Professional Documents
Culture Documents
Bilgem Teknoloji Dergisi-12.sayi
Bilgem Teknoloji Dergisi-12.sayi
Bilgem Teknoloji Dergisi-12.sayi
Başkandan
S
Bekleme gerekmeksizin art arda uzun süreli atış imkanı
iber güvenlik, siber saldırılara karşı alınan samlı bir test laboratuvarının kurulması ile atıldı. Ağ
Li-Ion bataryalı güç kaynağı sayesinde sessiz ve titreşimsiz operasyon tedbirler bütünüdür. En genel anlamda siber Güvenliği Grubu, Türk Silahlı Kuvvetleri’nin ve kamu
Araç alternatörü, sistem jeneratörü ve harici kaynaktan şarj imkanı güvenlik; bilgisayarların, ağların, programla- kurumlarının bilişim sistemleri güvenliği alanındaki
rın ve verilerin yetkisiz erişimlere, saldırı ve ihtiyaçlarını karşılamak üzere pek çok proje gerçek-
4 eksenli stabilize sistem sömürü amaçlı her türlü harekete karşı korunmasıdır. leştirdi. Ülkemiz için önemli olan güvenlik mimarile-
4 eksenli hassas hedef takip sistemi Siber alan, NATO tarafından kara, hava, deniz ve uzay- rinin tasarımı, sistemlerin güvenli kurulumu, güvenlik
dan sonra beşinci savaş alanı olarak ilan edilmiştir. testleri, risk analizi gibi alanlarda önemli tecrübeler
Araç hareket halindeyken hedefe angaje olma
Yakın dönemde Türk Silahlı Kuvvetleri bünyesinde Si- kazanıldı. Türkiye’nin önde gelen bilişim sistemle-
Hedefe otomatik kitlenme ve otomatik takip ber Savunma Komutanlığı kurulmuştur. Bilginin oldu- ri güvenliği merkezlerinden biri haline gelen Ağ Gü-
Radar entegrasyon opsiyonu ğu her alan önemli ve değerlidir. Biz ülkemizdeki her venliği Grubu daha sonra Bilişim Sistemleri Güvenliği
alanda yerli ve milli ürünlerin kullanılması gerektiğine Bölümü ve 2012 yılından itibaren de Siber güvenlik
inanıyoruz. Yabancı menşeli ürünlerin özellikle kamu Enstitüsü (SGE) adını aldı.
ve askeri alanlarda kullanılması birer tehdit kaynağı-
dır. Bu yüzden siber güvenliğin yerli ve milli çözümler-
BİLGEM Siber Güvenlik Enstitüsü olarak; siber güven-
le sağlanması kritik önem arz etmektedir.
lik alanında araştırma ve geliştirme faaliyetleri yürüt-
mekte, ulusal siber güvenlik çalışmalarına rehberlik
Ülkemizde siber güvenlik alanındaki ilk yasal düzenle-
360 Derece etmekte ve çözüme yönelik siber güvenlik projeleri
Kesintisiz
me Ekim 2012’de gerçekleştirildi. Bugüne kadar geçen
gerçekleştirmekteyiz. Ayrıca eğitim, test ve danışman-
Koruma sürede üç adet Siber güvenlik Stratejisi ve Eylem Pla-
lık faaliyetlerimiz de yoğun bir şekilde devam etmek-
Alanı nı hazırlandı. Geldiğimiz noktada siber uzay, devletler
arasında yeni bir mücadele alanı olarak görülmekte tedir. Yeni nesil siber güvenlik teknolojilerinin yerli ve
ve devletlerin askeri kapasitelerini geliştirmek için bir milli, dünya pazarında yer alacak şekilde katma değeri
fırsat olarak değerlendirilmektedir. Bu gelişmeler ve yüksek ürün, hizmet ve teknolojiler geliştirilmesini sağ-
siber saldırı alanları, uluslararası sistemi daha da be- lamak öncelikli hedeflerimiz arasında yer almaktadır.
lirsiz ve tehlikeli hale getirmektedir. Türkiye’nin, siber
güvenlik stratejisi geliştirme, siber savunma ve saldırı Dergimizin bu sayısında siber güvenlikle ilgili kap-
kapasitesine yatırım yapma ile ilgili çalışmalar yaptığı samlı bir dosya oluşturmaya çalıştık. Emeği geçen
ve bu konuda ülkemizde bir farkındalık olduğu açıktır. tüm çalışma arkadaşlarıma teşekkür ederim. Bir son-
raki sayımızda buluşmak üzere, sağlıcakla kalın.
BİLGEM Siber Güvenlik Enstitüsü (SGE)
ARMOL Araç İçi Drone İmha EYP İmha BİLGEM bünyesinde Siber Güvenlik Enstitüsü’nün te-
melleri 1997 yılında Ağ Güvenliği Grubu adı ile kap- Dr. Ali Görçin
www.bilgem.tubitak.gov.tr
1
50 Siber Güvenlik
İÇİNDEKİLER
Yazılım Geliştirme Yaşam Döngüsünde
Hız ve Güvenlik: DevSecOps
54 Siber Güvenlik
Sistem ve Kütüphane Çağrı Verileri ile Zararlı
Davranış Tespiti
01 Başkandan
58 Siber Güvenlik
14
Yazılım Güvenlik Fuzz (Bulandırma) Testleri
04 Proje Yönetimi
Proje Yönetimi ve Proje Yönetim Ofisi Siber Güvenlik
Ulusal Siber Güvenlik Stratejisi ve Eylem Planı, 2020-2023
62 Bilgi Güvenliği
Bilgi Güvenliği Risk Yönetimi
Danışma Kurulu
Dr. Öğr. Üyesi Cüneyt Utku
Sahibi (TÜBİTAK BİLGEM adına)
Dr. Ali Görçin
08 66
Mustafa Kemal İşler
Eğitim Genel Yayın Yönetmeni
32
Bilgi Güvenliği Cemil Sağıroğlu
Ekosistem Oluşturmada Dijital Akademi’nin İşlevi Siber Güvenlik Mehmet S.Ekinci
Oturum Yönetimi Dr. Demet S. Armağan Şahinkaya
Veri Tabanı Sistemleri İçin Güvenlik Önerileri Yazı İşleri Müdürü (Sorumlu)
Erdal Bayram
14 70
Büyük Veri Prof. Dr. Alikram Nuhbalaoğlu Dr. Aziz Ulvi Çalışkan
36
Siber Güvenlik
Siber Güvenlik BATUTA PROJESİ Gürcan Okumuş
Ulusal Siber Güvenlik Stratejisi ve Eylem Planı, 2020-2023 Coğrafi Büyük Veri Portalı
Sanat Yönetmeni
Oltalama Saldırılarının Tespitinde Makine Öğrenimi İsmail Doğan Ceren Olga Eke
Doç. Dr. Mesut Gökten
18
Editörler
40 74
Siber Güvenlik Isıl Tasarımı Dr. Mustafa Çetintaş
BİLGEM Siber Güvenlik Enstitüsü Koordinatörü Ayşe Siber Güvenlik Yoğun Paketlenmiş Askeri Elektronik Cihazların Dr. Orhan Muratoğlu
Dr. Ezgi Ayyıldız Demirci
İnanç: Bilginin olduğu her alan önemli ve değerlidir. Android Cihazlardaki Ön Yüklü Uygulamalar Isıl Yönetimi Dr. Umut Uludağ
Dr. Levent Balamir Tavacıoğlu
Yayın Kurulu
80
Şerafettin Şentürk
24 44 Siber Güvenlik Sinyal Analizi Dr. Aziz Ulvi Çalışkan Cenk Gökberk
Siber Güvenlik Gerçek Zamanlı Spektrum Gözetleme Analiz ve Kayıt Levent Hakkı Şenyürek
Siber Güvenlikte Trend Konular ve Çalışmalar Wi-Fi Güvenlik Teknolojileri Bilal Kılıç
Dr. İbrahim Soner Karaca
Erkan Yalçın
Abdulbaki Zengin
28 84
Dr. Hamza Özer
46
Yapay Zekâ Onur Özçelik
Siber Güvenlik Siber Güvenlik Dr. İzzet Karabay Abdullah Alpaydın
Yapay Zekâ ve Veri Mahremiyeti Uygulamaları
Uç Nokta Güvenliği Şüpheli e-Posta İnceleme Süreci ve Otomasyonu Mehmet S.Ekinci Bertuğ Kayhan
Tolga Mataracıoğlu Ahmet Kezik
88 Röportaj
2020 Yılı TÜBİTAK Fotoğraf Yarışması
Suyun Hayatımızdaki Yeri
M. Burcu Hıdımoğlu
İletişim Adresi
94
BİLGEM Teknoloji Dergisi
Yarı İletken Teknolojileri
P.K. 74, 41470 Gebze KOCAELİ
Atom Altı Parçacıkları Sayan Radyasyon Ölçer (SB)
Telefon
(0262) 648 1000
98 Sismik Analiz
FOTAS Projesi:
Fiber Optik Kablolarla Sismik Analiz
Web
www.bilgem.tubitak.gov.tr
e-posta
bilgemteknoloji@tubitak.gov.tr
103
18 66
Anı Baskı
Dr. Süleyman Temel Yalçın Anısına... Şan Ofset
Tel: (0212) 289 24 24
114
Dergide yayınlanan yazı ve görsellere kaynak gösterilerek
İktisat atıfta bulunulabilir. Dergide yayınlanan yazıların sorumluluğu
İsrafa Dair yazarına aittir, TÜBİTAK BİLGEM sorumlu tutulamaz.
BİLGEM Teknoloji Dergisi,
Basın Ahlak Yasası’na uymayı taahhüt eder.
2 3
Proje Yönetimi BILGEM
TEKNOLOJI
Diğer taraftan Portföy Yönetimi, portföy bileşenle- yüklenici yönetimine kadar 10 alanda bilgi ve
ri arasındaki çelişen talepleri dengeler, kaynakları tecrübe sahibi olması beklenmektedir. PMBOK
kurumsal önceliklere ve kapasiteye dayalı olarak proje yönetimi için 5 (beş) Süreç Grubu (Process
tahsis eder. Aynı zamanda stratejik hedeflerle Group), 49 (kırk dokuz) Süreç ve 10 (on) Bilgi Ala-
uyumlu fayda sağlamak için yönetim ilkelerini ve nı (Knowledge Domain) tanımlar. Proje yöneti-
uygulamaları da entegre eder. şimi süreçlerinin her biri bir bilgi alanına ve bir
süreç grubuna aittir.
En geniş kapsamlı olan Organizasyonel Proje Yö-
netimi kavramı ise kuruluşun stratejik hedeflerine
ulaşmak amacıyla portföy, program ve proje yö- Proje süreç grupları, gerçekleştirilen görev ve akti-
netiminin bütünleşik yürütülmesini kapsar. Bu sü- vitelerin mantıksal sınıflandırılmasıdır.
reçte projelerle ilgili iki temel soru cevaplandırılır: 1. Başlangıç: Projenin başlama izin ve onaylarının
1. Doğru işleri yapıyor muyuz, doğru projeleri se- alınması, proje yöneticisinin atanması
çiyor muyuz?
Proje Yönetimi ve
2. Planlama: Proje hedeflerinin belirlenmesi, he-
a. Kaynaklarımızı stratejik hedeflerimize en çok
katkı yapacak girişimlere (program ve projelere) deflere ulaşmada alternatif yolların oluşturulması
ayırdığımızdan emin miyiz? ve en uygununun seçilmesi
b. Kuruluşun sınırlı kaynaklarını ve değişime uyum 3. Yürütme: Oluşturulmuş olan planın insan kay-
P
roje Yönetim Ofisi, PYO (Project Management nagement Body of Knowledge, PMBOK, 2017) temel timi doğru işin doğru zamanda ve ayrılan yeterli • Entegrasyon Yönetimi
Office, PMO) olarak adlandırılan organizasyonel alacağız. kaynakla birlikte uygulanmasını sağlar. • Kapsam Yönetimi
birimler, çok sayıda proje yürüten firma ve ku- • Zaman Çizelgesi Yönetimi
rumlarda, proje ve programların kuruluşun stratejile- Portföy - Program - Proje Proje yöneticilerinin, zaman ve bütçe planlamadan • Maliyet Yönetimi
rine uygun olarak seçilmesi ve etkin bir şekilde yöne- PMBOK’da Proje; “özgün bir ürün, hizmet veya sonuç risk analizine, iletişim yönetiminden tedarik ve alt
tilmesinden sorumludur. PYO, proje ile ilgili yönetişim yaratmak için yürütülen geçici bir girişim” olarak ta-
süreçlerini standartlaştıran, kaynak, metodoloji, araç nımlanır. Bu kısa tanımda, proje çıktısının “özgün” ol-
ve tekniklerin paylaşılmasını kolaylaştıran bir yöne- duğu, çıktının ürün olabileceği gibi hizmet veya süreç
tim yapısıdır. PYO, yetkin insanlar, süreçler ve araç- gibi çözümler de olabileceği ve çıktıyı geliştirmek ve
ların bir birleşimidir. İlgili birimlerin üstlendiği roller üretmek için başı ve sonu olan “geçici” faaliyet yürü-
kuruluşun büyüklüğüne, yönetilen projelerin kapsa- tüleceği ifade edilmiştir.
mına bağlı olarak değişiklik gösterebilir.
Proje teriminin yanı sıra Program ve Portföy gibi
Proje Yönetimi ve PYO konularının detaylarına gir- terimler sıklıkla kullanılır. Bazen birbirinin yerine
meden önce, temel kavramların hızlıca üstünden de kullanılan bu ifadeleri, anlam karmaşasını önle-
geçmek iyi olur. İlgili kavramların tanımı için dünyaca mek açısından açıklamak gerekmektedir. PMBOK’da
kabul görmüş ve Proje Yönetim Enstitüsü (Project Portföy; “stratejik hedeflere ulaşmak için bir grup
Management Institute, PMI) tarafından yayınlanan olarak yönetilen projeler, programlar, yardımcı port-
Proje Yönetim Bilgi Birikimi Kılavuzu’nu (Project Ma- föyler ve faaliyetler bütünü” olarak tanımlanır. Prog-
Şekil 1. Portföy, Projeler ve
Programlar Şeması Örneği
5
Proje Yönetimi BILGEM
TEKNOLOJI
6 7
Eğitim BILGEM
TEKNOLOJI
BİLGEM DİJİTAL
Dijital
Teknoloji
Günleri
AKADEMİ
Kabiliyet Tesis Fatih Tekmen - Araştırmacı, Rümeysa Çakmak - Araştırmacı, Tuğçe Yılmaz - Uzman Yardımcısı,
Rehberleri
Sevinç Karakaş- Uzman, Nuriye Ünlü - Ens. Md. Yrd. / BİLGEM YTE
Dijital
Olgunluk Işıklı
BİLGEM YTE bünyesinde bulunan Dijital Akademi ile eğitim ve
Değerlerdirme Tahta rehberlik sunumuna yönelik altyapılar hazırlanacak, kurum
Modeli
içi ve d-Devlet ekosistem paydaşlarımıza yönelik olarak kapasite
kazandırma çalışmaları yürütülecektir.
Dijital
K
Yetkinlik
Stüdyo üresel dijital eğilimleri ve gelişmeleri takip rumlarının dijital yetkinliklerinin geliştirilmesi ve
Değerlerdirme
Modeli etmek, ekosistem paydaşları ile iş birliğinde yürüttükleri proje ve faaliyetlerinin etkililik, etkinlik
yeni teknoloji ve yenilikçi yaklaşımlara ilişkin ve bilgi güvenliği niteliklerinin artırılmasıyla dijital
kapasite geliştirmek TÜBİTAK BİLGEM’in strate- kamu hizmetlerinin kalite ve performansının iyi-
jik amaçları arasında önemli bir yere sahiptir. Bu leştirilmesi sağlanıyor.
Çevirim içi doğrultuda TÜBİTAK BİLGEM Yazılım Teknoloji-
Dijital
İşbirliği leri Araştırma Enstitüsü(YTE), ekosistem etkile- İkinci aşama: Dijital Olgunluk Değerlendirme Mo-
Uygulama şiminin sürekli ve etkin bir şekilde sağlanmasına deli ile uyumlu olarak 2017 yılında Türkiye’ye özgü
Katılımcılık Geliştirme
Projesi yönelik olarak, 2016 yılından bu yana Dijital Ol- Dijital Yetkinlik Değerlendirme Modeli geliştirilmiş
gunluk Değerlendirme Modeli’ni yürütüyor. Dijital ve Model ile kamu kurumlarında çalışan bilişim
Yetkinlik Değerlendirme Modeli ile Dijital Kabiliyet uzmanlarının yetkinlik değerlendirmesi yapılarak
Rehberliği çalışmaları tek bir çatı altına alındı ve güçlü ve zayıf yönlerinin belirlenmesi ve mesleki
Dijital Akademi hizmeti tüm ekosistemin kullanı- gelişim açısından iyileştirmeye açık alanların ta-
Kapasite Göz İzleme mına sunuldu. nımlanması amaçlanıyor.
Geliştirme Laboratuvarı
Eğitimleri Dijital Akademi'de bugüne kadar hayata geçirilen Dijital Olgunluk Değerlendirme Modeli ve Rehber-
Global Yenilikçi modeller büyük önem taşıyor. lik Projesi kapsamında hazırlanan tüm rehberlerin
İşbirliği Eğitim www.dijitalakademi.gov.tr platformu ile kullanıcı-
Geliştirme Teknolojileri Birinci aşama: 2016 yılında başlatılan iç destekli lara açık erişimi sağlanıyor. Rehberlerin kullanı-
Dijital Olgunluk Değerlendirme Modeli ve Rehber- mının yaygınlaşması amacıyla eğitim programları,
lik (DIJITAL-OMR) Projesi, Dijital Devlet (d-Devlet)
alanında ülkemiz koşulları ile kamu kurumlarının
ihtiyaçları göz önünde bulundurarak uluslararası
çalışmalar çerçevesinde kurumsal dijital kabili-
yetlerinin bütüncül bir yapı üzerinden değerlendi-
rilmesini sağlıyor. Dijital Olgunluk Değerlendirme
Modeli’nin geliştirilmesi ve bu Model ile uyumlu
Rehberlerin hazırlanmasıyla birlikte dijital kurum-
sal kapasitenin artırılmasına yönelik hizmet sunu-
luyor.
8 9
Eğitim BILGEM
TEKNOLOJI
lik ve tecrübelerin aktarımı sağlanacaktır. Kamu rek baştan sona tamamlama imkânları sunul-
bilişim uzmanlarının yetkinliklerini arttıracak, ması hedefleniyor. Eğitmen ve eğitime katıla-
yeteneklerini geliştirecek rehberlik programları caklar için kolay kullanım sağlayan Türkiye’de
verilecektir. de birçok kurum ve kuruluş tarafından kullanı-
lan Moodle ile çevirim içi kurslar oluşturuluyor.
Kamu bilişim uzmanlarının eğitim ihtiyaçlarını
gerek uzaktan gerek geleneksel yollarla karşıla- Moodle, bir Uzaktan Eğitim platformunda ihti-
mak ve kamunun dijital dönüşümüne eğitimler- yaç duyulabilecek çevrimiçi canlı ders, webinar,
le ve işbirlikleriyle destek sağlamak misyonuyla interaktif eğitim videoları, ödev, anket, sertifika,
bu konuda çözümler geliştirilmektedir. Günü- forum gibi etkinliklerin çoğunu fazlasıyla yerine
müz ihtiyaçları ve gelişmeleri doğrultusunda, getirebilecek özelliklere de sahip olacaktır.
uzaktan eğitim sistemi ile eğitim ihtiyaçlarına
her zaman her yerde cevap verebilmek hedef- Çoklu-ortam kaynakları (Youtube videoları,
leniyor. Uzaktan eğitim altyapısı ile zamandan LMS ile uyumlu Adobe programları ile üretilen
ve mekândan bağımsız olarak ihtiyaç duyulan materyaller vb.) Moodle üzerinde kolaylıkla yö-
eğitimlerin kişinin kendi hızında alması amaç- netilebilecektir.
lanıyor.
Yüz Yüze Eğitim
Öğrenme Yönetim Sistemi (LMS) Dijital Akademi Etkinlik Alanı için ihtiyaçlar be-
Eğitimlerin uzaktan gerçekleşebilmesi için Öğ- lirlenmiş ve tesis tasarlanmıştır. İhale süreci
renme Yönetim Sistemi (LMS) kurulmuştur. devam eden alan için 100 kişi kapasiteli bir amfi
2020 yaz stajyer eğitim programı ve enstitü or- oluşturulacaktır. Çeşitli etkinliklerin, seminerle-
yantasyon programı bu sistem üzerinden ger- rin, konferansların ve meet-up’ların düzenlene-
çekleştirildi. Ayrıca, düzenlenen rehberlik hiz- bileceği tesis ile daha geniş katılımlar sağlan-
metleri eğitimleri de bu sistem üzerinden verildi. ması hedeflenmektedir.
Kamu bilişim uzmanlarına çeşitli öğrenim içe- Amfi alanına ek olarak sınıf eğitimleri için bir
riklerini bir arada sunan uzaktan eğitim platfor- adet eğitim sınıfı bulunuyor. 20 kişi kapasiteli
mu “Dijital Akademi Öğrenme Yönetim Sistemi” uygulamalı eğitimler de verilebilen bu eğitim sı-
toplantılar ve çalıştaylar düzenlenerek sunuldu. 2021 yılında da Dijital Akade-
ile farklı modüller seçerek öğrenime başlama nıfı, katılımcıların arasındaki etkileşimi arttıra-
etkin mekanizmaların hayata geçirilmesi mi eğitimleri ve rehberlik hizmetleri ile
veya tercihlerine göre doğrudan bir kurs seçe- bilmek için U düzeninde tasarlandı.
hedefleniyor. d-Devlet ekosisteminde görev alan bilişim
uzmanlarının yetkinliklerinin artırılması
Yanı sıra, çevrimiçi derslere yö-
Üçüncü aşama: Mayıs 2019 yılında TÜ- hedefleniyor.
nelik video çekim için stüdyo
BİTAK BİLGEM’in iç destekli projesi ola-
kuruldu. Eğitim videoları çekimi
rak başlayan Dijital Akademi çalışmaları Dijital Akademi Çatısının Oluşumu
için Işıklı Tahta (lightboard) kul-
Dijital Olgunluk Değerlendirme Modeli ve Dijital Akademi ile yeni teknolojiler ve ye-
lanılıyor. Böylelikle izleyici hem
Rehberlik Projesi kapsamında yayımla- nilikçi yaklaşımlar kullanılarak yetkinlik
eğitmeni görebilirken hem de
nan rehberlerin eğitimleri ve PostgreSQL bazlı dijital kapasite kazanımına yönelik
yazılanları rahatça takip edebi-
Geliştirici Eğitimleri ile başladı. 2017 yılın- altyapılar hazırlanarak kurum içi ve d-dev-
liyor. Bu stüdyoda yapılan çe-
da İşletim ve Bakım Rehberi Eğitimleri ile let ekosistem paydaşlarımıza söz konusu
kimler ile video içerikler de oluş-
başlayan eğitimler 2018 yılında Veri Mer- altyapılar üzerinden kapasite kazandırma
turulabilmekte. Eğitim videoları
kezi Rehberi Eğitimleri ve PostgreSQL Ge- çalışmaları yürütülecektir. d-Devlet eko-
sadece dijital kaynaklar kulla-
liştirici Eğitimleri ile hız kazandı. sistemi kapasite kazandırma çalışmala-
nılarak ve ekran çekimleri ile de
rında kullanılmak üzere duyulan fiziksel
hazırlanabiliyor.
Tüm bu aşamalarda 2017 yılında başla- mekan ihtiyacının karşılanması amacıyla
yan dijital kapasite geliştirme eğitimlerine TÜBİTAK Çukurambar Ek Bina’nın giriş
2021 yılında da “Dijital Akademi
125 kamu kurum ve kuruluşu, özel sektör katında tahsis edilen alan Dijital Akademi
Eğitimleri ve Rehberlik Hizmet-
firmaları, üniversiteler ile sivil toplum ku- tesisine dönüştürülecektir.
leri” ile d-Devlet ekosisteminde
ruluşlarından temsilciler katıldı. Gerçekle-
görev alan kurumların olgunluk
şen 53 eğitimde %91,3 genel memnuniyet Dijital Akademi ile sunulacak dijital ka-
gelişimleri ve bilişim uzmanla-
ortalaması ile 951 bilişim uzmanına 694 pasite kazandırma çalışmalarına ilişkin
rının yetkinliklerinin artırılması
saat eğitim verildi. 2020 yılı içerisindeyse Rehberlik Kataloğu oluşturulmuş olup TÜ-
hedefleniyor.
17 eğitimde 405 bilişim uzmanına %91,6 BİTAK BİLGEM dahil olmak üzere tüm eko-
genel memnuniyet ortalaması ile eğitim sistem paydaşlarının sahip olduğu yetkin-
10 11
Kapak BILGEM
TEKNOLOJI
Beşinci
Savaş SİBER
Alanı: Güvenlİk 14 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı, 2020-2023
28 Uç Nokta Güvenliği
12 13
Siber Güvenlik BILGEM
TEKNOLOJI
Ulusal Siber Güvenlik Stratejisi ve Erkut Beydağlı - Başuzman Araştırmacı / BİLGEM SGE
14 15
Siber Güvenlik BILGEM
TEKNOLOJI
için de yapay zeka teknolojisinin kullanılabilmesi bu devam edilmesi son derece önemlidir. Bu stratejik
stratejik hedef kapsamında gündeme gelmektedir. amaç doğrultusunda iç ve dış siber güvenlik tehdit-
Otonom/yarı-otonom olarak inceleme sağlayacak lerinden korunabilmek için milli güvenlik politika-
algoritmaların yapay zeka teknolojisi ile kullanılma- larımızda siber güvenlik ile ilişkili önlemlerin de yer
sı, olası siber güvenlik saldırılarının gerçek zamanlı alması sağlanacaktır. Bu kapsamda; Cumhurbaş-
tespitini ve alınabilecek önlemlerin tetiklenebilme- kanlığı Dijital Dönüşüm Ofisi (CB DDO), Savunma
Sanayi Başkanlığı, Siber Savunma Komutanlığı,
sini sağlayacaktır.
BTK USOM ve TÜBİTAK kurumlarının koordinas-
yonunun son derece önemli olduğu değerlendiril-
Siber Suçlarla Mücadele mektedir.
Bu alanda özellikle siber suçların (bilgisayar ve in-
ternete özgü suçlar) azaltılabilmesine yönelik ola- Uluslararası İş Birliğinin Geliştirilmesi
rak gerekli güvenlik önlemlerini içeren bilişim alt- Siber saldırılar, fiziksel mekan bağımsız saldırılar-
yapılarının standardizasyonu, saldırganların tespit dır. Saldırgan, bulunduğu fiziksel mekandan bağım-
edilebilmesi ve caydırıcılığı sağlayacak etkinlikte sız olarak istediği fiziksel noktaya sınır ötesinden
yasal yaptırımların gündemde olması önemlidir. Si- saldırı gerçekleştirebilir. Bu sebeple saldırı analizi,
ber suçlarda hedef insan, mal varlığı veya işletilen saldırgan tespiti kapsamında ve saldırılara karşı
sistem olabilmektedir. Özellikle maddi çıkar elde et- birlikte önlem alabilmek için uluslararası işbirlikle-
meye yönelik saldırılarda talep edilen maddi tutarın ri ve uluslararası organik savunma platformlarının
anonim veya takip edilemeyen bir şekilde transfer oluşturulması gerekmektedir. Bu stratejik amaç
doğrultusunda uluslararası siber güvenlik tatbikat-
edilebilmesi, saldırganların bu alana yönelik yoğun
ları düzenlenmesi, mevcut işbirliklerinin geliştiril-
bir şekilde saldırı mesaisi harcamasına sebep ol- mesi, siber saldırı engelleme ve saldırgan tespiti-
ları engellemeye yönelik olarak kritik altyapıların farkındalığını artırıcı etkinliklerin her kesime (aile- maktadır. Uluslararası saldırgan motivasyonunun ne hizmet edecek yeni işbirliklerinin oluşturulması
IEC 62443 Standardı kapsamında sertifikalan- ler, çocuklar, öğrenciler, gençler, kadınlar, yaşlılar da yüksek olduğu bu alanda saldırı engelleme ve sağlanacaktır.
dırılması değerlendirilmelidir. Bilişim sistemleri ve engelliler) ulaşılması öncelikli hedefler arasında olası saldırı durumunda saldırgan tespiti için ilgili
için özelleşmiş olan ISO/IEC 27001 standardının yer almaktadır. kolluk kuvvetleri arasında uluslararası işbirlikle- Yukarıda belirtilen stratejik amaçların gerçekleş-
Endüstriyel Otomasyon ve Kontrol Sistemleri için rinin tesis edilebilmesi için çalışmalar yapılması tirilmesine yönelik olarak ülkemizde ilgili uzman
karşılığı IEC 62443 olarak ifade edilebilir. Kritik Siber güvenliğin sağlanması kapsamında birey önemlidir. kurum ve kuruluşlar (Kamu, Özel Sektör, Akade-
altyapı sektörlerinde düzenleme ve denetlemeye olarak güvenlik farkındalığı son derece önemli mi ve STK’lar) 2020-2023 dönem aralığı için 40
Yerli ve Milli Teknolojilerin Geliştirilmesi (kırk) adet eylem ve 75 (yetmiş beş) adet uygula-
dayalı siber güvenlik yaklaşımının geliştirilmesi olup, özellikle insan unsuruna yönelik sosyal mü-
ve Desteklenmesi ma adımı kapsamında görevlendirilmiş olup, ilgili
stratejiktir. hendislik saldırıları konusunda dikkatli olunması görevlerin gerçekleştirilmesi Ulaştırma ve Altyapı
her zaman hatırlanmalıdır. Yerli ve Milli Siber Güvenlik Çözümleri, test ve ser-
tifikasyonun gündeme alındığı bu stratejik amacın Bakanlığı koordinasyonunda periyodik olarak de-
Kritik altyapılarda en önemli hususlardan bir tane- netlenmektedir.
si iş sürekliliği olduğundan, kritik altyapılarımızın Organik Siber Güvenlik Ağı gerçekleştirilebilmesi için ilgili kuruluşlar (kamu-a-
siber güvenliğinin 7/24 konsepti ile korunması ve Siber saldırılara [zararlı yazılımlar (fidye yazılımla- kademi-özel sektör) yoğun bir çaba içerisinde-
sürekli ayakta tutulacak şekilde yedeklilik yaklaşı- rı, virüs, solucan, truva atı vb.) oltalama saldırıla- dir. Burada işbirliği ve birlikte çalışma son derece
mıyla işletilmeleri gerekmektedir. rı, gelişmiş kalıcı tehditler, sıfırıncı gün saldırıları, önemlidir. Bu stratejik amaç doğrultusunda, ulus-
vb.] ilişkin işbirliği ve anlık bilgi paylaşımının sağ- lararası pazarda da ülkemizde geliştirilmiş siber
Ulusal Kapasitenin Geliştirilmesi lanabileceği bir platformun etkinliğinin artırılması güvenlik çözümlerinin rekabet edebilmesi hedef-
Siber güvenlik alanında en önemli konulardan bir önemlidir. Burada özellikle Ulusal Siber Olaylara lenmektedir.
tanesi de yetişmiş nitelikli insan gücü ve siber gü- Müdahale Merkezi (BTK USOM) koordinasyonun-
venlik farkındalığıdır. Bu kapsamda örnek olarak; da, siber güvenlik alanında çalışan veya siber gü- SiberKüme üye kuruluşlar tarafından siber güvenlik
Savunma Sanayi Başkanlığı (SSB) himayesinde venliğe ilgi duyan her kesimden insanın bilgi ve çözümlerinin geliştirildiği, ilgili siber güvenlik test
kurulan SiberKüme (Türkiye Siber Güvenlik Kü- tecrübe paylaşımına katılmasına imkan ve yön ve- kuruluşları (TÜBİTAK, TR-TEST, özel laboratuvarlar)
melenmesi, www.siberkume.org.tr) tarafından, recek organik siber güvenlik ağının etkinleştirilme- tarafından test edildiği ve sertifikasyon kapsamında
yetişmiş insan gücü sağlamaya ve siber güvenlik si hedeflenmektedir. Özellikle kurumlarda bulunan da Türk Standartları Enstitüsü (TSE), TR-TEST ta-
farkındalığına yönelik çalışmalar artarak devam SOME ve üniversitelerde oluşturulabilecek siber rafından gerekli belgelendirmelerin yapıldığı ulusal
etmektedir. Özellikle üniversitelerde, siber güvenlik güvenlik kulüplerinin bu platforma katkısının son bir mekanizmanın bu stratejik hedef kapsamında
lisans ve yüksek lisans programları başlatılmak- derece yüksek olacağı değerlendirilmektedir. ortaya çıkarılması ve geliştirilmesi önemlidir. Test
ta ve kamu kurumları tarafından siber güvenlik ve sertifikasyon altyapısının, ülkemizde kullanılan
yaz okulları, tatbikatları ve yarışmaları düzenlen- Yeni Nesil Teknolojilerin Güvenliği yabancı siber güvenlik çözümlerine de aynı disipli-
mektedir. Kurumlarda Siber Olaylara Müdahale Yeni nesil teknolojilerin (örneğin bulut bilişim, nin uygulaması hedeflenmektedir.
