Yazılar

Siber İstihbarat Tanımı ve Faaliyet Alanı

Siber İstihbarat; hedef ülkenin siber uzaydaki altyapısını teşkil eden cihazlar, kablolar, enerji üreticileri, internet servis sağlayıcıları, sunucular vb. ile siber saldırı, siber istihbarat faaliyetlerinde bulunacak ya da siber savunma yapacak olan teknokratların, görevlilerin nitelik ve nicelik gibi özellikleri hakkında bilgi elde edilmesi ve değerlendirilmesidir. Bu tanımdan anlaşılacağı üzere, hedefe karşı yapılacak siber saldırı ya da bilgi toplama maksatlı faaliyetler öncesinde, siber istihbarat çalışmalarının yapılması gerekmektedir.

Siber istihbarat ya da siber casusluk, hedefin bilgisi ve izni olmaksızın, siber uzaydaki ağlara, bilgisayarlara ve diğer cihazlara hacking vb. teknikler kullanarak sızmak, hassas verilerin toplanarak istihbarat çarkından geçirilmesi faaliyetidir. Siber Güvenlik ve İstihbarat, sadece teknik faaliyetlerle değil, sosyal mühendislik, psikolojik harp ve sair unsurlar kullanılarak da oluşturulabilmektedir. Angaje edilmiş, hedef örgüt içinde görevli kişilerin, fiziksel olarak sisteme girmesi, trojan, spyware, virüs vb. zararlı yazılımları sızdırması ya da laptop, harici disk, sabit disk vb. depolama alanlarını çalması da siber istihbarat faaliyetleri arasında yer almaktadır.

Siber uzay, tradecraft olarak ifade edilen, espiyonaj yöntemlerinin farklı şekillerde kullanılabileceği bir alan haline gelmiştir. İnternetin, espiyonaj için en kullanışlı alan olduğu da ayrıca ifade edilmektedir. Espiyonaj, yani casusluk, esasen devletlere karşı yöneltilen gizli bilgilerin gizli yöntemlerle elde edilmesi faaliyetidir.Devletin veya stratejik ve askeri kurumlarının arşivlerindeki, veri bankalarındaki bilgilerin internet alt yapısıyla “hacking” vs. yöntemlerle ele geçirilmesi mümkün olabilir. Gerekli tedbirlerin alınmaması halinde, siber uzay üzerinden hassas verilere erişmek, bunları istihbarat oluşturmak maksatlı kullanmak ve karar alıcılara göndermek, konvansiyonel istihbarat yöntemlerine göre daha hızlı ve daha düşük bütçeli olarak görülmektedir. Bugün, siber uzaya bağlı olan her kullanıcının nerede olduğu, kiminle görüştüğü, ne konuştuğu, arkadaşları ve akrabaları, yakın zamandaki planları ve daha pek çok internet üzerindeki davranışıyla ilgili bilgi elde etmek mümkündür.

Siber istihbarat faaliyetleri, her zaman bilgi elde etmek amaçlı yapılmayabilir. Kimi zaman, hedef ülkenin e-devlet altyapılarının çökertilmesi, kurumlara ait web sitelerinin erişilemez hale getirilmesi, hacklenmesi, (prestij kaybı olabileceği gibi, çeşitli propagandaların duyurulması maksatlı da olabilir) e-ticaret siteleri, bankalar vb. altyapılara saldırı gerçekleştirerek, internet üzerinden yapılacak ticari ya da finansal işlemlerin duraklatılması, böylelikle ekonomik zarara uğratılması gibi amaçlar da taşıyabilir.

