Dijital Kültür Oluşumunda Algı Yönetimi Etkisi ve Algı Yönetimine Karşı Koyma

Ong, Sözlü ve yazılı kültür adlı eserinde, yazı ve matbaa kavramlarının varlığını bile bilmeyen, iletişimin yalnız konuşma dilinden oluştuğu kültürleri, “birincil sözlü kültür” olarak nitelemişti. Telefon, radyo, televizyon ve diğer elektronik araçların “sözlü” nitelikleri ile haşır neşir olan kültürleri ise, “ikincil sözlü kültür” olarak tanımlamıştı. [1] Özellikle matbaa sonrasında, yazı, esasında kendisi de bir teknoloji olarak, kültürün gerek oluşturulduğu gerekse aktarıldığı bir ortam olmuş, yazılı kültürü oluşturmuştu. Sözlü kültürdeki aktarım da yazılı kültürle desteklenmişti.

Günümüzde ise özellikle internetin yaygınlaşması ile beraber hızlı ilerleme gösteren dijital kültür oluşumu devam etmektedir. İnternetin doğuşu dijital kültür için bir milat kabul edilmektedir. İnternetten önce doğup da bugün internet kullananlar için “dijital göçmen” tanımı kullanılırken, sonrasında doğanlar için ise “dijital yerliler” tanımı kullanılmaktadır. Bunlara “internete doğanlar” da diyebiliriz. Şu anda da görüyoruz ki, internet sonrası dönem ilerledikçe bir ırki kısıt olmadığından göçmenler de yerlileşmektedir.

Dijital kültürün bundan öncekilerden ayrışan bir yönü de kültürler arası etkileşimin hiç olmadığı kadar yüksek olmasıdır. Bu çağda bir kültürün diğerine aktarılması her an gerçekleşmektedir. [2] Dolayısıyla kültürel dönüşüm de, zamansal olarak internet hızında, coğrafi olarak ise ancak diller ve çevirilerle sınırlanabilen geniş bir coğrafyada cereyan etmektedir. Dünyada kullanılan dillerden özellikle İngilizce’nin yaygınlığının etkisi ile kültürel dönüşümün coğrafi sınırı belirsizleşmektedir.

Castells’in “Ağ Toplumu” kavramını da bu noktada hatırlamakta fayda vardır. Geçmiş dönemlerin endüstri toplumu, bilgi toplumu gibi kavramları yüksek etkileşimle beraber “ağ toplumu”na dönmektedir. Ağlar, toplumun sosyal morfolojisini etkiler hatta oluştururken, kültürün oluşma süreçlerini de değiştirmektedir. [3]

Dijital kültürde, kültürün yönlendirilmesi de bu anlamda hiç olmadığı kadar kolay olabilmektedir. Algı operasyonları ile alternatif kültürler oluşturulabilmekte, hatta sözlü kültürden gelen, yazılı ve sonra da dijital hale geçmiş kültür birikimleri dahi dönüştürülebilmektedir. Dijital ortamda, farklı dil konuşan kültür bölgelerinde aynı konuda zıt bilgilerin olduğu durumlar da çoğalmaktadır. Örneğin; Türkler açısından Batıya akın dünyaya düzen vermek adına bir cihan hâkimiyeti mefkûresi adımı iken, batılılar için Türkler, bütün doğulu halklar için de kullanılan bir genellemenin de etkisiyle, barbar olarak nitelendirilebilmektedir. Sözlü kültür dönemlerinin makro diyebileceğimiz bu örnek zıtlığı, dijital kültür içerisinde daha sınırlı ve küçük olaylar için dahi olabilmektedir. Yine örnek vermek gerekirse, Türkiye açısından DEAŞ, karşı çıkılıp yok edilmeye çalışılan bir terör örgütü iken, dijital medyaların farklı dil ve coğrafi bölgelerinde ise bu örgüt ismen İŞİD’e dönüşmekte, Türkiye ise bu terör örgütünü destekliyor olarak lanse edilebilmektedir.

Zıtlık, sadece farklı dil ve coğrafi bölgelerde değil, Türkiye içinde Türkçe konuşan insanlar arasında da olabilmektedir. Bir kısım, siyasi nefret temeliyle kendi devletlerini teröre destek veren devlet olarak pazarlayabilmektedir. Binlerce yıllık sözlü kültürde Kürşad’ın ne 39 ne 41, tam 40 çeriyle Çin sarayını bastığını bilebilirken, birkaç on yıllık dijital kültürde dünyanın tamamı düşünüldüğünde böyle bir kesinlik oluşturulamamaktadır.

İşte bu amorfluk ve amorfluğa zemin hazırlayan dijital kültür ortamlarından sosyal medya mecraları algı operasyonları için sıkça kullanılmaktadır.

Chomsky, demokrasinin propagandayı geçmişin totaliter rejimlerinin sopasına benzer şekilde kullandığından bahseder. [4] Bu anlamda bugünün demokrasi simgesi ülkelerin gizli totaliterliklerinin sopası propagandadır. Algı yönetimi de, dış izleyicilerin duygularını, güdülerini ve amaçlarını etkilemek amacıyla seçilmiş bilgileri yayma faaliyeti olarak tanımlanmaktadır. [5] Algı yönetimi, ABD menşeli bir kavram olarak, Amerikan siyasi kararlarının ülkede ve tüm dünyada benimsenmesi amacıyla kullanılan bir yöntem olarak ortaya çıkmıştır. [6]

-0-

Yakın zamanlı bir olay olarak, İngilizce sosyal medya içeriklerinde, Barış Pınarı harekâtında Türkiye’nin işgalci (invader) olduğu, bu harekâtın Kürtlerin tamamını hedef aldığı, sivil kayıplara dikkat edilmediği, çocukların fosfor bombaları ile Türk ordusu tarafından öldürüldüğü sunulmaktadır. PKK sanki AB ve ABD tarafından resmi olarak tanınan bir terör örgütü değilmişçesine, bu örgütün yöneticilerinden Ferhat Abdi Şahin, bu sefer “Mazlum” Kobani olarak isimlendirilebilmektedir. Sosyal mecralarda bu teröristler anında muteberleştirilmekte, Twitter ve benzeri sosyal medyalarda bir günde onaylı hesap haline gelebilmektedir. Terörü öven, yalan haber kullanmaktan çekinmeyen, İngilizce ve Türkçe yayın yapan hesaplara karşı yapılan şikâyetler sonuçsuz kalmaktadır. Sosyal medyada bu hesaplara karşı yapılan Türkiye’yi kollayıcı yorumlar da, organize oldukları her hallerinden belli olan Kürt görünümlü hesaplar tarafından ağır küfürlerle karşılaşmaktadır.

Tersi yönden örnekler de mevcuttur. Türk milletinin haklarını savunan, siyasi ve tarihi gerçekleri video içeriklerle hatırlatan BozkurtCaps, Barış Pınarı harekâtından İngilizce haberler sunan ve yalan haberleri ifşa eden TRT World, harekatı destekleyen siyasi partilerin hesaplarından bazıları, ya sınırlandırılmakta ya da tamamen kapatılmaktadır. Birer “dijital sermaye” olan bu hesaplara tabiri caizse sosyal medya mecraları tarafından çökülmektedir.

Sosyal medya şirketlerinin bağlı bulundukları ülkelerin istihbarat servisleri ya da dış işleri ile işbirliği halinde bu algı operasyonunda yer aldığını düşünmek işten bile değildir. Üstelik bu davranışın bu şirketler açısından kendi tabi oldukları ülkelerinde bir vatandaşlık ya da biraz daha hafif bir tabirle vatanseverlik görevi olduğu, bu anlamda kendi içlerinde tutarlı oldukları da yorumlanabilir.

-0-

Elektronik iletişimin artması ile ortaya atılan “Global Köy” tanımlanırken McLuhan pozitif anlamda karşılıklı dayanışmanın dünyayı global köy olarak yeniden yarattığından bahsetmekteydi. Görülen o ki, bu köyde de ciddi kavgalar hüküm sürmektedir. Gerçek ile algı, gerçek ile algılanan gerçek ve algı ile de algılanan gerçek arasındaki çatışma da bu kavganın odunudur.

Sonuç olarak görülmektedir ki; Türkiye Cumhuriyet Devleti’nin ve biz Türklerin itibarlarının zedelenmesi amacıyla yapılan, politik kararların, askeri operasyonların, askeri operasyon uygulamalarının sorgulandığı algı operasyonlarının aslında birer propaganda, psikolojik savaş, kamu diplomasisi ve bilgi savaşı aracı olarak kullanılabildiğini söylemek mümkündür.

