etti ve kamuoyuna sundu. Şaşırtıcı olmayan bir şekilde,
ABD'li yetkililer bu belgelerin yayınlanmasını sert bir dille kınadı ve
sızıntıların kaynağını araştırmaya başladı.
Sadece
birkaç ay sonra WikiLeaks başka bir sanal bomba daha attı. Manning ayrıca,
"Cablegate" olarak bilinen yerde, Aralık 1966'dan Şubat 2010'a kadar
180 ülkedeki 271 Amerikan büyükelçiliği ve konsolosluğu tarafından yazılan
251.287 Dışişleri Bakanlığı telgrafını da iletmişti. Amerikan büyükelçilerinin
meslektaşları hakkında gerçekte ne düşündüklerinden, Amerika Birleşik
Devletleri'nin Irak savaşı öncesinde BM Genel Sekreteri'ni gizlice dinlediği
gerçeğine kadar çok sayıda utanç verici sır. Eğlenceli bir şekilde, ABD
hükümeti daha sonra federal çalışanlara ve yüklenicilere, federal çalışanlara
ve yüklenicilere, New York Times'ın "at gittikten sonra ahır
kapısını kapatmanın klasik bir örneği" olarak tanımladığı , internette
yayınlanan gizli Dışişleri Bakanlığı belgelerini okumak için .
yazışmaları
yayınlamak için Guardian, El País ve Le Monde gibi medya
kaynaklarına güveniyordu ve bunu nispeten az bir oranda gerçekleştirdiler. Medya,
en haber değeri olduğunu düşündükleri şeye odaklandı ve gizli bir muhbir gibi
yanlışlıkla yazışmalarda ifşa edilen birini tehlikeye atabilecek her yerde
içeriği düzenledi. Bir seferde sadece yüz kadarı serbest bırakıldı, yani
çalınan belgelerin çok küçük bir kısmı. Ancak birkaç ay sonra, tüm veri setinin
şifresi "yanlışlıkla" açıklandı ( Guardian ve Assange
muhabirleri her biri diğerini suçluyor). Site artık erişilebilir olduğundan,
WikiLeaks gizli bilgi hazinesinin tamamını, değiştirilmeden yayınlamaya karar
verdi.
Belgelerin
sızdırılması şiddetle kınandı ve WikiLeaks yalnızca Amerikalı yetkilileri
değil, insanları da riske atmakla suçlandı. Örneğin Çin'de milliyetçi gruplar,
ABD büyükelçiliğiyle görüşen yazışmalarda adı geçen Çinli muhaliflere karşı
şiddet tehdidinde bulunarak "çevrimiçi bir cadı avı" başlattı.
Bu
noktada WikiLeaks iktidardakiler için bir baş belası olmanın ötesine geçti. ABD
Ulusal İstihbarat Direktörü'ne göre, sızıntılar "ulusal güvenliğimiz
üzerinde büyük etkiler" yaratma riski taşıyordu ve bir senatör, Assange'ın
casusluktan yargılanması çağrısında bulundu. Diğerleri ise bu etkiyi
küçümsemeye çalıştı. O zamanın Savunma Bakanı Gates'in belirttiği gibi ,
"Bu utanç verici mi? Evet. Tuhaf mı? Evet. ABD dış politikası açısından sonuçları?
Oldukça mütevazı olduğunu düşünüyorum."
Her
iki durumda da organizasyon ve onun kilit oyuncuları üzerindeki baskı arttı.
Assange'ın İsviçre'deki kişisel banka hesabı, hesabı açtıktan sonra yalan yere
Cenevre'de yaşadığını iddia ettiği gerekçesiyle kapatıldı. Daha da zarar verici
olanı, İsveç savcılarının Assange hakkında cinsel saldırı nedeniyle tutuklama
emri çıkarmasıydı. Assange, suçluların iadesi için verdiği hukuk mücadelesini
verdikten ve kaybettikten sonra, bu kitabın yayınlandığı tarihte hâlâ orada
olduğu Londra'daki Ekvador büyükelçiliğine sığınma talebinde bulundu.
Siber
dünyanın gerçek dünyayla nasıl kesiştiğinin bir başka örneği olarak, çevrimiçi
grup aynı zamanda çevrimiçi finans cephesinden de baskı görüyordu . PayPal,
ABD hükümetinin WikiLeaks'in yasa dışı davranışlara karıştığını bildiren bir
mektubuna atıfta bulunarak artık bireylerin WikiLeaks'in hesabına para
göndermesine izin vermeyeceğini duyurdu. MasterCard ve Visa da aynı şeyi yaptı
ve dünya çapındaki sempatizanların web sitesinin hukuki ve teknik savunmasına
katkıda bulunmasını çok daha zor hale getirdi.
Bu
baskıya rağmen WikiLeaks örgütü ayakta kaldı. Sızdırılan belgeler hâlâ Web'de
düzinelerce benzer web sitesinde (federal çalışanlar dışında) görmek isteyen
herkesin erişimine açık durumdayken grup, NSA'nın yurt içi casusluk
ifşaatlarından Suriye Dosyaları'na kadar daha sonraki skandallarda ortaya
çıktı. Beşar Esad'ın kişisel e-postaları da dahil olmak üzere Suriye rejiminden
gelen iki milyondan fazla e-posta. Daha da önemlisi, WikiLeaks'in modeli,
Anonymous'la bağlantılı bir web sitesi olan Local Leaks gibi güçlü, ilham
verici taklitçi girişimler olduğunu kanıtladı. Local Leaks, 2012 yılında
Ohio'daki bir kasabada önde gelen lise futbol oyuncularının vahşice cinsel
saldırıya uğradığına dair kanıtları yayınladığında öne çıktı.
Manning'e
gelince, rolü, sözde gizli internet sohbetini paylaştığı kişi tarafından ortaya
çıktı. Adrian Lamo adlı bir bilgisayar korsanı Manning'e şunları söylemişti:
“Ben bir gazeteciyim ve bir bakanım. İkisinden birini seçip bunu bir itiraf ya
da bir röportaj (hiçbir zaman yayınlanmayacak) olarak değerlendirebilir ve bir
nebze olsun yasal korumanın tadını çıkarabilirsiniz." Bunun yerine Lamo,
Manning'i FBI'a teslim etti. Manning daha sonra veri hırsızlığı suçundan askeri
mahkemeye çıkarıldı ve casusluk suçundan otuz beş yıl askeri hapis cezasına
çarptırıldı.
Sonuçta
bilgiyi özgür kılmak isteyenler artık özgür değiller. Diğerleri bu bölümün ana
karakterlerinin başına gelenler yüzünden caydırılabilir ya da bunların kalıcı
etkisi onları cesaretlendirebilir.
Kalıcı Tehdit (APT) Nedir ?
Savunmanızın
bir sonraki adamdan biraz daha iyi olduğunu, siber saldırganların pes edip
hızla harekete geçeceğini açıkladı. Ve bakın, firmasının tüm siber güvenlik ihtiyaçlarımızı
karşılayacak jenerik bir paketi vardı. Sunum akıcı ve etkiliydi. . . ve yanlış.
APT'ler,
son yıllarda giderek daha fazla ün kazanan (Google, terimin 2013 yılına kadar
yaklaşık 10 milyon kez kullanıldığını bildiriyor) ancak hala tam olarak anlaşılamayan
bir olgu olan "gelişmiş kalıcı tehditlerdir". Siberuzayda ortaya
çıkan gerçek zorluklara dikkat çekerken aynı zamanda aşırı tepkilerden,
abartılardan ve histeriden de kaçınıyoruz.
Ocean'ın
sahadaki
11'i olurdu . APT'lerde George Clooney ya da Brad Pitt gibi yakışıklı oyuncular
rol almıyor; aslında Armani takım elbiseleri yerine tişört giyen zıt kutuplar
tarafından yönetilme olasılıkları daha yüksek. Ancak filmdeki yüksek profilli
soygunlar gibi APT'lerin de kendilerini diğer siber tehditlerden ayıran bir
planlama düzeyi var. Organizasyon, zeka, karmaşıklık ve sabrı birleştiren bir
ekibin eseridirler. Ve filmde olduğu gibi, bunları hızla devam filmleri takip
ediyor. Dünyada kaç tane APT olduğunu kimse bilmiyor ama bir siber güvenlik
firmasının CEO'su bize şunu anlattı: “Beş yıl önce, bir müşterinin ağlarında
APT'nin işaretlerini bulsaydık çok heyecanlanır ve gurur duyardım. Bu birkaç
ayda bir olabilecek bir şeydi. Artık onları günde bir kez buluyoruz."
APT
belirli bir hedefle başlar. Ekip ne istediğini ve bunu elde etmek için kimin
peşinde olduğunu biliyor. APT'nin hedefleri askeri jet tasarımlarından petrol
şirketlerinin ticari sırlarına kadar çeşitlilik gösteriyor. Çoğumuz bir APT
tarafından hedef alınabilecek kadar önemli olduğumuzu düşünmek istesek de
gerçek şu ki çoğumuz bu seviyeye çıkamıyoruz. Ama eğer yaparsanız, dikkatli
olun; Mahalledeki herkes gibi pencerelerinizi kilitlemek muhtemelen yeterli
olmayacaktır. Satıcının hikayesindeki ayı aslında arkadaşınızın ne kadar hızlı
koştuğunu umursamıyor; sadece senden bir ısırık almak istiyor.
APT'nin
ayırt edici özelliği, her biri farklı roller üstlenen, uzman uzmanlardan oluşan
koordineli ekibidir. Tıpkı bir soyguncunun bir bankayı "takip etmesi"
veya bir askeri üssü gözlemleyen bir casus gibi, bir gözetleme ekibi de
"hedef geliştirme" olarak bilinen şeyle meşgul olur ve peşinde olduğu
kişi veya kuruluş hakkında öğrenebileceği her şeyi öğrenir. önemli güvenlik
açıkları. Bu çabada, çevrimiçi arama araçları ve sosyal ağlar saldırganlar için
bir nimettir. Bir widget çalmak istiyorsunuz ve bu nedenle ürün geliştirmeden
sorumlu başkan yardımcısının kim olduğunu mu bilmeniz gerekiyor? Geçmişte,
James Bond'u insan kaynaklarındaki resepsiyon görevlisini baştan çıkarması ve
daha sonra o, shake martini ve seksle dolu bir gecede uyurken gizlice onun
dosyalarına girmesi için göndermiş olabilirsiniz. Artık daha sıkıcı. İsmi bir
internet arama motoruna yazmanız yeterli; o yöneticinin özgeçmişinden kızının
evcil iguanasının ismine kadar her şeyi bulabilirsiniz. Siber güvenlik uzmanı
Gary McGraw'un belirttiği gibi, "Saldırganların cephaneliğindeki en
etkileyici araç Google'dır."
Saldırıları
“kalıcı” olarak farklılaştıran da bu aşamadır. Keşif ve hazırlıklar aylar
sürebilir. Ekipler yalnızca hedefin organizasyonunu değil, aynı zamanda temel
endişelerini ve hatta eğilimlerini de anlamaya çalışıyor. Örneğin bir APT,
merkezi Minnesota'da bulunan büyük bir teknoloji firmasını koruyordu. Ekip
üyeleri sonunda sistemi kırmanın en iyi yolunun büyük bir kar fırtınasına kadar
beklemek olduğunu anladılar. Daha sonra firmanın kar günü politikasını
değiştirdiğine dair sahte bir e-posta gönderdiler; Minnesota'da bu, CEO'dan
başlayarak herkesin önemsediği bir şeydi. Amerikan ulusal güvenlik
yetkililerinin Çin istihbaratı ve askeri birimlerini suçladığı bir başka çaba,
yalnızca hedeflerin önemli arkadaşları ve ortakları hakkında değil, aynı
zamanda e-postalarını imzalarken kullandıkları veda hakkında da ayrıntılar
topladı (örneğin, "En iyi dileklerimle") "Saygılarımla" ve
"Kamyonculuğa Devam Edin") gibi bir hedef odaklı kimlik avı saldırısı
vektörünü taklit etmek için.
Hedef
anlaşıldıktan sonra, bir "izinsiz giriş ekibi" sistemi ihlal etmek
için çalışacaktır. Ancak burada dikkate değer olan şey, ilk hedefin çoğunlukla
ana ödül olmamasıdır. Bir ağa girmenin etkili bir yolu, dışarıdan gelen
güvenilir kişilerdir. genellikle daha düşük savunma seviyelerine sahip olarak
veya ağdaki kapıları daha geniş açmak için bazı erişim izinlerine sahip
insanları hedef alarak. Örneğin, bir dizi Amerikan düşünce kuruluşu (iş yerimiz
dahil) 2011'de ve 2012'de tekrar hedef alındı. Asya'nın güvenlik meseleleri
üzerinde çalışan akademisyenlerin hesaplarına erişmeye çalışan bir APT (sadece
dosyalarıyla değil, aynı zamanda üst düzey hükümet liderlerinin iletişim bilgilerinin
bulunduğu adres defterleriyle de ilgileniyorlardı). yönetici haklarına ve
şifrelere erişimi olan diğer çalışanlardan sonra.
Bu
saldırganlar sıklıkla hedef odaklı kimlik avı ve sahte e-postalar kullanıyor ve
bazı istismarlar, kötü amaçlı yazılımların indirilmesini tetikleyerek içeride
gizleniyor. "Shady RAT Operasyonu"nda (II. Bölümde daha sonra
bahsedeceğimiz bir APT), sahte e-posta eki açıldığında, kötü amaçlı yazılım
yerleştirildi. Bu daha sonra başka bir dış web sunucusuna giden bir arka kapı
iletişim kanalı yarattı ve bu da daha sonra başka bir dış web sunucusuna
bağlandı. , saldırganların izlerini örtme çabasıyla, web sayfasının kodundaki
gizli talimatlarla ele geçirildi.
Bu
eklerde kullanılan kötü amaçlı yazılımlar genellikle oldukça karmaşıktır. Vurgu
gizlilik üzerinedir, bu nedenle yazarlar yalnızca geleneksel antivirüs
savunmalarından saklanmaya çalışmakla kalmayacak, aynı zamanda keşfedilmeyi
önlemek için ağların ve işletim sistemlerinin derinliklerine girerek meşru ağ
trafiğini taklit etmeye çalışacaklar. Diğer işletmeler gibi, APT grupları da
onları tespit edebilecek antivirüs programlarının sayısını en aza indirmek için
sıklıkla provalar ve hatta "kalite güvence" testleri gerçekleştirir.
Ancak e-posta, içeri girmenin tek yolu değildir. Örneğin, diğer APT'ler
aşağıdaki gibi ağları kullanmıştır: Facebook, hedeflenen bir ağ içerisinde
yüksek ayrıcalıklara sahip kişilerin arkadaşlarını bulmak için, daha sonra bu
arkadaşların anlık mesajlaşma sohbetlerini ele geçirerek gizlice içeri
giriyorlar. Sosyal ağ araçlarının bu şekilde kullanılmasının belki de en ilginç
örneği, üst düzey İngiliz subayları ve savunmasıydı. yetkililer, NATO komutanı
Amiral James Stavridis olduğunu iddia eden sahte bir Facebook hesabından gelen
"arkadaşlık isteklerini" kabul etmek için kandırdılar. Kim bir
amirali arkadaş olarak istemez ki; Bir bilgisayar korsanı olduğu ortaya
çıktığında ne kadar hayal kırıklığına uğradıklarını hayal edin!
Ekip
bir kez devreye girdiğinde viral bir enfeksiyon gibi dallara ayrılır ve çoğu
zaman daha fazla personel bu çabaya katılır. İlk dayanak noktalarından
atlayarak, ağ içinde kötü amaçlı yazılımı çalıştırabilen ve girip çıkmak için
kullanılabilen ek makineleri tehlikeye atıyorlar. Bu genellikle insanların
yazdıklarını izleyen tuş vuruşu kayıt yazılımının ve kötü amaçlı kodu hassas
bilgileri aramaya yönlendirebilen bir "komuta ve kontrol" programının
kurulmasını içerir.
Bu
noktada hedef "pwned" durumdadır. Artık saldırganların insafına
kalmış bir "sızma ekibi", APT'nin baştan beri hedeflediği bilgiyi
almaya çalışmaktadır. İşte APT'nin bir başka ayırt edici özelliği:
"Bulabildiğini al" şeklindeki olağan suç etiği yerine, çok özel
dosyaların peşine düşüyorlar. Saldırganlar çoğunlukla dosyaları açmıyorlar
bile; bu da onların keşiflerinin o kadar kapsamlı olduğunu gösteriyor ki neyi
hedeflediklerini gözden geçirmelerine gerek yoktu, bunun yerine birisi belirli
bir toplama gereksinimleri listesi hazırlıyor ve ekip buna sadık kalacak kadar
disiplinli oluyor.
Tüm
APT'ler verileri kopyalayıp çıkarmaz. Bazıları, ağın içindekilerin ötesindeki
yeni sırları çalmalarına ve hatta kontrolü ele geçirmelerine olanak tanıyan
teknoloji ekliyor. Örneğin Fransız yetkililer, Çin istihbaratıyla bağlantılı
APT'leri, birçok üst düzey Fransız siyasi ve iş adamının bilgisayarlarına
erişim sağlamak ve ardından konuşmaları gizlice dinlemek için mikrofonları ve
web kameralarını etkinleştirmekle suçladı. Daha da kötüsü, yalnızca verileri
çalmakla kalmayıp aynı zamanda dosyaları değiştirenlerdir; daha sonra
inceleyeceğimiz gibi, bunun büyük sonuçları olabilir. Bu sonuçta APT'yi bir suç
veya casusluk eyleminden sabotaj ve hatta savaş eylemine dönüştürüyor.
Büyük
miktarlarda verinin ağdan ayrıldığı (örneğin, bir e-posta dosyasının tamamının
çıkması) sızma aşaması, aslında birçok başarılı APT'nin tespit edildiği
aşamadır. Bu "ev telefonu" aşaması, ağ trafiğinde maskelenmesi zor
bir anormallik yaratır.
Bu
nedenle sızma ekipleri, bilgiyi gizlice dışarı çıkarmak ve ardından izlerini
gizlemek için her türlü numarayı kullanır. Yaygın bir taktik, çalıntı fonları
dünyanın her yerindeki bankalar aracılığıyla çalıştıran bir kara para
aklayıcıya benzer şekilde, verileri birden fazla ülkedeki ara istasyonlar
aracılığıyla yönlendirmeyi içerir. Bu sadece onların izini sürmeyi
zorlaştırmakla kalmıyor, aynı zamanda APT'nin faaliyetlerini farklı ülkeler ve
yasal yargı bölgelerine yönlendiriyor ve sonuçta kovuşturmayı karmaşık hale
getiriyor.
APT'leri
daha da zorlu hale getiren şey, hedefin nihayet saldırıya uğradığını
anladığında acının bitmemesidir. Sistemdeki hangi makinelere virüs bulaştığını
bulmak aylar sürebilir. Daha da kötüsü, eğer çaba gerçekten ısrarcıysa (mesela
hedefin saldırgan için bir çeşit süregelen değeri varsa) APT'de görevi ağda
elektronik bir dayanak sağlamak olan ek bir birim olabilir. Bu birim, hangi
bilgilerin çalınacağına odaklanmak yerine, savunucuların bunları nasıl dışarı
çıkarmaya çalıştığını öğrenmek için dahili e-postaları izleyecektir. Bir
vakada, bir Amerikan şirketi, bir APT tarafından hedef alındıktan sonra virüslü
ağını temizlemek için Pentagon onaylı bir bilgisayar güvenlik firmasını
kiraladı. Buna rağmen birkaç ay sonra binadaki bir termostat ve yazıcının
Çin'de bulunan bir sunucuya mesaj gönderirken yakalandı. E-iletişimin tehlikeye
girmesiyle savunmacıların tepkisi genellikle eski usule gitmek oluyor.
Kelimenin tam anlamıyla bilgisayarlarının sabit disklerini çıkaracaklar ve
koridorlara şifre politikası değişiklikleri hakkında el yazısıyla yazılmış
tabelalar asacaklar.
APT'ler
her kuruluş için bir kabus senaryosudur. Çoğu, çok geç olana kadar hedef
alındıklarını bilmiyor. Ve öğrenseler bile arkasında kimin olduğunu kanıtlamak
genellikle imkansızdır. Aslında APT'lerin tüm tehdit vektörleri arasında en
tartışmalı olmasının nedeni budur. Saldırganların özensiz olduğu durumlar
dışında (en sevdiğimiz örnek, yüksek rütbeli bir Çinli subayın metresiyle
iletişim kurmak ve bir APT'yi koordine etmek için aynı sunucuyu kullanmasıdır),
mahkemede geçerli olabilecek çok az gerçek kanıt vardır. veya bir ülkenin
konumunu sallayın. Bunun yerine sıklıkla şüpheler ve parmakla işaretlerle baş
başa kalıyoruz; bu da APT'leri son birkaç yılda ABD ile Çin arasında gördüğümüz
gibi diplomatik ilişkiler için çok zehirli kılıyor.
Kötü Adamları Nasıl Uzak Tutarız? Bilgisayar Savunmasının
Temelleri
Açık
ara dünyanın en büyük hayvanat bahçesi. 2013 yılında "vahşi doğadan"
özenle toplanmış 110 milyondan fazla farklı türü barındırıyordu. Ama yine de
hayvanları göremediğiniz tuhaf bir hayvanat bahçesi. Bunun nedeni, onların
yalnızca doğada var olmaları. sanal dünya.
McAfee
"kötü amaçlı yazılım hayvanat bahçesi", bilgisayar güvenlik
firmasının, İnternet kullanıcılarına zarar vermek üzere tasarlanmış çeşitli
kötü amaçlı veya kötü niyetli yazılımlardan ("kötü amaçlı yazılım"
olarak bilinir) oluşan koleksiyona verdiği addır. Büyümesi, sorunun aşılamaz
görünen boyutunu gösteriyor. 2010 yılında McAfee, her on beş dakikada bir yeni
bir kötü amaçlı yazılım örneği keşfetmesinin etkileyici olduğunu düşünüyordu.
2013'te her saniye bir tane keşfediyordu!
Bir
bilgisayar sistemini korumanın avantajı, size neyin saldırabileceğini
öğrendikten sonra, bilgisayara neyi izlemesi gerektiğini ve bundan nasıl
kaçınacağını söyleyebilmenizdir. Geleneksel antivirüs yazılımı bu
"imzaları" tespit etmeye dayanır. Programlar, sistemdeki tüm
dosyaları ve gelen trafiği, bilinen kötü amaçlı yazılımların sözlüğüne göre
tarar ve bu kötü niyetli işaretlerle eşleşen herhangi bir şeyi arar.
Bu
klasik yaklaşımın göze çarpan kusurları var. Zamanla saldırıların sayısı
arttıkça, bu tanım dosyaları ve bunları aramak için gereken süre de artar. Bu
eski imzaların çoğu mevcut tehditleri temsil etmiyor ve tehditler çoğaldıkça
kaybedilen bir oyun haline geliyor. Bir çalışma, gelen tüm e-postalarda bulunan
tüm kötü amaçlı yazılımları tespit etmek için ortak antivirüs programlarındaki
imzaların yalnızca yüzde 34'ünün gerekli olduğunu buldu. Ancak yine de
sağduyulu olmak, saldırganın sinsice yaklaşıp onlara geri dönme ihtimaline
karşı eski kötü amaçlı yazılımların yüzde 99,66'sını aramamız gerektiğini
söylüyor.
Daha
büyük sorun evrimdir. Kötü amaçlı yazılım yazarları, biyolojiden bir sayfa
alarak geleneksel antivirüs yaklaşımına karşı mücadele ettiler. Tıpkı HIV ve
grip gibi bazı virüslerin insan bağışıklık sistemi tarafından tespit edilmekten
kaçınmak için protein kaplamalarını değiştirmesi gibi, kötü amaçlı yazılım
yaratıcıları da saldıran programlarının dış görünüşünü değiştirir. Aynı
saldırı, otomatik olarak yeni özellikler üreten programlar tarafından
gizlenerek çok farklı imzalara dönüştürülebilir. Bu, yukarıda belirtilen
"hayvanat bahçesi" istatistiklerinde yansıtılanlar gibi çok büyük
rakamlara yol açmakta ve eski imza yoluyla tespit yaklaşımını daha az
kullanışlı hale getirmektedir. Bir analiz, sekiz günlük bir süre boyunca, büyük
bir antivirüs satıcısı tarafından taranacak öğeler listesine yüz binden fazla
yeni bilinen kötü amaçlı yazılım imzasının eklenmesine rağmen, yalnızca on iki
yeni algılamanın sonuçlandığını ortaya çıkardı. Yüz bin imzanın işlenmesine
yönelik on iki tespit önemsiz görünebilir, ancak bu, antivirüs şirketlerinin
beceriksizliğinden çok, kötü amaçlı yazılım yazarlarının kullandığı kamuflaj
tekniklerini yansıtıyor. İmza sayısını şişirmek, kötü amaçlı yazılım sorununun
olduğundan daha büyük görünmesine neden olabilir, ancak kötü amaçlı yazılımın
hiç sorun olmadığı sonucuna varmak da aynı derecede yanlış olacaktır.
Bu
nedenle güvenlik satıcıları kötü amaçlı kodları tespit etme yöntemlerini
değiştirmek zorunda kaldı. Modern antivirüs yalnızca taramakla kalmaz, aynı
zamanda kurallara ve mantıksal analize dayalı olarak şüpheli bilgisayar kodu
davranışını belirlemek için "sezgisel" algılamalar kullanır. Statik
analiz bilgisayar kodunu parçalar ve saldırganın davranışıyla ilişkili
kalıpları arar. Sanal makineler ve diğer karmaşık savunmalar, incelenen
dosyanın gerçek sistemi riske atmadan hatalı davranıp davranmayacağını
belirlemek için kod işlemini dinamik olarak simüle eder. Tıpkı polis bomba
ekiplerinin şüpheli paketleri test etmesi gibi, sanal "patlama
odaları" da gelen bir kötü amaçlı yazılım parçasının yanlışlıkla makinenin
içinde olduğunu düşünmesine ve zamanından önce patlamasına neden olabilir.
Modern
bir işletim sisteminin güvenliğini sağlamak zorsa alternatif bir yaklaşım, kötü
bilgilerin ağ üzerinden bilgisayara ulaşmasını engellemeye çalışır. Ağ
savunmasının en basit biçimi “güvenlik duvarı”dır. Yangınların yayılmasını
önlemek için arabaların veya binaların içine yerleştirilen bariyerler
kavramından alınan bilgisayar güvenlik duvarları, trafiği belirli kurallara
göre reddeden filtreler gibidir. Güvenlik duvarları, harici önceden belirlenmiş
koşullar dışında bilgisayarların güvenlik duvarlı makinelere bağlanmasını
engeller veya bilgisayardaki belirli uygulamaların ağ bağlantılarını açmasını
engeller.
Güvenlik
duvarları yalnızca ağ üzerinde geçerli etkinliğe izin veren filtrelerdir; Bir
sonraki savunma katmanı, geçersiz davranışları arayan bir dizi sensörden
oluşur. Bilgisayar düzeyinde veya ağ üzerinde "İzinsiz giriş tespit
sistemleri" mevcuttur . Saldırı imzalarını tespit ederler ve anormal
davranışları tespit ederler ("Bu komik, kapıcının bilgisayarı genellikle
sabah saat 2'de Moldova ile şifreli bir bağlantı açmaz"). Bu sistemler
yöneticileri olası saldırılara karşı uyarır ve ayrıntılı adli analiz için
günlükler tutar. Çoğu tespit sistemi artık şüpheli ağ bağlantılarını kapatan ve
anonim trafiği ortadan kaldıran bir miktar izinsiz giriş önleme kapasitesine de
sahiptir. Antivirüs yazılımları gibi bu sistemlerin de bir bedeli vardır; Tipik
olarak daha fazla paraya mal olmanın yanı sıra, özellikle sistemin büyük bir
ağdaki tüm gelen trafiği gerçek zamanlı olarak değerlendirmesi gerekiyorsa,
makine içindeki zaman ve performans kaynaklarına da mal olur.
Yeni
bulunan bir güvenlik açığının ardından gelen "sıfır gün" olayını daha
önce duymuş olsanız da çoğu saldırı, satıcının zaten keşfettiği ve bir kod
güncellemesi veya "yazılım yaması" yoluyla iyileştirmeye çalıştığı
güvenlik açıklarından yararlanmaya çalışır. Bir yamanın varlığı, satıcının bir
güvenlik açığı bulduğunu, bir tehdit azaltma tespit ettiğini ve belki de en önemlisi
mevcut koda bir düzeltme eklediğini gösterir.
Sorun,
birçok kullanıcının bu güvenlik güncellemelerine her zaman dikkat etmemesi ve
güvenlik açıklarını yamasız bırakmasıdır. Bu nedenle, yapımcıların yeni
güncellemeler için basit bildirimler göndermesinden, eylem yükünü kullanıcının
omuzuna yükleyen, otomatik indirmelere ve hatta yamanın kurulumuna kadar bir
evrim gördük. Ancak bu değişimle birlikte başka maliyetler de geldi. Modern
yazılım çok karmaşıktır ve küçük bir güvenlik açığının düzeltilmesi programdaki
sayısız diğer süreci etkileyebilir. Korku hikayeleri, yepyeni akıllı
telefonları oldukça şık kağıt ağırlıklarına dönüştüren veya tüm kurumsal ağları
parçalayan yamaları anlatır. Her büyük kuruluş farklı yazılımlar
çalıştırdığından ve farklı yapılandırmalara sahip olduğundan, yama yönetimi her
türlü BT desteğinin önemli bir parçasıdır.
Tıpkı
vücudunuzun savunmasının yalnızca cilt düzeyinde olmaması gibi, ciddi
tehditlere de yalnızca onları dışarıda tutarak karşı koyamazsınız. Tehdit girse
bile değerli olanı korumaya yönelik önlemler var. Örneğin siber casusluk
durumunda, saldırganların verilere erişmesini engelleyemiyorsanız, şifreleme
yoluyla verileri anlama yeteneklerini sınırlayabilirsiniz.
Son
savunma hattı, rahibelerin Katolik okul danslarını denetlemek için
kullandıkları stratejiye benziyor. Rahibeler sık sık çok yakın dans eden
gençlerin arasına balon dolduruyor ve sinsi hiçbir şeyin olmamasını sağlamak
için bir "hava boşluğu" yaratıyorlar. Siber güvenlik açısından hava
boşluğu, ağ ile kritik sistemler arasındaki fiziksel ayrımdır. Bu tür
uygulamalar enerji şirketleri gibi kritik altyapılarda yaygındır ve hatta
İranlılar tarafından nükleer araştırmalarını siber saldırılardan korumak için
denenmiştir.
Hava
boşluklarıyla ilgili sorun, tıpkı rahibelerin dayatmaya çalıştığı cinsel perhiz
gibi, pratikte çoğu zaman işe yaramaması. Operasyonel altyapının kontrolünden
vazgeçmek, verimlilik ve etkinlikten fedakarlık etmeyi gerektirir. Örneğin,
bağlantı kurmayan enerji şirketleri daha az savunmasız olabilir, ancak hem
paradan hem de çevreden tasarruf sağlayan "akıllı" enerji
şebekelerini çalıştıramazlar.
Benzer
şekilde, İranlıların sözde hava aralığına sahip sistemlerine Stuxnet virüsü
bulaştığında keşfettikleri gibi, hava boşluğunu korumak çoğu zaman gerçekçi
değildir. Bir noktada eski verilerin ortaya çıkması ve yeni talimatların
girmesi gerekir. Sistemlerin yamalanması, güncellenmesi ve bakımının yapılması
gerekir. Aslında, Ulusal Siber Güvenlik ve İletişim Entegrasyon Merkezi, özel Amerikan
şirketlerinin hava boşluğunu kapatma girişimlerine ilişkin kelimenin tam
anlamıyla yüzlerce güvenlik açığı değerlendirmesi gerçekleştirdi . Firmanın
diğer kurumsal bilgisayar ağlarından başarıyla ayrılmış bir operasyon ağına bir
kez bile rastlamadı.
Son
olarak, bazıları "En iyi savunma, iyi bir saldırıdır" şeklindeki eski
sloganı savunuyor. Siber dünyada bu, "hackback" olarak biliniyor ve
saldırganların kendi bilgisayar ağlarının peşine düşen çok sayıda firma ortaya
çıktı. Tetiktelik gibi bu da hem iyi hissettirir hem de asıl saldırgana bir
ders verebilir.
Ancak
hackback işinin iki büyük sorunu var. Birincisi, siber saldırı gerçekleştirme
"hakkına" kimin sahip olduğu sorusunun belirsiz olmasıdır; bu da
siber güvenlik firması Endgame'in CEO'su Nate Fick'e göre "siber
Blackwater" firmalarının yasal olarak "ince buz üzerinde
kaydığı" anlamına geliyor. İkincisi. Hackback'in uzun vadede bu kadar
etkili olup olmadığının henüz net olmadığı Fortinet'in güvenlik stratejisti
Alex Harvey şöyle açıklıyor: "Onlara izinsiz girmek ve onları kapatmak zor
değil, ancak yeni bir tane ortaya çıkacak. Birkaç dakika huzur ve sessizlik
yaşayacağım."
Siber
savunmanın özü, mükemmel olmaktan uzak çeşitli seçeneklerle birlikte zor bir
görev olmasıdır. Ancak diğer tek seçenek hayvanat bahçesini kapatmak ve kötü
amaçlı hayvanların serbest kalmasına izin vermek.
En Zayıf Halka Kim? İnsan faktörleri
2008'de
bir ABD askeri, Orta Doğu'daki bir ABD askeri üssünün dışındaki otoparkta
yürürken yerde paketlenmemiş bir şeker çubuğu gördü. Kimin bıraktığını ya da
şekerin ne kadar süredir yerde kaldığını bilmeden üssün içindeki barı alıp öğle
yemeğinde yemeye karar verdi.
Kulağa saçma ve hatta biraz iğrenç geliyor, değil mi? Şeker
çubuğunun yerine bir USB flash sürücüyü kullanırsanız, ABD askeri tarihindeki
en büyük siber ihlallerden biri olan Buckshot Yankee'yi başlatan şeyin öyküsüne
sahip olursunuz. 2008 yılında yabancı bir istihbarat teşkilatı, "şekerleme"
olarak bilinen bir taktikle, bir ABD üssünün dışındaki otoparka flash sürücüler
bıraktı. Bir asker, sürücülerden birini toprağın içinde gördü, onu aldı ve
bunun iyi bir fikir olduğunu düşündü sürücüyü ABD ordusunun Merkezi Komuta
ağındaki bir bilgisayara takın. Sürücü, bilgisayarları verileri için tarayan,
arka kapılar oluşturan ve komuta ve kontrol sunucularına bağlanan, Agent.btz
adlı bir solucanı yükledi. Pentagon sonraki on dört ayı, diski temizlemekle
geçirdi . Bunun nedeni, bir askerin bilgisayarına nasıl davrandığına
"beş saniye kuralını" uygulayacak sağduyuya sahip olmamasıydı.
Siber
güvenlikteki gerçek savaş sadece yüksek teknolojiyle ilgili değil. Aynı zamanda
insan faktörü, yani davranışlarımız üzerindeki mücadele tarafından da
yönlendirilmektedir. Eski savaşlardan bir benzetme yapmak gerekirse, bir ağı
koruyan duvarların bir saldırgan tarafından her zaman yıkılması veya altından
tünel açılması gerekmiyor. Bazen, eski Truva'da olduğu gibi, habersiz
savunmacılar, saldırganın aldatmacasını fark etmeden kapıları açarlar. Siber
güvenlikte çeşitli gelişmiş tehditler olsa da, en başarılı olanların çoğu eski
moda insan hatalarından yararlanıyor. Örnekler arasında, bir BT şirketinin
yöneticisinin erkekler tuvaletinde kötü amaçlı yazılım yüklü bir CD bulması ve
içinde ne olduğunu görmek için onu bilgisayarına yerleştirmesi yer alıyor (yine
karşılaştırmaları düşünün: pisuarın yanında bulduğunuz tarağı alır mıydınız?
Asandviç?) iş ağını müzik dosya paylaşımı için kullanan bir savunma şirketi
çalışanına. Tescilli rock şarkılarını çevrimiçi paylaşmanın yanı sıra,
istemeden ABD başkanlık helikopterinin elektronik tasarımlarını da İranlı
bilgisayar korsanlarıyla paylaştı.
Bu
nedenle birçok BT uzmanı, bir ağda herhangi bir hassas bilgi varsa, tüm
kullanıcıların düzenli olarak siber güvenlik temelleri konusunda
sertifikalandırılması gerektiğine inanıyor. Bu, ast kadrodan liderliğe kadar
herkes anlamına gelir. Bu sadece bilgisayarınıza taktığınız şeyler için beş
saniye kuralını uygulamakla ilgili değil. Akıllı saldırganlar, bizi
bağlantılara tıklamaya, ekleri açmaya veya şifrelerimizi telefonda yabancılara
vermeye ikna etmek için doğuştan gelen güvenimizden yararlanır. Telefon
görüşmelerimizin ve e-postalarımızın yüzde 99'u kötü niyetli olmadığından
sürekli tetikte olmak zordur.
Uzmanlar
bile kandırılabilir ve kandırılacaktır. Profesör John Savage, 1979 yılında
Brown Üniversitesi'nde Bilgisayar Bilimleri bölümünü kurdu ve seçkin
kariyerinin çoğunu, Dışişleri Bakanlığı'na danışmanlık da dahil olmak üzere,
bilgi güvenliği çalışmalarına adadı. Ancak bilgisayar güvenliği üzerine bir
ders verirken öğrencilerinden biri onu e-postadaki bir bağlantıya tıklayıp
şifresini girmesi için başarıyla kandırdı. (Daha sonra bu girişimci öğrenciyi
bu kitap için araştırma asistanı olarak işe aldık.)
Bölüm
III'te bu konuya daha fazla değineceğiz, ancak amaç insan davranışının
tehditleri etkinleştirmede oynadığı kilit rolü tanımak ve ardından sürekli
farkındalık yaratıp bunu yeni eğitimlerle güçlendirmektir. Kullanıcılar gerekli
dikkat derslerini öğrenemezlerse erişim ayrıcalıkları iptal edilmelidir.
Gerçekten de, Lockheed Martin gibi bazı şirketlerin, sık sık kendi
çalışanlarını kandırmaya çalışan "kırmızı takım" programları bile
vardır. Örneğin, çalışan şüpheli bir e-postadaki bir bağlantıyı açarsa, bu,
suçluyu bir tazeleme kursuna yönlendirir. Gerçek kötü amaçlı yazılımları, Truva
Atlarını veya Yunanistan kaynaklı diğer siber hediyeleri indirmektense
dersimizi bu şekilde öğrenmemiz daha iyi olur.
Siber Saldırının Anlamı Nedir? Önemi
İki
grubu bir araya getirmek uzun zaman almıştı ama sonunda üst düzey Amerikalı ve
Çinli yetkililer aynı masanın etrafında toplandılar. İki büyük gücün
gündemindeki önemli konular, ticaret ve finans konularından, ortaya çıkan siber
güvenlik endişelerine kadar uzanıyordu. Ancak tartışma nihayet başladığında
Çinliler şaşkına döndü. ABD'li temsilciler “katılımın” öneminden bahsetti.
Çince tercüman, Amerikalıların bir "evlilik teklifi" mi yaptığından
yoksa "ateş değişimi" mi tartıştığından emin değildi; bunların ikisi
de diplomatların buluşması için uygun görünmüyordu.
Yeni
bir konu hakkında konuşmaya çalışmak biraz yabancı bir ülkeye seyahat etmek
gibi olabilir. Yeni tartışmalar, olup biteni anlamak için tamamen yeni terimler
ve çerçeveler gerektiriyor. Konular son derece teknik konuları en temel
terimlerin bile anlam yüklenebileceği geniş kavramlarla karıştırdığından, siber
sorunlar alanında durum daha da karmaşık hale gelebilir. Örneğin, ABD ve SSCB
Soğuk Savaş sırasında silah kontrolü anlaşmaları müzakere ederken, seyir
füzesinin tanımı gibi konularda tartışmış olabilirler, ancak seyir füzesinin
bir silah olup olmadığı veya bunun bir silah olup olmadığı konusunda herhangi
bir tartışma yoktu. böyle bir silahı diğerine karşı kullanmak saldırı olarak
yorumlanır.
Siber alan için aynı şey söylenemez, özellikle de siber
uzayda neyin “saldırı” teşkil ettiği söz konusu olduğunda. Bu terim, çevrimiçi
protestolardan İnternet sırlarının çalınmasına, nükleer araştırmaların siber
sabote edilmesine ve savaş alanındaki savaş eylemlerine kadar her şeyi
tanımlamak için kullanıldı. Ve insanlar her zaman bu karışıklığın kurbanı
oluyorlar. Bölüm I'de gördüğümüz gibi, 2011'de bir grup üst düzey ABD senatörü,
Citigroup'taki 3 milyon dolarlık bir kredi kartı dolandırıcılığı vakasından ve
İran'ın nükleer araştırmalarını sekteye uğratmak için özel olarak tasarlanmış
Stuxnet solucanından, sanki bunlar tek ve aynı sorunmuş gibi bahsetmişti. .
Aynı şekilde Çin Dışişleri Bakanlığı yetkilileri, söylentilerin Facebook gibi
sosyal ağlar aracılığıyla yayılmasının, enerji santrallerine saldırıyla aynı
anlamda bir "saldırı" olduğunu ifade etti.
Alanında
uzman kişiler bile bu sorunun tuzağına düşebilir veya bazen başkalarının konu
hakkındaki kafa karışıklığından faydalanabilirler. 2010 yılında, ordunun Siber
Komutanlığı'nın baş ABD generali Kongre'ye şunu ifade etti: "Amerika'nın
silahlı kuvvetleri her gün milyonlarca siber saldırıyla karşı karşıya
kalıyor." Ancak bu numaraları elde etmek için, ABD ağlarına hiç girmeyen
araştırmalardan ve adres taramalarından gerçek veri hırsızlığına kadar her şeyi
birleştiriyordu. Ancak bu saldırıların hiçbiri, Kongre'deki dinleyicilerinin
çoğunun, patronu Savunma Bakanı'nın onları uyardığı korkulan "dijital
Pearl Harbor" veya "siber 9/11" gibi "saldırı" derken
kastettiğini düşündüğü şey değildi. ana akım medyayla eş zamanlı olarak bir
dizi konuşma, tanıklık ve röportaj gerçekleştirdi.
Esasen,
insanların "siber saldırıları" tartışırken sıklıkla yaptığı şey, sırf
İnternet ile ilgili teknolojiyi içerdiklerinden dolayı, çeşitli benzer ve
farklı faaliyetleri bir araya getirmektir. Paralellik, havai fişek kullanan bir
şakacının, tabancalı bir banka soyguncusunun, yol kenarına bomba atan bir
isyancının ve seyir füzesi taşıyan bir devlet ordusunun eylemlerine, sırf
aletleri aynı olduğu için aynı fenomenmiş gibi yaklaşmak olacaktır. barutun
aynı kimyasını içeriyordu.
ABD
hükümeti 2009 yılında siber saldırıları incelemek üzere Ulusal Araştırma
Konseyi'ni topladığında, bunları " bilgisayar sistemlerini veya ağlarını
veya bunların içinde bulunan veya aktaran bilgileri ve/veya programları
değiştirmeye, bozmaya, aldatmaya, bozmaya veya yok etmeye yönelik kasıtlı
eylemler" olarak tanımladı. sistemler veya ağlar."
Güzel
bir özet ama siber saldırının gerçekten ne olduğunu bilmek istiyorsanız
öncelikle onu geleneksel saldırılardan ayırmanız gerekiyor. Başlangıç olarak
siber saldırılar farklı yöntemler kullanır. Kinetik kuvvet (yumruk, kılıç,
bomba vb.) kullanmak yerine dijital araçları, bir tür bilgisayar eylemini
kullanıyorlar . Bu önemlidir: Bir siber saldırı, geleneksel saldırıların
olağan fiziği ile sınırlı değildir. Siber uzayda bir saldırı, kelimenin tam
anlamıyla ışık hızında, coğrafya ve siyasi sınırlarla sınırsız olarak hareket
edebilir. Fizikle bağlantısının kesilmesi aynı zamanda birden fazla yerde
olabileceği, yani aynı saldırının aynı anda birden fazla hedefi vurabileceği
anlamına da geliyor.
Bir
siber saldırının ikinci farkı ise hedeftedir. Bir siber saldırı, doğrudan
fiziksel hasar vermek yerine her zaman öncelikle başka bir bilgisayarı ve
içindeki bilgileri hedef alır. Saldırının amaçlanan sonuçları fiziksel bir şeye
zarar vermek olabilir ancak bu hasar her zaman öncelikle dijital alemdeki bir
olaydan kaynaklanır.
Siber
saldırının fiziksel saldırıdan farklı görünmesinin diğer tüm yolları bu iki
temel farklılıktan kaynaklanmaktadır. Örneğin, siber saldırıları belirli bir
aktöre atfetmek, en azından kelimenin tam anlamıyla "dumanı tüten
silah" veya "dumanı tüten silah" ile karşılaştırıldığında
genellikle daha zordur. Elbette, keskin nişancılar bazen tespit edilmeyi engellemek
için özel olarak tasarlanmış tüfeklerle ateş ederken, bazı siber saldırganlar
da bunu imzalar. Bir saldırı için övgü aldıklarından emin olmak için adlarını
kötü amaçlı yazılımlarına ekleyin. Benzer şekilde, fiziksel bir saldırının
etkisini tahmin etmek her zaman olmasa da genellikle daha kolaydır. Lazer
güdümlü bir bombayı bir pencereden atabilir ve neredeyse kesin bir şekilde
yansıtabilirsiniz. patlamanın hasar yarıçapı. Bir bilgisayar virüsü söz konusu
olduğunda, kimin bilgisayarına bulaşacağını her zaman bilemezsiniz. Elbette
istisnalar vardır: bomba aynı zamanda istemeden binayı çökertebilir veya
içeride olduğunu kimsenin bilmediği bir gaz hattını patlatabilir . Stuxnet
gibi bazı virüsler ise yalnızca belirli bir hedef grubu için özel olarak tasarlanmıştır.
Üstelik
fiziksel bir saldırının maliyeti, gerçek silah ve malzemelerinin satın
alınmasında daha yüksekken, siber saldırılarda maliyetler daha çok araştırma ve
geliştirme tarafındadır. Bununla birlikte, Manhattan Projesi ve atom bombası
deneyimi bu kuralın istisnasını göstermektedir. Özetle: Siber saldırılarla
diğer saldırılar arasındaki tek kesin ve hızlı fark, dijital araçları ve
dijital hedefleridir.
Peki
o zaman siber saldırıları nasıl ayırt edebiliriz? Gördüğümüz gibi bunlar,
hedeflenen sistemin diğer ağlardan gelen çok fazla istekle dolduğu "hizmet
reddi "nden, kötü amaçlı yazılımın İran'daki bir nükleer laboratuvardaki
fiziksel ekipmanın arızalanmasına ve dönmesine neden olduğu Stuxnet'e kadar her
şeyi içeriyor. Kontrolden çıkmış Bir grup mahalle çocuğunun kapınızı çalıp
kaçmasından, Norveç direnişinin İkinci Dünya Savaşı'ndaki Nazi nükleer
araştırmalarını sabote etmesine kadar her şeyi kategorize etmek gibi.
Bölüm
I'de klasik "CIA üçlüsünü", yani bilgi güvenliğini oluşturan üç temel
hedefi tartıştık: Gizlilik, Bütünlük ve Erişilebilirlik. Şaşırtıcı olmayan bir
şekilde, saldırıları sınıflandırmanın en iyi yolu bu üç hedeften hangisinin
geçerli olduğunu belirlemektir. tehdit ediliyor.
Kullanılabilirlik
saldırıları, bir ağa erişimi, ziyaretlerle, hizmet reddiyle veya hatta ağa
bağlı fiziksel veya sanal süreçleri kapatmak için çevrimdışına alarak
bunaltarak engellemeye çalışan saldırılardır. Önde gelen siber güvenlik uzmanı
Dmitri Alperovitch'in belirttiği gibi, bu saldırıları değerlendirmede "Ölçek
ve etki kesinlikle çok önemlidir". Bir video oyunu web sitesine yapılan
bir saatlik hizmet reddi saldırısı, büyük bir sorun gibi görünebilir. oyuncular
için, ancak bu stratejik bir konu değil. Karşılaştırıldığında, " Kolayca
hafifletilemeyen ve ülkenin altyapısının kritik bölümlerini kapatan uzun süreli
bir hizmet reddi saldırısı pekâlâ stratejik olabilir ve denemek istediğimiz bir
şey olabilir" caydırmak."
Gizlilik
saldırıları, faaliyetleri izlemek ve sistemler ve kullanıcı verileri hakkında
bilgi çıkarmak amacıyla bilgisayar ağlarına girme çabalarıdır. Bu tür bir
saldırının ağırlığı, hem elde edilen bilgiye hem de çabanın ölçeğine bağlıdır.
Kredi kartınızı çalan bir suçlu ve bir jet savaş uçağı tasarımını çalan bir
casus teşkilatı gizlilik saldırıları gerçekleştiriyor, ancak mali
dolandırıcılığın casusluğa karşı sonuçları açıkça farklı. APT'lerle
incelediğimiz gibi, asıl zorluk, bu saldırıların bilgileri büyük ve organize
bir şekilde elde etmesiyle ortaya çıkıyor. Bu tür gizli saldırılara maruz kalan
kuruluşlar, tasarımlarının ödeme yapılmadan kopyalandığını gören tüketim
ürünleri şirketlerinden, ihale stratejileri ve sondaj sırları alınan petrol
şirketlerine, savaş uçağı tasarımlarının çalındığını gören havacılık
şirketlerine kadar uzanıyor. Zamanla bunlar büyük bir kayba yol açabilir; bu
nedenle fikri mülkiyete yönelik gizlilik saldırıları ABD-Çin ilişkilerinde
stratejik bir konu haline geldi. Aslına bakılırsa, ABD'deki tartışmaların odak
noktası daha çok "dijital Pearl Harbor" olarak adlandırılan korkular
olsa da, daha ciddi sorun aslında uzun vadeli bir ekonomik "binlerce
kesinti nedeniyle ölüm" olabilir.
Son
olarak bütünlük saldırıları, bilgi çıkarmak yerine değişiklik yapmak için
sisteme girmeyi içerir. Sanal dünyadaki verileri ve gerçek dünyadaki bu
verilere bağlı olan sistemleri ve insanları manipüle ederler. Çoğu zaman, bu
saldırılar ya kullanıcının algısını ya da durumsal farkındalığını değiştirmeyi
ya da bilgi sistemleri tarafından yönlendirilen ya da işletilen fiziksel
cihazların ve süreçlerin sabote edilmesine ya da bozulmasına neden olmayı
amaçlamaktadır. Bu tür bütünlük saldırıları özellikle sinsi olabilir çünkü aynı
sistemlerin içinde neler olup bittiğini anlamak için bilgisayar sistemlerine
güveniyoruz.
Burada
da dürüstlük saldırısının hedefleri ve sonuçları büyük ölçüde farklılık
gösterir. Bunun etkisi, bir devlet kurumunun kamuya açık bir web sitesinin
tahrif edilmesi gibi, siyasi amaçlara yönelik basit bir vandalizm olabilir. Bir
saldırı, suçluların güvenlik bariyerlerini aşmasına izin verecek şekilde
erişimi veya kimlikleri değiştirmek gibi bir tür yasa dışı girişime yardım
ediyor veya bunu gerçekleştiriyor olabilir. Veya başka bir ülkenin resmi
kararları uygulama, kendisini savunma veya vatandaşlarına hizmet sunma
(elektrik enerjisi, sağlık hizmetleri vb. yoluyla) kabiliyetine zarar vermek
gibi stratejik nitelikte büyük bir zarara neden olmaya çalışabilir. .). Bu
nedenle, değiştirilen veriler bir bütünlük saldırısının önemini belirleyen
şeydir. Örneğin, Beyaz Saray'ın web sitesindeki Başkana hoş geldiniz resminin
yazılım kodunu değiştiren bir bilgisayar korsanı ve nükleer silah komutları
için başkanın kodunu değiştiren bir bilgisayar korsanının her biri bir bütünlük
saldırısı gerçekleştiriyor. Ancak çok farklı sonuçlara sahip olacaklar ve çok
farklı tepkiler gerektirecekler.
Zorluk
genellikle bu tür saldırıları sınıflandırmaktan çok onları birbirlerinden
ayırmaktır, özellikle de gerçek zamanlı olarak gerçekleştiklerinde. Hem
gizlilik saldırısı hem de bütünlük saldırısı, bir sisteme giriş kazanmak için
güvenlik açıklarından yararlanır. İçeri girmek için aynı yaklaşımları ve teknik
özellikleri kullanabilirler, ancak farkı yaratan saldırganların oraya
vardıklarında yaptıklarıdır. Verileri gözlemleyip çalıyorlar mı, verileri
değiştiriyorlar mı veya yeni veriler mi ekliyorlar, silah terimlerinde
"yük" olarak bilinen şeyi mi bırakıyorlar? Çoğu zaman kurban, eylem
gerçekleşene kadar bunu anlayamayacaktır. Beyaz Saray örneğimize devam edersek,
Gizli Servis bir adamın çitin üzerinden gizlice geçtiğini fark ettiğinde, onun
Başkan'ın masasındaki kağıtlara göz atmak mı yoksa oraya bomba mı yerleştirmek
istediğini görmek için beklemiyor. Ancak siber alemdeki fark, böyle bir
dramanın nanosaniyeler içinde ortaya çıkabilmesidir.
Başlangıçtaki
"bağlılık" sorunumuza geri dönecek olursak, bu terimleri tanımlamak
yalnızca başlangıçtır. Sırada, farklı ulusların onları nasıl algıladığı
arasındaki büyük uçurumun aşılması var . Amacı ister bozmak, ister çalmak,
ister değiştirmek olsun, tüm bu tür saldırıların hedefi olan "bilgi"
kavramını ele alalım . Ancak Bilgi ve onun İnternet üzerindeki akışı çok
farklı şekillerde yorumlanabilir. Sosyal ağ araçları aracılığıyla çevrimiçi
haberlerin ve coğrafi sınırların ötesinde bağlantıların sağlanması, Amerikalı
liderler tarafından temel bir insan hakkı olarak tanımlanıyor. Buna karşılık,
aynı serbest akış, Rusya ve Çin'deki liderler tarafından bir insan hakkı olarak
değil, devlet istikrarını baltalamak için tasarlanmış bir "bilgi saldırısı"
olarak tanımlandı. Sonuç olarak, uluslararası paylaşımlarda ABD'li yetkililer
siber saldırılardan şu terimlerle bahsetti: "Siber sistemlere ve kritik
altyapılara yönelik saldırılar ve bunlara izinsiz giriş" iddiasında
bulunurken, Rusya gibi yerlerden muadilleri bunları Batı'nın "demokratik
reform adına" rejimleri baltalamaya yönelik bir "bilgi
savaşı"nın parçası olarak tartışıyor.
Bütün
bunları çözmek aslında çok uzun bir "nişan" gerektirecek.
Bu
isim, ya "trafficconverter.biz" alan adının bir karışımından ya da
Almanca "pislik" anlamına gelen küfürden türetilmiştir.
Her
iki durumda da, "Conficker" pek yenilikçi değildi, kötüydü; çeşitli
kötü amaçlı yazılım türlerini birleştirerek korumasız bilgisayarlara giriyor,
kök dizinde rastgele bir dosya adı altında saklanıyor ve ele geçirilen
bilgisayarı bağlantı kurmak ve derlemek için kullanıyordu. Bir botnet. İlk olarak
2008'in sonlarında Microsoft Windows programlarında bir güvenlik açığı
keşfedildiğinde ortaya çıktı. Şirket, kamuya bir yama yayınlamak için acele
etti, ancak kullanıcıların yüzde 30 kadarı korumayı uygulamadı. Kısa süre
sonra, güvenlik uzmanları BT endüstrisinin farklı bölümleri, “Conficker” olarak
bilinen bir bilgisayar solucanının ilk hareketlerini tespit etti. Conficker'ın
ortaya çıkışından sonraki birkaç ay içinde yaklaşık yedi milyon bilgisayarın
güvenliği ihlal edilerek dünyanın en büyük botnet'lerinden biri haline
getirildi. Fransız donanmasından Southwest Airlines'a kadar çeşitli ağlardaki
bilgisayarların tümü, bir güvenlik uzmanının "botnet'in Kutsal
Kasesi" dediği şeye çekildi.
Güvenlik firmalarını, tüketici yazılım şirketlerini, İSS'leri
ve üniversiteleri temsil eden çeşitli araştırmacılardan oluşan bir grup,
ölçeğinden ürkerek Conficker'la savaşmak için bir araya geldi. Yine de hiç
kimse solucanın kesin amacını veya kökenini çözemedi. Birisi devasa bir botnet
inşa ediyordu ama bunu kim ve neden yapıyordu? Daha sonra ekip heyecan verici
bir ipucu buldu: Kötü amaçlı yazılımın ilk sürümü, hedeflenen bilgisayarın
klavye düzenini kontrol ediyordu. Ukrayna diline ayarlanmışsa saldırı iptal
edildi. Peki bu ne anlama geliyordu? Bu, kitabın Ukrayna'da (bazılarının
başlangıçta düşündüğü gibi Rusya veya Çin'de değil) yazıldığının ve yazarların
vatandaşlarına bulaştırmaktan ve kendi yerel yetki alanlarında suç işlemekten
kaçınmak istediklerine dair bir işaret miydi? Yoksa onu tasarlayan kişi
Ukraynalıymış gibi göstermek için tasarlanmış akıllıca bir yanlış yönlendirme
miydi? Yıllar sonra Conficker'ın kim ve neden olduğu hala bir sır olarak
kalıyor.
Bu
bölümün de gösterdiği gibi, terminoloji meselesinin ötesinde, siber arenayı
güvenliğini sağlamayı bu kadar zorlaştıran ve bu nedenle daha fazla
araştırılması gereken başka boyutlar da var. Belki de en zor sorun atıf
sorunudur.
Birçok
kötü amaçlı yazılım türü, kurbanların bilgisayarlarının kontrolünü ele geçirir
ve ilgisiz bilgisayarları birbirine bağlayan bir botnet oluşturur ve
denetleyicinin, bunların birleşik bilgi işlem ve iletişim yeteneklerinden
yararlanmasını sağlar. Sonuçta ortaya çıkan gizlice bağlantılı cihazlardan
oluşan ağ, kolaylıkla olağanüstü boyutlara büyüyebilir. Örneğin, 2010 yılında
çok da gelişmiş olmayan üç İspanyol, karaborsadan satın aldıkları bir programı
kullanarak 12 milyondan fazla bilgisayarı içeren küresel bir bot ağı oluşturdu.
Diğer durumlarda, bir kontrolör yalnızca az sayıda bilgisayarı ele geçirmeye ve
bunlardan yararlanmaya çalışabilir. Kontrolörler bu taktiği kimliklerini
gizlemenin bir öncelik olduğu durumlarda kullanırlar.
Diğer
bilgisayarları yakalama ve kullanma yeteneğinin üç temel özelliği özellikle
önemlidir. Öncelikle coğrafi sınır yoktur. Örneğin, Brezilya'daki bir kişi, fiziksel
olarak ABD'de bulunan bilgisayarlar tarafından kontrol edilebilen Çin'deki
sistemlere saldırılar başlatmak üzere Güney Afrika'daki bilgisayarların
güvenliğini ihlal edebilir. İkincisi, ele geçirilen bir bilgisayarın sahibinin,
uzaktaki bir aktör tarafından zararlı amaçlarla kullanıldığına dair çoğu zaman
hiçbir fikri yoktur. 2007'deki siber olaylarda Estonya'ya saldıran
bilgisayarların yüzde 25'i ABD merkezliydi; her ne kadar saldırının kaynağı
daha sonra açıklanacak olsa da, Rusya kaynaklıydı. Üçüncüsü, zararlı bir
faaliyet gerçekleştirildiğinde, karmaşık analizler tipik olarak en iyi
ihtimalle, saldırıyı başlatmak için kullanılan bilgisayarı tanımlayabilir. Bir
bilgisayarın uzaktan çalıştırılıp çalıştırılmadığını, kullanılıyorsa kim
tarafından çalıştırıldığını tespit etmek çok daha zordur.
Bir
bilgisayara uzaktan erişim sağlanmasa bile birçok durumda (üniversitedeki bir
bilgisayar veya bir internet kafede olduğu gibi), bilgisayarın arkasında
oturanların kimliğini, uyruğunu veya hangi kuruluşa bağlı olduklarını
belirlemek zordur. temsil etmek. Bu tür bilgiler bir kriz durumunda hayati
öneme sahip olabilir ancak nadiren zamanında elde edilebilir ve bu bilgilerin
toplanmasına yönelik girişimler, büyük gizlilik endişelerine yol açar.
Bu
sorunların ne kadar zarar verici olabileceğini görmek fazla hayal gücü
gerektirmez. Siber güvenlik kaygılarının ABD-Çin ilişkilerini nasıl giderek
daha fazla zehirlediğini ele alalım (ki buna ABD'li ve Çinli siber uzmanlar ve
yetkililerle yapılan görüşmelerin bir parçası olarak bizzat tanık olduk).
Amerika Birleşik Devletleri'ndeki pek çok kişi Çin hükümetinin vatandaşları
üzerinde önemli bir kontrole sahip olduğunu varsaydığından, Çin'de bulunan
bilgisayarlar tarafından başlatılan sinsi faaliyetlerin çoğunun arkasında hükümetin
olduğunu varsaymak kolaydır. Ancak elbette bu aynı zamanda başka yerlerdeki
kötü aktörlerin, şüpheleri yanlış yönlendirmek için Çin bilgisayarlarını
yakalamak ve faaliyetlerinde kullanmak üzere hedef almaları için teşvik
edilebileceği anlamına da geliyor. Ancak aynı mantık aynı zamanda Çinli
aktörlerin sorumluluğu inkar etmesine de olanak tanıyor. Sürekli olarak,
aslında Çin'den başlatılan faaliyetlerin, ülkelerindeki çok sayıda savunmasız,
yama yapılmamış bilgisayara işaret ederek, Çin'e dair yaygın şüphelerden
yararlanmak isteyen başkaları tarafından gerçekleştirildiğini iddia ediyorlar.
Aynı tür yanlış yönlendirme, fiziksel olarak Amerika Birleşik Devletleri'nde
bulunan bilgisayarlar kullanılarak da gerçekleştirilebilir. Esasen, çok fazla
parmakla işaretleme alırsınız ve pek fazla kesinlik elde etmezsiniz.
Sorun
şu ki, atıf yapmak suç ortaklığı kurmakla aynı şey değildir. Bazen bir aktörün
belirli bir coğrafi bölgeye yönelik çabalarını takip etmek mümkündür, ancak
operasyonun faili veya yaptırımcısı olarak herhangi bir resmi hükümet rolünü
belirlemek daha zordur. Daha sonra inceleyeceğimiz gibi, "vatansever
hacker" toplulukları ve öğrenciler ve hatta siber suçlu grupları da dahil
olmak üzere diğer devlet dışı gruplar, hükümetleri tarafından bu tür amaçlar
için harekete geçirilmiştir. İnkar edilebilir ama yönlendirilmiş bir saldırı
sunarlar. Ronald Deibert , 103 ülkede 1.200'den fazla bilgisayardan bilgi çalan
GhostNet gibi çeşitli siber casusluk ağlarını takip eden önde gelen Kanadalı
bir uzmandır . Şöyle açıklıyor: “Saldırılar hükümetler tarafından 'kitle
kaynaklı' olabilir. . . veya kendiliğinden katılım eylemlerinden veya her
ikisinden kaynaklanır. Böyle bir ortamda suçun devlete atılması ve uygun
tepkinin oluşturulması görevi karmaşıklaşmaktadır. Bu potansiyel olarak küresel
düzeni istikrarsızlaştırıyor.'
Bazı
saldırı türlerinde başlangıçta olup bitenin "düşmanca" olup
olmadığını belirlemenin zor olması, atıf yapmayı daha da karmaşık hale
getiriyor. Örneğin bir İnternet erişim noktasındaki yönlendirme bilgilerindeki
değişiklik normal bir güncelleme olabilir veya İnternet trafiğini yeniden
yönlendirmeye yönelik kötü niyetli bir girişim olabilir. Bir sistemin güvenlik
duvarına çarpan alışılmadık bir trafik akışı, dünyanın herhangi bir yerinde
yanlış yapılandırılmış bir uygulama olabilir veya bir savunma araştırması
olabilir. Paketler, radarın füzeyi hızlı bir şekilde tespit edebildiği ICBM'ler
gibi değildir.
Üstelik
kötü amaçlı yazılım bir sisteme girdiğinde, kaynağına veya amacına dair her
zaman herhangi bir işaret taşımaz. Mermilerden ve hatta atom bombalarından
farklı olarak (her nükleer reaktörün, bombanın bölünebilir malzemesinin tipik
olarak izlenebildiği kendine özgü bir "imzası" vardır), kötü amaçlı
yazılım ortaya çıkarıldığında genellikle belirli bir suçluya işaret etmez.
Law
& Order veya Perry Mason gibi TV programlarında savcılar jürilere,
suçlunun suçluluğunu belirlemek için suçun üç yönüne odaklanmalarını söyler:
araç, sebep, sebep, Aynı şey, araştırmacıların genellikle titizlikle noktaları birleştirmesi
gereken siber hafiyelik için de geçerlidir. Örneğin, Ron Deibert'in araştırma
ekibi, bir grup Çinli hackerın ("Bizans Hades'i" olarak bilinen) bir
dizi siber saldırı gerçekleştirdiğini doğruladı. Sürgündeki Dalai Lama'nın
ofisi de dahil olmak üzere Tibetli grupları hedef alan saldırılar. Bunu, virüs
bulaşmış bilgisayarlardan gelen ve daha önce Pekin'deki 2008 Olimpiyatları
sırasında Tibet hedeflerinin peşine düşen kontrol sunucularına giden
iletişimleri takip ederek yaptılar.
Ancak
televizyonun yanılgısı da bu noktadadır. Avukatların o dramatik gösterilerde
söylediklerinin aksine, gerçek bir mahkeme sadece bu üç unsurun varlığına
dayanarak mahkumiyet kararı veremez. Araçların kullanıldığına ve suçlanan
motive sanığın gerçekten bu fırsata göre hareket ettiğine dair ikna edici kanıt
bulunmalıdır. Çoğu zaman bu siber durumlarda parmakla işaret yapılabilir, ancak
gereken hassasiyette değil. Örneğin Bizans Hades araştırmacıları, bunun Çin'de
yerleşik bir hacker ekibi olduğunu doğrulayabildiler, ancak Deibert'in
açıkladığı gibi, "Saldırıların yerini Çin hükümetine tespit edemedik,
ancak onlar kesinlikle bu bilgiden faydalanacaklardır." ele geçirilen
kurbanlardan çalındı."
Siber
güvenlikte genellikle bir ilişkilendirme ikilemiyle karşı karşıya kalırız. Bir
siber saldırının arkasında olduğunu düşündüğünüz grup veya kişiyi işaret
etmenin potansiyel kazançları ile kayıplarını tartmanız gerekir. Buna karar
verirken gerçek dünyadaki hedefleriniz siber dünyada olup bitenlerden daha
önemli olacaktır. Kendi karşı saldırınızı haklı çıkarmak için bir başlangıç
olarak size kimin zarar verdiğini bulmaya mı çalışıyorsunuz? Yoksa onları
"ortaya çıkarmak", kimliklerini ortaya çıkarmak ve belki de onları
durmaya zorlayacak bir tür kamuoyunda utandırmaya neden olmak için, bir
saldırının arkasında kimlerin olduğunu bildiğinizi anlatmaya mı çalışıyorsunuz?
Farklı hedefler ve farklı eylemler, farklı standartlar gerektirir. ABD
hükümetinin 2011 yılındaki karşı istihbarat raporu buna iyi bir örnektir.
Utandırıcı bir etki yaratma umuduyla Çin'in siber hırsızlığa yönelik genel
yönelimine işaret etmeye istekliydi, ancak aynı zamanda meseleyi daha da
zorlayacak "mutlak kesinlik"ten yoksun olduğunu defalarca belirtti.
İki
yıl sonra New York Times , Çinli bilgisayar korsanlarının ağlarına
sızmaya çalışırken yakalandığında bir adım daha ileri gitti. Mandiant
bilgisayar güvenlik şirketiyle birlikte çalışarak, Çin ordusunun belirli bir
birliğine ev sahipliği yapan Şangay'daki bir mahalleye atanan belirli bir IP
adresleri setinin faaliyetlerini takip etti. Times, birimin genel
merkezinin resmini içeren bir ön sayfa makalesi yayınladı. Muhabirler daha
sonra, bilgisayar korsanlarının kişisel cep telefonu numaraları ve hatta
görünüşte "keskin bir Harry Potter hayranı" olduğu ancak heceleme konusunda
pek iyi olmadığı (tüm güvenlik soruları ve şifreleri) dahil olmak üzere, sosyal
medyada yanlışlıkla bırakılan ipuçlarını kullanarak bireysel bilgisayar
korsanlarının izini sürdü. "Harry Pota" etrafında dönüyordu). Ancak
Çin hükümeti iddiaları reddetmeye devam ediyor ve çok az kişi TV tarzı dramatik
bir mahkeme salonu itirafı göreceğimizi düşünüyor.
Buradaki
paket servisi iki yönlüdür. İlk olarak, ilişkilendirmenin ölçekle ters bir
ilişkisi vardır. Ne kadar çok kişi dahil olursa operasyonlar o kadar büyük olur
(ve olası etki), ancak aynı zamanda birinin takip edilmesine olanak sağlayacak
hatalar yapma olasılığı da o kadar artar. Ancak ikinci olarak, bu geriye
gidişin bağlamı ve hedefleri büyük önem taşıyor. Bir hukuk mahkemesinde dava
açmaya çalışıyorsanız, kamuoyu mahkemesinde olduğundan çok daha farklı
standartlar kullanabilirsiniz. Basitçe söylemek gerekirse, avukatlar
"makul şüphenin ötesinde" kanıt isteyebilirler ancak siber güvenlikte
bu her zaman mümkün değildir.
Ekim
1989'da, Enerji Bakanlığı ve NASA'daki yöneticiler bilgisayarlarının başına
oturup "WANK'landıklarını" fark ettiler. Giriş yapmalarına izin vermek
yerine ekranlarında "WANK: Nükleer Öldürücülere Karşı Solucanlar"dan
bir mesaj belirdi: , “Herkes İçin Barıştan Bahsediyorsunuz ve Sonra Savaşa
Hazırlanıyorsunuz.”
WANK
solucanı aslında Avustralyalı genç bilgisayar korsanları tarafından
yerleştirilmişti (hem ismin çift anlamlılığını açıklıyor - "mastürbasyon
yapmak" Aussie'nin mastürbasyon anlamına gelen argosudur) hem de
Avustralyalı anti-hacker'ın sözleri olan mesajın kökenini açıklıyor. - nükleer
bant Midnight Oil) Gençler yeni bir nükleer enerji araştırma programını
protesto etmek istediler, ancak Kennedy Uzay Merkezi'nin önünde posterler
taşıyan diğer protestocularla birlikte durmak için Amerika Birleşik
Devletleri'ne gitmek yerine mesajlarını kendi içlerinden yaydılar. Ağa bağlı
bilgisayarların çağının başlarında olduğundan, oluşturdukları solucan artık
oldukça basit görünüyor. Kullanıcı adlarıyla aynı şifreye sahip olan hesapları
hedef alıyordu (bu eski güzel günleri hatırlıyor musunuz?) ve kolayca
temizleniyordu. Ama WANK hala önemli. WANKing'deki birkaç genç hacker,
"hacktivizm"in ilk örneklerinden birini gerçekleştirmişti.
Siber
uzaydaki diğer aktörler gibi hacktivistler de tek bireylerden Anonymous gibi
ortak bir hedef etrafında bir araya gelen gevşek koalisyonlara ve sıkı organize
olmuş gruplara kadar çeşitlilik gösterebilir. Sonuç olarak, eylemin ölçeği, New
York Times'ın 2001'de hatalı bir şekilde "I. Dünya Çapında Ağ
Savaşı" olarak adlandırdığı olaya siber uzayda neredeyse hiç yansımayan,
tek bir hedefe karşı küçük protestoları da içeriyor. ABD Donanması'nın P-3
gözetleme uçağından sonra ve Çin savaş uçağı çarpıştı, Çin'de öfke fırladı ve
yaklaşık yüz bin Çinli bilgisayar korsanı birlikte çalışarak hizmet reddi
saldırısıyla Beyaz Saray'ın web sitesini devre dışı bıraktı, Adalet
Bakanlığı'nın ağına virüs yerleştirdi ve hatta evi tahrif etti Ohio'daki bazı
liselerin sayfaları. Amerikalı hacker grupları daha sonra çeşitli Çin web
sitelerini Amerikan bayrakları ve "Slouching Tiger, Hidden Dragon"
gibi mesajları gösterecek şekilde değiştirerek yanıt verdi.
Hacktivistlerle
ilgili en büyük yanılgılardan biri, hepsinin eylemlerini gerçekten anlayan iyi
niyetli hackerlar olduklarıdır. Aslında bunların büyük çoğunluğu “senaryo
çocukları” olarak bilinen kişilerdir. Yani, başkaları tarafından yapılmış, bir
web sitesinden saldırı yazılımı indirmelerine ve daha sonra hiçbir uzmanlık gerektirmeden
tek bir tıklamayla katılmalarına olanak tanıyan "komut dosyaları"
veya başkaları tarafından yapılmış programlar kullanıyorlar. Uzman bilgisayar
korsanları onları küçümseme eğilimindedir, dolayısıyla "çocuk" veya
genç kavramı da buna dahildir. ABD Savunma Bakanlığı için hazırlanan bir
raporun açıkladığı gibi, senaryo çocukları "daha olgunlaşmamış ama ne
yazık ki çoğu zaman internetteki güvenlik açıklarını aynı derecede tehlikeli
şekilde istismar eden kişilerdir. Tipik komut dosyası çocuğu, İnternet'teki
diğer bilgisayarlardaki zayıflıkları aramak ve bunlardan yararlanmak için
mevcut ve sıklıkla iyi bilinen ve bulunması kolay teknikleri ve programları
veya komut dosyalarını kullanır; çoğu zaman rastgele ve potansiyel olarak
zararlı sonuçları pek dikkate almadan ve hatta anlamadan.
Bu
nedenle, siyasi amaçlı bu "hareketler" genellikle diğer birçok siber
tehdit türü kadar karmaşık ve hatta karmaşık değildir. Tipik olaylar arasında,
bir şirketin veya devlet kurumunun web sitesinin ön sayfasının utanç verici bir
şeye dönüştürülmesi ve “Sanal Oturma Eylemleri” gibi web sitelerinin tahrif
edilmesi yer alır. İqóos'taki üniversite kampüslerindeki oturma eylemlerine
benzer şekilde , buradaki amaç kalabalığın gücünü trafiği engellemek ve
çalışmayı engellemek için kullanmaktır. Artık iktidar koridorlarını tıkayan,
uzun saçlı hippiler değil, internet trafiğidir. Bunlardan ilki 1997'de
gerçekleşti. Hacktivistlerle performans sanatçılarını karşı karşıya getiren bir
grup olan Elektronik Rahatsızlık Tiyatrosu, Chiapas çatışmasına dikkat çekmek
amacıyla Pentagon ve Meksika hükümetinin web sitelerini mesajlarla dolduran
sanal bir oturma eylemi düzenledi . . Son oturma eylemleri, belirli bir hükümet
binası gibi fiziksel yerleri, o sitedeki ağları ve cihazları YouTube videoları
gibi büyük coğrafi etiketli dosyalarla doldurmaya çalışarak hedef aldı.
Daha
karmaşık saldırılar genellikle siber casusluk yönündeki çabaları içerir. Bir
ağa sızarlar, değerli bilgileri bulurlar ve sonra onu çıkarırlar. Ancak bu
durumda, genellikle değerli olmaktan çok utanç verici olan bilgileri hedef
alırlar ve bunu dünyaya sergilerler. Örnekler, eski ABD başkan yardımcısı adayı
Sarah Palin'in Yahoo e-posta hesabının hacklenmesinden, WikiLeaks'in Stratfor
özel istihbarat firmasının dahili notlarını yayınlamasına kadar uzanıyor; bu,
başkalarını sözde süper gelişmiş stratejik analiz için suçlayan bir firmanın
aslında oldukça bilgisiz olduğunu gösteriyor. . Bir saldırı bir kişinin kişisel
bilgilerine odaklandığında buna "doxing" adı verilir, çünkü kişisel
belgeler kamuya açıklanır. Genellikle, doxing minimum düzeyde ağa sızmayı
gerektirir ve kamuya açık ancak gizli kişisel veya utanç verici verilerle
bağlantı kurmak için dikkatli araştırmalara daha çok güvenir. Çince Rénrou
Söusuő ifadesi bu uygulamayı tanımlıyor ve “insan eti arama motoru” olarak
tercüme ediliyor.
Ancak
en karmaşık operasyonlar, ironik bir şekilde gerçek dünyaya geri dönen, hem
yeni hacktivizmi hem de eski usul sivil itaatsizliği birleştiren
operasyonlardır. Örneğin, 2004'te gizli bir video, Huntingdon Yaşam Bilimleri
test laboratuvarında çalışanların beagle yavrularının suratlarına yumruk atması
da dahil olmak üzere çeşitli hayvan zulüm eylemlerini gösteriyordu. Bunun
üzerine, Huntingdon Hayvan Zulmünü Durdurun (SHAC) adlı hacktivist grup bir
kampanya düzenledi. Şirketin ağlarına ve bunlar aracılığıyla, tüm
çalışanlarının, hissedarlarının, müşterilerinin ve iş ortaklarının adları ve ev
adresleri de dahil olmak üzere firmanın tüm yaşam döngüsüne erişim sağladılar.
Tüm bu isimleri ve adresleri, hatta firmanın yiyecek ve içecek sağlayıcılarının
ve temizlikçilerinin isim ve adreslerini bile internette yayınladılar. Bu kişi
ve şirketlerin birçoğu daha sonra "bir şirketin gelişmesi için gerekli
olan her türlü kritik ilişkisini" zayıflatma stratejisiyle hedef alındı.
Komşulara çalışanlar hakkında utanç verici gerçekler söylendi. Kendilerinin
anonim olduğunu düşünen yatırımcılara evlerinden mektuplar gönderilirken, tüm
New York'ta Üyelerinin çoğunun beagle yumruklama firmasında hisse ticareti
yaptığının ortaya çıkmasının ardından yat kulübü kırmızı boyayla kaplandı.Bu
eylemler, firmanın pazarlama müdürünün ön kapısını açıp sadece gözlerine
püskürtülmesi gibi daha şiddetli saldırılara kadar uzanıyordu. (aktivistler
hayvanları test etmek için yapılanları simüle ettiklerini iddia etti.) Kampanya
bir miktar başarılı oldu; pek çok yatırımcı ve ortak o kadar korktu ki şirket
New York Borsası'ndan çıkarıldı. SHAC hacktivistlerinden birkaçı, internette
tacizde bulunmak ve web sitelerini şiddeti teşvik etmek amacıyla kullanmak da
dahil olmak üzere çeşitli suçlardan hüküm giydi.
Ancak
hiç kimse hacktivizmin yalnızca iş dünyasına karşı olduğunu düşünmemeli. Son
zamanlarda özel firmalar çeşitli hacktivist çabalara daha fazla dahil olmaya
başladı. Örneğin, 2011'deki “Arap Baharı” halk ayaklanmaları sırasında Google,
Twitter ve Skype gibi firmalar protestoculara teknik destek sağladı ve
hükümetin internet sansürüne karşı çeşitli geçici çözümler sağladı. Mısır
hükümeti kitlesel protestolar sırasında internet erişimini kapatmaya
çalıştığında firmalar, telefonla bırakılan sesli mesajların metin tweet'lere ve
indirilebilir ses dosyalarına dönüştürüldüğü "Tweetle Konuş" adlı bir
hizmet sağladı. hâlâ çıkabiliyordu.
Hacktivizmin
ilerlemesi açısından ilginç bir konu ise internette ifade özgürlüğü kavramının
altüst olması. Pek çok kişi, hacktivizmi, ister Thoreau'nun 1840'lardaki makaleleri olsun, ister
Chicago Sekizlisi'nin 1968'de yeni bir ortamda televizyonu kullanması olsun,
geçmiş aktivist kuşaklardan yankılanan yeni bir sivil itaatsizlik biçimi olarak
görüyor . Diğerleri, hizmet reddi veya web sitelerinin değiştirilmesi gibi
taktiklerin, karşı tarafın İnternet kullanımına yönelik bazı saldırıları
içerdiğini ve onların ifade özgürlüğünü etkili bir şekilde baltaladığını
belirtiyor. Dahası, SHAC örneğinin de gösterdiği gibi, bilgisayar korsanlığının
anonim doğası ve özel bilgilerin sık sık paylaşılması, daha hain, hatta şiddet
içeren eylemlere ilham verebilir veya bu eylemlere kılıf sağlayabilir.
Dolayısıyla hacktivizm de geleneksel aktivizmle aynı sürekli soruyla karşı
karşıyadır: Amaçlar yeni siber araçları haklı çıkarır mı?
Aaron
Barr korkunç bir hata yaptı.
5 Şubat 2011'de bilgisayar güvenlik firması HB Gary
Federal'in CEO'su, şirketinin Anonymous hacktivist grubuna sızdığını ve
bulgularını San Francisco'daki büyük bir konferansta medyaya açıklayacağını
duyurdu. Olmaması gerekiyordu. Wired dergisinin bildirdiği gibi , Barr ve firması
beklediği beğeni ve kar yerine "acı dolu bir dünyaya" girdi.
HG Gary Federal'in web sitesi, Anonymous
tarafından hızla ele geçirildi ve Anonymous, firmanın kendi sitesinde kendi
mesajını yayınladı: "Son zamanlarda Anonymous'a 'sızdığı' yönündeki
iddialarınız bizi eğlendiriyor ve aynı şekilde Anonymous'u basının dikkatini
çekmek için bir araç olarak kullanma girişimleriniz de bizi eğlendiriyor .
kendin. . . . Farkına varamadığınız şey şu ki, sırf bir 'güvenlik' şirketi
unvanına ve genel görünümüne sahip olduğunuz için, Anonymous ile
karşılaştırıldığında bir hiçsiniz. Güvenlik bilgin çok az veya hiç yok
Aynı
derecede zavallı şirketiniz için iş yapmak isteyen medya fahişesi para kapma
dalkavuklarının bir araya gelmesi. Gelin size asla unutamayacağınız bir ders
verelim: Anonim'e bulaşmayacaksınız.”
Grup
daha sonra firmanın müşterilerine güvenlik sunma iddiasını tamamen alaya aldı.
Web sitesini devralmanın yanı sıra, HB Gary'nin e-posta sisteminin kontrolünü
de ele geçirdi ve 68.000'den fazla özel mesaj ve notu halka açık İnternet'e
gönderdi. Şirketin müşterilere gazetecileri ve bağışçıları hedef alma
teklifinden WikiLeaks organizasyonuna (çoğu kişinin yalnızca kötü bir fikir
değil aynı zamanda potansiyel olarak yasadışı olarak değerlendirdiği bir iş
teklifi) ve CEO'nun siteye giriş yapma tartışmasına kadar her türlü utanç
verici çamaşırhane yayınlandı. gençlere yönelik sohbet odaları ve "Yaramaz
Vicky" kimliğine sahip on altı yaşında seksi bir kız gibi poz veren
Anonymous ayrıca kişisel Twitter hesabının kontrolünü ele geçirerek Barr'ın
kişisel Twitter hesabını ele geçirip Sosyal Güvenlik bilgilerini yayınlamak
için kullanarak kişisel bilgi toplama saldırıları da gerçekleştirdi. numarası
ve ev adresi.
HB
Gary'nin bir güvenlik firması olarak itibarı, Wired dergisinin
"dövüşün elektronik versiyonu" olarak tanımladığı olayla yerle bir
oldu. Ayın sonunda bir kongre komitesi firmanın uygunsuz sözleşmelerini
araştırıyordu ve Barr utanç içinde istifa etmişti. Anonymous, HB Gary'nin web
sitesindeki mesajını şöyle sonlandırdı: "Görünüşe göre güvenlik uzmanları
uzmanca korunmuyor. Biz Anonymous'uz. Biz Legion'uz. Affetmiyoruz. Unutmuyoruz.
Bizi bekleyin."
V
for Vendetta filminde hükümet karşıtı bir sembol olarak popüler hale getirilen
1605 Barut Komplosu onuruna ) Anonymous, bilgisayar korsanları grupları
arasında en dikkat çekeni olabilir. İronik bir şekilde, şöhreti anonimliğinden
kaynaklanmaktadır. Kolayca tanımlanabilecek tek bir organizasyon değildir.
Bunun yerine, çorbayı tanımlayan en iyi kelimeler İnternet'in kendisini
yansıtır; "merkezi olmayan" ama "koordineli".
Anonim,
esasen, siber araçları kullanarak organize protestolar ve diğer eylemleri
gerçekleştirmek için bir araya gelen çeşitli İnternet forumlarındaki kimliği
belirsiz kullanıcılardan oluşur. Bir üyenin açıkladığı gibi, "İsteyen
herkes Anonim olabilir ve bir dizi hedefe doğru çalışabilir.. ..Hepimizin
üzerinde hemfikir olduğu bir gündemimiz var ve hepimiz koordine edip hareket
ediyoruz, ancak hepimiz bağımsız olarak, hiçbir istek olmadan ona doğru hareket
ediyoruz. Tanınmak için. Biz sadece önemli olduğunu düşündüğümüz bir şeyin
yapılmasını istiyoruz."
Tek
bir liderin ya da merkezi kontrol otoritesinin bulunmadığı grup, kendisini bir
demokrasi ya da bürokrasi olarak değil, bir "yapma-okrasi" olarak
tasavvur ediyor. Üyeler, desteklenecek potansiyel nedenleri tartışmak ve
gerçekleştirilecek hedefleri ve eylemleri belirlemek için çeşitli forumlar ve
İnternet Aktarmalı Sohbet (IRC) ağları aracılığıyla iletişim kurar. Eylem için
yeterli sayıda kolektif mevcutsa, bir tarih seçilecek ve plan uygulamaya
konulacak; bir üye bunu "aşırı koordineli orospu çocuğu" olarak
tanımladı. Üyeler daha sonra Twitter, Facebook ve YouTube gibi çeşitli
medyaları kullanarak planları duyurmak, adımları daha da koordine etmek ve
dünyanın dört bir yanından yeni gönüllüleri saldırılara çekerek
"Anonim" saflarını oluşturmak için "saldırı posterleri"
dağıtıyorlar. Hacktivistler ordusu. Buradaki paradoks şu ki, bu kadar gizli
olduğu varsayılan bir grup için Anonymous'un planlama ve eylemlerinin çoğu
açıkta gerçekleşiyor.
Anonymous'un
kuruluşuyla ilgili kesin bir tarih yok, ancak çoğu hesap, kuruluşunun
2000'lerin ortalarına dayandığını öne sürüyor; geçmişi 1980'lere kadar uzanan
ilk hacker topluluklarını, 4chan gibi çevrimiçi bülten panoları etrafında
toplanan yeni nesil bilgisayar korsanlarıyla birleştiriyor. . Sonraki birkaç
yıl boyunca grup, bilgisayar güvenliği dünyası medyasının dışında nadiren
ortaya çıktı. İlk sözlerden biri 2007'de Kanada haberlerinin, "kendini
İnternet'te kanunsuz olarak tanımlayan Anonymous grubu tarafından takip edilen
ve polise teslim edilen elli üç yaşındaki bir çocuk avcısının tutuklandığını
haber vermesiyle geldi. " Bu sadece grubun ifşa edilmesi nedeniyle değil,
aynı zamanda ilk kez bir çevrimiçi saldırganın "İnternetteki
ihtiyatlılık" sonucu polis tarafından tutuklanması nedeniyle de dikkate
değerdi.
Kısa
süre sonra grup, 2008'de "Project Chanology" ile daha büyük bir haber
yaptı. Dünyadaki tüm büyük olaylarda olduğu gibi, bu da bir Tom Cruise
videosuyla başladı. Aktörün Scientology hakkında fışkıran biraz utanç verici
bir röportajı (Scientologların bunu yapabilecek tek kişi olduğu iddiaları da
dahil) yardım) YouTube'a sızdırıldı. Daha sonra Scientology Kilisesi, çevrimiçi
video paylaşım sitesini, videoyu kaldırmaması halinde yasal işlem başlatmakla
tehdit etti. Anonymous üyeleri, bunu sert bir girişim olarak gördükleri için
öfkelendiler. Bunun yerine, Scientology web sitelerini çevrimdışına almak için
sistematik bir çaba düzenlediler ve üyeler, gönüllü bir botnet oluşturmaya
benzer şekilde, bir hizmet reddi saldırıları dalgası başlatmak için bir araya
geldiler.
Operasyonu
" gibi adlarla bir dizi eylem üstlendiğinde grup daha ciddi dalgalar
yarattı. Anonymous'un, bilgisayar korsanlarının İnternet korsanlığını
kısıtlamaya çalışırken çok katı veya kötü niyetli olduğunu düşündüğü çeşitli
kuruluşları hedef almasıyla birlikte, İnternet'teki telif haklarıyla ilgili
sorunlar üzerinde mücadele veriliyor.Amerika Sinema Filmleri Birliği, Amerika
Kayıt Endüstrisi Birliği, telif hakkı hukuk firmaları ve hatta gibi gruplar.
KISS grubunun solisti Gene Simmons (müziğini izinsiz indiren ve "evlerini
alan" herkesi dava etmekle" tehdit ettiği için hedef alındı), web
sitelerinin defalarca çevrimdışına alındığını ve/veya dosyalarının başka
kişilere açıldığını gördü. Dünya.
Sonunda,
Anonymous'un daha geniş siyasi meselelerle bağlantılı olarak İnternet
özgürlüğüne yönelik artan kısıtlamalar olarak gördüğü durumla mücadele etme
çabası. PayPal, Bank of America, MasterCard ve Visa gibi şirketler, ABD
diplomatik telgraflarının tartışmalı bir şekilde yayınlanmasının ardından ihbar
web sitesi WikiLeaks'e ödeme işlemlerini durdurmaları nedeniyle hedef alındı.
Zimbabve hükümetinin web siteleri, cumhurbaşkanının eşinin, kendisini kanlı
elmas ticaretiyle ilişkilendiren bir WikiLeaks kablosunu yayınladığı için bir
gazeteye 15 milyon ABD doları tutarında dava açmasının ardından hedef alındı.
Tunus hükümeti, WikiLeaks belgelerini ve ülkedeki ayaklanmalara ilişkin haberleri
sansürlediği için hedef alındı (çok dokunaklı bir şekilde, bu çabalarda
Anonymous'u destekleyen ünlü yerel blog yazarı Slim Amamou, eski rejim
tarafından tutuklandı ve daha sonra bu çabanın iktidara gelmesine yardımcı olan
yeni rejimde bakan oldu). Britanya hükümeti, WikiLeaks'in kurucusu Julián
Assange'ı iade etmesi halinde benzer saldırılarla tehdit edildi.
Anonymous
daha büyük ve güçlü hedeflerin peşine düştükçe grup giderek daha fazla ilgi
topladı. Ancak bu kötü şöhret, ironik bir şekilde Anonymous'u daha az anonim
hale getirdi ve bu süreçte gerçek maliyetlere yol açtı. Kolluk kuvvetleri,
operasyonlara katılan üyeleri, özellikle de devlet kurumlarıyla bağlantılı
olanları tespit etme ve tutuklama konusunda motive oldu. Polis baskınları ABD,
İngiltere ve Hollanda gibi yerlerdeki üyeleri hapse gönderdi. 2011 yılına
gelindiğinde, geleneksel devletlerin dışında tehlikeli düşmanlar ortaya çıkınca
sorun daha da karmaşık hale geldi. ABD Ordusu Savaş Koleji'nin bir raporunun
araştırdığı gibi, "Devlet dışı iki gizli grup -bir hacktivist kolektif ve
bir Meksikalı uyuşturucu karteli-dijital alanda birbirlerine baktılar ve gerçek
dünyada her iki taraf için de ölümcül sonuçlar doğurabilecek sonuçlar
doğurdular."
Bölüm,
eski Meksika ordusu komandoları tarafından kurulan bir uyuşturucu karteli olan
Los Zetas'ın Anonymous'un bir üyesini kaçırmasıyla başladı. Hacktivistler daha
sonra, üyeleri serbest bırakılmadığı sürece Los Zetas ve ortakları hakkında
kapsamlı bilgiler yayınlamakla tehdit etti. Ancak bu "doxing" Zetalar
için sadece utanç verici olmakla kalmayacak, aynı zamanda ölümcül olacaktır
çünkü ifşaatlar onları tutuklanmaya ve muhtemelen rakipleri tarafından suikasta
uğramaya açık hale getirecektir. Buna cevaben kartel, Anonymous'un
"tersine hacklenmesine" yardımcı olmak için uzmanlar tuttu,
üyelerinden bazılarını ortaya çıkarmak ve onları ölümle tehdit etmek istedi.
Sonunda sallantılı bir ateşkese vardılar. Kaçırılan kurban, beraberindeki bir
başkasıyla serbest bırakıldı. Zetalar, Anonymous'un duyurduğu her isim için on
kişiyi öldürecekleri yönünde çevrimiçi tehditte bulundu.
Diğer
hacktivistlerin yanı sıra Anonymous için de nihai soru, önceki nesil
aktivistler ve ajitatörler için olduğu gibi aynı: Kalabalığın gücü gerçekten
kalıcı bir etkiye sahip olabilir mi? Bazıları grubun "sadece havlıyor,
ısırmıyor", "gürültülü siyasi gösterinin" yeni bir biçimi
olduğunu iddia ediyor. Diğerleri ise bu tür bir eleştirinin asıl noktayı gözden
kaçırdığını ileri sürüyor: Bir avuç anonim bilgisayar korsanı, yalnızca küresel
ölçekte seferberlik için yeni bir model ortaya koyarak kişisel amaçları uğruna
dünya çapında ilgi topladı. Electronic Frontier Foundation'ın kurucu ortağı
John Perry Barlow'un tanımladığı gibi, bu pekala "dünya çapında duyulan
yeni silah sesi olabilir; burası Lexington."
Yarının Suçları, Bugün: Siber Suç Nedir?
Biz
çocukken "kütüphane" olarak bilinen tuhaf, harika bir yeri ziyaret
edebilirdiniz. Orada Yarının Dünyası başlıklı bir ansiklopediye göz
atabilirsiniz (siz gençler için basılı bir Vikipedi hayal edin) . Geleceğe
yönelik bu rehber kitap 1981'de yayımlandığına göre, "Yarın" elbette
yirmi birinci yüzyılın çok uzak diyarıydı. Harika bir dünyaydı ama kitaptaki
bölümlerden biri çocukları geleceğin mükemmel olmayabileceği konusunda
uyarıyordu. Kitapta, açıkça iğrenç bir şeyden suçlu olan (üyelere özel bir
ceket giydiği için) şaibeli bir adamın resminin yanı sıra şunlar da
açıklanıyordu:
Gelecekte
var olabilecek bir suç türü var: bilgisayar suçu. Yarının suçlusu , sokaklarda
insanları soymak veya evleri soymak yerine, bilgisayar kullanarak bankalardan
ve diğer kuruluşlardan para çalmaya çalışabilir. Bilgisayar suçlusu, bankalar
ve şirketler tarafından kullanılan bilgisayarların hafızalarına erişmek için
kendi bilgisayarını kullanarak evden çalışıyor. Suçlu , bankanın veya şirketin
soyulduğunu bilmeden bilgisayarına para aktarmalarını sağlamak için
bilgisayarlara müdahale etmeye çalışır .
Şu
anda içinde yaşadığımız korkutucu bir gelecek.
Artık
bilgisayar suçu olarak düşündüğümüz şekliyle siber suç, çoğunlukla dijital
araçların suçlular tarafından hırsızlık yapmak veya başka bir şekilde yasa dışı
faaliyetlerde bulunmak amacıyla kullanılması olarak tanımlanır. Ancak bilgi
teknolojisi daha yaygın hale geldikçe dijital bileşeni olmayan suçları bulmak
zorlaşıyor . Örneğin Avrupa Komisyonu, siber araçları kullanabilen geleneksel
suçlar ile hem amaç hem de araç bakımından elektronik ağlara özgü olan siber
suçlar arasında ayrım yaparak yasalarındaki tanımı keskinleştirmeye çalıştı.
En yaygın siber suç türü "kimlik bilgisi
dolandırıcılığı" veya hesap ayrıntılarının finansal ve ödeme sistemlerini
dolandırmak için kötüye kullanılmasıdır. Bu tür sistemler arasında kredi
kartları, ATM hesapları ve çevrimiçi bankacılık hesapları bulunur. Bu hesaplara
erişmek için suçlular, tüm sistemden sorumlu tüccarların, bankaların ve
işlemcilerin hesap ayrıntılarını saklayan bilgisayarlara saldırarak şifreler
gibi güvenlik kimlik bilgilerini ve diğer verileri toplayabilir. Veya bireysel
hesap sahibini kandırarak veya bilgisayarını ele geçirerek doğrudan peşine
düşüyorlar. Yaygın bir araç, bir finans kuruluşundan gelen bir iletişim gibi
görünen ve kurbanın kimlik bilgilerini girmesinin istendiği bir bağlantı sunan
"kimlik avı" e-postasıdır.
Sonuçta
bir ehliyet belgesinin değeri, suçlunun değer elde etme becerisine bağlıdır.
Örneğin bir kredi kartı numarası, yalnızca saldırganın onu istenen ürün ve
hizmetlere dönüştürebilmesi durumunda kullanışlıdır. Çalınan bir kredi kartıyla
bunu yapmak kolay olabilir ama peki ya on bin? İnternet bankacılığı
dolandırıcılığı durumunda, bankalar kolaylıkla takip edebildiği için hırsız
kişisel hesabına para aktaramaz. Sonuç olarak etkili bir kimlik
dolandırıcılığı, para veya mal transferinde ara adımlar olarak hareket eden
satıcılar, bayiler, kurbanlar ve "para kuryeleri"nden oluşan geniş
bir organizasyonel altyapı gerektirir. Bu, daha geleneksel kara para aklamaya
benzer, ancak Amaç, suç karlarını daha geniş bir meşru havuza aktarmak yerine,
parayı suçluların eline geçirmek için görünüşte meşru bir dizi işlem
oluşturmaktır.
Başka
bir tür siber suç, bildiğimiz ve sevdiğimiz ücretsiz Web'i yönlendiren reklam
mekanizmalarındaki değer kaynaklarını belirleyerek aracılara daha doğrudan
saldırır. Reklamverenler tıklama başına ödeme yaptığında dolandırıcılar, reklam
barındırma kârını (ve pazarlamacıya maliyetini) artırmak için otomatik tıklama
sahtekarlığı geliştirir. Suçlular, popüler web sitelerinden yalnızca birkaç
harf farklı olan web alan adlarını kaydederek veya "yazım hatası
yaparak" reklam gelirinden yararlanır ve beceriksiz parmaklara sahip
kişilerin sayfa ziyaretlerinden reklam geliri toplar. Girişimci dolandırıcılar,
"trend" konulardan bile yararlanır. Yeni popüler hikayeleri arayan
kullanıcılar tarafından görülme umuduyla web sitelerini hızlı bir şekilde
kaydederek Web'de yeniden reklam geliri elde edin. Bu saldırılar, ücretsiz
olarak erişilebilen içeriğin can damarı olan çevrimiçi reklamcılığın
etkinliğini azaltıyor. Ancak bu teknik kolay değildir ve altyapı ile reklam
finansmanının iç mekaniğinin anlaşılmasını gerektirir.
İnternet
dolandırıcıları farklı türden bir hileye başvuruyor. Amaçları mağduru parasını
isteyerek teslim etmeye ikna etmektir. Bu çabalar en temel insani duygularımızı
hedef alıyor: açgözlülük, korku ve sevgi. Açgözlülük kategorisinden bir örnek,
kurbana yalnızca jeton yatırma karşılığında büyük bir potansiyel zenginlik
sunan kötü şöhretli "Nijerya'dan Mektup" dolandırıcılığıdır.
Korku
üzerine inşa edilen dolandırıcılıklar genellikle tehditleri abartır ve ardından
sözde güvenlik bilincine sahip kişileri hedef alır. Bunun politika yönünü daha
sonra "siber endüstriyel kompleks" bölümünde inceleyecek olsak da,
bireysel düzeyde bu dolandırıcılıklar genellikle sahte antivirüs yazılımlarını
içerir. Bazen web sitelerinde sahte pop-up "uyarılar" olarak görünen
kurban, korkunç çevrimiçi dünyadan ek koruma elde ettiğini düşünüyor, ancak
aslında kötü amaçlı yazılım indiriyor. Ve orijinal antivirüs yazılımı devre
dışı bırakıldığında, kurbandan sahte yazılımı güncellemesi için sürekli olarak
ödeme yapması isteniyor. Bir çalışma bunun 100 milyon dolarlık bir iş olduğunu
tahmin ediyor.
Son
olarak, çevrimiçi dolandırıcılar, ister tanıdığımız birine ister daha geniş
dünyaya olsun, birbirimize duyduğumuz sevgiyi de besler. “Stranded Traveller”
dolandırıcılığında, suçlular kurbanın e-postasını, sosyal ağ hesabını ya da her
ikisini de ele geçirip, cüzdanı ya da pasaportu olmadan uzak bir yerde sıkışıp
kaldıklarını iddia ederek yakınma dolu bir yardım çağrısında bulunuyorlar.
Mağdurun arkadaşları ve ailesi, (evinde güvende olan) mağdura yardım etmek için
para göndermeye teşvik edilir. Daha kapsamlı çabalar arasında doğal afetlerden
sonra ortaya çıkan ve ne yazık ki gerçekten ihtiyacı olanlardan para çeken
sahte yardım web siteleri de yer alıyor.
Dolandırıcılıkla
sistematik olarak mücadele etmeyi bu kadar zorlaştıran şey, kimlik
sahtekarlığından farklı olarak kurbanların, en azından dolandırıcılığı öğrenene
kadar istekli katılımcılar olmasıdır. Bununla bağlantılı başka bir suç türü de
dolandırıcılıktır. İnternet, ister sahte lüks çantalar, ister Hollywood'un gişe
rekorları kıran filmleri olsun, sahte veya gayri meşru malların yaygın şekilde
satılmasına olanak sağlamıştır. Burada birçok kullanıcı, farkında olsalar bile,
gerçek kurbanları başka biri olarak gördükleri için hâlâ katılmaya istekli.
Erektil
disfonksiyon ilacı reklamlarıyla dolu bir gelen kutusu içinde dolaşan herkesin
onaylayabileceği gibi, sahte ilaçlar da özellikle popülerdir. Yaygın inanışın
aksine, pek çok suçlu yasa dışı tekliflerini açık denizdeki ilaç
fabrikalarından gerçek ilaçlar sunarak kazanıyor. Bu kuruluşlar, faaliyetlerini
koordine etmek amacıyla reklamları, ürün tedarikini, ödemeleri ve botnet'lerin
teknik altyapısını koordine etmek için bir ortaklık programı kullanıyor. İlginç
bir şekilde, erektil disfonksiyon ve diyet reklamlarının daha fazla olmasının
nedeni, bu tür programların, afyonlu ağrı kesiciler gibi kolluk kuvvetlerinin
özellikle dikkatini çekebilecek ilaçları sunmaktan kaçınma eğiliminde
olmasıdır.
Bu
gayri meşru tekliflerin tümü, fikri mülkiyet Kontrollerinin yanı sıra tıbbi
güvenlik ve denetimi düzenleyen yasaları da ihlal ediyor. Özellikle farmasötik
ürünler söz konusu olduğunda, vicdansız üretim veya kusurlu ürünler nedeniyle
zarar meydana gelebilir. Ancak kayıpların çoğu, kurallara uyan şirketler için
kaçırılan satışlar ve seyreltilmiş marka değeri nedeniyle dolaylıdır.
Birçok
siber suç, işletmeleri daha doğrudan hedef alır. Daha sonra özellikle yaygın
olan ticari sır ve fikri mülkiyet hırsızlığını inceleyeceğiz. Ancak şirketler
şantaj saldırılarından da doğrudan zarar görebilir. Bu, daha önce okuduğumuz
fidye yazılımı saldırı türlerini kullanan kategoridir. Kurban, iyi organize
edilmiş bir saldırıyla mücadele etmenin potansiyel maliyetini, potansiyel
saldırgana ödeyeceği bedeli tartmak zorundadır. Sezonluk satışlar gibi zamana
bağlı iş modellerine sahip web siteleri özellikle savunmasızdır. Bir çalışma
şunları bildirdi: "2008'de çevrimiçi kumarhaneler, saldırganlara 40.000
dolar ödenmediği sürece Super Bowl için kabul edilen bahisleri kesintiye
uğratacak şekilde zamanlanmış böyle bir [gasp] saldırısıyla tehdit
edildi."
