I no longer use this blog and you can find my latest posts on my new website.

Dünyada koronavirüs salgını ve beraberinde yarattığı sağlıksal ve sosyoekonomik belirsizlikle mücadele ettiğimiz şu günlerde, eski A.B.D. Hava Kuvvetleri albay pilotu ve strateji uzmanı John Boyd'un hava muharebelerinde karşılaşacak belirsizliklerle mücadele için geliştirmiş olduğu ve rekabetin kaçınılmaz olduğu işletme, hukuki ihtilaf vb. alanlarda günümüzde dahi referans alınan bir modeli sizlerle paylaşmanın yerinde olacağını düşündüm. John Richard Boyd hem karakteriyle, hem de bir savaş stratejisti olarak Amerikan savaş uçakları F-15 ve F-16'da geçen emeği, Sovyet uçak ve uçaksavarlarına karşı geliştirdiği taktikler ile Vietnam Savaşı'na yaptığı katkıları, yaratmış olduğu sayısız makale ve brifing ile özellikle manevra harbi alanında yaptığı katkılarla Amerikan Ordusu'nun değişmesine sağladığı yardımlar vb. imzasını attığı birçok iş sebebiyle kimilerince 20. yüzyılın Sun Tzu'sı sayılan değerli bir şahıstır.

Boyd'un belki de en çok bilinen çalışmalarından birisi, GUKİ döngüsü (ing. OODA loop) adını verdiği ve Gözlemleme, Uyarlanma, Karar verme ve İcra etme (ing. Observe, Orient, Decide, Act) aşamalarından meydana gelen dört aşamalı bir döngü modelidir. Bu modelin göründüğünden daha derin olduğunu ve meraklılarının Osinga'nın Science, Strategy and War kitabında -ya da vakti dar olanlar için bu özet blog yazısında– daha detaylı analizlere ulaşabileceğini hatırlatarak, gelin bu modele şöyle bir göz atalım.

Bir savaş pilotu, gökyüzünde intikal ederken tespit sahasına yabancı bir hava aracı girip bir belirsizlik durumu oluşturduğunda, hem bedeni hislerini hem de sahip olduğu teknik teçhizatı kullanarak gerçekleşen olaylar karşısında bir gözlemleme yapacaktır. Pilot, elde ettiği bulguyu uyarlanma safhasından geçirerek daha iyi gözlem yapabilmek için bir manevra yapmaya karar verecek ve müteakibinde bu kararı icra edecek ve tekrar döngünün başına dönecektir. Sürecin devam ederek bir it dalaşına dönüşmesiyle, iki pilot için bu döngü sürekli tekrarlayacaktır. Bu süreçte çevik davranıp doğru kararı en hızlı veren ve hasmının karar verme mekanizmasının içine girip onun hamlelerini önceden kestirip onu etkisiz hale getiren pilot, bu karşılaşmadan galip çıkacaktır.

Döngünün aşamaları

Aşağıdaki şemada döngünün aşamalarını detaylı olarak görebilir; görsel, vektörel grafik olduğundan sayfayı büyüterek ya da görsel üzerindeki linki tıklatarak detayları daha okunur hale getirebilirsiniz. (Kaynak: Wikimedia Commons, tarafımdan Türkçeleştirildi.)

Gözlemleme

Mümkün olduğunca çok kaynaktan, daha sonraki aşamalarda işlenip kullanılması için ham veri toplamaktır. Buradaki en önemli engel, eldeki kısıtlı gözlem unsurlarının, sayıca daha fazla bilgi kaynakları karşısında, ileriki aşamaların ihtiyaçlarını en etkin karşılayacak şekilde yönlendirilmesi ve kontrol edilmesidir. Bir nevi, istihbarat çarkının istihbarat ihtiyaçlarının tespiti ve toplama çalışmalarının yönlendirilmesi ve haberlerin toplanması aşamalarına tekabül eder ve genel olarak bir teşkilatın haber alma unsurlarınca (haber alma elemanları, casuslar, dinleme istasyonları, açık kaynaklar vs.) ifa edilir.

Uyarlanma

Bir önceki safhada toplanan ham verinin işlenip bilgiye dönüştürülerek olan bitene bir anlam verilmesidir. Boyd'a göre aşamaların en kritik ve önemli noktasıdır; çünkü diğer aşamaların akıbetini, bu aşamada hızlı olabilmek ve hasmın uyarlanma algoritmasını deşifre edip onun karar sürecinin içersine girebilmek belirler. Bu başarıldığında, hareketlerimiz hasma çok hızlı ve kaotikmiş gibi gözükür. Göreceli üstünlük sağlanmış olur ve artan bu ivme bir sonraki hamlelerin de başarılı olma olasılığını arttırır. Hasım içinse bu tam tersidir: gerekli hamleleri yapacak zamanı bulamaz (karar verme aşaması olumsuz etkilenir), kaybetmenin korkusuyla psikolojik dengesi hasar görür (uyarlanma aşaması olumsuz etkilenir), limbik sistemin etkinleşmesiyle neokorteks gibi rasyonaliteyi etkileyen bölgeler inhibe olmaya başlar, en ilkel hayatta kalma sistemi devreye girer: savaş, kaç ya da don (icra etme ve gözlemleme aşamaları olumsuz etkilenir). Bunun önüne geçebilmenin yolu da pilotu hem bedeni hem de psikolojik (özellikle stres anında frontal korteksini etkinleştirip amigdalanın duygusal tepkisini kontrol altına alabilmesini sağlayacak) olarak eğitmekten geçer. Bu ve bunun yanı sıra, ham verinin işlenmesinin ne kadar etkin olacağını belirleyen teorik temel faktörler şunlardır:

• Kültürel gelenekler,
• Analiz ve sentez yeteneği,
• Önceki elde edilen deneyimler,
• Yeni edinilen bilgiler,
• Genetik miras

İstihbarat çarkında haberlerin işlenmesi aşamasına tekabül eder. İstihbarat analistlerince ifa edilir ve veriyi, işimize yarayacak bilgi ya da istihbarat yapan aşama olmasıyla da istihbarat sürecinin de en önemli aşamasıdır diyebiliriz. Çünkü analistin uyarlanma karakteristikleri, karar vericiye arz edilecek yönetici özetinin oluşmasında ve doğal olarak verilecek kararların akıbetinde büyük rol oynar. Özellikle psikolojik yatkınların bu süreci nasıl etkileyebileceği konusunda meraklı okuyuculara CIA'in Psychology of Intelligence Analysis kitabını önerebilirim.

Karar verme

Basitçe eldeki bilgiler sonucu olası seçenekleri gözden geçirmek ve birinde karar vermektir. İstihbarat çarkının, istihbaratın yayımı ve kullanılması aşamasına tekabül eder. Karar vericilerce ifa edilir. İlerisini öngörebilme, bütüncül bir bakış açısına sahip olabilme vb. liderlik becerilerinin önemli rol oynadığı bir aşamadır. Karar verme aşaması sonucunda bir hipotez ortaya koyarız.

İcra etme

Bir önceki aşamada alınan kararın ya da hipotezin icra edildiği ya da sınandığı final aşamasıdır. Bu sınavın olumlu ya da olumsuz sonuçları gözlem havuzuna geri bildirimde bulunur ve döngü tekrar baştan başlar. İstihbarat bağlamında ise sürecin bütün aktörlerince ifa edilir ve aynı şekilde istihbarat çarkı da yeni istihbarat ihtiyaçlarının belirmeye başlamasıyla en başa döner.

Koronavirüs salgını

Eldeki verilere göre, salgının ilk belirtileri Aralık 2019 tarihinde Çin'in Wuhan kenti merkezde olarak gözlemlenmeye ve bu durum Ocak 2020 gibi uluslararası medya kanallarında yer almaya başladı. O zamandan bu yana olup bitenleri herkes az çok bildiğinden burada tekrar bir zaman çizelgesi ortaya koymaya lüzum görmüyorum. Ancak şunu söyleyebilirim ki virüsü bir hasım olarak kabul edersek, bu süreçte GUKİ döngüsüne uygun şekilde en çevik surette kendilerini uyarlayan ve gerekli önlem ve aksiyonları kolektif olarak alabilen milletler bu salgının galibi çıkacaklardır.

Türkiye, kimilerince yine geç olsa da bu süreçte kimi ülkeden daha çevik davranıp ilk süreçte birden fazla önlem almıştır. Müteakibinde verilen kararların, icra edilmesiyle gözlem havuzunda yeni girdilerin oluşması ile döngü her seferinde tekrarladı ve tekrarlamaya devam etmekte. Örneğin, birtakım işletmelerin kapatılması, özel ve vakıf hastanelerinin pandemi hastanesi yapılması ve 65 yaş üstüne sokağa çıkma sınırlandırılması gibi birbirini takip eden ve giderek daha da sıkılaşan önlemler alındı.