Bunlara bugün mukabele edilmemesi de gelecekte daha büyük dert olacak aleyhte dijital kültür oluşumunu getirecektir. Yüz yıldır başımızdan uzaklaşmayan sözde Ermeni soykırımı iddiaları hatırlanmalıdır.

Peki, bu noktada “yerli ve milli sosyal medyalar çözüm müdür?” dersek, cevap hayır olmalıdır. Yerli sosyal medya yeterli olgunluğa gelmiş olsa bile, kısa-orta vadede ancak yerel dijital kültür oluşumunda bir etki oluşturacaktır. Hâlbuki bugün milyarlara hitap eden sosyal mecralar vardır. Bu mecraları yok saymak, külliyen engellemek gibi çözümler bu mecraların kazançlarını biraz azaltır, canlarını biraz yakar, ancak buralardaki tüm aleyhte algı operasyonları devam eder. Sınırlarımızın ve dilimizin ötesinde, Türkiye Cumhuriyeti ve Türkler ile ilgili bir alternatif tarih yazılır ve bu dijital kültüre kazınır. Hatta buna sınırlarımız içinde de inananlar ve etki oluşturabilir. Algı operasyonları ile yapılan dijital kültür manipülasyonuna karşı olarak yapılacak 3 ana eylem vardır.

– İlki koordine edilmiş sosyal medya kamu diplomasisi, propaganda/anti-propaganda çalışmalarıdır. Kamu diplomasisinden sorumlu kurumlar her algı operasyonunun altını boşa düşürecek verileri sağlar, bunları devlet ciddiyetine yakışan şekilde oluşturur ve yayar. Gönüllü ama organize olmuş sivil toplum örgütlenmeleri, Türkçe ve İngilizce kullanabilen, dijital göçmen ve dijital yerli vatandaşlarımızın kullanacağı içerikleri hazır edebilir ve ilk paylaşımları yapabilir. Bu takımların yedekli ve güçlü hesaplara sahip olması önemlidir. Bu noktada gayri nizami usullerle karşılık verme gerekir.

– Diğer eylem alanı ise birer şirket olan bu mecraların Türkiye Cumhuriyeti’ne hukuki muhataplıklarının güçlendirilmesi, savcılık ve mahkemelerin sorularına net ve hızlı cevap vermelerinin sağlanmasıdır. Bu amaçla, erişimin engellenmesi yöntemleri ve Türkiye’de oldukça yüksek miktarlarda para kazanıp bu milyonlarca doları yurtdışına gönderen yabancı dijital şirketlere uygulanacak vergi/ceza yöntemleri ile sosyal medya mecralarının hem gözlenmesi ve hem de suça karşı işbirliğine sevk edilmeleri sağlanabilecektir.

– Bir diğer eylem ise yerli sosyal mecraların oluşturulması ve yaygınlaştırılması olacaktır. Bu mecralar özellikle yerli algı operasyonlarının önüne geçecek alanlar olacaktır.

Aydınlar ve eli kalem tutanlar için dijital mecralar yalnızca birer vitrin olarak görülmemelidir. Bunlar vitrin olmasının çok ötesinde, birer mücadele mekânı, birer kültür oluşum ortamları olarak görülmeli ve buna göre muamele edilmelidir.

[1] Ong, Walter J. (2014). Sözlü ve Yazılı Kültür

[2] Altay, Derya (2005). Küresel Köyün Medyatik Mimarı Marshall McLuhan

[3] Castells, Manuel (2009). The Rise of the Network Society

[4] Chomsky, Noam (1995). Dünya Düzeni: Eskisi Yenisi.

[5] Erol, S. M., ve Ozan, E. (2014). Türk Dış Politikasında Algı Yönetimi.

[6] Saydam, Ali (2007). İletişimin Akıl ve Gönül Penceresi Algılama Yönetimi.

Hızlandırılmış Kültürel Erozyon ve İnternet TV

İlk olarak Kurlu Sesleniş dergisi Eylül 2019 sayısında yayınlanmıştır.

Oğuz Yılmaz
oguz.yilmaz@tasav.org
Twitter: @oguzyilmazvatan  –  @oguzyilmaz79

Bir süredir internet tabanlı televizyonların (Netflix, Puhu, Blu gibi platformlar) içerikleri ile ilgili eleştiriler artarak devam ediyordu. Bunlar da yersiz eleştiriler değildi. Özellikle yurtdışı kaynaklı olan platformlarda, çocuklarda ve hatta büyüklerde oldukça olumsuz etki bırakacak unsurlar da yer alıyor.

Örneğin, çizgi filmlerde kız çocukları öpüştürülüyor. Dizilerde çok yüksek oranlarda lezbiyen ve gey karakterler oynatılıyor. Üstelik bu eşcinsellik sanki bir eşcinsellik kotası varmışçasına hiç ilgisiz dizilerde, ilgisiz anlarda ve hatta birçok izleyici rahatsız eder şekilde pompalanıyor. Öyle ki bu nedenle tüm dünyada aboneliklerini iptal eden birçok seyirci şikâyetlerini internette de paylaşıyorlar. Bu dizilerdeki eşcinsellik unsurları ile yıllar geçiren bir seyircinin zaman içinde eşcinselliği normal olarak algılaması da beklenebilir. Netflix bir “eşcinsellik dayatması” aracı olmuştur.

Bu platformlar yalnız Türkiye içinde değil, birçok ülkede büyük eleştirilerle karşılaşıyor. Kitleler Netflix’in neden bu yolla ilerlediğini anlamak için kafa yoruyor. Bir kısmı ekonomik sıkıntıları olduğu için marjinal seyirciyi kendine bağlamayı hedeflediğini söylerken, bir kısmı tek dünya devleti gayesinde olan güçlerin, yozlaştırma, dinsizleştirme, entegre etme amacına yönelik bir platformu olduğunu belirtiyor.

Tek konu bu da değil. Bunun yanında, yine bu platformlarda yayınlanan dizilerde toplumlar aleyhine bir furya da var. 11 Eylül’den sonra sıklıkla gördüğümüz İslam karşıtlığını körükleyen film ve diziler bu platforma özel yapılan yapımlarda da bolca var. Bunlar arasında Araplardan Türklere doğru da örneklemeler de yavaş yavaş görülüyor.

Diğer yandan Türkiye’nin uluslararası ilişkilerde uğraştığı konulardan birisi olan Ermeni iddiaları da, bir senaristin ve belki de yapımcının isteği ile dizilerde yer bulabiliyor. Örneğin uzayda yaşam arayışının konu edildiği bir dizide uzay gemisindeki 10 gemilik mürettebattan birisi (eşcinsel olanı) yüz yıl önce Ermeni atalarının neler çektiğinden bahsedebiliyor.

Netflix ve benzeri global platformlar tek bir ülke ya da kültürü değil, birçok ülke ve kültürü hedefliyorlar. Alman çizer Max Guther’in NYTimes için çizdiği görsel aslında bu platformların nasıl “ortaya karışık” ve nasıl bir “nüfuz aracı” olduğunu çok güzel bir şekilde anlatıyor.

Neden Talep Görüyor?

İnkâr edemeyiz ki bu platformlar arz edildiklerinde talep görüyorlar. 1980-1996 arası doğan Y kuşağı (milenyum) ve 1997 sonrası doğan Z kuşağı (dijital yerliler) bu platformların en yoğun kullanıcıları. Türkiye’de de nüfusun büyük kısmını oluşturan, bugün 40 yaş altı olan bu kuşaklar, interneti öğrendi, hatta bir kısmı internete doğdu. İnternetten arkadaşlar edindi, itirazlarını dile getirdi, kendini ifade etti. Gittikçe de internet ve sosyal medya ana yaşam ortamı haline geldi. Bugün ise olağan medya yerine artık internet medyası bu kuşakların öncelikli tercihi. Nedenleri içerisinde elbette bu kuşağın özellikleri de var.

Ancak, bilinen medyadaki tekdüzeliği göz ardı edemeyiz. Ülkemizde 180 dakika süren televizyon dizilerinde birbirine dakikalarca bakışan insanlara bu kuşak nasıl dayanabilir? Sıradanlık, hikâyesi ile niteliksizlik (zengin oğlan fakir kız gibi), yapım sermayesi zayıflığı gibi Türk sineması ve televizyonuna yapılan diğer eleştirileri de göz ardı edemeyiz. Ayrıca, millet ve milliyetten uzak, fikirsizliğin etkisi altındaki bir zümre tarafından yönetilen ve yönlendirilen medya ve sinema sektörü bu kuşağı yakalayamıyor, yakalayabildiğinde de faydadan çok zarar veriyor.