Elbette
kumarın kendisi birçok yargı bölgesinde yasa dışıdır ve bu da onu siber uzaya
yayılan birçok yasa dışı faaliyetten sadece biri haline getirmektedir. Bu faaliyetleri
siber güvenlikle ilgili kılan şey, bunların sanallaştırılmasının bölgesel
tanımlara meydan okumasıdır. Pedofili görüntülerin dağıtımı gibi bazı
faaliyetler, ister fiziksel bir dergide ister bir web sitesinde olsun, dünya
çapında geniş çapta kınanmaktadır. Kumar gibi diğer davranışlar, hem fiziksel
hem de çevrimiçi dünyalarda bazı yargı mercilerinin yasal korumasından
yararlanır. Çevrimiçi bahislerin genişletilmiş kapsamı, gangsterlerin
"çevrimiçi bahis evlerinin güvenlik önlemlerini tersine mühendislik
yapmakla" suçlandığı Asya'daki 2013 futbol şike skandalına bile katkıda
bulunmuş olabilir. Bir diğer yapışkan alan ise nefret söylemidir. AB'nin,
Avrupa ceza yasalarında çevrimiçi ortamda “ırkçı nefrete teşviki” kınama
kararlılığı, Amerika'nın hem çevrimiçi hem de çevrimdışı ifade özgürlüğünün
korunmasına aykırıdır.
Peki
siber suç ne kadar büyük? Bu değişken saldırı türleri, sorunun boyutuna ilişkin
kesin ve anlamlı tek bir rakam belirlemenin ne kadar zor olduğunu
göstermektedir. Ayrıca güvenilir veri kıtlığı da var; Suçlular bilgilerini veya
istatistiklerini akademisyenlerle paylaşma eğiliminde değiller. Cambridge
Üniversitesi'nden Ross Anderson'ın belirttiği gibi, “Siber suçlarla ilgili
yüzün üzerinde farklı veri kaynağı var, ancak mevcut istatistikler hâlâ
yetersiz ve parçalı; bunları kimin topladığına bağlı olarak eksik veya fazla
raporlama sorunu yaşıyorlar ve hatalar hem kasıtlı (örneğin, satıcılar ve
güvenlik kuruluşlarının tehdit oluşturması) hem de kasıtsız (örneğin, yanıt
etkileri veya örnekleme yanlılığı) olabilir.”
Veriler
mevcut olsa bile siber suçların maliyetlerini tanımlamak o kadar kolay
değildir. Doğrudan maliyetler yalnızca doğrudan mağdurlara değil, aynı zamanda
spam hacmiyle uğraşmak zorunda olan bankalar ve ISP'ler gibi aracılara da
yüklenmektedir. Bu dolaylı maliyetler gerçekten artabilir. 2013 yılına
gelindiğinde ortalama 1.000 veya daha fazla çalışanı olan bir firma, ister
banka ister boya üreticisi olsun, siber güvenliğe yılda yaklaşık 9 milyon dolar
harcıyordu. Bu maliyetleri, botnet'leri temizleme maliyetleri gibi suç
girişimlerini destekleyen altyapıdan ve para tasarrufu sağlayan çevrimiçi
hizmetlerin kullanımının azalması da dahil olmak üzere güvenilmez bir siber
alanın yan zararlarından kaynaklanan, hepimizin ödediği toplu bir vergi olarak
düşünebiliriz. - kötü alışkanlıklar. Bu, organizasyonel seviyedeki teknik
savunmalardan kolluk kuvvetlerinin maliyetlerine kadar savunmayı oluşturmak
için harcanan para, zaman ve çabaya ek olarak daha yararlı çabalara
harcanabilir. Bütünsel olarak bakıldığında, siber suçlar toplum genelinde
önemli bir maliyete neden olur ve buna karşı savunma yapmak, modern siber
suçluların gerçek karmaşıklığının takdir edilmesini gerektirir.
Siber
suçlara farklı bir bakış açısı maliyetler değil, işin büyüklüğüdür.
Yaklaşımlardan biri siber suçluların gelirlerini incelemektir, ancak çok az
kişinin gelirlerini bildirdiği göz önüne alındığında, burada da durum
karmaşıklaşmaktadır. Para kesinlikle iyi olabilir. Tanınmış siber güvenlik
uzmanı Jim Lewis'e göre , “Siber suç iyi para kazandırıyor. Bir çift siber
suçlu, Facebook'taki tıklama dolandırıcılığından bir yılda 2 milyon dolar
kazandı. Başka bir çift, bilgisayar ekranlarında yanıp sönen sahte kötü amaçlı
yazılım uyarılarını yarattı; FBI, bu siber suçluların, sahte tehditlerin
'kaldırılması' için para ödeyen kişilerden 72 milyon dolar kazandığını
söylüyor. Rusya'daki bir çete, 2008'deki İşçi Bayramı haftasonunda bir ABD
bankasından 9,8 milyon dolar çıkardı. . . Milyon dolarlık suçlar muhtemelen her
ay meydana geliyor ancak nadiren rapor ediliyor.”
Diğer
girişimler büyük zarar verir ama suçluya çok az ödül verir. Rogelio Hacket Jr.,
2011 yılında 36 milyon dolarlık dolandırıcılıkla bağlantılı kredi kartlarını
çalmaktan suçlu bulunmuştu. Her ne kadar işlediği suçlar yedi yıla yayılmış
olsa da bu suç dehası, haksız kazançları yüzünden emekli olmaya niyetli
değildi. Onun hain eylemlerini ayrıntılarıyla anlatan mahkeme kayıtlarına göre,
"Sanık, kredi kartı dolandırıcılığı planından kişisel olarak 100.000 dolardan
fazla para aldı."
Mesele
şu ki, çoğu siber suç türü, kârlılığın yanı sıra uygulama için de organizasyon
gerektirir. Her başarılı dolandırıcılık, genellikle tek başına nispeten az
değere sahip birçok farklı adım gerektirir.
Dolayısıyla
siber suç faaliyetlerinin ölçeği, siber suçlara yaklaşmanın başka bir yoludur.
Müfettişler ve araştırmacılar, suçluların planlarının gerekli bileşenlerini
sattığı dijital "karaborsalara" sızarak siber suç organizasyonunu
inceleme fırsatı buldu. Forum satıcıları spam, kredi kartı numaraları, kötü
amaçlı yazılımlar ve hatta kullanılabilirlik araçları için teklifler
yayınlıyor. Bu kitabı yazmaya başladığımızda, yirmi dört saatlik bir hizmet
reddi saldırısı büyük bir karaborsada yalnızca 80 dolara listelenmişti, oysa
"büyük projeler" için sadece 200 dolar ödeniyordu.
Her
piyasada, hatta karaborsalarda bile müşteri ilişkileri önemlidir. Bir suçlunun
belirttiği gibi, "Bir milyon teslim edilen postanın fiyatı 100 dolardan
başlıyor ve düzenli müşteriler için çok hızlı bir şekilde, neredeyse 10 dolara
düşüyor. Ülke seçimi ücretsizdir." Ancak bu bağımsız komisyoncular
tehdidin tamamını temsil etmiyor. Daha girişimci suçlular dikey olarak
bütünleşiyor; yani baştan aşağı tüm süreci kontrol ediyorlar. Güvenlik uzmanı
Eugene Spafford, bunu çok daha korkutucu bir siber suç tehdidi olarak
tanımlıyor: "İyi bir şekilde finanse ediliyor ve derin finansal ve teknik
kaynaklara sahip olgun bireyler ve profesyonellerden oluşan gruplar tarafından
takip ediliyor ve genellikle destek olmasa da yerel yönetimlerin (veya diğer
ülkelerin) hoşgörüsüne kapılıyor. "
Siber
suçların maliyetlerinin tartılmasında olduğu gibi ölçek de dolaylı yollardan
daha önemlidir. Bir mahallede açılan bir uyuşturucu deposunun müşterileri diğer
yerel işletmelerden uzaklaştırması gibi , bu siber suç organizasyonlarındaki
ve karaborsalardaki büyüme de tüm işletmeleri daha verimli hale getiren daha
geniş dijital sistemlere olan güveni baltalayabilir. Örneğin, bankamızdan
geldiğini iddia eden her e-postanın bir kimlik avı girişimi olduğuna inanırsak,
bankalarımız artık e-posta yoluyla etkili bir şekilde iletişim kuramaz.
Nihai
risk, giderek büyüyen siber suç ölçeğinin daha geniş sistemi baltalamasıdır.
Bankalar, çalınan bankacılık bilgilerinden kaynaklanan dolandırıcılık oranının,
çevrimiçi bankacılığın maliyet tasarrufu ve müşteri hizmetleri faydalarından
daha yüksek olduğuna karar verirse, bu özelliği kapatabilirler.
Ancak
siber suçluların daha geleneksel dolandırıcılardan ayrıldığı nokta burasıdır;
onların da sistemden payları var. Siber suçluların büyük çoğunluğu, sistemi yok
etmek yerine ellerinden geldiğince değer sızdırmak isteyen parazitlerdir. Siber
suçlarla daha sonra inceleyeceğimiz casusluk, savaş ve terörizm gibi diğer
çevrimiçi zarar türleri arasındaki temel fark da bu olabilir.
Geleceğe
dair eski kitaplar " bilgisayar suçlarını" öngörmüş olabilir ama
aynı zamanda bunu nasıl çözeceğimizi de tasvir ediyorlardı. Geleceğin korkutucu
suçluları, ışın silahlarıyla donanmış fütüristik polisler tarafından
kovalanacaktı.
“Yine
de, bir bilgisayar suçlusu ara sıra başarılı olabilir ve geleceğin
dedektiflerinin çok yetenekli bilgisayar operatörleri olması gerekecektir .
Muhtemelen bilgisayar suçlarıyla başa çıkmak için özel olarak eğitilmiş polis
bilgisayar dolandırıcılığı ekipleri bulunacaktır. Burada bir bilgisayar
suçlusunun evine gelen bir ekibin onu yakaladığını görüyorsunuz. Elinde
bilgisayar suçlarının ayrıntılarını içeren bir bilgisayar kaseti var ve polis
onun suçlu olduğunu kanıtlamak için buna delil olarak ihtiyaç duyacak."
Neyse
ki ışın silahlarına ihtiyaç duymayan daha güvenli bir siber uzaya giden yolu
araştıracağımız Bölüm III'te buna ulaşacağız.
Gölgeli RAT'lar ve Siber Casuslar: Siber Casusluk
Nedir?
2011
yılında Dmitri Alperovitch ve siber güvenlik firması McAfee'deki tehdit
araştırmacılarından oluşan bir ekip, bir dizi siber saldırının parçası
olduğundan şüphelendikleri bir komuta ve kontrol sunucusunun kayıtlarını kırdı.
Saldırılar diğer birçok APT'ye benziyordu. Genellikle bir kuruluş içinde doğru
düzeyde erişime sahip belirli bireyleri hedef alan hedef odaklı kimlik avı
e-postaları kullanarak belirli hedeflerin peşinden gittiler. Kötü amaçlı yazılım
indirildikten sonra komuta ve kontrol sunucusuna geri dönüyor. Canlı davetsiz
misafirler daha sonra virüslü makineye uzaktan atladılar ve yeni erişimlerini
kullanarak ağ üzerinde hareket ederek daha fazla kötü amaçlı yazılım
yerleştirdiler ve önemli verileri sızdırdılar. Dolayısıyla, (Uzaktan Yönetim
Aracı kavramından sonra) kullanılmaya başlandığı şekliyle "Shady RAT
Operasyonu" pek çok açıdan oldukça dikkat çekici değildi.
Ancak günlükleri analiz etmeye başladığında McAfee ekibi çok
daha büyük bir şeyin döndüğünü anladı. Bu, dikkat çekmeye çalışan
hacktivistlerin veya parasal kazanç peşinde koşan siber suçluların durumu
değildi. Alperovitch'in tanımladığı gibi saldırganların aklında daha büyük
şeyler vardı; "sırlara karşı büyük bir açlıktan" motive olmuş
görünüyorlardı . Bu grup beş yıl boyunca devletin ulusal güvenlik
kurumlarından güneş enerjisi şirketlerine kadar her yerdeki dosyaları hedef
almıştı. ABD'nin önde gelen haber kuruluşlarından biri, New York genel merkezi
ile Hong Kong bürosunun tehlikeye girdiğini gördü. Dünya Dopingle Mücadele
Ajansı'nın dahili dosyaları 2008 Pekin Olimpiyatları'ndan hemen önce
kırılırken, yirmi bir aydan fazla bir süre geçti.
Kayıtlar,
saldırganların son derece başarılı olduklarını ve sonuçta dünya çapında yetmiş
iki büyük hedefi deldiklerini gösteriyordu. Elde ettikleri veriler arasında
ulusal güvenlik sırları, ürün tasarım şemaları ve müzakere planları yer
alıyordu. Alperovitch, genel ulusal ve ekonomik güvenlik değeri açısından
"kamyondan düşen şeyin" ölçeğini toplarken, bilgisayar ekranında
tarihteki en büyük hırsızlıklardan birinin ağır çekimde ortaya çıkmasını
izlediğini fark etti. Alperovitch, saldırganların kimliğini açıkça belirlemek
için yalnızca bilinen ayrıntılar hakkında konuşmayı tercih ederek, hedeflenen sırların
çeşitliliği dikkate alındığında bu çabanın devletle ilgili bir kampanyanın tüm
özelliklerini taşıdığını ve bu çabaların arkasında muhtemelen devletin
kesinlikle güçlü bir çıkar bulunduğunu söylüyor. Eğer bu bir Harry Potter
romanıysa, Çin, "adını anamayacağımız" büyük Asya siber gücü
Voldemort'tu.
Shady
RAT, sır çalma sanatında önemli bir değişimi gösteriyor. Bilgisayar ortaya
çıkmadan önce hükümetler ve diğer aktörler sırlarını kilitli dosya
dolaplarında, kilitli bir kapının arkasında, kilitli bir binada ve yüksek
duvarların arkasında saklıyorlardı. Ancak bugün, eğer bu bilgi herhangi bir
şekilde yararlı olacaksa, ağa bağlı bir bilgisayarda dijital biçimde
depolanıyor. CIA kadar gizli organizasyonlarda bile analistler, özellikle
noktaları birleştirmek gibi bir şey yapmak istiyorlarsa, ofisler ve kurumlar
arasında gizli bilgi gönderip almak için bilgisayarları (görünmez mürekkep
ayakkabı telefonunun yolunu tuttu) kullanmak zorundadır. Bir terör saldırısını
durdurmak gerekiyordu.
Daha
önce de incelediğimiz gibi sorun, bu ağların çoğunun, kullanıcılarının
düşündüğü kadar güvenli olmamasıdır. Ve böylece bilgisayar ağları grupların her
zamankinden daha verimli ve etkili çalışmasına olanak tanırken, sırların
çalınmasını da kolaylaştırıyor. Bir güvenlik kuruluşunun istihbaratın
"altın çağı" olarak adlandırdığı bir döneme girdik. Bir raporun
belirttiği gibi, "Ulusların casusluk yapmak için pahalı yer
istasyonlarına, uydulara, uçaklara veya gemilere ihtiyacı yok. Küresel
istihbarat yeteneklerinin artık sadece birkaç dizüstü bilgisayar ve yüksek
hızlı bağlantı."
Siber
casusluk, bir tür sırrı elde etmek için bilgisayarların kullanılması ve hedef
alınmasıdır. Diğer casusluk türleri gibi, bu da gizlidir ( yani açık yolların
kullanılmaması) ve genellikle bir devlet kurumunu içerir. Bu dijital istihbarat
toplama biçimi, en azından Sovyet KGB casuslarının , CIA tarafından gizlice
yerleştirilen bir mantık bombasıyla bağlanmış Kanadalı bir firmanın yazılımını
çaldığı söylenen 1982 yılına kadar uzanıyor . Ancak dijital casusluğun gerçek
anlamda yükselişe geçtiği dönem yirmi birinci yüzyıldadır. Dünyadaki her
istihbarat teşkilatı bu alanda faaliyet gösteriyor ve her ülke hedef alınıyor.
Örnek olarak, 2009 yılında araştırmacılar 103 ülkede 1.295 virüslü ana
bilgisayar sisteminden oluşan bir ağı ortaya çıkardılar. Bu “Hayalet Ağ”, İran
ve Almanya'dan sürgündeki Tibet hükümetine kadar birçok yerde dışişleri
bakanlıklarını, büyükelçiliklerini ve çok taraflı kuruluşları hedef alıyordu.
Operasyonun kaynağı hiçbir zaman doğrulanmazken araştırmacılar, kullanılan
sunucuların tamamının Çin'in Hainan Adası'nda bulunduğunu belirtti. Ancak bu
alanda faaliyet göstermesi nedeniyle Çin'i çok fazla suçlamadan önce, ABD'nin
de aynı derecede aktif olduğunu unutmayın; aslında, yukarıda adı geçen CIA ve
NSA gibi istihbarat aygıtlarının büyük bir kısmı aynı göreve adanmıştır; 2013
Snowden sızıntıları bu operasyonlardan yalnızca 2011'de 213'ünü gösteriyordu.
Geçmişteki
casusluklara göre en büyük değişikliklerden biri, siber operasyonların yalnızca
küresel ölçeği değil, aynı zamanda giderek artan ekonomik kalitesidir. Çoğu
durumda, bir devletin bu tür sırları çalmaktan elde ettiği avantaj oldukça
doğrudan ve açıktır. Örnekler, birçok Batılı hükümetin 2011'deki G-20 zirvesine
yönelik, diğer taraflara uluslararası müzakerelerde avantaj sağlayacak hazırlık
belgelerinin çalınmasından, F-35 savaş uçağının tasarım ve üretim sürecini
hedef alan bir dizi saldırıya kadar uzanıyor. . Batı'nın yeni nesil, son derece
bilgisayarlı, gizli uçağı olarak tasarlanan F-35 programının bilgisayar
ağlarına en az üç kez girildi. Bir keresinde davetsiz misafirler uçağın havada
bakım sorunlarının teşhis edilmesinden sorumlu olan yerleşik sistemlerini
tehlikeye attı. Saldırganlar, uçak tam anlamıyla bir test uçuşunun ortasındayken
erişim sağladı!
Shady
RAT'ta olduğu gibi bu kayıplar hem ulusal hem de ekonomik güvenliği etkiliyor.
Örneğin F-35 programından alınan verilerin, hem saldırganın neredeyse hiç
karşılık beklemeden kazandığı milyarlarca dolarlık araştırma hem de gelecekte
sahip olabileceği bilgi avantajı açısından değerlendirilmesi gerekiyor. savaş
alanı. Emekli bir ABD Hava Kuvvetleri subayı olan Jason Healey, dünyanın ilk
ortak siber savaş birimi olan Müşterek Görev Gücü-Bilgisayar Ağı Savunması'nın
"plan sahibi" (kurucu üyesi) idi. Bu tür hırsızlığın stratejik
etkisini kansere benzetiyor. "Göremezsiniz ama yaşlandıkça çoğumuzu
öldürecek."
Ancak
çoğu kişi, yalnızca geleneksel güvenlikle değil, ekonomik rekabetle de ilgili
olan daha geniş bir casusluk kampanyası görüyor. Günümüzün modern ekonomisi
yenilikçilik tarafından yönlendirilirken, siber hırsızlık da düşük maliyetli
bir kısayol sağlıyor. ABD İç Güvenlik Bakanlığı'nın siber güvenlikten sorumlu
sekreter yardımcısı Greg Garcia'nın belirttiği gibi, "Yerli bir endüstriyi
desteklemek ve geliştirmek isteyen herhangi bir ülke, bunu gerçekleştirmek için
siber casusluğu pekala kullanabilir." Aslında Dmitri Alperovitch, bu tür
hırsızlığın boyutunun, ortaya çıkardığı büyük ama yalnız Shady RAT
operasyonundan çok daha önemli olduğuna inanıyor. "Önemli büyüklükte,
değerli fikri mülkiyet haklarına ve ticari sırlara sahip akla gelebilecek her
sektördeki her şirketin tehlikeye girdiğine (ya da kısa süre içinde
bulaşacağına ve kurbanların büyük çoğunluğunun bu izinsiz girişi veya bunun etkisini
nadiren fark edeceğine inanıyorum. Aslında) , Fortune Global 2000 şirketlerinin
tamamını iki kategoriye ayırıyorum: ele geçirildiğini bilenler ve henüz
bilmeyenler."
Siyasi
ve ticari nitelikteki dijital casusluk arasındaki bu geçiş, parmakların genellikle
Çin'e yönelmesinin nedenidir. Ticari ortaklarından daha fazla devlet tarafından
işletilen ve devlete bağlı şirketlere sahip olan Pekin'deki temel endişe, Çin
ekonomisinin inanılmaz hızlı büyümesini nasıl sürdüreceğidir. Ancak buradaki
zorluk yalnızca sürekli büyüme meselesi değil, aynı zamanda bu büyümenin
değerinden daha fazlasını yakalamaktır. Son nesilde Çin ekonomisi öncelikle
yabancı fikri mülkiyeti kullanarak mal üretti. Çin'in ekonomik büyümesini hızlı
bir şekilde başlatmak için işe yaradı, ancak uzun vadede en çekici yaklaşım
değil; Örneğin eski model iPhone'ları üreten Çin fabrikası, 630 dolarlık bir
iPhone'un montajından telefon başına yalnızca 15 dolar kazanıyordu.
Uzmanlar,
dünyanın en büyük ekonomisi olmaya çalışırken Çin hükümetinin genişlemesini
sürdürmek için siber casusluğa giderek daha fazla yöneldiğini öne sürüyor.
Stratejik ve Uluslararası Çalışmalar Merkezi'nden uzman Jim Lewis,
"İnovasyonun gelecekteki ekonomik büyüme için hayati öneme sahip olduğunu
belirlediler ancak bunu yapabileceklerinden emin değiller" diyor.
"Yenilik yapmanın en kolay yolu intihal yapmaktır." Suçlayıcılar,
yüksek teknolojili bilgisayar yazılımlarının bağlantısız satışlarından (Çin
tuhaf bir şekilde bilgisayar donanımı satışlarında dünyanın en büyük ikinci
pazarı, ancak yazılım satışlarında yalnızca sekizinci en büyük pazardır)
belirli bir mobilya türünün imalatı gibi daha sıradan resimlere değiniyor.
Çin'de, tasarımının siber hırsızlığından kısa bir süre sonra.
Şaşırtıcı
olmayan bir şekilde, Çinli yazarlar ve yetkililer doğrudan ve örtülü
suçlamalara öfkeyle tepki göstererek bunları "temelsiz" olarak
nitelendirdiler. Ancak gerçek şu ki, yabancı bir aktörle bağlantılı otuz kadar
başarılı ekonomik casusluk soruşturmasından on sekizinin Çin'le doğrudan
bağlantısı var. Aslında, Verizon'un Veri İhlali Araştırmaları ekibi tarafından
yapılan bir araştırma, "2012 yılında işletmelerin ticari sırlarını ve
diğer fikri mülkiyet haklarını hedef alan kayıtlı, devlete bağlı saldırıların
yüzde 96'sının izinin Çinli bilgisayar korsanlarına dayanabildiğini"
ortaya çıkardı.
Sonuç
ise siber bir ironidir. Siber casusluk, siyasi sır hırsızlığından ziyade fikri
mülkiyet (IP) hırsızlığı suçlamaları nedeniyle büyük bir siyasi soruna
dönüşüyor. Tüm hükümetlerin birbirlerinin devlet sırlarını çalmaya çalışacağı
ve bunu yapmaya çalışacağı yönünde bir beklenti olsa da, fikri mülkiyet
hırsızlığı sorunu iki ana yoldan küresel gerilimler yaratıyor. Birincisi, dünya
pazarındaki herkesin aynı kurallar dizisine göre oynamadığı duygusunu güçlendiriyor.
Birçoğu serbest piyasa teorisine bağlı kalsa da, bu yeni uygulama, yeni iş
fikirleri icat edenlere değil, onları çalanlara ayrıcalık tanıyor. O halde bu,
normalde demokrasiler ve otoriter sistemler etkileşime girdiğinde ortaya çıkan
gerilimleri daha da şiddetlendiriyor. Siber hırsızlık , New York Times'ta ABD'nin
Çin'in yükselişiyle ilgili “1 numaralı sorunu” olarak tanımlandı . Buna
karşılık Çin'dekiler bu suçlamaları ABD'nin hâlâ "Soğuk Savaş zihniyetine
takılıp kaldığının" kanıtı olarak tanımlıyor.
İkincisi,
bu hırsızlık ulusların uzun vadeli ekonomik güvenliğini tehdit ediyor. Siber
casusluk hem stratejik kazananlar hem de kaybedenler yaratır. Örneğin Dmitri
Alperovitch olup bitenleri sadece hırsızlık olarak değil, "tarihsel olarak
benzeri görülmemiş bir servet transferi" olarak adlandırmaya dikkat
ediyor. İş planları, ticari sırlar, ürün tasarımları vb. bir ülkeden diğerine
geçtikçe bir taraf güçlenirken diğer taraf zayıflıyor. Hedef, kaybedilen
geliştirme yatırımına ek olarak bu sırdan elde edilen gelecekteki potansiyel
ekonomik büyümeyi de kaybeder. Pek çok kişi, bu "transferin" sonuçta
tüm ekonomi üzerinde bir iç boşaltma etkisi yaratabileceğinden endişe ediyor.
Siber casusluktan kaynaklanan her kayıp tek başına ölümcül olamayacak kadar
küçüktür, ancak bunların birikmesi sakatlayıcı olabilir. ABD'li bir yetkilinin
belirttiği gibi , "'Binlerce kesikle ölümün' ortaya çıktığı yerin Çin
olduğunu unutmamalıyız."
Dmitri
Alperovitch ise sırların hiçbir sonuç doğurmadan çalınmasını izlemekten
yorulmuştu. Bir yıl sonra, yalnızca bilgi çalan bilgisayar korsanlarını tespit
etmekle kalmayıp aynı siber becerileri kullanarak karşılık vermeyi amaçlayan
CrowdStrike adında bir siber güvenlik şirketinin kurulmasına yardımcı oldu.
Şöyle açıklıyor: “Sokakta sana saldırırsam bu saldırı ve darp olur. Ancak
birkaç dakika önce cüzdanımı almış olsaydınız, bu tamamen yasaldır, mülkiyet
haklarımı savunuyorum." Bunun belirli bir doğrudan mantığı vardır, ancak
göreceğimiz gibi, bu tür bir siber misilleme, uygulamada o kadar basit
değildir. uygulamak.
Siber Terörizmden Ne Kadar Korkmalıyız?
Otuz
bir bin üç yüz. Bu, siber terörizm olgusunu tartışan şu ana kadar yazılan dergi
ve dergi makalelerinin kabaca sayısıdır.
Sıfır.
Bu, kitabın baskıya girdiği sırada siber terörizm nedeniyle fiziksel olarak
yaralanan veya öldürülen kişilerin sayısıdır.
FBI,
siber terörizmi "bilgiye, bilgisayar sistemlerine, bilgisayar programlarına
ve verilere karşı, alt ulusal gruplar veya gizli ajanlar tarafından savaş dışı
hedeflere karşı şiddete yol açan, önceden tasarlanmış, siyasi motivasyona sahip
bir saldırı" olarak tanımlıyor. Discovery Channel'ın "Köpekbalığı
Haftası" gibidir (burada tuvalet kazasında yaralanma veya ölme
olasılığınız kabaca 15.000 kat daha fazla olmasına rağmen köpek balıklarına
takıntılıyız). Siber güvenlikteki diğer pek çok konuda olduğu gibi, gerçek
olanla korkulan şey çoğu zaman birbirine karıştırılıyor.
Kongre
çalışanlarından birinin belirttiği gibi, "siber terörizm gibi bir terimi
kullanma şeklimiz, siber güvenlik kadar nettir, yani hiç de net değildir."
Aslında, El Kaide'nin gerçek bir siber saldırı girişimine ilişkin kamuya açık
olarak belgelenen tek vaka, bu durumu açıklamıyor. Hatta FBI tanımına bile
uyuyor. Guantanamo Körfezi'nde tutuklu olan Mohmedou Ould Slahi, İsrail
başbakanının halka açık web sitesini kapatmaya çalıştığını itiraf etti. Bunun
ötesinde, aşağıdakiler gibi çeşitli asılsız iddialar da vardı: Eylül 2012'de,
"İzzeddin el-Kassam Siber Savaşçıları" beş ABD bankacılık şirketine
yönelik bir dizi hizmet reddi saldırısının sorumluluğunu üstlendi. Pek çok kişi
siber suçluların çalışmalarının kredisini çaldıklarını düşünse de, saldırıların
etkileri ihmal edilebilir düzeydeydi ve müşterilerin sitelere erişimi birkaç
saatliğine durduruldu. Çoğu müşteri bir saldırı olduğunu bile bilmiyordu.
"Siber" kelimesini çıkarırsanız böyle bir baş belasına "terörizm"
bile diyemeyeceğiz.
Açıkça
konuşalım: Kritik altyapıdaki siber saldırılara karşı zayıf noktalara ilişkin
endişelerin gerçek bir geçerliliği var. 2011'den 2013'e kadar Amerika Birleşik
Devletleri'ndeki kritik altyapının bilgisayar ağlarına yapılan soruşturmalar ve
izinsiz girişler yüzde 1700 arttı. Siber teröristlerin bu altyapıya zarar
vermesinden duyulan endişe de kesinlikle gerçek bir endişe kaynağı. Örneğin,
2011 yılında Kaliforniya'daki bir su sağlayıcısı, bilgisayar ağlarındaki
güvenlik açıklarını araştırmak için bilgisayar korsanlarından oluşan bir ekip
kiraladı ve simüle edilen saldırganlar, bir haftadan kısa bir sürede sisteme
girdi. Politika yapıcılar, bu tür terör saldırılarının gerçek versiyonlarının
tek hedeflerin ötesine geçebileceğinin ve daha geniş bir dalga etkisi yaratarak
ulusal elektrik şebekesini devre dışı bırakabileceğinin veya bir şehrin, hatta
bölgenin su kaynağının kapatılabileceğinin farkında olmalıdır.
da
internetin terörist gruplar tarafından gerçek kullanımlarından neler
olabileceğine dair kabus gibi vizyonlarımızı birbirinden ayırmaktır .
Bir siber uzmanın bize söylediği gibi: "Dışarıda tehditler var ama temel
yaşam tarzımızı tehdit eden hiçbir tehdit yok."
Bunun
nedeni, devasa ölçekteki siber saldırıların, özellikle daha geleneksel terörist
faaliyetlerle karşılaştırıldığında, başarılmasının oldukça zor olmasıdır. 2011
yılında, Pentagon'un ikinci en yüksek sivil lideri olan ABD Savunma Bakan
Yardımcısı William Lynn, siber güvenlik alanında üst düzey uzmanların bir araya
geldiği San Francisco'daki RSA konferansında siber terörizmin tehlikeleri
hakkında konuştu. Lynn, "Bir terörist grubun kendi başına siber saldırı
araçları geliştirmesi veya bunları karaborsadan satın alması mümkündür"
diye uyardı. "Parmak arası terlik giyen ve Red Bull içen birkaç düzine
yetenekli programcı çok fazla zarar verebilir."
Ancak
burada da, sadece Red Bull içen programcıların aslında ne yapmak için işe
alındığıyla ilgili değil, aynı zamanda büyük ölçekte gerçek anlamda şiddetli
bir siber saldırıyı gerçekleştirmek için neyin gerekli olduğuyla ilgili olarak
da korkuyla gerçeği birbirine karıştırıyordu. En iyi siber uzmanları bulmanın
çok ötesine geçiyor. Hidroelektrik jeneratörlerini devre dışı bırakmak veya
nükleer santrifüjlerin sıra dışı dönmesine neden olan Stuxnet gibi kötü amaçlı
yazılımlar tasarlamak, yalnızca bir bilgisayar sistemine girme becerisi ve
araçları gerektirmez. Oraya vardığınızda ne yapacağınızı bilmenizi gerektirir.
Gerçek
hasara neden olmak, cihazların kendilerinin anlaşılmasını gerektirir: nasıl
çalıştıklarını, mühendisliklerini ve temel fiziklerini. Örneğin Stuxnet, siber
uzmanların yanı sıra nükleer fizik uzmanlarını ve belirli bir tür Siemens
markalı endüstriyel ekipmana aşina olan mühendisleri de içeriyordu. Gerekli
uzmanlığa ek olarak, hedef donanımın çalışan versiyonları üzerinde pahalı
yazılım testlerinin yapılması gerekiyordu. ABD Deniz Harp Okulu'ndan bir
profesörün açıkladığı gibi, "özellikle siber terörizm tehdidi fazlasıyla
abartılıyor" çünkü siber araçları kullanarak gerçekten kitlesel ölçekte
bir terör eylemi gerçekleştirmek "entelektüel, örgütsel ve kurumsal boyutu
geride bırakıyor". en iyi finanse edilen ve organize edilmiş terör
örgütlerinin ve en karmaşık uluslararası suç örgütlerinin bile personel
kapasiteleri... Açıkça söylemek gerekirse: ne yan komşunuzun üst kattaki yatak
odasındaki 14 yaşındaki hacker ne de Hamburg'daki bir apartman dairesinde
saklanan iki veya üç kişilik El Kaide hücresi Glen Kanyonu ve Hoover
Barajlarını yerle bir edecek." Karşılaştırıldığında, 11 Eylül olay
örgüsünün tamamı seyahat ve organizasyon maliyetleri açısından 250.000 dolardan
daha az bir maliyete sahipti ve basit kutu kesiciler kullanılıyordu.
Bu
tür potansiyel saldırıların etkisini perspektife koyan başka bir uyarı notu
daha var. 2007'de Estonya'ya yapılan siber saldırıların Rus hükümeti tarafından
desteklendiği iddia edildi ve bu nedenle çoğu terör örgütünün kapasitesinin çok
ötesindeydi. Ve yine de, birkaç gün boyunca kamuya açık hükümet web sitelerine
müdahale edebildikleri halde, ortalama Estonyalı'nın günlük yaşamı üzerinde çok
az etkisi oldu ve kesinlikle uzun vadeli bir etkisi olmadı. Bunu ABD finans
sisteminin merkezine çarpan bir uçağın etkisiyle karşılaştırın. Gerçekten de,
en büyük ölçekli potansiyel terör saldırılarının “ya şöyle olursa” kısmına
geçildiğinde bile başarılı bir siber terör olayı, diğer saldırı türlerinin
yanında sönük kalır. Hatta aylarca sürecek bir süreç bile kesinlikle felaket
olurdu, ancak tek bir nükleer bombanın patlaması, hatta jüri tarafından
hazırlanmış bir radyolojik "kirli bomba" bile bir şehri yüzyıllar
boyunca ışınlayabilir ve küresel siyasette bir deprem başlatabilir. Benzer
şekilde, bir bilgisayar virüsü ekonomiye zarar verebilirken, biyolojik bir
silah yaşam kalıplarımızı sonsuza dek değiştirebilir.
Eski
Ulusal İstihbarat Direktörü Mike McConnell'in siber terörizmden bahsederken
belirttiği gibi, gerçek olanla potansiyel olan arasındaki dengeyi tartmamız
gerekiyor. "Günümüzde terörist gruplar, siber savaş kapasitesinin en alt
sıralarında yer alıyor." Ancak şu ana kadar kimsenin bir saldırı
gerçekleştirmemiş olması, tehditlere karşı dikkatli olunmaması gerektiği
anlamına gelmiyor. "Er ya da geç, siber saldırıyı başaracaklar
-sofistikelik."
Peki Teröristler Web'i Gerçekte Nasıl Kullanıyor?
Siber
terörizmin medyanın ve bazı hükümet liderlerinin tasvir ettiği kadar muhtemel
veya korkutucu olmayabilmesi, teröristlerin teknolojiyi asla kullanmayan
Ludditler olduğu anlamına gelmez. Ne münasebet. İnternet, geleneksel coğrafi
kısıtlamaların üstesinden gelerek geniş insan gruplarıyla bağlantı kurmanın
yollarını sunar. Normalde bir araya gelemeyecek benzer ilgi alanlarına ve
inançlara sahip insanları birbirine bağlarken, seslerin büyütülmesine ve daha
fazla insana ulaşmasına olanak tanır. Dolayısıyla, internet nasıl yeni işçi
almak isteyen şirketlerden, kaynaşmak isteyen Hıristiyan bekarlara kadar herkes
tarafından kullanılıyorsa, terörist gruplar için de bir nimet olmuştur.
Aslında teröristlerin siber teknolojiyi kullanımını anlamak
istiyorsanız, başkalarının bunu daha az hain eylemlerde bulunmak için nasıl
kullandığına bakın. Teröristler ve geri kalanımız için siberuzay çoğunlukla
iletişim ve bilgi paylaşımına yönelik bir ortamdır. Örneğin El Kaide,
1990'ların başlarındaki oluşum yıllarında interneti nadiren kullandı. Usame bin
Ladin'in mesajları, ses ve video kasetlerin dağıtımı yoluyla yayıldı ve
genellikle incelenen takipçiler arasında gizlice aktarıldı. Aslında, "El
Kaide" veya "üs" adının, Afganistan dağlarındaki ilk terörist
eğitim kamplarının adından kaynaklandığı düşünülüyor (kamplardan geçen herkes
zaten biliniyor, eğitiliyor, eğitiliyordu). ve güvenilir). Ancak 2000'lerde iki
önemli değişiklik meydana geldi. 11 Eylül'den sonra ABD ordusunun
Afganistan'daki operasyonları, eğitim ve organizasyon için fiziksel güvenli
ortamı ortadan kaldırırken, aynı zamanda siber teknoloji daha yaygın ve
kullanışlı hale geldi.
Sonuç,
ortaçağ ideallerinin rehberliğinde, yirmi birinci yüzyıl teknolojisini
benimseyen bir gruptu. El Kaide, siber uzayı genellikle tanımlandığı gibi siber
terörizmi gerçekleştirmek için değil, bilgi operasyonlarını yürütmek,
internetin gücünden yararlanarak bu kadar küçük bir grup için daha önce mümkün
olmayan bir şekilde daha geniş dünyaya ulaşmak için kullandı. Bin Ladin'in
konuşmaları ve düşünceleri bir saklanma yerinde tek başına iletilebilir, ancak
internete yüklenip milyonlarca kişi tarafından görülebilir.
Özellikle,
bu mesajlar genellikle sadece medyaya değil aynı zamanda olumlu tepki veren
kişilerin işe alım için hedef alınabileceği internet sohbet odalarına da
dağıtılıyordu. Burada da teknolojik değişim çok önemliydi. 11 Eylül saldırıları
sırasında böyle bir propaganda videosunun indirilmesi o kadar uzun sürüyordu
ki, bırakın öğrenmeyi, izlemeyi bile başarabilen çok az kişi vardı. Artık video
klipler saniyeler içinde yüklenip indirilebiliyor.
Siber
dünya geliştikçe terörist grupların onu özellikle bilgi operasyonlarında
kullanımı da gelişti. Tıpkı siber uzayın diğer kısımlarında olduğu gibi, içerik
ne kadar dikkat çekici olursa izlenme olasılığı da o kadar artar, dolayısıyla
sapkın ve iğrenç tutum ve davranışlar daha fazla web tıklamasıyla
ödüllendirilir (teröristlerin ve Kardashianların ortak noktası budur). Çoğu
zaman daha ılımlı ve temsili seslerin aleyhine olacak şekilde kenar grupların
ana akıma ulaşmasını sağladı . Örneğin, YouTube'da "İslam" gibi genel
terimler arandığında, 2013 Boston Maratonu bombacılarına ilham kaynağı olan ve
saygın Müslüman alimlerin sayfa sayılarından daha yüksek sayfa sayılarına sahip
olan gibi, çok az takipçisi olan radikal imamların konuşmaları ortaya
çıkacaktır. Buna göre gruplar, Özellikle terörist adayları için sınırları
aşmanın zorlaştığı bir dönemde, Batı'da faaliyet gösterebilecek yandaşları
toplamak için faaliyetlerini uyarlamaya başladılar.Örneğin El-Anser Forumu,
çoğunlukla İngilizce olarak yayınlanan bir cihad sitesidir.
İnternet
devrimi, terörist grupların, tehditlere ilişkin eski düşünce tarzlarını
karmaşıklaştıran yeni yöntemlerle operasyonlarını gizlemelerine olanak tanıdı.
Terör grupları, ürkütücü bir şekilde hepimiz gibi, güvenilir hizmeti, kolay
koşulları ve sanal anonimliği nedeniyle İnternet'e değer veriyor. Örneğin
Taliban, bir yıldan fazla bir süre boyunca Afganistan'daki ABD birliklerine
yönelik intihar bombaları ve diğer saldırıların çetelesini tutan bir propaganda
web sitesi işletti. Ancak web sitesinin sunucusu ThePlanet adında Teksaslı bir
şirketti ve web sitelerini ayda 70 dolara kredi kartıyla ödeyebiliyordu.
Yaklaşık 16 milyon hesaba sahip olan şirket, Taliban sitesinin varlığından
haberdar değildi ve yetkililer tarafından bilgilendirildikten sonra siteyi
kaldırdı.
Ve bu
siteler keşfedilip kapatılsa bile, İnternet'in yapısı hakkında bildiklerimiz ve
sevdiğimiz şeyler bu grupların yararınadır. Usame bin Ladin'in ölümünden önceki
son videosu aynı anda beş farklı siteye yüklendi. Terörle mücadele birimleri
onları çökertmek için acele ederken, bir saat içinde video 600'den fazla site
tarafından yakalanıp yüklendi. Bir gün içinde videoyu barındıran sitelerin
sayısı bir kez daha ikiye katlandı.
Terör
grupları için İnternet iletişimi, yeni bağlantılar yaratmaktan ve viral
fikirleri yaymaktan daha fazlasını sağlar; aynı zamanda geri kalanımızın lise
arkadaşlarıyla iletişim kurmak için sosyal ağları kullanması gibi eskileri de
korur. Burada da siber uzayın izin verdiği göreli anonimlik ve mesafelerin
daralması değerli avantajlardır. Günümüzün birçok terör grubunun atası olan
iSoo'lardaki anarşist gruplar, postayla gizlice kodlanmış mesajlar gönderdiler
ve yanıt almak için aylarca beklemek zorunda kaldılar. Bugün bir grup,
üyelerinin kıtalarını anında birbirine bağlayabiliyor. Örneğin 11 Eylül
saldırganlarının hepsinin Hotmail hesapları vardı ve Usame bin Ladin'in
teğmenlerinden birinin kayınbiraderi tarafından yönetilen bir web sitesinin
ziyaretçi defteri bölümüne bırakılan notlar aracılığıyla koordine oldukları
düşünülüyordu.
Siber
uzayın belki de en büyük etkiye sahip olduğu yer, bilginin yeni ve yenilikçi
yollarla paylaşılması olmuştur. Dünyanın dört bir yanındaki çocukların
çevrimiçi eğitimler aracılığıyla matematik ve fen bilimlerini öğrenmelerine
olanak tanıyan Khan Academy gibi bazı kuruluşlar bundan olumlu yönde
yararlanıyor. Ancak teröristler aynı zamanda kendi özel türdeki bilgilerini
veya güvenlik uzmanlarının "TTP" (taktik, teknik ve prosedürlerin
kısaltması) olarak adlandırdığı bilgileri daha önce mümkün olmayan yollarla
yaydı. Irak'tan Afganistan'a kadar çatışma bölgelerinde kullanılmak üzere
teröristlerin sağladığı IED tasarımları gibi patlayıcı tariflerine de
internette kolayca ulaşılabilir. Terör öğretilerinin bu şekilde yayılması, bu
grupların küresel drone saldırılarının olmadığı giderek daha az sayıda eğitim
alanı bulması nedeniyle son derece önemli olmuştur.
Bilgi
aktarımı sadece terör saldırısının "nasıl" olduğuyla ilgili değil,
aynı zamanda hedeflenen tarafın "kim" ve "nerede" olduğuyla
da ilgilidir. Gruplar siber uzayı istihbarat toplamak için düşük maliyetli,
düşük riskli bir alan olarak kullanır. Örneğin, hiçbir terörist grubun, bırakın
bir uydu inşa edip uzaya fırlatma yeteneği bir yana, hedefleri kesin bir
hassasiyetle tespit edecek bir casus uyduyu karşılayacak mali kaynakları bile
yok. Ancak Google Earth Pakistan merkezli bir terör grubu olan Lashkar-e-Taiba
için 2008 Mumbai saldırılarını planlarken de aynı derecede etkili bir şekilde
çalıştı.
Siber
güvenliğin diğer alanlarında olduğu gibi, kendi alışkanlıklarımızın ve internet
kullanımlarımızın ve bu tür kötü aktörlerin nasıl avantaj sağlayabileceğinin
farkında olmalıyız. 2007 yılında ABD askerleri, Irak'taki bir üsse park etmiş
bir grup yeni ABD Ordusu helikopterinin akıllı telefon fotoğraflarını çekti ve
bunları internete yükledi. Helikopterler sınıflandırılmamıştı ve fotoğraflar
düşmana görünürde yararlı hiçbir bilgi göstermiyordu. Ancak askerler,
fotoğrafların aynı zamanda fotoğrafçıların nerede durduğunu ortaya çıkaran
"coğrafi etiketler" de içerdiğini fark etmediler. İsyancılar daha
sonra bu coğrafi etiketleri kullanarak havan topu saldırısında dört
helikopterin yerini tespit edip yok etti. Uzmanlar artık bu sınavı kullanıyor.
İnsanları önemli bir faaliyette bulunurken paylaştıkları konusunda daha
dikkatli olmaları konusunda uyarmanızı rica ediyorum: "Foursquare'de bir
rozet hayatınıza değer mi?" Fort Benning, Georgia'nın sosyal medya
yöneticisi Brittany Brown'a sordu.
Gittikçe
artan bir endişe, grupların, yalnızca coğrafi hedefler için değil, aynı zamanda
insani hedefler için de daha iyi hedefleme bilgileri bulmak amacıyla sosyal
ağlardan tamamen yararlanabilmesidir. 2011'deki Bin Ladin baskınından sonra
Amerikalı bir siber güvenlik analisti, bunu gerçekleştiren sözde süper gizli
birim hakkında ne öğrenebileceğini merak ediyordu. Bize on iki mevcut veya eski
üyenin adını, ailelerinin adlarını ve ev adreslerini nasıl bulduğunu anlattı.
Bu, basına yapılan bir sızıntı meselesi değil, bir dizi sosyal ağ hilesi
yoluyla gerçekleşti. Baskın ekibinin bir üyesini, SEAL eğitim sınıfına ait bir
web sitesindeki fotoğraftan tespit etti ve diğerini, bir grup arkadaşıyla
birlikte SEAL ekibi tişörtü giyen bir kişinin çevrimiçi görüntüsünü bulduktan
sonra bu arkadaşların izini sürdü.
Aynı
taktiği kullanarak, FBI'ın gizli ajanlarının ve başka bir vakada, swinger
sitesine katılan (ve dolayısıyla şantaja açık) iki evli üst düzey ABD hükümeti
yetkilisinin isimlerini de buldu.
Analist,
bu hedefleri, internette onlar hakkında düşündüklerinden daha fazla şey olduğu
konusunda uyarmak için bu egzersizi gerçekleştirdi; bu hepimiz için yararlı bir
hatırlatmadır.
Peki ya Siber Terörle Mücadele?
“Görünüşe
göre birileri hesabımı kullanıyor ve bir şekilde benim adıma mesajlar
gönderiyor. . . İşin tehlikeli yanı, onların (gerçek bir e-posta olduğunu
düşündükleri şeye yanıt verenlerin) benim onlara indirme bağlantısı içeren bir
mesaj gönderdiğimi söylemeleri ve bunu indirmiş olmalarıdır."
Bu
arkadaşla hepimiz empati kurabiliriz. Birçoğumuz, arkadaşlarımızdan veya
ailemizden birisinin hesabını hacklediğine ve şüpheli mesajlara karşı dikkatli
olmamız gerektiğine dair benzer uyarılar aldık. Aradaki fark, bu vakada
saldırıya uğradığından şikayet eden kişinin, sözde elit, radikaller için şifre
korumalı bir forum olan Shumukh'ta öne çıkan bir poster olan "Yaman
Mukhadab" olmasıydı. Foruma uyarısını göndermeden önce grubun gündemi,
Teröristlerin hedef alması ve öldürmesi için Amerikan güvenlik sektörü
liderlerinin, savunma yetkililerinin ve diğer kamuoyuna mal olmuş kişilerin yer
aldığı bir "istek listesi" oluşturulması da buna dahildi.
Mukhadab'ın
siber zorlukları, normalde teröristler için mükemmel görünen siber alanda bile
teknolojinin iki ucu keskin bir kılıç olduğunu gösteriyor. Bombalamaları
planlamak için posta yoluyla posta kullanmak zorunda kalan 1800'lerin
atalarının deneyimine kıyasla iletişim kurmak isteyen teröristler için bugün
İnternet'in ne kadar iyi ve hızlı olduğunu bir düşünün . Ancak, tıpkı polisin
yazışmalarını arayarak onların izini sürmeyi öğrendiğinde, geçmişteki
postaların on dokuzuncu yüzyıl anarşistleri için bir sorumluluk olduğu ortaya
çıktıysa, günümüz teröristlerinin çevrimiçi faaliyetleri de bir avantajdan bir
savunmasızlığa dönüşebilir.
Mesele
şu ki, siber uzayın terörizm açısından sağladığı avantajlar, terörle mücadele
için de aynı derecede faydalı olabilir. Web, hem Rolodex hem de taktik kitabı
olarak hareket ederek terörist gruplara yardım etti. Ancak savaşın diğer
tarafındakiler aynı Rolodex'e ve taktik kitaplarına erişebilir.
Örneğin
siber uzayın ağ oluşturma etkileri, teröristlerin daha önce hiç olmadığı
şekilde bağlantı kurmasına olanak tanıyor, ancak aynı zamanda istihbarat
analistlerinin sosyal ağların haritasını benzeri görülmemiş şekillerde
çıkarmasına da olanak tanıyor, aksi takdirde terörist grupların liderliği ve
yapısı hakkında ipuçları sağlıyor. kazanmak imkansızdır. Dünya, bu araçlardan
bazılarının ne kadar güçlü olabileceğini, NSA yüklenicisi Edward Snowden
tarafından 2013 yılında sızdırılan ve ABD istihbarat teşkilatlarının ve
müttefiklerinin benzeri görülmemiş ölçekte çevrimiçi gözetleme faaliyetlerine
nasıl giriştiklerini ayrıntılarıyla anlatan belgelerden öğrendi . Yaklaşım,
"meta veriler" olarak bilinen verileri toplama özel hedefiyle mümkün
olduğu kadar çok İnternet trafiğini izlemekti.
Esasen
verinin kendisi hakkındaki veriler olan meta veriler, içerikten ziyade
iletişimin doğasını tanımlayan bilgilerdir. Örneğin, geleneksel telefon
gözetiminde bu, arama sırasında söylenenlerin aksine, hangi telefon numarasının
başka bir telefon numarasını ne zaman aradığının kaydı olacaktır. Siber çağda
meta veriler çok daha karmaşık ve dolayısıyla çok daha kullanışlıdır.
Oluşturulan veya gönderilen verilerle ilgili coğrafi konum, zaman, e-posta
adresleri ve diğer teknik ayrıntılara ilişkin bilgileri içerir. Bu veriler
dünya çapındaki kaynaklardan bir araya toplandığında, noktaları birleştirmek ve
yeni modelleri ortaya çıkarmak için karmaşık algoritmalar kullanılabilir,
ayrıca kullanıcı kimliğini gizlemeye çalıştığında bile bireysel cihazlar takip
edilebilir. Bu çaba, teröristler arasındaki bağlantıların bulunmasına yardımcı
olmak için tasarlandı. Ancak NSA programları tartışmalı bir şekilde milyonlarca
terörist olmayan kişinin çevrimiçi faaliyetlerine ilişkin bu tür bilgilerin
toplanmasını gerektiriyordu. Bunu samanlığın tamamını toplayarak samanlıkta
iğne bulmaya çalışmak gibi düşünün.
Hatta
çevrimiçi çabalar, aşırı gruplara katılmayı düşünen veya son yıllarda daha da
öne çıkan "yalnız kurt" saldırılarına katılmayı düşünenler gibi henüz
terör ağlarıyla bağlantılı olmayan kişileri tespit etmek için bir araç olarak
bile kullanılabilir. Örneğin, 2008 ve 2009'da ABD istihbarat teşkilatlarının,
Usame bin Ladin'in saldırıları kutlayan videosunun yayınlanmasını geciktirmek
için 11 Eylül'ün yıldönümünde önde gelen terörist propaganda sitelerine
saldırıp kapatmaya çalıştığı bildirildi. Ancak 2010 yılında farklı bir yol
izlediler. Wired dergisinin bildirdiği gibi , "El Kaide'nin el Fecr
medya dağıtım ağının kullanıcı hesabı hacklendi ve forum üyelerini, bir yıl
önce kapanıp gizemli bir şekilde yeniden ortaya çıkan bir forum olan Ekhlaas'a
kaydolmaya teşvik etmek için kullanıldı." Sahte olduğu, terörist
olabilecekleri ve onların hayranlarını birbirine karıştıran çevrimiçi bir
örümcek ağı olduğu ortaya çıktı Benzer şekilde, İnternet potansiyel terörist
taktiklerini yayabilirken, savunucular da hangi taktiklerin geçerli olduğu ve
bunlara karşı savunulması gerektiği konusunda önemli bilgiler edinebilir.
Ve
elbette sadece izlemek zorunda değilsiniz, aynı zamanda teröristlere karşı
siber saldırılara da girişebilirsiniz. Bilinen bir örnek (sadece teröristlerin
zaten bildiği vakalar hakkında konuşmak istiyoruz!) teröristlerin kendi
bilgisayarlarını onları gözetlemek için kullanmaktır. Yaman Mukhadab'ın ve
çevrimiçi radikal propaganda üreten ve dağıtan bir ağ olan Küresel İslami Medya
Cephesi'nin (GIMF) başına gelen de budur. 2011 yılında üyelerini, grubun kendi
şifreleme programı olan "Mücahidlerin Sırları 2.0"ın ele geçirildiği
için indirilmemesi gerektiği konusunda uyarmak zorunda kaldı.
Siber
saldırılar her zaman sadece bilgi edinmek için bir ağı ihlal etmeyi
amaçlamadığı gibi, siber terörle mücadele de bir teröristin ağlarındaki
bilgileri değiştirebilir. Bu arsız bir propaganda oyunu oynamayı da içerebilir.
2010 yılında Arap Yarımadası'ndaki El Kaide terör grubu (AQAP), yeni üye çekmek
ve terör taktiklerini yaymak için tasarlanmış İngilizce çevrimiçi bir dergi
olan “Inspire”ı yayınladı. Derginin ilk sayısının İngiliz istihbarat
teşkilatları tarafından hacklendiği bildirildi. Teröristlerin "nasıl
yapılır" sayfalarını kek tarifiyle değiştiren kişi. Ya da bilginin
bozulması siber terörizm fikrini tamamen tersine çevirebilir. Bir vakada,
çevrimiçi bomba yapma talimatları, saldırganın cihazın yapımı sırasında
kendisini havaya uçurmasını sağlayacak şekilde değiştirildi.
Bu
çevrimiçi terörle mücadele çabalarında dikkate değer olan şey, siber güvenliğin
geri kalanında olduğu gibi, tek oyuncuların hükümetler olmamasıdır. Devlet dışı
"hacktivizm" Web'in denetlenmesinde bile önemli bir rol oynamıştır.
Örneğin Jon Messner, bir El Kaide sitesi olan El Neda'yı çökerten Maryland'li
özel bir vatandaştır. Çevrimiçi terörizmle mücadele, bir hobidir. Ancak
Messner'ın günlük işi internet pornografisi işini yürütmek ve belki de en çok
"komşu ev kadını" türünü yaratmasıyla tanınıyor. Bu, İnternet'in
nasıl yönetilmeyen bir şey olmadığının, aksine garip ve büyüleyici şekillerde
kendi kendini yönettiğinin bir başka örneğidir.
Güvenlik Riski mi, İnsan Hakkı mı? Dış Politika
ve İnternet
Bilgi
işlem kaynaklarının bir ağ üzerinden uzaktan dağıtılması kavramı olan bulut
bilişim, hem milyarlarca dolarlık bir endüstri hem de çoğu kişinin çevrimiçi
dünyanın geleceği için anahtar olduğuna inandığı büyüyen bir alandır (daha
sonra keşfedeceğimiz gibi). Ancak 2011'de üç gün boyunca Hollanda hükümeti,
insan hakları adına yeni bulut bilişim çağını baltalamakla tehdit etti.
ABD
hükümetinin Amerikan şirketleri tarafından kontrol edilen bilgisayarlarda
saklanan her türlü veriye erişmesine izin veren Amerikan yasalarını ele alan
Hollanda Güvenlik ve Adalet Bakanı, herhangi bir Amerikan firmasının Hollanda
hükümetine bulut bilişim hizmetleri sunma olanağını reddetmekle tehdit etti.
2011. Ancak hiçbir ülke, devletin gözetimi korkusuyla verilerinin yabancı bir
şirket tarafından tutulmasına izin vermezse, bulut bilişimin verileri küresel
olarak depolama ve dağıtma yönündeki dönüştürücü gücü ciddi şekilde
zayıflayacaktır. Hollandalılar en sonunda geri adım attı ancak 2013'te NSA'nın
bazı gözetleme uygulamalarının ifşa edilmesinin ardından bu çağrılar dünya
çapında daha da sert bir şekilde yankılandı. Bu tür olaylar önemli bir gerilimi
vurguluyor: Güvenlik ihtiyacını gizlilik ve gizliliğin önemiyle nasıl
dengeleyebiliriz? ifade özgürlüğü?
Genellikle
insan hakları diliyle ifade edilen "İnternet özgürlüğü" terimi,
çevrimiçi özgür ifade fikrine ve dünya çapındaki diğer kişilerle bağlantı
kurmanın bir yolu olarak İnternet'e erişim hakkına odaklanmaktadır. Bu fikir,
1948 Evrensel İnsan Hakları Bildirgesi ve 1966 Uluslararası Medeni ve Siyasi
Haklar Sözleşmesi'nde yer alan ve "bilgi ve fikirleri herhangi bir medya
aracılığıyla arama, alma ve aktarma hakkını garanti eden" siber çağdan çok
önce verilen siyasi haklara dayanıyor. ve sınırdan bağımsız olarak."
Dünya dijital çağa geçtikçe demokratik devletler, çevrimiçi
dünyanın, Bölüm I'de tartıştığımız yönetişim modelleri gibi, yalnızca
demokratik bir etik akılda tutularak yapılandırılmadığını; aynı ruhla haklara
da saygı duyması gerekiyordu. Bu, eski ABD Dışişleri Bakanı Hillary Clinton'ın
gündeminin önemli bir parçası haline geldi; o, temel insan haklarımızın siber uzayı da
içermesi gerektiğini savunuyordu; çünkü “insanlar, ortak çıkarların peşinde
koşmak için çevrimiçi olarak bir kilisede ya da çalışma salonunda olduğu kadar
bir araya gelebilirler. "
İnternet
özgürlüğü konusundaki mücadele sadece bir erişim meselesi değil (Çin
vatandaşlarının mı yoksa İran vatandaşlarının çevrimiçi haber raporlarına
erişime sahip olması gerektiği gibi). İnternet, rejimleri değiştirmenin bir
yolu olarak görülmeye başlandıkça, siber güvenlik konularıyla daha alakalı ve
daha anlamlı hale geldi .
Amerika
Birleşik Devletleri ve Birleşik Krallık'ın yanı sıra savunuculuk grupları da
dahil olmak üzere birçok ülke, baskıcı rejimler altında faaliyet gösteren
muhalif gruplara siber güvenliği karmaşık hale getirecek yollarla ulaştı. Bu
çaba geleneksel diplomasinin ötesine geçerek sadece gruplara siber eğitim
sağlamakla kalmıyor, aynı zamanda kullanıcıların hükümet gözetimi ve
sansüründen kaçmasına yardımcı olan Tor gibi yeni teknolojilerin geliştirilmesi
ve dağıtımını da sağlıyor. Yeterince basit görünüyor, ancak sorunlar çok
çeşitli. Rejimler, internette yerel yönetimin kontrolü veya gözlemi dışında
davranışlara olanak sağlayarak teknolojileri ve bunların arkasındakileri
genellikle bir güvenlik tehdidi olarak gördü. Örneğin Çin'de hükümet sansürü
insan haklarının ihlali olarak değil, istikrar aracı olarak görüyor.
Dolayısıyla bu teknolojiler, Çin ve müttefikleri tarafından uluslararası
forumlarda siber saldırı araçları olarak sınıflandırıldı.
İfade
özgürlüğü yalnızca otoriter ve demokratik devletler arasında farklı görülmüyor,
aynı zamanda kültürel ve tarihi açıdan da farklı görülüyor. Tayland'da
hükümdarı karalamak yasa dışıdır; Britanya'da popüler bir hobidir . Tartışmalı
yasalar Batı'da da çevrimiçi davranışı sınırlıyor. Fransa, Yahoo!'ya başarıyla
dava açtı! Amerika Birleşik Devletleri'nde yasal olan Nazi hatıralarının
satışını yasaklamak. Gerçekten de, tam da ABD Dışişleri Bakanlığı çevrimiçi
özgürlük gündemini öne sürdüğü sırada, Obama yönetiminin diğer kesimleri ve
ABD Kongresi, Amerikan ISP'lerini yasa dışı olarak internet üzerinden erişim
sağlayan yabancı web sitelerine erişimi engellemeye zorlayacak olan Çevrimiçi
Korsanlığı Durdurma Yasası'nı değerlendiriyordu. telif hakkıyla korunan
materyaller sunun. Wikipedia'nın kapatılması da dahil olmak üzere çevrimiçi bir
protesto hareketi, yönetimi ve Kongre'yi geri adım atmaya zorladı.
Haklar
ve güvenlik arasındaki çatışma sadece siyasi bir ifade meselesi değil, aynı
zamanda siber güvenlik sorunlarının nasıl çözülebileceğini de test ediyor.
İnternet yönetişimi hakkındaki tartışma güvenlik alanına da sıçradı. İnternet
standartlarının belirlenmesine yönelik çok paydaşlı süreçte (Bölüm I'de ele
alınmıştır) Amerika'nın hakimiyetine karşı çıkanlar, NSA gözetiminin açığa
çıkmasını ve Pentagon'un siber savaş yeteneklerinin geliştirilmesini bir
değişimin neden gerekli olduğuna dair kanıt olarak gösteriyor. ICANN modelinin
savunucuları ise daha fazla hükümet kontrolü için baskı yapan ülkelerin çoğunun,
kendi ülkeleri içinde ifadeleri kısıtlama konusunda en aktif ülkeler olduğunu
gözlemliyor.
Sonuçta
bu sorular, bir şeyin güvenlik riski mi, yoksa insan hakkı mı olduğuna karar
verme yetkisinin kimde olması gerektiği ve kimin elinde olduğuna ilişkin temel
siyasi soruları gündeme getiriyor. Antik Yunan filozoflarından Kurucu Babalara
kadar herkesin canını sıkan bir meseledir ve bugün de devam etmektedir.
Odak: Tor Nedir ve Soğanı Soymak Neden Önemlidir?
Dijital
sırları gizli tutmak için Donanma Araştırma Laboratuvarı programının bir
parçası olarak ABD Savunma Bakanlığı'ndan mali destek aldı, ancak buna karşılık
Edward Snowden bunun herhangi bir şekilde kullanılmasının NSA tarafından
gözetlenmesine zemin teşkil edeceğini açıkladı. The Economist tarafından
"İnternet'in karanlık köşesi" olarak tanımlandı ve aynı zamanda
"dünya çapında 36 milyon insanın İnternet'e erişim ve ifade özgürlüğünü
deneyimlemesini" sağladığı için 2010 Sosyal Fayda Projeleri Ödülü'nü
kazandı . Tor karmaşık bir karakterdir.
Başka
bir bilgisayar kullanıcısıyla iletişim kurmak istediğinizi ve bunu kimsenin
bilmesini istemediğinizi varsayalım. Şifreleme kullanabilirsiniz, ancak bu
yalnızca kulak misafiri olanların ne söylediğinizi bilmesini engeller. Bazen
kiminle iletişim kurduğunuzu gizli tutmak da önemlidir. Bu tür bir gizlilik,
çok çeşitli çevrimiçi oyuncular için önemlidir: gizli kaynaklarla iletişim
kuran istihbarat teşkilatları, IP adresleri sunucu günlüklerinde görünmeden
rekabetin halka açık web sitesini araştıran şirketler ve özellikle otoriter
devletlerdeki siyasi aktivistler için. hükümetlerinin birlikte çalıştıkları
diğer muhalifleri tespit etmesini istemiyorlar.
Basit
bir yaklaşım, trafiğinizi bir bilgisayara gönderdiğiniz ve daha sonra onu nihai
hedefe ileten tek atlamalı bir proxy'dir. Bu, bir uç noktayı izleyen bir düşman
için etkili olabilir, ancak artık aracıya güvenmek zorundasınız. Kim kontrol
ediyor? Kayıt tutuyorlar mı? Hangi yasal yetki alanı altında faaliyet
gösteriyorlar?
Birçok kullanıcı haklı olarak kontrol edemediği anonimlik
altyapısını kullanmaktan çekiniyor. Ancak internet gibi açık bir ağda kişinin kendi
sistemini çalıştırması işe yaramayacaktır. Tek bir kuruluşa ait trafiği taşıyan
bir sistem, o kuruluşa giren ve çıkan trafiği gizlemeyecektir. Düğümlerin
koruma sağlamak için diğerlerinden gelen trafiği taşıması gerekir.
Çözüm,
"The Onion Reuter" kelimesinin kısaltması olan Tor adlı bir
sistemdir. Tor, gözetleme ve trafik analizine karşı çevrimiçi koruma sağlayan
bir "katman ağıdır". Bir yer paylaşımlı ağ, İnternet'in üzerinde
bulunur ancak kendi sanal düğüm ve bağlantı yapısını sağlar. Ağ, makinelerini
düğüm olarak sunan gönüllülerden oluşuyor. İnternet trafiği, temeldeki İnternet
paketlerine benzer şekilde parçalara bölünür ve gizliliği sağlamak için
şifrelenir. İletişim daha sonra ağ boyunca çok atlamalı bir yol izler ve
herhangi bir gözetim rejimini, uç noktalar arasındaki iletişimi izlemek
istiyorsa ağdaki her düğümü izlemeye zorlar. Her atlama noktası arasındaki
iletişim ayrı ayrı şifrelenir, böylece kulak misafiri herhangi bir düğümü
izleyerek çok fazla şey öğrenemez. Kısacası Tor, bir konuşmanın hem kaynağını
hem de bitiş noktasını gizlemek için bir aracılar ağı kullanır.
Karmaşık
koruma sunarken Tor mühendisleri ağın kullanımını kolaylaştırmak için çok
çalıştı. Tor'un yerleşik olduğu tam bir web tarayıcısı indirebilirsiniz.
Erişimi olan kişiler daha sonra e-posta gönderebilir, Web'de gezinebilir ve
kimsenin kim veya nerede olduklarını bilmeden çevrimiçi içerik paylaşabilir.
Tor'un
olumlu sosyal yanı, sansürü aşarak internette özgür ifadeyi destekleyen
anonimlik sağlamasıdır. Tor, 2004'te ortaya çıktı, ancak birkaç yıl sonra
İran'daki 2009 "Yeşil Devrim" protestoları ve 2011 "Arap
Baharı" sırasında muhalif hareketlerin işbirliği yapması ancak açıkça
gizli kalması için bir araç olarak daha büyük bir öneme sahip oldu .
Ancak
aynı avantaj aynı zamanda kolluk kuvvetlerinin çevrimiçi gözetiminden kaçınmak
isteyen suçlulara anonimlik sağladığı anlamına da geliyor. Tor, çocuk
pornografisi (bir FBI ajanı bize, anonim kullanıcıların çocukları uyuşturmanın
en iyi yolu hakkında bilgi alışverişinde bulunduğu bir forumdan bahsetmişti),
banka dolandırıcılığı, kötü amaçlı yazılım dağıtımı ve "İpek Yolu"
adı verilen çevrimiçi anonim karaborsa gibi durumlarda kullanıldı. İnternet
kullanıcılarının kontrole tabi maddeleri, silahları ve narkotikleri alıp
sattıkları yer.
Sonuç,
teknolojiye ve onun kullanımlarına yönelik karışık bir tutum oldu. Başlangıçta
Tor'u finanse etmiş olmasına rağmen, ABD ordusunun bir kısmı bunu bir tehdit
olarak tanımladı; özellikle de WikiLeaks gibi muhtelif ihbar davalarında
kullanılması nedeniyle. Bu arada, otoriter hükümetlerin başına bela olduğu
kanıtlandığı için ABD Kongresi ve Dışişleri Bakanlığı, bunu çevrimiçi
özgürlüğün kolaylaştırıcısı olarak tanımlayarak destek verdi.
Tor'un
geleceği, İnternet özgürlüğü konusundaki bu mücadelenin sadece politika
açısından değil aynı zamanda teknolojik açıdan da nasıl çözüleceğine bağlı. Çin
gibi rejimler, Tor geliştiricileriyle oynanan kedi-fare oyunuyla mücadele etmek
için yeni İnternet sansür teknolojisini giderek daha fazla kullanıyor.
Sansürcüler ağa erişimi engellemenin yollarını ararken Tor da her yeni tekniği
atlatmaya çalışıyor. Örneğin, Tor'u “Çin'in Büyük Güvenlik Duvarı”nın
arkasındaki kullanıcılar için açık tutmaya yönelik yenilikçi bir çaba, Skype
video konferans bağlantısı içindeki Tor trafiğini engelliyor. Bu teknik,
yalnızca Tor trafiğini başka bir protokol içinde başarılı bir şekilde gizlediği
için değil, aynı zamanda Çinli yetkililerin bunu kapatması durumunda ülkedeki
tüm Skype trafiğini kapatmak zorunda kalacakları için de yenilikçidir; Skype'ın
kuralları göz önüne alındığında bu imkansız bir görevdir. Çok uluslu firmaların
şubelerle iletişim kurması önem taşıyor. Sansürün gerçek bir parasal maliyeti
vardır.
Tor,
siber özgürlük ile güvenlik arasında ortaya çıkabilecek gerilimi gösteriyor.
Onion yönlendirici, çevrimiçi ortamda gizli kalmak isteyenlere ekstra güvenlik
katmanları sağladı, ancak gizlilik, yerleşik düzen için korkutucu olabilir.
2007'deki
“Estonya Siber Savaşı” sırasında Estonya'nın web siteleri saldırıya
uğradığında, küçük ülkenin dışişleri bakanı Urmas Paet, parmağını komşu
Rusya'ya doğrultmakta gecikmedi. Öfkeyle Kremlin'i, büyük bir hizmet reddi
saldırısı yoluyla ülkesinin ekonomisini ve hükümetini felç etmeye çalışmakla
suçladı. “Rusya Estonya'ya saldırıyor... Saldırılar sanal, psikolojik ve
gerçek.” Ancak Rus parlamento lideri Sergei Markov, suçlayıcıların Rus
hükümetinden başka yere bakmalarını önerdi: “Estonya'ya yapılan siber saldırı
hakkında. . . Merak etmeyin o saldırıyı asistanım gerçekleştirdi.”
Kulağa tuhaf geliyor ama hikayenin Markov versiyonunda
aslında bir miktar gerçeklik payı var. Markov'un genç asistanı, pek çok kişinin
yasa dışı bir eylem olarak düşündüğü bu eylemdeki rolünü inkar etmek şöyle
dursun, bunu açıkça kabul etti. Yaşları on yedi ile yirmi beş arasında
değişen yaklaşık 120.000 Rus'un oluşturduğu Nashi ("Bizim")
hareketinin lideriydi. Grup, resmi olarak Rus hükümetinin bir parçası olmasa
da, Putin yanlısı rejim destekçileri tarafından organize edilmişti. “Anavatan
karşıtı” güçlerle mücadele edin. Bazı açılardan Genç Sovyet Kosomol'u örnek
alan örgütün faaliyetleri yaz kampları düzenlemekten sokak gösterilerinde rejim
karşıtı protestocuları dövmeye kadar uzanıyordu. Aynı zamanda "Nazizm ve
liberalizm" gibi ikiz tehlikeler olarak gördüğü şeylere karşı siber
faaliyetlerde de bulundu. Bu durumda Estonya, II. Dünya Savaşı'ndan kalma bir
Rus mezar taşı olan Tallin'in Bronz Askerini hareket ettirmişti. Bu, Rus
milliyetçilerinin yaptığı bir eylemdi. Tıpkı Nashi üyelerinin siber yollarla da
dahil olmak üzere intikam almayı hak ettiğine inanması gibi.
Nashi'nin
karıştığı şeye genellikle "vatansever hackleme" adı veriliyor; bu
eylem, bir eyaletteki vatandaşların veya grupların, o ülkenin düşmanları olarak
algılananlara karşı siber saldırılar gerçekleştirmek üzere bir araya gelmesini
içeren bir eylem.
etkili
kılmak için düzenlemede sıklıkla oynadığı incelikli roldür . Hizmet reddi
saldırısı düzenlemeye çalışan yalnız bir Rus genci çok az başarı elde edebilir.
Ancak Estonya örneğinde, DDoS saldırısının nasıl gerçekleştirileceğini
detaylandıran araçlar ve talimat kitleri Rus forumlarında yayınlandı ve çok
sayıda bireysel bilgisayar korsanı, saldırıyı devlet ölçeğinde bir
ölçeklendirmek için harekete geçirdi. Daha da iyi bir örnek olarak, yalnızca
bir yıl sonra, Rusya-Gürcistan Savaşı sırasında Gürcistan'a yönelik siber
saldırılar, yalnızca Rus askeri operasyonlarıyla aynı zamana denk gelecek
şekilde zamanlanmakla kalmadı, aynı zamanda, bir çalışmanın ifadesiyle,
"Gürcistan'ın incelenmiş hedef listelerinden de yararlanıldı."
"hükümet web siteleri"nin Rus istihbaratı tarafından sağlandığı
düşünülüyor.
Vatansever
bilgisayar korsanlarını kullanmanın avantajı, bir hükümetin istediği
senkronizasyonu ve büyük ölçekli çabayı resmi olarak dahil olmadan
kullanabilmesi ve ona makul inkar edilebilirlik iddiası için yeterli koruma sağlamasıdır.
Sınır ötesi polis işbirliği olmadan (ki Ruslar bunu sağlamayı reddetti - olayın
bir başka özelliği), Estonya saldırılarına karışan tüm bilgisayar hesaplarının
arkasında kimin olduğunu tam olarak belirlemek imkansızdı (parlamento
liderlerinin kendi hesaplarını ispiyonlaması dışında). asistanlar).
Dolayısıyla, ironik bir şekilde, bu tür saldırıları düzenleyen hükümetler,
olaya karışmakla suçlandıklarında mağdur olmuş gibi davranabiliyor. Sonuçta,
Rusya'nın düşmanlarına yönelik saldırılar siber uzayda meydana gelirken ve bir
parlamento lideri kendi ofisinin bundaki rolünden bahsederken, bir Rus
büyükelçisi şöyle karşılık verebilir: "Eğer [saldırıların] Rusya'dan veya
Rus hükümetinden geldiğini ima ediyorsanız, bu ciddi bir iddiadır" bunun
kanıtlanması gerekiyor. Siber uzay her yerdedir."
Ancak
vatansever bilgisayar korsanları gençlik gruplarıyla sınırlı değil. Aslında suç
örgütleriyle ilginç bir bağ var. Genellikle kendi kâr amaçları doğrultusunda
çalışırlar ancak aynı zamanda bir devlet tarafından siyasi amaçlarla da
seferber edilebilirler. Örneğin 2008 Gürcistan saldırılarında kullanılan
araçların, platformların ve taktiklerin çoğu, en büyük siber suç örgütlerinden
biri olan Russian Business Network tarafından da kullanıldı. Bu durum birçok
kişinin vatansever hacker dünyasında zaman zaman anlaşmalar yapıldığına
inanmasına neden oluyor. Suç gruplarına, hükümetler yardım istediğinde
vatanseverliklerini göstermeleri karşılığında bir miktar faaliyet gösterme
özgürlüğü veriliyor. Bunu, İkinci Dünya Savaşı sırasında FBI ile Mafya arasında
imzalanan anlaşmanın siber eşdeğeri olarak düşünün; Federaller, gangsterlerin
Nazi casusları için rıhtımı gözetlemesi ve İtalya'daki askeri istihbarat
operasyonlarına yardım etmesi karşılığında soruşturmalarını ertelemeyi kabul
etti. Benzer şekilde Rusya, 2000'li yılların sonundaki siber saldırılardan önce
siber suç şebekelerini çökertme konusunda oldukça aktifti, ancak o zamandan bu
yana kanuni yaptırımlarda çok daha gevşek davrandı. Gerçekten de, son yıllarda
Rus hükümetinin sakıncalı bulduğu hemen hemen her yayın hakkında dava açılmış
ve taciz edilerek yasaklanmış olsa da, hacker dergisi Xaker: Computer
Hooligan'ın geniş tirajda kalması dikkat çekicidir.
Bazen
bu faaliyetlere daha açık bir şekilde göz yumulur. 2011 yılında, kendisine
Suriye Elektronik Ordusu adını veren bir hacker grubu, Suriye rejiminin
genişleyen iç savaştaki davranışını eleştiren haber sitelerini tahrif etti veya
devre dışı bıraktı. Suriye Devlet Başkanı Esad, grubu "sanal gerçeklikte
gerçek bir ordu olan elektronik bir ordu" olarak nitelendirerek bu
faaliyetlere övgüde bulundu . SEA, Anonymous'a bağlı siteleri hedef alarak
misilleme yaptı.
Diğer
bir avantaj ise vatansever bilgisayar korsanlarının hükümetlerin, devletin
ötesindeki uzmanlık ve kaynaklardan yararlanmasına izin vermesidir. Hatta bazı
hükümetlerin yeni yetenekleri araştırmak ve siber rezervlerden oluşan bir
"B takımı" oluşturmak için vatansever hacker gruplarıyla uyum içinde
çalıştığı görülüyor. 2005 yılında Çin ordusunun yetenekli sivilleri belirlemek
için bir dizi bölgesel hacker yarışması düzenlediği bildirildi. Sonuç olarak,
etkili hacker grubu Javaphile'ın kurucu üyesi (2008'in başında Çin'in ABD'ye
yönelik vatansever hacker saldırılarında, Beyaz Saray web sitesinin tahrif
edilmesi de dahil olmak üzere son derece aktif) Şangay Kamu Güvenliği Bürosuna
danışman olarak katıldı.
Ancak
bunun bir bedeli var. Vatansever bilgisayar korsanları, inandırıcı inkar
edilebilirliği sürdürürken siber uzayda devlet düşmanlarını
engelleyebildiklerini kanıtlamış olsalar da, hükümetlerin, özellikle de
otoriter olanların arzuladığı düzeyde kontrole sahip olmayabilirler. Bilgisayar
korsanları siber uzayda serbest kaldıklarında mesajlarını kapatabilir veya
istenmeyen faaliyetlerde bulunabilirler. Utanç verici bir olayda, Çin'in 2005
bölgesel yarışmasının galibi daha sonra rakip hacker gruplarının web sitelerine
saldırmaktan tutuklandı. Ve Çin hükümeti 2008 Pekin Olimpiyatları ile ilgili
yalnızca olumlu haberlerin yayınlanmasını istediğinde, Çin vatansever hacker
forumları CNN web sitesine yönelik bir DDoS saldırısının nasıl başlatılacağına
dair eğitimler sunarak olumsuz haberler yaptılar (Tibet'teki isyanlarla ilgili
haberlerinden rahatsız olmuşlardı) ). 2010 yılında, gerçek dünyadaki iki
görünür müttefik olan İran ve Çin'den gelen vatansever bilgisayar
korsanlarının, baidu.com'un (Google'ın Çince versiyonu) "İran Siber
Ordusu" tarafından vurulmasının ardından artan bir dizi misilleme
saldırısına girmesiyle, işler özellikle tırmandı. ''
Bu
nedenle hükümetler bazen bir zamanlar güvendikleri vatansever bilgisayar
korsanlarına karşı baskı uygulamak zorunda kalıyor. Örneğin 2010 yılında Çin
hükümeti Black Hawk Safety Net sitesinin kapatılması emrini verdi. Daha önce
site, yaklaşık 170.000 üyesiyle vatansever hacker araçları ve dersleri için bir
merkezdi.
Ancak
bazı hükümetler daha sonra bu grupları benimsiyor ve onları "siber
milisler" aracılığıyla saflara katıyor. Pek çok kişi bu eğilimin izini
2001 yılındaki Hainan Adası olayında, Çinli bir J-8 savaş pilotunun Amerikan
Donanması P-3 gözetleme uçağına çok fazla yaklaştığı ve iki uçağın havada
çarpıştığı olaya kadar götürüyor. Daha küçük olan Çin uçağı yere döndü ve
sosisli sandviç yapan pilotu öldürüldü, bu sırada Amerikan uçağı Hainan'daki
bir Çin havaalanına acil iniş yapmak zorunda kaldı. İki hükümet öfkeyle
birbirini çatışmaya neden olmakla suçlarken, Komünist Parti Çin'deki bilgisayar
meraklısı vatandaşları kolektif hoşnutsuzluklarını göstermek için Amerikan web
sitelerini tahrif etmeye teşvik etti. Daha önce tartıştığımız gibi, binlerce
Çinli genç çevrimiçi olarak örgütlendi ve Minnesota'daki halk kütüphanelerinden
yukarıda adı geçen Beyaz Saray web sitesine kadar her şeyi hedef alan siber
vandalizme neşeyle katıldı.
On
bir günlük bir aradan sonra, yeni seçilen Bush yönetimi bir "üzüntü
mektubu" göndermeyi ve tutuklu mürettebatın "yiyecek ve
konaklama" masrafları için Çin'e 34.000 dolar ödemeyi kabul etti ve
ardından Amerikalı mürettebat serbest bırakıldı. Ve bununla birlikte Çin
hükümeti bu olayın sona erdiğini ilan etti ve ABD ile ilişkileri
normalleştirmeye çalıştı. Tek sorun, serbest bırakıldıktan sonra genç
vatansever hackerların milliyetçilikle dolup taşması ve dizginlenmelerinin zor
olmasıydı. Birçoğu, izinsiz hacklemeleri durdurmayınca en sonunda tutuklandı.
Sonuç olarak Parti, bir zamanlar gayri resmi olan eğlence gruplarını daha
resmi, kontrol edilebilir organizasyonlara dönüştürdü.
Bu
yönde ilk adım 2003 yılında Çin'in BT ekonomisinin bir kısmının kümelendiği
Guangshou Askeri Bölgesi'nde atıldı. Halk Kurtuluş Ordusu subayları,
“yurtdışında eğitim görmüş, büyük bilimsel araştırmalar yapmış, bilgisayar ağı
uzmanı sayılan ileri dereceli kişileri” tespit etmek için bir anket düzenledi.
Ücretsiz, gönüllü (böyle bir ortamda ne anlama geliyorsa) Birimler, daha sonra
askeri üsler yerine bilgisayar laboratuvarları ve ticari firmalarda faaliyet
gösteren bu kişiler etrafında örgütlenmişti. Bu, milislere "siyasi
güvenilirlik", eğitimli personel, modern ticari altyapı ve gelişmiş
yazılım tasarımı yeteneklerinin birleşimini sağlıyordu. Artık bu birimlerin
200.000'den fazla üyesi olduğu tahmin ediliyor.
Sivil
bilgisayar korsanlarının becerilerini ve ölçeğini harekete geçirirken daha
fazla hükümet kontrolünü sürdürmek, vatansever bilgisayar korsanlığının
gelecekte küresel olarak nasıl gelişeceğinin göstergesi olabilir. Ancak bu uyum
aynı zamanda pek çok devletin vatansever bilgisayar korsanlarını kullanmasını
da zorlaştırıyor çünkü inandırıcı inkar edilebilirlikten mahrum kalıyorlar.
Göreceğimiz gibi, doğru dengeyi yakalamak çoğunlukla grupların nasıl organize
edildiğinden daha fazlasına bağlıdır; çalışma şekilleri de önemlidir.
Ralph Langner, kıvrak bir zekaya sahip neşeli bir adamdır ve
kaprisliliğini belki de en iyi şekilde kovboy çizmeleri giydiği gerçeğiyle
gösterebiliriz. Ralph'ın Teksas'tan değil, Almanya'dan olduğunu ve kovboy değil
de bilgisayar uzmanı olduğunu anlayana kadar, kovboy çizmeleri giymek o kadar
da dikkat çekici olmamalı . Langner aynı zamanda inanılmaz derecede
meraklıdır. Onu tarihin en dikkate değer silahlarından birinin keşfinde rol
oynamaya iten şey bu kombinasyondu; ve sadece siber tarih değil, genel olarak
tarih.
1988'den
beri Ralph ve güvenlik uzmanlarından oluşan ekibi, büyük ölçekli tesislerin
güvenliği konusunda danışmanlık yapıyordu. Özel odak noktaları, endüstriyel
süreçleri izleyen ve çalıştıran SCADA ("denetleyici kontrol ve veri
toplama"nın kısaltması) gibi bilgisayar sistemleri olan endüstriyel
kontrol sistemleriydi. SCADA, enerji santrallerinin yönetimi ve işletilmesinden
şeker ambalajlarının imalatına kadar her şeyde kullanılıyor. .
Hindistan
ve Amerika Birleşik Devletleri gibi yerlerde binlerce bilgisayar, Ancak
enfeksiyonların büyük bir kısmı (kabaca yüzde 60 ) İran'daydı. Bu, pek çok
uzmanın, İran'ın SCADA ile ilgili programlarında özellikle zayıf siber
savunmaya sahip olduğu ve bu durumun onu daha savunmasız hale getirdiği ya da
bir virüsün yayıldığı sonucuna varmasına yol açtı. Başlangıçta İran'daki bazı
bölgeleri hedef aldı ve bir raporun belirttiği gibi, "daha sonra asıl
amacında başarısız oldu ve kontrolden çıkarak dünyanın her yerindeki istenmeyen
hedeflere kontrolsüz bir şekilde yayıldı ve böylece siber silahların ne kadar
gelişigüzel ve yıkıcı olabileceğini gösterdi."
Her
ikisinin de durumdan uzak olduğu ortaya çıktı. Merak eden Ralph, bilinen
şekliyle "Stuxnet"in kodunu incelemeye başladı. O ve ekibi onu
araştırdıkça daha fazla ilgilenmeye başladılar. Bu, dünyanın şimdiye kadar
görmediği olağanüstü derecede karmaşık bir kötü amaçlı yazılım parçasıydı. en
az dört yeni "sıfır gün"e (daha önce bilinmeyen güvenlik açıkları)
sahipti, tanınmış şirketlerden çalınan iki sertifikanın özel anahtarlarıyla
dijital imzalardan yararlandı ve on yıllık Windows 95 sürümüne kadar tüm
Windows işletim sistemlerinde çalıştı. Yeni sıfır günlerin sayısı özellikle
göze çarpıyordu. Bilgisayar korsanları sıfır günü ödüllendirir ve
gerekmediğinde bunları açıklamaktan hoşlanmazlar. Yeni bir açık kapının yeterli
olduğu göz önüne alındığında, aynı anda dördünü kullanmak eşi benzeri
görülmemiş ve neredeyse mantıksızdı. Stuxnet'in yapımcılarının muazzam
kaynaklara sahip olmaları ve hedeflerine ulaşacaklarından kesinlikle emin olmak
istemeleri oldukça iyi bir işaretti.
Stuxnet
aynı zamanda çalıntı pasaport eşdeğerini kullanarak Windows'un savunmasını da
atlattı. "Çekirdeğe" veya işletim sisteminin kontrol sistemine erişim
sağlamak için Stuxnet'in çekirdekle konuşabilen bir bileşen kurması
gerekiyordu. Yazarlar, donanım aygıtlarının çekirdekle etkileşime girmesine
izin veren ortak bir araç olan "aygıt sürücüsünü" seçtiler. işletim
sistemi. Windows, güvenilir donanım üreticilerinin işletim sistemi tarafından
güvenilen aygıt sürücüleri yazmasına olanak sağlamak için bir dijital imza
şeması kullanır. İmzasız sürücüler kullanıcı için bir uyarı oluştururken imzalı
sürücüler bunu yapmaz. Stuxnet'teki sürücüler Tayvan'daki iki gerçek şirket
tarafından imzalanmıştı; bu da yazarların büyük olasılıkla çalınmış olan gizli
imzalama anahtarlarına erişimi olduğunu gösteriyordu. Yine, bu nadir görülen
bir saldırı tarzıdır: Çalınan imzalama anahtarları inanılmaz derecede güçlüdür,
iyi korunur ve herhangi bir yasa dışı pazarda çok değerli olur.
Kötü
amaçlı yazılımın DNA'sı daha da ilginç bir şeyi ortaya çıkardı: Stuxnet
gerçekten bulaşıcı olmak yerine özel bir şeyin peşindeydi. Langner daha derine
indikçe Stuxnet'in bilgisayarların ve hatta genel olarak Windows yazılımının
değil, Siemens'in WinCC/PCS 7 SCADA kontrol yazılımında kullanılan belirli bir
program türünün peşinde olduğunu keşfetti . Gerçekten de, eğer bu yazılım
mevcut değilse, solucanın hareketsiz hale gelmesi için yerleşik kontrolleri
vardı. Buna ek olarak, geçmişteki solucanlarda amaçlandığı gibi mümkün olduğu
kadar geniş bir alana yayılmaya çalışmak yerine Stuxnet, virüs bulaşmış her
bilgisayarın solucanı en fazla üç bilgisayara yaymasına izin verdi. Hatta son
bir güvenceyi de beraberinde getirdi ; bir kendi kendini yok etme mekanizması
onun 2012'de kendi kendini silmesine neden oldu. Ralph, Stuxnet'i kim yaptıysa
aklında sadece belirli bir hedef olmadığını, aynı zamanda kodun sonsuza kadar
doğada kalmasını da istemediğini fark etti. Bu gerçekten çok farklı bir
solucandı.
Peki
hedef neydi? Bu gerçek gizemdi. Burada Langner'ın sanayi firmalarıyla çalışma
deneyiminin özellikle yararlı olduğu ortaya çıktı. Stuxnet'in yalnızca Siemens
tarafından üretilmiş, bir dizi nükleer santrifüjü çalıştıracak şekilde
yapılandırılmış belirli bir endüstriyel denetleyicinin peşinde olduğunu anladı;
ancak yalnızca evin çevresinde duran herhangi bir eski nükleer santrifüjün
değil, yalnızca bir dizi nükleer santrifüjün peşinde olduğunu anladı. Belli bir
boyut ve sayı (984) birbirine bağlıydı.O kadar tesadüfi değil ki, bu, İran'ın
yasadışı nükleer silah programından şüphelenilen Natanz nükleer tesisindeki
kurulumun aynısıydı.
Stuxnet
bu hedefe ulaştığında işler özellikle çetrefilli bir hal aldı (daha sonra
dağıtım mekanizmasının İranlı nükleer bilim adamlarının kendi dizüstü
bilgisayarları ve hafıza çubukları yoluyla sızma olduğu ortaya çıktı). Langner,
siber saldırının santrifüjleri belirgin bir şekilde kapatmadığını keşfetti.
Bunun yerine bir dizi altprogram çalıştırıyordu. "Ortadaki adam"
olarak bilinen biri, santrifüjlerin içindeki basınçta küçük ayarlamalara neden
oldu. Bir diğeri, santrifüjlerin dönen rotorlarının hızını değiştirerek,
onların sırasıyla yavaşlamasına ve sonra tekrar hızlanmasına neden olarak,
rotorların devre dışı kalmasına ve işlerini mahvetmesine neden oldu. Üstelik,
kötü amaçlı yazılım sık sık santrifüj hızlarını tasarlanan maksimum değerin
üzerine çıkarıyordu. Yani santrifüjler sadece rafine uranyum yakıtı üretmekte
başarısız olmuyordu, aynı zamanda çeşitli rastgele dalgalanmaların neden olduğu
zararlı titreşimler nedeniyle sık sık bozuluyor ve durma noktasına geliyordu.
Diğer zamanlarda makineler kelimenin tam anlamıyla kontrolden çıkıyor ve
patlıyordu.
Langner,
bunun etkisinin tesise karşı "patlayıcı kullanmak kadar iyi" olduğunu
yazdı. Aslında daha iyiydi. Kurbanın "siber saldırı altında olduğuna dair
hiçbir fikri yoktu." Stuxnet bir yılı aşkın bir süredir İran ağlarının
içindeydi, ancak nükleer bilim adamları başlangıçta tesislerinin bir dizi
rastgele arızadan muzdarip olduğunu düşündüler. Bilim insanları, bozulan
santrifüjleri yenileriyle değiştirmeye devam ediyordu; bu santrifüjler daha
sonra enfeksiyon kapıyor ve tekrar kırılıyordu. Ancak çok geçmeden hatalı
parçaların mı satıldığını yoksa bir tür donanım sabotajına mı maruz
kaldıklarını merak ettiler. Ancak hiçbir şeyin olması gerektiği gibi
çalışmaması dışında makineler her seferinde mükemmel bir şekilde kontrol
ediliyordu.
Bu
belki de Stuxnet'in en sinsi kısmıydı: mükemmel bir bütünlük saldırısıydı.
Stuxnet yalnızca süreci bozmadı, etkilerini operatörlerden gizledi ve bilgisayar
sistemlerinin olup biteni doğru ve dürüst bir şekilde açıklayacağına olan
güvenlerini istismar etti. İranlı mühendisler bir siber saldırıdan
şüphelenmediler bile; sistemlerinin Web'den hava boşluğu vardı ve bu noktaya
kadar solucanlar ve virüslerin donanım üzerinde değil bilgisayar üzerinde her
zaman bariz bir etkisi olmuştu. Sonunda İranlı bilim adamları, hiçbir şeyi
doğru yapamayacakları izlenimi altında moral bozukluğu yaşadılar; yetmiş yıl
önce bir grup Amerikalı sürgülü cetvelleri kullanarak atom bombası yapmıştı ve
günümüzün santrifüjlerini bile çalıştıramıyorlardı. Genel olarak Langner,
Stuxnet etkisini "Çin'deki su işkencesinin" siber versiyonuna
benzetti.
Ralph
Langer bulgularını blogunda açıkladığında, az tanınan Alman araştırmacı kısa
sürede uluslararası bir üne kavuştu. İlk olarak, çok gizli bir sabotaj
kampanyasını açığa çıkarmıştı (daha sonra ABD ile ABD arasında ortak bir çaba
olduğu ortaya çıktı).
İsrail
istihbarat teşkilatlarının "Olimpiyat Oyunları" olarak bilinen) ve
ikincisi, küresel öneme sahip bir keşifti. Uzun zamandır hakkında spekülasyon
yapılan ancak hiç görülmemiş yeni bir silah türü, özel olarak tasarlanmış bir
siber silah nihayet kullanılmıştı.
Stuxnet'in Gizli Dersi Nedir? Siber Silahların
Etiği
“Siber
savaşın tüfeği. Tüfeği ne olacak? AK-47 mi? Atom bombası mı?"
Harvard
Üniversitesi'nden Judith Donath, Stuxnet'i daha da iyi hale gelebilecek yeni
bir silah türünün gösterisi olarak tanımladı. Ancak diğerleri bu daha iyi
silahların yeni bir tür gerilime ve küresel riske yol açacağından endişe
ediyordu. Siber düşünür Mikko Hypponen, "Stuxnet oyunun kurallarını
tamamen değiştirdi" diye yazdı. "Ülkelerin silah stoklamaya başladığı
bir silahlanma yarışına giriyoruz; ancak stokladıkları şey uçaklar ve nükleer
reaktörler değil, siber silahlar." Demokrasi ve Teknoloji Merkezi'nden
Leslie Harris, "Hepimizin kaybedeceği bir savaşta bu başlangıç
vuruşunu" yeterince insanın fark etmediğinden endişe duyanlar da var.
Stuxnet
belki de bunların hepsiydi ama başka bir nedenden dolayı da dikkate değerdi. Bu
iğrenç küçük solucan, etiğin siber savaşa nasıl uygulanabileceğinin mükemmel
bir örneğiydi.
Aşkta
ve savaşta her şeyin adil olduğu düşüncesi vardır, ancak gerçek şu ki,
savaştaki davranışları şekillendirdiği varsayılan bir dizi katı kural vardır;
on yedinci yüzyıl hukuk düşünürü Hugo Grotius buna jus in bello adını vermiştir
( "Savaş Yasaları"). En büyük iki yasa orantılılık ve
ayrımcılıktır. Orantılılık yasası, neden olduğunuz acı ve yıkımın, özellikle de
istenmeyen hedeflere verilen ikincil zararın, çatışmayı tetikleyen zarardan
daha ağır basamayacağını belirtir. karşı taraf ineğinizi çaldıysa, haklı olarak
onların şehrine nükleer bomba atamazsınız.Ayrımcılık yasası, tarafların meşru
hedefleri hedef alınmaması gerekenlerden (sivil veya yaralı olsun) ayırması ve
sadece zarar vermek için ellerinden geleni yapması gerektiğini söylüyor.
Amaçlanan meşru hedeflere zarar vermek.
Stuxnet, siber yollarla fiziksel hasar verecek şekilde
tasarlanmış olmasıyla yeni bir silah türü olarak öne çıktı. Yapımcıları bunun
gerçek dünyada bazı şeyleri bozmasını istediler, ancak yalnızca dijital ağlarda
eylem yoluyla . Ancak geleneksel silahlarla karşılaştırıldığında gerçekten
göze çarpan şey, fiziksel etkisinin, özellikle de yoğun risklerle
karşılaştırıldığında ne kadar küçük olduğudur. Hedef, diplomatik çabaların ve
ekonomik yaptırımların zaten hedefi olan bir nükleer bomba yapma programıydı.
İran programına karşı önleyici eylemin haklı olup olmadığı kesinlikle
tartışılabilir olsa da, bu noktada orantılılık meselesi gündeme geliyor.
Stuxnet, İran'ın yasa dışı araştırma yapmak için yasa dışı olarak elde ettiği
nükleer santrifüjlerden başka hiçbir şeyi kırmadı. Üstelik ne kimseyi incitiyor
ne de öldürüyor. Karşılaştırıldığında, İsrail 1981'de Irak'ın nükleer
araştırmalarını engellemeye çalıştığında, İsrail kuvvetleri "Opera
Operasyonu" sırasında bir araştırma sahasına on altı adet 2.000 poundluk
bomba attı ve burayı yerle bir etti ve on bir asker ve sivili öldürdü.
Ancak
bu saldırıların etiğini değerlendirirken ayrımcılık da önemlidir. Görünen o ki
Stuxnet inanılmaz derecede ayrım gözetmiyormuş gibi görünüyordu. Önceki kötü
amaçlı yazılımlarla karşılaştırıldığında karışıklığı sınırlı olsa da, bu hala
ortalıkta dolaşan bir solucandı. Sadece İran'daki hedeflere değil, dünya
çapında İran veya nükleer araştırmalarla hiçbir ilgisi olmayan binlerce
bilgisayara da bulaştı. Pek çok avukat, siber silahların bu yönünü, "asıl
hedefin ötesine geçerek ve kasıtlı olarak sivil personeli ve altyapıyı hedef
alarak, uluslararası çatışma yasalarının geçerli kurallarını" ihlal
etmenin bir kanıtı olarak görüyor.
Stuxnet'in
eski düşünce tarzına göre sağduyudan yoksun olmasına rağmen, tasarımı,
amaçlanan hedefin ötesindeki herhangi bir kişiye ve herhangi bir şeye zarar
verilmesini engelliyordu. Bu tür bir ayrımcılık daha önce silahlarda mümkün
olmayan bir şeydi. ABD Deniz Harp Okulu'nda felsefeci olan George Lucas,
Stuxnet'in etiğine ilişkin bir değerlendirmesinde şöyle yazmıştı: "Tam
olarak 984 Siemens santrifüjünden oluşan geniş bir diziyi aynı anda
çalıştırmıyorsanız, bu solucandan korkacak hiçbir şeyiniz yok."
Aslında
Stuxnet'in ve siber silahların etiğini değerlendirmek, daha genel olarak
hikayenin hangi kısmını en çok önemsediğinize göre değişir. Bu yeni tür silahın
önleyici bir saldırıya izin verdiği ve bunu yaparken İran ya da nükleer
araştırmalarla hiçbir ilgisi olmayan binlerce insana ve bilgisayara dokunduğu
gerçeğine mi odaklanıyorsunuz? Yoksa siber saldırının önceki benzer
saldırılardan çok daha az hasara neden olduğu ve silahın o kadar ayırt edici
olduğu ve aslında terime yeni bir anlam kazandırdığı gerçeğine mi
odaklanıyorsunuz? Yarısı dolu, yarısı boş bir siber silah mısınız?
Ancak
tarih Stuxnet'in nihai kararını verebilir. Ralph Langner'ın belirttiği gibi,
keşfettiği büyüleyici yeni silah, “'adil savaş' yaklaşımının ders kitaplarında
yer alan bir örneği olarak düşünülebilir. Kimseyi öldürmedi. Bu iyi birşey.
Ancak korkarım ki bu sadece kısa vadeli bir bakış açısı. Uzun vadede
Pandora'nın kutusu açıldı."
“Siber savaş, Ugh, Sıfırlar ve Birler Nelerdir?
Ne
İçin İyi?”: Siber Savaşla Mücadele
“Kongrede
toplanan Amerika Birleşik Devletleri Senatosu ve Temsilciler Meclisi tarafından
karara bağlanması halinde, Amerika Birleşik Devletleri ile Bulgaristan Hükümeti
arasındaki ve böylece Amerika Birleşik Devletleri'nin üzerine atılan savaş
durumu işbu belgeyle- mally ilan etti.'
Bu 5
Haziran 1942 tarihli metin, Amerika Birleşik Devletleri'nin fiilen en son savaş
ilan ettiği zamanı anlatıyor. Bildiri, Pearl Harbor sonrası Nazi Almanyası,
Japonya ve İtalya'ya karşı savaşa gitmek için yapılan ilk oylamanın ardından
kendini dışlanmış hisseden küçük Mihver güçlerini kapsıyordu. O zamandan beri
Amerika, Kore ve Irak'a asker gönderdi ve Yugoslavya, Kamboçya ve Pakistan gibi
yerlere hava saldırıları düzenledi, ancak ABD başka bir devlete resmi olarak
savaş ilan etmedi. Ancak başka birçok şey için de savaş ilan edildi: Başkan
Johnson'ın 1964'teki “Yoksulluğun Kaynaklarına Karşı Ülke Çapında Savaşı”;
Nixon'un 1969'daki “Uyuşturucuya Karşı Savaşı”; ve son zamanlarda bazı
muhafazakar liderlerin iddia ettiği şey gizli bir "Noel Savaşı"dır.
Siber
savaşı tanımlamanın bu kadar karmaşık olmasına gerek yok. Siberuzaydaki savaşın
temel unsurlarının hepsinin, diğer alanlardaki savaşlarla (sembolik
“cinsiyetler arası savaş” türü değil, gerçek tür) paralellikleri ve bağlantıları
vardır. İster karada, ister denizde, ister havada, ister siberuzayda olsun,
savaşın her zaman siyasi bir hedefi ve tarzı vardır (ki bu onu suçtan ayırır)
ve her zaman bir şiddet unsuru içerir. Şu anda ABD hükümetinin tutumu, güç
kullanımına ilişkin bu tanımın karşılanması için bir siber saldırının
"yaklaşık olarak ölüm, yaralanma veya ciddi yıkımla sonuçlanması"
gerektiği yönündedir. Yani siber yollarla yapılsa bile, etkinin fiziksel zarar
veya yıkım olması gerekir. Bir paralellik sağlamak gerekirse, bomba atan bir
uçak hava savaşına giriyor; broşür bırakan bir uçak, pek değil.
Ancak
siber savaşın ne zaman başladığını veya bittiğini bilmek, onu tanımlamaktan
daha zor olabilir. Çoğu savaş aslında İkinci Dünya Savaşı'ndaki gibi net bir
başlangıca ve müzakere edilmiş sona sahip değildir. Bunun yerine başlangıçları
ve bitişleri bulanıklaşıyor. Örneğin, Amerika Birleşik Devletleri 1950'de Kuzey
Kore'ye resmi olarak savaş ilan etmemiş olabilir, ancak 5,3 milyon kişinin
öldüğü bir çatışmanın, Başkan Truman'ın o zamanlar söylediği gibi, sadece bir
"polis eylemi" olduğunu iddia etmek zor. Tarih kitaplarının
kaydettiği gibi Kore Savaşı resmi olarak hiçbir zaman bir barış anlaşmasıyla
sona ermemiş olsa da asıl çatışmalar 1953'te sona erdi.
