Dünya genelinde son günlerde popülerleşen sesli sosyal medya uygulaması Clubhouse, ilk kez Çin yönetimince yasaklandı.
Ülkede devlet kontrolüne izin vermediği için Twitter ve Facebook’a erişim yasağı olması platforma ilgiyi yükseltmişti. Davetiyle üye olunan uygulama, sohbet odalarında insanların yazışmadan, konuşarak belli konular üzerinde iletişim kurmasına olanak sağlıyordu.
Uygulamanın güvenlik seçenekleri arasında ses kayıtlarını tutmaması kullanıcılarda güven oluşturuyordu ve ülkede devlet sansürüne takılmadan haberleşmenin önemli bir alternatifi haline gelmişti.
Clubhouse kullanıcıları arasında popüler olan sohbet odalarında, “Uygur Türklerinin durumu”, “demokrasinin avantajları ve dezavantajları”, “Çin’in Hong Kong’daki politikaları” gibi ülkede sansür mekanizmasının devreye girdiği konular tartışılıyor.
Financial Times gazetesi yasak öncesi Clubhouse davetiyelerinin internette 77 dolara kadar alıcı bulduğunu yazmıştı.
Öte yandan Almanya’da tüketici dernekleri platforma dava açmaya hazırlanıyor.
Dernekler, Clubhouse’un kişisel verilerin korunmasıyla ilgili Genel Veri Koruma Tüzüğünü (GDPR) ihlal ettiğini ve tüketiciyi koruyan yasaları çiğnediğini öne sürüyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Geçtiğimiz günlerde yayımlanan bir araştırma ile Çinli video paylaşım platformunda TikTok’ta önemli bir güvenlik açığını ortaya çıkardı. “Tek bir kullanıcının TikTok’un veritabanına ulaşıp gizlilik ihlaline sebep olabilir mi?” sorusunu merak eden araştırmacılar kimlik hırsızlığıyla sonuçlanabilecek kritik bir zafiyeti keşfetti.
Siber güvenlik firması Check Point Research araştırmacıları, popüler sosyal medya platformu TikTok kullanıcılarının kişisel verilerini çalmasına izin veren güvenlik açığı tespit etti. Tespit edilen güvenlik açığı TikTok’un “Arkadaş Bul” seçeneğinde bulundu.
Sıklıkla güvenlik açıklarıyla gündeme gelen ve Çin merkezli ByteDance firmasına ait olan TikTok uygulaması, gizlilik ihlallerini önlemek, kullanıcıların verilerini saklı tutabilmek adına bir süredir hata-ödül programı olan HackerOne ile birlikte çalışarak tehdit aktörlerinden önce güvenlik açıklarını bulmak için çalışma başlatmıştı. Yapılan çalışmalarla birlikte birçok açığını yamayan TikTok üzerinde yapılan çalışma ise “Tek bir kullanıcının TikTok’un veritabanına ulaşıp gizlilik ihlaline sebep olabilir mi?” sorusuna ‘evet’ yanıtını verdi.
AÇIK “ARKADAŞ BUL” SEÇENEĞİNDE
Chech Point Research araştırmacıları Eran Vaknin, Alon Boxiner tarafından yapılan araştırma TikTok’un gizliliğini inceledi. Böylelikle kullanıcı verileriyle ilişkili tüm eylemlere odaklanan araştırmacılar gizlilik açığını TikTok kullanıcılarının tanıyor olabilecekleri kişileri kolayca bulmasını sağlayan “Arkadaş Bul” seçeneğinde buldu.
TikTok uygulamasında “Arkadaş Bul” seçeneğine tıkladığınızda rehberinizdeki kişiler, hash fonksiyonuyla dizilenmiş kişi adları ve telefon numaralarından oluşan bir liste şeklinde HTTP isteği aracılığıyla uygulamaya yükleniyor.
Bir sonraki adımda, önceki istekte gönderilen telefon numaralarına bağlı TikTok profillerini alan ikinci bir HTTP isteği gönderiyor. Alınan bu cevapta profil adları, telefon numaraları, fotoğraflar ve profillerle ilgili bilgiler yer alıyor.
