Uydularla Konum Belirleme Sistemlerinin Siber Güvenliği (Bölüm-2)

Uydularla Konum Belirleme Sistemlerinin Siber Güvenliği (Bölüm-2)

Değerli okurlarım;

Geçtiğimiz yazımda uydularla konum belirleme sistemlerinin siber güvenliği ile ilgili kaygılardan ve olası saldırı türlerinden (spoofing / jamming) bahsederek insansız hava araçları ile ilgili de riskler olduğu söylemiştim. Askeri, sivil (hobi ve ticari) ve bilimsel amaçlı profesyonel kullanımları hem ülkemizde hem de dünyada hızla artan insansız hava araçlarının siber güvenlik açısından risklerinin olduğunun iddia edilmesi dikkate alınması gereken bir konudur. Bugünkü yazımda da neden insansız hava araçlarının siber saldırılara açık olduğunun iddia edildiğinden bahsetmek istiyorum.

İnsansız hava araçları (İHA) ile ilgili olarak; İHA’larda da kullanılan ve CNS/ATM için izleme alanındaki en önemli gelişmelerden biri sayılabilecek Otomatik Bağımlı İzleme ( ADS- Automatic Dependant Surveillance) sisteminin siber güvenlik açısından saldırıya açık olduğu iddia ediliyor. Söz konusu sistemle uçak dünyanın neresinde olursa olsun pozisyon hız, irtifa, baş açısı ve yapmak istediği manevrası ile ilgili bilgiler otomatik olarak uydu veya diğer haberleşme veri hatları vasıtasıyla hava trafik yönetim birimine; tüm ADS – B ekipmanlı uçaklara ve yerdeki araçlara iletilecektir.

Peki bu sistem neden risklidir?

Enformasyon ve bilgi teknolojileri üzerine çalışmalar yapan uluslararası bir kuruluş olan EUROCOM (Network ve Güvenlik Departmanı)’un bir çalışmasında söz konusu sistem ile ilgili şu sorunlara değinilmiştir :

  • Kimlik doğrulama eksikliğinden ötürü kaynağı bilinmeyen kişilerce yapılabilecek yerleştirme mesajlarından korunma sorunu;
  • Mesaj doğrulama kodu veya imzası eksikliğinden kaynaklanan mesajlar üzerinde değişiklik yapabilme veya belirli bir uçaktan gönderiliyormuşçasına veri akışı sağlanmasına karşı korunma sorunu;
  • Mesaj şifreleme eksikliğinden ötürü gizli dinlemeye karşı korunma sorunu;
  • Özel bilgi girişi yoluyla sağlanmaya çalışılan korumanın sürekli ataklarına karşı yetersiz kalması sorunu;
  • Tanımlama sistemlerinin kısa ömürlü hafızalarının özel bilgi takip etme ataklarına karşı etkisiz kalma sorunu;

Bu ve bazı başka sorunlar dolayısıyla EUROCOM İHA’larda da kullanılacak olan sistemin güvenlik açığının olduğunu iddia etmiştir.

Ekim 2009’da FAA da Güvenlik Sertifikasyonu ve Akreditasyon Prosedürü ile ilgili bulgularını rapor olarak paylaşmıştır. Çok sayıda kurum ve kuruluşun da görüşüne yer verilmiş olan FAA raporunda ADS-B sistemi ile ilgili olarak; ADS-B verilerinin  PSR ile birleştirilecek olması dolayısıyla spoofing ya da jamming saldırılarının beklenmediği ifade edilmiştir. Her ne kadar sistemin güvenli olduğu iddia edilmişse de rapor çok sayıda olumsuz eleştriye maruz kalmıştır.

İlk kez 1993’te Las Vegas’ta düzenlenen ve takip eden yıllarda da gittikçe daha fazla katılımcı ile bir araya gelen dünyanın en geniş katılımlı hacker konferansı olarak da bilinen DEFCON’da da Eylül 2012’de  Las Vegas’ta gerçekleştirdiği güvenlik konferansında yine ADS-B’nin iletişimin gizliliğini sağlayan şifreleme ve sahte/yanıltıcı iletişimi engelleyen kimlik doğrulama özelliğinin eksik olması sebebiyle hackerların radyo cihazları ile mesajları ve hava araçlarını yanıltmasının mümkün olduğu iddia edilmiştir. 2018 yılındaki 26. DEFCON konferansında da insansız hava araçlarıya yönelik ilgili siber saldırı ve siber güvenlik unsurlarını ele almaya odaklı çalışmalara devam edilmiştir.

Sadece İHA’lar değil onların komuta kontrol sistemleri de tehlikeye maruz kalabilir. 2013’te Samy Kamkar isimli bir hacker kendi insansız hava aracını uçurarak gökteki başka insansız hava araçlarını bulmuş ve onları hackleyerek kontrollerini eline geçirmiştir.

Daha çok sayıda hem sivil hem askeri insansız hava aracının siber saldırı marifetiyle ele geçirilmesine ilişkin örnek sıralamak ve bu olasılıkları ele alan akademik çalışmadan bahsetmek mümkündür. Dolayısıyla gerek uydularla konum belirleme sistemlerinin gerekse bu sistemlere önemli ölçüde bağlı olan başka insansız hava araçları olmak üzere ilgili tüm sistemlerin siber güvenliğine gereken önemin verilmesi ve bununla da yetinmeyerek hukuki alt yapının da bu olasılıkları dikkate alarak tanzim edilmesi gerekir.

Kapsamlı konular olduğu için ilerleyen yazılarımda ayrıca detaylı olarak ele alacağım üzere maalesef her iki konuda da hem iç hukukumuzdaki hem de uluslararası hukuktaki düzenlemeler yetersizdir.

Hepimize emniyetli, güvenli günler dilerim,

BÖLÜM-1 İÇİN TIKLAYINIZ…

Geri

Kimler Neler Demiş?

1000

This site uses Akismet to reduce spam. Learn how your comment data is processed.