Kim Zetter*
Yıllardan beri ABD hükümeti suçluların ve düşmanların bilgisayarlarını hacklemek için daha önceden keşfedilmemiş yazılım zaafiyetlerini (Sırıfıncı gün -0-gün- açıklıklarını) kullanıp kullanmadığına dair açıklama yapmayı reddetti. İlk kez bu yıl Obama Yönetimi herkesin bildiği bu sır hakkında ufak bir açıklama yaptı ve Ulusal Güvenli Ajansı (NSA) ve bazı kolluk kuvvetlerinin yazılım açıklıkları ile ilgili bilgileri saklayarak hükümetin sabotaj ve izleme faaliyetlerinde kullandığını ima etti.
Hükümet yetkililerinin New York Times’a verdiği bilgiye göre, geçen sonbahardan itibaren NSA yetkilileri buldukları bir yazılım açıklığını üretici firmaya ve sektördeki diğer aktörlere bildirmek zorunda. Ama bu güvenlik zaafiyeti milli güvenlik ve kolluk güçleri için kullanışlı ise hükümet bu açıklıktan faydalanmak için bu bilgiyi saklamayı tercih etme şansına sahip.
Wired.com’a bir röportaj veren Obama’nın siber güvenlik danışmanı Micheal Daniel, hükümetin gizlediği güvenlik açıklıklarının ‘çok büyük sayıda’ olmadığını söyledi. Daniel hükümetin yazılım açıklıklarını gizleme ve bunları milli güvenlik konularında kullanma konusunda 2010’dan bu yana aktif olduğunu da sözlerine ekledi. Başkan danışmanı bulunan açıklıkların ne kadarının paylaşıldığına dair bir bilgi vermese de, NSA ve ABD Siber Komutanlığının başında bulunan Mike Rogers Stanford Üniversitesi’nde yaptığı bir konuşmada bulunan açıklıkların ‘büyük bir çoğunluğunun’ gizli kalmadığını söylemişti.
Sıfırıncı gün açıklıklarının hangi durumlarda gizli kalacağı ve istismar edileceğine dair net bir politika bulunmuyor. Wired.com sitesinin haberine göre, Obama’ya bu konu hakkında verilen tavsiyeler arasında, bulunan bir güvenlik zaafiyetinin gizlenmesi ve hedeflere karşı kullanılması için ‘ilgili tüm kurumların’ bilgisine başvurulmalı ve bu açıklığı istismar etmenin belirli bir süresi olması da bulunuyordu. Fakat ABD Başkanı’nın bu tavsiyeleri kulak ardı ettiği anlaşılıyor. Heartbleed açıklığının ABD hükümeti tarafından önceden bilindiği ve istismar edildiğine dair haberler sıkça medyada yer almıştı. Daniel iddiaları yalanlasa da, 2010’dan beri (Stuxnet virüsünün ortaya çıktığından beri) yürülükte olan ‘açıklıkları açıklama’ politikasının her zaman başarılı bir şekilde yürümediğini belirtmişti.
Konuyla ilgili açıklığa kavuşturulması gereken başka bir soru daha var. ABD hükümeti sadece kendisi yazılım açıklıklarını bulmuyor. Aynı zamanda diğer firmaların bulduğu sıfırıncı gün açıklıklarını da satın alıyor. Daniel verdiği röportajda açıklığın gerçekten önemli olduğunu düşünüyorlarsa, ‘kamuoyuyla paylaşmak’ amacıyla açıklığı firmadan satın aldıklarını iddia ediyor.
*Bu yazı Kim Zetter’in US Gov Insists It Doesn’t Stockpile Zero-Day Exploits to Hack Enemies yazısından derlenmiştir.