Genel anlamda sahip olduğum problemleri, bu sorunları ortadan kaldırdığımda dönüp bakmak adına aşağıda listeliyorum

• Kalp kapakçıklarında ritim bozukluğu
• Damarlarda yağlanma ve daralma
• Karaciğerde Yağlanma
• Safra ve Kolon da Tembellik
• İnsülin direnci
• Hipotrioid
• Reflü
• Boyun, bel ve sırt bölgesinde yüksek kireçlenme riski

Bütün bunları kısa bir süre sonra vucudumdan yok edip, herşeyi kontrol altına alacağım. Şimdilik halsizlik, uyku hali, aşırı yorulma, çarpıntı, tansiyon problemleri dışında belirgin bir etkisi yok normal yaşantıma. Bunlar da en kısa sürede yok olacak.

Daha önceki yazımda kurduğum topluluktan bahsetmiştim. Siber Güvenlik kavramının Bilişim Güvenliği yöntemleri ile ele alınmayacak kadar çok yönlü bir kavram olduğunu düşünerek yola çıktığımız bu topluluk, genel anlamda elini hemen her kritik alanın siber dünyadaki implementasyonlarına bulaştırmaya çalışıyor. Artık güncel hayatımızın bir parçası olan, kendimize ait bir kimliğimizin yaşam şeklimizin olduğu siber dünyada, gerçek dünyamızda yaşanan bir takım gelişmelerin, yapılan çalışmaların nasıl gerçekleştiğini analiz etmeye çalışıyoruz.

Araştırma alanımız dünyada oldukça yeni ve açıkçası bu alanda çalışmayı düşüneni bırakın, konunun farkındalığını taşıyan arkadaşlarımızı bile bulmakta zorlanıyoruz (dünya çapında araştırmalarımız devam ediyor =p). Ama benim ön görüm o ki -şu ana kadar bu anlamda doğrulandığını söylebilirim- 4-5 yıl içerisinde ciddi araştırmaların yapıldığı, krizlerin çıktığı, adından oldukça söz ettiren bir çalışma alanı haline gelecek.

Özetle bu çerçevede, bilişim güvenliğinden penetrasyon testleri ve siber suçlara, kriminolojiden sosyolojiye, algı yönetimi, kimlik inşası gibi konulardan terörle mücadeleye kadar pek çok problemin yahut sürecin siber dünyadaki yansımalarını inceliyor ve ilgili teorilerin siber dünyadaki yeterliğini araştırıyoruz.

22 Aralıkta gerçekleşecek bu konferansta, “Siber Dünyada Algı Yönetimi Faaliyetleri, Siber Terör, Dolaylı tutum ve 4. Nesil Savaşlar” isimli bir konuşma yapacağım. Bu Arquanum olarak gerçekleştireceğimiz 3. seminer olacak. Umarım daha önce olduğu gibi kazasız belasız atlatırız.

Siber Güvenlik Konferansı hakkında daha detaylı bilgiye ve konferans programına buradan ulaşabilirsiniz.

Arquanum çatısı altında araştırma geliştirme faaliyetlerimizi yakından tanımak yada bize katılmak için info at arquanum.com mail adresini ve www.arquanum.com adresini kullanabilir, mail listelerimize üye olabilirsiniz.

Ancak hayatımı daha büyük yüzeyde etkileyen değişikliklerin başında arap saçına dönmüş olan üniversite hayatım adına tünelin sonundaki ışığın görülebilir olması geliyor. Bu yıl içerisinde bu işin olumlu bir şekilde sonuçlanmasını bekliyorum. Söz param olursa kurban kesip dağıtacağım. =)

Üniversite yaşamımdaki rezalete rağmen sanırım iş hayatım oldukça mutluluk verici bir şekilde ilerliyor. Hayatımın her anında iki ayrı uçta olma durumum bu yıllarda da yakamı bırakmış değil. Yaklaşım 3.5 ay önce iş değiştirdim. Benim için oldukça kafa karıştırıcı ve düşündürücü bir karar aşamasıydı. Enteresan bir deneyim oldu iş değiştirme kararını alabilmek.