Siber savaşın sınırları da bir o kadar belirsiz olabilir. ABD
Ulusal İstihbarat Direktörü'nün eski karşı istihbarat şefi Joel Brenner,
"ABD'de biz, savaşı ve barışı, ister tam ölçekli savaşta ister barışın
tadını çıkarırken, bir açma-kapama düğmesi olarak düşünme eğilimindeyiz"
diyor. “Gerçek farklıdır. Artık nadiren savaş açmaya fırsat bulan uluslar
arasında sürekli bir çatışma halindeyiz. Alışmamız gereken şey şu ki, böyle ülkeler bile
Kesinlikle
savaşta olmadığımız Çin, bizimle yoğun bir siber çatışma içinde.”
,
sürekli çatışmanın aslında doğrudan, açık şiddete yol açmadığı Soğuk Savaş gibi
daha resmi olmayan çatışma kavramlarıyla daha fazla ortak noktaya sahip olduğu
nokta olabilir . Aslında, Dış Politika dergisinin editörü David
Rothkopf, yalnızca saldırıların uzak doğasından dolayı değil, aynı zamanda
"süresiz, kalıcı olarak gerçekleştirilebilmesi" nedeniyle "soğuk
savaş" çağına giriyor olabileceğimizi savundu. hatta - silahlı bir savaşı
tetiklemeden. En azından teori bu."
Başka Adından Bir Savaş mı? Siber Çatışmanın
Hukuki Tarafı
"Taraflar,
Avrupa veya Kuzey Amerika'da içlerinden birine veya daha fazlasına yönelik
silahlı bir saldırının hepsine karşı yapılmış bir saldırı sayılacağı konusunda
anlaşmışlardır."
Bu
cümle, 1949'da Kuzey Atlantik Antlaşması Örgütü'nü (NATO) kuran Washington
Antlaşması'nın 5. Maddesini açıyor. Uluslararası politikada şimdiye kadar
yazılmış en önemli pasajlardan biridir. Bu basit sözler tarihteki en başarılı
ittifakı yaratan “toplu savunma” kavramının ana hatlarını çiziyordu . Riski ve
tepkiyi paylaşmaya yönelik bu "Hepimiz birimiz, birimiz hepimiz için"
yaklaşımı, ABD ve müttefiklerinin bir arada durmalarına olanak tanıdı ve onları
Soğuk Savaş'ın başlangıcından Berlin Duvarı'nın yıkılışına ve kolektif
tepkileri de dahil olmak üzere ötesine taşıdı. Amerika Birleşik Devletleri'ne
yapılan 11 Eylül saldırılarına ve ardından yarım dünya uzakta Afganistan'a
konuşlandırılmaya kadar.
Ancak
Nisan 2007'de NATO ve kolektif savunma idealleri yirmi birinci yüzyıl sınavıyla
karşı karşıya kaldı. İttifakın yeni üyesi Estonya, Avrupa'nın en bağlantılı
ülkelerinden biriydi. Vatandaşların çoğunluğu bankacılık işlemlerinden oy
kullanmaya kadar her şeyi çevrimiçi olarak gerçekleştirdi. Aniden Estonya
bankaları, medya web sayfaları ve hükümet web siteleri büyük ölçekli bir hizmet
reddi saldırısına maruz kaldı. Saldırı, daha önce okuduğumuz gibi, yetmiş beş
ülkede bir milyondan fazla bilgisayarı ele geçiren bir dizi botnet'ten
kaynaklansa da, Estonya, siyasi bir anlaşmazlığa bulaştığı komşusu Rusya'yı
hızla işaret etti. İkinci Dünya Savaşı'ndaki Rus askerlerini onurlandıran bir
heykelin hareketi. Estonya dışişleri bakanı, büyük siber saldırının kendisinin
ve dolayısıyla bir bütün olarak ittifakın güvenliğini tehdit ettiğine inanarak
yardım çağrısında bulundu. Washington Antlaşması uyarınca NATO'nun bu yeni
"siber savaş" başlangıcına karşı savunma yapmak zorunda olduğunu
savundu.
Ancak NATO'nun diğer üyeleri saldırılardan endişe duysa da 5.
Maddenin uygulanmadığını düşünüyordu. Estonya siber uzayda zorbalığa maruz
kalıyordu ama kimse ölmedi ya da yaralanmadı ve hiçbir mülk aslında yok
edilmedi ya da hasar görmedi. Bu, en azından NATO'nun anladığı anlamda bir savaşın
başlangıcına benzemiyordu ve ittifakın Rusya ile gerçek bir savaşı riske
atmasına kesinlikle değmezdi. Bunun yerine NATO'nun savunma bakanları siber
saldırıları kınayan ortak bir bildiri yayınlamak için birkaç hafta beklediler
ve Estonya'nın ağlarındaki engelleri kaldırmasına yardım etmek üzere teknik
uzmanlar gönderdiler. Eğlenceli bir şekilde, NATO'nun siyasi liderleri siber
saldırıların bir savaş eylemi olmadığına karar verirken, NATO'nun Kamu
Diplomasisi Departmanı daha sonra bu bölüm hakkında Siber Uzayda Savaş
başlıklı bir kısa film hazırladı.
Estonya
örneği öğreticidir çünkü eski yasalarla yeni teknolojiler arasında, özellikle
de siber alanda bir savaş eyleminin ne olduğu sorusu söz konusu olduğunda
meydana gelen gidiş gelişleri göstermektedir. Günümüzün savaş yasaları ve
devlet yönetimi hakkındaki düşüncelerinin çoğu, İkinci Dünya Savaşı sonrası
1945 BM Şartı ve 1949 Cenevre Sözleşmelerine dayanmaktadır. Buradaki zorluk,
bilgisayarların delikli kartlar kullandığı dönemde geliştirilen kavramların
siber alanda o kadar da açık bir şekilde geçerli olmamasıdır.
Örneğin
uluslararası hukukta savaşa girmeyi meşrulaştıracak bir “saldırı”, BM Şartı'nda
“bir devletin toprak bütünlüğüne karşı güç kullanımı” olarak tanımlanıyor.
Sorun şu ki, bu, yalnızca sınırları açıkça çizilmiş fiziksel bir dünyayı
varsayıyor. Bu, 1945'te tamamen kabul edilebilirdi, ancak çağdaş dünyada değil;
siber saldırılar fiziksel güç kullanmaz, coğrafi bir alanda gerçekleşmez veya
yalnızca devletler.
Ancak
eski yasaların uygulanmasının giderek zorlaşması, siber dünyanın Vahşi Batı
olduğu anlamına gelmiyor. Eski kodları güncellemek veya yenilerini oluşturmak
için yeni çabalar var. Örneğin, Estonya olayıyla ilgili kafa karışıklığının
ardından, NATO İşbirliğine Dayalı Siber Savunma Mükemmeliyet Merkezi,
“Uluslararası Hukuka İlişkin Tallinn El Kitabı” başlıklı bir belgede, bilinen
savaş yasalarının siber uzaya nasıl uygulandığını resmi olarak incelemek üzere
yirmi hukuk profesörünü görevlendirdi. Siber Savaşa Uygulanabilir."
Kılavuz, siber dünyada meşru müdafaanın ne anlama gelebileceğinden, siber
savaşta savaşan herhangi bir sivilin bir sivil olarak yasal korumaları
kaybedeceği şeklindeki tartışmalı (ama mantıklı) argümana kadar her şeye dair
fikirlerini ortaya koyuyordu. önemli bir çabadır, yasal bir dayanağı yoktur ve
açıkçası Rusya gibi NATO dışındaki bazı ülkeler de kılavuzun bulguları
konusunda pek de hevesli değildi.Dahası, ABD gibi bazı NATO üyeleri kılavuzu
benimseme konusunda hızlı davranmadılar. sponsor olmuşlardı.
Gerçek
şu ki, "çeşitli hükümetler arasındaki farklı öncelikler göz önüne
alındığında, siber uzaya ilişkin kuralların resmileştirilmesi süreci muhtemelen
onlarca yıl sürecektir", diye bildiriyor Dış Politika dergisi. Bu,
arada büyük bir boşluk bırakacak gibi görünüyor. Ta ki eski anlaşmalar
güncellenene kadar Veya siber dünyaya yenileri kabul ediliyorsa, üçüncü bir
seçenek daha var: Mevcut yasaların temel ilkelerini ve değerlerini siber uzaya
uygulamak.ABD Hava Kuvvetleri tümgeneralliğinden emekli olan ve şu anda Duke
Üniversitesi Hukuk Fakültesi'nde ders veren askeri avukat Charles Dunlap , şunu
belirtiyor: "Bir siber saldırı, temelde diğer saldırı türleriyle aynı
kurallara tabidir."
Bir
siber saldırının savaşı yasal olarak meşrulaştıracak türde bir “güç kullanımı”
oluşturduğunu belirlemenin birincil yolu, etkilerini tartmaktır. Siber yollarla
gerçekleşmiş olmasına rağmen, eylem gerçek dünyaya ne yaptı? Neden olunan veya
amaçlanan hasarın miktarına bakın ve paralellikler kurun.
Etkiye
odaklanmak önemlidir çünkü tüm saldırıların geleneksel silahlı şiddeti içermesi
gerekmediğini kabul eder. Gerçekten de, uluslararası hukukta, bir nehrin yönünü
kasıtlı olarak değiştirerek komşu bir devleti sular altında bırakan veya sınırı
çılgınca yakacak şekilde yangın çıkaran bir düşman, uluslararası hukukta yine
de silah kullanmaya eşdeğer bir silahlı saldırı eylemi gerçekleştirmiş
olacaktır. aynı etki.
Aynı
mantık tersten de geçerlidir. Birisi sokakta posterlerinizi tahrif ederse siz
savaşa girmezsiniz, aynı şekilde bir düşman web sitelerini tahrif ederse
hükümet de yapmamalıdır. Karşılaştırıldığında, eylem ölüme ve yıkıma neden
olduğunda tartışma savaş alanına taşınıyor. Elektrik santraliniz binlerce
kişinin ölümüne yol açan ateşli bir patlamayla patlarsa, bunun nedeninin gerçek
bir bomba mı, yoksa mantık bombası mı olduğu önemli bir ayırt edici faktör
değildir.
Asıl
zorluk ortadaki gri alandır; hizmet reddi saldırısı gibi yıkım ve kesinti
arasında kalan olaylardır. Estonya, saldırı altındayken NATO'nun egemenliğinin
ihlal edildiğini ilan etmesini istedi, bu da NATO anlaşmasının kolektif meşru
müdafaa maddesini tetikleyecekti. Sanal dünyada belki öyleydi ama fiziksel
dünyada öyle değildi. Burada da, görünüşte yeni olan bu saldırı biçimlerinin
bile bize yol gösterecek paralellikleri var. BM Şartını yazan iqqos dönemi
devlet adamları, siber uzayı hayal etmemiş olsalar da, "posta, telgraf,
radyo ve diğer iletişim araçlarının" kesintiye uğraması gibi şeyleri hayal
etmişti. Bu tür kesintiler kesinlikle hoş karşılanmadı, ancak bunlar savaş
teşkil etmiyordu. Pentagon'un Savunma İleri Araştırma Projeleri Ajansı'nın
(DARPA) eski baş bilim insanı Profesör James Hendler, Estonya örneğinde
saldırıların "askeri bir saldırıdan çok siber ayaklanmaya
benzediğini" söylüyor. Yıkıcıydı ama savaş değildi.
Estonya'nın
mahallesindeki bir başka örnek de buna örnek teşkil ediyor. 2008 yılında
Gürcistan ülkesi de büyük komşusuyla anlaşmazlığa düştü. Tıpkı Estonya'da
olduğu gibi Gürcü web siteleri de, daha önce de gördüğümüz gibi, Rus kaynaklar
tarafından koordine edildiği düşünülen hizmet reddi saldırılarına maruz kaldı.
Saldırılar, web sitelerinin faaliyetlerini birkaç gün boyunca sekteye uğrattı
ve Gürcistan hükümetinin halkıyla ve dış dünyayla iletişim kurma yeteneğini
sınırladı. Aynı zamanda, birkaç Rus tank tugayı Gürcistan'a geçti ve Rus
bombardıman uçakları ve füzeleri ülkeyi vurarak 1.300'den fazla can kaybına
neden oldu. Etkideki fark çok belirgindi. Siber saldırılar tek başına savaş
değildi ancak bir savaşın yaşandığı açıkça görülüyordu.
Akılda
tutulması gereken tek şey saldırının ciddiyeti değildir. Sonuçta gerçek savaşla
aynı ölüme ve yıkıma neden olan bir olaylar zincirini tetikleyebilecek her
türlü eylem vardır. Genç bir çocuk bir muzu düşürüyor ve üzerine bir diplomat
kayıyor. Diplomat barış görüşmeleri yerine hastaneye gidiyor. Sonuç olarak
barış görüşmeleri başarısız olur ve savaş çıkar. Çocuğun eyleminin savaşa nasıl
yol açtığını kavramsallaştırabiliriz, ancak muzu düşürmesi bir savaş eylemi
miydi? Tabii ki değil; İşgal, savaşın gerçekte nasıl başladığına karar verirken
önemli olan eylemdi. Sebep ile sonuç aynı şey değildir.
Bu,
bir siber saldırının ne zaman savaş eylemine dönüşeceğini belirleyen ikinci
temel belirleyiciye işaret ediyor: doğrudanlık ve ölçülebilirlik. Sebep ve
sonuç arasında oldukça doğrudan ve amaçlanan bir bağlantı olmalıdır. Bu faktör
genellikle casusluk eylemlerini savaş eylemlerinden ayırmak için uygulanır.
Devlet sırlarının çalınması, örneğin bir uçağın nasıl çalıştığını veya gizli
bir üssün yerini düşmana ifşa ederek bir gün askerlerin hayatlarını
kaybetmelerine yol açabilir. Ancak bu hırsızlığın böyle bir etki yaratması
ancak savaş başladığında mümkün olabilir. Bu dolaylılık, ulusların geleneksel
olarak ister fiziksel ister giderek sanal hale gelen casusluk eylemleri
nedeniyle savaşa girmemelerinin nedenidir. Elbette hiç kimse casusluğun kurbanı
olmayı sevmez. Ancak casusluk, gerçek savaşları başlatan uluslararası
kuralların topyekün çiğnenmesi yerine, ulusların oynadığı zorlu devlet idaresi
oyununun bir parçası olarak görülüyor.
Ancak
bu tartışmaların önemli bir kısmı sıklıkla unutuluyor. Davranışlarımızın
kılavuzunun hukuk olduğunu düşünmek istesek de, bir siber saldırının ne zaman
savaşa dönüşeceğini net bir şekilde tanımlamak sadece bir hukuk meselesi ya da
sadece avukatların karar vereceği bir konu değil. Büyük savaş filozofu Carl von
Clausewitz'in yazdığı gibi, "Savaş bağımsız bir olgu değil, politikanın
farklı araçlarla devamıdır." Savaş politiktir. Politik olması nedeniyle de
her zaman etkileşimlidir. Yani, savaşın her birinin kendi hedefleri, eylemleri
ve tepkileri olan, her biri diğerini kendi iradesine boyun eğdirmeye çalışan
tarafları vardır.
Savaşın
temelde politik doğası, bir siber saldırının savaş alanına ulaştığı zamana
ilişkin tüm bu soruların, Clausewitz'in meşhur "savaş sisi"nin
dijital versiyonu olarak göreceği şekilde, zorlu siyasi kararlar almaya
indirgeneceği anlamına geliyor. Her zaman savaşa eşlik eden, hızlı ilerleyen,
belirsiz koşullar. Sonuçta siber savaş, gerçek dünyada bizim inandığımız
şeydir. Stratejik ve Uluslararası Çalışmalar Merkezi'nden kıdemli araştırmacı
Jim Lewis şöyle açıklıyor: "Günün sonunda, bunun savaş mı yoksa başka bir
şey mi olduğuna karar verecek olan kişi Başkan'dır." “Standart
belirsizdir. Bir şeyin savaş eylemi olduğuna karar vermek otomatik değildir. Bu
her zaman bir yargıdır.”
Bir “Siber Savaş” Gerçekte Neye benzeyebilir?
Siber
güvenlik dünyasındaki pek çok hikaye gibi Orchard Operasyonu da basit bir insan
dikkatsizliğiyle başladı. 2006 yılında Suriye hükümetinden üst düzey bir
yetkili Londra'yı ziyaret ederken dizüstü bilgisayarını otel odasında
bırakmıştı. Dışarı çıktığında, İsrail istihbarat teşkilatı Mossad'ın ajanları
gizlice odasına girdi ve iletişimini izlemelerine olanak sağlamak için dizüstü
bilgisayarına bir Truva atı yerleştirdi. Bu Suriyeliler için yeterince kötüydü.
Ancak bir adamın zayıf bilgisayar güvenliğinin, İsrailliler,
resimler de dahil olmak üzere, memurun dizüstü bilgisayarın sabit diskinde
sakladığı dosyaları incelemeye başlamasıyla daha önemli sonuçlara yol açtığı
ortaya çıktı. Özellikle bir fotoğraf İsraillilerin dikkatini çekti. Fotoğrafta,
Suriye çölünün ortasında bir Arap adamın yanında duran mavi eşofmanlı Asyalı
bir adam görülüyordu. Zararsız olabilirdi ama Mossad iki adamın adını Kuzey
Kore nükleer programının lideri Chon Chibu ve Suriye Atom Enerjisi Komisyonu
direktörü İbrahim Othman olarak belirledi. İnşaat planları ve bölünebilir
malzeme üzerinde çalışmak için kullanılan bir boru tipinin fotoğrafları gibi
sabit diskten alınan diğer belgelerle birlikte İsrailliler, dizüstü
bilgisayarın atomik bir alarm zili olduğunu fark etti. Suriyeliler, Kuzey Kore'nin
yardımıyla (Uluslararası Atom Enerjisi Ajansı'nın araştırması daha sonra
İsrail'in şüphelerini doğrulayacaktı), nükleer bomba yapımında önemli bir adım
olan plütonyumu işlemek için El Kibar'da gizlice bir tesis inşa ediyorlardı.
Bu
haber, siber hikayenin bir sonraki önemli kısmı olan Orchard Operasyonu'na yol
açtı. 6 Eylül 2007 gece yarısından hemen sonra yedi İsrail F-15I savaş uçağı
Suriye hava sahasına girdi. Suriye'nin içlerine doğru uçtular ve birkaç bomba
atarak fotoğraflarda gösterilen Kibar kompleksini yerle bir ettiler. Uçakların
Suriye hava sahasında olduğu süre boyunca hava savunma ağı tek atış yapmadı.
Bildirildiğine
göre Suriye savunması jetleri tespit bile etmedi, yani bombalar patlamaya
başlayıncaya kadar saldırı altında olduklarının farkında bile değillerdi. Ancak
o gece Suriyeli radar görevlilerinin hepsi hain olmadı. Daha doğrusu onların
teknolojisi vardı. Başlangıçta Truva atının Suriyeli yetkililerin dizüstü
bilgisayarına yerleştirilmesi, siber yollarla gizli bilgilerin bulunmasıyla
ilgili olsaydı, bu onun kuzeniydi; askeri sonuçları olan bir siber operasyondu.
İsrailliler, Suriye ordusunun bilgisayar ağlarına başarıyla sızarak
Suriyelilerin ne yaptığını görmelerine ve kendi veri akışlarını hava savunma
ağına yönlendirmelerine olanak sağladı. Bu, Suriyeli radar operatörlerinin,
İsrail jetleri sınırı geçerken gerçekte ne olduğuna dair yanlış bir görüntü
görmelerine neden oldu. İsrailliler, gece boyunca Suriye hava savunmasını etkin
bir şekilde devre dışı bırakarak hem hedeflerine kayıpsız ulaşmakla kalmadı,
hem de çok daha küçük bir kuvvetle bunu başardı.
Orchard,
askeri siber saldırı operasyonları olarak adlandırılan "bilgisayar ağı
operasyonları"nın ardındaki kavramların harika bir örneğidir. Bu tür
operasyonların yükselişiyle ilgili pek çok şey gizlilik içinde gizlense de, bu
alanda bilinen ilk ABD askeri tatbikatlarından biri "Uygun"
tatbikatlardı. Alıcı", 1997'de bilgisayar ağı operasyonları üzerine bir
testti. Birçok yönden ABD Donanması'nın uçak gemileriyle ilk deney yaptığı 1920'lerin
Filo Sorunlarına veya ABD Ordusu'nun mekanizmaları değerlendirdiği 1940'taki
Louisiana Manevralarına benziyordu. ananize tank kuvvetleri. Bilgisayar
uzmanlarından oluşan küçük bir "kırmızı ekip", ABD Pasifik
Komutanlığı'nın karargâhındaki bilgisayarlara ve ayrıca dokuz ABD kentindeki
911 acil durum telefon sistemlerine erişim sağladıktan sonra, Pentagon, tıpkı
uçak veya gemilerde olduğu gibi, buna karar verdi. Tank için bilgisayarların
askeri operasyonlarda rol oynamasının zamanı gelmişti.Aslında, ertesi yıl
hackerlar "Solar Sunrise" olarak bilinen bir olayda beş yüzden fazla
Pentagon bilgisayarını ele geçirdiğinde, karşı çıkanlar susturuldu.
Bugün
dünya ordularının büyük çoğunluğunun siber savaşa yönelik bir tür planlaması
veya organizasyonu var. Bu planlar “Beş D artı Bir” olarak düşünülebilir. ABD
Hava Kuvvetleri siber savaşı, "yok etme, inkar etme, aşağılama, bozma ve
aldatma" yeteneği olarak tanımlarken aynı zamanda düşmanın siber uzayı
aynı amaçla kullanmasına karşı "savunma" yeteneği olarak tanımlamaktadır.
Bu
tür askeri programlar, İsrail'in Orchard Operasyonu gibi odaklanmış sızıntılar
ve baskınlardan, ABD ordusunun "savaş planlayıcılarının aceleyle çevrimiçi
saldırılar toplayıp başlatmasına ve siber saldırıları daha etkili hale
getirmesine yardımcı olmak" için tasarlanmış 110 milyon dolarlık bir
program olan "Plan X" gibi daha geniş çabalara kadar uzanıyor. ABD
askeri operasyonlarının rutin bir parçası.” Ancak dünya genelinde New York
Times'ın "yeni bir savaş türü" olarak adlandırdığı şeyin aslında
her zaman yürütüldüğü şekliyle savaşla pek çok ortak noktası var. Askeri silah
olarak kullanılan bilgisayar sadece bir araçtır. Tıpkı mızrak, uçak veya tankta
olduğu gibi, herhangi bir askeri operasyonun parçası olan hedeflere ulaşmaya
yardımcı olur.
Akıllı
bir komutan, savaş başlamadan önce "savaş alanının istihbarat
hazırlığı" olarak bilinen faaliyetle meşgul olur. Müttefiklerin Mihver
radyo kodlarını kırmaya yönelik çabaları II. Dünya Savaşı'nda zafer için hayati
önem taşıdığı kadar, ele geçirilen dijital iletişimler bugün de aynı derecede
kritik olabilir. İsraillilerin Orchard'da yaptığı gibi, siber savaşın bu kısmı,
kişinin dijital silahlarını savaş başlamadan önce konuşlandırması, ağlara
sızması, bilgi toplaması ve hatta potansiyel olarak daha agresif eylemler için
zemin hazırlamasıyla ilgilidir. Örneğin, Çinli askeri bilgisayar korsanları
tarafından hedef alındığından şüphelenilen ABD askeri bilgisayarlarındaki bazı
bilgiler arasında birim konuşlandırma programları, ikmal oranları, malzeme hareket
programları, hazırlık değerlendirmeleri, denizde önceden konumlandırma
planları, havadan yakıt ikmali için hava görevleri ve " Batı Pasifik
bölgesindeki Amerikan üslerinin lojistik durumu. Bu tür veriler eğer savaş
çıkarsa faydalı olabilir. Ve 2013 Snowden sızıntılarının gösterdiği gibi, ABD
siber savaşçıları Çin ve diğer yerlerdeki potansiyel düşmanları hakkında aynı
bilgileri topluyor.
Ancak
mevcut siber çabalarla geçmiş istihbarat toplama programları arasındaki fark,
bilgisayar ağı operasyonlarının, ateş başladıktan sonra düşmanın iletişiminde
saldırgan eylemlere de izin vermesidir. Düşmanın radyo sinyallerini okumakla
radyonun kontrolünü ele geçirebilmek arasındaki fark budur.
Modern
ordu, bazılarının "ağ merkezli" olarak adlandırdığı bir ordudur ve uzak
mesafeleri dijital hızda koordine etmek için bir "sistemler sistemi"
içinde birbirine bağlı bilgisayarları kullanır. Ancak bu avantajlar güvenlik
açıkları yaratabilir. Bir düşmanın ağ bağlantılı iletişimini tehlikeye
atabilirseniz, ne yaptığını bilmekten (ki bu yeterince avantajdır) potansiyel
olarak yaptıklarını değiştirmeye geçersiniz.
Düşmanın
iletişim ağlarında komuta ve kontrolü bozabilir, hatta devre dışı bırakabilir,
komutanların emir göndermesini, birimlerin birbirleriyle konuşmasını ve hatta bireysel
silah sistemlerinin gerekli bilgileri paylaşmasını engelleyebilirsiniz. Bir
örnekte, uçak gemilerinden bireysel füzelere kadar yüzden fazla Amerikan
savunma sistemi, operasyonlar sırasında kendilerini konumlandırmak için Küresel
Konumlandırma Sistemine (GPS) güveniyor. 2010 yılında, kazara meydana gelen bir
yazılım hatası, ABD Donanması'nın X-47 prototip robot savaş uçağı da dahil
olmak üzere, ordunun 10.000 GPS alıcısını iki haftadan fazla bir süre boyunca
çevrimdışı duruma düşürdü. Siber savaş aslında bu tür yazılım aksaklıklarının
kasıtlı olmasına neden olacaktır.
Alternatif
olarak, saldırı bu iletişimleri devre dışı bırakmaya veya engellemeye
çalışmayabilir, bunun yerine bunların içindeki bilgilere saldırabilir ve kendi
cihazları aracılığıyla düşmana yanlış raporlar besleyebilir. “Bilgi savaşı”,
ordunun geleneksel olarak düşmanın zihnine girmeye çalışan ve karar alma
sürecini etkilemeye çalışan operasyonları nasıl tanımladığıdır. Şimdi amaç,
modern bilgi teknolojilerini aynı amaçlarla kullanmaktır. Hedefler, üst düzey
liderlerin yanlış emirleri veya İsraillilerin Orchard'da yaptıklarına benzer
şekilde bireysel silah sistemlerini ve sensörlerini tehlikeye atan daha
taktiksel eklemelere kadar son derece stratejik olabilir.
Bu
tür saldırıların en ilginç potansiyel etkilerinden biri, saldırı altındaki ağ
kullanıcılarının zihinleri üzerindeki etkinin başarıyı nasıl artırabileceğidir.
Bilgisayardan gelen herhangi bir bilgiye şüphe tohumları ekebilmek için
saldırıların yalnızca nispeten küçük bir yüzdesinin başarılı olması gerekir.
Kullanıcıların şüphesi, siparişlerinden talimatlara kadar her şeyi
sorgulamalarına ve tekrar kontrol etmelerine yol açacaktır. Bu, Bölüm I'de çok
önemli olan güven kavramını bir kez daha göstermektedir. Etki, başlangıçtaki
kesintinin ötesine bile geçebilir. Modern askeri birimlerin birlikte etkili bir
şekilde çalışabilmesi için ihtiyaç duyduğu ağlara duyulan güveni sarsabilir;
hatta bazı orduların önemli herhangi bir şey için ağ bağlantılı bilgisayarları
terk etmesine ve kapasitelerinin onlarca yıl geriye gitmesine bile yol
açabilir.
Bu
tür teknolojik yoksunluk, özellikle bilgisayarların modern savaşta bu kadar
yararlı olduğu kanıtlandığında, kulağa aşırı geliyor. Ancak işinizi kaybetme
riskiyle karşı karşıya kalarak kesinlikle hiçbir hata yapmadan patronunuza
iletmeniz gereken bir notunuz olduğunu hayal edin. Yolda bir şekilde kaybolma
veya değiştirilme riski yüzde 50 olsaydı e-postayla gönderir miydiniz? Yoksa
elden mi teslim edeceksiniz? Peki ya risk yüzde 10 olsaydı? Sadece yüzde 1'e ne
dersiniz ama yine de işinizi kaybetme riskiyle karşı karşıya mısınız? Daha
sonra, işinizden ziyade savaştaki hayatınız söz konusu olduğunda aynı risk
toleranslarını uygulayın. Risk sayılarınız nasıl değişiyor?
Ancak
bilgisayar ağı operasyonları sadece dolaylı etkilerle komuta ve kontrolü
hedeflemekle sınırlı kalmayacak. Savaşlarda giderek daha fazla insansız sistem
kullanılmaya başlandıkça (ABD ordusunda ünlü Predator ve Reaper gibi 8.000'den
fazla “drone” bulunurken, seksenden fazla ülkede artık askeri robotik
programları var), komuta ve kontrol ağlarını hedef alma daha da açılıyor. daha
doğrudan saldırı yolları. Bu robotik silah sistemlerinin tümü bilgisayar
ağlarına bağlanarak GPS konumundan uzaktan kontrol edilen operasyonlara kadar
her şeyi sağlıyor. Burada da, dronların binlerce kilometre uzaktaki hedefleri
hassas bir şekilde vurmasına olanak tanıyan aynı ağ bağlantısı açılıyor. yeni
aksama ve hatta ortak seçim olasılıkları... Girdiğimiz şey, "ikna
savaşları" çağıdır.
Bir
merminin uçuşunu asla seçemez, onu nişancının vurduğu yerden uzağa
yönlendiremezdi. Kimsenin bir bombardıman pilotunun beynini havada yıkayıp ona
olan bağlılığını değiştirebildiği de kanıtlanamadı. Ancak robotik silah
sistemlerindeki bilgisayarlar ele geçirilirse, sahiplerinin niyetinin tam
tersini yapmaya "ikna edilebilirler". Bu, amacın yalnızca düşmanın
tanklarını imha etmek olmadığı yepyeni bir savaş türü yaratır. ama bilgisayar
ağlarına sızmak ve tanklarının daireler çizerek dolaşmasını ve hatta
birbirlerine saldırmasını sağlamak.
Ve
elbette siber savaşta, diğer silahların düşman kuvvetleri arasında yıkıma ve
can kaybına yol açmak için kullanıldığı gibi bilgisayarların da kullanılması
söz konusu olabilir. Geleneksel kinetik saldırıların (bıçak, kurşun, patlama)
aksine, bunlar dolaylı yollarla daha fazla yıkıma yol açacaktır. Gemi motorları
gibi birçok askeri sistem SCADA programları kapsamında çalışıyor; bu da Stuxnet
virüsünün İran'daki santrifüjlerin kontrolden çıkmasına neden olduğu gibi bu
sistemlerin de hedef alınabileceği anlamına geliyor. Örneğin 2009 yılında
Sibirya'daki Shushenskaya barajında bir çalışan, birkaç hatalı tuş vuruşuyla
kazara kullanılmayan bir türbini çalıştırdı ve bu durum, tesisi yok eden ve
yetmiş beş kişinin ölümüne yol açan devasa bir "su çekici"nin serbest
kalmasına yol açtı. İkinci Dünya Savaşı ve Kore'deki müttefik uçaklarının
barajlara bomba attığını, ardından gelen dalgayı selin yolundaki düşman
hedeflerini yok etmek için nasıl kullandıklarını anlatan bilgisayar yazılımı
versiyonu.
Ancak
geleneksel savaşta olduğu gibi, açıklaması kolay gibi görünen şeyin uygulanması
zor olabilir. Bunun nedeni yalnızca hedef sistemlerin ve bunları kullanmak için
gereken operasyonların karmaşıklığı değil, aynı zamanda siber uzayda bile her
savaşın en az iki tarafının olmasıdır. Bir düşmana saldırmayı ve onu yenmeyi
amaçlayan her potansiyel operasyon, rakibin düşmanı dışarıda tutma çabaları
veya saldırganın bunu gerçekleştirme konusunda iki kez düşünmesini sağlayacak
eşdeğer bir saldırı tehdidiyle karşılanacaktır.
Bu
zorluklar, geleneksel savaş tarzlarında uzun süredir olduğu gibi, düşmanları
"yumuşak katran"ın peşine düşmeye itiyor. Teorik olarak, savaş
yalnızca savaşçılar arasındaki bir mücadeledir. Gerçekte, son savaştaki
kayıpların yüzde 90'ından fazlası Onlarca yıldır siviller savaşıyor, ne yazık
ki aynı dinamiği siber savaşta da bekleyebiliriz.
Bilgisayar
ağı operasyonlarında daha geleneksel sivil hedefleme türü, askeri girişimi
doğrudan veya dolaylı olarak desteklediği düşünülen sivil ağlara ve
operatörlere saldıracaktır. Bunlar, modern ordulara tedarik ve lojistik
desteğin çoğunu sağlayan sivil yüklenicilerden (Afganistan ve Irak gibi
yerlerdeki Amerikan kuvvetlerinin yaklaşık yarısı aslında özel yüklenicilerden
oluşuyordu), ordunun operasyonları için güvendiği altyapıya kadar uzanıyor.
limanlar ve demiryolları gibi. Dikkat edilmesi gereken nokta, bu sivil güçlerin
güvendiği bilgisayar ağlarının çoğu zaman askeri ağlarla aynı düzeyde güvenliğe
sahip olmamasıdır çünkü benzer kaynaklar, standartlar ve teşviklerden
yoksundurlar. Sonuç olarak, özellikle hedef seçiyorlar. 2012 yılında
katıldığımız Pentagon sponsorluğundaki bir savaş oyununda, simüle edilmiş bir
düşman kuvveti, nakliye konteynırlarına barkodları aktarmak gibi basit bir
amaçla, bir ABD kuvvetinin lojistiğini sağlayan yüklenici firmayı hackledi. Çok
az etkisi olan küçük bir değişiklik gibi görünüyor. Ancak gerçek bir saldırı
olsaydı, sahadaki ABD birlikleri mühimmat bulmayı umarak bir nakliye paletini
açar ve bunun yerine yalnızca tuvalet kağıdı bulurdu.
Savaş
tarihi, siber ateş hattını aşabilecek kişilerin yalnızca doğrudan orduyu
destekleyenler olmadığını gösteriyor. Uçak gibi yeni teknolojiler, kuvvetlerin
erişimini ön hatların ötesine genişlettiğinde, ordular meşru hedef olarak
tanımladıkları kişileri yavaş yavaş genişletti. Birincisi, yalnızca doğrudan
ordu için çalışanlardı. Daha sonra tank fabrikasındaki işçiler gibi savaş
çabalarına katılanlar vardı. O zaman işçilerin evleriydi. Ve İkinci Dünya
Savaşı'nın sonuna gelindiğinde tüm taraflar, savaşı sona erdirmenin en iyi
yolunun savaşın maliyetini tüm sivillere yansıtmak olduğunu ileri sürerek daha
geniş bir nüfusa karşı stratejik bombardımana giriştiler. Sivillerin siber
saldırılara karşı daha savunmasız olduğu göz önüne alındığında, herhangi bir
siber savaşın parçası olarak bundan daha azını beklememeliyiz. Modern ordunun
sivil ağlara olan bağımlılığı sayesinde, hedef alınacak yeni bir ağırlık
merkezi bile oluşturabilirler.
Tüm
bunlar kulağa ne kadar korkutucu gelse de, siber alemdeki savaş ile geçmişteki
diğer çatışma biçimleri arasındaki iki temel farklılığa dikkat çekmek
önemlidir. Birincisi, savaştaki önceki geçişlerden farklı olarak siberin,
önceki teknolojik yeniliklerin yaptığı gibi yıkıcı güç düzeyini hemen artırması
pek mümkün değil. Dolaylı etkilere bağlı olması nedeniyle siberin etkilerinin
uzun vadede daha az yıkıcı etkisi olacaktır. Yani GPS kodlarını değiştiren veya
enerji şebekesini kapatan saldırılar oldukça yıkıcı olacaktır. Ancak
patlayıcılarla dolu bombaların ve yangın çıkarıcı maddelerin Dresden'e yol
açtığı yıkımın veya Hiroşima'nın sürekli ışınlanmasının yakınında bile
olamazlar.
İkincisi,
siber savaştaki silahlar ve operasyonlar, geleneksel araçlara göre çok daha az
tahmin edilebilir olacak ve bu da askeri komutanlar arasında bunlardan daha
fazla şüphe duyulmasına yol açacak. Örneğin, bir bombanın patlama yarıçapı
kesin standartlara göre tahmin edilebilir; çoğu kötü amaçlı yazılımın yarıçapı
öyle değil. Çoğu siber saldırı, ortaya çıkabilecek ikinci ve hatta üçüncü
dereceden etkilere dayanır ve bunlar etkiyi genişletirken beklenmedik sonuçlara
da yol açabilir. Örneğin Irak savaşı sırasında ABD askeri görevlileri, intihar
saldırılarını kolaylaştıran bir düşman bilgisayar ağının çökertilmesi
ihtimalinden çok heyecan duyuyorlardı. Ancak operasyon yanlışlıkla Orta Doğu,
Avrupa ve Amerika Birleşik Devletleri'ndeki 300'den fazla sunucuyu çökerterek
yepyeni bir solucan kutusu açtı. Benzer şekilde Stuxnet, yalnızca birkaç İran
santrifüjünü hedef alacak şekilde özel olarak tasarlandı ve dünya çapında
25.000'den fazla bilgisayara yayıldı.
Sonuçta
siber savaşın neye benzeyeceğini kavramsallaştırmanın henüz ilk
aşamalarındayız. Artık bilgisayar ağı operasyonlarının geleceğini tahmin etmek,
geçen yüzyılın başında "uçan makineler"in ilk günlerinde hava savaşı
vizyonlarını ortaya koyanlara benziyor. Tahminlerinden bazıları doğru çıktı,
tıpkı uçakların uçacağı fikri gibi. şehirleri bombalarken, uçakların diğer tüm
savaş türlerini geçersiz kılacağı öngörüsü gibi diğerleri ne yazık ki yanıldı.
Siber
savaşlarda da aynı durumun yaşanması muhtemel. Bir zamanlar bilim kurgu gibi
görünen gerçek dünya yeteneklerini ve operasyonlarını sunarak oyunun
kurallarını olağanüstü derecede değiştireceğini kanıtlayacak. Ancak dijital
silahların olduğu bir dünyada bile savaş hâlâ kaotik bir alan olmaya devam
edecek. Bu, savaşın, siber tarzda bile olsa, kaynak israfı olarak kalacağı ve
başka yerlerde harcanması daha iyi olan çabalar olacağı anlamına gelir.
Odak: ABD'nin Siber Savaşa Askeri Yaklaşımı
Nedir?
"9ec4ci2949a4f3i474f299058ce2b22a"nın
ne anlama geldiğini biliyor musunuz? Eğer öyleyse, ABD ordusunun size göre bir
işi olabilir.
Cevap
aslında ABD ordusunun siber güvenlik yaklaşımında nerede durduğunun harika bir
özetidir. Bu kod, 2010 yılında kurulan devrim niteliğinde yeni bir askeri örgüt
olan ABD ordusunun Siber Komutanlığının logosunda yer almaktadır. Kriptografide
karma, bir dosyanın benzersiz bir "parmak izini" oluşturan tek yönlü
bir işlevdir. MD5 (Message-Digest) Algoritma 5) hash, dosyalardaki kurcalamayı
tespit ederek güvenlik eklemenin yaygın olarak kullanılan bir yoluydu.
Yukarıdaki kod, Cyber Command'ın misyon beyanının MD5 hash'idir ve şöyledir:
"USCYBERCOM aşağıdaki amaçlarla faaliyetleri planlar, koordine eder,
entegre eder, senkronize eder ve yürütür: belirli Savunma Bakanlığı bilgi
ağlarının operasyonları ve savunması; ve tüm alanlardaki eylemleri mümkün kılmak,
ABD/Müttefiklerin siber uzayda hareket özgürlüğünü sağlamak ve aynı şey
rakiplerimiz için de geçerlidir." Ancak bir ironi de var. Siber
Komutanlığın bu kodu logosuna koyduğu yıl, ABD İç Güvenlik Bakanlığı, ABD
hükümetini bilgisayar sistemleri için MD5 hashinden uzaklaştıracağını duyurdu.
Bir zamanlar karmaşık olan kodu kırmak artık çok kolaydı.
Siber Komuta, Ordunun Dokuzuncu Sinyal Komutanlığından
Donanmanın Onuncu Filosuna (Filo Siber Komutanlığı) kadar ABD ordusunun siber
konularda çalışan tüm bileşenlerini bir araya getiriyor. Toplamda , örgütün merkezi
Fort Meade, Maryland'de bulunan, 60.000'in biraz altında personelden oluşan bir
siber savaşçı gücüne sahip olduğu söylenebilir. CYBERCOM'un, bilindiği gibi,
sinyaller ve bilgi istihbaratı ve korumaya odaklanan casus teşkilatı olan
Ulusal Güvenlik Teşkilatı'nın yanına yerleştirilmesiyle, konumu kasıtlı olarak
seçilmişti. Bu, iki ajansın, matematik, bilgisayar bilimi, mühendislik ve orada
çalışan diğer alanlardaki yüzlerce doktora sahibi gibi alan düzeyindeki kaynakları
en üst seviyeye kadar paylaşmasına olanak tanır. Şu anda NSA'nın yöneticisi ile
CYBERCOM'un komutanı aynı kişidir. General Keith Alexander, aynı anda her iki
örgütün de başkanı ya da askeri tabirle "çift şapkalı" olarak
adlandırıldı.
Bazıları,
iki tarafın yakın sorumlulukları göz önüne alındığında bu eşleşmeyi doğal
görürken, pek çok kişi askeri komuta ile sivil casusluk teşkilatı arasındaki
çizginin bulanıklaşmasından endişe ediyor. Hangi zihniyetin galip geleceği
konusunda bir soru var: Casusun izleme ve öğrenme eğilimi mi, yoksa savaşçının
harekete geçme eğilimi mi? Ayrıca bir kişinin aynı anda çok sayıda farklı rolü
üstlenmeye çalışması endişesi de var.
Buna
karşılık diğerleri, CYBERCOM'un yalnızca NSA'dan değil, aynı zamanda onu
sağlayan askeri hizmetlerden de yeterince farklı olmadığından endişe ediyor.
Tıpkı Hava Kuvvetleri'nin 1947'de kendi hizmetine (Hava Kuvvetleri) dönüşmeden
önce bir zamanlar Ordu'nun bir parçası olduğu gibi, bazıları Siber Komutanlığın
da kendi askeri şubesi haline gelmesi gerektiğini düşünüyor. İki ABD Ordusu
subayı, mevcut askeri servislerin "kinetik savaşlarla savaşmak için uygun
şekilde konumlandırıldığını ve nişancılık, fiziksel güç, uçaklardan atlama ve
düşman ateşi altında muharebe birimlerine liderlik etme yeteneği gibi
becerilere değer verdiklerini" gözlemledi. Ne yazık ki bu becerilerin
siber savaşta hiçbir önemi yoktur. Üç hizmette de teknik uzmanlığa çok fazla
değer verilmemektedir. Sadece askeri üniformalara bakın: teknik uzmanlığı
onurlandıran nişanlar veya rozetler yok."
Ne
olursa olsun, CYBERCOM ABD ordusu içinde hem boyut hem de algılanan önem
açısından hızla büyüyor. Aslında Pentagon'un
2013
bütçe planında 53 kez
“siber”den bahsedildi. Sadece bir yıl sonra,
2014
Bütçe planında
"siber" 147 kez tartışıldı ve yalnızca CYBERCOM'un karargahına
yapılan harcamalar fiilen iki katına çıktı (ABD askeri bütçesinin geri kalanı
kesilirken bu durum daha da dikkat çekiciydi).
CYBERCOM'a
rehberlik eden strateji, siber uzayın hem olasılıklar hem de riskler içeren
yeni bir alan olduğu ve ABD ordusunun bu alanı (geleneksel “manevra özgürlüğü”)
kullanma yeteneğini korumak için elinden geleni yapması gerektiği yönündeki
genel fikirden yola çıkıyor. İnisiyatifi korumak ve başkalarının bunu tam
potansiyelleriyle kullanmasını önlemek ("hakimiyet" kurmak).
CYBERCOM'un komutan yardımcısı Korgeneral Jon Davis'in tanımladığı gibi, ABD
ordusu siber sorunlara yepyeni bir ciddiyet düzeyiyle yaklaşıyor. “Bu artık
komutanın işi; bu artık yönetici teknolojisi işi değil."
Mevcut
plan, sınıflandırılmamış versiyonunda on iki sayfadan, sınıflandırılmış
formunda ise otuz sayfadan oluşmaktadır. Özetle, CYBERCOM beş hedefe
odaklanmaktadır: Ordunun geri kalanının karada, havada veya denizde yaptığı
gibi siber uzayı da “operasyonel bir alan” olarak ele almak; orada başarılı
olmak için yeni güvenlik konseptleri uygulamak; diğer kurumlarla ve özel
sektörle ortaklık kurmak; ilişkiler kurmak. uluslararası ortaklarla birlikte
çalışacak ve ordunun bu alanda nasıl savaşıp kazanabileceğine dair yeni
yenilikleri teşvik etmek için yeni yetenekler geliştirecek. Bu misyonun bir
parçası olarak CYBERCOM, üç tür siber güç yaratacak ve yönetecektir:
"siber koruma güçleri" Ordunun kendi bilgisayar ağları, birliklerin
sahadaki misyonunu destekleyecek bölgesel olarak hizalanmış “muharebe misyonu
güçleri” ve önemli altyapının korunmasına yardımcı olacak “ulusal görev
güçleri”.
Bu
fikirleri fiilen işleyen bir askeri doktrine dönüştürürken, üç önemli endişe
CYBERCOM planlamacılarını şaşırttı. Bunlardan ilki, görev alanları ve sorumluluklarla
ilgili uzun süredir devam eden sorudur. CYBERCOM'un üstlendiği daha geniş siber
güvenlik rolleri, onu giderek sivil alana daha da yaklaştırdı ve iki yönlü bir
sorun yarattı. CYBERCOM, yalnızca görünüşte savunması gereken sivil ve devlet
bilgisayar ağları üzerinde sürekli olarak çalışmakla kalmıyor, aynı zamanda bu
sorumluluklar, özel sektör ve siviller gibi diğer devlet kurumları da dahil
olmak üzere, aynı ağları izleme görevi olan diğer kişilerle sıklıkla rekabet
ediyor. İç Güvenlik Bakanlığı. “Ulusal misyon güçleri”nin genişletilmiş rolüne
paralel olarak, bankalar fiziki parayı hareket ettirirken, parayı koruyan
Pentagon değil, daha ziyade kiralık güvenlik ve polisin birleşimidir.
sanallaştırıldı, CYBERCOM artık tartışmaya katıldı.
İkinci
büyük endişe ise ABD ordusunun siber uzayda arzu ettiği manevra özgürlüğünü
korumak için ne kadar ileri gidebileceği ve gitmesi gerektiğidir. Komuta ilk
kurulduğunda, o zamanki Savunma Bakan Yardımcısı William Lynn gibi savunma
liderleri, CYBERCOM'un "tüm Savunma Bakanlığı ağlarının günlük savunması
ve korunması" ile nasıl meşgul olacağını kamuoyuna açıklamıştı. ve
strateji bunun çok ötesine geçti. Bir CYBERCOM yetkilisinin ifade ettiği gibi,
"Siberde işleri saldırgan bir şekilde yapmak için yeteneklere ihtiyacımız var...
bunu herkes kabul ediyor, ancak bunu operasyonel bağlamda özel olarak nasıl
kullandığımız gizlidir." Ya da eski bir Ulusal Güvenlik Teşkilatı nöbet
görevlisinin belirttiği gibi amaç, ABD'nin yeteneklerinin potansiyel
düşmanlarınkinden daha gelişmiş kalmasını sağlamaktır. "Çinliler bize ne
yapabiliyorsa, biz de daha iyisini yapabiliriz."
Bir
diğer stratejik soru, ABD'nin tehditlerin siber alan ile gerçek dünya arasında
geçiş yapma şeklini yönetip her ikisinde de caydırıcılığı sürdürüp
sürdüremeyeceğidir. Bu soruyu yanıtlamanın anahtarı olarak
"eşdeğerlik" kavramını görüyor. Bir raporun tanımladığı gibi,
"Eğer bir siber saldırı, geleneksel bir askeri saldırının neden olacağı
ölüm, hasar, yıkım veya üst düzey aksamaya neden oluyorsa, o zaman bu misilleme
gerektirebilecek bir 'güç kullanımı' değerlendirmesine aday olun."
sonuçtan
hoşlanmadığı takdirde farklı bir oyun oynama hakkını saklı tuttuğu mesajını
göndermektir . Veya ABD'li bir askeri yetkilinin daha açık bir şekilde ifade
ettiği gibi, "Eğer elektrik şebekemizi kapatırsanız belki bacalarınızdan
birine füze atarız."
Bu
stratejinin karşılaştığı temel sorunlar, siber uzayda hakimiyetin elde
edilebilir olup olmadığı ve siber uzayda caydırıcılığın uygulamada
uygulanabilir olup olmadığıdır. Böyle bir duruş, düşmanlarınızın kim olduğunu
bilmenizi gerektirir ki bu da siber uzayda son derece zordur. Amerikan siber
saldırı politikası ve etiği üzerine yapılan bir çalışmanın şu sonuca vardığı
gibi: "Mutlak, net teknik kanıtlar eksik olabilir, bu da politika yapıcıların
hoşuna giden teknik olmayan bilgilere daha fazla güvenmeye zorlar."
Ayrıca
caydırıcılık, elbette siber uzayın önemli aktörleri olan devlet dışı gruplara
karşı o kadar da etkili değil. Hepsi rasyonel aktörler değil ve rasyonel
olanlar bile maliyet ve faydaları, savunacak geniş bölgeleri ve halkları olan
hükümetlerden çok farklı şekilde değerlendiriyor. Devlet dışı grupların
sıklıkla hedef alacakları sabit yerleri yoktur ve birçoğu karşı saldırıları
bile memnuniyetle karşılar. Amerika Birleşik Devletleri'nden gelecek bir yanıt,
pek çok devlet dışı grubun özlem duyduğunun tanınmasını sağlayacak, hatta
muhtemelen halkın sempatisini bile yaratacaktır. Aynı zamanda eşdeğerlik
stratejisinin tırmandırıcı olabileceği ve siber uzaydaki bir saldırıyı çok daha
büyük bir çatışmaya dönüştürebileceği konusunda da derin bir endişe mevcut.
Belki
de siber uzmanların ABD stratejisiyle ilgili gündeme getirdiği en büyük sorun,
ABD'nin saldırıya çok fazla önem verip vermediğidir. Nitekim 2014 bütçe
planları, ABD Hava Kuvvetlerinin siber saldırı araştırmalarına siber savunmaya
göre 2,4 kat daha fazla harcama yaptığını gösteriyor. Bu endişe, hücumun daha
istikrarsızlaştırıcı taraf olduğu (saldırı zihniyetini teşvik ettiği endişesi)
ve savunmanın tipik olarak istikrar sağlayıcı olduğu (iyi savunmalar herhangi
bir saldırının olası kazanımlarını azaltır, genel olarak hücum saldırılarının
cesaretini kırar) yönündeki geleneksel görüşün ötesine geçiyor. Bunun yerine
uzmanlar, siber suçun doğası gereği baştan çıkarıcı doğası ve ordu üzerinde
yaratabileceği etki konusunda endişeleniyor. Bir raporun belirttiği gibi,
"siber savaş, yazılım istismarı, dijital felaket ve karanlık siber
savaşçılar" gibi saldırgan kavramlar, "güvenlik mühendisliği, doğru
kodlama, tedarik zincirlerinin korunması" gibi savunmaya yönelik
kavramlardan çok daha gösterişlidir. Ancak savunma, ABD'nin daha fazla çaba
göstermesi gereken yerdir; yalnızca istikrar ve caydırıcılık sağladığı için
değil, aynı zamanda üst düzey bir ABD askeri yetkilisinin açıkça söylediği gibi:
"Saldırıda zaten çok iyiyiz, ancak savunmada da iyiyiz." savunmada da
aynı derecede kötü.'
Önümüzdeki
yıllarda CYBERCOM ve daha geniş anlamda ABD ordusunun bu meselelerde nereye
varacağından bağımsız olarak, ulusal güvenlik aygıtının sivil tarafının ve
sivil hükümet liderlerinin bunları anlamaya ve katkıda bulunmaya başlaması
kritik önem taşıyor. Güçlü ve yeni bir teknoloji için önemli planlar ve
stratejiler yapılıyor ancak daha geniş sivil siyasi sistem ve halk, tartışmanın
büyük ölçüde dışında kaldı. Örneğin, Amerika Birleşik Devletleri'nin gelişmekte
olan saldırgan siber duruşunu ortaya koyan stratejik politikası, " düşmana
ya da hedefe çok az uyarıda bulunarak ya da hiç uyarı vermeden ve potansiyel
etkileri değişen dünya çapındaki ABD ulusal hedeflerini ilerletmek için
benzersiz ve alışılmadık yetenekler sunmak " üzere tasarlanmıştır.
İnceden ciddi zarar vericiye kadar." Ancak bu, kararın verilmesinden aylar
sonra, ancak gazetelere yapılan sızıntılar yoluyla kamuoyunda ortaya çıktı.
Son
zamanlarda bazı sivil liderlerin yaptığı gibi (ABD Senatosu Silahlı Hizmetler
Komitesi başkanı, bir siber silahı eğlenceli bir şekilde "kitle kitle imha
silahları gibi" olarak nitelendirdi) siber silahlarla nükleer bombaların
yıkıcı gücü arasında tarihi bir paralellik kurmak hata olur. Ancak geçmişte
olduğu gibi günümüzde de sivil liderlerin, operasyonel planların bu yeni
silahlardan gerçekte nasıl yararlandığı konusunda nasıl hazırlıksız
yakalanabilecekleri konusunda endişe verici bir paralellik mevcut. 1950®'de,
sonunda Amerikan nükleer bombardıman kuvvetleri için ne planladığını,
Sovyetlerle bir kriz olup olmadığını sormaya gelen sivil liderleri
şaşırttı.LeMay, çok fazla endişelenmediğini, çünkü sadece bir sipariş
vereceğini açıkladı. önleyici nükleer saldırı: "Onlar havalanmadan önce
onları mahvedeceğim." Birkaç yıl sonraki Küba Füze Krizi'nden önce bu tür
planları isteyip iptal etmeleri iyi bir şey.Bugünün liderleri siber
eşdeğerlerinin olup olmadığını sormak isteyebilirler.
Odak: Çin'in Siber Savaşa Yaklaşımı Nedir?
“Siberuzaydaki
en tehditkar aktör.”
Peki
bu pek de değerli olmayan açıklamayı kim kazandı? El Kaide değil. ABD ordusunun
Siber Komutanlığı değil. Facebook'un gizlilik politikası değil. Kurbanların
kandırılarak 1980'lerin şarkıcısı Rick
Astley'in korkunç derecede bağımlılık yaratan müzik videosunu izlemeleri
için kandırıldığı internet meme'i "RickRolling" bile yok . Aksine,
ABD Kongresi büyük bir raporda Çin'i bu şekilde tanımladı.
Şaşırtıcı
olmayan bir şekilde, Çinli yazarlar ve yetkililer doğrudan ve örtülü
suçlamalara öfkeyle tepki gösterdiler ve bunları "temelsiz ve Soğuk Savaş
zihniyetini yansıtıyor" olarak tanımladılar. Üstelik mağdur olanın ve en
sık saldırıya uğrayanın Çin olduğunu ileri sürüyorlar. Ve bir bakıma haklılar.
Ham rakamlara göre Çin, dünyada en fazla siber saldırıya maruz kalan ülke. Çin
Kamu Güvenliği Bakanlığı, Çin bilgisayarlarına ve web sitelerine yönelik siber
saldırıların sayısının yılda yüzde 80'den fazla arttığını, yaklaşık 10 ila 19
milyon veya daha fazla Çin bilgisayarının yabancı bilgisayarlar tarafından
kontrol edilen botnet'lerin parçası olduğunun tahmin edildiğini bildirdi.
bilgisayar korsanları.
Ama
hikaye bu kadar basit değil. Çin'deki yüksek kötü amaçlı yazılım bulaşma
oranının nedeni, Çin bilgisayarlarının kullandığı yazılımların yüzde 95'e varan
oranda korsan olması, yani yasal lisans sahiplerinin aldığı güvenlik
yükseltmelerini ve yamalarını almaması ve bu yazılımların onları temel
tehditlere karşı savunmasız bırakmasıdır. . Bilgisayar güvenliği uzmanı James
Mulvenon'un açıkladığı gibi, "Dolayısıyla Çin, bilgisayar korsanlığının
kurbanı olduğunu söylerken haklıdır, ancak asıl suçlu, devlet destekli casusluk
değil, fikri mülkiyeti hiçe saymasıdır."
Yapısal
nedenler ne olursa olsun, Çinli analistler ülkenin istismarcı bir siber güç
olarak itibarını hızla geri itiyor. “Çin defalarca yurtdışında siber saldırı
düzenlemekle suçlanıyor ancak hiçbir zaman somut bir kanıt yok. Aslında Çin, bu
tür tekrarlanan iddiaların kurbanı oldu” diye özetliyor Çin Dışişleri
Üniversitesi'nden uluslararası güvenlik uzmanı Su Hao. Üstelik Çinli yetkililer
ve yazarlar, Çin bilgisayarlarına yönelik artan saldırıların çoğunun ABD'den
kaynaklandığını ileri sürüyor. Hükümet yetkilileri 2011 yılında Çin'in ABD'den
gelen yaklaşık 34.000 siber saldırının hedefi olduğunu iddia ederken, 2012'de
bu rakamlar tek başına Çin askeri tesislerinin Amerikan kaynakları tarafından
neredeyse 90.000 kez hedef alındığı noktaya kadar yükseldi.
Rakamlar
tartışılabilir olsa da (ABD yetkililerinin de kötüye kullandığını gördüğümüz
“saldırı”nın aynı farklı anlamını ortaya koyuyorlar), büyük miktarda kötü
niyetli İnternet faaliyetinin Amerika Birleşik Devletleri'nden kaynaklandığı
veya en azından Amerika Birleşik Devletleri üzerinden hareket ettiği inkar
edilemez. . Örneğin, HostExploit'teki güvenlik araştırmacıları dünyada suç
yayan ilk elli İSS'den yirmisinin Amerikalı olduğunu buldu. Dahası, NSA ve
Siber Komuta gibi ABD devlet kurumlarının siber operasyonlarda aktif ve uzman
olduğu açıkça görülüyor. 2013'te Edward Snowden tarafından sızdırılan belgeler,
NSA'nın Pekin'deki prestijli Tsinghua Üniversitesi'ni (Çin anakarasının tüm
İnternet trafiğini yönlendiren altı "ağ omurgasından" birine ev
sahipliği yapan) ve ayrıca Pacnet'in Hong Kong genel merkezini hacklediğini
gösterdiğinde Asya-Pasifik bölgesinin en büyük fiber optik ağlarından birini
işleten Çin devlet medyası keyifli bir gün geçirdi. “Uzun süredir siber
saldırıların kurbanı olarak masum numarası yapmaya çalışan ABD, çağımızın en
büyük kötü adamı haline geldi.'
Son
olarak, Çinli siber uzmanlar, yaratmada çok az rol oynadıkları bir dünyada ana
kötü adam olarak gösterilmekten duydukları hayal kırıklığını sık sık dile
getiriyorlar. Pek çok kişi Amerika Birleşik Devletleri'nin küresel siber
toplulukta çok ayrıcalıklı bir konuma sahip olduğunu, bunun da İnternet'in
geliştirilmesindeki rolünün bir mirası olduğunu düşünüyor. Örneğin, tüm
İnternet'in işleyişi için gerekli olan on üç kök sunucudan on tanesinin
orijinal olarak Amerika Birleşik Devletleri'nde bulunduğunu (ve ABD Ordusu
Araştırma Laboratuvarı ve NASA gibi ABD hükümeti operatörlerini de içerdiğini)
ve diğerinin de ABD'de bulunduğunu belirtiyorlar. üçü ABD müttefiklerindedir
(Japonya, Hollanda ve İsveç). Benzer şekilde, küresel İnternet'in istikrarını
ve sorunsuz işleyişini korumak için gerekli olan protokol adreslerini yöneten
ICANN, bir ABD devlet kuruluşu olarak başladı.
Sonuç
olarak Çin, siber güvensizliğin suçunu üstlenmek şöyle dursun, kendisini
gelecekteki siber tehditler ve çatışmalar için de donatması gerektiği
pozisyonunu giderek daha fazla benimsedi. Daha önce okuduğumuz gibi, 2011
yılında Komünist Parti kontrolündeki China Youth Daily gazetesi, Çin
Askeri Bilimler Akademisi'nden iki akademisyenin yazdığı bir makaleyi
yayınladı. Doğrudan terimlerle, ABD ordusunun Siber Komutanlığının
kurulmasından Stuxnet'in ortaya çıkarılmasına kadar Çin askeri yapısının siber
uzaydaki gelişmelere nasıl baktığını anlatıyordu. “Son zamanlarda bir İnternet
kasırgası dünyayı kasıp kavurdu. . . dünyayı büyük ölçüde etkiliyor ve şok
ediyor. Bütün bunların arkasında Amerika'nın gölgesi yatıyor. İnternet savaşına
yönelik bu ısınmayla karşı karşıya kalan her ulus ve ordu pasif kalamaz,
İnternet savaşına karşı mücadele etmek için hazırlıklar yapıyor.'
Gerçek
anlamda bu, Halk Kurtuluş Ordusu'nun (PLA) siber yeteneklerinin, aynı dönemde
Siber Komuta ve NSA'nın oluşturulmasıyla aynı hızda artması anlamına geldi.
Hükümet kaynaklarına göre, Çin'in siber savaşa yaptığı harcamalar "en
önemli finansman önceliği" haline geldi ve "düşmanın bilgisayar
ağlarına saldırı hazırlama" sorumluluğuyla bir dizi yeni birim
oluşturuldu.
Siber
operasyonlardan sorumlu Çin askeri örgütü, yapısı konusunda ABD ordusununki
kadar açık olmasa da (Siber Komuta'daki gibi çevrimiçi şifre tahmin oyunları
yok), birçok kişi bunun PLA Genelkurmay Dairesi'nin Üçüncü Departmanı kapsamına
girdiğini düşünüyor. Merkezi Pekin'de bulunan bu kuruluş, sinyal istihbaratı ve
kod kırmaya odaklanan NSA'ya çok benziyor ve bu da onu siber faaliyetler için doğal
bir uyum haline getiriyor. Bakanlığın kendisine atanmış yaklaşık 130.000
personeli olduğu bildiriliyor. Önemli bir bölüm, bazıları Siber Komutanlığın
Çin'deki eşdeğeri olduğuna inanılan Pekin Kuzey Bilgisayar Merkezi'dir
(Genelkurmay Dairesi 4i8. Araştırma Enstitüsü veya PLA'nın 61539 Birimi olarak
da bilinir). "Bilgisayar ağı savunma, saldırı ve istismar sistemlerinin
tasarımı ve geliştirilmesi" ile ilgili en az on alt bölümü vardır. Ülke
çapında en az on iki ek eğitim tesisi bulunmaktadır. Zhurihe'de bulunan ve
kalıcı olarak "bilgilendirilmiş Mavi Takım" olarak hizmet etmek üzere
belirlenmiş bir birimin varlığı özellikle dikkate değerdir. Yani birim, ABD
ordusunun ve müttefiklerinin siber uzayı nasıl kullandığını simüle ediyor ve
Çin birimlerine savaş oyunlarında becerilerini geliştirmeleri için hedefler
sağlıyor.
İstenmeyen
ilgiyi çeken özel merkezlerden biri, siber güvenlik çevrelerinde "Yorum
Ekibi" veya "Şanghay Grubu" olarak da bilinen Üçüncü Ordunun
İkinci Bürosu, Birim 61398'dir. Bu, siber yollarla ABD hakkında siyasi,
ekonomik ve askeriyeyle ilgili istihbarat toplamakla görevli kilit bir
birimdir. 2013 yılında New York Times'ın bilgisayar ağlarına sızmak için
çalışanların şifrelerini çalarken yakalandı . Eski "Mürekkebini fıçıdan
satın alan bir adamla asla tartışmayın" deyişinin siber çağda hala geçerli
olduğunu kanıtlayan Times, daha sonra bir dizi utanç verici ifşa
yayınlayarak intikamını aldı. Makale, Coca-Cola'dan Pentagon'a ve Birleşmiş
Milletler'e kadar herkesi hedef alan, 20 farklı sektör ve hükümete yönelik 141
APT saldırısının arkasında bir zamanlar gizli olan Çin biriminin olduğunu
ortaya çıkardı. Hatta Şangay'daki Datong Yolu'nda bulunan ve artık gizli
olmayan genel merkezinin bir resminin gazetenin ön sayfasında yer alması utanç
verici bir duruma bile maruz kaldı.
61398
ünitesi yalnız olmaktan çok uzaktır; bazı tahminler benzer ölçekte 40 kadar
başka APT operasyonuna işaret ediyor. 12 katlı ofis binası, bir masaj salonunun
ve şarap ithalatçısının hemen yanında yer alırken, diğer PLA siber
programlarının bir kısmı mühendislik okulları ve teknoloji firmalarıyla aynı
yerde bulunuyor. Örneğin 61539 merkezi, şehrin kuzeybatı Jiaoziying
banliyölerinde Pekin Üniversitesi ve Merkezi Komünist Parti Okulu'nun
yanındadır.
Pek
çok ABD askeri siber tesisinin NSA ve sivil araştırma programlarıyla aynı yerde
konumlandırılması gibi, PLA da sekiz milyonluk halk milislerinin daha geniş
siber uzmanlığından yararlanıyor ve resmi güçlerini bir "vatansever
hacker" programıyla destekliyor. Bu üniversiteler Aynı zamanda, bazen
birimleri gizli tutma girişimlerini engelleyecek şekilde olsa da, öncelikli işe
alım zemini oluşturuyor. Birim 61398 dikkat çekmeye başladığında,
araştırmacılar dijital izlerinin temizlenmediğini buldu. Zhejiang Üniversitesi
web sitesi bile "Çin Halk Kurtuluş Ordusu'nun 61398 numaralı biriminin
(Şanghay'ın Pudong Bölgesinde bulunmaktadır) 2003 sınıfı bilgisayar bilimleri
yüksek lisans öğrencilerini işe almayı amaçladığına" dair kamuya duyuru.
Bu
birikime rehberlik eden şey, Çin ordusunun siber operasyonlara yaklaşımının
ayırt edici özelliği olan "bilgilendirme" kavramıdır. Önemli bir Çin
askeri raporunun belirttiği gibi, modern güçler ve özellikle Amerikan ordusu
bilgiye o kadar bağımlıdır ki kim- Siber savaş savaşına hakim olan her güç, "yeni
stratejik zemini" işgal edecektir. "Düşmanın üstünlüğünü"
kazanmak, "bilgi elde etmek için çeşitli araçları kullanıp
kullanamayacağımız ve bilginin etkin dolaşımını sağlayıp sağlayamayacağımız; bu
araçlardan tam olarak yararlanıp yararlanamayacağımız" ile
belirlenecektir. birleşik bir savaş gücü oluşturmak için malzemelerin,
enerjinin ve bilginin organik bir şekilde birleştirilmesini gerçekleştirmek
için geçirgenlik, paylaşılabilir mülkiyet ve bilgi bağlantısı; [ve] düşman
tarafının bilgi üstünlüğünü zayıflatmak için etkili araçlar uygulayıp
uygulayamayacağımız ve düşman bilgi ekipmanının operasyonel verimliliğini
azaltın."
Uygulamada,
Çin'in bilgilendirilmiş savaş planı büyük olasılıkla PLA ağlarını korumaya ve
bunun karşılığında da düşmanın iletişim, komuta ve koordinasyon gibi kilit
düğümlerini hedef almaya odaklanacaktır. Amaç, düşmanın karar verme
mekanizmasını zayıflatmak, operasyonlarını yavaşlatmak ve hatta moralini
zayıflatmaktır. En önemlisi, bilgi akışını kontrol eden tarafın, istismar edilebilecek
"kör noktalar", fark edilmeden veya daha az karşı saldırı riskiyle
saldırı fırsatı pencereleri yaratabileceğine inanıyorlar.
Çin,
düşmanın Bilgi sistemlerine odaklanarak, siber saldırıların teknik avantajı bir
yükümlülüğe dönüştürdüğü fikrini geliştiriyor. 1999 tarihli tartışmalı bir
ciltte, iki HKO subayı oldukça hırçın bir tavırla şöyle yazmıştı:
"Gelecekteki savaşlarda bu ağır harcamaların, tek bir teknolojiye aşırı
bağımlılığı nedeniyle zayıf bir elektronik Maginot hattıyla sonuçlanmayacağını
artık kim kesin olarak söylemeye cesaret edebilir?" Temel düşünce, Çin'i
(yani ABD'yi) tehdit edebilecek herhangi bir yabancı gücün iyi koordine edilmiş
teknik sistemlere bağlı olacağıdır. Dolayısıyla bu sistemlere sızmak ve bu
sistemleri bozmak doğal bir "savunma" duruşudur. Ne yazık ki karşı
uçtakiler için bu durum geçerlidir. Siber silah namlusunda iletişim ve komuta
sistemlerine sızma ve bunları bozma vurgusu agresif görünüyor.
Siber
alemdeki bu kadar askeri faaliyet ve planlama, Çin'in son birkaç yılda ekonomik,
siyasi ve şimdi de askeri güç açısından tarihsel yükselişini izleyen diğer
ülkeler için kesinlikle endişe verici. Ancak tüm bu kaygılara rağmen hiç kimse
hırsı tam kapasiteyle karıştırmamalıdır. Aslında Çinli subaylar da Amerikalı
subayların kendi siber sorunlarıyla ilgili şikayetlerinin çoğunu tekrarlıyor.
Guangzhou Askeri Bölgesi Askeri Eğitim ve Hizmet Silah Dairesi başkanı Chen
Weizhan, “aynı anda kaç nesil silah ve teçhizatın mevcut olduğundan” bahsetti.
. . uyumsuz yazılım sistemleri, eşsiz donanım arayüzleri ve birleşik olmayan
veri formatları. “Birimlerin temel koşullarında ciddi boşluklar olduğu ve
bilgilendirme düzeyinin yüksek olmadığı” sonucuna vardı.
Bu
sorunlara rağmen Çin'in askeri siber gücündeki büyümenin hala iki önemli sonucu
var ve bunların her biri Amerika'nın büyüyen askeri siber gücüne paralel. Tıpkı
Amerika Birleşik Devletleri'nde olduğu gibi, Çin sivil siyasi liderliğinin de
kendi ordusunun kendi planlarına dahil olup olmadığı ve bu planları yeterince
anlayıp anlamadığı konusunda endişeler var. Ancak Çin'in mevcut siyasi sistemi
HKO'ya çok geniş bir hareket alanı tanıdığı için bu durum Çin için daha da
büyük bir endişe kaynağı olabilir. Aslında Amerika'nın sivillerin
liderliğindeki ve kadrolu Ulusal Güvenlik Konseyi'nin veya Savunma
Bakanlığı'nın eşdeğeri yoktur. Bu nedenle risk, Çin'in askeri siber
yeteneklerinin ve operasyonlarının sivil liderlerin bunları anlama düzeyini
aşabilmesi, belki de önlenebilecek bir krizde "kırmızı çizgileri"
aşabilmesidir.
Diğer
sorun ise siber uzayı askerileştirmeye yönelik bu kadar hızlı çabaların
internete ne yapabileceğidir. Çin sadece yaklaşmakta olan bir süper güç değil,
aynı zamanda dünyanın en fazla sayıda İnternet kullanıcısına da ev sahipliği
yapıyor. ABD'nin adımlarını takip ettiği gibi karanlık bir trendi sürdürüyor . İletişim
ve paylaşım için yaratılan benzersiz demokratik alan, geleceğin savaş alanına
dönüştürülüyor. "BT tabanlı savaşı kazanmak" (eski Çin başkanı Hu
Jintao) ve "Siberuzayda savaşmak ve savaşları kazanmak" (ABD
ordusunun Siber Komutanlığının ilk başkanı General Keith Alexander) kesinlikle
yirmi birinci yüzyıldaki önemli yeni askeri sorumluluklardır. Ancak bu, modern
yaşamı tanımlayan muhteşem World Wide Web için olumlu gelişmeler anlamına
gelmiyor.
Ancak
askerileştirilmiş bir siber uzaydan duyulan korku, hepimizin hazırlandığı siber
çatışmalardan kaçınmamıza pekala yol açabilir. ABD'li yetkililerle yaptığı
toplantıda üst düzey bir Çinli askeri yetkili, her iki tarafın da siber
güçlerini geliştirmesi ve olası bir çatışmada riskleri artırmasıyla siber
güvenliğe ilişkin görüşlerinin nasıl geliştiğini açıkladı: "ABD'nin elinde
büyük taşlar var ama aynı zamanda düz camlı bir penceresi var. Çin'in elinde
büyük taşlar var ama aynı zamanda düz camlı bir pencere de var. Belki de bu yüzden
üzerinde anlaşabileceğimiz şeyler vardır."
Siber Savaş Çağında Caydırıcılık hakkında ne
düşünüyorsunuz?
“Siber
suç, ayni yanıt vermenin yolunu sağlayabilir. Korunan konvansiyonel yetenek,
dünya çapında güvenilir ve gözlemlenebilir kinetik etkiler sağlamalıdır. Bu
yeteneği destekleyen kuvvetler, uygun bir maliyetle en yüksek düzeyde siber
dayanıklılığı korumak için genel amaçlı kuvvetlerden izole edilmiş ve bölümlere
ayrılmıştır. Nükleer silahlar nihai yanıt olmaya devam edecek ve caydırıcılık
merdiveninin temelini oluşturacaktır.”
Bu satırlar, Savunma Bakanı'nın en üst düzey resmi danışma
gruplarından biri olan ABD Savunma Bilim Kurulu'nun 2013 tarihli raporundan
geliyor. Metin tipik bir Pentagonlu gibi okunsa da, bu satırların anlamı, bir
siber saldırıya karşı misilleme yapmak üzere özel olarak tasarlanmış yeni bir
ABD askeri gücü oluşturma önerisidir. Dikkat çekici bir şekilde, sadece
karşı siber silahlarla yanıt vermekle kalmayacak, aynı zamanda "Küresel
seçici saldırı sistemlerini, örneğin delici bombardıman uçaklarını, uzun
menzilli seyir füzelerine sahip denizaltıları ve Konvansiyonel Hızlı Küresel Saldırıyı
(balistik füze)" de içerecektir . Policy dergisinin habere verdiği
tepki belki de durumu en iyi şekilde özetliyor: “Vay canına.”
Caydırıcılık
denildiğinde akla en çok MAD'in Soğuk Savaş modeli, yani karşılıklı garantili
yıkım gelir. Herhangi bir saldırı, hem saldırganı hem de gezegendeki yaşamın
çoğunu yok edecek, ilk saldırıyı kelimenin tam anlamıyla çılgına çevirecek
ezici bir karşı saldırıyla karşılanacaktır.
Ancak
caydırıcılık sadece MAD almaktan ziyade, aslında düşmanın maliyet-fayda
hesaplamalarını değiştirerek eylemlerini değiştirme yeteneğiyle ilgilidir. Bu,
ABD Savunma Bakanlığı'nın dediği gibi, "kabul edilemez bir karşı eyleme
yönelik inandırıcı bir tehdidin varlığıyla ortaya çıkan" öznel, psikolojik
değerlendirmeleri, bir "zihin durumunu" yansıtıyor. Büyük misillemeye
ek olarak, düşmanın kararları, "inkar yoluyla caydırıcılık" olarak
adlandırılan savunmalardan da etkilenebilir. Saldırarak istediğinizi elde
edemiyorsanız, o zaman ilk etapta saldırmazsınız.
Teorisyenler
ve stratejistler caydırıcılığın nasıl çalıştığını tam olarak anlamak için
onlarca yıldır çalışıyorlar, ancak araştırdığımız gibi siber alandaki temel
farklılıklardan biri, "kimin" caydırılacağı veya ona misilleme
yapılacağı sorunudur. Daha önce incelediğimiz atıf meselesi.
Bunun
gerçek dünya siyaseti üzerindeki etkisi, siber uzayda "kim"
sorusunun, iqos'taki caydırıcılık teorisi üzerine orijinal düşünürler
tarafından hayal edilebileceğinden çok daha zor olduğu gerçeğinden
kaynaklanmaktadır. Tanklar ve füzeler Saldırıları gizlemek zordur, güvenliği
ihlal edilmiş makineler veya Tor gibi araçlardan oluşan ağlar ise anonimliği
kolaylaştırır.Karşı saldırı tehdidi, ilk saldırıyı kimin başlattığını bilmeyi
gerektirir, bu da siber uzayda, özellikle de hızla ilerleyen bir krizde
kanıtlanması zor bir şeydir. Bilgisayar kodunun bir dönüş adresi yoktur ve
gelişmiş saldırganlar izlerini gizleme konusunda ustalaşmışlardır. Bu nedenle
özenli bir adli tıp araştırması gereklidir ve gördüğümüz gibi, bu nadiren
kesindir.
Üstelik
caydırıcılık amacıyla, bir saldırının izini bir bilgisayara kadar sürmek veya
belirli bir bilgisayarı kimin çalıştırdığını bulmak yeterli değildir. Stratejik
olarak hesaplarını değiştirebilmek için hangi siyasi aktörün sorumlu olduğunu
bilmemiz gerekiyor.
Bu
sorun, atıfların iyileştirilmesini (veya en azından insanların atıfları
iyileştirdiğinizi düşünmelerini sağlamayı), kendilerinin siber saldırı riski
altında olduğuna inanan ülkeler için önemli bir stratejik öncelik haline
getirmiştir. Bu nedenle, Savunma Bilim Kurulu tarafından ana hatlarıyla
belirtilen devasa misilleme güçlerini dikkate almanın yanı sıra, ABD bu
cephedeki mesajlaşma çabalarını da artırdı. Örneğin 2012'de, dönemin Savunma
Bakanı Panetta şu kamuya açık bir işaret koydu: "Potansiyel saldırganlar,
ABD'nin onları tespit etme ve Amerika'ya zarar vermeye çalışabilecek
eylemlerinden dolayı onları sorumlu tutma kapasitesinin olduğunun farkında
olmalıdır. ” Buna karşılık, bu potansiyel saldırganların artık bunun yaygara mı
yoksa gerçek mi olduğunu tartmaları gerekiyor.
Caydırıcılığın
"kim" olduğu sadece tanımlamayla ilgili değil aynı zamanda bağlamla
da ilgilidir. Amerika Birleşik Devletleri teröristlerle, haydut uluslarla ve
büyük güçlerle karşı karşıya kaldığında caydırıcılık konusuna çok farklı bir
şekilde yaklaştı. Teori sıklıkla bir dizi belirlenmiş eylem ve karşı eylemi
ortaya koyarken, gerçek şu ki, farklı aktörler çok farklı yanıtları dikte
edebilir. Örneğin, 2007'de ABD'nin NATO ortağı Estonya'ya saldıran grupların
Moskova yerine Tahran'la bağlantılı olması durumunda Bush yönetiminin
tepkisinin ne olabileceğini bir düşünün.
Aktör
biliniyorsa, caydırıcılığın bir sonraki bileşeni misilleme yapma taahhüdü, yani
güç kullanımının eşitlenmesi veya güç kullanımının arttırılması kararıdır.
Amerika Birleşik Devletleri ve Sovyetler Birliği'nin nükleer silahları
birbirlerinin topraklarına doğrulttuğu zamanların aksine, siber alemdeki
oyuncular ve çıkarlar çok daha şekilsizdir. Hatta bazıları, eğer bir düşmanın
"zihniyetini" değiştirmek istiyorsa, siber saldırıya karşı
"inandırıcı tehdidin" siber alanın ötesine geçmesi gerektiğini
savunuyor.
Bu,
Pentagon'un, casusluk durumlarında bile önerilen, karma siber ve gerçek dünya
misilleme gücü planının özüdür. Ancak bağlam meselesine geri dönecek olursak,
fikri mülkiyet hırsızlığının sorunu, ayni bir tepkinin etkili olmayacağıdır;
sırlarınızın çalınıyor olması, düşmanın geri çalmaya değer hiçbir şeyi
olmadığının oldukça iyi bir göstergesidir. Benzer şekilde, casusluktaki
geleneksel caydırıcılık ve misilleme modeli (onlar sizin casuslarınızı
tutuklar, siz de onların casuslarını tutuklarsınız veya bazı elçilik
personelini sınır dışı edersiniz), casus binlerce kilometre uzakta ve
muhtemelen hükümetin dışında olduğunda pek iyi bir anlam ifade etmez. Bu
nedenle bazıları, düşmanın hesaplarını etkilemek için alternatif yolların
bulunması gerektiğini savundu. Büyük Shady RAT saldırılarının gerçekleşmesini
izleyen Dmitri Alperovitch, "yaptırımlar, ticaret tarifeleri ve çok
taraflı diplomatik baskı gibi araçları kullanarak düşman üzerindeki ekonomik
maliyetleri artırmaya çalışmamız gerektiğini" savunuyor. bu operasyonlar.”
Zamanlama
ayrıca siber caydırıcılıkta daha karmaşık bir rol oynar. Nükleer çağda hız,
MAD'in anahtarıydı. Karşı tarafın ilk saldırısından önce misilleme füzelerinizi
ve bombardıman uçaklarınızı yerden kaldırabileceğinizi göstermek çok önemliydi.
Ancak siber çağda, yanıt vermek için aynı anda hem zaman hem de dünyanın her
zamanı yoktur. İlk saldırı nanosaniyeler içinde gerçekleşebilir, ancak karşı
saldırıyı geciktirmenin daha iyi bir ilişkilendirme elde etmek veya bir yanıtı
daha iyi planlamak gibi birçok zorlayıcı nedeni vardır.
Benzer
şekilde, ne kadar misilleme garantisine ihtiyaç var? Nükleer alanda, Amerikalı
Soğuk Savaş planlayıcılarına yol gösteren oyun teorisi, diğerinin sinsi bir
saldırı denese bile nükleer bombayla vurulmasını sağlayacak benzer
"hayatta kalabilen" karşı saldırı kuvvetlerine sahip olmayı zorunlu
kılıyordu. Siber çağda, “hayatta kalabilecek” bir karşı gücün neye benzeyeceği
belli değil; dolayısıyla ABD, nükleer bir eşdeğer oluşturmayı planlıyor.
Aynı
belirsizlik, caydırıcılık oyununun anahtarı olan iki tarafın birbirine
gönderdiği sinyallere de yansıyor. Eğer füzeyle karşılık verirseniz karşı taraf
da misilleme yaptığınızı bilir. Ancak kötü amaçlı yazılımla karşılık verilir ve
etkisi her zaman bu kadar belirgin olmaz, özellikle de etkisi bazen normal bir
sistem arızası gibi ortaya çıkabildiğinden. Bu da caydırıcılıkta farklı amaçlar
için farklı türde siber silahlara ihtiyaç duyulacağı anlamına geliyor. Sinyal vermek
istediğinizde, belirgin etkileri olan "gürültülü" siber silahlar daha
iyi olabilir; gizli silahlar ise saldırı operasyonları için daha önemli
olabilir. Ancak sonuç, geçmişteki caydırıcılık stratejileriyle boğuşanların
aşina olacağı bir şey: savaşı önleme çabası içinde, yeni silahlar sürekli
olarak geliştirilecek ve bir silahlanma yarışını ileriye taşıyacak.
Kısacası,
birden fazla türde siber saldırı gerçekleştirme kapasitesinin artması, zaten
karmaşık olan caydırıcılık alanını daha da karmaşık hale getiriyor. Neyin işe
yaradığını araştıracak net bir anlayış veya gerçek bir test vakası deposu
olmadan, ülkeler nükleer çağa kıyasla inkar yoluyla caydırıcılık üzerine daha
fazla eğilmek zorunda kalabilir.
Sonuçta
teknolojiler değişirken caydırıcılığın hedefleri aynı kalıyor: düşmanın ne
düşündüğünü yeniden şekillendirmek. Siber caydırıcılık bilgisayar ağlarında
etkili olabilir, ancak bu tamamen zihinsel durumla ilgilidir.
Siber Uzayda Tehdit Değerlendirmesi Neden Bu
Kadar Zor?
1960'larda
Pentagon'da sivil bir stratejist olan Alain Enthoven ile bir hava kuvvetleri
generali arasında, Soğuk Savaş'ın kızışması durumunda ABD'nin ihtiyaç duyacağı
nükleer silahların sayısı konusunda hararetli bir tartışma vardı. Bu inek
sivilin tehdidi aynı şekilde görmemesine kızan general, Enthoven'a fikrinin
istenmediğini söyledi. Enthoven daha sonra şu meşhur yanıtı verdi:
"General, ben de sizin kadar çok sayıda nükleer savaşa katıldım."
Bu
anekdot, siber güvenliği ve bunun silahlanma yarışları, savaşlar ve diğer
çatışmalar üzerindeki potansiyel dalgalanma etkilerini düşünürken faydalıdır.
“Tehdit değerlendirmesi”, ister bir ulus, ister bir işletme, hatta bir birey
olsun, herhangi bir varlığın karşı karşıya olduğu riskleri tartma sürecidir.
Herbert Lin, Ulusal Akademilerde bilgisayar bilimi Baş Bilimcisidir ve siber
güvenlik alanının önde gelen düşünürlerinden biridir. Açıkladığı gibi, uygun bir
tehdit değerlendirmesi yapmak için esasen üç temel faktör değerlendirilir:
"Düşmanların sizin zayıf noktalarınızı tespit edip kullanabilmelerinin
fizibilitesi, bu güvenlik açıklarından yararlanabilmeleri durumunda oluşacak
etki ve son olarak da aslında bunu yapmaya istekli olma olasılıkları.”
Yirmi
birinci yüzyılda bizi bekleyen korkutucu gerçek, bu yirminci yüzyıl
stratejistlerinin işi kolaylaştırmış olması olabilir. Siber uzayda tehdit
değerlendirmeleri daha da zor olabilir.
Siberuzaydaki
güvenlik açıklarının doğası, bunların değerlendirilmesini son derece
zorlaştırıyor. Ülkenizin haritasına bakmak ve olası saldırı yaklaşımlarını
anlamak kolay olsa da (örneğin, "Düşmanımın bu engebeli dağlardan saldırma
olasılığı daha yüksek"), "sıfır gün" terimi bunu örnekliyor
siberuzaydaki sorun. En sık hedeflenen güvenlik açıkları, saldırgandan başka
kimsenin bilmediği güvenlik açıklarıdır.
Benzer
şekilde, herhangi bir tehdit değerlendirmesinin temel unsuru, düşmanın ve
silahlarının kapasitesidir. Bir düşmanın mevcut veya yeni nesil silahları
hakkında her zaman mükemmel bilgiye sahip olamayabilirsiniz, ancak geleneksel
olarak herhangi bir değerlendirmenin etrafına yerleştirilebilecek en azından
bazı sınırlar vardır. En azından, son nesil silahların neler yapabileceğine, benzer
silahlarla ilgili kendi deneyiminize ve belki de hepsinden önemlisi temel fizik
yasalarına dayanarak bir tehdidi "top sahası" olarak tahmin
edebilirsiniz. yeni bir tankla sizi şaşırtabilir, ancak mevcut versiyondan
saatte 1.000 mil daha hızlı gitmez.
Karşılaştırıldığında
siber silahlar aynı fizik kanunlarına bağlı değildir. Her yeni kötü amaçlı
yazılım parçası , çok farklı şeyler yapmak üzere çok farklı şekillerde
tasarlanabilir . Yani bunların fiziksel olmayan doğası, zaten zor olan tehdit
değerlendirmesi görevini daha da zorlaştıracak şekilde ve sayıda üretilip
depolanabilecekleri anlamına gelir. Soğuk Savaş sırasında ABD, montaj hattına
neler girip çıktığını görmek için Sovyet tank, gemi veya füze fabrikalarını
izleyebiliyordu. Daha sonra Kızıl Ordu üslerini izleyerek ne kadar silahın
depolandığını ve bunların kabaca savaş düzenini izleyecekler ve daha sonra
birimlerin ve silahlarının nereye gittiğini görmek için bu üslere gidiş ve
dönüş hareketlerini takip edeceklerdi. LBJ'nin açıkladığı gibi, sayımı sık sık
yanlış yapmış olabiliriz, ancak en azından sayılması gereken "şeyler"
vardı. Kötü amaçlı yazılımlarda fabrikalar, depolama alanları ve elbette hiçbir
şey yoktur.
Siber
tehditlerin bu fiziksel olmayan doğası, potansiyel bir düşmanın eylemlerini ve
niyetini değerlendirmeye çalışırken daha da önemli hale geliyor. Fiziksel
silahlar söz konusu olduğunda bazen çay yaprakları, ister denize doğru yola
çıkan bir düşman filosu olsun, isterse göreve hazır olan yedek askerler olsun,
bir sorunun gelmekte olabileceğini gösteren işaretler olarak okunabilir. Siber
alemde bu yok ve atıf sorunu suları daha da bulanık hale getiriyor; Pek çok
farklı potansiyel devlet ve devlet dışı oyuncuyla dolu bir dünyada bir rakibin
yerini belirlemek zordur. Ve kim tarafından hedef alındığınızı bilseniz bile,
düşmanın gerçek niyetini belirlemek son derece zor olabilir. Birisi
sistemlerinizi hedef alıyor olabilir, ancak amaç istihbarat toplamak, bilgi
çalmak, operasyonlarınızı kapatmak veya sadece bilgisayar korsanının yeteneğini
göstermek olabilir. Tehdit değerlendirmesi olası risklerin tahmin edilmesiyle
ilgilidir. Ancak siber uzayda bu risklerin çoğu, bir saldırı gerçekleşene kadar
keşfedilmeden kalacaktır.
Tüm
bu belirsizlik göz önüne alındığında, siberuzaydaki tehdit değerlendirmesine
ilişkin ana ders, Enthoven ve generalin nükleer silahların ilk günlerinde
karşılaştığı soruna dayanmaktadır. Herhangi bir siber krizin ortasında mükemmel
bilgiye sahip olduğumuzu iddia etmek yerine, doğuştan gelen sınırlamalarımızı
ve belirsizliklerimizi kabul etmeli ve buna göre davranmalıyız. Adalet
Bakanlığı'ndan eski bir siber güvenlik yetkilisinin belirttiği gibi,
"Hükümet yetkililerinin bir saldırının kaynağı, amacı ve kapsamı konusunda
yüksek düzeyde güven iddiasında bulundukları çok fazla durum gördüm ve bunların
her açıdan hatalı olduğu ortaya çıktı. BT. Yani, çoğu zaman yanıldılar ama asla
şüpheye düşmediler."
Siber Güvenlik Dünyası Zayıfları mı Yoksa
Güçlüleri mi Kayırıyor ?
2009'da
Amerikan askerleri Irak'ta bir isyancı lideri yakaladı. Dizüstü
bilgisayarındaki dosyaları incelerken dikkate değer bir keşifte bulundular:
Kendisini izlemelerini izliyordu.
ABD askeri çabalarının önemli bir parçası, yukarıdan uçan,
isyancı güç hakkında istihbarat toplayan, onların hareketlerini izleyen ve
yerdeki ABD Hava Kuvvetleri pilotlarına video gönderen insansız sistemlerden
("dronelar") oluşan filoydu. Liderin dizüstü bilgisayarı, dijital
yayınların ele geçirildiğine ve çeşitli isyancı gruplar arasında paylaşıldığına
dair "günler, günler, saatler ve saatler süren kanıt"tı. İsyancılar,
polis telsiz tarayıcısını dinleyen bir soyguncu gibi, insansız hava araçlarının
yayınını nasıl hackleyeceklerini ve izleyeceklerini açık bir şekilde
çözmüşlerdi. ABD askerleri için daha da rahatsız edici olanı, isyancıların bunu
nasıl başardıklarıydı. Uydudan yayınlanan filmleri yasa dışı olarak indirmek
için orijinal olarak üniversite öğrencileri tarafından tasarlanan ticari olarak
temin edilebilen bir yazılım kullandıkları ortaya çıktı . Bilindiği gibi
Skygrabber'ın fiyatı bir Rus web sitesinde 25,95 dolar kadar düşük bir fiyata
satılıyordu.
Bunun
gibi örnekler birçok kişinin siber uzayın zayıfların güçlülere göre avantajlı
olduğu garip yerlerden biri olduğuna inanmasına neden oluyor. Bir yandan, siber
saldırı yetenekleri geliştirmeye girişin önündeki engeller, özellikle daha
geleneksel askeri yeteneklerin geliştirilmesiyle karşılaştırıldığında nispeten
düşüktür. Örneğin, insansız uçak sistemi ABD'ye yaklaşık 45 milyon dolara,
yayının üzerinden geçtiği uzay uydu ağı ise birkaç milyar dolara mal oldu. Bu
sistemleri baltalamak için yasa dışı yazılımlara harcanan 25,95 dolar oldukça
iyi bir pazarlıktı. İsrail askeri istihbaratının başkanının açıkladığı gibi,
"Siberuzay, küçük ülkelere ve bireylere, şimdiye kadar büyük devletlerin
koruması altında olan bir gücü veriyor."
Ancak
ABD gibi devletler için asıl endişe, yalnızca başkalarının siber tehditler
oluşturabilmesi değil, aynı zamanda geleneksel güçlü yönlerin siber güvenlik
açıklarını kanıtlamasıdır. 2007'den 2009'a kadar ulusal istihbarat direktörü
olan Mike McConnell, ABD'nin on milyarlarca dolar tarafından finanse edilen ve
Stuxnet gibi silahların geliştirilmesiyle sonuçlanan siber savaş
yeteneklerindeki artışa nezaret etti. Ancak bu çabanın ardından ABD'nin siber
güvenlik konusunda nerede durduğu konusunda daha fazla emin olmak yerine
McConnell Senato'ya şu ifadeyi verdi: "Eğer ulus bugün savaşa girerse, bir
siber savaşta kaybederiz. En savunmasız biziz. En çok bağlı olan biziz.
Kaybedecek en çok şeyimiz var."
Bu
alandaki potansiyel rakiplerinin çoğundan farklı olarak, Amerika Birleşik
Devletleri ve özellikle ABD ordusu, iletişimden elektriğe kadar her şey için
bilgisayar ağlarına oldukça bağımlıdır (örneğin, ABD askeri üsleri tarafından
kullanılan elektrik gücünün büyük çoğunluğu ticari hizmetlerden gelmektedir).
oldukça savunmasız bir elektrik şebekesi kullanarak). Dolayısıyla, eşdeğer
güçteki siber saldırılar, ekonomisi bilgi çağına hiç girmemiş olan Kuzey Kore
gibi bir siber cüceyi bir yana bırakalım, ordusu hâlâ daha az ağa sahip olan
Çin gibi potansiyel düşmanlardan çok daha yıkıcı sonuçlara yol açacaktır. Eski
NSA yetkilisi Charlie Miller'ın açıkladığı gibi, “Kuzey Kore'nin en büyük
avantajlarından biri, hedef alabileceği neredeyse hiç İnternet bağlantılı
altyapının olmamasıdır. Öte yandan ABD'nin, Kuzey Kore gibi bir ülkenin
istismar edebileceği tonlarca zayıf noktası var."
Bu
durum siber savaşın tuhaf ironisini yaratıyor. Bir ulus ne kadar kablolu olursa
internetten o kadar fazla yararlanabilir. Ancak bir ulus ne kadar kablolu olursa,
İnternet'i kötü niyetli kullananlar tarafından potansiyel olarak o kadar fazla
zarar görebilir. Başka bir deyişle, taş atmada en yetenekli uluslar en büyük
cam evlerde yaşarlar.
Ancak
ABD gibi ulusların kendilerini giderek daha savunmasız hissetmeleri, siber
alanda güçlülerin dişsiz olduğunun veya hatta zayıfların artık avantajlı
olduğunun bir işareti değil. Eski bir Pentagon yetkilisi ve Harvard Kennedy
Okulu dekanı Joseph Nye'nin yazdığı gibi, "Gücün yayılması, gücün
eşitlenmesiyle aynı şey değildir."
Devlet
dışı gruplar ve daha zayıf devletler, bir zamanlar ulaşamayacakları bir oyunu
artık kesinlikle oynayabilirler. Ancak bu, bunu gerçekleştirmek için aynı
kaynaklara sahip oldukları anlamına gelmez. En stratejik siber saldırılar,
rahatsızlık verici veya yalnızca yıkıcı bir etkiye sahip olanların aksine,
gelişmiş yeni silahları, bazen siber alanın dışında, geniş ekonomik ve insan
kaynaklarıyla birleştirir. Stuxnet'i bu kadar etkili kılan şey, silahın
tasarımına yerleştirilmiş çok sayıda yeni özelliği birleştirmesi ve özellikle
İran'daki bir tesiste özenli istihbaratın tespit ettiği hassas santrifüj
konfigürasyonunu vurmayı hedeflemesiydi. Hatta sırf bu çaba için yapılmış
pahalı sahte santrifüjler üzerinde bile test edilmişti. Düşük seviyedeki aktörler
artık taklit saldırılar gerçekleştirebilir, ancak yeni çığır açacak veya en
kalıcı ve sürdürülebilir etkilere sahip olacak siber güçlerin hâlâ büyük güçler
olması muhtemeldir. Gücün konfigürasyonunda eski ve yeni bir şeyler var:
Nye'nin ifadesiyle, "Hükümetler hâlâ internetin en iyi köpekleridir, ancak
daha küçük köpekler ısırır."
Ancak
bu siber çatışmalarda ve silahlanma yarışlarında güçlülerin gerçek avantajı,
siber alanın dışındaki güçlerinden gelebilir. Küçük gruplar ve zayıf devletler
artık daha fazla siber tehdit oluşturabilse de, güçlü olanlar hala
"yükselen hakimiyet" olarak bilinen durumu koruyor. ABD, konuyu daha
açık bir avantaja sahip olabileceği siber uzayın dışına taşıma "hakkını
saklı tutar".
Güçlü
olmak, seçeneğe sahip olduğunuz anlamına gelir. Zayıf olmak, zayıf olmadığın
anlamına gelir. Irak'taki isyancılar korsan video yayını yerine insansız hava
araçlarını tercih ediyorlardı. Bu nedenle, siber savaş alanında bile savaşta
daha güçlü olmanın bedelini ödüyoruz.
Avantaj Kimde, Hücumda mı , Savunmada mı ?
“Soru
ne olursa olsun, saldırmak her zaman cevaptı.”
Aşırıya
saldırmak veya "Aşırıya saldırmak", geçen yüzyılın başında Avrupa
askeri çevrelerinde yaygınlaşan bir kavramdı. Buradaki fikir, demiryolu ve telgraf
gibi yeni teknolojilerin, hangi ulus ilk önce harekete geçip saldırıya
geçebilirse, stratejik düzeyde bir avantaj sağlamasıydı; hızlı ateş eden top,
makineli tüfekler ve tüfekler gibi yeni teknolojiler ise, hangi ülkenin daha
önce harekete geçebileceği ve saldırıya geçebileceği anlamına geliyordu . En
büyük saldırı coşkusunu (hem iradeyi hem de atılımı birleştiren bir kavram)
gösteren birlikler, savaş alanında her zaman günü geçirirdi. Felsefe büyük bir
popülerlik kazandı. Almanya'da Schlieffen Planı'nın (Alman ordusunun hızlı bir
şekilde seferber edilerek Fransa'yı önce batıda yıldırım saldırısıyla
devirmesini, ardından doğuda Rusya'yla yüzleşmesini öngören) Schlieffen
Planı'nın benimsenmesine yol açtı. Aslında 1913'te askeri yasaya Fransız ordusunun
"bundan böyle saldırı dışında hiçbir yasayı kabul etmeyeceği"
yazıyordu .
Attaque'ın
yalnızca
iki sorunu vardı : tarihçilerin artık "saldırı kültü" olarak
adlandırdığı fikir. Birincisi, Avrupalı güçleri gittikçe daha büyük bir
rekabete ve nihayetinde savaşa sürüklemesiydi. Arşidük Franz Ferdinand'ın
1914'te öldürülmesinin ardından kriz baş gösterdiğinde çok az kişi bunun savaşa
girmeye değer olduğunu düşünüyordu. Ancak çok geçmeden taraflar, kendi
lehlerine harekete geçebilecekleri dar bir fırsat penceresini
kaybettiklerinden, hatta daha kötüsü çaresiz kalacaklarından korktular.
Savunmada kalma korkusu, güçlerin saldırıya geçmesine ve çoğu kişinin
istemediği bir savaşın parçası olarak uzun zamandır planladıkları saldırıları
başlatmalarına neden oldu.
Yeni
bir teknolojinin saldırıyı mı yoksa savunmayı mı desteklediği sorusu, siber
güvenlik açısından kritik bir sorudur; çünkü savaş olasılığından hükümetlerin
ve hatta işletmelerin kendilerini nasıl organize etmeleri gerektiğine kadar her
şeyi benzer şekilde şekillendirebilir. Çoğunlukla siber saldırının siber
savunmaya göre avantajlı olduğu yönünde genel bir varsayım vardır. Pentagon
tarafından finanse edilen bir raporun 2010 yılında sonuçlandığı gibi,
"Siber rekabet, öngörülebilir gelecekte suç ağırlıklı olacak."
Bu
varsayım, dünya çapındaki orduların siber suçlara daha fazla harcama yapmasına
yardımcı olan şey. Saldırının avantajının ardındaki temel düşünce şudur:
"Bilgi sistemlerine saldırmak, saldırıları tespit etmek ve bunlara karşı
savunma yapmaktan daha ucuz ve daha kolay olacaktır." Geleneksel askeri
yeteneklerle karşılaştırıldığında, bir siber saldırıyı bir araya getirmek için
gerekenler Daha da önemlisi, saldırganlar inisiyatife sahip, saldırının
zamanını ve yerini seçebilme avantajına sahipken, savunmacının her yerde olması
gerekiyor.
Bu
her silah için doğrudur ancak siber uzayda birkaç faktör daha devreye girer.
Fiziksel dünyada bölge nispeten sabitken, savunucunun koruması gereken
"toprak" miktarı siber dünyada neredeyse her zaman artıyor,
Bilgisayar ağlarındaki kullanıcı sayısı zaman içinde neredeyse sabit bir artış
eğilimi gösterirken, güvenlik yazılımındaki kod satırı sayısı yirmi yıl önce
binlerle ölçülen, şimdi 10 milyonun çok üzerindedir. , kötü amaçlı yazılım
nispeten kısa ve basit kaldı (bazıları yalnızca 125 satırlık kod kadar kısa ve
öz) ve saldırganın tüm savunma çabalarını potansiyel olarak tehlikeye atması
için tek seferde yalnızca bir düğümden girmesi gerekiyor. Gelişmiş Araştırma
Proje Ajansı (DARPA), şunu ifade etti: "Siber savunmalar çaba ve
karmaşıklık açısından katlanarak arttı, ancak saldırganın çok daha az yatırım
yapmasını gerektiren saldırılar tarafından yenilgiye uğratılmaya devam
ediyor."
Ancak
Birinci Dünya Savaşı öncesinde olduğu gibi hücumun doğal avantajının hikayesi o
kadar basit değil. Gerçekten tehlikeli olan siber saldırıların bir araya
getirilmesi büyük bir uzmanlık gerektirir. Her ne kadar mikrosaniyeler
düzeyinde sonuçlanabilse de, temelin atılması için genellikle uzun süreli
planlama ve istihbarat toplama çalışmaları gerekir. Ne Roma ne de Stuxnet
tabiri caizse bir günde inşa edildi. Bu, hücumun avantajından kaynaklanan nihai
tehdit olan birdenbire sakat bırakan saldırıların siber dünyada sıklıkla tasvir
edildiği kadar kolay gerçekleştirilemeyeceği anlamına gelir.
Suçun
diğer bir zorluğu da siber saldırının sonucunun oldukça belirsiz olabilmesidir.
Bir sistemin içine girebilir, hatta onu kapatabilirsiniz, ancak bu, neyin iyi
bir saldırı olduğuna dair hikayenin yalnızca bir kısmıdır. Hedefiniz üzerindeki
gerçek etkiyi tahmin etmek zordur ve herhangi bir hasar değerlendirmesinin
tahmin edilmesi zor olabilir.
