Orta Dünya’dan siber güvenlik raporu

Mart 13, 2019

Tolkien’in eserleri ne anlatır? Bu eserleri kimi eğlence olarak, kimi derin Hristiyan felsefesi olarak, kimi de propaganda olarak okur. Bense siber güvenlik hikayeleri olarak okuyorum. Ve son birkaç yıldır bu hikayeleri her yerde görüyor olmam, Tolkien kitaplarında olmadıkları anlamına gelmiyor.

İkinci Dünya Savaşı başlamadan kısa bir süre önce Tolkien’in İngiliz Hükümet Kod ve Şifre Okulu’nda kriptanalist olarak eğitim gördüğünü biliyor muydunuz? Bu kuruluş, Alman Enigma kodlarını kırmaya çalışan kuruluştu. Daha sonra İngiliz hükümeti ve silahlı kuvvetlere istihbarat ve bilgi güvencesi sağlama sinyallerinden sorumlu olan hizmet olarak GCHQ adını aldı. Açık bir şekilde görülüyor ki, Tolkien’in bir dilbilimci ve bir kriptanalist olarak edindiği becerilerle düşman şifrelerini çözmesi gerekiyordu. Burada tam anlamıyla bilgi güvenliğinden bahsediyoruz. Bu nedenle, Tolkien, bir bakıma saygın bir meslektaşımızdır. Öyleyse Tolkien’in çalışmalarına siber güvenlik açısından bakalım.

Güç Yüzükleri

Yüzüklerin Efendisi‘nin konusu, Sauron tarafından dünyaya hükmetmek için yaratılan Tek Yüzük’ün etrafında dönmektedir. Bu yüzük, üçü Elfler tarafından takılan, yedisi Cüceler tarafından takılan ve dokuzu İnsanlar tarafından takılan 19 yüzüğü daha kontrol etmektedir. Kitabın kahramanları, Tek Yüzük yaratıcısına geri dönerse korkunç bir güç kazanacağından ve her şeye hükmedeceğinden korkmaktadır. Kulağa fantastik gibi gelse de biraz daha derine indiğimizde aslında bunun bir bilim kurgu filmi olduğunu görebiliriz.

Üç Yüzük göğün altında yaşayan Elf krallarına

Çocukken Tolkien’in kitaplarını okurken en karışık gelen hikaye Üç Elf Yüzüğü’nün hikayesiydi. Sözde, demirci Elfler tarafından dövülen yüzükler, Karanlıklar Efendisi tarafından dokunulmazdı. Ancak, Sauron’un karanlık sanatlarını kullanarak yaratıldıkları için hala Tek Yüzük’e bağlılardı. Bu yüzden Elfler; Tek Yüzük, Sauron ile kaldığı sürece yüzüklerini güvenli bir şekilde sakladılar. Yüzükler iyilik için yaratıldıysa ya da öyle görünüyorsa nasıl yapıldığının ne önemi var?

Önemi oldukça büyük ve bunu artık açıkça görebiliriz. Durumu modern bir bakış açısıyla ve bilgi güvenliği açısından incelediğinizde şunları elde edersiniz:

  • Elfler kendi içlerinde üç adet cihaz üretiyor;
  • Cihazların yazılımı Sauron tarafından geliştirilen bir SDK (yazılım geliştirme kiti) kullanılarak oluşturuluyor;
  • Bir Yüzük K&K (komuta ve kontrol) merkezinin adresi yüzüklere kodlanıyor;
  • Bu yüzden Sauron K&K sunucusunu kontrol ederken Elfler cihazlarını kullanma konusunda dikkatli davranıyor.

Başka bir deyişle, bu bir klasik tedarik zinciri saldırısıdır. Yalnızca bu durumda Elfler önlem olarak savunmasız cihazların çalışmasını durdurmak için tehditi zamanında tespit edebiliyorlardı.