Check Point araştırmacıları, elektronik olarak kısıtlanmış bir kaynağa erişmek için kullanılan “X-Tt-Token” belirteci kullanarak “Arkadaş Bul” seçeneğinin diğer bir adımı olan senkronizasyonla isteğinin günlük 500 kişi limitinden kurtulmak için cihaz tanımlayıcısını ele geçirdi. Daha sonra istekler üzerinde oynama yapabildiklerini keşfeden araştırmacılar “Tek bir kullanıcının TikTok’un veritabanına ulaşıp gizlilik ihlaline sebep olabilir mi?” sorusunun yanıtını buldu.
TEHDİT AKTÖRLERİ VERİTABANI OLUŞTURABİLİRDİ
Bulunan güvenlik açığıyla tehdit aktörlerinin, HTTP isteklerini manipüle ederek kullanıcıların karşıya yüklemelerine ve kişilerini senkronize etmelerine olanak tanıyan “Arkadaş Bul” seçeneğiyle kimlik hırsızlığı gibi saldırılarda kullanılabilecek kullanıcı ve telefon numaralarından oluşan bir veritabanı oluşturabilecekleri ortaya çıkarıldı.
GÜVENLİK AÇIĞI GİDERİLDİ
Konuyla ilgili açıklama yapan Check Point Ürün Güvenlik Açıkları Araştırma Başkanı Oded Vanunu, “Birincil motivasyonumuz TikTok’un gizliliğini keşfetmekti. TikTok platformunun özel kullanıcı verilerine erişim için kullanılıp kullanılamayacağını merak ettik. TikTok’un gizlilik ihlaline neden olan birden fazla koruma mekanizmasını atlatmayı başardık. Güvenlik açığı, bir saldırganın kullanıcı ayrıntıları ve ilgili telefon numaralarından oluşan bir veritabanı oluşturmasına olanak verebilirdi. Bu derecede hassas bilgilere sahip bir saldırgan, hedefli kimlik avı veya diğer suç eylemleri gibi bir dizi kötü amaçlı etkinlik gerçekleştirebilir” ifadelerini kullandı.
Güvenlik açığı, bir yama ile düzeltilse de uygulama ile ilgili soru işaretleri devam ediyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
ABD ve Birleşmiş Milletler nükleer silahların yasadışı finansmanını engelleme noktasında yaptırımlar uygularken Kuzey Kore bu yaptırımları aşma konusunda ustalıkla hareket ediyor.
Siber suçlarda dikkate değer ölçüde yetkinlik sahibi olan Kuzey Kore siber kabiliyetlerini hem yurt içinde hem de yurt dışında hızla geliştirdi. Komünist rejim, nükleer silah geliştirme programını finanse etme adına, “Hidden Cobra” veya “Lazarus Group” kod adlı hackleme ekipleri aracılığıyla dünya çapındaki dijital güvenlik açıklarından yararlanarak siber saldırılar düzenliyor.
2017’de ABD İç Güvenlik Bakanlığı ve FBI, Kuzey Kore’nin ABD’deki şirketler ve kritik altyapıya yönelik çeşitli saldırılarla bağlantılı olduğunu ortaya koyan bir siber güvenlik raporu yayınladı. Raporda yer alan uyarı, İç Güvenlik Bakanlığı ve FBI’ın Kuzey Kore hükümetinin dağıtılmış hizmet reddi (DDoS) saldırıları başlatmak için kullandığını iddia ettiği Delta Charlie adlı bir tür kötü amaçlı yazılımla ilgiliydi. Bu botnet saldırıları, güvenli olmayan Nesnelerin İnterneti (IoT) cihazlarından kaynaklanan yıkıcı IP trafiğini yönlendirerek web sitelerini, uygulamaları ve diğer BT altyapısını saatler, günler veya haftalarca çevrimdışı duruma getirebiliyor.