Savunmacı
da siber güvenlik konusunda o kadar çaresiz değil. Saldırganlar, saldırılarının
zamanını ve yerini seçme lüksüne sahip olabilir, ancak hedeflerine gerçekten
ulaşmak istiyorlarsa, birden fazla adımdan oluşan bir "siber öldürme
zinciri" boyunca ilerlemek zorundadırlar . Charles Croom emekli bir ABD
Hava Kuvvetleri korgeneralidir ve bir zamanlar tüm ABD ordusunun BT
ihtiyaçlarını karşılayan kurum olan Savunma Bilgi Sistemleri Ajansı'na (DISA)
liderlik etmiştir ve şu anda Lockheed'in siber güvenlik çözümlerinden sorumlu
başkan yardımcısıdır. Kendisi şöyle açıklıyor: "Saldırganın birkaç adım
atması gerekiyor: keşif yapmak, bir silah yapmak, o silahı teslim etmek,
bilgiyi ağdan çıkarmak. Her adım bir güvenlik açığı yaratır ve hepsinin
tamamlanması gerekir. Ancak defans oyuncusu atağı her an durdurabilir.”
Ve
daha önce de gördüğümüz gibi, siber alanda kaybeden defans oyuncularının oyunu
sadece o alanla sınırlaması gerekmiyor. Saldırganın üzerine, bir tür ekonomik
veya diplomatik maliyet, geleneksel askeri harekat ve hatta siber karşı saldırı
gibi başka maliyetler yüklemeye çalışabilirler. Orada savunmasız oturmak
yerine, saldırıyı caydırmak ya da bundan elde edilecek faydayı azaltmak için
harekete geçebilirler.
Geleneksel
saldırı-savunma dengelerinde ve şimdi de siber güvenlikte öğrendiğimiz en
önemli ders, en iyi savunmanın aslında iyi bir savunma olduğudur. Hangi taraf
avantajlı olursa olsun, savunmanın kabiliyetini artıracak her türlü adım,
hücumdaki hayatı zorlaştırır ve en başta hücum teşviklerini sınırlandırır.
Siber güvenlikte bunlar, ağ güvenliğini sıkılaştıran ve saldırganların izini
sürmek için adli tıpa yardımcı olan her türlü önlemi içerir.
Bölüm
III'te inceleyeceğimiz, riskleri değerlendiren ve bireyleri ve önemli altyapıyı
daha güvenli hale getiren en iyi uygulamaların ötesinde, tehlikeye girse bile
çalışmaya devam edebilecek yeni teknoloji potansiyeli de mevcuttur. Buradaki
fikir, saldırı ve savunmayı ölçmenin paralelliğinin savaş değil, biyoloji
olduğu sistemler inşa etmektir. Vücudumuzdaki bakteri ve virüslerin sayısı söz
konusu olduğunda, insan hücrelerimizin sayısı aslında 10'a 1 kadar fazladır. Ancak
vücut, en tehlikeli olanla mücadele ederek hem direnç hem de direnç kapasitesi
geliştirmiştir. ve Vint Cerf'in ifadesiyle "izinsiz girişle nasıl mücadele
edileceğini" bulmak. Hiçbir bilgisayar ağı insan vücudunu mükemmel bir
şekilde taklit edemez, ancak DARPA ve diğer gruplar öğrenen ve uyum sağlayan
"akıllı" bilgisayar güvenlik ağları üzerinde çalışıyor. Siber
saldırılara karşı direnin. Savunma, rakibi alt etmeye ve durumu onun aleyhine
çevirmeye başlayacaktı. Sadece böyle bir sistemin varlığı bile hücumda
saldırının işe yarayacağı konusunda şüphe uyandırır.
Ancak
son soru, hücum avantajının (eğer mümkünse) aslında sistemi istikrarsızlığa ve
riske mahkûm edip etmeyeceğidir. Bazıları artık siber alandaki asıl sorunun,
suçun bir avantaja sahip olması değil, yeterince konuşulmaması ve bu da
kullanıldığında tüm tarafları risklere karşı uyarmada başarısız olması olduğunu
savunuyor. “Oyunu hızlandırmalıyız; hücum yeteneklerimiz hakkında konuşmalı ve
onlara eğitim vermeliyiz; 2011'de emekli olana kadar ABD'nin siber konulardaki
ilk stratejisinin çoğuna liderlik eden dört yıldızlı Deniz Piyadeleri generali
James Cartwright şöyle dedi: "İnsanların bunun bir cezası olduğunu bilmesi
için onları inandırıcı kılmak." bu bir sırdır, caydırıcıdır. Çünkü onun
orada olduğunu bilmiyorsanız, sizi korkutmaz." (İki yıl sonra, bir siber
silahın ilk gerçek kullanımı olan Stuxnet'in inşasında ABD'nin rolünü ortaya
çıkaran medyaya sızıntıların kaynağı olduğu iddia edilen kişinin General
Cartwright olduğu bildirildiğinde, bu alıntı çok daha büyük yankı uyandırdı.)
Yeni Bir Tür Silahlanma Yarışı: Siber Yayılmanın
Tehlikeleri Nelerdir ?
MÖ
280'de Epirus Kralı Pyrrhus, 25.000 adam, at ve savaş fillerinden oluşan bir
orduyla İtalya'yı işgal etti. Asculum savaşında gücü Romalıları güçlü bir
şekilde mağlup etti, ancak gücünün büyük bir kısmını kaybetti. Subaylarından
biri onu zaferinden dolayı tebrik ettiğinde, umutsuz Pyrrhus'un şöyle yanıt
verdiği söyleniyor: "Böyle bir zafer daha olursa tamamen mahvoluruz."
Bu "Pyrrhic zaferi" fikri, büyük fayda sağlıyor
gibi görünen ancak sonuçta yenilginin tohumlarını eken başarıları tanımlamak
için kullanılmaya başlandı. Artık pek çok kişi Stuxnet'i benzer şekilde
tanımlıyor. Siber silahın geliştirilmesi ve kullanımı ciddi şekilde zarar
gördü. İran'ın nükleer programını birkaç yıl boyunca doğrudan askeri
çatışmadan kaçınacak şekilde yürüttü ancak bunun yapılabileceğini kanıtlayan bu
olay belki de yeni bir tür silahlanma yarışına da sayfa açtı.
Son
on yılda siber silah yapma ve kullanma fikri bilim kurgudan konsepte ve şimdi
de gerçeğe dönüştü. İşin büyük bir kısmı doğal olarak gizlilikle örtülüyor, ancak
çoğu tahmin bu yeni silahlanma yarışının oldukça küresel olduğu yönünde. Bir
raporun belirttiği gibi, “Bir tahmine göre yüzden fazla ülke şu anda siber
askeri yetenekler biriktiriyor. Bu sadece elektronik savunma sistemleri kurmak
anlamına gelmiyor. Bu aynı zamanda 'saldırı' silahları geliştirmek anlamına da
geliyor.”
Ancak
bu ulusların yetenekleri büyük ölçüde farklılık göstermektedir. Tıpkı
geleneksel askeri nüfuzda olduğu gibi Burundi'nin siber gücü de ABD veya
Çin'inkiyle kıyaslandığında sönük kalıyor. Örneğin, Santa Clara, California'da
bir bilgisayar güvenliği firması olan McAfee, Stuxnet benzeri yeni bir silahla
karşılaştırılabilecek bir şey üretebilecek "ileri siber savaş
programlarına" sahip olan yalnızca yirmi civarında ülke olduğunu tahmin ediyor.
ABD
Savunma Bakanlığı'nın Küresel Stratejik İşlerden Sorumlu Eski Yardımcısı
Michael Nacht, tüm bu çalışmaların küresel siyaseti nasıl etkilediğini bize
şöyle anlattı: "Siber uzayda bir silahlanma yarışı zaten sürüyor ve çok
yoğun." Buradaki ironi şu ki, tıpkı ulusların savaş gemilerinden nükleer
silahlara kadar her şeyi inşa etmek için koştuğu geçmiş silahlanma yarışlarında
olduğu gibi, devletler yeteneklerini geliştirmek için rekabet ettikçe
kendilerini daha az güvende hissediyorlar. Gördüğümüz gibi ABD ve Çin belki de
bu oyunun en önemli iki oyuncusu, ancak her ikisi de birbirlerinden gördükleri
tehdit konusunda son derece gergin. Bu belki de silahlanma yarışının gerçek
özelliğidir.
Yirmi
birinci yüzyıldaki bu siber silahlanma yarışının geçmişten farklı kılan
özelliği, bunun sadece bir devletler oyunu olmamasıdır. Tekrar tekrar
incelediğimiz gibi, siber uzayı politika açısından aynı anda bu kadar olumlu ve
sorunlu kılan şey, onun hem kamusal hem de özel aktörler tarafından
doldurulmasıdır. Dolayısıyla silahlanma yarışı söz konusu olduğunda,
merkeziyetsizlik ve ölçek konusunda yeni kırışıklıklar ortaya çıkıyor.
ebeveynlerinin
bodrumunda tek bir genç hacker'ın popüler kinayesi yerine, çeşitli alanlarda
yetenekli birden fazla uzmanın işbirliğini gerektirir ) Siber alan, küçük
grupların potansiyel olarak çok büyük sonuçlar doğurabileceği bir alandır.
Yazılım programlamada Google ve Apple gibi şirketler, iyi bir programcı ile
elit bir programcı arasındaki üretkenlik farkının birkaç kat büyük olabileceğini
buldu. Aynı şey kötü amaçlı yazılım programlayanlar için de geçerlidir. Devlet
dışı aktörler, bireylere kadar artık büyük bir silahlanma yarışında kilit
oyuncular haline geldi; bu daha önce yaşanmamış bir şey.
Örneğin
Stuxnet'i keşfeden siber güvenlik uzmanı Ralph Langner, ABD Siber
Komutanlığının tüm kaynaklarının emrinde olması yerine kendi seçeceği on
uzmanın olmasını nasıl tercih edeceğini bizimle tartıştı. Ralph bir noktaya
değinmek için biraz abartmış olsa da gerçek şu ki, küçük gruplar veya organizasyonlar
daha önceki zamanlarda hayal edilemeyecek bir şekilde anlamlı olabiliyor. Yeni
kötü amaçlı yazılımlar küresel ölçekte son derece zararlı olabilir, ancak yine
de yalnızca birkaç kişi tarafından geliştirilip dağıtılabilir.
Önemli
olan sadece bu grupların gücü değil, aynı zamanda silah kontrol uzmanlarının
nükleer silahların yayılması dediği şeyi paylaşma yetenekleridir. Savaş
gemilerinden ya da atom bombalarından farklı olarak, aynı gruplar ya da
bireyler, eğer isterlerse, herhangi bir yeni yeteneğin nasıl yaratılacağına
dair bilgiyi neredeyse anında milyonlarca kişiye iletebilirler. Örneğin,
Stuxnet'i oluşturmak için uzmanlardan oluşan bir ekibin ortak çabası neredeyse
bir yıl gerektirmiş olabilir, ancak keşfinden birkaç hafta sonra Mısırlı bir
blog yazarı, bu yeni siber silahın yapımına ilişkin çevrimiçi bir nasıl yapılır
kılavuzu yayınladı.
Bu
yeni tür siber yayılma iki yol izleyebilir. Bunlardan biri, doğrudan bir kopya
oluşturarak yeni yeteneği "olduğu gibi" kullanmaya çalışmaktır. İyi
bir savunma, Stuxnet gibi yeni bir silahın kullanılmasıyla tespit edilen ve
istismar edilen herhangi bir açığı kapatacağından, bu o kadar da büyük bir
sorun gibi görünmüyor. Ancak pek çok kötü amaçlı yazılım parçasının tek
seferlik silahlardan daha fazlası olduğu ortaya çıkıyor çünkü potansiyel
hedefleri sorumsuz ve savunmalarını uyarlama konusunda başarısız oluyor.
Langner'ın Stuxnet'i kamuoyuna açıklama konusundaki asıl motivasyonunun bir
kısmı, Batı'daki potansiyel hedefler arasında gelecekte istismar edilmesini önlemek
için gereken satıcı yamalarının benimsenmesini teşvik etmekti. Ancak Stuxnet'in
dünyaya ilk kez tanıtılmasından tam bir yıl sonra Langner ve diğer güvenlik
uzmanları, bazı büyük kamu altyapı şirketlerinin Stuxnet'in saldırdığı güvenlik
açıklarını hâlâ kapatmadığından yakınıyorlardı.
Ancak
daha problemli çoğalma yolu ilham yoluyladır. Yeni türde bir siber silahın her
yapımı ve kullanımı, kalabalığın geri kalanı için çıtayı düşürüyor. Stuxnet,
yeni sıfır gün saldırılarının yanı sıra SCADA denetleyicilerine saldıran yeni
bir veri yükünü içeren karmaşık bir enfeksiyon paketine sahipti; ancak bunun
güzelliği (ve diğerleri için ders), bu karmaşık saldırının farklı bölümlerinin
birlikte nasıl çalıştığıydı. Taklitlerden bazıları oldukça basitti. Örneğin
Duqu, Stuxnet'ten hemen sonra, Microsoft Windows'u kullanan çok benzer bir kod
kullanılarak vahşi doğada keşfedilen bir solucandı. Birçoğu, aynı ekip
tarafından tasarlanan bir sonraki sürüm olması gerektiği fikriyle onu
"Stuxnet'in oğlu" olarak adlandırdı. Bununla birlikte, önemli
benzerlikler olsa da, uzmanlar aynı zamanda temel farklılıkları da fark ettiler
ve bu nedenle artık bunun evrimden ziyade bir ilham vakası olduğuna
inanıyorlar. Ralph Langner'ın bu yeni türdeki nükleer silahların yayılması
sorununu şöyle tanımladığı gibi:
Stuxnet'in
Oğlu yanlış bir isimdir. Asıl endişe verici olan Stuxnet'in bilgisayar
korsanlarına sunduğu kavramlardır. Şu anda sahip olduğumuz en büyük sorun,
Stuxnet'in yüzlerce saldırgan özentisinin aslında aynı şeyi yapmasına olanak
sağlamasıdır. Daha önce Stuxnet tipi bir saldırı belki beş kişi tarafından
oluşturulabiliyordu. Şimdi bunu yapabilecek kişi sayısı 500'e yaklaştı. Şu anda
mevcut olan beceri seti ve bu tür şeyleri yapmak için gereken seviye,
Stuxnet'ten çok fazla şey kopyalayabildiğiniz için önemli ölçüde düştü.
Ulusötesi
suç gruplarının özel siber yetenekleri satın alıp sattığı, kötü amaçlı yazılım
oluşturma ve dağıtma amaçlı gelişen yeraltı karaborsası, bu yayılmayı daha da
sorunsuz ve daha endişe verici hale getiriyor.
Bu kombinasyon,
konu silahlanma yarışları olduğunda siber dünyayı bu kadar farklı kılan şey.
Sorun sadece silahların ardındaki fikirlerin küresel olarak mikrosaniyeler
içinde yayılması değil, aynı zamanda bir planı eyleme dönüştürmek için gerekli
araçların eskiden ihtiyaç duyulan büyük ölçekli insani, finansal veya fiziksel
kaynakları gerektirmemesidir. Tarihsel bir karşılaştırma yapmak gerekirse,
Stuxnet'i ilk kez inşa etmek, Manhattan Projesi'nin siber eşdeğeri olan
gelişmiş bir ekibe ihtiyaç duymuş olabilir. Ama bir kez kullanıldığında, sanki
Amerikalılar bu yeni tür bombayı Hiroşima'ya bırakmakla kalmadılar, aynı
zamanda nükleer reaktöre ihtiyaç duymadan başkaları da inşa edebilsin diye
nazikçe tasarım planını içeren broşürler de attılar.
PastArms Yarışlarından Dersler Var mı ?
“Hızlı
ve ölü arasında bir seçim yapmak için buradayız. . . . Eğer başarısız olursak,
herkesi korkunun kölesi olmaya mahkum etmiş oluruz. Kendimizi kandırmayalım;
Dünya barışını ya da dünyanın yok edilmesini seçmeliyiz."
Haziran
1946'da Başkan Truman'ın kişisel temsilcisi Bernard Baruch, tarihin çok az
hatırladığı muhteşem bir teklifin parçası olarak Birleşmiş Milletler'e bu
konuşmayı yaptı. O dönemde nükleer silahlara sahip tek ülke ABD olmasına
rağmen, elindeki tüm nükleer bombaları Birleşmiş Milletler'e devretmeyi teklif
etti. Baruch'un şartı, diğer tüm ulusların da bunları inşa etmemeyi ve
kendilerini denetime açmayı kabul etmeleriydi. Asil bir jest gibi görünüyordu
ama (üç yıl daha nükleer bomba yapmayı çözemeyecek olan) Sovyetler buna karşı
çıktı. Bunun yerine ABD'nin öncelikle silahlarından vazgeçmesini ve ancak
bundan sonra dünyanın bir kontrol sistemi geliştirmesini talep ettiler. Aynı
zamanda BM'ye karşı da derin bir şüphe duyuyorlardı; BM'nin güvenilemeyecek
kadar ABD'nin hakimiyetinde olduğunu hissediyorlardı (işler ne kadar da
değişti!). İki süper gücün anlaşmazlığa düşmesiyle Baruch'un planı suya düştü.
Bunun yerine, yüz binin üzerinde atom bombasının üretileceği ve Küba Füzesi
gibi yakın çağrılarda olduğu gibi dünyanın defalarca yok edileceği bir dönem
olan önümüzdeki 50 yıllık küresel siyaseti nükleer silahlanma yarışı
şekillendirecek. Kriz.
Günümüzün
ortaya çıkan siber silahlanma yarışları Soğuk Savaş'la aynı olmasa da hâlâ
bundan öğrenilebilecek dersler var. Ya da Mark Twain'in sözleriyle ifade
edersek, tarih her zaman tekerrür etmese de, "Kafiye yapıyor."
En öğretici derslerden biri, filizlenen bir silahlanma
yarışının ilk dönemlerinin çoğu zaman en tehlikeli dönemler olduğudur. Bu ilk
günler karanlık bir kombinasyona sahiptir. Yeni teknolojinin sahipleri
kendilerini eşsiz bir avantaja sahip olarak görüyorlar ama bu avantaj geçici,
"kullan ya da kaybet" zihniyeti yaratıyor. Aynı zamanda teknolojinin
ve sonuçlarının özellikle üst düzey liderler tarafından en az anlaşıldığı dönemdir.
Örneğin Soğuk Savaş'ta muhtemelen en korkutucu zaman Küba Füze Krizi değil, Dr.
Strangelove'un gerçek dünya versiyonlarının ciddiye alındığı ve nükleer
savaşın aslında hiç de öyle olmayan bir şey olduğu iddia edildiği 1940'ların
sonu ve 1950'lerdi . sadece hayatta kalınabilir ama kazanılabilir. Bu, General
Douglas Macarthur'un 1951'de Çin ana karasına atom bombası atılması konusunda
tamamen takdir yetkisi verilmesi talebinden, belki de tüm nükleer konseptlerin
en çirkinlerinden biri olan A-119 Projesi'ne kadar her şeyin görüldüğü bir
dönemdi . Sovyetler 1957'de Sputnik uydusunu uzaya fırlattığında ABD Hava
Kuvvetleri, ABD'nin uzayda da heyecan verici şeyler yapabileceğini göstermek
için aya nükleer füze atılmasını önerdi.
Siber
dünyada bu birleşimin en azından bazı unsurlarının bugün de mevcut olduğuna
dair haklı endişeler var. Ulusal Bilimler Akademisi, gelişen teknolojilerin
"ABD'li politika yapıcıların yanı sıra diğer ulusların politika
yapıcılarının da kullanabileceği seçenek yelpazesini büyük ölçüde
genişlettiğini" ve bunun da liderleri harekete geçme konusunda genellikle
çok istekli hale getirdiğini bildirdi. Rapor şöyle devam etti: "Siber
saldırıların kullanımını yönlendirmek ve düzenlemek için günümüzün politikası
ve yasal çerçevesi kötü biçimlendirilmiş, gelişmemiş ve son derece
belirsizdir." Ya da Siber Çatışma Çalışmaları Derneği başkanı James
Mulvenon'un ifade ettiği gibi: “Sorun şu; siberde 1946 yılıyız. Yani elimizde
bu güçlü yeni silahlar var, ancak bu silahları veya herhangi bir tür
caydırıcılığı destekleyen kavramsal ve doktrinsel düşüncenin tamamına sahip
değiliz. Daha da kötüsü, silahlara sahip olanlar yalnızca ABD ve Sovyetler
değil; dünya çapında milyonlarca insan bu silahlara sahip."
Bunun
anlamı, Soğuk Savaş'ta olduğu gibi, bir ülkenin siber silahlanma yarışında elde
edebileceği büyük stratejik avantajların geçici olacağıdır. Sovyetlerin kendi
bombalarını yapabilmesi için Amerika Birleşik Devletleri'nin yalnızca dört
yıllık bir penceresi vardı. O zamanlar bu inanılmaz derecede hızlı görünüyordu.
Karşılaştırıldığında, siber silahların yayılması İnternet hızında
gerçekleşiyor; dolayısıyla Stuxnet gibi silahlara ilk kullanıcıların sahip
olduğu tüm pencere zaten kapanmış durumda.
Bu da
Soğuk Savaş dönemindeki gibi bir istikrarın sağlanıp sağlanamayacağı sorusunu
gündeme getiriyor. Nükleer silahlanma yarışı neredeyse yarım yüzyıl boyunca
insanlığı felaketin eşiğine getirirken, her iki taraf da nükleer silaha sahip
olduktan sonra denge bozuldu. MAD olarak bilinen terör dalgası yayılmaya
başladı ve büyük güçler birbirleriyle doğrudan savaşmaktan kaçındı. Sorun şu
ki, Soğuk Savaş'tan farklı olarak basit bir iki kutuplu düzenleme yok, çünkü
gördüğümüz gibi silahlar çok daha geniş bir alana yayılıyor. Dahası, saldırılar
ağ bağlantılı, küreselleştirilmiş ve tabii ki gizli olabildiği için, size doğru
gelen bir füzenin dumanlı egzoz dumanının açık ve bariz izleme mekanizmasının
siber eşdeğeri yoktur. Nükleer patlamalar aynı zamanda atom silahlarının
kullanıldığına dair kendi inkar edilemez kanıtlarını da sunarken, başarılı bir
gizli siber operasyonun aylarca veya yıllarca fark edilmeden kalabileceği
belirtiliyor.
Savunma
analisti Rebekka Bonner'ın söylediği gibi, MAD'e kapılmak yerine geçmişteki
silahlanma yarışlarından alınacak en iyi ders "Konuşmak ucuzdur"
olabilir. Silahlanma yarışları nispeten pahalıdır. Gerçekten de, yalnızca
ABD'nin Soğuk Savaş silahlanma yarışına neredeyse 9 trilyon dolar harcadığını
ve bunun "ulusal güvenlikte net bir düşüşe yol açtığını" buldu. silahların
kontrolüne yönelik çabaların değerli olmadığı. Soğuk Savaş sırasında nükleer
silahların oluştuğu süre boyunca, onları çökertmek için ara sıra girişimler
oldu. Bunlar Baruch Planı gibi cesur tekliflerle başladı ve her şeye kadar
devam etti. nükleer bilimciler arasındaki Pugwash diyalogları ile dünya
liderleri arasındaki SALT ve START silah kontrolü görüşmeleri. Hepsi başarıyla
sonuçlanmadı, ancak nispeten maliyetsizdi. Daha da önemlisi, gerilimlerin
azalmasına yardımcı oldular ve sonuçta Soğuk Savaş'ın sona ermesi için masayı
hazırladılar.
Kısım
III'te birazdan inceleyeceğimiz gibi, bugünle yapılan karşılaştırma benzer
çabalara duyulan bariz ihtiyacı ortaya koyuyor. Bu siber silahlanma yarışındaki
çeşitli oyuncuların, Baruch Planı'nın yeni bir biçimindeki yeteneklerinden
vazgeçmeleri pek olası değildir (ve doğrulanamaz). Ancak temel seçim
1940'lardakine çok benziyor. Yollardan biri "korkunun kölesi" olmak,
yalnızca tehditlere odaklanmak ve muhtemelen işe yaramasa bile onlara karşı
koyma yeteneği geliştirmek için yarışmaktır. sonunda çok fazla güvenlik
sağlayın. Diğeri ise siber uzaydaki tüm katılımcıların bu yeni silahlanma
yarışı nedeniyle karşı karşıya olduğu ortak risklerin farkına varmak ve nasıl
sorumlu paydaşlar olabileceğimizi keşfetmektir. Aldığımız yön sadece bu yeni
yirmi birinci yüzyıl silahlanma yarışını şekillendirmekle kalmayacak, aynı
zamanda İnternet'in geleceğini de şekillendirecek.
Perde Arkası : Siber Endüstriyel Kompleks Var mı ?
"Çoğu savaşın aksine, İnternet orta sınıfın gelişmesinde
merkezi olan endüstrilerin sürekli küreselleşmesiyle birlikte korunması gereken
yeni savaş alanları yaratacağından Siber Savaşın sonu olmayacak. Kurumsal
Amerika'yı ve ABD Hükümetini korumak için gereken yatırım neredeyse katlanarak
büyüyecek, kamu ve özel ortaklıklar gelişmek zorunda kalacak, giderek daha
fazla sayıda mevcut savunma şirketi yön değiştirmek zorunda kalacak ve Birleşme
ve Satın Almalar ile yatırım fırsatları artacak. Siber Silah Yarışı'na yatırım
yapmak istiyorsanız, o zaman bu konferans tam size göre."
Bu,
2013 yılında bir konferansa aldığımız bir davetten geliyor. Bazıları tehdit
görürken diğerleri fırsatlar görüyor. Belki de bu hepimizi endişelendirmeli.
Siber
güvenliğin bir sorun olarak yükselişi, bundan para kazanmaya çalışan
şirketlerin sayısındaki artışla el ele gitti. Ve kazanılacak çok para var.
Gerçekten de, yalnızca ABD'deki 2013 siber güvenlik pazarının 65 milyar dolar
olduğu tahmin ediliyor ve en az önümüzdeki beş yıl boyunca yılda yüzde 6 ila
yüzde 9 oranında büyüyeceği öngörülüyor. Yalnızca on yıl içinde siber güvenlik
165 milyar dolarlık bir pazar haline gelebilir. Diğer tahminler halihazırda
siber-endüstriyel kompleksin küresel ölçeğinin "yılda 80 milyar ila 150
milyar dolar arasında bir yerde" olduğunu gösteriyor.
Dikkate
değer olan şey, bu büyümenin geleneksel savunma bütçelerinin düştüğü dönemde
gerçekleşmesidir. Önde gelen bir savunma endüstrisi dergisi, siber güvenlik
dünyasını şöyle tanımladı: "Çorak bir küresel savunma pazarında, siber
güvenlik alanı nadir bir vaha sağladı". Siber güvenlikteki diğer pek çok
şey gibi, patlama da yalnızca Amerika'ya özgü bir olgu değil. Örneğin, 2010
Stratejik Savunma ve Güvenlik incelemesi, kemer sıkma politikalarının ve
Birleşik Krallık hükümetinde dramatik kesintilerin olduğu bir ortamda bile
siber güvenlik finansmanında 1,7 milyar dolarlık bir artış önerdi.London School
of Economics'ten Profesör Peter Sommer'in yazdığı gibi: " Büyük askeri
şirketler, alışık oldukları türden büyük, ağır teçhizatları satmayı son derece
zor bulduklarını anlamalısınız çünkü bizim dahil olduğumuz savaşlar genellikle
isyancılara karşı oluyor. umutsuzca yeni ürün alanları arıyorlar ve bariz ürün
alanının siber savaş olduğunu düşünüyorlar."
Bu
trendlerin devreye girmesiyle geleneksel savunma firmaları, siber sos treni
olarak gördükleri şeye binmek için üç temel yaklaşımı benimsedi. Veya konferans
davetinde bize söylendiği gibi, "geleneksel 'savaş'tan' siber savaşa
geçişte" kendilerini bekleyen "fırsat zenginliğini"
yakalıyorlar.
İlk strateji
kendi iç siber operasyonlarını genişletmek oldu. Lockheed Martin ve Boeing gibi
şirketler daha çok jet savaş uçakları üretmeleriyle tanınıyor olabilir ancak
artık savunma bakanlıkları ve diğer devlet kurumları için siber güvenlik
merkezleri de işletiyorlar. İkincisi, daha küçük siber firmaların satın alma
çılgınlığı yaşandı. Nitekim 2010'dan bu yana savunma şirketleri tarafından
gerçekleştirilen tüm birleşme ve satın alma işlemlerinin yüzde 15'i siber
güvenlik hedefi içeriyordu. Bazen bunlar askeri odaklı firmalar olurken,
diğerlerinde ise diğer alanlardan niş beceriler getiren askeri firmalar oldu.
BAE, Typhoon savaş jetleri ve Queen Elizabeth sınıfı uçak gemileri üretmesiyle
tanınıyor olabilir , ancak aynı zamanda siber dolandırıcılık ve kara para aklamayı
önleme uzmanı Norkom'un gururlu sahibi olmak için 2011'de neredeyse 300 milyon
dolar ödedi. Rakibi Boeing, son beş yılda daha küçük siber güvenlik firmalarını
satın almak için 1 milyar doların üzerinde para harcadı. Son olarak, bir dizi
kurumsal ittifak oluştu. Örneğin Boeing, Japonya'ya sadece F-15 savaş uçakları
satmıyor, aynı zamanda 2012'de önde gelen bir Japon holdingi olan Sojitz ile
iki mega firmanın kritik Japon hükümetinin sivil ve ticari sektörlerinin
korunmasına yardımcı olmayı kabul ettiği bir ortaklık imzaladı. BT altyapıları.
Bir raporun açıkladığı gibi, sonuç şu: "Siber güvenlikle ilgili
yeteneklere sahip şirketler, neredeyse -199<>'ların sonlarındaki
nokta-com seviyelerinde mali değer artışı gördü."
Ancak
bu büyüme, özellikle bu tür firmaların kamu politikasını etkilemek için
aradıkları rol konusunda bazı endişeleri de beraberinde getiriyor. 2001 yılında
Kongre'de siber güvenlik konularında lobi faaliyeti yürüten yalnızca dört firma
vardı. 2012 yılı itibarıyla bu sayı 1489 şirkete yükseldi. Hatta Washington Post
bu fenomenle ilgili "Lobicilere İyi Haber: Siber Dolar" başlıklı
bir makale bile yayınladı.
Information
Warfare Monitor projesinin kurulmasına yardımcı olan siber güvenlik uzmanı
Ronald Deibert'in endişe ettiği gibi: "Bu sadece savunma müteahhitleri
arasında bir tür beslenme çılgınlığı yaratmakla kalmıyor, aynı zamanda daha
incelikli izleme, istismar ve saldırı tekniklerinin geliştirilmesini de teşvik
ediyor." . Bu yeni siber güvenlik pazarı, Dwight Eisenhower'ın yaklaşmakta
olan 'askeri-endüstriyel kompleks' uyarılarını akla getiriyor. Özel sektörün hizmet
verdiği büyük bir savunma bütçeniz olduğunda politika, tehdit algıları ve
stratejik çıkarlar üzerinde muazzam etkiye sahip bir seçim bölgesi
yaratılır."
Bu
potansiyel siber-endüstriyel kompleks artık hem siber savunma hem de saldırı
için daha yeni ve daha iyi modlar geliştirme konusunda çıkar sahibidir; bu da
elbette el ele gitmeli ve bu alandaki tehdit ve gerilim seviyelerini
artırmalıdır. Belki de daha endişe verici olan husus, siber güvenlikteki gerçek
risklerin ve tehditlerin bazen yanlış tanımlanmasıdır. George Mason
Üniversitesi'ndeki siber uzmanlar , "Siber Bombayı Sevmek" (eski
Soğuk Savaş filmi Dr. Strangelove veya How I Learned to Stop Worrying and
Love the Bomb) adlı bir çalışmada, Washington'daki tehdit enflasyonuna dair
kapsamlı kanıtlar buldular. DC'de siber tartışmalar çoğunlukla siyasi veya kâr
amacı güden kişiler tarafından tehditleri abartmaya yönelik yapılıyor.
Gördüğümüz
gibi, bu tür abartılı enflasyon, basit saldırıların savaş olarak yanlış
tanımlanmasından, tamamen yalanlara kadar uzanmaktadır. Defalarca alıntılanan
bir örnek, Brezilya elektrik şebekesine gerçekleştirilen "siber Pearl
Harbor" saldırısıdır. Hatta bu sözde olay, 2009'daki 60 Minutes bölümünde
de yer aldı; uzmanlar, Brezilya'daki bir dizi elektrik kesintisinin siber
saldırılardan kaynaklandığını öne sürdü. Şantaj Elektrik kesintilerinin aslında
tek bir güç tedarikçisindeki siber bağlantılı olmayan arızalar olduğu ortaya
çıktı.
Buradaki
önemli nokta, siber tehditlerin yalnızca büyük bir komplonun işi olduğu ya da
yazar Cory Doctorow'un bir zamanlar söylediği gibi "siber savaşın açgözlü
savunma müteahhitleri tarafından icat edilen anlamsız bir moda kelime
olduğu" değil. İncelediğimiz gibi, siberuzayda çok gerçek ve çok tehlikeli
şeyler oluyor ve aslında bu kitabı bu yüzden yazdık. Ancak bu tehditlerin uygun
bağlam ve anlayışa oturtulması gerekiyor. Ve bu anlayışın bir kısmı da
hepimizin bu alanda kazanılacak çok para olduğunun farkına varmamızı
gerektiriyor. Bu parayla birlikte önyargı ve hatta abartma riski de geliyor.
O
halde çıkarılacak en önemli çıkarım, korkularımızın bizi alt etmesine, hatta
daha kötüsü başkalarının korkularımızı körükleyip bizi kötü kararlar almaya
itmesine izin vermekten kaçınmamız gerektiğidir. Büyüyen siber tehditlerle dolu
bu dünyaya nasıl tepki vereceğimiz, kişisel gizliliğimizden İnternet'in
geleceğine, bölgesel krizlerin ve hatta küresel savaşların olasılığına kadar
her şeyi şekillendirecek. O yüzden bunu doğru yapmaya çalışsak iyi olur. Bölüm
III'ün konusu da budur.
Daha Güvenli Bir İnternet Oluşturamıyoruz ?
Teklif
bir 1 Nisan şakası olarak başladı ancak birçok kişi hâlâ ciddiye aldı.
Bir
bilgisayar ağı ve güvenlik araştırmacısı olan Steve Bellovin, "kurnaz
hacker" olarak adlandırdığı şeyin nasıl püskürtülebileceği konusunda ilk
araştırmacılardan biri olarak, güvenlik duvarları üzerine kitabı tam anlamıyla
yazdığını iddia edebilir. 1 Nisan 2003'te ağ güvenliğini sağlamak amacıyla
İnternet çapında bir standart için yeni bir teklif yayınladı. Siber
güvenlikteki sorunun aslında kötü trafiği iyi trafikten ayırmaktan ibaret
olduğunu belirterek, her paketin üzerinde 1 veya 0 olabilen tek haneli bir
belirteç olan yeni bir bayrakla gelmesini önerdi. 1'e ayarlandığında paketin
kötü niyeti vardır. Güvenli sistemlerin bu tür paketlere karşı kendilerini
savunmaya çalışması gerekiyor .”
Elbette,
İnternet'in yapısının "kötülük" ayarlarını zorunlu kılacak hiçbir
yolu yoktur ve kötü niyetli birinin böyle bir bayrak koymasının hiçbir nedeni
yoktur. Şakanın özü buydu. Bununla birlikte, İnternet güvenliğiyle ilgili
günümüzün tüm sorunlarına bakmak ve yeniden başlamanın bir yolu olup olmadığını
merak etmek kolaydır.
Açıkça
söylemek gerekirse böyle bir fikir işe yaramaz. Bir teknolojinin bir yasa
olmadığını, "yürürlükten kaldırılamayacağını" veya icat
edilmeyeceğini bir kenara bırakırsak, İnternet'ten hemen önce dünyaya geri
dönme fikri, Beverly Hills 90210'u yeniden başlatmak kadar anlamlıdır .
Dünya değişti. Artık ticaretten iletişime, evet hatta çatışmalara kadar her
konuda internete bağımlıyız; siber uzayın modları ve beklentileri ise tüm
neslin dünya görüşüne örülmüş durumda.
Zamanı
geri alamazsak, diğerleri daha mütevazı görünen bir şeyi, siber uzayın daha
güvenli bir bölümünü inşa etmeyi savunuyor: İnternetin sözde kanunsuz Vahşi
Batı'sında kurulan yeni bir barış ve öngörülebilirlik bölgesi. Bu yaklaşım,
İnternet içinde anonimlik ve erişimin sınırlandırılamaması sorunlarını çözecek
güvenilir ağlar oluşturulmasını savunmaktadır. Model yalnızca enerji
santralleri gibi en kritik altyapı sistemlerine veya tüketici bankaları gibi daha
sık görülen çevrimiçi hedeflere uygulanabilir.
Bir
dizi üst düzey hükümet lideri bu ".secure" modelini öne sürdü. Kavram
farklı şekillerde tanımlanmakla birlikte esas olarak mevcut İnternet ve ağ
mimarisinin günümüzün tehditlerini karşılayacak yeterli güvenlikle
tasarlanmadığını ve İnternet'in yeni bir bölümünün tam da bu akılda tutularak
yaratılması gerektiğini savunmaktadır. Hem NSA hem de ABD Siber Komutanlığı
başkanı General Keith Alexander, "güvenli, korunan bir bölge"
gerektiğini savundu. Benzer şekilde, FBI'ın eski Direktör Yardımcısı Shawn
Henry de "yeni, son derece güvenli bir alternatif İnternet"
gerektiğini savundu.
Özel
sektördeki pek çok kişi, İnternet'in ayrılması veya yeniden yapılması
konusundaki bu tartışmaları izledi ve bunlarla ilgili iş fırsatlarını
keşfetmeye başladı. 2012 yılında güvenlik şirketi Artemis, yeni bir .secure
alan adı satın alma ve "İnternette güvenliğin gerekli olduğu ve
kullanıcıların bunu bildiği bir mahalle" oluşturma niyetini açıkladı.
Herhangi bir ağ yönüne odaklanmak yerine, .secure alanı bir çeşit marka
olacaktır. .secure eklentisini kullanmak isteyen herhangi bir web sitesinin,
barındırılan kötü amaçlı yazılım olmaması, tam olarak uygulanmış en üst düzey
korumalar ve hızlı güvenlik açığı düzeltme eki dahil olmak üzere Artemis'in
güvenlik standartlarını karşılaması gerekir.
Bu
yaklaşımlar işe yarayacak mı? İki özelliğe bağlıdır. Birincisi gerçekte ne tür
bir güvenliğin sunulduğudur. Ticari .secure alanı, ağdaki veya
bilgisayarınızdaki kötü niyetli aktörlere karşı koruma sağlamaz. Bunun yerine
yalnızca web sitelerinin güvenliğini sağlayacaktır. Bankanızın web sitesi size
saldırmaz ancak yine de banka hesabı bilgilerinizin çalınmasına karşı
savunmasız olursunuz.
Benzer
şekilde, hükümetin güvenli interneti de çeşitli ek güvenlik biçimlerinden
birini alabilir. En az miktarda yeniden yapılanma ve çaba, ağ düzeyinde bir
katılım modeli oluşturmak ve tehditleri tespit etmek için ağ trafiğine ilişkin
daha fazla hükümet analizine izin vermek olacaktır. Bu elbette faydalar sağlayacaktır,
ancak insanların ihtiyaç duyulan alternatif olarak bahsettiği "daha
güvenli İnternet" türünü yaratması pek mümkün olmayacaktır. Daha katı
teklifler, bağlantıyı desteklemek için ağ düzeyinde bireysel kimlik doğrulama
gerektirir. Gerçek kimlik doğrulamasını ağ düzeyinde (uygulama düzeyinin
aksine) iletecek bir mekanizma geliştirebilsek bile, savunmasız bir bilgisayar
yine de kimlik bilgisi hırsızlığına izin verebilir ve güvenliği zayıflatabilir.
Çözülmesi
gereken ikinci özellik ölçektir. Ağ güvenliği genellikle boyutla ters
orantılıyken, ağ faydası pozitif yönde ilişkilidir. Başka bir deyişle, ağ ne
kadar büyük olursa güvenlik sorunları da o kadar fazla olur, ancak ağ ne kadar
küçük olursa o kadar kullanışlı olmaz. Ağ çok sayıda kuruluşu ve riski kapsıyorsa,
giderek daha fazla insanın hata yapmamasına bağlı olarak güvenliği giderek daha
az kesin hale gelir. Ancak eğer korumanın iç çemberi bu kadar genişlemiyorsa, o
zaman bu savunucuların bahsettiği sorunların çözümünde pek de yararlı olmuyor.
Örneğin, hükümetin yaklaşımı açıkça savunmasız olan daha küçük kuruluşları,
örneğin kırsal bir elektrik santralini kapsayacak mı? Ancak bu daha az
yetenekli kuruluşlar, son derece kritik altyapı için belirlenen yeni yüksek
güvenlik standartlarına nasıl ulaşacak? Dahası, kritik işlevselliğe sahip büyük
bir organizasyona nasıl davranacağız? Maaş bordrosu departmanının da yeni
güvenli İnternet için yeni süper güvenlik standartlarına uyması gerekiyor mu?
Değilse, herkesin kullandığı sistemler ile yalnızca bazı kişilerin belirli
zamanlarda kullandığı kritik sistemler arasında ayrım yapmayı nasıl
sağlayacağız? Gördüğümüz gibi, güvenli ve güvensiz sistemleri "hava
boşluğu" ile ayırmak pratikte çok zordur ve bir güvenlik garantisi
olmamıştır. Bu kadar basit olsaydı, Pentagon'un Güvenli İnterneti (SIPRINET)
olmazdı. Göreceli olarak karmaşık olmayan siber saldırılara defalarca maruz
kalınmadığı gibi Stuxnet de İranlılar için bir sorun teşkil etmedi.
Aynı
tür sorunlar, sadece eklenen katmanlarla özel tarafı da vuruyor. Annenizin tüm
bu yeni moda siber tehditleri duyduğunu ve yalnızca .secure alan adına sahip
web sitelerine güvenmeye karar verdiğini varsayalım. Artık ona ulaşmak isteyen
her firmanın bu gruba katılması gerekiyor. Bu, piyasayı daha fazla güvenliğe
doğru şekillendiren olumlu bir adım gibi görünüyor. Sorun şu ki, pazar
büyüdükçe güvenlik hedeflerinden sapabilecek web sitelerinin (ve bunların
arkasındaki tüm kişilerin) sayısı da artıyor. Dahası, torunu gelip her zaman
.secure kullanmak yerine bilgisayarı veya telefonuyla internette gezindiğinde
korumasını kaybedecek ve artık kendisine satıldığı şekilde çalışmadığında takip
etmeye devam etmek için pek bir neden göremeyecek. marka.
Uygulamada,
tamamen yeni bir İnternet inşa etme konseptlerinin çoğu, Bellovin'in şakayla
karışık "şeytani kısmına" güvenme fikrine çok benziyor. Bu, daha az
riskli bir İnternet hedefinin takip edilmeye değer olmadığı anlamına gelmez.
Ancak yeniden başlamak, sıklıkla tasvir edilen kolay bir seçenek değildir.
Bunun yerine görev, önerilen değişiklikleri dikkatlice analiz etmek ve bunların
maliyetlerini belirli güvenlik hedeflerini etkileme potansiyelleriyle
karşılaştırmaktır.
Güvenliği Yeniden Düşünün: Dayanıklılık Nedir ve Neden
Önemlidir?
“Yüzbinler
İnterneti Kaybedebilir.”
Bu başlığa sahip makaleler 2012 yazında internette o kadar da
ironik bir şekilde yer almadı. Hikaye, FBI'ın DNS Changer virüsünün arkasındaki
grubu yakalamasıyla başladı. Estonya merkezli bu siber suçlu çetesi, dünya
çapında 570.000'den fazla bilgisayara bulaşmayı başarmış ve kurbanın
makinelerini, suçlular tarafından çalıştırılan DNS sunucularını kullanacak
şekilde yeniden programlamıştı. Daha sonra bilgisayarları, bilgisayar
korsanlarının kurbanların ziyaret etmeleri için kandırdıkları web sitelerinden
(14 milyon doların üzerinde) kâr elde edeceği sahte web sitelerine
yönlendireceklerdi. Ancak FBI yüzüğü kapatmaya hazır olduğunda, FBI denetleyici
özel ajanı Tom Grasso şunları söyledi: "Elimizde biraz sorun olabileceğini
fark etmeye başladık çünkü eğer onların suçlularının fişini çekersek
Altyapının bozulması ve herkesi hapse atması nedeniyle
mağdurlar internet hizmetinden mahrum kalacaktı. Ortalama bir kullanıcı
Internet Explorer'ı açtığında 'sayfa bulunamadı' uyarısını alır ve İnternet'in
bozuk olduğunu düşünür."
Bu
problemle karşı karşıya kalan FBI, internet sunucu sağlayıcılığı işine girdi.
İnternet Sistemleri Konsorsiyumu'nun yardımıyla, tutuklamaların olduğu gece
teşkilat, kurbanların bilgisayarlarının kullandığı sahte sunucular tarafından
yürütülen operasyonları devralmak üzere kendi İnternet sunucularından ikisini
kurdu; o sırada bu sunuculara el konulmuştu. FBI kanıt dolabı. Sonraki dokuz ay
boyunca FBI, kurbanlara bilgisayarlarına virüs bulaştığını ve sorunun nasıl
çözülebileceğini anlatmaya çalıştı. Ancak kendi sunucularını 87.000 dolar
maliyetle çalıştırdıktan sonra FBI, güvenlik ağının fişini çekmesi gerektiğini
söyledi ve bu nedenle medyada kitlesel İnternet kaybı uyarıları yapıldı. Neyse
ki Fox News'in tanımladığı “İnternet Kıyameti” önlendi; birçok sistemin artık
kullanılmadığı ortaya çıktı, diğer ISP'ler ise insanları yardıma yönlendirmek
için çeşitli teknik çözümler geliştirdi.
İnternete
bu kadar bağımlı olan bir dünyada, internete erişimi kaybetme korkusu oldukça
gerçektir. Bu sadece Facebook veya Twitter gibi mecralardaki sosyal
bağlantıların kaybolması ya da çevrimiçi kedi videolarının olmadığı bir günün
boşluğu değil, aynı zamanda bunun siyaset ve ekonomi gibi şeyler üzerinde
yaratabileceği etkidir. Sonuç olarak bu tür şoklara karşı “dayanıklılık”
oluşturma ihtiyacı siber güvenliğin sihirli sözcüklerinden biri haline geldi.
Dayanıklılık,
hem aşırı kullanılan hem de yeterince araştırılmayan kavramlardan bir diğeridir.
Vatan Savunma Enstitüsü tarafından yapılan bir araştırmada terimin 119 farklı
tanımı belirlendi. Dayanıklılığın ardındaki genel fikir, olumsuz koşullara uyum
sağlamak ve iyileşmektir. Harika bir kavram ama sorun şu ki bilgisayar
sistemlerinden kendi aşk hayatımıza kadar her şeye uygulanabiliyor. Aslında,
başlığında "dayanıklılık" kelimesi geçen 3000'den fazla kitap var ve
bunların çoğu "kişisel gelişim" bölümünde yer alıyor!
Siber
güvenlikte dayanıklılığı sistemler ve organizasyonlar açısından düşünmeliyiz.
Dayanıklı sistemler ve organizasyonlar saldırılara karşı hazırlıklıdır ve
saldırı altındayken bazı işlevleri ve kontrolü koruyabilirler. Güvenlik uzmanı
Dan Geer bunu "İzinsiz giriş toleransı" olarak tanımlıyor.
"İzinsiz girişlerin gerçekleştiğini ve olacağını varsaymalıyız. Bu izinsiz
girişlerin doğrudan etkisini tolere edebilmemiz ve ne olursa olsun hasar ne
olursa olsun, izinsiz girişlerin gerçekleştiği olasılığını en üst düzeye
çıkarmalıyız. davetsiz misafir, sistem mümkün olduğu ölçüde işini yapmaya devam
edebilir."
Konseptin
arkasında üç unsur var. Birincisi, “düşük koşullar altında çalışabilecek
kasıtlı kapasiteyi” geliştirmenin önemidir. Bunun ötesinde, dirençli
sistemlerin hızla toparlanması ve son olarak gelecekteki tehditlerle daha iyi
başa çıkmak için dersler alması gerekiyor.
Onlarca
yıldır, büyük şirketlerin çoğu yangınlar veya doğal afetler için iş sürekliliği
planlarına sahipken, elektronik endüstrisi hata toleransı olarak ne düşündüğünü
ölçerken iletişim endüstrisi de operasyonlarında güvenilirlik ve yedeklilik
hakkında konuşuyor. Bunların hepsi dayanıklılık fikrine uyuyor ancak çoğu,
kasıtlı bir saldırı yerine doğal afet, kaza, başarısızlık veya kriz varsayıyor.
Siber güvenliğin çok farklı bir yöne gitmesi gereken nokta burasıdır : Yalnızca
güvenilirlik açısından düşünüyorsanız, bir ağ yalnızca yedekler oluşturularak
dayanıklı hale getirilebilir. Bir kasırgaya karşı dayanıklı olmak için , ana
bilgisayar merkezinizde su baskını olması durumunda devreye girmeye hazır yedeklerin
başka bir yerde konumlandırılması yeterlidir . Ancak siber güvenlikte, ağı
anlayan bir saldırgan, tüm bu fazlalıkları birbirine bağlayan anahtar
düğümlerin peşine düşerek her şeyi kapatabilir.
Siber
güvenlikte dayanıklılık, kurumun işlevlerinin korunması öncelikli hedefiyle
başlar. Sonuç olarak, dirençli olmak için gereken eylemler farklılık gösterir.
Hazırlık ve süreklilik, değerli bilgileri hızlı bir şekilde kilitleme veya aksi
takdirde külfetli savunmaları dinamik olarak açma becerisine bağlı olabilir.
Dışa dönük İnternet hizmetleri, daha az verimli ancak daha güvenli bir
alternatif için bazı alternatif süreçlerin uygulamaya konulmasıyla
kapatılabilir. Diğer durumlarda dayanıklılık, hafifletmeye veya "zarif bir
şekilde başarısız olma" yeteneğine bağlı olabilir. Bunun bir örneği, web
sunucularına yapılan saldırıların dahili sunuculara erişim kazanmasını
engelleyen mekanizmalara sahip olmaktır. Bu, şirketin web sitesindeki
resminizin komik bir bıyıkla tahrif edilmesi ile hassas verilerin tehlikeye
atılması arasındaki farktır.
Çoklu
planlı başarısızlık modları kavramı, dayanıklılık planlaması açısından
önemlidir: sistemler ve kuruluşlar tek bir saldırı nedeniyle kritik bir şekilde
başarısızlığa uğramamalı ancak operasyonları sürdürmek için yeterli dağıtılmış
kontrole sahip olmalıdır. Bir diğer önemli nokta ise başarısızlığın açıkça
ortaya çıkması gerektiğidir. Sistem "sessiz arızalara" izin verirse
operatörleri zamanında uyum sağlayamaz.
bir
yöneticinin planlamacıları "Dayanıklı olun" ve "Beklenmedik
olanı bekleyin" gibi sözlerle göndermesi pek yararlı değildir. teknik
yatırım, örneğin herhangi bir bileşenin genel sistem için ne kadar kritik
olduğunu ölçen güvenilirlik ölçümleri vardır, Benzer şekilde, bir sistemin
normalde meydana gelen kazalardan veya saldırıyla ilgili olmayan arızalardan
kurtarılmasının araçlarını ve zamanlamasını anlamak Gerçek bir düşman gerçek
bir saldırı yapmadan önce dışarıdan bir "kırmızı takım"ın potansiyel
güvenlik açıklarını test etmesi ve bunlardan kurtulmayı test etmesi gibi
güvenliği test eden egzersizler özellikle faydalıdır.
Ancak
dayanıklılık insan bileşeninden ayrılamaz. Durumu hızla değerlendirebilen,
dinamik ortamlarla baş edebilen ve deneyimlerinden ders alabilen bireyler,
süreçler ve uygulamalar olmadan uyum sağlama ve iyileşme gerçekleşemez. Ünlü 2.
Dünya Savaşı İngiliz posterinde de tavsiye edildiği gibi, en dirençli tepki
İnternet gökyüzünün düştüğünden korkmak değil, "Sakin Olun ve Devam
Edin"dir.
Belki
de en büyük zorluk, dayanıklılığın yapısal yönlerinin sıklıkla diğer hedeflerle
çelişmesidir. "İnternetin Kıyamet Günü" uyarısını manşetlere taşıyan
medya, yanıt vermek değil okuyucuların ilgisini çekmek istiyor. Kamuoyunun
dirençliliği konusunda bir etik oluşturması gereken aynı hükümet bürokrasileri,
bütçelerini ve güçlerini artıran kamusal korkulardan yararlanıyor. Ve özel
firmalarda bile verimliliğe yönelik teşvikler zıt yönlere doğru ilerleyebilir.
İşten çıkarma sezgisel olarak israftır. Günlük hedeflere ulaşmak, büyük
resimden uzak durmayı gerektirir. Ve değişen koşullara uyum sağlama konusunda
en iyi olan çalışan türü, işe yaramayabilir. Birçok firmanın istediği gibi aynı
şeyi tekrar tekrar yapmakta başarılı olmak. Aslında, Dünya Ekonomik Forumu
kurumsal üyelerine siber dirençli organizasyonlar oluşturmanın önemini
anlatmaya çalıştığında, iş düşüncesi çoğunlukla kamunun iyi niyetine
dayanıyordu. bu güzel ama sonuca odaklanan şirketler için pek de ikna edici
değil.
Ancak
dirençliliğe daha bütünsel bir yaklaşım benimsemeye yönelik teşvikler de
mevcut. Sürekli olarak gökyüzünün düştüğü konusunda uyarıda bulunan medya,
hedef kitlesinin güvenini ve ilgisini kaybeder. Yalnızca tehditlerle
konuşabilen hükümet liderleri dikkate alınmaz. Örgütsel teorisyenler, görünürde
en yüksek verimliliğe sahip işletmelerin aslında çok yalın olduğunu ve uyum sağlama
veya yenilik yapma konusunda yetersiz kaldıklarını fark ettiler. Olumlu bir
kültürü yönlendiren ve gelecekteki büyümeyi mümkün kılan "organizasyonel
gevşeklik"ten yoksundurlar. Esneklik yaratan aynı organizasyonel
özellikler, bu organizasyonel gevşekliğe de olanak sağlar. Benzer şekilde, öz
değerlendirmede daha iyi olmak ve organizasyonun daha geniş hedeflerini anlayan
çalışanlar yetiştirmek, hem dayanıklılığa hem de daha geniş bir misyona
yardımcı olan diğer alanlar.
Dayanıklılığın
tek bir tanımı, yolu veya stratejisi yoktur. İster her yeni üründe yanlış iddia
edilen bir özellik olsun, ister organizasyonel planlama belgelerine eklenen bir
kara kutu olsun, ona gerçek anlamı olmayan sihirli bir moda sözcük gibi
davranmaktan kaçınmamız gerekiyor. Bunun yerine dayanıklılık, farklı parçaların
birbirine nasıl uyduğunu ve saldırı altındayken nasıl bir arada
tutulabileceklerini veya yeniden bir araya getirilebileceklerini anlamakla
ilgilidir. Diğer tüm siber güvenlik çözümleri gibi bu da yalnızca bir mesele veya
mimari ve organizasyon değil, insanlar ve süreçlerle ilgilidir.
Sorunu (ve Çözümü) Yeniden Çerçevelendirin: Halk
Sağlığından Ne Öğrenebiliriz?
1947'de,
o zamanlar Savaş Bölgelerindeki Sıtma Kontrol Bürosu olarak bilinen kurumun
yedi personeli, 10 dolar toplamak için bir koleksiyon topladı. Bir gün yeni
merkezlerini inşa etmeyi planladıkları Georgia'nın DeKalb İlçesinde on beş
dönümlük arazi satın almak için paraya ihtiyaçları vardı. Sonraki altmış yıl
boyunca kuruluş, odağını sıtmanın ötesine genişletti, adını değiştirdi ve
gayrimenkule yapılan 10 dolarlık yatırımın karşılığını fazlasıyla aldı. Bugün
Atlanta'nın hemen dışındaki arazi, tarihteki en başarılı devlet kurumlarından
biri olarak kabul edilen, 15.000 çalışanı olan bir program olan Hastalık
Kontrol Merkezlerine (CDC) ev sahipliği yapıyor. Çiçek hastalığı gibi öldürücü
belayı sona erdiren ve şimdi grip gibi yeni hastalık salgınlarına karşı koruma
sağlayan CDC, modern Amerikan halk sağlığı sisteminin bir siperi olarak hizmet
ediyor.
Soğuk Savaş, siber güvenliğe ilişkin politika tartışmalarında
açık ara en sık kullanılan benzetme olsa da, bu tarihsel paralellik aslında o
kadar da uygun değil. Soğuk Savaş, siyasi liderliği ve karar alma mekanizması
açıkça Washington ve Moskova'da bulunan, her biri müttefik anlaşmalar ve
bağımlı devletlerden oluşan bir ağ kuran ve sözde Üçüncü Dünya üzerinde rekabet
eden iki süper güç arasındaki bir rekabetti. Buna karşılık, İnternet bir
hükümetler ağı değil, milyarlarca kamu ve özel kullanıcının, 5.000'den
fazla İnternet servis sağlayıcısının (ISP) ve sahip olduğu taşıyıcı ağların
elindeki bir altyapı üzerinden seyahat eden dijital faaliyetleridir. bir dizi
işletme tarafından. Soğuk Savaş aynı zamanda iki rakip siyasi ideoloji
arasındaki fikir savaşıydı. İnternette dolaşan fikirler bazen ifade özgürlüğü
ve insan hakları da dahil olmak üzere ciddi ideolojilere değiniyor, ancak aynı
zamanda her gün YouTube'a yüklenen 800.000 saatlik klavye çalan kedi videoları
ve pop şarkı parodilerini de içeriyor.
Pek
çok uzmanın CDC gibi kurumların siber güvenliğin ihtiyaç duyulan geleceği için
daha uygun bir karşılaştırma olduğunu iddia etmesine yol açan da bu
çeşitliliktir. Sorun yalnızca kötü amaçlı yazılımların yayılması ile bulaşıcı
hastalıkların yayılması arasında pek çok benzerlik bulunması değildir
(terminoloji bile aynıdır: “virüsler”, “enfeksiyon” vb.). Daha geniş halk
sağlığı yaklaşımı da şu şekilde olabilir: Genel olarak siber politikanın nasıl
daha etkili bir şekilde yeniden tasarlanabileceğine dair yararlı bir rehber.
CDC
gibi kuruluşlar, araştırma kuruluşları olarak hizmet vererek, ortaya çıkan
tehditleri anlamaya çalışarak, güvenilir takas odalarının yanı sıra, bilgileri
ihtiyacı olan herkesle şeffaf bir şekilde paylaşarak halk sağlığında önemli bir
rol oynamaktadır. CDC'nin başarısı, kendinizi soğuk algınlığından nasıl
koruyacağınızdan kuş gribinin en son genetik analizine kadar her konuda
güvenilir raporlama için tek adres haline getirmiştir.
Siber
tehditlere etkili yanıtları gölgeleyen bilgilerle ilgili benzer sorun göz önüne
alındığında, artık eşdeğer bir "Siber CDC'ye" ihtiyaç duyulabilir.
Konsept, CDC'ye çok benzeyen, Ulusal Güvenlik gibi ilgili bir departmana bağlı,
ancak araştırma ve bilgi paylaşımı şeklindeki temel misyonuna odaklanacak kadar
bağımsız bir kurum oluşturmaktır; bu da onu hem CYBERCOM gibi organizasyonlardan
hem de özel firmalardan farklılaştırmaktadır. kendi çıkarları ile. Gerçekten de
siber güvenlik araştırma firmalarının bilgi biriktirmeye yönelik teşvikleri,
hastalıkların ortaya çıkmasını görmekten memnun olmasalar da tedavinin
patentini alan firma olmayı tercih eden ilaç şirketlerinin teşvikleriyle
paralellik gösteriyor.
Bir
çalışmanın açıkladığı gibi, siber CDC eşdeğerinin "işlevleri tehdit ve
olay izlemeyi, veri yaymayı, tehdit analizini, müdahale önerilerini ve önleyici
eylemlerin koordinasyonunu içerebilir." Tıpkı CDC'nin artık Atlanta'nın
ötesinde ülke genelinde çeşitli tür ve bölgelerdeki hastalık salgınlarını
araştırmasına ve izlemesine izin veren ofisleri olması gibi
("Merkezler" adı da buradan gelmektedir). Cyber CDC eşdeğeri , World Wide
Web'de ortaya çıkan tehditlerin etrafında daha geniş bir ağ oluşturmak
amacıyla kendisini fiziksel ve sanal olarak dağıtır . Aynı zamanda , CDC'nin
hastalık salgınları üzerine yaptığı araştırmaların bireysel vaka kimliklerinden
ziyade eğilimlere odaklandığı gibi, mahremiyet kaygılarını da giderebilecektir
. Bir blogun şaka yaptığı gibi, "Aslında, CDC'nin halihazırda yaptığı her
şeyi alın ve önüne bir siber tokat atın."
Modern
halk sağlığının temel direklerinden biri, sistem genelinde eylem sorumluluğunun
paylaşılmasıdır. Dolayısıyla, CDC'nin siber versiyonu tek başına kalmayacak,
tıpkı CDC'nin CDC gibi gruplarla kolektif olarak çalışması gibi, siber uzayda
önemli olan devlet dışı aktörlerin yanı sıra çeşitli diğer devlet ve
uluslararası kuruluşlarla işbirliği için bir merkez görevi görecektir. Dünya
Sağlık Örgütü'nden (WHO) yerel hastanelere, üniversitelerden araştırma
merkezlerine kadar. (Siber için uluslararası düzeyde bir DSÖ eşdeğeri için
ileri sürülmesi gereken bir tartışma var, ancak bu düzeyde bir uluslararası
işbirliği şu anda çok uzak bir köprü olabilir).
Siber
güvenliği bir halk sağlığı sorunu olarak çerçevelemek yalnızca daha etkili
olmakla kalmayıp, aynı zamanda çok büyük politika ve politik sonuçlara da yol
açabilir. Daha da önemlisi, yeniden düşünmek, kasıtlı saldırılar sorununu hala
göz önünde bulundururken (örneğin, halk sağlığı biyolojik silah saldırılarına
karşı savunma yapmalıdır), odağı sadece siber saldırı-karşı saldırı meminden
uzaklaştırıp bireyler arasında ihtiyaç duyulan işbirliği hedefine kaydırıyor. ,
şirketler, eyaletler ve uluslar. Liderlerin "silah üretimi için siber
Manhattan Projesi" çağrısında bulunan mevcut eğiliminin aksine, meseleye
sağlık merceğinden bakmak, hükümet koalisyonlarının ve ağ düzenleyicilerinin
çözümler etrafında işbirliği yapmasına ve temel birçok sorunun peşine düşmesine
yardımcı olacaktır. Gerçekten de, yalnızca araştırma ve bilgiye odaklanarak
bile böyle bir kurum, tıpkı CDC'nin sağlık versiyonunun yaptığı gibi, hararetli
siyasi ortamlarda önemli bir aracı görevi görebilir. Sovyet sağlık bakan
yardımcısı tarafından uygulamaya konulan bu öneri, CDC'nin Soğuk Savaş
düşmanları arasında alternatif bir işbirliği yolu olarak hizmet etmesine olanak
tanıdı.)
Çoğu
hastalığın ortadan kaldırılması gibi, halk sağlığının siber eşdeğeri de hem
yayılmanın nedensel faktörlerine hem de vektörlerine odaklanmak olacaktır.
Örneğin, botnet'ler spam yayarak İnternet üzerinde büyük miktarda enfeksiyona
neden oluyor, ancak aynı zamanda daha gelişmiş siber saldırılar gerçekleştiren
daha yönlendirilmiş, kötü niyetli aktörlerin izini sürmeyi de zorlaştırıyor.
CDC'nin sıtmayı hedef almasına benzer şekilde, virüs bulaşmış bilgisayarları
çevrimdışına alma, hangi ISP'ler (ve hangi IP adresi sahipleri) hakkında bilgi
toplama ve paylaşma çabaları yoluyla botnet'lerin "İnternet bataklığını
boşaltmak" için özel çabalar sarf edilebilir. ) en kötü niyetli trafiğin
yaratıcıları veya geçiş noktalarıdır ve en iyi uygulamaları takip eden firmaların
"beyaz listelerini" geliştirerek ağ sağlayıcıları arasındaki
işbirliğini geliştirmektir.(Bir ankette ağ sağlayıcılarının yüzde 27'sinin
"algılamaya çalışmadığı" ortaya çıkmıştır. ) Giden veya çapraz
saldırılar ve bunu yapanların neredeyse yarısı bu tür saldırıları hafifletmek
için hiçbir eylemde bulunmuyor.")
Halk
sağlığında olduğu gibi, bu tür bir işbirliği ideal olarak bireysel seviyeye
kadar uzanacaktır. Örneğin CDC, ortalama Amerikan vatandaşının kendilerini
güvende tutmak ve tehlikeli hastalıkların yayılmasını önlemek için atmaları
gereken temel adımlar konusunda farkındalığını ve eğitimini artırmaya yönelik
çabalara öncülük etmiştir. CDC'nin araştırmasından ortaya çıkan temel kavram,
Ben Franklin'in "Bir ons önleme, bir kilo tedaviye bedeldir" sözünün
gerçekten doğru olduğudur. Sıtmadan HIV'e kadar her şey üzerinde yapılan
çalışmalarda CDC, hastalıkların önlenmesinin önemli olduğunu buldu. Kontrole
giden en iyi yol ve dolayısıyla etkili önleme, bireysel sorumluluk etiğinin
oluşturulmasını gerektiriyordu.Ellerinizi yıkamanın bulaşıcı hastalıkların
yayılmasını nasıl önleyebileceğine dair iş yeri hatırlatmalarından, bu
çalışmanın meyvelerinin günlük hayatlarımıza ördüğünü görüyoruz. mevsimsel
gribin TV'de ve web reklamlarında cinsel ilişkiden uzak durmanın ve prezervatif
kullanmanın cinsel yolla bulaşan hastalıkların yayılmasını nasıl
önleyebileceğine dair reklamları.
Aynı
tür "siber hijyen" ve "siber güvenlik" etiği, tehditlerin
ve kötü amaçlı yazılımların yayılmasını önlemeye yardımcı olmak için siber uzay
kullanıcılarını kendi sorumlulukları konusunda ikna etmeye yönelik benzer
çabalarla desteklenebilir. Microsoft Güvenilir Bilgi İşlemden Sorumlu Başkan
Yardımcısı Scott Charney şöyle açıklıyor: "Aşı olmayan bir kişinin
başkalarının sağlığını riske atması gibi, korunmayan veya bir botla ele
geçirilen bilgisayarlar da başkalarını riske atar ve daha büyük bir risk
oluşturur. Toplum için tehdit."
Tarihten Ders Alın: (Gerçek) Korsanlar Bize Ne
Öğretebilir?
1522'de
üç İspanyol kalyonu Küba'nın Havana kentinden İspanya'nın Sevilla şehrine doğru
yola çıktı. Gemilere kelimenin tam anlamıyla tonlarca altın, zümrüt, yeşim ve
inci yüklendi; Aztek imparatorluğunun tüm zenginlikleri tek bir devasa
sevkiyatta toplandı. Hernando Cortés Meksika'yı yeni fethetti ve hazinesini
haraç olarak kralı V. Charles'a gönderiyordu. Ancak filo uzun yolculuğuna
çıktığında ufukta beş gemi daha belirdi. Hazine yüklü hantal gemiler kaçamadı.
Kısa bir kavga çıktı ve İspanyollar, Jean Fleury adlı bir Fransız kaptanın
liderliğindeki bir filoya yenildi. Fleury, Aztek altınını çalarak nihai skoru
elde etmişti. Bu bölüm, gelecek nesillere, Treasure Island gibi kitaplarda ve
Karayip Korsanları gibi filmlerde romantikleştirilen, "Korsanlığın
Altın Çağı" olarak bilinen dönemi başlatma konusunda ilham verecek .
Geçmiş
yüzyıllarda deniz, günümüzün interneti gibi, hiçbir aktörün tam kontrol sahibi
olamayacağı temel ticaret ve iletişim alanıydı. Çoğu kişi denizi sadece normal
ticaret ve iletişim için kullanırken, yine günümüz interneti gibi kötü işler
yapanlar da vardı. Bireysel korsanlardan küresel varlığa sahip devlet
ordularına kadar geniş bir çeşitlilik gösteriyorlardı. Bunların arasında,
korsanlar olarak bilinen, devlet onaylı korsanlar da vardı. Günümüzün
"vatansever bilgisayar korsanlarına" (veya NSA veya Siber Komuta gibi
devlet kurumları için çalışan özel yüklenicilere) paralel olarak, özel kişiler resmi
olarak devletin bir parçası değildi ancak devlet adına hareket etme iznine
sahipti. ve uzaklara yayılmış deniz varlıklarını savunanlar için kimlik
belirleme (siber tabirle atıf) zorluklarını eklemek.
Bu korsanlar ve korsanlar, hırsızlık ve kaçırmadan ticaret
ablukalarına ("hizmet reddine" benzer şekilde), ekonomik altyapıya ve
askeri varlıklara yönelik fiili saldırılara kadar siber eşdeğerleri olan
çeşitli faaliyetlerde bulunacaklardı. Örneğin 1812'de Amerikan özel filosunun
sayısı 517'den fazla gemiydi; ABD Donanması'nınki ise 23 gemiydi. Her ne kadar
İngilizler Amerika'nın başkentini fethedip yakmış olsa da, özel Amerikan filosu
İngiliz ekonomisine o kadar zarar vermişti ki , Günümüzün siber
uzayında olduğu gibi, büyük güçler için en büyük zorluklardan biri, bir
saldırganın kimliğini ve yerini hızla değiştirebilmesi, bayraklarını
değiştirebilmesi ve genellikle gevşek yerel yasalara sahip üçüncü taraf
limanlarından yararlanabilmesiydi.
Deniz
korsanlığı hala bizimle birlikte, ancak Somali gibi başarısız devletlerin
kıyılarında sınırlı kalıyor ve altın çağıyla karşılaştırıldığında çok küçük bir
ölçekte gerçekleşiyor (küresel gemi taşımacılığının yalnızca yüzde 0,01'i
günümüz korsanları tarafından ele geçiriliyor). Siber dünyada gördüğümüz en
korkunç saldırıların paraleli olan özelleştirme tamamen tabu. Korsanlar 1812
Savaşı'nda ABD'ye İngilizlere karşı yardım etmiş olabilirler, ancak 1861'de
Amerikan İç Savaşı başladığında Başkan Lincoln yalnızca kiralık yağmacıları işe
almayı reddetmekle kalmadı, aynı zamanda Konfederasyonları bu işe almaları
nedeniyle ahlaksız olmakla suçladı. onlara.
Bu
değişimin ortaya çıkma şekli, bugün siber güvenliğin araştırılması için
öğretici bir paralellik sağlıyor. Denize benzer şekilde siberuzay da belirli
ilgi ve kapasitelere sahip aktörlerden oluşan bir ekosistem olarak
düşünülebilir. Sorumluluk ve hesap verebilirlik doğal piyasa sonuçları değildir
ancak kötü davranışları mümkün kılmak veya daha büyük kamu düzenini desteklemek
için teşvikler ve çerçeveler oluşturulabilir.
Denizde
korsanlığı ve korsanlığı kısıtlamak için, savunmaları desteklemek veya büyük
saldırı tehdidinin ötesine geçen iki yönlü bir yaklaşım gerekti (bunlar siber
güvenlikte tek seçenek olarak sıklıkla konuşulur ve yine en kötü düşüncelerle
yanlış karşılaştırmalar yapılır). Soğuk Savaş). İlk strateji, kârları
uygulamaya koyan ve kötü davranışların çarklarını yağlayan temel limanların,
piyasaların ve yapıların peşine düşmekti. Korsan ganimetlerinin ticaretine yönelik
büyük pazarlar kesintiye uğradı ve kapatıldı; Port Royal, Jamaika gibi korsan
dostu şehirler dizginlendi ve Güney Akdeniz ve Güneydoğu Asya'daki korsanları
barındıran hükümdarlara karşı ablukalar başlatıldı.
Günümüzde
bu korsan cennetleri ve pazarlarının modern siber eşdeğerleri bulunmaktadır. Ve
tıpkı eski korsan dostu limanlar gibi, siber suçlara yasal olarak serbest geçiş
hakkı tanıyan şirketlerin ve devletlerin önemli bir kısmı biliniyor. Bunlar,
bilinen kötü amaçlı yazılımlardan ve diğer siber kara pazarlardan, dünya
çapındaki tüm virüslü makinelerin yaklaşık yarısını oluşturan elli İnternet
servis sağlayıcısına kadar uzanmaktadır. Bu limanların ve ağların desteği
olmadan, çevrimiçi suç örgütlerinin yasa dışı eylemlerini gerçekleştirmeleri
daha zor olacaktır; bu, yalnızca siber denizleri temizlemekle kalmayacak, aynı
zamanda altyapıya yönelik daha ciddi saldırıların tespit edilmesini ve bunlara
karşı savunma yapılmasını da kolaylaştıracaktır. tür ve benzeri.
Beyaz
Saray'ın siber uzay konularındaki politika ekibine liderlik eden Melissa
Hathaway, bunun kötü niyetli siber faaliyetlerin "bataklığını
kurutmak" ve oyun alanını lehimize çevirmek için bir strateji olduğunu
söyledi. Denizdeki korsanlıkta olduğu gibi, çabaların bir kısmı işbirlikçi bir
küresel çabanın parçası olarak gerçekleştirilebilirken, hacker araçlarının
işlem gördüğü pazarları bozma veya yok etme operasyonları ve izleme gibi diğer
eylemler tek taraflı olarak gerçekleştirilebilir. ve saldırganların
varlıklarını hedef almak.
Bu,
bir sonraki bölümde ele alınan ikinci stratejiyle, anlaşmalar ve normlardan
oluşan bir ağ oluşturulmasıyla bağlantılıdır. Fleury'nin saldırısı, korsanların
altın çağını başlattı; bu, korsanlar için harika bir şeydi, ancak o zamanın
hükümetleri de dahil olmak üzere herkes için öyle değildi. Bireysel düzeyde
hoşgörüyle karşılanan korsanlar, ekonomik refaha yönelik genel bir tehdit
olarak görülmeye başlandı. Buna karşılık, yararlı araçlar olarak görülen
korsanlar, bu eyaletlerde oluşturulan resmi donanmaların bürokratik rakiplerine
dönüştüler (burada da, devletler kendi resmi siber sistemlerini daha fazla inşa
ettiğinde vatansever bilgisayar korsanlarının parlaklıklarını kaybetmesine
benzer). askeri birlikler). Janice Thompson'ın korsan ticaretinin neden sona
erdiğine ilişkin ufuk açıcı çalışmasında anlattığı gibi, Paralı Askerler,
Korsanlar ve Hükümdarlar, deniz korsanları (ve bunların devlet onaylı
muadilleri), ulusların değerleri değiştikçe marjinalleştiler ve daha fazla güç
kullanma ihtiyacını gördüler. ve kontrol.
Çok
geçmeden açık denizlerde açık ticaretin genel ilkesini belirleyen bir
anlaşmalar ağı oluşturuldu. Bazıları ikili, diğerleri çok taraflı olan
anlaşmalar, deniz egemenliğine ancak bir ulusun kendi sınırları içerisinden
kaynaklanan herhangi bir saldırının sorumluluğunu üstlenmesi durumunda saygı
duyulacağını ileri sürüyordu. Yavaş ama emin adımlarla küresel bir davranış
kurallarına giden yolu açtılar. 1856'ya gelindiğinde kırk iki ülke, korsanlığı
ortadan kaldıran ve korsanları resmi olarak kabul edilmiş aktörlerden dünyanın
tüm büyük güçleri tarafından takip edilecek uluslararası paryalara dönüştüren
Paris Deklarasyonu'nu kabul etti.
Bugünün
siber paralelliği, bir kez daha, tüm netizenlerin internette, özellikle de
çevrimiçi ticarette, tıpkı açık okyanusta sağlandığı gibi, hareket özgürlüğü
konusunda ortak bir küresel beklentiye sahip olmasıdır. Eğer bilerek deniz
korsanlarına veya korsanlara ev sahipliği yapıyor veya yataklık ediyorsanız,
onların eylemleri size yansır. Aynı şey çevrimiçi ortamda da geçerli olmalıdır.
Bu normları oluşturmak, hem eyaletleri hem de şirketleri bireysel bilgisayar
korsanlarını ve suçluları (korsan eşdeğeri) daha iyi kontrol etmeye motive
edecektir. Ayrıca, kötü eylemleri vatansever bilgisayar korsanlarına (son
zamanların korsanları) dış kaynak olarak kullanmanın değerini de
zayıflatacaktır.
Bu
yaklaşım, yeni hesap verebilirliği teşvik etmenin yanı sıra, anlaşamayan iki
devletin birlikte çalışmanın ve güven oluşturmanın yollarını bulabileceği
"güven artırıcı önlemler" olarak bilinen fırsatlar da sunuyor.
Örneğin, İngiliz Kraliyet Donanması ve yeni yeni ortaya çıkan ABD Donanması,
sürekli olarak birbirlerine karşı düşmanlıklara hazırlanıyorlardı ki bu, yakın
zamanda iki açık savaşa girdikleri için mantıklıydı.Fakat normlar ağı yayılmaya
başladıkça, aynı zamanda korsanlık ve kölelik karşıtlığı konusunda da işbirliği
yapmaya başladılar. Bu işbirliği, küresel normların altını çizmenin ötesinde
bir şey yaptı: iki güç arasında yakınlık ve güven inşa etti ve çeşitli krizler
sırasında askeri çatışma tehlikesinin azaltılmasına yardımcı oldu. Benzer
şekilde, bugün ABD ve Çin kendi güçlerini desteklemeye devam edecekler ve
kesinlikle edecekler. Siber askeri yetenekler. Ancak Kraliyet Donanması ve
1800'lerdeki yeni Amerikan Donanması gibi, bu da işbirliği inşa etmenin önünde
bir engel olmamalıdır. Örneğin, her iki ülke de Çin'in "çifte suç"
olarak adlandırdığı eylemlerin peşine düşebilir. Her iki ülkenin de yasa dışı
olarak tanıdığı siber uzay.
Buradan
alınacak ders, ticaret ve iletişimin güvenli hale getirilmesi ve başıboş
korsanların ve korsanların kontrol altına alınmasıyla dünyanın daha iyi bir yer
olduğudur. Aslına bakılırsa korsanlar için bile dönem hiçbir zaman bu kadar iyi
geçmedi. Jean Fleury tüm o Aztek altınını elinden aldı ama henüz öndeyken
vazgeçmesi gerekirdi. Nihai korsan saldırısından sadece beş yıl sonra, başka
bir baskın seferinde İspanyollar tarafından yakalandı ve asıldı.
World Wide Web
için Dünya Çapında Yönetişimi Koruyun:
Uluslararası Kuruluşların Rolü Nedir?
1865'te
dünyanın dört bir yanından mühendisler bir ikilemi tartışmak için Paris'te
toplandılar. "Telgraf" (Yunanca'da "uzak yazı" anlamına
gelen sözcüklerden alınmıştır) adı verilen yeni bir teknolojinin icadı, tüm
dünyaya hızla yayılmış ve insanları asla mümkün olabileceği düşünülmeyen bir
şekilde birbirine bağlamıştı. Tek sorun, mesajların Ulusal sınırların ötesine
gönderilen ülkelerin her biri farklı tarifeler uyguluyordu. farklı ekipman türleri ve mesajlar için
farklı kodlar kullanıldı. Örneğin, Amerikan telgrafları, mucit Samuel Morse'un
alfabenin harflerini temsil eden dört temel anahtardan oluşan desen konseptini
kullanarak iletişim kurarken, Almanlar, Frederich Gerke tarafından icat edilen
ve yalnızca iki anahtarı kullanan değiştirilmiş bir versiyonla iletişim
kuruyordu (buna ironik bir şekilde "şimdi buna" diyoruz). Mors
kodu").
Toplantıda,
Avrupalı güçlerin temsilcileri (telgraf ağları özel mülkiyete ait olduğu için
davet edilmeyen Büyük Britanya hariç - günümüzün İnternet sorunlarına paralel
bir durum) telgraf kullanan tüm ulusların izleyeceği bir dizi standart üzerinde
anlaştılar. Bu anlaşmalar, uluslararası telgraflar için tek tip tarifeleri, tüm
yazışmalarda gizlilik hakkını ve Mors kodunun (Almanca versiyonu) uluslararası
kullanımını içeriyordu. Bu çabaları yönetmek ve izlemek için yeni bir hükümet
organı olan Uluslararası Telgraf Birliği (ITU) oluşturulacaktı. Paris
toplantısında diğerlerini bilgeliği ve neşesiyle etkileyen İsviçreli mühendis
Louis Curchod tarafından yönetilecekti.
Bu,
hem uluslararası iletişim hem de işbirliği açısından bir dönüm noktasıydı ve
haberler elbette telgraf yoluyla anında dünyanın dört bir yanına yayıldı. Ancak
insanları birbirine bağlamak için uluslararası bir örgütün kullanılmasına
ilişkin bu yeni konseptin bir uyarısı vardı; ITU anlaşması, ulusların
"devlet güvenliği açısından tehlikeli veya ulusal yasaları, kamu düzenini
veya ahlakı ihlal ettiğini düşündükleri herhangi bir aktarımı durdurma hakkını
da saklı tuttuğunu" belirten bir madde içeriyordu. ITU, yeni bir küresel
iletişim çağının sağlanmasına yardımcı oldu, ancak aynı zamanda eski
hükümetlerin bunun kontrolünü elinde tutmasını da sağladı.
İnternetin
sınırları olmayan, hükümetlerin bir önemi olmadığı ve dolayısıyla ait olmadığı
bir yer olduğuna dair bir görüş var. Electronic Frontier Foundation'dan John
Barlow belki de bu duyguyu en iyi şekilde "Siber Uzayın Bağımsızlığı
Bildirgesi"nde yakalamıştır. “Endüstriyel Dünyanın Hükümetleri, sizi etten
ve çelikten oluşan yorgun devler... Sizden geçmişe dair bizi rahat bırakmanızı
rica ediyorum. Aramızda hoş karşılanmıyorsun. Toplandığımız yerde egemenliğiniz
yoktur. . . . Siber uzay sizin sınırlarınızın içinde değildir. . . . Aramızda
çözmeniz gereken sorunlar olduğunu iddia ediyorsunuz. Bu iddiayı bölgelerimizi
işgal etmek için bahane olarak kullanıyorsunuz. Bu sorunların çoğu mevcut
değil. Gerçek çatışmaların olduğu yerde, yanlışların olduğu yerde bunları
tespit edip kendi imkanlarımızla çözeceğiz.”
Bu
düşüncedeki sorun iki yönlüdür. Birincisi, hükümetler İnternet'in küresel
ticaret ve iletişim için, hatta daha da önemlisi kendi ulusal güvenlikleri ve
ekonomik refahları için hayati önem taşıdığını gördüler. Ve böylece, istenmeyen
olsalar bile, siber uzayda gerçek sorunları aynı anda çözerek ve yaratarak işin
içine giriyorlar. İkincisi, uluslararası ilişkiler uzmanı Robert Axelrod'un
yazdığı gibi, siber uzayda gerçek bir fiziksel bölge veya sınır olmasa da, bu
hükümetler "ilginç bir gerçeğin farkına vardılar: ağın her düğümü, her
yönlendiricisi, her anahtarı Bir ulus-devletin egemen sınırları içinde olan ve
dolayısıyla onun yasalarına tabi olan veya egemen bir ulus-devlet içinde
kurulmuş ve dolayısıyla onun yasalarına tabi olan bir şirketin sahip olduğu denizaltı
kablosu veya uydu bağlantısıyla yapılan seyahatler. Başka bir deyişle siber
uzayın egemen olmayan, 'özgür' bir parçası yoktur.”
Bunun
sonucu önemli bir değişimdir. Ülkeler uzun süredir interneti hem yasal hem de
operasyonel olarak kendi sınırları içinde kontrol etmeye çalışıyorlar. İnternet
Yönetişim Projesi'nin bir raporunda belirtildiği gibi, “Bradley Manning'in
hapiste olmasının ve WikiLeaks'e zulmedilmesinin nedeni budur; Çin'in Büyük
Güvenlik Duvarı'nı inşa etmesinin nedeni budur; Güney Kore'nin Kuzey Kore'ye
internet erişimini sansürlemesinin nedeni budur; bunun tersi de geçerlidir;
Fransa'nın, Nazi hatıralarını sergilediği gerekçesiyle Yahoo'ya dava açmasının
nedeni budur."
Yakın
zamanda ortaya çıkan şey, siber uzayın uluslararası düzeyinde rejim
değişikliğine yönelik bir baskıdır. Görünürdeki neden siber güvenliktir.
ITU'nun kökeninde olduğu gibi, bu sınır ötesi teknolojinin kullanımı ve kötüye
kullanımı konusunda daha iyi teknik koordinasyonun teşvik edilmesine ihtiyaç
vardır. Gerçekte, birçok hükümetin İnternet yönetişiminin ardındaki çoğunlukla
hükümet dışı yapılardan duyduğu rahatsızlıktan kaynaklanan temel bir kontrol
sorunu da vardır.
Fred
Tipson, ABD Barış Enstitüsü Bilim, Teknoloji ve Barış İnşası Merkezi'nin Özel
Danışmanıdır ve aynı zamanda Birleşmiş Milletler ve Microsoft'ta da
çalışmıştır. Açıkladığı gibi, temel sorun şu: "Birçok hükümet, İnternet'in
sınırsız, kanalize olmayan, kontrolsüz boyutlarını geleceğin bir dalgası olarak
değil, kontrol altına alınması ve hatta geri alınması gereken bir sapma olarak
görüyor." Çin Komünist Partisi'nin sahibi olduğu ve genellikle rejimin
sesi olarak hareket eden büyük bir gazete olan China Youth Daily, Çin'in “bir
'İnternet sınırını' koruma ve kendi sınırlarını koruma yönündeki ilkeli duruşunu
dünyaya ifade etmesi" gerektiğine dikkat çekti . 'İnternet
egemenliği', internetin barışçıl kullanım çağının azgın seline dalmak ve
internet dünyasına sağlıklı, düzenli bir ortam kazandırmak için tüm gelişmiş
güçleri bir araya getiriyor.”
Sorunu
devletler arasındaki uluslararası bir mesele olarak gördükleri için, İnternet
üzerinde hükümet kontrolüne yönelik bu baskının çoğunun mekanizması devletlerin
uluslararası kurumlarından gelmiştir. Kuruluşundan bir buçuk asır sonra hala
işlevini sürdüren ITU'nun hikayeye yeniden dahil olduğu yer burasıdır.
Kuruluşundan bu yana ITU, teller üzerinden gönderilen telgrafları, telefonları,
radyo üzerinden kablosuz olarak gönderilen mesajları düzenlemekten, artık
"Bilgi ve İletişim Teknolojileri" olarak adlandırdığı şeye geçti ve
böylece kendisini Uluslararası Telekomünikasyon Birliği olarak yeniden
adlandırdı.
Bu
konu ITU'nun Aralık 2012'deki toplantısında gündeme geldi. Dünya ülkeleri,
uluslar arasındaki telekomünikasyonu düzenleyen ITU anlaşmaları olan
Uluslararası Telekomünikasyon Düzenlemelerini yeniden müzakere etmek için
Dubai'de bir araya geldi. Toplantıda Rusya, Çin, Sudan ve diğerleri,
İnternet'in ITU'nun sorumlulukları arasına dahil edilmesi ve ülkelere
İnternet'in nasıl yapılandırılacağını yönetme hakkının verilmesi için baskı
yaptı. Siber güvenlik onların mantığının merkezinde yer alıyordu; bu ülkeler
bunun, ITU'nun (telgraflardan radyoya, telefonlara vb.) doğal evriminde, devam
eden misyonunda İnternet'in yönetilmesine yardımcı olmak için bir adım olduğunu
ileri sürüyorlardı. “Uluslararası iletişim teknolojilerinin kullanımında güven
ve güvenlik” inşa etmek.
Ancak
önerilen bu genişleme büyük bir olaydı. İnternet yönetişiminin doğasını
değiştirecek, özünde hükümetlere geniş yetkiler verecek. Hükümetler (daha önce
İnternet'i yönetmiş olan ve Bölüm I'de okuduğunuz devlet dışı, kar amacı
gütmeyen kuruluşlardan oluşan topluluk değil) "belirli bir web sitesine
erişmeye çalışan kişilerin gerçekten oraya ulaşmasını sağlamaktan nihai olarak
sorumlu olacaktır." Ya da daha endişe verici olanı, otokratik ulusların
öneriyi öne sürmelerinin geçmişi göz önüne alındığında, belirli bir web
sitesine erişmeye çalışan kişilerin oraya ulaşmamasını da sağlayabilirler.
Korku, tıpkı telgraflarda olduğu gibi, hükümetlerin erişimi yalnızca kendi
ülkeleri içinde değil, sınırların ötesinde de kontrol edebilmesiydi.
Economist
dergisinin
"Soğuk Savaş'ın dijital versiyonu" olarak adlandırdığı şeyin gergin
bir savaş alanı haline geldi . Dikkat çekici bir şekilde, iki taraf da Demir
Perde ile bölünmüş olan aynı ana uluslardı.
Amerika
Birleşik Devletleri, Avrupa ve Avustralya ve Japonya gibi diğer müttefikler,
siber güvenlik korkularının özgürlüğü kısıtlamak için kötüye kullanıldığından
endişe ediyordu. ITU'nun “İnternet” kelimesini bile ağzına almaması ve
uluslararası telefon görüşmeleri gibi geleneksel telekomünikasyonu düzenlemeye
devam etmesi gerektiğini savundular.
ITU
anlaşmaları, Soğuk Savaş'ın en yoğun olduğu dönemde bile konsensusla karara
bağlanma geleneğine sahipti. Ancak şu ana kadar ITU'daki siberuzay fikir
birliğine dayalı olmaktan başka her şeyi kanıtladı. 2012 zirve oylaması
gelenekten kopup fikir birliği yerine çoğunluk oyu ile karar verildiğinde,
müttefikler bloğu öfkeyle toplantıyı terk etti (evet, demokratik ülkelerin bir
oylamadan rahatsız olması ironikti). Böylece, ITU'nun rolünü siber güvenlik
konularına genişletmesi önerisi kabul edildi, ancak dünyadaki ulusların
yalnızca yarısı bu işin içindeydi ve bunların çok azı büyük İnternet
güçleriydi; en önemlisi de onu icat eden ulusun kendisi eksikti. Bu sönük
koleksiyon, yeni ITU'nun "Dubai'de kabul edilen yeni küresel
telekomünikasyon anlaşması" iddiasında bulunan bir basın bülteni
yayınlamasını engellemedi.
İnternet
söz konusu olduğunda eski uluslararası kuruluşların hangi rolleri oynaması
gerektiği sorusu önümüzdeki yıllarda da aklımızda kalacak. Bu kitabın yazıldığı
sırada, yeni anlaşmanın bağlayıcı hale gelmesi için hala bazı imzacı devletler
tarafından onaylanması gerekiyor (yıllar alabilen bir süreç) ve bu kadar çok
önemli devlette küresel olarak nasıl uygulanabileceği belirsiz. muhalefette.
ITU'nun da bu bölüm açısından daha kötü durumda olduğu görülüyor ki bu da utanç
verici. Yaklaşık 150 yıllık kuruluş yalnızca küresel işbirliğinde değerli bir
oyuncu olmakla kalmadı, aynı zamanda karmaşıklığın içinde, herkese yararları
nedeniyle herkesin üzerinde mutabakata varabileceği bir dizi olumlu adım da
kaybedildi; örneğin yayılma anlaşmaları. İnternet erişimini genişletmek ve hızlandırmak
için fiber optik ağlar. Bu, ITU'yu daha geleneksel karar alma tarzına döndürme
ve fikir birliği alanlarına odaklanma ihtiyacına işaret ediyor.
Daha
büyük ve uzun vadeli sorun ise bunun mümkün olup olmayacağıdır. Dünya, İnternet
ve onun yönetimi konusunda çok farklı vizyonlara ayrılıyor. Çoğunlukla daha
otoriter ülkelerden gelen biri, "zamanı geri almak ve kendi ulusal
İnternet parçaları üzerinde egemenliği yeniden kazanmak" istiyor.
başarısı, dünyadaki fiziksel konumlarına bakılmaksızın kullanıcılarının sanal
istek ve ihtiyaçlarını karşılayacak şekilde gelişmesine olanak tanıyor.
Siber
güvenliğin gerçek konularını ve sorunlarını anlamayı bu kadar önemli kılan şey,
bu iki küresel vizyon arasındaki etkileşimdir. İnternetin geleceğine ilişkin
bir raporun sonucuna göre: “Tıpkı vatanseverliğe başvurmanın bir zamanlar
'alçakların son sığınağı' olarak tanımlanması gibi, ifade özgürlüğünü
bastırmaya, mahremiyeti ihlal etmeye, anonimliği ortadan kaldırmaya, yeni
kısıtlamalar getirmeye yönelik her türlü hain öneri de var. İşletmeler ve
devlet gücünün artırılması, gerekçe olarak siber güvenliğe başvuruyor. Aynı
zamanda dijital hizmetlerin ve İnternet altyapısının güvenliğini ve
mahremiyetini iyileştirme çabalarına kim karşı çıkabilir? Bu nedenle siber
güvenlik tartışmalarının dikkatli ve ölçülü bir yaklaşımla yapılması gerekiyor.
Eyleme geçmek için meşru bir ihtiyaç olduğu bilincine dayalı olmalılar, ancak
güvenlik bayrağı altında gizlenebilecek suiistimaller ve manipülasyonlara karşı
da dikkatli olmalılar."
Hukukun Üstünlüğünü “Aşılamak”: Bir Siber Uzay
Anlaşmasına İhtiyacımız Var mı?
"Hava
savaşı kuralları, havadan daha hafif veya daha ağır, su üzerinde yüzebilme
yeteneğine sahip olup olmadıklarına bakılmaksızın tüm uçaklar için
geçerlidir."
Hava
Harplerine ilişkin 1923 Lahey Kuralları böyle başlıyor. Anlaşma, uçan
makinelerin tuhaf yeni icadının savaşa sunulmasından sadece on yıl sonra yazıldı,
ancak bugün hâlâ "hava savaşıyla ilgili tüm mevcut düzenlemelerin
temeli" olarak hizmet ediyor.
İnternet
kullanımı, havanın kullanımının Lahey Kurallarına varmasına kadar geçen süreyi
artık çok geride bıraktı; bu da birçok kişinin siber uzayın eşdeğer bir
uluslararası anlaşmaya veya bazılarının bir tür İnternet versiyonu olarak
adlandırdığı şeye ihtiyaç duyduğunu iddia etmesine yol açtı. Lahey Kuralları
veya bazılarının dediği gibi "siber Cenevre Sözleşmesi". Londra'daki
Unisys Küresel Güvenlik Çözümleri Başkan Yardımcısı Neil Fisher, "Siber
güvenlik konusunda bir dönüm noktasına ulaştık" diyor. “Artık birçok
ekonomi için önemli bir tehdit. Dolayısıyla normal davranışın ne olduğu
konusunda uluslararası bir anlaşmaya varmak artık şiddetle gerekli." Ya da
bir ABD hükümet yetkilisinin yazdığı gibi, "Keşif riskinin neredeyse sıfır
olması, hukuki statünün tartışmalı olması ve uluslararası yasa uygulama
işbirliğinin çok az yolu olmasıyla birlikte Siber alan, 1800'lerdeki
evcilleştirilmemiş Batı Amerika'nın bugünkü eşdeğeridir."
Açık olmak gerekirse, böyle bir anlaşma için herkes eşit
derecede çaba göstermiyor. NATO danışmanlarından Rex Hughes'un açıkladığı gibi,
ABD ve müttefiklerine bir siber anlaşma isteyip istemedikleri sorulduğunda,
"Resmi yanıt evet, yol kurallarının olmasını ve silahlı kuvvetler
kanununun uygulanmasını istiyoruz" diyor. anlaşmazlık. Ancak gayri resmi
olarak cevap hayır; gelişmiş yeteneklere sahip ülkeler bunu korumak
istiyor."
Bu
suskunluğun iki temel nedeni var. Birincisi, Amerika Birleşik Devletleri gibi
daha gelişmiş siber güçlerin kendi ellerini bağlayacakları, diğerlerinin ise
yetişeceği veya daha da kötüsü yeni yasaları görmezden geleceği korkusu.
Örneğin, 2009 yılında Rusya, bir devletin herhangi bir siber silah
kullanmasının önleyici olarak yasaklanması fikrini Birleşmiş Milletler'de
gündeme getirmişti; esas olarak silah kontrolü modelini siber uzaya uygulamaya
çalışıyordu. Bir siber silah anlaşması ihlalinin tam olarak nasıl izleneceğini
bir kenara bırakırsak (ICBM'leri saydığınız gibi kötü amaçlı yazılımları da
sayamazsınız), teklifte ayrıca hafif bir önyargı sorunu da vardı. Rusya, siber
saldırılar gerçekleştirmek için devlet dışı "vatansever hacker"
ağlarını kullandı ve yalnızca devlet tarafını sınırlayan böyle bir anlaşmadan
zarar görmek yerine muhtemelen fayda sağlayacaktır.
İkinci
neden ise önde gelen devletlerin siber uzayda sahip olduğu önceliklerin oldukça
farklı olmasıdır. Örneğin Amerika Birleşik Devletleri, Vahşi Batı'nın
davranışını orijinal Batı Amerika'daki sorunlara benzer olarak görüyor;
hırsızlık ve kötü adamların hiçbir sonuç olmadan başıboş dolaşması olarak
görüyor. Fikri mülkiyeti hedef alan ve daha savunmasız sivil altyapıyı hedef
alan saldırılara karşı koruma sağlayan casusluğu sınırlandıracak herhangi bir
anlaşmayı çok isterler. Çin ve Rusya gibi devletler ise aksine, Vahşi Batı'nın
davranışını Batı demokrasilerinin kendi vahşi değerlerini ihraç etmeye
çalışması olarak görüyor.
Bu
sorunlar göz önüne alındığında, savunucular uluslararası toplumun nasıl bir
siber anlaşma oluşturabileceğine dair çeşitli paralelliklere işaret ediyor.
Birçoğu 1967 Dış Uzay Anlaşmasını model olarak önerdi. Siberuzay gibi uzay da
teknolojinin açtığı, her türlü amaç için kullanılan, hiçbir milletin ona sahip
olduğunu iddia edemeyeceği bir alandır. Anlaşma, uzayın barışçıl şekilde
araştırılmasına ve kullanılmasına zararlı müdahaleyi yasaklıyor ve nükleer
silahların uzaydan Dünya'ya geri fırlatılmasını yasaklıyor. Benzer bir
yaklaşım, uluslararası toplumun herhangi bir devletin mülkiyetinde olmayan
ancak daha önce askerileştirilme riski altında olan Antarktika'ya yönelik
düzenlemelerinin taklit edilmesi önerisidir. 1959 Antarktika anlaşmasında
hükümetler 60 derece güney enleminin altında hiçbir silaha izin verilmemesi
konusunda anlaştılar. Eşdeğer bir siber anlaşma, benzer şekilde herhangi bir
ülkenin bu yeni küresel bölgede silah kullanmasını yasaklayacaktır.
Bu
tür çabaların zorluğu, tüm benzerliklere rağmen siber uzayın, uzaydan veya
kutup bölgelerinden farklı bir canavar olmasıdır. Onları örnek alan herhangi
bir anlaşmanın kabul edilmesi zor ve uygulanması neredeyse imkansız olacaktır.
Uzayda kimin ne yaptığını takip etmek nispeten kolay olsa da siber uzaya herkes
erişebilir. Benzer şekilde, Sanal bir dünya olarak , siber silahların nerede
kullanılabileceğini ve nerede kullanılamayacağını tasvir edecek bir harita
üzerinde net bir çizgi yoktur; siber uzayda bir silahın tanımlanmasının, 60.
Sınırı geçen bir savaş gemisinin bariz ihlalinden oldukça farklı olduğundan
bahsetmeye bile gerek yok . Haritadaki derece enlem çizgisi.
Bu
anlaşmalarda "dış" veya "kutup" yerine "siber"
kelimesini kullanıp sorunu çözemeseniz de, bunlar daha geniş düzeyde hâlâ
faydalı modellerdir. Ron Deibert'in açıkladığı gibi, "Bu anlaşmalarla
amaç, belirli silah sınıflarını kontrol etmekten çok, beklentileri kontrol
etmek ve devletlerin belirli bir duruma göre nasıl davranacağına ilişkin bir
dizi ilke, kural ve prosedür ve norm geliştirmektir. tüm alan adı."
Başlangıçtaki
herhangi bir siber anlaşma çabasının amacı, tüm sorumlu tarafların kabul
edebileceği ve kabul etmesi gereken temel yapı taşlarını, temel kuralları ve
değerleri oluşturmak olmalıdır. Açıkça derin anlaşmazlıklar olsa da, ortak
çıkarlar da var. Hepsi İnternet'in sorunsuz çalışmasını ve siber suçların kontrol
edilmesini sağlamak konusunda ortak çıkarlara sahiptir. Bunu yansıtacak
şekilde, 2001 Avrupa Konseyi Siber Suçlar Sözleşmesinin genişletilmesi için
çaba sarf edilmelidir. Bu anlaşma başlangıçta Avrupa uluslarının siber suçlara
yönelik yaklaşımlarını uyumlu hale getirmeyi amaçlıyordu, ancak Amerika
Birleşik Devletleri, Kanada, Japonya ve Güney Afrika'nın da imzalamasıyla daha
geniş bir çerçeveye dönüşme potansiyeli taşıyor.
Tüm
bunların temelini oluşturan strateji, uluslararası işbirliği konusunda dünyanın
önde gelen düşünürlerinden Martha Finnemore tarafından "aşılama"
olarak tanımlanıyor. Yeniden başlamak yerine, eski bir bitkinin köklerine yeni
bir bitki ekleme şeklindeki bahçecilik tekniğini uyarlayın. Başarı şansınızı
artırmak için yerleşik çerçevelerden ve ilgi alanlarından yararlanın.
Buradaki
fikir yalnızca bu bölgesel anlaşmaya yeni imzacılar eklemek değil, aynı zamanda
uluslararası hukuk ve anlaşmaların kapsamını genişletmektir. Örneğin,
botnet'ler herkesin başına beladır (siber anlaşmalara katılma konusunda
genellikle çekimser davranan Çin bile; dünyadaki virüslü bilgisayarların yüzde
70'i Çin'dedir) ve böyle bir sistemin inşasını Çin'de yasadışı hale getirmek
için çaba sarfedilebilir. tüm ülkeler. Bunu mümkün kılmak için, heyecan verici
ve yeni ulusal bilgisayar acil müdahale ekipleri (CERT'ler) ve siber CDC
eşdeğerlerinden oluşan küresel bir ağ oluşturulabilir. Bu, uluslararası
standartların oluşturulmasına, İnternet'in sağlığına ilişkin bilgilerin
izlenmesine ve ortaya çıkan tehditlerin fark edilmesine yardımcı olacaktır.
Sistem, nükleer testlerin küresel olarak nasıl izlendiği veya Uluslararası
Sivil Havacılık Örgütü'nün bilgi paylaşarak ve ortak standartlar belirleyerek
tüm uçanlar için riskleri nasıl azalttığı doğrultusunda çalışacaktır.
Stratejik
ve Uluslararası Çalışmalar Merkezi'nden Jim Lewis, planın yavaş ama emin
adımlarla "Vahşi Batı'dan hukukun üstünlüğüne doğru ilerlediğini"
yazıyor. Ancak değeri yalnızca siber suçlarla nasıl başa çıktığına göre değil,
aynı zamanda daha güçlü tehditler üzerindeki zincirleme etkisine göre de
değerlendirilmelidir. Siber suç genellikle "siber savaşta kullanılan kötü
niyetli yüklerin ve istismarların geliştirildiği ve iyileştirildiği bir
laboratuvardır." Bu tür anlaşmaların ve anlaşmaların siber suçlara ve diğer
ilgili davranışlara karşı genişletilmesi, İnternet'in bireysel kullanıcılarına
kadar herkes için iyi olacaktır. Kim artık Bölüm II'de bahsettiğimiz suç
vergisine eşdeğer bir vergi ödemeyecek. Ancak bu aynı zamanda, kendi
silahlarını yapmak için kendi NSA'larını karşılayamayacakları için siber
suçları laboratuvar olarak kullanan, caydırılması daha zor olan, daha sorunlu
devlet dışı gruplara ve korkulan siber teröristlere karşı ek bir güvenlik
etkisine de sahip olacaktır. .