Halkın tepkisine ve herkesin kendi OHAL'ini ilan edip etmemesine göre devlet buradaki kontrolleri süreç ilerledikçe daha da sıkılaştıracaktır. Bir anda herkes için sokağa çıkma yasağı ilan edilmemesinin sebebi, bu sürecin en az zararla atlatılmak istenmesidir. Zorlu sokağa çıkma yasağı gibi ekstrem önlemler her ne kadar halk sağlığını korumak açısından etkili olsa da özellikle ekonomik açıdan zorlu dönemlerden geçen Türkiye için uzun vadede daha da büyük problemlere sebep olabilir. Herkes sokağa çıkmadığında, eninde sonunda herkesi doyurmanız gerekir, yalnızca ihtiyaç sahiplerini değil; belirsizlik halen daha önümüzü görmemizi engellerken bu uzun vadede sürdürülebilir değildir. Sosyal bir hayvan olan insanı uzun süreli kapalı bir alanda hapsedip hem agresifleşmesine hem de aç kalmasına sebep olduğunuzda, yağma, isyan, sivil itaatsizlik vb. kamu düzenini tehdit eden unsurlar baş vermeye başlar. Devletin birimleri muhakkak bütün bu gözlemlerin bir simülasyonunu (örn. insan kayıplarına karşı ekonomik kayıpların yaratabileceği sonuçlar) yapmakta ve bunları hem ulusal hem de uluslararası uyarlanma süreçlerinden geçirerek verilmesi zor kararları vermekte ve icra etmektedir.

Aynı mücadele ve döngü bireyler için de geçerlidir. Kendinize sorun: Peki ya siz, döngünün neresindesiniz?

Kaynakça

1. Boyd, J. R. (2018). A discourse on winning and losing (G. T. Hammond, Ed.). Air University Press. https://web.archive.org/web/20200221052112/https://www.airuniversity.af.edu/Portals/10/AUPress/Books/B_0151_Boyd_Discourse_Winning_Losing.PDF
2. Osinga, F. P. B. (2007). Science, strategy and war. Routledge.
3. Türkgenci, Y. & Hançeri, S. (2018). Komuta ve kontrol. Özel, Y. & İnaltekin, E. (Ed.), Savaşın değişen modeli: Hibrit savaş (s. 63–72). Milli Savunma Üniversitesi Basımevi. https://web.archive.org/web/20180820091026/http://msu.edu.tr/img/DaireBaskanliklari/veritaban%C4%B1/TR_Hibrit.pdf
4. Bulucu, M. (2019). OODA döngüsü ve TDL'ler. STM ThinkTech. https://web.archive.org/web/20200319213700/https://thinktech.stm.com.tr/uploads/raporlar/pdf/97201914442188_stm_ooda_dongusu_ve_tdl.pdf

#türkçe #savaş #istihbarat #koronavirüs

This the Part I of a two-part article, that talks about forensic and attribution resistant application of developmental tradecraft for offensive software development. In this first part, I am going to give some tips and examples on how to apply threat modeling methodology to development process and also share a simple technique that I have experimented with back when I researching fingerprinting-resistant data creation and storage methods. DISCLAIMER: The following content is for educational use and research purposes only. The author does not condone unlawful acts.

Background & Threat Modeling fundamentals

If you are developing any sort of software where things should go under the radar, anything static is bad. Static means things stay as they are and can be pointed by finger anytime and anywhere in space. Things that can be pointed can be named, which are naturally done by humans since they were babies. And as Thomas L. Friedman (2007) once famously said: In the world of ideas cyber, to name something is to own pwn it.

Look, ma! It's a MAGNETICPOLARGOOSE!

Yes, we are talking about attribution which is not something desired especially if you are conducting a covert operation. Because there is no longer a cover to speak of and the adversary knows that it's you. We are also talking about fingerprinting, which is again undesirable because it can be used for detecting a particular feature of an implant, whether during execution as part of an anti-malware solution or post-execution as part of a DFIR process. Today, we are going to talk about fingerprinting.

Before we move on, let's remember the fundamentals of threat modeling and in particular, options for remedying an attack (Shostack, 2014):

Mitigation

Doing things to make it harder to take advantage of a threat. (e.g. using multifactor authentication)

Elimination

Eliminating the feature, not doing it in the first place. (e.g. disabling unused services on a computer)

Transference

Letting someone or something else handle the risk (e.g. using an antivirus software).

Acceptance

Accepting the risk by regarding it as managable and/or not mission critical. (e.g. not doing this in your everyday life)

The first obvious static part of a software is its executable code section, which is a prime candidate for crafting signatures since it might contain many unique fingerprintable patterns. As for the remedies; you cannot eliminate it because software needs to run and the show must go on. You cannot accept it because you don't want to be detected. That leaves us with two options: transference and mitigation. You can transfer the threat by using a commercial software packing solution such as the infamous VMProtect —but then again what kind of APT would you be and what would people say behind your back?—. And finally, you can mitigate it on your own.

For mitigating against fingerprinting code sections of an executable, there are various approaches. One of the oldest tricks in the book is using a poly/oligo/meta-morphic —seriously, how many are there?— engine to morph the code into many variations —therefore making it not static— with the same goal (Szor, 2005). Each of these techniques has their own caveats and I will not go into detail about them, however you can find more information in the referenced book but also here and here.

More advanced methods aim to mitigate against scanning instead. It makes sense, if you cannot see something, you cannot point it and name it and so on. And there are many variations of these sort of techniques. Off the top of my head, they start with simple removal of the PE header to make it harder to dump the executable, various process injection techniques to run under the disguise of another and possibly whitelisted software and go into more advanced techniques such as hooking system calls to redirect potentially threatening API calls (Blunden, 2012), and yet even more obscure and highly advanced techniques such as runing code under a hypervisor or SGX enclave.

But one thing that is usually overlooked is the data, which is also the subject of today's demonstration. Well actually, code is also data as well. But labeling it as code, implies that it is executable. Marking something as executable introduces its own limitations, set of insturctions eventually need to be read by a CPU and therefore the legibility needs to protected. All preceding xmorphic code techniques comply with this limitation. And anti-scanning based approaches don't even touch the code, they just shield it by abusing the access control logic.

When I say data, what I mean is read-writable memory or strings. That's it. And in many cases, you don't really need them. Because generally something read-writable is meant to be for humans. And as once someone said to me on IRC, If you are doing strings, you are doing it wrong. (Note that, the IRC channel in question permabanned a user once, just for asking if Windows API has a similar function to make an entire string uppercase at once akin to Python, so take it with a grain of salt). Anyway, the main idea is if you are developing a low-level software, which is also the go-to approach for developing spyware, strings are usually a byproduct and there are better means to query something. In the end, there is usually a 8-bit or larger numeric value that shows the status of the thing that you are really querying. Same thing also goes with exfiltration, if telemetry collection is part of your operation, don't just send out a huge message that reads Microsoft Windows 10, Build 18363.418, instead according to your target specifications encode it as a value between 0 and 255 (by using something like enum for instance), and send it out as a single byte value. Not only that you reduce the time it takes to transmit the message therefore reduce the risk of detection, but you also save from space as well. Do not use strings, unless you absolutely have to. It may seem like a very simple principle to grasp at first, but you'd be surprised to learn, in the wild how many developers make these simple operational mistakes.

But, are the strings only meant to be used for conveying a message? Well, no. They are also used as identifiers or names, for instance to get the memory address of a kernel object such as a file, mutex, named pipe etc.

So, whenever we need to name a kernel object including dropping a file on the disk we need to give it a name. And if you have been following me closely, you should see where this is going. You see, whenever you name a kernel object, in a way you are also leaving a signature with your name on it for forensics to find and document and share with everyone as an IOC. So let's talk a little bit about that.

Fingerprinting-resistant identifier generation

So how can we overcome this problem? Simple, just don't. I mean try to do without naming kernel objects and implement some kind of other measure. Contrary to what I said before, in this case elimination as a threat modeling remedy is an acceptable solution because data is more sacrificable compared to the code. If you need to share a pipe or a mutex, pass its address with something else that doesn't require a preshared name. If you need to store data for later use, ask yourself if it is critical to the mission and can you do without state persistence or consider something like storing it inside the motherboard's NVRAM (it still requires an identifier but also has the characteristics of an anti-scan measure to shield against unwanted eyes).

In some rare and limited cases you can transfer the risk, for example by weaponizing previously installed write protection software on the target computer, such as Deep Freeze. Wrote data on the disk? No problem, Deep Freeze will take care of it (But always RTFM and test, test, test; what if they have an out-of-band logging solution?). Like I said those are rare and this one also doesn't give protection during the execution.