Ekipleri (SOME) oluşturulması ve güçlendirilmesi nesnelerin interneti, 5G) hayatımıza girmesi veya
de bu stratejik amaç doğrultusunda planlanmak- yakın zamanda girecek olması ile birlikte bunla- Siber Güvenliğin Milli Güvenliğe Entegrasyonu
tadır. SOME’nin yetkinlik seviyelerinin ölçülmesi/ rın getireceği konfor ile birlikte güvenli kullanım- Siber olaylara müdahalenin olay öncesi, esnası ve
izlenmesi ve ekip üyeleri yetkinliklerinin artırılması ları için önlemler alınması da son derece önemli sonrasını kapsayan bir bütün olmasından hareket-
stratejiktir. Ayrıca toplum genelinde siber güvenlik olacaktır. Bu önlemlerin etkinliğinin artırılabilmesi le; proaktif siber savunma anlayışının geliştirilmeye
16 17
Siber Güvenlik BILGEM
TEKNOLOJI
BİLGEM Siber Güvenlik Enstitüsü Fotoğraflar - Kerem Bora Özbayrak - Uzman Yardımcısı / BİLGEM IGBY
Bilginin olduğu
karşı korunmasıdır.
Ayşe İnanç
Lisans ve Yüksek Lisans eğitimini Berlin Frei Ünversitesi, Bilgisayar Mühendisliği Bölümü’nde
tamamladı. 2010 yılında başladığı Belbim A.Ş’de ‘Akıllı Yolcu Bilgilendirme ve Ödeme Sistemleri’
başta olmak üzere çeşitli projelerde görev aldı. 2016 yılında TÜBİTAK BİLGEM Siber Güvenlik
Enstitüsü’nde çalışmaya başladı.
18 19
Siber Güvenlik BILGEM
TEKNOLOJI
20 21
Siber Güvenlik Bu bir proje
tanıtımıdır.
Yerlisinyal
siber güvenlik alanında araştırma ve
geliştirme faaliyetleri yürütmekte,
ulusal siber güvenlik çalışmalarına
rehberlik etmekte ve çözüme Demiryolu Sinyalizasyon Sistemleri
yönelik siber güvenlik projeleri
gerçekleştirmekteyiz. YERLİSİNYAL Projeleri, ülkemizdeki demiryolu hatlarında var olan sinyalizasyon eksikli-
ğini gidermeyi ve bu alandaki büyük dışa bağımlılığı ortadan kaldırmayı amaçlamaktadır.
Bu kapsamda sinyalsiz demiryolu hatları, emniyetli ve yerli ürünlerle donatılmaktadır.
mek, yakın zamanlı hedeflerimiz arasındadır. Ürünleşme Geliştirilen YERLİSİNYAL anklaşman sistemleri ve trafik kontrol merkezleri, Türkiye’nin
aşamasındaki projelerimizle, siber güvenlik alanında çeşitli bölgelerinde toplam 850 km.lik demiryolu hat kesiminde devreye alınmaktadır.
yeni teknolojilere yerli imkanlarla sahip olunmasına kat- 1500 km.lik hat kesimi için ise projelendirme çalışmaları devam etmektedir.
kıda bulunmayı, ülkemizde gerçek anlamda güvenliğin
Uluslararası işbirlikleri kapsamında NATO Siber Savun- sağlanması ve güvenlik gibi bir alanda dışa bağımlılığın
ma Mükemmeliyet Merkezi’nde bir temsilci bulundur- azaltılmasını hedeflemekteyiz.
Ürünler-Konvansiyonel Demiryolu Hatları İçin Özellikler
maktayız. Bu sayede uluslararası alanda yapılan çalış-
maları yerinde takip etmekte ve düzenlenen tatbikatlara Orta vadeli hedeflerimiz arasında kritik altyapılar ile ilgili Hatboyu Sinyalizasyon Sistemleri Uluslararası standartlara uygunluk
katılım sağlamaktayız. Bu kapsamda yine NATO desteği
çalışmalar bulunmaktadır. Öncelikli olarak enerji sistem- Anklaşman Sistemleri (SIL4) Yüksek emniyet seviyesi ve işlevsellik
ile farklı ülkelerde siber güvenlik eğitimleri gerçekleşti- Saha Ekipmanı Sürme Üniteleri (SIL4) Düşük ilk yatırım maliyeti
leri için uygulanabilecek bir model geliştirmeyi, bunun
riyoruz. Bugüne kadar Azerbaycan, Ürdün ve Tunus’ta Trafik Kontrol Merkezleri Düşük bakım ve işletme giderleri
toplam 4 eğitim gerçekleştirdik. 2021 yılı içinde yine diğer kritik altyapılar için de uyarlanabilir bir yapı olma-
Bölgesel, Yerel Kumanda Masaları Kritik tüm bileşenleri yerli
Azerbaycan’da bir eğitim gerçekleştirmeyi planlıyoruz. sını ve bu önemdeki sistemlere savunma yetenekleri ka-
Açık arayüzlere sahip
Söz konusu eğitimlerin katılımcıları arasında ilgili ülke- zandırmayı amaçlamaktayız.
lerin askeri ve farklı kamu kurumlarından seçilen perso-
nelleri yer almaktadır. Bu kişilere ülkemizde geliştirilen BİLGEM Siber Güvenlik Enstitüsü’nün yakın, orta ve uzun
yerli ürünlerden bahsetme ve bir pazar payı oluşturma vadeli hedefleri arasında, yeni nesil siber güvenlik tekno-
şansı da bulmaktayız.
lojilerinin yerli ve milli, dünya pazarında yer alacak şekil-
SGE’nin yakın, orta ve uzun vadeli hedefleri nelerdir? de katma değeri yüksek ürün, hizmet ve teknolojiler ge-
Siber Güvenlik, farklı alanların bir arada incelenmesi ve liştirilmesini sağlamak yer almaktadır. Alanda, ulusal ve
doğru şekilde yönetilmesi gereken bir alandır. Teknik uluslararası seviyede, kamu, sanayi ve akademi işbirliği
konular yanında yasal, politik, askeri gibi farklı alanların ile çalışmalar yapmak ve koordinasyon sağlamak hedef-
da devreye girdiği bir alan olduğundan, strateji ve he- lerimiz arasında yer almaktadır.
deflerin ulusal ve uluslararası çerçevede belirlenmesi
gerekmektedir. SGE olarak, kurumsal hedeflerimizi hem SGE’de ihtiyaç duyduğunuz çalışan profili hakkında bilgi
Ulusal Siber Güvenlik Stratejisi ve Eylem Planında be-
verebilir misiniz?
lirtilen maddelere göre hem de siber güvenlik alanında
SGE’de farklı uzmanlık alanlarına olan ihtiyaç sebebiyle
araştırma ve geliştirmeye yönelik yaptığımız çalışmalara
göre belirlemekteyiz. çalışan profilimiz de farklılık göstermektedir. Yürütmüş
olduğumuz sızma testi, güvenlik denetlemeleri ve siber
Yakın vadeli hedeflerimiz arasında, siber güvenlik ala- güvenlik çözümlerine yönelik çalışmalarımız kapsamın-
nında yetişmiş insan gücüne olan ihtiyaçtan dolayı kamu da; uluslararası alanda kabul görmüş güvenlik metodo-
kurumları, üniversiteler, özel sektör ve eğitim kurumları lojilerine hâkim, ağ ve topoloji bilgisi olan, sistem güven-
ile eylem planı kapsamında çalışmaların planlanması ve lik açıklarını tespit edip çözüm geliştirebilen çalışanların
hayata geçirilmesi yer almaktadır. Eğitim vermenin ya- yanı sıra temel siber güvenlik prensiplerine hâkim, krip-
nında öğrenciler için düzenlenen siber güvenlik kamp- tografi ve güvenli yazılım geliştirme süreçleri hakkında
larında etkin rol almak, eğlenerek öğrenmeyi sağlayan tecrübeli çalışanlar yer almaktadır.
ve güvenlik bakış açısını kazandıran faaliyetlerden olan
CTF (Capture The Flag) yarışmaları gerçekleştirmek he- Hızla gelişen ve değişen teknolojiyi düşündüğümüzde
deflerimiz arasındadır. değişimleri çok yakından takip etmek ve ortaya çıkabi-
lecek tüm riskleri tespit etmek, yorumlamak ve çözüm
Siber güvenlik alanında yerli ve milli teknolojilerin geliş- üretmek gerekmektedir. SGE çalışanları hem bu geliş-
tirilmesi ve uluslararası boyutta ticari çalışmalar yürüt- meleri takip etmekte hem de eğitimler vermektedir.
www.bilgem.tubitak.gov.tr
22
BILGEM
TEKNOLOJI
Tüm dünyayı etkileyebileceği somut olarak görül- mi sonrasında da uzaktan çalışmayı gündemde
düğünde, hacker grupları ve devletler kendi çıkar- tutacak iş modellerinin tasarlandığı bugünlerde en
ları için virüs geliştirmeye ve siber ordularını kur- önemli konuların başında şüphesiz VPN kapasitesi,
maya başladılar. Adı üzerinde bir ordunun görevi, güvenliği ve yedekliliği gelmektedir.
yeri geldiğinde yapılan saldırıyı püskürtmek ve sa-
vunma yapmak, yeri geldiğinde ise karşı atak yap- 2021 yılı Mart ayında ücretsiz bir VPN hizmeti su-
mak ve önce davranıp saldırı planlamaktır. Nitekim nan firmadan 1.2 TB boyutunda 21 milyon kullanı-
şu an bulunduğumuz topraklarda yaşanan Truva cının bilgilerinin çalındığı açıklandı. Şirketlerin veya
Atı olayı da tam olarak günümüze uyarlanabilir du- kamu kurum ve kuruluşlarının iç ağına bağlantı için
rumdadır. Truva atı artık fiziki bir at değil, sanal or- kullanılan VPN’lerin güvenliğinin ve yedekliliğin en
tamda geliştirilen ve hedefin içerisine sızan, sızdı- üst seviyede sağlanması oldukça kritiktir. VPN sis-
rılan yapılar olarak olarak karşımıza çıkmaktadır. temlerine girişlerde çok faktörlü doğrulama (multi
factor authentication) seçeneklerinde SMS kullanı-
Siber Güvenlikte
Dünya geneline baktığımızda pandemi ile birlikte mı yerine doğrulayıcı uygulamaları (authenticator)
ya da kendi iç mesajlaşma uygulamaları ya da ku-
market alışverişlerinden araç alımlarına, ofise git-
ruma özel uygulamalara anlık bildirim (push notifi-
meden bir işe başlamaya, okula gitmeden eğitime cation) kullanılması gerekir.
S
iber güvenlik kavramı denilince ya da bu yıt eden) yazılımlar, solucanlar gibi akademik lara karşı bir çok çözüm önce bağlantı, ilgili kişi ile paylaşılıyor ve bağlan-
kavram ile ilişkili en temel konular gün- dünyada ve siber güvenlik alanında çalışanlar de geliştirilmektedir. tıya sahip kişiler bu sis-
demde iken, akıllara bundan yaklaşık 20 yıl tarafından zaten bilinen ve tanımlanan virüs çe- Bu yazımızda bunlar- temlere girebiliyorlardı.
kadar önce virüs bulaşması geliyordu. Bilgisa- şitlerinin bilinirliği yaygınlaştı. Bunlarla birlikte dan öne çıkanları şu Aslında bu durumun
yarınıza bir virüs bulaşır, bilgisayarınız çalışmaz şekilde sizlerle payla- başından beri güvenli
artık bir zararlı, sadece ilgili bulaşa maruz kalan şıyor olacağız;
hale gelirdi ya da dosyalarda bozulmalar olurdu. bilgisayarı değil, bulunduğu ev ve işyeri ağındaki olmadığı biliniyordu fa-
Bu durumu zamanla CD/DVD’ler ile USB Bel- diğer bilgisayarları, mahalleyi, şehri, ülkeyi, kıtayı kat pandemi ile birlikte
lek’ler (halk arasında Flash Bellek’ler) takip etti. √ VPN Güvenliği ve toplantıların gündemin-
derken tüm dünyayı etkilemeye başladı. Yedekliliği
CD/DVD ve USB Belleklerin kullanılmaya baş- de gizli ve/veya stratejik
lanmasıyla beraber, bu bellek kaynaklarından √ Video Konferans bilgi içeren görüşmeler
The New York Times’ta 2020 yılının Eylül ayın- Güvenliği
da virüs bulaşmaları söz konusu oldu. Özellikle yapıldığı için önemi arttı.
daki bir habere göre hastane sistemlerine ran- √ Uçtan Uca Şifreleme
iş yerlerinde ve okullarda İnternet altyapılarının Bu hizmeti sunan şirket-
somware (fidye yazılımı) bulaşması sonucu ge- ve Mesajlaşma
ve kullanımlarının yaygınlaşmasıyla artık bir bil- ler; toplantıya girişlerde
gisayardaki bir virüs, USB Bellek, CD/DVD, harici ciken tedavi nedeniyle Alman bir kadının öldüğü Uygulamaları
üzerinde duruluyor. 2021 yılı Şubat ayında The √ Son Kullanıcı şifre kullanılması, ilgili
Hard Disk gibi herhangi bir harici aygıta ihtiyaç kişiler toplantıya katı-
duymadan diğer bilgisayarlara aynı ağ üzerinden Washington Post’ta çıkan habere göre Florida Cihaz Güvenliği ve IoT
eyaletinde bir şehre su sağlayan arıtma tesisin- √ Makine Öğrenmesi lınca toplantının kilit-
bulaşmaya başladı. lenmesi ve yeni gelecek
de siber saldırgan tarafından sodyum hidroksit Modellerinin Güvenliği
miktarı artırıldı. Son anda önlenmeseydi temiz- √ Kaynak Kod Güvenli- kişilerin girişinin engel-
Devamında evlerimizde de İnternet kullanımı
yaygınlaştı ve İnternetten indirilen dosyalar ara- lemek için kullanılan bu kimyasal insan sağlığına ği ve Açık Kaynak lenmesi, katılımcıların
cılığıyla ev ağındaki bilgisayarlara virüs bulaş- zararlı olan sınıra gelecekti ve suyu içen kişilerin Sistemler öncelikli olarak lobide
ması söz konusu oldu. Kavramlar değişti, gelişti, hayatları tehlikeye girecekti. Dolayısıyla burada- bekletilip sonrasında
yaygınlaştı, virüs kelimesi tek başına siber teh- ki gidişatı şöyle özetleyebiliriz: VPN Güvenliği toplantıya kabul edilme-
ditleri anlatmak için yeterli gelmedi. Trojen’ler, Bilgisayar güvenliği -> Ağ Güvenliği -> Bilgi Gü- ve Yedekliliği si gibi çözümleri hızlıca
fidye yazılımları, truva atları, casus (spyware) venliği -> Siber Güvenlik -> Toplum Güvenliği Evden çalışmaya baş- uyguladılar.
yazılımları, keylogger (klavye hareketleri ka- Sanal dünyadaki saldırıların gerçek dünyayı etki- ladığımız ve pande-
24 25
BILGEM
TEKNOLOJI
26 27
Siber Güvenlik BILGEM
TEKNOLOJI
U
mek için hazırdır. Ağ veya bulut sistemlerinde pay- Ajanın yüklü olduğu istemci bilgisayarda kullanıcı
ç nokta cihazları bir kurumsal ağa bağla- ve diğer sorunları araştırıp tespit etmeye odak- laşılan dosyalar da bu kategoridedir. Araya girme
nan, o ağ içinde etkileşimde bulunan bilgi- lanılmaktadır. hareketleri takip edilip, bu hareketler kurum tara-
teknikleri ile verilerin açık bir şekilde izlenebilmesi- fından belirlenen politikalar üzerinden kontrol edi-
sayarlar, akıllı telefonlar ve yazıcılar dahil nin önüne geçmek ve olası bir veri kaybını önlemek
tüm cihazlardır. Kurumların sahip olduğu ve bu BİLGEM SGE tarafından geliştirilen uç nokta gü- lerek, herhangi bir politikayı ihlal eden bir durum
için veri iletişiminin şifreli olması gerekmektedir.[2] varsa yapılan işlem ilgili modülde engellenmektedir:
uç noktalarda işlenen veriler kurumun en önemli venliği ürününe, ortak yönetim paneli ve uç nok-
varlıkları arasındadır ve korunması gereklidir. tada kurulan bir ajan yazılımı aracılığıyla DLP Kullanılan Veri (Data in Use) aktif bir şekilde işle-
ve EDR yetenekleri kazandırılmış; böylece hem Dosya Erişimi Kontrol Modülü: Uç noktalarda, kul-
nen veridir. Bu işleme sırasında bellekteki veri kul- lanıcının herhangi bir dokümana erişmesi sıra-
Uç nokta güvenliğinin en önemli bileşenleri ara- harici, hem de dâhili tehditlere karşı çözüm su- lanılmakta ve herhangi bir güvenlik önlemi alınma-
sında Veri Kaçağı Önleme Sistemi (DLP) ve Son nulmuştur. Çözümde, öncelikli olarak, kullanıcı sında, işletim sistemi tarafında geliştirilen sürücü
mışsa açık bir şekilde görüntülenebilmektedir. Bu yazılımı ile bu işlem duraklatılır. Doküman incele-
Kullanıcı Tespit ve Yanıt (EDR) çözümleri yer hareketlerine göre veri elde edilir. Ardından, veri- nedenle şifreleme gibi teknikler ile hassas içerikli
almaktadır. DLP, bilgi sistem ağlarında bulunan nin içeriği incelenip analiz edilir ve her kurum için nerek kurum politikalarına uymayan hassas bir
gizlilik dereceli verinin korunması için kullanılan özel olarak belirlenen politikalarla karşılaştırılır.
ve temel kullanıcı işlem kontrollerini barındıran Analiz edilen veri politikaya göre hassas olarak
çözümler içermektedir. İç tehditlere odaklı olan sınıflandırılırsa işlem engellenir (Şekil 1).
DLP uç nokta güvenliği için yeterli değildir. Ge-
lişmiş teknik ve yöntemleri kullanan saldırılara Uç Nokta Güvenliğinde Kullanılan
karşı, yalnızca güvenlik için uyarılar oluşturmak Veri Tipleri
yerine, kötü niyetli etkinlikleri tespit edebilecek Veri herhangi bir ölçüm, sayım, deney, gözlem
ve engelleyecek yaklaşımlara da ihtiyaç duyul- vb. bir yöntem ile elde edilen bilgi parçacığına
maktadır. Bu noktada EDR çözümleri karşımıza verilen isimdir. Veri, teknolojinin insan hayatına
çıkar. Bu çözümlerle uç noktalar sürekli izlen- girmesi ile birlikte günden güne önemi artan bir
mekte, kayıt altına alınmakta, şüpheli etkinlikleri kavramdır. Günümüzde verinin dijital olarak hızlı
28 29
Siber Güvenlik BILGEM
TEKNOLOJI
30 31
Siber Güvenlik BILGEM
TEKNOLOJI
B
Güncelleme ve yamalar mümkün olan en kısa za-
ir veri tabanı sisteminde, bilgi güvenliğinin ri ortaya çıkmaktadır: iç tehditler, insan hataları, manda gerçekleştirilmelidir. Güncelleme işlemi ile rına izin verilmelidir. Böylece kurum dışından veya
üç temel ilkesi incelendiğinde, gizlilik ile iletişimde araya giren saldırganlar, yazılım açık- veri tabanı yönetim sistemi bünyesinde oluşabile- kurum içindeki farklı kaynaklardan kullanıcılara
mevcut verilerin yetkisiz kişilerin eline geç- lıkları, hizmet dışı bırakma saldırıları ve yedek- cek herhangi bir güvenlik açığı ile karşılaşma ihti- yönelik parola tespiti saldırılarının önüne geçilebi-
memesi; bütünlük ile depolanan ve taşınan ve- lere yönelik saldırılar. Kasıt olmadan ilgili sis- mali düşürülürken yamalar ile mevcut açıklıkların lir. Ayrıca, kullanıcıların aynı anda açabileceği otu-
rilerin değiştirilmemesi ve erişilebilirlik ile siste- temi saldırılara karşı açık hale getiren ihmalkâr kapatılması sağlanabilir. Kurulum işlemi ile gelen rum sayısı kısıtlanarak sistem kaynaklarının kasıtlı
min ihtiyaç duyulduğunda kullanılabilir durumda yöneticiler veya kasıtlı olarak, zararlı bir amaç örnek veriler ve varsayılan kullanıcılar ise, ivedilik- veya kasıtsız tüketilmesinin önüne geçilebilir. Aksi
olması ifade edilebilir. Veri tabanı güvenliği, bir uğruna hareket eden kötü niyetli kullanıcılar iç halde çok sayıda oturum açılıp yüksek hesaplama
veri tabanı sisteminin gizlilik, bütünlük ve erişi- tehdit kapsamında değerlendirilebilir. Kullanıcı- gücüne ihtiyaç duyan işlemler üzerinden sistem
lebilirlik ilkelerine zarar verebilecek, kazara veya lar tarafından kazara gerçekleştirilen aktiviteler, kaynakları tüketilip servis dışı bırakma saldırısı
kasıtlı her türlü olaya karşı alınan önlemler, ger- zayıf parola kullanımı ve sosyal mühendislik gibi gerçekleştirilebilir.
çekleştirilen denetimler ve kullanılan araçlar ola- insan temelli saldırılara maruz kalınması da in-
rak tanımlanabilir. Kullanılan araçların amacına san hatalarına birer örnek oluşturur. Veri tabanı Verilen yetkiler periyodik olarak kontrol edilerek
uygun çalışması, denetimlerin verimli bir şekilde sunucusu ile gerçekleştirilen bir trafiğin dinlen- yetkisi değiştirilmiş kullanıcılar tespit edilebilir.
işletilmesi ve alınacak önlemlerin uygulanması mesi, değiştirilmesi ve engellenmesi faaliyetleri Yetkilendirme sürecinde ise kurulum ile gelen var-
için veri tabanı sisteminin ve ilişkili bileşenlerin iletişimde araya giren saldırgan aktivitelerin- sayılan roller kullanılmamalıdır. Bu roller güncel-
doğru ve güvenli yapılandırılması gerekmektedir. dendir. Veri tabanı yönetim sistemi yazılımında leme veya yamalar ile değişikliğe uğrayabilir. Bu
Dolayısıyla, veri tabanı güvenliği yalnızca veri mevcut olan güvenlik açıklıklarının istismar edil- kapsamda amaca özgü oluşturulmuş rollere en az
tabanı yönetim sisteminin değil, aynı zamanda mesi ve hizmet sunulan uygulamalar üzerinden yetki prensibi gereği ayrıcalıklar tanımlanmalıdır.
işletim sisteminin ve bununla birlikte hizmet su- gerçekleştirilen SQL ve NoSQL enjeksiyonu gibi Her kullanıcı ihtiyaç duyduğu işleve göre de bu rol-
nulan uygulamaların da yapılandırmasına doğ- saldırılar da yazılım açıklıklarının bir tehdit türü- lere atanmalıdır. Mevcut tüm kullanıcılara ayrıcalık
rudan bağlıdır. nü oluşturmaktadır. tanımlayabilecek herkesin atandığı ortak rollerin
(örneğin: “Public” roller) yetkileri mümkün olduğu
Veri tabanı güvenliğine yönelik saldırılar ve se- Hizmet dışı bırakma saldırıları ilgili sunucunun, kapsamda tamamen kaldırılmalıdır.
bepleri incelendiğinde, şu gözlem ve tehdit türle- gerçek kullanıcılara hizmet veremeyecek bü-
32 33
Siber Güvenlik BILGEM
TEKNOLOJI
N I
A bırakılmalı ve diğer veri tabanı sistemleri üzerinde
dağıtık sorguları çalıştırma işlevi kapatılmalıdır.
B
İşletim Sistemi Sıkılaştırma
VERİ TA
İşletim sistemi üzerinde tutulan ortam değişkenleri
bünyesinde veri tabanı sistemi için kullanıcı adı ve
parola bilgisi bulundurulmamalıdır. Başta şifreleme
işlemlerinde kullanılan anahtar dosyaları ile kayıt-
ları barındıran veri tabanı dosyaları olmak üzere,
veri tabanı yönetim sistemine ait dosya ve dizinler
için ilgili izinler periyodik olarak kontrol edilmeli-
dir. Mümkün olduğunca diğer kullanıcıların okuma,
yazma ve yürütme hakları kaldırılmalıdır.
34 35
Siber Güvenlik BILGEM
TEKNOLOJI
G
Eleştirel düşünme: Çok sayıda gelmiş e-posta üze- aynı zamanda C&C denilen komuta kontrol sunu-
ünümüzde dijital dünyanın gelişmesi ile birlikte muş gibi görünen, çeşitli saldırı vektörlerinin kullanıla- rinde aksiyon almadan önce analiz etmeyi unut- cusundan zararlı dosyalar (dropper) indirilmesini
kurum veya kişi özelinde yapılan birçok iş inter- rak (e-posta vb.) kurbanın kişisel bilgilerini elde etmek mayınız. sağlayabilir ve sistemi ele geçirebilir. Ele geçirilen
net ortamına bağlanmıştır. Yaşamı kolaylaştıran veya saldırı yüzeyini genişletmeyi amaçlayan siber makineden yanal hareket ile bu sisteme bağlı diğer
sosyal ağlar, e-posta kullanımı, elektronik bankacı- ataklardan biridir. Sosyal mühendisliği ve teknik hileyi Bağlantıların üzerine gelme: Farenizi tıklamadan kullanıcı veya sistemler aracılığı ile diğer sistemle-
lık, e-ticaret gibi alanlar dijital dünyada gelişmeye ve birleştirir. Kötü amaçlı yazılım indirmeniz veya kişisel bağlantının üzerine getirerek sizi gerçekte nere- re yayılım gerçekleştirebilir.
yaygınlaşmaya devam ederken, eş zamanlı olarak bu bilgilerinizi vermeniz için sizi kandırabilecek meşru ol- ye yönlendireceğini görebilirsiniz. URL daha önce
sistemlere yapılan saldırılar da her geçen gün artmak- mayan bir web sitesine referans olacak bir bağlantı da tehdit analiz beslemelerine düştüyse “virustotal. Oltalama Saldırıları Tespit Yöntemleri
tadır. Eskiden savaş alanları; kara, deniz, hava ve uzay içerebilir. com” başta olmak üzere “any.run”, “hybred-analy- Kara Liste ve Beyaz Liste Tabanlı Tespit Yöntemi
olarak sınırlandırılırken artık bu alanlara siber uzay sis” gibi faydalı kaynaklardan yararlanabilirsiniz. Bilinen zararlı URL veya IP adreslerinin oluştur-
olarak yeni bir savaş alanı eklenmiştir. Ülkeler yıl sonu Hedefli kimlik avının tespit edilmesi, diğer oltalama duğu veri kümelerine dayanmaktadır. Daha önce
gerçekleştirdikleri ekonomi, askeri planlamalarında saldırılarına göre daha zor olabilir. Bir bilgisayar korsa- E-posta header analiz etme: E-posta headerları, çeşitli güvenlik mekanizmaları tarafından tespit
artık bu alana yatırımlarını da göz önünde bulundur- nının hedefli kimlik avı saldırısı gerçekleştirmesinin en bir e-postanın adresinize nasıl ulaştığını tanım- edilen zararlı URL veya IP adreslerinin bir güven-
maktadırlar. basit yollarından biri, sizin veya kurumunuzun iş yap- lar. “Yanıtla” ve “Dönüş Yolu” parametreleri, gelen lik sisteminde (güvenlik duvarı vb.) veri tabanına
tığını düşündüğü firmaları taklit etmesidir. Dolandırıcı- e-postada belirtilenle aynı etki alanına yönlendiril- eklenerek her güvenlik sistemi üzerinde kendi kara
Oltalama (Kimlik avı), güvenilir kaynaklardan geliyor- ların saldırı senaryolarına güvenilirlik katmak için kul- mesi beklenmektedir. listeleri oluşturulabilmektedir. Kara Liste tabanlı
36 37
Siber Güvenlik BILGEM
TEKNOLOJI
marka isim listesi oluşturup bundan yararlanabili- eskiden verilerin büyüklüğünü tanımlamak için kul-
riz. Bunun için dünyada en çok kullanılan bankalar, lanılan sayısal tanımlamaların değişmesidir. Son
Telekom şirketleri, sosyal medya şirketleri, Alexa 10 yılın üzerinde büyümekte olan veriler Makine
üzerinde üst sıralarda sıralanmış markalar gibi Öğrenimi ile sonuç vermemeye başlamıştır. Bugün
amaca uygun veri kümelerini oluşturabiliriz. 1 milyon seviyesindeki veriler “big amount of data”
olarak tanımlanmaktadır. İleride genişleyen veri kü-
Veri Ön İşleme aşaması, öznitelik çıkarımını başarılı meleri ışığında bu kavramın da değişeceğini söy-
bir şekilde sağlayabilmek için kullanmak mantıklı lemek zor değildir. Veri sayısı düşme eğilimi gös-
olabilir. URL adresinin içerisinden özel karakterle- terdikçe, Derin Öğrenme algoritmaları performans
re göre parçalanabilir ardından sisteminize uygun noktasında kayıp yaşamaktadır. Derin Öğrenme
belirlediğiniz anahtar kelimeleri veya marka isimle- algoritmalarının iyi çalışması için büyük miktarda
rini içerip içermediği tespit edilir. Bilinen bir kelime veriye ihtiyaç vardır. Daha az veriyle işlem yapılıyor-
içeriyorsa bu kelimelerin sayısı, firma sayıları çıka- sa Makine Öğrenimi’nin daha iyi sonuçlar vermesi
rılır. Bilinmeyen bir kelime içeriyorsa rastgele keli- beklenmektedir.
tespit yöntemi verimli gibi görünse de banka gibi Bu yöntemlerde tespiti zorlaştıran etmenler aşağıda me içerip içermediği tespit edilir. Uzunluğuna göre
sürekli oltalama saldırılarına maruz kalan sistem- sıralanmıştır. kelime listesine eklenir. Belli uzunluğu geçiyorsa Oltalama Saldırılarında Riski Minimize Etmek
lerde sürekli güvenlik duvarı bloklaması yapılması rastgele kelime kümesinden kelimeler ayrıştırılır için Alınabilecek Önlemler
veri tabanın şişmesine neden olabilmektedir. Typosquatting: Kurumun gerçek adresine benzer do- (“fastpaylogin” verisinden “fast”,”pay”,”login” keli- Personeli sahte ve kötü niyetli e-postaları belir-
main adreslerin saldırgan tarafından satın alınması melerinin çıkartılması gibi). Oluşturulan tüm bu lis- leme ve tetikte olma konusunda eğitilebilirsiniz.