Bununla beraber, öğrenmeye açık olan bu kuşaklar yalnız çevresi ile değil tüm dünya ile ilgileniyor. Tüm dünyada olan hikâyeleri, yaşamları, maceraları, düşünceleri tanımak istiyor. Bu nesle Aşk-ı Memnu ya da Arka Sokaklar yetemiyor. Bu kuşağı tekraren gösterilen 2000’lerin belgeselleri doyurmuyor.

Bu kuşaklar televizyonda tartışma programları izlemek yerine internette açılan etiketler üzerinde görüşlerini ifade etmeyi, tartışmayı, saldırmayı, savunmayı, bunları yaparken kendine bir kimlik oluşturmayı tercih ediyor. Bir salonda konferans dinlerken dahi konferansa odaklanmak yerine, onu dinlerken, düşünüyor ve internet paylaşımları yazarak konferansı ayrı bir dünyada yaşıyor.

İşte konvansiyonel medyanın yakalayamadığı bu kuşaklar internet sosyal medyası ve tv’leri tarafından yapılan arza cevap verdiler. Göz ardı edilemeyen bu gerçek sonucu ergenliği geçirmekte olan, kendini tanımakta olan, hayatını kurmakta olan, hedeflerini belirlemekte olan bu kuşaklar, küresel bir nüfuz alanında nüfuz ediliyorlar.

Nasıl?

Türk milleti asla doğrudan saldırı ile yok edilemeyecektir. Ancak, “millet” ve onun temeli olan tarih ve kültür, yani “dil”, “ahlak”, “din”, “hukuk”, “estetik”, “düşünce”; ve toplumsal yaşamı düzenleyen değerler, yani “inanç”, “değerler”, “örf ve adetler”, “yasalar”, çürümeye maruz bırakılırsa bu çözülme Türk Milleti’ne tehlike potansiyelinde olur.

Türk milletinin ilelebet yükselerek sürmesini hedefleyen Türk Milliyetçiliği bu alanlarda da çalışmayı gerektiriyor. Geleceğimiz çocukların ve gençlerin ellerinde yükselecek. Bu noktada çocuklarımızın bu platformlardan uzak tutulması, gençlerin bilinçli şekilde kullanmalarının sağlanması, bu platformda yaşlarının ötesinde içeriklere maruz kalmalarının engellenmesi, anne babalık görevi olduğu kadar her milliyetçi için bir vazifedir. Türk milliyetçilerinin, çarpan etkisi olan medya ve sinema alanında da yoğun şekilde bulunması ve Türk kültürünü gözeten anlayışı yerleştirmek için birbirine destek olması büyük önem arz etmektedir. Nihai çözüm Türk kültürünü gözetirken tüketicinin beklentisine de cevap verebilecek yeni Türk medya ve sinemasında olacaktır. Siyaset ve politika da, toplu etki sağlayacak araçları ile bu hızlandırılmış erozyonu engellemelidir. Bu yapılırken, neredeyse kendilerini internet dışında ifade edemeyen bu kuşaklar için tamamen engelleyici yaklaşımların tepki çekeceği düşünülmeli ve uygunlaştırıcı yöntemler uygulanmalıdır.

Meydan

Yer yüzünde kalsan da tek

Eğme boyun, öpme etek!

Çin seddinden,

Nemçe’ye dek

Yeni baştan sar meydanı.

Bak neler var dünlerinde

Acı, tatlı günlerinde…

Dumlupınar önlerinde

Mehmetçik’ten sor meydanı.

 

Niyazi Yıldırım Gençosmanoğlu

Hajime IoT Zararlısı

Geçen yılın ikinci yarısında DYN DDoS saldırısı ile gündeme gelen Mirai zararlısı, yönlendirici, modem, kamera, dvr, nvr gibi bugün IoT genellemesi altında nitelenen cihazları kendi botnetine dahil ediyordu. Bu cihazlardaki baz işletim sistemi olan Linux’un çok eski ve zayıf sürümlerinin getirdiği güvenlik açıkları ve/veya bu cihazların üreticiden geldiği şekilde bırakılmış kullanıcı ismi-şifrelerini kullanan Mirai (Japoncada “Gelecek”) ile 22 Eylül 2016’de Brian Krebs’in bloguna 620 Gbps [1] ve 21 Ekim 2016’da da DYN’ye karşı 1.2 Tbps[2]  boyutuna ulaşan saldırılar yapıldı. Mirai kodu ise kendini Anna Senpai ismiyle tanıtan birisi tarafından hackforums’da 30 Eylül 2016’da yayınlandı. Detayları incelendiğinde ise  Mirai’ın DDoS yetenekleri net bir şekilde görünmekteydi. [3]

Kodun yayınlanması sonrasında bir başka zararlı görünmeye başladı. Rapidity SRG’nin 16 Ekim 2016 tarihli çalışmasında[4] net bir şekilde daha yenilikçi diyebileceğimiz bir zararlı örneği anlatılıyor. Bu zararlı Mirai’ın yayılım yöntemi gibi IoT aygıtlarındaki telnet portları aracılığı ile yayılıyordu. Ancak bulaşmasından sonraki ikinci aşama (stage2) dosyalarını bulmak için Bittorrent DHT ve indirmek içinde Bittorrent uTP kullanıyor. Hajime (Japoncada “başlangıç”) ismi verilen zararlı, bu sayede ikincil aşama kodu kolaylıkla dağıtık şekilde sunulabiliyor. Ayrıca bu kadar esnek bir ikincil aşama kodu sunumuyla beraber de aslında bu yeni zararlı sonraki amaçlar için jenerik bir platform haline geliyor. Örneğin ele geçirilen botlar custom ikincil aşamalar yüklenebilir şekilde kiralanabilir oluyor. Bu çok önemli bir gelişme.

Aynı araştırmacılardan Ioannis Profetis ise yakın zamanlı blog yazısında[5] Hajime’nin güncel sürümünde bazı değişikliklerden bahsediyor. Yüklemeler için wget’e geçiş, ve zararlının bulaştıktan sonra bulaştığı sistemdeki telnet başta olmak üzere bazı portlara erişimi engellediği gibi değişikliklerle beraber Hajime’nin aslında bulaştığı sistemi başka zararlıların bulaşmaması için koruduğu şeklinde yorumlar yer almaya başladı. Hatta sistemleri koruyan bir yaızlım olduğu, bunu yazanların da gri şapkalılar oldukları ile ilgili haberler çıkmaya başladı. [6]

Hajime ile ilgili ben hiç de bu görüşte değilim onu belirtelim. İlgili portları kapatıyor olması Hajime’nin amacının bu olduğu anlamına gelebileceği gibi, kendisinin olduğu mekana başkasını kabul etmek istememesi yani mülkiyet de ifade eder. Ayrıca ikincil aşama dosyanın kolayca değiştirilebiliyor olması da gelecekte bu botnet’in DDoS ve benzeri saldırılar için kullanılabilmesi için de platformu hazırlıyor. Hatta ilk tasarımda Bittorrent altyapısı kullanılması da bu amacı işaret ediyor bence.

Bu saldırıları engellemek için saldırma yaklaşımında Hajime tek değil. Yakın zamanda ortaya çıkarılan brickerbot zararlısı ise IoT aygıtlarının “ele geçirilmemesi için”, onları çalışmaz hale getiriyor. Nasıl çalışmaz hale getirdiği ile ilgili “acımasız” komut satırlarına bakmak isteyebilirsiniz. [7]

Bu arada ilk araştırmada konan ismin güncel sürümde Hajime’yi yazan kişilerce kabul görmesi ve güncel sürümlerde kendilerini bu şekilde ifade etmeleri de gayet ilginç olmuş.

Son kullanıcı olarak okuyorsanız, siz siz olun modem, kamera, dvr gibi cihazların şifrelerini ön tanımlı da bırakmayın. Telnet ve gerekmiyorsa ssh erişimlerini kapatın.