Finally, let's talk about the real thing: mitigation. Whenever there is a need to name something covertly, one of my favorite techniques is to generate it randomly. Here are bunch of strings generated by RANDOM.ORG:

s9QZEycn9aGjRBP98LWO
nWnp7DbLtgs8yIt8nRXQ
6GzgLhVPubTHp0GIwrDa
z16lns0dQ15fAzymiYC1
Fe4Peghp3qT4usvKlZxo
4rRQPSlCwRD7S4ALq3HG
PS2JtxlvzW2ICKTBXZit
STExZZd74MT9qJqTezRU
HFn6sFmLFuP9NkgFcUB6
FyqMQqk4GFf543vIv3AA

However, that doesn't really solve anything. Even if you were to put them in the executable during the compile-time, they are still unique. For all we care, we could just say ThisIsARandomString and there would be no difference. So, we need to tweak it a little bit. And in order to do that, we need to define what I call hierarchies of time domains for random value generation (If there is already a better name for it, please let me know). Basically, there are several phases where a random value could start its existence, sorted from general to specific:

1. Global-time (i.e. generated once, inserted into the code and never changed afterwards)
2. Compile-time (i.e. generating a new value for each new compilation of the code)
3. Run-time (i.e. generating a value during the execution of the code)
4. Sub run-time (i.e. generating a value during a specific execution frame)

Those are definitely not set in stone and the list could be expanded or shrinked according to one's needs. Generally, every random value we see around that is used in cryptography and such, are generated in the run-time domain. Because in theory, the generated values are not tied to anywhere, except the universe —they are universally random so to speak— and therefore they are more secure. But did you notice that I have said tie? Yes, one funny and in our case useful characteristic of random number generators is that, you can change their time domain as long as you seed them with a value that is originated from your target domain.

To better understand, let's continue with an example use case. One of the oldest tricks for checking if an application instance is already running, is to create a kernel object in global or per-session namespace such as a mutex or a semaphore. Basically, if a kernel object with the given name already exists that means the application is already running and there is no need to create a new instance and it is safe to exit. But this method also has its own risks, if you choose a very common name such as Mutex1, there is a high risk that you are going to collide with another application. So the safer practice is to generate a random GUID value at global-time and use it as the preshared name.

However, although it might reduce the collision risk, due its unique property it can also be used as a fingerprint to craft a signature. To overcome that, we need to lower its time domain by seeding it with a value originated from the targeted domain. For instance if you want to target per-user execution frame in the sub run-time, you can use the user name and the computer name (for increasing entropy, in case the user name is very generic like user or john etc.) as seed:

#!/usr/bin/env python3

# fingresid_poc1.py

import os
import itertools

global_guid = 'snxsqgvlslfdhhoykjhtryxsskcagymk'

# Get computer and user names from environment variables
subrun_seed = os.getenv('username') + os.getenv('computername')

# Convert chars to their numeric counterparts and XOR with each other
subrun_guid_ord = []
for chars in zip((ord(x) for x in global_guid), itertools.cycle(subrun_seed)):
    subrun_guid_ord.append(chars[0] ^ ord(chars[1]))

# "Asciify" the numeric values, for the sake of demonstration we are just disributing them within the 97-122 region which corresponds to lowercase ascii
subrun_guid = ''.join(chr((n - 97) % 26 + 97) for n in subrun_guid_ord)
print(subrun_guid) # e.g. iieoipsuuqjcwsnissrnkdtkjlvivwtx

The preceding PoC takes global_guid and creates a similar looking subrun_guid by combining it with computer and user names, but this time it is in sub-run time domain and an unique value just for this computer and user. In a way, it is very similar to salting a password before storing the digest. Note that, I chose a simple, low-entropy lowercase ASCII GUID for the sake of demonstration. In production, you should use proper GUIDs but you will also have to deal with normalizing or asciifying them.

Even though this example was good enough for demonstration, we can still tweak it a little bit further. We can for instance combine this mitigation mechanism with a transference one by abusing ASLR and Windows memory model, and also change the ID generation mechanism with an alternative one.

#!/usr/bin/env python3

# fingresid_poc2.py

import ctypes
import random
import string

# Get the base addresses of two commonly linked system DLLs
subrun_address_kernel32 = ctypes.windll.kernel32.GetModuleHandleW('kernel32')
subrun_address_ntdll = ctypes.windll.kernel32.GetModuleHandleW('ntdll')

# Initiate and seed the PRNG with numeric values of the addresses
subrun_prng = random.Random(subrun_address_kernel32 ^ subrun_address_ntdll)

# Craft an identifier in sub run-time that changes randomly every boot
subrun_uid = ''.join(subrun_prng.choice(string.ascii_letters + string.digits) for _ in range(32))
print(subrun_uid) # e.g. GUfK0Jw628yFLmEo2kWctDd31MPAhcU1

In this example we have queried the base addresses of two commonly linked system DLLs and used them as seed for initiating a sub run-time PRNG. Then we have used the resulting PRNG to choose ASCII characters and digits to craft a 32 characters long identifier that is guaranteed to change each reboot or in other words it is in per-reboot sub run-time execution frame. This works beautifully because system DLLs' base addresses are redetermined during each boot and ASLR takes care of making things not static by giving us just enough entropy. Here is a more detailed explanation (Yosifovich & Solomon & Ionescu & Russinovich, 2017):

...For DLLs, computing the load offset begins with a per-boot, system-wide value called the image bias. This is computed by MiInitializeRelocationsand stored in the global memory state structure (MI_SYSTEM_INFORMATION) in the MiState.Sections.ImageBias fields (MiImageBiasglobal variable in Windows 8.x/2012/R2). This value corresponds to the TSC of the current CPU when this function was called during the boot cycle, shifted and masked into an 8-bit value. This provides 256 possible values on 32 bit systems; similar computations are done for 64-bit systems with more possible values as the address space is vast. Unlike executables, this value is computed only once per boot and shared across the system to allow DLLs to remain shared in physical memory and relocated only once. If DLLs were remapped at different locations inside different processes, the code could not be shared. The loader would have to fix up address references differently for each process, thus turning what had been shareable read-only code into process-private data. Each process using a given DLL would have to have its own private copy of the DLL in physical memory.

This is great, because now you can use the resulting identifier to create a mutex to check if the application is already running. And since the identifier itself is random and changes every reboot, there is no way to create a static fingerprint. However, it should be noted that if some other software on the machine uses the same exact method, again you are risking collision. So you might want to combine it with a compile-time originated value to differentiate yourself.

Final notes

Basically what we did so far is randomizing the selection of characters. You should remember that whenever you introduce another layer of randomization, you are making it harder to fingerprint something. If you were to use the last example as it is, forensics would create an IOC such as 32 characters long string consisting of ASCII alphabet and digits between 0-9. In order to make it more resistant, we could also randomize the length of the identifier. But it's not that simple.

First of all, if you choose the maximum number of allowed characters as the upper limit for your random length, and you get something like 1337 as a result, chances are it is going to get flagged as an anomaly. Because seriously, what kind of a sick bastard would choose a name that long? So that introduces us the disadvantage of randomization: the more random something is, the more behaviorally abnormal it becomes. So the best practice is to choose a range where the lower limit is high enough to make collisions less likely, and the upper limit is low enough to stay under the radar.

And even then entropy analysis could be used to detect weird looking names. But entropy analysis has its own problems. What if some impatient user creates a file with a name like asdjhajdhasdasdadasgqwoekqehasold.xls? (You'd be surprised.) So due to the false positive risk, it could only be used as a secondary signature to further support other IOCs.

Also some consideration should be made regarding the target characteristics. For instance, if the target computer is located in Asia, then Latin characters alone might be enough to raise flags. So it is advisable to adapt the exact methods you choose according to where you are targeting.

When you are modifying the time domain of a random value, always remember that a lower hierarchy time domain will always supersede a higher one. So whenever you combine compile-time with run-time, the resulting value will be in the run-time domain. Whenever you combine per-reboot execution frame with per-login, it will result in per-login sub run-time execution frame, etc. More specific a time frame, higher its effect. The latest value from the most specific time domain acts as the password, while the previous ones from higher and more generic domains acts as the salt.

A better and more advanced application of this technique could be achieved by using NLP to mimic human writing, by using code samples from public repositories. I might research this in the future or someone might want to beat me to it. Would love to see how it would work.

Well, that should do it for now. In the next part, I plan to talk about how black propaganda & disinformation tactics can be used against attribution attempts.

References

1. Shostack, A. (2014). Threat Modeling: Designing for Security. John Wiley & Sons.
2. Szor, P. (2005). The Art of Computer Virus Research and Defense. Addison Wesley Professional.
3. Blunden, B. (2012). The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the System (2^nd ed.). Jones & Bartlett Learning.
4. Yosifovich, P. & Solomon, D. A. & Ionescu, A. & Russinovich, M. E. (2017). Windows Internals, Part 1: System architecture, processes, threads, memory management, and more (7^th ed.). Microsoft Press.

#english #offensive #antiforensics #windows #softwaredevelopment

Bu yazımda AFIO'nun yayınladığı, The Intelligencer dergisinin 17. cildinin 2. sayısında, CIA'in eski ve ilk sivil direktörü Allen Welsh Dulles'ın zamanında kendisi için aldığı notların gazeteci-yazar James Srodes tarafından derlendiği bir makalenin çevirisini sizlerle paylaşmak isterim. Yalnızca casusluk ve istihbarat ile ilgili kalmayıp özel hayat ve iş hayatıyla ilgili de içinde kendinize göre bir şeyler bulabileceğiniz, kısa ve öz olmasıyla da eşsiz bir makale olduğunu düşünüyorum. Dulles'ın kendine aldığı notlar bakımından adeta Marcus Aurelius'un Kendime Düşünceler'ini andırmıyor değil. Bazen en güzel fikirler başkaları için değil de kendiniz için yazdıklarınızdan çıkabiliyor.

