Rogue One — bir siber güvenlik değerlendirmesi

Kurumsal

Geçen yıl Yıldız Savaşları 4. Bölümde geçen bir olayı analiz etmiştik. Ancak, daha o zamanlar Ölüm Yıldızı’nın yok olmasına yol açan güvenlik hatalarının buz dağının görünen yüzü olduğu hissine kapılmıştık. İmparatorluğun güvelik sistemleriyle olan sorunları daha çok galaksiye özgü niteliktedir. Neyse ki, Lucasfilm’den gelen araştırmacılar bu olayın öncesindeki olayların ayrıntılı bir incelemesini yapıp Rogue One: Bir Star Wars Hikayesi adı altında yayınladı. Bu video dokümanının ortaya çıkardıklarını burada bulabilirsiniz.

Güvenlik İK ile başlar

Rogue One, İmparatorluk Ordusu yenilikçi projeler başkanı, Orson Krennic, ve üst geliştirme uzmanı Galen Erso’yu keşfeden bir İK uzmanları ekibinin Ölüm Yıldızı süper-silah projesi üzerinde çalışmasıyla açılır. Erso hakkında neler biliyoruz? Birincisi, istifasını sunmadan önce proje üzerinde çalışır. İkincisi, geri dönmek için bir acelesi yoktur Ancak, İmparatorluk İK ona reddedemeyeceği bir teklifte bulunur ve böylece geri döner. Daha sonra Krennic, Erso’nun sızdırılan planların kaynağı olan bir endüstriyel casus olduğunu anlar.

Böyle bir kişinin, kesinlikle hassas bilgilerle çalışmasına izin verilmemesi ya da hiç işe alınmaması gerekirdi. Bu durum, İK ekibinin işe alım safhasında hemen anlayabileceği bir şey olmalıydı. Ancak riskleri saptayamadılar. Zamanında yapılan güvenlik farkındalık eğitimi, tarama sürecinde kırmızı bayrakları tespit etmelerine yardımcı olabilirdi.

Andrey Nikishin, Özel Projeler Direktörü, Gelecek Teknolojileri, Kaspersky Lab
Yukarıdaki durumun uydurulduğunu düşünüyorsanız, tamamen yanıldınız. İnsan faktörü ve yetersiz siber güvenlik eğitimi, endüstriyel tesislerdeki çoğu kazanın sebebidir.

Eadu’daki süper gizli laboratuvar

Galen Erso, Eadu gezegeninde bir siber kristal işleme tesisine götürülür. Burası, süper gizli bir askeri projede çalışması için baskı yapıldığı, Gulag-tarzı”bir deneysel tasarım bürosudur“. Söylediğimiz gibi, Erso’yu gizli bir projede görevlendirmek aptalcadır. Ancak hiçbir denetleme yapmadan onu orada çalıştırmak daha aptalcadır. Erso, Ölüm Yıldızı’nda bir güvenlik açığı oluşturur.

Karmaşık projelerde, özellikle önemli altyapılar oluştururken inşaata başlamadan önce, yerleştirilecek nesneler için ayrı bir proje analizi yapmak oldukça önemlidir. Hem de takımda böyle şüpheci ve hoşnutsuz bir çalışanla.

Andrey Nikishin, Özel Projeler Direktörü, Gelecek Teknolojileri, Kaspersky Lab
Güvenli yazılım geliştirme için kullandığımız modern yöntemlerin, İmparatorluk geliştiricileri tarafından bilindiğinden %100 eminim. Peki, neden bunları uygulamadılar? Muhtemelen bugünün yazılım geliştiricileri ile aynı sebepten: Odak noktaları başka bir yerde. Ölüm Yıldızı, ortaya çıkabilecek sonuçların en iyi örneklerinden biridir.

Güvenlik değerlendirmesi eksiği yeni bir şey değildir. Dış dünyayla ilişkisi kesilen Erso’nun hala İmparatorluk pilotlarıyla iletişime geçebilmesi, hatta bu pilotlardan birini işe alabilmesi olayı çok daha ileri taşır.
Sonuç olarak, Erso:

  1. Ölüm Yıldızı’nın var olduğunu İsyancılar’a bildirir.
  2. Onları, Ölüm Yıldızının savunmasızlıkları hakkında bilgilendirir.
  3. Scarif gezegenindeki projelerin yeri hakkında bilgi verir.

Scarif deposu

Aslında; yüksek güvenlikli veri deposu, diğer bütün İmparatorluk tesislerinden çok daha iyi bir şekilde tasarlanmıştır. Öncelikle, Scarif hiçbir fiziksel nesnenin geçemeyeceği (ateş duvarı olarak da işlev gören) bir güç alanıyla çevrelenmiştir. Yalnızca merkezden kontrol edilebilen tek bir giriş noktası vardır. Veriler, biyometrik kilitle korunan çevrimdışı sabit disklerde saklanır. Verici anten de ağdan kesilmiştir- etki hale getirmek için fiziksel erişim gereklidir.