Siber
suçun beklenen meyvesinden yararlanmak, saldırı avantajının temel yönlerinden
birini sınırlayarak, küresel ilişkileri istikrarsızlaştırarak, devletler
arasındaki ilişkiler de dahil olmak üzere daha geniş güvenliği etkileyecektir.
Gelişmiş ağları savunmakla görevli olanlar (kritik altyapı operatörleri,
savunma yüklenicileri ve devlet kurumları gibi), tüm kullanıcıları etkileyen
botnetler, spam ve düşük seviyeli solucanlar gibi genel sorunları çözmek için
çok daha fazla zaman, çaba ve para harcadıklarını belirttiler. İnternetin, çok
daha büyük zarar potansiyeli taşıyan APT'lere kıyasla.
Bu
çabalar, sırf birleştirici güçleri açısından da değerlidir. Görünüşte zorlu
alanların tartışılması, bunları bu kadar zorlaştıran farklı temel varsayımlara
ve endişelere ilişkin karşılıklı anlayışı derinleştirebilir. Bu nedenle zaman
içinde bu sorunlardan bazılarının ele alınması veya en azından olumsuz
etkilerinin sınırlandırılması olasılığını artırırlar.
Aşılama
aynı zamanda siber casusluk kampanyalarının büyük ölçekte fikri mülkiyet
hırsızlığına dönüştüğü ve kurumsal çevrelerde "Çin sorunu" olarak
tanımlandığı sorunla mücadelede en iyi strateji olabilir. Bölüm II'de
gördüğümüz gibi, hem Çin ordusu hem de devlete ait işletmelerle bağlantılı
görünen Çin merkezli APT'ler büyük değer kaybetti.
Bazıları
cezai iddianameler, ticari yaptırımların cezalandırılması, terör yasalarının bu
tür sırlardan yararlanan şirketlerin yabancı varlıklarına el konulmasına izin
verecek şekilde değiştirilmesi ve hatta siber "korsanlara" bu tür
kampanyaları hacklemeleri için lisans verilmesi gibi tedbirleri savundu. Sorun
şu ki, bu tür kavramlar bu kampanyaların devletle bağlantılı doğasını ve gerçek
dünyada bundan sonra ne olabileceğine dair politikaları göz ardı ediyor. Çinli
generalleri suçlamak, Çin hükümetinin varlıklarına el koymak ve özel siber
saldırılara izin vermek, zaten zehirlenmiş olan ABD-Çin ilişkisini gergin bir
yola sürükleyebilir. Dahası, bu tür öneriler çok önemli bir dinamiği göz ardı
ediyor. Kurumsal kurbanların çoğu kesinlikle çalınmak istemese de, aynı zamanda
bu tepkilerin daha geniş Çin pazarına erişimlerine daha fazla değer verilmesine
neden olacağından ve gerilimin kötüleştiğinden de korkuyorlar.
Bu
nedenle, "ateşe ateşle karşılık verme" çağrısı kulağa kesinlikle
çekici gelse de, hem yangınla mücadele hem de siber güvenlik açısından aslında
alevleri söndürmeye çalışmak daha iyidir. Aşılamanın tekrar devreye girdiği yer
burasıdır. Casusluk uluslararası hukuka aykırı olmasa da, fikri mülkiyet
hırsızlığı hem daha geniş uluslararası yasalara hem de daha da önemlisi Dünya
Ticaret Örgütü kurallarına aykırıdır. DTÖ, uluslararası serbest ticaretin
desteklenmesine yardımcı olmak amacıyla 1995 yılında kuruldu ve Çin'in 2001
yılında katılması, kendi ekonomik büyümesi açısından hayati önem taşıyordu. ABD
Savunma Bakanlığı uzmanı James Farwell'in, Ticaretle İlgili Fikri Mülkiyet
Hakları (TRIPS) anlaşması kapsamındaki vakalarda siber casusluğun ticari yönünü
hedef alarak en iyi tepkinin oyunun doğasını değiştirmek olduğuna inanmasının
nedeni bu bağımlılıktır. "Çin'i fikri mülkiyet hırsızlığı veya ihlalinden
suçlu bulan, yasal işlemlerde verilen uluslararası kabul görmüş bir karar, onu
milyarlarca dolar tazminatla yükümlü kılabilir, çok uluslu ekonomik
yaptırımlara maruz bırakabilir ve 'korsan' olarak damgalanmasına neden olabilir
Dahası, Farwell şöyle yazıyor: "Stratejik düşüncesi psikolojik avantaj
sağlamaya odaklanan bir ulus olarak Çin, bu sonucu rahatsız edici
bulacaktır."
Özellikle
Çin'in değer verdiği uluslararası bir platform aracılığıyla aşılama, Çin'e
kendi şikayetlerinin dile getirilebileceğini hissetmesi için de bir alan
sağlayacaktır. Bölüm II'de gördüğümüz gibi Çin de siber kuşatma altında
olduğunu hissediyor. Örneğin rejimin sözcüsü olan The Global Times gazetesi
şu iddiayı öne sürüyor: “Çin, ABD ile doğrudan yüzleşmeli. Çin, ABD'nin
internete müdahalelerine ilişkin kanıtları toplamalı, ifade vermeli ve
yayınlamalıdır." DTÖ gibi uygun forumların kullanılması, Çinlilere bu
suçlamaları test edebilecekleri bir alan sağlayacaktır.
Bu
tür çabalar, ne yapılacağı konusunda anlaşmaya varmak için çok az temelin
olduğu en tartışmalı konularda bile hala sonuç alınabilecek alanların
bulunduğunu gösteriyor. Aşılamanın ötesinde bir diğer stratejik yaklaşım da
başlangıçta ortak terim ve tanımlara odaklanmaktır. Örneğin, neyin
"saldırı" teşkil ettiği konusunda geniş bir anlaşmazlık olabilir,
ancak belirli saldırı türlerinin ve hedeflerin tanımı üzerinde anlaşmaya varmak
çok faydalı olabilir. ABD ve Çin üzerinde yapılan bir çalışma, neyin
"saldırı" teşkil ettiği konusunda karşılıklı anlaşmanın olduğunu
ortaya çıkardı. “Kritik altyapı” bu tür altyapıların korunmasını
kolaylaştırabilir. Bu, tarafların her zaman aynı fikirde olmadığı, ancak ilk
önce saldırmaya teşvik eden veya ilişkileri istikrarsızlaştıran belirli silah
türlerini tanımlamak ve ardından sınırlamaya çalışmak konusunda ortak çıkarlar
buldukları nükleer silah kontrolü tartışmalarında yaşananlara benzer. birden
fazla savaş başlığına sahip füzeler gibi.
Taahhütsüz
tartışmalar düzeyinde bile anlaşma ve yasa oluşturma çalışmalarına katılmanın
bir başka önemli yan faydası daha vardır. Her hükümet içinde konuya
sağlıklı bir şekilde odaklanılabilir . Liderlerin yalnızca karşı tarafın ne
düşündüğünü değil, aynı zamanda kendi kuruluşlarının ve topluluklarının neler
yapıyor olabileceğini ve potansiyel sonuçlarını da anlamalarına olanak tanır.
Bu, dünyadaki çoğu üst düzey politika yapıcının şu anda yeterince odaklanmadığı
bir konu. Hayatta olduğu gibi siber alemde de sadece parmakla işaret etmek
değil, aynaya uzun uzun bakmak da önemlidir.
Bu
çabalar zamanla geliştikçe, daha çetrefilli sorunların üstesinden gelinmelidir.
Siber suç sözleşmesi kesinlikle değerli bir yapı taşıdır ancak siber savaşın
daha can sıkıcı bazı konularını kapsayacak şekilde genişletilemez. Örneğin, bir
siber saldırının ne zaman ve nasıl savaş eylemi haline geldiği ve bundan kimin
sorumlu tutulabileceği ve tutulması gerektiği konusundaki çizgiler
belirsizliğini koruyor. Ve bu gri bölge, Rusya'nın Estonya'ya yönelik
saldırılarında olduğu gibi bazı devletler tarafından kesinlikle istismar
ediliyor. Bu sorular üzerinde en temel düzeyde dahi olsa her türlü uluslararası
mutabakatın sağlanması, yanlış hesaplama ve istenmeyen kriz risklerini
azaltacaktır.
Bu
sorunla yüzleşmek aynı zamanda mevcut silahlı çatışma yasalarının siber uzay
için güncellenmesi gerekip gerekmediği konusunda çok ihtiyaç duyulan bir
tartışmayı da beraberinde getirecek; ABD, Rusya ve Çin gibi ülkelerin henüz
üzerinde anlaşmaya varmadığı bir konu. Ama burada yine o kadar basit değil.
Eski yasaların güncellenmesi gerekiyorsa nereden başlamalıyız? Uğraşılması
gereken temel sorunlardan biri, mevcut yasaların askeri ve sivil tesisler
arasında nasıl güçlü bir ayrım öngördüğüdür. Örneğin bombardıman uçağı
uçuruyorsanız düşmanın askeri araçlarını hedef alabilirsiniz ancak sivil
araçlara çarpmamak için elinizden geleni yapmanız ve ambulans gibi özel
araçları vurmamak için iki kat daha fazla çabalamanız gerekiyor. Ancak bir ağın
aynı anda hem sivil hem de askeri olabildiği siber uzayda bu ayrım o kadar da
net değil.
Burada
da en azından sınırlı bir anlaşmaya varma umudu olabilir. Milletler,
tehditlerin çeşitli tanımları üzerinde hemfikir olmayabilir ancak genişletilmiş
anlaşmalar, herkes için tehdit olarak görülen yönlere odaklanabilir. Örneğin,
Rusya'nın herhangi bir devletin siber silah kullanımını engelleme önerisi
başlangıç noktası olmasa da, bu silahların devletler tarafından nerede
kullanılabileceği konusunda "Rusya'nın blöfünü görmek" için yapılması
gereken bir tartışma var, diye yazıyor, öğrenci Jordan Schneider. Konu Yale
Üniversitesi'nde. Siber uzayda sadece amaçlanan düşmanı tehdit edecek şekilde
değil, aynı zamanda tüm küresel toplum için yıkıcı olabilecek belirli
hedeflerin peşinden gitmek de yasaklanan faaliyetlere eklenebilir. Örnek
olarak, eski savaş yasalarında bankaların hastanelerde olduğu gibi ekstra özel
bir dokunulmazlığı yoktur. Ancak yeni yasaların sanal tarafında bunların özel
bir durum olarak ele alınması gerekebilir. Uluslararası finans sistemi şu anda
o kadar bütünleşmiş durumda ki, " Banka hesaplarındaki rakamların
değişmesi ve verilerin uluslararası finans sunucularından silinmesi durumunda,
dünya piyasalarının başına gelebilecek istikrarsızlıktan, belki de Kuzey Kore hariç,
tüm devletler büyük zarar görecek ."
Bütün
bunların arkasında önemli bir kavram var. Sadece anlaşmayı yazmak, herkesin
otomatik olarak ona bağlı kalacağı anlamına gelmez. Aslında hiçbir zaman
birisinin çiğnemediği yazılı bir yasa olmamıştır. Cinayet bir suçtur ve yine de
her gün meydana gelir. Bunun yerine strateji, daha sonra davranışı
şekillendirecek normlar oluşturmak için kullanılabilecek ortak tanımlar ve
anlayışlar oluşturmaya başlamaktır. Herkesin takip etmesi gereken şeyin temel
çizgisini oluşturmadığınız sürece, bunları takip etmek için teşvik ve ödüller
yaratamaz ve dolayısıyla bunları ihlal edenleri tespit edip
cezalandıramazsınız.
Sonuçta,
resmi anlaşmalar aslında herkes tarafından imzalanmamış olsa bile bu normların
çoğu ilerleyebilir. Uluslar arası koalisyonlar oluştukça (bölgesel siber suç
anlaşmasında olduğu gibi) ve uygulamalar (yeni ortaya çıkan botnet'lerde veri
paylaşımı gibi) giderek daha yaygın hale geldikçe, neyin “normal” ve “anormal”
olduğuna dair beklentiler oluşur ve bu beklentiler önem kazanmaya başlar. .
İnsanlar ve işletmeler artık 1960'larda yaptıkları gibi kirletmiyorlar, sadece
yasalara aykırı olduğu için değil, aynı zamanda çevre karşıtı olarak
görüldüğünüzde ortaya çıkan kirli görünüm ve marka itibarı kaybı nedeniyle de.
Bu
tür resmi olmayan kurallar, iyi niyetin veya itibar endişesinin daha az önemli
olduğu karanlık alanlarda bile oluşturulabilir. Örneğin Soğuk Savaş sırasında
CIA ve KGB kesinlikle birbirlerine güvenmiyorlardı ve birbirlerinin sırlarını
çalmak için kıyasıya rekabet ediyorlardı. Ancak bu iki casus teşkilatı bile
rekabetlerinin savaşa dönüşmesini nasıl önleyecekleri konusunda belirli bir
anlayışa varmayı başardılar (örneğin, Rus gizli ajanları Amerikalılara suikast
düzenleyemezdi ya da tam tersi), ancak garip bir şekilde birbirlerinin
silahlarını öldürmek daha güvenliydi. Nikaragua veya Vietnam gibi yerlerdeki
vekiller). Bu tür deneyimler, bazılarının siber casuslukta da benzer
"kırmızı çizgilerin" mümkün olabileceğine inanmasına neden oluyor; örneğin
son yıllarda ABD-Çin ilişkilerini zehirleyen ileri geri gidişat gibi. Her iki
taraf da diğerinin sırlarını çalmasından memnun olmayabilir, ancak CIA'in eski
direktörü Michael Hayden, "Yetişkin uluslar arasında anlayış sağlamanın
yolları olabilir" diyor.
Resmi
anlaşmaların yokluğunda bile bu norm oluşturma gündeminin temel taşı, bir ağdan
kaynaklanan faaliyetler için daha fazla sorumluluk kavramı yaratmaktır.
Buradaki fikir şu; eğer CERT veya CDC gibi evrensel olarak saygı duyulan ve
güvenilir bir kurum, bir ağı kendisinden düşmanca paketler veya saldırılar
geldiğine dair bilgilendirirse, bu ağ, bir ağ sahibi olsa bile, etkinliği
durdurmak için çaba sarf etmelidir. ağ bunu göndermeyi planlamamıştı veya
saldırganın kimliği bilinmiyor. Bu düzenlemenin cezası karşılıklılıktır. Sahibi
normlara uymazsa, sistemdeki diğer ağlar artık ona, İnternet'e sorunsuz bir
şekilde erişmesine olanak tanıyan aynı türden karşılıklı alışverişlere borçlu
değildir. Normu ihlal ederseniz, onunla birlikte gelen ayrıcalıkları
kaybedersiniz.
Buradaki
paralellik, ulusların zaman içinde kara para aklama ve terörün finansmanına
karşı harekete geçmeye nasıl ikna edildiğidir. Uluslararası ilişkiler uzmanı
Robert Axelrod'un açıkladığı gibi, “Bu, piyasaya dayalı bir politika çözümüdür,
yaptırım organı gerektiren bir çözüm değildir. Zamanla, giderek daha fazla
omurga sağlayıcısı bu normu benimsedikçe, kötü davranışlara yönelik sığınaklar
bataklığını kurutuyor." Axelrod, bunun ABD-Çin arasındaki çetrefilli siber
ilişkiyle başa çıkmak için özellikle yararlı bir mekanizma olabileceğini
ekliyor: "çünkü bu şu anlama geliyor: İzinsiz girişleri durdurmak için
'Pekin'le birlikte çalışabiliriz' ama onları doğrudan izinsiz girişlerle
suçlayarak arka ayakları üzerinde duramayız.”
Bu
stratejinin çekiciliği, tarihsel olarak, başlangıçta herhangi bir resmi anlaşma
veya anlaşmayı imzalamaktan nefret eden aktörlerin bile zamanla temel normlarla
giderek daha fazla ilgilenmeye başlamasıdır. Kurallar yayıldıkça ve imzacı
olmayanlar sürece dahil olmaktan kendini alamadıkça, ülkeler işbirliği
mantığını içselleştirmeye başlıyor. Yani, üzerinde anlaşmaya varılan resmi
kurallar olmasa bile kurallar varmış gibi davranmaya başlarlar.
Bu
potansiyel yazılı ve yazılı olmayan kurallar sistemi geliştikçe nihai, gerçek
testle karşı karşıya kalacak. Siber saldırılar ve dijital atıf konularını
kapsayacak uluslararası anlaşmalar ve normlar alabilirsek, bunların, şu anda
yüz yılı aşkın süredir Rick Astley şarkılarını ve kedi videolarını internette
yayınlayan insanlar gibi gerçekten önemli sorunları da kapsamasını sağlayabilir
miyiz? Her gün internet mi?
Devletin Siber Uzaydaki Sınırlarını Anlayın:
Hükümet Bununla Neden Başa Çıkamıyor?
Günümüz
dünyasının hükümetleri büyük ölçüde geçmiş yüzyılların yaratımlarıdır. Sorun şu
ki, tıpkı eski düklükler ve imparatorluklar gibi, bir zamanlar bildiğimiz
haliyle devlet de yeni aktörlere ve yeni teknolojilere ayak uydurmakta
zorlanıyor. İster terörizm, ister küresel mali kriz, iklim değişikliği ve şimdi
de siber güvenlik gibi ulusötesi tehditlerin yükselişi olsun, devletler
sınırları içinde olup bitenleri kontrol etmekte ve sınırlarının ötesinde olup
bitenleri ortaya çıkaran yeni nesil küresel sorunları çözmekte zorlanıyorlar.
sınırlar çok daha önemli.
Siber
güvenlik konularında internetin yapısı devletin aleyhine işleyebilir. Siber
uzayın yaygın ve sanallaştırılmış yapısı, geleneksel olarak belirli bir toprak
parçasını kontrol etmesinden kaynaklanan devletin gücünün gerçek sınırlarının
olduğu anlamına gelir. Örneğin Pirate Bay, büyük verilerin eşler arası
paylaşımı için kullanılan BitTorrent dosyalarına bağlantılar yayınlayan bir web
sitesidir. Sorun şu ki, bu dosyaların çoğunun (çoğu olmasa da) geleneksel
olarak ayrı eyaletler tarafından yazılan ve uygulanan telif hakkı yasalarıyla
korunması gerekiyor. Pirate Bay içeriğin kendisini barındırmaz, yalnızca
dünyanın her yerindeki kullanıcılar tarafından barındırılan dosyalara bağlantı
verir. Yine de telif hakkıyla korunan materyallerin meşru sahipleri defalarca
The Pirate Bay'in peşine düştü. Buna karşılık The Pirate Bay hem fiziksel
sunucularını hem de etki alanını taşıyarak bir adım önde oldu. İsveç'te alan
adlarına el konulmasına ilişkin yasal hükümler bulunmadığından, başlangıçta
İsveç'e kaydı (ve adres .com'dan .se'ye değiştirildi). İsveç'te işler
gerginleşince The Pirate Bay dünya çapında dinamik olarak dağıtılan bir sisteme
geçti. Bu, hiçbir hükümetin web sitesinin içeriğine veya arkasındaki yapıya el
koyamayacağı anlamına geliyordu.
Bu,
hükümetlerin güçsüz olduğu anlamına gelmiyor. Gerçekten de The Pirate Bay
projesinde yer alan kişilerin çoğu tutuklandı ve dördü kısa hapis cezalarına
çarptırıldı. Ancak yine de yapı ve normlar, kontrol hedefinde devletin aleyhine
işledi. Tutuklamaların ardından, giderek büyüyen bir uluslararası gönüllü
grubu, siteyi yönetmeye devam etmek için devreye girdi.
Kaynaklara
sahip gelişmiş aktörler, kararlı düşmanlar ve uluslararası işbirliği karşısında
bile hükümetlere karşı oldukça uzun bir köstebek vurma oyunu oynayabilirler.
Belki de WikiLeaks vakası hükümetlerin neyi yapıp neyi yapamayacağını en iyi
şekilde gösteriyor. Bölüm II'de gördüğümüz gibi, Amerikalı politikacılar
şeffaflık sitesi tarafından yayınlanan belgelere dehşetle tepki gösterdiler.
Başkan Yardımcısı Joe Biden, WikiLeaks'in başkanı Julian Assange'ı "ileri
teknolojiye sahip bir terörist" olarak nitelendirirken, diğerleri onun
"düşman savaşçı" olarak etiketlenmesini ve geleneksel yasal süreç
olmaksızın Guantanamo Körfezi hapishanesinde hapsedilmesini istedi. Benzer
şekilde, ABD hükümetinin ve müttefiklerinin baskısı altında, bazı özel şirketler
WikiLeaks'le bağlarını koparmaya başladı ve bu da onun faaliyet gösterme
kabiliyetini engelledi. Örneğin Visa, MasterCard ve PayPal ödemeleri askıya
alarak müşterilerinin kuruluşu geleneksel kanallardan desteklemesini engelledi.
Ancak
bu eylemler bir kez daha devlet gücünün hem gücünü hem de sınırlarını gösterdi.
Assange gözaltına alındı, ancak ABD tarafından değil, Gitmo'ya gönderilmedi ve
hükümetin çok kızdığı varsayılan suçlardan dolayı yargılanmadı. Benzer şekilde
WikiLeaks, İsviçre'de kayıtlı yeni bir wikileaks.ch alan adının İsveç'teki bir
IP adresine çözümlendiğini ve bunun sonucunda trafiğin Fransa'da bulunan ancak
Avustralya'da kayıtlı bir sunucuya yönlendirildiğini hemen duyurdu. Örgüt hâlâ
varlığını sürdürüyor ve şu anda, devlet şantajına karşı devletin araçlarını
kullandığı için dış baskılara karşı daha az savunmasız olan Fransız savunuculuk
örgütü Defense Fund Net Neutrality aracılığıyla yönlendirilen geleneksel kredi
kartı markaları da dahil olmak üzere çeşitli kaynaklardan bağış kabul ediyor.
(bağışları Fransız ulusal bankacılık sistemi aracılığıyla yönlendirir).
Sonuçta
devletin gücü bölgesel olarak bağlantılıdır, bu da onun İnternet'in fiziksel
tarafına saldırabileceği yerde en etkili olduğu anlamına gelir. Her ne kadar
kararlı, teknik açıdan gelişmiş kuruluşlar çoğu zaman İnternet'in yetki
alanındaki belirsizliğin arkasına saklansa da, fiziksel bir varlığa sahip olan
herhangi biri eyaletin kendi sahasında oynama riskiyle karşı karşıyadır.
Hükümetler, el koyulabilecek fiziki ve mali varlıklar, kapatılabilecek ofisler,
tacize uğrayabilecek ya da hapse atılabilecek kişiler aracılığıyla güçlerini
kullanabiliyor. Bunun iyi bir örneği, Çin'deki iş ofislerini sürdürebilmek için
Tiananmen Meydanı'ndaki 1989 protestolarına ilişkin referansları kaldırmayı kabul
eden bir dizi İnternet arama şirketidir.
Ancak
devletler için önemli olan tek konu bölgesellik değildir. Bir diğer önemli
özellik ise özel aktörlerin siber uzay altyapısının çoğunu nasıl kontrol
ettiğidir. İnternet omurgasının özelleştirilmesinden bu yana, veri akışını
sağlayan "borular" özel aktörlere aittir. Bu ulusal ve uluslararası
bağlantılar düzenlenmektedir, ancak birçoğu telefon atalarından çok daha fazla
özgürlüğe sahiptir. Özel ağlara olan bu bağımlılık, trafiği bile kapsamaktadır.
- ulusal açıdan en kritik öneme sahip kurgu. Eski ABD Ulusal İstihbarat
Direktörü Amiral Michael McConnell, "gizli iletişim de dahil olmak üzere
ABD hükümeti iletişiminin yüzde 98'inin, sivillerin sahip olduğu ve işlettiği
ağlar ve sistemler üzerinden seyahat ettiğini" tahmin ediyor.
Pek
çok ülke, kendi ülkeleri ile küresel İnternet arasındaki geçitleri kontrol
etmeye çalışsa da, bu yapının yapısı, sivilleri ordudan veya hükümetten
ayıramayacakları anlamına geliyor. Gördüğümüz gibi, bu sadece saldırgan siber
operasyonların etiği açısından geçerli değil, aynı zamanda devletlerin sistemi
kendi tercihlerine göre şekillendirmede çok zorlandığı anlamına da geliyor.
Örneğin eski günlerde hükümet, kriz anında hangi telefon görüşmelerinin
gerçekleştirileceğine öncelik verebilirdi. Bugün, İnternet paketi tabanlı
iletişim dünyasında, bir başkanın e-postası, "Gangnam Style"
eşliğinde dans eden bir bebeğin videosundan daha fazla önceliğe sahip değildir.
Bu
düzenleme siber güvenlik açısından hayati önem taşıyan bir bağımlılık yaratmaktadır.
Hükümetler bilgi altyapılarının neredeyse her bileşeni için özel sektöre
bağımlıdır. Ancak bu aynı zamanda devletlerin bu dünyanın güvenliğini sağlama
konusunda ortak sorumluluklarını üstlenmek için özel sektöre güvendikleri
anlamına da geliyor.
Örneğin
, Bölüm I'de, dünyanın en büyük bot ağını yaratan Conficker solucanının
yapımcılarının başarısızlığa uğrayan avını okuduk. Dünyadaki tüm devletlerin
güçleri, Britanya Parlamentosu'ndan Fransız Hava Kuvvetleri'ne kadar uzanan
ağlara nüfuz etmiş olsalar bile, yapıcıları alt edemediler. Ve yine de,
devletlerin bir kenara itildiği hikâyesi için aynı derecede ilgi çekici olan,
Conficker'in hafifletilmesi hikâyesidir. Özel sektör temsilcilerinin yanı sıra
Kabal olarak bilinen bir dizi gönüllüden oluşan küresel bir grup, bir karşı
çabayı koordine etmek için bir araya geldi. Nihayetinde 160'tan fazla ülkedeki
ele geçirilen bilgisayarlardan gelen mesajları güvenli bir "çukur"a
yönlendirerek Conficker botnet'ini engellemeyi başardılar.
Kabal'ın
dinamik doğası bazıları tarafından bir başarı olarak kabul edilirken,
merkezinde bir hükümet rolünün olmayışı bunu gösteriyor. Aslında grup
tarafından hazırlanan öğrenilen dersler raporunda hükümetin rolü "Sıfır
katılım, sıfır faaliyet, sıfır bilgi" olarak özetleniyordu.
Ancak
yine de, Conficker'in hafifletilmesinde ne ABD ordusunun ne de FBI'ın merkezi
bir rol oynamaması, aslında bunun Windows işletim sistemindeki bir güvenlik
açığının belirlenmesi ve daha sonra yamanın geliştirilip dağıtılmasıyla ilgili
olduğu göz önüne alındığında, bu kadar şaşırtıcı mı? Bu Microsoft'un ve
müşterilerinin işi, hükümetin değil.
Bu
sınırlamaların ve bağımlılıkların, hükümetin Conficker vakasındaki “sıfır
müdahale, sıfır faaliyet, sıfır bilgi” rolünün aslında optimal olduğu anlamına
geldiğine inanan bazıları var. Ancak bu, öncelikle hükümetlerimizin var
olmasının nedenlerini ve dolayısıyla bu hükümetlerin vatandaşlarına borçlu
olduğu sorumlulukları göz ardı ediyor. Hükümet, gerçek dünyadaki savunma,
iletişim vb. operasyonlarını yürütmesine olanak tanıyan siber uzaydaki kendi
sanal sistemlerini güvence altına almalıdır. Buna karşılık hükümet, elektrik
üretimi, su arıtma, hastaneler ve diğer sektörler gibi vatandaşlarının bağımlı
olduğu sistemlerin güvenliğini göz ardı edemez. Aslında, İnternet'in ortaya
çıkmasından önce bile bu tür sektörler, orantısız sosyal etkilerini yansıtacak
şekilde, ekonominin geri kalanına göre daha yoğun bir şekilde izleniyor ve
düzenleniyordu. Aynı şeyin bugün de geçerli olması gerekir.
Hükümetlerin
önündeki zorluk, İnternet'in mimarisiyle mücadele etmeden ve siber uzayın
faydalarını baltalamadan bilgi güvenliğini nasıl geliştirebileceklerini
anlamaktır. Devletler elbette vatandaşlarına karşı rollerini ve
sorumluluklarını göz ardı etmemeli ancak aynı zamanda güçlerinin yapısal
sınırlarını da kabul etmelidir. Hükümetlerin geçerli endişeleri var ancak kilit
sektörlerin çoğu üzerinde artık doğrudan kontrolleri yok, çünkü bunlar büyük
ölçüde özel ellerde.
Siber
güvenlik devletin kolayca devralabileceği bir alan değildir. "Sıfır
katılım" veya "sıfır faaliyet" de olamaz. Doğru dengeyi bulmada
en önemli strateji üçüncü soruna, hem kamuda hem de özel sektörde çok sık
gördüğümüz siber uzayın temel sorunları ve sorumluluklarına ilişkin “sıfır
bilgi” zihniyetine saldırmaktır.
Hükümetin Rolünü Yeniden Düşünün: Siber Güvenlik
İçin Nasıl Daha İyi Organize Olabiliriz ?
Siber dünya, çevrimiçi bilgilerin sürekli büyümesinden,
kelimenin tam anlamıyla yıldan yıla kendi kendine çoğalmasından, çevrimiçi
tehditlerin eşdeğer büyümesine kadar, üstel bir yer. Ancak üstel hızda
çalışmayan bir parça var : hükümet. Eğer öyleyse, buzul hızında hareket
ediyor.
2004
yılında Devlet Sorumluluk Ofisi, ABD yürütme organının ulusal siber güvenlik
stratejisinde ihtiyaç duyduğu bir dizi özelliği belirledi (Amerikalı yazarlar
olarak biz ABD'ye odaklanıyoruz, ancak aşağıdaki dersler diğer ülkelerin çoğu
için geçerlidir). Kaynak tahsisinden politikaların tanımlanmasına ve hesap
verebilirliğin sağlanmasına yardımcı olmaya kadar her şeyi kapsıyordu. Tam on
yıl sonra GAO, Beyaz Saray'ın aslında aynı noktada olduğunu bildirdi.
"Öncelikli eylemleri açıkça ifade eden, bunları gerçekleştirmek için
sorumluluklar atayan ve bunların tamamlanması için zaman çerçeveleri belirleyen
hiçbir kapsayıcı siber güvenlik stratejisi geliştirilmedi."
Pensilvanya
Bulvarı'nın diğer ucunda yasama organı daha ileride değildi. Kongre kesinlikle
siber güvenlikle ilgileniyordu ve bunun hakkında konuşmak için yılda altmış
kadar oturum düzenliyordu. Ancak 2002 ile bu kitabın yazıldığı on yılı aşkın
süre arasında tek bir önemli siber güvenlik mevzuatını geçirmeyi başaramadı.
Bu,
hükümetin siber güvenlik önlemi almadığı anlamına gelmiyor. Aslında Siber
Komuta'dan Stuxnet'e kadar önemli hükümet programları defalarca şekillendi.
Aksine, farklı olan hükümetin hızıdır ve siber güvenlik için nasıl daha iyi
organize olabileceği düşünüldüğünde bu büyük önem taşır.
ABD
hükümetinin siber güvenlik için hızlı bir şekilde kendini yeniden organize etme
yönünde harekete geçmesinin en iyi örneklerinden biri aslında politika
değişikliğinin karmaşıklığını göstermektedir. Federal Risk ve Yetkilendirme
Yönetimi Programı veya FedRAMP sertifikasyonu, 2013 yılında başlatılan ve ilk
kez bir devlet yüklenicisinin tüm sivil ABD hükümetine hizmet sağlama izni
almasına olanak tanıyan bir programdı . Bu, her kurumun kendi zorunlu güvenlik
incelemesini yaptığı bir yapının yerini alması nedeniyle ileriye doğru atılmış
büyük bir adımdı.
İlk
sağlayıcının onay alması "sadece altı ay" sürdüğü için bu süreç
medyada bir miktar ironiyle kutlandı; bu, siber dünyada bir ömür anlamına
geliyordu. Ancak FedRAMP için gereken yapıya bakıldığında, bu altı ayın federal
hükümet için göz kamaştırıcı derecede hızlı olduğu görülüyor. Yönetim ve Bütçe
Ofisi, her federal kurumun güvenliğinin sağlanması konusunda yasal sorumluluğa
sahiptir ve uygulama yetkisini FedRAMP'ı denetleyen Genel Hizmetler İdaresi'ne
devreder. Buna karşılık, Savunma Bakanlığı ve İç Güvenlik Bakanlığı, Ticaret
Bakanlığı bünyesindeki Ulusal Standartlar ve Teknoloji Enstitüsü'nün teknik
desteğiyle risk değerlendirme sürecini tasarlar. Rehberlik ve kurumlar arası
koordinasyon, hükümet çapındaki CIO Konseyi tarafından sağlanır. Yani tüm
oyuncuları ve adımları göz önünde bulundurduğunuzda altı ay aslında etkileyici
derecede kısa bir süre.
Zaman,
sorun ve organizasyon arasındaki bu kopukluğun sonucu, hükümetin siber güvenlik
çabalarının, çoğu zaman çok az net strateji ve karışık kontrol düzeylerine
sahip, kurum ve projelerin bir parçası olmasıdır. Bölüm II'de incelediğimiz
gibi, savunma ve istihbarat kuruluşları, siber alanda organizasyonel olarak en
büyük ayak izine sahiptir, çünkü uzun süredir diğer ağlara saldırmaya ve kendi
ağlarını savunmaya odaklanmışlardır. Kendilerini güvence altına almanın
ötesinde, uzmanları, özellikle de NSA'daki uzmanlar, zaman zaman bu
uzmanlıklarını diğer kuruluşlarla ve bazen de ulusal çıkarları ilgilendiren
konularda özel sektörle paylaşıyorlar . Örneğin, NSA ve Savunma Bakanlığı,
saldırı imzalarını bir grup kritik savunma yüklenicisiyle paylaşmak için
birlikte çalışırken, NSA 2010'daki saldırıların ardından Google'a ve 2010'daki
bir dizi DDoS saldırısının ardından finans sektörüne teknik destek sunmayı
kabul etti. 2012.
Çağrı
üzerine koruma ve dışarıdan sağlanan uzmanlık için istihbarat örgütlerine
güvenmek varsayılan yöntem olabilir, ancak bu durum bazı endişeleri de
beraberinde getirmektedir. Birincisi, her zaman gizlilik sorunu ve (dış
tehditlere odaklandığı varsayılan) NSA veya CIA gibi istihbarat teşkilatlarının
kendi vatandaşları hakkında bilgi toplamasını engellemesi beklenen yasal
güvenceler vardır. Bu çok büyük bir tartışma alanı; NSA, bazı durumlarda, ya yabancı
vatandaşlarla olan iletişimleri yoluyla ya da çevrimiçi banka işlemlerinden
seyahat kayıtlarına kadar her şeyin devasa düzeyde veri madenciliği yoluyla,
ABD vatandaşlarının İnternet faaliyetleri hakkında herhangi bir izin olmaksızın
bilgi topladı. Bunların çoğu gizli alanda kalıyor, ancak kaba mahremiyet koruma
mekanizması bilgilerin genelleştirilmesini gerektiriyor; Bir kişi hakkında
belirli bilgilerin çıkarılması için arama izninin olması gerekiyor. Bununla
birlikte, NSA'nın 2013'teki Prism ve Verizon skandalından (Edward Snowden
sızıntılarının ortaya çıkardığı gibi) 2005'te George W. Bush yönetiminin
emriyle CIA ve CIA'e yönelik yetkisiz gözetleme programları konusundaki
tartışmalara kadar uzanan uzun bir skandal ve suiistimal dizisi var. Başkan Nixon
yönetimindeki yasa dışı yurt içi telefon dinlemelerinde NSA'nın oynadığı rol,
birçok kişinin neden bu tür düzenlemelere dahil edilmesi gereken koruma
türlerine güvenmediğini gösteriyor.
İkincisi,
istihbarat teşkilatı casusluk ve diğer sistemlerden yararlanma becerisine güçlü
bir şekilde odaklanmaktadır. Görevleri aynı zamanda iletişim ağlarına arka
kapılar inşa etmeyi ve diğer ulusların sistemlerine saldırmak için açık
suiistimalleri sürdürmeyi de içeriyor; bu da elbette yalnızca savunmaya yönelik
bir odaklanmaya ters düşebilir. Başka bir yerde açık olmalarına güvenseydiniz,
tüm açık kapıların her zaman kapatılmasını istemezdiniz. Son olarak, bu
kurumlar aynı zamanda normal kurumlara göre daha az gözetim ve şeffaflıkla
çalışmaktadır; bilgi paylaşımının çok önemli olduğu siber savunmada bazen sorun
teşkil edebilen operasyonel nedenlerden dolayı bunların kaynakları ve
yöntemleri gizli tutulmalıdır.
Hem
insani hem de teknik sermayenin büyük kısmı ordu ve istihbarat camiasına ait
olsa da, Amerikan siber güvenlik politikasının resmi liderliği İç Güvenlik
Bakanlığı'na (DHS) düşüyor. Ne yazık ki, bu liderlik rolü şu ana kadar uygulama
yetkisi açısından nispeten az bir katkı sağlamıştır. DHS, sivil hükümet
ağlarının güvenliğini koordine eder ve özel sektörle çalışmaya yönlendirilir.
Ancak 2012'deki hukuki analiz, büyük sorumluluğun çok az güç getirdiğini ortaya
çıkardı. DHS hem hükümete hem de kritik altyapıya destek sağlar ancak herhangi
bir spesifik eylemi zorunlu kılamaz. Bir saldırıya yanıt olarak, “mevcut [yasal]
yetkililer DHS'ye bir siber olay sırasında müdahale etme sorumluluğunu verseler
bile, siber olay müdahalesini yönetmek ve koordine etmek için gereken eylemleri
tam olarak desteklemeyebilirler.''
Aynı
hikaye karşılaştırmalı bütçe rakamlarında da geçerli. DHS, 2012'de çeşitli
siber güvenlik programlarına 459 milyon dolar harcadı. Pentagon, NSA'nın gizli
bütçesi bile hariç olmak üzere kabaca sekiz kat daha fazla harcama yaptı
(Snowden sızıntılarına göre yaklaşık 10,5 milyar dolar).
Belirsiz
yetkililere ve çok daha küçük bir bütçeye rağmen DHS, Amerika'nın siber güvenlik
politikasının merkezi karesi haline geldi. Amerika Birleşik Devletleri
Bilgisayar Acil Durum Müdahale Ekibi (US-CERT), teknik uzmanlık, işbirliği ve
güvenlik bilgilerinin yayılması için bir merkez olarak hizmet vermektedir. Su
arıtma tesislerini ve elektrik şebekesini çalıştıran endüstriyel kontrol
sistemleri için de benzer bir organizasyon mevcuttur. DHS'nin belki de en
etkili olduğu nokta, alan adı sisteminin güvenliği de dahil olmak üzere yeni
teknik güvenlik önlemlerinin savunucusu olmasıdır.
Kendi
sektörlerindeki siber güvenlik sorunları konusunda birincil otorite, DHS yerine
Amerika Birleşik Devletleri'ndeki hükümetin düzenleyici kurumlarıdır. Bunlara
genellikle Ticaret Bakanlığı'nda bulunan Ulusal Standartlar ve Teknoloji
Enstitüsü (NIST) yardımcı olur. NIST, marketlerde kullanılan ağırlıklardan
karma işlevleri gibi bilgi sistemlerinin temel yapı taşlarına kadar her konuda
teknoloji, ölçüm ve standartlar geliştirmek ve uygulamak için endüstriyle
birlikte çalışan federal kurumdur. NIST uzmanları, endüstrinin bulut bilişim ve
dijital kimlik gibi yeni teknolojiler konusunda net bir fikir birliğine sahip
olmadığı alanlar için standartlar ve çerçeveler geliştirdi. Zaman zaman
elektronik oylama veya elektronik tıbbi kayıtlar gibi belirli uygulamalarda
güvenliğe ağırlık verecekler, ancak asıl odak noktaları birçok farklı sektör
için geçerli olan teknik bileşenler hakkında rehberlik sunmak olmuştur. NIST
uzmanlığı, endüstriden gelen girdilerle geliştirilen resmi, kuralcı standartlar
şeklini alabilir, ancak aynı zamanda yayınlanmış en iyi uygulamalar ve
araştırma raporları gibi daha hafif bir dokunuşla da gelebilir.
Bazen
bu organizasyonel kurulum iyi çalışır. Bankalar için Federal Reserve, bankalar arasında
para transferine ilişkin politikaları belirler. Bu, yetkisiz aktarımlara karşı
tüketicinin korunmasını da içerir : hesaptan neyin çalındığına veya nasıl
çalındığına bakılmaksızın tüketici yalnızca maksimum 50 ABD Doları tutarında
sorumludur. Dolandırıcılığın sorumluluğunu açıkça atayan bu politika, bankaları
dolandırıcılık tespit uygulamalarını kendileri geliştirmeye zorladı. Ve daha
önce de incelediğimiz gibi, bankaların siber güvenliği ciddiye alma yönünde
teşvikleri var çünkü hem anlıyorlar hem de anlamadıkları takdirde maliyetleri
daha doğrudan hissediyorlar.
Sorun,
teşviklerin uyumlu olmaması veya devlet düzenleme kurumlarının bu kadar
odaklanmaması, belirsiz standartlar belirlemesi veya yetkilerde çakışma veya
boşlukların bulunmasıdır. Örneğin kredi kartı işlemcilerinin dolandırıcılık
işlemlerine ilişkin açık sorumluluğunun aksine, siber güvenlik organizasyonu
söz konusu olduğunda elektrik sektörü tam bir karmaşa içindedir. Üretim, iletim
ve dağıtım ayrı kuruluşlar tarafından yönetilmektedir. Bu durum hem
düzenlemelerin çakışmasına hem de kapsam boşluklarına yol açmaktadır. Hem NIST
hem de Kuzey Amerika Elektrik Güvenilirliği Kurumu (NERC), Akıllı Şebeke
standartlarının geliştirilmesinden sorumludur, ancak her ikisinin de güvenlik
girişimlerine liderlik etme konusunda açık bir sorumluluğu yoktur. Ayrıca,
elektrik şebekesinin dağıtım katmanı her iki kurum tarafından da kapsanmıyor,
bu da iki kurumun aynı anda güvenlik standartlarını belirleme yeteneğine sahip
olduğu ve olmadığı bir durum yaratıyor.
Tek
tip bir stratejinin yokluğunda, hakim yaklaşım her düzenleyici kurumun kendi
endüstrisiyle ilgilenmesi yönünde olmuştur. Ancak sonuç, bir siber güvenlik
firmasının CEO'sunun bize söylediği gibi, "Kritik altyapıların 'en kritik'
olanları, siber güvenlikteki en büyük gecikmelerdir." Teşviklerin
düzenleme ve yatırım açısından daha uyumlu olduğu finans gibi alanların güvence
altına alınmasına çok dikkat edilirken, su kontrolü, kimya endüstrisi veya
limanlar gibi daha temel önem ve tehlike içeren diğer alanlarda neredeyse hiç
yok. Örneğin 2013 yılında, altı büyük Amerikan limanının rehberliğine yardımcı
olduğumuz bir araştırma, düzenleme ve korumadan sorumlu Sahil Güvenlik ve
Ulaştırma Bakanlığı yetkililerinin Limanların bölgede kelimenin tam anlamıyla hiçbir
gücü veya uzmanlığı yoktu.
Bu
nedenle pek çok kişi, özellikle kritik altyapı endüstrileri için daha fazla
ulusal standart çağrısında bulundu. Bu, son dönemdeki mevzuat girişimlerinin
hedefi olmuştur. Ancak güvenlik gerekliliklerinin yasal düzeyde belirlenmesi
fikri pek çok kişiyi rahatsız ediyor. Firmaların her zaman en iyisini bildiğini
ve kendilerini korumak için her zaman en iyi teşviklere sahip olduklarını iddia
ediyorlar (bu kitap boyunca bunun tam tersini gördük). Elbette aynı iddialar
Titanik'ten önce denizcilik sektörüne ve Three Mile Island'dan önce
nükleer enerji endüstrisine yönelik düzenlemelere karşı da ileri sürülmüştü.
Dolayısıyla, şu an itibariyle standartları belirlemeye yönelik yasa tasarıları
başarısız oldu ve Kongre, düzenleyici kurumlara endüstride bilgi güvenliğini
teşvik edecek başka yasal araçlar sunma yetkisi vermedi.
Obama
Beyaz Saray, 2013'te hiçbir yeni yasa olmadan yürütme kurumlarına "mevcut
yetkilerini ulus için daha iyi siber güvenlik sağlamak amacıyla kullanma"
talimatı verdi. Ancak bunun uygulamada ne anlama geldiği belirsizliğini
koruyor. Bu bizi koordinasyon sorununa geri getiriyor. ve geniş strateji. En
çok eksik olan şey, siber güvenlik için genel olarak otorite ve liderliğin net
bir şekilde tanımlanması, mevcut olanla ilgili daha tutarlı standartlar ve
yaklaşımların belirlenmesidir. Mevcut karışım her iki dünyanın da en kötüsüdür.
Firmaların ya standartlara uymadığı ya da hangi mevzuata uyulması gerektiğine
karar vermek zorunda kaldığı artan harcamalar, aynı zamanda herhangi bir
kurumun anlamlı bir değişiklik yapma yeteneğini zayıflatır ve düzenlemelerde
kötü adamların saklanabileceği tehlikeli boşluklar yaratabilir.
Daha
tutarlı standartlar oluşturmanın ve ideal olarak mevzuatta güncelleme yapmanın
yanı sıra, hükümetlerin siber güvenlik politikasını şekillendirmek için
kullanabileceği başka araçlar da var. Biri satın alma gücü. Ülkenin hemen hemen
her şeyin en büyük alıcısı olan hükümet, sadece düzenleyici olarak değil aynı
zamanda müşteri olarak da piyasayı etkileme kapasitesine sahiptir. Bir politika
raporunda belirtildiği gibi, "ABD hükümetinin satın alma politikaları
tarafından belirlenen güvenlik gereklilikleri, diğer tüketiciler tarafından da
dahil edilmek üzere standartlaştırılma potansiyeline sahip olup, hükümete
sektördeki gelişmeleri mevzuat veya düzenlemeler yoluyla mümkün olamayacak
şekillerde yönlendirme ve yönlendirme yeteneği vermektedir. " Bu, büyük
ölçeklerde BT güvenlik çözümlerini ustaca seçerek müşteri ve politika yapıcının
rollerini harmanlar. Bir uyarı var: Artık 1960 değil ve hükümet artık
bilgisayar dünyasının ana oyuncusu değil. BT lobi faaliyeti organizasyonunun
başkanı TechAmerica 2010 yılında şu ifadeyi verdi: "Savunma Bakanlığı
dünya çapındaki tüm bilgi teknolojisi harcamalarının yalnızca yüzde 0,1'inden
biraz fazlasını oluşturuyor." Araç kullanılmalı ama kimse bunun sihirli
bir değnek olduğunu düşünmemeli.
Hükümet
hâlâ bazı değişikliklere yol açabilecek kadar büyük (her yıl neredeyse 100
milyar dolar) bir pazar. Satın aldığı sistemlerin yüzde 100 güvenli olmasını
talep edemese bile, bu sistemlerin nereden geldiği ve nasıl üretildiği
konusunda bazı sorumluluklar dayatabilir. Bu, hemen hemen her şeyin yapı taşı
olarak kullandığımız donanımın risklerini vurgulayarak "tedarik zinciri
sorununa" dikkat çekmeye yardımcı olacaktır. Bu parçaların tedarik zinciri
sayısız ülkeyi ve şirketi kapsadığından, saldırganlar yolsuzluk veya Son
satıcının yukarısındaki kötü niyetli bileşenler Elektronik kullanımı her yerde
mevcuttur, dolayısıyla bir sektör gözlemcisinin belirttiği gibi, "100
dolarlık bir mikroçip, 100 milyon dolarlık bir helikopteri yerde
tutabilir." Bu saldırıya karşı sadece yetersiz bir korumamız yok, aynı
zamanda herhangi bir satıcının güvenliklerini onaylamak için üretime kimin
dahil olduğunu bilmesi de şu anda zor.
Hükümet,
tedarik zincirine hem şeffaflık hem de hesap verebilirlik getirmek için
birleştirici rolünün yanı sıra satın alma gücünü de kullanabilir. Genel
politika fikri, Brookings Darrell West'teki meslektaşımızın önerdiği gibi,
"üzerinde anlaşmaya varılmış standartlar geliştirmek, bağımsız
değerlendiriciler kullanmak, sertifikasyon ve akreditasyon için sistemler
kurmak ve güvenilir dağıtım sistemlerine sahip olmak" şeklinde bir sistem
kurmaktır. NIST, hem federal kurumlar hem de özel işletmeler için geçerli
olabilecek tedarik zinciri risk yönetimi en iyi uygulamalarını geliştirmek
üzere hükümet ve sektör paydaşlarını bir araya getirdi. DARPA gibi uzmanlaşmış
kurumlar, modern bilgisayarları çalıştıran şaşırtıcı derecede karmaşık entegre
devrelerin kötü amaçlı bileşenler içermediğini doğrulamak gibi tedarik zinciri
riskinin daha ciddi yönleriyle mücadele etmeye başladı.
Hükümet
ayrıca, bireysel firmaların kendi başlarına keşfetmeye teşvik
edilemeyebilecekleri ancak herkesin faydalanabileceği siber güvenlik sorunlarını
çözmek için en iyi konumda olduğu araştırma gücü etrafında daha iyi
örgütlenmede önemli bir rol oynayabilir. İnternetin kendisi. Örneğin, hükümet
tarafından finanse edilen araştırmacılar, siber suç örgütlerinin yapısı
hakkında bugün bildiklerimizin çoğunu üretmiş ve Kimlik Avı ile Mücadele
Çalışma Grubu gibi endüstri gruplarının aktif katılımcılarıdır. Buradaki zorluk
yine bu araştırmanın nasıl daha iyi organize edilip yaygınlaştırılacağıdır.
Daha önce tartıştığımız gibi, yaklaşımı halk sağlığı modelini yansıtacak
şekilde yeniden çerçevelemenin özü budur.
Yetkililerin
dağınıklığı göz önüne alındığında, hükümetin siber güvenlik çabalarında, en
önemlisi de hızı yakalamasına yardımcı olmak için daha fazla açıklama ve yapıya
ihtiyaç olduğu açıktır. Hükümet organizasyonunun en iyi örneğinin altı ay süren
bir dünya olduğu bir dünya açıkça ideal değildir. Ancak aynı zamanda, doğru
teşvikler ve bunun altını çizen anlayış olmadan organizasyonun ancak bir yere
kadar ilerleyebileceğini de kabul etmemiz gerekiyor.
Başkan
Obama, göreve gelmesinden kısa bir süre sonra, "Amerika'nın dijital
altyapısını güvence altına almak için kapsamlı bir yaklaşımın
geliştirilmesi" çağrısında bulundu. Bu güçlü bir vizyondu. Sorun, aynı
hedefin Beyaz Saray'ın her yeni sakini tarafından belirlenmiş olmasıydı. Kökeni
1990'lı yıllarda Bill Clinton'a kadar uzanan ve hala yerine getirilememiş bir
dünya. Öte yandan, siber güvenlik dünyası yekpare bir dünya olmadığına göre,
neden ortaya çıkan tüm sorunları tek bir yaklaşımın çözmesini, hatta açıkçası
hatta çözmesini bekleyelim ki? mümkün mü?
Buna Kamu-Özel Sorunu Olarak Yaklaşın: Savunmayı
Nasıl Daha İyi Koordine Edebiliriz?
Birkaç
hafta boyunca tek bir blog yazarı internetin kurtarıcısı oldu. Ancak tüm süper
kahramanlar gibi onun da biraz yardıma ihtiyacı vardı.
2008
yılında, Security Fix sitesinde blog yazan Washington Post muhabiri
Brian Krebs, interneti zehirleyen tek bir şirketin ve diğer herkesin neden bu
şirketin yanına kalmasına izin verdiğini merak etmeye başladı. Söz konusu
şirket, fiziksel olarak California'da bulunan ve Krebs'in yazdığı gibi
"günümüzde iş dünyasındaki en itibarsız siber suç çetelerinden bazılarını
içeren" bir müşteri listesine sahip bir web barındırma şirketi olan
McColo'ydu.
Şirket
ve müşterileri hakkında veri toplamak için dört ay harcadıktan sonra Krebs,
McColo'ya internete erişmesi için bant genişliği sağlayan büyük ticari İSS'lere
ulaştı. Onlara McColo'nun kötü niyetli olduğuna dair kanıtları sundu. Birkaç
saat içinde McColo'nun büyük bir internet sağlayıcısı olan Hurricane
Electric'in pazarlama müdürü Benny Ng gibi birçok kişiden haber aldı . “Biraz
inceledik, bildirdiğiniz sorunun büyüklüğünü ve kapsamını gördük ve 'Kutsal
inek!' dedik. Bir saat içinde onlarla olan tüm bağlantılarımızı
sonlandırdık." Hurricane Electric'in izinden giden diğer büyük hizmet
sağlayıcıların çoğu, sonraki iki gün boyunca McColo'ya olan hizmetleri kesti.
McColo bariz bir kötü eylem vakasıydı ve servis sağlayıcılar bununla hiçbir şey
yapmak istemediler ama sonra Krebs'in bile şüphelenmediği bir şey geldi: Tüm
dünyadaki spam seviyeleri anında neredeyse yüzde 70 düştü.
McColo
vakası, siber uzayın yaygın küresel tehditlerine karşı savunmanın nasıl
koordineli bir tepki gerektirdiğini ve teşviklerin ne kadar önemli olduğunu
gösteren iyi bir örnektir. Bu firmalar, Krebs'in kendileriyle iletişime
geçmesinin ardından hemen harekete geçti çünkü bilinen bir kötü aktöre ev
sahipliği yapmanın markalarına ne yapacağından endişe ediyorlardı. Ancak Krebs,
McColo'nun eylemlerini dünyaya duyurmayı planladığı ana kadar bunu
umursamamışlardı. Kötü davranan firma, büyük trafik (ve dolayısıyla iyi iş)
yaratan başka bir iyi müşteriydi.
Siberuzaydaki en kötü tehditlerde gördüğümüz gibi, onlara
karşı en iyi savunma koordinasyona dayanır. Krebs kendi başına yola çıkmış olsa
da, harekete geçmek için İnternet hizmeti sağlayan şirketler ağına güveniyordu;
onlar da harekete geçmek için ihtiyaç duydukları bilgi ve istihbaratı sağlama
konusunda kendisine bağlıydı. Tek başına aktörlerin veya kuruluşların daha
yüksek duvarlar inşa etmeye veya kötü amaçlı yazılımları daha iyi tespit etmeye
çalışmaları yeterli değildir . Saldırganlar uyum sağlar. Dahası, saldırganlar
kontrol ve sorumluluk sınırlarını istismar ederek kolektif eylem sorunu
yaratırlar.
Brian
Krebs, gerekli aktörleri ve bilgileri bir araya getirerek, işbirliğini doğru
dayanak noktasına taşıyarak etkili eylemi teşvik edebildi. Siberuzay dağınık ve
merkezi olmayan görünse de (aynı zamanda İnternet'in en önemli avantajlarından
ve güvensizliklerinden biri), savunucuların avantaj elde etmek için kaynakları
yoğunlaştırabilecekleri kontrol darboğazları ve darboğazları vardır. Büyük
İSS'lere olan bağımlılık, McColo sorununun kapatılmasına yardımcı olan bir
faktördür. Buna karşılık ödeme sistemleri, özellikle kötü niyetli eylemin suçla
bağlantılı olduğu durumlarda böyle bir doğal avantaj daha sunuyor.
Koordinasyona
yönelik teşvikler, herhangi bir siber güvenlik sorununun çözümünde dikkat
edilmesi gereken en önemli kısımdır. Paranın el değiştirmesi gibi bazı
alanlarda teşvikler basittir. Örneğin büyük kredi kartı ağları söz konusu
olduğunda, herhangi bir yasa dışı faaliyetle etkileşimden kaçınma konusunda
doğal bir teşvike sahiptirler; çünkü bu, markanın korunmasına ilişkin sıradan
endişelerin ötesine geçen dolandırıcılık ve tartışmalı işlemler risklerini
beraberinde getirebilir. 2002 yılında Visa kredi kartı şirketi, ödeme ağının
çocuk pornografisi barındıran siteler gibi şüpheli siteler tarafından
kullanıldığı durumları tespit etmek için bir sistem kurdu. Visa bu ağlarla
ilişkilerini sonlandırmaya başladı ve aynı zamanda yasa dışı faaliyetleri
hükümet yetkililerine bildirmeye başladı. On iki ay içinde çocuk pornosu olarak
tanımladıkları web sitelerinin yüzde 80'i ya kapatıldı ya da ödemeleri işlemek
için artık Visa'yı kullanamaz hale geldi.
Bu
nedenle daha fazla yasa dışı faaliyet, çoğu bireylerin paralarını daha özgürce
hareket ettirmelerine imkan verecek şekilde özel olarak kurulmuş olan
alternatif ödeme sistemlerine kaydı. Popüler PayPal veya artık kullanılmayan
Kanada merkezli Alertpay gibi ödeme ağları, kişisel olarak kredi kartı
ödemelerini kabul edemeyen kişilerin ticaret yapmasına olanak tanıyor. Bu
firmaların iş modeli, kullanıcılarına kolaylık ve esneklik sunmak üzerine
kurulmuş olsa da, ağlarının itibarına zarar verebilecek kötü aktörlerden
kaçınma konusunda hâlâ çıkarları var. Bu nedenle genellikle müşterilerinin
ödemelerini işleyen "bankaları satın almakla" çalışırlar. PayPal'ın
çok katı kuralları vardır ve çevrimiçi ödeme sisteminin hain planlarda
kullanılıp kullanılmadığını tespit etmek için dahili denetimler vardır.
Aslında, anormallikleri tespit etme ve takip etme yöntemleri ödemeler o kadar
etkili oldu ki, daha sonra CIA ve diğer ABD istihbarat teşkilatları tarafından,
PayPal'da çalışmış kişiler tarafından kurulan Palantir adlı bir firma
aracılığıyla uyarlandı.Öte yandan, Alertpay, satın aldığı bankalar tarafından
defalarca uyarıldı. 2011'de kapatılmadan önce çevrimiçi dolandırıcılık ve çocuk
pornografisi siteleriyle uğraşıyordu.
Ödeme
ağlarının artan güvenliğinden ve kontrolünden kaçınmak için bazı kötü aktörler
dijital para birimlerine yöneliyor. Bunlar , çevrimiçi dünyada bunları kabul
edecek birini bulmanız koşuluyla, tıpkı diğer para türleri gibi alınıp
satılabilen alternatif para birimleridir. Örnekler Bitcoin'den çevrimiçi
Second Life dünyasında kullanılan Linden Doları'na kadar uzanmaktadır . Bu
para birimlerinin savunucuları genellikle bunların, net ulusal sınırları
olmayan sanal bir dünyada ticaret yapmanın daha etkili yolları olduğu iddiasını
öne sürüyor. Özellikle gelişen dünya para birimleriyle karşılaştırıldığında,
devlet destekli paralara göre daha istikrarlı olabildikleri gibi, geleneksel
bankalara erişimi olmayan dünyadaki 2,5 milyardan fazla insana bağlantı kurma
ve ticaret yapma yolu da sunuyorlar. Sorun şu ki, diğer birçok kullanıcı suç
faaliyetlerine katılmak ve kara para aklamak için dijital para birimlerine
güveniyor.
Ancak
burada yine tıkanma noktaları var. Sistemlerinin önemli bir parçası,
kullanıcıların dijital bitlerini daha yaygın olarak kabul edilen para birimine
dönüştürdüğü borsadır. Al Capone'un cinayet ve şantaj yerine vergi kaçakçılığı
nedeniyle tutuklandığı günlerden bu yana kolluk kuvvetleri, suçluların peşine
düşmek için uzun süredir daha sıradan mali kanunları kullanıyor. FBI çevrimiçi
kumarla mücadele etmek istediğinde, en büyük web sitesi operatörlerini kumar
suçlarıyla değil kara para aklamayla suçladı. Dijital para birimleri söz konusu
olduğunda, dijital para birimlerini geleneksel para birimleriyle değiştiren
değişim noktası operatörleri, kolluk kuvvetlerinin şu ana kadar çabalarını
yoğunlaştırdığı yerlerdir. Çevrimiçi dijital para birimleriyle işlem yapıyor
olsalar da, bu operatörlerin yine de diğer finansal kurumlarla iletişim kurması
ve gerçek dünyada finansal düzenlemelere tabi yetki alanları altında varlıklara
sahip olması gerekiyor. Bu ifşa, Amerikalı yetkililerin alternatif para birimi
egod'un yaratıcılarını kara para aklamayla suçlamasına olanak tanıdı.
Savunma
sadece doğal tıkanma noktaları etrafında koordine olmakla kalmaz, aynı zamanda
İnternet üzerindeki doğal ve doğal olmayan trafik akışlarını da koordine eder;
bu, kötü niyetli davranışların belirlenmesinde daha da önemlidir.
Bazı
kötü niyetli davranışların tespit edilmesi oldukça basittir. Dağıtılmış hizmet
reddi (DDoS) saldırısında, botnet'in sahibi her bilgisayarı hedefe büyük
miktarda trafik başlatmaya yönlendirir. Bu trafik nadiren tarama, video akışı
ve tüketici İnternet kullanımlarıyla ilişkili normal kalıplara benzemektedir.
İSS, müşterilerinin gizliliğinden ödün vermeden botnet davranışını tanımlayabilir.
Alternatif olarak bir botnet, kimlik avı web sitelerinden spam yoluyla reklamı
yapılan ürünlerin reklamlarına kadar her şeyi barındırmak için müşteri
bilgisayarını web sunucusu olarak kullanabilir. Bu, daha ince fakat yine de
tespit edilebilir desenler oluşturabilir. Bir kullanıcının makinesi
tanımlandıktan sonra ISP, daha fazla kötü amaçlı etkinliği önlemek için söz
konusu belirli trafik akışını engellemekten tüm makineyi İnternet'te
karantinaya almaya kadar çeşitli eylemler gerçekleştirebilir.
İSS'lerin
bu durumlarda harekete geçmeleri için teşvikler geliştirilmesi gereken şeydir.
Melissa Hathaway ve John Savage'ın belirttiği gibi, "ISP'lerin İnternet
yönetimi konusunda daha fazla sorumluluk üstlenmesine yönelik dünya çapında
emsaller ortaya çıkıyor." Amerika Birleşik Devletleri'nde bu, endüstri
tarafından geliştirilen Anti-Bot Davranış Kuralları biçimini almıştır. 2012'de
duyurulan bu kurallar eğitim, tespit, bildirim ve iyileştirmeyi
vurgulamaktadır. Gönüllüdür ve gelişecektir ancak büyük Amerikan İSS'lerinin
desteğine sahiptir.
Ancak
bu koordinasyonda, kolluk kuvvetleri ile tehditlerin azaltılması arasındaki
gerilim, bu teşvikleri çarpıtabilir. Bir banka, müşterilerinin hesaplarını
hedef almadığı sürece suç çeteleriyle ilgilenmeyebilir. Bu durumda eski şaka
doğrudur; diğer adamı geçmek için ayıyı geçmelerine gerek yoktur. Dolayısıyla
odak noktaları çoğunlukla saldırılardan kaçınmak veya saldırıları azaltmaktır.
Öte yandan kolluk kuvvetleri de ayıyı yakalamakla ilgileniyor. Bu, farklı olan
ara hedefleri ortaya çıkarır: delilleri yakalamak ve suçun kamuya açık
kayıtlarını oluşturmak. Bu hedefler gerçek veya potansiyel mağdura daha büyük
bir maliyet yüklediğinde, ister adli kanıtların korunmasında, ister müşterileri
ve hissedarları için kötü tanıtım yaratılmasında olsun, koordinasyon bozulur.
İlginç
bir şekilde, özel sektör ile kamu yararı arasındaki bu gerilim, kritik
altyapılara yönelik saldırılara dönüşüyor. Temel endüstriler, ulusal savunmanın
kamu yararı olduğunu ve bu nedenle, bir siber saldırılara karşı savunmak için
kendi uçaksavar silahlarını sağlamak zorunda olmadıkları gibi, siyasi
nitelikteki siber saldırılara karşı savunma maliyetlerini de üstlenmek zorunda
kalmamaları gerektiğini öne sürüyorlar. Düşmanın bombardıman uçakları. Bu arada
hükümetin, halkın elektrik ve su santralleri gibi altyapılara bağımlı
olmasından endişelenmesi gerekiyor; burada mülk sahipleri, aylık iş raporunun
altında belirtilmeyen bir riske karşı tesisleri güvence altına almak için
gerçek para ödeme konusunda çok az teşvik görüyor. . Birçok büyük Amerikan
enerji şirketi Kongre'ye, santrallerini sadece birkaç saatliğine devre dışı
bırakıp siber sistemlerini yükseltmek için gereken bilinen gelir kaybının,
karşılaşacaklarından veya karşılaşacaklarından emin olmadıkları bilinmeyen
siber risklerden daha büyük olduğuna karar verdiklerini söyledi. mağlup etmek.
Bu
durumlar, sorunların genellikle herhangi bir aktörün tek başına
yönetebileceğinden veya yönetmeye teşvik edildiğinden daha büyük olduğunu
göstermektedir. Geleneksel olarak bu tür zorluklar için hükümetlere veya
hükümet destekli işbirliklerine başvuruyoruz. Hükümet, hiçbir özel aktörün tek
başına çözemeyeceği bir sorun için kolektif eylemi teşvik ediyor.
Diğer
koordinasyon yolu, hükümetin kamu ve özel sektörün kendilerini güvence altına
almak için ne yapmaları gerektiğini anlamalarına yardımcı olma konusunda
merkezi bir rol oynadığı güvenlik standartları aracılığıyladır. Özellikle
pazarın dışında kalan süreç uzmanlığını devreye sokar. Özel firmalar ve küçük
kuruluşlar kendilerini güvence altına alma ihtiyacını tam olarak anlasalar
bile, bunun nasıl yapılacağına dair yeterli ve güvenilir bilgi yoktur. Kendi
ürünlerini sihirli çözüm olarak hevesle sunan çeşitli satıcılarla uğraşmak
zorundalar. Bunun yerine hükümet, temel standartları sağlayarak koordinasyonun
temel taşı olabilir.
Bunun
her zaman yasal gereklilikler şeklinde olması gerekmez, ancak gündem belirleme
yoluyla şekillenebilir. Ulusal savunma ağlarının güvenliğine ilişkin teknik
deneyimine dayanarak NSA, kritik güvenlik kontrollerini geliştirmek için özel
güvenlik eğitim şirketi SANS ile ortaklık kurdu . Savunma ve kolluk kuvvetleri
topluluklarından, bilgi güvenliği şirketlerinden ve hatta Birleşik Krallık
hükümetinin bilgi güvence ajanslarından temsilcilerden oluşan bir konsorsiyum
oluşturdular. Bu kamu-özel sektör ortaklığı, daha sonra daha büyük bilgi
güvenliği topluluğu tarafından incelenen 20 kritik kontrolden oluşan bir set
geliştirdi. Yetkili cihaz ve yazılım envanterleri ve denetim günlüklerinin
uygun şekilde bakımı ve analizi gibi önlemlere olan ihtiyacı ortaya koyan bu
kolektif olarak oluşturulmuş kontroller, her kuruluşa takip edilmesi gereken
bir dizi açık güvenlik hedefi sağlar. NSA'nın açıklamalarından, bu Kontrollerin
diğer devlet kurumlarında yaygın şekilde uygulanmasına kadar bu ilkelerin
hükümet tarafından onaylanması, bu tür en iyi uygulamaların ve koordinasyonun
yayılmasına daha fazla ağırlık kazandırmıştır.
Böyle
bir sürecin zayıf tarafı, bilinen saldırılara karşı tasarlanmış olması ve
koruma için daha fazla harcama yapma konusunda daha az teşvik gören endüstriler
arasında standartlar maliyet yaratmaya başladığında başarısızlığa uğramasıdır.
Savunma kurumları ve finans firmaları net teşvikler görse de, pek çok altyapı
şirketi için SANS gibi en iyi uygulama modellerini uygulamaya koymanın bilinen
maliyetleri, bir siber olayın bilinmeyen maliyetlerinden daha ağır bastı.
Birçoğu, Three Mile Adası'ndaki büyük olayın eğitim ve güvenliği gözden
geçirmesini gerektiren nükleer enerji endüstrisiyle paralellik gösteriyor.
Kısmen özel hizmet kuruluşlarından, ancak esas olarak düzenleyicilerden riski
azaltmak için ek adımlar atmaya yönelik bir tepkiyi kışkırtmak kanıtlanmış bir
maliyet gerektirdi. Siber alanda, çok az sayıda kritik altyapı firmasının
gönüllü standartları takip ettiği mevcut sistemin kusurları, birçok kişinin,
herkesin ortak standartlara uymasının gerektiği veya para cezalarıyla karşı
karşıya kalacağı bir dünyaya geçiş çağrısında bulunmasına yol açıyor. cezai
suçlamalar. Kısacası yeni sistem, siber güvenliğe, kuruluşların gerçek dünyada
takip etmesi gereken yangın güvenliği veya bina kuralları gibi diğer gerekli
uyumluluk alanları gibi davranacaktır.
Bu
tür koordinasyon ve gerekliliklerde hükümetin rolü sorusu, Amerika Birleşik
Devletleri'ndeki siber güvenlik mevzuatındaki anlaşmazlık noktalarından biri
haline geldi. Bir şeyler yapılması gerektiği konusunda yaygın bir fikir
birliği olsa da , özel sektördeki pek çok kişi, hükümetin kritik altyapı için
standartlar oluşturma ve uygulama çabalarına kızıyor. Düzenlemelerin
maliyetleri artırdığını düşünüyorlar ve hatta durumu daha da kötüleştireceklerini
iddia ediyorlar. Örneğin ABD Ticaret Odası, bürokratik bir hükümetin
"işletmelerin kaynaklarını sağlam ve etkili güvenlik önlemleri
uygulamaktan hükümetin talimatlarını yerine getirmeye kaydıracağını" öne
sürdü. Titanik gibi eski okyanus gemilerindeki cankurtaran filikaları ve
diğer güvenlik önlemleri , binalar için yangın kuralları, nükleer enerji
santrallerindeki korumalar, arabalardaki emniyet kemerleri ve hava yastıkları
vb. Değişen ihtiyaçları karşılayan ancak yine de firmaların aynı şeyi yapmasına
izin veren standartları bulmak için birlikte çalışarak. Eğer gelişirse, kamu ve
özel sektör iyi bir denge bulabilir.
Kilit
nokta, siber güvenliğin, doğrudan mağdurların ve hatta saldırı altındaki
ağların sahiplerinin dışında koordinasyon ve eylem gerektirmesidir. Brian
Krebs'in arkasında hükümetin gücü yoktu ama eylemleri önemliydi çünkü siber
uzaydaki kötü niyetli aktörlerin kilit noktalarını hedef alabilecek bir ağı
harekete geçirdi.
,
McColo davasındaki ISP'ler veya mali dolandırıcılık yapan bankalar gibi özel
tarafların bir araya gelme teşviklerinin olduğu, kolayca çözülebilen
durumlardan , teşviklerin yeterli olmayabileceği veya tehdit
oluşturmayabileceği durumlara kaydırıyor. kamu güvenliği endişelerine
değiniyor. Bu durumda sorun, hükümetin rolünü ele alması gereken politik bir
sorun haline gelir. Kritik soru şudur: Devlet katılımının hem uygun hem de en
etkili olduğu yer neresidir? Bazı durumlarda uzmanlığın veya koordinasyonun sağlanması
yeterli olabilir. Diğer durumlarda, hükümetin davranışı değiştirmek için daha
doğrudan müdahale etmesi gerekir. Siber güvenlik bir teknoloji hikayesi gibi
görünebilir ancak insani teşvikleri anlamak ve şekillendirmek, etkili bir
savunmada en önemli husustur.
Egzersiz Sizin İçin İyidir: Nasıl Daha İyi
Hazırlanabiliriz?
Sofistike
saldırganlar, altı ayda iki kez, dünya çapında bir milyardan fazla insan
tarafından kullanılan Facebook'un web sitesini çalıştıran üretim koduna
erişmeyi başardı. İlk kez, bir Facebook mühendisinin bilgisayarı, yama
yapılmamış bir sıfır gün açığı nedeniyle tehlikeye girdi. Bu, saldırganın kendi
kötü amaçlı bilgisayar kodunu web sitesini çalıştıran "canlı bulid"e
"itmesine" olanak sağladı. İkinci kez, 2013'ün başlarında, kurbanları
üzerinde sıfır gün istismarı başlatan bir web sitesini ziyaret ettikten sonra
birkaç mühendisin bilgisayarının güvenliği ihlal edildi. Ancak saldırgan bu
sefer hassas sistemlere giremedi ve büyük bir hasara yol açamadı.
Bu
iki saldırının bu kadar farklı etkilere neden olmasının nedeni kökenlerinde
yatmaktadır. İlk olaydaki saldırganlar aslında 2012 yılında bağımsız bir
"kırmızı ekip" tarafından yürütülen bir güvenlik eğitimi tatbikatının
parçasıydı. pek bir şey yapamıyorum.
Siber tehditlere karşı savunmanın zorluğu, yalnızca bunların
çeşitli ve yaygın doğasından kaynaklanmaz, aynı zamanda siber saldırılar siber
saldırılara geldiğinde kuruluşların nasıl tepki vereceğine ve tepki vereceğine
de bağlıdır . Prusyalı general Helmuth Graf von Moltke'nin meşhur askeri
atasözü bir uyarı niteliğinde olmalı: "Hiçbir plan düşmanla ilk temasta
hayatta kalamaz." Bir plan geliştirmek başka şeydir, o planın test
edildiğinde ne kadar işe yarayacağını anlamak başka şey. Siber dünyada bu daha
da doğrudur. Yanıtlar, ulusal güvenlik stratejisinden kurumsal risk yönetimine,
mühendislerin ağ saldırıları konusunda hızlı kararlar vermesi gereken teknik
düzeye kadar her düzeyde dikkate alınmalıdır. Yanlış tepki, saldırının
kendisinden daha kötü olabilir.
Tatbikatların
ve simülasyonların değeri tam da burada devreye giriyor. Bunlar yalnızca siber
mızrağın ucundaki savunmaları test etmekle kalmıyor, aynı zamanda herkesin
planlarının ve prosedürlerinin etkilerini daha iyi anlamalarına da yardımcı
oluyor.
Teknik
düzeyde, kontrollü ortamlar hem saldırıları hem de savunmaları incelemek için
yarı bilimsel bir ortam sunar. "Test yatakları", tekrar tekrar
saldırıya uğrayabilecek sistemlerin, ağların ve operasyonel ortamların
genişletilebilir simülasyonlarıdır. Bu tekrarlama, araştırmacıların arızaları
simüle etmesine, ekipman ve standartların birlikte çalışabilirliğini test
etmesine ve saldırı ve savunmaların nasıl yapıldığını anlamasına olanak tanır.
Ve tabii ki, gerçek dünyada asla istemeyeceğiniz eylemleri bir test yatağında
gerçekleştirebilirsiniz. Ulusal Standartlar ve Teknoloji Enstitüsü tarafından
oluşturulan bir test yatağı, araştırmacıların simülasyonun simüle edilmiş bir
versiyonunu tekrar tekrar çökertmesine olanak tanır. Elektrik güç şebekesinin
arıza modlarını ve esnekliğini gözlemlemek için - bu, gerçek güç şebekesinde
açıkça sorunlu olacaktır!
Kontrollü
ortamlar siberin saldırgan yönünü incelemek için de kullanılabilir. Güvenlik
araştırmacıları tarafından kullanılan özel bir taktik, "bal küpleri"
veya kasıtlı olarak saldırılara maruz kalan izole edilmiş makinelerdir. Farklı
kötü amaçlı yazılım türlerinin bu makinelere nasıl saldırdığını gözlemleyerek,
yeni saldırı türlerini belirleyebilir ve savunmalar tasarlayabiliriz. Testin
tamamı "bal ağları" simüle eder tüm ağları ve hatta tüm İnternet'in
bölgelerini. Bu testler sırasında araştırmacılar ve saldırganlar arasında
oynanan bir kedi-fare oyunu vardır: Deneyimli saldırganlar bir bal ağında olup
olmadıklarını belirlemeye çalışırlar, bu durumda saldırı taktiklerini ve
hilelerini açıklamaktan kaçınmak için davranışlarını değiştirirler. .
Bu
arada askeri saldırı kapasitesi de "siber menzillerde" rafine
edilebilir. Siber silah geliştirmedeki zorluklardan biri de bir saldırının
nasıl yayılacağını anlamaktır. Eğer bunlar hassas bir silah olarak
kullanılacaksa hem tespit edilmekten kaçınmak hem de tespit edilmekten kaçınmak
zorunludur. ikincil hasarı amaçlanan hedefin ötesinde en aza indirmek.
Saldırının fiziksel süreçlere müdahale etmesi durumunda bu hassasiyet daha da
önemli hale gelir. Örneğin Stuxnet örneğinde, çoğu kişi yazılımın nasıl
konuşlandırılacağını ve nasıl dağıtılacağını anlamak için pratik yapılması
gerektiğine inanıyor. endüstriyel kontrolörleri değiştirmek, hedeflenen uranyum
zenginleştirme sürecini etkileyecektir. Bildirildiğine göre, yeni siber silah,
İsrail'in Dimona'daki gizli nükleer tesisinde test edildi. Bir kaynağın New
York Times'a test çabası hakkında söylediği gibi, "Solucanı kontrol etmek için
, makineleri tanımak... Solucanın etkili olmasının nedeni İsraillilerin
bunu denemiş olmasıdır.”
Savunma
tarafında ise güvenlik açığı testleri ve uygulama tatbikatları, ordudan özel
şirketlere kadar siber uzaydaki aktörler için oldukça değerlidir. Bu, sızma
testi kadar basit olabilir veya dışarıdan güvenlik uzmanlarından oluşan bir
"kırmızı ekibin" yararlanılacak güvenlik açıklarını aramasını
sağlamak kadar basit olabilir. Bu uzmanlar, canlı ağlara kontrollü bir şekilde
nasıl saldırılacağını biliyor ve gerçek operasyonu riske atmadan daha zarar
verici olabilecek bir saldırının temelini atıyor. Daha karmaşık egzersizler,
geleneksel bir savaş oyunu gibi tamamen simüle edilebilir. Yine, "savaş
oyunu" kavramı biraz yanlış bir adlandırmadır çünkü bu tür tatbikatlar,
ister askeri birlik, ister üniversite veya özel bir firma olsun, herhangi bir
siber savunucunun hangi tehditlerle karşı karşıya olduklarını ve nerede
olduklarını daha iyi anlamalarına yardımcı olabilir. savunmasızdırlar. Daha da
önemlisi, bu savunucuların kendi olası ve ihtiyaç duyulan yanıtlarını daha iyi
anlamalarına yardımcı olurlar.
Örnek
olarak, McKinsey danışmanlık firması tarafından incelenen bir savaş oyununu
deneyen bir şirket, tüm güvenlik ekibinin tamamen e-postaya ve anlık
mesajlaşmaya bağımlı olduğunu ve tam bir sistem altında savunmayı koordine
edecek bir yedek iletişim planına sahip olmadığını buldu. ölçekli ağ tabanlı
saldırı. Bu alıştırmalar aynı zamanda teknik kararlar ile iş misyonu arasındaki
koordinasyonun önemini de vurgulamaktadır. Başka bir savaş oyununda McKinsey,
ağı güvenceye almak için ağın bağlantısını kesmenin, sorunu hala çevrimiçiyken
çözmekten ziyade müşterilerine daha fazla zarar verdiğini buldu.
Alıştırmalar
aynı zamanda kilit liderlerin gerçek bir krizden önce neyin önemli olduğunu
anlamalarına da yardımcı olur. Siber güvenlik endişelerini sıklıkla fazla
teknik ya da ihtimal dışı bularak göz ardı eden üst düzey yönetim, planlamanın
önemini uygulamalı olarak anlayabilir. Bu durum gelecekteki paniği önleyebilir
ve yöneticinin savunma, dayanıklılık ve müdahaleye daha fazla kaynak ayırmasına
olanak sağlayabilir. Gerçekten de siber güvenlik konusunda farkındalık yaratmak
ve yönetimin desteğini sağlamak birçok simülasyonun önemli bir sonucudur.
Estonyalı bir savunma yetkilisinin açıkladığı gibi, liderlerin pek çok önceliği
ve ilgi alanı vardır ve bu nedenle "siber güvenlik konuşması sırasında
esneyecek olan" bir sağlık bakanı, bir tatbikattaki saldırının emekli
maaşı gibi kendi departmanını ilgilendiren bir şeyi içermesi durumunda buna
dikkat edebilir. veri tabanı.
Bununla
birlikte, alıştırmanın ölçeği ile öğrenilebileceklerin ayrıntı düzeyi arasında
doğal bir denge vardır. Bu, genellikle olayların tatbikatın performans yönünü
vurguladığı ulusal savunma düzeyindeki simülasyonlarda bir sorun olmuştur. İki
Partili Politika Merkezi'nin 2010'daki “Siber Şok Dalgası”, ülke bir dizi
sakatlayıcı siber saldırıya maruz kalırken, eski üst düzey hükümet
yetkililerinin simüle edilmiş hükümet yetkilileri rollerini oynadığı bir savaş
oyunu girişimiydi. Bu uygulama bazıları tarafından, özellikle de oyuna ilişkin
sahte haberlerin daha sonra CNN'de "Uyarıldık" başlığı altında
yayınlanması üzerine, içerikten çok görünüşe odaklandığı gerekçesiyle
eleştirildi. Bu daha büyük, daha karmaşık simülasyonların maliyeti göz önüne
alındığında, tasarımcıların uygulamanın hedefleri konusunda net bir vizyona
sahip olmaları ve oyunu buna uygun şekilde tasarlamaları gerekmektedir.
Örneğin, zayıf noktaları bulmak, koordinasyon için daha iyi modlar keşfetmekten
farklı bir görevdir, tıpkı test stratejisinin halkın farkındalığını
arttırmaktan farklı olması gibi.
Tatbikatlar
aynı zamanda farklı kurumlar ve hatta farklı hükümetler arasındaki kişisel işbirliği
ağlarını güçlendirmek için yararlı fırsatlar da yaratabilir. Örneğin, Avrupa Ağ
ve Bilgi Güvenliği Ajansı'nın “Siber Avrupa” savaş oyunu oldukça basit bir
senaryoya dayanıyor ancak aslında farklı Avrupa ülkelerinin kilit yetkililerini
siber konularda daha fazla etkileşime teşvik etme amacını taşıyor. Buradaki
fikir, bu insanların gerçek bir siber krizin ortasında ilk kez konuşmasını
istememenizdir.
dağılmasına
gerçekten yardımcı olacak bir araç olarak bile kullanılabilir . Örneğin
Washington ve Pekin'deki düşünce kuruluşları, ABD ve Çin'in dahil olduğu bir
dizi küçük ölçekli siber simülasyonu yürütmek için işbirliği yaptı. Bunlar
hükümetler arasında resmi işbirlikleri olmasa da, Dışişleri Bakanlığı ve
Pentagon'dan temsilciler ve Çinli mevkidaşları da katıldı. Amaç, siber
silahların nasıl kullanılabileceği ve her iki tarafın soruna nasıl yaklaştığı
konusunda ortak bir anlayış oluşturmaktı. Uzun vadede bu tür alışverişlerin
güven oluşturmaya yardımcı olacağı ve gerçek bir kriz sırasında ya da kötü varsayımlar
altında yanlış iletişim olasılığını azaltacağı umulmaktadır.
Alıştırmalar
ve simülasyonlar faydalıdır ancak etkinliği sınırlayan bazı engelleri vardır.
Her model gibi bunlar da basitleştirmelerdir ve gerçeğe benzerlik ile
genelleştirilebilirlik arasında bir dengeyle karşı karşıyadırlar. Çok
odaklanmış ve gerçekçi olurlarsa öğrenilebilecek ve uygulanabilecek ders sayısı
azalır ve "senaryoyla mücadele etmek" daha kolay olur. Öte yandan,
çok genel olursa ne öğrenileceği de belirsiz olur. - Teşvik kanunu aynı zamanda
senaryolar ve bunları uygulayan "kırmızı takım" için de geçerlidir.
Gruplar kendilerini test ederken, zaten ne kadar iyi olduklarını gösterme
konusunda çok kolay davranma veya "saldırganlarını" kendi
organizasyonlarından aynı şekilde düşünen ve hareket eden kişilerle
görevlendirme riski vardır. , eğer amaç işbirliği gibi diğer alanları
keşfetmekse, testleri çok zorlaştırmak da sorun olabilir. Eski DHS yetkilisi
Stewart Baker, senaryo oluşturmada bu gerilimi vurguladı: “Eğer bu kadar tek
taraflı ise, saldırganlar her zaman kazanır. ...o zaman bu egzersiz aslında
insanlara hiçbir şey öğretmiyor."
Bu da
egzersizin amacına geri dönüyor. Beklenmedik dersler şanslı bir sonuç olsa da,
senaryo oluşturma ve simülasyon parametrelerini bilgilendirmek için egzersizin
belirlenmiş bir amacının yanı sıra öğrenilen derslerin açıklanması ve
uygulanmasına yönelik bir planın olması önemlidir.
Siber
güvenliğin dikkate değer özelliklerinden biri, ister ulusal ister kurumsal
olsun, geleneksel sınırları kapsamasıdır. Yanıtlar, farklı mesleki
paradigmaların yanı sıra, farklı sorumluluklara, yönetim yapılarına ve
teşviklere sahip çok sayıda bireyin etkileşimini gerektirir. Egzersizlerin ve
simülasyonların en fazla değeri getirebileceği yer burasıdır. BT uzmanları,
yöneticiler, avukatlar ve halkla ilişkiler uzmanlarının tümü içgüdüsel olarak
bir siber olaya farklı şekilde yaklaşabilir. Dolayısıyla simülasyonlara ve
alıştırmalara katılmak, kişisel ve organizasyonel bakış açıları ve roller
arasında daha doğrudan bir yüzleşmeye olanak tanır.
Facebook
ekibi bunu kendi kendini test etme deneyimlerinden öğrendi. Etkili bir
müdahalenin, Facebook ticari ürününün geliştirme ekibinden şirket ağından
sorumlu dahili bilgi güvenliği ekibine kadar uzanan ekipler arasında işbirliği
gerektirdiğini gördüler. Önceki testte sonuç yoktu
sadece
zayıf noktaları kapatmalarına yardımcı olun, bu, savaş oyunu gerçek bir
saldırıyla hayata geçtiğinde kritik olduğu ortaya çıkan işbirliği dersleri
verdi. Olaya müdahale direktörü Ryan McGeehan şöyle dedi: "Şu anda çok iyi
hazırlandık ve bunu tatbikata bağlıyorum."
Siber Güvenlik Teşvikleri Oluşturun: Neden
İstediğinizi Yapmalıyım?
“Eğer
ortaklık somut ve kanıtlanabilir bir ilerleme sağlamazsa, onların yerini başka
girişimler alacak.”
DHS
siber güvenlik şefi Amit Yoran, güvenlik ve teknoloji yöneticilerinin katıldığı
bir toplantıda bunları söyledi. Bu, özel sektörü, gönüllü, kamu-özel sektör
ortaklıkları yoluyla siber güvenliği artırma konusunda bir an önce harekete
geçmesi veya istemsiz kitlesel düzenleme alternatifiyle karşı karşıya kalması
konusunda tehdit eden bir ültimatomdu. Sorun Yoran'ın bu açıklamayı 2003
yılında yapmasıydı. Üzerinden on yılı aşkın bir süre geçmesine rağmen durumun
esasen aynı kalması, bu tür tehditlerin boş olduğunu gösteriyor.
Siber
uzay kamuyu ilgilendiren bir alan olabilir, ancak onu güvence altına almaya
yönelik kararların çoğu olmasa da çoğu özel aktörler tarafından alınmaya devam
edecek. Güvenliğimiz pek çok değişkene bağlıdır: bireylerin bir bağlantıya tıklayıp
tıklamamaya karar vermesi; bu kişilerin güvenliğe yatırım yapıp
yapmayacaklarına ve nasıl yatırım yapacaklarına karar vermek için çalıştıkları
şirketler; hem güvenlik açıklarına sahip olan hem de zaten yayınladıkları
şeyler için yamalar yayınlayan teknoloji satıcıları ve satın aldıkları
yaratıcılar (ve mevcut olduğunda yamaları indiren müşteriler); ve benzeri.
Ne
yazık ki, iyi kararlar almaya yönelik teşviklerin sıklıkla yanlış
yönlendirildiğini tekrar tekrar gördük. Ortalama bir kullanıcı, temel bilgisayar
hijyenini göz ardı etmenin tüm sonuçlarına katlanmaz. Yöneticiler genellikle
güvenlik çözümlerine harcanan paranın geri dönüşünü göremiyorlar. Yazılım
geliştiricilere hız ve yeni özellikler karşılığında ödeme yapılır, kodlarını
daha güvenli hale getirmezler. Bu piyasa neden başarısız oluyor?
Günümüzde
siber güvensizliğin çıkmazı, bu tür olumsuz dışsallıklarla aynı özelliklerin
çoğuna sahip olmasıdır. Sahibi, bir sistemi kullanmanın avantajlarından
yararlanır ancak sistemin getirdiği güvenlik açıklarından dolayı büyük bir
maliyete katlanmaz. Bazen sistem sahibi, örneğin bir botnet'in parçası
olduğunda, kendi sisteminin başkalarına zarar verdiğinin farkında bile olmaz.
FBI defalarca şirketlere aylarca veya yıllarca sızılan ve güvensizliklerini
ancak federal bir soruşturmadan öğrenen vakalar buldu . Küçük bir kamu hizmeti
şirketi, uzak transformatörleri İnternet üzerinden kontrol ederek bakım
maliyetlerini düşürebiliyorsa ve bir saldırı hizmeti kesintiye uğrattığında
kimse onu suçlamayacaksa , muhtemelen bunu yapacaktır. Kamusal siber güvenlik
açısından bakıldığında en sorumlu şey olmayabilir, ancak kendi özel kar amacı
güden bakış açısından en akılcı eylemdir.
Sorun,
bireysel kötü güvenlik kararlarının diğer birçok kişinin durumunu daha da
kötüleştirmesidir. Kişisel bilgisayarınızın savunmasını güncellemeyi
başaramadığınız zaman, tehlikeye atılmış güvenliği, onu daha geniş İnternet'e
saldıran bir botnet'e ekleyebilir. Bir şirket bir saldırı konusunda temize
çıkmadığında, saldırganların serbest kalmasına, hedefledikleri güvenlik
açıklarının başka bir yerde kullanılmasına ve o şirketin sistemine bağlanan
ortakların ve müşterilerin güvenliğinin tehlikeye atılmasına olanak tanır. Daha
geniş düzeyde ise yatırımcıların şirket riskleri ve sorumlulukları hakkındaki
bilgilerini sınırlayarak ekonomiye zarar veriyor.
Teşvikleri
anlamak her zaman sezgisel değildir. Bankalar, müşterilerinin bankacılık ve
finansal bilgilerini çalmaya çalışan kimlik avı web siteleriyle mücadele etmek
için çok fazla zaman ve para harcıyor. Bu bankalar dolandırıcılığın maliyetinin
çoğunu üstlenmek zorunda kalacağı için bu mantıklıdır. Ancak aynı bankalar
sorunun diğer kısımlarını da görmezden geliyor. Bankacılık kimlik bilgilerini
kullanan hırsızlar, parayı bir "para katırları" ağı aracılığıyla
çıkarmak zorunda kalacak. Saldırganlar, parayı, takip edilmeden finansal
sistemden güvenli bir şekilde çıkarana kadar, parayı katırların sahip olduğu
bir hesap ağı aracılığıyla aktarıyor. Yani bu katır ağları, kimlik avı ağının
önemli bir parçası. Ve onları devre dışı bırakılmaya daha da hazır hale getiren
bu katırların genellikle kamuya açık web siteleri aracılığıyla işe alınması.
Ancak finans endüstrisi, para katırlarını işe alan web sitelerini kaldırmakla o
kadar da ilgilenmiyor. kimlik avı sitelerinden farklı olarak katır ağlarında
bankaların bireysel marka adlarının bulunmamasıdır.
Farklı
aşamalarda çok fazla oyuncunun yer aldığı diğer durumlarda, piyasa yapısının
tek bir tarafa teşvik tahsis edecek doğal bir dengesi yoktur. Bu, tüm oyuncular
güvenlik çözümleri istediğinde bile gerçekleşebilir. Android, Google tarafından
ücretsiz olarak geliştirilen ve dağıtılan bir cep telefonu işletim sistemidir.
Google, sistemin belirtilen mimarisini ve üst düzey kodunu yazar. Ancak farklı
Android telefonlar, farklı donanımlar kullanan farklı üreticiler tarafından
üretilmektedir. Donanımın nasıl kullanılacağına ilişkin programlara talimat
veren işletim sistemi, her telefon üreticisi tarafından, çoğunlukla da her
telefon için özelleştirilir. Telefonlar daha sonra onları tüketicilere satan
mobil operatörlere satılıyor. Android işletim sisteminin yeni sürümleri Google
tarafından sıklıkla, ortalama yılda bir kez yayınlanmaktadır.
Bu
grupların hiçbiri sistemlerinin kırılmasını istemez, ancak bir işletim
sisteminde bir güvenlik açığı keşfedildiğinde, tüketiciyi bilgilendirme ve yama
yayınlama sorumluluğunun kimin olduğu genellikle belirsizdir. Sonuç olarak,
aslında daha az sayıda yama yapılıyor ve eski telefonlara güvenlik
güncellemelerini gönderecek bir mekanizma bulunmuyor. 2012 yılında yapılan
teknik bir araştırma, Android cihazların yarısından fazlasının yamalanmamış
güvenlik açıklarına sahip olduğunu tahmin ediyordu.
Bazen
teşvikler işleri daha da kötüleştirir. TRUSTe, bir gizlilik politikası sunan ve
buna uymayı taahhüt eden şirketlere sertifikalar sunan bir şirkettir. Buradaki
fikir, tüketicilerin TRUSTe mührünü web sitesinde görebilmeleri ve bu siteyi
kullanırken kendilerini daha rahat hissedebilmeleridir. Bu da web sitelerine
sertifikasyon süreci için TRUSTe'ye ödeme yapma konusunda bir teşvik sağlar. Ne
yazık ki, TRUSTe her mühür için ödeme aldığından, web sitelerinin saflıktan
daha az olsa bile güvenilirliğini kanıtlama teşvikleri var. Bir çalışma
"sertifikalı" siteleri Web'in geri kalanıyla karşılaştırdı ve TRUSTe
mührüne sahip sitelerin aslında otomatik bir güvenlik aracı tarafından
"güvenilmez" olarak derecelendirilme olasılığının daha yüksek
olduğunu buldu.
Ancak
teşvik yapısını doğru bir şekilde oluşturmak mümkündür. Amerika Birleşik
Devletleri'nde tüketiciyi koruma yasaları, kredi kartı müşterilerinin yetkisiz
işlemlerden doğan sorumluluğunu 50 ABD Doları ile sınırlandırmaktadır. Bu
yasalar, kredi kartı endüstrisinin yükselişe geçtiği sırada i9/os'ta kabul
edildi. Çalınan bir kredi kartından kaynaklanan masrafların sorumluluğu daha
sonra çeşitli koşullar nedeniyle müşterinin bankası ile satıcının bankası
arasında kararlaştırıldı ve satıcının bankası genellikle sorumluluğu satıcıya
devretti. Asıl dolandırıcılık riskinin çalıntı kart olduğu yüz yüze yapılan
işlemlerde bu teşvikler uyumlu hale getirildi. Satıcı, kart kullanıcısının,
kartın yasal sahibi olduğunu doğrulamak için en iyi konumdaydı. Bu süreç
satıcıya verimlilik ve müşteri ilişkileri açısından bir miktar maliyet yükledi.
Tüccar, dolandırıcılık riskini dolandırıcılığı önleme maliyetleriyle dengeledi
ve rasyonel bir karar verebildi.
Dolandırıcılar
çalıntı kredi kartı numaralarını uzaktan kullanabildiğinden, web ticaretinin
gelişi dolandırıcılık miktarını önemli ölçüde artırdı. Ayrıca işyerlerinin
karta erişiminin olmadığı meşru işlemlerin sayısı da arttı. Risk atamasını
yeniden dengelemek için kartı veren kuruluşlar, karta ekstra bir sır olan kod
doğrulama değerini eklediler. Bu değer yalnızca kartın arka yüzüne basılacak ve
kartı veren banka tarafından bilinecekti, böylece kart kullanıcısının o karta
erişimi olduğunu doğrulamak için paylaşılan bir sır olabilirdi. CVV talep eden
satıcılar hileli işlemlerden sorumlu değildir, ancak bu değerleri saklamaları
halinde ciddi cezalar söz konusudur.
Artık
kredi kartını veren bankanın CVV olmadan çalıntı kredi kartı numaralarının
toplu kullanımını tespit etmesi gerekiyordu. Bu iş, ödeme verilerinin
alışverişini yönettikleri için en iyi konumda olan kredi kartı ağlarına (Visa
ve American Express gibi) düştü. Son adım, hırsızlığı ve kötüye kullanımı en
aza indirmek için CVV verilerini korumaktı. Kredi kartı şirketleri birlikte
çalışarak, dolandırıcılığa yol açabilecek verilerin toplanmasını ve sızmasını
en aza indirmek için bir dizi güvenlik kuralını uygulayan Ödeme Kartı
Endüstrisi Veri Güvenliği Standartlarını geliştirdi. Sonuç, tüm kredi kartı
sahtekarlıklarına karşı sihirli bir çözüm değildi, ancak akıllı bir yasanın,
mantıklı güvenlik yatırımlarını teşvik etmek için teşvikleri uygun şekilde
hizaladığı bir pazar yarattı.
Buna
karşılık, bugün siber dünyaya daha geniş bir açıdan baktığımızda, kullanıcı,
kuruluş ve sistem geliştiricisi için teşviklerin nasıl bozulduğunu ve her birinin
kendi zorluklarını ve fırsatlarını sunduğunu görebiliriz. Bireysel kullanıcılar
güvenliği önemsemedikleri için çok fazla iftiraya uğrayabilirler, ancak aslında
interneti sadece işlerini yapmak için kullanmaya çalışıyorlar veya en azından
işlerini yapmaları gerekirken klavye çalan sevimli kedilerin videolarını
izliyorlar. Kullanıcılar da insandır, dolayısıyla genellikle en az dirençli
yolu izlerler ve nadiren sistem varsayılanlarından saparlar. Onlara bunu
kolaylaştırın, onlar da takip edeceklerdir. Bu, emeklilik planlamasından organ
bağışına kadar çeşitli alanlarda kanıtlanmıştır (varsayılan organ bağışı olan
ülkelerde katılım oranı, isteğe bağlı modele sahip olanlardan neredeyse beş kat
daha yüksektir).
İşletmeler
de aynı şekilde rasyonel davranırlar. Güvenliğe yapılan bir yatırımı haklı
çıkarmak için , kâr odaklı bir kuruluşun (hatta kaynakları kısıtlı olan kâr
amacı gütmeyen kuruluşların) bazı gerekçeleri görmesi gerekir. Güvenliğe
harcanan her dolar veya adam-saat, kuruluşun asıl amacına harcanmaz. Yatırım
getirisinin bir kısmını hesaplamak için çeşitli modeller vardır, ancak hepsi
bir güvenlik olayının zararları açısından bir değere sahip olmaya ve belirli
bir güvenlik aracının sahip olabileceği bir olayın olasılığının azalmasına veya
daha küçük bir etkiye sahip olmasına bağlıdır. Yukarıda tartıştığımız gibi,
rekabet verilerinin çalınması gibi ciddi vakalarda hem zararlar hem de savunma
yeterince anlaşılmamıştır.
Bu
tür yatırımları teşvik etme dürtüsü üç muhtemel kaynaktan gelmelidir. Birincisi
içseldir. Bu, iş dünyasında bir düsturdur: "Ölçemezsen,
yönetemezsin." İç Güvenlik Bakanlığı, siber verileri toplayıp analiz
edebilen kuruluşların, teşvikleri anlama şekillerini değiştirdiğini tespit
etti. "Siber sağlığa yapılan yatırımların işletme maliyetlerini nasıl
azaltabileceğini, iş çevikliğini nasıl geliştirebileceğini veya kapsamlı
hafifletme maliyetlerinden nasıl kaçınabileceğini" görmeye başlıyorlar.
Kuruluşlardaki liderler siber güvenliği ve bunun yakın ve uzun vadeli
faydalarını ne kadar çok anlarsa, buna yatırım yapma olasılıkları da o kadar
artar.
İkinci
kaynak ise dış kaynaktır. Şirketler ve diğer kuruluşlar, rakiplerin ve
tüketicilerin bulunduğu bir pazarda bulunur. Endüstri normları siber güvenlik
yatırımlarını bir zorunluluk olarak öne çıkarırsa şirketler rakiplerinin
gerisinde kalmamak için sıraya girecek. Buna karşılık DHS, müşterilerin siber
güvenlik hakkında ne kadar çok bilgi sahibi olursa, "Stich içgörülerinin
muhtemelen sağlıklı ürün ve hizmetlere yönelik tüketici talebini güçlendireceğini
ve katılımcılara yönelik riskleri azaltacağını" tespit etti. Güvenlik,
farkındalığın piyasa tepkisini tetiklediği ve bunun da daha fazla farkındalığı
tetiklediği verimli bir döngü olabilir.
Son
olarak teşviklerin piyasanın ötesinde bir kaynaktan gelmesinin gerektiği
durumlar olabilir. Daha önce de incelediğimiz gibi, hükümet düzenlemeleri
genellikle standartları belirleyen ve piyasanın kendi başına yanıt veremediği
veya yanıt vermeye istekli olmadığı durumları değiştirebilen bir geçici
çözümdür. Bu hiçbir şekilde sihirli bir çözüm değildir, ancak yukarıda
belirtilen En İyi 20 Kritik Güvenlik Kontrolü gibi örnekler (ABD hükümeti ve
özel güvenlik uzmanlarından oluşan ortak bir ekip tarafından bir araya
getirilmiş, böylece hem özel hem de kamu temsil edilmiştir) bir set
oluşturabilir. temel en iyi uygulamalar. Tıpkı güvenli bina veya yangın
kuralları gibi, İlk 20 Kontrol de önemli bir iş alanında faaliyet gösteren
herhangi bir devlet kurumu veya kuruluşun uyması gereken minimum gereklilikleri
ortaya koymaktadır. Bunlar, tüm yetkili ve yetkisiz cihazların envanterini
çıkarmaktan, bilgisayar korsanları için krallığın anahtarı görevi gören idari
ayrıcalıkların kullanımını kontrol etmeye kadar uzanır. Zahmetli düzenlemeler
yerine, bu empoze edilen teşviklerin uyarlanması ve doğrulanması kolay
olmalıdır; çünkü bunlar genellikle akıllı şirketlerin zaten almakta olduğu
önlemlerdir. Ancak bunların kolay olması, en asgari normların bile büyük bir
etki yaratmayacağı anlamına gelmiyor. Örneğin, bir çalışmada İlk 20 kontrolün
güvenlik risklerinin yüzde 94'ünü durdurduğu ortaya çıktı.
Organizasyonlar,
piyasalar ve nükleer silahlardan oluşan üç gücün devreye girmesiyle değişimi
daha da şekillendirmek için yaratıcı olabiliriz. Örneğin yeni pazarlar
yaratılarak güvenliğin artırılmasına yönelik teşvikler getirilebilir .
"Sıfır gün" güvenlik açıklarına ilişkin bilgi satmak, bir zamanlar
suçluların istismar etmesinden önce açıkları bulmaya ve şirketlere bunlardan
bahsetmeye çalışan araştırmacıların alanıydı. Siber güvenlik geliştikçe, bu
"zafiyet pazarları" büyük bir iş haline geldi.
