ULAKNET B LG SAYAR OLAYLARINA MDAHALE B R M ULAK-CSIRT DENEY M

Murat SOYSAL Tbitak-Ulakbim msoysal@ulakbim.gov.tr Gkhan ERYOL

Orta Dou Teknik niversitesi

Ar.Gr. Enis KARAARSLAN Ege niversitesi enis.karaarslan@ege.edu.tr r.Gr. Hseyin YCE Marmara niversitesi huseyin@marmara.edu.tr 1.G R Altyapsn Ocak 1997de hizmete aan Ulusal Akademik A (UlakNet) niversiteler ve aratrma kurumlarn birbirine balamaktadr. TB TAKn [1] bir enstits olan ULAKBIM [2] tarafndan iletilen bu a halen 75 niversite, bu niversitelere ait faklte, meslek yksek okullar, TB TAK birimleri, Askeri Okullar ve Harp Akademisi, Polis Akademileri, Sleymaniye Ktphanesi, Trk Tarih Kurumu, Milli Ktphane, YK, SYM, Trkiye Atom Enerjisi Kurumu ve Trk Silahl Kuvvetleri Ar-Ge birimlerinden oluan pek ok kurulua hizmet salamaktadr. u an ada yaklak olarak iki milyon kullanc ve iki yz bin bilgisayar bulunmaktadr. Ankara, stanbul ve zmirde yerlemi PoP noktalar ile hizmet veren an global internete 2 Gbps ve Avrupa Akademik A GEANTa 622 Mbpslk eriim kapasiteleri mevcuttur. Bilgi teknolojilerindeki hzl geliime atak uydurmak konusunda, zellikle teknik eleman bulunmas asndan zorluk ekilen lkemizde Bilgi Gvenlii alannda da ciddi skntlar yaanmaktadr. Ulusal Akademik A, kullanc says, adaki bilgisayar says, balant hzlarndaki art ve bilgisayar uygulamalarnn eitlenmesi ile birlikte, bilgisayar gvenlik olaylarnn saysnda da hzl bir ykseli gzlenmektedir. UlakNet bnyesinde bilgi gvenlii konusundaki bilincin artrlmas, yaanan bilgisayar gvenlik olaylar saysnn azaltlmas ve an kurulduu tarihten beri srdrlen almalarn daha koordineli bir hale getirilmesi iin UlakNet Bilgisayar Olaylarna Mdahale Birimin kurulmasna karar verilmitir. Dnyadaki benzerleri ile paralel bir organizasyona sahip bu birim, Ulak-CSIRT (http://csirt.ulakbim.gov.tr) olarak adlandrlm ve ubat 2006da faaliyetlerine balamtr. CERT (Computer Emergency Response Teams) ya da CSIRT (Computer Security Incident Response Teams) bilgisayar gvenlik olaylarna mdahale amacyla kurulan ekiplere verilen genel isimlerdir. Kasm

eryol@metu.edu.tr ZET lkemizde internet kullanmnn hzla yaygnlamas ile e-devlet ve elektronik bankaclk gibi uygulamalarn saysndaki art, ulusal ve kiisel bilgi kaynaklarnn gvenliinin salanmasn ok daha nemli hale getirmitir. Siber saldrlar ve siber terrizm olaylarndaki art da zellikle ulusal bilgi kaynaklarnn gvenliini tehdit eder durumdadr. Bu artlar bilgisayar olaylarna mdahale ekiplerinin lke iinde hzla kurulmasn ve iler hale getirilmesini zorunlu klmaktadr. Bu ihtiyatan hareketle, Ulusal Akademik A (UlakNet) bnyesinde gvenlik konularnda alacak UlakNet Bilgisayar Olaylarna Mdahale Birimi, Ulak-CSIRT kurulmutur. Bu makalede, UlakCSIRTn kurulum ve iletim aamalarnda elde edilen tecrbeler aktarlacak ve benzer ekipleri kurmay planlayan kurumlara rehber olunmaya allacaktr. ABSTRACT The security of the national and personal information resources became more important in our country with the expansion in the use of the internet and the increase in the number of applications such as e-government and electronic banking applications,. Moreover, the increase in the number of cyber attacks and cyber terrorism have been threatening especially the security of the national information resources. These circumstances oblige the urgent establishment of the Computer Security Incident Response Teams. Urged by necessity, Ulak-CSIRT, the UlakNet Computer Security Incident Response Team, has been established in the constitution of the National Academic Network (UlakNet). In this paper, the experiences gained during the establishment and operation of the Ulak-CSIRT will be explained. These experiences would be useful for the institutions which are planning to establish such teams.