Siber uzayda, gerekli koşulların sağlanması halinde saldırı faaliyetlerinin kim(ler) tarafından yapıldığını tespit etmek neredeyse imkansız olmaktadır. Bu durum, gizli servislerin ilgisini iyice çekmekte, yatırımlarını bu alana yapmalarına sebep olmaktadır. Gerek güvenliğin alınması, gerekse de siber istihbaratçıların yetiştirilmesi gibi konular, son dönemlerde pek çok devlet tarafından masaya yatırılmış, konuya olan ilgi artmıştır. İnternet üzerinden, özellikle sosyal medya kullanımı sayesinde algı oluşturulması, dezenformasyon ve manipülasyon gibi faaliyetlerde bulunarak, örtülü operasyonlar gerçekleştirilebilmektedir.

Yakın bir gelecekte, siber saldırıların uluslararası ilişkilerde giderek daha önemli bir rol oynamasıyla birlikte, saldırıları kimin yaptığını bilmek politik açıdan atılacak misilleme gibi adımlar bağlamında temel bir sorun teşkil edeceği düşünülmektedir. Kimlik tespiti arayışı ise kimliği konusunda yanıltıcı ipuçları bırakan suçluların sayısında bir artışın da beraberinde getirilmesi beklenmektedir.

Hayati önem taşıyan, kritik altyapı ve üretim sistemlerinin özellikle  jeopolitik gerginlik dönemlerinde saldırganların ilgisini çekmeye devam edeceği de uzmanlar tarafından masaya yatırılmış bir başka önemli konu. Ayrıca mobil cihazları hedef alan ve güvenlik endüstrisinin adli analiz amacıyla mobil işletim sistemlerine tam erişim almakta zorlanacak olması gerçeğinden faydalanacak casusluk harekatlarıyla daha fazla karşılaşılacağı da öngörüler arasında.

Bugün birçok birey/kurum, faaliyet alanlarını genişletmek, rakiplerinden farklı olabilmek, geliştirmiş oldukları sistemi pazarlayabilmek vb. sebeplerle  istihbarat sözcüğünün albenisini kullanma eğiliminden hareketle, istihbarat faaliyetinde bulunduklarını dile getirmektedir. Bu kişiler/kurumlar, siber istihbaratı genel hatlarıyla; “Tehditlerin oluşmadan bilgisini alıp, gerekli savunma sistemine entegre ederek, benzer bir tehdit oluştuğunda savunma geliştirmekle uğraşmadan, savuşturma yöntemidir.” vb. şekillerde tanımlamaktadır. Bu tanım, siber saldırılara karşı önalıcı faaliyetler kapsamında yer alabilir. Dolayısıyla, siber tehditlerin önceden tespit edilmesi ve buna uygun savunma sistemlerinin geliştirilmesi, siber istihbarat değil, siber güvenlik ve/veya koruyucu güvenlik hizmeti kapsamında ele alınabilir.

Gizli Servisler Siber Uzaydaki Teröristleri Neden Tespit Edemiyor?

Gizli haberleşmenin en önemli unsurlarından biri olan şifreleme, gelişen ve yaygınlaşan teknoloji ile birlikte terörist gruplar tarafından da etkin bir şekilde kullanılmaya başlandı. Gelişmiş şifreleme desteği bugün artık birçok elektronik cihaz ve anlık mesajlaşma uygulamalarıyla tümleşik olarak geliyor. Son dönemde Whatsapp’ın da Open Whisper Systems ile ortaklaşa yaptığı çalışma sonucu, günümüzde en yaygın kullanılan anlık mesajlaşma uygulaması da şifreleme desteğine sahip oldu. Dolayısıyla artık yazışmalar, eskisi gibi çok kolay bir şekilde ele geçirilemiyor, okunamıyor. Zira mesajlaşmanın yapıldığı trafik dinlenilse bile, transfer edilen metin şifrelenmiş olduğundan ele geçirilen metnin ayrıca deşifre işleminden geçmesi gerekiyor.