Siber bağlamında ise siber uzaya hâkim olabilmek ve ona hükmedebilmek için eski kurtların deneyim ve bilgisinden faydalanılmasının şart olduğuna inanıyorum. Harekat güvenliği konusuna ilerleyen yazılarda daha detaylı değineceğim. Ancak şu bir gerçek ki: söz konusu ister bir APT, ister yasa dışı bir siber çete, ister kırmızı takım olsun, taarruzi faaliyetlerin çoğunun basit harekatsal hatalar sebebiyle olumsuz sonuçlanabildiğini görüyoruz. Bu sonuçlar, en hafif örtülü bir harekatın arkasındaki aktörlerin ifşa olmasıyla başlayıp, insanların ve ülkelerin hürriyetinin kısıtlanmasına (örn. hapis, diplomatik ve ticari yaptırımlar vs.) ya da en ağırı ölümlere kadar varabiliyor.

Aktivistler için gizlilik ipuçlarını ya da şunun bunun yazdığı OPSEC rehberlerini ezbere uygulamak bir marifet değildir ve sizi güvenli kılmaz; güvenlik bir duruştur, her an ve her yerdedir, anın şartlarına göre daima —hatta saniyeler içersinde— değişir, önemli olan bu değişimleri ve nerede ne adım atılması gerektiğini hissedebilmektir. Ve ustalık da bu noktadan sonra başlar. İşte bu yazıda da bir ustanın çaylak istihbaratçılara öğretirken aklında kalması için kendine aldığı notlar var. Sizlerden ricam bu satırları okurken, Dulles'ın tavsiyelerini ezberlemeyin, Dulles'ı anlamaya çalışın. Bu şekilde yaklaşırsanız Bruce Lee'nin de dediği üzere, su gibi olursunuz. İster 21. yüzyılda taarruzi bir siber harekatın parçası olun, ister 20. yüzyıl sonlarında Moskova sokaklarında KGB'nin gözlerinden ırak —spoiler uyarısı, böyle bir şey neredeyse imkansızdır— bir sonraki detrapa doğru yol alın; ister polis, ister hırsız, ister isyancı bir gerilla, ister devletini seven bir asker olun; sizin için hiçbir şey fark etmez. Yer, zaman ve koşullar girdiğiniz kabın girintisi çıkıntısıdır.

Neyse, lafı fazla uzatmadan sizi Srodes'in ön sözüyle Allen Dulles ile baş başa bırakıyorum. Keyifli okumalar dilerim.

Biyografi yazmanın gerçeklerinden biri de çalışmanızı yayınladıktan epey süre sonra karşınıza yeni ve değerli bilgilerin çıkmasının kaçınılmaz olmasıdır.

Allen W. Dulles, uzun süren bir gribin ardından 29 Ocak 1969 günü Georgetown Üniversite Hastanesi'nde yaşamını kaybettiğinde, Que Sokağı'ndaki evi Teşkilat tarafından acele ile organize edilen ve içerisinde Richard Helms, James Angleton ve L.K. “Kırmızı” White'ın bulunduğu bir ekip ve beraberinde Dulles'ın komşusu Charles Murphy ve son olarak da kız kardeşi Eleanor Dulles tarafından metodik bir şekilde aranmış, hassas olduğu düşünülen belgeler büyük bir bölümü incelenmeksizin kutulanarak Teşkilat'ın arşivlerine kaldırılmıştı.

Dulles'ın hayatı ve kariyerini araştırırken bu kutular da Teşkilat'tan Bilgi Özgürlüğü Yasası kapsamında görmeyi talep ettiğim belgeler arasındaydı. O günlerde Teşkilat, kongrenin emretmesi sonucu Başkan John F. Kennedy suikasti soruşturmasıyla ilgili bütün teşkilatlar-arası dosyaları inceleyip redakte etmek ve yayınlamakla meşguldü. Fakat Direktör James Woolsey'in de teşviğiyle Dulles'ın ölürken elinde bulunan Que Sokağı belgeleri hariç, hemen hemen istediğim her şeyi alabilmiştim.

Birkaç sene evvel CIA'in Bilgi Dairesi ve Gizlilik Koordinatörü'nden büyük bir dosya ve beraberinde bu dosyanın artık tasnif dışı olduğunu belirten bir mektup elime ulaşmıştı. Yakın zaman önce ise elimdeki Dulles dosya ve kitapları koleksiyonuyla beraber bazı diğer dosyaları; Lexington, Virginia'daki hem akademisyenlere hem de Virginia Askeri Enstitüsü öğrencilerine açık olan George C. Marshall kütüphanesine emanet etmek için paketliyordum. O sırada bütün bunlara daha yakından bakabilme fırsatım oldu.

Dulles, kronik gut, diyabet ve erken Alzheimer hastalığı başlangıcından muzdarip olmasına rağmen yaşamının son yıllarında birden fazla proje ile meşguldü. 1961'de Teşkilat'tan ayrılmasından sonra, çoksatan The Craft of Intelligence'dan casusluk kurgu ve efsanelerine kadar mesleği hakkında —hayalet yazarların da yardımıyla— birbiri ardına onlarca kitap yazmıştı. Aynı zamanda Teşkilat'ın hata ve eksik noktalarını eleştiren reform yanlısı makaleleri yorulmak bilmeksizin yalanladığı dergi makaleleri de yazıyordu.

Dulles'ın bana ulaşan özel dosyalarının birçoğu beklendiği gibi daha evvel yayınladığı işlerin taslak metinleriydi, bunların içersinde daha evvel hiç yayınlanmamış The Invisible War adında Komünist yıkıcılığını konu alan bir kitabın özeti de mevcuttu. Dulles'ın, Stratejik Hizmetler Dairesi — OSS harekatları sırasında Nazi Almanyası'na karşı kullandığı daha uzun dosyalar da vardı, yine bunların içerisinde Dulles'ın Wilhelmstrasse'deki efsanevi casusu Fritz Kolbe ya da diğer adıyla George Wood tarafından sağlanan dosyalardan çıkardığı 100-sayfalık bir Alman Kişilik Tipleri listesi de mevcuttu. Dulles, ayrıca Küba Harekatı —bugünkü bildiğimiz adıyla Domuzlar Körfezi Çıkarması— başlıklı Teşkilat'ın Çalışma Grubu değerlendirmelerini içeren, ikisi de 17 Mart 1961 tarihli olmak üzere biri Başkan Dwight Eisenhower öteki de Başkan John Kennedy için özel hazırlanmış bir çift evrağı da elinde bulunduruyordu. Başka bir tarihçi bu iki evraktaki tutumları birbirleriyle kıyaslayarak güzel bir işe imza atmak isteyebilir.

Bir de bunca yığının arasında, İstihbarat İşinin Bazı Esasları başlıklı, Dulles'ın kişisel daktilosu ile tek satır aralıklı olarak yazılmış 8 tane sayfa bulunuyordu. Bu sayfalarda Dulles'a göre zanaatinin özünü anlatan yetmiş üç tane ilke yer alıyordu. Yazının üslubu sanki Dulles mesleğe yeni başlayan memurlara verdiği gayriresmi eğitimlerde kullanmak üzere bir kenara notlar almışçasına özensizdi ve hatta konuşma diliyle yazılmıştı. Dulles'ın Esasları zanaatin ufak görevlerinden tutun da güvenliğin daha geniş açıdan felsefesine, ajan seçimine ve kişisel disipline kadar birçok konuya kadar uzanıyor. Onun ilkeleri bugün dahi hiç de eskimişe benzemiyor.

İstihbarat İşinin Bazı Esasları

Bir erkek veya kadının uğraştığımız bu tür bir işe getirebileceği en büyük silah sağduyudur. Aşağıdaki notlar uygulanabilir birazcık sağduyu olmayı amaçlamaktadır. Belli miktar deneyimin süzgecinden geçip, birtakım kural ve önerilere dönüşmüş basit sağduyu.

