Page 29 - bilgem-teknoloji-dergisi-12
P. 29
BILGEM
TEKNOLOJI
spam olarak işaretlendiğinde, spam klasörüne düş-
meye başlamış ve spam olarak bilinmeye başlan-
mıştı.
Bir makine öğrenmesi modelinin en temel dayanak
noktalarından bir tanesi ve güvenlik açısından za-
yıf noktası ise dışarıdan aldığı girdilerdir. Modelin
hatalı eğitilmesine sebep olan bu girdileri korumak
amacıyla Tartışmalı Makine Öğrenimi(Adversarial
Machine Learning) başlığı altında çalışmalar yapıl-
maktadır. Burada hedeflenen hem makine öğren-
me algoritmasının eğitimi sırasında eğitim verisine
Bu durum yeterli olmadı çünkü görüşme trafiğine veya bilgisayar üzerindeki işleme gücü ihtiyacı da kendisi dışında bir cihaza öyle veya böyle bağlanma hem de eğitim sonunda oluşan modele girdi olarak
sızılıp, mesaj ekranındaki yazışmalara ulaşılma- artmaktadır. özelliği olan her cihaz için güvenlik tedbirleri düşü- saldırı yapılmasıdır. Nihai olarak yanlış sınıflandır-
ya başlandı. Sonrasında şifre bilinmese bile top- nülmeli ve alınmalıdır. ma yapılarak yapay zeka algoritmalarının amacı
lantılara giriş yapıldı. Nihai olarak ise toplantıya Bu alandaki çözümler görünen o ki daimi olarak dışı kullanılması ya da kullanılamaz duruma gelme-
katıldığına dair hiç bir iz bırakmadan herhangi bir gündememizde olacaktır. Hazır olarak kullanılan 2019 yılı Aralık ayındaki The Washington Post ga- si söz konusudur. Örnek vermek gerekirse DeepFool
toplantıya katılımcı olarak sızıp toplantı içerikle- ve kullanan kişi veya kurumlar tarafından geliştiril- zetesindeki haber bu konudaki olayların nereye gi- isimli akademik çalışmada paylaşılan örnekte orji-
rine ulaşım söz konusu oldu. Bunun üzerine fir- meyen uygulamalar düşünüldüğünde ne kadar gü- debileceğini bizlere gösterdi. Bir hacker, 8 yaşındaki nal resme, sınıflandırıcı yanıt olarak “whale” (balina)
malar; ilgili trafiğin bu hizmeti sağlayan firmaların venilir oldukları ile ilgili araştırma raporlarına veya kız çocuğunun odasında bulunan bir kamerayı ele dönerken, orjinal resim + r (karışıklık (perturbation))
sistemleri tarafından bile erişilemeyecek şekilde yapılan bilimsel çalışmalara bakılması gereken bir geçirdi ve küçük kız ile konuştu. Akıllı TV’lerin ele eklendiğinde ise sınıflandırıcı yanıt olarak “turtle”
uçtan-uca şifreleme seçeneklerini dahil ederek konudur. geçirilerek mahrem hayatı kaydettiği konusundaki (kaplumbağa) dönmektedir.
güvenliği en üst düzeyde tutmaya başladılar. haberlere ise neredeyse şaşırmıyoruz. Marketlerde
Son Kullanıcı Cihaz Güvenliği ve IoT bile satılan oyuncak gibi gözüken fakat işlev olarak Kaynak Kod Güvenliği ve Açık Kaynak Sistemler
Uçtan Uca Şifreleme ve Mesajlaşma The Washington Post gazetesindeki 2021 yılı Mart oldukça yetenekli drone’lar varsayılan olarak Wi-Fi Synopsys firmasının 2020 yılına ait yayınladığı ra-
Uygulamaları ayındaki bir haberde Apple’ın uygulamaları barın- üzerinden bağlantı sağlar ve şifresi de yoktur. Her- pora göre kod altyapısının %91’lik kısmı, 4 yıldan
Mesajlaşma ve video konferans sistemlerinde dıran mağazası olan App Store üzerinde yer alan hangi bir kişi dronu kontrolünü ele geçirerek canlı- eski ve 2 yıldır herhangi bir şekilde geliştirme yapıl-
gündeme gelen uçtan uca şifreleme, ilgili yazılı ve/ bir uygulama aracılığıyla bir IOS kullanıcısından lara zarar verebilir, veya en iyi ihtimalle drone’u ken- mamış bileşenleri kullanıyor. Synk.io’un 2020 yılına
veya görüntülü/sesli görüşmelerin şifreli olma- 600 bin dolar değerinde Bitcoin çalındığı yazıyor- di mülkiyetine geçirebilir. ait Açık Kaynak Kod Güvenliği raporuna göre açıkla-
sı ve bu şifrelerin yalnızca görüşmeyi yapanlarca du. McAfee resmi blogunda 2019 yılı Eylül ayın- rın %35’i 20 günden önce, %36’ı 70 gün ve daha faz-
çözülebilmesi, aradaki trafik taşıyıcılar tarafından da yayınlanan bir yazıya göre Siber suçluların en Hız değerleri ile hepimizi heyecanlandıran 5G ve IoT la sürede, ortalama ise 68 günde kapatılmaktadır.