Ancak
bu tür yeni pazarların dikkatle izlenmesi gerekiyor. Yaklaşan bir
siber-endüstriyel kompleksle birlikte, alıcı tarafı da kendilerini ve
müşterilerini nasıl koruyacaklarını bulmaya çalışan yazılım üreticileri dışında
birçok yeni aktörü içerecek şekilde gelişiyor. Watchguard'ın bir raporunda
belirtildiği gibi,
Güvenlik
açığı piyasaları veya açık artırmaları, bilgi güvenliğinde yeni bir trend olup,
sözde "güvenlik" şirketlerinin sıfır gün yazılım güvenlik açıklarını
en yüksek teklifi verene satmasına olanak tanır. Müşterilerini
"incelediklerini" iddia ederler ve yalnızca NATO hükümetlerine
satarlar. ve meşru şirketlere karşı, hain kuruluşların avantaj elde etmesini
önleyecek çok az güvenlik önlemi bulunmaktadır.
Yani,
gelişen siber güvenlik alanı, güvenlik açıklarının daha geniş siber güvenliğe
zarar verecek şekilde nasıl alınıp satıldığına dair teşvikleri yeniden
ayarlıyor olabilir. Bazı güvenlik hizmetleri firmaları, müşterilerini yalnızca
kendilerinin bildiği açıklanmayan güvenlik açıklarına karşı koruyabilme
avantajını isterken, diğerleri daha çok siber silah komisyoncuları gibi olup,
bu sıfır günleri saldırı amaçlı siber silah tasarımlarında kullanmak üzere
satın alıp sonra satmaktadır. Burada da, tıpkı uyuşturucu veya siber güvenlik
açıkları olsun, beyaz pazar faaliyetinden karaborsa faaliyetine geçmeye
başlayan diğer pazarlarda olduğu gibi, hükümetin farkında olması ve herhangi
bir eylem toplumsal açıdan yıkıcı hale geldiğinde bunu denetlemeye hazır olması
gerekiyor.
Piyasa
düzgün çalıştığında siber güvenlik için güçlü bir güç olabilir. Ekonomik
perspektif ayrıca, savunmanın fiyatının saldırının doğrudan ve dolaylı
maliyetinden yüksek olması durumunda bazı saldırıların savunmaya değmeyeceğini
de kabul eder. Bu bizi siber güvenlik konusunda daha iyi yanıtlar oluşturmada
bir sonraki önemli konuya bağlıyor: bilgi paylaşımı ve hesap verebilirlik
mekanizmaları. Bunlar, bu tür temel maliyet-fayda hesaplamalarını destekleyen
ve sonuçta güvenliğe yönelik teşvikleri yönlendiren şeylerdir.
Paylaşmayı Öğrenin: Bilgi Üzerinde Nasıl Daha İyi
İşbirliği Yapabiliriz ?
"Her
zaman daha eğlencelidir"
“Herkesle
paylaşmak için!”
Amerika
Birleşik Devletleri'ndeki anaokullarında ve anaokullarında küçük çocuklar,
başka birine yardım etmek için sahip olduğunuz bir şeyden vazgeçmenin önemini
öğrenmek için "Paylaşma Şarkısı"nı söylüyorlar. Ne yazık ki,
işbirliği ve paylaşma dersleri bu derslerde alınmıyor. Siber güvenlik
dünyasının birçok önemli oyuncusunun kalbi.
Paylaşım
sorununun en iyi örneklerinden biri bankacılık dünyasından geliyor. Bankalar
genellikle markalarına yönelik kimlik avı web sitelerini tespit etmek ve
kaldırmak için firmalarla çalışır. Sahte finansal web siteleri ne kadar hızlı
kaldırılırsa, kandırılarak kimlik bilgilerini teslim edebilecek ve sonuçta
dolandırıcılığa yol açabilecek kullanıcı sayısı da o kadar az olur. Ancak bir
çalışma, iki farklı yayından kaldırılan şirket için tespit edilen web
sitelerinin listelerini karşılaştırdı ve ilginç bir şey buldu: her biri
diğerinin müşterileri için web siteleri keşfetmişti ancak bunları kaldırmak
için herhangi bir teşvikleri yoktu. Firmalar paylaşmış olsaydı, kolektif
müşterilerinden tahmini olarak 330 milyon dolar tasarruf edebilirlerdi.
Rekabet, siber güvenlik için bir pazar yaratabilir ancak
güvenlik kararları iyi bilgiye bağlıdır. Bu bilgilerin paylaşılması tüm
tarafların bilgilerini, durumsal farkındalıklarını ve siber güvenliğe
hazırlıklılıklarını büyük ölçüde artırır. Beyaz Saray'ın 2009 Siber Uzay
Politika İncelemesi'nde açıklandığı gibi, “Bilgi, siber olayları önlemenin,
tespit etmenin ve bunlara yanıt vermenin anahtarıdır. Ağ donanım ve
yazılım sağlayıcıları, ağ operatörleri, veri sahipleri, güvenlik hizmeti
sağlayıcıları ve bazı durumlarda kolluk kuvvetleri veya istihbarat
kuruluşlarının her biri, karmaşık izinsiz girişlerin veya saldırıların tespit
edilmesine ve anlaşılmasına katkıda bulunabilecek bilgilere sahip olabilir .
Tam bir anlayış ve etkili bir yanıt, ancak bu çeşitli kaynaklardan gelen
bilgilerin herkesin yararına bir araya getirilmesiyle mümkün olabilir."
Bilgi
paylaşımının temel faydası, ortaya çıkan tehditler ve kalıplar hakkında daha
kapsamlı bir görüşe olanak tanıması ve aktörleri başkalarının deneyimlerinden
alınan derslerle donatmasıdır. Saldırılar ve sonuçları genellikle hemen belli
olmaz ve yeni tehlikeler ve hafifletme önlemlerine ilişkin bir anlayış
geliştirmek için birden fazla kaynaktan bilgi alınmasını gerektirir. Başarılı
bilgi paylaşım rejimleri, karar vericileri daha fazla veriyle güçlendirmenin
ötesinde, her kuruluşun deneyim ve en iyi uygulamalarının yayılmasını
destekleyerek bireysel aktörlere fayda sağlar.
Bilgi
paylaşımı çeşitli şekillerde gelir. Yeni tanımlanan bir kötü amaçlı yazılımın
dijital imzasını başkalarına iletmek gibi bazı siber güvenlik bilgileri çok
teknik olabilir. Alternatif olarak, belirli bir sektördeki belirli bir yönetici
tipini hedef alan hedef odaklı kimlik avına yönelik yeni bir yaklaşım gibi daha
bağlama özgü bir yaklaşım da olabilir. Yeni keşfedilen bir güvenlik açığının
nasıl düzeltileceğine ilişkin spesifikasyonlar gibi önleyici olabilir. Veya
başarılı bir güvenlik ihlaline ilişkin ayrıntıların paylaşılması gibi duyarlı
bir davranış da gösterebilir. Bilgi zamana duyarlı olabilir ve hızlı kararlar
için gerekli olabilir ya da yalnızca zaman içinde bir araya getirildiğinde,
örneğin bir veri kümesinin bir gün birleştirme ve analizden sonra çığır açacak
küçük bir parçası gibi bir araya getirildiğinde yararlı olabilir.
Paylaşım
yaklaşımı veriyle ilgili olmalıdır. Paylaşmak “Kiminle?” diye sormamızı
gerektirir. ve nasıl?" Paylaşım, kuruluşların birlikte çalışmasıyla
merkezileştirilmeyebilir veya hükümetin kamu ve özel sektörden veri toplayıp
ardından eyleme dönüştürülebilir istihbaratı yeniden dağıtmasıyla
merkezileştirilebilir. Savunmayı güçlendirmek için, bilgisayarlar tarafından
otomatik olarak toplanan bazı teknik veriler otomatik olarak geniş kitlelerle
paylaşılmalıdır. Diğer veri türleri çok hassastır ve etkili bir şekilde
kullanılmadan önce dikkatli bir analiz gerektirir. Örneğin, başarılı bir
saldırıya ilişkin çok geniş çapta veya çok fazla ayrıntıyla paylaşılan veriler,
kurban hakkındaki hassas bilgilerin istemeden açığa çıkmasına neden olabilir.
Alternatif olarak, bir saldırı girişiminin nasıl yenilgiye uğratıldığına
ilişkin bilgi, rakibin bir dahaki sefere kazanmak için taktiklerini
uyarlamasına yardımcı olabilir.
Bu,
paylaşma kavramını küçük çocuklar olarak öğrendiğimiz diğer değer olan güven
ile ilişkilendirir. En iyi savunmalar, güvene ve insanın verileri anlayıp ona
göre hareket etme kapasitesine dayalı bir paylaşım rejiminden yararlanır.
Örneğin antivirüs şirketleri geleneksel olarak yeni tespit edilen kötü amaçlı
yazılım örneklerini yalnızca güvenilir bir grup içinde paylaşır.
Ne
yazık ki bilgi türleri ve paylaşım gereksinimlerindeki bu çeşitlilik, siber
güvenlikte bugüne kadar parçalı bir yaklaşıma yol açmıştır. Her biri belirli
ihtiyaçlar ve talepler etrafında inşa edilmiş çok sayıda bilgi paylaşım
organizasyonu ve modeli vardır. Geniş bir yelpazedeki bilgi paylaşımı
çözümlerine duyulan ihtiyaç, özellikle büyük ekonomisinde, özellikle sanayi
sektörlerini kapsayan herhangi bir konuda politika koordinasyonu konusunda çok
az imkana sahip olan Amerika Birleşik Devletleri'nde özellikle dile getirilmektedir.
Bilgi paylaşımının en büyük yerleşik modeli Bilgi Paylaşımı ve Analiz
Merkezleridir (ISAC'ler). 1998 yılında başkanlık direktifi ile oluşturulan
ISAC'lar, finansal hizmetler veya sağlık hizmetleri gibi ekonominin belirli
sektörleri etrafında organize edilmektedir ve her sektör kendi organizasyon
biçimini ve işlevini belirlemektedir.
Başlangıçtaki direktif, siber tehditlerin açıkça
tanınması açısından o zamanlar oldukça benzersiz olsa da, ISAC'ların gerçek
etki yaratma konusunda karışık bir geçmişi vardı. Çoğu, ilgili kaynaklardan oluşan
dijital bir kütüphane sunar ve ilgili katılımcıların e-posta listeleri ve
etkinlikler aracılığıyla koordine edilmesine yardımcı olur. Bazılarının 7/24
operasyon merkezleri veya kriz yönetimi protokolleri vardır. Bilgi Teknolojisi
merkezi (IT-ISAC) "güvenli Web portalı, liste sunucuları, üye şirketlerle
konferans görüşmeleri ve analitik destek sağlayan özel analistler" sunar.
Siber güvenlik bilgileri üyelerinden geliyor. İdari Direktör Scott Algeier,
piyasa koşullarının misyonunu nasıl şekillendirdiğini şöyle anlatıyor:
"Özel şirketler, dış kuruluşlarla bilgi paylaşmadan önce güvenlik
açıklarını ilk olarak müşteri tabanlarına açıklama eğilimindedir. Dolayısıyla yeni
model, bunun yollarını arıyor
üyelerimizin
hangi saldırıları gördüklerine dair bilgi paylaşımını
kolaylaştırabiliriz." Cyber Statecraft Initiative'in yöneticisi Jason
Healey, bu tür kamu-özel sınırları ötesindeki paylaşımın önemini vurguluyor.
Endüstri ve hükümet için iyi bir yaklaşımdır. grupların önce kendi
toplantılarını yapması: "Sonra hemen bir araya gelerek notları ve
öğrendiklerini karşılaştırırlar." Bir de sosyal bileşen var. “Sonra hepsi
dışarı çıkıp akşam yemeği yiyorlar. Güven ve ilişkiler kurar."
Başka
bir model ise satın alma gücü üzerine kurulu. Siber tehditlerin arttığını gören
Savunma Bakanlığı, geniş yüklenici ve satıcı ağı içerisinde bir bilgi paylaşım
programının oluşturulmasının teşvik edilmesine yardımcı oldu. Ağ, bilgi
paylaşımının her iki yönünde de çalışır. Pentagon, kurumsal tedarikçilerden
oluşan Savunma Sanayii Üssü'ne hem gizli hem de gizli olmayan tehdit
bilgilerinin yanı sıra güvenlik tavsiyeleri de sağlayacak. "DIB
katılımcıları da siber olayları analiz için rapor ediyor, hafifletme
stratejilerini koordine ediyor ve Savunma Bakanlığı hakkındaki bilgilerin
tehlikeye girmesi durumunda siber saldırı hasar değerlendirmelerine
katılıyor." Bilgilerin kendisi çoğunlukla anonim tutuluyor, böylece
şirketler rakiplerine yardım ettikleri endişesi taşımadan paylaşın.
Yerel
ölçekte bilgi paylaşımını destekleyen daha küçük kuruluşlar da vardır. FBI,
saha ofislerinin her birinin siber güvenlik sorunları hakkında konuşmak için
yerel işletmelere ve araştırmacılara ulaştığı Infragard'ı organize etti. Bazı
bölgesel bölümler düzenli seminerler ve posta listeleriyle oldukça aktiftir;
diğerleri daha az. Yerel teknoloji şirketlerini ve araştırmacıları bir araya
getirmek için forum görevi gören Boston bölgesindeki Gelişmiş Siber Güvenlik
Merkezi gibi çeşitli bölgesel kuruluşlar da bulunmaktadır. Üyeler tarafından
finanse edilen ancak federal hibeleri göz önünde bulunduran ACSC, uzmanların
sunumlarıyla iki ayda bir toplantılar yaptı ve gizliliği korurken hassas siber
bilgileri paylaşmak için benzersiz bir tam ölçekli katılım anlaşması
geliştirdi.
Özel sektörün
işbirliğinde kendi başarıları var. Satıcılardan ve araştırmacılardan oluşan
konsorsiyum, Kimlik Avı Koruması Çalışma Grubu gibi belirli konular etrafında
büyümüştür. Standart kuruluşları, güvenlik bilgilerinin önemli yönlerini
standartlaştırma yerleri olarak hizmet verebilir. Elektrik ve Elektronik
Mühendisi Enstitüsü'nün Kötü Amaçlı Yazılım Çalışma Grubu, paketlenmiş veya
gizlenmiş kötü amaçlı yazılımlara ve bu kötü amaçlı yazılımların nasıl
incelenip yenileceği konusunda standartlaştırmaya odaklanmıştır.
Özellikle,
yeni bir güvenlik bulgusunu büyük bir güvenlik konferansında sunmanın dikkat ve
kariyer açısından sağladığı faydalar, bu mekanlarda kamuya açık paylaşımın
çoğunu teşvik ediyor gibi görünüyor. Bu sadece bireysel araştırmacılar için
değil aynı zamanda bilgileri gizli tutmanın kendilerine rakiplere karşı avantaj
sağlayacağını düşünen güvenlik şirketlerinin kendileri için de geçerlidir. 2013
yılında güvenlik şirketi Mandiant, Çin'in Amerikan kurumsal ağlarına sızmasıyla
ilgili bulgularını kamuoyuna duyurmak için oldukça kamusal bir rol üstlendi;
New York Times raporlarını neredeyse kelimesi kelimesine alıntıladı. Bu
bilgi paylaşımının küresel siber güvenlik politikası üzerinde muazzam bir
etkisi oldu, ancak Mandiant aynı zamanda pazarlıktan da bir şeyler elde etti.
Güvenlik blog yazarı Adam Shostack, halka açılan bu tür firmaların
"verileri gerçekte paylaşmadıklarını" açıkladı. Bilgiyi saygı ve
güvenilirlik karşılığında satıyorlar." Bilgi paylaşımı yalnızca şirket
olarak markalarını geliştirmekle kalmaz, aynı zamanda piyasanın riskler
konusunda eğitilmesine ve daha geniş yatırımların teşvik edilmesine de yardımcı
olabilir. Daha fazla müşteriyle çalışmak, bunun karşılığında, Firmanın analiz
etmesi için daha fazla veri.
Bilgi
paylaşımına yönelik tüm bu farklı mekanizmalar göz önüne alındığında, yeterli
mi? Birçoğu olmadığına inanıyor. Yüksek teknoloji ticaret birliği TechAmerica,
"bilgi paylaşamamanın, siber güvenliğimizi iyileştirmeye yönelik kolektif
çabaların önündeki en büyük zorluklardan biri olduğunu" savundu. Güvenlik
danışmanı Erik Bataller, "kamu ve özel sektörün daha fazla bilgi
paylaşması gerektiği, daha fazla tarafın dahil edilmesi ve yeni platformların
kullanılması gerektiği" konusunda ısrar ediyor; ideal olarak "tehdit
ortaya çıktığında gerçek zamanlı tanımlama ve yanıt" alabileceğimiz
noktaya kadar. ” Pek çok kişi tarafından paylaşılan bu vizyon, çeşitli
düzeylerde enerji ve faaliyete sahip bilgi veya endüstri sektörleri etrafında
inşa edilen mevcut gevşek koalisyonlar dizisi yerine, siber uzayda
çalışabilecek daha evrensel türden bir sensör ağının ortaya çıkacağıdır.
Tehditleri tespit edin ve bunlara yanıt verin.
Bu
güçlü bir kavram ama bazı büyük engeller var. Asıl zorluk özel sektör ile
hükümet arasındaki paylaşımdır. Firmalar, daha fazla yasal koruma olmadan,
paylaştıkları bilgilerin hükümet tarafından delil olarak kullanılabileceğinden
veya tekrar kendilerini ısırabilecek bir davada kullanılabileceğinden endişe
ediyor. Siber güvenlik konularında bile olmayabilir. Örneğin bir çalışma, bir
enerji şirketinin, siber güvenlik tehdidi deneyimleriyle ilgili bilgileri
paylaşma konusunda isteksiz olduğunu, çünkü verilerin bir şekilde siber
güvenlikle hiçbir ilgisi olmayan konularda şirkete zarar vermek için
kullanılabileceğinden endişe ettiğini ortaya çıkardı. Yani, kitlesel halkın güç
kaybı riskine, çevre hakları gruplarından herhangi bir veriyi ele geçiren sinir
bozucu avukatlara kıyasla daha az önemsiyordu.
Bu
tür korkular, hükümetle paylaşmaya yönelik her türlü teşviki ciddi şekilde
azaltıyor. Sektör grupları, Kongre'den yaygın programlara katılmadan önce yasal
koruma sağlamasını istedi. Paul Rosenzweig bu kamusal/özel güvensizliğin
karşılıklı olduğunu açıklıyor: “NSA gibi devlet kurumları. . . Tehdit imzaları
ve siber saldırganların cephaneliğindeki yeni gelişmeler hakkında (belki de)
üstün bilgi birikimine sahip olan saldırganlar, kendi kaynakları ve
yöntemlerinden taviz verme riskini göze alarak, zorlukla kazandıkları bilgileri
özel sektörle paylaşma konusunda son derece isteksizdirler."
Paylaşmanın
her derde deva olmadığını vurgulamak önemli. Pek çok siber güvenlik ihlali
önlenecek veya önlenecek olsa da, şirketlerin ve hükümetlerin son derece iyi
oynadığı bir dünyada bile bir takım siber güvenlik ihlalleri meydana gelebilir.
Burada önemli olan, paylaşımın "sıfır günlerin" çoğunu
durdurmayacağını ancak "ertesi günlerin" çoğunda kritik öneme sahip
olacağının farkına varmaktır. Ancak bilgi paylaşımının başarısı büyük ölçüde
bağlama ve ilgili taraflara bağlıdır.Kuruluşların güvenliğinden sorumlu BT
uzmanları arasında bile çoğu kişi kendileriyle paylaşılabilecek bilgilerin
çoğunu kullanamayacaktır.
Politikanın
anahtar haline geldiği yer burasıdır. Verilerin doğrulanması , dağıtılması ve
ardından kullanımının etkinleştirilmesine yönelik kurumsal destek, herhangi
bir bilgi paylaşım politikasının birincil hedefi olmalıdır. Bu hedefe nasıl
ulaşılacağı anlaşıldıktan sonra sorumluluk koruması veya teşvikler gibi
sınırlayıcı engeller aşılabilir. Sürece ve ardından engellere odaklanmak,
işbirliğine yenilikçi yaklaşımlar bulmaya, olağandışı koşullar altında bile
önemli bilgileri aktarmanın yollarını bulmaya yardımcı olabilir.
Teşviklerin
farkına varılıp yeniden şekillendirilmesinin ne kadar önemli olduğunu burada
bir kez daha görüyoruz. Banka kimlik avının ele geçirilmesi vakasında, rakip
firmalar bilgi paylaşmaları halinde müşterilerine daha iyi hizmet verebilirdi,
ancak iyi güvenlik verilerini saklamak da rekabet avantajı sağlıyordu. Onların
çıkarlarını koruyan bir alternatif, bir paylaşım mekanizması vardı. Kimlik
avını ortadan kaldıran firmalar hâlâ web sitelerini tespit etmeye çalışarak
rekabet edebilirdi, ancak ücrete dayalı gizliliği koruyan protokol, borsa
dışında herhangi bir rekabetçi bilgiyi ifşa etmeden bilgi aktarmalarına olanak
tanıyacaktı.
Yeterince
dikkatli bakarsak ve doğru yapıları kurarsak her zaman paylaşmanın bir yolu
vardır. Çocuk şarkısı devam ederken
Eğer
yeni bir tane varsa
İşte
öğrenebileceğiniz bir şey var Hala paylaşabilirsiniz
Sadece
sırayla.
Talep Açıklama: Şeffaflığın Rolü Nedir?
Politika
kişiselleştiğinde yasa çıkarmak daha kolay olur. 2001 yılında, yeni seçilen
Kaliforniya eyaleti meclis üyesi Joe Simitian, ses getirecek ancak yine de
yasama meclisinden geçebilecek bir gizlilik tasarısı istedi. Gizlilik uzmanı
Diedre Mulligan'ın önerisi üzerine teklif edilen yasa tasarısı, müşterilerinin
verilerini kaybeden şirketlerin bunu veri sahiplerine bildirmesinin gerekli
olduğu bir madde içeriyordu. Simitian bunun büyük şirketler arasında pek rağbet
görmeyeceğini biliyordu ancak bunu bir müzakere taktiği olarak tasarıya dahil
etti. Maddenin, her yasa tasarısının içinden geçtiği karmaşık yasama
mücadelesinde daha sonra vazgeçebileceği bir şey olması amaçlanmıştı. Bu
girişime rağmen Simitian'ın önerdiği yasa tasarısı askıda kaldı.
Bir
yıl sonra, Sosyal Güvenlik numaraları ve banka bilgileri de dahil olmak üzere
200.000'den fazla Kaliforniya çalışanının eyalet veri tabanı hackerlar
tarafından ele geçirildi. Bunlar arasında Kaliforniya meclisinin seksen üyesi
ve Senato'nun kırk üyesi vardı. Artık Simitian'ın tasarısında yer alan
kavramlar artık teorik değildi. Planlanan tek kullanımlık madde, mağdur yasama
meclisinin çıkardığı yeni bir veri ihlali bildirim yasasının merkezi parçası
haline geldi ve kişisel bilgileri güvence altına alamayan kuruluşların veri
sahiplerini bilgilendirmesini zorunlu kıldı.
Bu
politikanın çok büyük etkisi oldu. 2004 yılında Amerikan borsalarında işlem
gören şirketlere yönelik duyurulan üç veri ihlali yaşandı. 2005 yılında
Kaliforniya kanunu yürürlüğe girdiğinde elli bir kişi vardı. 2013 yılı
itibarıyla kırk altı Amerikan eyaletinin ilgili yasaları vardır.
Bu tür şeffaflık yasaları zorunlu bilgi paylaşımı olarak
düşünülebilir. Sonuçta gönüllü bilgi paylaşımından olumlu sonuçlar
alabileceksek neden daha fazlasını talep etmeyelim? Alternatif bir çerçeve,
şeffaflığı, olumsuz sonuçlara odaklanan, bırakınız yapsınlar hesap verebilirlik
modeli olarak görmek olabilir. Kuruluşlar güvenlik kararlarını kendi başlarına
verirler, ancak kararları bir güvenlik hatasıyla sonuçlanırsa bunu kabul etmek
zorundadırlar.
Tehdit
ve saldırıların ifşa edilmesi, tüm kuruluşları risklerini anlamaya zorlar.
Kaliforniya'nınki gibi veri ihlali bildirim yasaları mükemmel bir örnek olay
incelemesi görevi görüyor. Bu yasalar teknolojiden bağımsızdır: karmaşık bir
veri tabanını kıran bir bilgisayar korsanı için de, eski tip bir manyetik
yedekleme bandını kaybeden bir çalışan için de aynı şekilde geçerlidir.
Değerleri şeffaf bir atmosfer yaratmaktır. Veri ihlallerini ortadan
kaldırmadılar ancak etkilerinin azaltılmasına yardımcı oldular. Açıklama,
yalnızca farkındalığı artırmakla kalmayıp aynı zamanda yöneticilerin bildirim
giderleri ve olumsuz tanıtım şeklinde kaçınılması gereken maliyetleri
tanımlayarak bir kuruluş içinde hesap verebilirlik yaratır. Bu da işletme ve
ajans yönetiminin alması gereken risk kararlarına rehberlik eder. Ve son
olarak, şeffaflık yasasının iş dünyasına karşı olmadığı ortaya çıktı; bunun
yerine kuruluşların veri ihlallerini önlemesine ve meydana gelmesi durumunda
uygun şekilde yanıt vermesine yardımcı olmak için büyüyen yepyeni bir sektörü
teşvik etti.
Bugün
siber alanda zorunlu ifşa konusunda daha fazla çaba gösterilmesi gerekiyor.
Amerika Birleşik Devletleri'nde ve çeşitli Avrupa başkentlerinde ulusal düzeyde
daha geniş politikalar önerilmiş olsa da, hala gidilecek uzun bir yol var.
Örneğin önerilen AB siber güvenlik direktifi, kritik altyapı sektörlerinin,
temel hizmetleriyle ilgili güvenlik olaylarını bir koordinasyon kuruluşuna
bildirmeleri yönünde çağrıda bulunuyor.
Bu
tür hedefler mütevazı ama dirençle karşılaştılar. Bunun bir kısmı, neredeyse on
yıl önce Kaliforniya'daki orijinal çabayı durduran korkulan endüstri
tepkisinden kaynaklanıyor. 2011 yılında yapılan bir sektör araştırması, ankete
katılan bin şirketin yarısından fazlasının bir güvenlik ihlalini soruşturmamayı
seçtiğini ortaya çıkardı. Teknoloji girişimcisi Christopher Schroeder, güvenlik
olaylarını veya güvenlik açıklarını açıklama konusundaki bu isteksizliği şöyle
açıkladı: “Birçok yönetici, bir güvenlik açığını rekabete veya tüketicilere
ifşa etmenin maliyetinden korkuyor ve bilgi paylaşımıyla ilişkili risklerin,
bir ağ güvenliği saldırısıyla ilişkili risklerden daha büyük olduğuna inanıyor.
”
Bu
kısa vadeli görüş, yalnızca kamunun değil aynı zamanda bir şirketteki özel
hissedarların çıkarlarına da aykırıdır. 2011 yılında Senatör Jay Rockefeller,
Menkul Kıymetler ve Borsa Komisyonu'na, güvenlik olaylarının yaygınlığına ve
şirketlerin "maddi" riskleri ve olayları ayrıntılarıyla anlatması
gereken kamuya açık dosyalarındaki bu olaylara ilişkin göreceli sessizliğe
dikkat çeken bir yazı yazdı . Bu nedenle SEC, aynı yılın sonlarında siber
güvenlik risklerinin de açıklanması gerektiğini açıklığa kavuşturmak için
yönergeler yayınladı. Bu, yeni bir düzenleme değil, yalnızca asgari düzeydeydi;
daha ziyade siber güvenlik riskinin diğer iş uygulamalarından farklı olmadığının
açıklığa kavuşturulmasıydı. SEC'e göre, "Diğer operasyonel ve finansal
risklerde olduğu gibi, kayıt yaptıranlar siber güvenlik riskleri ve siber
olaylarla ilgili açıklamalarının yeterliliğini sürekli olarak
incelemelidir."
Bu
yönergelerin etkisi hâlâ sürüyor ancak bazı ayrıntıları toplayabiliyoruz. Bu
değişiklikten önce SEC, siber güvenliği çok önemli görmüyordu ve
"Yatırımcıların bu alanda daha fazla açıklama istediğinin farkında
değiliz." Onların argümanlarının özü cehalet mutluluktur idi. Ancak eski
Beyaz Saray siber güvenlik koordinatörü Melissa Hathaway, bunun SEC
dosyalarının açık bir parçası haline getirilmesinin "yöneticileri
şirketlerinde neler olup bittiğini gerçekten anlamaya zorlayacağına" karşı
çıkıyor. Bunun siber güvenlik için talep eğrisi yaratacağını düşünüyorum.
Şeffaflık, hissedarların not almasına ve risklerini doğru şekilde anlama ve ele
alma konusundaki başarısızlıklardan şirketleri sorumlu tutmalarına yardımcı
olacaktır.
2012
yılında kurumsal yönetim kurulu üyeleri ve üst düzey yöneticiler üzerinde
yapılan bir çalışmanın gösterdiği gibi, buna özellikle ihtiyaç duyulmaktadır.
Sorunun artan önemine ve risklerin ölçeğine rağmen, bu liderler arasında siber
güvenlik konusunda yaygın farkındalık veya endişeye dair çok az kanıt bulundu.
İncelenen kurulların neredeyse tamamı geleneksel risk yönetimi konularını
(yangınlar, doğal afet planları vb.) aktif olarak ele aldı ancak yalnızca üçte
biri bilgi güvenliğinin yönetim kurulunun dikkatini çektiğini belirtti.
Kurulların çoğunluğunun siber güvenlik riskleri veya ihlalleri hakkında düzenli
raporlar almaması, yakın zamanda yürürlüğe giren SEC yönergeleri ışığında
potansiyel olarak sorunlu bir durum. Aslında, son zamanlarda kritik altyapıya
gösterilen ilgiye rağmen, enerji ve kamu hizmetleri sektöründen katılımcılar,
iyi siber risk yönetimine ilişkin göstergelerin çoğunda olmasa da çoğunda
emsallerinden bile daha kötü performans gösterme eğilimindeydi. Belki de
Kaliforniya yasama meclisinin verdiği ders doğrudur: Karar vericilerin riske
attığı bir şey olduğunda değişim gerçekleşecektir.
Ne
yazık ki, şeffaflığın sosyal faydaları hesap verebilirlik mekanizmalarıyla
zayıf bir şekilde etkileşebilmektedir. Bir güvenlik olayının verdiği zarar,
firmanın itibar kaybı veya hisse senedi fiyatındaki düşüş yoluyla ifşa
edilmesinden kaynaklanıyorsa, o zaman firma raporlamama konusunda güçlü bir
teşvike sahiptir. Bu, daha geniş bir topluluğu, politika belirlemeye ve
başkalarının kararlarına rehberlik etmeye yardımcı olabilecek değerli
bilgilerden mahrum bırakır. (Daha önce de bahsettiğimiz gibi, politika
yapıcıların ticari sırların şirketlerden çalınması konusunda yeterli verileri
yoktur.) Aynı zamanda, eğer firmalar bu sırların ifşa edilmesinden doğrudan
veya dolaylı olarak zarar görmezlerse, bu durum her türlü hesap verebilirliği
en aza indirecektir. Güvenlik olaylarının ifşa edilmesi tam olarak ihtiyaç
duyulan şeydir ve yalnızca hesap verebilirlik için değildir. Tyler Moore'un
açıkladığı gibi:
Bir
elektrik santralinin kontrollerine uzaktan giriş tehlikeye girerse ve hizmet
sağlayıcısı olup bitenler hakkında sessiz kalırsa, o zaman diğer enerji
şirketleri bir saldırı olasılığını tam olarak değerlendiremeyecektir. Bankalar,
çok sayıda ticari müşterinin, şirketin internet bankacılığı bilgilerinin ele
geçirilmesi nedeniyle hızla milyonlarca dolar kaybettiğini açıklamadığında, henüz
mağdur olmamış ticari müşteriler, önlem alınması gerektiği konusunda bilgisiz
kalıyor.
Kısacası
paylaşmak her zaman daha eğlenceli olabilir ama bazen çeşitli tarafların iyi
oynamaya ikna edilmesi gerekir. Şeffaflık, işler ters gittiğinde bunu
açıklamanın bir yolunu sağlar ve bu da çeşitli oyuncuları ilk etapta işleri
düzeltmeye teşvik eder. Bu da hükümetin hesap verebilirliği nasıl daha doğrudan
teşvik edebileceğine dair zemini hazırlıyor.
Sorumluluk
Konusunda “Güçlü” Olun : Nasıl Yaratabiliriz
ABD
hükümetinin eski sağlık bilgi politikası baş danışmanı ve ünlü BT uzmanı Bill
Braithwaite'in ya alışılmadık bir "güçlü" tanımı vardı ya da Monty
Python'a yakışır bir yetersiz ifadeyle konuşuyordu.
Özetlediği Sağlık Bilgisi Taşınabilirliği ve Sorumluluk
Yasası veya HIPAA, tıbbi bilgilerin nasıl korunacağı konusunda hesap
verebilirlik yaratmayı amaçlıyordu; hükümet yasanın ihlali durumunda para
cezası alma yetkisine sahipti. Ancak 2003-2006 yılları arasında tıbbi verilerin
yetersiz korunmasına ilişkin hükümete yapılan 19.420 şikayetin arasında tek bir
cezai para cezası vakası bile yaşanmadı. Uygulama bölümünün başkanı Winston
Wilkinson, yaptırımların çok da güçlü olmadığı bu rekoru savundu ve şunu ileri sürdü:
"Şimdiye kadar oldukça iyi sonuç verdi." Eleştirmenler, uyumun zayıf
olmasına yol açan şeyin tam olarak bu gevşek uygulama kaydı olduğu yönünde
karşı çıktı. Bir danışman yanıtı şöyle özetledi: "HHS gerçekten hiçbir şey
yapmıyor, öyleyse neden endişeleneyim ki?"
Sorun
sorumlulukla ilgili bir soru. Her organizasyonun ağlarının güvenliğini
sağlamaktan daha önemli görülen öncelikleri vardır. Örneğin hastaneler hayat
kurtarmaya odaklanır; Siber güvenliğe harcanan her dolar veya adam saati, bu
temel misyondan uzaklaşılması olarak görülebilir. Kamu politikasının önündeki
zorluk, bunun nasıl anlaşıldığını yeniden çerçeveleyen mekanizmalar
yaratmaktır.
Bu
kolay değil. "Alçakta asılı meyveler" olarak adlandırılan örneği ele
alalım. Kamuya açıklanan olayların büyük bir kısmının, varsayılan şifreler,
düzeltme eki uygulanmamış sistemler veya temel güvenlik korumalarından yoksun
veritabanları gibi yaygın olarak bilinen güvenlik açıklarından
yararlanılmasından kaynaklandığını biliyoruz. Kolay bir güvenlik sorununu
çözmek basit olabilir, ancak bu basitlik , Tüm bu "aşağıda asılı kalan
meyveleri" bulmak ve onarmak (bir tanesi tek başına önemli hasara neden
olmak için yeterli olabilir) karmaşık ve pahalı bir organizasyonel zorluktur.
Hangi mekanizmalar yöneticileri ve kuruluşları tüm bu sorunları ele alma
konusunda sorumlu tutacak?
Geleneksel
olarak, kuralcı düzenlemeler öncelikleri değiştirir: Hükümet standartlar ve
uygulamalar belirler ve kuruluşlar da bunlara uyar. Bu model, finanstan gıda
güvenliğine kadar her alanda endüstriyel davranışı zorunlu kılsa da güvenliğe
pek uymayabilir. Dmitri Alperovitch'in belirttiği gibi, "Sorun şu ki
emniyet ve güvenlik aynı şey değil." Başka bir deyişle, bazı kimyasallar
sizin için güvenli değildir, ancak sizi kansere sokmanın yeni yollarını bulmak
için bütün gece uyanık kalmazlar.
Güvenliğin
düşmanca doğası sürekli evrimi ve adaptasyonu gerektirir. Belirli çözümleri
belirleyen düzenlemeler siber uzay için pek uygun olmayabilir. Üstelik özel
sektörün neredeyse tüm düzenlemelere karşı varsayılan tavır takındığı
görülüyor. "Hükümet destekli standartları ima eden herhangi bir belge bile
şirketleri tedirgin edebilir. Pek çok kişi bunu gelecekteki düzenlemeler için
mızrağın ucu olarak görüyor." Bu ruh, ABD Ticaret Odası'nın 2012 yılında
siber güvenlik düzenlemelerine karşı başarılı bir saldırı başlatmasına yol
açtı.
Özellikle
düzenlemeye tabi endüstrilerde bazı siber güvenlik standartları ve
düzenlemeleri halihazırda mevcuttur, ancak genellikle gerekli güvenlik
kazanımlarını sağlamada başarısız olurlar. Örneğin elektrik şebekesinde 2008
yılında endüstri ve düzenleyiciler arasında ortaklaşa geliştirilen
standartların yetersiz olduğu yalnızca üç yıl sonra ortaya çıktı. Güvenlik
denetçilerine yönelik bir kuruluşu yöneten enerji güvenliği uzmanı Michael
Assente şöyle açıkladı: “Standartlar güçlü bir risk duygusu göz önünde
bulundurularak uygulanmadı. Yeni bir düzenleyici rejimi yürürlüğe koymanın
karmaşıklığı, kolektif gözümüzü güvenlikten uzaklaştırdı ve konuyu idari
konulara ve uyumluluğa yöneltti." Uyumluluğa bu şekilde odaklanmak,
güvenliği yinelenen, uyarlanabilir bir süreçten, karşılaşılan risklerden
bağımsız bir organizasyonel rutine dönüştürebilir. Kuruluşlar güvenliği
iyileştirebilecek her türlü karardan kaçınabileceği için uyumluluk,
sorumluluğun yerini alır.
özel aktörler
arasında sözleşmeye dayalı olarak dayatılmaktadır . Ödeme Kartı Endüstrisi Veri
Güvenliği Standardı (PCI-DSS), kredi veya banka kartı verilerini işleyen
herhangi bir şirketin sistemlerini nasıl güvence altına alması gerektiğini
belirler. Kredi kartı verileriyle çalışan ve kurallara uyulmadığı tespit edilen
herkes, kredi kartı dernekleri tarafından para cezasına çarptırılabilir.
Uyumsuzluğun ihlale yol açması durumunda cezalar yarım milyon dolara kadar
çıkabiliyor.
Bu
özel sorumluluk modeli, özellikle bir güvenlik olayının doğrudan maliyet
getirdiği durumlarda iyi işleyebilir. Bankalar, yasa dışı olarak aktarılan ve
geri alınamayan fonların masraflarını karşılamak zorundadır. Kredi kartı
şirketleri yeni kartları yeniden yayınlamak zorundadır. Bir saldırganın RSA'nın
SecurID belirtecinin bütünlüğünü tehlikeye atmasının ardından RSA, 40 milyon
kullanıcısının küçük kimlik doğrulama cihazlarını değiştirmek zorunda kaldı.
Güvenlik olayları ölümcül bile olabilir. Hollandalı sertifika yetkilisi
DigiNotar, davetsiz misafirin Google'ın kimliğine bürünmesine olanak tanıyan
bir ihlale maruz kaldığında, ardından gelen piyasa güveni kaybı, DigiNotar'ın
iflasına yol açtı. Firmalar bu maliyetlerin farkına varıyor ve bunlardan
kaçınmak için harekete geçiyor.
Peki
ya kayıplar doğrudan sorumlu tarafa tahakkuk etmediğinde ne olacak? Diğer iş
alanlarında, Amerika Birleşik Devletleri ve Birleşik Krallık gibi ortak hukuk
ülkeleri, teşvikleri yeniden düzenlemek ve bir miktar hesap verebilirlik
getirmek için sorumluluğu kullanıyor. Sorumluluğun siber güvenlikte çok büyük
bir rol oynadığını henüz görmedik çünkü (neyse ki) ciddi üçüncü taraflara
zarar veren nispeten az sayıda güvenlik olayı yaşandı. Eğer bir güvenlik olayı
fiziksel ve maddi zarara yol açıyorsa mağdurlar dava açabilir mi? Birçoğu öyle
düşünüyor. Buna karşılık, sektörden, saldırıya uğrayan tarafın sorumluluğunun
önleyici olarak sınırlandırılması yönünde giderek artan çağrılar var.
Bu
sorumluluk kavramı, sigortanın siber alanda oynayabileceği ve oynaması gereken
role yol açmaktadır. Sigortacılık işi, ilk olarak 17. yüzyılda denizcilikte
saha koruyucu yatırımlar olarak başladı ve daha sonra ev sahipliğinden spor
yıldızlarının dizlerine kadar uzanan alanlara yayıldı. En büyük firmalar
dışındaki herkes için, yıllık prim ödemek genellikle daha büyük bir darbe alma
riskinden daha iyidir. Siber sigorta, ara sıra büyüyen ve büyük ölçüde
tartıştığımız politika ve ticari tarafların yetişmesini bekleyen bir alandır.
2012 yılındaki primlere ilişkin ihtiyatlı bir tahmin 1 milyar dolardı. Bu bile
siber güvenliğe uygulanmasını abartıyor. Firmalar veri ihlali risklerini
üstlenirken bir analist, "Gizlilik kapsamı oldukça açık bir şekilde
piyasayı yönlendiriyor" yorumunu yaptı. Önceki bölümdeki yasaların
kapsadığı ihlallerden daha fazla firma muzdarip oldukça, danışmanlar ve hizmet
sağlayıcılar bu durumu ele alma konusunda ustalaştılar. yanıt verebilir ve
öngörülebilir bir fiyat sunabilir.Bu da firmanın ne kadar kapsama ihtiyacı
olduğunu bilmesini sağlar.
Sigorta
tek başına riski sigorta kapsamındaki firmadan sigortacıya aktarır ve ardından
standart güvenlik yaklaşımının ardındaki teşvikleri yeniden şekillendirir. Eski
ulusal karşı istihbarat yöneticisi Joel Brenner şöyle açıklıyor: “Sigortacılar,
primleri iyi uygulamalara bağladıkları için standartların yükseltilmesinde
önemli bir rol oynuyorlar. Örneğin iyi otomobil sürücüleri araba sigortasına
daha az para ödüyor.” Sigortacılar, bir güvenlik olayının olasılığını ve
maliyetini en aza indirmek için doğal bir teşvike sahiptir ve firmayı savunmaya
yatırım yapmaya zorlayacaktır. Sigortacılar, portföylerine uygulayabilecekleri
en etkili korumaları belirleyerek, uyum maliyetlerini düşürürken primleri de
düşürerek rekabet edebilirler. Zamanla sigorta şirketleri savunma ve ihlallere
ilişkin çok sayıda veri toplayacak, en iyi uygulamaları geliştirip
yaygınlaştıracak. En azından teori bu. Ancak şu ana kadar sigorta piyasasının
daha iyi güvenliğe yönelik teşvikleri uyumlu hale getirmesi için almamız
gereken uzun bir yol var.
Son
olarak bu önemli bir noktaya işaret ediyor: bireysel kullanıcı işin dışında
bırakılamaz. İnsanın yanılabilirliğinin siber uzaydaki en büyük güvenlik
açığını nasıl temsil ettiğini defalarca gördük. Sorun şu ki, günümüzde tek bir
yanlış tıklama ile daha sonra gün yüzüne çıkan bir saldırının sonuçları arasındaki
bağlantıyı bir birey için anlamak zor olabilir. Siber güvenliğe yönelik piyasa
çözümlerinden yana olan sektörler arası bir endüstri grubunun başkanı Larry
Clinton şu gözlemde bulundu: "Birçok tüketici, mali etkinin çoğunun
kişisel bilgilerinin kaybından kaynaklandığına dair inançlarından dolayı yanlış
bir güvenlik duygusuna sahiptir." veriler tamamen kurumsal kuruluşlar
(bankalar gibi) tarafından karşılanacaktır.” Gerçekte, kötü kararların maliyeti
hepimize aittir. 2009 Siber Uzay Politika İncelemesi'nin belirttiği gibi,
“İnsanlar öncelikle ne kadar risk altında olduğunu anlamadan güvenliğe değer
veremezler. Bu nedenle Federal hükümet ulusal düzeyde bir kamuoyu
bilinçlendirme ve eğitim kampanyası başlatmalıdır .” 2010 yılında “DUR.
DÜŞÜNMEK. BAĞLAMAK." Kampanya İç Güvenlik Bakanlığı tarafından başlatıldı
ancak kamuoyunda çok az kişi bunu fark etti.
Özetle,
bir piyasa başarısızlığına ilişkin güçlü kanıtlar göz önüne alındığında,
bireysel İnternet kullanıcısından bir kamu hizmeti şirketinin CEO'suna kadar
iyi güvenlik kararları alabilmek için hesap verebilirlik mekanizmalarının
oluşturulması gerekmektedir. Bilgi sistemlerinin mimarisini yalnızca yukarıdan
dayatılan kuralcı kural ve standartlar rejiminin tanımlamasını istemiyorsak, o
zaman güvenliğin önemini vurgulayan aşağıdan risk yönetimine yönelik bir
yaklaşımı da teşvik etmeliyiz. Bazen şeffaflığın ışığı, daha sorumlu güvenlik
davranışlarını teşvik etmek için yeterli olabilir. Diğer bağlamlarda fiili ceza
tehdidine ihtiyaç duyulabilir.
Bu
hikayeyi tam bir daire içine alır. Bu bölümün başında sözü edilen sağlık
hizmeti düzenleyicileri, yaptırım uygulanmadığının utanç verici bir şekilde
ifşa edilmesinin ardından, veri güvenliği standartlarının arkasına bazı dişler
koymaya başladı. Örneğin 2012 yılında Harvard Tıp Fakültesi'ndeki bir eğitim
hastanesi, düzenleyicilerin "güvenlik kuralının gerekliliklerine yönelik
uzun vadeli, kurumsal bir ihmal" tespit etmesi üzerine 1,5 milyon dolar
para cezasına çarptırıldı. Hastanelerin farkına vardığı ve uygulamalarını
değiştirmeye başladığı “titiz yaptırımların” asıl anlamı budur.
BT Kalabalığını Bulun : Siber İnsanlar Sorununu Nasıl Çözeriz ?
Richard “Dickie” George, Ulusal Güvenlik Teşkilatında otuz
yıldan fazla bir süre kriptoloji matematiğinden (kod oluşturma ve kırma) en
gizli iletişimlerin güvenliğinden sorumlu olduğu Bilgi Güvencesi Direktörüne
kadar değişen rollerde görev yaptı. Ancak siber güvenlik konusundaki en büyük
endişelerinden biri, yalnızca siber uzayda ilerleyen tehditler değil, bunlara
yanıt verecek insanları nasıl bulacağımızdır. Bu nedenle sık sık NSA için "yetenek
avcısı" olarak görev yapıyor ve üniversitelerden BlackHat hacker
kongresine kadar her yerde en iyi gençleri arıyor. Ancak kendisinin açıkladığı
sorun, konu üst düzey yeteneklere gelince, “Bu küçük bir havuz ve buradan işe
alınan çok sayıda insan var. . . . Hepimiz aynı özgeçmişlere bakıyoruz.”
George'un
bahsettiği sorunun kapsamı en iyi şekilde rakamlarla gösterilmektedir. Oldukça
gizli olan NSA personel ayrıntılarını açıklamazken, İç Güvenlik Bakanlığı bunu
yapıyor. 2008'de siber güvenlik konularında tam zamanlı çalışan yalnızca kırk
kişi vardı. 2012 yılı sonu itibariyle kuvvet dört yüzün üzerine çıktı. Ayrıca
1.500 siber yüklenici de ajans için çalışıyordu. Ancak kuvvet neredeyse elli
kat artmış olmasına rağmen yine de yeterli görülmedi; ajans gelecek yıl içinde
altı yüz tane daha eklemeyi planlıyor.
DHS'de
olup bitenleri alın ve bunu siber güvenlik konusunda anlaşılır bir şekilde
endişe duyan diğer tüm devlet kurumları, özel şirketler, sivil toplum
kuruluşları vb. ile çarptığınızda, hızla ortaya çıkan bir politika sorununu
görürsünüz. Bu siber güvenlik meselesi ne ya da nasıl meselesi değil, kim
meselesidir. Bir endüstri danışmanının açıkladığı gibi, "Siber savaş
pazarı o kadar hızlı büyüdü ki, mevcut işgücü havuzlarını geride bıraktı."
Peki
aradaki fark ne kadar büyük? Kimse tam olarak emin değil ama Stratejik ve
Uluslararası Çalışmalar Merkezi, Siber Güvenlikte İnsan Sermayesi Krizi başlıklı
bir raporda , ABD hükümetinin gerçekte ihtiyaç duyduğu siber güvenlik
profesyonellerinin yalnızca yüzde 3 ila 10'una sahip olduğunu savundu. İlginç
bir şekilde, Sandia Ulusal Laboratuarı'ndan ve CIA Gizli Bilgi Teknolojileri
Ofisi'nin eski yöneticisi olan Jim Gloser, hükümetin hâlâ on binlerce siber
uzmana daha ihtiyaç duyduğunu öne sürerek benzer bir tahminde bulundu . Eğer
federal hükümet, muazzam miktardaki siber harcamalarına rağmen böyle bir
boşluğa sahipse, aynı şey diğer çeşitli küresel, ulusal, eyalet ve yerel
yönetim kurumlarının yanı sıra şirketler, kuruluşlar ve diğer kurumlar için de
beklenebilir. şimdi bu alandaki ihtiyaçlara bakın. Bir tahmine göre, 2017 ve
sonrasında bir milyon veya daha fazla yeni siber güvenlik çalışanına ihtiyaç
duyulacak.
Ancak
siber insanların sorunu yalnızca ham sayılardan ibaret değil. Stuxnet'i ortaya
çıkaran siber güvenlik uzmanımız Ralph Langner'ın açıkladığı gibi: "Şu
anda siber silahlanma yarışı yetenekle alakalı ." Gerçekten de, devlet
kurumlarındaki bilgi güvenliği üst düzey yöneticileri ve BT işe alma
yöneticileri arasında yapılan bir anket, yalnızca yüzde 40'ın Stuxnet'ten
memnun olduğunu ortaya çıkardı. Siber güvenlik işleri için başvuranların
kalitesi.
Sadece
siber güvenlik ihtiyaçları artmıyor, aynı zamanda beceri setine olan talep de
her gün doğrudan siber güvenlik üzerinde çalışan kişilerin ötesine geçiyor.
Önde gelen bir İnternet güvenliği eğitim firması olan SANS Enstitüsü araştırma
direktörü Alan Palmer, "Yöneticilerin bile yeni ortaya çıkan teknik
kişileri yönetmek için artık uygulamalı becerilere ihtiyacı var" diye
açıklıyor.
İşgücü
sıkıntısına verilen klasik yanıt, soruna para harcamaktır ve aynı şey siber
güvenlikte de yaşandı. Beceriye sahip olanlar için sahada olmak çok güzel bir
zamandı. BT güvenlik uzmanlarının maaşları son yıllarda hızla arttı; 2011
yılında yapılan bir araştırma, kabaca yarısının 100.000 dolar veya daha fazla
kazandığını ortaya çıkardı. Ancak iş gücü için bu iyi haber, kendilerine ödeme
yapan ve kendilerini sürekli olarak yetersiz beceriler için birbirlerine karşı
teklif verirken bulan kuruluşlar için kötü bir haber.
Hükümet
için özel bir sorun, daha sonra özel sektöre kaptıracağı yetenek yaratmanın
bedelini sıklıkla ödemesidir. Siber güvenlik alanında yeni başlayan bir uzmanın
tipik ABD hükümeti maaşı 2013 yılında yaklaşık 60.000 dolardı. Ancak hükümet
tarafında beş yıllık deneyim ve eğitime sahip olan aynı kişi, maaşının iki
katı, hatta belki üç katı karşılığında özel bir yüklenicide çalışmak üzere
ayrılabilirdi. veya kişi güvenlik izinlerine sahip gerçek bir profesyonel ise
daha fazlası. Daha deneyimli yeteneklerin özel sektöre kaydırılması aynı
zamanda devlet kurumlarındaki pek çok "harika işlerin" (siber acil
durumlar için SWAT ekiplerine benzeyen "olay müdahale" ekipleri gibi)
dış yüklenicilere gitmesi anlamına da geliyor. içsel yetenekleri çıkışa
yönlendiriyor.
Bir
de kültürel sorun var. İlginç sorunlarla bile, pek çok yetenekli genç, federal
hükümetin veya geleneksel kurumsal bürokrasinin esnekliği ve ortamı nedeniyle
devre dışı bırakılacak. Haki pantolon ve kravat yerine kargo şort ve tişört
tercihinin ötesinde, yüksek teknoloji firmasının kültürü her zaman daha dinamik
olacaktır. Kültür politikaya kadar uzanır. Siber güvenlik çalışmalarının çoğu
gizlidir ve istihbarat ve savunma kurumlarıyla hacker topluluğu arasında güven
eksikliği vardır (NSA'yı sızdıran Edward Snowden'ın ortalama bilgisayar bilimi
laboratuvarınızda onay sayıları çoğu devlet kurumuna göre çok daha yüksektir).
Bu
sorunlara tek bir sihirli değnek çözümü yok, dolayısıyla yaklaşımın birden
fazla yönden gelmesi gerekiyor.
Atılacak
adımlardan biri, özel sektör ile kamu sektörünün insani düzeyde işbirliği
yapması ve ikisi arasındaki dikişlerin kapatılması için daha iyi araçlar
oluşturmaktır. 2000'lerin ortalarında siber saldırılara maruz kalan Estonya,
2010 yılında Siber Savunma Birliği (Küberkaitseliit) olarak bilinen yeni bir
savunma modelinin öncülüğünü yaptı. Özünde bu, vatandaşların kamu çabalarına
yardım etmek için gönüllü olmalarına olanak tanıyan bir siber milis gücüydü.
Grupta BT uzmanlarından avukatlara kadar her kişi yer alıyor ve siber acil
durumlarda destek sağlamaktan, elektronik oylama gibi önemli ulusal çabalarda
"kırmızı takım" olarak yardımcı olmaya kadar çeşitli rollerde
kullanılıyorlar.
Bununla
birlikte, özellikle grup bir ulusal muhafız gibi değil; fiziksel standartlar
yok, katılımcılar kendilerini askeri kanunlara tabi tutmuyor, Irak'a falan
gönderilmeye yükümlü değil veya askeri ücret ve yardımlar talep etmiyor. Bunun
yerine, lige katılım gönüllülük esasına dayanıyor ve daha sonra başvuru
sahipleri uzmanlık ve güvenilirlik açısından inceleniyor, bu da ön plana
çıkıyor. Ligin üyeleri hem işten keyif alıyor hem de bunun havalı faktörün
ötesinde, günlük işleri için faydalı bilgi ve bağlantılar oluşturmanın faydalı
olduğunu düşünüyor.
Grup,
resmileştirilmiş ve dünyaya karşı şeffaf olması ve onu gizli tutma arzusu
olmaması açısından vatansever bir hacker topluluğu gibi de değil. Aslında durum
tam tersi; ülke savunmasının resmi kaynaklarının ötesine geçtiğini göstermeye
çalışıyor. Bu, birçok bakımdan, Bölüm II'de ABD ve Çin stratejilerine odaklandığını
gördüğümüz siber savaş modelinin tam tersidir. Bu, MAD'e doğru silahlanma
yarışından ziyade, İsviçre veya İsveç gibi ulusların, bir ülkenin daha geniş
bir yelpazedeki halkını ve kaynaklarını savunmalarına uygulayan bir
"topyekün savunma" stratejisiyle Soğuk Savaş'ı nasıl atlatmayı
planladıklarına benziyor.
Bir
sonraki adım, hükümetlerin özel sektörle daha iyi rekabet edebilmesini
sağlamaktır. Örneğin, DHS'deki son teklifler, geleneksel olarak bürokratik olan
hükümete işe alım konusunda daha fazla esneklik sağlamayı amaçlıyor; örneğin,
liderliğin ücret tarifelerini hızlı bir şekilde değiştirmesine veya siber
yetenekler için ek eğitim için ücretsiz ödeme de dahil olmak üzere ek faydalar
veya teşvikler sağlamasına olanak tanıyor. Döner kapının geri açılmasına
yardımcı olmak için ayrıca Bilgi Teknolojileri Değişim Programı kavramı da
bulunmaktadır. Bu, endüstrinin ve hükümetin, öğrenci değişimi veya burs
programına benzer şekilde siber profesyonelleri kısa süreli olarak
değiştirmesine olanak tanıyacak.
mevcut
profesyonel havuzu üzerindeki daha etkili rekabetten gelmeyebilir . Bunun
yerine havuzu genişletmeli ve ondan faydalanmak için daha büyük bir boru hattı
inşa etmeliyiz. Amerika Birleşik Devletleri için etkili siber yetenek bulmadaki
zorlukların çoğu fen ve matematik eğitimindeki sistemik sorunlardan
kaynaklanmaktadır. Amerikalı lise öğrencileri, zengin ülkeler arasında fen
bilimlerinde 2., matematikte ise 2. sırada yer alırken, fen ve matematik
diplomalarına sahip üniversite mezunları arasında 2. sırada yer alıyor. Aslında
eğilimler üniversite düzeyinde bile daha da kötüye gidiyor. 2004 yılında
Amerika'daki bilgisayar bilimi bölümlerinin sayısı 60.000'di. 2013 yılında
38.000'e geriledi. Dikkat çekici bir şekilde, alan iş olanakları açısından çok
daha canlı olmasına rağmen, bilgisayar bilimi bölümlerinin sayısı gazetecilik
bölümlerinin sayısının yalnızca yarısı kadardı.
Bu
eğilimleri tersine çevirmeye yönelik daha geniş çabaları siber güvenlikteki
belirli ihtiyaçlar ve fırsatlarla ilişkilendirmek değerli bir yaklaşımdır .
Konseptlerden biri, Ulusal Siber Güvenlik Eğitimi Girişimi'nin kısaltması olan
NICE oynamaktır. Siber yetenek havuzunu artırmak için ulusal düzeyde bir
yaklaşım benimsemek üzere tasarlanan fikirlerden bazıları arasında, onları siber
güvenlik derece programlarına yönlendirmeye yardımcı olacak "Siber
Güvenlikte Yükselen Liderleri" hedefleyen bir burs programı ve DHS'nin
Sekreterlik Onur Programı yer alıyor. Üniversite öğrencilerini siber güvenlik
programlarından birinde on haftalık stajyerlik için işe alan ve mezun olduktan
sonra onlara tam zamanlı bir iş sunan Siber Güvenlik Uzmanları. İsrail'deki
benzer bir program, onuncu sınıf düzeyinden itibaren bu tür fırsatlar sunuyor.
çocukları daha üniversiteye gitmeden bulup heyecanlandırmak.
Birçok
büyük şirket, artan ihtiyaçlarına ayak uydurmak için benzer programlar
oluşturmaları gerektiğini keşfediyor. Örneğin Northrop Grumman, yılda binin
üzerinde çalışanı eğitecek dahili bir Siber Akademi kurdu. Rakibi Lockheed'in
de benzer büyüklükte bir Siber Üniversitesi var. Bu rakamlar, bu becerilere
giderek daha fazla ihtiyaç duyanların yalnızca siber savaşçılar veya BT
profesyonelleri olmadığı gerçeğini hatırlayana kadar kulağa çok büyük geliyor.
Lockheed'de siber güvenlik eğitimi alan kişilerin yalnızca yüzde 25'i doğrudan
siber güvenlik işlerinde çalışıyor.
Bu
boru hattını oluşturmak aynı zamanda kimi ve nerede işe aldığımızı yeniden
düşünmemizi gerektiriyor. Raytheon'un İstihbarat ve Bilgi Sistemleri başkanı
Lynn Dungle, bunu günümüz siber uzayının güvenliğini sağlamanın en büyük
sorunlarından biri olarak tanımlıyor. "Yeteneği hep yanlış yerlerde
arıyoruz. Ve bu tür yeteneklere en çok ihtiyaç duyan organizasyon ve
şirketlerin onu çekme olasılığı en düşük olacak."
Yeteneğin
az olması bir yana, çoğu zaman aynı kalıba uymuyor. Siber güvenliğin bir alan
olarak göreceli olarak yeni olmasına rağmen, pek çok kuruluş buna aynı eski
yollarla yaklaşıyor; Dungle bunu sıklıkla "tarihsel öğrenme yöntemlerine
ve süreçlerine aşırı bağımlı" ve 9'dan 5'e kadar çalışan, siber güvenliği
kontrol altına almaya istekli insanlara karşı gerçek bir önyargıya sahip olarak
tanımlıyor. kişisel izinlerini üç haftaya kadar çıkaracak ve zamanlarını 6
dakikalık aralıklarla ücretlendirecek." Kendi firması Raytheon, dünyanın
önde gelen savunma ve havacılık şirketlerinden biridir. Diğer birçok işletme
gibi, anlaşılır bir şekilde üniversite mezunlarına karşı önyargılıdır. iş
fuarlarına takım elbise ve kravatla gelen, firmaya alt düzeyde katılmayı ve
daha sonra kademe kademe yükselerek bu işte kariyer yapmayı amaçlayan kişiler.
Ancak bunun her zaman en iyi yol olmadığını keşfetmişlerdir. En iyi siber
güvenlik yeteneğini elde etmek için.
Tıpkı
NSA gibi onlar da artık yeni siber yetenekleri bulmak için geleneksel olmayan
yerlerden eleman alıyorlar. Yeni işe aldıkları en iyi kişilerden biri lise
diploması olmayan genç bir adamdı. Firmaya katılmadan önce gündüzleri bir ilaç
fabrikasında çalışıyor, şişelere hap dolduruyordu. Ancak Aviation Week dergisinin
haberine göre geceleri, profesyonel hacker web sitelerinde "mükemmel bir
performans sergiliyordu". Şirketler aynı zamanda CyberPatriot lise
yarışması gibi yarışmalara da sponsorluk yaparak en iyi yetenekleri ortaya
çıkarmak için ödüller ve prestij kullanabilirler.
Bu
çabaların hepsi önemli olmakla birlikte, zamanla siberdeki insan kaynakları
sorununun kendi kendine çözülmesi mümkündür. Alan ne kadar çok gelişirse ve iş
olanakları artarsa, insanların siber kariyere ilgi duymasını sağlamak için o
kadar az teşvike ihtiyaç duyulacaktır. Bunun yerine, Northrop Grumman'ın İleri
Teknolojiden Sorumlu Başkan Yardımcısı Robert Brammer'in öne sürdüğü gibi, bir
gün bu alan başarıya giden önemli bir basamak olarak görülecek. "Ele
almaları gereken konuların genişliği (yalnızca teknoloji değil, aynı zamanda ekonomi
ve psikoloji) göz önüne alındığında, siber güvenlik alanında kariyer zirveye
ulaşmak için gereken geniş tabanı sağlayabilir."
Üzerinize düşeni yapın: Kendimi (ve interneti)
nasıl koruyabilirim?
Mark
Burnett, bilgisayar sistemlerinin saldırılara karşı nasıl güçlendirileceğini
incelemek için onlarca yıl harcamış bir güvenlik danışmanıdır. "Mükemmel
Şifreler" başlıklı bir çalışmada, iki milyondan fazla kullanıcı şifresini
(hacker listesi dökümlerinden Google'a kadar her yerde bir araya getirilmiş)
toplayıp analiz etti. En yaygın olanı maalesef siber güvenliğe kişisel
yaklaşımımızda ne kadar ileri gitmemiz gerektiğini gösterdi. Evet Bilgisayarlarımızı
korumak için kullanılan en popüler şifre “şifre” idi. İkinci en popüler?
"123456."
Siber
güvenlikteki sorumluluk konuları birçok açıdan diğer kamu ve özel güvenlik
konularına çok benzer. Hükümetin standartları sağlama ve düzenlemeleri uygulama
rolü vardır ve endüstrinin de bunları karşılama sorumluluğu vardır, ancak
sorumluluk zinciri burada bitmez. Bireysel olarak vatandaşın da üzerine düşeni
yapması gerekiyor. Emniyet kemeri örneğini ele alalım. Hükümet tüm arabaların
bunlara sahip olması yönünde bir gereklilik yarattı; Aslında birçok otomobil
şirketi daha da ileri giderek kendilerini daha fazla güvenlik özellikleriyle
rakiplerinden ayırmaya çalışıyor. Ancak günün sonunda bireyin yine de kemerini
bağlaması gerekiyor.
Siber
güvenlik söz konusu olduğunda çoğu insan APT'ler, Stuxnet veya diğer üst düzey
tehditlerin hedefi olmuyor. Ancak hem kendimize hem de topluma karşı
sorumluluklarımızın olduğu bir ekosistemin parçasıyız. Bir siber güvenlik
uzmanının ifade ettiği gibi, "Çoğumuz ciddi ulusal güvenlik türü
sorunlarla uğraşmıyoruz, ancak sağduyulu davranma konusundaki başarısızlığımız,
kötü adamların saklanabileceği çok fazla gürültü yaratabilir.' Aslında
peşimizde kötü adamlar olsa bile alınabilecek basit önlemler var. Avustralya
Savunma Sinyalleri Direktörlüğü (ABD Ulusal Güvenlik Ajansı'nın eşdeğeri) bir
çalışmada yalnızca birkaç temel eylemin - "beyaz listeye alma" (yani
yalnızca yetkili yazılımın bir bilgisayarda veya ağda çalışmasına izin verme),
uygulamalara çok hızlı yama uygulanması ve İşletim sistemindeki güvenlik
açıklarının ortadan kaldırılması ve sisteme yönetici erişimi olan kişi
sayısının kısıtlanması, hedeflenen izinsiz girişlerin yüzde 85'inin başarılı
olmasını engelleyecektir.
Bireysel düzeyde yapabileceğimiz en büyük değişiklik
güvenliğe yönelik tutumumuzu değiştirmektir. İnternet kesinlikle çok fazla
siber güvenlik raporunun resmettiği kadar korkutucu ve berbat bir yer değil.
Ama zararsız bir bölge de değil. Aslında bir çalışma, siber suç mağdurlarının
yaklaşık üçte ikisinin bu alandaki risklerden habersiz olduğunu ortaya
çıkardı. Çizgi film karakteri Pogo'nun ifadesiyle, "Düşmanla karşılaştık
ve o biziz."
Tutum
değişikliği sadece kendi kişisel rollerimizde değil, aynı zamanda ait olduğumuz
herhangi bir organizasyonda, özellikle de liderlik pozisyonlarında oynadığımız
rollerde de önemlidir. Heritage Foundation'ın kıdemli araştırma görevlisi
Steven Bucci, 2000'lerde (ordu siber güvenliği ciddiye almadan önceki bir
dönem) ABD Hava Kuvvetleri üssü komutanının hikayesiyle bu noktayı örnekliyor.
Komutan, BT çalışanlarını gizli sistemi için kendisine tek haneli bir şifre
vermeye zorladı. Onlara, birden fazla rakam yazmak zorunda kalarak
yavaşlamayacak kadar "çok önemli" olduğunu söyledi. "Bu olaydan
beş dakika sonra üsteki herkes iki şeyi biliyordu: birincisi, patronları tam
bir aptaldı. İkincisi, güvenlik önemli değildi."
Risklerin
ve tehditlerin olduğunu kabul etmek, yapabileceğimiz hiçbir şey olmadığı
anlamına gelmez. Daha ziyade, kendimizi eğitme ve sonra kendimizi koruma
ihtiyacını kabul ederek ikinci temel tutum değişikliğini vurgular. Bu eğitim
birçok açıdan 21. yüzyıl için bir gerekliliktir ve okullarda yer almalıdır
(çocuklara temel hijyenden sürücü eğitimine kadar her şeyi öğretiyoruz, neden
kendilerini korumak için siber hijyen de olmasın?). Teknoloji uzmanı Ben
Hammersly'nin yazdığı gibi, siber eğitimin genel durumu, ilkokul seviyesinden
itibaren "utanç vericidir" ve medya ve hükümetin en üst düzeylerinde
bile sergilenen cehaletin bir kısmını açıklamaya yardımcı olur. Güvenlikten
telif hakkı reformuna kadar tüm bunların teknik bilgisizliğe dayandığını duydunuz
mu? Bu, ulusal refaha yönelik herhangi bir terör örgütünün olabileceğinden çok
daha ciddi bir tehdittir. Pek çok çevrede bu bir gurur meselesi olmaya devam
ediyor video kaydediciyi programlayamamak. Bu çok acınası."
Örgün
eğitimin yokluğunda hepimizin temelleri öğrenmesi ve uygun şekilde hareket
etmesi zorunludur. Ve tıpkı diğer alanlarda olduğu gibi bu sorumluluk da hem
kişisel hem de ebeveyn sorumluluğudur. Çocuklarınız çevrimiçiyse (ve öyleler!),
onların da nasıl uygun şekilde davranacaklarını, riskleri nasıl tanıyacaklarını
ve kendilerini koruyacaklarını bilmeleri gerekir. Bir yönetim etiği aşılamak
(bunun sadece kendilerini korumanın değil, aynı zamanda interneti başkaları
için de güvenli tutmaya yardımcı olmanın yolu olduğu), onları korku
faktörleriyle ikna etmeye çalışmaktan daha iyi bir stratejidir.
Aşağıda,
kesinlikle siber güvenliğinizi iyileştirmek için yapabileceğiniz her şeyin
kapsamlı bir listesi değil, yalnızca girişten ekipmana ve davranışa kadar her
akıllı ve sorumlu kullanıcının düşünmesi gereken temel adımlardan bazıları yer
almaktadır. Veya emekli bir subayın, insanların siber güvenlik için
yapabileceği en önemli şeyin ne olduğu sorulduğunda verdiği yanıt gibi:
"Bilgisayarlarda bu kadar aptal olmayı bırakın."
Erişim
ve Parolalar: Parolaları düzenli olarak güncelleyin ve her zaman hem uzun
hem de sayı, harf ve işaretlerden oluşan "güçlü" parolalar kullanın.
Asla ortak sözcük ve ifadeler kullanmayın.
Wired
dergisinin "12345" veya "şifre" gibi şifreleri kullanmanın
problemini açıkladığı gibi , "Böyle aptal bir şifre kullanırsanız
hesabınıza giriş yapmak önemsizdir. Cain ve Abel ya da Karındeşen John gibi
adlara sahip ücretsiz yazılım araçları, parola kırma işlemini, kelimenin tam
anlamıyla herhangi bir aptalın bile yapabileceği ölçüde otomatikleştirir.
İhtiyacınız olan tek şey bir İnternet bağlantısı ve yaygın olarak kullanılan
şifrelerin bir listesi; bu şifrelerin çevrimiçi olarak kolayca bulunabilmesi ve
sıklıkla veritabanı dostu formatlarda olması tesadüf değil."
Bu
şifreleri paylaşmayın ve aynı şifreleri çeşitli hesaplarınız arasında tekrar
tekrar kullanmayın (böylece bir bilgisayar korsanı, tüm çevrimiçi kişileriniz
arasında bağlantı kurmak için "papatya zinciri" oluşturabilir).
Saldırıya uğramış web siteleri üzerinde yapılan bir araştırma, insanların yüzde
49'unun, Saldırıya uğramış siteler arasında kullanıcı adları ve şifreler
yeniden kullanılır. Bu aynı zamanda birçok kuruluşun şifrenizi düzenli olarak
değiştirmenizi istemesinin nedenidir. Bu sadece şifrenizin zaten ele
geçirilmesi durumunda riski en aza indirmekle kalmaz, aynı zamanda sorumsuz bir
kullanıcının şifreyi değiştirme olasılığını da en aza indirir. iş şifresini
örneğin ayakkabı satın almak için kullandı ve şimdi bu şifre ele geçirildi.
Çoğu
web uygulaması birçok hesap detayını e-posta yoluyla sıfırlamanıza izin
verdiğinden, en azından e-posta şifreleriniz güçlü ve benzersiz olmalıdır.
Ayrıca bir "şifre yöneticisi" kullanmayı da düşünebilirsiniz. Bu
uygulama, ihtiyacınız olan tüm siteler için rastgele, güvenli şifreler oluşturur
ve bunları otomatik olarak girer. Modern şifre yöneticisi uygulamaları
platformlar ve cihazlar arasında çalışır ve yalnızca şifrenizi girmenizi
gerektirir. aracın kendisi için bir şifreyi hatırlamak; bunun iyi bir şifre
olduğundan emin olun!
Kaç
hesabın bazı kişisel soruları yanıtlayarak parola sıfırlamanıza izin verdiği
göz önüne alındığında, bu soruları yanıtlamak için asla çevrimiçi olarak
bulunabilecek herhangi bir kişisel bilgiyi kullanmayın. Hiç kimsenin annenizin
kızlık soyadını veya birinci sınıf öğretmeninizi tahmin edemeyeceğini
düşünebilirsiniz, ancak çoğu zaman bunu sizin, arkadaşlarınızın ve ailenizin
sosyal medya hesaplarında hızlı bir web araması yaparak bulabilirsiniz. Hükümet
tarafından yapılan siber suç araştırmasında çalınan toplam verinin yüzde
37'sinden sözde "sosyalleşme" sorumluydu. Gerçekten de, oldukça etik
olmayan bir gencin, Sarah Palin'in kişisel Yahoo! e-posta hesabına erişmesi
kamuya açık bilgiler aracılığıyla mümkün oldu. Pek çok kişi, sistemi karıştırmak
için mantık dışı bilgilerin kullanılmasını öneriyor. Annenizin kızlık soyadı
nedir? İlk evcil hayvanınızın adını yanıtlayın.
Tüm
bu tavsiyelere uyulduktan sonra bile, şifreler hâlâ yalnızca tek bir savunma
hattı sunuyor ve güvenliği ihlal edilmiş bir sunucuya veya kaba kuvvet tahmin
saldırısına karşı savunmasız. Daha değerli bilgileri ve hesapları "çok
faktörlü kimlik doğrulama" olarak bilinen yöntemle korumaya yönelik artan
bir çaba var.
Çok
faktörlü kimlik doğrulama, girişe yalnızca parola gibi kullanıcının bildiği bir
şey nedeniyle izin verilmesi gerekmediği fikri altında çalışır. Kimlikleri aynı
zamanda kullanıcının sahip olduğu bir şeyle (akıllı kart gibi), kullanıcının
bulunduğu yerle ve/veya parmak izi gibi biyometrik bir özellik gibi bir şeyle
de doğrulanabilir. Bu zahmetli bir gereklilik gibi görünse de aslında
bankaların otomatik para çekme makinelerine (ATM) erişimi kontrol etme yöntemi
haline geldi. Banka kartı müşterinin sahip olduğu fiziksel nesne, kod ise
müşterinin bildiği ikinci doğrulayıcı bilgidir. Benzer şekilde, Gmail gibi
birçok e-posta programı, belirli fiziksel konumlardaki bilgisayarlara erişimi
kısıtlayabilir veya kullanıcıların cep telefonlarına ikincil kodların
gönderilmesini gerektirebilir. Buradaki güvenlik birden fazla kanaldan gelir; bilgisayarınızın
güvenliği ihlal edilmiş olsa bile, cep telefonunuzun güvenliği ihlal
edilmemişse, o zaman kısa mesaj ikinci bir güvenlik katmanı görevi görür.
Bunların
hiçbiri mükemmel değil. Pentagon tarafından kullanılan en iyi çok faktörlü
savunmalardan biri bile, bilgisayar korsanlarının kullanıcılara rastgele,
algoritmik olarak belirlenmiş ikincil bir şifre sağlayan fiziksel belirteçleri
üreten şirkete sızmasıyla kırıldı. Ancak bu, çabaya değmediği anlamına gelmez.
Amaç, şifreyi ilk ve son savunma hattı olmaktan çıkarıp, bir bilgisayar
korsanının aşması çok daha zor olan çok katmanlı bir dizi çemberin ve engelin
bir parçası haline getirmektir.
Sistemler
ve Ekipmanlar: Siber tehditler sürekli olarak gelişmektedir, ancak gerçek şu
ki birçok ihlal yeni sıfır günlerde gerçekleşmemektedir. Örneğin tarihteki en
başarılı kötü amaçlı yazılımlardan biri olan Conficker solucanı, Windows'ta
yaygın olarak bilinen ve yamaları çevrimiçi olarak bulunabilen bir güvenlik
açığı aracılığıyla birkaç milyon bilgisayara yayıldı. Bu tür tehditler, işletim
sistemlerinin, tarayıcıların ve diğer kritik yazılımların sürekli güncel
tutulmasıyla kolaylıkla ortadan kaldırılabilir. Güvenlik güncellemelerinin ve
yamalarının büyük şirketlerden ücretsiz olarak temin edilebilmesi bunu daha da
kolaylaştırıyor.
Daha
hedefli siber tehditlerin çoğu, bazen aynı binadan, bazen yakındaki
otoparklardan veya kalabalıklar aracılığıyla giriş sağlamak için kablosuz
erişimi kullanır. İzinsiz erişimi kısıtlamak faydalıdır ancak bu ancak bir yere
kadar yapılabilir. Hatta bazı sinsi tehditler, binaların içine girip kablosuz
ağlarına erişim sağlamak için uzaktan kumandalı helikopterleri bile kullandı.
Bu nedenle, cihazınızdan yönlendiriciye giden trafiğin şifrelenmesi de dahil
olmak üzere, kablosuz ağınızı mümkün olan en iyi korumayla güvence altına
almanız da önemlidir. Birçok popüler kablosuz şifreleme şemasının bozulduğunu
unutmayın; bu nedenle en güncel olanı kullandığınızdan emin olun. Halka açık
bir yerde şifrelenmemiş bir kablosuz ağ kullanıyorsanız, ne yaptığınıza dikkat
edin. SSL (tarayıcınızdaki küçük kilit simgesi) aracılığıyla şifrelenmeyen
herhangi bir etkinlik, ücretsiz ve kullanımı kolay yazılım sayesinde yakındaki
herhangi biri tarafından kolayca ele geçirilir.
Son
olarak, olası tehditler göz önüne alındığında, ister mali tablolarınız olsun,
ister yürümeye yeni başlayan kızınızın baloncuk üflediği sevimli resimler
olsun, her türlü değerli bilgiyi yedeklemeniz önemlidir. Bu, hem harici ağlarda
hem de ideal olarak yalnızca bu tür önemli bilgiler için ayrılmış bir fiziksel
sabit diskte yapılmalıdır.
İyi
bir kural, eğer onu kaybetmeye dayanamıyorsan, kaybetmeye hazır ol.
Davranış:
Tehditlerin
çoğu, kullanıcıların kendileri tarafından oluşturulan bir tür güvenlik
açığından girer. Üç küçük domuz gibi, kontrol etmeden kapıyı açmayın.
Sisteminizde ekleri otomatik olarak indirme seçeneği varsa, bunu kapatın ve
bunun yerine sistemlerinizin maruz kalmasını sınırlamak için her zaman en
yüksek gizlilik ve güvenlik ayarlarını kullanın. Tanımadığınız kullanıcılardan
gelen veya kuşkulu görünen (yazımı veya alan adı farklılığı gibi) bağlantıları
veya kaynağı doğrulayamadığınız ekleri asla açmayın. Ve tıpkı şekerlemede
olduğu gibi, güvenilmeyen kaynaklardan gelen donanımları asla kabul etmeyin.
Mümkün
olan her yerde, çok faktörlü kimlik doğrulamayı temel alan bir zihniyetle
çalışın. Sizden önemli veya kişisel bilgiler göndermenizi isteyen bir mesaj
alırsanız, göndereni başka yollarla doğrulayın; telefonu alıp annenizi arayıp
banka hesap numaranızı tam olarak neden istediğini öğrenmek gibi antika bir
teknik de dahil. E-posta ondan gelmese bile aradığınıza sevinecek ve kendinizi
birçok beladan kurtaracaksınız.
Mobil
cihazlar giderek yaygınlaştıkça bu daha da önem kazanıyor. Metin yoluyla
gönderilen bağlantıların da e-postadakiler kadar tehdit oluşturma olasılığı
vardır. Göndereni tanıdığınızı düşünseniz bile bilinmeyen bağlantılara tıklamak
iyi bir fikir değildir. Benzer şekilde uygulamalar yalnızca güvenilir
pazarlardan indirilmelidir. Tinyurl.com gibi kısaltılmış bağlantı hizmetlerine
alıştığımız sosyal medya bu tehdidi daha da artırıyor. Bu metnin son halini
hazırlarken, tanımadığımız biri, aramızda geçen bir Twitter paylaşımına yorum
yaparak bizi kısaltılmış bir bağlantıya yönlendirmeye çalıştı. Yönlendirmeyi
bizim için kontrol eden bir URL kısaltıcıyı kullanarak, tartışmamıza katılan
kişinin bizimle çok uzun bir gizlenmiş (neredeyse kesinlikle kötü niyetli) kod
dizesini paylaşmaya istekli olduğunu keşfettik. Sağduyu da işe yarayabilirdi:
Bu Twitter hesabının sıfır takipçisi vardı ve kimseyi takip etmiyordu, ancak
bağlantıları diğer yüksek profilli Twitter kullanıcılarıyla paylaşıyordu. Sonuç
olarak, en iyi davranış korkmamak, aksine dikkatli olmaktır.
Nasıl
ki emniyet kemerinizi takmak bir araca bindiğinizde zarar görmeyeceğiniz
anlamına gelmiyorsa, bu tür adımlar da siber güvenliğin garantisi değildir.
Ancak bunlar, kendimizi ve bir bütün olarak İnternet'i daha iyi korurken
hepimizin çözüme katkıda bulunabileceğinin kabul edilmesidir.
Siber Güvenlik Bundan Sonra Nereye Gidiyor?
Roadrunner
ilk kez 2008 yılında çevrimiçi olarak yayınlandı.
Dünyanın
ilk "petaflop" süper bilgisayarı Roadrunner, saniyede bir katrilyon
(yani bir milyon milyar) kayan nokta işlemi gerçekleştirebiliyordu. Yapımı 120
milyon dolardan fazla maliyetle, 122.400 işlemci çekirdeği içeren 296 sunucu
rafına sahipti. Bu, fiziksel ölçeğin çok büyük olduğu, 560 metrekareyi (6.000
feet kare) kapladığı veya kabaca modern spor stadyumlarındaki Jumbotron video
skor tablolarının boyutunda olduğu anlamına geliyordu.
Amerika'nın
nükleer cephaneliğini güvenilir ancak kullanılmamış halde tutmak için nükleer
silahların nasıl eskidiğine dair inanılmaz derecede karmaşık simülasyonlar
yürütmekti . Havacılık ve yüksek finans gibi diğer birçok alanda da hesaplamalar
yapmaya devam edecek. Roadrunner'ın yalnızca dünyanın en hızlı bilgisayarı
değil , aynı zamanda AMD Opteron çift çekirdekli işlemcileri ve esas olarak
Sony Playstation 3 video oyun işlemcisinin geliştirilmiş bir versiyonu olan IBM
PowerXCell 8i CPU'larının bir karışımını kullanan ilk hibrit tasarımlı süper
bilgisayarı olması dikkat çekicidir.
sadece
sisteme güç vermek ve ardından soğutmak için. Ve böylece, dünyanın en güçlü
bilgisayarı olduktan yalnızca beş yıl sonra Roadrunner dağıtıldı. Son bir utanç
verici olayla, artık süper bilgisayar olmayan bu bilgisayarın parçaları
parçalandı. Bir zamanlar üzerinde yapılan hesaplamaların gizli doğası nedeniyle
Roadrunner'a ölümden sonra bile güvenilemezdi.
Roadrunner'ın
üzücü kaderi, daha geniş dersleri tartmak için akılda tutulması gereken bir
şeydir. Siber uzay ve ilgili konular, bu kitapta siber güvenlik ve siber savaş
dünyasında yaptığınız Roadrunner benzeri turun ötesinde de dahil olmak üzere
gelişmeye devam edecek. Yeni teknolojiler ortaya çıkacak ve bunları kullanmak
için dönüşümsel değişim yaratacak yeni sosyal, ticari, suç ve savaş modelleri
geliştirilecek.
Hiçbirimiz
geleceğin dünyasının neye benzeyeceğini tam olarak bilemesek de, bu dünyayı
şekillendirebilecek bugünün temel trendlerine dikkat etmenin önemli olduğunu
düşünüyoruz. Bir metafor kullanmak gerekirse, ocak üzerinde suyla dolu bir
çaydanlık hayal edin. Tüm bilimimizi kullanarak, Mars'a Twitter aracılığıyla
resim gönderen bir robot gezici koyabiliriz, ancak Roadrunner gibi süper
bilgisayarlarla bile o çaydanlıktaki tek bir su molekülünün bir sonraki nerede
olacağını güvenilir bir şekilde tahmin edemeyiz. Bununla birlikte,
çaydanlıktaki suya uygulanan daha fazla ısının sonuçta suyun buhara dönüşmesine
neden olacağını makul bir şekilde tahmin edebiliriz. Yani eğer çaydanlığın
altında bir yangın varsa, bu daha sonra ne olabileceğini anlamak için önemli
bir eğilimdir.
Trendler
yol göstericidir; ne fazlası ne azı. Ancak bu makro kılavuzların tanımlanması
önemlidir. Fütürist John Nasibett'in bir zamanlar söylediği gibi:
"Trendler de atlar gibi, gittikleri yöne doğru gitmek daha kolaydır."
İleriye
baktığımızda, siber güvenliğin gelecekteki hikayesi açısından büyük önem
taşıyan en az beş temel trendin var olduğu görülüyor. Bu eğilimlerin hiçbiri
kesin değil ve aslında çok daha fazlası ortaya çıkacak. Bu eğilimler,
gözlemlemeye başlayabildiğimiz bir dizi faktör tarafından yönlendirilmektedir.
Donanım önemli ölçüde ucuzladı, bu da hem inanılmaz derecede güçlü veri
merkezlerinde yoğunlaşmayı hem de günlük hayatlarımıza yayılmayı kolaylaştırdı.
Bu daha geniş kapasiteden yararlanan yeni kullanımlar ortaya çıkacak ve dünya
çapındaki yeni nesil kullanıcılar, siber uzayın hayatlarına nasıl
genişleyebileceğini anlamak için yeni paradigmalar bulacaklar.
Şu
anda ortaya çıkan en etkileyici ve önemli trendlerden ilki, bilgi işlem
kaynaklarının bireyin veya kuruluşun kontrolü dışında yönetildiği "bulut
bilişimin" yükselişidir. Temel olarak bulut, kişisel bilişimi satın
aldığınız donanımdan çevrimiçi satın aldığınız bir hizmete taşır. Bazı
yönlerden bu yeni gelişme, İnternet'in doğuşunu yansıtıyor. Bulut, pratik
olarak sınırsız bilgi işlem kaynakları sağlayarak ve güçlü bilgi işlem
kaynaklarını ağ üzerinden birçok kullanıcıyla paylaşarak bireyleri güçlendirir.
Örneğin, yeni bir girişimin artık kendi web sunucularını, İK satış kayıtlarını
ve hatta veri depolama alanını satın alma ve çalıştırma konusunda
endişelenmeyin; bir bulut sağlayıcıdan kiralanabilir, duruma bağlı olarak yüzde
40 ila 80'e varan tasarruf sağlanabilir. O zamanın en üst düzey ABD askeri
yetkilisi General Martin Dempsey, 2013 yılında bize, kuvveti 15.000 kadar
farklı bilgisayar ağını yönetmekten, ABD'deki “ortak bilgi ortamına” taşımak
istediğini söylemişti. bulut. Bunun yalnızca maliyetleri düşürmekle kalmayıp
aynı zamanda son zamanlardaki pek çok veri ihlalinin arkasında yer alan
potansiyel Bradley Manning ve Edward Snowden türü insan sistem yöneticilerinin
sayısını da azaltacağını gördü. Sonuç olarak bulut alanı son yıllarda büyük bir
patlama yaşadı; küresel endüstri 2010'da yaklaşık 79 milyar dolardan 2014'te
tahmini 149 milyar dolara yükseldi.
Maliyet
tasarrufları ve boyutunun ötesinde, bulut bilişim İnternet'in geleceği
açısından son derece önemlidir ve siber uzayın mimarisini ve güç dengesini
potansiyel olarak değiştirmektedir. Bireysel makinelerin önemi azalıyor ve
bunun yerine verileri ve verilere erişimi kontrol eden şirketler giderek daha
önemli bir rol oynuyor. Bu aslında bazı güvenlik sorunlarını çözebilir:
Ortalama bireysel tüketici ve hatta BT güvenlik çalışanı, muhtemelen Amazon
veya Google gibi bulut konusunda uzmanlaşmış ve soruna ölçek getirebilecek
büyük firmalardaki güvenlik mühendisleri kadar iyi değildir. Teşvikler de daha
iyi uyum sağlıyor. Tıpkı bankaların meşru ve sahte işlemler arasında ayrım
yapma konusunda daha iyi büyümeleri gerektiği gibi, bulut sağlayıcılarının da
başarılı bir iş olmayı umuyorlarsa yasa dışı davranışları tespit etmeyi
öğrenmeleri gerekecek.
Aynı
zamanda bulut bilişim bir dizi yeni güvenlik politikası kaygısını da
beraberinde getiriyor. Risk çok daha yoğundur ancak daha az kesinlik taşır.
Bulut sağlayıcı ile kullanıcı arasında veri akışı devam ederken güvenliğin
farklı yönlerinden tam olarak kim sorumludur? Uluslararası sınırlar daha da
önemli hale geliyor, ancak daha da zorlu hale geliyor. Bir Brookings raporunun
da incelediği gibi, "[Bir eyaletin] kolluk kuvveti veya kamu güvenliği
müdahalesi için bir fırsat olarak görebileceği şey, pekala, farklı yasalar
kapsamında faaliyet göstermeye alışkın olan veri sahibi tarafından açık bir
ihlal olarak görülebilir." Will her devlet buluta ilişkin tüm haklarını
talep ederek interneti balkanlaştıracak mı, yoksa ülkeler daha fazla verimlilik
adına sıkı sıkıya bağlı kalınan geleneksel değerleri feda eden bir serbest
ticaret modelini mi izleyecek?
Daha
ucuz ve daha erişilebilir depolama ve hesaplama, özellikle verilerin toplanması
ve analizi olmak üzere yeni kullanımlara ilham verecektir. Bu da ikinci önemli trende
yol açıyor: "Büyük Veri." Veri kümeleri büyüdükçe ve
karmaşıklaştıkça, bunları anlamak için yeni araçlara ve yöntemlere ihtiyaç
duyuldu. Bu araçlar, sırayla, yaptıklarımızda niteliksel bir değişimi
desteklemeye devam ediyor. Bu durum, NSA'nın terörist bağlantı arayışındaki
geniş kamuoyunun İnternet temas noktaları hakkındaki tartışmalı “meta-veri”
toplamasından, iş modellerindeki temel değişikliklere kadar her şeyi harekete
geçirmiştir. Örneğin Netflix, öncelikle posta sistemi aracılığıyla gönderilen
film ve TV şovu DVD'lerini kiralayan bir şirket olarak başladı. İnternetin ve
çevrimiçi medyanın yükselişiyle birlikte, akışlı dijital modele geçti. Ancak
Netflix, çevrimiçi filmlerini ve TV şovlarını gönderirken, bireysel
tüketicilerin tercihleri ve onların parçası oldukları daha geniş izleyici
kitlesi hakkında geniş veri topladı. Bu yeni veri ölçeğinin toplanması ve
analizi, Netflix'in pazara yepyeni bir şekilde yaklaşmasına, hatta bu verileri
kendi hit dizisi House of Cards'ın içeriğini ve oyuncu kadrosunu üretmek ve
şekillendirmek için kullanmasına olanak tanıdı .
Büyük
Verinin kapsamı çok büyüktür. Giderek daha fazla karar ve analiz, hatta en
insani kaygılar bile, bağlantılara ve çağrışımlara dayalı olarak yapılmaya
başlıyor. Sonuç olarak Büyük Veri büyük sorunlara da yol açabilmektedir.
NSA'nın meta-veri toplamasının açığa çıkması, terörle mücadelenin geleceğinden
halkın hükümete olan güveninin artmasına kadar her şeye işaret eden, halen
sarsılmakta olan büyük bir skandala neden oldu. Ancak Netflix'in görünüşte
zararsız kullanımı bile Büyük Veri'nin mahremiyet açısından tehlikelerini
gösteriyor. Öneri algoritmalarında bir iyileştirme sağlamak amacıyla kitle
kaynaklı kullanıcı film tercihlerinin kimliksizleştirilmiş bir listesini
yayınladıktan sonra yöneticiler, araştırmacıların bu verileri gerçek kimliklere
bağlayabileceklerini öğrenince şok oldular. Bir örnekte, birinin hangi
filmlerden hoşlandığının listesi onun gizli cinsel yönelimini belirlemek için
yeterliydi. Daha fazla veri ve bunu anlamak için daha iyi araçlar, benzeri
görülmemiş bilgiler sağlayabilir, ancak aynı zamanda henüz aşmaya hazır
olmadığımız sosyal, yasal ve etik sınırları da ortadan kaldırabilir.
Daha
iyi ve daha ucuz teknoloji yalnızca hesaplama gücünü yoğunlaştırmakla
kalmayacak, aynı zamanda onu tüm dünyaya dağıtacak. Bu, "mobil
devrim" olarak adlandırılan başka bir önemli eğilimin özüdür. Bir açıdan
bakıldığında, telekomünikasyonun mobil hale gelmesi o kadar da yeni bir trend
değildir. Bu süreç muhtemelen 1973'te Motorola mühendisi Martin Cooper'ın New
York'ta bir standda durmasıyla başladı. City caddesindeki rakibini aradı ve cep
telefonunun icadında ("devrim"in bir şaka çağrısıyla başladığı
anlamına gelir) onu geride bıraktığını söyleyerek Bell Laboratuvarları'ndaki
rakibini aradı. Ancak telefonlar "akıllı" hale geldikçe ve İnternet
işlevleri eklendikçe, İnternet de kablosuz ve mobil hale geldi (örneğin, mobil
cihaz kullanan web sitelerini ziyaret edenlerin yüzdesi 2010'da yüzde 1,6'dan
2012'de yüzde 20,2'ye sıçradı).
Kişisel
bilgisayarların masaüstü bilgisayarlardan mobil cihazlara geçişi, cihazlar
ucuzladıkça ve küçüldükçe artacaktır. Ve bu alandaki inovasyon durma emaresi
göstermiyor. 2013 yılında yapılan bir araştırma, tüm patentlerin dörtte birinin
mobil teknolojiye ait olduğunu ortaya çıkardı.
Ancak
dijital dünya fiziksel dünyaya yayıldıkça başka sınırlar da ortaya çıkıyor.
Günümüzün mobil cihazları, sınırlı bir spektrum üzerine kurulu, cihaz sayısı ve
gönderebilecekleri veri miktarı için bağlayıcı bir kısıtlama olan radyo iletişimine
bağlıdır. Bu bant genişliği savaşıdır. Önemli bir zorluk, bilişsel radyo gibi
teknik ilerlemelerin radyo frekanslarının daha dinamik ve bağlama duyarlı
kullanımına izin verip vermeyeceğidir; bu, radyo dalgalarını daha fazla cihaz
ve uygulamaya açmak için gereklidir.
Telefon
ve tabletleri daha fazla kullandıkça mobil ortamda güvenlik riskleri de
artıyor. 2013 yılının başında, mobil cihazları hedef alan 350.000'den fazla
benzersiz kötü amaçlı yazılım türü oluşturuldu; sadece birkaç yıl önce hiçbiri
yoktu. Bu artış doğaldır ancak asıl tehlike, risk anlayışımızın aynı oranda
artmamış olmasıdır. Mobil cihazlar, daha az güvenlik bilgisi sunan ve savunma
için daha az hesaplama kaynağına sahip olan daha küçük arayüzlere sahiptir.
Masaüstü bilgisayarınızdan farklı olarak, mobil cihazlar genellikle işyeri ile
ev arasında seyahat ederek kurumsal güvenlik sınırlarının tanımlanmasını
zorlaştırır. Kullanıcılar şu anda cihazları üzerinde daha az kontrole sahip ve
bu nedenle güvenlik açısından satıcılara daha fazla bağımlılar. Ancak, daha
önce de gördüğümüz gibi, bu pazar, telefondan işletim sistemine ve mobil
uygulamalara kadar her birinin güvenlik konusunda bir rolü olan ancak çoğu
zaman bu konuda herhangi bir sorumluluk duygusuna sahip olmayan birden fazla
üreticiden oluşan parçalı bir yapıya sahip. Ve son olarak, daha geniş güvenlik
sorununa benzer şekilde, mobil platformlar yönetişim sorularını gündeme
getiriyor: hangi devlet kurumlarının gözetimi var ve mobil tehditlere karşı
koymaktan hangi pazar aktörleri sorumlu? Tıpkı masaüstü dünyasında olduğu gibi,
tüm bu sorunların çözülmesi gerekecek.
Mobil
teknoloji, verileri doğrudan elimize vererek dünyayı dönüştürebilir, ancak onu
daha da güçlü kılan şey, özellikle gelişmiş dünya dışında cihazların ulaştığı
el sayısıdır. Cep telefonu, başlangıçta yalnızca Miami Vice'taki zengin
uyuşturucu satıcılarının karşılayabileceği pahalı bir cihazken , şimdi bilgi
işlem gücünü çok büyük sonuçlar doğuracak şekilde gelir yelpazesine yayıyor.
Doğu Afrika'da mobil teknoloji bankacılık ve ticarette devrim yarattı; cep
telefonu olan herkes, bir banka veya kredi sistemine erişim gerektirmeyen
M-Pesa'yı kullanarak telefonla başka birine ödeme yapabilir. Ancak gelişen
dünya ekonomisinde artan rol, güvenliğin daha da önemli hale geldiği ve ne
yazık ki üst düzey güvenlik çözümlerini en az karşılayabilen yerlerde en acil
hale geldiği anlamına geliyor.
Siber
uzayı evi olarak görenlerin yapısındaki bu demografik değişim, siber güvenliğin
geleceği düşünüldüğünde dördüncü önemli eğilime işaret ediyor. İnternet ortaya
çıktığında, çoğu Kaliforniyalı olan (daha da tuhaf bir tür olan) küçük bir grup
Amerikalı araştırmacıyı bir araya getirdi. Bugün, siber uzayın giderek küçülen
bir yüzdesi, kullanıcıları, koydukları içerik ve onu nasıl kullandıkları açısından
Amerikalı ve hatta Batılıdır. Örneğin BM, 2015 yılına kadar Çince konuşan
internet kullanıcılarının sayısının İngilizce konuşanları geride bırakacağını,
Afrika'da ise Amerika Birleşik Devletleri ve AB'dekinden daha fazla mobil
akıllı telefon kullanıcısının olacağını öngörüyor.
Bu
değişim hem büyük hem de küçük açılardan büyük önem taşıyor. Örneğin sevimli
kedilerin çevrimiçi videolar üzerindeki hakimiyeti (bu kitapta çok eğlendiğimiz
bir İnternet meme'i) sona eriyor olabilir. Google araştırmacıları, Sahraaltı
Afrika ve Çin'de çevrimiçi olan kullanıcı sayısının artmasına paralel olarak
sevimli keçi ve sevimli Panda ayısı videolarında bir patlama olduğunu fark
etti. Kedilerin internetteki sevimlilik üzerindeki tekelinin kırılmasından daha
önemlisi, dilin kendisi değişiyor. İnternetin ilk birkaç on yılı boyunca
standartlara uygun hiçbir tarayıcı, Latin karakterlerini kullanmadan bir web
sitesine erişemezdi. Bu yakın zamanda bozuldu, bu da artık Mısır İletişim
Bakanlığı'nı http://
fjj£ adresinde bulabileceğiniz
anlamına geliyor .
j/ jó - ljlo^ljlo . ^^j / .
İçeriğin
ötesinde, bu eğilim siber uzayın bu yeni netizenlerin ve onların hükümetlerinin
değerlerini yansıtacak şekilde giderek daha fazla parçalandığını görebilir.
İnternet ve onun yapıları ve normları, onu ilk kuran çoğunlukla Amerikalı
bilgisayar bilimcilerinin ilk karışımının dünya görüşlerinden doğmuştur.
Yaklaşımları, bağlantının, paylaşımın ve açıklığın gücü ve önemine güçlü bir
vurgu yaparak, dönemi karakterize eden akademik özgürlük ve hippi zihniyetinin
karışımıyla şekillendi. Ancak bu dünya görüşü, gelişen İnternet'in yeni normu
olmayabilir. ITU gibi alanlarda siber güvenlik ve İnternet özgürlüğü
konusundaki tartışmalarda bu gerilimlerin doruğa çıktığını zaten gördük ve devam
etmesi de beklenebilir . Aynı zamanda İnternet'in giderek daha fazla bölünmesi
riskini de ortaya çıkarır. The Economist'in gözlemlediği gibi , "Bu
tür ülkelerin giderek artan sayıda, her birinin kendi diyebileceği, kendilerine
göre az ya da çok duvarlarla çevrili bir interneti var."
Bu
tehlikeye karşı bir uyarı var. İnternetin mevcut ve gelecekteki
kullanıcılarının, 19608 Berkeley, Kaliforniya gibi yerlerdeki uzun saçlı ilk
geliştiricilerle politik veya kültürel olarak pek fazla ortak yanı olmayabilir.
Ancak bu kurucuların değerleri, yeni nesil kullanıcıların girmek istediği
çevrimiçi dünyayı tam olarak yarattı. Ve bu yeni kullanıcılar bir kez onun
içine girdiğinde, onların dünya görüşleri giderek daha fazla bu dünya
tarafından şekilleniyor. Siber uzay, kullanıcılarının özelliklerini ve
ihtiyaçlarını yansıtır, ancak gördüğümüz gibi bu kullanıcılar da onun
özelliklerini ve ihtiyaçlarını yansıtacak şekilde büyür.
Muhtemelen
ciddi siber güvenlik etkilerine sahip olacak son trend, hem daha ucuz
hesaplamaya hem de daha mobil bir dünyaya dayanıyor. Gelecekte siber ve
fizikselin bulanıklaşması, dijital sistemlerin “Nesnelerin İnterneti” olarak da
bilinen gerçek dünyaya tamamen entegre edilmesiyle gerçekleşecek.
Siber
uzayın pek çok yönü gibi Nesnelerin İnterneti de en iyi şekilde bir kediyle
örneklendirilebilir. Steve Sande, Colorado'da yaşayan ve kedi arkadaşı Ruby
uzaktayken onun için endişelenen bir adamdı. Onun özel endişesi, Ruby'nin
kliması olmayan evinde çok ısınmasıydı. Ancak Steve çevreye duyarlıydı (ya da ucuzdu)
ve ihtiyaç duyulmadığında fanın gücünü boşa harcamak istemiyordu. Böylece
hayranını WeMo adı verilen internete bağlı bir cihaza bağladı ve çevrimiçi hava
durumu web sitesini izleyen bir komut dosyası yazdı. Web sitesi havanın 85
Fahrenheit derecenin üzerinde olduğunu söylediğinde WeMo fanı çalıştırıyordu.
Doğrudan insan talimatı olmadan, Steve'in evindeki "şeyler" kedi
Ruby'yi serin tutmak için İnternet aracılığıyla birlikte çalıştı.
Daha
genel anlamda Nesnelerin İnterneti, veri toplamak veya kullanmak için her şeyin
web özellikli bir cihaza bağlanabileceği konseptidir. Kameralardan arabalara
kadar hayatımızdaki pek çok fiziksel nesnede halihazırda yerleşik bilgisayar
çipleri bulunmaktadır. Hepsi birbirleriyle "konuşabildiğinde" ne
olur? Peki taktığınız bileklikten banyonuzun duvarına, marketteki meyvelere
kadar her şeye minik ucuz çipler takıldığında ve sohbete katıldığında ne olur?
Bu vizyonda, dağıtılmış sensörler sokak trafiğini tespit ederek GPS'inizin
arabanızı işten eve yönlendirmesini sağlarken evinizin termostatına ne kadar
uzakta olduğunuzu bildirerek ısıyı en verimli ayarından yedekleyebilir. ,
akıllı güç şebekesine olan bağlantısını belirledi; Sensörler farklı
restoranların ne kadar kalabalık olduğunu tespit ederek rezervasyon yaptırabilir
ve spor salonundaki egzersiz bisikletiniz kredi kartınızla konuşarak o
restoranda ne sipariş ettiğinizi öğrenir ve bir sonraki antrenmanda ne kadar
süre çalışmanız gerektiğine karar verir. o cheesecake'i yakma günü.
Bu
vizyonun önündeki en büyük engellerden biri birlikte çalışabilirliktir.
İnternet, herkesin üzerine inşa edebileceği ortak, açık standartlar nedeniyle
patlama yaşadı. Ancak asi ama etkili yönetişim yapıları olmadan, Nesnelerin
İnterneti'ne bağlanabilecek diğer birçok cihaz, talimatları ve verileri
kesintisiz, otomatik alışverişlerde paylaşan ve yorumlayan standartlaştırılmış,
açık giriş ve çıkışlardan hala yoksundur. Verileri anlamak için ortak formatlar
gereklidir ve ilk etapta verileri toplamak ve yorumlamak için bazı
mekanizmalara ihtiyaç vardır ki bu pahalı bir teklif olabilir. Ruby'nin fanını
açmak sıcaklığı bilmek gibi basit bir işlev olsa da her şey o kadar kolay
değil. Çok daha fazla karar, karmaşık analizlere ve teknik müzakerelere ihtiyaç
duyar; istek ve ihtiyaçlarımızı yorumlamaya çalışan inanılmaz derecede gelişmiş
yazılım temsilcilerini ve dolayısıyla bunlar hakkında karmaşık insani kararları
ve müzakereleri gerektirir .