Daha önceden penetrasyon testleri ve güvenlik danışmanlığı verdiğim firmam olan Biznet’den, enteresan bir duygusallık içerisinde (=P), Sony Electronics’e geçtim. Burada genel anlamda Avrupa ve Asya bölgesi içerisinde yer alan web uygulamalarının güvenliğinden, güvenli yazılım geliştirme sürecinden, WAF ve incident management hadisesinden ve daha güvenlik politikaları prosedürleri geliştirilmesinden sorumluyum. Ek olarak, güvenlik farkındalığının artırılması, web uygulama pentestleri gibi ek işler de olabiliyor. Brüksel’e bağlı olarak çalışıyorum. Keyifli bir çalışma ortamı oluştuğu için de memnunum.

Ne yalan söyliyeyim ilk geldiğimde şirketin büyüklüğü karşısında bir afalladım. Ama şimdi sanıyorum her şey yolunda =)

Teknik anlamda kişisel gelişim sürecim ve bulunduğum ortamlara olabildiğince katkıda bulunma çabamın yanı sıra, bir süredir takip edenler bilirler, uluslarası düzeyde faaliyet yürütmeye çalışan bir araştırma topluluğu kurdum. Şu anda 5-6 farklı üyeden katılımcılar var ve hali hazırda iki proje yürümekte. Arquanum hakkında daha detaylı bilgiyi buradan alabilirsiniz. Gerekli iletişim bilgileri, mail listeleri topluluğun resmi sitesinde yer almakta.

Tabi bu yaklaşımdan yola çıkarak, söz gelimi terörle mücadele çok başarılı bir subayın terör uzmanı olduğunu söyleyemeyeceğimiz gibi, derin teknik bilgiye sahip bir bilişim güvenliği uzmanı arkadaş için de, siber güvenlik konusunda uzman olduğunu söylemek anlamlı olmayacaktır.

Siber Güvenlik pratik anlamda siber dünyanın güvenliği demektir. Buradaki siber kelimesi için de geleneksel tanımlamalar yeterli değildir zira reel ve sanal gerçeklerin nereden başlayıp nerede sonlandığını felsefik anlamda netleştirmek oldukça zor ve dinamik bir süreç. Bu çerçeveden bakıldığında, pek çok farklı disiplinden yaklaşımları, ortak bir kavramda birleştirerek, çıkarımlar yapan, çözümler üreten, sorular üreten insanlar temelde siber güvenlik uzmanı olma yolunda çok daha hızlı ve doğru adımlar atıyor demek yanlış olmaz.

Biz de bir kaç kişi, lise yıllarınızdan oldukça tanıdık gelecek “sayısalcılar zekidir sözelciler salaktır” önermesi ve bu önermeyi referans alabilecek her türlü yaklaşımı bir kenara bırakarak, farklı perspektifleri ele alarak siber güvenliği bütün bir süreç olarak değerlendiren çalışmalar ve görüş alışverişleri yapabilmek adına, çalışma topluluğumuzu kurduk.

Kabaca aşağıdaki alanları çevreleyen çalışmalar ve fikir paylaşımlarının olacağı topluluğumuza, belirtilen ilgi alanlarından en az birine sahip iseniz katılabilirsiniz.

• Bilişim Güvenliği
• Elektronik Harp
• Psikoloji
• Sosyoloji
• Uluslarası İlişkiler
• Algı Yönetimi
• Çatışma Yönetimi
• Psikolojik Harekat
• Algı ve Kimlik İnşası
• Pazarlama
• Bilişsel Bilimler
• Terör ve Terörle Mücadele
• Krimonoloji

Facebook Sayfası:

http://www.facebook.com/pages/Arquanum-Multidisciplinary-Cyber-Security-Studies

Facebook Grubu:

Email Grubu:

http://groups.google.com/group/arquanum-multidisciplinary-cyber-security-studies

Velhasıl-ı kelam, bu delikanlımız kendi görüntüsüne o kadar vurgun muş ki, günün birinde kendine bakarken göle düşüp boğulmuş. Onun göle düşüp boğulduğu yerde de bir çiçek açmış, bu çiçeğe nergis adı verilmiş.

Tatlı su gölünün kıyısına gelen orman tanrıçaları Oreas’lar onu bir acı gözyaşı kavanozuna dönüşmüş olarak bulmuşlar.

- Neden ağlıyorsun? diye sormuş Oreas’lar
- Narkissos için ağlıyorum diye yanıtlamış göl
- Ne var bunda şaşılacak? diye cevap vermiş orman tanrıçaları. Bizler onun peşinde ormanlarda boşu boşuna dolanır dururduk görebilmek için, ama onun güzelliğini yakından yalnızca sen görebilirdin.
- Narkissos yakışıklı bir genç miydi? diye sormuş göl
- İyice şaşıran orman tanrıçaları, bunu senden kim daha iyi bilebilir ki? diye karışılık vermiş. Her gün senin kıyılarına gelip sularına bakıyordu!