Anahtar Kelimeler: A ynetimi, kampus alar,

CERT, CSIRT, bilgisayar olaylar, gvenlik, yama, duyuru, UlakNet, Ulak-CSIRT

1988de Morris adl solucann Internet sistemlerinin %10unu ilemez hale getirmesi sonucu, bu tip byk lekli olaylarn tekrar yaanmasn engellemek amacyla Carnegie Mellon niversitesinde bir koordinasyon merkezi kurmutur. CERT/CC [3] adyla anlan bu merkezin asl amac, ilk zamanlarda gvenlik uzmanlarn bir araya getirmekti. Internet ve dolaysyla gvenlik ihlallerindeki hzl art sebebiyle yllar iinde ak ve olay analizi, i devam planlamas, eitim ve anlk a karakteristii belirlenmesi gibi alanlarda da allmaya balamtr. lerleyen zamanlarda benzer amalarla eitli ekipler kurulmutur. Bu ekipler ounlukla ilgilendikleri an adyla CERT ksaltmasn birletiren isimler edinmilerdir. Carnegie Mellon niversitesi CERT ksaltmasnn patentini aldndan, bu ilem iin izin alnmas gerekmektedir.. Kavram kargaas yaatmamak amacyla makalenin devamnda, bilgisayar gvenlik olaylarna mdahale birimlerine, CERT ile ayn anlamda kullanlan CSIRT (Computer Security Incident Response Teams) ksaltmasyla hitap edilecektir. Makalenin ilerleyen blmlerinin organizasyonu u ekildedir: kinci blmde Ulak-CSIRTn kurulum aamasnda izlenen yolun detaylar ile ubat 2006dan bu yana alnan yol ve karlalan zorluklar anlatlacaktr. Hem Ulak-CSIRT, hem de lkemizde bu tip oluumlarda bulunan ya da bulunmas gereken kurumlar iin gelecekte izlenebilecek yol hakknda nc blmde bir yol haritas izilecektir. 2.ULAK-CSIRT: KURULUM ve GEL M SREC Gvenlik uygulamalarn ve a ynetim merkezine bildirilen bilgisayar gvenlik olay takiplerini daha organize hale getirmek amacyla UlakNet bnyesinde Ulak-CSIRT adnda bir gvenlik grubu almalarna balamtr. Bu sre iki ana balkta incelenecektir: Kurulum Sreci Geliim Sreci 2.1 Kurulum Sreci Ulak-CSIRT kurulumuna karar verildiinde, CSIRT benzeri yaplanmalarn stlenebilecei sorumluluklar (TABLO I)[4] arasndan nceliklerin belirlenmesi yoluna gidilmitir.

-Olay mdahale -Uyar -Aklarla mcadele -Duyurular -IDS -Bilgi kaynakl -Risk Analizi -Koordinasyon - devam planlamas

-Gvenlik Danmanl -Bilinlendirme -Eitim-altay -rn Deerlendirme -Szma Testi -Teknoloji zleme -Gvenlik uygulamalar konfigrasyonu ve altrlmas