KUZEY KORE LİDERİ SİBER GÜCÜ NÜKLEER GÜÇ KADAR ÖNEMLİ BULUYOR
Siber suç pazarının boyutu ve korumanın hala yetersiz oluşu, Kuzey Koreli siber grupların iştahını kabartıyor. Ülkenin gerçekleştirdiği siber operasyonlar çok az risk taşıyor, maliyeti düşük ve oldukça karlı bir alan. Güney Kore Ulusal İstihbarat Teşkilatı’nın eski müdürü Nam Jae-joon, Kim Jong Un’un sahip oldukları siber yeteneklerin nükleer güç kadar önemli olduğunu ve “nükleer silahlar ve füzelerin” yanı sıra siber savaşın Kuzey Kore ordusunun hedefleri vurma kabiliyetini garanti eden çok amaçlı bir silah olduğunu söylediğini aktarıyor.
Mayıs 2020’de Kuzey Korelilerin taktik planlama sistemlerini denetlemek için en az 100 tane birinci sınıf bilim ve teknoloji üniversitesi mezununu orduya dahil ettiklerini ortaya koyan bir başka rapor daha bulunuyor. Otomasyon Üniversitesi olarak adlandırılan Mirim Koleji, yılda yaklaşık 100 “hacker” mezun veriyor. Hocalar, öğrencilerinin Microsoft Windows işletim sistemlerini bozmayı, kötü amaçlı bilgisayar virüsleri oluşturmayı ve çeşitli programlama dillerinde kod yazmayı öğrendiklerini ifade ediyorlar. Bu durum, popüler işletim sistemi Windows’taki güvenlik açıklarından yararlanarak 150 ülkede 300 binden fazla bilgisayarda tahribata yol açan Kuzey Kore kaynaklı 2017 WannaCry fidye yazılımı siber saldırısının arka planına net bir örnek teşkil ediyor.
Yakın zamanda, Kuzey Kore’nin devlet medyası, ülkenin siber savaş ve silah geliştirme programıyla bağlantılı yeni bir bilim ve teknoloji üniversitesinin kurulduğunu doğruladı.
EN BÜYÜK DESTEKÇİSİ ÇİN
Kuzey Kore siber saldırılarda tek başına hareket etmiyor. ABD Ordusu tarafından yayınlanan bir rapora göre Kuzey Kore’nin dünya çapındaki dört istihbarat teşkilatında yaklaşık 6 bin siber ajan çalıştırdığı tahmin ediliyor. Bunlardan biri, 2017 WannaCry fidye yazılımı sürümü de dahil olmak üzere ciddi siber saldırıların arkasındaki beyin olarak bilinen Lazarus Group. Kuzey Kore’nin destekçileri arasında özellikle Çin’in eğitim ve akademik değişim yoluyla Kuzey Kore’nin yasadışı siber faaliyetlerine yardımcı olduğu düşünülüyor. Kuzey Koreli öğrenciler genellikle, ABD ve BM yaptırımları nedeniyle kendi ülkelerinde bulunmayan ileri teknolojiyle tanışabilecekleri Harbin Teknoloji Enstitüsü (HIT) gibi en iyi Çin kurumlarında eğitim görüyorlar. Kasım 2019’da, Çin Eğitim Bakanlığı ve Kuzey Kore Eğitim Komisyonu Başkanı, akademik ortaklıkları ve lisansüstü öğrenci değişimlerini desteklemek üzere Çin-Kuzey Kore Eğitim ve İşbirliği Anlaşması’nı (2020–2030) imzalamıştı.
Yabancı öğrenci değişimi ve lisansüstü programları artırmaya yönelik bu tür ortak hükümet girişimleri, bu üniversitelerin müfredatı göz önüne alındığında, siber suçların artmasına neden olabilir. Çin üniversitelerinin gelecekteki Kuzey Koreli nükleer bilim adamlarını eğittiği konusunda şimdiden endişeler bulunuyor. Bu kuruluşların Kuzey Koreli siber ajanları ABD ve diğer gelişmiş ekonomilerde üst düzey siber saldırı gerçekleştirme noktasında ihtiyaç duydukları beceri ve yeteneklerle donatmasının nasıl durdurulacağı sorusunun cevabı henüz verilebilmiş değil.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Çin’de yeni kabul edilen yasalar, ülkedeki firmaları yasa dışı veri toplanıp depolanması konusunda hükümete destek olmaya zorluyor.
