TEKNİK YAZILAR

Bilgisayarınızdaki Gizli Bilgilerin Çevreye Yayıldığını Biliyor muydunuz?

Elektrikli ve elektronik cihazların çalışmaları esnasında istemli veya istemdışı olarak çevrelerine elektromanyetik enerji yaydıklarını biliyoruz. Telsiz vericiler, mobil telefonlar, radarlar, algılayıcılar, kablosuz veri iletim sistemleri gibi yapılar istemli olarak bu enerjiyi yayarlar. Ama bir bilgisayarın, fotokopi makinesinin veya projeksiyon cihazının çevresine elektromanyetik enerji yayması istenmeyen bir durumdur. Önceki yazımda da anlattığım gibi TEMPEST, gizlilik dereceli bilgi işleyen elektrikli ve elektronik teçhizattan kaynaklanan istemdışı elektromanyetik enerji yayılımlarını ve bu yayılımların araştırılmasını, incelenmesini, kontrol altına alınmasını ifade eden bir terim, daha doğrusu A.B.D. tarafından verilmiş bir kod addır.

Her ne kadar ütopik gibi görünse de aslında TEMPEST oldukça eski bir istihbarat yöntemi. Elektrikli cihazın çevresine yaydığı enerjiyi bir anten ve alıcı vasıtasıyla topladıktan sonra kuvvetlendirip yeniden işleme, bazen de görüntü işleme yöntemleriyle iyileştirme neticesinde kaçak bilgi elde edilebilir. Bu yöntem Türkiye’ye benim de içinde olduğum bir ekip tarafından 1990’lı yıllarda getirildi ve “TEMPEST Problemini” tamamen milli imkanlarla oluşturabilen, çözebilen, test edebilen bir laboratuvar ve teknik altyapı kuruldu, personel yetiştirildi. Problemin en dikkat çekici noktası, bilgi işleyen “herhangi bir cihazdan” yayılan kaçakların elde edilebilir olması… Yani bilgisayar ekranında gösterilen bilgi, CD sürücüsünde okunan bilgi, fotokopi makinesinde çoğaltılan bilgi, faks ile iletilen, tarayıcıda taranan, yazıcıda basılan… Aklınıza gelebilecek bütün bilgi işleyen teçhizat potansiyel bir TEMPEST kaçağı kaynağıdır.

Aldığınız güvenlik önlemleri ile bilgisayarınızdaki bilgilerin gizli kalabildiğine emin misiniz??

En basit TEMPEST senaryosu, siz masanızda oturmuş bilgisayarınızda GİZLİ gizlilik derecesinde bir yazı yazıyorken istismarcının bir anten, alıcı ve işleyici sistem ile bilgisayarınızın ekranından kaçan işaretleri toplaması ve yeniden oluşturarak sizin ekranınızı çalması… Tıpkı çatı anteniyle kilometrelerce uzaktan gönderilen havadaki yayın bilgilerini toplayıp, işleyip, evimizin salonundaki televizyonumuzda yayınları izlememiz gibi… Bu işlem bitişik binanızdan, üst katınızdan veya ofisinizin önüne park edilen siyah camlı bir panelvanın içinden, size hiç hissettirmeden yapılabilir, tıpkı havadan yapılan televizyon yayınlarını kimlerin izlediğinin bilinmemesi gibi. Bu kaçak şekline uzaysal ışımayla yayılım denir. Havadaki işaretlerin anten vasıtasıyla toplanmasından öte bir yöntem de, bilgi işleyen cihazın bağlı olduğu herhangi bir şebekeye girerek bilgiye ulaşmak… Aynı örnek üzerinden gidecek olursak GİZLİ yazı hazırladığınız bilgisayarınızı bağlamış olduğunuz internet hattından veya gücünü beslediğiniz şebeke hattından da bu bilgiler bir izleme probu yardımıyla alınabilir, hem de yüzlerce metre mesafeden..! Bu yöntem ise iletkenlikle yayılım olarak bilinir. Sisteminizdeki ne antivirüslerin güncelliği, ne de güvenlik duvarınızın (firewall) gücü TEMPEST’e karşı bir şey ifade eder, çünkü bilgi sizin ekranınızda açık ise aynı bilgi havada ve şebeke hattınızda, dolayısıyla istismarcının anteninde veya probundadır…

Peki TEMPEST kaçaklarına karşı nasıl tedbir alabiliriz??