TABLO I. CSIRT Faaliyet Alanlar Tablo Ide listelenen sorumluluklara bakldnda, ok geni bir yelpazede yer aldklar ve her birinin ciddi seviyede uzmanlk gerektirdii grlmektedir. Bir gvenlik ekibi kurulurken ilk atlmas gereken adm, faaliyet alanlarnn iyi belirlenmesi ve kaln izgilerle ifade edilmesidir. Faaliyetlerin belirlenmesinde belirleyici faktrler olarak aadakiler sralanabilir: Ekibin hizmet edecei an temel ihtiyalar, An bykl, Ekibe dahil edilebilecek mevcut personelin beceri alanlar, Ekibin stlenecei idari yetkiler, Ekibe salanabilecek maddi kaynak . Ulak-CSIRTn kurulum aamasnda da listelenen faktrler incelenmi, gerek daha nce yaanm gvenlik olaylarnn getirdii tecrbeler, gerekse ulardaki a yneticileri ile yaplan toplantlar sonucunda yaanlan gvenlik sorunlarnn kayna olarak aadaki nedenler belirlenmitir: Ulardaki kstl eleman says, Yabanc dil yetersizlii Gvenlik konusunda bilgi eksiklii. Ulak-CSIRTn ilk aamadaki sorumluluklar aadaki ekilde tanmlanmtr: A genelinde bilgi gvenlii bilincini artrmak, Akademik aa yaplan bilgisayar gvenliini tehdit edici saldr saysn azaltmak, Gvenlik ihlali sorumlularn tespit etme aamasnn koordinasyonunu salamak, Gncel aklar ve zmleri hakknda aa bal ularn yneticilerini bilgilendirmek, Bal u yneticilerine bilgi gvenlii hakknda eitim vermek, Bilgi gvenliini salamak iin kullanlacak yntemler hakknda Trke belgeleri salamak. Birim yelerinin belirlenmesi aamasnda ise, datk sorumluluk paylam benimsenmitir. A bnyesindeki ularda grevli, bilgi gvenlii konusunda yeterli bilgi

ve tecrbeye sahip, bu konuda akademik almalarn da yrten ve byle bir organizasyonda gnll olarak grev almak isteyen ye belirlenmitir. niversite rektrlkleri ile yaplan yazmalar sonucunda, bu kiilerin Ulak-CSIRT iinde grevlendirilmeleri salanmtr. Bu yeler Enis Karaarslan (Ege niversitesi), Gkhan Eryol (Orta Dou Teknik niversitesi) ve Hseyin Yce (Marmara niversitesi) dir. ULAKB Mden Murat Soysaln da katlmyla kurulan birimin ve ULAKB M Mdrlnn sorumluluk alanlar zerinde yapt toplantlar sonucunda ksa vadeli eylem plan u ekilde oluturulmutur: Olay bildirim formunun iletimi, Gvenlik olaylarna mdahale, Gvenlik duyurular , Gvenlik konusunda Trke belgeleme, Eitim-altay dzenlenmesi, Hukuki konularda takip ve bilgilendirmedir. 2.1.1. Olay bildirim formunun iletimi Gerek UlakNete d alardan yaplan, gerekse UlakNetten d alara yaplan saldrlarn ve sorumlularn tespit edilebilmesi amacyla Ulak-CSIRT olay bildirim formu iletim almas yrtlmektedir. zellikle UlakNetten d alara yaplan gvenlik ihlallerine mdahale sreci aadaki gibi olacaktr: Kabul edilebilir bir gnlk (log) ve olay bildirim formu (trouble ticket) ile ilgili ucun sorumlusuna durumun aktarlmas, Saldry/gvenlik ihlalini yapan sorumlunun tespiti, Saldr ve ikayet devam ediyorsa hzla durdurulmas iin u sorumlusu ve ikayet sahibi arasndaki ibirliinin koordine edilmesidir. 2.1.2. Gvenlik olaylarna mdahale Dzenli aralklarla yaplacak a trafii incelemeleri ile bir gvenlik ihlalini artran a trafiinin tespit edilmesi ve Ulak-CSIRT yeleri tarafndan doldurulacak formlarla ilgili ularn haberdar edilmesidir. 2.1.3. Gvenlik duyurular CERT/CC gibi genel geerlilii olan ekiplerin yaynlad, gncel aklar ve tehditler hakkndaki duyuru/uyarlarn u sorumlularna ulamasn salama ve gncel tehditlere dikkat ekmeyi iermektedir. 2.1.4. Trke belgeleme ve eitim-altay dzenlenmesi Yaplan incelemelerde belirlenen en temel sorun, bilgi ve bilgiye giden yoldaki aksaklklardr. Trke belgeleme almalarnn ve eitim-altay dzenlenmesinin tevik ve koordine edilmesi de eylem planlar arasnda yer almtr. Bylesine byk bir an

