Ülkemizde ve dünyada gelişim ivmesi gittikçe artan telekom sektöründe,özellikle IP Telefon ve VoIP teknolojileri hızla yaygınlaşıyor. Artık telekom sistemleri, bilgi güvenliği saldırılarında hedef veya araç olarak da kullanılıyor. Dolayısıyla bu durum, bilgi güvenliği saldırılarının da artmasına neden oldu.

Telekom teknolojilerine yönelik hacking ve güvenlik konularının yanında, özelikle ticari elekom sistemlerinde fraud (hilecilik) ve forensics (adli bilişim) incelemeleri ayrı uzmanlık alanlarının gelişmesini sağladı.

Son birkaç yıldır ülkemizde güvenlik konuları hakkında düzenlenmiş etkinliklerin birçoğuna hem Netaş adına hem de bireysel dinleyici olarak katıldım. Ancak önemi gitgide artan telekom güvenliği konularının henüz yeterince ele alınmadığınu ve pazarın bu konuda farkındalık düzeyinin düşük olduğunu fark ettim.

Şirket içi telekom sistemlerin korunması, şirket içinden veya dışından telekom sistemlerine yapılan saldırı ve müdahaleler, servis sağlayıcılar ve operatörler için VoIP trafik taşımacılığına yönelik sahtecilik gibi ve genel bütünü kapsayan telekom “forensic” konuları için profesyonel hizmetler ülkemizde henüz verilmiyor. 

VoIP güvenliği; data güvenliği ve geleneksel telekom sistemlerinden gelen zafiyetlerin yanında, VoIP’e özgü zafiyetler ile birlikte çok daha kompleks bir güvenlik mimarisine ihtiyaç duyuyor. Dolayısıyladata güvenliğini sağlayan mevcut cihazlar ile VoIP güvenliği sağlamak mümkün değil.

Bilgi teknolojileri ve telekom sistemleri çalışanları henüz bu konular hakkında yeterli bilgiye sahip değiller. Şimdiye kadar tanışmış olduğum kurumsal şirketlerin hepsinde, içinde network işleri ile ilgilenen bir takım bulunan IT departmanı ve bu gruplardan ayrı olarak çalışan telekomcular var. IT çalışanları telekom teknolojileri, telekomcular da IP networking hakkında yeterli bilgi sahibi değiller. Sorun şu ki, bu iki takım birbiriyle ortak çalışıp VoIP güvenliği için politika ve prosedürleri belirlemek üzere bir çalışma yapmıyorlar ya da hali hazırdaki network güvenlik planlamasına doğru bir şekilde VoIP’i dahil edemiyor.

Bu noktada bu iki gruptaki çalışanların “VoIP Güvenliği” eğitim programları ile eğitilmesine ihtiyaç duyulacaktır. Buna paralel olarak VoIP politika ve prosedürlerinin belirlenmesi, uyumluluk (regülasyon),denetim gereksinimleri ile network penetrasyon testlerine dahil edilmesi için kullanılabilecek framework tasarımlarına ihtiyaç . Vardır.

Bu ihtiyaçlar doğrultusunda,  Netaş ArGe’de, VoIP güvenlik konuları ve bahsi geçen gereksiminler için “otomotize exploit” geliştirme ve “testing framework” tasarımları için çalışmalar yapıyoruz.

İlk adım olarak, 22 Aralık 2011 tarihinde, Ankara’da ODTÜ Kongre ve Kültür Merkezi’nde düzenlenmiş olan, Siber Güvenlik Konferansı’nda, “VoIP Hacking ve VoIP Güvenliği” başlıklı bir sunum yaptım. Bu vesileyle de pazardaki düşük olan farkındalığı artırmak ve yeni nesil telekom teknolojilerindeki güvenlik konularına dikkati çekmek istedim.

Yaklaşık bir saat kadar süren sunumumu iki bölüm halinde yaptım. İlk kısımda,içerik açısından geniş kapsamda VoIP güvenliği farkındalığı oluşturacak şekilde teorik ve karşılaştırmalı bilgileri paylaştım.

Bu kısımda aslında daha sonra her birini ayrı makale çalışması olarak ele almayı düşündüğüm aşağıdaki başlıkları ele aldım.