Aslında risk büyük olsa da bazı tedbirler oldukça kolay. Öncelikle iletkenlik yoluyla oluşan kaçakların tek ve en güvenli tedbirinin işaret hattına veya güç hattına konulacak TEMPEST filtreleri (süzgeç devreleri) olduğunu söylemeliyim. Filtreler, cihazın çalışmasını etkilemeden oluşan kaçakların süzülüp dışarıya çıkmasını engelleyen cihazlar. Uzaysal ışıma yoluyla oluşan kaçaklar ise özel tedbirler alınmış teçhizat kullanımıyla engellenebilir. TÜBİTAK – UEKAE’de çalıştığım yıllarda milli TEMPEST Filtreler, milli TEMPEST Korunaklı IT Cihazları geliştirme projelerini yönetmiştim. Geliştirdiğmiz milli cihazların binlercesi bugün birçok kritik kamu kurumunda ve askeri bölgelerde kullanılmakta. Maliyetin yüksek olduğu bu özel cihazları kullanma şansınız yoksa elektromanyetik sızdırmazlık özelliği olan ortamlarda çalışmalı veya kaçak işaretlerinin mesafe ile ters orantılı olarak azalması prensibinden faydalanarak risk oluşturabilecek yerlerde kendi kontrolünüzdeki bölgenin mümkün mertebe büyük olmasına dikkat etmelisiniz.

 

Bu makale, “Herkese Bilim Teknoloji” dergisinin 10 Mart 2017 tarihli sayısında yayınlanmıştır.

aysam akses

Elektromanyetik Bilgi Kaçakları: TEMPEST

Bilgi teknolojisi çağında yaşıyor olmamızın sağladığı kolaylıklar, bilginin teknolojik imkanlarla işlenmesini her geçen gün biraz daha yaygınlaştırıyor. Çok değil, 20 yıl öncesine kadar raflarda yüzlerce kitapta ulaşabildiğimiz bilgiyi bugün bir parmak büyüklüğünde disklerin içinde taşıyoruz. Dünyadaki bütün kütüphaneler ise cebimizdeki akıllı telefon kadar yakınımızda…

Bilgi işleyen teknolojilerin bir ortak özelliği, elektrikli ve elektronik sistemlerden oluşması. Haliyle bilgiye ulaşmak isteyen yetkisiz kişilerin ilk başvurdukları açık kapı da bu yapı oluyor. Elektrikli ve elektronik cihazların çalışmaları esnasında istemli veya istemdışı olarak çevrelerine elektromanyetik enerji yaydıklarını biliyoruz. Bu enerjinin cihazların performansları üzerindeki etkisi Elektromanyetik Uyumluluk (EMC) kapsamında inceleniyor. Bilgi güvenliği açısından ise çok ciddi bir tehdit var bu olguda. TEMPEST, elektrikli ve elektronik cihazlardan yayılan elektromanyetik enerjinin toplanmasını, incelenmesini ve içerdiği bilgilerin yeniden elde edilmesi için yürütülen çalışmaları ifade eden bir kod ad. Her ne kadar bir kısaltma gibi görünse de TEMPEST, A.B.D. tarafından bu konudaki çalışmalar için verilmiş bir isim. Evet, ilk bakışta oldukça ütopik gibi görünüyor olabilir ama TEMPEST 1950’lerden bu yana kullanılıyor. Bilgi işleyen bir cihazın gövdesinden havaya veya iletkenlerinden bağlı olduğu güç / işaret şebekesine yayılan elektromanyetik kaçaklar işlenerek içindeki bilgi yeniden oluşturuluyor. Bu bilgi sınıflandırılmış (gizli) bir bilgi ise, tabii ki değeri çok yükseliyor.

TEMPEST’in istihbarat amaçlı bildiğimiz ilk kullanımı 1960’larda İngiliz MI5 teşkilatının Fransa’nın kriptolu haberleşmesindeki bilgileri bu yolla elde etmesi. Ancak İkinci Dünya Savaşı zamanında Amerika’nın bu yöntem üzerinde çalıştığı ve benzer prensiple çeşitli veriler elde ettiği, bugün gizliliği kalkan belgelerden anlaşılabiliyor.