Bağlantılı
"şeylerin" geleceğine yönelik bir diğer önemli zorluk da siber
saldırganların hayatlarımıza her zamankinden daha derin nüfuz etmesine olanak
sağlamasıdır. Etrafımızdaki her şey bilgisayar verilerine dayanarak önemli
kararlar veriyorsa, verilerin bozulmadığından emin olmak için uzun süre ve sıkı
çalışmamız gerekecek. Gördüğümüz gibi, “araba hacklemekten”, internet
bağlantısı olan bir tuvaleti kurcalamaya kadar her türlü girişimde bulunuldu.
Bu
kitap boyunca tartışılan siber güvenlik soruları gibi, gelecekteki bu
potansiyel trendlerin her biri, teknik konuların ötesinde yönetişim, piyasalar
ve uluslararası ilişkiler konularına kadar uzanan bir dizi zorluk sunmaktadır.
Üstelik muhtemelen daha fazla soru oluşturmak için birbirleriyle etkileşime
girecekler.
Sonunda Gerçekten Neyi Bilmem Gerekiyor
?
Siberuzayda
halihazırda gördüklerimiz göz önüne alındığında, böyle bir dünyayı hayal etmek kesinlikle
göz korkutucu. Ve bunun ötesinde daha fazla trendin olduğundan emin olduğumuzda
bu daha da zorlayıcı oluyor.
Kuşkusuz,
tıpkı siber uzayın son yirmi yıldaki patlayıcı büyümesinin güvenlik hakkında
bildiklerimizin çoğunu alt üst etmesi gibi, kavramlarımızda devrim yaratacak
yeni teknolojiler ve uygulamalar ortaya çıkacak. Eski ABD Savunma Bakanı Donald
Rumsfeld'in dünyanın üç kategoriden oluştuğunu açıklayan ünlü bir gülme çizgisi
vardı: “Bilinen bilinenler, bildiğimizi bildiğimiz şeyler vardır. Bilinen
bilinmeyenlerin olduğunu da biliyoruz, yani bilmediğimiz bazı şeylerin olduğunu
da biliyoruz. Ama aynı zamanda bilinmeyen bilinmeyenler de var, bilmediğimizi
bilmediklerimiz.” Bunu söylemenin en güzel yolu olmayabilir ama aslında
haklıydı.
Şimdiki
ve gelecekteki bilinen ve bilinmeyen bilinenlerin kapsamı, siberuzay dünyasının
hem bugün hem de belki yarın daha da korkutucu ve hatta korkutucu bir yer gibi
görünmesine neden oluyor. Ancak gördüğümüz gibi böyle olması gerekmiyor. Ne
olursa olsun cevap aynıdır: Doğru anlayışı oluşturmak ve düşünceli yanıtları
hayata geçirmek.
Bugün
başka türlü olamazdık. Siber uzay dünyasına yolculuğumuz bize ve insanlığın
geri kalanına o zamanlar hayal bile edilemeyecek fantastik güçler kazandırdı.
Aklımıza gelebilecek hemen hemen her sorunun cevabını bulma yeteneğinden, hiç
tanışmadığımız insanlarla arkadaş olma fırsatına kadar her şeyi kazandık.
O
zaman nasılsa gelecekte de öyle olacaktır. Bu dünyada başarılabilecek her şey
nedeniyle, hem çevrimiçi hem de gerçek dünyadaki riskleri kabul etmeli ve
yönetmeliyiz. Ve bu gerçekten herkesin bilmesi gereken şey.
Kitap
yazmak genellikle tek başına yapılan bir çaba olarak tanımlanır, ancak gerçekte
perde arkasında destekçilerden oluşan bir topluluk olmasaydı yolculuğumuz mümkün
olmazdı.
Hagerott,
Tyler Moore, Jean Camp, Herb Lin, Noah Shachtman, Ken Lieberthal, Beau Kilmer
ve Bruce Schneier. Bu çalışmaya yardımcı olmak için yoğun programlarının
dışında zaman ayıran çok sayıda görüşmeci, toplantı katılımcısı ve etkinlik ve
gezi ev sahibini derinden takdir ediyoruz.
Kişisel
düzeyde Allan, siber güvenlik hakkında sürekli konuşma ve gece geç saatlere
kadar yazma konusundaki ısrarına rağmen onunla evlenmeyi kabul eden eşi
Katie'ye bitmek bilmeyen desteği ve sevgisine teşekkür etmek istiyor.
Peter,
her an her şeye değer kılan Susan, Owen ve Liam'a teşekkür ediyor.
Ve
son olarak ebeveynlerimize birçok şey için teşekkür etmek istiyoruz, özellikle
de yıllar önce o ilk hantal bilgisayarları satın aldıkları için.
Giriiş _
Neden Siber Güvenlik ve Siber
Savaş Konusunda Kitap Yazmalıyım ? _ _ _
1
bizi bu kitabı yazmaya
ikna etti Siber Arazi Konferansı, Casus Müzesi, Washington, DC, 18 Mayıs
2011.
2
30 trilyon ayrı web sayfası
Google,
“Arama Nasıl Çalışır?” http://www.google. com/insidesearch/howsearchworks/
, 15 Nisan 2013'te erişildi.
2
gadget'lar henüz hayal
edilemedi Rod Soderbery, “Şu anda 'Nesnelerin İnterneti'ne (IOT) Kaç Şey
Bağlı?” Forbes , 7 Ocak 2013, http://www.forbes.com/fdc/ hoş
geldiniz_mjx.shtml .
2
Savaşlara hazırlanmak Keith Alexander,
"Siber Güvenlik ve Amerikan Gücü", 9 Temmuz 2012'de Washington
DC'deki American Enterprise Institute'da konuşuyor.
3
“21. yüzyılın ulusal
güvenlik sorunları” Gordon Crovitz, “Siber Güvenlik 2.0,” Wall
Street Journal, 27 Şubat 2012, http://online.wsj.com/article/SB10001424052970 203918304577243423337326122.html .
3
Britanya'dan Çin'e kadar
ülkelerdeki liderler “Belirsizlik Çağında Güçlü Bir Britanya: Ulusal
Güvenlik Stratejisi,” Birleşik Krallık Hükümeti belgesi, 2010, http://www.direct.gov. İngiltere/prod_consum_dg/groups/dg_digitalassets/@dg/@en/documents/digitalasset/ dg_191639.pdf, 31 Temmuz
2013'te erişildi.
3 "siber kaygı" dönemi George R.
Lucas, Jr., "İzin Verilebilir Önleyici Siber Savaş: Siber Çatışmayı Haklı
Askeri Hedeflerle Kısıtlamak", Felsefe ve Teknoloji Derneği Konferansı'nda
yapılan sunum, Kuzey Teksas Üniversitesi, 28 Mayıs 2011.
3 “ortaya çıkan en büyük tehdit” “FP
Araştırması: İnternet,” Dış Politika (Eylül-Ekim 2011): s. 116.
3 “kanlı, dijital siper savaşı” David
Tohn, “Dijital Siper Savaşı,” Boston Globe, 11 Haziran 2009, http://www.boston.com/bostonglobe/editorial_opinion/oped/arti- cles/ 2009/06/11/digital_trench_warfare/ .
3 siberuzayda savaşın ve savaşları kazanın “Bilgi
Sayfası: Siber Güvenlik Yasama Önerisi,” Beyaz Saray basın açıklaması, 12 Mayıs
2011, http://www.whitehouse.gov/the-press- office/2011/05/12/fact-sheet-cybersecurity-yasama-teklifi
.
3 “güvenlik arayışında refah” Joseph S.
Nye, “Siber Uzayda Güç ve Ulusal Güvenlik”, America's Cyber Future: Security
and Prosperity in the Information Age, cilt 2, Kristin M. Lord ve Travis
Shard (Washington) tarafından düzenlenmiştir. , DC: Yeni Amerikan Güvenliği
Merkezi, Haziran 2011), s.15.
3 Dünya çapındaki İnternet ile bağlantıyı
kesin Age., s. 16.
3 “serbest fikir
alışverişi” Rebekka Bonner, “Siberuzayda Silahlanma Yarışı mı?” Rebekka
Bonner'ın Blogu (blog), Bilgi Toplumu Projesi, Yale Hukuk Fakültesi, 24
Mayıs 2011, http://www.
yaleisp.org/2011/05/arms-race-in-cyberspace .
4
“savaş gemilerinin komuta
ve kontrolü” Mark Clayton, “Yeni Siber Silah Yarışı,” Christian Science
Monitor, 7 Mart 2011, http://www.csmonitor.com/USA/Military/2011/0307/ Yeni siber silahlanma yarışı .
Neden Siber Güvenlik
Bilgi Eksikliği Var ve Neden Önemli ? _ _ _ _ _ _ _ _ _ _ _ _ _
4
" alabileceğimiz
herhangi bir karar var mı?" Joseph S. Nye Jr., "Siber Güvenlik
için Nükleer Dersler?" Stratejik Çalışmalar Üç Aylık Bülten 5, no.
3 (Kış 2011): s. 18.
5
“Ben hiç e-posta
kullanmıyorum” Janet Napolitano, “Uncovering America's Cybersecurity Risk”
(Amerika'nın Siber Güvenlik Riskini Ortaya Çıkarmak), National Journal Siber
Güvenlik Zirvesi'nde konuşma, Newseum, Washington, DC, 28 Eylül 2012.
5
“Bilgisayarın işleyişi” Mark Bowden, Worm:
Birinci Dijital Dünya Savaşı (New York: Atlantic Monthly Press, 2011), s.
7.
6
“siber uzay dünyasında
politika” Sandra Erwin, “Çözülmemiş Teknoloji ve Politika Sorunlarıyla Siber
Komuta Güreşi,” Ulusal Savunma (2 Mart 2011): s. 198.
7
Tor'u hiç duymadım bile “Top Gillard BT
Güvenliği Çarı Tor'u Hiç Duymadı” Delimiter.com, 29 Mayıs 2013, http://delimiter.com.au/2013/05/29/top-gillard-it-security
- çar-tor'u-hiç-duymamıştı/ .
7
“İnternet savaşıyla
mücadele hazırlıkları” Eyder Peralta, “Çinli Askeri Akademisyenler
ABD'yi 'İnternet Savaşı Başlatmakla Suçluyor''' NPR, 3 Haziran 2011, http://www.npr.org/ bloglar/iki
yönlü/2011/06/03/136923033/çinli-askeri-alimler-bizi-suçluyor- internet savaşını başlatıyoruz .
8
“Dumanlı arka odalarda
politika” Siber Arazi Konferansı, Casus Müzesi, Washington, DC, 18 Mayıs
2011.
Kitabı Nasıl Yazdınız ve Neyi Başarmayı Umarsınız ? _ _ _ _ _ _ _ _ _ _ _ _ _
10 dünya genişledikçe daha bilgili oluyor Daniel
E. Geer, Jr., “How Government Can Access Innovative Technology,” Americas
Cyber Future: Security and Prosperity in the Information Age, cilt. 2,
Kristin M. Lord ve Travis Shard tarafından düzenlenmiştir (Washington, DC: Yeni
Amerikan Güvenliği Merkezi, Haziran 2011), s. 187.
Bölüm I : Her Şey Nasıl
Çalışıyor _ _ _ _
Dünya Çapında Ne Var ? _ _
_ _ Siber Uzayı Tanımlamak _
12
“ Bu bir dizi tüp” Liz
Ruskin, “İnternet 'Tüpleri' Konuşması Dikkatleri Çekiyor, Sen. Stevens'la Alay
Ediyor,” Common Dreams, 15 Temmuz 2006, http://www.commondreams.org/head- hatları06/0715-06.htm .
12
“Veri kümeleri ve
takımyıldızları” William Gibson, Neuromancer (New York: Berkley
Publishing Group, 1984), s. 128.
13
mütevazı başlangıçlar Scott W.
Beidleman, “Siber Savaşı Tanımlamak ve Caydırmak” strateji araştırma projesi,
ABD Ordusu Savaş Koleji, 2009, s. 9.
13
“Gömülü işlemciler ve
denetleyiciler” age, s. 10.
14
ona güç veren ve onu
kullanan altyapı .
14
egemenlik, vatandaşlık ve
mülkiyet Joseph S. Nye, “Siber Uzayda Güç ve Ulusal Güvenlik”, America's
Cyber Future: Security and Prosperity in the Information Age, cilt. 2,
Kristin M. Lord ve Travis Shard tarafından düzenlenmiştir (Washington, DC: Yeni
Amerikan Güvenliği Merkezi, 2011), s. 14-15.
14
“bir anahtarın tıklaması”
age,
s. 9.
15
kayıtlı sitelerin sayısı
2012 itibarıyla 550 milyona ulaştı Jon Russell, "Weibos 500 Milyon
Kullanıcıyı Geçtiğinde Çin'deki Mikroblogların Önemi Gösteriliyor" The
Next Web, en son değiştirilme tarihi 11 Kasım 2011, http://thenextweb.com/asia/2011/11/
11/mikroblogların-önemi- çin'de-weibos-pass-550-milyon-kullanıcı
olarak-gösterilmektedir/ .
15
“Denetleyici kontralar ve
veri toplama” Beidleman, “Siber Savaşı Tanımlamak ve Caydırmak”, s. 6.
15
“Ekonomimizin kontra
sistemi” age, s. 1.
16
“Bilmek ya da bilmemek
hayattır” Ben Hammersley, “Birleşik Krallık Bilgi Güvencesi Danışma
Konseyi'nde Konuşma”, Bilgi Güvencesi Danışma Konseyi'nde açıklamalar, Londra,
6 Eylül 2011, http://www.benhammersley.com/2011/
09/benim- iaac'a konuşma/ .
Peki Bu “ Siber Şeyler ” Nereden
Geldi ? İnternetin Kısa Tarihi _ _
_ _ _ _ _ _ _ _
16
ağın Stanford ucu çöktü Chris Sutton,
“İnternet UCLA'da 25 Yıl Önce Başladı; 29 Ekim Yıldönümünü Anma Forumu," UCLA
Haber Odası, 14 Eylül 2004, http:
//newsroom.ucla.edu/portal/ucla/Internet-Began-35-Years-Ago-at-5464.aspx? RelNum=5464 .
17
"düşmanlıklar daha
da var olmalı" Tom Standage, The Victorian Internet: The
Remarkable Story of the Teiegraph and the Remarkable Story of the Nineteenth
Century's On-Line Pioneers (New York: Walker, 1998), s. 83.
19
trafiğin çoğunluğu ağ
üzerinden Stephen Segaller, Nerds 2.0.1: A Brief History of the Internet (New
York: TV Books, 1999), s. 109.
19
bağımsız olarak organize
edilmiş altyapı Ulusal Bilim Vakfı, “The Launch of NSFNET”, http://www.nsf.gov/about/history/nsf0050/internet/launch.htm
, 15 Mart 2013'te erişildi.
20
ağın daha hızlı
özelleştirilmesi Rajiv Shah ve Jay P. Kesan, “İnternetin Omurga Ağının
Özelleştirilmesi”, Journal of Broadcasting and Electronic Media 51, no.
1 (Mart 2007): s. 93-109, http://www .governingwithcode.org/journal_articles/pdf/ Omurga.pdf .
20
açık saçık endüstri Jerry Ropelato,
“İnternet Pornografisi İstatistikleri”, İlk On İnceleme, 2006, http://internet-filter-review.toptenreviews.com/internet-pornography-statistics. html, 13 Kasım 2006'da
erişildi.
20
“büyüme süreci” Mike Musgrove,
“Teknolojinin Daha Güçlü Tarafı: Pornografinin ve İnternet İşletmelerinin
Kaderi Çoğu Zaman İç içedir” Washington Post, 21 Ocak 2006, s. D1.
21
"müşterileri ve
tedarikçileri" Peter H. Lewis, "ABD İnternet
Operasyonlarını Özelleştirmeye Başlıyor", New York Times, 24 Ekim
1994, http://www.nytimes.com/1994/10/24/business/us-begins
-internet-s-operations.html?src=pm özelleştirilmesi.
İnternet Gerçekte Nasıl
Çalışır ? _ _ _ _ _ _
21
video paylaşım sitesi
YouTube Martin A. Brown, “Pakistan Hijacks YouTube”, Renesys (blog),
Renesys, 24 Şubat 2008, http://www.renesys.com/blog/2008/02/pakistan_ hijacks_youtube_1.shtml .
24 40.000'den fazla AS düğümü Tony Bates,
Philip Smith ve Geoff Huston, “CIDR Raporu," http://www.cidr-report.org/as2.0/ , Nisan 2013'te erişildi.
Bunu kim yönetiyor ? _ _ _
İnternet G Yönetimini Anlamak _ _
26 İnternet'in ilk darbesi Cade Metz,
“John Postel'i Hatırlamak—ve İnterneti Ele Geçirdiği Günü”, Enterprise (blog),
Wired, 15 Ekim 2012, http://www.wired. com/wiredenterprise/2012/10/joe-postel/
.
26 ABD hükümeti Rajiv Chandrasekaran
tarafından onaylanmıştır, “Internet Reconfiguration Concerns Federal
Authors," Washington Post, 31 Ocak 1998, http://songbird.com/ pab/mail/0472.html .
26 “İnternetin kontrolünü ele geçiremedik” Metz,
“John Postel'i Hatırlamak.”
26 “anarşi deneyi” Eric Schmidt ve Jared
Cohen, The New Digital Age (New York: Knopf, 2013), s. 263.
28
sistemin evrimi Vint Cerf, “IETF
ve İnternet Topluluğu”, İnternet Topluluğu, 18 Temmuz 1995, http://www.internetsociety.org/internet/what-internet/history-internet/ietf-and-internet-society
.
ABD hükümetinin merkezi katılımı Jack Goldsmith ve
Tim Wu, İnterneti Kim Kontrol Ediyor? Sınırsız Bir Dünyanın Yanılsamaları (New
York: Oxford University Press, 2006).
29
“İnternetin çeşitliliği” Amerika Birleşik
Devletleri Ticaret Bakanlığı, “İnternet Adları ve Adreslerinin Yönetimine
İlişkin Politika Durumu”, Ulusal Telekomünikasyon ve Bilgi İdaresi, 5 Haziran
1998, http://www.ntia.doc.gov/federal
-kayıt olmak- notice/1998/statement-politika-yönetim-internet-adları-ve-adresleri
.
29 bugün AFRİNIC, “AFRİNIC Tarihi” http://www.afrinic. net/en/about-us/origins ,
Şubat 2013'te erişildi.
29
berbat.com Adam Goldstein,
“ICANNSucks.biz (ve Bunu Neden Söyleyemiyorsunuz): Alan Adlarında Ticari
Markaların Adil Kullanımı Nasıl Kısıtlanıyor,” Fordham Fikri Mülkiyet, Medya
ve Eğlence Dergisi 12, sayı 4 (2002), http://ir.lawnet.fordham. edu/cgi/viewcontent.cgi?article=1237&context=iplj.
30
karar vericiler arasında
temsil edilen Eric Pfanner, “Alan Adları Üzerine Etik Mücadele
Yoğunlaşıyor,” New York Times, 18 Mart 2012, http://www.nytimes.com/2012/03/19/ teknoloji/internet-adlandırma-firması-kamuya-giden-özel-mücadele.html?_r=0
.
30 "kaba fikir birliği ve çalıştırma
kodu" David Clark, "A Cloudy Crystal Ball- Visions of the
Future", Yirmi Dördüncü İnternet Mühendisliği Çalışma Grubu
Bildirileri, Massachusetts Teknoloji Enstitüsü, Cambridge, MA, 13-17 Temmuz
1992 , http://ietf.org/proceedings/ prior29/IETF24.pdf .
İnternette Köpek Olduğunuzu
Nasıl Biliyorlar ? _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ Kimlik ve kimlik doğrulama
32 sevimli, ayı şeklinde şeker Tsutomu Matsumoto,
Hiroyuki Matsumoto, Koji Yamada ve diğerleri, “Yapay 'Sakızlı' Parmakların
Parmak İzi Sistemleri Üzerindeki Etkisi”, Proceedings of SPIE Cilt. #4677,
Optik Güvenlik ve Sahteciliği Önleme Teknikleri IV, San Jose, CA, 24-25
Ocak 2002, http://cryptome.org/gummy.htm
.
32 güvendiğiniz arkadaşlarla iletişime geçin Stuart
Schechter, Serge Egelman ve Robert W. Reeder, “Ne Bildiğiniz Değil, Kimi
Biliyorsunuz: Son Çare Kimlik Doğrulamasına Sosyal Bir Yaklaşım”, CHI '09:
Yirmi Yedinci Yıllık Bildiriler Kitabı SIGCHI Bilgisayar Sistemlerinde İnsan
Faktörleri Konferansı, New York, 9 Nisan 2009, http://research.microsoft.com/apps/ pubs/default.aspx?id=79349 .
Zaten " Güvenlik "
Derken Neyi Kastediyoruz ? _ _ _ _ _
34 Düşman Güvenlik ve Açık Metodolojiler
Enstitüsü'nün varlığı , Açık Kaynak Güvenlik Testi Metodolojisi El Kitabı:
Çağdaş Güvenlik Testi ve Analizi , 2010, http://www.isecom.org/mirror/OSSTMM.3.pdf
, 11 Ağustos'ta erişildi , 2013.
Tehditler Nelerdir ? _ _ _
_
37
Idaho Ulusal Laboratuvarı
Mike
M. Ahiers, “Hükümetin Bilgisayar Saldırısı Tatbikatının İçinde”, CNN, 17 Ekim
2011, http://www.cnn.com/2011/10/17/tech/ yenilik/siber saldırı-egzersiz-idaho .
37 “cyber Pearl Harbor” Google araması,
Ağustos 2013.
37
İran nükleer araştırması
Joe Lieberman, Susan Collins ve Tom Carper, “ Siber Savunmada Altın
Standart”, Washington Post, 7 Temmuz 2011, http://www.washingtonpost.com/opinions/a-gold-standard
-in-cyber-defense/2011/07/01/gIQAjsZk2H_ story.html
.
38
Finansal hırsızlığın
nihai hedefi Nelson D. Schwartz ve Eric Dash, “Hırsızlar Citigroup Sitesini
Kolay Bir Giriş Olarak Buldu,” New York Times, 13 Haziran 2011, www.nytimes.com/2011/ 06/14/teknoloji/14security.html .
39
çok daha düşük kar
marjları Cormac Herley, "The Plight of the Targeted Attacker in a
World of Scale", Bilgi Güvenliği Ekonomisi Üzerine Dokuzuncu Çalıştay
(WEIS 2010), Harvard Üniversitesi, Cambridge, MA, Haziran 2010, http:// weis2010.econinfosec. org/papers/session5/weis2010_herley.pdf.
Bir P hish , İki P hish ,
Red P hish , Siber P hish : Güvenlik Açıkları Nelerdir ? _ _ _
40
anahtarlık dijital
kimliği Jason Torchinsky, “Hackerların Üç Dakikada Bir BMW Çalmasını
İzleyin,” Jalopnik, 6 Temmuz 2012, http://jalopnik.com/5923802/watch-hackers-steal-a- bmw-üç dakikada .
40 kağıt broşür BBC One, " BMW: Araba
Hırsızlığına Açık mı?" Watchdog, 12 Eylül 2012 ,
http://www.bbc.co.uk/programmes/b006mg74/features/bmw-
araba hırsızlığı teknolojisi
40 düşük seviyeli bir çalışanı çağırıyor Kevin
D. Mitnick ve William L. Simon, The Art of Deception: Controlling the Human
Element of Security (Indianapolis, IN: Wiley Books, 2002).
40 psikolojik mekanizmalar aracılığıyla
işbirliği Michael Workman, “Sosyal Mühendislikle Erişim Kazanmak: Tehdidin
Ampirik Bir Çalışması,” Bilgi Güvenliği Sistemleri 16, sayı 6 (Kasım
2006), http://dl.acm.org/citation.cfm?id
=1451702 .
40
ifşa edilme korkusu
ödemeyi motive edebilir Nicolas Christin, Sally S. Yanagihara ve Keisuke
Kamataki, "Tek Tıklama Dolandırıcılıklarını İncelemek", Carnegie
Mellon Üniversitesi Teknik Raporu, 23 Nisan 2010, http://www.andrew.cmu.edu/user/
nicolasc/yayınlar/ TR-CMU-CyLab-10-011.pdf .
41
Şok edici sayıda
kullanıcı Hatta unutkan, dürüst kullanıcıların ve tembel kötü niyetli kullanıcıların
rahatlığı için bunları kataloglayan çok sayıda web sitesi var.
42
yanlış yapılandırılmış
uygulamalar M. Eric Johnson ve Scott Dynes, "Yanlışlıkla Açıklama:
Genişletilmiş İşletmede Bilgi Liderliği", Bilgi Güvenliği Ekonomisi
Altıncı Çalıştayı Bildirileri, 7-8 Haziran 2007, http://weis2007.econin- fosec.org/papers/43.pdf .
43
ağları felce uğratmayı
başardı Robert Lemos, “'İyi' Solucan, Yeni Hata Çifte Sorun Demektir,” CNet,
19 Ağustos 2003, http://news.cnet.com/2100-1002-5065644.html .
44
Tek bir günde 500 hesap Symantec,
“İnternet Güvenliği Tehdit Raporundan Önemli Noktalar, Cilt 18,” http://www.symantec.com/security_response/publications/threatreport. jsp , 20 Mayıs 2013'te
erişildi.
44
dolandırıcılık çevrimiçi
reklamverenler Zhaosheng Zhu, Guohan Lu, Yan Chen ve diğerleri, “Botnet
Araştırma Araştırması,” Bilgisayar Yazılımı ve Uygulamaları, 2008. COMPSAC
'08. 32. Yıllık IEEE Uluslararası, 28 Temmuz 2008-1 Ağustos 2008,
http://ieeexplore.ieee.org/xpl/login.jsp?tp
=&arnumber=4591703&url=http%3A%2F%2Fieeexplore.ieee.org%2Fxpls
%2F.abs_all. jsp%3Farnumber%3D4591703.
45
Suriye rejiminin
destekçileri OpenNet Girişimi, “Suriye Elektronik Ordusu”, http://opennet.net/syrian-electronic-army-disruptive-attacks-and-hyped-targets
, Nisan 2013'te erişildi.
45
1980'lerde ergen
İnterneti C. Cowan, P. Wagle, C. Pu, ve diğerleri, “Arabellek Taşmaları: On
Yılın Güvenlik Açığı için Saldırılar ve Savunmalar,” DARPA Bilgi Hayatta
Kalma Konferansı ve Sergisi, 2000. DISCEX '00 . Bildiriler, cilt. 2, 2000, http://ieeexplore.ieee.org/xpl/login.jsp?tp=&arnumber=821514
.
45
ayrıntılı bir nasıl
yapılır kılavuzu Aleph One, “Eğlence ve Kâr İçin Yığını Parçalamak,” Phrack
Magazine 7, sayı 49 (11 Ağustos 1996), http://www.phrack.org/issues.html?issue=49& kimlik=14#makale .
Siber uzayda nasıl paslanırız ? _ _ _ _ _ _
46
kurcalamaya dayanıklı
mühürler J. Alex Halderman ve Ariel J. Feldman, "PAC-MAN on the
Sequoia AVC-Edge DRE Voting Machine", https://jhalderm.com/pacman/ , 15 Mart 2013'te erişildi.
46
Kriptografinin temel yapı
taşı Kriptograf neden kahvaltısını geri gönderdi? Onun esrarı tuzlu
değildi.
49
Hollandalı bir CA'nın
anahtarları Kim Zetter, “Google Sertifika Hackerları 200 Kişiyi Çalmış
Olabilir,” Tehdit Düzeyi (blog), Wired, 31 Ağustos 2011, http://www.wired.com/ tehdit düzeyi/2011/08/diginotar-breach/ .
49
hatta imkansız bile
olabilir Sara Sinclair ve Sean W. Smith, “Gerçek Dünyada Erişim Kontrolünün
Nesi Yanlış?” IEEE Güvenlik ve Gizlilik 8, no. 4 (Temmuz-Ağustos 2010):
s. 74-77, http://www.computer.org/csdl/mags/sp/2010/04/msp2010040074-abs.html
.
50
ticari sırlar kanunu Evan Brown,
“Şifre Koruması Ticari Sırları Korumak İçin Yeterli Değil,” Internetcases, 8
Nisan 2005, http://blog.internetcases.com/2005/04/08/ şifre koruması-ticari-sırları-korumak için-yeterli
değil/ .
50
önemli noktalar
bağlantısız Stewart Baker, Stilts Üzerinde Paten: Yarının Terörizmini Neden
Durdurmuyoruz (Stanford, CA: Hoover Institution Press, 2010), PDF e-kitap, http:// www.hoover.org/publications/books/8128, Nisan 2013'te erişildi.
Odak Noktası : W iki S eaks'te
Neler Oldu ? _
51
“büyük bir karmaşa
yarattım” Evan Hansen, “Manning-Lamo Sohbet Günlükleri Açığa Çıktı,” Tehdit
Düzeyi (blog), Wired, 13 Temmuz 2011, http://www.wired.com/threatlevel/2011/07/ manning-lamo-günlükleri/ .
51
“yolsuzluk ve istismarı
ifşa etmek” Yochai Benkler, “Özgür Sorumsuz Bir Basın: Wikileaks ve Ağ
Bağlantılı Dördüncü Kuvvetin Ruhu Üzerindeki Savaş,” Harvard Sivil Haklar -
Sivil Özgürlükler Hukuk İncelemesi 46, no. 1 (2011): s. 315, http://harvardcrcl.org/wp-content/ yüklemeler/2011/08/Benkler.pdf .
52
yanlış yaptıklarının
kanıtı çevrimiçi Alasdair Roberts, “WikiLeaks: Şeffaflık Yanılsaması,” International
Review of Administrative Sciences 78, no. 1 (Mart 2012): s. 116, http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1801343
.
52
“Yolsuzluk, görevi kötüye
kullanma veya beceriksizlik” Benkler, “Özgür Sorumsuz Bir Basın”, s. 316.
52
“ABD Ordusuna Yönelik
Tehdit” Stephanie Strom, “Pentagon Çevrimiçi Sahtekarlardan Gelen Bir
Tehdit Görüyor,” New York Times, 17 Mart 2010, http://www.nytimes.com/2010/03/8/ us/18wiki.html .
52
“cinsiyet kimliği
bozukluğu” Hansen, “Manning-Lamo Sohbet Kayıtları Ortaya Çıktı.”
52
“kendisi ve muhtemelen
diğerleri için risk” Kim Zetter, “Ordu, Bradley Manning'i Irak'ta
konuşlandırmaması konusunda uyarıldı,” Tehdit Düzeyi (blog), Wired, 27
Ocak 2011, http://www. wired.com/threatlevel/2011/01/army-warned-about-manning/
.
53
“görmeye hakları olan her
şey” Marc Ambinder, “WikiLeaks: Bir Analist, Pek Çok Belge,” National
Journal, 29 Kasım 2010, http://www.nationaljournal. com/whitehouse/wikileaks-one-analyst-so-many-documents-20101129
.
53
"Bilgi ücretsiz
olmalı" Hansen, "Manning-Lamo Sohbet Kayıtları Ortaya Çıktı."
53
müziğin üzerine verilerle
yazın Kevin Poulsen ve Kim Zetter, “ABD İstihbarat Analisti WikiLeaks
Video Soruşturmasında Tutuklandı,” Tehdit Düzeyi (blog), Wired, 6
Haziran 2010, http:// www.wired.com/threatlevel/2010/06/leak/ .
53
“Amerikan tarihi” Hansen,
“Manning-Lamo Sohbet Kayıtları Ortaya Çıktı.”
54
“ahır kapısını kapatıyor”
Eric
Lipton, “Bakma, Okuma: Hükümet Çalışanlarını WikiLeaks Belgelerinden Uzak
Durur”, New York Times, 4 Aralık 2010, http:// www.nytimes.com/2010/12/05/world/05restrict.html?_r=1&
.
54
Muhalif yazışmalarda adı
geçen muhalif Mark MacKinnon, “Sızdırılan Kablolar Çin 'Fareleri' için Cadı
Avını Kıvılcımlandırıyor” Globe and Mail, 14 Eylül 2011, http://www.theglobeandmail.com/ haberler/dünya/asya-pasifik/sızan-kablolar-kıvılcım-cadı-çin-fare-avı/makale2165339/
.
54
Assange'ın yargılanması
çağrısında bulundu Dianne Feinstein, "Assange'ı Casusluk Yasası Kapsamında
Yargılayın" Wall Street Journal, 7 Aralık 2010, http://online.wsj.com/article/SB100014240 52748703989004575653280626335258.html .
54
Savunma Bakanı Robert M.
Gates ve Genelkurmay Başkanı Orgeneral Mike Mullen, "Oldukça mütevazı
düşünüyorum", Pentagon, Washington DC'de "Sekreter Gates ve
Pentagon'dan Amiral Mullen ile Savunma Bakanlığı Haber Brifingi" diyor .
30 Kasım 2010, http://www.defense.gov/Transcripts/Transcript.aspx?TranscriptID=4728 .
55
önde gelen lise
futbolcuları Alexander Abad-Santos, “Yerel Sızıntı İhbarcıları Steubenville
Kurbanının Uyuşturulmuş Olduğunu İddia Ediyor,” Atlantic Wire, 4 Ocak
2013, http:// www.theatlanticwire.com/national/2013/01/local-leaks-tipsters-allege-steubenville- kurbana ilaç verildi/60597/ .
55
“Biraz yasal! koruma” Hansen,
“Manning-Lamo Sohbet Kayıtları Ortaya Çıktı.”
Gelişmiş Kalıcı Tehdit ( APT ) Nedir ? _ _ _
56
"onları günde bir
kez bulmak" Siber Güvenlik CEO'su, yazarlarla röportaj, Washington DC, 23
Mayıs 2013.
57
“En etkileyici araç” Gary McGraw,
yazarlarla özel iletişim, 26 Nisan 2011.
57
desteklemeye devam edin , “Özel Rapor:
Cyberspy vs. Cyberspy'da Çin'in Avantajı,” Reuters, 14 Nisan 2011, http://www.reuters.com/ makale/2011/04/14/us-china-usa-cyberespionage-idUSTRE73D24220110414
.
58
gizli talimatlarla
tehlikeye atılmış Dmitri Alperovitch, Ortaya Çıktı: Shady RAT Operasyonu (teknik
inceleme, Santa Clara, CA: McAfee, 2011), s. 3.
58
Amiral James Stavridis James Lewis,
“Casuslar NATO Şeflerinin Ayrıntılarını Çalmak İçin Facebook'u Nasıl Kullandı?”
Telegraph, 10 Mart 2012, http://www.telegraph.co.uk/teknoloji/9136029/ Casuslar Facebook'u NATO şeflerinin ayrıntılarını
çalmak için nasıl kullandı ?
58
hassas bilgileri
araştırın Alperovitch, Revealed, s. 3.
59
Grow ve Hosenball'un
"Siber Casusa Karşı Siber Casuslukta Çin'in Avantajı Var" konuşmalarına
kulak misafiri oldum .
59
termostat ve yazıcı “Kaosa Direnmek”,
Stratejik Haber Servisi, 4 Şubat 2013.
Kötü Çocukları Nasıl Dışarıda Tutabiliriz ? _ _ _ _ _ _ _ _ _ Bilgisayar Savunmasının Temelleri _ _ _ _ _
60
110 milyon farklı tür Pat Calhoun,
“Sonraki Siber Savaş Zaten Devam Ediyor: Güvenlik Uzmanı,” Hacking America (blog),
CNBC, 27 Şubat 2013, http:// www.cnbc.com/id/100501836 .
61
İmzaların yüzde 0,34'ü Sang Kil Cha,
Iulian Moraru, Jiyong Jang ve diğerleri, "SplitScreen: Enabling Efficient,
Distributed Malware Detection", Journal of Communications and Networks 13,
no. 2 (Nisan 2011): s. 187-200, http://users.ece.cmu.edu/~sangkilc/
kağıtlar/nsdi10-cha.pdf .
6 1 12 yeni
tespit Ed Bott'un "Kötü Amaçlı Yazılım Sayı Oyunu: Dışarıda Kaç Virüs
Var?" ZDNet, 15 Nisan 2012, http://www.zdnet.com/blog/bott/ kötü amaçlı yazılım-sayıları-oyun-dışarıda-kaç-virüs-var/4783 .
63
oldukça şık kağıt
ağırlıkları Katie Hafner, “Altered iPhones Freeze Up,” New York Times, 29
Eylül 2007, http://www.nytimes.com/2007/09/29/teknoloji/29iphone. HTML'yi seçin .
64
, Temsilciler Meclisi
Gözetim ve Hükümet Reformu Komitesi ile Ulusal Güvenlik, Yurt Savunması ve Dış
Operasyonlar Alt Komitesi'ni başarıyla ayırdı ; Siber Güvenlik: ABD'ye
Yönelik Acil Tehdidin Değerlendirilmesi, Ulusal Siber Güvenlik ve İletişim
Entegrasyon Merkezi Direktörü Sean McGurk'un ifadesi, 26 Mayıs 2011, http://oversight.house.gov/wp-content/uploads/ 2012/04/5-25-11-Ulusal-Güvenlik-Vatan-Savunma-ve-Dışişleri
Alt Komitesi gn-İşlemler-İşitme-Transkript.pdf
.
64 “ince buz üzerinde kaymak” Yeni Amerikan
Güvenlik Konferansı Merkezi, 13 Haziran 2013, Washington, DC.
64
“birkaç dakikalık huzur
ve sessizlik” Dave Paresh, “Bazı Şirketler Siber Saldırganlara Karşı
Misilleme Yapmayı Düşünüyor,” Los Angeles Times, 31 Mayıs 2013.
En Zayıf Bağlantı Kimdir
? _ _ _ _ İnsan faktörleri _ _
65
ABD başkanlık helikopteri
Loren
B. Thompson, “Özgürlükleri Sınırlandırması Olası Siber Çözümler,” Lexington
Enstitüsü, 27 Nisan 2010, http://www.lexingtoninstitute.org/ özgürlükleri-sınırlandırması
muhtemel siber çareler?a=1&c=1129 .
66
uygun dikkat gerektiren
dersler David A. Fulghum, “Cross-Training: Cyber-Recruiter'lar Birçok
Alanda Uzmanlığa Sahip Uzmanlar Arar,” Aviation Week & Space Technology 173,
no. 18 (23 Mayıs 2011): s. 48.
Bölüm II : Neden Önemlidir
_ _ _ _
Siber Saldırının Anlamı Nedir
? _ _ _ _ Şartlar ve Çerçevelerin Önemi _ _ _ _
67
diplomatlar Neil King, Jr. ve
Jason Dean'in toplantısı, “ABD Yardımcısının Konuşmasında Çevrilemez Kelime,
Pekin'i Şaşkın Bırakıyor,” Wall Street Journal, 7 Aralık 2005.
68
"milyonlarca siber
saldırı" Temsilciler Meclisi Silahlı Hizmetler Alt Komitesi huzurundaki
ifade, Siberuzay Operasyonları Tanıklığı, ABD Siber Komutanı Keith Alexander'ın
ifadesi, 23 Eylül 2010.
68 İnternet ile ilgili teknoloji Örneğin
bkz. William Lynn, “Yeni Bir Etki Alanının Savunması”, Dış İlişkiler 89,
no. 5 (Ekim 2010), http://www.foreignaffairs.com/articles/66552/ william-j-lynn-iii/yeni-bir-alanı-savunmak
.
68
“değiştirmek, bozmak,
aldatmak, aşağılamak veya yok etmek” William A. Owens, Kenneth W. Dam ve
Herbert S. Lin, editörler, Technology, Policy, Law, and Ethics ile İlgili
ABD Edinimi ve Siber Saldırı Yeteneklerinin Kullanımı, Komite Saldırgan
Bilgi Savaşı, Ulusal Araştırma Konseyi (Washington, DC: National Academies
Press, 2009).
70
"ölçek ve etki
kesinlikle çok önemlidir" Dmitri Alperovitch, "Siber Uzayda
Caydırıcılık: Ralph Langner ve Dmitri Alperovitch ile Doğru Stratejiyi
Tartışmak", Brookings Enstitüsü, Washington, DC'de 20 Eylül 2011,
http://www . brookings.edu/~/media/events/2011/9/20%20cyberspace%20deterrence/20110920_ cyber_defense .
70 “caydırmaya çalışmak istediğimiz bir şey” age.
Çalınan savaş uçağının 70 tasarımı Christopher
Drew, "Çalınan Veriler Lockheed'de Hacklenmek İçin Takip Edildi", New
York Times, 3 Haziran 2011, http://www.nytimes.com/2011/06/04/ teknoloji/04security.html
.
72
temel bir insan hakkı Hillary Rodham
Clinton, Newseum'da “İnternet Özgürlüğü Üzerine Açıklamalar” diyor, 21 Ocak
2010, http://www.state.gov/secretary/rm/ 2010/01/135519.htm .
72
serbest akış Joseph Menn,
“Siber Güvenlik Anlaşması 'Çok Gerekli'” Financial Times, 12 Ekim 2011.
72 devlet istikrarını baltalıyor Alperovitch,
“Siber Uzayda Caydırıcılık.” Alperovitch, Çin Dışişleri Bakanlığı ile yapılan
görüşmelerde, Facebook'ta Çin'de sosyal huzursuzluğa neden olan söylentilerin
yayılmasının siber saldırı olarak kabul edileceğini açıkladıklarına atıfta
bulunuyor.
72 Batılı “bilgi savaşı” Richard Fontaine
ve Will Rogers, “İnternet Özgürlüğü ve Hoşnutsuzlukları: Siber Güvenlikle
Gerilimleri Gezinmek”, Amerika'nın Siber Geleceği: Bilgi Çağında Güvenlik ve
Refah, cilt. 2, Kristin M. Lord ve Travis Shard tarafından düzenlenmiştir
(Washington, DC: Yeni Amerikan Güvenliği Merkezi, Haziran 2011), s. 152.
Kiminle ? _ Atıf Sorunu _
_ _ _
72
“Botnet'in Kutsal Kâsesi”
Mark
Bowden, Worm: Birinci Dijital Dünya Savaşı (New York: Atlantic Monthly
Press, 2011), s. 228.
73
onu tasarlayan kişi
Ukraynalıydı. Bu konuda daha fazla bilgi için bkz. Bowden, Worm .
73
12 milyondan fazla
bilgisayar Teresa Larraz, “İspanyol 'Botnet'i Ülkeye Saldırmaya Yeterince
Güçlü: Polis,” Reuters, 3 Mart 2010, http://www.reuters.com/article/2010/03/03/ us-crime-hackers-idUSTRE6214ST20100303 .
74
inkar edilebilir ama
yönlendirilmiş Jeff Carr'a saldırı, “Rusya/Georgia Siber Savaşı—Bulgular ve
Analiz,” Project Gray Goose, 17 Ekim 2008, http://www.scribd.com/doc/ 6967393/Proje-Gri-Kaz-Aşama-I-Raporu.
74
"Saldırılar 'kitle
kaynaklı' olabilir" Bryan Krekel, "Çin Halk Cumhuriyeti'nin
Siber Savaş ve Bilgisayar Ağı İstismarını Yürütme Yeteneği", Northrop
Grumman Corporation, 9 Ekim 2009.
75
2008 Pekin Olimpiyatları Brian Grow ve
Mark Hosenball, “Özel Rapor: Siber Casusluğa Karşı Siber Casuslukta, Çin'in
Avantajı Var,” Reuters, 14 Nisan 2011, http://www.reuters.com/ makale/2011/04/14/us-china-usa-cyberespionage-idUSTRE73D24220110414
.
75
ikna edici kanıt
Commonwealth vs. Michael M. O'Laughlin, 04-P-48 (AC MA 2005), http://www.truthinjustice.org/o'laughlin.htm
.
75
“Saldırıların yerini
belirleyemedik” Ronald Deibert, “Siber Uzayda Yükselen Silahlanma Yarışını
Takip Etmek,” Atom Bilimcileri Bülteni 67, no. 1 (Ocak-Şubat 2011): s.
1-8, http://bos.sagepub
.com/content/67/V1.full .
76
Ulusal Karşı İstihbarat
İdaresi Ofisi “mutlak kesinlik”ten yoksundu , “Yabancı Casuslar Siber Uzayda
ABD Ekonomik Sırlarını Çalıyor,” Ekim 2011, http:// www.ncix.gov/publications/reports/fecie_all/Foreign_Economic_Collection_2011. pdf, 11 Ağustos 2013'te
erişildi.
76
“Harry Pota' “'Harry Pota' ve
Birim 61398'in Büyücüleri,” Avustralya, 23 Şubat 2013, s. 1.
H aktivizmi nedir ? _ _ _
78
“World Wide Web War I' Craig S. Smith,
“6-12 Mayıs; Birinci Dünya Hacker Savaşı,” New York Times, 13 Mayıs
2001, http://www.nytimes.com/2001/05/13/weekinreview/ mayıs-6-12-the-first-world-hacker-war.html .
78 Ohio lisesi Jeffrey Carr, Inside
Cyber Warfare (Sebastopol, CA: O'Reilly Media, 2009), s. 2.
78
“potansiyel olarak
zararlı sonuçlar” Nancy R. Mead, Eric D. Hough ve Theodore R. Steney III,
“Güvenlik Kalitesi Gereksinimleri Mühendisliği (SQUARE) Metodolojisi
CMU/SEI-2005-TR-009,” Yazılım Mühendisliği Enstitüsü, Carnegie Mellon
Üniversitesi, Pittsburgh, PA, Kasım 2005, http://www.cert.org/archive/pdf/05tr009.pdf
, 11 Ağustos 2013'te erişildi.
79
Huntingdon'da Hayvanlara
Zulmü Durdurun Chris Maag, “Amerika'nın 1 Numaralı Tehdidi,” Mother
Jones, Ocak-Şubat 2006, http://www.motherjones.com/politics/2006/01/americas-1- tehdit .
79 yemek şirketi ve temizlikçi Kate
Sheppard, "Hayvan Hakları Aktivistleri Terörist midir?" Mother
Jones, 21 Aralık 2011, http://motherjones.com/environment/2011/12/ hayvan hakları aktivistleri-teröristlerdir .
79
“her kritik ilişki” Christopher
Schroeder, “Ağ Güvensizliğinin Eşsiz Ekonomik Riskleri,” Amerika Siber
Geleceği: Bilgi Çağında Güvenlik ve Refah, cilt. 2, Kristin M. Lord ve
Travis Shard tarafından düzenlenmiştir (Washington, DC: Yeni Amerikan Güvenliği
Merkezi, Haziran 2011), s. 172.
80
gözlerine püskürtülmüş Senato Çevre ve
Bayındırlık Komitesi, "Eko-terörizm Özel Olarak Dünya Kurtuluş Cephesi ve
Hayvan Kurtuluş Cephesinin İncelenmesi", Federal Soruşturma Bürosu
Direktör Yardımcısı John E. Lewis'in ifadesi, 18 Mayıs 2005, http://epw.senate.gov/hearing_statements.cfm?id=237817
.
Odak noktası : İsimsiz Kimdir
? _ _ _
81
“acı dolu bir dünya” Spencer Ackerman,
“'Paranoya Ölçer' HBGary'nin Pentagon'un Bir Sonraki WikiLeaker'ını Bulma
Planıdır,” Danger Room (blog), Wired, 3 Nisan 2011, http:// www.wired.com/dangerroom/2011/04/paranoia-meter-hbgarys-plot-to-find-the-ne xt-pentagon-wikileaker/ .
81 “Anonim ile uğraşmayın” age.
81 “utanç verici çamaşırlar” “Aaron Barr:
Sapık mı Kanunsuz mu?” Crowdleaks, en son değiştirilme tarihi 24 Mart
2011, http://crowdleaks.org/aaron-barr-pervert-or-vigilante/
.
81
"dövüş" Quinn Norton,
"Anonim Hedefleri Nasıl Seçer", Tehdit Levet (blog), Wired
, 3 Temmuz 2012, http://www.wired.com/threatlevel/2012/07/ff_anonymous/all/ .
82
“Anonim olmak isteyen
herkes olabilir” Chris Landers, “Ciddi İş: Anonim Scientology'yi Alır (ve
Hiçbir Şeyden Korkmaz),” Baltimore City Paper, 2 Nisan 2008, http://www.citypaper
.com/columns/story.asp?id=15543 .
82 "aşırı koordineli orospu çocuğu" Norton,
"Anonim Hedefleri Nasıl Seçiyor."
82 sözde gizli grup Mike Isaac, “Facebook
ve Twitter Geri Ödeme Hesaplarını Askıya Aldı,” Forbes, 8 Aralık 2010, http://blogs.forbes.com/mikeisaac/ 2010/12/08/facebook-ve-twitter-geri
ödeme-hesaplarının-operasyonunu-askıya alma/ .
82
"İnternet kanunsuz
grubu" Gus Kim, "İnternet Adaleti?" Küresel Haberler, CanWest
Küresel İletişim, 8 Aralık 2007.
83
web siteleri çevrimdışı
oldu Matthew Lasar, “P2P'de KISS Frontman: Sue Everyone. Evlerini,
Arabalarını Alın,” Ars Technica, 20 Aralık 2010, http://arstechnica. com/tech-policy/news/2010/10/kiss-frontman-we-should-have-sued-them-all.ars
.
84
“İki gizli devlet dışı
grup” Paul Rexton Kan, “Yeraltı Dünyasında Siber Savaş: Meksika'da
Anonim Los Zetas'a Karşı,” Yale Uluslararası İlişkiler Dergisi , 26
Şubat 2013, http://yalejournal.org/2013/02/26
/yeraltı dünyasında-anonim-sibersavaş s-versus-los-zetas-meksika'da/
.
84 “gürültülü siyasi gösteri” “WikiLeaks
Siber Tepki Tüm Havlamalar, Isırık Yok: Uzmanlar,” Vancouver Sun, 11
Aralık 2010.
84
“Bu Lexington” Steven Swinford,
“WikiLeaks Bilgisayar Korsanları İngiliz Hükümetini Tehdit Ediyor”, Daily
Telegraph, 10 Aralık 2010, http://www.telegraph.co.uk/news/ worldnews/wikileaks/8193210/WikiLeaks-hackerlar-İngiliz-Hükümetini-tehdit
ediyor. HTML'yi seçin .
Yarının Suçları , Bugün :
Siber Suç Nedir ? _ _ _ _ _ _
85
“gelecekte var olabilecek
suç” Neil Ardley, School, Work and Play (World of Tomorrow) (New
York: Franklin Watts, 1981), s. 26-27.
85
elektronik ağlara özgü Avrupa Komisyonu,
“Siber Suçlarla Mücadeleye İlişkin Genel Bir Politikaya Doğru”, Mayıs 2007, http://europa.eu/legislation_summaries/ Justice_freedom_security/fight_against_organised_crime/l14560_en.htm
, 11 Ağustos 2013'te erişildi.
86
beceriksiz parmaklar Tyler Moore ve
Benjamin Edelman, "Yazım hatası Faillerinin ve Fon Sağlayıcılarının
Ölçülmesi", 14. Uluslararası Finansal Kriptografi ve Veri Güvenliği
Konferansı, Tenerife, İspanya, 25-28 Ocak 2010, http://link.springer.com/ bölüm/10.1007%2F978-3-642-14577-3_15?LI=true .
87
100 milyon dolarlık
işletme Brett Stone-Gross, Ryan Abman, Richard A. Kemmerer ve diğerleri,
"Sahte Antivirüs Yazılımının Yeraltı Ekonomisi", 10. Bilgi
Güvenliği Ekonomisi Çalıştayı, Fairfax, VA, 14-15 Haziran 2011 , http://www.cs.ucsb.edu/~chris/ araştırma/doc/weis11_fakeav.pdf .
87
opiat ağrı kesiciler Damon McCoy,
Andreas Pitsillidis, Grant Jordan ve diğerleri, "Pharmaleaks: Çevrimiçi İlaç
Ortaklık Programlarının İşini Anlamak", 21. USENIX Güvenlik Sempozyumu
Bildirileri, Bellevue, WA, 8-10 Ağustos 2012, http://cseweb.ucsd.edu/~savage/papers/UsenixSec12.pdf
.
88
"Super Bowl için
bahisler" Gregory J. Rattray ve Jason Healey, "Devlet Dışı
Aktörler ve Siber Çatışma", America's Cyber Future: Security and
Prosperity in the Information Age, cilt 2, Kristin M. Lord ve Travis
tarafından düzenlendi Shard (Washington, DC: Yeni Amerikan Güvenliği Merkezi,
2011), s. 71.
88
“çevrimiçi bahis evleri” Brian Phillips,
“Futbolun Yeni Şike Skandalı,” Grantland, 7 Şubat 2013, http://www.grantland.com/story/_/id/8924593/match- futbol tamiri.
88
Amerikan ifade
özgürlüğünü koruyor Avrupa Komisyonu, "Siber Suçlarla Mücadeleye
İlişkin Genel Bir Politikaya Doğru."
88
"100 farklı veri
kaynağı" Ross Anderson, Chris Barton, Rainer Bohme ve diğerleri,
"Siber Suçun Maliyetinin Ölçülmesi", 11. Bilgi Güvenliği Ekonomisi
WEIS 2012 Yıllık Çalıştayında sunuldu, Berlin, 25-26 Haziran , 2012, http:// weis2012.econinfosec.org/papers/Anderson_WEIS2012.pdf
.
89
banka veya boya üreticisi
Dave
Paresh, "Bazı Şirketler Siber Saldırganlara Karşı Misilleme Yapmayı
Düşünüyor", LA Times, 31 Mayıs 2013.
89
"Milyon dolarlık
suçlar" James Andrew Lewis, "Tehdit", Hükümet İdaresi 43,
no. 10 (15 Ağustos 2011): s. 19.
89
“kredi kartı
dolandırıcılığı planı” Amerika Birleşik Devletleri - Rogelio Hackett Jr. , no. 1:11CR96
(ED Va.) 21 Nisan 2011.
90
yazarlara yalnızca 200
dolarlık bir McAfee sunumu, 2011.
90
"Ülke seçimi
ücretsizdir" Thomas Holt, "Kötü Amaçlı Yazılım Pazarlarının
Ekonomisini Keşfetmek", Ulusal Sağlık Enstitüleri sunumu, 2011.
90
“Destek olmasa bile
hoşgörü” age.
91
“Bilgisayar kasetini
tutmak” Ardley, School, Work and Play, s. 26-27.
Gölgeli RAT'lar ve Siber Casuslar
: Siber Casusluk Nedir ? _ _ _ _ _
91
önemli verileri sızdırmak
Dmitri
Alperovitch, Ortaya Çıktı: Shady RAT Operasyonu (teknik inceleme, Santa
Clara, CA: McAfee, 2011), s. 3.
92
2008 Pekin Olimpiyatları age., s. 6.
92
“yüksek hızlı bağlantı” Lewis, “Tehdit,”
s. 18.
93
Çin'deki Hainan Adası Krekel, “Çin Halk
Cumhuriyeti'nin Siber Savaş ve Bilgisayar Ağı İstismarını Yürütme Yeteneği.”
93
F-35 savaş uçağının
tasarımı Lewis, The Threat, s. 18.
93
bir test uçuşunun
ortasında Siobhan Gorman, August Cole ve Yochi Dreazen, “Computer Spies
Breach Fighter-Jet Project,” Wall Street Journal, 21 Nisan 2009, http://online.wsj. com/article/SB124027491029837401.html .
94
"Pek çoğumuzu
öldürecek" Jason Healey, "Siber 9/12 Projesi: Siber Krizde Medyanın
Rolü", 1 Haziran 2012'de Washington DC'deki Atlantik Konseyi'nde şöyle
söylüyor.
94
“yerli endüstri” Mark Clayton,
“Yeni Siber Silah Yarışı,” Christian Science Monitor, 7 Mart 2011, http://www.csmonitor.com/USA/Military/2011/0307/ Yeni siber silahlanma yarışı .
94
“Fortune Global
2000firms” Alperovitch, Açıklandı, s. 2.
94
630 ABD Doları iPhone Horace Dediu,
“Bir iPhone Kâr Paradoksu,” Business Spectator , 29 Şubat 2012, http: /
/www.businessspectator.com.au/article/2012/2/28/teknoloji/iphone- kâr paradoksu .
94
“İnovasyon yapmanın en
kolay yolu” Grow ve Hosenball, “Özel Rapor.”
95
Çin'deki mobilyalar David Leonhardt,
“Çin'in Gerçek Sorunu,” New York Times, 11 Ocak 2011.
95
doğrudan ve örtülü
suçlamalar “Çin, Pentagon Siber Saldırısını Reddediyor,” BBC News, 4 Eylül
2007, http://news.bbc.co.uk/2/hi/6977533.stm
.
95
Ekonomik Casusluk Yasası
soruşturmalarıyla doğrudan bağlantısı var .
95
“Yüzde 96” Tony Romm, “Rapor
Çin Siber Casusluk Endişelerini Artırıyor,” Politico, 23 Nisan 2013, http://www.politico.com/story/2013/04/china-industrial-cyberspy- siber güvenlik-espionage-90464.html .
95
“Soğuk Savaş zihniyeti” age.
95 “Benzeri görülmemiş servet transferi” Alperovitch,
Revealed, s. 3.
95
ölümcül olamayacak kadar
küçük Lewis, “Tehdit,” s. 18.
96
“Binlerce kesikle ölüm” James Fallows,
“Cyber Warriors,” Atlantic, Mart 2011.
96
CrowdStrike Joseph Menn,
“Güvenlik Firması CrowdStrike, ABD Hava Kuvvetleri Bilgi-Harp Uzmanını İşe
Aldı,” Chicago Tribune, 29 Ekim 2012, http://articles.chicagotribune.
com/2012-10-29/business/sns-rt-us-cybersecurity-offensivebre89s17g-20121029_
1_crowdstrike-steven-chabinsky-alperovitch.
Siber Terörizmden Ne Kadar
Korkmalıyız ? _ _ _ _ _ _ _
96
'"gizli
ajanlar" Margaret Rouse, "Cyberterrorism", Arama
Güvenliği, Mayıs 2010, http://searchsecuritytechtarget.com/definition/cyberterrorism
, Ağustos ayında erişildi
11, 2013.
96
felaket niteliğindeki
başarısızlığın simüle edilmesi Scott W. Beidleman, “Siber Savaşı Tanımlamak ve
Caydırmak” strateji araştırma projesi, ABD Ordusu Savaş Koleji, 2009, s. 6.
96
Guantanamo Körfezi age., s. 7.
97
"siber güvenlik
kadar netlik" Siber Arazi Konferansı, Casus Müzesi, Washington, DC, 18
Mayıs 2011.
97
Mohmedou Ould Slahi Rattray ve
Healey, “Devlet Dışı Aktörler ve Siber Çatışma,” s. 72.
97
Yüzde 1700 General Martin
Dempsey, 27 Haziran 2013'te Washington DC'deki Brookings Enstitüsü'nde
"Ulusu Ağ Hızında Savunmak" diyor.
97
bir haftadan az Ken Dilanian,
“Sanal Savaş Gerçek Bir Tehdit,” Los Angeles Times, 28 Mart 2011, s. 28.
97
"Temel yaşam
tarzı" Siber Arazi Konferansı, Casus Müzesi, Washington, DC, 18 Mayıs
2011.
98
"Red Bull
içiyor" Spencer Ackerman, "Pentagon Vekili: Ya El Kaide Stuxnet'i
Alırsa?" Tehlike Odası (blog), Wired, 15 Şubat 2011, http://www.wired.com/ tehlike
odası/2011/02/pentagon-vekili-ya-el-kaeda-stuxnet-olursa/ .
98
"Glen Kanyonu ve
Hoover Barajları" George R. Lucas, Jr., "İzin Verilebilir
Önleyici Siber Savaş: Siber Çatışmayı Haklı Askeri Hedeflerle Kısıtlamak",
Felsefe ve Teknoloji Derneği Konferansı'nda sunum, Kuzey Teksas Üniversitesi,
28 Mayıs 2011.
99
"siber
gelişmişlik" Joseph S. Nye, “Siberuzayda Güç ve Ulusal Güvenlik”, America's
Cyber Future: Security and Prosperity in the Information Age, cilt. 2,
Kristin M. Lord ve Travis Shard tarafından düzenlenmiştir (Washington, DC: Yeni
Amerikan Güvenliği Merkezi, Haziran 2011), s. 16.
Peki Teröristler Web'i
Gerçekte Nasıl Kullanıyor ? _ _ _ _ _ _ _ _
101
Aylık 70 Dolar Joby Warrick,
“Aşırı Web Siteleri ABD Sunucularını Kullanıyor,” Washington Post, 9
Nisan 2009, s. A01.
101
Usame bin Ladin'in
teğmenleri Jacob Fenton, “Öğrencinin Web Sitesi El Kaide Tarafından
Hacklendi,” Vanguard, 8 Nisan 2003, http://psuvanguard.com/uncategorized/ öğrencilerin-web-sitesinin-el-kaide
tarafından-hacklenmesi/ .
102
Irak'tan Afganistan'a İç Güvenlik
Bakanlığı, “Yerli Doğaçlama Patlayıcı Cihaz (IED) Tehdidine Genel Bakış,” PDF
brifingi, http://info.publicintelligence. net/DHS-DomesticIED.pdf ,
14 Ocak 2013'te erişildi.
102
helikopterlerden dördü "İslamcılar
Çevrimiçi Fotoğraflarda Bulunan ABD Helikopterlerini Yok Etti" Yahoo!
Haberler, 16 Mart 2012, http://news.yahoo.com/insurgents-destroyed- us-helicopters-found-online-photos-165609778.html .
102
Fort Benning, Georgia Cheryl Rodewig,
“Coğrafi Etiketleme Güvenlik Risklerini Kaydediyor”, ABD Ordusu, 7 Mart 2012, http://www.army.mil/article/75165/Geotagging_poses_security_ riskler/ .
Peki ya Siber Terörle Mücadele
? _
103
"indirmek için bir
bağlantı" Adam Rawnsley, "'Casus Yazılım' Olayı Spooks Cihadi Forumu",
Danger Room (blog), Wired, 1 Eylül 2011, http://www.wired.com/ tehlike odası/2011/09/cihatçı-spyware/ .
103
teröristlerin Ibid'i
hedef alıp öldürmesi için .
104
RAND Corporation Warrick, “Aşırı
Web Siteleri ABD Sunucularını Kullanıyor,” s. A01.
105
"Gizemli bir şekilde
yeniden ortaya çıktı" Rawnsley, "'Casus Yazılım' Olayı Cihatçı
Forumu Korkutuyor."
105 “komşu ev kadını” türü Fenton,
“Öğrencinin Web Sitesi El Kaide Tarafından Hacklendi.”
Güvenlik Riski mi , İnsan
Hakkı mı ? _ Dış Politika ve İnternet _ _
106
2011 yılında Hollanda
hükümeti Loek Essers, “Hollandalı Bakan Vatanseverlik Yasası Duruşunu
Değiştirdi”, C omputerworld, 21 Eylül 2011, http://www.computerworld.eom/s/ makale/9220165/Dutch_minister_changes_Patriot_Act_stance
.
106
“Sınır ne olursa olsun” Fontaine ve
Rogers, “İnternet Özgürlüğü ve Hoşnutsuzlukları”, s. 148.
107
“bir kilise veya bir
çalışma salonu” age.
107
Nazi hatıraları “Fransa İnternet
Nazi Açık Artırmalarını Yasakladı”, BBC News, 23 Mayıs 2000, http://news.bbc.co.Uk/2/hi/europe/760782.stm
.
107
Wikipedia'nın
karartılması Allan A. Friedman, "Siber Güvenlik Dengede: Weighing the
Risks of the PROTECT Fikri Mülkiyet Yasası ve Durdurma Çevrimiçi Korsanlığı
Yasası", Brookings Enstitüsü'nde açıklamalar, Washington, DC, 15 Kasım
2011, http:// www
.brookings.edu/ papers/2011/1115_cybersecurity_friedman.aspx
.
Odak Noktası : T or Nedir
ve Soğanı Soymak Neden Önemlidir ? _ _ _ _ _ _ _ _ _
108
NSA tarafından gözetleme Kurt Opsahl,
"NSA ABD Vatandaşlarına Casusluk Yapmaktan Tam Olarak Nasıl
Uzaklaşıyor", Gizmodo, 23 Haziran 2013, http://gizmodo.com/exactly- NSA bizi gözetlemekten nasıl kurtuluyor
c-540606531?
108
“36 milyon kişi" John Sullivan,
“2010 Özgür Yazılım Ödülleri Açıklandı," Özgür Yazılım Vakfı, 22 Mart
2011, http://www.fsf.org/news/2010-free- yazılım ödülleri açıklandı .
108
“İnternetin karanlık
köşesi” “Anonim Monetaristler," Economist, 29 Eylül 2012,
http://www.economist.com/node/21563752?fb_action_ids=10152174673925385&fb_
action_types=og.likes&fb_ref=scn%2Ffb_ec%2Fmonetarists_anonym ous&fb_
source=aggregation&fb_aggregation_id =246965925417366.
109
bir görüşmenin son
noktası The Tor Project, Inc., https://www.torproject.org/ , 17
Mart 2013'te erişildi.
109
, The Tor Project,
Inc.'de yerleşiktir , "Tor Tarayıcı Paketi", https://www.torproject.org/ projeler/torbrowser.html.en, 17 Mart 2013'te erişildi.
110
“Çin, Tor Anonimlik Ağını
Nasıl Engelliyor?” The Physics arXiv (blog), MIT Technology Review, 4
Nisan 2012 , http://www.teknoloji-inceleme.com/view/427413/how-china-
tor-anonimlik-ağını-bloklar/ .
110
Skype'ın önemi HoomanMohajeri
Moghaddam, Baiyu Li, Mohammad Derakhshani, ve diğerleri, Skypemorph: Tor
Bridges için Protokol Gizleme (Waterloo, ON: Waterloo Üniversitesi, 2010), http://cacr.uwaterloo.ca/techreports/2012/cacr2012-
08.pdf .
Vatansever Hackerlar
Kimdir ? _ _ _ _ _
110
“Rusya Estonya'ya
saldırıyor” “Dışişleri Bakanı Urmas Paet'in açıklaması”, Estonya Dışişleri
Bakanlığı açıklaması, 1 Mayıs 2007, http://www.epl.ee/news/eesti/ dışişleri
bakanı-urmas-paet.d?id=51085399 tarafından yapılan açıklama .
110 “asistanım tarafından gerçekleştirildi” R.
Coulson, “Estonya Siber Saldırılarının Arkasında”, Radio Free Europe, 6 Mart
2009, http://www.rferl.org/content/Behind_The_Estonia_ Siber saldırılar/1505613.html .
110
Markov'un genç asistanı Charles Clover,
“Estonya Siber Saldırısının Arkasındaki Kremlin Destekli Grup,” Financial
Times, 11 Mart 2009, http://www.ft.com/cms/s/0/57536d5a-0ddc- 11de-8ea3-0000779fd2ac.html .
111
"Anavatan
karşıtlığı" JR Jones'u zorluyor, " Putin'in Öpücüğü: Çocuklar
Çok Haklı," Chicago Reader, 7 Mart 2012, http://www.chicagoreader.com/chicago/putins-kiss-the-kids- are-hard-right/Content?oid=5787547 .
111
"Nazizm ve
liberalizm" age.
111
Rus istihbaratı Carr, Siber
Savaş İçinde, s. 3.
112
“Siber uzay her yerde” lan Traynor,
“Rusya, Estonya'yı Devre Dışı Bırakmak İçin Siber Savaşı Serbest Bırakmakla
Suçlandı,” Guardian, 16 Mayıs 2007, http://www.guardian.co.uk/world/2007/ mayıs/17/topstories3.russia .
112
hacker dergisi Xaker Khatuna
Mshvidobadze, “Rusya Ağın Yanlış Tarafında mı?” Jane's Defence Weekly 48,
sayı 9 (2 Mart 2011): s. 22.
112
Suriye Devlet Başkanı
Assad Max Fisher ve Jared Keller, “Syria's Digital Counter-devrimciler”,
Atlantic, 31 Ağustos 2011, http://www.theatlantic.com/international/ arşiv/2011/08/syrias-digital-karşı-devrimciler/244382/
.
113
hacker grubu Javaphile Krekel, "Çin
Halk Cumhuriyeti'nin Siber Savaş ve Bilgisayar Ağı İstismarını Yürütme
Yeteneği."
113
"İran Siber
Ordusu" Tim Stevens, "İhlal Protokolü", Janes Intelligence
Review 22, no. 3 (Mart 2010): s. 8-13.
114
“bilgisayar ağı
uzmanları” Krekel, “Çin Halk Cumhuriyeti'nin Siber Savaş ve Bilgisayar Ağı
İstismarını Yürütme Yeteneği.”
Odak : S tuxnet Neydi ? _
_ _
115
“ayrım gözetmeyen ve
yıkıcı” Lucas, “İzin Verilebilir Önleyici Siber Savaş.” Stuxnet'in
yayılmasına ilişkin bir çalışma, aralarında Symantec Corporation'ın da
bulunduğu bir dizi uluslararası bilgisayar güvenliği firması tarafından üstlenildi.
Tanınmış bilgisayar güvenliği uzmanları Nicholas Falliere, Liam O'Murchu ve
Eric Chien tarafından derlenen ve Şubat 2011'de yayınlanan "W32.Stuxnet
Dosyası" adlı raporu, enfeksiyonun ilk günlerinde etkilenen ana ülkelerin
İran olduğunu gösterdi. Endonezya ve Hindistan: http://www.symantec.com/con- tent/en/tr/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.jpg pdf, 11 Ağustos 2013'te
erişildi.
116
sonsuza dek vahşi doğada
kalan Lucas, "İzin Verilebilir Önleyici Siber Savaş."
117
bozuk santrifüjlerin
değiştirilmesi Mark Clayton, “How Stuxnet Cyber Weapon Targeted Iran Nuclear
Plant”, Christian Science Monitor, 16 Kasım 2010, http://www.
csmonitor.com/USA/2010/1116/How-Stuxnet-cyber-weapon-targeted-Iran-nuclear- bitki .
117
“Çin su işkencesi” Ralph Langner,
“Sığınak avcılarından daha iyi: sanal Çin su işkencesi,” Langer.com, 15 Kasım
2010, http://www.langner.com/ tr/2010/11/15/sanal-çin-su-işkencesinden-sığınak-yıkıcılardan-daha-iyi/
.
118
“Olimpiyat Oyunları” David Sanger,
“Obama Emri İran'a Karşı Siber Saldırı Dalgasını Hızlandırdı”, New York
Times, 1 Haziran 2012, http://www.nytimes.com/2012/06/01/world/ ortadoğu/obama-iran'a-karşı-siber-siber-saldırı-dalgası.html
.
S tuxnet'in Gizli Dersi Nedir
? _ _ _ _ _ Siber Silahların Etiği _ _ _
118
“Atom bombası mı?” “FP Araştırması:
İnternet,” Dış Politika (Eylül-Ekim 2011): s. 116.
118 uçak ve nükleer reaktör Clayton,
“Stuxnet Siber Silahı İran Nükleer Santrali'ni Nasıl Hedefledi?”
118
Leslie Harris “FP Araştırması”,
s. 116 diyor.
119
“sivil personel ve
altyapı” Neil C. Rowe, “Siber Savaş Saldırılarının Etiği”, Siber Savaş
ve Siber Terörizm içinde , Lech J. Janczewski ve Andrew M. Colarik
tarafından düzenlenmiştir (Hershey, PA: Bilgi Bilimi Referansı, 2008), s . 109.
119
"984 Siemens
santrifüjleri" age.
120
"Pandora'nın
kutusu" Mark Clayton, "Stuxnet'i Keşfeden Adamdan, Bir Yıl Sonra
Korkunç Uyarılar", Christian Science Monitor, 22 Eylül 2011, http:// www.csmonitor.com/USA/2011/0922/From-the-man-who-discovered-Stuxnet-dire- bir yıl sonra uyarılar.
“ Siber Savaş , Öhöm , Sıfırlar
ve Birler Nelere Yarar ? ” : Siber Savaşı Tanımlamak _ _ _
120
“işbu belgeyle resmi
olarak ilan edilmiştir” İkinci Dünya Savaşı ile ilgili Tarihi Kaynaklar,
“Bulgaristan'a Savaş İlanı Metni — 5 Haziran 1942,” 7 Ağustos 2008, http://historicalresources. wordpress.com/2008/08/07/text-of-declaration-of-savaş-on-bulgaristan-haziran-5-1942/
.
120
Noel'de Savaş Anna Dimond,
“O'Reilly: 'Narkotiklerin Yasallaştırılması, Ötenazi, İsteğe Bağlı Kürtaj,
Eşcinsel Evlilik'i İçeren 'Laik İlerici Gündemin' Noel Kısmında 'Savaş'” Media
Matters for America, 21 Kasım 2005 , http://mediamatters. org/video/2005/11/21/oreilly-noel-savaşı-laik-progre-parçası/134262
.
121
“önemli yıkım” Aram Roston,
“ABD: Savaş Kanunları Siber Saldırılara Uygulanır,” Defense News, 18
Eylül 2012, http://www.defensenews.com/article/20120918/ DEFREG02/309180012/ABD-Yasalar-Savaş-Uygula-Siber-Saldırılar
.
121
“Bizimle yoğun siber
çatışma” Clayton, “Yeni Siber Silah Yarışı.”
121
“ateşli bir savaşı
tetiklemeden” David Sanger, “Siber Uzayda Yeni Bir Soğuk Savaş, US Times'ı
Çin'e Test Ediyor,” New York Times, 25 Şubat 2013, http://www.
nytimes.com/2013/02/25/world/asia/us-confronts-cyber-soğuk-savaş ile
Çin. html?pagewanted=2&_r=1&partner=rss&emc=rss
.
Başka Bir İsmin Savaşı Mı ? _ _ _ _ Siber Çatışmanın
Hukuki Tarafı _ _ _ _ _ _
122
“hepsine karşı bir
saldırı” Kuzey Atlantik Antlaşması Örgütü, “Kuzey Atlantik Antlaşması”, 4
Nisan 1949, http://www.nato.int/cps/en/natolive/official_texts_17120.htm
, 11 Ağustos 2013'te erişildi.
122
Rus askerleri Beidleman'ı
onurlandıran, “Siber Savaşı Tanımlamak ve Caydırmak” s. 4.
122
, “'Moskova Siber
Savaşı'nın Etkilediği Estonya'yı” savunmak zorunda kaldı . BBC News, 17
Mayıs 2007, ttp://news.bbc.co.uk/2/hi/europe/6665145.stm
.
123
“NATO tegi filmi Eesti
kübersojast” bölümü hakkında kısa film , Postimees, 28 Mart 2009, http://www.postimees.ee/100125/nato-tegi-filmi-eesti-kubersojast/
.
123
“bir devletin toprak
bütünlüğü...” Birleşmiş Milletler, “Birleşmiş Milletler Şartı,” 6 Haziran
1945, http://www.un.org/en/documents/charter/chapter1.shtml
.
123
Tallinn Manual Michael N.
Schmitt, ed., Siber Savaşa Uygulanabilir Uluslararası Hukuka ilişkin Tallinn
Kılavuzu (New York: Cambridge University Press, 2013), http://issuu. com/nato_ccd_coe/docs/tallinnmanual?mode=embed&layout=http%3A%2F%2Fskin.
issuu.com%2Fv%2Flight%2Flayout.xml&showFlipBtn=true.
123
Dış Politika dergisi
Josh Reed'in raporuna göre , “ABD Hükümeti: Savaş Kanunları Siber
Çatışmalara Uygulanır,” Killer Apps ( blog ), Dış Politika, 26
Mart 2013, http://killerapps.foreignpolicy.com/posts/2013/
25/03/us_govt_laws_of_war_apply_to_cyber_conflict.
124
Charles Dunlap Siobhan Gorman ve
Julian Barnes, “Siber Savaş: Savaş Yasası,” Wall Street Journal, 31
Mayıs 2011, http://online.wsj.com/article/SB1000142405270230456310 4576355623135782718.html?mod=WSJ_hp_LEFTTopStories .
124
silah kullanımına eşdeğer
Beidleman,
“Siber Savaşı Tanımlamak ve Caydırmak” s. 13.
124
"daha çok bir siber
isyan gibi" Shaun Waterman, "Analiz: Siber Estonya'yı Kim
Vurdu?" United Press International, 11 Mart 2009.
125
doğrudanlık ve
ölçülebilirlik Owens, Dam ve Lin, ABD'nin Siber Saldırı Yeteneklerini
Satın Almasına ve Kullanımına İlişkin Teknoloji, Politika, Hukuk ve Etik.
126
“Farklı araçlarla
politika” Carl von Clausewitz, Savaş Üzerine, Michael Howard ve Peter
Paret tarafından düzenlenmiştir (Princeton, NJ: Princeton University Press,
1976).
126
diğerini kendi iradesine
boyun eğdirmek Thomas G. Mahnken, “Siber Savaş ve Siber Savaş,” America's
Cyber Future: Security and Prosperity in the Information Age, cilt. 2,
Kristin M. Lord ve Travis Shard tarafından düzenlenmiştir (Washington, DC: Yeni
Amerikan Güvenliği Merkezi, Haziran 2011), s. 59.
126 “Bu her zaman bir yargıdır” Jennifer
Martinez, “DOD Could Use Force in Cyber War,” Politico, 15 Temmuz 2011, http://www.politico.com/news/stories/0711/59035.html
.
Bir " Siber Savaş "
Gerçekte Neye benzeyebilir ? _ _ _ _ _ Bilgisayar
Ağı İşlemleri _ _ _
127
İsrail'in şüphelerini
doğruluyor Erich Follath ve Holger Stark, “İsrail Suriye'nin Al Kibar Nükleer
Reaktörünü Nasıl Yok Etti?” Der Spiegel, 2 Kasım 2009, http://www.spiegel. de/international/world/meyve
bahçesi-operasyonunun-hikayesi-israil-suriye-yi-nasıl-yok etti- al-kibar-nükleer-reaktör-a-658663-2.html.
127
İsrail jetleri Sally
Adee'yi uçurdu , “The Hunt for the Kill Switch”, IEEE Spectrum, 1
Mayıs 2008, http://spectrum.ieee.org/semiconductors/design/the-hunt-for-the-kill-switch/0
.
128
Solar Sunrise Beidleman, “Siber
Savaşın Tanımlanması ve Caydırılması”, s. 3.
128
düşmanın siber uzayı
kullanması Noah Shachtman, “Darpa, Gizli 'Plan X' ile Siber Savaş Rutinini
Yapmaya Bakıyor", Danger Room (blog), Wired, 21 Ağustos
2012, http://www.wired. com/dangerroom/2012/08/plan-x/ .
128 110 milyon dolarlık program Age.
128 “yeni bir savaş türü” “Yeni Bir Savaş
Türü”, New York Times, 9 Eylül 2012, http://www.nytimes.com/2012/09/10/opinion/a-new-kind-of
-warfare.html7_ r=2&hp& .
128
“Batı Pasifik tiyatrosu” Krekel, “Çin Halk
Cumhuriyeti'nin Siber Savaş ve Bilgisayar Ağı İstismarını Yürütme Yeteneği.”
129
prototip robot savaş
uçağı Dan Elliott, “Glitch Shows How Much US Military Relies on GPS”, Phys.org,
1 Haziran 2010, http://phys.org/news194621073.html .
129
düşmanın zihninde Owens, Dam ve
Lin, ABD'nin Siber Saldırı Yeteneklerini Edinmesi ve Kullanımına İlişkin
Teknoloji, Politika, Hukuk ve Etik.
131
75 kişiyi öldürdü David A. Fulghum,
“Digital Deluge," Aviation Week & Space Technology 173, no. 18
(23 Mayıs 2011).
132
yeni solucan kutusu Fontaine ve
Rogers, “İnternet Özgürlüğü ve Hoşnutsuzlukları” s. 155.
Odak : ABD'nin Siber
Savaşa Askeri Yaklaşımı Nedir ? _ _ _ _
_
133
US CERT kodu ,
“Güvenlik Açığı Notu VU#836068," 31 Aralık 2008, http://www.kb.cert.org/vuls/id/836068
.
134
"çift şapkalı" Zachary
Fryer-Biggs, "ABD Siber Güvenliği Agresifleşiyor", Defense News 26,
no. 34 (19 Eylül 2011): s. 6.
134
dekorasyon veya rozet yok
.
134
“siber”i 147 kez tartıştı
“Savunma
Bakanlığı Bütçesi Hakkında Bilmediğiniz Yedi Şey”, Dış Politika, 12
Nisan 2013, http://e-ring.foreignpolicy.com/posts/2013/04/12/ seven_things_you_didnt_know_about_the_dod_budget_request
.
134
etkili bir şekilde ikiye
katlamaya hazırlanıyor , "Pentagon Beş Yıllık Siber Güvenlik Planı
23 Milyar Dolar Arıyor" Bloomberg, 10 Haziran 2013, http://www.bloomberg.com/news/2013- 06-10/pentagon-beş yıllık-siber güvenlik
planı-23-billion.html .
135
"yönetici teknoloji
işi" Fryer-Biggs, "ABD Siber Güvenliği Agresif Hale Geliyor",
s. 6.
135
30 sayfa Gorman ve Barnes,
“Siber Savaş.”
135
üç tür siber kuvvet Ellen Nakashima,
“Pentagon to Boost Cybersecurity Forces,” Washington Post, 27 Ocak 2013.
135
, 12 Kasım 2009'da Grand
Hyatt, Washington, DC'de William J. Lynn'in "Savunma Bilgi Teknolojisi
Edinme Zirvesindeki Açıklamalar" adlı konuşmasını halka açık olarak
anlattı .
136
“işleri saldırgan bir
şekilde yapın” Fryer-Biggs, “ABD Siber Güvenliği Agresif Hale Geliyor”, s.
6.
136
“daha iyisini
yapabiliriz” Seymour M. Hersh, “Çevrimiçi Tehdit”, New Yorker, 1 Kasım
2010, http://www.newyorker.com/reporting/2010/11/01/101101fa_fact_hersh
.
136
"ki bu misillemeyi
hak edebilir" Gorman ve Barnes, "Siber Savaş."
136
“bacalarınızdan biri” age.
136 uygulamada uygulanabilir Owens, Dam ve
Lin, ABD'nin Siber Saldırı Yeteneklerinin Edinimine ve Kullanımına İlişkin
Teknoloji, Politika, Hukuk ve Etik.
136
“Mutlak, kesin teknik
kanıt” Age.
137
2,4 kat daha fazla Jim Michaels,
"Pentagon Expands Cyber-Attack Capataineds", USA Today 22
Nisan 2013, http://www.militarytimes.com/article/20130421/NEWS/ 304210016/Pentagon siber saldırı yeteneklerini
genişletiyor .
137
“tedarik zincirlerini
korumak” Gary McGraw ve Nathaniel Fick, “Tehditleri Aldatmacadan Ayırmak:
Washington'un Siber Güvenlik Hakkında Bilmeleri Gerekenler”, America 's
Cyber Future: Security and Prosperity in the Information Age, cilt 2,
Kristin M. Lord ve Travis Shard (Washington, DC: Yeni Amerikan Güvenliği
Merkezi, Haziran 2011), s.48.
137
“savunmada kötü” Kıdemli ABD
askeri yetkilisi, yazarlarla röportaj, Nisan 2011.
137
“Obama, ABD'ye Siber
Saldırılar için Denizaşırı Hedef Listesi Oluşturmasını Emretti” kararının
alınmasından aylar sonra, Guardian, 7 Haziran 2013, http://www.guardian.co.uk/world/2013/ haziran/07/obama-çin-hedefler-siber-denizaşırı .
138
Dersler ?" Stratejik
Çalışmalar Üç Aylık Dergisi 5, sayı 4 (Kış 2011): s. 26.
Odak : Çin'in Siber Savaşa
Yaklaşımı Nedir ? _ _ _ _ _
138
“siberuzaydaki en
tehditkar aktör” Tony Capaccio, “Çin'in En Tehdit Eden Siberuzay Gücü, ABD
Paneli Söyledi”, Bloomberg, 5 Kasım 2012, http://www.bloomberg.com/ haberler/2012-11-05/çin-en-tehditkar-siberuzay-gücü-bizi-panel-says.html
.
138
Ulusal Karşı İstihbarat
İdaresi'nin "aktif ve kalıcı" Ofisi, "Yabancı Casuslar Siber
Uzayda ABD Ekonomik Sırlarını Çalıyor."
138
"HAYIR. 1 Siber
Tehdit” Bill Gertz, “Cyber Spies Spotted”, Washington Free Beacon, 26
Ekim 2012, http://freebeacon.com/cyber-spies-spotted/
.
138 açıkça yer alan Çin Savunma Bakanlığı,
“Siber Uzayda Operasyona İlişkin Savunma Bakanlığı Stratejisi”, Temmuz 2011, http://timemilitary.files.wordpress.com/2011/07/ d20110714cyber.pdf, 11 Ağustos
2013'te erişildi.
138
dijital yankı David Ignatius,
“Siber Güvenlikte Soğuk Savaş Duygusu”, Real Ciear Politias, 26 Ağustos
2010, http://www.realclearpolitics.com/articles/2010/08/26/cold_war_ Feel_on_cybersecurity_106900.html .
139
“Soğuk Savaş zihniyeti” “Çin, Pentagon'un
Siber Saldırısını Reddediyor” BBC News.
139
Daha sık saldırı altında Bir örnek şu:
“Çin defalarca yurtdışında siber saldırılar düzenlemekle suçlandı ancak hiçbir
zaman somut bir kanıt bulunamadı. Aslında Çin bu tür tekrarlanan iddiaların
kurbanı oldu." Çin Dışişleri Üniversitesi'nde uluslararası güvenlik uzmanı
olan Su Hao, Ai Yang'da, "Ulusun 'Daha Fazla İnternet Güvenliği'ne
İhtiyacı Var," " China Daily, 29 Aralık , 2010.
139
En fazla siber saldırı
sayısına sahip Yang, “Ulusun 'Daha Fazla İnternet Güvenliğine' İhtiyacı
Var.' "
139
Yıllık yüzde 80 S. Smithson, “Çin
Siber Saldırıya Açık”, Washington Times, 17 Mart 2011, http://www.washingtontimes.com/news/2011/mar/17/ china-open-to-cyber-attack/?page=all, erişim tarihi: 26 Eylül 2011.
139 10 ila 19 milyon “ W^ IT^ B: ^Sö^^^^^^^n
BS (Ünlü
BT Dergisi İddiaları: Çin Bilgisayar Korsanları İçin Sıcak Bir Hedeftir),"
Renmin wang, http://it.people.com.cn/ GB/42891/42894/3308326.html
, 2 Eylül 2011'de erişildi.
139 yabancı bilgisayar korsanı Tim
Stevens, “Breaching Protokolü”, Janes Intelligence Review 22, no. 3
(Mart 2010): s. 8-13.
139 “devlet destekli casusluk” James
Mulvenon, yazarlara e-posta, 21 Mart 2013.
139 Su Hao Yang, “Ulusun 'Daha Fazla
İnternet Güvenliğine' İhtiyacı Var.' "
ABD'den 139 siber saldırı “ ^H^ " ^^^# " M^SWH
üH^^M^ (Çin, Casus Yazılımların En Büyük Mağduru, Çoğu Saldırı ABD'den
Kaynaklanıyor)," Xinhua News, 10 Nisan 2009, http
://news.xinhuanet.com/mil/2009-04/10/content_11163263.htm , 26 Eylül 2011'de erişildi.
139 90.000 kez Paul Mazor, “Çin, ABD'den
Kaynaklanan Siber Saldırıları İddia Ediyor,” Wall Street Journal, 1 Mart
2013, http://online.wsj.com/article/SB10001424127887323293704578
331832012056800?mg=reno64-wsj.html?dsk=y .
139
İlk 50'nin 20'si Noah Shachtman,
“ISP'lerin Korsanları”, Brookings Enstitüsü, Haziran 2011, http://www.brookings.edu/~/media/Files/rc/papers/2011/0725_ cybersecurity_shachtman/0725_cybersecurity_shachtman.pdf
, 11 Ağustos 2013'te erişildi.
140
“Çağımızın en büyük kötü
adamı” “Çin, ABD'nin Siber Gözetlemesinden 'Ciddi Kaygılı', Dünyanın 'En
Büyük Kötü Adamı' Olarak Adlandırılıyor," South China Morning Post, 23
Haziran 2013, http://www.scmp. com/news/china/article/1267204/us-cyber-snooping-makes-it-worlds-biggest-vil- Lain-bizim-yaşımız-diyor-xinhua .
140
ABD devlet kuruluşu “ i#W$T®-jlTO^^^ (Sunucularımızı Kim Kontrol Ediyor)," International
Financial News, 20 Ağustos 2009, s. 2, http://paper.people.com.cn/gjjrb/ html/2009-08/20/content_323598.htm .
140
“İnternet savaşıyla
savaşın” Eyder Peralta, “Çinli Askeri Akademisyenler ABD'yi 'İnternet
Savaşı' Başlatmakla Suçluyor, " NPR, 3 Haziran 2011, http://www.npr.org/blogs/thetwo-way/ 2011/06/03/136923033/çinli-askeri-alimler-bizi-fırlatmakla-suçluyor- internet savaşı .
140
Hükümet kaynaklarına göre
Jan
van Tol, Mark Gunzinger, Andrew Krepinevich ve diğerleri, "HavaDeniz
Savaşı: Kalkış Noktası Operasyonel Konsepti", Stratejik ve Bütçesel
Değerlendirmeler Merkezi, 18 Mayıs 2010, http://www . csbaonline.org/ yayınlar/2010/05/hava-savaş-kavramı/ .
141
yaklaşık 130.000 personel
William
Matthews, “Çin Saldırıları Siber Casusluğu Açığa Çıkarıyor”, Defense News (18
Ocak 2010): s. 4.
141
10 alt bölüm Gertz, “Siber
Casuslar Tespit Edildi.”
141
“bilgilendirilmiş Mavi
Takım” Krekel, “Çin Halk Cumhuriyeti'nin Siber Savaş ve Bilgisayar Ağı
İstismarını Yürütme Yeteneği.”
141
Gazetenin ön sayfasında David Sanger,
“Çin Ordusu Biriminin ABD'ye Karşı Hacklemeye Bağlı Olduğu Görülüyor”, New
York Times, 18 Şubat 2013, http://www.nytimes. com/2013/02/19/teknoloji/çin-ordusu
bize karşı-hackleme-bağlantılı olarak görülüyor. html?hp
.
141
40 diğer APT operasyonu “Mandiant'ın
Getirdikleri”, Stratejik Haber Servisi, yazarlara e-posta mesajı, 11 Mart 2013.
142
“2003 sınıfı” Nicole Perloff,
“İnternet Dedektifleri Çin Askeri Hackleme Suçlamalarına Kanıt Ekledi”, New
York Times, 27 Şubat 2013, http://bits.blogs. nytimes.com/2013/02/27/internet-sleuths-add-evidence-to-chinese-military- hack-suçlamalar/ .
142
“yeni stratejik yüksek
zemin” age.
142
“düşman bilgi ekipmanı” Savunma Bakanı
Ofisi, “Kongreye Yıllık Rapor: Çin Halk Cumhuriyeti'nin Askeri Gücü 2009”,
2009, s. 27, http: // www.defenselink.mil/pubs/pdfs/China_Military_Power_Report_2009.pdf,
11 Ağustos 2013'te erişildi.
142
karşı saldırı riskinin
azalması Krekel, “Çin Halk Cumhuriyeti'nin Siber Savaş ve Bilgisayar Ağı
İstismarını Yürütme Yeteneği.”
143
“elektronik Maginot
hattı” Qiao Liang ve Wang Xiansui, Unrestricted Warfare (Panama
City, Panama: PanAmericanPublishing, 2002), TimothyL'den alıntı. Thomas, TheDragon's
Quantum Leap (Fort Leavenworth, KS: Yabancı Askeri Araştırmalar Ofisi,
2009).
143
“bilgilendirme düzeyi” Bryan Krekel,
Patton Adams ve George Bakos, “Bilgi Yüksek Zeminini Almak: Bilgisayar Ağı
Operasyonları ve Siber Casusluk için Çin Yetenekleri”, Northrop Grumman
Corporation, 7 Mart 2012, s. 25, http: // www.uscc.gov/RFP/2012/USCC%20Report_Chinese_CapaabilityforComputer_ AğOperasyonlarıveSiberEspionage.pdf .
144
“Çin'in büyük taşları
var” Menn, “Siber Güvenlik Anlaşması'na 'Çok İhtiyaç Var.' "
Siber Savaş Çağında Caydırıcılık
hakkında ne düşünüyorsunuz ? _
144
“caydırıcılık merdiveni” Savunma
Bakanlığı, “Esnek Askeri Sistemler ve Gelişmiş Siber Tehdit”, Savunma Bilim
Kurulu görev gücü raporu, Washington, DC, Ocak 2013, http://www.acq.osd.mil/dsb/reports/ResilientMilitarySystems
. CyberThreat.pdf ,
11 Ağustos 2013'te erişildi.
145
"Geleneksel Hızlı
Küresel Grev" age.
145
“en iyisini özetliyor” John Reed, “DoD
Paneli Özel Bombardıman Uçağı Silahlı Siber Caydırıcılık Gücünü Tavsiye
Ediyor,” Killer Apps (blog), Dış Politika, 6 Mart 2013, http://killerapps.foreignpolicy.com/posts/2013
/03/06/dod_panel_recommends_ Special_bomber_armed_cyber_deterrent_force
.
145 “kabul edilemez karşı eylem” “Caydırıcılık,”
Savunma Bakanlığı Askeri ve İlişkili Terimler Sözlüğü Ortak Yayını 1-02 (Washington,
DC: The Joint Staff, 8 Kasım 2010, 15 Aralık 2012'ye kadar değiştirilmiştir),
s. 85, http://www.dtic.mil/doctrine/ new_pubs/jp1_02.pdf .
145
Bkz . TV Paul,
Patrick M. Morgan ve James J. Wirtz, Kompleks Caydırıcılık: Küresel Çağda
Strateji (Chicago: University of Chicago Press, 2009).
146
“Amerika'ya zarar vermeye
çalışın” Leon E. Panetta, “Sekreter Panetta'nın Ulusal Güvenlikten Sorumlu
İşletme Yöneticilerine Siber Güvenlik Konusunda Yaptığı Açıklamalar”, New
York'taki Cesur Deniz, Hava ve Uzay Müzesi'nde açıklamalar, 11 Ekim 2012, http:
//
www.defense.gov/transkripts/ transkript.aspx?transkriptid=5136
.
146
“Bu operasyonların
analizi” Alperovitch, “Siber Uzayda Caydırıcılık.”
Siber Uzayda Tehdit Değerlendirmesi
Neden Bu Kadar Zor ? _ _ _ _ _ _
148 “aynı sayıda nükleer savaş” Nye,
“Siber Güvenlik için Nükleer Dersler?” s.25.
148 “düşmanların fizibilitesi” Herbert
Lin, “Siber Uzayda Tehdit Değerlendirmesi Üzerine Düşünceler”, Siber Güvenlik
Konferansı'nda yapılan sunum: Paylaşılan Riskler, Paylaşılan Sorumluluklar,
Ohio State Üniversitesi, 1 Nisan 2011.
148 “korkular barındırıyor” Smithsonian
Ulusal Hava ve Uzay Müzesi, “Uydu Keşfi: Uzaydaki Gizli Gözler,” http://www.nasm.si.edu/exhibitions/gal114/ SpaceRace/sec400/sec400.htm , 8 Ocak 2013'te erişildi.
150
“hiç şüpheniz olmasın” Owens, Dam ve
Lin, ABD'nin Siber Saldırı Yeteneklerinin Edinimine ve Kullanımına İlişkin
Teknoloji, Politika, Hukuk ve Etik , s. 142.
Siber Güvenlik Dünyası Zayıfları
mı Yoksa Güçlüleri mi Kayırır ? _ _ _
150
çeşitli isyancı gruplar Siobhan Gorman,
August Cole ve Yochi Dreazen, “İsyancılar ABD Drones'unu Hackliyor” Wall
Street Journal, 17 Aralık 2009, http://online.wsj.com/arti- cle/SB126102247889095011.html
.
151
“Büyük devletlerin
korunması” Lewis, “Tehdit,” s. 20.
151
“En çok kaybedilecek şey”
Clayton,
“Yeni Siber Silah Yarışı.”
151
"tonlarca güvenlik
açığı" age.
152
“güç eşitlemesi” Nye, “Siber
Uzayda Güç ve Ulusal Güvenlik”, s. 14.
152
sahte santrifüj seti William J. Broad,
John Markoff ve David E. Sanger, “İsrail Testi İran Nükleer Gecikmesinde Önemli
Olarak Belirlenen Solucan,” New York Times, 15 Ocak 2011, http://www.nytimes.com/
2011/01/16/dünya/middleeast/16stuxnet.html? pagewanted=tümü&_r=0
.
152 “küçük köpekler ısırır” Nye, “Siber
Uzayda Güç ve Ulusal Güvenlik”, s. 14.
152
tırmanış hakimiyeti Mahnken, “Siber
Savaş ve Siber Savaş”, s. 61.
Avantaj , Saldırı veya Savunma
Kimdir ? _ _ _ _ _ _
153
“1913'te askeri hukuk” Barbara W.
Tuchman, Ağustos 1914 (Londra: Constable, 1962), s. 44.
153
“saldırı kültü” Stephen Van
Evera, “Saldırı Kültü ve Birinci Dünya Savaşının Kökenleri,” Uluslararası
Güvenlik 9, no. 1 (Yaz 1984): s. 58-107.
154
öngörülebilir gelecekte
hücum ağırlıklı van Tol ve diğerleri, "HavaDeniz Savaşı."
154
daha ucuz ve daha kolay age.
154
10 milyon Savunma İleri
Araştırma Projeleri Ajansı Direktörü Regina E. Dugan, Temsilciler Meclisi
Silahlı Hizmetler Komitesi, Ortaya Çıkan Tehditler ve Yetenekler Alt Komitesi
huzurunda ifade verdi, 1 Mart 2011, s. 16-17, www.darpa.mil/ WorkArea/DownloadAsset.aspx?id=2929 ,
8 Ocak 2013'te erişildi.
154
“saldırganın daha az
yatırım yapması” age.
155
Owens, Dam ve Lin,
ABD'nin Siber Saldırı Yeteneklerini Satın Alması ve Kullanımına İlişkin
Teknoloji, Politika, Hukuk ve Etik konusunu tahmin etmek zor .
155
“saldırıyı herhangi bir
adımda durdurun” Graham Warwick, “Siber Avcılar: Havacılık ve Savunma
Prime'ları, Siber Savunma Otomasyonunu Sistem Entegrasyon Becerilerini
Uygulamak İçin Bir Fırsat Olarak Görüyor,” Aviation Week & Space
Technology 173, no. 18 (23 Mayıs 2011).
155
hatta bir siber karşı
saldırı Owens, Dam and Lin, ABD'nin Siber Saldırı Yeteneklerinin
Edinimine ve Kullanımına İlişkin Teknoloji, Politika, Hukuk ve Etik.
156
“İzinsiz girişle mücadele
edin” Vint Cerf, yazarlara e-posta mesajı, 5 Eylül 2011.
156
suçta şüphe uyandırmak Mark Clayton,
“Siber Çatışmayı Önlemenin 10 Yolu,” Christian Science Monitor, 7 Mart
2011, http://www.csmonitor.com/USA/Military/2011/0307 /siber-çatışmayı-önlemenin-10-yolu/siber
savaşı-sınırlama-konuşmalarını başlatın .
156
“seni korkutmuyor” Andrea
Shalal-Esa, “Eski ABD Generali Siber Silahlar Konusunda Açık Konuşmaya
Çağırıyor,” Reuters, 6 Kasım 2011, http://www.reuters.com/article/ 2011/11/06/us-cyber-cartwright-idUSTRE7A514C20111106
.
Yeni Bir Tür Silahlanma Yarışı : Siber Yayılımın Tehlikeleri
Nelerdir ? _ _ _ _ _ _ _ _ _
156
"tamamen
mahvolacağız" Plutarch, The Parallel Lives, cilt. 9, son
değiştirilme tarihi 4 Mayıs 2012, http:
//penelope.uchicago.edu/Thayer/E/Roman/Texts/Plutarch/Lives/Pyrrhus*. .html#21 .
157
“siberaskeri yeteneklerin
toplanması” Clayton, “Yeni Siber Silahlanma Yarışı.”
157
Stuxnet benzeri silah age.
157
“çok yoğun” Michael Nacht,
yazarlarla röportaj, 24 Şubat 2011.
158
10 uzman Langner, “Siber
Uzayda Caydırıcılık.”
158
Stuxnet'in Ibid'e
saldırdığı güvenlik açıkları .
159
ilham örneği Tom Espiner,
"McAfee: Why Duqu Is a Big Deal", ZDNet Birleşik Krallık, 26
Ekim 2011, http://www.zdnet.co.uk/news/security-threats/2011/10/26/mcafee
- neden-duqu-bu-önemli-bir-40094263/ .
159
"Stuxnet'ten çok şey
kopyaladım" Clayton, "Stuxnet'i Keşfeden Adamdan, Bir Yıl Sonra
Korkunç Uyarılar."
159
daha sorunsuz ve daha
endişe verici "Gömülü Cihazlarda Güvenlik" sunumu, McAfee, 22
Haziran 2011.
Geçmişteki Silah Yarışlarından
Alınacak Dersler Var mı ? _ _ _ _ _
160
“Dünya barışı ya da dünyanın
yıkımı” Bernard Baruch, “Baruch Planı,” Birleşmiş Milletler Atom Enerjisi
Komisyonu'na açıklamalarda bulunuyor, 14 Haziran 1946.
161
“kötü biçimlendirilmiş,
gelişmemiş ve son derece belirsiz” Owens, Dam ve Lin, ABD'nin Siber
Saldırı Yeteneklerini Satın Almasına ve Kullanımına İlişkin Teknoloji,
Politika, Hukuk ve Etik, s. 4.
161
“milyonlarca ve
milyonlarca” Clayton, “Yeni Siber Silahlanma Yarışı.”
162
Rebecca Bonner Rebecca Bonner,
"Siberuzayda Silahlanma Yarışı mı?" Uluslararası Güvenlik Projesi,
Yale Hukuk Fakültesi, Mayıs 2011, http://www.yaleisp.org/2011/05/ siber
uzayda silahlanma yarışı .
Perde Arkası : Burada bir
Siber - Endüstriyel Kompleks mi var ? _ _ _
163
“sizin için konferans” Siber Güvenlik
Konferansına Davet, yazarlara e-posta, 27 Mayıs 2013. Daha fazlası www.cyberarmsrace.com
adresinde .
163
65 milyar Guy Andersen,
“Siber Güvenlik: Kurumsal Zorluklar ve Ortaya Çıkan Fırsatlara Yanıtlar,” Jane's
Defense Weekly 48, no. 36 (7 Eylül 2011): s. 30-32.
163
Yüzde 6 ila yüzde 9 Pazar Medya
Araştırması, “ABD Federal Siber Güvenlik Piyasası Tahmini 2013-2018,” http://www.marketresearchmedia.com/?p=206,
Ocak 2013'te erişildi.
163 “80 milyar dolar ve 150 milyar dolar” Eric
Schmidt ve Jared Cohen, The New Digital Age (New York: Knopf, 2013), s.
110.
163 “nadir vaha” Andersen, “Siber
Güvenlik”, s. 30-32.
163 Profesör Peter Sommer Susan Watts,
“Siber Savaş Kurallarına İlişkin Teklif” BBC News, en son değiştirilme tarihi 3
Şubat 2011, http://news.bbc.co.uk/2/hi/programmes/ haber gecesi/9386445.stm.
163
“fırsat zenginliği” Siber Güvenlik
Konferansına Davet, yazarlara e-posta.
164
Tüm birleşmelerin yüzde
15'i Andersen, “Siber Güvenlik” s. 30-32.
164
kara para aklamayı önleme
uzmanı age.
164
, 16 Nisan 2013 tarihinde
Boeing yöneticisi Annapolis Junction, MD ile röportaj yaptı .
164 ticari BT altyapıları Mark Hoover,
“Boeing Inks Partnership for Japan Cyber Initiative,” Washington Technology,
19 Eylül 2012, http://washingtonteknoloji.com/articles /2012/09/19
/boeing-partners-with-sojitz -ja için panese-sibergüvenlik-önlemleri.aspx
.
164 “1990'ların sonlarında tanık olundu” Andersen,
“Siber Güvenlik”, s. 30-32.