Teknik araştırmacı iseniz aşağıdaki linkler ilginizi çekecektir. Bunlarla beraber Brian Krebs’in Mirai’ı yazan kişinin izini nasıl sürdüğü ile ilgili yazı da ilginizi çekebilir 🙂 [8]

  1. https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/
  2. http://dyn.com/blog/dyn-statement-on-10212016-ddos-attack/
  3. https://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html
  4. https://security.rapiditynetworks.com/publications/2016-10-16/hajime.pdf
  5. https://x86.re/blog/hajime-a-follow-up/
  6. https://arstechnica.com/security/2017/04/vigilante-botnet-infects-iot-devices-before-blackhats-can-hijack-them/?comments=1
  7. https://www.bleepingcomputer.com/news/security/new-malware-intentionally-bricks-iot-devices/
  8. https://krebsonsecurity.com/2017/01/who-is-anna-senpai-the-mirai-worm-author/

16 Nisan

16 Nisan 2017

1 Yıl

Babam Bahri Yılmaz’ı (http://www.bahriyilmaz.gen.tr) ebediyete uğurlamamızın ardından tam bir yıl geçti. 16 Nisan 2016’da akşam vakti gelen bir telefonla Kazan (bugün Kahramankazan) Devlet Hastanesi’ne gidişimiz ve babamızı son kez görüşümüz.  Bunun ardından Ordu’da cenaze merasimi ve onu dağların kucağına koyuşumuz, babamın yüzlerce seveni ile telefonla ya da yüz yüze tanışmam ve hepsi de imrenilecek onlarca sıfatla anıldığını duymak. Allah mekanını cennet eylesin.


Çok zor geçen aylardan sonra baharı hissedemeden Temmuz’a geldik. 15 Temmuz’da ise hayal edemeyeceğimiz bir barbarlıkla halka silah doğrultabilen ve onları şehit edebilen insanların yaptığı bir darbe girişimi ile hayretler içerisinde kaldım. Devletin sezgisi ve dirayetiyle FETÖ darbe girişimi neyse ki engellendi ve sonraki günlerde hayat hızlıca normale dönmeye başladı. Ülkemizin bu nevi bir durumda bir daha kalmamasını diliyorum.

Bugün yine bir 16 Nisan. Ülkemiz için önemli bir gün. Referandum. Bugün millet kararını veriyor ve akşam neticesini öğreneceğiz. Şuna inanıyorum ki, millet neyi nasıl isterse o şekilde olsun. Temennim ve inancım o dur ki; Tarih boyunca yüzlerce değişim geçiren Büyük Türk Milleti gittikçe daha da büyüyerek düzende yerini güçlendirir. Umarım olabildiğince uzun süre dinç kalır ve buna katkı veririm.

İşte bu yazıyla beraber babamı kaybetmemin ardından 1 yıl ara verdiğim internet paylaşımlarıma yavaş yavaş tekrar başlıyorum.

İyi günler,

 

Fokirtor Linux malware

Hello,

It is not good to hear such smarter malware backdoor in Linux.
http://www.theregister.co.uk/2013/11/15/stealthy_linux_backdoor/
http://www.symantec.com/connect/blogs/linux-back-door-uses-covert-communication-protocol

The guys in kumina has prepared a checker script.
https://github.com/kumina/nagios-plugins-kumina/blob/master/check_fokirtor.sh

However this will not work for older gdb. I have modified it for working with older gdb’s, below:
check_fokirtor.sh.zip


#!/bin/sh
#
# A simple check to see if running ssh processes contain any string that have
# been designated an indication of Fokirtor by Symantec.
#
# More info here:
# http://www.symantec.com/connect/blogs/linux-back-door-uses-covert-communication-protocol
#
# (c) 2013, Kumina bv, info@kumina.nl
#
# You are free to use, modify and distribute this check in any way you see
# fit. Just don't say you wrote it.
#
# This check is created for Debian Squeeze/Wheezy, no idea if it'll work in
# other distros. You'll need gdb-minimal (for gcore) installed.
#
# modified for older gdb by Oguz Yilmaz

# We need to be root
if [ `/usr/bin/id -u` -ne 0 ]; then
echo “You need root for this script. Sorry.”
exit 1
fi

FILE1=”set pagination off\\n\
set height 0\\n\
set width 0″

FILE2=”detach\\n\
quit”

if [ ! -f /tmp/check_fokirtor.gdb ]; then
echo -e “$FILE1” > /tmp/check_fokirtor.gdb
fi
if [ ! -f /tmp/check_fokirtor.gdb2 ]; then
echo -e “$FILE2” > /tmp/check_fokirtor.gdb2
fi

# For all pids of the ssh process, do the check
for pid in `pidof sshd`; do
t=$(/bin/mktemp)
echo “gcore $t” > /tmp/check_fokirtor.tmp1

/usr/bin/gdb –nx –pid $pid \
-x /tmp/check_fokirtor.gdb \
-x /tmp/check_fokirtor.tmp1 \
-x /tmp/check_fokirtor.gdb2 > /dev/null 2>/dev/null
#/usr/bin/gdb # -ex “set pagination off” -ex “set height 0 ” -ex “set width 0” \
# -ex “attach $pid” -ex “gcore $t” -ex detach -ex quit

i=0
for str in hbt= key= dhost= sp= sk= dip=; do
/usr/bin/strings $t | /bin/grep “${str}[[:digit:]]”
if [ $? -eq 0 ]; then
i=$(($i + 1))
fi
done
/bin/rm $t
/bin/rm /tmp/check_fokirtor.tmp1
if [ $i -eq 6 ]; then
echo “CRITICAL: Fokirtor strings found in sshd process ${pid}!”
exit 2
fi
done

echo “OK: No indication of Fokirtor found.”
exit 0

nagios ile dns bütünlük kontrolü

Son zamanlarda gerçekleşen dns ele geçirme(dns hijaking) işlemleri karşısında dns bütünlüğünün düzenli kontrolünün de önemi belirginleşti. Zira ne kadar hızlı mdahale edilirse o kadar az dns sunucu ve istemci yanlış IP adresinizi belleğine almış olur.

Bu amaçla kullanmak üzere bir servis ararken “ne gerek var, bizim nagios’ta bu işi yaoabilir miyim acaba” diyerek durdum. İncelediğimde nagios ‘un check_dns eklentisi tam bu iş için uygun. Ancak ön tanımlı hali, kontrol ettiğiniz sunucuyu bir dns sunucu olarak varsayıp bunun dns çözüp çözmediğini kontrol etmek için hazırlanmış. Ama basitçe check_dns’i kullanan yeni bir servis tanımlamak mümkün.

check command name: check_dns_integrity
default service name:
check command line: $USER1$/check_dns -H $HOSTALIAS$ -a $ARG1$ -a $ARG2$
command description: ARG1=...,ARG2=...,ARG3=...
default command params: !
amount of params: 2

global/checkcommands.cfg:
define command {
command_name check_dns_integrity
command_line $USER1$/check_dns -H $HOSTALIAS$ -a $ARG1$ -a $ARG2$
}

Bunu kullanan bir servis oluşturuyoruz:

Default_collector/extended_service_info.cfg:
define serviceextinfo {
host_name www
service_description www-check_dns_integrity
}

Default_collector/services.cfg:
define service {
service_description www-check_dns_integrity
check_command check_dns_integrity!141.101.125.239,141.101.126.239!141.101.126.239,141.101.125.239
host_name www
check_period 24x7
event_handler_enabled 0
max_check_attempts 3
check_interval 5
retry_interval 1
active_checks_enabled 1
passive_checks_enabled 1
notifications_enabled 1
check_freshness 0
freshness_threshold 86400
use Default_monitor_server
contact_groups admins
}

check_command parametresi olarak DNS’in çözmesi gereken IP adreslerini yazmalısınız. Ayrıntısı için nagios check_dns man sayfasına bakabilirsiniz.

Tanımladığınız host’un alias değişkenin kontrol etmek istediğini FQDN olarak tanımlandığından emin olun.

define host {
host_name www
alias www.labristeknoloji.com
...
}

Bu şekilde rutin kontroller arasında dns bütünlük kontrolü de gayet kolayca hallolmuş oluyor.

BTHaber Ekim 2010 röportajım

Bthaber röportajımızın tam metni:

– Sizleri daha yakından tanımak adına kısaca Labris Teknoloji’den bahsedebilir misiniz?

