NSA, TEMPEST, COMSEC ve İsrail'li Profesör

İngilizcesi "air-gap" olarak bilinen ve özünde korumaya çalıştığımız ağ veya sistem ile internet arasında bir "hava boşluğu" oluşturmak üzerine kurulu olan yaklaşımın son zamanlarda çeşitli şekillerde atlatılabildiği ortaya çıkmaktadır. Son olarak İsrail'de Ben-Gurion Üniversitesi Profesörlerinden Yuval Elovici bu konuda yeni bir yöntem ortaya koydu. 

Hava boşluğu yaklaşımı günümüzde aşağıdaki gibi önemli ağ ve sistemleri korumak için kullanılmaktadır:

  • Askeri/Hükümet sistemlerin güvenliği
  • Finansal/Bankacılık sistemlerin güvenliği
  • SCADA sistemleri gibi altyapı kontrolü için kullanılan sistemlerin güvenliği
  • Nükleer tesis bilgisayar sistemleri
  • Uçuş ve uçuş kontrol sistemleri
  • Bilgisayar destekli tıbbi cihazların güvenliği


Özel geliştirilmiş zararlı yazılımların megastar'ı olan Stuxnet'in hava boşluğunu USB bellek gibi taşınabilir depolama aygıtları sayesinde aştığını biliyoruz. Bu sefer ortaya konulan araştırma sonuçları ise hava boşuluğu ile sağlanan güvenliğin sistemlerin yaydığı elektromanyetik dalgalar kullanılarak atlatılabildiğini göstermektedir. 


Şekil 1: Stuxnet (temsili)

NSA'in COMSEC (Communication Security - iletişim güvenliği) altında ve "TEMPEST" kod adıyla bilinen bir program kapsamında sistemlerin yaydığı elektro-manyetik sinyallerin yakalanarak işlenmesi ve düşmanın da kendi elektro-manyetik sinyallerini yakalamasını engellemek üzerine çalıştığını biliyoruz. 

Geçtiğimiz se
nenin sonlarında Almanya'da bir araştırma biriminin iki adet Lenovo T400 laptop arasında, sadece fabrika çıkışı mikrofon ve hoparlörleri kullanarak veri alışverişi yapabilmiş olması IP dışında yöntemlerin veri sızdırılması için kullanılmasını gündeme getirmişti. Bağlantı hızı saniyede 20 bit ve uzaklık 19 metre idi ama pek çok kişinin aklında soru işaretleri oluşturmaya yetecek kadar önemli bir gelişmeydi. Bu gelişme üzerine TEMPEST'in önemi bir kez daha anlaşılmıştı. 

TEMPEST standartlarının gizli olarak sınıflandırılmış olması sebebiyle bu konuda çok detaylı bilgiye sahip değiliz, ancak NATO'nun kendi TEMPEST standartları 3 temel koruma düzeyi belirlemektedir. Bunlar; NATO SDIP-27 seviye A, B ve C (NATO SDIP-27 Level A, B and C) olarak bilinmektedir. C seviyesi düşmanın korunmassı gereken sisteme 100 metreden fazla yaklaşamadığı senaryolara göre hazırlanmıştır ve A ve B seviyelerine göre biraz daha rahattır. B seviyesi ise düşman ile en az 20 metre mesafe olan durumlara göre düzenlenmiştir. NATO SDIP-27 seviye A ise düşmanın korunması gereken sistemlere 1 metre kadar yaklaşabileceği durumlara göre hazırlanmıştır. 

Geçtiğimiz hafta ise Profesör Elovici hava boşluğu ile korunan sistemler için cep telefonlarının bir tehdit oluşturduğunu ortaya koydu. 

Oltalama (phishing) saldırısı ile akıllı telefona bulaştırılan bir zararlı yazılım bulaştığı telefonun bulunduğu ortamlarda havadaki elektro-manyetik sinyalleri taramaya başlıyor. 
Zararlı yazılım havada tespit ettiği sinyallere müdahale ederek hedef sisteme bir zararlı yazılım yüklenmesini sağlıyor. Yüklediği zararlı yazılım ile telefon arasında radyo sinyalleri kullanan bir ağ oluşturan zararlı hedef sistemden elde ettiği bilgileri cep telefonunun bağlantılarını kullanarak dışarıya aktarmakta ve aynı şekilde talimatları telefon üzerinden almaktadır. Bu saldırının teknik detaylarına tümüyle hakim olmamamıza karşılık hedef sistemin ekran kartının ve monitörünün kullanıldığını biliyoruz. 


Şekil 2: Prof. Elovici ve Ben-Gurion ÜniversitesiAraştırmacıları saldırı hakkında İsrail Cumhurbaşkanı Şimon Peres'e saldırı hakkında bilgi veriyor. (photo credit: BGU)

Profesör Elovici bu saldırılara karşı şu anda tek etkin yöntemin telefonları kapatmak olduğunu belirtiyor ancak günümüzde bunun ne kadar uygulanabilir bir çözüm olduğu tartışılır. 


Ülkemizde de Aselsan tarafından üretilen SAHAB (2180 Sanal Hava Boşluğu Sistemi) benzeri sistemler aklınıza gelebilir ancak buradaki saldırının kurumsal ağa bağlı olmayan (telefon) bir sistem ve IP protokolleri kullanılmadan (elektro-manyetik sinyaller) yapıldığı için bu çözümler yetersiz kalmaktadır. 


Kurum içerisinde cep telefonu kullanımının sınırlandırılması ve hava boşluğu ile korunan sistemlerin duvarlara, pencerelere ve internete bağlı diğer sistemlere olan uzaklığının denetlenmesi bu tür saldırıların engellenmesi için geçerli önlemlerin başında gelmektedir. 

Comments