belge ve eitim ihtiyacn Ulak-CSIRTn karlamas leklendirilebilir olmayacandan, eylem plan bu konuda ibirliini de iermektedir. 2.1.5. Hukuki konularda takip ve bilgilendirme Bu ekibin, nlemeye ve sorumlu tespiti yapmaya alt olaylarn hukuki ihlaller ile rtmesi ok muhtemeldir. Bu nedenle, hukuki sorumluluklarn belirlenmesi, bunlarn a bileenleri ile paylalmas ve lke genelinde bu alanda yaplan almalara teknik tecrbelerin paylam vastasyla destek verilmesi de bir eylem maddesi olarak belirlenmitir. 2.2 Geliim Sreci UlakNet ularndaki teknik sorumlular, eitim ve belgeleme konularnda hem hedef kitledir, hem de bu materyallerin salaycln da stlenebilmektedir. Ayn zamanda, ynettikleri alarn gvenlik olaylarnn takip srelerini de yerine getirmektedir. Ulak-CSIRT ile u teknik sorumlularnn koordinasyon ve ibirlii ierisinde olmas gerektiinden, Ulak-CSIRTn hedeflerinin ve ileyiinin duyurulmas iin Akademik Biliim toplants seilmitir. 2006 yl ubat aynda Pamukkale niversitesinde dzenlenen Akademik Biliim 2006 toplantsnda Ulak-CSIRT hakknda tm niversitelere bilgi verilmi, eylem maddelerinin baarya ulamas iin ibirlii arsnda bulunulmutur. Toplant ncesinde eylem maddeleri zerinde hazrlklarna balam olan birim yeleri, toplant sonrasnda hzla organize olmu ve drt koldan almalarna balamtr. Eylem maddeleri zerinde gnmze kadar yaplan almalar u ekildedir: Olay Takip Sistemi Kurulumu Trke Belgeleme Gvenlik Duyurular Hukuki Durum Tespiti Eitim-altay 2.2.1. Olay Takip Sistemi Kurulumu Dnya apnda birok CSIRTde kullanlan olay takip sistemleri zerinde baz denemeler yaplmtr. UlakNet ularndaki teknik sorumlularn hzl deiimi ve baz ulardaki ilgi yetersizlii yznden fazlaca otomatize olmu mevcut takip sistemlerinin u an iin kullanm uygun deildir. Bu sebeple, olay takip sistemi olarak PHP programlama dili ve MySql veri taban kullanarak Ulak-CSIRT yelerinin gelitirdii bir ara kullanlmaya balanmtr. Bu ara sayesinde girilen her bir olay kayd, ilgili IPyi kullanmakta olan u sorumlularna ynlendirilmekte, sorumlulardan kayd yapan kiinin ve Ulak-CSIRT yelerinin inceleme sonularndan haberdar edilmesi istenmektedir. nceleme aamasnda u sorumlusu tarafndan karlalan her trl teknik