Labris, fikri temelleri olgunlaştıktan sonra, 2001 yılında tüzel kişilik kazanmış uzun soluklu bir Ar-Ge projesidir. Bilişim güvenliği yelpazesinde, yerli ürün üreten en eski firmayız. Temel amacımız, yerli kaynaklarla bilişim güvenliği alanında kritik bilgi birikimini edinerek, uluslar arası diğer rakiplerimizle boy ölçüşebilecek ürünler geliştirmektir. 2003’ den bu yana Tübitak, TTGV ve ODTÜ Teknokent desteklerini de yanımıza alarak Ar-Ge temelli ürün geliştirme bakışımızdan hiç sapmadan devamlı gelişim gösterdik. Türkiye’de 1000’in üzerinde kurumsal müşteride ve çevre yedi ülkede ürünlerimiz çalışmaktadır. Bu noktada milyonlarca dolarlık ithalatı engellemiş, ihracata başlamış durumdayız. Bunlardan daha da önemlisi ilk olarak Türkiye’de bu kapsamda bir bilgi birikimini oluşturmuş olmamızdır. Belki biraz sessiz ilerliyoruz, ancak sağlam ve birikimli olarak geliyoruz.

– Türkiye’de e-devlet güvenliğine en yakın noktada, spesifik deneyimleri içeren bir konumdasınız. Bu noktadan bakınca, “e-devlet güvenliğinde yeterli bir noktadayız” diyebilir misiniz?

Öncelikle e-devlet dediğimizde, bizim algılamamız yalnızca ülkemiz vatandaşlarına açık uygulamalar değildir. Devletin iş süreçlerinden, sayısal ortamda ayağı olan tüm kısımlarını da bu kapsam dahil etmek gereklidir.

Görüyoruz ki son 10 yılda oldukça fazla yol kaydedildi. Hem devlette iş aracı olarak bilgisayarın kullanılması, hem de süreçlerin sayısal ortamda yürütülmeye başlanması açısından 2000-2010 dönemi oldukça önemlidir.

Sadece güvenlik gereksinimi değil kavramların tamamı da yeni, artık online ortamda hizmet veriliyor ve güvenlik kaçınılmaz.

Ağ güvenliği alanında çok önemli aşama kaydedildiğini belirtmek gerekli ama minimum gereklilikler noktasına hala erişebilmiş değiliz. Bu minimum noktanın da sabit olmayacağını devamlı ileri kayacağını da eklemek lazım. Bilişim güvenliği, bilişim bilimi içerisinde en aktif alandır, bu nedenle orta-uzun vadeli planların, ileri görüşlü hazırlanması gereklidir.

Hızlı gelişmede, önemli bir payımız olduğunu belirtmekten çekinmiyorum. Kurumlarımızla birlikte atacağımız birkaç önemli adım daha var. Hizmet ve yazılım güvenliği alanında ise yapacak çok iş olduğunu söyleyebilirim.

– E-devlet uygulamaları çerçevesinde, yüksek seviyede kurumsal bilgi güvenliği nasıl garanti edilebilir? Ve “yüksek seviye güvenlik”i nasıl tanımlayabiliriz?

Keşke bir cümlede tanımlayabilsek değil mi? Ancak şunu diyebiliriz ki, öncelikle “temel güvenlik gereksinimlerinin” yerine getirilmesi gerekmektedir. Gereksinimleri belirlerken, sadece ağ bileşenleri, donanım ve yazılımlar olarak algılamamak, personel ve süreçleri de ele almak gerekiyor. Hedeflenen yapının, kurumun sahip olduğu “bilginin gerektirdiği seviyede” güvenli olması gereklidir. Dikkat ederseniz sabit bir hedefi burada vermiyorum, veren de hata yapıyordur. Güvenlik hedefleri, korunacak materyali temel almadan, bağımsız bir anlayışla belirlenemez. Çünkü tehdidin niteliğini, korunan şey belirler. Alan terminolojimizde söylemek gerekirse, Yüksek Seviye Güvenlik, kurumda kabul edilebilecek optimum risk seviyesi ile belirlenir.

Tehdidi sadece dışarıdan algılar durumda olamayız. Örneğin katı bir politika uygulanmamasından dolayı, içerideki zayıflıkların dış tehditlerden çok daha fazla zarar verebildiği görülmüştür.

Bu noktada günümüz tehditlerini düşündüğümüzde temel ağ gereksinimleri temelden detaya doğru şu şekilde oluşmaktadır. Güvenlik Duvarı, URL/İçerik Filtreleme, Antivirüs/Antispam, Anonim Kullanıcıların Kimliklendirilmesi, Ağ Kayıtlarının Kanuni Şekilde Tutulması, Merkezi Yetkilendirme ve Politika Uygulama (AD ve benzeri), Uzak Erişimlerde VPN, Saldırı Tespit ve Önleme.

– Daha özelden bakarsak, e-devlet uygulamalarına karşı en büyük güvenlik tehditleri olarak neleri görüyorsunuz?

E-Devlet uygulamalarında 2008-2010 arasında karşılaşılan en büyük güvenlik olaylarını sıralayalım. Bunlar sorumuza doğrudan cevap oluşturacaktır. DoS, DDoS ve benzeri saldırı tipleriyle hizmetin aksatılmasına yönelik saldırılar yaşanmaktadır. Veri sahibinin belli olmaması ve verinin farklı devlet kurumlarında farklı güvenlik anlayışları ya da altyapı-bilgi yetersizlikleri nedeniyle uygun güvenlikte sunulmaması ve sonuçta açık edilmesi sıkça yaşanan bir durumdur. Uygulama/Yazılım geliştirme seviyesinde açıklar nedeniyle, veri gizliliğinin ve bütünlüğünün korunamaması durumları oluşmaktadır. İnternet erişim politikası zayıflığından kaynaklı olarak, tüm zamanların klasiği virüs/worm/trojan/malware dörtlüsünden kaynaklı ağ aksamaları, iş ve veri kayıpları bilgi işlem çalışanları için önemli bir zaman kaybına neden olmaktadır. Uygun ürün ve uygun politikayı disiplinli bir şekilde kullandığınızda bu tehditlerden önemli ölçüde korunabiliriz.

– Sizin de değindiğiniz gibi son yıllarda, DDoS olarak adlandırılan saldırılar yurtdışında özellikle sıkça duyulmaya başlandı. Twitter, facebook vb. gibi sosyal medya araçları dışında ciddi devlet kuruluşlarına da bu tür saldırılar oldu. Bu tür saldırılara karşı nasıl bir önlem alınabilir? Uluslararası işbirliği saldırıları önlemede ve saldırganları yakalamada etkili olabilir mi?

İnternet saldırılarının en sorunlu yanı da önlenmesi için gerekli olan uluslar arası işbirliğinin sağlanmasının güçlüğüdür. Türk Telekom ve diğer operatörlerin üst operatörler ile hızlı çalışan kanallar oluşturmaları elbette bir çözüm olur. Ancak bugün Türkiye içindeki ISP’ler ve müşterileri arasında ilişkilerin zayıflığından söz ederken bunun sağlanması zor görünüyor. Kendi yöntemlerimizle başbaşayız. Üst katmanlara çıkmadan daha Labris Güvenlik Duvarı seviyesinde DDoS özel uyguladığımız yöntemlerle önemli ölçüde başarı elde ediyoruz.

– Mart 2010’da, Türkiye’deki 23 terör örgütü üyesi, kamu kurumlarının web sitelerini “hack”leme girişiminden ötürü gözaltına alındılar. Bu kişilerin, e- devlet, Pol-net gibi kurumların aralarında iletişimini sağlayan, bilgi ve verilerin yüklendiği ağlara saldırı düzenleyecekleri bilgisi medyada yankı buldu. Yine, diplomatik anlaşmazlıkların da siber dünyaya anında yansıdığını görüyoruz.  Bütün bunları nasıl değerlendirmeliyiz?

Ne yazık ki terör, savaş ve düşmanlık siber dünyada da kendilerine yer bularak, insanları, kurumları ve ülkeleri etkilemeye ve risk oluşturmaya devam ediyor. Siber ortam ülke savunması açısından sadece farklı bir ortam, ama önemli bir bileşeni, en az Kara, Hava ve Deniz savunması kadar. Bir de güvenlik olaylarını kesintiye yol açanlar ve bilgi hırsızlığıyla sonlananlar olarak ikiye ayırmak lazım. Normalde ele geçirilemeyecek bilgiler, yine siber ortam üzerinden edinilebiliyor olabilir. Bunları da değerlendirmek gerekir.

– Tekrar e-devlete dönecek olursak, e-devlette en büyük zaaflar nelerdir?

