Son yıllarda sadece Türkiye’de değil dünyanın heryerinde uçak kazaları büyük artış gösterdi. İnsanlarda uçak fobisi olmasının yanında şirketler ve devletler Prestijlerini kaybetmemek için uçak felaketlerini sır gibi saklamaktadırlar. Uçak kazalarını saklamada biraz yetersiz kalsalarda Kaybolan uçaklar konusunda daha başarılılar. Örnek olarak Taiwan yolcusu ile kaybolan uçağı 2 hafta sonra bulduğunda açıkladı. Endonezya uçağını kaybettiğinde 1 hafta sonra 155 yolcu ve 7 mürettabatını denizin 30 metre altında bulduğu için bir bakıma şanslıydı çünkü Malezya 239 yolcu ve 12 mürettebatını Mart 2014 ‘den beri halen bulamadı.
Bugüne kadar birçok hava yolu şirketinin yada elektronik uçak bileti sitesinin haclendiğini basından takip etmişizdir. Bu hackler dünyaca ünlü havayolu ve elektronik bilet sitelerine milyonlarca dolara mal olmaktadır ama daha önemli bir şeyi hacklemekten bahsediyorum. Uçak şirketi yada uçak bileti değil, Bu defa hacklenen uçağın kendisi.
Uçakları artık Pilotlar değil, Bir dizi dijital kod uçurmaktadır. Şimdilerde modern bir uçak 16 ila 20 Bilgisayar tarafından yönetilir. Otomatik pilot denilen sistem birçok şeyi kontrol ediyor ve limitlerin aşılmasını engelliyor. Motor artık kendini koruma altına alıyor ve Pilot farkında olmadan düzenlemeler yapıyor. Yani pilotlar sadece bilgisayar komutu veriyor ve bu komutlar sistem tarafından süzülüp yerine getiriliyor. Uçakların tamamı yüksek güvenlik gerektiren yazılım sistemlerinden oluşmaktadır. Mekanik bir hata uçağı olduğu yere düşürür ve felaket minimum düzeyde tutulabilir ancak bir güvenlik açığı ile ele geçirilen uçak yönlendirilmek sureti ile insanların en yoğun olduğu bölgeye düşürerek felaketin dozu arttırabilir.
Türkiye’deki uçak kazalarının sayısı hiçte az değildir. Hele son zamanlarda meydana gelen uçak kazalarına bakıldığında bunların üst üste oluşu akıllara tabiki teknik bir problem olup olamayacağı sorusunu getiriyor. Uzmanlar tabiki kaza sonrası teknik bazda adli tutanaklarını tutacaklardır ama konuyu bilgi güvenliği açısından ele almakta fayda var. Uçakların bilişim sistemlerine girmek sureti ile kaza yaptırtılabilir mi?
Konunun ne kadar öenmli olduğuna dikkat çekmek için son söyleyeceğimi ilk söylüyorum. UÇAKLARI HACKLEMEK MÜMKÜN. Silah, Bıçak yada Bomba ile Uçak kaçırmak, füze ile uçak düşürmek artık demode oldu. Hava korsanlarının ve Siber Savaş uzmanlarının yeni hedefi Uçakların Bilgi ve İletişim sistemi.
Uçakların Bilgi Güvenliğini 2 açıdan ele alalım
1. Uçakların iletişim sistemin hacklenmesi
2. Uçakların yazılım sisteminin hacklenmesi
1. Uçakların İletişim sistemlerini hacklemek:
Uçaklar çalıştırıldıkları andan itibaren uçuş bilgilerini verdikleri sinyaller yayarlar. Bunlardan birisi “acars” EY Sİ EY AR ES diğeri ise “ads-b” EY Dİ ES Bİ ‘dir. Bu sistem uçuş ve hava trafik denetleyicileri arasında radyo ve uydu yoluyla bilgi alışverişi olmasını sağlar. Yani Kule ile Pilotun görüştürür. Verici gücünün güçlü olması, daha uzak mesafelere sinyal gönderebilmesi ve daha fazla ayrıntılı bilgi vermesi sebebi ile yaygın olarak ADS-B kullanılmaktadır. Alman Güvenlik Danışmanı ve 11 sene pilotluk eğitimi almış olan Hugo TESA Android bir akıllı telefon ile bu sisteme kötü amaçlı sinyaller göndererek uçağın davranışını etkilemeyi başarmıştır.