Bu yöntemin verimliliğini ve güvenliğini arttırmak durumu. Örneğin “linked1n.com”, “goggle.com”. telerden zararlı olup olmadığı analizi gerçekleştirilir Kuruluşun altyapısını ve personelin yanıt verme
için genelde kurumsal firmalarda eğer kurumun iş ve öznitelik çıkarımı yapılır. yeteneğini test etmek için taklit edilmiş kimlik avı
yaptığı firmalarla bir bağlantısı yoksa dns taban- Cybersquatting: Kurumun var olan alan adının ak- kampanyaları başlatılabilirsiniz.
lı bloklamalar yapılmaktadır. Bu tarz sistemlerin sine farklı uzantıların saldırgan tarafından satın Öznitelik çıkarımı aşamasında ise kelime tabanlı Filtrelerin düzenli bakımıyla bir güvenli e-posta
eksiği ise, daha önce gerçekleşen saldırıları ya da alınması durumudur. “ozelkurum.com” bir kuruma özniteliklerden yararlanılabilir. DDİ teknikleri bu ko- ağ geçidi kullanabilirsiniz.
tespit edilmemiş olan saldırıları algılama yeteneği- aitken, “ozelkurum.net”, “ozelkurum.org” gibi farklı nuda yardımcı olmaktadır. Özel karakterlere ayrış- Kimlik avı sitelerini gerçek zamanlı olarak belirle-
ne sahip olmamalarıdır. Kara Liste tabanlı oltalama uzantılara sahip alan adlarını içermektedir. tırılan URL içerisinde sözlükte geçen kelime sayısı, mek için makine öğrenimi tekniklerini kullanan gü-
saldırıların tespit edilme başarıları %20 civarında- en uzun ve en kısa kelime uzunluğu, marka isim venlik çözümleri uygulamayı düşünebilirsiniz.
dır [2]. PhishNet, Automated Individual White-List, Birleşik Kelime Kullanımı: Kelimelerin bitişik yazı- kontrolü, bulundurduğu rakam sayısı, URL uzunlu- Posta istemcilerinde kodun, makroların, grafik-
DNS-Based Blaklist (dnspedia vb.), Google Safe mına dayanmaktadır. Saldırganların çok sık tercih ğu, alan adında geçen “www” ve “com” gibi kelimele- lerin otomatik olarak çalıştırılmasını ve postalanan
Browsing API gibi uygulamalar bu konuda yardım- ettiği yöntemlerden biridir. Örneğin, “xbanksecu- rin kullanılıp kullanılmadığı, özel karakterler içermesi bağlantıların önceden yüklenmesini devre dışı bıra-
cı olmaktadır. relogin.com”. Doğal Dil İşleme (DDİ) yöntemleri durumu (@ , ? & , = vb.), alt alan adı sayısı, punnycode kın ve bunları sık sık güncelleyin.
belirli ayraçlar ile kelimelerin ayrılmasına dayanır. içermesi (“tubitak.gov.tr” yerine “xn--tbitak-3ya.gov. İstenmeyen e-postaları azaltmak için şu standart-
Beyaz liste tabanlı tespit yöntemi ise kara liste ta- Kelimelerin bitişik yazılması analizi zorlaştırmak- tr” kullanılması durumu), domainin yaşı, URL adresin lardan birini uygulayabilirsiniz: SPF, DMARC ve DKIM.
banlı tespit yönteminin aksine şüpheli veya zararlı tadır. Bu zorluk bilgisayarların bunu analiz etme IP adres içerip içermediği gibi 40’tan fazla öznitelik Kritik finansal işlemler veya hassas bilgileri pay-
olmadığı bilinen adreslerin oluşturduğu listeye da- zorluğuna dayanmaktadır. İnsanlar tarafından biti- çıkarımı yapılabilmesi mümkündür. laşırken dijital imzalar veya şifreleme aracılığıyla
yanmaktadır. Beyaz liste oluşturmak, kara listeye şik kelimelerin tespit edilmesi ise kolaydır. güvenli e-posta iletişimi tercih edilebilir.
göre daha kolaydır. Oltalama saldırılarının tespit edilmesinde Makine Öğ- Rastgele bağlantılara, özellikle sosyal medyada
Rastgele Karakterlerden Oluşan Kelimeler: Alan reniminin yanı sıra Derin Öğrenme yöntemlerinin de bulunan kısa bağlantıları tıklamaktan kaçınılmalıdır.
Makine Öğrenimi Tabanlı Tespit Yöntemi adlarının rastgele oluşturulmasına dayanmakta- başarılı olduğu gözlemlenmiştir ancak Derin Öğren- Bir e-postanın kaynağı konusunda kesinlikle
Makine Öğrenimi ve Derin Öğrenme Tabanlı sis- dır. Örneğin, “qwrtyght.com”. Kullanıcı tarafından me yönteminin tercih edilmesi, bazı nedenleri içinde emin değilseniz, bağlantıları tıklamayınız veya ek-
temlerin bu noktadaki amacı verimliliği ve güvenliği tespit edilmesi kolay gibi görünse de saldırgan barındırmaktadır. İki farklı yöntem üzerindeki yapılan leri indirmeyiniz.
artırmanın yanında, yanlış pozitif oranını minimum rastgele karakterlerden oluşturduğu bu alan adına tartışmalara bakıldığında şu an için henüz bir fikir bir- Kişisel bilgileri sosyal medyada aşırı paylaşmayınız.
seviyeye düşürmektir. Makine Öğrenimi sırasında uzun alt alan adları ve çok uzun dosya yolu ekleye- liği oluştuğunu söylemek güçtür. Özellikle banka gibi hassas siteler için, ziyaret et-
gerçekleştirilen testlerde Random Forest, Decision rek URL adresinin tarayıcıda görünmesini zorlaş- tiğiniz sayfanın alan adlarını kontrol ediniz. HTTPS
Tree, kernel tabanlı Sıralı Minimum Optimizasyon tırabilir. Makine Öğrenimi ve Derin Öğrenme yöntemlerinde bağlantı olması her zaman güvenli olduğu anlamı-
(SMO), istatiksel tabanlı bir algoritma olan Naive kullanılan en temel fark performanstır. Veri kümele- na gelmez.
Bayes(NB), Support Vector Machine (SVM) ve di- Oluşturulan veri kümelerinden zararlı ve normal rinin ayrıştırılması, ayrıştırılan verilerden öğrenilme- Hesap devralmalarında iki faktörlü kimlik doğru-
ğer algoritmalar kullanılabilir. Random Forest al- olmak üzere iki çıktı alınırken test aşamasında, si ve öğrenilen veriler üzerinden kararların verilmesi lamayı etkinleştiriniz.
goritmasının, SVM ve Decision Tree’ye göre biraz doğru negatif, yanlış pozitif, yanlış negatif, doğru için iki yöntem de kullanılabilmektedir. Derin Öğren- Her çevrimiçi hizmet için güçlü ve benzersiz bir
daha doğruluk oranına sahip olduğu yapılan çalış- pozitif dediğimiz ikili sınıflandırma problemleri ile me algoritmalarına bakıldığında temel olarak kendi parola kullanınız.
malarda gözlemlenmiştir. Daha fazla doğruluk ora- karşılaşılabilmektedir. başına kararlar verebilen bir Yapay Sinir Ağı (YSA) Şifrelenmemiş ve imzalanmamış e-postalara,
nı yakalayabilmek için birden fazla algoritmanın bir oluşturmak için kullanılır. Makine Öğrenimi, Derin özellikle banka verileri gibi hassas paylaşım du-
arada kullanıldığı hibrit yaklaşımlar tercih edilebilir. Makine Öğrenimi gerçekleştirilirken kullanılan veri Öğrenme’yi kapsamaktadır. Derin Öğrenme’de, ol- rumlarında güvenmeyiniz.
setinin zararlı URL/IP ve güvenilir URL/IP adresle- talama saldırılarının tespit edilmesinde Multi Di-
rini içerebilir. Zararlı URL adreslerinin oluşturduğu mensional Feature Selection (MDFS) kullanılabilir. Kaynakça
kümeler için “phishtank.org” gibi ücretsiz siteler- Derin Öğrenme uyguladığımız sistemlerde Makine [1]https://www.enisa.europa.eu/publications/phishing/
den yararlanılabilir. Temiz URL adresleri için ise Öğrenimi yapıldığı söylenebilir ancak her Makine at_download/fullReport
“Google Trend API, Yandex Search API” gibi ara- Öğrenimi uygulandığında sisteme bir Derin Öğren- [2] Khonji, M., Iraqi, Y., & Jones, A. (2013). Phishing detection:
ma motorlarından yararlanılabilir. Arama motorları me yöntemi uygulandığı söylenemez. Öznitelikler a literature survey. IEEE Communications Surveys & Tutorials,
güçlü skorlama algoritmaları kullandığı için arama Makine Öğrenimi’nde manuel olarak verilir. Derin 15(4), 2091-2121.
motorlarında karşımıza çıkan ilk sonuç en güveni- Öğrenme’de ise bu öznitelikleri sistem, verilerden [3] https://cipher.com/blog/phishing-protecti-
lirdir diye basite indirgeyebilir ve bunu başka indi- doğrudan öğrenebilmektedir. on-spf-dkim-dmarc/
katörlerle çoğaltabiliriz. Zararlı URL ve Temiz URL [4] https://www.phishing.org/10-ways-to-avoid-phishing-
Şekil 3 URL Adresi Bölümleri veri kümelerini daha da güçlendirmek için örneğin Derin Öğrenme kullanılmasındaki en temel amaç, scams
38 39
Siber Güvenlik BILGEM
TEKNOLOJI
Araştırma
Ön Yüklü Uygulamalar (Vendor Test Suite), BTS (Build Test Suite) ve STS
(Security Test Suite) gibi testlerden geçmesi ge-
reklidir. İlgili testler arasında yer alan BTS kap-
Veri Seti
Android cihazlarda bulunan ön yüklü uygulamala-
ra, Google Play gibi uygulama marketleri üzerinden
açık bir şekilde erişim sağlanamamaktadır. Bundan
samında, cihazlarda bulunan Potansiyel Zararlı
Uygulamalar (Potentially Harmful Applications) dolayı cihazlardan bu uygulamaların toplanması
Abdullah Özbay – Araştırmacı / BİLGEM SGE ve zararlı davranış sergileyen programların tespit gerekmektedir. Bu amaç doğrultusunda, bir Andro-
edilmesi amaçlanır. STS kapsamında ise cihaz ya- id uygulaması geliştirilmiş ve bu uygulama Google
zılımı üzerindeki güvenlik ya- Play Store’a yüklenmiştir.
Kutusundan çıkarılan bir Android işletim sistemine sahip akıllı malarının yapılıp yapılmadığı
kontrol edilir. Tüm bu testler- Geliştirilen bu uygulama, yüklü
telefonda, ortalama 100-500 arası ön yüklü uygulama bulunmaktadır. den geçen cihazlar Android olduğu cihaz üzerinde; “/sys-
Sertifikalı Partner (Play Pro- tem, /odm, /oem, /vendor ve /
A
tect Certified) olarak isimlen- product” dizinlerini taramakta
ndroid işletim sistemi, açık kaynak kodlu olması Problem tanımı bölümünde, Android cihazlardaki dirilebilir. Bu cihazlara; “Pixel, ve bu dizinlerde bulunan dos-
sebebiyle, ilgili üreticilerin cihazlara özelleştiril- tedarik zincirinden ve bu cihazlarda tespit edilen Po- Samsung ve Xiaomi” gibi üre- yaların özet (hash) bilgilerini
miş işletim sistemi versiyonları koymasına ola- tansiyel Zararlı Uygulamalardan bahsedilecektir. ticilerin cihazları da örnek ola- sunucuya göndermektedir.
nak sağlar. Bu versiyonların bazılarında, kullanıcıların Araştırma bölümünde, Android cihazlardaki ön rak verilebilir. Yani sunucuda bulunmayan
gizliliğini ve güvenliğini tehdit eden çeşitli ön yüklü yüklü uygulamalar hakkında yapılan araştırma ve bul- ilgili dosyalar, uygulama tara-
uygulamalar tespit edilmiştir. Bu uygulamalar; cihaz- gulardan bahsedilecektir. Bazı Ön Yüklü Potansiyel Za- fından sunucuya gönderilmek-
larda ön yüklü olarak bulunduğu için birçok kullanıcı, Sonuç bölümünde ise çalışma sonunda bulunan rarlı Uygulama Örnekleri tedir. Şu ana kadar toplanan
cihazlarında bulunan bu tehlike hakkında bilgi sahibi bulgular yorumlanacaktır. Tecno W2 model cihazlarda; veri seti hakkında bazı bilgiler
değildir. Kutusundan çıkarılan bir Android işletim sis- “Triada ve xHelper” zarar- şu şekildedir:
temine sahip akıllı telefonda ortalama 100-500 arası Problem Tanımı lı yazılım ailelerinin örnekleri • Veri setine 22 farklı üretici-
ön yüklü uygulama bulunmaktadır. Tedarik Zinciri bulunmuştur. Bu model daha nin, 76 farklı modelinden dosya
Android cihazlara konulacak işletim sistemi versiyon- çok Afrika ülkelerinde satıl- yüklenmiştir.
Bu kapsamda yapılan araştırmanın içeriği de üç bö- ları için Google tarafından geliştirilen çeşitli sertifika maktadır ve Çinli bir firma ta- • 10 farklı ülkedeki cihazlara uy-
lüm altında şu şekilde incelenmiştir: programları bulunmaktadır. Bunlardan en önemlile- rafından üretilmektedir. gulama yüklenmiştir.
40 41
Siber Güvenlik BILGEM
TEKNOLOJI
42 43
Siber Güvenlik BILGEM
TEKNOLOJI
Wi-Fi
teknolojiler arasında bugün için en değerlisi deni- Ekim 2018’deki bir çalışmaya göre, bu teknolojiye
lebilir. sahip birçok cihaz istismar edilebilir durumdadır.
Wi-Fi Teknolojisi nasıl bir güvenliğe sahip? Eski sistemlerdeki ileri mahremiyet (forward sec-
Wi-Fi ağlarında şifreleme çeşitleri, şu an için WEP, recy) eksikliğini gidermek ve mevcut güvenlik açık-
WPA, WPA2 ve WPA3 olarak değişiyor. Bu tekno- larını kapatmak için 2018 yılında WPA3 duyurul-
muştur. Daha güvenli ve kişiselleştirilmiş şifreleme
lojiler, kablosuz ağın yetkisiz kullanımını önlemek
sağlayan, Simultaneous Authentication of Equals
üzere güvenliğini sağlamak için kullanılır. Kimi za- (SAE) özelliği sayesinde iyileştirmeler sergileyen
Güvenlik Teknolojileri
man “güvenlik anahtarı” olarak da karşımıza çıka- WPA3, daha işlevsel bir görüntü çizmekte. Ağda-
bilen şifreleme protokolleri, erişim noktasında ya- ki kullanıcıların da bir başkasının trafiğini izlemesi
pılandırılır. Yıllar geçtikçe, türlü sebeplerle bir yenisi zorlaştığından, kamuya açık ağların daha özel hâle
ve daha iyisi çıkan bu algoritmalar, ilgili cihazda geleceği bile söylenebilir.
desteklenmezse devreye alınamaz. Dolayısıyla söz
konusu erişim noktasının destek verdiği kapsam, Sonuç olarak kablolu şekliyle karşımıza çıkan ağ-
güvenliğini artırmak istediğimiz ağ için gerekli un- lar, talep artışı ve gelişen teknolojiyle kablosuz ola-
Anıl İpek - Uzman Araştırmacı / BİLGEM SGE surların başında yer alır. rak yaşantımızda yerini almaya başlamıştır. Ortaya
çıkmasından bu yana çok hızlı aşama kaydeden
İlk etapta WEP (Wired Equivalent Privacy), 1999 Wi-Fi ağlarında, bu ilerlemeyle birlikte güvenlik
Wi-Fi, aslında teknolojik cihazların kablosuz (wireless) bağlantı açıkları da belirmiştir. Son nesil protokollerse kab-
yılında Wi-Fi Güvenlik Standardı olarak kabul
sağlayabildiğini belirten bir uyumluluk (fidelity) göstergesidir. edilmişti. Fakat Fluhrer, Mantin ve Shamir (FMS) losuz ağlarda güvenliği zorunlu hâle getirmiştir.
WPA3, 1 Temmuz 2020 tarihi itibarı ile yeni cihaz-
H
üçlüsünün öncülük ettiği atak yöntemleriyle al-
ayatın vazgeçilmez bir parçası hâline ge- ları da kullanıyoruz. Bu noktada pek çok kullanıcı goritmanın kolayca kırılabilir olduğunun ispat- larda mecburi tutulmuştur.
lerek iş, iletişim, eğlence gibi alanlarda doğal olarak mahremiyet ve güvenlikle ilgili te- lanmasıyla tahtını sadece 4 yıl koruyabilmiştir. 30 Mevcut olan en önemli Wi-Fi güvenlik önlemi WPA3
sıklıkla ihtiyaç duyulan internet bağlantı- dirginlik yaşıyor. Haziran 2010’dan bu yana ise WEP protokolünün yaygın bir şekilde benimsenene kadar güvenlik bi-
sı, Wi-Fi (Wireless Fidelity) adı verilen kablosuz herhangi bir kredi kartı işleminin parçası olması, lincine sahip kullanıcılar halka açık ağlarda VPN
ağlar sayesinde teknolojik cihazlarda neredeyse Kablosuz teknolojide güvende miyiz? Payment Card Industry Data Security Standartla- vb. çözümler kullanmayı bir süre daha sürdürecek-
zorunlu bir hal aldı. Wi-Fi, teknolojik cihazların kablosuz (wireless) rına(PCI DSS) göre de yasaktır. ler gibi görünüyor.
bağlantı sağlayabildiğini belirten bir uyumlu-
Kaynakça
Kullanıcı veya misafirlerin taleplerini karşılamak luk (fidelity) göstergesidir. Temelde, kablosuz Bilinen ciddi zayıflıkları kapatmaya yönelik geçici • https://bidb.itu.edu.tr/seyir-defteri
için, mevcut kablosuz ortak ağların şifrelerini ağ üzerinden iletişim kurabilen bütün teknolojik çözümler sunmak amacıyla pratik bir ara önlem • https://dspace.gazi.edu.tr
ilgili kişilerle irtibata geçerek temin ediyor ve o cihazlar, IEEE (Institute of Electrical and Elect- olarak 2003 yılında, Wi-Fi İttifakı tarafından gelişti- • https://www.cs.umd.edu
ağlara dâhil oluyoruz. Evimizdeki kablosuz ağın ronics Engineers) organizasyonunun geliştirdi- • https://www.pcisecuritystandards.org
rilen Wi-Fi Protected Access(WPA) boy göstermiş- • https://openxtra.org
şifresini birbirimizle ve çevremizle paylaşıyoruz. ği 802.11 standartlarından birini destekler. Bu tir.. Nispeten daha güvenilir kabul edilse de mevcut • https://www.usenix.org
Bunun yanında kamuya açık yerlerdeki ortak ağ- standartlara 802.11a, 802.11b ve 802.11g ör- modemlerin algoritmayı desteklemek için güncel- • https://www.wi-fi.org
44 45
Siber Güvenlik BILGEM
TEKNOLOJI
Şüpheli e-Posta İnceleme Süreci Dr. Samet Ganal – Kıdemli Mühendis / Kuveyt Türk Katılım Bankası
ve Otomasyonu K
urumsal yapılar korumaları gereken veri bo-
yutu ve önemi nedeniyle bireysel siber gü-
venlikten farklı olarak çok katmanlı koruma
Bir e-Postanın kötücül olması
durumu, içerisindeki IP, URL
Günde ortalama 14,5 milyar spam e-Posta, internet ortamında
yapısı kullanmaktadır. Çok katmanlı koruma yapı- veya ek dosyasının kötücül yazılım
sında, internet üzerinden kurum iç ağına girecek
dolaşmaktadır. Bu sayı toplam e-Posta trafiğinin %45’ine eşit paket farklı güvenlik ürünleri tarafından tekrar tek-
içermesi veya yönlendirmesi
olmakla beraber, kötücül yazılım, oltalama gibi istenmeyen diğer rar kontrol edilir. Bu sayede kötücül bir dosya ilk durumuna bağlıdır. Bu bakımdan
e-Posta türleriyle birlikte oran daha da yükselmektedir. katmanda tespit edilemese bile ikinci veya üçüncü e-Posta içerisindeki IP, URL ve ek
katmanda tespit edilmekte ve kurum iç ağına girişi
engellenmektedir.
dosyaları ayrıştırılmalı ve kontrol
edilmelidir.
Kurum iç ağına erişimin bir diğer yolu olan e-Posta
koruma sistemi ise genellikle tekil bir yapıya sahip- kullanıcı e-Posta kutularına, tıklandığı takdirde se-
tir. Kurumlar çalışanlarına gönderilen e-Postaların çili e-Postayı ek şeklinde güvenlik uzmanlarına ile-
kontrolünde birden fazla katman kullanmayı tercih ten buton yerleştirilmesi her iki taraf için de süreci
etmemektedir. Bunun sebebi ekstra maliyetin yanı daha kolay hale getirebilmektedir.
sıra hatalı tespitlerin önüne geçmektir.
Bununla birlikte şüpheli e-Posta inceleme süreci
Siber saldırganlar, e-Posta adreslerinin kolay ele bir otomasyon ve çağrı yönetimi uygulaması üze-
geçirilebilmesi ve kullanıcılar ile direkt etkileşim rinden yapılmalıdır. Bu tür bir uygulamanın kulla-
sağlaması nedeniyle e-Posta üzerinden saldırı tek- nılması e-Posta inceleme sürecini önemli ölçüde
niklerini sıklıkla kullanmaktadır. daha kolay hale getirecek, gözden kaçırma ihtima-
lini düşürecek ve hızlı aksiyon imkanı vererek za-
e-Posta Saldırılarına Karşı Çözümler man kazancı sağlayacaktır.
e-Posta ortamındaki güvensiz duruma karşılık ola-
rak siber güvenlik uzmanları kurum personel ve Siber olay yönetim uygulaması kullanıcıların şüp-
değerlerini korumak için e-Posta koruma ve sand- heli e-Postaları yönlendirdiği e-Posta kutusunu
box teknolojilerinden yararlanmaktadır. Kullanılan takip etmeli ve buraya gelen her yeni bildirim için
güvenlik yöntemleri istenmeyen e-Postaları büyük otomatik olarak olay kaydı açılmalıdır. Oluşan olay
oranda engellese de hiçbir koruma yöntemi %100 kaydı için daha önceden hazırlanmış senaryo oto-
doğru sonuca ulaşamadığı için kurum içine isten- matik olarak çalıştırılmalıdır. Senaryo içerisinde ilk
meyen e-Posta girişi olmaktadır. olarak bildirimde bulunan kullanıcı bilgileri, bildiri-
mi yapılan e-Postanın gönderici adresi ve konusu
Spam (istenmeyen e-Posta), oltalama veya kötücül ayrıştırılarak olay kaydı içerisinde doğru alanlara
yazılım içeren tüm e-Postalar kurumların gözünde
“istenmeyen” kategorisinde değerlendirilmekte-
dir. Kurum çalışanlarının bu tür e-Postalara karşı
bilinçli olması için düzenli olarak bilgilendirmeler
yapılmalı ve istenmeyen türde bir e-Posta almaları
durumunda ilgili güvenlik birimine bilgi vermeleri
istenmelidir.
46 47
Siber Güvenlik BILGEM
TEKNOLOJI
48 49
Siber Güvenlik BILGEM
TEKNOLOJI
Y
rel felsefelerin, yöntemlerin ve araçların birleşimi
azılım geliştirme yaşam döngüsü (YGYD), Ancak, zaman içinde bilişim teknolojilerinin ge- olarak tanımlanabilir. DevOps, geliştirme ve ope-
müşteri beklentilerini karşılayan yazılım- lişmesi ile ihtiyaçlar çeşitlenmiş ve yazılım pro- rasyon ekipleri arasındaki engelleri kaldırarak ge-
ların mümkün olan en yüksek kalitede, en jeleri büyüyerek tamamlanma süreleri uzamıştır. liştirmeden teste, dağıtımdan operasyona kadar bir
düşük maliyet ile en kısa zamanda üretilmesi Müşterilerin son ürüne ulaşması için geçen süre- yazılımın yaşam döngüsü boyunca çalışacak tek
için izlenen sistematik bir süreçtir. Geçmişten nin artması ve ihtiyaçların değişken yapısı, daha
bir ekip üzerinden faaliyetlerin yürütülmesine im-
günümüze sıkça tercih edilen geleneksel YGYD sık teslimatlara imkan tanıyan, değişime hızlı
kan sağlar. Böylece yazılım geliştiricilerin, test per-
yöntemleri incelendiğinde ilk olarak 1956 yılın- ve esnek yanıt verebilen yeni yöntemlere olan
sonelinin, sistem yöneticilerinin ve kalite güvence
da sunulmuş ve 1985 yılında Amerika Birleşik ihtiyacı ortaya çıkarmıştır. Ayrıca güvenlik ama-
cıyla gerçekleştirilen testlerin projenin ilerleyen mühendislerinin uyum içinde aralarında kopukluk
Devletleri Savunma Bakanlığı tarafından yazı- olmadan çalışması neticesinde iş hedeflerine kali-
lım geliştirme için standart bir yaklaşım olarak aşamalarında ele alınması, yazılım projelerinin
bütçesi ve zamanı içinde gerekli düzeltmelerin teden ödün vermeden daha hızlı ulaşılır.
tanımlanmış şelale modeli öne çıkmaktadır. Bu
yapılmasını ve ilgili önlemlerin uygulanmasını
modelde tamamen sıralı ve doğrusal bir yakla- Unutmamak gerekir ki; çevik yöntemler, şelale mo-
zorlaştırmıştır.
şım üzerinden planlama, analiz, tasarım, geliştir- deli gibi geleneksel YGYD modellerinin yerini alsa
me, test ve bakım aşamaları birbiri ardına ger- da DevOps, çevik yöntemlerin yerini alacak bir mo-
Çevik Yöntemler
çekleştirilir. Dolayısıyla tüm gereksinimlerin açık del olmaktan ziyade daha fazla süreci kapsayan bir
2001 yılında 12 prensipten oluşan çevik bildiri
ve sabit olduğu projeler için uygundur. iyileştirme/geliştirme olarak görülmelidir. Dolayısı
(agile manifesto) yayınlanmıştır. Zaman içinde
50 51
Siber Güvenlik BILGEM
TEKNOLOJI
52 53
Siber Güvenlik BILGEM
TEKNOLOJI
Sistem ve Kütüphane Çağrı Verileri Kerim Can Kalıpcıoğlu – Araştırmacı / BİLGEM SGE
54 55
Siber Güvenlik BILGEM
TEKNOLOJI
İşte bu noktada sistem ve kütüphane çağrılarından açıdan ele almaktadırlar. Bunlardan ilki, farklı iş-
yararlanma ihtimali doğmuştur. Sistem çağrıları lemler için verilerin ayrı olarak değerlendirilmesidir.
kullanıcı uygulamalarının* işletim sistemi arayüzü- Bu yaklaşımda her bir işlem için toplanan veri kendi
nü oluşturduğundan, uygulamanın sistem kaynak- özelinde değerlendirilir. Örneğin cmd.exe ve exp-
larına erişim taleplerini ifade etmektedir. Bu şekilde lorer.exe işlemlerinin ürettiği sistem çağrıları ayrı
kullanıcı uzayında çalışan programlar dosya siste- ayrı incelenerek ilgili işlemin zararlı davranışa sahip
mi, aygıtlar ve bellek alanı gibi kaynaklara erişebil- olup olmadığı denetlenir. Diğer bir yaklaşımda ise,
mektedir. Yazılım kütüphaneleri ise basit kullanımlı işletim sistemine yapılan tüm çağrıların bir kaynak
işletim sistemi arayüzü sunmak ve programlara ça- tarafından üretildiği kabul edilerek değerlendirme
lışma zamanı ortamı sağlamak amacıyla oluşturu- yapılmaktadır. Bu yaklaşımda uygulamaların sergi-
lan yazılımlardır. Çoğunlukla çalışma anında işletim lediği zararlı davranışın kaynağını bulmak zorlaşa-
sistemi tarafından belleğe yüklenen dinamik kütüp- caktır. Ancak zararlı davranışı sergileyen program
haneler** olarak bulunmaktadırlar. birden fazla yazılım parçasından oluşuyor ise bu
davranışı tespit etmek mümkün olabilir.
İşletim sistemlerinin iki temel işlevi vardır. Bunlar-
dan ilki sahip olduğu donanım kaynaklarını yönet- Sistem çağrı dizisi çalışma şekli itibariyle rastgele
mektir. İkincisi ise sistem üzerinde çalışan uygu- olmak durumundadır.Bunun en basit nedenlerinden
lamalara arayüz sağlamaktır. Bu işlevi çoğunlukla biri kullanıcı yazılımı tarafından sistemden talep
sistem ve kütüphane çağrıları aracılığıyla yerine ge- edilen kaynakların mevcut olmamasıdır. Bu duru-
Bu yaklaşımları incelemek gerekirse, ilk yaklaşım üretmek için harcanan emeğin çoğu farklı biçimde-
tirir. Bu nedenle bu çağrılar program kodunun sistem ma örnek olarak brk(2) veya mmap(2) çağrılarının
çok fazla yanlış-pozitif üretilmesine yol açacak- ki verileri anlamlandırmaya çalışmak ve eldeki veri ve çalışma ortamı ile etkileşimini göstermektedir. başarısız sonuçlanması gösterilebilir. Yeterli bel-
tır. Bu da hem sistemin güvenilirliğini zedeleyecek yığınını yönetmeye harcanmaktadır. Sonuç olarak Bir programın sırasıyla hangi dosyalara eriştiğini, leğin olmadığı durumlarda çoğunlukla programın
hem de inceleyen kişilerin zamanına mâl olacaktır. üretilen yazılımda ise yine insanların oluşturacağı hangi işlemleri başlattığını, ne şekilde bellek tah- sonlandığı görülmektedir. Bu da programın dinamik
Bu tip yaklaşımda bazı güvenlik ürünleri kullanıcı- kurallar ile gürültülü veri üzerinde saldırılar tespit sis ettiğini ve hangi ağ arayüzleriyle haberleştiğini davranışının çevresel etkilere göre değişebileceğini
lara tek tek olayları göstererek, kullanıcının olaya edilmeye çalışılır. Ayrıca ikinci yaklaşımda yapay sisteme yapılan çağrılar üzerinden görebiliriz. Bu göstermektedir. Bir yandan da çok çekirdekli ve iş-
izin vermesini veya engellemesini istemektedir. zekâ kullanımıyla kuralların otomatik üretimi üze- nedenle sistem ve kütüphane çağrıları zararlı dav- lem parçacıklı bilgisayar sistemleri işlemlerin çalış-
Kullanıcıdan alınan bu bildirimler ile kurallarda iyi- rinde çalışmalar yapılmaktadır. ranışı göstermesi açısından bahsi geçen ve belirli ma sırası açısından rastgele olmak durumundadır.
leştirme yapılmaktadır. Örneğin burada ssh “dae-
kurallara göre oluşturulan alarmlardan daha detaylı Bu nedenle çok işlem parçacığı ile çalışan bir prog-
mon”ı güvenilir yazılım listesine alınabilir. Ancak Bilindiği gibi son yıllarda makine öğrenmesi çalış- bilgi sağlamaktadır. Programın dinamik ortamda ram için sistem çağrı dizisi farklı şekillerde oluşabi-
kullanıcılar her zaman tekil olayları yorumlayabi- malarında insan güdümlü özellik mühendisliğinin çalıştırılması sonucunda elde edilen sistem ve kü- lir. Ancak örüntü tanımada kullanılan uygun makine
lecek durumda olmayabilirler. Bu nedenle iyileştir- yeri azalmış bunun yerine özellikleri makinelerin tüphane çağrı verileri ile ilgili bilgiler yan sayfadaki öğrenmesi algoritmalarının bu sorunların üstesin-
meler bu yaklaşımı kullanılabilir kılmamaktadır. öğrenebilmesi üzerine çalışmalar yapılmıştır. Ço- tabloda görülmektedir. den geldiği görülmüştür.
ğunlukla yapılan bu çalışmalar sayesinde yapay
İkinci yaklaşımda ise yaygın olarak kullanılan kayıt zekâ uygulamaları günlük hayatımızda kullanabi- Açıklamalar
Sistem ve kütüphane çağrılarının benzer özellikleri-
yönetim yazılımları, farklı kaynaklardan elde etti- leceğimiz kalitede ürünler ortaya çıkarabilmiştir. * Kullanıcı uygulamaları, uzun adıyla kullanıcı uza-
nin yanında birbirlerinden farklı özellikleri de vardır.
