ABD’nin dünyayı dinlediğine dair belgeleri sızdıran Edward Snowden ve Glenn Greenwald yeni bir ifşaata daha imza attı. Glenn Grenwald’ın websitesi Firstlook‘ta yer alan habere göre, Amerikalı ve İngiliz ajanlar siber güvenlik şirketi Gemalto NV’yi hackleyip, cep telefonu görüşmelerinin gizliliğini sağlayan simkart çiplerinin şifrelerini çaldı. Firstlook, şifrelerin çalındığına dair belgelerin Snowden tarafından temin edildiğini duyurdu.
Sitedeki belgelere göre, Amerikan Ulusal Güvenlik Ajansı (NSA) ile İngiliz Hükümet İletişim Merkezi (GCHQ) ele geçirdikleri yeni şifrelerle dünya çapında birçok kişinin sesli ve mobil görüşmelerini hükümetlerden ve telekomünikasyon şirketlerinden izin almadan takip edebilecek.
Sorulara yanıt vermediler
İngiliz GCHQ yetkilileri Reuters’ın konuyla ilgili sorularına yanıt vermedi. Fransız-Hollanda ortaklığı olan Gemalto NV de iddiaları ne doğruladı ne de yalanladı.
Gemalto NV, cep telefonları, banka kartları, biometrik pasaportlar ile dünyada 450 farklı şebeke sağlayıcı için ‘akıllı çipler’ üretiyor. Bu çipler her kullanıcı için farklı şifrelerle kilitleniyor. Şifrelerin ele geçirilmesi demek kişisel mahremiyetin tamamen NSA ve GCHQ’nun suistimallerine açık olması anlamına geliyor.
NSA skandalının patlamasının ardından ABD Başkanı Barack Obama 17 Ocak 2014’te bir açıklamaya yapmış ve “Milliyetinden bağımsız dünyada yaşayan tüm insanlar şunu bilsinler ki ABD, bizim ulusal güvenliğimizi tehdit etmeyen sıradan insanları dinlemiyor” demişti. Ancak NSA’in Alman Başbakan Angela Merkel dahil birçok kişinin telefonlarını dinlediğinin ortaya çıkması dünya liderlerinden de tepki çekmişti.
ABD Ulusal Güvenlik Ajansı’nın (NSA) bazı firmaların ürettiği sabit sürücülere bu cihazlarla yapılan işlemlerin dışarıda izlenmesini sağlayacak yazılım yerleştirildiği iddia edildi.
Yazılımı ortaya çıkaran güvenlik şirketi Kaspersky’e göre 30 ülkedeki bilgisayarların etkilendiği ve Stuxnet’e benzeyen yazılım, ‘Denklem Grubu’ adlı ekibini yürüttüğü 20 yıldır devam eden bir operasyonun parçası.
Western Digital, Seagate, IBM, Micron, Samsung ve Toshiba gibi firmaların sürücülerinde bulunan yazılımla alakalı NSA yorum yapmazken, eski bir istihbarat yetkilisinin Reuters’a verdiği bilgiye göre Ulusal Güvenlik Ajansı bu yazılımın sürücülere sağlanması için ciddi bütçe ayırmıştı.
Kaspersky’nin konuyla ilgili yayınladığı raporda bu zamana kadar bilinen espiyonaj yazılımlarının hepsinden daha karmaşık tekniklerle üretilen yazılımın, datayı elde etme ve kendini gizlemede gayet ‘profesyonelce’ üretildiği ifade edildi. Sabit disklerin yazılımı tekrar yazabilme kabiliyetine sahip casus yazılım sayesinde virüs taramalarından ve diskin formatlanmasından kurtulabiliyor. Casus yazılım sadece izleme/gözetleme yapmıyor aynı zamanda bilgisayardan internete bağlı olduğu müddetçe veri çalabiliyor.