Biraz önce de söylediğim gibi Şirketler ve Havayolu firmaları aslında prestijleri uğruna birçok gerçeği saklarlar. Son günlerde Kuzey Koreli hackerlar bir elektronik firmasının canını fena halde sıktılar. Şirketin de doğruladığı bu zarar milyonlarca doları buluyor. İşte bu elektronik firmasının CEO su San Fransisco uçağındayken uçağın ADS-B sisteminde aşırı yüklenmeye neden olabilecek bir mesaj yağmuru yaşandı ve bunun neticesinde pilot uçağın rotasını değiştirerek 185 yolcuyu planda olmayan bir hava alanında tahliye etti. Hava yolu şirketi ortada bir hack olduğunu yalanlasa da Elektronik Firmasının CEO sunun da içinde bulunduğu 185 kişinin tahliyesini ve rota değişikliğini doğruladı.
ADS-B telsiz frekansı Kriptolu bir frekans olmadığı gibi Hava Trafik ve Uçaklar dışında girilmesi yasak bir frekanstır. Bu frekans İnternetten kolayca dinlenebileceği gibi indirilen bir program yada satın alınan bir Telsizle Kule ve Pilot arasındaki konuşmalara kolayca müdahale edilebilir.
Hackerlar her zaman bilgisayar başında kod yazarak sistemlere girmezler. Sosyal Mühendislik yada Toplum Mühendisliği denilen bir alan vardır. Aslında bu kavramın oluşmasında en güçlü isim dünyada Kevin Mithnick dir. Mithnik insanlar ile ilişkilerini çok iyi tutarak bir süre sonra onlar gibi davranmayı başarabilen iyi bir hackerdır. Kendisi FBI’ın sistemini hacklemekten hakim karşısına çıktığında “Ben hiçbir şifreyi kırmadım şifreyi bana kendileri söylediler” demişti. Gerçekten de öyleydi. FBI hakkında o kadar bilgi edinmişti ki bir FBI ajanının tüm jargonuna hakimdi. Bir süre sonra kullandığı bu jargon sayesinde kendisini FBI ajanı gibi tanıtarak FBI hakkında tüm bilgilere ulaşmıştı.
Kule ve Pilot arasındaki konuşmalar kimi zaman yaramaz kişiler tarafından sabote edilebiliyor ama bu kısa süren ve sistemin güvenliğini riske atmayan sadece geçici olarak can sıkan bir konu. Buradan konuyu Mithnick gibi zeki bir hacker’a getirmek istiyorum. Toplum Mühendisliği yöntemine hakim bir hacker bu frekansı belli bir süre dinleyip hava konuşma jargonuna hakim olur ve devamında kuleyi güçlü bir radyo sinyali yada sinyal bozucu ile etkisiz kılıp uçaklara kendisini kule olarak tanıtabilirse büyük felaketlere yol açabilir.
2. Uçakların Yazılım Sisteminin Hacklenmesi
Bir uçağın yazılım sisteminin hacklenmesi denildiğinde kast edilen uçağın pilotun kontrolünden tamamen çıkıp hackleyen kişinin kontrolüne geçmesi ve hatta hackerın Uçağın içine anons bile yapabilmesi.
Sanırım Yolcu uçaklarında en büyük güvenlik açığı uzun uçuşlarda kullanılan Wi-Fi ve eğlence sistemleri. Ruben SANTAMARTA isimli hacker 2014 yılında bir uçağın wi-fi ve Uçuş eğlence sistemine girmeyi başardı.. Bu uydu haberleşme sisteminin bir güvenlik açığıydı ve aynı güvenlik açığı Gemilerde, Askeri Araçlarda, Rüzgar Tribünlerinde ve Gaz Boru hatlarında da söz konusuydu. Santamarta bunu illegal bir hack yöntemi kullanarak tespit etsede hack etiğine uygun ölçüde bunu kötü amaçlı kullanmayarak bilgi olarak paylaştı. Şirket bunun üzerine Santamarta’nın da desteği ile açığı iyileştirdi.
Hacker Hugo Tesa Uçağı ele geçirdi.
Uçak kontrolünü eline geçiren bir diğer hacker Aynı zamanda Pilot ehliyeti olan Hugo TESA. Tesa geliştirdiği Android uygulama ile Uçakların Manueldeyken ışıklarını kapatıp açmayı, Otomatik Pilottayken kontrol etmeyi başardı. Daha önceden izin alınarak %100 güvenli bir ortamda 150 km menzil ve 10 bin metre irtifada olan bir uçak ele geçirilerek nerdeyse havada taklalar attırılabilecek duruma getirildi. Uygulama TESA ‘nın da içinde bulunduğu bir ekip tarafından Uçak Yazılımlarının güvenliği lehine geliştiriliyor.
Aslında tüm hackerlar bu bilgileri 11 Eylülde uçakların uzaktan kontrol edildiği ve önceden programlandığı iddiası doğrular nitelikte paylaşıyor. Uzmanlara göre dünyanın en iyi pilotu bile 120 Tonluk bir uçağı bir gökdelene denk getiremez. Uçağın daha önceden hedefe yazılım anlamında programlanması gerekmektedir ve bu program bina içinde bulunan bir vericiye kilitlenmelidir.