ği kayıtları ilişkilendirerek saldırıları tespit etmeye Buradan da anlaşılabilir ki; insan eliyle yapılan yı uygulamaları çekirdek uzayı ve kullanıcı uzayı
Örneğin kütüphane çağrıları birbirlerinin yerine kul-
çalışmaktadır. Ancak kayıtlar kayıplı ve tekrarlı bil- özellik mühendisliği sonucunda elde edilen veriler- olarak ayrılan yetki bölgelerinde çalışan yazılımları
lanılabilir. Bir işlevi gerçekleştirebilecek birden fazla
gi içerdiğinden bu tip yaklaşımlar eğreti çözümler den yola çıkarak yorum yapmaktansa, saf verinin sınıflandırmak için kullanılan bir terimdir. Özellikle
kütüphane fonksiyonu vardır. Ancak sistem çağrıla-
ortaya çıkarmaktadır. Bunun yanında bu yazılımları yorumlandığı yöntemler daha başarılı olmaktadır. günümüz işlemcilerinin bellek bölgelerine erişimi
rı bu özelliğe sahip değildir. Bu da sistem çağrıları-
nın kullanımını yararlı kılmaktadır. kısıtlayan özellikleri sayesinde gerçekleştirilen bu
ayrım, işletim sistemi çekirdeğinde çalışan yazılım-
Sorular İşletim sistemi çağrıları Kütüphane çağrıları
Zararlı davranış tespitinde yaklaşımlar ve zorluklar ları korumak için kullanılan bir mekanizmadır.
Zararlı davranış tespiti ile ilgili güncel uygulamalar
Muhatabı kimdir? İşletim sistemi çekirdeği İşletim sistemi çekirdeği
incelendiğinde görülmüştür ki günümüzde yaygın ** Bahsedilen yazılım kütüphaneleri yaygın olarak
Dinamik kütüphane fonksiyonları
olarak kullanılan yaklaşımlar zararlı davranış tespiti işletim sistemi kütüphaneleri olarak da adlandırılır-
Yazılım kesmesi ve işlemci Program içerisinde ilgili problemine tatmin edici bir çözüm bulmamaktadır. lar. Örneğin Microsoft Windows kütüphaneleri ola-
Nasıl tetiklenir?
komutlarıyla fonksiyonun çağırılmasıyla Bunun yanında sistem ve kütüphane çağrılarının rak bahsedilen kütüphaneler Microsoft’un Windows
zararlı davranışları tespit etmek için gereken bilgi- işletim sistemleri için oluşturulmuş kütüphaneler-
Çalışması için gereken Kesme yönetimi ve işlemci sis- yi barındırdığı ifade edilmiştir. Bu nedenle sistem dir. Benzer bir örneği ise GNU C kütüphanesi (glibc)
tem çağrı mekanizmaları Dinamik bağlayıcı ve kütüphane çağrı verileri kullanılarak oluşturulan olarak adlandırılan Linux kütüphaneleridir.
mekanizmalar nelerdir?
modeller zararlı davranışların tespiti için kullanıl- Kaynakça
Yönetilebilir, iyi tanımlanmış ve malıdır. • syscalls(2) — Linux manual page
İşletim sisteminin sunması ge- basit bir arayüz sunmak; kulla- • Programming reference for the Win32 API - https://docs.
Amacı nedir? nıcı uzayında gerçeklenebilecek microsoft.com/en-us/windows/win32/api
reken temel özellikleri sağlamak Sistem ve kütüphane çağrılarını kullanarak zararlı • Computer Immune Systems - https://www.cs.unm.edu/~im-
servisleri sağlamak davranış tespitini hedefleyen sistemler, verileri iki msec
56 57
Siber Güvenlik BILGEM
TEKNOLOJI
Yazılım
temi çalışmaz hale getirebilecek hataları bulan bir ve sistemin çalışamaz hale geldiği,
girdi üretimi, tüy testi süreçlerinin ana amaçların- güvenlik zafiyeti gösterdiği
dandır.
noktalar saptanmaktadır.
Güvenlik
Ek olarak, bu tip bir zafiyet ve dayanıklılık tespit
sisteminde daha spesifik olarak güvenlikle ilgili dan gri kutu testleri, sistemi hem endüstride hem
sorunları ve hataları bulmak oldukça önemlidir. Di- de akademide kullananların çoğunluğu tarafından
ğer yandan, yapılan bu testler ile bilgi sızıntılarının, büyük ilgi görmeye başlamıştır.
zamanlama veya enerji ile ilgili yan kanal güven-
Fuzz
lik açıklarının keşfi aktif bir araştırma konusudur. Bulandırma Testleri Sınıflandırması
Ayrıca sistemlerde yetki artırmayı, uzaktan kötücül Bulandırma testi teknikleri, farklı bakış açıları açı-
kod çalıştırmayı ve diğer güvenlik açıklarını otoma- sından sınıflandırılabilir: Bulandırma testi teknikle-
tik olarak algılayıp bunları tetikleyen yeni teknikler ri, hedef sistem hakkında bilgi sahibi olma açısın-
(Bulandırma)
de olmalıdır. dan kara kutu, beyaz kutu, gri kutu olmak üzere üç
farklı gruba ayrılabilir. Teknikler girdi verisi oluştur-
Fuzzingin Tarihi ma türüne göre de iki grupta sınıflandırılabilir; bu
İlk Fuzzing (Bulandırma Testi) aracı Miller ve arka- gruplar mutasyon temelli ve nesil tabanlı testlerdir.
Geri bildirim türüne göre ise, tüy testi teknikleri, geri
Testleri
daşları tarafından 1990 yılında geliştirilmiş ve UNIX
araçlarının güvenilirliğini test etmek için tasarlan- bildirimli ve geri bildirimsiz sistemler olarak tanım-
mıştı. İlk tüy testlerinin üzerinden yaklaşık 30 yıl lanmaktadır.
geçti ve geçen süre zarfında bu test yaklaşımında
her zamankinden daha sofistike hale gelen teknik- Kara Kutu Testleri
ler geliştirildi. İlk test yaklaşımı tipik olarak rasgele Kara Kutu Bulandırma Testleri, test edilen progra-
üretilen mutasyonlara dayalıydı. Bu yüzden, ge- mın dâhili iş mantığıyla ilgilenmemektedir. Bu tip
liştirilen bu sistemin erken dönemleri, ürettikleri sisteme girdiler verilir ve verilen girdilere karşılık
sonuçlar açısından biraz verimsizdi. Bu nedenle, gelen çıktılar toplanarak incelenir. Özellikle mu-
Şerafettin Şentürk – Başuzman Araştırmacı / BİLGEM BTE zamanla verimliliği artırmak adına yeni teknikler ve tasyonel kara kutu testlerinde, süreç bir veya daha
daha modern yaklaşımlar ortaya çıkmıştır. fazla tohum girdisi adı verilen veri kümeleri ile
başlatılır. Tohumlar daha sonra yeni girdiler oluş-
Fuzzingin genel bir tarihçesine bakıldığında, dö- turmak için değiştirilir, yani mutasyona uğratılır.
Yazılım sistemlerinde kritik hatalar güvenlik açıklarına yol açar. Bunlara nemlere göre gelişimi görülebilmektedir: Girişteki veri üzerinde seçilen rasgele konumlara
karşı yürütülen Fuzz (Bulandırma) Testleri, hem araştırma dünyasında hem √ 2005 yılından önce, sadece temel rasgele mutas- rasgele mutasyonlar uygulanabilir.
de endüstride popüler bir güvenlik açığı keşif yöntemidir. yona dayalı Fuzzing vardır. Bir süre sonra testlerin
Örnek vermek gerekirse, giriş verisi bir dosya olan
etkinliğini artırmak için Gramer tabanlı Fuzzing uy-
sistemde, dosya girdisindeki mevcut olan rasgele
R
gulanmaya başlanmıştır.
FC 2828’de (Shirey 2000) tanımlanan güvenlik mış, pek çok yöntem ve yaklaşım geliştirilmiştir. Diğer bitler çevrilip yerleri değiştirilerek yeni girdi dosya-
√ 2006 ve 2010 yılları arasında Beyaz Kutu Fuzzing
açığı, bir sistemin tasarımında, uygulanmasın- yöntemlerle karşılaştırıldığında, Fuzz (Bulandırma) ları üretilir ve sisteme yeniden çalıştırması için ve-
ve Dinamik Sembolik çalıştırma yaklaşımları ge-
da, işletiminde ve yönetiminde, sistemin güvenlik Testi, test edeceği sistemle ilgili fazla sayıda bilgi ge- rilir. Mutasyon tabanlı kara kutu testlerindekinden
liştirilmiştir. Buna paralel olarak, Bozulma Analizi
politikasını ihlal etmek için yararlanılabilecek bir ku- rektirmez ve büyük uygulamalara kolayca ölçeklendiri- farklı olarak bir diğer test çeşidi olan nesil tabanlı
(Taint Analysis) teknikleriyle ilgili bazı çalışmalar
sur veya zayıflıktır. Yazılım sistemlerinde kritik hatalar lebilir. Bu nedenle son zamanlarda özellikle endüstride kara kutu tüy testlerinde ise girdiler sıfırdan üretilir.
da kullanılmaya başlanmıştır.
güvenlik açıklarına yol açar. Yazılım güvenlik açıkları, en popüler güvenlik açığı keşif yöntemi haline gelmiş- Test edilecek sistemin kabul ettiği girdilerin biçim-
√ 2011-2015 yılları arasında yine verimliliği artır- sel olarak yapısal özellikleri, yani bir deyişle gramer
saldırganların veri yapılarını bozmasına, kötü amaçlı tir. Ayrıca, bu tip testler gerçek uygulamalar üzerinde
mak adına Kapsam Yönlendirmeli (Coverage Gui- bilgileri verilirse, girdi dilbilgisi biçimine uygun ola-
kod çalıştırmasına ve hattâ yazılımın çalıştığı tüm sis- yapılabildiğindan yüksek doğruluk oranına sahiptir.
ded) Fuzzing ve Çizelgeleme Algoritmaları kullanıl- cak bir biçimde yeni girdiler oluşturularak tüy test-
temi kontrol etmesine olanak tanır. Sıfır gün güvenlik
maya başlanmıştır. leri sürdürülür.
açıkları gibi güvenlik açıklarına yönelik saldırılar, ciddi Etkili bir güvenlik açığı tespiti ve sistem dayanıklılığı
√ 2016-2017 yılları ve sonrasında birden fazla Fuz-
zararlara ve etkilere neden olabilir. (robustness) testi yöntemi olan Tüy Testi sırasında
daha fazla hata türü bulmak önemlidir. Tüy testi iş- zing tekniğinin bir arada karma olarak kullanılması Beyaz Kutu Testleri
Güvenlik açıklarının neden olduğu ciddi zararlarla ilgi- leminde test edilen sistem ya da program çok fazla yaygın hale gelmiştir. Testlerde etkililiği ve doğru- Beyaz Kutu Bulandırma Testleri test edilen prog-
li olarak, bilgi ve yazılım sistemlerine yönelik güvenlik sayıda ve farklı stratejiler ile üretilen girdi değerleri luğu artırmak için fuzzing sürecinde makine öğre- ramın iç bileşenlerini bilir. Bu tip testlerde, test
açığı keşif teknikleri ile ilgili çok sayıda çalışma yapıl- ile sınanmaktadır ve sistemin çalışmaz hale geldiği nimi yaklaşımları da devreye girmiştir. Diğer yan- edilen sistemin kaynak kodu hakkında bilgi, ayrın-
58
60 59
Siber Güvenlik BILGEM
TEKNOLOJI
60 61
Bilgi Güvenliği BILGEM
TEKNOLOJI
Bilgi Güvenliği
Sabri Safa Paksu - Başteknisyen, Rumeysa Bozdemir - Teknisyen / BİLGEM İGBY
U
lusal Siber Güvenlik Stratejisi ve Eylem
Risk Yönetimi
Planı, TS ISO/IEC 27001 Bilgi Güvenliği Yö- Kuruluşlar tüm riskleri ortadan
netim Sistemi Standardı ve Türkiye Cum- kaldırmayı beklememeli, kabul
huriyeti Cumhurbaşkanlığı Dijital Dönüşüm Ofisi
Bilgi ve İletişim Güvenliği Rehberi, risk yönetimi edilebilir bir risk seviyesi belirlemeye
stratejileri için ihtiyaç ve gereksinimleri ele alır. ve belirlenen risk aralığında
Kurum ve Kuruluşlarda bilgi güvenliği süreçleri-
nin yürütülebilmesi için bu dokümanların dikkate
kalmaya çalışmalıdır.
alınması gereklidir.
Bilgi Güvenliği Risk Yönetimi standardı dikkate
Ayrıca BİLGEM kapsamında bilgi güvenliği risk alınarak yönetilir.
yönetiminin değerlendirildiği ve uygulandığı
Risk, iş BGYS Risk Değerlendirme Kılavuzu’nda konu ile 1.Tanımlama
ilgili tüm bilgilendirmeler mevcuttur. Bilgi güven- Varlıkların Tanımlanması
hedeflerine liğinin 3 temel unsuru aşağıda maddeler halinde Kuruluşlarda hangi verilerin, sistemlerin ve di-
belirtilmiştir. Bu unsurlar varlık değerini belirler- ğer varlıkların önemli / kritik kabul edileceğinin
ulaşılmasını ken riskin değerine de etki etmektedir. belirlenmesi gerekir. Bu kapsamda “hangi var-
Gizlilik: Bilginin sadece yetkili kişilerce erişilebi-
olumsuz lir olmasının sağlanmasıdır.
lıkların gizliliği, bütünlüğü veya erişilebilirliği
tehlikeye girerse kuruluşunuza en büyük etkiyi
etkileyebilecek Bütünlük: Bilginin yetkisiz kişiler tarafından de-
ğiştirilmemesidir. Bulunduğu ya da iletildiği ortam-
verir?” sorusunun cevabını aramalıyız. Kimlik nu-
maralarına kötü niyetli kişilerin ulaşması, finans
her türlü da içeriğinin bozulmama özelliğidir.
Erişilebilirlik: Bilginin ihtiyaç duyulduğunda yet-
sektöründeki bir firmanın hazırladığı rapordaki
küçük bir bütünlük sorununun yüksek maliyetle
olaydır. kili kişilerce kullanıma hazır durumda olmasıdır. sonuçlanması, çevrimiçi müzik hizmeti veren bir
firmanın erişilebilirliği tehlikeye girdiğinde abone
Risk Nedir? kayıplarına neden olabileceği düşünüldüğünde
Risk, iş hedeflerine ulaşılmasını olumsuz etkile- gizlilik, bütünlük ve erişilebilirlik kavramlarının
yebilecek her türlü olaydır. Riskler zamana bağ- hayatımızın içinde yer edindiğini görüyoruz. İşte
lı olarak değişir. Risklerin birçok boyutu vardır. bu sebeple hangi varlıkların ne derecede önemli
Çoğu zaman riskler tehdit odaklı yazılır fakat be- olduğunu tanımlamamız ve buna göre değerlen-
raberinde fırsatlar da oluşturur. dirme yapmamız gerekiyor.
Güvenlik Açıklıklarının Tanımlanması
Risk Yönetimi Nedir? Tanımladığınız varlıklar üzerinde gizlilik, bütün-
Bilgi güvenliği risk yönetimi bilgi teknolojisinin lük ve erişebilirliği riske atan yazılımsal ve diğer
kullanımıyla ilişkili riskleri yönetme sürecidir. sistemsel güvenlik açıklıklarının belirlenmesi
Bir kuruluşun varlıklarının gizliliği, bütünlüğü ve gerekiyor. Bu süreçte hangi zayıflıkların ve/veya
kullanılabilirliği ile ilgili risklerin tanımlanmasını, eksikliklerin bilginin tehlikeye atılmasına neden
değerlendirilmesini ve ele alınmasını içerir. Bu olabileceğinin araştırılması bu tanımlamayı ko-
sürecin nihai amacı, riskleri bir kuruluşun genel laylaştıracaktır.
risk toleransına göre ele almaktır. İşletmeler tüm
riskleri ortadan kaldırmayı beklememelidir. Bu- Tehditlerin Tanımlanması
nun yerine, kuruluşları için kabul edilebilir bir risk Varlıkların veya bilginin tehlikeye atılmasının ola-
seviyesi belirlemeye ve belirlenen risk aralığında sı nedenlerinin belirlenmesi gerekiyor. Bu kap-
kalmaya çalışmalıdırlar. samda şu soruları sorabiliriz: “kuruluşun bağlı
olduğu veri merkezleri sel ve deprem gibi fiziksel
/ çevresel tehditlerin bulunduğu bölgelerde mi
Bilgi Güvenliği Risk Yönetimi Sürecinin
konumlandırılmış?”, “kuruluştaki çalışanlar bili-
5 Önemli Adımı nen bir suç örgütü, bilgisayar korsanları veya bazı
Siber suçları önlemek ve iç tehditleri durdurmak kuruluşlar tarafından hedefleniyor veya saldırıya
zorlu bir süreçtir. Kurumsal risk yönetiminize giz- uğruyor mu?”
lilik, bütünlük ve erişilebilirlik kavramlarını dahil
etmek, etkili bir bilgi güvenliği risk yönetiminin Tehdit modellemesi, riskleri bilinen tehditlerle
temelini oluşturur. Bu yapı kuruluşunuz, çalışan- ilişkilendirir. Yapısal güvenlik açıkları gibi potan-
larınız ve paydaşlarınız için çok önemli bir süreç- siyel tehditlerin varsayımsal bir saldırganın bakış
tir. Risk yönetim sürecinizi oluşturmak ve bilgi açısından tamamlanabileceği, sayılabileceği ve
güvenliğini bir iş haline getirmek için stratejik önceliklendirilebileceği önemli bir süreçtir. Bu-
adımlar atmak ve bu adımları bir süreç şeklinde radaki amaç, kuruluşlara olası tehdit profilini, en
uygulamak gerekmektedir. Bu süreç ISO 27005 muhtemel saldırı vektörlerini ve bir saldırgan ta-
62 63
Bilgi Güvenliği BILGEM
TEKNOLOJI
bu süreçte her risk için aşağıdaki tedavi seçe- mümkün olabilir. Bu yaklaşım sonucunda riski
neklerinden biri seçilmelidir. oluşturan sebep ortadan kalkar. Bir yazılımın
risk oluşturan kısmının yüklenmemesi, belirli
Riski İyileştirme: Riskin olasılık ve etki değer- işlemler için internetin kullanılmaması riskten
lerinin tümüyle ortadan kalkması diyebiliriz. Bu kaçınma için verilebilecek örneklerdir. Riskten
maddeye kritik verilerin depolandığı bir sunu- kaçınma seçeneği düşünülürken iş gereksinim-
cuda bulunan açıklığın yayınlanan bir yama ile leri ve güvenliğin sağlanması konusunda bir
giderilmesi şeklinde örnek verilebilir. denge sağlanmalıdır. İş süreçlerinde ciddi deği-
Riski Azaltma: Riskin olasılık ve etkisini azalt- şiklikler getirecek ve/veya kuruluşun çalışması-
mak için kullanılan risk tedavi tekniğidir. Bu nı olumsuz etkileyecek şekilde riskten kaçınma
teknik seçildiğinde riskin mevcut seviyesin- metodu uygulanmamalıdır.
den kabul edilebilir risk seviyesine getirilmesi
amaçlanır. 5. İzleme ve Gözden Geçirme
Bilgi Güvenliği Risk Yönetiminin benimsenmesi,
Riski Kabul Etme: Riskin olasılık ve etkisinin
varlıklarınıza güvenli bir ortam sağlamak için
düşük olduğu ve risk maliyetlerini düzeltmek
için gereken zaman ve çabanın, riskin gerçek- kritik öneme sahiptir. Bu nedenle sürekli izleme
leşmesi durumunda oluşacak maliyetlerden ve gözden geçirme çok önemlidir. Kötü niyetli
daha fazla olduğu durumlarda uygundur. Bu kişi ve kuruluşlar, ağınıza ve bilgi varlıklarınıza
durum yapılan risk değerlendirmesi sonucunda, saldırmak için her gün, her saat yeni yöntem-
rafından en çok istenen varlıkların sistematik bir önceden belirlenmiş kabul edilebilir risk seviye- ler geliştirmektedirler. Bu saldırılara ayak uy-
şekilde analiz edilmesini sağlamaktır. Kurumsal risk yönetimine sinin altında kalan riskler için değerlendirilebilir. durmak ve tedbirlerinizi buna göre belirlemek
gizlilik, bütünlük ve erişilebilirlik Riski Transfer Etme: Riskin kabul edilebilir
için varlıklarınızı, tehditlerinizi, kontrollerinizi ve
Kontrollerin Tanımlanması risklerinizi sürekli olarak gözden geçirmelisiniz.
Kuruluşunuzda tanımladığınız varlıklarınızı ko- kavramlarını dâhil etmek, etkili bir risk seviyesinin altına düşürülmesi mümkün ol-
rumak adına hali hazırda nelere sahip oldu- bilgi güvenliği risk yönetiminin madığında veya bunu gerçekleştirmek için ge-
ğunuzu öncelikle belirlemeniz gerekiyor. Bu reken kontrollerin uygulanması yüksek maliyet Kaynakça
kapsamda gerçekleştireceğiniz bir denetimle
temelini oluşturur. gerektirdiğinde, riskin üçüncü bir tarafa trans- • ISO 27005 Bilgi Güvenliği Risk Yönetimi Standardı
tanımlanmış bir güvenlik açığını, tümüyle dü- feri ele alınır. Örneğin; Bir varlık için sigortalama • BİLGEM BGYS Risk Değerlendirme Kılavuzu
zelterek (iyileştirme), riskin olasılık ve/veya etki işlemi verilebilir. Bu yöntem tercih edildiğinde • https://www.rapid7.com/fundamentals/information-se-
veya ikisinin de kombinasyonu olabilir. Nitel curity-risk-management/
değerlerini azaltarak (azaltma) doğrudan ele analiz daha çok gözleme dayalı, sayısal olarak güvenlik ihtiyaçlarının, kontrol hedeflerinin ve
• https://www.isaca.org/resources/isaca-journal/
alabilirsiniz. Örneğin; Sözleşmesi feshedilen bir ölçülemeyen özelliklere ilişkin bir analiz türüdür. ilgili kontrollerin sözleşmelerde yer almasına past-issues/2010/developing-an-information-securit-
kullanıcının belirli bir uygulamaya erişiminin de- Öte yandan nicel analiz ise daha çok istatistik- dikkat edilir. y-and-risk-management-strategy
vam etme riskini belirlediyseniz, bu kapsamdaki sel olarak değerlendirilen ve analiz edilen yön- • https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspeci-
kontrolünüz kullanıcının feshi ile tetiklenen bir temleri kapsamaktadır. Nitel analiz yöntemi, ni- Riskten Kaçınma: Riskli kabul edilen varlı- alpublication800-39.pdf
otomatik yetki kaldırma işlemi olabilir. cel analiz yöntemine göre daha az karmaşık ve ğı kullanmaktan vazgeçerek riskten kaçınmak • https://en.wikipedia.org/wiki/IT_risk_management
64 65
Bilgi Güvenliği BILGEM
TEKNOLOJI
Ufuk Yenigün – Uzman Araştırmacı, M. Sabri Elmastaş - Araştırmacı, M. Sadık Karabay - Araştırmacı,
Abdullah Özkan - Uzman Araştırmacı / BİLGEM İGBY
O
turum bilgisi, günümüz uygulamalarının anahtarı Cookie üzerinden taşınır. Bu değişken
istemcileri tanımak için kullanmış oldukları uygulamadan uygulamaya farklılıklar göste-
bir bilgidir. Uygulamada kimlik doğrulama rebileceği gibi kullanılan uygulama çeşidine
işlemi gerçekleştirilirken kullanıcı adı ve parola göre varsayılan oturum anahtarı değişkenleri
kullanılır. Hedef uygulama size başka kimseye
verilmeyecek bir SessionID (oturum anahtarı) de bulunabilir (PHPSESSID, JSESSIONID, ASP.
verir. Daha sonra browser (tarayıcı) yapılan her NET_SessionId). Günümüz uygulamalarının
istekte bu anahtarı göndererek istemcinin kim birçoğunda oturum anahtarı, kullanılan prog-
olduğunu bildirir ve sunucu da bu bilgiye göre ramlama dillerinin varsayılan kütüphaneleriyle
gelen isteği değerlendirir. Bu bilginin taşınması veya kullanılan uygulama geliştirme platformları
da cookie (çerez), URL veya gizli form elemanla- (framework) ile oluşturulmaktadır. Fakat kendi
rı ile sağlanabilir. Oturum anahtarının en yaygın oturum anahtarını oluşturmayı tercih eden uy-
taşıma yöntemi olan Cookie’ nin işleyiş süreci
gulamalar da görülebilmektedir. Bununla birlikte
aşağıdaki şekilde belirtilmiştir.
uygulama geliştirme platformları tarafından var-
Kimlik doğrulama isteğinden sonra sunucu sayılan olarak sağlanan uygulama anahtarına
tarafından verilen oturum bilgisi Cookie bilgi- ilave olarak ek özelleştirilmiş oturum anahtarları
si istemcinin tarayıcısında saklanır. Bu değer da kullanılabilmektedir.
aynı zamanda www.example.com üzerinde bu-
lunan Cookie Storage alanında da tutulacaktır. Zayıf Oturum Anahtarları
Dolasıyla kullanıcı www.example.com ‘a istek Daha önce verilen örneklerde de görüleceği üze-
gerçekleştirdiği anda ilgili domain için bulunan
re oturum anahtarı belli uzunlukta bir karakter
Cookie de gerçekleştirilen isteğe tarayıcı tara-
fından eklenir. Cookie değeri için her bir GET/ kümesidir. Bu karakter kümesinin uzunluğunun
POST isteğine Cookie: Cookies=12345 gibi bir yeterli uzunlukta olmaması veya kullanılacak
başlık eklenerek gönderilir(bkz Resim 1.1). Bu küme elemanlarının yeterli karakter seçiminden
kullanım, web uygulamalarında en yaygın otu- oluşmaması gibi durumlar oturum anahtarları-
rum bilgisi taşıma yöntemidir. nın kolayca tahmin edilmesine dayanan zafiyet-
leri de beraberinde getirmektedir. Zayıf oturum
Oturum bilgisinin yukarıdaki şekilde kullanılma-
sının en önemli nedeni ise HTTP protokolünün anahtarına örnek Resim 1.2'de belirtilmiştir. Re-
yapısından kaynaklanmaktadır. Çünkü bu proto- sim 1.2’ de tespit edilen zafiyet, oturum anah-
kol üzerinden gerçekleştirilen isteğe cevap gel- tarının yeterli uzunlukta olmamasıdır. Bununla
dikten sonra aradaki tüm bağlantıları sonlanır. birlikte oturum anahtarını oluşturan elemanların
Bu nedenle bir sonraki istekte uygulamanın is- sadece sayılardan oluşması kolay tahmin edil-
temciyi tanıyabilmesi için oturum bilgisini tekrar mesine yol açar.
göndermesi gerekir.
uygulamalarının
istemcileri
tanımak için
kullanmış
oldukları bir
bilgidir.
66 67
Bilgi Güvenliği BILGEM
TEKNOLOJI
la Cookie tarayıcı kapatılsa bile tarayıcının Cookie li bir Cookie için aşağıdaki özelliklerin sağlanması
Oturum anahtarları, uygulamalar depolama alanında saklanır ve Expires ile belirtilen gerekir.
tarafından benzersiz olarak zamandan önce tekrar istek yapılır ise bir önceki Güvenli iletişim (HTTPS) kullanan uygulamalarda
tasarlanıp kullanıcılara atanan Cookie değeri de sunucuya gönderilir. da Secure özelliği aktif edilmelidir.
HTTPS üzerinden gelmeyen HTTP üzerinden gel-
değerlerdir. Güvenli Oturum Yönetimi Nasıl Olmalıdır? mesi sebebiyle meydana gelebilecek MITM atakla-
Oturum Anahtarı İsmi rını engellemek için de ‘HTTP Strict Transport Se-
altına girmesine neden olur. Dolayısıyla Cookie Oturum anahtarının ismi, kullanıcıya herhangi bir
curity (HSTS)’ kullanılmalıdır.
oluştururken eğer ihtiyaç yok ise sadece belirtilen bilgi vermemelidir. PHPSESSIONID (PHP), JSESSIO-
NID (J2EE), CFID ya da CFTOKEN (ColdFusion), ASP. İstemci taraflı scripting dillerine erişimin kapatıl-
domain veya alt domain (subdomain) için Cookie
kullanımı tercih edilmelidir. NET_SESSIONID (ASP.NET) gibi uygulama geliştirme ması için HttpOnly özelliği aktif edilmelidir.
platformu hakkında bilgi veren oturum anahtarları Gerekmedikçe Persistent Cookie kullanılmamalıdır.
venli taşınması hem de güvenli saklanması için Path özelliği de domain’e benzemektedir. Eğer bulunmaktadır. Bu isimler yerine genel bir ifade ile Bir Cookie’nin sadece belirtilen uygulamalarda
Cookie’ler farklı özel parametreler sunarlar. aynı domain içinde farklı klasörlerde iki uygula- “id” olarak isimlendirilerek kullanılmalıdır. kullanılması için Domain ve Path bilgileri sadece
ma var ise ve Cookie değerlerinin karışmaması uygulamaya özgü bilgiler (uygulamanın çalıştığı
Secure Özelliği için Path =/dashboard-1 ve Path=/dashboard-2 Oturum Anahtarı Boyutu ve Entropisi Domain ve Path) ile doldurulmalıdır.
Genel olarak tarayıcılar Cookie gönderirken özel gibi kullanılması gerekmektedir. Özellikle yönetim
Kaba kuvvet saldırılarından kaçınma amaçlı oturum Cookiler her zaman cookie bölümünde taşınmalı-
bir tanımlama yok ise oturum anahtarını http kul- panelleri bu tür yapılarda bulundurulabilir. Bu ne-
denle yönetim panelleri için kullanılan Cookie de- anahtarı boyutunun yeterli boyutta olması gerek- dır. URL üzerinden taşınması engellenmelidir.
lanarak gönderirler. Bu durum ağ trafiğini dinle- mektedir. Günümüzde 128 bit uzunluklu anahtar-
yen saldırganlara trafiği açık olarak izleme ola- ğerlerinin ilgili Path’ler için atanması doğru bir yol
olacaktır. lar yeterli gelmektedir. Oturum anahtarları tahmin Güvenli Olarak Oturum Sonlandırma ve
nağı tanır. Bu durumun oluşmaması için HTTPS
üzerinden gönderilerek “Secure” özelliği aktif edil- edilebilir yapıda olmamalıdır. Her hangi bir istatis- Zaman Aşımı
melidir. Expires Özelliği tik veya korelasyon ile tespit edilememelidir. Yeterli Uygulamada kullanıcının her hangi bir zamanda
Cookie’de bulunan Expires değeri ile Cookie içeri- karmaşıklıkta olmalıdır. oturumunu sonlandırması Çıkış butonu gibi bir bu-
Httponly Özelliği sinde bulunan değerlerin yaşam süresi belirlenir.
ton entegre edilmelidir. Bu butona tıklanması ile
Cookide taşınan bilgiler istemci tarafında Javasc- İstemciler bir internet sayfasına istek gerçekleş- Oturum Anahtarı Değeri
tirdiğinde belirtilen Domain ve Path için Cookie oturum anahtarı geçersiz hale getirilmelidir. Bu ön-
ript dili kullanılarak değiştirilebilmektedir. Özel- Oturum anahtarı değeri ve içeriği her hangi bir an-
likle XSS saldırılarında karşılaşılmaktadır. Htt- değerinin olup olmadığına bakar. Eğer ilgili bilgi- leme ek olarak oturum sonlandırma için aşağıdaki
lam ve bilgi ifade etmemelidir. Bilgi ifşasına neden
pOnly özelliği aktif edilirse cookilere javascript dili ler için bir Cookie değeri var ise tarayıcı Expires önlemlerden en az birinin uygulamada kullanılması
olacak bir değer olmamalıdır.
kullanılarak erişilemez. değerini kontrol eder. Expires değeri istek yapılan gerekmektedir.
zamanın ilerisinde ise Cookie değerini ekleyerek Kullanıcıdan belli bir süre yanıt alınamadığı za-
isteği gerçekleştirir. Oturum Anahtarı Üretimi
Cookie oluşturulurken kullanılan domain ilişkili Oturum anahtarları üretilirken, rastgele sayı üreteç- man oturum sonlandırılabilir. HTTP isteklerinin gel-
Cookie bilgisine hangi domainlerden erişim yapı- me durumu dikkate alınır.
labileceğini gösterir. Tarayacılar domain bilgisin- Cookie’ler yaşam süresine göre iki çeşide ayrılır. leri kullanılıp özetleri (hash) alınmalıdır. Her giriş
esnasında yeniden üretilmelidir. Kullanıcı uygulamaya giriş yaptıktan sonra, her-
de belirtilen kapsamdaki tüm domain’lere, istek- Session Cookie: Herhangi bir Expires veya Max-A-
ler içinde geçen Cookie bilgisini otomatik olarak hangi bir aktivite olup olmadığına bakmaksızın, bel-
ge değeri atanmamış Cookie’lerdir. Bu Cookie’ler
gönderirler. Aynı zamanda alt domain’ler istemci Güvenli Cookie Oluşturmak li bir toplam süreyi geçince oturum sonlandırılması
oturum açılınca bellekte tutulur ve tarayıcı kapatı-
taraflı scripting dilleri ile bu Cookie değerine de lınca bellekten silinirler. Cookie’lerin özellikleri yardımı ile oturum anahtarı- yapılabilir.
erişim sağlayabilirler. Eğer Cookie için domain nın güvenliği amaçlanmaktadır. Dolayısıyla güven-
tanımı geniş tutulursa, tüm alt domain’ler atan- Persistent Cookie: Bu tür Cookie’ lerin Expires Güvenli Oturum İçin Ek Tedbirler
mış Cookie değerine erişim yapabilir. Bu durum Kullanılan uygulamanın kritikliğine göre bazı hu-
veya Max-Age değerleri atanmıştır. Dolayısıy-
Cookie içinde bulunan oturum anahtarının risk suslarda ek tedbirler alınabilir.