çözülememesi anlamına gelmektedir. Uçtan-uca çok istediği 4 mobil tehlike şöyle sıralanmış: SMS cihazlarının yaygınlaşması ile akıllı ev sistemlerinin,
şifreleme denildiğinde bazı mesajlaşma sistemleri ile gelen oltalamalar, ücretsiz-halka açık WiFi’lar, internete veya başka cihazlara bağlanan hemen her 2021 yılı Nisan ayında PHP’nin kaynak kodlarına sal-
bunu sağladıklarını belirtiyor fakat aslında yaptık- sahte (fake) mobil uygulamalar ve reklam yazılımı, cihazın güvenliği son derece kritik hale gelmiştir. Ağ dırı düzenlenip “back door” yerleştirilmişti. Günümüz-
ları örneğin Ali, Ayşe’ye “Merhaba” diye bir mesaj casus yazılım veya malware gibi birçok biçimde teknoloji şirketlerinin tamamı ve telekom şirketleri de şirketlerin en değerli varlıklarından birisi de sahip
gönderiyor. “Merhaba” mesajı şifreleniyor, ilgili gelebilecek olan Grayware’lar. 5G güvenliği konusunda çalışmalarını giderek artı- oldukları kaynak kodlarıdır. Çünkü kaynak kodlar
mesajlaşma uygulamasının sunucusuna bu şifreli rıyor, yeni projeler başlatıyor, patentler alıyorlar. Bu kullanılarak farklı saldırılar düzenlenebilir. Bu yüzden
mesaj geliyor ve çözülüyor yani “Merhaba” met- alanda yine kendisini gösteren akıllı fabrikalar ve başta açık kaynak kod güvenliği olmak üzere kaynak
nine ulaşılıyor. Buradan tekrar Ayşe’nin çözebile- Ayrıca bundan belki de çok değil 15 yıl önce bilgi- otonom araçlar da bünyelerinde bulundurdukları kod güvenliği konusunda farkındalık artışı ülkemizde
ceği bir yöntem ile şifrelenip gönderiliyor. Ayşe de sayarlarda bile anti-virüs uygulamaları en azından IoT platformları ve siber atak yüzeyleri bakımından ve globalde söz konusudur. Birkaç yıl öncesine ka-
“Merhaba” mesajını okuyabiliyor. Burada sunucu Türkiye’de çok yaygın değilken, bugünlerde mobil insan güvenliği ve emniyeti açısından son derece dar şirketlerde mevcut güvenlik operasyon birimleri-
şifrelenmiş içeriği çözmeden de gönderebilir. Fa- telefonlara özel geliştirilmiş anti-virüs uygulama- önemli hale gelmektedirler. Bu yüzden 5G ve IoT nin içerisinde görev yapan kişilerin işlerine ek olarak
kat ilgili mesajlaşma uygulaması istediği zaman ları kullanılmaktadır. Kredi kartlarını barındıran güvenliği günümüzün ve önümüzdeki yılların en kaynak kod güvenliği alanında da çalışma yapılırken,
bu şifrelenmiş mesajları çözebiliyorsa burada uç- cüzdan uygulamaları, bankacılık uygulamaları, önemli güvenlik çalışma alanlarından birisi olmaya günümüzde artık sadece kaynak kod güvenliğine
tan-uca şifrelemeden bahsedilemez. Zira uçtan eposta uygulamaları, kriptopara hesap uygula- devam edecektir. odaklanan birimler kurulmaktadır. Büyük teknoloji
uca şifrelemede mesajın, başta ifade edildiği gibi maları, sosyal medya uygulamaları gibi bir insanın şirketlerinde doğrudan bu amaçla görev yapacak per-
sadece taraflar tarafından çözülmesi gerekir. neredeyse tüm hayatının artık telefonlarda olması, Makine Öğrenmesi Modellerinin Güvenliği sonel arayışlarını ilanlarda görmekteyiz.
siber suçluların hedefinde olması için çok geçerli Başta eposta spam filtreleri olmak üzere DLP gibi
Bu örneğimizde Ayşe ve Ali dışında her kim olur- bir nedendir. Türkiye’deki bir haber sitesinin 2013 birçok güvenlik aracı makine öğrenmesinden fay- Tüm bu konular biraz olsun farkındalık oluşturmak,
sa olsun içeriğe erişim söz konusu oluyor ise uç- yılı Şubat ayındaki haberinin başlığı “Cüzdanını dalanmaktadır. Hatta şirketler ürünlerini pazarla- güvenliğin çok boyutlu bir kavram olduğunu gös-
tan uca şifrelemeden bahsedilemez. Bir süre önce unut cep telefonunu unutma”’dır. ma aşamasında makine öğrenmesi kullanarak çok termek için paylaşıldı. Hiçbir zaman %100 güvenli
128-bit, 256-bit şifreleme söz konusu olduğun- daha “akıllı” filtrelemeler yaptıklarını ve buna göre diye bir sistem yoktur fakat alınabilecek önlemle-
da oldukça güçlü diye bahsedilirken günümüzde Son kullanıcı cihazı dediğimizde sadece cep tele- sisteme otonom olarak kararlar aldırdıklarını ak- rin %100’ünü almak diye bir durum söz konusudur.
1024 bit ve hatta 2048 bit uzunluklardan bahsedil- fonları, tabletler ya da bilgisayarlar düşünülmeme- tarmaktalar. Örneğin bundan yaklaşık 4-5 yıl önce Bununla birlikte Gartner raporuna göre gelecekte
mektedir. Şifreleme işlemlerinde kullanılan şifrele- lidir. Evlerdeki yazıcılar, akıllı televizyonlar, web ka- dünyanın en büyük teknolojileri şirketlerinden biri- yetkinlik ihtiyacı bitmeyecek 2 çalışma alanı bulun-
me anahtarlarının uzunlukları arttıkça sunucular meralar, çamaşır makineleri, oyuncaklar kısacası ne ait e-posta hesabından, bu şirkete ait epostalar maktadır; Siber Güvenlik ve Yapay Zeka.
26 27