E-devlette en önemli zaafı “eşgüdümsüzlük” olarak belirleyebilirim. Bu şu anlama geliyor; e-devlet sistemlerinin gerek geliştirilmesi gerekse işletilmesi aşamasında kullanılacak metodolojiler eksik, kurum bağımsız ama devlet içi denetim yeterli düzeyde değil, veri sahibi belli değil ya da belli olduğu halde veri diğer kurumlarca eşgüdümsüz şekilde paylaşılıyor. Bütün bunlar çok önemli ve ölümcül zaaflar.

“Eğitim eksikliği”ni ikinci aşamada sayabilirim. Unutulmamalıdır ki bir sistem kullanıcısının zayıflıklarından muzdariptir. Eğitim eksikliğinden dolayı bir ürün kullanılamıyorsa ya da yanlış kullanılıyorsa elbette bir zaaf oluşur. Bu nedenle özellikle kamuda personel eğitimine önem verilmeli.

“İkinci göz eksikliği” bir diğer önemli zaaftır. Kurulan yazılım ve sistemlerin kullanıcı ve üretici dışında, bağımsız profesyonel unsurlarca çerçevelerinin belirlenmediğini, bağımsız denetçiler tarafından güvenlik testlerine tabi tutulmadan kullanıma açılıyor olduğunu görüyoruz.

Diğer yandan barış ortamında yeterince algılanamayan fakat belki de en önemli unsur “yabancı menşeli ürün kullanımı ve yerli bilgi birikimi oluşturulamaması” başlığı var. Labris’ in %20 ye yaklaşan Pazar payına rağmen, ülkemiz maalesef halen Amerikan ve İsrail menşeli ürünlerin bir pazarıdır. Bu durum da bizce çok önemli bir zaaftır. Son yaşanan İsrail anlaşmazlığında yabancı ürün kullanan kamu kurumlarındaki endişeyi ve yerli ürün kullanma isteklerini bizzat yaşadık. Daha ciddi bir anlaşmazlık halinde ne yapıyor olacağız? Cevaplanması gereken soru budur. Bu cevabı savaş anı heyecanı ve aceleciliğiyle değil, ulusal savunma ile ilgili risk analizinin önemli bir parçası olarak değerlendirmemiz gerekir.

Bundan önceki dönemde kamu kurumlarına bu noktada bir miktar hak veriyordum açıkçası. O kadar emek sarf ederek oluşturdukları sistemleri, herhangi bir şekilde kalitesi belli olmayan yerli bir ürünün güvenliğine teslim etme durumunu değerlendirmeleri gerekiyordu.

Biz bunun hep farkında olduk ve bize güvenen kurumlarımızı hiçbir zaman yarı yolda bırakmadan bu güne geldik. Üstelik bu güne gelirken yanımızda bir de uluslararası geçerlilikteki, en yaygın ve tek ISO standardını ürünlerimize katarak geldik. Labris, alanında ISO 15408 Ortak Kriterler (Common Criteria) EAL4+ sertifikasyonunu alabilen dünyanın 12’inci, ülkemizin ise ilk ve tek markasıdır.

İşte bu noktadan sonra Başbakanlık genelgeleri ile emredildiği şekilde yerli ürünlerin kullanımında değerlendirilecek bir marka olarak en önde yer alıyoruz. Tüm Türkiye’de yaşandığı gibi burada da bir değişim yaşanmaktadır. Bundan sonra uygun nitelikte yerli ürünleri, var oldukları halde tercih etmemenin sorumluluğu hissedilmelidir.

– UEAKE’nın Bilgisayar Olaylarına Müdahale Ekibi(BOME) ismi ile kurduğu yapı hakkında ne düşünüyorsunuz.

Eşgüdümün öneminden bahsetmiştim. Bu TR-BOME projesi de planlama itibariyle oldukça önemli bir çalışmadır, tebrik etmek gerekir. Amaçlar, Türkiye’de oluşan bilgisayar olaylarının merkezi olarak izlenmesi, tehdidin belirlendiği anda tüm kamu ve ticari kurum uçlarında engellenmesi, dokümantasyon üreterek kamuyu bilgilendirmesi gibi sıralanabilir. Zaten bilgiguvenligi.gov.tr ‘de daha ayrıntılı bilgi var.

Şu anda portal işlemekte ve TR-BOME henüz etkisi yüzeysel kalsa da çalışmakta. Ancak daha fazlasının çok daha fazla emek ve yatırım gerektirdiğinin farkındayız. Bu noktada ya Tübitak bu amaçla fonlanmalı ya da harici bir kurum alacağı bir fonla bu görevi üstlenmelidir. Ancak bence, UEKAE sahip olduğu personel niteliği ile bu göreve en uygun kurum gibi durmaktadır. Bizler yerli üretici olarak ürünlerimizde TR-BOME’nin ve TİB gibi diğer devlet kurumlarının her çıktısını değerlendirmek, eşgüdüm içinde ve senkronizasyon halinde çalışmak noktasında isteğimizi belirtmiş durumdayız. E-devlet güvenliğinde esas başarının da bu sayede yakalanabileceğine inanıyoruz. Bugün Amerika’ya baktığımızda ticari sektörün işin içine dahil edilmesiyle bilgi birikiminin ve dünyaya yayılmış markaların çıkabildiğini görüyoruz. Tübitak da devletimizin önemli bir kurumu olarak görevi gereği bize altyapı hazırlamaya devam etmeli, bizim ve benzeri tüm üreticilerin başarılarına ve sonuçta da kamu e-devlet güvenliğinin sağlanması başarısına ortak olmalıdır.

– Yerli ürün kullanmanın avantajları neler olabilir, sadece Türkçe arabirimler olması mı?

Sorunuz için teşekkür ederim, önemli bir nokta. Zaafları belirtirken eğitimden bahsetmiştim hatırlarsanız. Yerli ürün yalnızca arabirimleri Türkçe olan ürün değildir. Bunun yanında ürün özellik ve niteliklerinin yerele uygun, yerel mevzuata uygun olması, tüm dokümantasyonun Türkçe olması, tüm eğitimlerin Türkçe olması, tüm üretici dışı kaynakların da Türkçe olması büyük bir avantaj doğurmaktadır. Diğer yandan ürüne tam hakim ve hemen yakınınızda bir destek ekibi ile çalışıyor olmak çok büyük bir avantaj. Sadece ürünün kullanımı açısından düşünmeyelim. Biz müşterilerimiz ürünlerimiz dışında ağ güvenliği ve genel güvenlik alanlarında da her sorularında yön göstermeye çalışıyoruz. Hatta bunu müşterilerimizin bir hakkı olduğunu vurgulamak adına destek ve güncelleme hizmetimizin ismini “Destek, Güncelleme ve Danışmanlık“ hizmeti olarak değiştirdik.

Diğer yandan Arge’ye yakın olmak da yerli ürün kullanıyor olmanın önemli bir avantajı. Bugün örneğin 5651 sayılı kanun gereksinimleri açısından baktığımızda yabancı ürünler bu niteliği ancak ek birkaç ürünü bir arada kullanarak dolayısıyla daha yüksek toplam sahip olma maliyeti sağlarken biz yerel olmanın avantajı ile mevzuata uygun ürünü kaynağında planlayarak, üretiyoruz. Bunun dışında müşterilerimiz zaman içerisinde, ürün ile ilgili yeni fikirlerini iletiyorlar ve iddia ediyoruz ki bunlar herhangi bir markada görülmeyecek bir hız ile kaliteli bir şekilde ürünlerimizin sonraki sürümlerinde yer alıyorlar. Yani Ar-Ge’ ye ve üretime yön çizmek mümkün.

– Peki, Ortak Kriterler sertifikasyonu ve EAL4+ den bahsettiniz, kısaca bahseder misiniz?