Kullanıcıya IP adresi limitleme seçeneği verile-
Httponly Özelliği bilir. Kullanıcıya sadece belli IP adresleri üzerinden
giriş yapmasına izin verilebilir.
Çift faktörlü doğrulama etkinleştirilebilir. Kullanı-
cı adı ve parolaya ek olarak SMS mesajı gibi doğru-
lamalar kullanılabilir.
Httponly Özelliği Uygulama sunucusundaki tüm iletişimin güvenli
protokol olan HTTPS ile yapılması gerekmektedir.
Kaynakça
- https://docs.microsoft.com/en-us/previous-versions//
ms533046(v=vs.85)?redirectedfrom=MSDN
Expires Özelliği - https://cheatsheetseries.owasp.org/cheatsheets/Session_
Management_Cheat_Sheet.html
- https://www.netsparker.com.tr/blog/web-guvenligi/http-isle-
yisi-ve-guvenligi-acisindan-cookie-ve-session-yonetimi/
68 69
Büyük Veri BILGEM
TEKNOLOJI
BATUTA PROJESİ
anlatmakta zorlandık. Google Earth ve Haritalar maları aşağıdaki gibi sıralayabiliriz.
sayesinde ancak biraz olsun ne tür işler ile ilgi- Coğrafi bilgi üretiminden ve paylaşımından
lendiğimizi anlatabilir olduk. sorumlu ya da işlemlerinde konum kullanan ku-
rumlar
B
atuta Uygulaması, coğrafi verinin saklan- kaya geçişin nasıl olduğunu özetlemekte fayda
Coğrafi durum(geospatial) analizi ne işe yarar?
masını, kolay ulaşımı, yaklaşık 5 milyon var. Böylece projenin hangi sektörlerde ve hangi Coğrafi veriler kullanılarak farklı sektörlerde çe-
noktanın ve binlerce çizgi ve poligonun konularda kullanıcılara fayda sağlayacağı daha şitli çözümler üretiliyor. Bunlara bazı örnekler
web üzerinde gösterimini ve farklı görselleştir- iyi anlaşılacaktır. verelim.
me metotlarıyla analiz edilmesini sağlayacak
şekilde tasarlandı. Ek olarak sayısal ve sözel Coğrafi bilgi nedir? Ulaşım örneği
bilgilerden grafikler üretmeyi, listeler oluştur- Coğrafi bilgi, yeryüzü üzerindeki doğal ve yapay Uber, mobil uygulama üzerinden araç çağrısı
mayı, en düşük, en yüksek, ortalama değerler detaylara ilişkin, belli bir referans sistemindeki yapılması ile ulaşım hizmeti sağlayan bir firma.
gibi istatistiki bilgilere ulaşmayı ve tüm bunları konum koordinatları ile ifade edilen mekansal Birçok ülkede faaliyet gösteriyor. Sürücülerde ve
izleme ekranlarından (dashboard) takip etmeyi veriler ve bunlara ait öznitelik verilerinden olu- kullanıcılarda mobil uygulama bulunuyor. Sürü-
sağlar. şur. Yani oturduğunuz binanın arazide kapla- cülerin kullandıkları uygulamadan araçların anlık
dığı geometri, bunun yanında binanın yaşı, kat
konum, hız, kullanımda ya da boşta bilgisi gibi
Projenin gelişme sürecini, coğrafi bilgi ve coğ- bilgisi, toplam daire sayısı gibi sözel bilgiler
rafi bilgi sistemlerini açıklamak ve coğrafi ze- coğrafi bilgiyi oluşturur. veriler toplanıyor.
70 71
Büyük Veri BILGEM
TEKNOLOJI
olur. Geliştirilen
2018 Open Summit organizasyonunda “Urban altlık oluşturur.Tüm bu süreçlerde, büyük veri ile Harita ile karar alma sürecini tüm servislere ara-
Computing with Advanced Visualization” konulu doğru karar alabilmek için Batuta’nın sağladığı
oturumda Uber katılımcıları, ihtiyaç analizlerine görsel altyapıyı kullanmak, büyük fayda sağlar. yönetebilecek tüm sektör ve yüz geliştirmek is-
göre geliştirdikleri ürünleri tanıtırken lokasyon meslekler, Batuta’nın potansiyel teyenler detaylı bir
bazlı verileri nasıl kullandıklarına örnekler ver- dokümantasyon ile
diler. Örneğin Londra’da en çok hangi saatte ve
kullanıcısı konumundadır. ulaşabilirler.
nereden nereye gitmek için hizmet kullanıldığı-
nın bilgisine erişiyorlar. Bu şekilde belirli saat- Coğrafi veriler ara-
rülerde bulunulabilir. Milyonlarca noktayı anlık yüze GeoJson kü-
lerde belirli bölgelerdeki yoğunlukları önceden
gösterebilmesi sayesinde, kurum filolarından çültüp ziplenerek çağrıldığı için veritabanı ba-
tahmin edip boşta olan sürücüleri ilgili noktalara
anlık edinilebilecek konum bilgileriyle, yoğun ğımsız çalışır diyebiliriz. Mevcutta TÜBITAK
yönlendiriyorlar. Takip ettikleri araçlardan gelen
çalışma bölgeleri ve sık kullanılan rotalar he- BILGEM Yazılım Teknolojileri Enstitüsü (YTE)
mesaj sayısı bir günde bir kentte milyarlarca
saplanarak rutin işlerin daha verimli yapılabil- olarak da kullanımının artırılması konusunda
konuma ulaşabiliyor. Bunları ısı haritaları, grid
mesi için analizler yapılabilir. destek verdiğimiz, “Dünyanın En Gelişmiş Açık
gruplamalar ve dairesel gruplamalar ile gözle
analiz edilebilir hale getiriyorlar. Şehir Planlama Kaynak Kodlu Veritabanı; Postgresql” ve üze-
Kent planları oluşturmak için birçok farklı alan- rinde coğrafi işlemler yapmaya olanak veren
Lojistik örneği dan veri kullanmak gerekir. Kamu kurumları bu Postgis kullanılmaktadır. Proje başlangıcında
Birkaç sene önce içinde bulunduğum bir proje- farklı verileri plan kararı almak için kullanmak NoSql çözümler ile çalışabilirlik test edilmiş,
de, bir kargo firmasının araçlarında bulunan ta- zorundadır. Batuta tek bir harita üzerinde ortak bu konuda Cassandra ve NoSql veritabanlarına
kip cihazlarından gelen son 1 aylık (1-5 milyon bir proje analizi oluşturarak işleri kolaylaştırır. coğrafi özellik kazandıran Geomesa teknolojisi
arası nokta) verilerin ısı haritalarında gösteril- Planlama ve tahmin için daha tutarlı bir zemin ile çalışılabileceği konusu teyit edilmiştir.
mesi istenmişti. Böylece mevcut şubelerini ve elde etmek için trafik, geçmişe ve geleceğe dö-
araçlarının gün içinde en çok bulunduğu alanları nük demografi, hane geliri, suç oranı gibi ek veri Coğrafi zeka ile gerçekleştirilen uygulamalar
aynı ekranda görebileceklerdi. Projeyle, yanlış katmanları eklenir, uydu görüntüleri ya da hava konusunda Uber Firması’nın çözümlerinden
Afet Yönetimi bahsetmiştik. Uber, kendi analizlerinde kullan-
konumlanmış şubeleri taşıma ya da yeni şube fotoğrafları ile de analizler desteklenir.
Batuta ile yüz binlerce bina, daha önce yaşan- dığı bir çok ürünü açık kaynak kod olarak tüm
açma kararı için ihtiyaç duyulan veri analizine
mış afet konumları, on binlerce deprem noktası, dünyaya da açmış durumda. Bunlardan en sık
erişim sağlanmıştı.
saniyeler içinde ısı haritaları, tematik renklen- kullanılanlardan biri analiz haritaları oluştur-
dirme gibi tekniklerle sorgulanır ve herkes ta- mayı sağlayan KeplerGL. Webgl kullanarak mil-
Mekan seçimi rafından anlaşılır şekilde sunulabilir. Sel taşkın
Günümüzde birçok büyük market zinciri, rakip- yonlarca coğrafi veriyi web ortamında gösterip,
alanları ile mevcut yapılı çevre, aynı harita üze- ısı haritaları, grid ve arı peteği gruplamalar, 3
lerinin konumları, alandaki nüfus bilgileri ve de-
rinde gösterilir. Afet etki alanı, hasarlar, insan boyutlu gösterimlerle
tayında yaş, gelir, eğitim bilgileri, edinebilirlerse
kayıpları veri tabanına işlendiği takdirde, kamu görselleştirebiliyor.
rakiplerinin ciroları, en önemlisi ortalama kira
kurumlarının hızla müdahale edebileceği nok-
bilgisini bir araya getirerek, yeni bir market aç-
talar ve bölgeler kolaylıkla belirlenmiş olur. Batuta’da hem hazır
mak için en uygun noktayı bulmayı analiz ediyor.
çözüm olan KeplerGL
Yerel Yönetimler kullanıldı hem daha
Batuta Kullanım Alanları Batuta ile tüm mekansal veriler, hem kurum
Batuta, temelde harita destekli bir analiz ara- Perakende Sektörü Kullanımı dinamik, değiştirilebi-
içinde kullanılabilir hem de vatandaşlar ile pay- lir, kurumların ihtiyaç-
cıdır. Kabiliyetleri, CBS araçları ile yapılabilen Perakende sektöründe en sık konum verisi kul-
laşılabilir bir yapıya getirilebilir. İmar planları, larına göre geliştirilebilir YTE Harita uygulama-
birçok iş ile kesişmektedir. Bu noktada harita ile lanımı satış, pazarlama ve gayrimenkul yöne-
kadastral planlar, yol ve bina rayiç bedelleri, sı oluşturuldu. Pie, bar, kolon, radar, gül, kelime
karar alma sürecini yönetebilecek tüm sektör ve timinde olmaktadır. Batuta ile perakende ba-
planlanan yol yapım ve kazı yapılacak alt yapı bulutu, çizgi grafik konusunda Alibaba Firma-
meslekler, Batuta’nın potansiyel kullanıcısı ko- yilerinde toplam satışların izlenmesi, kar ciro
çalışmaları izlenebilir. Mahalle nüfus yoğunluk sı’nın da geliştirmesinde destek oluğu AntV kü-
numundadır. hesaplamaları, bu bilgi doğrultusunda pazarla-
verileri, tematik gösterimle zenginleştirilebilir. tüphanesi kullanıldı.
ma faaliyetlerinin nerelerde yoğunlukla gerçek-
Akıllı Şehir Uygulamaları leştirilebileceği kolayca analiz edilebilir. Ayrıca
Batuta Altyapısı
Kent yönetimi ve planlama süreci artık akıl- mevcut ve potansiyel gayrimenkul alanları, buna Tüm bu öğeler izleme ekranlarına, yerleri, bo-
Batuta ile Docker altyapısında 3 farklı mikro- yutları değiştirilebilir ve kaydedilebilir şekilde
lı teknolojilerin sık kullanıldığı bir alan. Gerçek göre yeni açılabilecek bayilerin uygun konumla-
servis çalışmaktadır. Ara yüz, veri tabanı ve rest birçok BI (iş analitiği) uygulaması, dashboard
zamanlı veriler, uzun vadede altyapı masrafları- rının tespiti gibi analizler de yapılabilir.
kütüphaneden oluşan 3 farklı mikro servis da- alanında sunulan özellikler gibi esnek ve isteğe
nı azaltırken karar alma sürecinde operasyonel
kikalar içinde kurulup, güncellenebilmektedir. göre tasarlanabilir şekilde geliştirilmiştir.
verimliliği artırır. Ulaşım ve Lojistik Sektörü Kullanımı İstenildiği durumda kurumlar diğer servisleri
Mevcut ulaşım rotalarında taşınan insan ya da
kendileri kodlamak şartıyla yalnız ara yüz ya Kaynakça
Nüfus yoğunluğu planlama, yeni ulaşım ağları eşyaların analizleri Batuta ile yapılabilir. Bu şe-
da rest kütüphanesini kullanabilirler. Servisle- • Will Cadell, 2019, “Geospatial Is Not GIS”, Erişim Tarihi:
belirleme, sosyal medya analizi, trafik kontrolü, kilde toplu ulaşım planlamada ana eksenler ve
rin ayrı sunulduğu bu şekilde bir entegrasyon 01.12.2020, https://www.forbes.com/sites/forbestech-
toplu taşıma istatistikleri ve kent yönetimi ile il- sık kullanılan merkezler, istatistiki bilgilerle ha- council/2019/03/21/geospatial-is-not-gis
için, Java ve Spring Framework ile geliştirilen
gili tüm sosyo ekonomik kararlarda kullanılabi- ritada gösterilir. Yeni ulaşım metotları, kapasite • Uber Open Summit 2018, Urban Computing with Advan-
sunucu tarafı yazılımlar, Swagger kullanarak
lecek büyük veri analizi, doğru karar almada bir artırma ihtiyacı ve yeni rotalar konusunda öngö- ced Visualization https://www.youtube.com/watch?v=yS-
daha kodlama yaparken dokümante edilmiş mqs6dXQxc
72 73
Isıl Tasarımı BILGEM
TEKNOLOJI
Yoğun Paketlenmiş
Askeri Elektronik
Cihazların Isıl Yönetimi
Şekil 1 (a) Mikroişlemci yongası başına transistör sayısı ve saat hızları (b) Her 10 yılda bir makinelerin boyutu eğilimleri. [1]
termal döngüye maruz kalacakları ortamlar oluş- içinde veya ortamlar arasında, sıcaklık farkı mev-
turarak, istenilen performansta daha uzun süre cut olan her durumda, ısı transferi her zaman ger-
çalışmasını sağlamaktadır. Bir elektronik cihazın çekleşir. Sıcaklık farkı ne kadar büyükse, ısı trans-
ısıl yönetiminde temel amaç, ısı yayan bileşenler fer hızı o kadar yüksek olur.
ile ısı emici ortam arasında en kısa termal yolu
oluşturabilmektir. Isı transfer mekanizması 3 farklı yol ile gerçekleş-
mektedir. İletim (kondüksiyon), taşınım (konvek-
Genel Isıl Yönetim Teknikleri siyon) ve ışınım (radyasyon).
İki sistem arasındaki sıcaklık farkının neden ol-
duğu enerji aktarımı, ısı olarak tanımlanmakta- Modül Seviyesinde Soğutma Teknikleri
dır. Isı transferi, sıcaklık farkından kaynaklanan Elektronik elemanların termal kontrolü, ısı trans-
enerji aktarımıdır. Enerjinin ısı olarak transferi, ferinin uygulanmasında başlıca alanlardan biri
her zaman yüksek sıcaklıktaki bir ortamdan dü- olmuştur. Elektronik elemanların soğutulması
şük sıcaklıktaki ortama doğrudur ve iki ortam aynı işleminde güvenilirlik derecesini sağlamak için
sıcaklığa eriştiğinde ısı transferi durur. Bir ortam sınırlanan maksimum ve minimum eleman sı-
caklığına önem verilmesi
gerekmektedir. Optimum
performansı elde etmek
Yusuf Tekin - Araştırmacı, Hayrettin Özgür Keklikoğlu – Uzman Araştırmacı, için parçalar arası sıcak-
Sertaç Gürel - Başuzman Araştırmacı / BİLGEM İLTAREN lık farkı en aza indirilme-
lidir. Elektronik eleman-
ların ısıl direnci azaltılıp
İki sistem arasındaki sıcaklık farkının neden olduğu uygun soğutma koşulları
enerji aktarımı, ısı olarak tanımlanmaktadır. sağlanmalıdır (Şekil 2).
E
lektronik cihazlar birçok sektörde yaygın olarak kısaltmaktadır. Elektronik cihazların hata oranı da İletim ile elektronik
kullanılmaktadır. Gelişen teknoloji ile elektronik sıcaklıkla orantılı olarak artmaktadır. kartların soğutulması
cihazlar giderek küçülse de işlevsellik artmak- Elektronik kartların üze-
tadır (Şekil 1). Elektronik cihazların küçülmesi, ci- Bu gibi durumların önüne geçmek için elektronik ci- rinde bulunan bileşenle-
hazın birim başına ürettiği ısı miktarında belirgin bir hazların mekanik tasarımları yapılırken hem modül
artışa neden olmaktadır. Yüksek güç tüketen bu gibi bazında hem de kutu seviyesinde gerekli soğutmayı
elektronik cihazlar, yeterli ısıl yönetime sahip olma- sağlayacak tasarımların gerçekleştirilmesi gerek-
dığı durumlarda içerisinde bulundurdukları elektronik mektedir. Ancak artan devre yoğunlukları ve bileşen-
kartlarda ani sıcaklık yükselimlerine neden olmaktadır. lerin boyutlarındaki azalmalar, elektroniklerin termal
kontrolünü daha karmaşık hale getirmekte ve bile-
Elektronik kartlara monte edilmiş entegre çipler si- şen sıcaklıklarını istenilen değerin altında tutabilmek
likon malzemeden yapıldıkları için sıcaklık değişim- zorlaşmaktadır.
lerine karşı oldukça hassastır. Bu durum, elektronik
kart üzerinde bulunan bileşenlerin çalışma perfor- Genel kullanılan bazı ısıl yönetim teknikleri, elekt-
mansını olumsuz etkilemekte ve kullanım ömrünü ronik kartların daha düşük sıcaklıklarda ve daha az
74 75
Isıl Tasarımı BILGEM
TEKNOLOJI
rin sıcaklıklarının düşük tutulabilmesi için kalın malara uygulanacak tork miktarı termal direnci
bir soğutucu kapak kullanılması gerekmektedir. etkileyen diğer parametrelerdir.
Kartın bileşenlerinde meydana gelen ısının, ter-
mal arayüz malzemeleri (termal ped, termal ma- Yüksek güç yoğunluğuna sahip baskı devre kart-
cun vs.) kullanılarak ilk olarak soğutucu kapağa larında soğutucu kapak kullanılarak sağlanan ile-
aktarılması gerekmektedir. Soğutucu kapağa ak- tim ile soğutma yetersiz kaldığında hava veya sıvı
tarılan ısı, metal gövde boyunca hareket ederek ile soğutmalı yöntemler tercih edilmektedir.
içerisinde bulunduğu ısı emici görevini üstlenen
kutuya iletilir. Soğutucu kapak içerisinde devre Hava ile elektronik kartların soğutulması
kartındaki bileşenden, soğutucu kapağın kenarı- Isı üreten baskı devre kartını çevreleyen soğutu-
na kadar gerçekleşen ısı akışı, düşük dirençli yolu cu kapak içerisine uygun sayıda kanatçık yerleş-
takip ederek gerçekleşecektir. Soğutucu kapak tirilerek, soğutma havasının doğrudan bu kanat-
ne kadar kalın olursa, termal direnci de o kadar çıklar içerisinden geçmesi sağlanır. Bu işlem, kart
düşük olur. Böylelikle ısı daha hızlı aktarılacağı üzerindeki bileşenin soğutma havası ile teması
için soğutucu kapağın merkezi ile kenarları ara- olmaksızın soğutulması işlemidir. Kilitli kama
sındaki sıcaklık farkı daha az olacaktır. Kullanılan kullanımına gerek olmadığından ve kalın bir so- Şekil 9 Bileşen Üzeri Sıvı Soğutma
termal ped kalınlığı ve cinsi, temas noktalarında- ğutucu kapağa ihtiyaç duyulmadığından ağırlığın
ki yüzey kalitesi ve kapakların kutu içerisindeki önemli olduğu çalışmalarda tercih edilmektedir. çok yakın olduğu için modül başına ısı atımı da ol-
kanallara sabitlenmesinde kullanılan kilitli ka- Isı değiştiricisi ile ısı kaynağı arasındaki mesafe dukça fazla olabilmektedir.
76 77
Isıl Tasarımı Bu bir proje
tanıtımıdır.
Değerlendirme
Yüksek güçlü ve yüksek yoğunluklu elektronik
sistemlerin termal yönetim gereksinimlerini ba- GERÇEK ZAMANLI SPEKTRUM
GÖSTERİM SİSTEMİ
şarılı bir şekilde ele almak, kullanılabilecek bütün
soğutma yöntemlerini değerlendirerek uygun
Soğutma için gerekli debiyi ve basıncı sağla- soğutma tekniğini seçmek ve sistemlerin görev-
yacak doğru fan türünü seçmek çok önemlidir.
Fan kulla nımıyla ilgili en büyük endişe gürültü
lerini uzun vadede, sorunsuz ve güvenli şekil-
de yerine getirebilmesini sağlamak ısıl tasarım
(SPAR-R-26.5)
seviyesidir. mühendisinin temel sorumluluklarıdır. Tasarım
süreci, uygun soğutucu akışkanının seçilmesi, SPAR-R-26.5 analog sinyallerin geniş bant- adet kanallaştırıcı ile online pulse analizi
uygun fan/pompa kullanımı, debi ve basınç ka- lı örneklenmesi, analizi ve kaydedilmesini yapılabilmektedir. Sinyallerin frekans-genlik,
Soğutma sıvıları yüksek soğutma kapasitesi-
yıplarının hesaplanması, çalışma sıcaklıklarının sağlayan bir sistemdir. Sinyal analiz, pulse frekans-genlik-zaman, zaman-genlik ekran-
ne sahiptir. Örneğin; su ısıyı havaya kıyasla çok istenilen değerlerin altında tutulması gibi detaylı analiz, spektrum gösterim, I/Q veri kayıt, geri larında kullanıcıya gösterimi yapılmaktadır.
daha hızlı iletir. Bu nedenle sıvı soğutmalı ka- mühendislik çalışmalarını içermektedir. gösterim ve sayısal verilerin geri çalınması Ayarlanabilir sayısal ve RF donanım saye-
salar yüksek güç tüketen elektronik kartların
soğutulmasında sıklıkla tercih edilmektedir. Bu
sistemin ana yetenekleri olarak tasarlan- sinde geniş spektrum bandında ve güç sevi-
Isıl tasarım gruplarının tasarım süreci, elektronik
tarz kutuların duvarlarında uygulama gereksi- tasarım grupları ile bileşenlerin seçim aşama- mıştır. Geliştirilen kullanıcı arayüz yazılımı yelerinde ölçüm ve analiz yapılabilmektedir.
nimlerine göre optimize edilen sıvı kanalları bu- sından itibaren eşgüdümlü bir çalışma yürütme- ile analog ortamdan alınan sinyalin online Askeri ve sivil uygulamalara uygun mekanik
lunmaktadır. Isı bu sıvılara aktarılarak soğutma yi gerektirmekte, hem projelerin ilerleyen aşa- analiz ve ölçümleri yapılabilmektedir.Dört tasarıma sahip bir sistemdir.
sağlanır. malarında karşılaşılması muhtemel sorunların
önceden elimine edilmesi, hem de son ürünün
toplam performansının iyileştirilmesi açısından
Yeni Yöntemler önem arz etmektedir.
Modül ve kasa seviyelerinde, yukarıda anlatılan
geleneksel yöntemlerin yanı sıra artan ısı yük- Kaynakça
[1] Zhibin Yan et al. «Droplet-Based Microfluidic Thermal
lerinin önüne geçebilmek adına yeni soğutma
Management Methods for High Performance Electronic
teknolojileri geliştirilmektedir. Buradaki temel Devices», Micromachines (Basel). 2019 Feb; 10(2): 89.
amaç; yüksek ısı üreten ve küçük yüzey alanı- [2] «CHOOSING THE RIGHT COOLING METHODOLOGY,»
na sahip elektronik bileşenlerin ürettiği ısıyı or- [Çevrimiçi]. Available: https://www.atrenne.com/products/
tamdan hızlıca uzaklaştırarak istenilen çalışma chassis-enclosures.
www.bilgem.tubitak.gov.tr
78
Sinyal Analizi BILGEM
TEKNOLOJI
Muhammed Çalış - Uzman Araştırmacı, Enes Karav - Uzman Araştırmacı, Dr. Hüseyin Anıktar - Başuzman Araştırmacı,
Hakan Yaren - Başuzman Araştırmacı, Dr. Dursun Baran - Başuzman Araştırmacı, Ahmet Can Bilgen - Araştırmacı / BİLGEM BTE
Gerçek Zamanlı E
lektromanyetik dalga kavramı,
1864 yılında İskoç matematiksel Radarlar çok çeşitli Bu
ve modülasyon
durum, bu tarz teknolo-
jilerin ülkemizde geliştirile-
Spektrum
fizikçi James Clerk Maxwell ta- biliyor olmasının önemini
rafından elektromanyetik dalgaların ortaya koymaktadır.
elektrik dalgalarıyla aynı davranışı
içeren darbe sinyalleri ile
gösterdiği kuramıyla ortaya atılmış- çalışmaktadır. Sinyallerin Elektromanyetik sinyaller
Gözetleme
tır. Maxwell, 1867 yılında matema- kayıpsız gösterimi ve askeri amaçla TEMPEST
tiksel çalışmalarıyla radyo dalgaları- (Telecommunications Ele-
nın varlığını tespit etti. Alman fizikçi kaydedilmesi için gerçek ctronics Material Protected
Heinrich Hertz 1887’de Maxwell’ in zamanlı çalışma prensibine From Emanating Spurious
Analiz ve Kayıt
elektromanyetik dalgalarının varlığı- Transmissions) analiz, ha-
nı laboratuvarında yaptığı deneylerle uygun cihazlar berleşme, yön bulma, silah
radyo dalgalarını üreterek gösterdi. gereklidir. sistemleri gibi kritik önem
Yaptığı deneyde laboratuvarının bir arz eden alanlarda sıklıkla
tarafındaki elektrik kıvılcımının yay- kullanılmaktadır. Bu alan-
mış olduğu manyetik dalganın bir tel halka tara- lardan TEMPEST analiz ve ELINT uygulamaların-
fından hissedildiğini gözlemledi. dan aşağıda detaylı bir şekilde bahsedilmiştir.
Bir radyo dalgasının hızının ışık hızı ile aynı ol- TEMPEST
duğunun bulunmasından sonra, Hertz, radyo Bilgi içeren elektronik cihazlardan, kontrol dışı
dalgalarının ışık dalgaları gibi yansıma, kırılma elektromanyetik enerji yayılımlarının araştırıl-
ve girişim yapabildiklerini gösterdi. Sonrasında ması, incelenmesi ve denetim altına alınması
saniye başına titreşim olarak tanımlanan Hertz gereklidir. Bu yayılımlar kontrol altına alınmaz
onun ismiyle anıldı. Bu çalışmalar ışığında İtal- ise bilgilerin istenmeyen şekilde dış ortamdan
yan mucit Guglielmo Marconi ilk radyo vericileri toplanması mümkündür. TEMPEST kavramı bu
ve alıcılarını 1894-95 yılları arasında geliştirdi. kaçak yayınların toplanıp anlamlandırılmasının
20. yüzyıldan itibaren ticari ve askeri bakımdan engellenmesini sağlamak amacıyla ortaya çık-
radyo iletişimi çok yaygın bir şekilde kullanılmaya mış bir kavramdır.
başlandı.