ABD Ulusal Güvenlik Bakanlığı, geçtiğimiz yılın sonunda Amerikan şirketlerine önemli bir tavsiyede bulundu: “Çin Halk Cumhuriyeti ile bağlantılı firmaların sunduğu veri hizmetleri ve ekipmanların kullanımıyla ilgili ciddi riskler bulunuyor.” Bakanlığın yayınladığı tavsiye niteliğindeki belgede bu hizmetlerin ABD hükümeti, şirketler ve vatandaşların veri güvenliğine yönelik büyük bir tehdit oluşturduğu, zira Çin’in kontrolü ya da etkisi altında bulunan kuruluşlar aracılığıyla verilere gizlice erişme yeteneğine sahip olacağı ifade edildi.
ÇİN’İN YENİ ÇIKARDIĞI YASALAR FİRMALARI ZORLUYOR
Söz konusu uyarı, başta 2017 Ulusal İstihbarat Yasası, 2020 Veri Güvenliği Yasası ve 2020 Kriptoloji Yasası olmak üzere Çin’in yeni yürürlüğe soktuğu yasaların veri hırsızlığı riskini artırması dolayısıyla yapıldı. Adı geçen yasalar Çinli şirketleri ve vatandaşları – akademik kurumlar, araştırma kuruluşları ve yatırımcılar aracılığıyla – Çin hükümetine verilerin toplanması ve depolanması noktasında yardım etmeye ve destek vermeye zorluyor.
Söz konusu yasalar, aynı zamanda Çinli firmaları ve kuruluşları ülkenin güvenlik ve istihbarat servisleriyle gizlice iş birliği yapmaya zorluyor. Bu yasaların Çinli şirketleri Pekin’e veri, şifreleme anahtarları ve diğer teknik bilgileri sağlamaya zorlamak için kullanılma ihtimali bulunuyor. Aynı zamanda Çinli kuruluşların istismarına açık güvenlik zafiyetleri oluşturması beklenen ekipmanlara “arka kapı” veya “bugdoors” (kendisini bir bilgisayar “bug”ı olarak maskeleyen bir arka kapı) kurmak için de kullanılabilir.
Çin’in yeni yürürlüğe soktuğu yasalar, TikTok gibi Apple ve Samsung mobil cihazlarında kullanılan uygulamalar, giyilebilir fitness cihazları ve Çin hükümetine konum ve diğer verileri sağlayabilen cihazlarda güvenlik açığı yaratmakta.
AMAÇ ÇİN’İN SÜPER GÜÇ STATÜSÜ KAZANMASINI HIZLANDIRMAK
Yasaların genel olarak amacı ise, Çin’in süper güç statüsüne yükselme yönündeki girişimlerini hızlandırmak. Ayrıca “Made in China 2025” planında belirtilen hedeflerin yanı sıra, komünist devrimin yüzüncü yılına denk gelen 2049 yılına kadar Çin’i önde gelen küresel teknolojik süper güç haline getirmeyi amaçlayan Dijital İpek Yolu ve Askeri Sivil Füzyon girişimlerine yasal bir dayanak teşkil etmekte.
VERİ HIRSIZLIĞI ÇİN ORDUSUNU DA İHYA EDİYOR
Sonuç olarak, Çin destekli veri hırsızlığı yalnızca yabancı rakiplerin iç pazar payının azalmasını değil, aynı zamanda Çin’in uzun süredir ABD ve Avrupalı firmaların hakim olduğu kritik pazarlardaki teknolojik hakimiyetini sağlamayı amaçlıyor. Bütün bunlara ek olarak işin bir de askeri boyutu bulunuyor. Buna göre veri hırsızlığı, Çin Ordusu’nu, diğer askeri hizmetleri ve Çin’in istihbarat topluluğunu gelişmiş savaş ve bilgi yetenekleriyle donatmak suretiyle modernize etme noktasında olmazsa olmaz bir unsur. Çin, yabancı verileri ülkedeki muhalifler de dahil olmak üzere belirli kesimlerin faaliyetlerini ve zayıf noktalarını saptamak için bir araç olarak kullanıyor.