  • VoIP Güvenlik Saldırı Kategorileri ve Saldırıların Olası Etkileri,
  • VoIP Güvenliğinin Data Güvenliği ve Geleneksel Telekom Sistemlerinden Farklı Olmasının Nedenleri,
  • VoIP Güvenliği Hakkında Yanlış Bilinenler (VoIP Güvenliği Efsaneleri)
  • VoIP Güvenliğinin IT Audit’lerdeki Yeri ve Önemi
  • Yeni Nesil VoIP Güvenlik Cihazları ve Kurumsal Network’te Planlaması
  • Yaşanmış Fraud ve Outage Örnekleri

İkinci kısımda ise meslektaşım Eren Akça, SIP tabanlı saldırılara yönelik teknik bilgiler verdi, saldırı tiplerinden ve saldırı amaçlı kullanılan araçlardan örnekler verdi. İkinci kısmının ana başlıkları ise;

  • En Bilinen VoIP Zafiyetleri
  • Saldırı Örnekleri
  • Bir Saldırının Anatomisi
  • VoIP Güvenlik Araçları

Sunuma ait dosyaya aşağıdaki adresten ulaşabilirsiniz.

http://www.siberguvenlik.org/2011/Voip_Hacking.pdf

 

Siber Güvenlik Konferansı Hakkında:

BGA (Bilgi Güvenliği Akademisi) ve ODTÜ (Orta Doğu Teknik Üniversitesi) işbirliği ile düzenlenen konferans, 2011 yılında dünyaya damgasını vuran ve siber tehditlere karşı önemini daha çok hissettiren siber güvenlik, siber casusluk yetiştirme programları, siber savaş konularını konsept olarak edinmiştir. Nitekim bu alanlara yönelik olarak ülkelerin bütçelerinden ayırdıkları hatırı sayılır rakamlara ulaşmıştır ve siber güvenlik kavramını bireysel, kurumsal ve ülke güvenliği açısından kritik öneme kavuşturmuştur. Konferans bu eksendeki soru ve sorunlara çözüm ve çözüm önerileri sunmayı hedeflemiş ve ana tema olarak “Yeni Dünya Düzeninde Siber Güvenliğin Önemi” olarak belirlenmiştir.

Konferansta, Netaş ile birlikte, TÜBİTAK, Microsoft, Kaspersky ve Türk Telekom’un yanı sıra siber güvenlik alanında çeşitli güvenlik çözümleri sunan bazı firmaların temsilcileri de sunumlar gerçekleştirdi.

Siber Güvenlik Uzmanı BGA ekibinden Huzeyfe Önal ile birlikte konferansta diğer ilgi çeken konuşmacı, Pentagon bünyesindeki Siber Suç Merkezi (The Department of Defense Cyber Crime Center) tarafından düzenlenen Dijital Adli Bilişim Yarışması’nda (Digital Forensics Challenge) birinci olan Can Yıldızlı idi.

Huzeyfe Önal, “Güncel Örnekler Işığında Siber Tehdit Analizi” başlıklı sunumu ile son iki yılda siber güvenlik açısından karşılaşılan olayların ve tehditlerin incelemesini yaparak vurgulamak istediği konuyu aşağıdaki 3 madde ile özetledi.

  • Hacklenen tüm büyük firmalar dünyanın en pahalı güvenlik ürünlerini kullanıyorlar.
  • Ürünler sizi güvenlik risklerine karşı korumaz. Sihirbaz olmadıklarını anladığımızda koruma sureci başlayacaktır.
  • Ürüne yapılan yatırımın en az 1/10’u onu yönetecek güvenlik yöneticisine yapılmalıdır.

Can Yıldızlı ise “Siber Dünyada Yeraltı Ekonomisi (Underground Economy)” başlıklı sunumu ile “black market”te ve underground pazarda neler  olduğu ve hangi servislerin ne kadara alınıp satıldığı hakkında bilgiler paylaştı.

Konferans sırasında TRT canlı yayında röportajlar yaptı.

Konferans hakkında daha detaylı bilgiye aşağıdaki adresten ulaşılabilir.

http://www.siberguvenlik.org