Göl bir süre sessiz kalmış. Sonra şöyle konuşmuş:

- Narkissos için ağlıyorum ama onun yakışıklı olduğunu hiç farketmemiştim ben. Narkissos için ağlıyorum, çünkü sularıma eğildiği zaman, gözlerinin derinliklerinde unuttuğum kendi güzelliğimin yansımasını görebiliyordum.

Kendisinden kaçılan, korkulan, uzak durulan, cinselliğin ve hazzın simgesi, Hermes’in oğlu keçi bedenli Pan mı daha ürkütücü, yoksa Sophia mı daha ermiş  bilinmez… ama Pan’ın lanetlendiği kesin, ölümsüz olduğundan bir hayli zor olsa gerek…

Geçtiğimiz hafta Danimarka’daydım. Kopenhag IT Üniversitesi’nde System Security and Design dersinde “Guest Lecturer” olarak bir ders verdim. İnanılmaz tedirgin başladığım ders beklentilerimin üzerinde keyifli geçti. Noel tatili önceki bu son derse, dersin öğrencilerinin yanı sıra bir iki de master öğrencisi vardı. Derste;

• Siber Dünya Kavramı
• Siber Güvenlik İhtiyacı
• Organize Suçlar ve Siber Güvenlik
• Terörizm
• Siber Terörizm
• Siber Güvenlik ile Gayrinizami Mücadele
• Siber Operasyonların Uluslarası ilişkilerde Yumuşak Güç Olarak Kullanımı
• Siber Terörle Mücadeleye Fonksiyonel Yaklaşım
• Siber Dünya ve Algı Operasyonları

gibi konulara değindik. Tabi, zaman-mekan ikilisi gereği, konular üzerinde fazla derinleşemedik. Genel anlamda ilgili insanlar vardı karşımda ve olumluydu.

Sürece dahil olan katılan, destekleyen emek veren herkese çok teşekkür ederim. =)

Aşağıda bir iki kare fotoğraf var, açıkçası bir miktar üşendiğim için koyamadım diğerlerini. =))

Benim açımdan oldukça heyecan verici bir gelişme bu. Zira 2004 yılında arabada seyahat ederken anneme söylediğim öngörülerim bir bir gerçekleşmekte, bu da bana doğru tahminlerde bulunduğumu ve doğru yolda olduğum mesajını veriyor. Bu anlamda huzurluyum, çünkü kendi meraklarım ve araştırmalarım içerisinde boğulduğum zamanlarda, akademik hayatım her aksadığında, kendimi yargılayıp her şeyi yeniden gözden geçirmek zorunda kalıyordum, acaba kendimi mi kandırıyorum diye… İçinde bulunduğum süreç mümkün olduğunca doğru şeyleri yaptığımı gösteriyor bana.

Tabi bazı gelişmeler beraberinde bir takım olumsuzlukları da getirmiyor değil. Örneğin 18 Aralık 2010 için Yeditepe Futurizm Kulübü ve İstanbul Barosu ortaklığında bir etkinlikte Siber Terörizm konuşacaktım, ancak tarihlerin Danimarka seyehatimle çakışması nedeni ile bunu iptal üzülerek iptal etmek zorunda kaldım. Umarım başka bir etkinlikte bir araya gelebiliriz.

Teknik anlamda da bana uzak gelen pek çok şey artık çok daha yakın gelmekte ve daha anlam kazanmakta, bu da benim açımdan oldukça olumlu bir gelişme. Mesut Timur ve Deniz Çevik‘e selamlar Elbette bu sıkışıklık arasında asıl yapmam gerekenleri unutmuş değilim. Çalışmaya devam.

Öte yandan hayatımın problem sarmaşığı haline gelmiş olan okulum ile ilgili olarak da sanıyorum hiç olmadığı kadar olumlu gelişmeler olmakta. Ben de eskisine nazaran daha fazla emek harcadığımı söyleyebilirim, hiç istemesem de… Fakat hala, boynundan kulübeye bağlı bir köpek gibi hissediyorum. Fikri anlamda en verimli olduğum süreci, büyük çoğunluğu saçmalıklarla dolu olan, asla merakımı cezbetmeyen ıvır zıvır işlerle boğuşarak geçirmek oldukça kötü.