NSA ve GCHQ gibi istihbarat kurumları, bu tür şifreleri kırabilecek süper bilgisayarlara ve dünyanın en iyi matematikçilerine sahipler. Dolayısıyla bu gibi kurumlardan şifreleme özelliği bulunan Telegram, Signal, Whatsapp vb. uygulamalarla yapılan mesajları, zaman alsa dahi deşifreleyebiliyor. Fakat her zaman deşifre işlemi başarılı olmayabiliyor. Diğer taraftan bugüne kadar İslam’ı kullanan terör örgütleri tarafından yapılan saldırıların planlamalarının ve yönetiminin siber uzay üzerinden, benzer güvenlik ve şifreleme yöntemlerini kullanarak gerçekleştirdiği de istihbarat servislerinin hazırladığı raporlarda yer alıyor. Diğer taraftan, özellikle ABD ve İngiliz istihbarat servislerinin, uçtan uca şifreleme özelliğine sahip uygulamaların algoritmalarını ve böylelikle tüm yazışmaları, görüşmeleri gözlemleyebilmesine rağmen, nasıl oluyor da terörist grupların saldırılarını tespit edemiyor…

ABD ve İngiltere dışındaki diğer ülkelerin istihbarat servislerinin ise bu konuda daha fazla sıkıntı yaşadıkları bir gerçek. Dolayısıyla özellikle Avrupa ülkelerine karşı düzenlenen terör eylemlerinin, şifrelenmiş sistemler üzerinden yönlendirilmesi, özellikle bu ülkelerde istihbarat ve kontrterör teşkilatlarını endişelendirmeye devam ediyor. Terör örgütlerinin bu şekilde fark edilmeden eylemlerini gerçekleştirmeleri ve tehdidin halen devam etmesi sebebiyle özellikle siber istihbarat konusundaki çalışmalara ağırlık verilmiş durumda.

Konunun bir de hukuki boyutu söz konusu olduğundan, deşifreleme konusunda yetenekli olan gizli servislerin de eli kolu bağlı. Özel hayatın gizliliği, verilerin korunması gibi hukuksal kavramlar sebebiyle, istihbarat servislerinin doğrudan kişi dinleme, hackleme gibi bir yetkisi bulunmuyor. ABD gibi ülkeler bu durumun üstesinden geçebilmek için, e-posta, anında mesajlaşma ve sosyal ağ siteleri gibi çeşitli platformların bağlı olduğu firmalarla, bilgi paylaşımı konusunda anlaşma yapıyor. Hükümet ve yargı desteği ile birlikte gelen bu bilgi paylaşımı sayesinde, herhangi bir HACKINT operasyonu yapmaya gerek kalmadan, doğrudan kayıt altına alınmış görüşmeler yetkili kişilerle paylaşılabiliyor.

Gizli servislerin hazırladığı raporlara göre bir diğer önemli tehdit de uçtan uca şifreleme teknolojilerinin açık kaynak olması. Bu sayede terörist gruplar da dahil olmak üzere herkes, kendi şifreleme uygulamasını geliştirebiliyor. Dolayısıyla da veritabanında bulunmayan bir uygulama tarafından yapılan mesaj trafiğinin tespit edilmesi de oldukça zorlaşıyor.

Uçtan uca şifreleme nedir?

Eski nesil mesajlaşma uygulamaları, gönderilen mesajları sunucuya kadar şifrelemekteydi. Böylelikle trafiği dinleyen hacker’lara karşı veriler korunmuş sayılmaktaydı. Veri, sunucuya geldiği andan itibaren güvende olduğu düşünülmekteydi. Ancak bu durum, sunucuların hacklenmesi durumunda büyük bir problem teşkil etmektedir. Ayrıca yasal olarak tutulan log kayıtları, yine yasalar çerçevesinde sunucu hizmeti veren firma tarafından istenmekte, buradaki kayıtlar baştan aşağı incelenebilmekteydi. Uçtan uca şifrelemede ise mesajlar, sunucuda da şifrelenmiş olarak bulunmakta, sunucudan da şifreli olarak hedef kişiye erişmektedir. Dolayısıyla kaynaktan hedefe kadarki yol boyunca veriler tamamen şifrelenmekte, deşifreleme işlemi sadece hedef cihaz tarafından yapılmaktadır. Bu durumda ise mahkeme kararı ile sunucu kayıtlarına bakılmak istense dahi tüm mesajlaşma şifrelenmiş olacağından, herhangi bir inceleme durumu söz konusu olamamaktadır. Servis sağlayıcılar sadece mesajın kimden kime gittiğinin bilgisini verebilmektedir. Ancak mesajın içeriğini sunma gibi bir kabiliyetleri bulunmamaktadır.