Ulusal Güvenlik Bakanlığının yayınladığı uyarı sadece ABD’li şirketler ve kuruluşlar tarafından değil Çinli firmalarla etkileşimde bulunan herhangi bir kuruluş için önem taşıyor. Zira tüm bu kuruluşlar fikri mülkiyet hırsızlığı, veri hırsızlığı ve verilerin kötüye kullanılması riskiyle karşı karşıya.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Çin’in devlete bağlı üç telekomünikasyon şirketinden biri olan China Telecom, üçüncü tarafların dinlemesine izin vermeyen kuantum şifrelemeli telefon görüşmesi hizmetini başlattı.
China Telecom, kablosuz iletişim güvenliğinde devrim olarak nitelendirilebilecek bir hizmeti hayata geçirecek. Henüz pilot uygulama çerçevesinde belli bir bölgede kullanıma sunulan hizmet kapsamında operatör kullanıcıları, kuantum şifrelemeli telefon görüşmeleri yapabilecekler.
Ülkenin Anhui eyaletini pilot bölge olarak seçen şirket, özel bir SIM kart ve mobil uygulama ile kuantum şifreleme kalkanında korunan telefon görüşmeleri gerçekleştirilmesini imkan veriyor.
Kullanıcıların kuantum şifrelemeli telefon görüşmesi hizmetinden faydalanabilmesi için öncelikle bir China Telecom mağazasına gidip hizmeti destekleyen bir SIM kartı satın almaları gerekiyor. Sonrasında ise SIM kartın takılı olduğu telefona “Kuantum Güvenli Arama” uygulamasının indirilmesi gerekiyor.
China Telecom, şu an için hizmetin fiyatı hakkında bir bilgi paylaşmadı. Algoritma tabanlı geleneksel şifreleme yöntemleri, yeterince güçlü bir bilgisayar ile yeterli zaman verildiğinde kırılabiliyor. Kuantum şifreleme ise verileri ele geçirmeye yönelik herhangi bir girişim olduğu takdirde mesajda fiziksel bir değişiklik gerçekleşeceğinden tespit edilip göndereni ve alıcıyı uyarabiliyor.
KUANTUM ŞİFRELEME GÜVENLİĞİ NASIL SAĞLIYOR?
China Telecom’un kuantum şifrelemeli telefon görüşmesi hizmeti, telefon görüşmelerinin uçtan uca şifrelenmesini sağlıyor ve gönderen tarafından oluşturulan her veri, kuantum şifreleme ile korunduktan sonra alıcıya iletiliyor. Söz konusu kuantum şifreyi yalnızca alıcı çözebildiğinden görüşme tam anlamıyla korunmuş oluyor.
Bir kriptografi uzmanı olan Shanghai Hashvalue Information Technology’nin kurucu ortağı Gao Chengshi, alıcı ve gönderenin kimliğini doğrulamak için kullanılan mevcut asimetrik kriptografinin mevcut pazar talebini karşılamak için yeteri kadar güvenli olduğunu belirtirken, süper hızlı kuantum bilgisayarların gelişmesiyle birlikte mevcut kriptografi teknolojilerini kırmanın kolaylaşacağını bu nedenle de kuantum şifrelemenin gelecek için önemli olduğunu belirtiyor.
China Telecom tarafından yapılan açıklamaya göre yeni hizmet ilk olarak hükümet, askeri ve finans kurumları gibi “mutlak güvenliğe” ihtiyaç duyan alanlardaki kullanıcılara sunulacak ancak ilerleyen dönemde hizmet, sivil kullanıma da açık hale gelecek. China Telecom’un direktörü Liu Guiqing, önümüzdeki 5 yıl içinde hizmeti 10 milyon kullanıcıya ulaştırmayı hedeflediklerini belirtti.
Kaynak: webtekno
Siber Bülten abone listesine kaydolmak için formu doldurunuz