TEMPEST konusunda bilimsel ve tamamen açık ilk çalışma ise 1985’te Hollandalı bir telekom araştırmacısı olan Wim Van Eck tarafından yapılan ve bir bilgisayarın ekran görüntüsünün metrelerce uzaktan alınmasını gösteren deney ve bu deneyin anlatıldığı makale.

Peki Türkiye’de durum???

TEMPEST teknolojisi ülkemize, benim de içinde olduğum bir ekip tarafından 1990’lı yıllarda getirildi. TÜBİTAK Ulusal Kriptoloji Enstitüsü’nde, Genelkurmay Başkanlığı ile imzalanan bir protokol kapsamında TEMPEST çalışmaları yapan bir laboratuvar kuruldu ve milli imkanlarla bu teknoloji geliştirilerek bilgi güvenliği için TSK başta olmak üzere kamu kurumlarının hizmetine sunuldu. Yani önde gelen bazı devletlere göre biraz geriden de olsa, milli imkanlarla teknoloji hala takip edilebiliyor. Burada önemle üzerinde durulması gereken soru, bizim bugünümüzde bu ileri devletler hangi teknolojileri geliştiriyorlar?

Bu makale, “Herkese Bilim Teknoloji” dergisinin 10 Şubat 2017 tarihli sayısında yayınlanmıştır.

EM_BilgiKacaklari

Uçaklarda Cep Telefonunu Neden Kapatıyoruz?

cellphone3

Mobil telefonlarımızın yanımızda olmadığı zamanlarda kendimizi ıssız bir adada savunmasız gibi hissettiğimiz şu günlerde uçaklarda en çok duyduğumuz ve hiç hoşlanmadığımız anonstur “lütfen cep telefonunuzu kapalı konuma getiriniz” ikazı. Hoşlanmasak da uymak zorunda olduğumuz bu tedbir neden gerekli? Aslında cevabı sorusunda saklı bir durum bu, en kaba haliyle bu bir tedbir..!

Elektronik cihazların çevrelerine yaydıkları istemli veya istemdışı emisyonların diğer elektronik cihazları etkilemesineElektromanyetik Girişim” (EMI, Electromagnetic Interference), herhangi bir girişimden etkilenmeden ve girişimde bulunmadan çalışmaya da Elektromanyetik Uyumluluk” (EMC, Electromagnetic Compatibility) dendiğini önceki yazımda paylaşmıştım. Uçaklarda alınan bu tedbirin en temel sebebinin bu kavram olduğunu bulmak zor değil.. Peki cep telefonları gerçekten EMI sebep olur mu? Bu sorunun net ve genel geçerli bir cevabı yok, sadece olabilir, olma ihtimali var denilebilir çunku girişim bir çok etmene bağlı; kaynağın frekansına, genliğine, ortama, kuplaj şartlarının gerçekleşmesine vs vs. Bütün elektronik cihazlar çalışırken doğaları gereği çevreye bir miktar emisyon yayarlar, az ya da çok…Bu emisyonların uçağın duyarlı sistemleri üzerinde girişimde bulunması durumunda hayati öneme sahip risk oluşturacağı tartışmasız bir gerçek!

cell

Her ne kadar uçaklar gerek cihaz bazında gerek bütün sistem olarak EMC testlerinden geçirilip standartlara uygunluğu sertifikalandırıldıktan sonra uçuşa çıksalar da, test koşulları ile gündelik hayatta karşılaşacakları koşulların birebir uyumlu olacağının garantisi yok! Yüzde birlik bir hata payının bildirilmesi bile uçağı kullanmaktan vazgeçmemiz için yeterliyken bu girişim riskini almak çok da akılcı durmuyor…

Peki riskin büyüklüğü nedir???

