21.

YÜZYIL DA NATO YAZILIM GÜVENLİĞİ

STRATEJİSİ VE CASUS VİRÜS STUXnet İLE CYBER-
SAVAŞ TEHDİDİ

Prof. Dr. Mehmet Erdaş 01.10.2010 Berlin

NATO Genel Sekreteri Fogh Rasmussen, NATO

Anlaşmasının üye ülkelerin olası tehditlere karşı ortak
dayanışmasını düzenleyen beşinci maddesine, önümüzdeki
Kasım ayında Portekiz de yapılacak NATO zirvesinde,
STUXnet gibi sanayi casusluğu virüsleriyle saldırı tehdidinin
de beşinci madde deki ortak tehdit tanımına ekleneceğini
açıkladı. Bu da nasıl mantıksız bir saçmalık, ‘28 NATO üyesi
ülke liderleri’ Kasım 2010 da Lizbon da toplanacak NATO
zirvesinde bunu onaylamaz demeyiniz. Başta Türkiye adına
Recep Tayyip Erdoğan olmak üzere tüm NATO üyesi
ülkelerin liderleri bu teklife onay vermek için imzalamakta
birbirleriyle yarışacaklardır. Neden mi?

NATO Genel Sekreteri olan Türkiye’ de ünlü Rasmussen,

NATO’ nun kuruluş amacının dünya da genel olarak barışı ve
istikrarı korumak olduğunu, bundan böyle STUX net gibi
sanayi tesislerini çalışamaz hale getiren ve internet üzerinden
gerçekleştirilen cyber- virüs saldırıların da, aynen silahlı
saldırı da olduğu gibi NATO’ ya üye ülkelerden birine
yapılması halinde tümüne yapılmış sayılacağını ve NATO nun
ortak savunma sisteminin ve tüm üye ülkelerdeki elektronik
alt yapısının da ‘ esnek mukabele stratejisi’ çerçevesinde
seferber edileceğini Alman ‘Süddeutsche Zeitung’ gazetesine
açıkladı. Bu konudaki ortak tehdit değerlendirmesi ve karşı
saldırıya geçme kararının da NATO sözleşmesinin beşinci
maddesinde sayılan tehdit tanımlarına, Kasım 2010 da Lizbon
da yapılacak zirvede imzalanarak ekleneceğini de vurguladı.
Son olarak İran’ın nükleer programı ve Uranyum
zenginleştirme programı kapsamındaki nükleer santrali
Bushehr’ e yapılan STUXnet virüs saldırısı üzerine, İran’ ın
daha sonra bunun Batı’nın bir propagandası olduğunu
açıklamasına rağmen, durum uluslar arası ciddiyetini
korumaktadır. NATO son olarak 11 Eylül 2001 saldırılarından
sonra New York’ da ikiz kulelere yapılan saldırılara karşı
ortak hareket etmiş ve Irak’ a ortak askeri harekat yapmak
kararı almıştı. Herhangi bir NATO üyesi ülkeye silahlı saldırı
ile Bilgisayar sistemlerine yapılacak STUXnet gibi cyber-
saldırıların aynı kapsamda ve silahlı saldırılara eşdeğer tehdit
olarak değerlendirilmesi kararı konunun hassasiyetini
artırmaktadır. Bu karar daha önce ABD’nin Artist Başkanı
Reagan ın YILDIZ SAVAŞ ları projesinin yerini CYBER
SAVAŞ’ larının alacağının ve ulusal güvenlik strateji ve
politikalarında yeni bir devrin başladığının habercisidir. Daha
önce açıkladığımız gibi, özellikle enerji-elektrik petrol doğal
gaz üretim süreçlerinde ve şalt tesislerinde, bir de sürekli
sanayi üretim süreçleri olarak bilinen petrokimya tesislerinde
kullanılan SIEMENS in ürettiği SCADA ve SIMATIC gibi
süreç denetimi yazılımlarına bulaştırılan STUXnet virüsü bu
yazılımların işletim sistemlerini çalışamaz hale getirdikten
sonra kendisini yok etmektedir. Ancak İran nükleer
santralinde kullanılan sürümü kendi kendisini yo edememiş
olmalı ki İran bunu önce duyurdu, sonra gerek psikolojik harp
nedenleri gerekse aynı virüsü kendisi karşı saldırı virüsü
olarak kullanmak istediğinden olsa gerek, konunun üstünü
kapatmak istedi.