Yedi yüzük taştan saraylarındaki Cüce hükümdarlara

Yedi Yüzük, Cüce hükümdarlara Sauron’un kendisi tarafından verildi. Cücelerin onları servet biriktirmek için kullandıkları söylenirdi. Kitaba göre, yüzüğü takanlar doğrudan Sauron’un kontrolüne boyun eğmedi, ancak yüzük bu kişilerin açgözlülüğünü oldukça arttırdı. Bu nedenle, açgözlülüklerini ve öfkelerini etkileyerek, Sauron yedi cüce hükümdarının düşüşünü sağlamayı başardı.

Ne yazık ki, Yedi Yüzük, Yüzüklerin Efendisi’nde açıklanan olaylardan çok önce kaybedilmiştir, bu nedenle bu cihazların adli tıp analizi mümkün değildir. Fakat açgözlülüğü kullanmak, tipik bir kimlik avı tekniğidir. Siber suçlular, cihaz sahiplerinin, sonunda çöküşlerine neden olacak bilgileri algılama biçimini değiştirmektedir. Bu bir kimlik avı saldırısı değil de nedir?

Dokuz Yüzük ölüme mahkum Ölümlü İnsanlara

Burada açıklanacak fazla bir şey yok. Sauron, Dokuz Yüzüğü Ölümlü İnsanlar’a verdi: krallar, büyücüler ve yaşlı savaşçılar. Yüzüğü takanlar ölümsüz, görünmez ve Sauron’un iradesine itaatkar oldu. Başka bir deyişle, bir botnet.

İlginçtir ki, Nazgûl botnetinin bir yedekleme kontrol protokolü olduğu görülüyor; K&K sunucusunu kaybettikten sonra bile, Sauron, Yüzük Tayfları’na komut verebildi.

Bir yüzük kara tahtında oturan Karanlıklar Efendisine

Ansiklopedimiz, K&K sunucusunu siber suçluların botnet’leri kontrol ettiği, kötü niyetli komutlar gönderdiği, casus yazılımları yönettiği vb. bir sunucu olarak tanımlamaktadır. Tek Yüzük’ün bundan bir farkı var mı?

Tek Yüzük yok edildiğinde, ona bağlı tüm yüzükler güçlerini kaybeder. Donanım yazılımına periyodik K&K kullanılabilirlik kontrolü ve ayrıca iletişimi kaybetme durumunda aktif hale getirilecek bir kendi kendini imha etme mekanizması kurmak mümkündür. Bu tür davranışlar, siber tehdit uzmanlarımıza çok tanıdık geliyor. Siber suçlular adli tıpı engellemek için sıklıkla kendi kendini imha eden mekanizmalar kullanır.

Hepsine hükmedecek Tek Yüzük, hepsini o bulacak, hepsini bir araya getirip karanlıkta birbirine bağlayacak

Bu satırlar yüzüğün içine boşuna kazınmadı. Tek Yüzük’ün neden Isildur’un Laneti olarak da bilindiğini hatırlıyor musunuz? Her tarafı çevrili olan Isildur yüzüğü taktı, ancak nehri geçmeye çalışırken yüzük parmağından çıktı ve böylelikle ölümüne sebep oldu. Gollum da “kıymetli”sini kaybetti. Çünkü yüzük üzerindeki yazıt aslında bir talimattı. Görünüşe göre yanlış çevrilmiş veya tamamen göz ardı edilen yazıt.

Yüzükteki orijinal yazıt aslında şu şekildedir:

Ash nazg durbatulûk, ash nazg gimbatul,
Ash nazg thrakatulûk agh burzum-ishi krimpatul.

Son kelime olan krimpatul, genellikle “bağlamak” olarak çevrilir. Ancak yüzükleri birbirine bağlamak da oldukça anlamsız bir harekettir. Ya bu Kara Lisan değilse ve onun yerine her BT uzmanının çok iyi bildiği “kıvırma pensesi”nin transliterasyonuysa?

Öyleyse, aslında yazıtın söylediği şey yüzüğün kıvrılması gerektiğidir. Isildur’un parmağından düşmesinin sebebi de buydu. Bu hikayeden çıkan ders, ne kadar kısa ve basit gözükse de belgelerin, Gollum vari özveriyle, okunup çevrilmesi gerektiğidir.