Cep telefonumuzu haberleşme amacı dışındaki fonksiyonlarıyla kullanırken (fotoğraf çekme, müzik dinleme vs.) gerçekleşen işlevin  istem dışı ve de çok küçük genlikte emisyonlar yarattığını rahatlıkla söyleyebilirim. Yani “risk büyüktür sıfır” ama net bir şekilde çok çok küçük. Ancak konu mesajlaşma, konuşma vb şekilde kablosuz haberleşmeyi gerektiriyorsa, bu işlevleri yapmak için cihazımızın istemli olarak emisyonda bulunduğunu, baz istasyonu ile haberleştiğini veya haberleşmeye çalıştığını, kesintisiz haberleşebilmek için gücün yüksek değerlere çıkabildiğini, bunun da uçağın sefer sistemlerini bozabilecek riski yarattığını biliyoruz. Günümüz teknolojisinde bu risk de minimize edilmiş olmasına rağmen gözardı edilemeyecek kadar önemli..

Sonuç; uçuş süresince cep telefonlarından uzak kalmak, tehlike riskimizi azalttığı gibi yüz yüze iletişime mecbur ederek sosyalleşmemiz için bir fırsat da yaratabilir…

ESD Testleri ve ESD Önlemleri

Elektrostatik boşalmayı gündelik hayatımızda, insan vücudu üzerindeki statik elektriğin başka bir nesneye elektrik akımı olarak hızlıca iletimi şeklinde zaman zaman yaşıyoruz. Bu boşalmanın insan sağlığı üzerinde olumsuzluk yaratacak etkisi bulunmamakta. Ancak yükün boşaldığı nesne duyarlı bir cihaz veya tehlike yaratabilecek, örneğin yanıcı bir madde ise o zaman sonuçlar pek bu kadar masum olmuyor.

Elektrikli ve elektronik cihazlar bu anlık ve hızlı boşalmaya karşı alınganlık gösterebilir. Kilovoltlar mertebesindeki ESD,milivolt veya volt mertebesinde çalışan devre ve cihazları çok rahatlıkla bozabilir. Bu nedenle özellikle birtakım kurallarla kısıtlanmış olan elektronik cihazların ESD karşısında da belirli düzeyde bağışıklık göstermesi beklenir.Elektrikli ve elektronik cihazlarda en yaygın kullanılan standart, Avrupa Birliği standartlarından EN 61000-4-2 standardıdır. Elektromanyetik Uyumluluk (EMC) grubu altında yer alan ESD Bağışıklık Standardıgenel olarak elektrikli ve elektronik cihazlarda kullanıcılardan kaynaklı ESD’nin temel darbe şeklini, uygulanması gereken gerilim düzeylerini, uygulama yöntemini ve test düzeneklerini açıklar.

ESD Akımının Dalga Şekli (EN 61000-4-2’ye göre)

ESD’nin direkt temas ile boşalma şeklinde oluşabildiği gibi, farklı potansiyele sahip cisimlerin birbirlerine yaklaşmaları durumunda aradaki yalıtkanın (havanın) delinmesi sonucu havadan da meydana gelebileceğini ESD’nin tanımı içinde vermiştik (ESD Nedir?). Buna bağlı olarak standardın öngördüğü ESD testi de temasla (dokunarak) veya havadan (yaklaştırarak) gerçekleştirilir. Bu testte ESD üreteci, statik elektrik yüklenmiş bir operatörün vücudunu, üretecin yuvarlak ucu ise insan parmağını temsil etmektedir.

Taşınabilir türde bir ESD Üreteci

Taşınabilir türde bir ESD Üreteci

Günümüzde bir çok elektronik cihazın dokunmatik olduğu gözönüne alınırsa özellikle son kullanıcı için ESD testlerinin ne denli önemli olduğu anlaşılabilir. Peki ESD elektronik cihazı nasıl etkiler? Aslında etki birkaç farklı şekilde kendini gösterebilir. Öncelikle ESD’nin kilovoltlar mertebesinde dolayısıyla havayı delebilecek düzeyde olduğunu düşünürsek, mekanik ve termal etkilerini tahmin etmek zor olmaz. Özellikle elektronik cihaz veya kart üretimi yapılan kuruluşlarda operatörün önlem almadan dokunduğu kartın üzerindeki komponentler bu hızlı yük akışının ısıl etkisiyle fiziksel ve ısıl zorlanmaya maruz kalıp yanabilir. ESD, çevresinde oluşturduğu elektromanyetik enerji ile cihazın hassas devre ve komponentlerinin elektromanyetik olarak bozulmasına da neden olabilir. Bütün bunların yanında ESD devrede istenmeyen akımlar akmasına ve gerilimler endüklenmesine sebebiyet vereceği için direkt olarak duyarlı komponentlerin bozulmasına, dolayısıyla cihazın veya kartın resetlenmesine, hatalı ölçüm yapmasına, yanlış bilgi göstermesine veya tümden kapanmasına neden olabilir.