164 “Lobiciler için İyi Haber” James Ball,
“Lobiciler için İyi Haber: Siber Dolar,” Washington Post, 13 Kasım 2012,
http://articles.washingtonpost.com/2012-11-13/ haberler/35505525_1_sibergüvenlik-lobiciler-topal-ördek-oturumu
.
164
Ronald Deibert Jerry Brito ve
Tate Watkins, “Siber Bombayı Seviyor musunuz? Siber Güvenlik Politikasında
Tehdit Enflasyonunun Tehlikeleri,” Mercatus Center, George Mason Üniversitesi,
26 Nisan 2011, http://mercatus.org/publication/loving-cyber-bomb-dangers-threat-inf lation-sibergüvenlik-politikası .
165
tek güç tedarikçisi McGraw ve Fick,
“Tehdidi Aldatmacadan Ayırmak” s. 44.
165
Cory Doctorow "FP Araştırması",
s. 116.
Bölüm III : Ne Yapabiliriz
? _ _ _ _ _ _
Kanmayın : Neden Yeni ,
Daha Güvenli Bir İnternet Kuramıyoruz ? _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
166
“kurnaz hacker” William R.
Cheswick ve Steven M. Bellovin, Güvenlik Duvarları ve İnternet Güvenliği:
Kurnaz Hacker'ı Kovmak (Reading, MA: Addison-Wesley, 1994).
166
“paketin kötü niyeti var”
Steven
M. Bellovin, “IPv4 Başlığında Güvenlik Bayrağı,” RFC Düzenleyicisi, 1 Nisan
2003, http://www.ietf.org/rfc/rfc3514.txt
.
166
“onsuz daha iyi” Robert Samuelson,
“İnternete ve Siber Saldırı Tehlikesine Dikkat Edin,” Washington Post, 30
Haziran 2013, http://www.washingtonpost.com/ görüşler/robert-samuel-internet-tehditler-ve-sibersaldırılar/2013/06/30/ df7bd42e-e1a9-11e2-a11e-c2ea876a8f30_story.html .
167
tüketici bankaları Aliya Sternstein,
"Eski CIA Direktörü: Siber Güvenliği Geliştirmek için Yeni Bir İnternet
Oluşturun", National Journal, 29 Mayıs 2013, http://www.nationaljournal.com/ ulusal
güvenlik/eski-cia-direktörü-siber-güvenliği-geliştirmek
için-yeni-internet-inşa- 20110707 .
167
“güvenli, korunan bölge” J. Nicholas
Hoover, “Siber Komuta Direktörü: ABD'nin Kritik Altyapıyı Güvenli Hale
Getirmesi Gerekiyor,” InformationWeek Hükümeti, 23 Eylül 2010, http:
//www.informationweek.com/government/security/cyber-command- yönetmenin güvenliğinin sağlanması
gerekiyor/227500515 .
167
“güvenli alternatif
İnternet” David Perera, “Federal Hükümet, Nokta-Güvenli İnternet Alanını
Değerlendiriyor,” Fierce Government IT, 21 Haziran 2011, http: //www.
şiddetligovernmentit.com/story/federal-government-has-dot-secure-Internet-domain- yeterince değerlendirilmiyor/ 2011-06-21.
167 Artemis
, Dan Goodin'i ilan etti, “Kendi Özel İnternetim: Kötü Adamlardan
Arındırılmış Bölge Olarak Güvenli TLD Yüzüyor,” Ars Technica, 10 Mayıs
2012, http://arstechnica.com/ güvenlik/2012/05/kendi-özel-İnternet'im-güvenli-tld-kötü
adam-serbest-bölgesi olarak-yüzüyor/ .
Güvenliği Yeniden Düşünün
: Direnç Nedir ve Neden Önemlidir ? _ _ _ _ _ _ _ _ _ _ _
169
“Yüz Binlerce Kişi
İnternetini Kaybedebilir” “Yüz Binlerce Kişi İnternetini Temmuz Ayında
Kaybedebilir,” Associated Press, 20 Nisan 2012, http://www.azcentral.com/news/articles/20 12/04/20/20120420internet-loss-hackers-virus.html .
170
“İnternet bozuldu” “9 Temmuz
'İnternet Kıyameti'nden Nasıl Korunulur: DNS Şarj Aleti Kötü Amaçlı Yazılımını
Düzeltin,” Fox News, 23 Nisan 2012, http://www.foxnews.com/tech/2012/04/23/ temmuz-internet-kıyamet-düzeltme-dnschanger-kötü
amaçlı yazılımdan nasıl kaçınılır/ .
170 insanı yardıma yönlendiriyor age.
170 119 farklı tanım Dennis Schrader,
“Dayanıklılığa Ulaşmak İçin Pratik Bir Yaklaşım,” DomPrep Journal 8,
sayı 11 (Kasım 2012): s. 26-28, http://www. Domesticpreparedness.com/pub/docs/DPJNov12.pdf
.
170
Dan Geer bunu
çerçeveliyor Daniel E. Geer, Jr., “How Government Can Access Innovative
Technology,” America's Cyber Future: Security and Prosperity in the
Information Age, cilt. 2, Kristin M. Lord ve Travis Shard tarafından
düzenlenmiştir (Washington, DC: Yeni Amerikan Güvenliği Merkezi, 2011), s. 199.
171
“düşük koşullar altında
çalışmak” age.
171
her şeyin kapatılması Réka Albert,
Hawoong Jeong ve Albert-László Barabási, “Karmaşık Ağların Hata ve Saldırı
Toleransı,” Nature 406, no. 6794 (Temmuz 2000): s. 378-382, http://www.nature.com/nature/journal/v406/n6794/full/ 406378a0.html .
172
sonuç odaklı Dünya Ekonomik
Forumu, “Siber Dayanıklılık için Ortaklık”, http://www.weforum.org/issues/partnering-cyber-resilience-pcr,
11 Ağustos 2013'te erişildi.
173
uyarlayın veya yenilik
yapın Richard Cyert ve James G. March, A Behavioral Theory of the
Firm , 2. baskı. (New York: Wiley-Blackwell, 1992).
Sorunu ( ve Çözümü )
Yeniden Çerçevelendirin : Halk Sağlığından Ne Kazanabiliriz ? _ _ _ _ _ _ _ _
174
yaklaşık 5.000'den fazla Bill Woodcock ve
Vijay Adhikari, “Survey of Characteristics of Characteristics of Internet
Carrier Interconnection Deals,” Packet Clearing House, Mayıs 2011.
174
Gregory J. Rattray ve
Jason Healey'nin “Devlet Dışı Aktörler ve Siber Çatışma” adlı kitabını daha
etkili bir şekilde yeniden tasarladılar , America's Cyber Future: Security and
Prosperity in the Information Age, cilt. 2, Kristin M. Lord ve Travis Shard
tarafından düzenlenmiştir (Washington, DC: Yeni Amerikan Güvenliği Merkezi,
2011), s. 79.
175
“önleyici eylemlerin
koordinasyonu” Amerika Birleşik Devletleri İç Güvenlik Bakanlığı, “Siber
Uzayda Dağıtılmış Güvenliğin Etkinleştirilmesi: Otomatik Toplu Eylem ile
Sağlıklı ve Dayanıklı Bir Siber Ekosistem Oluşturmak”, Ulusal Koruma ve
Programlar Müdürlüğü teknik incelemesi, 23 Mart 2011, s. 2, http://www.dhs.gov/xlibrary/assets/ nppd-cyber-ecosystem-white-paper-03-23-2011.pdf , 10 Mayıs 2011'de erişildi.
175 “önüne bir siber tokat atıyor” Zach,
“Siber Güvenliği Yeniden Başlatma: Oyunun Kurallarını Değiştiren İki Fikir
(Federal Bilgisayar Haftası),” Siber Güvenlik Yasası ve Politikası (blog),
8 Nisan 2012, http://blog.cybersecuritylaw.
us/2012/04/08/siber güvenlik-iki-oyunu yeniden başlat-
change-ideas-federalcomputerweek/ , Ocak
2013'te erişildi.
175 hastane, üniversite ve araştırma merkezi Rattray
ve Healey, “Devlet Dışı Aktörler ve Siber Çatışma” s. 79.
Siber güvenliğin 175 paylaşılan sorunu
Mark Clayton, “Siber Çatışmaları Önlemenin 10 Yolu,” Christian Science
Monitor, 7 Mart 2011, http://www.csmonitor.com/USA/Military/20 11/0307/10-siber çatışmayı-önlemenin-yolları/siber
savaşı-sınırlama-konuşmalarını başlatın .
176
“bu tür saldırıları
hafifletin” Rattray ve Healey, “Devlet Dışı Aktörler ve Siber Çatışma”, s. 79.
Ayrıca bkz. Andy Purdy ve Nick Hopkinson, “Çevrimiçi Fikri Mülkiyet Hırsızlığı
Ulusal Güvenliği Tehdit Ediyor,” Avrupa Enstitüsü, Ocak 2011.
177
“topluma yönelik daha
büyük bir tehdit” Steve Ragan, “Microsoft Web Tehditlerine Yönelik Bir Siber CDC
Öneriyor,” Tech Herald, 5 Ekim 2010, http://www.thetechherald.com/articles/ Microsoft, Web tehditlerini gidermek için bir siber
CDC öneriyor/11535/ .
Tarihten Ders Alın : (
Gerçek ) Korsanlar ABD'de Siber Güvenlik Konusunda Ne Yapabilir ? _ _ _ _
178
American Merchant Marine
at War, “American Merchant Marine and Privateers in War of 1812,” http://www.usmm.org/warof1812.html
, erişim tarihi: 5 Eylül 2011, müzakereleri
zorunlu kıldılar .
178 ayrıca Konfederasyoncuları da eleştirdi William
Morrison Robinson, Jr., The Confederate Privateers (New Haven, CT: Yale
University Press, 1928), s. 14.
178
50 İnternet servis
sağlayıcısı Michel Van Eeten, Johannes M. Bauer, Hadi Asghari ve diğerleri,
"Botnet Azaltmada İnternet Servis Sağlayıcılarının Rolü: SPAM Verilerine
Dayalı Ampirik Bir Analiz", Ekonomik İşbirliği ve Kalkınma Örgütü, 12
Kasım, 2010, http://search.oecd.org/officialdocuments/displaydocumentpdf/
?doclanguage=en&cote=dsti/doc%282010%295.
179
“ bataklığı
kurutun” Purdy ve Hopkinson, “Çevrimiçi Fikri Mülkiyet Hırsızlığı Ulusal
Güvenliği Tehdit Ediyor.”
179 daha fazla güç ve kontrol Janice E.
Thomson, Mercenaries, Pirates, and Sovereigns (Princeton, NJ: Princeton
University Press, 1994).
Dünya Çapında Ağ İçin
Dünya Çapında Yönetişimi Koruyun : Uluslararası Kurumların Rolü Nedir ? _ _ _ _
_ _ _ _ _ _ _
181
“kamu düzeni veya ahlak” Uluslararası
Telekomünikasyon Birliği, “Tam Yetkili Konferanslar”, http://www.itu.int/en/history/Pages/PlenipotentiaryConferences.aspx? conf=1&dms=S0201000001 ,
14 Ocak 2013'te erişildi.
181
“Siber Uzayın
Bağımsızlığı Bildirgesi” John Perry Barlow, “Siber Uzayın Bağımsızlığı
Bildirgesi,” Electronic Frontier Foundation, https://projects.eff. org/~barlow/Declaration-Final.html, 14 Ocak 2013'te erişildi.
182
Siber uzayın “ücretsiz”
kısmı Robert Axelrod, yazarlara e-posta mesajı, 5 Eylül 2011.
182
“Nazi hatıraları” İnternet
Yönetişim Projesi, “WCIT Bölüm 4'ün Tehdit Analizi: ITU ve Siber Güvenlik,” 21
Haziran 2012, http://www.internetgovernance. org/2012/06/21/threat-analyse-of-the-wcit-4-cybersecurity/
, Ocak 2013'te erişildi.
182
“geleceğin dalgası” Fred Tipson,
yazarlara e-posta mesajı, 20 Aralık 2010.
183
“sağlıklı, düzenli bir
ortam” “Çin: ABD'nin 'Birden Fazla Ulusa Karşı Yürütülen İnternet
Savaşı'” Huffington Post, 3 Haziran 2011, http://www.huffingtonpost.com/
2011/06/03/china-us- internet-war-bei_n_870754.html.
183
“uluslararası iletişim
teknolojileri” Michael Berkens, “Reuters: ITU: Çin, Suudi Arabistan,
Cezayir, Sudan ve BAE tarafından desteklenen Rusya, Kontrolü ICANN'den Almak
İstiyor,” TheDomains.com, 9 Aralık 2012, http://
www.thedomains.com/2012/12/09/reuters-itu-russia-backed-by-china-saudi-arabia-algeria-sudan-
and-the-uae-wants-to-take-control-away-from- icann/.
183 "belirli bir web sitesine ulaşmaya
çalışan kişiler" age.
183
“Soğuk Savaş'ın dijital
versiyonu” LS, “Dijital Soğuk Savaş mı?” Babbage (blog), Economist,
14 Aralık 2012,
http://www.economist.com/blogs/babbage/2012/12/internet-regülasyon?fsrc=scn/tw_ec/a_digital_cold_war_,
erişim tarihi 14 Ocak 2013.
184
“Dubai'de anlaşma
imzalandı" “Dubai'de Yeni Küresel Telekomünikasyon Anlaşması Kabul
Edildi,” Uluslararası Telekomünikasyon Birliği basın açıklaması (Dubai,
Birleşik Arap Emirlikleri, 14 Aralık 2012), http://www.itu.int/net/pressoffice/press_releases/
2012/92.aspx .
184
“İnternetin ulusal
parçaları” LS, “Dijital Soğuk Savaş mı?”
185
"güvenlik
bayrağı" İnternet Yönetişim Projesi, "WCIT Bölüm 4'ün Tehdit
Analizi: ITU ve Siber Güvenlik."
Hukukun Üstünlüğünü "
Aşın " : Siber Uzay Anlaşmasına İhtiyacımız Var Mı ? _ _ _ _ _ _
185
"su üzerinde
yüzen" Birinci Dünya Savaşı Belge Arşivi, "Hague Hava Harp
Kuralları", http://wwi.lib.byu.edu/index.php/The_Hague_Rules_of_Air_Warfare
, Ocak 2013'te erişildi.
185 "hava harp düzenlemesi" Scott
W. Beidleman, "Siber Savaşı Tanımlamak ve Caydırmak", strateji araştırma
projesi, ABD Ordu Savaş Koleji, 6 Ocak 2009, s. 21.
185 "normal davranış nelerden
oluşur" Joseph Menn, "Siber Güvenlik Anlaşması 'Çok
Gerekli'" Financial Times , 12 Ekim 2011.
185
American West Beidleman, “Siber
Savaşın Tanımlanması ve Caydırılması”, s. 21.
186
"gayri resmi olarak
cevap hayır" Menn, "Siber Güvenlik Anlaşması 'Çok Gerekli.' "
186
savunmasız sivil altyapı age.
187
“tüm bir alan” Ronald Deibert,
“Siberuzayda Yükselen Silahlanma Yarışını Takip Etmek” Atom Bilimcileri
Bülteni 67 (Ocak-Şubat 2011): s. 1-8.
187
başarı şansınızı artırın Martha Finnemore,
"Uluslararası Siber Normları Geliştirmek", America's Cyber Future:
Security and Prosperity in the Information Age, cilt 2, Kristin M. Lord ve
Travis Shard tarafından düzenlendi (Washington, DC: Center for a New) American
Security, 2011), s.90.
187
Yüzde 70 James Fallows,
“Cyber Warriors”, Atlantic, Mart 2010.
188
"Vahşi Batı'dan
taşınmak" age.
188
"kötü amaçlı
yükler" Jeffrey Carr, Inside Cyber Warfare (Sebastopol, CA:
O'Reilly Media, 2010), s. 5.
189
Dean Cheng, bundan
sonra ne olabileceğine dair politikalar , “Çin Siber Saldırıları: Sağlam
Müdahale Gerekiyor” Heritage Foundation, 23 Şubat 2013, http://www.heritage.org/ araştırma/raporlar/2013/02/çin-siber-saldırıları-sağlam-müdahale
gerekli .
189
Farwell, James Farwell'in
yazdığı gibi, "Take Chinese Hacking to the WTO", National
Interest, 15 Mart 2013, http://nationalinterest.org/commentary/take-chinese-hacking- the-wto-8224 .
190
"Çin
yüzleşmeli" James McGregor, "'Siber Soğuk Savaş' Hayaleti Gerçek
mi?" Atlantik, 27 Nisan 2013, http://www.theatlantic.com/china/archive/2013/ 04/siber-soğuk-savaş-hayaleti-gerçektir/275352/ .
190
ortak terimler ve
tanımlar Robert Radvanovsky ve Allan McDougall, Kritik Altyapı: İç
Güvenlik ve Acil Durum Hazırlık, 2. baskı. (Boca Raton, FL: Taylor ve
Francis, 2010), s. 3.
190 böyle bir altyapının korunması daha kolay Zhang
Chenfu ve Tang Jun, “ WM^M^mW®: ü^M^®^^®^ (Bilgileştirme
Risk Yönetimi: Temel Strateji ve Politika Seçimleri)," Chinese Public
Management 260, no. 2 (2007): s. 52-54.
190
birden fazla savaş
başlığına sahip füzeler Stanford Silah Kontrol Grubu, Uluslararası
Silah Kontrolü: Sorunlar ve Anlaşmalar, 2. baskı, Coit D. Blacker ve Gloria
Duffy tarafından düzenlenmiştir (Stanford: Stanford University Press, 1976), s.
237.
191
"Rusya'nın blöfünü
görmek" Jordan Schneider, "Siber Savaş", e-posta yoluyla
paylaşılan makale, Yale Üniversitesi, Mayıs 2011.
191
"uluslararası
finansal sunucular" age.
192
Michael Hayden Menn şöyle diyor:
“Siber Güvenlik Anlaşması 'Çok Gerekli.' "
193
kutsal alanların
bataklığı Robert Axelrod, yazarlara e-posta mesajı, 5 Eylül 2011.
193
üzerinde anlaşmaya
varılan resmi kurallar yok Finnemore, “Uluslararası Siber Normların
Geliştirilmesi”, s. 90.
Siber Uzayda Devletin Sınırlarını
Anlayın : Hükümet Neden Anlayamıyor ? _ _ _ _ _ _ _ _
Peki öyle mi ? _
194
hiçbir hükümet TorrentFreak'i
ele geçiremez, "The Pirate Bay: Site Güvenlidir, Mahkemede Kaybetsek
Bile", 31 Ocak 2008, http://torrentfreak.com/pirate-bay-is-safe-080131/ .
195
geleneksel yargı süreci
olmadan Ewan MacAskill, “Julian Assange Like a High-Tech Terrorist, Says
Joe Biden,” Guardian, 19 Aralık 2010, http://www.guardian.co.uk/ media/2010/dec/19/assange-yüksek
teknolojili-terörist-biden .
195 “düşman savaşçı” Shane D'Aprile,
“Gingrich: Sızıntılar Obama Yönetiminin 'Sığ', 'Amatörce' olduğunu
gösteriyor" Blog Brifing Odası (blog), The Hill, 5 Aralık
2010, http://thehill.com/blogs
/blog-brifing-odası/haberler/132037-gingrich-suçluyor-obama -wikileaks-etiketleri-assange-bir-terörist .
195 geleneksel kanal Ewen MacAskill,
“WikiLeaks Web Sitesi ABD Siyasi Baskısından Sonra Amazon Tarafından
Çekildi," Guardian, 1 Aralık 2010, http://www.guardian.co.uk/ media/2010/dec/01/wikileaks-website-cables-servers-amazon
.
195 Avustralya'da kayıtlı Hal Berghel,
“WikiLeaks and the Matter of Private Manning”, Bilgisayar 45, no. 3
(Mart 2012): s. 70-73.
195 Fransız ulusal bankacılık sistemi Loek
Essers, “Visa and Mastercard Funding Returns to WikiLeaks via French Payment
Gateway”, PCWorld, 18 Temmuz 2012, http://www.
pcworld.com/article/259437/visa_and_mastercard_funding_returns_to_wikileaks_ via_french_payment_gateway.html .
195
1989'da Tiananmen
Meydanı'ndaki protestolar Stephen Jewkes, “Milano Savcısı Google Otizm
Videosu için Hapis Cezasının Onaylanmasını İstiyor”, Reuters, 11 Aralık 2012, http://www.reuters. com/article/2012/12/11/us-google-italy-idUSBRE8BA10R20121211?feedType= RSS&feedName=teknolojiNews&utm_source=dlvr.it&utm_medium=twitter& dlvrit=56505 .
196
“yüzde 98” Eric Talbot
Jensen, “Siber Savaş ve Saldırıların Etkilerine Karşı Önlemler”, Texas Law
Review 88, no. 7 (Haziran 2010): s. 1534.
196 “sıfır bilgi” Conficker Çalışma Grubu
Alınan Dersler Belgesi, 23 Haziran 2013'te erişildi, http://www.confickerworkinggroup.org/wiki/pmwiki.php/ANY/ Dersler öğrenildi.
Hükümetin Rolünü Yeniden Düşünün
: Siber Güvenlik İçin Web Daha İyi Nasıl Örgütlenebilir ? _ _ _ _ _ _ _
198
siber dünyada ömür boyu Doug Krueger,
“GSA İlk FedRAMP Sertifikasını Verdi, Gelecek Daha Fazlasının İşareti,"
Federal Plan, http://federalblueprint.com/2013/gsa- issue-first-federamp-certification-sign-of-more-to-come/
, 11 Ağustos 2013'te erişildi.
199
2012'deki DDoS
saldırıları Ellen Nakashima, “Cyber Defense Effort Is Mixed, Study Finds,” Washington
Post, 12 Ocak 2012, http://articles.washingtonpost.com/2012-01-12/ world/35438768_1_cyber-defense-nsa-data-defense-companies
.
199
muazzam düzeyde veri
madenciliği Siobahn Gorman, “Ajans Verileri Süpürdükçe NSA'nın Yurtiçi
Casusluğu Artıyor” Wall Street Journal, 10 Mart 2008, http://online.wsj.com/ makale/SB120511973377523845.html .
200
yalnızca savunma odaklı Matt Blaze,
"FBI'ın Arka Kapılara Değil, Hackerlara İhtiyacı Var" Wired, 14
Ocak 2013, http://www.wired.com/opinion/2013/01/wiretap-backdoors/
.
200 bunlar başka yerlerde açık olmak üzere Tyler
Moore, Allan Friedman ve Ariel D. Procaccia, "Bir 'Siber Savaşçı' Bizi
Korur mu: Bilgi Sistemlerinin Saldırısı ve Savunması Arasındaki Dengeleri
Keşfetmek", 2010 Yeni Güvenlik Çalıştayı Bildirileri'nde Paradigmalar ,
Concord, MA, 21-23 Eylül 2010, s. 85-94, http://www.nspw.org/papers/2010/ nspw2010-moore.pdf .
200 “siber olaylara müdahaleyi koordine etme” MatthewH.
Flemingand Eric Goldstein, "İç Güvenlik Bakanlığı'nın Amerika Birleşik
Devletleri Siber Uzayını Korumaya Yönelik Çabalarını Yöneten ve Destekleyen
Temel Yetkililerin Bir Analizi", İç Güvenlik Çalışmaları ve Analiz
Enstitüsü, 24 Mayıs 2011, s. 18, http: / /www.homelandse- curity.org/docs/reports/MHF-and-EG-Analiz-of-otoriteler-destekleyen-çabalar-of- DHS-to-secure-cyberspace-2011.pdf .
200 sekiz kat daha fazla Aliya Sternstein,
"DHS Bütçesi Siber Harcamaları İki Katına Çıkararak 769 Milyon Dolara
Çıkaracak" Nextgov, 13 Şubat 2012, www.nextgov.com/cybersecurity/2012/02/ dhs-bütçesi siber harcamaları iki katına çıkarıp
769 milyona çıkarır/50632/ .
202
güvenlik standartlarını
belirleme yeteneği ABD Hükümeti Sorumluluk Ofisi, "Elektrik Şebekesi
Modernizasyonu: Siber Güvenlik Kılavuzlarında İlerleme Yapılıyor, ancak Temel
Zorluklar Çözülmeye Devam Ediyor", Kongre Talep Sahibine Rapor, 12 Ocak
2011, http: // www.gao.gov/assets/320/314410.pdf .
202
“siber güvenlikte en
büyük gecikmeler” Siber Güvenlik CEO'su, yazarlarla röportaj, Washington DC, 23
Mayıs 2013.
202 yetki veya uzmanlık yok Joseph Kramek,
“Kritik Altyapı Açığı: ABD Liman Tesisleri ve Siber Güvenlik Açıkları,”
Brookings Enstitüsü, Temmuz 2013, http://www. brookings.edu/research/papers/2013/07/03-cyber-ports-security-kramek
.
202
"Ulus için siber
güvenlik" İç Güvenlik Bakanlığı, "Bilgi Notu: Yönetici Emri (EO)
13636 Kritik Altyapı Siber Güvenliğinin İyileştirilmesi ve Başkanlık Politikası
Direktifi (PPD)-21 Kritik Altyapı Güvenliği ve Dayanıklılığının
Geliştirilmesi", 12 Mart 2013'te yayınlanmıştır, http: /
/www.dhs.gov/publication/fact-sheet-eo-13636-improv- ing-kritik-altyapı-sibergüvenlik-ve-ppd-21-kritik
.
203
“mevzuat veya düzenleme” David A. Gross,
Nova J. Daly, M. Ethan Lucarelli, ve diğerleri, “Cyber Security Governance:
Mevcut Yapılar, Uluslararası Yaklaşımlar ve Özel Sektör,” America's Cyber
Future: Security and Prosperity in the Bilgi Çağı, cilt. 2, Kristin M. Lord
ve Travis Shard tarafından düzenlenmiştir (Washington, DC: Yeni Amerikan
Güvenliği Merkezi, 2011), s. 119.
203
"yüzde 0,1" Philip J. Bond,
"Savunma Bakanlığı Bilgi Teknolojileri ve Siber Güvenlik Faaliyetlerine
İlişkin Özel Sektör Perspektifleri", Temsilciler Meclisi Silahlı Hizmetler
Komitesi huzurunda verilen ifade, Terörizm, Konvansiyonel Olmayan Tehditler ve
Yetenekler Alt Komitesi, Washington, DC, 25 Şubat 2010, P. 6, http://democrats.armedservices. house.gov/index.cfm/files/serve?File_id=72e44e6b-3f8e-46d6-bcef-b57cd2e0c017
. Okuyucular, Savunma Bakanlığı'nın toplam bilgi
teknolojisi bütçesinin aynı dönemde yaklaşık yüzde 50 arttığını unutmamalıdır.
203
“100 milyon dolarlık
helikopter” Katie Drummond, “Ordunun Sahtelikleri Temizlemek İçin Yeni Planı:
Bitki DNA'sı,” Danger Room (blog), Wired, 20 Ocak 2012, http://www. wired.com/dangerroom/2012/01/dna-counterfeits/ .
204
“güvenilir dağıtım
sistemleri” Darrell West, “Küresel BİT Ticaretinde Güven Oluşturmanın 12
Yolu,” Brookings, 18 Nisan 2013, http://www.brookings.edu/research/papers/2013/ 04/18-küresel-tedarik-zinciri-batı .
204
“Amerika'nın dijital
altyapısı” Amerika Birleşik Devletleri Başkanı İcra Ofisi, “Kapsamlı Ulusal
Siber Güvenlik Girişimi,” 2 Mart 2010, http://www. whitehouse.gov/sites/default/files/cybersecurity.pdf
.
Kamu - Özel Sorunu Olarak
Yaklaşım : Savunmayı Nasıl Daha İyi Koordine Edebiliriz ? _ _ _ _ _ _ _ _ _
205
“Siber suç çeteleri” Brian Krebs,
“Çevrimiçi Dolandırıcılıkların ve Spamların Başlıca Kaynağı Çevrimdışına
Alındı,” Security Fix (blog), Washington Post, 11 Kasım 2008, http://voices.wash- ingtonpost.com/securityfix/2008/11/major_source_of_online_scams_a.html
.
205
hiç iyi olmayan bir
age'ye kadar .
205 "Kutsal inek!" Age.
205
Spam düzeyleri Vincent Hanna,
“Another One Bytes the Dust,” Spamhaus , 17 Kasım 2008, http://www.spamhaus.org/news/article/640/
.
206
Ödemeleri işleme koyacak
Visa Ron Scherer, “Visa Çocuk Pornosuna Sert Bir Çizgi Çekiyor,” Christian
Science Monitor, 24 Şubat 2003, http://www.csmonitor.com/2003/0224/
p01s01-ussc.html .
207
kara para aklama Anne Broache,
“E-Gold, Kara Para Aklamayla Suçlanıyor”, CNet News, 30 Nisan 2007, http://news.cnet.com/E-Gold-charged-with-money-lau ndering/2100-1017_3-6180302.html .
208
İnternetin yönetimi Melissa Hathaway
ve John Savage, “Siber Uzayda Yönetim: İnternet Servis Sağlayıcılarının
Görevleri,” Siber Diyalog 2012, Mart 2012, http://www.cyberdialogue.citizenlab.org/wp-content/uploads/2012/2012papers
/ CyberDialogue2012_hathaway-savage.pdf, 11 Ağustos 2013'te erişildi.
208
önde gelen Amerikan
ISP'lerinin desteği Federal İletişim Komisyonu, "Federal Danışma
Komitesi Üç Büyük Siber Güvenlik Tehdidiyle Mücadeleye Yönelik Tavsiyeleri
Oybirliğiyle Onayladı: Botnet Saldırıları, Alan Adı Sahtekarlığı ve IP
Rotasının Ele Geçirilmesi", 22 Mart 2012, http://transition.fcc.gov/
Daily_Releases/Daily_Business/2012/ db0322/DOC-313159A1.pdf
.
208
müşteriler ve hissedarlar
Ross
Anderson, Chris Barton, Rainer Bohme, ve diğerleri, "Siber Suçların
Maliyetinin Ölçülmesi", 11. Yıllık Bilgi Güvenliği Ekonomisi WEIS 2012
Çalıştayında sunulan makale, Berlin, 25-26 Haziran 2012, http :// weis2012.econinfosec.org/papers/Anderson_WEIS2012.pdf
.
209
düşmanın bombardıman
uçakları Paul Rosenzweig, “Siber Güvenlik ve Kamu Malları: Kamu/Özel
'Ortaklığı'” Ulusal Güvenlik ve Hukuk Görev Gücü, Hoover Enstitüsü, 7 Eylül
2011, http://media.hoover.org/sites/
varsayılan/dosyalar/belge- ments/EmergingThreats_Rosenzweig.pdf
.
209
şirketler Kongre Kongre
görevlisine söyledi , yazarlarla röportaj, Washington, DC, 13 Mart
2013.
209
bilgi güvence kuruluşları
SANS
Enstitüsü, “20 Kritik Güvenlik Kontrolünün Kısa Tarihi”, http://www.sans.org/critical-security-controls/history.php
, 11 Ağustos 2013'te erişildi.
210
korumaya daha fazla
harcama yapın age.
210
riski azaltacak adımlar Paul David,
Rolande Maude-Griffin ve Geoffrey Rothwell, "Learning by Accident? Three
Mile Island'dan Sonra ABD Nükleer Santrallerinde Planlanmamış Kesinti
Riskindeki Azalmalar,” Risk ve Belirsizlik Dergisi 13, no. 2 (1996).
210
“hükümetin talimatlarını
yerine getirmek” Ken Dilanian, “ABD Ticaret Odası Siber Güvenlik Tasarısının
Yenilmesine Yol Açıyor,” Los Angeles Times, 3 Ağustos 2012, http://articles.latimes. com/2012/aug/03/nation/la-na-cyber-security-20120803
.
Egzersiz Sizin İçin
İyidir : Siber Olaylara Nasıl Daha İyi Hazırlanabiliriz ? _ _ _ _ _ _ _ _ _ _ _
211
kötü amaçlı bilgisayar
kodu Dan Goodin, "Facebook'ta, Sıfır Gün İstismarları, Arka Kapı
Kodu, Savaş Oyunları Tatbikatını Hayata Geçirin" Ars Technica, 10
Şubat 2013, http:// arstechnica.com/security/2013/02/at-facebook-zero-day-exploits-backdoor- kod-savaş-oyunlarını-hayata geçirme/ .
211
büyük hasar yok Sean Gallagher,
“Facebook Bilgisayarları Sıfır Gün Java İstismarıyla Tehlike Altına Giriyor,” Ars
Technica, 15 Şubat 2013, http://arstechnica.com/security/2013/02/ facebook-bilgisayarların-sıfır-gün-java-istismarı
nedeniyle güvenliği ihlal ediliyor/ .
211
Facebook'a zarar vermeye
çalıştı Dennis Fisher, “Facebook Hacklenmeye Nasıl Hazırlandı?” Threatpost,
8 Mart 2013, http://threatpost.com/en_us/blogs/how-facebook-prepared- hacklendi-030813 .
212
saldırı taktikleri ve püf
noktaları Samuel L. King, Peter M. Chen, Yi-Min Wang ve diğerleri,
"SubVirt: Virtual Machines ile Kötü Amaçlı Yazılım Uygulamak",
Michigan Üniversitesi, http: // web.eecs.umich.edu/~pmchen/papers/king06.pdf,
11 Ağustos 2013'te erişildi.
213
“İsrailliler bunu denedi”
William
J. Broad, John Markoff ve David E. Sanger, “İsrail'in İran Nükleer Gecikmesinde
Önemli Olarak Belirlenen Solucan Testi,” New York Times, 15 Ocak 2011, http://www.nytimes.
com/2011/01/16/world/middleeast/16stuxnet.html? pagewanted=tümü&_r=0
.
213
ağ tabanlı saldırı Tucker Bailey,
James Kaplan ve Allen Weinberg, "Bir Siber Saldırıya Hazırlanmak için
Savaş Oyunları Oynamak", McKinsey Quarterly, Temmuz 2012.
214
emeklilik veritabanı Estonyalı savunma
yetkilisi, yazarlarla röportaj, 17 Mart 2012, Washington DC.
214
“Uyarıldık” İki Partili
Politika Merkezi, “Cyber ShockWave,” http://bipartisan-policy.org/events/cyber2010 , erişim tarihi: 11 Ağustos 2013.
214
farklı Avrupa
ülkelerinden yetkililer “'Siber Avrupa 2010' Siber Güvenlik Tatbikatına ilişkin
ENISA Sorunları Raporu ” , SecurityWeek News, 18 Nisan 2011, http://www.security-week.com/enisa-issues-report-cyber-europe-
2010-siber-güvenlik-tatbikatı.
215
zayıf varsayımlar altında
Nick
Hopkins, “US and China Engage in Cyber War Games,” Guardian, 16 Nisan
2012, http://www.guardian.co.uk/teknoloji/2012/apr/16/ abd-çin-siber-savaş-oyunları .
215
Stewart Baker, Inside the
Pentagon, 20 Ocak 2011, https://defensenewsstand.com/ "Gizli
Not, Savunma Bakanlığı Tatbikatlarında Siber Tehdit Tasvirlerini
Güçlendiriyor" ifadesinin altını çizdi. bileşen/seçenek,com_ppv/Itemid,287/id,2351617/
.
216
Ryan McGeehan, Goodin'e
şunları söyledi : "Facebook'ta Sıfır Gün Suistimalleri, Arka Kapı Kodu,
Savaş Oyunları Tatbikatını Hayata Geçirin."
Siber Güvenlik Teşvikleri
Oluşturun : İstediğinizi Neden Yapmalıyım ? _ _ _ _ _ _ _ _ _ _ _
216
“somut ve kanıtlanabilir
ilerleme” Jonathan Krim, “ 'Sonuçları Görmek İstiyoruz', Yetkili Zirvede
Söyledi,” Washington Post, 4 Aralık 2003, http://groups.yahoo.com/group/ Unitedstatesaction/mesaj/3317 .
217
FBI defalarca Devlin
Barrett'ı buldu , "ABD Hacker Savaşında Silahsız Kaldı", Wall
Street Journal, 28 Mart 2012, http://online.wsj.com/article/SB1000142405270230417710457 7307773326180032.html .
217
bankaların bireysel marka
isimleri Tyler Moore ve Richard Clayton, “The Impact of Incentives on
Notice and Takedown,” Bilgi Riskini Yönetmek ve Güvenlik Ekonomisi içinde, M.
Eric Johnson tarafından düzenlenmiştir (New York: Springer, 2008), s. 199-223.
218
yamalanmamış güvenlik
açıkları Lucian Constantin, "Raporda, Android Cihazların Yarısından
Fazlasında Yamalanmamış Güvenlik Açıkları Var", PC World, 14 Eylül
2012, http://www. pcworld.com/article/262321/over_half_of_android_devices_have_unpatched_vulner- yetenekleri_report_says.html .
218
otomatik güvenlik aracı Benjamin Edelman,
“Çevrimiçi 'Güven' Sertifikasyonlarında Olumsuz Seçim,” Elektronik Ticaret
Araştırması ve Uygulamaları 10, no. 1 (2011): s. 17-25, http://www.benedelman.org/publications/advsel-trust-draft.pdf.
219
katılım modeli Eric J. Johnson
ve Daniel Goldstein, “Do Defaults Save Lives,” Science 302, no. 5649
(Kasım 2003): s. 1338-1339, http://www.sciencemag.org/con- çadır/302/5649/1338.kısa
.
220
“kapsamlı azaltma maliyetleri”
Amerika
Birleşik Devletleri İç Güvenlik Bakanlığı, “Siber Uzayda Dağıtılmış Güvenliğin
Etkinleştirilmesi.”
220
“katılımcılara yönelik
risklerin azaltılması” age.
221
krallığın anahtarları SANS Enstitüsü,
“CSIS: Etkili Siber Savunma için Kritik Kontroller, Sürüm 4.1,” Mart 2013, http://www.sans.org/critical-security-controls/
, 11 Ağustos 2013'te erişildi.
221
Güvenlik risklerinin
yüzde 94'ü age.
221
“hain varlıklar” “2013 Yılı İçin
Öldüren Siber Saldırılar, IPv6 ve Güvenlik Açığı Piyasaları,” Bilgi
Güvenliği, 7 Aralık 2012, http://www.infosecurity-magazine.com/
view/29741/2013 için ipv6'yı ve güvenlik açığı piyasalarını öldüren
siber saldırılar/ .
Paylaşmayı Kazanıyorum : Bilgi
Üzerinde Web Daha İyi Nasıl İşbirliği Yapılabilir ? _ _ _ _ _
222
“Herkesle paylaşmak için”
Jack
Johnson, “Paylaşan Şarkı”, “Meraklı George” Filmi için Şarkı Söylemeler ve
Ninniler, 2006, Brushfire/Universal, http://www.azlyrics.com/lyr-
ics/jackjohnson/thesharingsong.html , 11
Ağustos 2013'te erişildi.
222
tahminen 330 milyon dolar
Tyler
Moore ve Richard Clayton, "Kimlik Avına Karşı Mücadelede İşbirliği
Yapmamanın Sonucu", 3. APWG e-Suç Araştırmacıları Zirvesi Bildirileri, Atlanta,
GA, 15-16 Ekim 2008, http://lyle. smu.edu/~tylerm/ ecrime08.pdf
.
222 Siber Uzay Politika İncelemesi , ABD Başkanı
İdari Ofisi'nin açıkladığı , “Siber Uzay Politika İncelemesi: Güvenilir ve
Dayanıklı Bir Bilgi ve İletişim Altyapısının Sağlanması," Aralık 2009, http://www.whitehouse.gov/assets/ belgeler/Cyberspace_Policy_Review_final.pdf, 11 Ağustos 2013'te erişildi.
224
Güvenilir bir grup içinde
Moore
ve Clayton, "Kimlik Avına Karşı Mücadelede İşbirliği Yapmamanın
Sonucu."
224
“analitik destek
sağlayın” Dan Verton, “Röportaj: Scott Algier, Yönetici. Direktör,
IT-ISAC," Risk İletişimcisi, Ocak 2013, http://archive.constantcontact.com/ fs173/1102302026582/archive/1112298600836.html, 11 Ağustos 2013'te erişildi.
225
“güven ve ilişkiler” Christopher
Schroeder, “Ağ Güvensizliğinin Eşsiz Ekonomik Riskleri”, America's Cyber
Future: Security and Prosperity in the Information Age, cilt 2, Kristin M.
Lord ve Travis Shard tarafından düzenlenmiştir (Washington, DC: Center) Yeni
Bir Amerikan Güvenliği İçin), s.178.
225
“DoD tehlikeye atıldı” Savunma
Bakanlığı, “Savunma Sanayi Üssü Siber Güvenliği”, Savunma Bakan Yardımcısı
Ofisi, 31 Ekim 2012, http://www.acq. osd.mil/dpap/policy/policyvault/OSD012537-12-RES.pdf.
225
gizliliğin korunması Gelişmiş Siber
Güvenlik Merkezi, “Girişimler” http:// www.acscenter.org/initiatives/
, 11 Ağustos 2013'te erişildi.
225
kötü amaçlı yazılım
incelendi ve IEEE Standartları Birliği, "ICSG Kötü Amaçlı Yazılım Çalışma
Grubu", https://standards.ieee.org/develop/indconn/icsg/malware.html,
11 Ağustos 2013'te erişildi.
226
raporlarından alıntı
yaparak , "Çin Ordusu Birimi ABD'ye Karşı Hacking'e Bağlı Olarak
Görülüyor", New York Times, 18 Şubat 2013, http://www.nytimes.com/2013/
02/19/teknoloji/chinas-army-is-is-s-up- counting -country-us.html?pagewanted=all
.
226
“saygı ve güvenilirlik” Adam Shostack,
“Beni Şimdi Duyabiliyor musun?” Acil Durum Kaosu, 13 Haziran 2008, http://emergentchaos.com/archives/2008/06/can-you-hear-me-now-2. HTML'yi seçin .
226
“siber güvenliğimizi
geliştirmek” Shawn Osbourne, “Shawn Osbourne'dan Sayın Mike Rogers'a ve
Saygıdeğer CA 'Dutch' Ruppersberger'e," Siber İstihbarat Paylaşımı ve
Koruma Yasasına ilişkin mektup, 17 Nisan 2012, http://intelligence.house.gov / sites/intelligence.house.gov/files/documents/041712TechAmericaLetterCISPA.pdf
.
227
sinir bozucu avukatlar Joseph Kramek,
“Kritik Altyapı Açığı.”
227
Paul Rosenzweig , Ulusal Araştırma
Konseyi (Washington, DC) tarafından düzenlenen Siber Saldırıları Caydırma:
Bilgilendirme Stratejileri ve ABD Politikası için Geliştirme Çalıştayı
Bildirileri'nde Paul Rosenzweig'in "Amerika Birleşik Devletleri
Hükümeti ve Özel Sektörün Siber Caydırıcılığa Ulaşması" başlıklı
makalesini açıklıyor. : National Academies Press, 2010), s.2084.
227
kimlik avı kaldırma
firmaları Tal Moran ve Tyler Moore, "Kimlik Avı Piyasası Protokolü:
Rakipler Arasında Saldırı Verilerinin Paylaşılması", 14. Uluslararası
Finansal Kriptografi ve Veri Güvenliği Konferansı Bildirileri, Tenerife,
İspanya, 25-28 Ocak 2010, http:// lyle.smu.edu/~tylerm/ecrime08.pdf.
Talebin Açıklanması : Şeffaflığın
Rolü Nedir ? _ _ _ _ _ _
228
Simitian'ın önerdiği
tasarı Kim Zetter. “Kaliforniya Veri İhlali Bildirim Yasasını
Genişletmeyi İstiyor”, Tehdit Düzeyi (blog), Wired, 6 Mart 2009, http://www.wired.com/ tehdit düzeyi/2009/03/ca-ifade-görünüşü/ .
228
51 Alessandro Acquisti,
Allan Friedman ve Rahul Telang vardı , “Gizlilik İhlallerinin Bir Bedeli Var
mı? An Event Study," 27. Uluslararası Bilgi Sistemleri Konferansı ve Bilgi
Güvenliği Ekonomisi Çalıştayı'nda sunulan bildiri, Milwaukee, WI, Aralık 2006, http://www.heinz.cmu.edu/~acquisti/ belgeler/acquisti-friedman-telang-gizlilik-ihlalleri.pdf
.
229
2011 yılında yapılan bir
sektör araştırması Brian Grow ve Mark Hosenball, "Özel Rapor: In Cyberspy
v. Cyberspy China Has the Edge", Reuters, 14 Nisan 2011, http://www.reuters.com/ makale/2011/04/14/us-china-usa-cyberespionage-idUSTRE73D24220110414
.
229
Christopher Schroeder , Schroeder'i
şöyle açıkladı: “Ağ Güvenliğinin Eşsiz Ekonomik Riskleri”, s. 177.
230
SEC ABD Menkul Kıymetler
ve Borsa Komisyonu'na göre , "CF Açıklama Kılavuzu: Konu No. 2: Siber
Güvenlik", Kurumsal Finans Bölümü, 13 Ekim 2011, http://www.sec.gov/divisions/corpfin/guidance/cfguidance
-topic2.htm .
230
“bu alanda daha fazla
açıklama” Sarah N. Lynch, “SEC 'Cidden' Siber Güvenliğe Bakış”, Reuters, 8
Haziran 2011, http://www.reuters.com/article/2011/06/08/us- sec-cybersecurity-idUSTRE7576YM20110608 .
230 Melissa Hathaway , Ellen Nakashima ve
David S. Hilzenrath'a karşı çıkıyor, "Siber Güvenlik: SEC, Şirketlerin
Siber Hırsızlık ve Saldırıyı Rapor Etmesi Gereksinimini Özetliyor", Washington
Post, 14 Ekim 2011, http://articles.washingtonpost.com/2011-10-14
/dünya/35279358_1_ şirketler-ihlalleri-raporla-rehberlik
.
230
2012 yılında yapılan bir
çalışma Jody R. Westby, "Yönetim Kurulları ve Kıdemli Yöneticiler
Siber Riskleri Nasıl Yönetiyorlar?" Kurumsal Güvenliğin Yönetişimi: CyLab
2012 Raporu, 16 Mayıs 2012, http:// www.rsa.com/innovation/docs/CMU-GOVERNANCE-RPT-2012-FINAL.pdf
.
231
Tyler Moore'un Tyler
Moore'u açıkladığı gibi , “Siber Güvenlik Ekonomisine Giriş,” Ulusal
Akademiler raporu, 2010, http://www.nap.edu/openbook.php?record_id= 12997&page=3 , erişim
tarihi 11 Ağustos 2013.
Sorumluluk Konusunda "
Güçlü " Olun : Güvenlik Konusunda Hesap Verebilirliği Nasıl Yaratabiliriz
? _ _ _ _ _ _ _
231
dedi Bill Braithwaite Rob Stein, “Tıbbi
Gizlilik Yasası Ceza gerektirmez,” Washington Post, 5 Haziran 2006, http://www.washingtonpost.com/wp-dyn/content/article/2006/ 06/04/AR2006060400672.html .
231 tek bir vaka değil age.
232
Bir danışman Ibid'i özetledi.
232
Dmitri Alperovitch , Dmitri
Alperovitch'in "Siberuzayda Caydırıcılık: Ralph Langer ve Dmitri
Alperovitch ile Doğru Stratejiyi Tartışmak" adlı kitabını Brookings
Enstitüsü, Washington, DC'de söylediğine dikkat çekiyor, 20 Eylül 2011, http://www.brookings.edu/~/ media/events/2011/9/20%20cyberspace%20deterrence/20110920_cyber_defense. pdf .
233
Michael Assente Mark Clayton,
“Amerika'nın Güç Şebekesi Siber Saldırılara Karşı Çok Savunmasız, ABD Raporu
Buluyor,” Christian Science Monitor, 3 Şubat 2011, http://www.
csmonitor.com/USA/2011/0203/America-s-power-grid-sibere-çok-savunmasız saldırı-ABD-raporu-buluntular/(sayfa)/2.
233
40 milyon kullanıcı “Güvenlik Firması
RSA, SecurID Tokenlarını Değiştirmeyi Teklif Ediyor,” BBC News, 7 Haziran 2011,
http://www.bbc.co.uk/news/teknoloji-13681566
.
233
DigiNotar'ın iflası Kim Zetter,
“Yıkıcı Hack'in Ardından DigiNotar İflas Dosyaları,” Tehdit Düzeyi (blog),
Wired, 20 Eylül 2011, http://www.wned. com/threatlevel/2011/09/diginotar-iflas/
.
234
İhtiyatlı bir tahmin Richard S.
Betterley, “Siber/Gizlilik Sigorta Piyasası Araştırması—2012: Taşıyıcılar Pazar
Payı Ararken Şaşırtıcı Şekilde Rekabetçi,” Betterley Risk Consultants, Haziran
2012, s. 5, http://betterley.com/samples/cpims12_nt.pdf,
11 Ağustos 2013'te erişildi.
234
bir analist Ibid'i yorumladı.
234 Joel Brenner , Joel F. Brenner'ı şöyle
açıklıyor: “Gizlilik ve Güvenlik: Siber Uzay Neden Daha Güvenli Değil?” ACM 53'ün
iletişimleri, no. 11 (Kasım 2010): s. 34, http://www.
cooley.com/files/p33-brenner.pdf .
234
Larry Clinton ABD Hükümeti
Sorumluluk Ofisi, Senato Yargı Komitesi huzurundaki ifade, ABD Senatosu;
Internet Security Alliance Başkanı ve CEO'su Larry Clinton'ın ifadesi, 17 Kasım
2009, http://www.judiciary.senate.gov/ pdf/09-11-17Clinton'ın Tanığı.pdf .
235
, Amerika Birleşik
Devletleri Başkanı İcra Ofisi'nin "Siber Uzay Politika İncelemesi:
Güvenilir ve Dayanıklı Bir Bilgi ve İletişim Altyapısının Sağlanması"
olduğunu belirtti .
235
“güvenlik kuralının
gereklilikleri” Julie Bird, “Boston Eğitim Hastanesi ePHI Veri İhlali
Nedeniyle 1,5 Milyon Dolar Para Cezası Aldı,” FierceHealthIT, 18 Eylül
2012, http:// www.fiercehealthit.com/story/boston-teaching-hospital-fined-15m-ephi-d ata-breach/2012-09-18#ixzz2OC67Xiwh .
BT Kalabalığını
Bulun : Siber İnsanların Sorununu Nasıl Çözeriz ? _ _ _ _ _ _ _ _ _ _
236
"aynı
özgeçmişler" Ellen Nakashima, "Federal Ajanslar, Özel Firmalar Siber
Uzmanları İşe Alma Konusunda Şiddetle Rekabet Ediyor", Washington Post,
13 Kasım 2012.
236 bir endüstri danışmanı Loren
Thompson'ı şöyle açıkladı: "Siber Savaş Birçok Savunma Müteahhidi İçin Bir
Baskın Olabilir", Forbes, 9 Mayıs 2011, http://www.forbes.com/sites/ çevre
yolu/2011/05/09/Washington's-cyberwarfare-boom-loses-it-itibarını/ .
236 Yüzde 3 ila 10 Karen Evans ve Franklin
Reeder, Siber Güvenlikte İnsan Sermayesi Krizi: Teknik Yeterlilik Önemlidir ,
Stratejik ve Uluslararası Çalışmalar Merkezi, Kasım 2010, s. 6, http://csis.org/files/publication/101111_Evans_HumanCapital_ Web.pdf, 11 Ağustos
2013'te erişildi.
236 onbinlerce daha fazla Brittany
Ballenstedt, “Building Cyber Warriors,” Government Executive, 15 Ağustos
2011, s. 40, http://www.nextgov.com/cybersecurity/2011/08/ bina-siber-savaşçılar/49587/ .
236 Bir tahmine göre Brian Fung, “Buna
Ordu mu Diyorsunuz? ABD Siber Savaşçılarının Korkunç Kıtlığı,” National
Journal, en son değiştirilme tarihi: 30 Mayıs 2013, http://www.
Nationaljournal.com/tech/siz-bu-bir-ordu-of-siber-of-korkunç-eksikliğini
söylüyorsunuz- savaşçılar-20130225 .
236
siber güvenlik uzmanı Ralph Langner,
"Siberuzayda Caydırıcılık: Ralph Langner ve Dmitri Alperovitch ile Doğru
Stratejiyi Tartışmak", Brookings Enstitüsü, Washington, DC'de konuşuyor,
20 Eylül 2011, http://www.brookings.edu/events/ 2011/09/20-siber uzay caydırıcılığı .
237
yalnızca yüzde 40 Ballenstedt,
“Building Cyber Warriors,” s. 40.
237
Alan Palmer'ı açıklıyor aynı eser.
237
2011 tarihli bir çalışma age.
238
ücretsiz eğitim age, s. 43.
239
iş fırsatları için canlı Fung, "Buna
Ordu mu Diyorsunuz?"
239
mezuniyet sonrası tam
zamanlı iş age , s. 42.
239
yaklaşık yüzde 25 Graham Warwick,
"Yetenek Tespiti: Havacılık ve Uzay, Savunma, Siber Uzmanları İşe Almak ve
Elde Tutmak İçin Diğer Sektörlerle Rekabet Etmeli", Aviation Week &
Space Technology 185, no. 18 (23 Mayıs 2011).
240
6 dakikalık aralıklarla age.
240
profesyonel hacker web
siteleri age.
Payınız : Kendimi ( ve
İnterneti ) Nasıl Koruyabilirim ? _ _ _ _ _ _ _ _ _ _
241
“123456" Mat Honan,
“Parolayı Öldürün: Neden Bir Dizi Karakter Artık Bizi Koruyamıyor,” Gadget
Lab (blog), Wired, 15 Kasım 2011, http://www.wired.com/ gadgetlab/2012/11/ff-mat-honan-şifre-hacker/tümü/ .
241
"Kötü adamlar
saklanabilir" Siber Arazi konferansı, Casus Müzesi, Washington, DC, 18
Mayıs 2011.
241
Hedeflenen izinsiz
girişlerin yüzde 85'i Ian Wallace, “ Why the US Is Not in a Cyber War,”
Daily Beast, 10 Mart 2013, http://www.thedailybeast.com/articles/2013/03/10/ neden-biz-bir-siber-savaşta-değiliz.html .
242
Alandaki Riskler Schroeder, “Ağ
Güvenliğinin Eşsiz Ekonomik Riskleri”, s. 174.
242
Steven Bucci, 13 Kasım
2012'de Washington Post Siber Güvenlik Zirvesi'nde "İleriye Bakmak"
başlıklı yazısında "güvenlik önemli değildi" diyor .
242
"Bu çok acınası bir
durum" Ben Hammersley, "Birleşik Krallık Bilgi Güvencesi Danışma
Konseyi'nde Konuşma", Bilgi Güvencesi Danışma Konseyi'nde şöyle diyor,
Londra, 7 Eylül 2011, http://www.benhammersley.com/2011/09/my-speech -iaac'a/ .
243
akıllı ve sorumlu
kullanıcı “Siber Hırsızlardan Kaçınmak İçin İpuçları,” Washington Post, 13
Kasım 2012, http://www.washingtonpost.com/postlive/tips-to-avoid-cyber- hırsızlar/2012/11/12/fe12c776-28f4-11e2-96b6-8e6a7524553f_story.html
.
243
“Bilgisayarlarda lanet
olası aptallık” Siber Arazi Konferansı, Casus Müzesi, Washington DC, 18 Mayıs
2011.
243
“veritabanı dostu
formatlar” Honan, “Şifreyi Öldürün.”
243
uğramış web sitelerine
ilişkin bir çalışma age.
244
Toplam verilerin yüzde
37'si age.
Sonuçlar _
Siber
Güvenlik bundan sonra nereye doğru gidiyor ? _
247
122.400 işlemci çekirdeği
Jon
Brodkin, “'09'dan Dünyanın En İyi Süper Bilgisayarı Artık Eskimiş,
Parçalanacak,” Ars Technica, 31 Mart 2013, http://arstechnica. com/information-teknoloji/2013/03/dünyanın-en-hızlı-süperbilgisayar-dan-09- artık-kullanılmıyor-sökülecek/ .
248
John Nasibett bir
keresinde Brian Monger'a şöyle demişti : "Pazarınızın Kim Olduğunu
ve Ne İstediklerini Bilmek", SmartaMarketing, 11 Kasım 2012, http://smartamarketing.wordpress. com/2012/11/11/pazarınızın kim olduğunu ve ne
istediklerini bilmek/ .
249
Yüzde 40 ila 80 Ray, “Bulut
Bilişim Ekonomisi: Bulutta yüzde 40-80 Tasarruf,” CloudTweaks, 9 Nisan
2011, http://www.cloudtweaks.com/2011/04/ bulut-bilgi işlem-ekonomi-40-80-bulutta-tasarruf/ .
249
General Martin Dempsey General Martin
Dempsey, "Ulusu Ağ Hızında Savunmak", Brookings Enstitüsü,
Washington, DC'de konuşuyor, 27 Haziran 2013.
249 2014'te 149 milyar dolar Şeffaflık
Piyasası Araştırması, "Bulut Bilişim Hizmetleri Pazarı - Küresel Sektör
Boyutu, Pazar Payı, Trendler, Analiz ve Tahminler, 2012-2018" http://www.transparencymarketresearch.com/cloud-computing-services-market
. html, 11 Ağustos
2013'te erişildi.
249
Brookings raporunda Allan A. Friedman
ve Darrell M. West, “Bulut Bilişimde Gizlilik ve Güvenlik”, Teknoloji
Yeniliğinde Sorunlar, no. 3, Brookings Enstitüsü (26 Ekim 2010), http://www.brookings.edu/research/papers/2010/10 /26-bulut-bilgi işlem-friedman-batı .
250
"Netflix'in
yaklaşmasına izin verdi" David Carr, "İzleyicilere İstediğini
Vermek", New York Times, 24 Şubat 2013, http://www.nytimes.com/2013/02/25/business/ medya/popülerliğini-garanti etmek
için-büyük-veriyi-kullanan-kartlar-evi için.html? sayfa
aranıyor=tümü .
250
gizli cinsel yönelim Ryan Singel,
“Netflix Brokeback Dağı Sırrınızı Döktü, Dava İddiaları,” Tehdit Düzeyi (blog),
Wired, 17 Aralık 2009, http://www. wired.com/threatlevel/2009/12/netflix-privacy-lawsuit/.
251
şaka çağrısı Daniel Thomas,
“Mobil Devrimi Kırkıncı Yılı Kutluyor,” Financial Times, 3 Nisan 2013, http://www.ft.com/intl/cms/s/0/4efdaf92-9c73-11e2-ba3c- 00144feabdc0.html#axzz2QHyT5GGa .
251
2012'de yüzde 20,2 Neil Walker,
"Mobil Devrim 2012", Arama Durumu , http:// www.stateofsearch.com/the-mobile-revolution-2012/
, 11 Ağustos 2013'te erişildi.
251 2013 yılında yapılan bir çalışma Stephen
Lawson, “Çalışma: Bu Yıl Verilen ABD Patentlerinin Dörtte Biri Mobil Cihazlarda
Olacak,” ITworld, 27 Mart 2013, http://www.itworld.com/ mobile-wireless/350027/study-one-çeyrek-abd-yılında-verilen-patentler-mobile-olacak
.
251
350.000 benzersiz
değişken Proofpoint, Inc., "Spam Çeşitliliğindeki Artışla Siber
Güvenlik Riskleri Yükseliyor", 1 Mart 2013, http://www.proofpoint.com/about-us/security- uyumluluk-ve-bulut-haberleri/makaleler/siber-güvenlik-riskleri-sp
ile-artıyor ike-in-spam-çeşitli-397144 .
252
Örneğin BM, "Geniş
Bandın Durumu 2012: Herkes için Dijital Katılımın Sağlanması" öngörüsünde
bulunuyor Geniş Bant Komisyonu Raporu, Eylül 2012, http://www.broad- bandcommission.org/Documents/bb-annualreport2012.pdf
, 11 Ağustos 2013'te erişildi.
253
The Economist'in gözlemlediği
gibi "Her Biri Kendine," Economist, 6 Nisan 2013, http:// www.economist.com/news/special-report/21574634-chinas-model-controlli ng-internetin-herkesin-başka-bir yerde-kabul
edilmesi .
254
WeMo, hayranını Clive Thompson'a
çevirdi, "No Longer Vaporware: The Internet of Things Is Nihayet
Konuşuyor", Wired, 6 Aralık 2012, http://www.wired.com/ görüş/2012/12/20-12-st_thompson/ .
Sonunda Şimdi Gerçekten Neyi Bilmem Gerekiyor ? _ _ _ _ _ _ _
255
Donald Rumsfeld Charles M. Blow,
“Bilinenler, Bilinmeyenler ve Bilinmeyenler,” New York Times, 26 Eylül
2012, http://campaignstops.blogs.nytimes.com/ 2012/09/26/darbe-bilinenler-bilinmeyenler-ve-bilinmeyenler/
.
Gelişmiş Kalıcı
Tehdit (APT): Uzman uzmanlardan oluşan koordineli bir ekip tarafından
yürütülen, organizasyon, istihbarat, karmaşıklık ve sabrı birleştiren, belirli,
hedeflenen hedeflere sahip bir siber saldırı kampanyası.
Gelişmiş
Araştırma Projeleri Ajansı (ARPA): 1958'de Sputnik'in fırlatılmasından sonra
kurulan Amerikan savunma ajansı, kendisini ABD için teknolojik sürprizleri
önlemeye ve düşmanları için bu tür sürprizler yaratmaya adamıştır. Bilim ve
teknolojinin sınırlarını genişletmeye odaklanarak, modern İnternet'e dönüşen
bir dizi girişimin finansmanının çoğunu sağladı. 1972 yılında DARPA (Savunma
için) olarak yeniden adlandırıldı ve savunmayla ilgili uzun vadeli araştırma ve
geliştirmeye odaklanmaya devam ediyor.
İleri Araştırma
Projeleri Ajans Ağı (ARPANET): Modern İnternet'in öncüsü. ARPA tarafından
finanse edilen bu girişim, 1969'da UCLA ve Stanford arasındaki ilk bağlantıyla
başladı, 1972'de kırk düğümü birbirine bağlayacak şekilde büyüdü ve daha sonra
dünya çapında daha fazla üniversite ve araştırma merkezi katıldıkça katlanarak
arttı.
hava boşluğu: Ağın etkin olduğu
saldırıları önlemek için bir bilgisayarı veya ağı, genel İnternet de dahil
olmak üzere diğer güvenli olmayan ağlardan fiziksel olarak yalıtmak. Teoride
kulağa hoş geliyor ama pratikte tam bir izolasyon sağlamak son derece zor.
Anonim: Siber araçları
kullanarak organize saldırılar, protestolar ve diğer eylemleri gerçekleştirmek
için bir araya gelen, çeşitli İnternet forumlarından merkezi olmayan ancak
koordineli bir kullanıcı topluluğu. Hacktivist grupların en dikkat çekeni, amaçları
siyasi protestodan uyanıklığa ve tamamen eğlenceye kadar uzanıyor.
asimetrik
kriptografi: Verilerin herkesle paylaşılan bir genel anahtar ve gizli kalan bir
özel anahtar kullanılarak güvence altına alınması uygulamasıdır. Genel
anahtarla şifrelenen verilerin şifresi yalnızca özel anahtarla çözülebilir ve
bunun tersi de geçerlidir. Bu, paylaşılan bir sır olmadan güvenli iletişime
olanak tanır.
Otonom Sistem
(AS): Birbirine bağlı internette düğüm görevi gören bağımsız bir ağ.
AS'ler arasındaki trafik, İnternet protokolleri ve yönlendirme politikaları
tarafından yönetilir.
Bitcoin: İlk olarak
2008'de geliştirilen, önemli ölçüde anonimlik sunan ve merkezileştirme veya
koordineli kontrol gerektirmeyen popüler bir dijital para birimi.
botnet: Tek bir aktör
tarafından kontrol edilen "zombi" bilgisayarlardan oluşan bir ağ. Bot
ağları , denetleyicinin kimliğini gizlerken ücretsiz (çalınmış) hesaplama ve ağ
kaynakları sağladıklarından, hizmet reddi saldırıları ve spam gibi
İnternet'teki kötü amaçlı faaliyetler için yaygın bir araçtır .
Hastalık Kontrol
ve Önleme Merkezleri (CDC): Amerika Birleşik Devletleri'nde halk sağlığına
yönelik araştırma, iletişim ve bilgi paylaşımını koordine eden bir kamu kurumu.
Sertifika
yetkilisi (CA): Bir varlığı açıkça bir ortak anahtara bağlayan imzalı dijital
“sertifikalar” üreten güvenilir bir kuruluş. Bu, asimetrik kriptografi
kullanıcılarının doğru tarafla iletişim kurduklarına güvenmelerini sağlar.
Bulut bilişim: Bilgi işlem
kaynaklarının kontrolünün birey veya kuruluştan üçüncü bir tarafça işletilen
paylaşılan bir kaynağa geçişi. Bulut bilişim, ağ destekli kaynakları bir
havuzda toplayarak mobilite, ölçeklenebilirlik, esneklik ve verimlilik sağlar,
ancak bulut sağlayıcısına olan bağımlılığı artırır.
bilgisayar acil
durum müdahale ekibi (CERT): Siber güvenlik teknik uzmanlığı, işbirliği ve
güvenlik bilgilerinin yayılması için merkez olarak hizmet veren, dünyanın dört
bir yanında bulunan kuruluşlar. Sayıları giderek artan endüstriyel sektörler ve
büyük kuruluşların yanı sıra birçok hükümetin de kendi ulusal CERT'leri vardır.
bilgisayar ağı
operasyonları (CNO): ABD Hava Kuvvetleri'nin ifadesiyle,
bilgisayarları "yok etmek, inkar etmek, bozmak, bozmak [ve] aldatmak"
için kullanma ve aynı zamanda düşmanın girişimlerine karşı hazırlık ve savunma
yapma şeklindeki askeri kavram. aynısını yapmak.
Conficker: İlk olarak
2008'de keşfedilen ve Windows işletim sistemlerini hedef alan bir bilgisayar
solucanı. Kötü amaçlı yazılımın ele geçirdiği bilgisayarlardan yapılan
botnet'in boyutu, yayılımı ve buna karşı koymak için gereken uluslararası iş
birliği dikkat çekiyor.
Kritik altyapı: Elektrik ve sudan
bankacılık, sağlık hizmetleri ve ulaşıma kadar günümüz uygarlığını yürüten
ekonominin temel bileşenleri. Birçok ülkenin kritik altyapı korumasına yönelik
özel politikaları ve düzenlemeleri vardır.
Siber Komuta
(CYBERCOM): ABD ordusunun siber konularda çalışan çeşitli birimlerini bir
araya getiren ABD askeri organizasyonu. Genel merkezi Maryland'deki Fort
Meade'dedir ve Ulusal Güvenlik Teşkilatı ile aynı konumdadır.
Siber terörizm: FBI tarafından
tanımlandığı şekliyle, "bilgiye, bilgisayar sistemlerine, bilgisayar
programlarına ve verilere karşı, ulus-altı gruplar veya gizli ajanlar
tarafından savaşçı olmayan hedeflere karşı şiddete yol açan, önceden
tasarlanmış, siyasi motivasyonlu saldırı." Köpekbalığı Haftası gibi bu da
verilerin gösterdiğinden çok daha heyecan verici.
DARPA: D ile ARPA.
İç Güvenlik
Bakanlığı (DHS): 11 Eylül'e yanıt olarak oluşturulan ABD hükümet kurumu,
özellikle terörizm olmak üzere ülke içi acil durumlara hazırlanmak, bunları
önlemek ve müdahale etmekle görevlidir. Ulusal Siber Güvenlik Bölümü (NCSD),
US-CERT'in evi olmak da dahil olmak üzere, Amerika Birleşik Devletleri'ndeki
çeşitli kamu siber güvenlik rollerinden ve görevlerinden sorumludur.
aygıt sürücüsü: Donanım
aygıtlarının bir işletim sistemiyle etkileşime girmesini sağlayan bir yazılım
aracı. Birçoğu modern işletim sistemlerinde yerleşik olduğundan, aygıt
sürücüleri sık sık saldırı vektörüdür.
dijital para
birimi: "Elektronik para" olarak da bilinen alternatif para
birimi (yani ulusal bankalar tarafından kabul edilmeyen veya onaylanmayan).
Sonsuz çoğaltmayı önleyecek mekanizmalar gerektirir ve çevrimiçi dünyada ödeme
olarak kabul edecek birini bulmanız koşuluyla diğer para türleri gibi
kullanılabilir.
Dijital yerli: Ağa bağlı
bilgisayarların her zaman var olduğu ve dünyanın doğal bir parçası gibi
göründüğü bir dünyada büyüyen kişi. Bu, Web'den önce gelenleri "dijital
göçmenler" haline getirebilir.
Dağıtılmış Hizmet
Reddi (DDoS): Hedeflenen sistemin işlevlerini veya İnternet bağlantısını
engellemeyi amaçlayan bir saldırı. Saldırganlar, genellikle binlerce, hatta
milyonlarca makineden oluşan botnet'leri kullanarak, yoğun trafiği birden çok
kaynağa dağıtır.
Alan Adı Sistemi
(DNS): İnsanlar tarafından hatırlanabilen adları (Brookings.edu gibi)
sayısal IP adreslerine (192.245.194.172) çeviren hiyerarşik, dağıtılmış
adlandırma sistemi. DNS, bir ağaç gibi düşünülebilecek bir mimariye sahip,
küresel ve merkezi olmayan bir yapıdadır.
ifşa etmek:
Protesto, şaka veya kanun dışı eylem kapsamında kişisel belgeleri
kamuya açıklamak . Kişisel bilgileri ifşa etmek genellikle minimum düzeyde ağ
penetrasyonu gerektirir ve gizli kişisel veya utanç verici verileri kurbanla
ilişkilendirmek için dikkatli araştırmalara daha çok güvenir.
Federal Risk ve
Yetkilendirme Yönetimi Programı (FedRAMP): 2012 yılında başlatılan
ve ilk kez bir hükümet yüklenicisinin tüm sivil ABD hükümetine hizmet sağlama
izni almasına olanak tanıyan bir sertifika programı.
güvenlik duvarı: Veri trafiğinin
belirli kurallara göre belirli bir ağa veya makineye girmesini engelleyen bir
filtre. Adını, yangınların daha fazla yayılmasını önlemek için arabalara veya
binalara yerleştirilen bariyerler konseptinden almıştır.
GhostNet: 2009 yılında
araştırmacılar tarafından keşfedilen 103 ülkede 1.295 virüslü bilgisayardan
oluşan bir ağ. İran ve Almanya'dan sürgündeki Tibet hükümetine kadar birçok
yerde dışişleri bakanlıklarını, elçilikleri ve çok taraflı kuruluşları hedef
alıyordu. Operasyonun kaynağı hiçbir zaman doğrulanmasa da, kullanılan
sunucuların tümü Çin'in Hainan Adası'nda bulunuyordu.
Aşılama: Uluslararası
işbirliği oluşturma stratejisi. Eski bir bitkinin köklerine yeni bir bitki
ekleme şeklindeki bahçecilik tekniğine benzer şekilde, fikir, başarı şansını
artırmak için yerleşik çerçeveler ve ilgi alanları üzerine yeni girişimler
oluşturmaktır.
Hacker: Başlangıçta
kuralları göz ardı eden tutkulu bir teknik uzman olan bu terim, bir bilgisayar
sistemi veya ağındaki güvenlik açıklarını keşfeden ve bunlardan yararlanan
kişilere odaklanmak üzere gelişti. Her zaman kötü niyetli niyeti göstermez.
Örneğin, "beyaz şapkalı" bir bilgisayar korsanı, "siyah
şapkalı" bir suçludan önce zayıf yönleri bulmaya (ve kapatmaya) çalışan
kişidir.
Hacktivizm: Bilgisayar
korsanlığı ve aktivizmi birleştirerek sivil itaatsizlik davasına yardımcı olmak
için bilgisayar protesto ve saldırı araçlarının kullanılması.
hash: Herhangi bir veri
parçasını alıp onu iki spesifik özelliğe sahip, daha küçük, belirli uzunlukta
bir çıktıya eşleyen bir şifreleme işlevi. Birincisi, fonksiyon tek yönlüdür, bu
da çıktıdan orijinal verinin belirlenmesini çok zorlaştırır. İkincisi ve daha
da önemlisi, aynı çıktı karmasını üreten iki girdi veri parçasını bulmak
inanılmaz derecede zordur. Bu, hash fonksiyonunun bir belgenin, e-postanın veya
kriptografik anahtarın "parmak izini" alarak söz konusu verinin
bütünlüğünü doğrulamasını sağlar.
honeypot (veya
honeynet): Güvenlik araştırmacıları tarafından bilgisayarların, ağların veya
sanal makinelerin kasıtlı olarak saldırılara maruz bırakıldığı bir taktik.
Araştırmacılar, farklı kötü amaçlı yazılım türlerinin nasıl davrandığını
gözlemleyerek yeni saldırı türlerini tanımlayabilir ve savunma tasarlayabilir.
HyperText
Transfer Protokolü (HTTP): Uygulamaların World Wide Web'de nasıl içerik
istediğini ve ilettiğini tanımlayan teknik protokol.
endüstriyel
kontrol sistemi (ICS): Fabrikalardan boru hatlarına kadar her şey için
büyük ölçekli endüstriyel süreçleri izleyen ve çalıştıran bir bilgisayar
sistemi. Kontrol edilen donanım çok farklıdır, ancak bilgisayarlar
basitleştirilmiş yönetim ve operasyona olanak sağlamıştır.
bilgi güvenliği: Güvenilir dijital
bilgilerin akışının ve erişiminin korunması. Bazıları tarafından, siyasi
nitelikteki zararlı bilgilerin bastırılmasını içerecek şekilde tanımlandı ve
bu, alternatif ancak aynı olmayan "siber güvenlik" teriminin
yükselişini teşvik etti.
Bilgi Paylaşımı
ve Analiz Merkezi (ISAC): Finansal hizmetler veya sağlık hizmetleri gibi
ekonominin kritik altyapı sektörleri için güvenliği koordine eden ve her
sektörün kendi organizasyon biçimini ve işlevini belirlediği bağımsız
kuruluşlar. ISAC'lar, kaynakların pasif olarak toplanmasından sektör risk
yönetiminde aktif işbirliğine kadar faaliyet düzeyleri ve alaka düzeyleri
açısından farklılık gösterir.
bilişim: Çin ordusunun
siber operasyon yaklaşımının ayırt edici özelliği; PLA ağlarını korumaya ve
bunun karşılığında düşmanın iletişim, komuta ve koordinasyon gibi kilit
noktalarını hedef almaya odaklanma.
Bütünlük
saldırısı: Bilgi çıkarmak değil, sistemdeki bilgilerin artık güvenilir kabul
edilemeyecek şekilde değiştirilmesi amacıyla bir bilgisayar ağına veya
sistemine girmek.
Uluslararası
Telekomünikasyon Birliği (ITU): Sınır ötesi telgraf iletişimini düzenlemek üzere
1865 yılında kurulmuş, uluslararası iletişim politikalarını ve ara bağlantıları
koordine eden Birleşmiş Milletler kuruluşudur.
İnternet Tahsisli
Sayılar ve İsimler Kurumu (ICANN). Daha önce ABD hükümet kuruluşları
tarafından gerçekleştirilen çeşitli İnternet yönetimi ve operasyon görevlerini
yürütmek üzere 1998 yılında kurulan, kar amacı gütmeyen özel kuruluş.
İnternet
Mühendisliği Görev Gücü (IETF): İnternet standartlarını ve protokollerini
geliştiren ve daha iyi performans için mevcut olanları değiştiren uluslararası,
gönüllü bir kuruluş. ISOC'nin bir parçası.
İnternet
özgürlüğü: Çevrimiçi özgür ifade fikri ve dünyanın her yerindeki diğer
kişilerle bağlantı kurmanın bir yolu olarak İnternet'e erişim hakkı ve devlet
sansürüne ve baskısına karşı çalışma taahhüdü.
Nesnelerin
İnterneti: Bir bilgi ortamının gerçek dünyanın üzerine yerleştirilmesi. Daha
fazla nesne dijital sensörlere ve benzersiz tanımlayıcılara sahip oldukça,
siber uzayın iletişim ve işleme güçleri gerçek dünyaya yerleştirilebilir.
İnternet
Protokolü (IP): İnternetin çalışmasını sağlayan birincil temel iletişim
protokolü. Adresleme yöntemlerini ve paketlerin yalnızca IP adreslerine göre
bir noktadan diğerine nasıl dağıtılacağını tanımlar.
İnternet
Protokolü (IP) adresi: İnternete adreslenebilir bir bağlantıya atanan
sayısal etiket; bir son nokta.
İnternet servis
sağlayıcısı (İSS): İnternete erişimin yanı sıra web barındırma veya e-posta gibi
diğer hizmetleri de sağlayan bir kuruluş. Bir bireyden veya kuruluştan gelen
tüm trafik ISP üzerinden aktığı için birincil kontrol noktasıdır.
İnternet
Topluluğu (ISOC): 1992'de kurulan ve IETF de dahil olmak üzere teknik İnternet
standartları sürecinin çoğunu denetleyen, kar amacı gütmeyen uluslararası bir
kuruluş. ISOC aynı zamanda İnternet yönetişimi soruları etrafında halkın
katılımı ve tartışması için bir forum görevi de görmektedir.
İzinsiz giriş
tespit sistemleri: Geçersiz davranışları arayan, bilinen veya muhtemel
saldırıların imzalarını tespit eden ve anormal davranışları tespit eden bir
dizi sensör.
anahtar: Kriptografide
metni şifrelemek veya şifrelenmiş metnin şifresini çözmek için kullanılan bir
veri dizisi. Daha uzun anahtarların deneme yanılma yoluyla tahmin edilmesi daha
zordur, bu nedenle anahtar uzunluğu genellikle daha fazla güvenlikle
ilişkilendirilir.
kötü amaçlı
yazılım: Diğer bilgisayarlara ve ağlara saldırmak, onları bozmak ve/veya
tehlikeye atmak üzere önceden programlanmış, virüsler, solucanlar ve Truva
atları dahil olmak üzere kötü amaçlı veya kötü niyetli yazılımlar. Güvenlik
açığının paketli bir şekilde istismar edilmesi, genellikle sistemin güvenliği
aşıldıktan sonra ne yapması gerektiğini ayrıntılarıyla anlatan talimatlardan
oluşan bir "yük" içerir.
meta veriler: Verinin
kendisiyle ilgili veriler. Tarihler, saatler, ilgili varlıklar ve diğer
tanımlayıcı özellikler gibi dijital dosyalar veya eylemler hakkındaki bilgiler,
meta veriler verileri düzenlemek ve yönetmek için kullanılır. NSA'nın büyük
ölçekli meta veri koleksiyonunun Edward Snowden tarafından ifşa edildiği 2013
yılında tartışmalı hale geldi.
Para katırları:
Para veya mal transferinde ara adımlar olarak hareket eden , tespit
çabalarını baltalayan ve suçlulara yönelik riski azaltan bireyler veya ağlar.
çok faktörlü
kimlik doğrulama: Güvenlik için katmanlı bir yaklaşım, kimliğin kimliğini
doğrulamak için kullanıcının bildiği bir şey (şifre gibi), kullanıcının sahip
olduğu bir şey (akıllı kart gibi), kullanıcının nerede olduğu ve/veya
kullanıcının sahip olduğu bir şey gibi iki veya daha fazla mekanizma kullanır.
parmak izi gibi fiziksel bir biyometrik özelliktir.
Karşılıklı
Garantili İmha (MAD): Soğuk Savaş sırasında geçerli olan askeri “dehşet
dengesi” stratejisi . Büyük güçler, MAD ile herhangi bir düşmanlığı başlatan
kişinin de yok edileceğini garanti ederek doğrudan çatışmadan kaçındı .
Ulusal
Standartlar ve Teknoloji Enstitüsü (NIST): ABD Ticaret Bakanlığı'nda
bulunan NIST, özellikle endüstrinin net bir fikir birliğine varamadığı alanlar
için yeni standartlar ve çerçeveler geliştirmek ve uygulamak için çalışan
federal kurumdur.
Ulusal Güvenlik
Ajansı (NSA): Sinyallere, bilgi istihbaratına ve korumaya odaklanan ABD
Savunma Bakanlığı istihbarat teşkilatı. Dünyadaki en gelişmiş siber güvenlik
yeteneklerinden bazılarına sahip olduğu görülüyor ve ABD ordusunun Siber
Komutanlığı ile yakın işbirliği içinde çalışıyor.
ağ merkezli: Büyük mesafeler
boyunca kuvvetleri dijital hızda koordine etmek için bir "sistemler
sistemi" içinde birbirine bağlı bilgisayarları kullanan ABD askeri
konsepti.
Orchard
Operasyonu: İsrail'in 6 Eylül 2007'de Suriye'nin El Kibar kentindeki nükleer
araştırma tesisine yönelik, hem planları ortaya çıkarmak hem de Suriye hava
savunmasını devre dışı bırakmak için siber araçları kullanan saldırısı.
Gölgeli RAT
Operasyonu: 2006 civarında başlayan ve sonuçta savunma ve petrol
şirketlerinden Birleşmiş Milletler ve Uluslararası Olimpiyat Komitesine kadar
en az yetmiş iki kuruluşun veri gizliliğini tehlikeye atan bir dizi siber
saldırı . Bu ad, saldırganın kamera ve mikrofon gibi sistem araçlarının tam
olarak kullanılmasını sağlayan uzaktan yönetim araçlarını kullanmasından
kaynaklanmaktadır.
paket: Verinin dijital
zarfı. Veri akışlarını daha küçük bileşenlere bölerek paketlerin her biri
bağımsız ve merkezi olmayan bir şekilde iletilebilir ve ardından uç noktada
yeniden birleştirilebilir. Görüşmeler daha küçük parçalara bölündüğünde, birden
fazla farklı görüşmeden gelen paketler, kontrollü bir yol veya özel devreler
olmaksızın aynı ağ bağlantılarını paylaşabilir.
yama: Bir yazılım kodu
güncellemesi. Satıcılar güvenlik açıklarını azaltmak veya düzeltmek için
güvenlik yamaları kullanır.
Vatansever
hackleme: Bir eyaletteki vatandaşların veya grupların, açık, resmi devlet
teşviki veya desteği olmaksızın, o devletin algılanan düşmanlarına yönelik
siber saldırılar gerçekleştirmek için bir araya gelmesi.
Halk Kurtuluş
Ordusu (PLA): Çin ordusu.
Kimlik avı: Genellikle sahte
e-postalar veya sahte web sayfaları yoluyla kullanıcıyı, şifre veya banka hesap
numarası gibi kimlik bilgilerini gönüllü olarak sağlamaya yönelik kandırma
girişimi. "Mızraklı kimlik avı" saldırıları belirli bireyleri hedef
alacak şekilde özelleştirilmiştir.
protokol: İletişimin nasıl
değiş tokuş edilebileceğini tanımlayan bir dizi format ve kural.
pwn: Hacker terimi,
rakibin sistemlerine ve ağlarına "sahip olmak" veya bunların
kontrolünü ele geçirmek anlamına gelir.
Fidye yazılımı: Bir hedefe
erişimi kısıtlayan ve düzenli hizmete geri dönmek için ödeme talep eden bir tür
kötü amaçlı yazılım.
Kırmızı takım: Bir düşman bunu
yapmadan önce güvenlik açıklarını belirlemek ve kapatmak için kendine yönelik
bir saldırıyı incelemek ve/veya simüle etmek. Genellikle "beyaz
şapkalı" bilgisayar korsanları tarafından gerçekleştirilir.
RickRolling: Birisini rqSos
şarkıcısı Rick Astley'nin korkunç derecede bağımlılık yaratan müzik videosunu
izlemesi için kandırmanın İnternet meme'i.
Kök erişimi: Bir sistemdeki
her dosyayı okuma ve yazma yeteneği. Bu yetenek, bir işletim sisteminin
yönetimi için gereklidir, ancak rakipler kök erişimi elde ederse sistemi
"pwn" ederler.
Güvenli İnternet
Protokolü Yönlendirici Ağı (SIPRNet): ABD ordusunun gizli
bilgileri iletmek için kullandığı, daha geniş İnternet ile aynı temel
protokolleri takip eden gizli ağı.
sosyal
mühendislik: İnsanları gizli bilgileri çevrimiçi olarak ifşa etmeleri için
manipüle etme uygulaması.
SQL enjeksiyonu: Web sunucularına
karşı yaygın bir saldırı vektörü. Saldırgan, veritabanına "haydut"
bir Yapılandırılmış Sorgu Dili (SQL) komutu iletmesi için bir web sitesini kandırmaya
çalışır. Veritabanı programının güvenliği ihlal edilebilirse, saldırgan
sunucudaki diğer dosyalara veya izinlere erişim sağlayabilir. .
Yapılandırılmış
Sorgu Dili (SQL): Verileri yönetmek için kullanılan bir tür programlama
dilidir.
Stuxnet: ABD ve İsrail
istihbarat teşkilatları tarafından oluşturulan, özellikle İran'ın nükleer
araştırma tesislerini sabote etmek için tasarlanmış bir bilgisayar solucanı.
denetleyici
kontrol ve veri toplama (SCADA): Özellikle birbirine bağlı sensörleri
izlemek ve yönetmek ve büyük tesisleri kontrol etmek için kullanılan bir tür
endüstriyel kontrol sistemi.
Test ortamları: Büyük BT
sistemlerini, ağları ve operasyonel ortamları simüle etmek için kullanılan,
saldırıların ve savunmaların taklit edilebildiği, çoğaltılabileceği ve
uygulanabileceği genişletilebilir modeller ve maketler.
Tor: Gözetleme ve
trafik analizine karşı çevrimiçi koruma sağlayan bir katman ağı olan "The
Onion Router"ın kısaltmasıdır. Başlangıçta ABD hükümetinin finansmanıyla
geliştirildi, şu anda uluslararası bir gönüllü ve araştırmacı grubu tarafından
bakımı ve işletilmesi yapılıyor.
Aktarım Kontrol
Protokolü (TCP): İnternetin temel protokollerinden biri olan İnternet
Protokolü ile eşleştirilmiştir. 1974 yılında Vint Cerf ve Bob Kahn tarafından
geliştirilen TCP, ağ bağlantılı bir iletişim bağlantısının her bir ucunun diğer
uçtan sahip olduğu beklentileri yönetir.
Truva Atı: Yasal veya
zararsız görünen bir yazılıma gizlenen veya ona eklenen, ancak bunun yerine
kötü amaçlı bir yük taşıyan ve çoğu zaman yetkisiz kullanıcılara bir arka kapı
açan bir tür kötü amaçlı yazılımdır. Adını büyük bir ahşap çiftlik hayvanından
alıyor.
yazım hatası: Popüler bir web
sitesinden yalnızca bir harf ötede web alan adlarını kaydetme ve beceriksiz
parmaklara sahip kişilerin sayfa ziyaretlerinden reklam geliri toplama
uygulaması.
Birim 61398: Siber güvenlik
çevrelerinde "Yorum Ekibi" veya "Şangay Grubu" olarak da
bilinen Çin ordusunda siber araçlarla ABD hakkında siyasi, ekonomik ve
askeriyeyle ilgili istihbarat toplamakla görevli kilit bir birim. 2013 yılında New
York Times'ın bilgisayar ağlarına girmek için çalışanların şifrelerini
çalarken yakalandı .
virüs: Kendini
kopyalayabilen ve bilgisayardan bilgisayara yayılabilen kötü amaçlı bir
program.
sulama deliği: Belirli grupları,
söz konusu topluluk veya meslek tarafından sıklıkla ziyaret edilen web
sitelerinin güvenliğini ihlal ederek hedef alan bir saldırı türü.
Beyaz listeye
alma: Kabul edilebilir bir dizi yazılımı, e-posta gönderenleri veya
diğer bileşenleri tanımlayan ve ardından geri kalan her şeyi yasaklayan bir
güvenlik uygulamasıdır.
WikiLeaks: 2006 yılında
"dünya çapında yolsuzluk ve suiistimali açığa çıkarmak" amacıyla
kurulan çevrimiçi bir organizasyon. Aynı zamanda, 2010 yılında ABD diplomatik
yazışmalarının çevrimiçi olarak yayınlandığı bir dizi skandala atıfta bulunmak
için de sıklıkla kullanılıyor.
solucan: Bir ağ üzerinde
otomatik olarak yayılan, kendini yükleyen ve kopyalayan bir tür kötü amaçlı
yazılım. Hızlı kopyalama ve yayılmadan kaynaklanan ağ trafiği, kötü amaçlı
yazılımın kötü amaçlı bir yükü olmasa bile ağları felce uğratabilir.
sıfır gün: Daha önce
bilinmeyen bir güvenlik açığından yararlanan bir saldırı; saldırıların
farkındalığın sıfırıncı gününde gerçekleştiği fikrinden alınmıştır. Sıfır gün
açıklarına ilişkin bilgi, hem savunucular hem de saldırganlar için değerlidir.
Zombi: Hesaplama ve ağ
kaynaklarından yararlanmak amacıyla dış bir tarafça ele geçirilen bir
bilgisayar; sıklıkla bir botnet'e bağlanır.
9/11. Bkz . 11 Eylül erişim kontrolü,
49-51 Acquisti, Alessandor, 31 Gelişmiş Kalıcı Tehdit (APT), 55-60, 91, 141,
188-189
İleri Araştırma Projeleri Ajansı (ARPA). DARPA'yı
görün
İleri Araştırma Projeleri Ajans Ağı (ARPANET),
16, 18
Afganistan, 96, 101 hava boşluğu, 53, 63, 168
Alexander, Keith, 134, 144, 167 Algeier, Scott, 224
Alperovitch, Dmitri, 91-92, 94-96, 146, 232
El Kaide, 96-100, 105
Anonim, 78, 80-84, 112
Arap Baharı, 88, 109
Assange, Julian, 51-54, 84, 195 Assente, Michael,
233 asimetrik kriptografi. Kriptografiye bakın
Otomatik Para Çekme Makinesi (ATM), 32, 85, 244
Otonom Sistem (AS), 24-25 Axelrod, Robert, 182,
193
Baker, Stewart, 215
Barlow, John, 84, 181 Baruch Planı, 160, 162 Bataller, Erik, 226
Pekin Olimpiyatları, 75, 92
Bellovin, Steve, 166, 169
Bernard, Baruch. Baruch Planını Görün
Biden, Joe, 195
Büyük Veri, 250
Bin Ladin, Usame, 101-102, 105 biyometrik, 32,
244
Bitcoin. Bkz. dijital para karaborsası
(dijital), 73, 90, 98, 109, 158, 178. Ayrıca bkz . İpek Yolu mavi
takımı. Kırmızı takıma bakın
Bot ağları
ve atıf, 72-73 karşı mücadele, 176, 187, 208
tanımı, 44-45
Braithwaite, Bill, 231
Brammer, Robert, 240
Brenner, Joel, 121, 234
Britanya, 83-84, 105, 181
Brookings Enstitüsü, 21-23, 57, 249-250
Brown, Brittany, 102
Bucci, Steven, 242
Bush, George W., 15, 199
Bizans Hades'i, 75
Cartwright, James, 156 kedi, 10, 21, 38, 174,
193, 219, 252, 254 cep telefonu. Mobil cihazı görün
Hastalık Kontrol Merkezi (CDC), 173-175
Merkezi İstihbarat Teşkilatı (CIA), 35-36, 92-93,
192, 199, 207
Cerf, Vint, 19, 156
Sertifika Yetkilisi (CA), 48-49
Charney, Scott, 176
Çin
siber saldırı hedefi olarak, 77, 128 ev içi
İnternet kullanımı, 15, 54, 72, 107, 110, 252
saldırgan siber operasyonlar, 57, 59-60, 75-76,
78, 92-95, 112-114, 138-144, 226
ABD-Çin ilişkileri, 7, 60, 68-70, 74, 121, 180,
188-189, 192-193, 214-215 ( ayrıca bkz. Büyük Güvenlik Duvarı;
Javaphile; Halk Kurtuluş Ordusu (PLA); Birim 61398)
Citigroup, 37-38, 68
Clark, David, 30
Clausewitz, Carol Von, 126
Clinton, Hillary, 106-107
Clinton, Larry, 234-235
bulut bilişim, 106, 248-250
CNN, 113, 214
Soğuk Savaş, 67, 121-122, 147-149, 160 162,
173-174, 192, 238
Yorum Ekibi. Bkz. Birim 61398
Bilgisayar Acil Durum Müdahale Ekibi (CERT), 188,
200
bilgisayar ağı işlemleri (CNO), 126-127
bilgisayar bilimi, 19, 65, 142, 239 (.oiilicker.
72-73, 196-197, 244
Kongre, 8, 12, 20, 68, 107, 138, 164, 198, 202,
209, 227
kritik altyapı tanımı, 15 korunması, 167-168
düzenleme, 200, 202, 210 güvenlik açığı, 63, 97
Croom, Charles, 155 kriptografi, 47-49, 133 Ölü
İnek Kültü, 77 saldırı kültü, 153 siber silahlanma yarışı, 4, 157, 160-163, 236
Siber Komuta (CYBERCOM), 133-135
siber hırsızlık, 26, 92, 95, 125, 146, 177, 189,
219-220
siber terörizm, 97-99
DARPA, 17, 156, 204
Savunma Bilim Kurulu, 144-145
Deibert, Ronald, 74-75, 164, 187
Dempsey, Martin, 249
savunma Bakanlığı
ve İnternet'in oluşturulması, 13, 203 ve siber
güvenlik, 52-53, 133, 198, 225 ( ayrıca bkz . Siber Komuta (CYBERCOM))
İç Güvenlik Bakanlığı (DHS), 36-37, 133, 199-200,
220, 235-236
caydırıcılık, 70, 136-137, 144-147, 155-156, 161
aygıt sürücüsü, 116
dijital para birimi, 207
dijital yerli, 4
Dağıtılmış Hizmet Reddi (DDoS) ve atıf, 208
tanımı, 44-45 örneği, 111, 113, 199
DNS Değiştirici Virüsü, 169
Doktorow, Cory, 165
Alan Adı Sistemi (DNS), 22 doxing
tanımı, 79
örnekleri, 81, 84
arabadan saldırı, 43-44
Uçan göz. İnsansız sistemleri görün
Dungle, Lynn, 240
Dunlap, Charles, 124
Elektronik Rahatsızlık Tiyatrosu, 78
şifreleme, 105, 108-109, 245
Enthoven, Alain, 148
Estonya, 73, 98-99, 110-111, 122-124, 169, 238
sızma, 58-59
F-35, 93
Facebook. Sosyal medyayı görün
Farwell, James, 189
Federal Soruşturma Bürosu (FBI), 89, 96-97, 103,
109, 112, 169-170, 207, 217, 225
Federal Risk ve Yetkilendirme
Yönetim Programı (FedRAMP), 198
Finnemore, Martha, 187
güvenlik duvarı, 62. Ayrıca bkz. Büyük
Güvenlik Duvarı
Fisher, Neil, 185
Dış Politika dergisi, 3, 123, 145
Fransa, 107, 182
Garcia, Greg, 94
Geer, Dan, 170
George, Richard "Dickie", 235-236
Gürcistan (ülke), 111-112, 125
HayaletNet, 93
Küresel Konumlandırma Sistemi (GPS), 36, 129-130,
132, 254,
Google, 26, 49, 56-57, 80, 102, 158, 199, 218,
233, 249, 252
aşılama, 187-189
Grasso, Tom, 169
Büyük Güvenlik Duvarı, 3, 110
Yeşil Devrim, 109
Guantanamo Körfezi, 96-97, 195
hacker sözleşmeleri, 236
hacktivizm, 77-80, 105
Hammersley, Ben, 15, 242
Hao, Su, 139
karma, 46, 133
Hathaway, Melissa, 179, 208, 230
Hayden, Michael, 4, 192
Healey, Jason, 93-94, 220
Hendler, James, 124
Henry, Shawn, 167
tatlım. Bal küpünü görün
bal küpü, 212
Hughes, Rex, 185-186
Köprü Metni Aktarım Protokolü (HTTP), 20, 23
teşvikler
siber güvenlik işe alımında, 238-239 endüstri
korumasında, 201-202, 211, 216-222, 227, 234-235, 249
eyaletlerarası siber ilişkilerde 178, 191-192,
205-206
endüstriyel kontrol sistemi (ICS), 115, 200 bilgi
güvenliği
farkındalığı, 230
CIA üçlüsü, 35
koruyuculuğu, 197-202
Bilgi Paylaşımı ve Analizi
Merkez (ISAC), 224
bilgi paylaşımı, 223-225, 228 bilgilendirme, 142
içeriden tehdit, 38
İlham veren dergi, 105
sigorta (siber), 234
bütünlük saldırısı, 70-71
Fikri Mülkiyet (IP), 50, 70, 88, 94-95, 139, 146,
186, 189
Uluslararası Telgraf Birliği (ITU), 181-184
İnternet Tahsisli Sayılar ve İsimler Kurumu
(ICANN), 22, 29
İnternet Mühendisliği Görev Gücü (IETF),
İnternet özgürlüğü
ve hacktivizm, 80, 83
tanımı, 106-107
İnternet yönetişimi, 26-30, 107-108, 180-185
Nesnelerin İnterneti, 253-254
İnternet Protokolü (IP) adresi. Görmek
İnternet Protokolü (IP)
İnternet Protokolü (IP), 18, 21-24,
İnternet servis sağlayıcısı (İSS), 24
İnternet Topluluğu (ISOC), 28 saldırı tespit
sistemi, 62 İran
siber saldırı hedefi olarak, 49, 63, 116-119, 152
saldırgan siber operasyonlar, 65, 113 ( ayrıca
bkz. Stuxnet)
Irak, 52-53, 102, 132, 150
İsrail, 119, 126-128, 239
Japonya, 164
Javasever, 113
Jintao, Hu, 144
Johnson, Lyndon, 148
Ortak Görev Gücü - Bilgisayar Ağı
Savunma, 94
anahtar (dijital), 47-49, 116
Krebs, Brian, 205-206, 210-211
Langner, Ralph, 114, 116-117, 120,
158-159, 236,
savaş hukuku, 118
Lewis, James, 89, 94, 126, 188
Libicki, Martin, 104
Lin, Herbert, 148
Ihlamur Doları. Dijitali görün
para birimi
mantık bombası, 93, 124
Lucas, George, 119
Lynn, William, 97-98, 135-136
kötü amaçlı yazılım
157 159, 174,
251'in özellikleri
sonuçları, 132, 147-149 karşı savunma, 60-62,
205-206, 212, 224-225 ( ayrıca bkz . Conficker;
DNS Değiştirici
Virüs; Stuxnet)
58, 65, 72-73,
75,91, 115-119 örnekleri
Mandiant, 76, 226
Manning, Bradley, 38, 52-53, 55,
Markov, Sergey, 110
McAfee, 60, 91, 157
McConnell, Mike, 99, 151, 196
McGeehan, Ryan, 216
meta veriler, 104, 250
mobil cihaz, 14, 32, 246, 250-252
Moltke, Helmuth Graf, 212
para katırları, 86, 217
Moore, Tyler, 231
Mors kodu, 181
çok faktörlü kimlik doğrulama, 244
Mulvenon, James, 139, 161
karşılıklı garantili imha (MAD), 145
Nacht, Michael, 157
Nasibet, John, 248
Ulusal Standartlar Enstitüsü ve
Teknoloji (NIST), 201, 204, 212
Ulusal Güvenlik Ajansı (NSA), 50, 104, 134,
140-141, 199-200, 209 ağ merkezli, 129
New York Times , 76, 95, 128, 141, 213,
226
Kuzey Atlantik Antlaşması Örgütü (NATO), 122-124
Kuzey Kore, 126-127, 151, 182, 191,
nükleer silahlar, 7, 71, 99, 137-138, 144-147,
160-162, 190, 247
Nye, Joseph, 3, 152
Obama, Kışla, 2-3, 202, 204
Orchard Operasyonu, 126-128
Gölgeli RAT Operasyonu, 58, 91-93
paket, 17-18, 23-24, 166
Pac-Man, 46
Pakistan, 21, 25, 102
Palmer, Alan, 237
Panetta, Leon, 146
şifre, 32, 40, 60, 65, 103, 241-244
yama, 62-63, 72, 139, 218, 245 vatansever
hackleme, 74, 110-114, 142, 179-180, 186
PayPal, 54, 83, 195, 206-207
Pearl Harbor, 37, 68, 70, 165,
Halk Kurtuluş Ordusu (PLA), 114, 140-143
Petraeus, Davut, 33
Kimlik avı, 40-41, 57-58, 86, 217, 222-223
korsanlığı
siber, 83, 139, 179-180, 189, 194 denizcilik,
177-179
pornografi, 20, 40, 105, 109, 206-207
Postel, Jon, 26, 29
gizlilik, 33-35, 74, 106, 108-110, 175, 199, 208,
218, 228, 234
protokol, 18, 22-23, 110, 140, 227 pwn, 41, 58
Pirus Zaferi, 156
Epiruslu Pyrrhus. Bkz. Pyrrhic Victory
fidye yazılımı, 36, 88-89, kırmızı çizgi, 143, 192
kırmızı takım, 127, 141, 172, 211, 213, 215, 238
RickRoll, 138
kök erişimi, 40
Rosenzweig, Paul, 227
Rothkopf, David, 121
Rumsfeld, Donald, 255,
Rusya
suç ağları, 32, 89, 151
saldırgan siber operasyonlar, 73, 98, 110-112,
122-125
ABD-Rusya ilişkileri, 72, 186, 191-192
Saffo, Paul, 20
Samuelson, Robert, 166 uydu, 102, 148, 151, 161
Schneider, Ürdün, 191
Schröder, Christopher, 229
Scowcroft, Brent, 138
senaryo çocuğu, 78
Güvenli İnternet Protokolü Yönlendiricisi
Ağ (SIPRNet), 168
Menkul Kıymetler ve Borsa Komisyonu (SEC),
229-230
11 Eylül, 35, 37, 50, 68, 97-98, 101, 122
Şangay Grubu. Bkz. Birim 61398
İpek Yolu, 109
Snowden, Edward, 50, 93, 104, 140, 249
sosyal mühendislik, 32-34, 40, 57-58, 101-102,
244
sosyal medya
Facebook, 15-16, 40, 58, 68, 82, 89, 170, 211,
215
Sina, 15
Tencent, 15
Twitter, 15-16, 32, 80-82, 170, 246, 248
Weibo, 15
YouTube, 25, 52, 82-83, 100
Sosyal Güvenlik numarası, 31, 34, 81, 228
sosyalleşme. Bkz. sosyal mühendislik Somer, Peter, 163
Spafford, Eugene, 90
yemleme kancası. Kimlik avına bakın
SQL enjeksiyonu. Bkz. Yapılandırılmış Sorgu Dili
(SQL)
Dışişleri Bakanlığı, 53-54, 107
Huntingdon Hayvan Zulmünü Durdurun
(SHAC), 79-80
Çevrimiçi Korsanı Durdurma Yasası (SOPA), 107
Yapılandırılmış Sorgu Dili (SQL), 42
Stuxnet
kopyaları, 158-159
oluşturulması ve etkileri, 35, 38, 98,
114-118, 213
118-120, 132, 152, 156-158 dersleri
süper bilgisayar, 247-248
Merkezi denetim ve veri toplama
(SCADA), 15, 115, 130, 159
tedarik zinciri, 203-204
Suriye
siber saldırı hedefi olarak, 55, 126-128
saldırgan siber operasyonlar, 45, 112
( ayrıca bkz. Orchard Operasyonu)
test yatakları, 212
Kabal, 196
Ekonomist , 108, 120, 183
Jetgiller, 2
tehdit değerlendirmesi, 148-150
Tor, 7, 107-110
Aktarım Denetim Protokolü (TCP), 18
Truva atı, 126-127
Twitter'da. Sosyal medyayı görün
yazım hatası, 86
Ukrayna, 73
Birim 61398, 141-142
Birleşmiş Milletler (BM), 30, 53, 123-124,
160, 186, 252
Evrensel Seri Veri Yolu (USB), 53, 64
insansız sistemler, 130, 150-151
Verizon, 95, 199 virüsü. Kötü amaçlı yazılımları görün
masturbasyon, 77
sulama deliği, 144
Weizhan, Chen, 143
Batı, Darrell, 204
beyaz listeye alma, 241
WikiLeaks, 50-55, 79, 81, 83-84,
194-195
Wilkinson, Winston, 231
Birinci Dünya Savaşı, 6, 154
İkinci Dünya Savaşı, 69-70, 112, 122, 128, 132,
172
World Wide Web Savaşı I, 78 solucan. Kötü amaçlı
yazılımları görün
Yaman Muhadab, 103, 105
Yoran, Amit, 216
Youtube. Sosyal medyayı görün
Sıfır gün, 115
zombi, 44. Ayrıca bkz . bot ağı