OpSec,daha çok askeri yapılanmaların kullandığı ve çoğunlukla yürütülen görev ya da yapılacak operasyonla ilgili kritik bilginin,bilgiye yönelik tehditlerin belirlenmesi ve kritik bilginin korunması için alınacak önlemleri ifade eden bir kısaltma, türkçeleştirmeye çalıştığımızda ise "Operasyon Güvenliği" gibi bir anlama geliyor. En basit haliyle anlatmak gerekirse amaç kimliği ve konumu gizli tutmak, bu bilgileri ifşa etmemek; hem kendiniz hem de yakınlarınızınkini.Bu yazının konusu olan ve daha çok siyah şapkalı dostlarımızca önerilen,kullanılan tedbirler "occult computing" terimiyle de ifade edilir,bir nevi "İş Güvenliği" tedbirleri.
Son yıllarda ülkemizde ve yurt dışında dijital yer altı dünyasında karşılaştığımız tutuklamalarla (
bkz1 bkz2 ) ve dijital dünyada da polisliğe soyunmaya çalışan gizli servilerin uygulamalarıyla (
bkz ) birlikte blackhat topluluklarında da ilgi odağı olmaya başlayan konu başlığı biraz da Anti-Forensics ile ilişkili. Henüz ev kullanıcısı ya da son kullanıcı için tehlikeli olduğu kadar olmasa da artık bit ve byte'ların dünyası bilgisayar korsanları için de güvenilir olmaktan çıktı ve siyah şapkalı dostlarımız da güvenlik güçlerince izlenme,yakalanma hatta grup içindeki muhbirlerce ifşa edilme,karşı güvenlik önlemi olarak kiralanan bilgisayar korsanlarınca tespit edilme kaygılarıyla kendilerince "Opsec Klavuz"ları hazırlamaya başladılar. Bu yazıda anlatılanlar genellikle kötü niyetli "tü kaka" bilgisayar kullanıcılarınca, işlenen suçun kanıtlanmasını zorlaştırmak,yakalanma ve izlenme riskini azaltmak için kullanılsa da ,zaman zaman -özellikle "phorm" tartışmalarının devam ettiği şu günlerde- kişisel bilginin mahremiyeti,internet kullanım özgürlüğüne inanan ve sansüre karşı,internet kullanım profilinin çıkarılmasından rahatsız kişilerce de uygulanabiliyor. Bilgisayar zararlısı olsun ya da olmasın alınan önlemler,kullanılan yöntemler paranoya seviyesine göre değişiyor,biz en paranoyak olanların yöntemlerinden bahsedeceğiz.
Bilgisayar zararlısı dostlarımız yaramazlık yaptıkları bilgisayarlar ile gündelik kullanım için yararlandıkları bilgisayarları birbirinden ayırıyorlar. Bu ayrımı fiziksel olarak yapmaya imkanı olmayanlar sanal bilgisayarları kullanıyor. Parçalanma,formatlama gibi işlemlere maruz kalan sabit disklerden veri kurtarmanın artık çok kolay olduğunun farkındaki bilgisayar zararlıları,yaramazlık yapılan bilgisayarın sabit diskini Truecrypt gibi araçlarla tamamen şifreleniyor. İşletim sistemi,tespiti zorlaştırmak için Hidden Volume'larda oluşturulan partitionlara kuruluyor (
bkz) . Şifreleme yöntemleri her zaman teoride olduğu kadar başarılı olmayabiliyor (
bkz) .Truecrypt tercih edilmesinin nedeni basit; açık kaynak kodlu olması,diğer ticari muadillerindeki olası master key ya da backdoor kaygıları. Adli bilişim uzmanlarını terletmek için yaramazlık yapılan bilgisayarın işletim sisteminde pagefile,swapfile gibi fonksiyonlarun kapatılması gibi Anti-Forensics yöntemler kullanılıyor..