Şunu bir kere daha anladım, eğer teknik bir bölüm okuyorsanız, bu bölüm özellikle bilgisayar mühendisliği veya dengi bir alansa, ve bu bölümü bir üçüncü dünya ülkesinde okumaya çalışıyorsanız, en verimli anınızda askere gidip 4 sene askerlik yapmaktan bir farkı yok. Tabi hedefleri belli olan, ne yapmak istediğini bilen, ilgi alanlarını ve meraklarını keşfetmiş insanlar için söylüyorum. Top üniversiteleri bilmem oralarda durum belki farklıdır. Kesinlikle bir zaman kaybı olduğunu düşünüyorum. Burada da Ferruh Mavituna‘ya selam gönderiyorum.

Mesleki aktivitelerin yanı sıra, bağımsız araştırmalarımı da artık daha somutlaştıracak zemine ulaştırmaya iyice yaklaştım. Disiplinler Arası Siber Güvenlik Kavramı çerçevesinde, temellendirdiğim fikirlerimi, yayına çevirme konusunda ciddi ilerleme kaydettiğimi söyleyebilirim.

Mayıs ayına yetiştirebileceğimi umduğum “Gayri Nizami Harp Perspektifi ile Siber Güvenlik Kavramına Bakış” isimli makalem yolda. Akademik bir dergiye göndereceğim. Umuyorum fikirsel anlamda bu makaleyi algılayabilen hakemler tarafından incelenir.

İnsanlar genelde yaptığınız işi sevin çerçevesindeki düşünceleri şu anda sanıyorum benim için daha fazla anlam taşıyamazdı. Yaptığım işi seviyorum, çalıştığım alanı çok seviyorum, araştırma yaptığım konu benim için çocuğum gibi, her an yeni fikirler kafamda oluşuyor, kendimi verimli, ait, işe yarar, pozitif enerji ile yüklü hissediyorum. Bkz. Su Kristalleri Teorisi

Bunların dışında tarif edilmez dinamiklik içerisinde ilerlemekte hayatım, hemen her duyguyu sağolsun yaşatıyor. Belirsizlik gibi iğrenç bir duyguyu, huzuru, bazen dayanılmaz baş ağrılarına götürecek kadar büyük hayal kırıklıklarını, kahkahaları, huzuru, üzüntüyü, sessizliği, gevezeliği hemen her duyguyu dalgalı bir şekilde yaşatacak bir dinamizm ile akıyor…

İçimden kendim için de herkes için de güzel şeyler geçiriyorum. Umuyorum ileride daha fazla yazabileceğim.

Siber Dünya ve Siber Güvenlik kavramları yalnızca bilişim perspektifinden değerlendirilecek kadar sığ bir süreç mi barındırır?İnsan egosunun ve toplumsal çıkarların geri planda kalamadığı her süreç, beraberinde uyuşmazlıkları getirecek; iyi analiz edilemeyen ve yönetilemeyen uyuşmazlıklar ise hızla çatışmalara ve savaşlara dönüşecektir. Bilinen yazılı insanlık tarihi itibari ile savaşın ve çatışmanın olmadığı 367 yıllık bir süreçten söz edilebilinmektedir.

Bununla beraber dünyanın acı ile tecrübe ettiği son dünya savaşı, tarihin gördüğü en yıkıcı savaşlardan biri olmuştur. Gerçek anlamda bir “dünya” savaşı olan bu süreçten etkilenmeyen ülke neredeyse yoktur. Keskin sosyolojik ve politik ayrımlar ile gelen bu savaş sürecinin ardından, barış süreci de bir o kadar sancılı geçmiştir.
Sıcak savaş sonrası süreç, bir nevi bilgi ve algı mücadelesi olarak kıran kırana geçmiştir. Soğuk Savaş olarak adlandırılan ve yeni bir savaşın her an çıkacağı korkusuyla geçen bu dönem yeni dünyanın şekillenmesine ve güç, algı, inşa gibi kavramların altlarının ciddi şekilde doldurulmasına olanak sağlamıştır. Konumuzdan uzaklaşmamak adına Soğuk Savaş yıllarının detaylarına ve dönemlerine bu yazıda değinilmemiştir.