problemle ilgili Ulak-CSIRT yeleri destek vermeye almaktadrlar. Belirli bir sre zarfnda inceleme ile ilgili bilgilendirme yapmayan, olay kayd saysnda hzl artlar gzlenen sorumlularla iletiime geilmekte ve ibirlii iin tevik edilmektedirler. Yaklak 5 aydr devrede olan bu sistem sayesinde, her bir u iin gemite yaanan olaylar,, belirli ularda yaanan gvenlik zafiyetleri ve olay trleri (SPAM, virs, port taramas, DDoS, P2P v.s.) hakknda istatistiki deerlendirmelerin yaplmas mmkn olmutur. Ulak-CSIRT faaliyetleri hakkndaki farkndaln artmas ve belirli bir oranda u says ile tam ibirliinin salanmasndan sonra, daha kullanl olan olay takip sistemlerinin kullanlmas hedeflenmektedir. 2.2.2. Trke Belgeleme Trke belgeleme konusunda ilk adm, eldeki mevcut belgelerin taranmas olmutur. UlakNet teknik sorumlularnn gvenlik alannda ihtiya duyduu konular da gz nnde bulundurularak sistem gvenlii, kampus a gvenlii, zaafiyet tarama aralar, web gvenlii ve a trafii izleme aralar kurulumu hakknda Trke belgeler salanm ve organize bir ekilde Ulak-CSIRT sayfasnda (http://csirt.ulakbim.gov.tr/dokumanlar/) yaynlanmaya balanmtr. Bu eylem maddesinin en nemli noktalarndan biri, teknik sorumlular, kullandklar uygulamalar hakknda belge yazmaya tevik etmek ve dier sorumlular bu uygulamalardan haberdar etmektir. Gelinen noktada birka u yneticisinden destek alnsa da, genel olarak Trke belge salama almalar UlakCSIRT yeleri ve ULAKBIM personeli ile kstl kalmtr. Bu konudaki ibirliinin, belgeleri kullanan ok saydaki u sorumlusunun tevik edici yorumlar ve Ulak-CSIRTn dier almalar sonucu artan bilgi gvenlii bilinciyle daha ileriye gidecei umut edilmektedir. 2.2.3. Gvenlik Duyurular Gncel gvenlik duyurularnn u sorumlular ile paylalmasn salamak amacyla Ulak-CSIRT sayfasnda bir gvenlik haberleri blm kurulmutur. Bu blmde Olympos.org ve turk.internet.com sitelerinde yaynlanan Trke haber ve duyurular ile Virus.org ve SecurityFocus.org sitelerinde yaynlanan ngilizce uyarlar yer almaktadr. Ayrca ulusal dzeyde dzenlenen gvenlik ierikli toplant,sempozyum v.s. ile ilgili haberler de sitemizin bu blmnde bulunmaktadr. Gvenlik haberleri blm ile farkl e-posta listelerini ya da web sayfalarn izlemekte zorlanan u sorumlular iin daha derli toplu bir alan oluturularak gncel gvenlik olaylar hakknda bilgilendirilmeleri hedeflenmitir.