Ücretsiz ya da ücretli HTTP ve SOCKS proxy sağlayıcıların mahkemelerce talep edilmesi halinde trafik kayıtlarını seve seve verdiği biliniyor (
bkz ), bu nedenle IP adresi bilgisini gizlemek için - "Exit node" terimiyle ifade edilen TOR ağının çıkış noktaları şifrelemenin sona erdiği yerler, dolayısıyla gönüllü olarak bu ağa dahil olan ve bilgisayarlarını çıkış noktası olarak kullandıran kötü niyetli kullanıcıların iletişimi dinleyebilmesi ve izleyebilmesi riskine rağmen - TOR gibi nispeten daha güvenli anonim ağlar kullanılıyor. Bu tip ağları kullanmayı tercih etmeyenler ise yaramazlıkları ya daha önce ele geçirdikleri başka bilgisayarlar üzerinden ya da cafe & restoran & avm gibi ücretsiz ve halka açık kablosuz internet erişimi hizmeti sunan ve genellikle erişim logları tutmayan işletmelerde güvenlik kameralarının kayıt alamadığı kör noktalarından gerçekleştiriyor. Yetkisiz erişimlerden sonra hedef bilgisayarlarda olay kayıt dosyalarını silmek,temizlemek ise takip edilmeyi zorlaştıracak yaygın yöntemlerden.TOR çıkış noktalarında sadece belli başlı port numaralarına izin veriliyor, bu ve yavaşlık gibi nedenlerden özellikle Flood tipi saldırılar TOR ağı üzerinden gerçekleştirilmiyor. Tails ve Whonix gibi hazır dağıtımlar 100%'e yakın gizlilik sağlayabiliyor.
Yaygın ve gönderici IP adresine kadar detaylı bilgi veren e-posta servis sağlayıcıları yerine ( Yahoo,Hotmail vb ) genellikle Rusya ve Çin gibi yeraltı dünyasının kalbi sayılan ve batıdaki davaları,mahkeme kararlarını pek iplemeyen ülkelerde barındırılan ücretsiz mesajlaşma servisleri kullanılırken mesaj içerikleri yine GnuPG gibi açık kaynak kodlu şifreleme uygulamalarıyla şifreleniyor. Gizli bir e-posta hizmeti (hidden service) olarak sunulan TOR Mail de yaygın kullanılan platformlardan (bkz onion.to ). Bilgisayar zararlısı dostlarımız anında mesajlaşma ( Instant Messaging) ihtiyacı için yine TORChat gibi anonim hizmetleri kullanıyor. Şimdinin Skype'ı eskinin MSN'i daha önce güvenlik açıkları nedeniyle nice bilgisayar zararlısı dostumuzu zor durumda bırakmıştı.
Sosyal paylaşım ağlarında kendilerine ulaşılmayı mümkün kılacak, okul, yaşanılan şehir,semt, arkadaşlar,iş yeri,iş tecrübesi,telefon numarası, yaşanılan yerin veya çevresinin fotoğrafı gibi kişisel bilgiler kesinlikle paylaşılmıyor. Yazı yazma,konuşma sitili bile ipucu olarak kullanılabiliyor (
bkz1 bkz2 bkz3 bkz4 bkz5) . Yaramazlık kesinlikle övünme,böbürlenme malzemesi olarak kullanılmıyor. Özellikle akıllı telefonlarla çekilen fotoğraflar çoğu zaman coğrafi konum bilgisini de içerdiği ve bu nedenle fotoğrafın çekildiği yer hakkında bilgi verebildiği için ( exif metadata ) herhangi bir sebeple fotoğraf dijital olarak paylaşılmadan,yayınlanmadan önce exif verisi siliniyor.
Buraya kadar bıkmadan yılmadan sıkılmadan yazıyı okuyanlar eşeğin aklına karpuz kabuğu düşürdüğümü,bilgisayar zararlılarına fikir verdiğimi düşünmesinler.Altını çizerek esas amacın ilham vermek ya da özendirmek değil,sadece bu konuya ilgi duyanları ve dijital dünyada işlenen suçlarla mücadele edenleri bilgilendirmek , blog istatistiklerine göre sayıları artan saldırıya meraklı blog ziyaretçilerinin "Türkiye'nin ilk hacker'ı olmak" ile "Türkiye'nin çuvallayan ve ceza alan ilk pijamalı hacker'ı olmak" arasındaki farkı anlamasını kolaylaştırmak olduğunu hatırlatmak istiyorum.
Her zaman belirttiğim gibi yazılmadığını ya da eksik olduğunu düşündüğünüz noktaları yorum olarak ekleyebilirsiniz.
Hiç yorum yok:
Yorum Gönder