Buna karşın dünya üzerinde süper güç olarak, dünyanın geleceği için söz sahibi olma yarışı, askeri, politik, psikolojik, ekonomik, sportif, kültürel ve entellektüel anlamda hemen her alanda devam etmişse de nihayetinde Sovyetler Birliği’nin dağılması ile sonuca ulaşmıştır.

Soğuk Savaş döneminde öncelikli olarak askeri bir teknoloji sonucu ortaya çıkan internetin, bütün dünya tarafından kullanılmaya başlanması ve İnternet’in kendisine ait yeni teknolojileri üretebilecek bir yeteneğe ulaşması, dünya tarihindeki önemli dönüm noktalarından biri haline gelmiştir.

Bugün Siber Dünya olarak adlandırdığımız bu yeni dünya ve onun getirdikleri, hayatımızı büyük oranda içine almaktadır. Yaşantımızın hemen her varlığının yansımalarını Siber Dünya içerisinde görmek mümkün olmaktadır. Bütün bu yansımalar sadece hayatımızı kolaylaştıran gelişmeler ile kısıtlı kalmamakta, hali hazırda bizi zorlayan, üzerinde henüz kurulu gerçek dünya düzenimizde dahi anlaşmaya varamadığımız pek çok sorun da Siber Dünya’nın bir gerçeği olarak hızla yerini almaktadır.

Propaganda aracı, suç unsuru ve silah olarak İnternet ve Siber Dünya’nın kullanımı da bu çerçevede değerlendirilebilir. Bu süreçteki bir diğer olumsuz durum ise, bu yeni oluşan dünyanın kontrolsüz ve yüksek ivmeyle büyümesidir.

Tablo 1:

Yukarıdaki tablo İnternet’in ortaya çıkışı ile 2009 yılına kadar geçirdiği evrimi ve yakaladığı ivmeyi özetlemek adına oldukça çarpıcıdır.

Böylesine yüksek bir hızla büyüyen bir yapı içerisinde, gerçek hayatımızda kontrol altına alamadığımız olguları kontrol altında tutmak yahut modellemek ise, sanıldığından çok daha güç bir iş olarak karşımıza çıkmaktadır. Suç, ahlak, terör, vb. gibi kavramlar henüz gerçek hayatımızda dahi felsefik anlamda üzerinde uzlaşılmış kavramlar olmaktan çok uzaktadır.

Bu gelişim sürecine biraz daha yakından baktığımızda, esasında kendi sosyal gelişim sürecimizden çok da farklı bir süreç göremememiz, yaşadığımız dünya ile oluşan Siber Dünya’nın pek çok anlamda paralellik arz ettiğinin önemli bir göstergesi olarak göze çarpmaktadır. Tıpkı yaşadığımız gerçek yaşamın gelişiminde olduğu gibi, İnternet’in ilk yıllarında da, herkesin bir birey olarak bu yeni dünyada var olma çabalarının yerini, sosyal yapılar almış ve birey olarak var olma ihtiyacını gidermiş insanların kitle iletişimi için zemin hazırlamış, bu sayede sosyal komüniteler oluşmaya başlamıştır.

Her sosyal topluluk kendi iç dinamiklerini, iç işleyişini, kendi jargonunu ve kurallarını geliştirmiş ve kimi zaman diğer sosyal topluluklarla uyuşmazlıklar yaşamaya başlamıştır. Bireysel yaşam ile beraber sosyal toplulukların da Siber Dünya içinde yer almaları, bu tanımlanan ve hızla büyüyen dünyaya daha dinamik bir devinim katmıştır.

Bugün internet üzerinden para kazanmak ve gerçek yaşamınıza katkı sağlamak mümkündür. Internet üzerinden gerçek kimliğinizi zedelemek, itibarınızı sarsmak da mümkündür. Yahut yeni arkadaşlıklar edinmek, yeni bilgiler elde etmek, kendinizi eğitmek, başkasına eğitiminde yardım etmek, kısaca gerçek hayatımızda sosyalleşmek adına yaptığımız temel birçok eylem, siber dünyada karşılık bulmaktadır.

Bununla birlikte, sosyal oluşumların siber dünyada da politik ve siyasi görüşlerini savunmaları, benimsedikleri inançlar ile oluşturdukları topluluklarla o ilkeler doğrultusunda yaşamaları, ilkelerini yaymaya çalışmaları, başka topluluklara müdahalede bulunmaları da tıpkı gerçek dünya içerisinde, tarihin başlangıcından beri karşılaştığımız süreç kadar benzer eylemler silsilesidir.