Radyo Askeri ve ticari amaçla üretilen cihazların her ge-
Elektromanyetik dalgaların fiziki bir bağlantı kul- çen gün daha karmaşıklaşması ile birlikte bir ci-
frekanslarının lanmadan atmosfer içerisinde veri taşıyabilmesi, hazın başka bir cihazla ve haberleşme sistemleri
kullanım alanlarının hızlıca gelişmesinin önünü ile olan girişimleri de artmaktadır. Sistem saat
çok sık açmıştır. Elektromanyetik sinyallerin hayatımızın oranlarının hızlanması da istenmeyen sinyallerin
her alanında kullanılmaya başlanması ile birlikte tespit edilmesini zorlaştırarak hatalı ölçüm so-
kullanımı ile elektromanyetik spektrum kavramı ortaya çık- nuçlarında artışa sebep olmaktadır.
mıştır. Elektromanyetik spektrum, sinyallerin fre-
günümüzde kans ve dalga boylarına göre sınıflandırılması için Geniş bantlı gerçek zamanlı spektrum analizör-
kullanılan bir ölçüttür. lerin uyumluluk testlerinde kullanımı istenmeyen
kullanılan bant sinyallerin ve harmonik sinyallerinin kayıp ol-
Elektromanyetik sinyallerin kullanımının askeri ve maksızın tespit edilmesine imkân tanır. İlgileni-
genişlikleri, sivil alanda hızlıca yükselmesi ile birlikte elektro- len frekans aralığında hızlı ölçümler alınarak test
manyetik spektrum üzerinde kullanılacak alanla- süresinden tasarruf sağlanır.
milli servet rın belirlenmesi için bant genişliği tanımı ortaya
çıkmıştır. Radyo frekanslarının çok sık kullanımı ELINT- Electronic Intelligence
sayılması ile günümüzde kullanılan bant genişlikleri milli (Elektronik İstihbarat)
servet sayılması derecesinde önem kazanmıştır. Elektromanyetik spektrumun takip edilmesi ama-
derecesinde Bu gelişmeler sonucunda spektrum üzerindeki cıyla yapılan işlemlere Elektronik Harp (EH) adı
askeri ve sivil amaçla kullanılan sinyallerin tespit verilir. Bu kapsamda yapılan faaliyetler istihbarat
önem ve takip edilmesi çok önemli bir konuma gelmiştir. amacıyla kullanılabilir. Sinyal istihbarat (SIGINT)
kazanmıştır. Radyo frekansları sivil radyolar, telsizler, cep te-
sistemleri ile tespit edilen sinyaller, haberleş-
me istihbarat (COMINT) ve elektronik istihbarat
lefonları, uydu sistemleri ve radarlar gibi başlıca (ELINT) olarak askeri amaçlarla değerlendirilir.
alanlarda kullanıldıkça sinyallerin tespit edilme-
si, anlamlandırılması ve gerekli görüldüğünde Radar istihbarat üst bant frekansı 40 GHz ve üs-
kayıt edilebilmesi için gelişmiş yazılım ve do- tüne çıkan geniş bantlı ve gerçek zamanlı sin-
nanım teknolojileri ortaya çıkmaya başlamış- yal tespiti gerektirir. Çoğunlukla darbe sinyalleri
tır. Günümüzde bu tarz sistemler o kadar önem tespiti amacıyla kullanılır. Radar varlığının tespit
kazanmıştır ki ülkeler kendi teknolojilerinin ihraç edilmesi cihazın temel görevidir. Radarlar çok çe-
edilmesine sınırlı oranlarda müsaade etmektedir. şitli ve modülasyon içeren darbe sinyalleri ile ça-
80 81
Sinyal Analizi BILGEM
TEKNOLOJI
82
84 83
Yapay Zekâ BILGEM
TEKNOLOJI
Yapay Zekâ ve
Veri Mahremiyeti
UYGULAMALARI
Mahmut Lutfullah Özbilen – Araştırmacı, Rabia Arkan – Araştırmacı, Emine Ahsen Akay – Araştırmacı,
Mehmet Haklıdır - Başuzman Araştırmacı / BİLGEM BTE
G
elişen teknoloji ve işlemci gücüyle akıllı şahıslarla paylaşılmasına engel olacaktır.
sistemlerin kullanımının hızla arttığı günü-
müzde yapay zekâ; telekomünikasyondan Verilerin işlenmesi için başka bir ortama çıka-
havacılığa, tıptan savunma sektörüne kadar pek rılacağı zaman da hassas verilerin gizlenmesi
çok alanda yaygın olarak kullanılmaktadır. Ancak önem arz etmektedir. Mesela hastalıkların kişile-
yapay zekâ uygulamalarının var olmasını sağla- rin yaşantısı ile ilgili makine öğrenmesi sınıflan-
yan, günümüzün petrolü olan verinin mahremi- dırma çalışması yapılmasının istendiği zaman,
yetini sağlama, halen üzerinde çalışılan önemli hastaların kişisel verilerinden kimlik numaraları
bir sorundur. gibi bazı alanların çalışmayı yapacak ekiple pay-
laşılmasına gerek yoktur. Dolayısıyla bu verilerin
Bu zamana kadar geliştirilen yapay zekâ tekno- korunması için veriyi saklamamız/gizlememiz/
lojileri, veri mahremiyetini gözetecek şekilde ta- maskelememiz gerekmektedir.
sarlanmamıştır. Ancak yasal düzenlemelerle de
kişisel verilerin korunması bir zorunluluk haline Maskeleme işlemi verinin bir kısmının anlamsız
gelince, geleneksel veri maskeleme ve anonim- (*, # vb.) ya da rastgele karakterlerle değiştirilme-
leştirme gibi yaklaşımların yanında federe öğ- si ile gerçekleştirilmektedir. Veri maskeleme ve
renme, homomorfik şifreleme gibi öncü ve umut anonimleştirme tablosunda(sayfa 84) örnek bir Bir veride
verici teknikler ortaya çıkmıştır. maskeleme işlemi görünmektedir. Hassas olan
ID ve Telefon Numarası alanları ID alanı rastgele hassas alanlar
Veri Maskeleme ve Anonimleştirme
İnternet kullanımının son 20 yılda çok hızlı bir şe-
Telefon Numarası alanı da anlamsız karakterlerle
değiştirilerek maskelenmiştir.
maskelenmiş olsa
kilde artmasıyla insanlar kişisel verilerini internet da verinin diğer
üzerinde birçok yerde paylaşmaktadırlar. İnternet Hassas veriler maskelendiği zaman gizlenseler
üzerinde paylaşılmasa bile dijitalleşme ile birlik- de hala kişisel verilerin kişilerle ilişkilendirilme alanları kullanılarak
tehlikesi vardır. Bir veride hassas alanlar maske-
te okul kayıtlarında, alışverişlerde, hastanelerde
kişisel veriler alınıp kurumların veri tabanlarında lenmiş olsa da verinin diğer alanları kullanılarak o o verinin kime ait
saklanmaktadırlar. Saklanan kişisel veriler dışarı
verinin kime ait olduğu ortaya çıkarılabilir. Verile-
ri dış ortama aktarırken bu tehlikeden kaçınmak olduğu ortaya
aktarılacağı veya uygulama ekranında gösteri-
leceği zaman verinin tamamını kullanmak has-
için verilerin anonimleştirilmesi gerekmektedir.
Anonimleştirme, kişisel ve gizlilik içeren ham ve-
çıkarılabilir.
sas bilgilerin tehlikeye girmesine sebep olabilir. rinin kişiler ve kuruluşlarla ilişkilendirilemeyecek
Örneğin banka üzerinde para transferi yaparken şekilde işlenmesidir. Maskelemeden farklı olarak
oluşturulan dekont üzerinde hesap numarasının hassas verinin gizliğinin yanı sıra anonim kalma-
bütün hanelerinin gösterilmesi dekontun üçüncü sı da önemlidir. Anonimliği sağlamak için kulla-
2
84 85
Yapay Zekâ BILGEM
TEKNOLOJI
nılan en temel yöntem verilerin tekil kalmasının lanır. Bu yöntem, alanların kendi içerisindeki ilişki-
önüne geçmektir. Veri setinde bir satırın alanlarına olsa da; Federe öğrenme, özellikle şifreleme metotları Kısmen
yi bozduğu için dikkatli kullanılmalıdır. Zira makine Homomorfik Şifrelemeye
bakılınca diğer satırlardan ayrılıyorsa bir şekilde veri mahremiyetinin önemli oldu-
öğrenmesi gibi tekniklerde kullanılacaksa, modelin ğu Sağlık, Eğitim, Bankacılık gibi örnek olarak verilebilir.
verinin kime veya hangi kurumla ilişkili olduğunun hatalı kalıplar öğrenmesine yol açabilir.
ortaya çıkma tehlikesi vardır. Bu problemin önüne sektörlerde de kullanılmaktadır.
Ayrıca literatürde, Federe öğren- Biraz Homomorfik şifrele-
geçmek için kullanılan yöntemler aşağıda yer al- Federe Öğrenme me(SHE) yönteminde ise
me ile sağlanan mahremiyetin
maktadır. İlk olarak 2016 yılında yapılan bir çalışmada[3] arttırılmasına yönelik çalışma- matematiksel işlem türün-
karşımıza çıkan Federe öğrenme; merkezi makine lar da yapılmaktadır. Bu amaçla, den ziyade, bu işlemlerin
Karakter Maskeleme: Anonimleştirmede kulla- öğrenmesi modellerinin yerel cihazlarda bulunan merkezi ve yerel cihazlar arasında gerçekleştirilme sayısı kı-
nılan en temel yöntemlerden biri yazının başında kişisel verileri görmediği ve modellerin yerel cihaz- paylaşılan modelin ve paramet- sıtlıdır. Tamamen Homo-
bahsedilen maskeleme yöntemidir. Veri içeriğinin lar arasında dağıtıldığı, işbirlikçi bir makine öğren- relerin gizliliğini sağlayan çeşitli morfik şifreleme (FHE) yön-
mesi yöntemidir. Federe öğrenme, verilerin tek bir temleri şifrelenmiş veriler
hepsi veya bir kısmı anlamsız veya rastgele karak- güvenlik yöntemleri kullanılmak-
merkezde toplandığı klasik makine öğrenimi yön- üzerinde sınırsız sayıda
terlerle değiştirilmektedir. tadır. hem toplama hem de çarp-
temlerinin aksine verileri modele getirmez, makine
öğrenimi modellerini veri kaynaklarına getirir. Bu ma işlemlerinin gerçekleş-
Genelleştirme: Verinin ifade ettiği anlamın daha Homomorfik Şifrelemenin tirilmesine olanak sağlar.
sayede, kişisel verilerin mahremiyeti ve güvenliği Makine Öğrenmesinde
geniş bir ifadeyle değiştirilme yöntemidir. Yaşı sağlanırken aynı zamanda model performansı için Kullanılması Homomorfik şifreleme şe-
yaş aralığına çevirmek ya da adreslerde tam adres ihtiyaç duyulan büyük veriler de modellere kazan- Makine öğrenmesi, birçok sektör- ması, Flaticon.com’dan alı-
kullanmak yerine ilçe veya il adlarıyla değiştirmek dırılmaktadır. Ayrıca, klasik yöntemlerde verilerin de kullanılmaya ve bir ihtiyaç ha- nan ücretsiz simgeler ile yapılmıştır. Eser Sahip-
örnek olarak verilebilir. merkezileştirilmesinden dolayı ortaya çıkan; veri- line gelmeye başladı. Ancak sağlık, finans gibi leri: Freepik, Pixel perfect ve Smartline.
Değiştirme/Karıştırma: Veri setinin içindeki alan- lerin yönetimi, işlenmesi, aktarımı gibi teknik zor- bazı sektörlerde verilerin özel ve hassas olması,
luklardan da kaçınılmış olur. makine öğrenmesi çözümlerinin uygulanmasına Homomorfik şifreleme ile şifrelenmiş veri üze-
ları birbirleriyle değiştirerek anonimleştirme sağ-
engel oluyordu. Aynı şekilde gelişen teknolojiy- rinde makine öğrenmesi teknikleri uygulanabilir
Federe öğrenme yöntemi 4 temel le birlikte veriler hızla büyümeye başlamış ve bu olmuştur. İhtiyaca göre farklı kullanım senaryo-
süreç ile uygulanmaktadır; büyük verinin işlenmesi için daha güçlü makine- ları oluşturulabilmektedir. Kullanıcının önceden
Merkezi sunucu, merkezi modeli eğitilmiş bir makine öğrenmesi modeline veri
ve başlangıç parametrelerini yerel lere, bulut ortamlarına ihtiyaç duyulmuştur. Kul-
lanıcılar verilerini işlenmesi için başka ortamlara gönderip sonuç almak istediği bir senaryoda
cihazlara gönderir. Veriler, yerel kullanıcı, verisini şifreler ve şifrelenmiş verisini
cihazlarda bulunur ve bu verilerin veya bulut ortamlarına aktarma ihtiyacı duy-
makta ve eğer verileri özelse bu veriyi bir şekilde açık anahtar (public key) ile birlikte hesaplama-
yerel cihazlardan herhangi bir çıkı-
şı olmaz. şifrelemesi gerekmektedir. Geleneksel şifreleme nın yapılacağı ortama gönderir. Şifrelemede açık
Yerel cihazlar, gelen merkezi yöntemleri maalesef bu soruna çözüm olamaz- anahtar veriyi şifrelemek, gizli anahtar (private
modeli kendi veri kümesini kulla- ken, homomorfik şifreleme metotları bu sorun key) ise şifrelenmiş veriyi çözmek için kullanı-
narak eğitir. Her yerel model, mer- lır. Kullanılan şifreleme yöntemine göre modelin
için uygulanabilir bir çözüm sunmuştur.
kez sunucudan gelen en güncel parametreleri açık anahtar ile şifrelenerek ma-
parametrelerle ve yerel veri küme- tematiksel işlemler gerçekleştirilir ve sonuç yine
Homomorfik şifreleme, şifrelenmiş veri üzerin- şifrelenmiş olarak elde edilir. Kullanıcı gizli anah-
leri kullanılarak eğitilir. de hesaplama yapmaya izin veren bir şifreleme
Eğitilen yerel modellerin güncel tarı ile şifrelenmiş sonucu çözebilir. Aynı şekilde
yöntemidir. Şifrelenmiş veride matematiksel top- kullanıcı hazırda olan bir modeli kullanmak yeri-
parametreleri merkezi sunucuya
geri aktarılır. lama ve çarpma işlemleri gerçekleştirilebilmek- ne elindeki veriyi şifreleyerek başka bir ortamda
Merkez sunucuda her yerel ci- tedir. Toplama ve çarpma işlemlerini yapabil- makine öğrenmesi modeli eğitebilir. Ancak veri
hazdan gelen yeni parametreler, mek polinom hesabı yapabileceğimiz anlamına her zaman tek bir kullanıcının elinde olmayabilir.
çeşitli yöntemler kullanılarak bir- gelmektedir. Bu sayede şifreli metin(ciphertext) Birden fazla kullanıcının veri sağladığı sistem-
leştirilir. Merkezi model, birleşti- çözülmeden düzyazı(plaintext) halindeki gibi lerde ise anahtar yönetimi Güvenli Çok Şahıslı
rilen güncel parametreler kulla- işlenebilir ve analiz edilebilir olmuştur. m veriyi, Hesaplama (Secure Multi-party Computation)
nılarak yeniden eğitilir. Merkezi E(m) ise verinin şifrelenmiş halini temsil edecek [5] veya Güvenilir Üçüncü Şahıs (Trusted Third
modelde optimum parametreler olursa: Party) [6] ile yapılabilir.
elde edilene kadar önceki adımlar
tekrar edilir. Kaynakça
1. “What is Data Masking”, DataSunrise. [Online]. Available:
Federe öğrenmeye Google’ın And- https://www.datasunrise.com/blog/professional-info/what-
roid cihazlardaki klavye uygulaması Çeşitli homomorfik şifreleme yöntemleri vardır. is-data-masking/ [Accessed: 14-Apr-2021]
2. “GUIDE TO BASIC DATA ANONYMISATION TECHNIQUES”,
olan Gboard örnek verilebilir [4]. Bu Aralarındaki fark, şifrelenmiş veriler üzerinde Personal Data Protection Commission Singapore, 2018. Avai-
uygulamada, kullanıcıya sunulan gerçekleştirilebilecek matematiksel işlem türleri lable:https://www.pdpc.gov.sg/help-and-resources/2018/01/
önerilerin geliştirilmesi için kulla- ve işlem sayısıdır. Bunlar Kısmen Homomorfik guide-to-basic-data-anonymisation-techniques
nıcıların kişisel sorgularına verilen Şifreleme (Partially Homomorphic Encryption), 3. McMahan, Brendan, et al. “Communication-efficient learning
önerilerin tıklanma durumları yerel Biraz Homomorfik Şifreleme (Somewhat Homo- of deep networks from decentralized data.” Artificial Intelligen-
morphic Encryption) ve Tamamen Homomorfik ce and Statistics. PMLR, 2017.
cihazlarda depolanır. Bu verilere 4.https://ai.googleblog.com/2017/04/federated-learning-col-
erişim olmadan Federe öğrenme ile Şifreleme(Fully Homomorphic Encryption)’dir. laborative.html
Gboard’un sorgu öneri modelinin 5. Karthik A Jagadeesh, David J Wu, Johannes A Birgmeier,
iyileştirilmesi sağlanır. Kısmen homomorfik şifreleme(PHE), sadece Dan Bonehand Gill Bejerano. Deriving genomic diagnoses
bir matematiksel işlemin sınırsız sayıda ger- without revealing patient
çekleştirilebildiği bir şifreleme yöntemidir. Ri- 6. Runhua Xu, James B.D. Joshi, and Chao Li. CryptoNN: Trai-
Federe öğrenmenin ilk örnekleri ning Neural Networks over Encrypted Data
mobil cihazlar üzerinde yapılmış vest-Shamir-Adleman (RSA), ElGamal ve Paillier
86 87
Röportaj
Melih Kaya-
Birincilik Oğuzhan Kireç-
Ödülü Mansiyon
Ödülü
2020 Yılı TÜBİTAK Fotoğraf Yarışması Ömer Şamil Kara-
Mansiyon
Ödülü
Özdemir Kavak-
Mansiyon
Ödülü
Röportaj: Mehmet S.Ekinci – Başuzman / BİLGEM KKYBY
F
otoğraf sanatıyla ilgilenen TÜBİTAK çalışanlarını teşvik etmek, onla-
rı bir araya getirerek eserlerini sergilemelerini sağlamak, TÜBİTAK’a
sanatsal canlılık kazandırmak amacıyla düzenlenen Fotoğraf Yarış-
ması’nın 2020 Yılı konusu, ‘Suyun Hayatımızdaki Yeri’ idi.
88 89
Röportaj
“Rahmet’
“Susuzluk”
Melih Kaya – Uzman / BİLGEM BTE
Oğuzhan Kireç – Teknisyen / BİLGEM UEKAE
Fotoğraf çekmek, bakmanın ötesinde görmenizi sağlar! Fotoğraf roman gibidir, size anlatır.
2020 Yılı TÜBİTAK Fotoğraf çekmek, her gün ‘baktığımız’
Fotoğraf Yarışmasında 2020 Yılı TÜBİTAK Evrenin daha renkli, daha samimi ve
ödül alan ve sergile- çevremizdeki detayları ‘görme’ yetisi Fotoğraf Yarışmasında
sıcak olduğunu anlatmak için fotoğraf
nen fotoğraf(lar)ınızın ödül alan ve sergile-
kazandırıyor. nen fotoğraf(lar)ınızın çekiyorum.
hikayesini bizimle pay-
hikayesini bizimle pay-
laşabilir misiniz? Fotoğraf çekmek
Fotoğraf çekmek, her gün ‘baktığımız’ çevremizdeki de- laşabilir misiniz?
Birincilik ile ödüllendi- sizin için ne ifade
‘’Susuzluk’’ isimli fotoğra-
rilen fotoğrafımı 2017 tayları ‘görme’ yetisi kazandırıyor. Her gün biraz daha ediyor, size ne
fımda susuzluğun en çok
yılı Haziran ayında Sa- ayrıntıları görebilir hale geliyorsunuz. Bakmak ile görmek sağlıyor? Neden
hissedildiği Emirli Bara-
karya’da bir ziyaret es- arasındaki farkın arasını açmaya çabalıyorsunuz. Bu çaba jı’nın üzücü halini kad- fotoğraf çekiyor-
nasında çektim. O gün sizi gündelik hayatın telaşından koparıp aslında “O an”ın rajıma aldım. Çünkü su sunuz?
hava kapalıydı ve zaman içinde bulunan güzel anıları biriktirmeye yönlendiriyor. kulesinin ben artık yokum Bence fotoğraf
zaman yağmur çiseli- dediğini duyar gibiydim. çekmek roman
Bazen kaydedemediğiniz bir görüntü, zihninizde uzun bir
yordu. Kısa bir yürüyüş İnsanların buna aldırış et- gibidir, size her
sonrası eve dönüş esna- süre pişmanlığınız olarak kalabiliyor. Tam da bu noktada şeyi anlatır, dün-
meden balık tutmaya çalışması, beni farklı duygulara
sında buğday tarlalarının fotoğraf çekmenin kıymetini anlıyorsunuz. yaya farklı bir ba-
sevk etti. İşte bu duyguların bütün objelerini bu fotoğ-
arasından geçerken gör- rafta anlatmaya çalıştım. kış açısından bakmamızı sağlar. Evrenin daha renkli,
düğüm manzara karşısında etkilendim. Yakından baktı- Size göre iyi bir fotoğrafın olmazsa olmazları nelerdir? daha samimi ve sıcak olduğunu anlatmak için fotoğraf
ğımda ise detaylar daha çok ön plana çıktı. Beni etkileyen İyi bir fotoğrafın olmazsa olmazı iyi bir kompozisyona ‘’Yağmura karşı mücadele" fotoğrafımda bir salyango- çekiyorum.
“O an”ı kalıcı bir anıya dönüştürdüm. Fotoğraf Yarışma- sahip olmasıdır. Kompozisyon fotoğrafların etkileri ile zu fotoğrafladım. Su bize her ne kadar hayat ve kolaylık
sı konu başlığının “Suyun Hayatımızdaki Yeri” olduğunu ilgili önemli bir konudur, fotoğraf ile iletilmek istenen sağlasa da, sanırım bazılarımız için böyle olmuyor. Doğa Size göre iyi bir fotoğrafın olmazsa olmazları nelerdir?
öğrendiğim zaman yarışmaya bu fotoğrafımla katılmak mesajın başarısını belirler. Fotoğrafta kompozisyon yürüyüşü sırasında aniden bastıran yağmura karşı dur- Bir fotoğrafın olmazsa olmazı bakıldığında daima heye-
istedim. madan ilerlemeye çalışan bu küçük salyangoz gibi. İşte can verebilmesidir. Çünkü fotoğraf, geleceğimize somut
öğelerini kural olarak değil, gözün hoşlanacağı anları
bu cümlelere kanıt olarak bu fotoğrafı çektim. Umarım bir mirastır. Bıraktığımız bu mirasa ne zaman bakarsak
yakalamak konusunda birer rehber olarak görebiliriz. Bir ben yanılıyorumdur ve bu salyangoz durup yağmurun
Fotoğraf çekmek sizin için ne ifade ediyor, size ne bakalım, ilk günkü heyecanı yakalamamız gerekir.
fotoğraf kendisini ne kadar süre izlettiriyorsa o kadar ba- keyfini çıkarıyordur.
sağlıyor? Neden fotoğraf çekiyorsunuz?
şarılı bir kompozisyona sahiptir diyebiliriz.
90 91
Röportaj
“İparhan”
Özdemir Kavak – Başuzman Araştırmacı / BİLGEM BTE
92 93
Yarı İletken Teknolojileri BILGEM
TEKNOLOJI
törler ve bu sintilatörlerin altında da, çıkan fotonla- sinin her saniyesinde radyasyon hızının ve parça-
rın algılanması için YİTAL’in ürettiği PIN Dedektör cık miktarının belirlenmesini sağlamış ve böylelikle
bulunmaktadır. Dört adet fiber sintilatör, okuma çakışık mantık prensibiyle çalışan parçacık teles-
elektroniği kartında bulunan PIN dedektörün her kobu tasarımı doğrulanmıştır. Ayrıca anılan uçuş
bir kadranına denk gelecek biçimde üzerine yerleş- sayesinde “LEO’da Uzay Aracı için Uzay Radyas-
tirilmiştir. Düşük karanlık akımı ve hızlı tepki süresi yon Monitörünün Tasarımı ve İlk Türk Sonda Roke-
sayesinde demet alanı X ve Y eksenlerinde yüksek tinde Bir Prototip Uçuşunun Sonuçları” başlıklı bir
doğruluk ile taranır. Fiber sintilatörlerin demet ala- yüksek lisans tezi yayımlanmıştır [1].
nının içerisine girmesiyle parçacıklar sintilatörlere
çarpar ve fotonlar oluşur. Oluşan bu fotonlar sin- Radyasyon Ölçer (SB)’in duyarlığını geliştirmek
tilatörlerin altında bulunan PIN dedektör’e iletilir amacıyla YİTAL ve ODTÜ İVMER çığ fotodedektör-
ve okuma elektroniğinin girişinde proton akısıyla ler (Avalanche PhotoDiode, APD) üzerine Ar-Ge ça-
orantılı bir elektrik akımı elde edilir. PIN dedektör- lışmalarına başlamıştır. Daha yüksek hassasiyetli
den elde edilen verilerle demetin homojenliği, ko- ölçümler için çözümler sunması beklenen YİTAL’in
numu, boyutu ve akısı öğrenilir. Alınan bu veriler CMOS üretim sürecine uyumlu çığ fotodiyotun ta-
ODTÜ-SDH’nin Test ve Ölçüm Alt Sisteminde bulu- sarım özellikleri aşağıda tanıtılmıştır.
nan diğer dedektörler ile de doğrulanarak kullanılır.
Çığ Fotodiyot
ODTÜ İVMER’in çalışmalarının başarılı bir şekil- Son zamanlarda birçok sektörde teknolojik bir ya-
de ilerlemesi ve uzay radyasyonu alanındaki de- rış içerisinde olan algılayıcılar gün geçtikçe geli-
neyiminin artması ile SSB projeye, uydulardaki şerek farklı uygulamalara ve özellikle otonom sis-
radyasyon miktarının ölçülmesi için kullanılacak temlere yüksek duyarlıkta çözümler sunmaktadır.
2
019’da kurulan Orta Doğu Teknik Avrupa Uzay Ajansı’nın ESA ESCC Radyasyon Ölçer (SB), SSB tarafından başlatılan Efektif bir çığ fotodiyot üretimindeki temel zorluk,
Radyasyon Üniversitesi Uzay ve Hızlandırıcı 25100 standardına göre Tekil Olay ve ROKETSAN’ın Mikro Uydu Fırlatma Sistemi Ge- yüksek kazanç ile düşük şiddetli fotonların algılan-
Teknolojiler Uygulama ve Araş- Etkileri (Single Event Effect, SEE) liştirme Projesi (MUFS) ile geliştirilen SR-0.1 son-
masının hızlı bir şekilde yapılması sırasında düşük
Ölçer(SB), tırma Merkezi (İVMER) çalışmalarına, testlerinin yapılması amacıyla ODTÜ da roketinin ilk prototopine alt sistem seviyesinde
gürültüye sahip olmak ve ters belverme gerilimini
Kalkınma Bakanlığı’ndan 7,5 milyon SDH kurulmuş ve Savunma Sana- entegre edilerek, katı-sıvı yakıtlı motor teknoloji-
ROKETSAN TL’lik bütçe ile bir radyasyon test yii Başkanlığınca kabulü yapılmıştır. siyle 26–29 Ekim 2020 tarihleri arasında başarıyla sabit tutmaktır. Bu amaçla çığ bölgesi iyon kon-
santrasyonları ayarlanarak, oluşan elektron-delik
yerleşkesinde tesisi kurulumu için, 2015’te “Parça- ODTÜ SDH ile şu ana kadar 20 kurum iki kez uzaya çıkmış (yaklaşık 130 km) ve geri dön-
cık Radyasyonu Testleri Oluşturma ve kuruluşa test hizmeti verilmiştir. müştür.
yapılan çevresel Laboratuvarı” olarak projelendiril-
testleri ve mesiyle başlamıştır. ODTÜ-SDH’nin Testlerde sunulan proton demeti; ki- Radyasyon Ölçer (SB) roketin ikinci aşamasının üs-
(Saçılmalı Demet Hattı) kurulumu netik enerjisi 15 30 MeV aralığında, tünde yer almış ve bilimsel yük bölmesi açıldığında
ODTÜ İVMER kapsamında, alt yapı desteği için radyasyon alanı 15,40 cm × 21,55 cm doğrudan uzay ortamına maruz kalmıştır. ODTÜ
Laboratuvarı’nda Türkiye Enerji, Nükleer ve Maden (yaklaşık bir A4 kâğıdının boyutları) İVMER ekibi uçuş öncesinde ROKETSAN ile bir-
Araştırma Kurumuyla (TENMAK), ve ±%10 homojenlikte ve proton akısı likte çalışarak alt sistem seviyesinde entegrasyon
çeşitli kalibrasyon bilgi transferinin sağlanması için ise 106–1011 p/cm2/s aralığında olup, yapılmasının yanında, Radyasyon Ölçer (SB)’den
CERN ile işbirliği anlaşmaları imza- ESA ESCC 25100 standardına uygun
kaynakları lanmış ve bu imkânlar sağlandıktan olarak verilmektedir. Standart koşul-
gelecek verilerin telemetrinin bir parçası olmasını
sağlamıştır. İki uçuş için de telemetriden gelen veri
ile yapılan sonra Savunma Sanayii Başkanlığı larının sağlandığının test edilmesi ayrıştırılıp, süre-irtifa/parçacık sayısı şeklinde gra-
(SSB), Hava Savunma ve Uzay Dai- için ODTÜ-SDH’de çeşitli dedektörler
performans resi ile imzalanan protokolle projeye kullanılmaktadır.
fiklendirilmiş ve böylelikle uçuş kontrol odasında
bulunan bir monitörden canlı olarak izlenebilmiştir.
testlerini müşteri kurum olmuştur.
Standart parametrelerinden biri olan
başarıyla Bu başarılı uzay yolculuğu ile ODTÜ İVMER Rad-
Bu proje ile, uzayda kullanılacak demet homojenliği hakkında bilgi
yasyon Ölçer (SB), atmosfer ve uzayda görev süre-
elektronik ve yapısal malzemelerin edinmeyi sağlamak için fiber sintila-
geçmiştir. Radyasyon Ölçer
94 95
Yarı İletken Teknolojileri BILGEM
TEKNOLOJI
YİTAL ve ODTÜ İVMER, altında ilerleyerek kontaklardan toplanır ve elektrik sürecinde çoğunluk taşıyıcıların elektronlar olduğu
akımını oluşturur. Sonuç olarak, uygulanan birim çığ fotodiyot tasarımlarının gürültü düzeyleri dü-
Radyasyon Ölçer(SB)’in optik güce karşı oluşan fotoakım olarak tanımla- şüktür. Ayrıca, elektron hareketliliğinin (mobilitesi-
duyarlılığını geliştirmek amacıyla çığ nan, tepkisellik parametresi ortaya çıkmaktadır: nin) deliğe göre yüksek olması nedeniyle çığ pro-
fotodedektörler üzerine Ar-Ge sesinde çoğunluk taşıyıcı olarak elektronların baz
Sλ0=η(λ⁄1240) , alınması, yüksek hızlı tepki süresine sahip olmada
çalışmalarına başlamıştır. λ : Dalga boyu [nm] ve gürültü akımının (I_N) düşük olmasında önemli
bir parametredir [2], [3].
Çığ fotodiyodu diğer algılayıcılardan farklı kılan en
nan çığ fotodiyot, yüksek hassasiyetle ve düşük önemli özelliği çığ bölgesi etkisidir. Optik güç kar- I2=2qIp0 M2 F
gürültüyle çalışma avantajıyla otonom sistem- şısında oluşan elektron-delik çiftinin çığ bölgesin- I_p0 : Fotoelektrik akımı
lere maliyet etkin özgün çözümler sunmaktadır. de yüksek elektriksel alanla karşılaşması sonucu q : Elektron yükü
Gerek LIDAR teknolojilerine gerek askeri lazer çığ etkisi denilen multiplikasyon olayı gerçekleş- F=Ie⁄(Ie+Ih )
mesafe ölçüm sistemlerine alternatif olma an- mektedir. Elektronlar çarpışma iyonizasyonu etki- Ie : Elektron akımı
lamında, çığ fotodiyot güçlü ve etkin bir adaydır. si sonucunda çarptığı elektronu iletim durumuna Ih : Delik akımı
Otomotiv sektöründen askeri teknolojilere, uzay geçirerek akım kazancını sağlamaktadır. Çarpışma
teknolojilerinden sağlık sektörüne kadar birçok iyonizasyon katsayısına (α) bağlı olarak oluşan Sonuç olarak, yüksek hızlı tepki sürelerine sahip,
çiftini çoğaltma işlemi sonucunda yüksek ku- alanda otonom kabiliyetlerin artması, algılayıcı- multiplikasyon faktörü (M), p-n jonksiyonu içeri- yüksek hassasiyetli algılayıcıların gün geçtikçe
antum verimliliğine sahip olunmaktadır. Saf böl- lara düşen görevleri daha da önemli kılmaktadır. sinde yükselen elektriksel alanın bir fonksiyonudur: öneminin arttığı teknoloji çağında, bahsedilen üre-
gede oluşan elektron-delik çiftinin çığ bölgesine Hata oranını düşürmek ve hızlı karar verebilmek tim parametreleri kullanıcı odaklı optimize edilerek
ulaştığında yüksek elektriksel alanla karşılaş- adına, çığ fotodiyotlar gerek maliyet gerek tek- M=Im⁄Ip , üretilmiş yerli bir çığ fotodiyodun günümüzde ve
ması sonucu çarpışma iyonizasyonu etkisi or- nolojik açıdan tercih edilmektedir. Im : Multiplikasyon sonrası oluşan akım, gelecekte askeri ve sivil alanlarda birçok devreye
taya çıkmaktadır. Bu etki sonucunda, elektronlar Ip : Gelen fotonun oluşturduğu akım etkin bir algılama avantajı sunacağı açık olarak
enerjilerini çarptığı elektronlara aktararak iletim α=1⁄(Lint )av , görülmektedir.