Ortak Kriterler daha önceden bazı ülkeler tarafından geliştirilmekte olan ITSEC, TCSEC, CTCPEC sertifikasyonlarının birleştirilmesi sonucu oluşmuştur. Eskilerden bildiğimiz Orange Book, C2 gibi anılan sertifikasyonların güncel halidir. Bu sertifikasyon ISO tarafından yayınlanmış ve 15408 numarası ile tüm ülkeler için alanında resmi ISO standardı olmuştur. Dünyada yalnızca 14 ülke bu sertifikasyonu verebilmektedir ve yalnızca 50 civarında laboratuarda ilgili testler yapılabilmektedir. Zira çok ciddi bir laboratuar ve bilgi yatırımı gerektirmektedir. Türkiye’deki laboratuarın kurulması askeri kurumlarımızın ihtiyaçları doğrultusunda Tübitak UEAKE bünyesinde ayrı bir yönetim bölümü olarak yapılandırılmış ve OKTEM (Ortak Kriterler Test Merkezi) olarak isimlendirilmiştir. Sertifikasyonun belgeleme kısmını ise TSE yürütmektedir. TSE ve UEKAE bu alanda 14’üncü sertifika verebilen ülke olmak amacıyla bu işe başlamışlar ve başarıya ulaşmışlardır. Şimdi tüm dünya ülkelerinden sertifika başvuruları kabul edebilir ve değerlendirebilir ve sertifika ihraç edebilir konuma geldik. İşte, bilgi bu şekilde ihraç edilebilir. Geçtiğimiz günlerde Antalya’da yapılan Ortak Kriterler Konferansı’na da TSE başarılı bir şekilde ev sahipliği yaptı.

EAL4+ garanti seviyesi ticari ağ güvenliği ürünlerinde alınabilecek en üst seviye. Bu bir ürünün “metodik olarak tasarlandığı, test edildiği ve gözden geçirildiği” anlamına geliyor. Kendi altında 7 ana başlık ve 26 alt başlık altında binlerce gereksinimi barındırıyor. Bazı başlıklar halinde kabaca içerikleri şunlar:

1- Konfigürasyon Yönetim Otomasyonu

Kodların yönetiminin yapılması ile ilgili ailedir. Müşteriye ulaşan herhangi bir sürümün herhangi bir parçasındaki kodun doğrudan görüntülenebilmesi, hangi geliştirici tarafından geliştirildiği detayında geriye dönük problem takibi ve değişikliğin tespiti yapılmasını sağlar.

2- Sürüm Destek ve Kabul prosedürleri

Yeni bir sürüm çıktığından bundaki değişikliklerin takibi, değişikliklerin kabulü ve sürümün onaylanması için iyi prosedürlerin bulunması uygulanması ve sürümlerdeki hataların önlenebilmesi anlamına gelir.

3- Dağıtım ve Operasyon

Ürün üretimden çıkıp müşteriye ulaşan kadar değişiklik olmadığından müşterinin emin olması anlamına gelir.

4- Kurulum ve Başlatma prosedürleri

Kurulum ve ilk başlatma için en iyi deneyimler prosedürel yazılmış olmasını, prosedürsüz kuran kişinin inisiyatifinde bir kurulum yapıp güvenliğe riske atan ayarlar yapılmamasını garantiler.

5- Güvenliği zorlayıcı Üst Seviye tasarım ve testleri

Ürün ürün güvenliğini de zorlayıcı bir üst seviye tasarıma sahip olsun ki güvenli bir ürün geliştirilebilsin.

6- Açıklayıcı alt seviye tasarım

Üst seviye tasarımın uygulandığı bir alt seviye tasarım ve bunun üründe uygulanmasının değerlendirilmesi yapılır.

7- Belgeleme

Ürün son kullanıcı ve yönetici dokümantasyonlarının güvenli işletimi sağlamasını garantiler.

8- Güvenli Hayat Döngüsü

Ürünün hayat döngüsü içerisinde çıkabilecek güvenlik açıklarına karşı güncellemelerinin üretilip hızlı bir şekilde dağıtılabiliyor olmasını içerir.

9- İyi açıklanmış geliştirme araçları

Her geliştiricinin aynı geliştirme araçlarını ve aynı kullanım metodolojisi ve geliştirme pratikleri dahilinde kullandığına emin olunmalıdır.

10- Fonksiyonel test

Tüm ürün fonksiyonlarının belirtildiği şekilde testi ve fonksiyonel işlerliğinden emin olunması

11- Bağımsız testler

Bağımsız testler ile sistemin işlerliğinin ve saldırılara dayanma gücünün test edilmesi

12- Bağımsız Zayıflık Analizi

Bağımsız zayıflık analizi ile sistem zayıflıklarının varsa tespiti ve değerlendirilen sürümün zayıflık bulunmadan çıkarılması

13- Fiziksel Güvenlik

İşe alım süreçlerindeki güvenlik araştırmalarından başlamak üzere üretim ortamının güvenli olması ve kural dışı hareketin engelleniyor olması

14- Güvenlik politikaları

Firma, üretim ve süreçlerinin işleyişinin tamamen güvenlik politikalarını bağlı olarak işlerliğinin garanti edilmesi

Görüldüğü gibi Ortak Kriterler piyasadaki bir kısım sertifikalar gibi yalnızca ürünü ya da ufak bir fonksiyonunu sertifikalandırılmasında çok farklı. Ürün özelliklerini ve bunların kapalı kuru test sertifikalandırılmasını içerirken diğer yandan da tüm firmanın üretim sürecinin, ürün yönetim sürecinin, müşteriye ulaşma ve sunma sürecinin de bir kontrol ve sertifikasyon altında olmasını getiriyor. Bu nedenle de diğer tüm sertifikasyon süreçlerinin bağımsız ve tek dünya standardı olabilmiştir.

– Peki Ortak Kriterler bir ürüne ne katar ya da bir firmaya ne katar?

Önce iki cümle ile özetleyeyim sonrasında detaylandırayım isterseniz. Bir ürün sertifikasyonun zorlayıcı gereksinimlerine göre geliştirilirse güvenli olur. Bir firma da 15408 gibi bir sertifikasyon çerçevesinde üretim yapıyorsa kendini terbiye eder. Bu şekilde bir sertifikasyondan geçmiş bir firmayı anlatalım.

  1. Tüm iş süreçleri prosedürlere oturmuştur. Bir eylemin başka bir noktayı etkilemesi önlenir.
  2. Tüm ürünleri belli prosedürlere uyar. Müşteri devamlı değişimle karşılaşmaz. Karşılaşırsa değişimlerin ne olduğunu hemen değişim dokümanından bulabilir.
  3. Firma iç güvenlik önlemlerini alır ve firmanın geliştirdiği her proje ve işe, bu metodolojiler sirayet eder.
  4. Firma yazılım mühendisliği metodlarına mutlaka her projesinde uymaktadır. EAL4 seviyesinde sertifikasyonu bulunan bir firmanın, CMMI3 seviyesinde olgunluğa sahip olduğunu iddia etmesi, tuhaf karşılanmaz.
  5. Firma konvansiyonel fiziksel önlemlerini almıştır.
  6. Personelinin yetkinlikleri belli bir seviyenin mutlaka üzerindedir. Çünkü belli sistemleri (Konfigürasyon Yönetimi, Güvenlik Sistemleri, IDE, Test araçları) kalifiye olmayan personel kullanamaz.
  7. Firma dokümantasyona çok önem veren bir firmadır.
  8. Firma ürünlerinin testini müşteriye sunmadan önce yapar.
  9. Firma organizasyonel bir yapıda işlemektedir. Görevler tam olarak belirlenmiştir ve çalışanlar bu kapsamda iş yaparlar. Dağılmadıkları için kaliteli iş çıkarırlar.

– Ağ güvenliği sektöründe faaliyet gösteren yerli bir teknoloji üreticisi ve Ar-Ge şirketi için, Ortak Kriterler sertifikasyonu ne ifade ediyor?

Bu sertifikasyon bizim için 3 anlama sahip. Birincisi üretim ve ürün kalitemizdir. İkincisi Türkiye’deki kabul edilirliğimiz ve verdiğimiz güvendir. Üçüncüsü ise uluslararası pazarlara giriş anahtarımızdır.

– Bu sertifikasyon bildiğimiz kadarıyla pahalı ve uzun bir süreç. Bu sertifikasyon sürecinin size maliyeti ne oldu?

Sertifikasyon çalışmamız, Tübitak ve TSE’nin prosedürleri oturtma süreçleriyle paralel ilerlediğinden beklenenden biraz uzun sürdü. Diğer yandan da ilk sertifikasyon olmasından ve laboratuarın tescilini sağlayacak proje referansı olmasından dolayı ince elenip sık dokunarak ilerlendi. Sonuçta sertifikasyon sürecinin yarım milyon liraya yakın bir maliyeti oldu. 2007 yılında başlayan süreç 2008 sonunda tamamlandı. 2009 itibariyle de sertifikamızı aldık. Maliyetlerin yüksek olmasında, sertifika güvenlik garanti seviyemizi EAL4+ gibi en üst seviyede hedeflememizin ve süreç içinde yazılım hayat döngüsündeki hataların giderilmesine de ciddi kaynak ayırmamızın etkisi olmuştur.