Ama erişi koruma mekanizması olarak biyometri ideal değildir. Bu durumda, tarayıcıya ölü bir memurun eli tutularak ikinci bir yoldan geçilir. Güvenlik duvarı da çözüm değildir. Büyük miktarlarda veri transferini etkin bir şekilde engeller ancak dahili iletişim sistemleri kullanarak İsyancıların  verici sinyalini güçlendirerek üstesinden gelinebilir. Ayrıca, gemiyi sisteme bağlamak, sadece birkaç kabloyu bağlama ve bir levyeyi döndürme ile mümkündür. Hiçbir kimlik tanımlama sistemi yok! Bu, İsyancıların yörüngeden güvenlik duvarına güçlü bir DDoS saldırısı başlatmalarına imkan sağlar.

Tümünden daha yıkıcı olan ise, çok övülen verici anteninin birazcık bile olsun korunmamasıdır. Bir disk yerleştirin, işte bu kadar kolay! Güvenlik duvarının girilemezliğinden gerçekten o kadar eminler miydi?

Andrey Nikishin, Özel Projeler Direktörü, Gelecek Teknolojileri, Kaspersky Lab
Bu, gerçekte modern endüstriyel tesislerde siber savunmanın uygulanma şekline maalesef çok benziyor. Basit bir saldırı vektörü biden bire ortaya çıkmaya başladığında bir güvenlik denetimi gerçekleştirip bir tehdit modeli oluşturana kadar her şey çok iyi kurgulanmış görünüyor. Ve bizim dünyamızdaki saldırılar, veri sızdırılması ile sınırlı olmayabilir — sonuçları çok daha vahim olabilir.

Nesnelerin İnterneti

IoT güvenliğini saran felaket durum, özel bir dikkate almayı gerektiriyor. İsyancılar, yeniden programlanmış bir K-2SO droid (özel bir robot) kullanıyorlar. Bui bir tür astromech veya yorumlayıcı değil. K-2SO stratejik bir analisttir. Davranışı ile yargılayacak olursak, iyi ve uygun denebilir. İmparatorluk protokolleriyle bilinmesi gereken her şey droid’in hafızasında saklıdır. Ancak ne tür bir işletim sistemi cihazının yeniden programlanmasını sağlar? Ve neden hala İmparatorluk sistemi K-2SO’nin dostça olduğunu düşünüyor ve bilgisayarlarla olan iletişimine izin veriyor? İmparatorluk nasıl olur da bu droid’in bir dolandırıcı olduğunu bilmez? Her şeyden önce, bu, bir kritik altyapı meselesidir.

lax İmparatorluk güvenliğinin bir sonucu olarak, K-2SO, sessizce diğer droid’lerden bilgi alabiliyor, bilgi aramak için İmparatorluk Arşivine bağlanabiliyor, ve istasyonun savunma mekanizmalarının kontrolünü ele alabiliyor.

İmparatorluk Üst Komutası

Kraliyet komutanları tarafından verilen bilgi güvenliği kararları ayrı ayrı analiz edilmelidir. Seçilecek çok sayıda karar var.

Grand Moff Tarkin

Tarkin, bilgi sızdırılmasına karşı verilen savaşta sert taktikler uyguluyor. Esasen, keşfedilen sızdırmalarla birlikte tüm şehirleri yıkıyor. Bu yöndeki ilk emri, bir taraf değiştirmiş ajanın Ölüm Yıldızı’nın yapısını bildiğini öğrenmesi üzerine Jedha gezegeninde yer alan kutsal şehri yok etmek oluyor. İkinci sefer, İsyancı saldırısı altında olduğu haberini aldıktan sonra Scarif’teki İmparatorluk Arşivine karşı oluyor.

Ancak yok etme, virüslü sistemi yeniden kurmakla karşılaştırıldığında etkin olmayan bir önlemdir. Bilgi sızdırılmasının keşfi üzerine yapılacak daha iyi bir strateji, hangi verilerin çalındığını ve ajanın bu verileri İsyancılara ulaştırıp ulaştıramadığını ortaya çıkarmak için olayın acil ayrıntılı bir analizini gerçekleştirmek olurdu. Ve İmparatorluk, Jedha’daki Kutsal Şehri yok etmek yerine, ilgili mesajı durdursaydı, güvenlik açığından haberdar olurdu.

Orson Krennic

Galen Erso’yu gizli projeye geri getirmek gibi budalaca takıntısı bir yana, Krennic’in kararları oldukça rasyoneldir. Bir şey için, bir inceleme gerçekleştirmeye çalışır: Scarif’teki üsse vardıktan sonra, Galen Erso tarafından gönderilen tüm mesajların analiz edilmesini ister. Gecikmiş olsa da, bu tip eylemler güvenlik açığını bulmada işe yarayabilir.

İsyancı saldırısı sırasında üssü ve kalkanı kapatma ve güvenlik duvarını tamamen yasak moduna getirmenin Krennic’in parlak fikri olduğunu da unutmamak gerek.

Andrey Nikishin, Özel Projeler Direktörü, Gelecek Teknolojileri, Kaspersky Lab
Bana sorarsanız, Rogue One efsanenin yeni bölümünden belki de en iyi olan filmdir. Üstelik, endüstriyel tesisler ve kritik altyapılar için siber güvenlik eğitim malzemesi sağlıyor. Siber güvenlik alanında çalışan herkes, ve hatta Yıldız Savaşları hayranı olmayanlar bile bu filmi seyretmelidir. “Kritik bilgi altyapısını nasıl koruyamıyoruz?” diye adlandıracağımız süreç için bir eğitim kılavuzu.