Silisyum Çığ Fotodiyot Üretim Parametreleri
durumuna geçirmektedir. Bu sayede düşük güç- (Lint )av : İki çarpışma arası ortalama uzaklık
1100 nm dalga boyuna kadar yüksek kuantum
lere sahip bir sinyal dahi kazanç sayesinde algı- verimliliğiyle algılama avantajı sunan silisyum
lanabilmektedir. Yüksek multiplikasyon katsayısına sahip olabilmek Kaynakça
1,12 eV (300 K) yasak bant aralığına sahiptir.
için çığ bölgesi kalınlığını ve bu bölgenin elektrik- [1] A. Albarodi, “LEO’da uzay aracı için uzay radyasyon monitö-
Bu enerji düzeyi ve üzerindeki elektromanyetik sel alanını olabildiğince yüksek tutmak gerekir. Bu rünün tasarımı ve ilk Türk sonda roketinde bir prototip uçuşunun
Işık enerjisini ve radyasyonu elektrik enerjisine radyasyon silisyum çığ fotodiyot tarafından so- sayede akım kazancının yüksek olması mümkün sonuçları,” Yüksek Lisans Tezi, Orta Doğu Teknik Üniversitesi,
çevirmede çığ fotodiyodu diğer algılayıcılardan ğurulur (absorption). Belirli bir dalga boyunda olmakta, ancak, multiplikasyon katsayısına bağlı Ankara, 2021. Erişim adresi: https://tez.yok.gov.tr/UlusalTezMer-
ayıran en önemli parametre, şüphesiz çığ böl- soğurulan foton akısı (Q) yarıiletken içerisine önemli bir parametre olan gürültü faktörü ortaya kezi/TezGoster?key=9MiDp3x86xrwjpi5-14w-SHAhj4Ee55Y31X-
gesi tasarımı ve üretimidir. n+ tipi yarıiletken nüfuz ederken soğurma katsayısına (α) bağlı çıkmaktadır. PIN fotodiyotlara nazaran yüksek gü- teKIvhWbIiIkj6uBemtxZrVfIY123
ile p tipi yarıiletken arasında oluşabilecek bir olarak sönüme uğramaktadır [2]: rültülere sahip çığ fotodiyotlarda, çığ bölgesi nede- [2] I. Węgrzecka et al., “Design and properties of silicon avalanche
çığ bölgesinin 105–106 V/cm mertebelerinde niyle oluşan gürültü, multiplikasyon katsayısına ve photodiodes,” Opto-Electron. Rev., vol. 12, no. 1, pp. 95 104, 2004.
elektriksel alana sahip olabilmesi için bu böl- Q(x)=Q0.e〗-αx diyot üzerine gelen fotonların birincil olarak oluş- [3] S. VK Arora, Proximity Fuzes: Theory and Techniques. New
genin silisyum katkı profili önem arz etmektedir. turduğu elektron ve delik akımlarına bağlıdır. Çığ Delhi: Metcalfe House, 2010.
Ayrıca, katkılama miktarlarıyla bağlantılı olarak Yarıiletken malzeme içerisinde üstel olarak sö-
oluşacak tıkamada kutuplu p-n jonksiyonunun nen foton akısı elektron–delik çiftinin üretimini
fakirleşme bölgesinin geniş olması nedeniyle, gerçekleştirmektedir. Optik olarak üretilmiş ta-
yüksek tıkama gerilimi altında düşük kapasite şıyıcılar, yüksek tıkama gerilimi altında kırını-
elde edilmesi, yüksek kesim frekansı düzeylerine ma uğrayıp terminallere (anot, katot) ulaşarak
ulaşmada önemli avantaj sağlamaktadır. elektrik akımını oluşturur. Bu nedenle, dedektöre
gelen fotonların elektron-delik çifti oluşturma
Pek çok uygulama için efektif bir spektral bölge- yüzdesi olarak tanımlanan kuantum verimliliği
ye sahip olan silisyum çığ fotodiyotlar 100-400V (η) ve aygıtın giriş-çıkış arasındaki ilişkisini ta-
arası ters besleme gerilimlerine, 1 nA’in altında nımlayan tepkiselliği (responsivity, S) etkin bir
karanlık (gürültü) akımına, 2 ns altında tepki sü- çığ fotodiyot üretimi için önem arz eden para-
relerine sahip olmalarıyla geniş kullanım alanı metrelerdir:
bulmaktadır. 1,5 mm, 3 mm, 5 mm gibi küçük bo-
yutlarıyla büyük işler başararak üzerine literatür ηe=(1-Rλ )∙.ηi
çalışmalarının yapıldığı yarıiletken ailesinin bir Rλ : Yansıma katsayısı
parçası olan bu yapıların, gelecek teknolojilere
şimdiden çözümler üreteceği aşikârdır. Çığ fotodiyot üzerine yasak bant aralığından
yüksek enerjili ışık düşürüldüğünde elektronlar
Elektromanyetik tayfın morötesi, kızılötesi veya fotonların enerjisini soğurur ve iletim bandına
görünür ışık bölgelerinde çalışma olanağı su- geçer. İletime geçen elektronlar elektriksel alan Şekil 2. Çığ Fotodiyot Kesit Alan Örneği
96 97
Sismik Analiz BILGEM
TEKNOLOJI
kabloların bulunması nedeniyle sahaya kurulumu sındaki zaman sekronizasyonu, her sismometre
en hızlı sistemdir. Çoğu fiber haberleşme hattında, için ayrı güç kaynağı ve veri iletim hattı gereksinimi
yedek olarak tutulan bir dizi kullanılmayan fiber önemli zorluklar olarak karşımıza çıkmaktadır [4].
optik kablo bulunur. Bu kablolarda herhangi bir Ayrıca nüfusu yoğun olan bölgeler ve deniz tabanı
veri iletişim yapılmaz ve literatürde karanlık fiber gibi yerlere fiziksel limitler dolayısıyla sınırlı sayıda
(Dark fiber) olarak anılır. Kullanım dışı olan bu fi- sismograf yerleştirilebilmektedir. Bu noktada DAS
berler DAS sisteminde sıklıkla kullanılmaktadır. Bu sisteminin sismik araştırmalarda kullanılmasındaki
yönüyle ülke sınırları, deniz ve okyanus tabanı, pet- önemli motivasyonlar olarak; fiber optik kabloların
rol boru hatları, karayolları ve demir yolları gibi yer çoğu yerde mevcut olması, sahada fazladan güç
ve bölgelerde DAS sisteminin kurulumu kolaylıkla gereksiniminin olmaması, tek bir merkezden yöne-
gerçekleştirilebilmektedir. tildiği için saat senkronizasyonunun basit olması,
efektif olarak sensörler arası mesafenin çok yakın
DAS sistemlerinin kullanım alanı, ilgili optik/elekt- konumlandırılabilmesi, şehir içinde, deniz ve okya-
ronik tasarımın geliştirilmesi, parametre değişikle- nus geçişlerindeki boş fiberlerin kullanılabilmesi
ri ve teknolojik gelişmeler sayesinde sürekli geniş- sayılabilir.
lemektedir. Yeni bir alan olarak sismik hareketlerin
FOTAS Projesi:
DAS sistemi aracılığıyla tespit ve analiz edilmesin- Nasıl Çalışıyor?
de potansiyel bir çözüm olarak karşımıza çıkmak- FO kablo üzerinde meydana gelen gerilme, akustik
tadır. Günümüzde yer kabuğunda meydana gelen etki, kırılma ve kopma gibi fiziksel etkilerin tespitin-
sismik hareketleri algılamak, analiz etmek amacıyla de OTDR (Optical Time Domain Reflectometry) öl-
Sismik Analiz
remin oluşturduğu dalgaları tespit etmek mümkün veya Raman) ile geri saçılan kısmının zamana, fre-
iken deprem hareketlerini, depremin yerini, büyük- kansa ve faza bağlı analizine dayanmaktadır. Bu
lüğünü ve topografik haritalanmasını çıkarmak sayede ölçüm zamanı ve fiziksel etkinin meydana
gibi amaçlar için çok sayıda sismik algılayıcı içeren geldiği konumu ilişkilendirilerek olaylar konumla-
ulusal ve ulaslararası boyutta sismik ağlar oluştu- rıyla birlikte tespit edilmektedir.
rulmuştur. Ayrıca bu ağlardan gelen veriler analiz
Mücahit Kavaklı - Araştırmacı, Hasan Yetik - Uzman Araştırmacı, edilerek deprem/tsunami erken uyarı sistemleri TÜBİTAK BİLGEM olarak geliştirdiğimiz sistem,
Dr. Umut Uludağ – Başuzman Araştırmacı / BİLGEM UEKAE geliştirilmek amacıyla Japonya, ABD, Türkiye gibi DAS uygulamalarında sıklıkla kullanılan yakla-
ülkelerde çalışmalar yapılmaktadır. Bu ve benzeri şımlardan biri olan ve genlik tabanlı eşevreli OTDR
G
ünümüzde fiber optik (FO) kab- FO sensörler, üretimden yapı sağlığı amaçlar için Türkiye’de sismik istasyonların kurul- (C-OTDR) sistemiyle Rayleigh geri saçılımının ana-
masına 1970’lerde başlanmıştır. 2019 yılı Ekim ayı lizine dayanmaktadır. Çalışma prensipleri klasik
TÜBİTAK lolar haberleşme sistemlerinde
yaygın ve etkin olarak kullanılan
izlemeye, çevre ve sınır güvenliğin-
den boru hatlarında sızıntı tespitine, itibariyle Türkiye’deki toplam ivmeölçer ve hızölçer OTDR ile benzer olan bu teknolojide FO hatta iletilen
BİLGEM’de iletim hatlarıdır. Özellikle 90’lı yıllar- savunma teknolojilerinden sivil er- sayısı 1100 civarındadır [3]. Bu sismik ağların sayı- lazer ışığı sebebiyle hat boyunca geri saçılan enerji
dan günümüze internet kullanımının ken uyarı sistemlerine kadar uzanan larını arttırarak daha hassas ölçümler yapmak için hattın yakınındaki sismik aktivitelerden veya mekanik
2016 artmasıyla birlikte çok hızlı büyüme geniş bir yelpazede kullanım ve uy- önemli bir yatırım gerekmektedir. harekelerden etkilenmektedir.
yılında, DAS sağlamıştır. Bu nedenle ülkeler fiber gulama alanına sahiptir. Bu uygula-
optik altyapısını sürekli genişletmek- malarda FO sensörleri bir algılama Sismometrelerin uygun yerlere yerleştirilmesi, Sistemin temelini oluşturan ana bileşenler Şekil
teknolojisi tedir. Günümüzde fiber hatların uzun- dizini olarak kullanılmasına olanak uzun vadeli bakım maliyetleri, sismometreler ara- 1’de gösterilmiştir.
kullanılan luğu dünyada milyonlarca km ile ifa- sağlayan sistemlere literatürde Fiber
de edilirken Türkiye’de 404 bin km’lik Optik Dağıtık Akustik Algılama (DAS) Optik Sorgulayıcı Cihaz
Fiber Optik fiber hat mevcuttur [1]. denmektedir [2]. (OSC): Lazer kaynağı, op-
Tabanlı Yapılan bilimsel çalışmalar netice- DAS, yeni ve benzer işi yapan sistem-
tik modülatör, optik kuplör,
optik sirkülatör ve denge-
Akustik sinde fiber optik kablolar sadece veri lere göre 100 km’yi aşabilen algılama li foto algılayıcı (DFA) gibi
iletimi için değil bir sensör olarak menziline ve yüksek uzamsal çözü- elemanlardan oluşan bile-
Sensör sıcaklık, basınç, gerilme gibi fiziksel nürlüğe sahip, uygun fiyatlı, nispeten şendir.
(FOTAS) ölçümlerin algılanmasında da kulla- daha az bakım gerektiren, düşük güç
nılmaktadır. Son yıllarda ise nokta- tüketimli, sahada enerji ihtiyacı ol- Elektriksel Sinyal Analizö-
Projesi’ne sal sensörlerden kurulu klasik ağlara mayan bir teknolojidir. Ayrıca haber- rü (ESA): Foto algılayıcıdan
başlanmıştır. kıyasla uzun menzilli hatların tüm
konumlarının gerçek zamanlı ve yük-
leşme amaçlı kullanılan sıradan fiber
kablolar kullanılarak gerçeklenebi-
gelen elektriksel sinyalin
sayısallaştırıldığı, optik mo-
sek çözünürlüklü olarak gözlemlen- lir. Bu sebeple kullanıma sunulacak dülatörün darbe genişliği ve
mesinde kullanılmaya başlanmıştır. birçok yerde hâlihazırda fiber optik darbe tekrarlama sıklığı pa-
98 99
Sismik Analiz BILGEM
TEKNOLOJI
rametrelerinin ayarlandığı, gürültü giderimi, filt- elimizde bulunan mevcut 3 km’lik fiber optik hat- sının, sonrasında da S dalgasının hattı etkilediği yaklaşık 3 km’lik hattımıza etkisi görülmektedir.
releme gibi işlemlerin yapıldığı bileşendir. larımız ile veri alımına başlanmıştır. Daha sonra, görülmektedir. Ayrıca sensörlerin konumları gereği
aldığımız umut vaadeden sonuçlar neticesinde deprem merkez üssüne uzaklıkları değişiklik gös- FOTAS sisteminde her sanal sensör ayrı ayrı ya da
Sinyal Analiz Yazılımı (SAY): ESA parametrele- biri Gebze (Kocaeli) yerleşkemiz ile İstanbul ili terdiğinden dolayı dalganın farklı zamanlarda gel- sensör dizisi olarak incelenebilmektedir. Şekil 5’te
rinin belirlendiği, sinyal işleme algoritmalarının arası 30 km uzunluğunda, diğeri Gebze yerleş- diği görülmektedir. Bu özellikle sismometrelerin yerleşkemize yakın konumdaki AFAD’a ait Darıca’ya
entegre edildiği ayrıca dosya kaydetme, silme kesinden İzmit Körfezi’ni geçerek Yalova ili arası çok uzak kaldığı veya olmadığı karada veya deniz- (Kocaeli) konumlandırılmış 4138 istasyon numa-
gibi işlemlerinin yapıldığı bileşendir. 25 km uzunluğunda olmak üzere iki uzun menzil deki lokasyonlarda depremlerin tespitinde öncü rol ralı ivmeölçer ile FOTAS sisteminin sanal sensörü
fiber optik hattı çalışmalarımızda kullanılmakta- oynayabilme potansiyelini içermektedir. Ayrıca bu arasındaki ilişki görülmektedir. Sensör ve jeofonun
Lazer kaynağından çıkan ışığın bir kısmı isteni- dır. Bu hatlardan aralıksız olarak veri kayıt faali- şekilde FOTAS sisteminin algıladığı çevresel gürül- birbirine yakın olması nedeniyle P ve S dalgalarının
len uzamsal çözünürlük ve maksimum uzaklığa yetlerine devam edilmektedir. tü de görülmektedir. geliş zamanları arasında büyük oranda benzerlik
karşılık gelen darbe genişliğine ve darbe tek- bulunmaktadır.
Marmara bölgesindeki fay hatlarını belli noktalarda
rarlama frekans değerine göre modüle edilir ve FOTAS sistemini sismik verileri algılama amaçlı kesen yaklaşık 25 km’lik diğer hattımız deniz geçi-
fiber hatta gönderilir, diğer kısmı optik yerel osi- kullanmaya başladığımız 2019 yılından itibaren, şini de içermesi nedeniyle çevresel gürültüye daha
latör olarak kullanılır. Fiber optik hattan dönen Afet ve Acil Durum Yönetimi Başkanlığı (AFAD) az maruz kalmaktadır. Şekil 3’te İzmir açıklarında
Rayleigh saçılmaları ile optik yerel osilatörden [7] ve Boğaziçi Üniversitesi Kandilli Rasathane- 2020.10.30 – 11:51:24 tarih ve saatinde meydana
gelen ışık çarpılır, sonrasında elde edilen ışık si ve Deprem Araştırma Enstitüsü’nün (KRDAE) gelen 6.9 büyüklüğündeki depremin FOTAS siste-
foto algılayıcının girişlerine verilerek optik sin- [8] verilerine göre büyüklüğü 1.8 ile 6.7, hattımı- mi ile algılandığı görülmektedir. Hattımıza uzaklığı
yal elektriksel sinyale dönüştürülür. Elektriksel za uzaklığı ise 16 ile 867 km arasında değişen yaklaşık 400 km olan deprem hemen hemen tüm
sinyal önce uygun filtrelemelerden sonra sayı- yüzün üstünde deprem sistemimiz tarafından sanal sensörlerimiz tarafından algılanmıştır. Şekil-
sallaştırıcıdan geçirilir. Son olarak sinyal işleme algılandı ve veri kütüphanemize kaydedildi. Bu de deniz altından geçen fiber optik kabloda çevre-
teknikleri uygulanarak hat üzerinde meydana veriler arasında Denizli, İstanbul, Elazığ, İzmir, sel gürültü çok az iken şehir içinde kalan kısımda
gelen mekanik ve sismik etkiler tespit edilerek Konya gibi illerimizde meydana gelen deprem- çevresel etkinin yüksek olduğu görülmektedir. Sis-
veri kütüphanesine kaydı yapılır. lerin yanı sıra Yunanistan, Romanya gibi çevre temizdeki bu istenmeyen çevresel etkileri azaltmak
ülkeler ile Akdeniz ve Ege’de meydana gelen be- veya gidermek için filtreleme, gürültü giderimi gibi Şekil 5 AFAD Kaydı ve FOTAS Sistemi 110. Kanal Karşılaştırması
Bu sistemde darbe genişliği, lazerin gücü, hattın lirli büyüklüklüğün üzerindeki depremler de bu- sinyal işleme tekniklerinin yanında farklı teknikler Yukarıda açıklanan bağlamda fiber optik sistemle-
uzunluğu ve darbe tekrarlama frekansı arasında lunmaktadır. de uygulanmaktadır. rin en belirgin özelliği maliyet etkin bir sensör dizisi
önemli bir ilişki ve denge bulunmaktadır. Örne- olarak kullanılabilmesidir. Bu durum sismik hare-
ğin, gönderilen ışığın darbe genişliği arttırıldı- FOTAS sistemiyle alınan bu verilerde deprem ketler hakkında hem uzamda hem de zamanda bilgi
ğında oluşturulan sanal sensörler arası mesafe sonucu sismik hareket meydana geldikten sonra vererek birbirine uzak konumlandırılmış sismomet-
artmakta ve sensör sayısı azalmaktadır, fakat oluşan ilksel (Primary wave) ve ikincil (Secon- relerin sağlayamadığı uzamsal çözünürlüğü elde
etmemizi sağlayacaktır. Bu sayede deprem hak-
bu sayede daha fazla lazer gücü fiber optik hat- dary wave) dalgaları tespit edilmektedir. P dal- kında daha fazla bilgi elde edileceği öngörülmektedir.
ta verildiği için daha uzun mesafeleri algılama gası, S dalgasına göre daha hızlı ilerleyen ancak Bu sistemin sismik araştırmalarda nispeten yakın za-
imkanı elde edilmektedir. Bu nedenle DAS tek- etkisi görece düşük bir sismik dalgadır. Deprem manda kullanılmaya başlanmasına rağmen sistemin
nolojisinin kullanım alanına göre sistemin tasar- bilimciler bu iki dalga arasındaki ilişkiyi kulla- sürekli geliştirilmesi ve yeni sinyal işleme tekniklerinin
lanması, parametrelerinin belirlenmesi önem arz narak depremin uzaklığı, konumu ve büyüklüğü uygulanmasıyla ilerleyen zamanlarda sismoloji ala-
etmektedir. Daha ayrıntılı bilgi için [5] makalesi- hakkında bilgi elde etmektedirler. Ayrıca bu bilgi nında önemli etkileri olacağı düşünülebilir.
ne bakılabilir. deprem ve tsunami erken uyarı sistemlerinde de
kullanılmaktadır. Sonuç olarak bu aşamada sürekli ve gerçek za-
FOTAS, Depremleri Kayıt Altına Alıyor! manlı meydana gelen sismik hareketlerin izlenmesi
TÜBİTAK BİLGEM olarak 2016 yılından itibaren Şekil 2’de FOTAS sistemi ile 2020.10.26 - ve depremlerin tespiti noktasında geleneksel sis-
mik algılama sistemlerini tamamlayıcı potansiyeli
bu teknolojinin ülkemize kazandırılması ve hem 22:11:52 tarih ve saatinde algılanan Çınarcık Şekil 3 İzmir Açıkları (M 6.9) Depremi: FOTAS Sistemi ile olduğu gözükmektedir. TÜBİTAK BİLGEM bu alan-
sivil hem de askeri amaçlar doğrultusunda kul- açıklarındaki depremin yaklaşık 30 km’lik fiber Algılanan Sinyal daki çalışmalarına sanayi ve akademi paydaşlarıyla
lanılabilmesi amacıyla DAS teknolojisi kullanılan optik hattımız üzerindeki etkisi görülmektedir. birlikte devam edecektir.
Fiber Optik Tabanlı Akustik Sensör (FOTAS) Pro- Dikey eksen zamanı, yatay eksen ise 25 met- Şekil 4’te 2019.09.26 – 10:59:24 tarih ve saatinde Si- Kaynakça
jesi’ne başlanmıştır. Bu çalışmalar neticesinde re aralıklarla dizilmiş 1232 adet sanal sensörü livri (İstanbul) açıklarında meydana gelen 5.7 büyük- [1] Bilgi Teknolojileri ve İletişim Kurumu. (2020, Haziran). Türkiye
2019 yılında tehdit sezimi uygulaması olarak ifade etmektedir. Bu sensör sayısı daha önce lüğündeki depremin yerleşkemiz içerisinde bulunan Elektronik Haberleşme Sektörü Üç Aylık Pazar Verileri Raporu
prototip tasarımı ve testleri tamamlanmıştır. Ge- de ifade edildiği üzere ihtiyaca ve şartlara göre 2020-Q2. BTK: http://eng.btk.gov.tr/pazar-verileri
[2] Hartog, A. H. (2018). An Introduction to Distributed Optical Fibre
liştirilen FOTAS sisteminin TÜBİTAK-Sanayi iş- arttırılıp azaltılabilmektedir. İlk olarak P dalga- Sensors. Boca Raton: Taylor and Francis Group.
birliği çerçevesinde ürünün satışa hazır ticari bir [3] Afet ve Acil Durum Yönetimi Başkanlığı. (2021). AFAD. Türkiye
ürün haline getirilmesi amacıyla Kocaeli’nde bu- Deprem Gözlem Sistemleri Çalışma Grubu: https://deprem.afad.
lunan bir firmaya teknoloji transferi gerçekleş- gov.tr/icerik?id=4&menuId=91
[4] M. R. Fernández-Ruiz, M. A.-L.-H. (2020). Distributed acoustic
tirilmiştir. Şu an itibariyle kullanıma hazır olan sensing for seismic activity monitoring. APL Photon.
ürün ülkemizin farklı yerlerinde hizmet vermeye [5] Özkan, E., Erkorkmaz, T., Cesur, B., Yetik, H., Uludag, U., & Ölçer,
başlamıştır [6]. İ. (2020). FOTAS (Fiber Optic Based Acoustic Sensing System):
requirements, design, implementation, tests and results. SPIE
Future Sensing Technologies. SPIE : https://spie.org/Publications/
DAS teknolojisinin diğer uygulama alanlarında Proceedings/Paper/10.101117/12.2581713?SSO=1
da ürün geliştirmeye yönelik olarak 2019 yılın- [6] SAMM TEKNOLOJİ. (2021). FOTAS. Samm: http://www.samm.
da deprem, patlama gibi sismik hareketlere ne- com/fiber-optic-akustik-algilama
[7] AFAD. (2021). Son Depremler. AFAD: http://deprem.afad.gov.tr/
den olan olayların görece daha düşük maliyet ve sondepremler
kurulum ile tespit ve analiz edilmesi amacıyla [8] KRDAE. (2021). Bölgesel Deprem-Tsunami İzleme ve Değer-
çalışma başlatılmıştır. Bu kapsamda ilk etapta lendirme Merkezi. KOERİ: http://www.udim.koeri.boun.edu.tr/
zeqmap/osmap.asp
100 101
Bu bir proje BILGEM
TEKNOLOJI
tanıtımıdır.
İnşaat alanı içinde otonom çalışan iş makineleri Ağaç çapı tespiti Alanların yükseklik haritalarının çıkarılması Drone taraması
Temel Yalçın ve TÜBİTAK Doç. Dr. Fatih Üstüner - Öğretim Üyesi / İstanbul Ticaret Üniversitesi 102
Görsel görüş
hattı ötesi
Bir Bilim İnsanının Ardından... Prof. Dr. Bahattin Türetken - Öğretim Üyesi / Kocaeli Üniversitesi 105
Rahmetli Süleyman Temel Yalçın Bey Bilal Kılıç- Başuzman Araştırmacı / BİLGEM TDBY 107
Ormancılık Uzmanı
Uçangöz Temel Bey Çalışanına Güvenirdi! Dr. Hamza Özer – Enstitü Müdür Yardımcısı / BİLGEM BTE 108
-Kamera
İşi oluşturur -Lidar
Temel Yalçın Güzel Bir İnsandı! Alparslan Babaoğlu – Eski Enstitü Müdür Yardımcısı / BİLGEM UEKAE 109
İşlem İstasyonu
Hava aracı sensörlerinden toplanan ham veriyi işler Uçangöz Operatörü
Alanın ortorektif mozaik haritasını oluşturur.
Görev alanının yükseklik haritasını (3 boyutlu) oluşturur İşi kabul eder
Görev alanının spektral tematik haritasını oluşturur Uçangözü orman
Ağaçlari analiz eder ve hasat planının kaba seviyesine uygun üzerinde kullanır
olarak aday uğuaçları belirler
103
Değerlerimiz
R
ahmetli Temel Yalçın Bey’le 1 Nisan 1996’da Ankara Üniversitesi Fizik Bölümü’nde daha sonra eski müdürü Önder Yetiş Bey henüz yeni gelmiş ve alanda çalışan bir kişi veya ekip mevcut değildi.
TÜBİTAK’ta işe girişimle beraber tanıştım. aynı üniversitenin Tıp Fakültesi’nde araştırma gö- hızlı bir şekilde UEKAE Enstitüsünü kriptoloji ala-
UME’de görevlendirildiği 2004 yılına kadar, revlisi olarak çalıştı. nında millileşme çabalarının odak noktası olması Bu koşullar altında Temel Bey, bir fizikçi olarak ta-
onun biriminde çalışan bir personel olarak ortak yönünde adımlar atmaya başlamıştı. Bu noktada, şın altına tek başına elini koymuş ve ağırlıklı ola-
mesaimiz devam etti. Bu dönem Temel Beyin, TÜ- 1 Şubat 1979 tarihinde TÜBİTAK Marmara Araş- bu kutlu millileşme çabasının başta gelen kahra- rak henüz yeni mezun olmuş genç mühendislerden
manları olan o zamanki müdürümüz Önder Yetiş oluşan bir ekip oluşturmaya başlamıştı. ASEL-
BİTAK’taki ikinci çalışma dönemiydi. Daha önce tırma Merkezi Uygulamalı Fizik Bölümü’nde araş-
Bey ve Genelkurmay MEBS Emniyet Şube’de krip- SAN’da edindiğim üç yıl RF tasarım mühendisliği
1992 yılında kurumdan emekli olmuş, 1994 yı- tırmacı olarak çalışmaya başladı. 1985-1992
to projelerinden sorumlu olarak görev yapan proje tecrübesiyle, UEKAE Enstitü Müdür Yardımcılığı’nın
lında tekrar kuruma geri dönmüştü. 1996 sonra- yılları arasında bugünkü Ulusal Metroloji Ens- subayımız Rahmetli Mehmet Camalan’ı saygıyla yanı sıra Ar-Ge 951 TEMPEST Projesinin yürütücü-
sında şahit olduğum döneme ait hatıralara geç- titüsü’nün temelini oluşturan, o zamanki adıyla anmak isterim. lüğünü de yapan Temel Bey’in ekibine 1 Nisan 1996
meden önce kısaca Temel Beyin özgeçmişinden “Milli Fizik ve Teknik Ölçme Standartları Merkezi”- yılında dâhil oldum. Temel Bey o sırada 54 yaşında
bahsetmek isterim. nin, Dr. Birol Altan liderliğinde yürütülen kuruluş TEMPEST Projesi idi, projedeki diğer herkes 20’li yaşlarındaydı. Te-
çalışmalarında yer aldı. Bu merkezin önde gelen Çalışma hayatının bu ikinci döneminde Temel Bey, mel Bey bizim öğretmenimiz, biz de onun bir an-
Özgeçmişi araştırmacılarından biri olarak ilk laboratuvarların millileşme çabasının bir ayağını oluşturma görevi- lamda talebeleriydik.
1942 yılında dünyaya gelen Süleyman Temel kurulumunda görev yaptı. Temel Bey bu dönem-
Yalçın Bey, 1964 yılında Ankara Üniversitesi Fen de özellikle akusto-optik, foto-akustik, ultrasonik
Fakültesi Fizik Bölümü’nü bitirdi. Aynı bölümde ve sualtı akustiği alanlarında yoğun olarak çalıştı.
yüksek lisans yapan Temel Bey, 1967 yılında Milli Bu döneme ait ve Temel Bey'in bir konu üzerinde
Eğitim Bakanlığı’nın bursunu kazanarak doktora odaklanıp nasıl yoğun emek sarf ettiğini göste-
öğrenimi için İngiltere’ye gitti. 1973 yılında Not- ren güzel bir örneği, emektar teknisyenlerimizden
tingham Üniversitesi Fizik Bölümü’nde Doktora- Sefa Ogan’ın bir hatırasını paylaşarak aktarmak
sını tamamladıktan sonra yurda döndü ve önce isterim.
104 105
Değerlerimiz
Ar-Ge 951 Projesiyle, Türkiye’nin ilk akredite EMC laboratuvarının kurulması, askeri testleri yapma
kabiliyetinin kazanılması ve TEMPEST çalışmalarının başlatılması hedeflenmişti.
Ç
ıraklar ustalarını, öğrenciler hocalarını, araştırma- Kişiliği
cılar da proje liderlerini anlatırken ‘ne öğrendiy- Temel Bey çok merhametli, dirayetli, ahlaklı ve bilgi-
sem ondan öğrendim’ cümlesini nadir kurar. Bilimi liydi. Olaylar arasında muhteşem bağlantılar kurar,
hayat felsefesi haline getirmiş, berrak bir hayatı düstur problemlere farklı açıdan bakardı. Çalışanları ara-
edinmiş bir bilim insanın arkasından başka ne denebi- sında oldukça ‘adaletli’ bir duruş sergilerdi. Asla kin
lir ki… Evet, genç bir akademisyen iken tanıdığım Temel gütmez, kızgın ve sinirli olduğu anda kalp kırdığını
Bey’i anlatırken ‘ne öğrendiysem ondan öğrendim’ cüm- düşünse o gün onu tamir ederdi. Gönül rahatlığıyla
lesini rahatlıkla kurabilirim. söyleyebilirim ki, asla kendisine kırıldığım bir an ol-
mamıştır. Sesini yükseltse bile, merhametli ve önyar-
Ağustos 1998 yılı, saat 14:30. Plansız bir iş görüşmesi gısız duruşu, bir an bile kendisine olan sevgimizi ve
saygımızı eksiltmemiştir.
Projenin iki önemli ayağı vardı: Elektromanyetik Anı için odasına girdim. Plansız diyorum, çünkü o gün has-
ışımanın algılanması ve algılanan işaretin işlen- Temel Bey’le birçok anımız var. Hatırımda yer eden belkader TÜBİTAK’tayım. Aslında iş görüşmesi demek
mesi. Projenin her iki kısmının da kendi içlerin- Berrak bir zihne sahipti. En zor problemleri bile hatır-
önemli bir anı onunla birlikte platform seviyesinde doğru değil, tanışma diyelim. Hızlı, pratik, matematik-
lar, çözer, yorumlardı. Görmediği, rastlamadığı konu
de yeni açılımları barındıran nitelikleri vardı. Her elektromanyetik ortam etkileri konusunda yaptı- sel ve bir o kadar da fiziksel bir konuşma. Şaşırmıştım.
pek azdı. Yeni popüler konular ilgisini çeker, onunla
günümüz yeni şeyler öğrenmekle ve uygulamakla ğımız öncü çalışmalardı. Bu konuda 1997 yılında Daha önce gördüklerim gibi değil. Daha tanışırken ara- ilgili kitapları kütüphaneden alır ve sabaha kadar biti-
geçiyordu. Temel Bey her sabah hepimizin odala- yayınlanan MIL-STD-464 dokümanını birlikte Türk- mızda şöyle bir konuşma geçti: rir, ertesi gün öğrenmiş bir şekilde gelirdi. O tarihlerde
rını ziyaret edip heyecanla, yeni açılım alanlarına çeye çevirip Türkiye’deki farkındalığın artması için - Elektriksel yük ‘vektörel’ midir? ben de kütüphaneyi yoğun kullanırdım. Aldığım her
ilişkin edindiği teknik bilgileri paylaşıyordu. Bu çeşitli sempozyum ve toplantılarda konuya ilişkin - Hayır, efendim, skalerdir. kitabın arkasında, bir önceki kitabı alan kişi olarak
teknik bilgileri anlatırken bizim mühendis kökenli sunumlar yaptık. Genelkurmay Başkanlığı için Elekt- - Peki ya akım? onun adına rastlardım.
oluşumuzu zaman zaman unutuyor, bazı güncel romanyetik Ortam Etkileri dokümanını hazırladık ve - Akım yoğunluğu (J) vektörel, akım (I) skalerdir efendim.
konuları teorik fizik konularıyla irtibat kurarak he- 1999 yılında Genelkurmay Başkanlığı’nda yüksek - Peki, zamana bağlılık yoksa elektrik alan manyetik ala-
yecan içinde anlatırken bazen konudan tamamen seviyede düzenlenen bir toplantıda sunumunu ger- na bağlı olabilir mi?
koptuğumuz anlar da oluyordu. çekleştirdik. - Olabilir efendim. Eğer ortamda iletkenlik varsa olur.