– Ya global anlamda?

Belirttiğim gibi bu aynı zamanda bizim yurtdışı pazarlar için anahtarımız. Türkiye’de biz ya da kanalımız müşterilere ulaştıklarında kendimizi daha kolay anlatabiliyoruz. Gerektiğinde bir telefon uzakta olabiliyoruz. Yurtdışında ise tamamen yabancı bir marka olarak konumlandığınızda, ürün seçenlerin gözünde bir karşılaştırma yapılır. Bu karşılaştırma nicel ve global değerlere odaklanmak zorundadır. Sertifikasyon da bunun en güzel ispatı olmaktadır.

– Common Criteria’ya başvurmuş ilk firma olarak, sizi en çok zorlayan noktalar neler oldu? Bu noktalarda, yerli teknoloji üreticilerine önerileriniz var mı?

İlk olmamızdan dolayı oldukça dikkatli ilerlenen bir sürecin içerisinde olduk. İnisiyatifin değerlendiricilerde olduğu noktalarda, hazırladıkları değerlendirme raporlarını haklı olarak güçlü tutmak istemeleri, bize bir takım geliştirmelere mal oldu diyebiliriz.

İlk olmaktan kaynaklı zorlukların dışında; iki noktada yoğunluğun biriktiğini söyleyebilirim. Bunlardan birincisi süreç içerisindeki dokümantasyon işleri ve bir diğeri de ürünün, güvenlik garanti gereksinimlerine göre güçlendirilmesi sürecidir. Süreçler açısından büyük bir zorluk yaşamadık. Bunda 2002 yılından beri belirli metodolojiler dahilinde üretim yapma alışkanlığında olmamızın etkisi vardır. Önemli bir kısmında sertifikasyona hazırdık diyebilirim.

Ortak Kriterler sertifikasyonu için Türkiye’de bir değerlendirici laboratuara sahip olmak çok büyük bir nimettir. Bu nedenle tüm yerli güvenlik ürünü üreticilerinin bu imkanı değerlendirmesini öneriyoruz. Ancak diğer yerli üreticilerin de öncelikle kendi yazılım ve ürün geliştirme süreçlerini endüstri optimumlarına adapte etmeleri gerek. Zira bu olmadan böyle bir sertifikasyon bir hayalden öte gidemez. Bir kısım rakiplerimizde olduğu gibi her müşteride içerisinde hangi özelliğin ve dolayısıyla hangi hataların olduğunun bilinmediği farklı bir sürüm, müşteriye özel isteklerin o cihaz üzerinde geliştirilmesi gibi yöntemler, yeterince test edilmemiş fonksiyonlar, ağır tanıtım makyajı ile kapatılmaya çalışılabilir. Ancak sertifikasyon sürecinde bunlar birer birer çıkacaktır. Bugün, bu kadar olumlu bir Yerli Ürün imajı var ise bunda sağlık ve kaynak planlamasında üretim yapan yazılım üreticilerinin olduğu kadar 8 yıldır nihai ürün hedefli giden Labris’in de rolü ve emeği büyüktür, bunun zedelenmesini istemeyiz.

– Bildiğiniz gibi 5651 sayılı bir kanun sektörde dönemlik bir hızlanma sağladı. Bu konudaki düşünceleriniz alabilir miyiz?

5651 sayılı kanun bizce doğrudan e-devlet güvenliği ile ilgilidir. Çünkü bir kayıt tutma zorunluluğu söz konusudur. Şu ana kadar kayıt denince akla gelen, pek de önemsenmeyen bir yığın veri dosyasıydı.

5651 sayılı kanun hakkında iki uçta da görüş bulmak mümkün. Bir yanda kişisel hakların korunması yönünde bakıp karşı olanlar, bir yanda da güvenliğin ve tehditlerin azaltılması bakımında destekleyenler var. Biz her iki grubun görüşlerini de değerlendiriyoruz ve ürünlerimizdeki tasarımları bunları göz önünde tutarak yapıyoruz.

Labris ürünleri, kanunun getirdiği her iki gereksinimi de tek başına karşılayabilen yegane üründür. Bunlardan birincisi, yasaklı sitelerin engellenmesi noktası, ikincisi ise tüm erişimin nitelikli yani kanuna uygun şekilde kayıt altına alınmasıdır. Bu iki özellik ile aynı zamanda ülke güvenliğini de arttırıyoruz. Şöyle ki, ürünlerimiz kanuna aykırı erişim yapıldığı noktalarda suçluya ulaşılmasını ve dolayısıyla daha büyük tehditlerin önlenmesini sağlıyor. İkinci olarak, kişisel hakları koruyoruz. Örneği, herhangi bir ağda, bir son kullanıcı yasadışı bir internet eyleminden dolayı suçlandığında, kullanıcı, tutulan kayıtların değiştirildiğini iddia edebilir. Yani, “bu kayıtlar kanun nezdinde niteliksizdir” diyebilir. İşte bu tür basit fakat çok büyük risklere gebe durumları, Labris’in kullandığı zaman damgası altyapısı tartışmasız bir biçimde engellemektedir. Böylece kanunun getirdiği yükümlülükler şüphe götürmez şekilde karşılanmış olur.

E-devlet güvenliği açısında bakarsak, kurum bilgi işlem sorumluları ürün seçerken bu çerçevede çok önemli bir sorumluluğun altına girmektedir. Piyasada niteliksiz yani kanunen uygun olmayan zaman damgaları kullanan birçok yerli ve yabancı ürün türedi. Bu noktada damgaların niteliğinin araştırılmasını öneriyoruz. O kurum böyle söyledi, şu kişiyle konuştuk böyle yapın dedi diyerek uyarlanmaya çalışılan ithal ürünlerin kanunen sorumluluğunu bilgi işlem yöneticisi ve şirket sahibi almaktadır. Log tutan tüm Labris ürünlerinde opsiyonel değil standart olarak ve herhangi bir ek ücret almaksızın tüm kayıtları, kanunen geçerli nitelikli TÜRKTRUST zaman damgaları ile damgalıyoruz. Bu noktada da ilk firmayız. Labris ürünlerinde 2009’dan beri bu özellik bulunmakta, hatta zaman damgası özelliğini yazılım güncellemelerimizle ücretsiz olarak eski müşterilerimizin kullanımına da açtık. Böylece Labris kullanıcısı kurumlar ek bir yatırım yapmadan kanuna uygun şekilde kayıt tutar hale geldiler.

Bir önemli nokta da yatırımın planlanmasıyla ilgili. Bazı kurumlar, kanunun gereğini karşılayayım derken tüm PC lere kadar log almaya çalışan çok yüksek maliyetli çözümleri adapte etmeye uğraşmaktadır. Güvenlik altyapısı oturmuş ve bununla oynamak istemeyen kurumlar için LBRLOG markası altında 10 dakikada kurulabilen ve topoloji ne olursa olsun anında kayıt toplamaya başlayabilen bir ürün ailesi oluşturduk. Fazla yatırım yapmak da az yatırım yapmak kadar problem olabiliyor.

sshfs ile eklenmiş diske yarı kaldığında devam edebilir şekilde veri kopyalama

Bir uzak makinenin herhangi bir diskinin yerel sisteme sshfs ile mount edildiği durumlarda karşıya ya da karşıdan dosya transferlerinin yarıdan kesilmesine karşın kaldığı yerden devam edebilir bir kopyalama ararken bildiğimiz curl tekrar karşıma çıktı.

Bkz:

cd /uzakmount

curl -C – -O file:///root/iso/lsgs-2.1.1-24.iso

Yereldeki /root/iso/lsgs-2.1.1-24.iso dosyasını uzak sshfs bağlantısına kopyalamayı başlattık. Yarıda kesilirse aynı komutla devam ettirilir.

Easy python debugging:

Python has embedded debugged called pdb. It is very useful for debugging exceptions that are not handled.

To debug a python program

1- Just add two lines to the beginning of the debugged python source file:

import pdb
pdb.set_trace()

2- Then run the program. There will be a pdb prompt shown:

(Pdb)

3- Then continue with “n” key through the lines.

4- While traversing, you can
Use Enter without “n” to run the last line
Use “p variablename” syntax for printing the value of the variable.
Use “l” to see the position in the code view
Use “c” to allow the program to continue without debugging