ESD’ye karşı alınabilecek önlemler iki grupta değerlendirilmelidir :

Kaynak durumundaki cihaz ve operatörlerde alınacak önlemler : ESD’yi önlemenin temel yolu, statik elektrik oluşumuna engel olmaktır. Bunun için antistatik malzemeler tercih edilebilir. Örneğin çalışılan zeminin statik yüklenmeye neden olmayan bir malzemeyle kaplanması, aynı şekilde opeartörlerin ayakkabılarının, kıyafetlerinin, eldivenlerinin statik elektrik oluşturmayacak malzemeden yapılması bir çözümdür. Bunun dışında, operatörde veya statik elektrik oluşturma potansiyeli olan cihazlarda topraklama, statik yükün birikmeden kontrollü olarak toprağa akmasını sağlar. Çalışırken bileğe takılması şart koşulan ESD bileklikleri bu amaçla kullanılmakta…

Etkilenen durumdaki cihaz veya devrelerde alınacak önlemler : Öncelikle imkan varsa etkilenen cihazların antistatik malzemelerle kaplanması bir çözüm olarak değerlendirilebilir. Ancak bunun genel olarak pek mümkün olmadığı bilindiğine göre ESD’ye dayanıklı komponent seçme, devreyi EMC kurallarına uygun tasarlama, verimli ve doğru topraklama, ESD’nin gelebileceği yerlere veya duyarlı komponentlerin önüne süzgeç devreler koyma, en yaygın olarak da; gelebilecek bir yüksek gerilim veya akım dalgasını kesen varistörler (özellikle MOV) kullanma genel olarak çözüme ulaştıracaktır.

Ar-Ge Yönetimi

Bir şirketin Ar-Ge çalışmalarının başarısı çok büyük ölçüde Ar-Ge yönetimine bağlıdır. Daha önceki yazımda Üst Yönetimin, şirketin bir parçası olarak Ar-Ge departmanının gizli yöneticisi olduğunu işaret etmiştim. Ar-Ge yönetiminde, şirketin izleyeceği genel politika ile Ar-Ge’nin şirket organizasyonunda bulunduğu konumun büyük etkileri var. Ama asıl etki Ar-Ge’nin kendi organizasyonu ile ortaya çıkıyor.

Ar-Ge’nin Yapısı

Ar-Ge departmanının yapılanmasında sayısız alternatif gözönüne alınabilir. Araştırmacı mühendis ekibin yönetimi, tekniker ve teknisyen ekiplerinin yönetimi, branş gruplarının yönetimi, bölünmüş yönetim, tek başlı yönetim, serbest çalışma yöntemi ile yönetim vb. yönetim biçimleri kullanılabilir. Burada şirkete en yatkın ve doğal olarak en çok verimin alınacağı yöntemin seçilmesi beklenir. Yani yönetim biçminde doğru tek değildir, her şirketin doğrusu farklı olabilir. Bir üniversite veya araştırma kurumundaki Ar-Ge yönetiminin gıda sektoründe faaliyet gösteren bir üretici şirkette de başarılı sonuç vereceğini iddia etmek çok mümkün değil. Ancak tartışmasız bir nokta var ki, o da Ar-Ge yöneticisinin vasıflarının Ar-Ge faaliyetlerinin kaderini belirliyor olduğu…

Ar-Ge Yöneticisi Kimdir??

Ar-Ge yöneticisi, 3 kişilik bir ekibin başı olabileceği gibi yönetimi altında birçok departmanı bulunduran bir direktör de olabilir. Ama her ikisinde de hedeflenen Araştırma ve Geliştirme yapılmasıdır. Bu amaca yönlendirebilecek yöneticinin en önemli vasfı Liderlik karakteridir. Ar-Ge yöneticisinin lider olması, yani ekibini beraberinde sürükleyebilmesi gereklidir. Liderlik karakteri, üzerinde birçok vasfı bulundurmayı gerektirir. Liderin süreçlerin başlatıcısı olması, ihtiyaç duyulan her noktada koçluk yapabilmesi, belklentilerini yansıtacak şekilde örnek olması ve farklı düşünceleri bir araya getirebilecek kadar arabulucu olması en belirgin karakter özellikleridir.