Bu konudaki ilk ve en çarpıcı örneklerden biri “SecondLife” adlı oyun içerisinde gerçekleşen terör saldırılarıdır.   SecondLife yapı itibari ile başından beri savunduğumuz paralel yaşam olgusunun en önemli örneklerinden biridir. Oyuncuların, kendi yaşamları dışında, neredeyse ikinci bir hayat yaşamalarına olanak tanıyan oyunun milyonlarca kullanıcısı bulunmaktadır. Oyun içerisinde, sınıf mücadeleleri, yeni iş kurma, para kazanma, yeni arsa alma, ev yapma, hatta oyunda kazandığınız paranızı gerçek hayatta tahsil edebilme gibi sıra dışı fonksiyonlar bulunmaktadır. Baştan bir karakteri ikinci bir hayat olarak her anlamda yaşamanıza olanak tanır. ( 1 ABD Doları = 270 Linden Doları )

Oyunun sahibi olan Linden şirketi, oyun üzerinde yapılan ticaretlerden ve üyeliklerden günde 1 milyon dolar civarında bir ciro yapmaktadır. SSLA (İkinci Hayata Özgürlük Ordusu) adlı terör örgütünün bombalı eylemlerine maruz kalan şirket, bazı imtiyazlar vermek zorunda kalmıştır. Oyundaki bir açığı kullanan örgüt militanlarının sis bombaları oluşturarak patlatmaları ile kullanıcıların bilgisayarlarının kitlendiği kayıt altın alınmıştır. Örgüt manifestosunda ise, Linden şirketinin otoriter bir rejim olduğunu ve SecondLife içerisinde demokratik bir rejimin hüküm sürmesi gerektiği inancını vurgulamaktadır.

2007 yılında gerçekleşen bu terör saldırısı, dikkatleri bir an için bu yöne çektiyse de, bu anlamda disiplinlerarası bir farkındalığı beraberinde getirememiştir.

Yine Siber Dünya’nın hızlı gelişim süreci ele alındığında, 90’ lı yılların daha önce belirtilen bireysel var olma çabalarını, 2000’ li yılların ise toplu ve organize eylemleri temsil ettiğini kolaylıkla söyleyebiliriz. Bu benzerlikle ileriyi ön görmeye çalıştığımızda, Siber Dünya ve beraberinde gelen ileri düzey teknolojilerin yeni silahlanma yarışında önemli bir rol oynayacağını, bu yeni soğuk savaşın beraberinde sıcak savaş riski taşıyacağını tespit etmek zor olmayacaktır.

Tablo 2:

For 2008	Financial	Business	Education	Gvt/Military	Medical
Insider Theft	2.4%	5.6%	1.8%	3.4%	2.4%
Hacking	3.5%	6.1%	2.7%	0.8%	0.8%
Data on the Move	1.7%	7.3%	3%	4.3%	4.4%
Accidental Exposure	0.8%	3.0%	6.1%	3.0%	1.5%
Subcontractor	0.8%	3.5%	1.5%	2.3%	2.3%

Tablo 2’ den de görülebileceği üzere, özellikle iç tehditler devlet kurumları ve iş dünyası üzerine yoğunlaşmakta. Özellikle çarpıcı olan bu rapor bize, devlet ve sanayi casusluğunu vurgulamaktadır. Bir diğer dikkate değer veri ise, finans ve sağlık ile ilgili siber suçların birbirine yakınlığıdır. Finansal kazançların yanı sıra, genetik yapının belirlenmesinde önemli olabilecek sağlık verileri üzerine gidilmesi önemlidir.

Bütün bu verilere rağmen, bugüne kadar harp çeşitleri arasında adına rastladığımız “nokta operasyonu” kavramına hiç rastlamamıştık. Organize dolandırıcılık, bireysel hacktivist hareketler, politik mesajlar, propaganda aracı olarak siber suç öykülerini sıkça duyar olduk. Ancak, Stuxnet ile nokta operasyonu kavramı da bir ölçüde Siber Savaş belki Gayrinizami Siber Harekat kavramı içine girmiştir.