1. Meslekte uğrunda gayret edilecek onlarca erdem vardır. Bunların en büyüğü güvenliktir. Geriye kalan her şey buna göre ayarlanmalıdır.
2. Güvenlik yalnızca büyük risklerden kaçınmak değildir. Aynı zamanda güvenliğin gerektirdiği ve hatırlaması itina isteyen küçük şeyleri aksatmaksızın gündelik işleri yerine getirmektir. Küçük şeyler birçok yönden büyük şeylerden daha önemlidir. Birçok zaman sizi ele veren şeyler onlardır. Güvenlik, istikrarlı bir şekilde bu küçük şeylere dikkat etmektir, bu da alışkanlığı ve güvenlik odaklı kafa yapısını doğurur.
3. Her ne kadar kimi zaman sıkıcı ve işe yaramaz gözükse de, günlük güvenlik rutinini yerine getirmeyen bir erkek veya kadın, herhangi bir durumda daha büyük şeyler ile karşı karşıya kaldığında gereken içgüdüsel tepkiyi vermekten yoksun kalacaktır.
4. Birisi her ne kadar zeki olursa olsun, her ne kadar iyi niyetli olursa olsun, eğer güvenlikten yoksunsa eninde sonunda kaynaktan ziyade yük olacaktır.
5. Her ne kadar olduğunuzu iddia ettiğiniz kişi olmadığınız hakkında meraklı bir yabancının sağlam gözüken şüpheleri olduğunu düşünseniz de, asla itiraf etmeyin. Diğer rolünüzü oynamaya devam edin. İlginç bir şekilde insanlar hata yaptıklarını veya sizin birazcık değişik olduğunuzu düşüneceklerdir. Günün sonunda herkes istediğini düşünmekte özgürdür. Önemli olan ne itiraf ne de ima yoluyla onların gerçeği öğrenmemesini sağlamaktır.
6. Güvenlik bir şeylerin peşinden gitmeden öylece durmak elbette değildir. Bir şeylerin peşinden gitmek ama emek harcayarak olası riskleri en aza indirmektir.
7. Asıl işinize zarar verircesine sahte kimliğinize konsantre olmayın. Hiçbir zaman bir diğerine kendimizi fazla kaptırıp diğer ötekini unutmamalıyız.
8. Hiçbir şeyi asla başıboş bırakmayın veya unutabileceğiniz yerlere koymayın. Bastırmadan hafifçe yazmayı öğrenin, alttaki boş kağıt çoğu zaman okunabilir durumdadır. Kurutma kağıdınızı dikkatli kullanın. Bir belgeyi yok etmeniz gerekiyorsa, tamamen yok edin. Yazılı materyalleri üzerinizde mümkün olduğunca az sayıda ve kısa süre için taşıyın. İsimleri ve adresleri asla apaçık anlaşılır şekilde üzerinizde bulundurmayın. Eğer onları o an aklınızda tutamıyorsanız, sadece sizin anlayabileceğiniz bir kodlama yöntemi ile yazıya dökün. Küçük kağıtları ve zarfları, veya kartvizitleri ve fotoğrafları birbirine ataşlayın, yoksa kaybolabilirler. Fakat bir görüşme yaptıktan sonra veya yapmadan önce hepsinin listesini hatırlamak için bir kenara yazın ve güvenli bir yere koyun, yoksa hafızanız sizi kandırabilir.
9. Oyundaki en kötü alışkanlık dikkatsizliktir. Genellikle yapılan hataların telafisi yoktur.
10. Bir sonraki kötü alışkanlık kibirdir. Sonuçları çokça ve zararlıdır.
11. Ayrıca, kendini beğenmiş birisi asla öğrenmez. Ve her zaman öğrenecek yeni bir şeyler vardır.
12. İçki doğal olarak tehlikelidir. Karşı cinse duyulan disipline edilmemiş çekim de öyle. İlki gevezeliğe iter, hakeza ikincisi de. Ayrıca görüşü bulanıklaştırır ve miskinliği arttırır. Bu iki şey de düşmana büyük silah sağlar.
13. Birçok kez kanıtlanmıştır ki, özellikle seks ve iş birbirine karıştırılmaz.
14. Bu meslekte saat yoktur. Yani ara verilmez. Yaşanır. Asla gard indirilmez. Her mekan yanlış bir iz bırakmaya elverişlidir (sosyal rastlantılar esnasında örneğin laf arasında bulunulan bir ima ya da öylesine söylenen bir söz). Yine her mekan bir şeyler öğrenmeye veya toplamaya da elverişlidir. ...İşe yarar yeni birisiyle tanışmaya da.
15. Saat yoktur'un daha anlaşılır bir meali şudur: bu iş kesinlikle özel hayatın iş hayatından önce geldiği türden bir iş değildir.
16. Ancak bu demek değildir ki kimse kendine vakit ayıramaz ya da tatile çıkamaz. Bunlar olmadan zaten iyi bir iş çıkarmak mümkün değildir. Eğer işe karşı iyi niyet ve istek varsa, iş ve istirahat işe zarar vermeden (olağanüstü durumlar hariç) beraber bir arada olabilir.
17. Her avantajına rağmen, mesleğin başına gelen en büyük lanet şüphesiz telefondur. Sürekli dikkatsiz davranmaya fırsat oluşturur. Siz dikkatsiz kullanmasanız bile bir başkası kullanabilir, uyarın. Her daim konuşmalarınız dinleniyormuş prensibine göre, bir sonraki çağrı düşmana hat verebilirmiş gibi hareket edin. Hatta iyisi odanızda telefon bulundurmayın, bulunduracaksanız da bir kutunun yahut dolabın içinde bulundurun.
18. Bazen çok olağanüstü durumlar sebebiyle bir iletişim kanalı olarak açık posta yolu kullanılabilir. Ancak bu çok olağanüstü durumlar oluşmadıkça ve başka hiçbir alternatif kalmadıkça bundan kaçınılmalıdır.
19. Posta kullanıldığında, birden fazla posta kutusundan geçmek önerilir, yani şu ki sizin postalarınızı alıp başkalarına iletecek şahıslar olmalıdır. Ve tek işleri de bu olmalıdır. Yani gösterinin bir parçası olmamalıdırlar. Bu şahıslar sizinle ya da ajanlarınızla olan kişisel ilişkilerine göre seçilmelidir. Onlara yapacağınız açıklama duruma göre değişir, ancak elbette mektuplar görünüşte masum birer yazışma gibi görünmelidir. Asıl mesaj olacak şey bir cümle, işaret ya da yazının içersindeki gizli kodlamadır. Mektup alıcının sosyal geçmişine uygun bir şekilde hazırlanmalıdır. Bu sebeple gönderici, onlara yakın posta kutularının detaylarına sahip olmalıdır. Ama eğer, yalnızca bir imza ya da cümle mesajı iletmeye yeterliyse bir tebrik kartı da iş görecektir.
20. Telefon ya da posta kullanıp risk alacağınıza bir günlük mesafeyi katedin. Eğer telefondan iletmek için önceden belirlenmiş bir mesajınız yoksa, yapacağınız görüşme hakkında düşünmeden numarayı çevirmeyin. Basit şeyleri dahi doğaçlamayın. Ancak çok özenli de gözükmeyin. Buradaki önemli kural, meslekle alakalı diğer her şeyde de olduğu gibi, doğal olmaktır.
21. Eğer size ait olması muhtemel ya da bir başka hattı ankesörlü telefondan aradıysanız ve numaraya bakmak zorunda kaldıysanız, telefon rehberini numaranın bulunduğu sayfa açık şekilde bırakmayınız.
22. Toplantılar ya da depo olarak kullanmak için güvenli ev seçerken, güvenli olduğundan emin olun. Eğer mümkünse başka evlere tepeden bakış açısı sunan yerlerden kaçının. Eğer öyleyse, ana giriş diğer evler tarafından da kullanılıyor olmalıdır. Şüpheli davranan hizmetçilerin olmadığından emin olun. Yine bu kişiler teşkilata bağlı kişilerin samimi arkadaşlıkları yoluyla ve sessizce seçilmelidir. Ve yine aynı şekilde onlara anlatılacak hikaye de duruma göre değişiklik gösterebilir. Onların gösteride hiçbir yeri olmamalıdır, ya da bu mümkün değilse eve yapılacak aramalar karanlık olduktan mümkün mertebe sonra yapılmalıdır.
23. Her daim kendiniz olun. Kendinize oluşturduğunuz ortamda daima doğal davranın. Bu, özellikle yeni insanlara tanışırken veya iş için seyahat ederken ya da iş esnasında restoranlarda ya da umumi alanlardayken çok daha önemlidir. Trenlerde ya da restoranlarda insanların yakınlarındakini incelemek için bolca vakti olur. Sakin bir insan çok az dikkat çeker. Asla bir olaydan sonra kendinizi fazla sıkmayın. Çünkü gündelik hayatınızda da böyle yapmazdınız. İşinize son derece doğal ve normalmiş gibi yaklaşın.
24. İş esnasında diğer insanlara mümkün olduğunca az bakın ve sallanmayın. Bu sayede dikkat çekmeden devam etme şansınız olacaktır. Bakış bakışı çeker.
25. Göze batacak ya da sizi diğerlerinden ayırt ettirecek şekilde giyinmeyin.
26. Ortalıkta durmayın. Ayrıca kendiniz dakik olduğunuz gibi münasebette bulunduğunuz kişilerin de dakik olduğundan emin olun. Özellikle buluşma umumi bir alandaysa, ortalıkta bekleyen birisi dikkat çekecektir. Fakat umuma açık bir alan değilse dahi zamanında varın ve diğerlerinin de zamanında varmasını sağlayın. Zamanından önce varmak da geç kalmak kadar rahatsızlık yaratacaktır.
27. Eğer bir randevunuz varsa, öncelikle takip edilmediğinizden emin olun. Buluşacağınız kişiye de aynısını yapmasını söyleyin. Ancak abartılı bir şekilde davranmayın. İşinizle bağlantılı bir ev adresine taksiyle gitmeyin. Eğer kaçınılmazsa, bindiğiniz esnada gözlenmediğinizden emin olun. Veya farklı bir adres verin, mesela yakınlardaki bir kafe veya restoran gibi.