Telegram bu konuda öncülük etmiş olan uygulamalardan biri. Dolayısıyla IŞİD gibi terör örgütlerinin ilk olarak kullandığı anında mesajlaşma uygulaması Telegram, uzun bir süredir gizli servislerin de gözünün üstünde olduğu bir platform. Uçtan uca şifreleme bugün Signal, Wickr, iMessage ve Whatsapp gibi birçok uygulamada bulunmaktadır. Diğer taraftan Google‘da Signal’in kullandığı uçtan uca şifreleme teknolojisini kullanacağını duyurdu. Yakın bir zamanda da aktif etmesi beklenmektedir.

Kişisel bilgisayar tarafında ise PGP olarak adlandırılan ve ilk olarak 90’lı yılların başlarında kullanılan uçtan uca şifreleme, bugün halen efektif bir şekilde kullanılmaktadır. Düz metin halinde yazılan mesajları ya da dosyaları, şifrelenmiş metne çevirebilen PGP sayesinde özellikle e-posta mesajlaşmaları olmak üzere, Facebook gönderileri ve forum mesajları da şifrelenebilmektedir. Kullanılan bu sistem, Edward Snowden’in sızdırma yaparken, iletişim kurduğu sistemin aynısıdır. Dolayısıyla NSA gibi gelişmiş kurumların dahi şifreleri çözmesi neredeyse imkansız hale gelmektedir.

Uçtan uca şifrelemeler, genel anahtar şifrelemesi olarak da bilinmektedir. Matematiksel olarak oluşturulmuş iki anahtardan biri, şifreleme işlemi için genel (public) olmaktadır. Diğer anahtar ise gizli (private) anahtardır ve deşifreleme işlemi de bu anahtar aracılığıyla gerçekleşmektedir. El Kaide’nin Inspire isimli dergisinde de aynı sistem kullanılmaktadır. Dergiye makale göndermek isteyen kimseler, dergi tarafından yayınlanan genel anahtar aracılığıyla PGP ile şifreleme yaparak, sadece dergi çalışanlarının okuyabileceği şekilde yazı gönderebilmektedir.

Tam cihaz şifreleme

Cihazların kendilerine ait bir şifreleme desteğinin olması, kaybolma ya da çalınma gibi durumlarda verilerin güvenli bir şekilde muhafaza edilmesine, başkasınının eline geçmemesine imkan tanımaktadır. Bu konuda özellikle iPhone oldukça başarılı bir sistem uygulamakta, kullanıcılarının kişisel verilerinin korunmasında büyük bir rol oynamaktadır. FBI’ın son dönemde Apple ile arasının açılmasındaki en büyük öğelerden biri de tam cihaz şifrelemedir. Daha önce San Bernardino teröristi olan Said Rizvan Faruk’un iPhone’unun kırılabilmesi için FBI, iPhone kırma konusunda uzman kişi ve kişilere yaklaşık 1 milyon dolarlık bir ücret ödemek zorunda kalmıştır. Dolayısıyla FBI gibi bir gizli servisin dahi, bu tür bir koruma altında eli kolu bağlanmaktadır.

iPhone kullanıcılarının verileri, polis tarafından klonlanamamaktadır. Çünkü verilerin şifrelenmesi, doğrudan telefonun donanımı ile kombine bir şekilde gerçekleşmektedir. Dolayısıyla klonlanan verinin deşifrelenmesi mümkün olmamaktadır. Günümüz süper bilgisayarlarının “brute force” kullanması da telefonun donanımına ihtiyaç duyulmasından ötürü deşifreleme işlemini gerçekleştirememektedir. Bunun için yine iPhone’nun kendisinin kullanılması gerekmektedir. Bu da deşifre işleminin oldukça uzun bir süre alabileceğini, kimi zaman ise neredeyse imkansız olacağı anlamına gelmektedir.