NATO zirvesinde, ortak tehdit değerlendirmesine dahi

gireceğine göre STUXnet saldırısının çok önemli olduğu
anlaşılmaktadır. Silahlı saldırı yerine genli ve virüslü saldırı
hem daha ekonomik, hem de terör gibi ‘kim vurdu’ ya
götürmesi bakımından daha da korkutucu olmaktadır. Tehdit
kaynağının bilinmemesi halinde ise isteyen istediğini
düşmanlıkla, cyber-terörle suçlayıp saldırabilecektir. Artık 11
Eylül gibi tehdit gerekçesi olarak kullanılacak kanlı saldırılar
yerine, yumuşak ve ucuz yazılım saldırıları yapılacaktır.

STUXnet virüsü ile İran a yapılan saldırı, yazılım virüsü ile

yapılan ilk nükleer santral ve uranyum zenginleştirme sürecine
sabotaj saldırısıdır. Stuxnet in yeni sürümleri üzerinde
çalışıldığı da açıktır. Ancak Internet üzerinden gönderilen her
dost veya düşman veri paketi, Internet protokolü gereği
başlığında kaynak ve yönünü belirtecek bilgileri taşımak
zorundadır. Aksi halde router’ lar ve şebeke kartları tarafından
hedefe yöneltilemezler. Şaşırtıcı sahte ve gölge hedefler
kullanan ve yaygın olmayan yeni haberleşme protokollerini ve
router cihazlarını, yeni adreslendirme şifreleme ve endeksleme
tekniklerini, partitioning, encryption teknolojileri ile birlikte
üretebilen yazılımcı ülkeler, artık ürettikleri virüs yazılımlarını
kullanarak, tamamen yazılım ve program kontrollü çalışan
enerji finans ve bankacılık tesislerini uzaktan sanal ortamda
karşılıklı olarak vurabileceklerdir. Uzay da yapılması hayal
edilen yıldız savaşları, artık dünyamız sanal âleminde cyber-
terör savaşları olarak yerini alacaklardır.

Burada MX Tools, Zynamics oder ArcaBit, Symantec,

Kaspersky… gibi virüs koruma programları üreten dünyaca
ünlü firmaların üye olduğu ‘Virus Bulletin’ tarafından
Kanada’ nın Vancouver şehrinde düzenlenen uluslar arası
konferansta, STUXnet virüsünün ancak gizli istihbarat ve
casusluk teşkilatlarının bilebileceği bileşenlerinin olduğu
açıklandı. STUXnet kesinlikle bir sabotaj silahıdır ve ilk kez
sanayi tesislerinin işletimini sağlayan SIEMENS ürünü
SCADA ve SIMATIC türü yazılımların, PLC-
programlanabilir mantıksal kontrol sistemlerinin alt yapısını
felç eden bir yazılım üretilmiştir. Virüs temizleyen koruma
yazılımları üreten Symantec firmasında çalışan virüs güvenlik
uzmanı Liam O'Murchu aylardan beri STUXnet virüsüne
karşı koruyucu yazılım geliştirmeye çalışmaktadır.
Vancouver’deki ‘Virus Bulletin’ konferansında konuşan
Yazılım güvenliği uzmanı Liam O'Murchu, STUXnet
virüsünü kimin ürettiği hakkında da bilgiler vereceğini bir gün
önceden açıklayınca, daha önce bu konferansa hiç katılmayan
Pentagon- Amerikan Savunma Bakanlığı temsilcileri ile CIA,
MOSSAD ve Lockheed Martin gibi modern savaş teknolojisi
üreten firmaların temsilcileri de aniden konferansa katılmış ve
ücretini de girişte, nereden geldikleri bilinmesin diye nakit
olarak hemen oracıkta ödemişlerdir. Hâlbuki normal insanlar,
hele Kuzey Amerika da bu kadar yüksek nakit meblağları
kesinlikle yanlarında taşımazlar.