28. Fark edileceğiniz yerlere seyahat etmekten kaçının. Eğer böyle seyahatler yapmak zorundaysanız, mümkün olduğunca az yapın ve kendinizi çevreye uydurup dikkat çekmemek için gerekli önlemleri alın.
29. Zorlu randevularınızı mümkün olduğunca karanlıktan sonra yapın. Karanlığı lehinize kullanın. Eğer karanlıktan sonra yapamıyorsanız, insanların yarı uyanık olduğu ve olası tuhaf şeylere dikkat etmeyeceği sabahın çok erken saatlerinde yapın.
30. Toplantılar ve sohbetler için restoranlar, kafeler ve barlardan kaçının. Ve en önemlisi, ilk teması asla bunlardan birinde yapmayın. Bırakın dışarıda olsun. Buluşacağınız kişilerin eşkalinden ve detayların bolluğundan yararların, bir ya da iki tane ayırt edici işaretiniz olsun. Yanlış bir kişiye söylendiğinde yersiz yere dikkat çekip ortalığı karıştırmayacak bir parolanız olsun.
31. Eğer görüşmeler güvenli evde yapılamıyorsa, beraber taşrada bir gezmeye çıkın. Mezarlıklar, müzeler ve kiliseler akılda tutulması işe yarar yerlerdir.
32. Yolculuk esnasında veya masada rastgele bulunan kişilerle konuşup konuşmama hususunda kendi muhakeme yetinizi kullanın. İşe yarar olabilir. Tam tersi de olabilir. Herhangi bir sonucu vesaire de olmayabilir. Ancak gerçek bir sohbete girmeden evvel düşünün, acaba sizi tanıyacak ve fark edecek kişiler arasına bu kişiyi de eklemek ileride başınızı ağrıtacak mı diye. Her zaman okuyacak bir şeyler taşıyın. Sizi yalnızca sıkılmaktan kurtarmakla kalmayıp, sohbetten kaçınmak istiyorsanız ya da utanç verici bir sohbeti yarıda kesmek istiyorsanız sizin için koruyucu bir kalkan görevi görecektir.
33. Her daim insanlara kibar davranın ama abartmayın. Sizi tanıyan şu kişilere — otel ve restoran çalışanları, taksi şoförleri, tren görevlileri vs. kibar olun. Bir gün, işinize yarayabilirler. Onlara verdiğiniz bahşişlerde cömert davranın, ama yine abartmayarak. Bir başkasının verdiğinden biraz daha fazlası kadarını verin, altında bulunduğunuz sahte kimlik buna izin veriyorsa tabii. Ancak iş esnasındayken garsonlara, taksi sürücülerine vesaireye normal bahşiş verin. Onlara akıllarında kalmanızı sağlayacak ödül dahi olsa herhangi bir uyarıcı vermeyin. Mümkün olduğunca kısa, öz ve sıradan olun.
34. Rahatlık ve öz güven hepimize kolayca gelmez. Çaba vererek geliştirilmesi gerekir. Yalnızca kendimize faydaları olmayıp, ayrıca idare ettiğimiz kişilerde de aynı duyguların oluşmasında yardımcı olurlar.
35. Sizin aklıselim sahibi olduğunuza dair birisinin güvenini kazanmadıkça, onlarla çarpıcı ve dramatik şeyleri paylaşmayın.
36. Eğer birisine yem atıyorsanız, onu istediğiniz yere yönlendirin; apaçık ortada olan fikri aklına sokun ve ihtimallerin ona gelmesini sağlayın. Gerekirse —ve büyük bir incelikle— varmasını istediğiniz ihtimallerle ilgili düşünce ve kuşkularınızı ifade edin. Şimdi birisi falan filan yapsaydı ne de iyi olurdu... Ama tabii, vs. vs. Ve her daim kendinize geri çekilebilecek kadar hareket alanı bırakın.
37. Asla kimseye kesin gözüyle bakmayın. Çok nadiren, birisine şüphelenmeye dahi gerek yok fikriyle yaklaşın. Hatırlayın ki bizler ekmeğimizi başkalarını aldatarak kazanırız. Başkaları da bizleri aldatarak. Eğer başkaları insanlara kesin gözüyle bakmasaydı veya güvenmeseydi, hiçbir zaman sonuç alamazdık. Başkalarının da bizler gibi zeki insanları var, eğer onlar ele geçirilebiliyorsa bizler de ele geçirilebiliriz. O yüzden, şüpheci olun.
38. En önemlisi, kendinizi kandırmayın. Sırf siz istiyorsunuz diye birisinin işe uygun ya da güvenilir olduğuna karar vermeyin. İnsanların hayatlarıyla uğraşıyorsunuz.
39. Temas kurduğunuzda, elemanınıza güvenene kadar —hatta o zaman dahi— küçük ama istekli bir aracıymış rolünü oynayın. Arkanızda, adına konuştuğunuz ve sorumlu olduğunuz bir Onlar olsun. Eğer Onlar sertse, eğer Onlar işi yarıda kesmeye karar verirse, bu asla sizin suçunuz olmaz ve hatta siz de bu duruma üzülmüş gibi yapabilirsiniz. Onların her zaman güzel sonuçlara iştahı vardır ve Onlar bu sonuçları elde edene kadar para konusunda elleri sıkıdır. Sonuçlar geldiğinde ise; Onlar, her zaman tebrik ve teşvik mesajlarını iletirler.
40. Yalnızca para için değil, inançları sebebiyle bu işi yapan ajanlar bulmaya çalışın. Ama unutmayın ki, sadece inanç karın doyurmaz. Eğer paraya ihtiyaçları varsa, verin. Ve yumuşak tüylü, bulutlarda yaşayan idealist tiplerden kaçının.
41. Ajanlarınızın gerçek bir dostu olun. Unutmayın ki onun da insancıl bir yönü vardır, bu yüzden kişisel ilişkilerine ve ailelerine ilgi göstererek onu kendinize bağlayın. Ancak asla dostluğunuzun işe olan görev sorumluluğunuzun ötesine geçmesine izin vermeyin. Görev sorumluluğu, her zaman duygusal fikirlere karşı kurşungeçirmez olmalıdır. Aksi takdirde görüşünüz körelir, muhakeme yetiniz etkilenir ve işe karşı gönülsüz olursunuz; hatta çalışanlarınızı tehlikeye sokarsınız. Ayrıca ona olan düşkünlüğünüz sebebiyle onun başkalarını da tehlikeye sokmasına sebep olursunuz.
42. Ajanlarınızın güvenini kazanın ancak karşılığında onlara gerekenden fazlasını vermeyin. İşi yarıda bırakabilir, sizinle tartışabilir ya da muhtelif sebeplerden ötürü onunla ilişiğinizi kesmeniz gerekebilir. Böyle bir durumda, o ne kadar az bilgi sahibiyse o kadar iyidir. Ve yine aynı şekilde, eğer düşman eline düşecek olursa, onu ihtiyacından fazla bilgi sahibi yapmak hem ona hem de işe haksızlıktır.
43. Eğer ajanlarınız periyodik olarak işe ara verebiliyorlarsa, bu iyi bir şeydir. İstirahat zamanlarında bırakın kendini başka alanlarda ve başka şekillerde göstersin.
44. Onlara en azından tekniğin esaslarını öğretin. İşi onların muhakemesine bırakıp geri çekilmeyin. En azından uzun bir süre kendi başlarına inisiyatif göstermemeleri hususunda ısrarcı olun, ancak sizin verdiğiniz talimatlara uymasını sağlayın. Onun inisiyatif yeteneği beklenmedik olaylar olduğunda sınanacaktır. Hata yaptığında düzgünce uyarın, doğrusunu yaptığında da övün.
45. Eğer göreviniz öyle gerektiriyorsa, hem genel olarak hem de başkalarına karşı sert olmaktan korkmayın. Kendinize de aynı şekilde davranın. An geldiğinde sizin ya da başkalarının duyguları önemli değildir. İş, -yani size emanet kişilerin canları ve güvenliği- günün sonunda tek önemli olan şeydir.
46. Kendinizin yapmaya hazır olmadığı bir şeyi başkalarının yapmasını bekleyemeyeceğinizi hatırlayın. Ancak diğer bir taraftan cesaretinizi göstermek için paldır küldür kendinizi ortaya atıp bütün her şeyi tehlikeye atmayın. Genellikle bir işi kendiniz yapmaktansa başkasının yapmasını istemek biraz daha ahlaki cesaret gerektirir. Ancak doğrusu buysa, yoldan şaşmayın.
47. Eğer sizin için çok önemli ve teşkilata gerekli olan bir ajanınız varsa, bunu ona söylemeyin. Onu çok da küçümsemeden, —her ne kadar o ve onun ekibi ne kadar iyi iş çıkarsa da- gölgelerin içinde daha büyük işlerle uğraşan başka cepheler ve gruplar olduğunu, onların ise sadece bütün bu mozaiğin bir parçası olduğunu izah edin.
48. Asla ajanınızın canını dişine takıp sizinle kaçmaya çalışmasına izin vermeyin. Eğer siz tek başınıza engel olamıyorsanız, her zaman korkunç Onlar olduğunu unutmayın.
49. Ama eğer ajanınız ayağının bastığı yeri sizden daha iyi biliyorsa, daima onu dinlemeye hazır olun ve ona danışın. Asıl işin, içinde olan kişi muhakeme edebilen kişidir.
50. Aynı şekilde, karargahtan aldığınız emirlerin yersiz olduğunu düşünüyorsanız bu emirlere karşı çıkmaktan korkmayın. Siz doğrusunu göstermek için oradasınız. Bu özellikle güvenlik ciddi anlamda tehdit altında olduğunda ve alınacak riskin gerçek bir avantaj sağlamayacağı durumlarda çok daha geçerlidir. Bu yüzden kim olursa olsun elinizdeki her şey ile mücadele edin.