2.2.4. Hukuki Durum 2006 yl ubat ayndan bu yana en ok zerinde durulan eylem maddelerinden birisi de bilgi gvenlii konusundaki hukuki durumun belirlenmesidir. Bu amala mevcut yasalarn taranmasyla balayan alma sresince, konunun uzmanlaryla toplantlar yaplarak bilinlenme faaliyetleri yrtlmtr. letilen bir gvenlik ihlali sonras yaplacak sorumlu tespiti aamasnda, salayc konumundaki ULAKB Me, kiinin internete eriimi salayan u sorumlusuna hangi sorumluluklarn dt konusunda alma yaplmaktadr. Bu almann sonucu bir rapor halinde tm u sorumlular ile paylalacaktr. Ayrca yeni yaymlanan Biliim Hizmetlerinin Dzenlenmesi ve Biliim Sular Hakknda Kanun Tasarsnn, karlalan olaylarda edinilen tecrbeler vastasyla yorumlanmas ve ilgili komisyona iletilmesi hedeflenmektedir. Bu konudaki almalar da devam etmektedir. 2.2.5. Eitim Gvenlik konusundaki teknik bilgi seviyesinin artrlmas konusunda planlanan eitim ve altaylarn genel erevesinin izilmesi hedeflenmektedir. 3. SONU ve YOL HAR TASI World Wide Web ve CERT/CC gibi rneklerde olduu gibi, bilgi teknolojileri konusunda da nderlii akademik kurumlar yapmlardr. Ulak-CSIRTn kurulum aamasnda uzun vadeli olarak belirlenen bir hedef de ada oluacak gvenlik bilincini (kullanclarn byk ounluunun niversite rencilerinden olutuu dikkate alnmal), Trke belgeleme ve iyi yetimi teknik eleman altyapsn lke geneline yayarak ulusal ve kiisel anlamda bilgi gvenliini artrmaktr. Yaplan aratrmalarda, Trkiyede daha nce bu tip bir ekibin ilerlik kazanmam olmasn, e-devlet uygulamalarnn ve bilgisayar okur-yazarlnn hzla artt gnmzde ciddi bir sorun olarak grlmektedir.. Bu sebeple, gerek kurulum, gerekse iletim srecinde edinilen tecrbe ve karlan sorunlarn paylalmasnn faydal olaca dnlmektedir. CSIRT benzeri yaplarn kurulmasnda, faaliyet alanlarnn iyi tanmlanmasnn ok nemli olduu daha nceki blmlerde belirtilmiti. Ulak-CSIRT kurulum aamasnda iyi bir durum deerlendirilmesi yaplmas sebebiyle iletim srasnda bu konuda ciddi bir problemle karlalmamtr. Bir dier nemli nokta da, CSIRT oluumunun idari konumu ve btesi konusunda da kurulum aamasnda ciddi planlamalar yaplmasdr. Ulak-CSIRT zelinde hizmet verilen ular (niversiteler, akademik kurumlar

v.s.) ile ULAKBIM arasnda kullanm politikas dnda organik bir ba bulunmamas ve yelerin ounluunun ULAKBIM personeli dndan olmas idari konumun tanmlanmas konusunda olumsuzluklar dourmutur. Gvenlik olay takibi srasnda yaanan ibirlii eksikliinin karlnda a iinde uygulanabilecek yaptrmlar, koordinasyonun baarsna ciddi katkda bulunacaktr. Ekibin belirli bir btesinin olmas, gerek yelerin katlaca eitimlerle teknik becerilerinin artrlmasnda, gerekse eylem maddesi olarak belirlenen ve teknik ekipman (yazlm, donanm) gerektiren uygulamalarn gerekletirilmesi srelerinin daha etkin olmasn salayacaktr. Ayrca UlakNet benzeri kamu alarn da kapsayan, u sorumlularn katlaca eitim ve altay faaliyetleri iin de belirli bir btenin ayrlmas gerekmektedir. lke iinde yrtlen olay takiplerinin de baarya ulalabilmesi iin, pazarda etkin olarak rol alan salayclarn da benzer yaplar kurmu olmas faydal olacaktr. Bu tip ekipler aras iletiimi organize edecek hukuki dzenlemelerin yaplmas ve organizasyonu salayacak bir ulusal CSIRT yaplanmasna gidilmesi gerekli grlmektedir. Yeni yaymlanan DPT Acil Eylem Plannda [5] byle bir madde yer alm ve sorumlu kurulu olarak bir TB TAK enstits olan Ulusal Elektronik ve Kriptoloji Aratrma Enstitsn (UEKAE) gsterilmitir. UAKAE ile ibirlii ierisinde almalarn srdrlmesi hedeflenmektedir.

KAYNAKLAR
1. TB TAK, http://www.tubitak.gov.tr 2. ULAKBIM, http://www.ulakbim.gov.tr 3. CERT/CC, http://www.cert.org 4. RFC 2350, http://www.ietf.org/rfc/rfc2350.txt 5. Bilgi Toplu Stratejisi Eylem Plan, http://www.bilgitoplumu.gov.tr/btstrateji/Eylem%20Pla ni%20_28072006.doc