STUXnet virüs programını geliştirmek için, süreç denetim

bilgisayarlarını, program kontrollü kendi kendini yöneten
dağınık sistemlerin komut ve mimarisini(stored program
controlled distributed systems architecture), iç içe yataklanmış
sistemleri(embedded sysytems), IP ve UDP, TCP gibi internet
haberleşme paket protokollerini ve mikroişlemcileri
programlamayı, geriye doğru süreç denetimi
mühendisliğini(reverse Engineering) bilmek yetmez.
Laboratuarda deneyler yapmalısınız. STUXnet casus virüs
programının nerede konuşlandırıp PLC’ lere (Programmable
Logic Controller) nasıl ve nereden saldırtılacağı da çok
önemlidir. Windows dan mı yoksa süreç denetim
bilgisayarının CPU larından mı? Kısaca özetlemek gerekirse
STUXnet casus virüs programını geliştirebilmek için
milyonlarca dolarlık yatırım gerekmektedir. Bu da ancak
devlet desteği ile istihbarat teşkilatlarınca veya askeri maksatlı
bir proje olarak finanse edildiğini düşündürmektedir.

STUXnet, bellek kayıtlarına casus olarak girdiği

bilgisayarlara, 19791905 tarihini atmaktadır ki, bu tarihte
İranlı bir Yahudi nin İsrail de idam edildiği tarihtir.
Symantec ve Kaspersky gibi virüse karşı ünlü koruma
programlarını üreten firmalardan temsilcilerin Kanada da
verdikleri bilgilere göre, STUXnet casus virüs programı
özellikle SIEMENS firmasınca üretilen SCADA ve SIMATIC
süreç denetim bilgisayar sistemlerinin S7-300 ve S7-400
olarak adlandırılan PLC ve CPU larına nüfuz etmek üzere
tasarlanmışlardır. Burada STUXnet casus Virüs paketini
üretenlerin, ya Microsoft ve SIEMENS firmalarıyla
Microprocessor Chip leri üreticilerinin ortak çalıştıklarını, ya
da çok iyi donatılmış bir elektronik yazılım ve micro-chip
Laboratuarın da ‘Reverse Engineering’ yapıldığını
düşünebiliriz. Her iki seçenek için de milyonlarca dolarlık
finansman kaynağı gerekmektedir.

Burada Vancouver’ de ‘Virus Bulletin’ konferansında yapılan

bir balon patlatma deneyinden de kısaca bahsedelim.
STUXnet virüs programı ile siyah bir kutu olarak modellenen
İRAN nükleer Programının süreç denetim bilgisayarları
temsili örneğine bağlı bir balon, temsili PLC’ lere Symantec
firmasının Yazılım Güvenliği Uzmanı Liam O'Murchu
tarafından STUXnet ile girilerek, uzaktan komut verilip önce
şişirilmiş, sonra da süre uzatılarak balon uzaktan patlatılmıştır.
Buradan çıkarılacak sonuç, artık heronlara bile gerek
kalmadan, STUXnet gibi depolanabilir virüs yazılımlarının
değişik sürümleri ile santrifüjle çalışan ve zamana ve
güvenilir sürekli sabit enerji teminine bağlı Uranyum
zenginleştirme programları askeri harekata gerek kalmadan
geçici olarak engellenebilecek, ya da istenildiği kadar
geciktirilebilecektir, ama kesin olarak önlenemeyecektir.
Daha gelişmiş karşı Casus virüslerinin sürümlerini üretenler
de, örneğin Batı’ daki nükleer santrallere ve Uranyum
zenginleştirme tesislerine benzer saldırıları
gerçekleştirebileceklerdir. Dünyamız da cyber savaş ve cyber
terör dönemi başladığından, artık savunma sanayi stratejisi ve
askeri harcamaların yerini Yazılım mühendisliği, Yazılım
Güvenliği, Sanal İstihbarat ve Dinleme İzleme Portalları,
Virüs sürümleri kodlama şifreleme teknikleri alacaktır. Paralı
askerliğe de artık kimse karşı duramayacaktır.