Ama bu bir dalga hareketi oluşturmaz.
Bu arada kurulumu devam eden EMC TEMPEST O zaman gündemde olan ilk ATAK projesi kapsa-
laboratuvarının, ilerleyen zamanda finansal ola- mında, TAI’ye platform seviyesi elektromanyetik Hızlı hareketlerle, gözlüklerini takıp telefona yöneldi. Bir
rak kendi ayakları üzerinde durması, ancak be- ortam etkileri testlerinin yapılabileceği devasa numara çevirdi:
lirli bir düzenin kurulmasıyla mümkündü. 2001 büyüklükte bir test laboratuvarı için fizibilite ça- - Emine, Önder Bey orda mı?
yılında Türk Akreditasyon Kurumu’nun laboratu- lışması yaptık. Yüksek güçlü mikrodalga silah- - Odasında efendim. Telefonu meşgul. Bitince bağ-
var akreditasyon faaliyetlerine başlaması, ihtiyaç ları konusunda ilk bilgileri toparlamaya başladık. lıyayım.
duyduğumuz düzenin kurulması anlamında bir Birlikte yaptığımız bu çalışmalar esnasında onun - Önder Bey, sana bahsetmiştim bir teorisyen almayı dü-
çıkış yolu olarak gözüktü. Temel Bey, metroloji sorgulayıcı bilimsel yaklaşımı, beni derinden et- şünüyorum gruba diye… Onu buldum.
geçmişiyle akreditasyon sürecini bizzat yönetti kilemiştir. Temel Bey’le çalışırken edindiğim bu Sonra telefonu kapatıp bana döndü ve
ve EMC TEMPEST Test Merkezi (ETTM) olarak, bilimsel yaklaşımın, daha sonra TÜBİTAK bün- - Seni işe aldım.
Nisan 2003’de Türkiye’nin ilk akredite test labo- yesinde yürüttüğüm Enstitü Müdürlüğü görevle- - Efendim ben bugün başka bir Enstitü ile görüşmek için
ratuvarı olma başarısını gösterdik. O dönemde rinde karşılaştığım çok farklı disiplinlerde teknik davet edildim,
ülkenin en kapsamlı test laboratuvarlarına sahip olarak doğru kararları almada bana çok yardımcı desem de beni Emine Hanıma yönlendirdi. Ve ertesi gün,
bir kuruluş olarak akreditasyon kavramına do- olduğunu özellikle belirtmek isterim. hayatımın 15 yılını paylaşacağım, babacan, duygusal,
ğal olarak aşina olan TSE, bizden sonra, Aralık
zeki, çalışkan, hızlı, tatlı-sinirli bir yöneticimle iş hayatı-
2003’de akredite oldu. Temel Bey bizlere öncülük yaptı. TEMPEST pro- mın ilk günüydü. Yeni enstitü kurulmuş, teknolojik ba-
jesinde Temel Bey’in ekibinde görev yapan ar-
ğımsızlığımızı özellikle savunma sanayiinde sağlamak
Temel Bey, sayısal elektronikle iştigal eden arka- kadaşlar zaman içinde kurumda o dönem nü-
için gece gündüz çalışmaların başladığı ilk yıllardı…
daşlarımıza TEMPEST konusunu anlatırken “her vesi atılan yeni alanlarda çalışmalarına devam
bit ışır” derdi. Bununla kastettiği fiziksel fenomen, ettiler. Bugün faaliyetlerine devam eden UEKAE
sayısal devrelerde anahtarlama sırasında çekilen Ar-Ge 951 Projesi devam etmekteydi. Bu proje ile Türki-
Elektronik İstihbarat Birimi, BTE Sensör ve Anten
anlık akımın, devre yollarını birer anten gibi kul- ye’nin ilk akredite EMC laboratuvarının kurulması, askeri
Sistemleri Birimi, TDBY EMI/EMC Test Değerlen-
lanarak elektromanyetik ışımaya yol açmasıydı. testleri yapma kabiliyetinin kazanılması ve TEMPEST
dirme Birimi ve TEMPEST Test ve Değerlendirme
Bu ifade tarzı, onun anlaşılması zor konuları ba- Birimi ortaya çıktı. Bu birimler, Temel Bey’in ül- çalışmalarının başlatılması hedeflenmişti. Temel Bey,
sitleştiren ama bilimsel çizgiden taviz vermeyen kemize yaptığı katkıları gösteren yaşayan örnek- proje dokümanını tek başına, gelecek yılları görürcesine
fizikçi kimliğini göstermesi açısından güzel bir lerdir. Temel Bey 15.12.2020 tarihinde vefat etti. hazırlamış, bu proje ve daha sonraki bir çok projenin ba-
örnektir. Ruhu şad olsun. şarıyla yürütülmesine öncülük etmişti.
106 107
Değerlerimiz
Temel Bey birbirinden farklı konularda, hatta uzmanlık alanlarının dışında bile çok detaylı bilgilere
sahipti. Astronomiden balıkçılığa, arabalardaki ateşleme sistemlerinden bitkilere kadar pek çok farklı
alanda, adeta o alanların uzmanı gibi konuları bize anlatırdı.
Bilal Kılıç- Başuzman Araştırmacı / BİLGEM TDBY
R
ahmetli Süleyman Temel Yalçın Bey ile uzun yıl- ifadeler vardı. Cümle yapısı da uzun ve karmaşıktı.
lar birlikte çalıştık. Kendisi bilgili, deneyimli, ça- Yani kitap zor ve sıkıcı idi. Bir akşam mesai bitiminde
buk parlayan ama kin tutmayan, hoşgörülü ve biraz da muziplik olsun diye kitabı Temel beye ver-
iyi niyetli bir yöneticimiz idi. Kızdığı zaman yüzümüze dim ve okumasını önerdim. Şundan emindim. Temel
doğrudan söylerdi. Ama arkadan bizi sürekli savunur Bey o kitabı zor ve sıkıcı diye bırakmayacak mutlaka
ve kollardı. Kendisini çok severdik. Rahat ve huzurlu okuyacak, anlayacak ve anlatacaktı. Kitabı okuma
bir çalışma ortamımız vardı. Sicil notlarımız her za- işinin bir iki hafta kadar süreceğini zannediyordum.
man çok yüksek olurdu. Kendisi ile yakın çalıştık ve Temel Bey ertesi sabah geldi. Selamlaştık, konuşma-
birçok güzel hatıramız oldu. ya başladı. Kitabı bana baştan sona anlattı. Yüzüne
baktım gözleri uykusuzluktan kızarmıştı. Anladım ki
Temel Bey ile 2000 yılında ta- gece boyunca kitapla uğraşmış
nıştım. O tarihte ASELSAN’da ve kitabı bitirmişti. Bu kitabı, İn-
çalışıyor idim. Temel Bey ve gilizceyi ve ilgili konuyu çok iyi
Fatih Bey ASELSAN’a gelmiş- bilen birisinin bir iki haftadan
lerdi. Orada tanıştım. Daha önce okuması ve kavraması
sonra ASELSAN’dan ayrılıp pek mümkün değildi. Belli et-
o zamanki adı UEKAE olan medim ama hayretler içerisinde
şimdiki adı BİLGEM olan bu kaldım.
Koruyan kollayan, sahip çıkan bir proje lideriydi. Proje dan ayrılma… Biri ayarları değiştiriyor” dedi:) İçimden kuruma geçmek istedim. Bu-
toplantıları veya sunumlarına onunla gidersek ken- gülümsedim. Ama “tamam efendim” dedim. nun için Gebze’ye iş görüş- Temel Bey, kontrol etme ve yö-
dimizi oldukça rahat hissederdik. Çünkü o gelen her mesine gelmem gerekiyordu. netme hususunda baskın biri
türlü soru, eleştiri gibi olumsuzlukları göğüslerdi. Evet, gerçekten de sonradan orda bulunanlardan Çalıştığım kurumdan izin ala- değildi. Bizi serbest bırakır, biz-
birisi itiraf etti. Temel Bey uzaklaşınca düğmeleri bilmem için izin nedenini yö- lere alan açardı. Bu bize daha
Bilmediği, anlamadığı, özümsemediği hiçbir şeyi ‘duy- karıştırıp bakalım yapabilecek mi? Görüntü gerçek neticimize söylememiz gere- fazla konfor ve özgüven verdi.
muş’ gibi aktarmazdı. Yaptığı işlerde asla bir baştan mi diye kendi çapında zorluk çıkarmaya çalışıyor- kiyordu. Ben de yöneticimize Arkadaşlarla zaman zaman
savma olamazdı. Yazılan dokümanlar, dil, terminoloji muş… Oldukça başarılı bir sunum yapmıştı. Asla bir iş değişikliği için izin alaca- çatışma içerisine de girerdik.
oldukça hassas bir süzgeçten geçerdi. heyecanı olmaz, en yüksek mertebeden insanlara ğım diyemediğim için Temel Ama bölümdeki bütün arkadaş-
bile öğrencilere anlatır gibi berrak anlatım yapardı. Bey’e Gebze’ye iş görüşmesi lar belirli alanlarda uzmanlaştı.
Hassas ve zihni oldukça açık bir bilim insanıydı. Yap- için gelemediğimi, mümkün- İlerleyen yıllarda kimisi akade-
tığı her işi hakkıyla yapmayı severdi. TEMPEST’in te- Öngörülü biriydi. Olaylar arasında bağlantı kurar, se bu görüşmeyi kendisi An- misyen, kimisi iş insanı, kimi-
melini oluşturan Van Eck deneyini kendi tasarımıyla inovasyonları tetiklerdi. Ondan öğrendiğim şu iki kara’ya görevli geldiği zaman si yönetici, kimisi araştırmacı
gerçekleştirmişti. Bu çalışmasını, yıllarca soyut olarak cümle bugünümüze ışık tutar cinstendir: Ankara'da yapmak istediğimi oldu. Birimdeki arkadaşlar hem
anlatmakta zorlandığımız TEMPEST’ i kavratmak için • Her bit ışır. (bilgiyi işarete çevirdiğiniz zaman söyledim. Sağ olsun bu tale- teknik, hem idari hem de akade-
‘demo’ olarak yapardık. kontrolden çıktı demektir) bimi kabul etti. Ankara’ya iş için geldiği bir zamanda mik alanda belirli yerlere geldiler.
• Yazılım biter, üniversiteler kapanır. (Günümüzde konakladığı otelin lobisinde akşam saatlerinde iş gö-
Anı bilgiye ulaşım teknikleri değiştiğinden üniversite- rüşmesini yaptık. Bir gün ofiste bir araştırmacı arkadaşımız ve bir gü-
Bir gün, Ankara MUBILDESKOM’ da yapmış olduğu- ler değişime uğrayacak gibi. Yazılımın bitmesini venlikçi personelimiz sigara içiyordu. Her zaman
muz bir projenin tamamlanma ve kabul işlemi var. Üst ise her şeyin ‘gömülü’ olacağı anlamını taşıdığını Temel Bey bizlerle teknik konuları sık konuşurdu. Bir- böyle yapmazlardı ama o gün biraz rahat davranmış-
rütbeli generaller de kabul işlemine gelecek. Temel ifade etmek isterim.) birinden farklı konularda, hatta uzmanlık alanlarının lardı. Temel Bey, sigara içen arkadaşlarımızı uzaktan
Bey’in tasarımı olan demoyu da yapmamız gereki- dışında bile çok detaylı bilgilere sahipti. Astronomi- gördü. Müthiş bir şekilde kızdı hatta biraz da kova-
yor. Düzenek kuruldu. Anten konumlandırıldı. Paşalar Sonsöz den balıkçılığa, arabalardaki ateşleme sistemlerinden ladı. Arkadaşlar hızlıca tabanları yağladılar. Temel
gelmeden önce demo yapıldı. Beklendiği gibi sistem Evet, gönül rahatlığıyla tekrar yineliyorum. Ne öğ- bitkilere kadar pek çok farklı alanda, adeta o alanların Bey’in kızgınlığı en fazla bir gün sürerdi. Ertesi gün
başarı ile çalışıyor. Temel Bey sistemden az uzakla- rendiysek senden öğrendik. Çalışmayı, başarmayı, uzmanı gibi konuları bize anlatırdı. Bu çok az insanda her şey normale dönmüş olurdu.
şıp tekrar geri geldiğinde görüntü kayboluyor. Tekrar adaleti, merhameti… Ve öğrenmeye çalıştık, yapı- bulunan bir özelliktir. Bunu yapabilmek için öncelik-
uğraşıyor. Tekrar çalıştırıyoruz. Bekleme anında biraz lan kötülükleri de affedecek kadar engin bir yürek le çok fazla okumak, okuduğunu anlamak, anladığını Kendisi ile ve birimdeki arkadaşlarla sık sık Ankara’ya
uzaklaşınca tekrar bozulma oluyor. Dolayısıyla stres taşımayı… akılda tutmak, unutmamak ve bu birbirinden farklı genellikle günü birlik görevlere giderdik. Genelkur-
oldukça fazla. Ya paşalar gelince çalışmazsa. Temel birçok konuyu derli toplu anlatabilmek gerekir. Bende may ve bağlı birliklerde toplantılara katılır, çalışmalar
bey çok sinirli. Derken sistemi çalıştırdı. Başından ay- Ruhun şad olsun Kıymetli Hocam. Rahat uyu. biraz eski bir kitap vardı. Zannediyorum elektromeka- yapardık. Sabah güneş doğmadan yola koyulur ve
rılmıyoruz. Neyse ki vakit geldi. Generaller geliyor ha- İnandığın değerler uğruna ömrünü verecek ekip nik ile ilgili idi. Yalnız kitap oldukça ağdalı bir İngilizce aynı gün gece geç saatlerde İstanbul’a dönerdik. Al-
berini alınca Temel Bey bana döndü ve “Sakın bura- arkadaşların var. ile yazılmıştı. İngilizcede pek kullanılmayan kelimeler, lah rahmet eylesin. Mekânı cennet olsun.
108 109
Değerlerimiz
Temel Bey bir taraftan otoriterdi, diğer taraftan çalışanları işlerinde oldukça özgür bırakırdı, Alparslan Babaoğlu – Eski Enstitü Müdür Yardımcısı / BİLGEM UEKAE
ancak çalışmaları da çok iyi takip ederdi.
T
Dr. Hamza Özer – Enstitü Müdür Yardımcısı / BİLGEM BTE
emel Bey'le 1993 senesinde, TELETAŞ'tan TÜ- ekranına çıkartmayı başardı. Hemen toplantıdaki ko-
T
BİTAK MAM’a bağlı Elektronik Araştırma Üni- mutanlara haber gönderip bahçeye davet ettik.
emel Bey’i ilk defa, ben Üniversite’de asistan- en önemli cihaz olan TEMPEST alıcısı ile bir ölçüm tesi'ne geçtiğimizde tanıştım. Bende bıraktığı Komutanlar gördüklerine inanamamıştı ama Temel
ken, TÜBİTAK Başkanlık’ta bir proje toplantı- yapıyorduk. Cihazın girişine, koruma amaçlı ‘tran- ilk izlenim, çabuk sinirlenen, bilimsel doğrularından Ağabey, yaptığı gösteri sayesinde onları ikna edip
sında tanıdım. Konularına çok hâkim olduğu- sient limiter’ aygıtını takmadığımız için cihazın giriş asla taviz vermeyen ve inandığı doğrular için sonu- kısa süre içinde çok arzu ettiği TEMPEST Test Mer-
nu gördüm, bunun yanında toplantıya ve çevresine kartını yaktık. Tamir ücreti 30 bin dolar civarındaydı. na kadar mücadele eden birisi şeklindeydi. Herkesle kezini kurmak için yanlış hatırlamıyorsam 5 Milyon
de o kadar hâkimdi ki içimden “bu kim acaba, gali- Büyük bir korku içinde Temel Bey bize ne yapacak kolay samimi olmayan, özel hayatı konusunda fazla TL'lik bir proje almayı başarmıştı.
ba TÜBİTAK Başkanı” diye geçirmiştim. Aradan bir diye düşünmeye başladık. Temel Bey geldi, durumu konuşmayan bir yapısı vardı.
süre geçti, TÜBİTAK UEKAE’de işe girdim ve kendimi inceledi, bunun bir tecrübe eksikliğinden olduğunu Daha sonraki yıllarda bu merkez ülkenin bilgi güven-
Temel Bey’in laboratuvarında buldum. Başlangıçta anladı ve bize uzun bir nutuk çekti (aslında uzun bir Zamanla dost olduk. O senelerde hepimiz, kendi ala- liği için çok önemli işlere imza attı, sayısız yetenekli
tereddütlerim olsa da zaman geçtikçe orada, Temel ders verdi). Hiç uçak uçurmaya çalışmazsanız, hiç nımızla ilgili devletin güvenliğinin sağlanması için mühendisin yetişmesine aracı oldu. Enstitü'ye her
Bey’in yanında çalışmaktan çok memnun oldum. uçak düşürmezsiniz; ama hiçbir zaman da uçak üzerimize düşeni yapmak ve bilgi güvenliği konu- gelen ziyaretçinin mutlaka ziyaret edip bilgi aldığı ve
uçuramazsınız dedi ve gitti. Bizi hayret ve hayranlık sunda TÜBİTAK'ı bir mükemmeliyet merkezi haline Temel Ağabey ya da ekibinin yaptığı gösterilerle "yok
Temel Bey bir taraftan otoriterdi, diğer taraftan ça- içinde bırakan bu hareketini hiç unutmuyorum. dönüştürmek için elimizden geleni yapma gayreti canım daha neler, toprak hattından ya da kalorifer
lışanları işlerinde oldukça özgür bırakırdı, ancak ça- içindeydik. borusundan da bilgi sızar mı?" diye dehşete düştük-
lışmaları da çok iyi takip ederdi. Çalışanına güvenir, Yeniliklere açıktı, çok hızlı okur, okuduğunu ve dinle- leri ve TEMPEST konusunda bilinçlendikleri bir yer
çalışmalarına saygı duyar ve bunu da gösterirdi. Çok diğini hızlı kavrardı. Bilmediğini veya az bildiğini çok Ben kripto konusuna odaklandım ve TSK'dan kullan- haline geldi.
zeki, hızlı kavrayan, yeniliklere açık bir yapısı var- rahatlıkla bilmiyorum der, kesinlikle ahkâm kesmeye dıkları kripto algoritmalarının güvenlik düzeylerinin
belirlenmesi amacıyla bir Kriptoanaliz Merkezi teşkil İnandığı doğruların peşinden giden, ülkeye çok önemli
dı. Çabuk sinirlenen biriydi, ama biz bilirdik ki siniri çalışmazdı. Bunun yanında bildiği konularda ken-
edilmesi için önemli bir proje aldım. Temel Ağabey de hizmetleri olmuş bir güzel insandı. Allah rahmet eyle-
uzun sürmeyecekti ve yaptığı şey tamamen bizim ve dinden çok emindi. Dinleyici olarak bulunduğumuz
askerî yetkilileri TEMPEST konusunda ikna edip bir sin, nûr içinde yatsın inşaallah .
kurumun iyiliği içindi. Kısacası çalışanlarını evladı konferans/seminer gibi etkinliklerde, konuşmacıla-
TEMPEST Test Merkezi kurmayı çok istiyordu; ancak
gibi görürdü, sinirlenip kızması bile onların daha iyi- rın bir yanlış veya eksiğini gördüğünde karşısında- elle tutulur gözle görülür somut bir konu
ye doğru gitmesi içindi. Kesinlikle kin tutmaz, yanlış kinin unvanına bakmaksızın müdahale ettiğini çok olmadığı için yetkililer bir türlü ikna olmu-
yapana kızsa da oldukça toleranslı davranırdı. Bilir- gördüm. yordu.
dik ki bize anlık olarak kızsa da aynı zamanda bizi
koruyup kollardı. Özlük hakları gibi konularda yanına Temel Bey ile ilgili anlatacak çok şey var. Dergi yazı- Bir gün küçük bir TV alıcısı aradığını söy-
bir şey istemek için hiç gitmezdik, çünkü bu konu- sının bir bölümü olmasından dolayı şimdilik burada ledi. Benim bekarlıktan kalma kullanma-
larda herkesin hakkını zaten vereceğinden emindik. keserek, kendisini saygı, sevgi, minnet ve rahmetle dığım siyah beyaz bir küçük televizyonum
anıyorum. O artık gitti ama yaptıkları, bıraktıkları ve vardı onu teklif ettim ve işyerine getirdim.
Temel Bey’le ilgili çok anımız var, ama ilk aklıma ge- yetiştirdiği bizler varız. Ve bu sayede aslında yap- Televizyon üzerinde şimdi hatırlamadı-
leni anlatmak istiyorum. Bir gün laboratuvarımızdaki maya devam ediyor… ğım bazı tasarım düzenlemeleri yaptı, bir
almaç ve anten kullanarak düzeneği test
edip gizlilik dereceli bilgi işleyen bir bilgi-
sayarın ekranındaki bilgileri, uzaktan an-
ten ve almaç vasıtasıyla televizyonun ek-
ranında göstermeyi başardı.
110 111
Portre BILGEM
TEKNOLOJI
112 113
İktisat BILGEM
TEKNOLOJI
M
odern zamanların en büyük toplumsal ve 6,1 milyon adedi israf ediliyor. Bir başka ifadeyle
ekonomik sorunlarının başında geliyor is- ürettiğimiz ekmeğin % 5’ini israf ediyoruz. 1 gün-
raf. Bir tüketim canavarına dönüşen in- de israf edilen 6,1 milyon adet ekmek, 4 milyon
san, bir o kadar da israf ediyor doğal olarak... kişinin 1 günlük ekmek ihtiyacını karşılamaktadır.
Bu durumda ekmek israfının yıllık bilançosu 2,24
Özellikle endüstri ve teknoloji sahasındaki ge- milyar adet ve bugünkü fiyatlar üzerinden değeri
lişmelerle birlikte konforu ve imkânları sürekli yaklaşık 3,4 milyar TL!
artarak zenginleşen insanoğlunun hırsı, doy-
mazlığı, sahip olma ve tüketme arzusu da bir o Rakamlar oldukça çarpıcı. Sadece ekmek israfı-
kadar arttı. Kapitalist sistem de şu basit mantık nın ülke ekonomisine zararı bu düzeydeyken, her
üzerine kurulu: Daha fazla üret, daha fazla tüket! gün tüketmekte olduğumuz binlerce ürüne bağlı
İhtiyacınızdan fazlasını satın aldığınızda israf da israfın maddi karşılığını varın siz hesap edin!
kaçınılmaz hale geliyor. Gereksiz yere
harcanan para mali kaynak israfıyken; Tasarruftan Tüketime
alıp kullanmadığımız yiyecek, giyecek Dünyada İsrafı sadece ekonomik bir olgu
ve diğer eşyalar da maddi kaynak is- açlığın ana olarak değerlendiremeyiz. Çok
rafına dönüşüyor haliyle. Burada acı eskilere gitmeye gerek yok; ha-
olan, birçok şeyi tüketmeye fırsatımız sebebi yoksulluk, tırlayabildiğimiz yakın geçmişe
olmadan çöpe atıyor oluşumuz. Top- yoksulluğun (70-80’li yıllar) kadar insanımızın
lumsal dayanışma eskisine göre çok başlıca sebebi de
büyük çoğunluğu, tasarruf ve tu-
zayıfladığı ve paylaşım azaldığı için,
israfın boyutu her geçen gün inanıl- adaletsiz gelir
tumluluk odaklı bir zihin yapısına
maz rakamlara ulaşıyor. Diğer yandan, dağılımıdır. sahipti. Halkımızın büyük kısmı
tabii kaynaklar da sorumsuzca tüke- son derece mütevazı şartlarda
tilip israf edildiği için insanlığın gele- yaşamaktayken, israf da sınırlı
ceği, başta açlık ve susuzluk olmak üzere birçok boyuttaydı. Sadece gıda madde-
tehlikeyle yüz yüze. lerinin değil, giyeceklerin kullanımında da ölçülü
hareket edilir, biri tamamen eskiyip kullanılmaz
Ekmek İsrafı hale gelmeden yenisi alınmazdı. Eskiler bile atıl-
Ülkemizden örnek verecek olursak, israf denince mayarak bir şekilde farklı amaçlarla değerlendi-
ilk akla gelen ve en çok göze batan her zaman ek- rilmesine gayret edilirdi.
İsrafa Dair
mek olmuştur. Toprak Mahsulleri Ofisi (TMO) ta-
rafından 2019 yılında yaptırılan bir araştırma, ek- Ev eşyaları bugün olduğu gibi modaya göre de-
mek israfının korkunç ekonomik boyutunu gözler ğiştirilmez, yıllarca kullanıldıktan sonra gerekir-
önüne sermekte. Bu araştırmaya göre Türkiye’de se tamir edilerek kullanılmaya devam edilir veya
günlük olarak üretilen 123 milyon adet ekmeğin ihtiyaç sahiplerine verilirdi. Beyaz eşya ve elekt-
114 115
İktisat Bu bir proje
tanıtımıdır.
Bugün, bırakın ihtiyacımız olan eşya ve aletleri, hiç Mesaj ve Evrak Dağıtım Sistemi
MEDAS-3
ihtiyacımız olmayanlara bile kişi başına binlerce
lira harcayıp, kısa zamanda da yenileriyle değiş-
tiriyoruz. Eskimeden atılan eşyaların, giyeceklerin
haddi hesabı yok. Evdeki mobilyaları 3-5 yılda bir
yenilemek, beyaz eşyaları ve elektronik aletleri en
yenisi ve en gelişmişiyle değiştirmek, evin deko- sayı 263 milyona çıkıyor. Bu da her 5 çocuktan biri-
rasyonunu yenilemek sıradan ve yadırganmayan nin okuldan mahrum kaldığını gösteriyor. MEDAS-3 Projesi’nin amacı, MEDAS’ın yeteneklerin sisteme dahil edilerek sis-
bir işe dönüştü. İnsanlar maddi güçlerinin ötesinde tesisi ve işletimi sırasında elde edilen temin geliştirilmesi ve millileştirilmesidir.
borçlanarak bu gereksiz harcamaları yapıyor ve is- Açlığın ana sebebi yoksulluk, yoksulluğun başlıca tecrübeler kapsamında; teknolojik ge-
raf çılgınlığına katılıyor. sebebi de adaletsiz gelir dağılımı. Gelir dağılımın-
lişmelerle ortaya çıkan yeni ihtiyaçları Projenin çıktıları, uluslararası stan-
da yaşanan eşitsizlik/adaletsizlik geçmişten gü- dartlara uygun ve ulusal ihtiyaçlar gö-
Dünyada Yoksulluk nümüze ciddi bir sorun olmaya devam ediyor ve karşılamak ve halihazırda TSK’da kulla- zetilerek milli olarak geliştirilmiş olan
Madalyonun bir yüzünde kontrolsüz tüketim ve so- maalesef kaynaklara bir şekilde hükmeden güçlü nılmakta olan MEDAS içindeki yabancı mesajlaşma sistemi ve dizin sistemi ya-
nucunda büyük kaynak israfı varken diğer yüzünde azınlığın pastadan aslan payını aldığı, yüz milyon- kaynaklı hazır ticari ürünleri, NATO ve zılımları olacaktır.
açlık, sefalet ve yokluk yer alıyor. Aşağıdaki rakam- larca insanın da açlık ve yoklukla baş başa oldu- uluslararası standartlar dikkate alınarak
lar durumun vahametini gözler önüne seriyor. ğu gerçeği değişmiyor. İstatistikler gerek dünyada
Dünya üzerindeki 7,9 milyar insandan 700 mil- gerekse ülkemizde gelir paylaşımı adaletsizliğinde millileştirebilmek maksadıyla gerçek- Proje kapsamında mevcut dış sistem-
yonu “aşırı yoksulluk”la pençeleşiyor. Bir diğer ifa- dişe dokunur bir iyileşme olmadığını hatta birçok leştirilen Milli Askeri Mesajlaşma Siste- lerle (taktik ve stratejik sahada) enteg-
deyle kişi başı günlük 1.90 USD sınırının altında ülkede kötüye gittiğini gösteriyor. mi (MAMSİS) Projesi ile kazanılan milli rasyon sağlanacaktır.
(Dünya Bankası tarafından belirlenen) bir
gelirle yaşamaya çalışıyor. Zaman ve Sağlık İsrafı
Aşırı yoksulların % 75’i Sahra İsraf demişken, zaman israfından bah-
Altı Afrika ve Asya’da yaşıyor. setmeden olmaz. Zaman, insanoğlu-
Şehirlerde yaşayan nüfu- nun sahip olduğu şeyler arasında
sun üçte biri “slum” olarak kıymetini en az bildiği değerlerden
tabir edilen gecekondular- biri. Saatlerini televizyon, internet
da barınıyor. ve cep telefonlarında harcayan,
Doğan her 1000 çocuk- birbirleriyle sağlıklı sosyal etki-
tan 39’u 5 yaşına gelme- leşim kurmaktan uzak yığınla
den sıtma, ishal ve zatürre insan var etrafımızda. Buralar-
sebebiyle ölüyor. Bu has- da harcanan zamanın verimli
talıkların başlıca sebepleri; kullanıldığından bahsetmemiz
yetersiz beslenme, kirli su mümkün değil. Elle tutulur bir şey
ve yetersiz hijyen. olmadığı için çok azımız zaman
Açlığa bağlı sebeplerle israfını önemsiyoruz ama şöyle bir
günde 25,000 (10,000’i çocuk), gerçek var: Maddi bir şeyi tekrar elde
yılda 9 milyonun üzerinde insan edip yerine koyabiliriz fakat boşa harca-
ölüyor. Karşılaştırma yapabilmek için, nan zamanı geri getirmek mümkün değil.
Kovid-19’dan dolayı bugüne kadar ölenlerin
sayısının tüm dünyada 4,5 milyon civarında oldu- Sahip olduğumuz nimetlerden kıymetini bilmediği-
ğunu belirtmiş olalım. miz, dolayısıyla israf ettiğimiz bir diğeri de sağlık-
Dünya nüfusunun 2,2 milyarlık kısmı güveni- tır. Kötü beslenerek ve kötü yaşayarak sağlığımızı
lir içme suyu hizmeti alamazken, 785 milyonu ise bozar sonra da geri kazanmak için para harcarız.
temel içme suyu imkânından tamamen yoksun Şu paradoksa bakın ki, insanların bir kısmı yeterli
(2017 yılı itibariyle). beslenemediği, diğer bir kısmı ise gereğinden fazla
Kırsalda yaşayanların kirli su içiyor olma ihtima- beslendiği ve tükettiği için hastalanmakta ve öl-
li şehirlerde yaşayanların 7 katı. mekte. Dünyanın düzeni ne garip değil mi?
Kirlenmiş içme suyu tüketimine bağlı gelişen
hastalıklardan dolayı her yıl 485,000 kişinin öldüğü Kaynakça
tahmin ediliyor. • www.tmo.gov.tr
2016 yılı verilerine göre dünyada 6-11 yaş arası • www.worldbank.org
• www.who.int
63 milyon çocuk okula gidemiyor. 17 yaş altında bu
• www.un.org
www.bilgem.tubitak.gov.tr
116
www.bilgem.tubitak.gov.tr