Şirket yöneticilerinin en yaygın kabullendikleri fikir, işi en iyi yapanın veya en eski olanın Ar-Ge yöneticisi olması…Zaman zaman olumlu sonuç verse de bu oldukça yanlış bir düşüncedir. Liderlik vasfı bulunmayan bir çalışanın sadece en eski veya teknik olarak işi en iyi bilen, veya en iyi yapan olarak Ar-Ge yöneticisi yapılması, Ar-Ge departmanını verimsizliğe ve kargaşaya götürecek kötü bir adımdır. Verimsizliğe götürür çünkü iyi bir araştırmacı kaybedilmiş ve yönetimsel işlerle meşgul edilerek köreltilmiş, hatta kullanılamamış olur. Kargaşa oluşur, çünkü yönetici teknik olarak doğru olduğunu düşündüğü konuda yanlış ısrarlarda bulunabilir, kendisine biçilen arabulucu, uyuşmazlıkları giderici rolün tersine Ar-Ge grubu içindeki uyuşmazlıkların kaynağı olur. “Teknik doğruyu en iyi ben biliyorum, yetki de bende” yaklaşımıyla ekip üyelerinden gelebilecek her türlü teknik veya sosyal fikre kapalı olur. Bu da eksik olan liderlik vasfının astları arasında daha yaygın olarak kabullenilmesine neden olur.

Oysa Ar-Ge yöneticisinden beklenen, lider olarak sadece ve sadece ekibini yönlendirebilmesi…İşi bilmesi işleyiş açısından bir artı getirebilir ancak kesinlikle bir şart değildir. İyi bir Ar-Ge yöneticisi, yani yönlendiricisi, tekstil tasarımı yapan ekibi de elektronik teknolojisi geliştiren ekibi de başarıyla yönetebilir. İyi bir Ar-Ge yöneticisi kendisinden çok daha tecrübeli, yaptığı işin uzmanı olan araştırmacıyı da yönetebilir. Sadece Ar-Ge için değil, genel olarak yöneticisi “lider” olan bölümler daha yüksek performans gösterir. Liderliğine inanılmayan bir yöneticinin astları, buldukları her fırsatta kendi bildikleri yoldan gideceklerdir…

Ekip ruhunun kurulması ve sürekli sağlamlaştırılması, Ar-Ge yöneticisinin gücünü arttırır. Bu bakımdan mühendis, tekniker, uzman vb. unvanların işleyişte sadece zincirin halkalarını işaret ettiği, zincirin güçlü olması için takım olarak güçlü olunması gerektiği, takımların mümkün mertebe farklı unvanlara sahip halkaların birbirine sıkıca bağlanması ile kurulması gerektiği düşüncesi Ar-Ge yöneticisinin ekibine aşıladığı en önemli fikir olmalı. Bu sadece çalışan motivasyonunu yükseltmekle kalmaz, çalışanın işe bakış açısını değiştirir, sahiplenme duygusunu arttırır.

Kullanacağı yönetim tarzı şirket politikasına, Ar-Ge ekibine ve çalışılan sektöre göre farklılık gösterebilse de temelinde Ar-Ge işi, kuralları belirli bir projeyi yönetme işidir. Ar-Ge yöneticisinin kaynak, zaman, bütçe ve benzeri parametreleri mutlaka bir sistematik dahilinde takip etmesi, sektörden bağımsız bir başarı anahtarıdır. Planlama, ileriyi hedefleme ama başarılı tahminlerde bulunma, ticari açıdan da başarıya götürecek yolların başında gelir.

Ar-Ge yönetimini keskin kriterlerle sınırlamamakla birlikte lider bir yönetici, takım ruhu taşıyan bir ekip ve disiplin içinde serbestliğe sahip organizasyonun temel ve genel kriterler olduğunu söyleyebiliriz…