51. Eğer birden fazla ekibiniz varsa, ortak hareket zamanı gelmedikçe onları birbirinden ayrı tutun. Hatlarınızı birbirinden ayrı tutun ve mantık ve güvenlik sınırları içerisinde onları çoğaltmayı deneyin. Her birbirinden ayırma ve çoğaltma, bir olası kayıp durumunda tehlikeyi en aza indirir. Hatların çoğaltılması ayrıca her hattın birbirinden ayrı sınanabilmesini sağlar ki bu arzu edilen bir şeydir.
52. Küçük ya da büyük fark etmez, detayları öğrenmeden hiçbir şeyi tamamen başlatmayın. İşinizi şansa bırakmayın. Ya da sadece kötü şansa.
53. Kuryeleri kullanırken, ki kendileri güvenilir olsa da (yine burada kişisel dostluğa büyük bir rol düşüyor) onları taşıdıkları şeyin gerçek niteliği konusunda aydınlatmamak daha iyidir; ticari kaçakçılık bu bağlamda iyi bir bahane olabilir. Gizlilik için geçerli bir sebep olmasının yanı sıra, hem insanlarda bir heyecana sebep olur hem de ödeme yapılması için bir sebep ortaya koymuş olur. Daha da ötesi; kuryeyi, saklaması onun lehine olan bir durumun içersine sokmuş olur.
54. Eğer gönderilecek fazla materyal yoksa ve sadece bir belge ya da mektup gönderecekseniz, buna kılıf uydurmak için göndereceğiniz şeyi, boyutu içindekilere göre fazlaca büyük bir tane kutunun içerisinde koyup sonrasında iyice paketlemek kafi olacaktır.
55. Yapılacak yeni bir tertibatın malzemeleri şunlardır: saha ve elinizdeki unsurlar hakkında ciddice bir değerlendirme yapmak, bir ya da daha fazla kilit personel bulmak, olası rastlaşmalar için güvenli bir muhit, görüşmek için güvenli evler, posta kutuları, kuryeler, seyahatler için uygun sahte kimlik ve bahanelerin bulunması vs.; iş bölümü, hücrelere ayırma, unsurlar arasında oluşması muhtemel arkadaşlıkların yaratacağı başlıca tehlikenin farkında olmak (bu aşırı derecede önemlidir), tekrardan kaçınmak.
56. Özel bir iş gerektirmedikçe hedeflenmesi gereken, bütün işi batırabilecek hızlıcana tek bir sonuç almaktansa, birbiri ardına büyüyerek gelen bir sonuçlar silsilesi başlatmaktır. Ve işin olup bitenleri gizli tutacak düzgün koruma mekanizmaları olduğundan, bu da nihayetinde keşif ile sonuçlanacaktır.
57. Ciddi bir altyapı oluşturmak, hızlı harekete geçmekten çok daha önemlidir. Teşkilat, yalnızca halihazırda çalışan insanlardan meydana gelmemektedir, bunun yanı sıra gerek duyulabilecek yerlere yerleştirdiğiniz ve ihtiyaç halinde arayabileceğiniz potansiyel ajanlar da vardır.
58. Teşkilatta nasılsa, şahısta da öyledir. Sahadaki ilk işi, kimliğini etkileyecek ön hazırlıklar dışında her şeyi unutmaktır. İnsanlar onu belli bir şekilde bir kere tanıdıktan sonra, işin yarısı bitmiştir. İnsanlar birçok şeyi oldukları gibi kabul ederler ve birisi hakkında kararlarını verdikten sonra çok zor fikirlerini değiştirirler. Ancak çok şaşırtıcı bir olay yaşamaları gerekir, sizin işiniz de böyle bir olayın olmasını engellemektir. Eğer olur da şüphelenirlerse, her şeyi bitti sayıp durumu kabullenmeyin. Kimliğinize geri dönün ve onu tekrar inşa edin. İlk başta onların biraz kafasını karıştıracaksınız, sonunda da ikna edeceksiniz.
59. Seçeceğiniz kimlik yapmanız gereken işe bağlıdır. Aynı zamanda içerisinde bulunacağınız sosyal hayat da öyle. Sosyal olarak fazla ön planda olduğunuz bir hayat sürmeniz gerekebilir, arka planda kalmak da makuldür. Kendi yapmak istediğiniz şeyin, yapılması gereken şey olduğuna dair hüsnükuruntu yapmamak konusunda kendinizi eğitmelisiniz.
60. Kimliğiniz ve sosyal davranışlarınız, doğal olarak geçmişinize ve karakterinize uygun olarak seçilmelidir. Her ikisinde de çok fazla kasılma olmamalıdır. Onları iyi kullanın. İnsanların kafasında adım adım ama kuvvetli bir izlenim bırakın. Sohbet esnasında adınız geçtiğinizde, gerçek işiniz dışında sizinle ilgili söyleyebilecekleri elle tutulur bir şey olsun.
61. Yaşayacağınız yer biraz çetrefilli bir problemdir. Oteller nadiren tatmin edicidir. Her şeyin kontrolünüz altında olduğu size ait bir daire ise daha caziptir ve bir de evi paylaşabileceğiniz, bu işlerin içinde olmayan ketum bir ev arkadaşınız varsa çok daha iyidir. Eve geldiğinizde normal hayata geçip rahatlayabilirsiniz ve ayrıca o sizin için sahte kimliğinizle alakalı değerlendirebileceğiniz bir fırsat da oluşturacaktır. Tabii ki en çok hizmetçi seçerken dikkat edilmelidir. Ancak güvenilebilir bir hizmetçinin olması hiç olmamasından iyidir. Sizin yokluğunuzda insanlar evi aramak için ya da telefonu tamir etmek için vs. giremezler. Ve istenmeyen ziyaretçiler ya da telefonlarla uğraşmamak için evde olmak istemediğinizde, hizmetçiler bunu mümkün kılarlar.
62. Eğer bir erkek evliyse, karısının varlığı avantaj ya da dezavantaj sağlayabilir. Bu tamamen işin ve karı-koca arasındaki ilişkinin doğasına bağlıdır.
63. Bir koca, karısına ne yaptığını söylemeli midir? Bu iş alanındaki insanların ketumiyet ve muhakeme becerisine sahip olduğu kabul edilir. Eğer bir erkek, karısının güvenilir olduğunu düşünüyorsa, işin gizli kalması gereken detaylarını paylaşmadığı sürece tabii ki ona ne yaptığını söyleyebilir. Ciddi gerekçeler olmadıkça, her şeyi saklamak ne karı ne de koca için adil değildir. Karısının da doğal olarak tıpkı bir ajan gibi nasıl davranacağı konusunda bilgilendirilmesi gerekir.
64. İşten uzak olduğunuzda ve tanıdıklarınızla konuşurken, asla çok bilmeyin. Çoğu zaman bir şeyler bildiğinizi göstermek isteyen gururunuzu bastırmak zorunda kalacaksınız. Bu, özellikle yanlış olduğunu bildiğiniz bir iddia ortaya atıldığında ya da olanlar gerçeğe uygun anlatılmadığında zor olacak.
65. Çok bilmemek, hiç bilmemek demek değildir. Özel bir sebep olmadıkça, ne bir sersem ne de bir geveze olarak gözükmek iyi değildir. Bu size güvenilmesini zorlaştırır.
66. Zekanızı gösterin, ancak işinizle alakalı konularda sessiz olun. Bırakın konuşmayı başkaları yapsın. Bazen iyi olan, iyi bir vatansever, aynı zamanda işe yarar herhangi bir bilgiyi de doğru kişilere varması umuduyla resmi kanallara ulaştırmaya can atan birisi olarak olan bitene ilgi göstermektir.
67. Birisinin işe yarar bir bilgiye sahip olduğunu ya da bir başka şekilde işinize yarayabileceğini düşündüğünüzde, unutmayın ki övgü birçok kişi tarafından kabul edilecek bir şeydir. Dürüst bir övgü zor olduğunda, bir tutum dalkavukluk da aynı işi görecektir.
68. İlkelerinizin sınırları içerisinde; herkese, her şey olun. Ancak ilkelerinize ihanet etmeyin. Oyununuzdaki en büyük güç sizsiniz. Sizin doğruluk anlayışınız, sizin hem kendiniz hem de başkaları için saygı anlayışınız. Ve sizin işiniz, koşulları niyetinize göre bükmektir, koşulların sizi bükmesi ya da kıvırması değil.
69. İşinizde, her daim vicdanınızla uyum içerisinde olun. Düzenli aralıklarla kendinizi çapraz sorgudan geçirin. Asla elinizden gelenin daha iyisini yapamazsınız, yalnızca elinizden gelenin en iyisi kafidir. Ve unutmayın ki, yalnızca iş önemlidir — siz değil, iyi bir iş çıkarmaktan duyduğunuz memnuniyet dışında.
70. Oynadığınız rol her ne kadar küçük olursa olsun, bu meslek var olan en güzel mesleklerden biridir. Sayısız insan bu işin içerisinde olabilmek için her şeyini verirdi. Bunu unutmayın ve size verilen ayrıcalığın kıymetini bilin. Başkaları ne yaparsa yapsın, üzerinize düşeni iyi yapın.
71. Asla monotonlaşmayın. Ya da kürek çekmeyi bırakmayın. Her köşeyi döndüğünüzde yeni bir hat, her daim yapılabilecek yeni değişiklikler ve farklı seçenekler vardır. İş alışkanlarını değiştirmemek, dikkatsizlik ve tespit edilmeye yol açacaktır.
72. Hiç değilse, düşmanı olduğundan büyük görün. Pek tabii, onları asla küçümsemeyin. Fakat bunun sizi germesine ya da güveninizi zedelemesine izin vermeyin. Telaşlanmayın ve bilin ki çalıştığınız, soğukkanlı olduğunuz ve kendinizi geri dönülmesi zor bir duruma sokmadığınız müddetçe, her daim ama her daim onların üstesinden gelebilirsiniz.
73. Son olarak ve her şeyden evvel — GÜVENLİĞİ HATIRLAYIN.