Siber Dünya özellikle örtülü operasyonlar için oldukça elverişli bir mecradır. Gerek etki yüzeyi, gerek risk düzeyi, gerek operasyonun saklanması yahut geriye yönelik karşı faaliyet yürütmenin zorluğu açısından, gerçek dünyada gerçekleştirilecek bir operasyona göre oldukça büyük avantajlar barındırmaktadır.
Stuxnet’in ise, yapısı, zamanlaması, etki yüzeyi itibari ile böyle bir operasyon kategorisine giren “bilinen” ilk saldırı niteliği taşıdığını söylemek yanlış olmayacaktır.

Stuxnet in bulaştığı sistem üzerindeki nihai amacı, endüstriyel kontrol sistemleri olarak kullanılan SCADA (Supervisory Control and Data Acquisition) yapısına erişmek. Bu gibi kontrol yapıları askeri üsler, enerji santrallerin, petrol boru hatların ve havaalanları gibi risk seviyesi yüksek, kritik sistemlerde kullanılmaktadır.
Uzmanlar tarafından Stuxnet üzerinde yapılan çalışmaların sonuçları da bir hayli ilginçtir. Elde edilen bulgular arasında, dört farklı 0day açıklık barındırdığı, çok karmaşık bir yapıya sahip olduğu, alanında uzman çok sayıda kişinin ortak bir ürünü olabileceği, SCADA teknolojisine ait önemli bilgilerin  kullanımı, sahip olduğu düşünülen finansal destek gibi dikkat çekici bilgiler yer almaktadır.

Tablo 3:

Stuxnet’in, barındırdığı bu marjinal yapısı, hedefi ve ortaya çıktığı bölge açısından sıradan bir saldırı olmadığı fikri ağırlık kazanmakta.  Tablo 3 üzerinden görüldüğü üzere açık ara en çok etkilenen sistemler İran üzerinde yoğunlaşmakta ve uluslarası konjonktür göz önüne alındığında bu tablo ve arkasında barındırdıkları oldukça anlamlı olmaktadır.

Öte yandan Kaspersky Labs. Çalışanlarının yaptığı araştırma sonucunda virüsün ilk hedefinin casusluk değil sabotaj olduğu belirginlik kazanmıştır.

Stuxnet resminin tamamına bütün bu süreç ele alınarak bakılıp üzerinde gerçekleştirilen çalışmalar da dikkate alındığında, yeni bir silah olarak örtülü operasyonun bir parçası olarak denendiği görüşü azımsanamayacak düzeyde hakim bir görüş halini almaktadır.

Nasıl ki günümüzün gayri nizami harp taktikleri ve unsurları, geçmişin konvansiyonel harp taktiklerinden farklı bir yapıya büründüyse, yakın gelecekte siber dünya ve onun teknolojileri de yeni örtülü operasyonların ve soğuk savaşın başlangıcını işaret etmektedir.

Rusya Putin dönemi ile birlikte Siber Dünya faaliyetlerini yumuşak güç olarak uluslarası ilişkilerde en belirgin kullanan ülkelerden biri olma hüviyetindedir. Estonya, Ukrayna ve Gürcistan ile ilişkilerinde İnternet üzerinden müdahalelerde çekimser kalmamıştır. 2008 yılında Rusya ile Gürcistan arasında yaşanan gerginlik Siber Dünya’ya da sıçramış ve Gürcistan devlet kurumları ve bankalar bir süre çalışamaz duruma gelmiştir.

Rusya etkisinin en çok hissedildiği Siber mücadele Estonya üzerinde gerçekleşmiştir. Öyle ki, 2007 yılında gerçekleştirilen saldırılar sonucunda NATO, Tallinn şehrinde Siber Savaş Merkezi kurmak durumunda kalmıştır.  Ve bu süreci Estonya başkanlık sitesi “Yeni Global Savaş Alanı” başlığı ile duyurmuştur.   Yaraların sarılmasının ve geriye dönük incelemelerin yapılmasının hemen akabinde, Estonya “Siber Güvenlik Strateji Belgesi” Savunma Bakanlığı tarafından yayınlanmıştır.

Özellikle Rusya-Estonya siber çatışmasına NATO’nun bir fiil dahil olması ve Estonya’nın başkentinde Siber Güvenlik merkezini kurmuş olması, bizlere soğuk savaş döneminde, Sovyet tehdidine karşı Doğu Bloğu ülkelerinin lojistik ve askeri olarak desteklendiği dönemi hatırlatmaktadır. Bu iki süreç arasında ciddi bir benzerlik bulunmaktadır.