Android cihazlar da her ne kadar benzer cihaz şifreleme özelliklerine sahip olsa da henüz üreticiler bu konuya Apple kadar hassas yaklaşmamaktadır. Bir diğer önemli husus da cihaz disklerinin şifrelenmesidir. Bilgisayar kullanıcıları bunu Microsoft Windows ile birlikte gelen BitLocker ile yapabilmektedir. Mac kullanıcıları ise FileVault ile yapabiliyorken Linux kullanıcıları için de LUKS gibi seçenekler devreye girmektedir. Bunun dışında disk şifreleme için TrueCrypt gibi uygulamalar da kullanarak tüm diskteki verileri koruma altına almak mümkün. TrueCrypt gibi uygulamalarla ayrıca sanal disk ya da container oluşturmak da mümkün. Dolayısıyla disk üzerinde belli bir bölümün şifrelenebilmekte ve bu şifrelenmiş disk içinde istenilen dosya ve klasörler saklanabilmektedir.

Anonimleştirme

İnternet kullanıcıları için bir diğer önemli unsur da anonimleşmektir. Edward Snowden’in 2013 yılında sızdırdığı belgelerde NSA’in ABD vatandaşları da dahil olmak üzere dünyadaki tüm internet kullanıcılarını gözetlediği ve dinlediği ortaya çıkmıştı. Sadece internet üzerinden yapılan görüşmeler değil, aynı zamanda telefon görüşmeleri de yine NSA’in takibine takılmış durumda. Görüşmelerin her ne kadar dinlenmediği söylense de metadata’nın toplandığı, dolayısıyla kimin kiminle görüştüğü, görüşmenin kaç dakika sürdüğü gibi bilgilerin tasnif edildiği belirtilmektedir.

ABD, özellikle George Bush yönetiminde başlattığı deniz aşırı terörist operasyonlarına paralel olarak, dünyadaki tüm görüşmeleri dinlemek üzere çeşitli projeler başlatmışı ve bu projeleri devlet sırrı olarak uzun bir süre saklamıştır. Snowden’in sızdırdığı belgelere göre bu proje sayesinde pek çok dinleme yapılmış ve saldırı yapacağı tespit edilen kişilere operasyonlar düzenlenmiştir. Konuşmaların şifrelenmesine rağmen, metadata’ların açık olmasından dolayı şüpheye düşen gizli servisler, bu noktadan sonra devreye HUMINT operasyonlarını sokarak, kişiler ve gruplar hakkında bilgi toplamış, gerçekleştirilecek elim olayların önüne geçmiştir.

Metadata’nın toplanmasını önlemek içinse bugünkü terör örgütleri Tor (The Onion Router) isimli servisi kullanıyor. Trafiğin şifrelenmiş bir şekilde birden fazla vekil sunucu üzerinden akışını sağlayan bu sistem sayesinde, sadece veriler değil aynı zamanda metadata da okunamaz bir hal alıyor. Tor kullanılması halinde kaynak ve hedef hakkında ilgi almak neredeyse imkansız.

Neredeyse imkansız çünkü FBI daha önce Stratfor sunucularını hacklediği için Jeremy Hammond hakkında soruşturma başlattığında tüm trafikler incelenmiş ve FBI yetkililerinin şüpheler neticesinde yaptığı sohbet esnasında oluşan trafikle karşılaştırılması sonucu yakalama kararı alınmıştır.