Not: Yukarıda yazılanlar, merakla olsa dahi üstünkörü şöyle bir göz gezdirmek için değildir. Hepsi, ciddi bir dikkat ve en azından arada sırada tekrar incelenmeyi gerektirir. Ayrıca okuyan kişiye göre, satır aralarında bir yerlerde, o anki duruma direkt uygulanmaya müsait fikirler olabilir. Doğal olarak, bunların hemen uygulanması amaçlanmıştır.

Kaynakça

1. Srodes, J. (2009). Allen Dulles's 73 rules of spycraft. The Intelligencer, 17(2), 49–55. https://web.archive.org/web/0/http://www.oss.net/dynamaster/file_archive/100102/0a947a77d762061cc87ec541c2d2dcc7/2010-01-02%20Dulles%20on%20Tradecraft%20via%20Srodes.pdf

#türkçe #çeviri #istihbarat #opsec

Hello, World! bir şeylere başlamak için çok klişe biliyorum. Bir de bunu Türkçeleştirip sonuna ünlem koyup yazınca kendimi poğaçacıya hitap eden Orhan Pamuk gibi hissediyorum ama neyse.

Bu blogun işbu ilk yazısında biraz kendimden, geçmişimden ve agyild bağlamında ilerisi için planlarımdan söz etmek istiyorum. Özet şekilde de olsa kişisel web sayfamda biraz kendimden ve ilgi alanlarımdan bahsettim ancak orada profesyonel ve direkt sadede gelen minimalist bir hava hâkim, bir nevi siber kartvizit. Burada ise içeriğe göre yarı-profesyonel ya da profesyonel bir üslupta yazmayı planlıyorum. Aslen Psikoloji formasyonu olan, evvelsinde sözelci olup da amatör olarak edebiyat ile uğraşıp şiir yazıp, fanzin falan çıkaran birisiyim. Fakat bunların haricinde yine hobi olarak -6 yaşından beri- hep bir bilgisayarlar ile haşır neşirliğim olmuştu (Ailenin o zaman da ve halen daha bilgisayardan anlayan kişisi benim.). Ancak bunlar hep derdimi anlatacak kadardı ve en iyi uygulamalar (ing. best practice) vs. çok da umurumda değildi.

Bundan 4–5 sene evvel Psikoloji lisansımın yarısındayken Psikoloji'nin kariyer olarak dışarıdan göründüğü kadar eğlenceli olmadığını ve uzun vadede direkt bu alanda bir kariyerin beni çok da tatmin etmeyeceğini hafiften düşünmeye başlamıştım. Yine aynı zamanda o sıralar hobi olarak oyunlara mod geliştirmekle uğraşıyordum ve ReShade projesinin gölgelendirici (ing. shader) kütüphanesi için GLSL dilindeki gölgelendiricileri C/C++ hakkında hiçbir şey bilmeden sadece kalıpları anlamaya çalışarak kopyala-yapıştır ile uyarlıyordum. Alternatif olarak neler yapabileceğimi sorgularken seçmeli ders olarak aldığım CMPE 130 dersinin Java laboratuvarında neredeyse her satırı açıklamalı, sekme genişliğine vs. gerek olmadığı halde, dikkat ederek yazdığım bir kodu gören dersin öğretim görevlisi beni takdir etmişti ve bu alanda kariyer düşünebileceğimi söylemişti (Belki de o sözelci geçmiş insanı böyle göze hitap eden şeyler yazmaya yatkın kılıyordur, kim bilir? Aksini düşünen sayısalcı bir bilgisayar bilimleri hocasının yarattığı herhangi bir görsel içeriğe bakmak isteyebilir.). Hem biraz bu, hem de artık siberin yan bir şey olmaktan çıkıp bir sürü insan için ana şey olmasının sinyalleriyle beraber, geleceğin bu alanda olduğunu düşünüp radikal bir kariyer değişikliği yaptım.

Ve o zamandan beridir kendimi yazılım geliştirme, siber, güvenlik araştırmaları ve istihbarat konularında geliştiriyorum. Bu konu başlıkları direkt bu şekilde seçilmekten ziyade, yazılım geliştirmenin ertesinde güvenli yazılım geliştirme, oradan genel olarak siber güvenlik ve en sonunda da siber güvenliğin salt tek başına ele alınamayacak kadar diğer güvenlik ve savaş disiplinleriyle ilişkili olduğu farkındalığı ile kendiliğinden gelişti. Zaten ilerleyen yazılarda bu konulara sık sık değineceğim.

Dil olarak yerelde daha değerli olacağını düşündüğüm içerikleri Türkçe olarak, uluslararası alanda herkesin değerli göreceğini düşündüğüm şeyleri ise İngilizce olarak paylaşmayı hedefliyorum. Güvenlik araştırmaları, istihbarat, siber vb. gibi konularda zaten başta grugq olmak üzere İngilizce içerik üreten gırla insan mevcut. Türkiye'de ise bu konularda Türkçe dilde kamuya açık teknik kaynaklara rastlamak –benim bildiğim– Polis Akademisi'nin Güvenlik Çalışmaları Dergisi ve Milli Savunma Üniversitesi'nin Güvenlik Stratejileri Dergisi'ne kadar imkansızdı. Bundan evvel ancak asker ya da polis talebesi olmanız lazımdı. Ki bu kaynakların hedef kitlesi akademisyenler olduğu için okuması da herkes için kolay değil. Türkçe içerik üreten diğer kişiler de şüphesiz var ancak daha çok istihbarat analizi minvalinde (örn. S-400 krizi sonrası Orta Doğu ekseninde falan filan inter milan) içerik üretiyorlar, bu verilerin en başta var olabilmesini sağlayan casusluk zanaati ya da eloğlunun orijinal tabiriyle tradecraft ya da spycraft üzerine içeriğe -her ne kadar benzer niyetlerle başlayıp gerisi ne yazık ki gelmemiş tek tük projeler olsa da- ben ne yazık ki rastlamadım. Son olarak istihbarat kelimesini Türkçe kitap kataloglarında şöyle bir arattığınızda birkaç güzel tarihi kaynak dışında daha çok, satışları artırmak amaçlı güncel olayların ekseninde sansasyonel şekilde yazılmış kitaplar (örn. MİT, Derin Devlet ve Gladio 2: Fetötric Boogaloo) göze çarpıyor. Bunlar dışında benim gözümden kaçmış kamuya açık zengin Türkçe kaynaklar varsa öğrenmek isterim.

Niyetim, naçizane bu alandaki kültür hazinesine biraz olsun katkıda bulunabilmek. Bunu da orijinal Türkçe içerik üreterek ya da önemli olduğunu düşündüğüm yabancı dildeki kaynakları Türkçeye hem çevirisini hem de Türkçe dildeki diğer saygın kaynakları referans alıp yerelleştirerek yapabilmeyi umut ediyorum.

Right! We shall start!

Tinker

#türkçe #kişisel