İranda düşürülen Casus Uçak
İnsansız uçakların bilgi güvenliğinden biraz bahsetmek istiyorum. Bilindiği üzere insansız uçakların görevi deşifre olmadan atmosferin görüntü kalitesini etkilemeyecek bir mesafeden kayıt almasıdır. İnsansız uçaklar tamamen bilgisayar kodlarından oluşur ve bu kodlar aracılığı ile uzaktan şifreli telsiz sistemlerine girilmek sureti ile kontrol edilirler.
Kontrol merkezi ile insansız uçak arasındaki Telsiz Frekansını kilitlemek sureti ile Afganistanda çok sayıda insansız uçak düşürüldü. Ancak buna nitelikli bir hack diyemeyiz. Nitelikli bir hack olması için insansız uçağın kontrolünün tamamen ele geçirilmesi gerekmektedir.
Bunu da İran başardı;
ABD ye ait olan insansız casus uçakın Lockheed Martin in ürettiği RQ170 SENTİNEL sistemi İranlı hackerlar tarafından ele geçirilerek güvenli bir şekilde indirildi ve tersine mühendislik yöntemi ile projesini çıkarttı ve birebir aynısını kopyalayarak yeni bir tane üretti. İranlı yetkililer Uçağın şifrelenmiş kısımlarını bile ele geçirdiklerini bilgilerini kaynak göstererek Amerikanın bölgelerinde barışçıl olmayan faaliyetler yürüttüğünü uçağın içinden ele geçirilen belgeler ile paylaştı.
Savaş Uçaklarına Sızma
Silah ve Havacılık sektöründe Bilgi Güvenliği en üst seviyededir. Eğer bir projeyi yapacak yetişmiş Bilim Adamlarınız, Mühendisleriniz dahası Özel Sektörünüz yoksa bunu dışardan onalrın size müsade ettiği ölçüde almaya mecbursunuz.
Sen üretmediysen kontrol sende değil ama kontrolü eline alan mühendislerimiz de ya birer birer ölüyor yada topluca intihar ediyor.
Eğer bir sistemde Hacker tespit ettiyseniz yada o egolarına yenik düşüp kendini nick name’i ile medyatik bir şekilde deşifre ettiyse şanslısınız çünkü içerde olduğu bilinmeyen hacker en tehlikeli hackerdır.
Çin kendini son 20 yılda Siber Savaş ve Siber Casusluk konularında üst düzeyde geliştirdi.
ABD nin Liderliğini yürüttüğü ve içinde ingiltere, italya, hollanda, avustralya, kanada, norveç, ile beraber türkiyenin de olduğu ve 9 ülkenin birlikte yürüttüğü Taaruz uçağı projesi 4 yıl boyunca Çinli Siber Casuslar tarafından izlenmiş. Projeden edindikleri bilgiler ile eski MIG leri modernize edip yeni bir savaş uçağı haline getirmişler. Bunun dışında F16 yı da tamamen kopyalayıp Chendgdu J-10 isimli bir savaş uçağı üretimine geçeceklerini açıklayan çinliler F 35 inasıl ne şekilde kopyalayacaklar ve bu nasıl bir siyasi krize yol açacak merak konusu.
F4 Konusu
Dünya F4 ‘ü çoktan hurdaya ayırdı biz ise 1998 2002 arasında 54 tanesini 1.5 milyara israile modernizasyonunu yaptırdık. 2002 den beri düşen 12 f4 uçağı da israil modernizasyonu. İsrail burada Yapısal güçlendirme, Yeni nesil navigazsyon sistemi, Yeni nesil radyo frekans ekipmanı ve Yeni Nesil Radar sistemi modernizasyonunu üstlenmiştir. Bunlarda zaten bir uçağın bilgi ve iletişim ekipmanlarıdır.
Şimdi bu konuda yapılan ilk açıklama teknik arıza oldu. 2 uçak aynı anda arızalanıp aynı yere düşmez bu sıfıra yakın bir ihtimaldir. Kazalara genel olarak bakarsak fırlatma koltuğunu kullanarak atlayan pilotlarımız da olmuş atlayamayarak şehit olanlar da.
Konuya kendi Bilişim Suçları açısından bakacak olursak böyle bir ihtimal tabii ki var. hemde diğer tüm ihtimallerden daha güçlü. Hiçbir uçağın yazılım kodlarının tamamı bizde değildir. Üretimler genellikle ülkeler arasında ortak proje olarak ele alınır.
Bu ve bunun gibi fırsatları ülkelerin ar-geleri hiç kaçırmaz ve gerek soğuk savaş gerekse sıcak savaşta kullanmak üzere her zaman saklar. Aksi düşünmek bile fazla iyimserlik olurç.