Tor’un kullanımı sırasında da oldukça dikkatli olmak gerekiyor zira Anonymous’un lideri olarak bilinen “LulzSec” bir chat odasına girmeden evvel Tor’u aktifleştirmeyi unutmuş, böylelikle IP adresinin polisin eline geçmesine imkan tanımıştı. Bugüne kadar güvenli olarak tanımlanan Tor’un, Snowden’in sızdırdığı belgelere göre aslında ABD istihbarat görevlileri tarafından da geliştirme sürecine katkıda bulunduğu, dolayısıyla tüm aktivitelerden haberdar olduğu belirtiliyor. Bu durum, özellikle Tor kullanan teriröstlerin tespiti ve yakalanması için oldukça önemli.

OpSec faaliyetleri

Operational Security’nin kısaltması olan OpSec de internette gizlenmenin bir diğer önemli metotlarından biri. OpSec içinde yer alan unsurlardan öne çıkanları arasında “burner phone” olarak adlandırılan, mesajların ve konuşmaların otomatik olarak silindiği, arkada hiçbir iz bırakmayan telefonlar yer alıyor. Bu telefonlarda yer alan uygulamalar underground forumlarda bulunabilen geliştiriciler tarafından özel olarak geliştirilen, sadece belli telefonlarla iletişim yapabilen ve atılan mesajların belli bir süre sonra silinmesini sağlayan uygulamalardır.

Paris saldırıları sırasında da bu uygulamaların kullanıldığı, Fransız istihbarat servisleri tarafından ortaya çıkarılmış durumda. Şu an piyasada, özel olarak geliştirilmiş uygulamalar dışında Telegram ve Wickr gibi genel kullanıma sunulmuş olan uygulamalar da mesajların belli bir süre sonra otomatik olarak silinmesine imkan tanıyor. Ayrıca istenirse bu mesajlar elle de silinebiliyor. Bu sayede, telefonlar üzerinde inceleme yapılmak istendiğinde, tüm kanıtlar çoktan ortadan kaldırılmış oluyor. Linux kullanıcıları için BleachBit gibi uygulamalar kullanılırken, Windows için Windows Washer gibi uygulamalar kullanarak, tüm diskin temizlenmesi mümkün. Bu sayede gerek web tarayıcılarında gerekse de sistemin diğer ögelerinde bulunan kişisel kayıtlar silinebiliyor.

Konuyla ilgili olarak geliştirilmiş ve piyasada satışa sunulan çeşitli USB diskler de bulunuyor. Bu diskler aracılığıyla, sistemde herhangi bir iz bırakmadan internette faaliyette bulunmak mümkün. Son dönemde “Tails” isimli canlı işletim sistemi oldukça revaçta. Diskin bilgisayara takılmasından sonra, otomatik olarak disk içindeki işletim sisteminin çalışmasından dolayı, tüm faaliyetler disk üzerinde meydana geliyor. Dolayısıyla diskin takıldığı bilgisayarda herhangi bir iz bulunmuyor. Bu işletim sistemleri sadece USB diskte çalışmakla kalmııyor, aynı zamanda işletim sistemi LUKS ile şifrelenmiş durumda. PGP ve Pidgin + OTR mesajlaşma ve e-posta şifreleme özelliklerine sahip. Ayrıca doğrudan Tor web tarayıcı ile birlikte geliyor. Dolayısıyla gizli kalma kiçin gerekli olan tüm uygulama ve modüller bu işletim sistemi ile birlikte geliyor.

Bu sistemlerin kullanılması halinde, gerçekleşebilecek operasyonlar ile ilgili istihbarat toplamak da güçleşiyor. Bu problemin aşılabilmesi, gerek Avrupa’da gerekse de diğer bölgelerde benzer olayların yaşanmaması için, ülkelerin istihbarat servislerinin ortak bir veri havuzunun olması, siber istihbarat faaliyetlerinin ortak bir kurum aracılığıyla yönetilmesi gerekmektedir.