Bununla birlikte, üretilen siber güvenlik ve saldırı planlarının hemen hemen hiç birinde, bilişim ve elektronik teknolojiler dışında bir yaklaşım görülmemektedir. Bu eksik perspektif, güvenlik sürecinin önemli bir kısmını her zaman eksik bırakmaktadır.

Sosyal yaşamımızın her anlamda iz düşümünü barındıran, ulusal güvenlik çerçevemizin içerisinde doğrudan giren bir yapının, disiplinler arası çalışmalardan uzak olarak tek boyutlu bir şekilde ele alınması, ciddi bir eksiklik oluşturmaktadır.

Dünyanın önde gelen bazı güvenlik uzmanlarının özellikle Stuxnet’in yapısını halihazırda yukarıda anlatılan çerçeveden uzak bir şekilde değerlendirmeleri, anlamlı bir tespit olmaktan uzak olmakla birlikte, pek çok açıdan da soru işaretini beraberinde getirmektedir.

Siber Dünya çerçevesinde gerçekleşen operasyonların üzerlerinin örtülmesi oldukça kolaydır. NATO’nun dahi devreye girdiği ve zararın oldukça büyük olduğu Estonya siber çatışmasında dahi, Rusya olayı üstlenmemiş ve bir hacker grubunun bağımsız hareketi olarak değerlendirmiştir.

Gayri Nizami Harp mücadelesi için, “pis savaş” terimi kullanılır, çünkü konvansiyonel harbe göre, oldukça farklı ve içerisinde her türlü yöntemi barındıran bir mücadele şeklidir. Siber Savaş için bu terim dahi yeterince tanımlayıcı olmaktan uzaktır.

Bu yapı içerisinde, doktrinlerin, uluslarası ilişkiler ve sosyoloji teorilerinin, toplumsal düzeyde kuralların, politikaların, prosedürlerin üretilmesi zaruri bir ihtiyaç olarak göze çarpmaktadır.

Referanslar bölümünden kullanılan kaynaklara ulaşabilirsiniz.

Download: http://www.webguvenligi.org/docs/web_uygulama_guvenligi_kontrol_listesi_2010.pdf

OWASP-Türkiye olarak uzun süredir aramızda tartıştığımız ve çevremizden gelen talepler sonucu, güvenlik kontrol listelerinin yapılış bakış açısıyla bir kontrol listesi de web uygulama güvenliği alanında çıkarmaya karar verdik.

Web uygulama güvenliği kontrol listesi 2010, OWASP-Türkiye ve Web Güvenliği Topluluğu tarafından güvenli web uygulamalarında aktif olması gereken denetim adımlarını içeren bir dokümantasyon projesidir. Bu proje her yıl yenilerek aktif yaşamına devam edecektir. Web uygulama güvenliği konusunda çalışan ve ilgi duyan arkadaşların tecrübeleriyle hazırlanmış olan bu döküman, uygulama geliştiricilerden, yöneticilere kadar web uygulama güvenliğinde nelere dikkat edilmesi ve nelerin kontrol edilmesi gerekliliği hakkında özet bilgi içerecektir.

Proje çalışmasını detaylandıracak olursak. Projedeki her kontrole dört nitelik atanmıştır. Bunlar; kategoriler, sorumlular, etkiler ve seviye olarak adlandırılmıştır.

Kategoriler yardımıyla ilgili söz konusu zafiyetler sınıflandırılmış olmaktadır.

Sorumlular yardımıyla ilgili zafiyetin hangi birim veya kişiler tarafından ele alınması gerektiği konusuna açıklık getirilmeye çalışılmıştır.

Etkiler yardımıyla, ilgili zafiyetin ne tür bir etkisi olduğu blirtilmiştir.

Seviye yardımıyla zafiyetlere kritiklik değeri atanmış olup, listede bu kritiklik seviyesine göre sıralandırılmıştır.

Web uygulama güvenliği kontrol listesi 2010`un hazırlanış aşamasında katkıda bulunanlar;

Bedirhan Urgun [bedirhan.urgun(AT)gmail.com]
Bünyamin Demir [bunyamindemir(AT)gmail.com]
Onur Yılmaz [contact(AT)onuryilmaz.info]
Kubilay Onur Güngör [ko.gungor(AT)gmail.com]
A.Kadir Altan [kadiraltan(AT)hotmail.com]
Volkan Altan [volkanaltan(AT)gmail.com]
Muharrem Aydın [thsunamy(AT)gmail.com]
Canberk Bolat [canberk.bolat(AT)gmail.com]