Yazılımın en fazla bulunduğu ülkeler arasında sırayla İran, Rusya, Pakistan, Afganistan, Çin, Mali, Suriye, Yemen ve Cezayir bulunuyor. Hedeflerin askeri ve kamu kurumlarının yanında telekomünikasyon şirketleri, bankalar, enerji firmaları, nükleer araştırmacılar, medya organları ve dini gruplara mensup kişiler olduğu belirtildi. Uzmanlar causus yazılımın Stuxnet’e benzediğinin üzerinde durdu.
Yazılımın sürücülere nasıl yüklendiği konusunda bir açıklama yapılmadı. Yüklemenin fiziksel olabileceği belirtilirken, NSA’in üreticilerden kaynak kodlarını istemiş olabileceği veya bu firmalara yazılım geliştiren şirketlere sızmış olabileceği ihitmalleri de değerlendiriliyor. Western Digital, Seagate ve Toshiba böyle bir operasyondan haberleri olmadığı açıkladı. Diğer şirketlerden bir açıklama gelmedi.
Kaspersky raporunun ABD Başkanı Obama’nın siber güvenlik paketini açıklamasının hemen ardından gelmesi dikkat çekti. Son gelişmenin Çin yönetimini yaptığı siber casusluk operasyonları nedeniyle uluslararası kamuyounda eleştiren Washington’un elini zayıflatacağı düşünülüyor. Snowden sızıntılarının ardından NSA’in bu kadar çaplı bir casusluk operasyonun arkasından çıkması ABD’ye olan güvenin azalmasına ve bilişim sektöründe Amerikan menşeli şirketlerin durumunu iyice zora sokacağı ihtimalini güçlendiriyor. Obama’nın Snowden sızıntılarından sonra kurduğu İstihbarat ve İletişim Teknolojileri Değerlendirme grubu üyesi Peter Swire operasyonun ABD’ye yansımalarının olumsuz olacağını dile getirdi.
Yıllardan beri ABD hükümeti suçluların ve düşmanların bilgisayarlarını hacklemek için daha önceden keşfedilmemiş yazılım zaafiyetlerini (Sırıfıncı gün -0-gün- açıklıklarını) kullanıp kullanmadığına dair açıklama yapmayı reddetti. İlk kez bu yıl Obama Yönetimi herkesin bildiği bu sır hakkında ufak bir açıklama yaptı ve Ulusal Güvenli Ajansı (NSA) ve bazı kolluk kuvvetlerinin yazılım açıklıkları ile ilgili bilgileri saklayarak hükümetin sabotaj ve izleme faaliyetlerinde kullandığını ima etti.
Hükümet yetkililerinin New York Times’a verdiği bilgiye göre, geçen sonbahardan itibaren NSA yetkilileri buldukları bir yazılım açıklığını üretici firmaya ve sektördeki diğer aktörlere bildirmek zorunda. Ama bu güvenlik zaafiyeti milli güvenlik ve kolluk güçleri için kullanışlı ise hükümet bu açıklıktan faydalanmak için bu bilgiyi saklamayı tercih etme şansına sahip.
Wired.com’a bir röportaj veren Obama’nın siber güvenlik danışmanı Micheal Daniel, hükümetin gizlediği güvenlik açıklıklarının ‘çok büyük sayıda’ olmadığını söyledi. Daniel hükümetin yazılım açıklıklarını gizleme ve bunları milli güvenlik konularında kullanma konusunda 2010’dan bu yana aktif olduğunu da sözlerine ekledi. Başkan danışmanı bulunan açıklıkların ne kadarının paylaşıldığına dair bir bilgi vermese de, NSA ve ABD Siber Komutanlığının başında bulunan Mike Rogers Stanford Üniversitesi’nde yaptığı bir konuşmada bulunan açıklıkların ‘büyük bir çoğunluğunun’ gizli kalmadığını söylemişti.
Sıfırıncı gün açıklıklarının hangi durumlarda gizli kalacağı ve istismar edileceğine dair net bir politika bulunmuyor. Wired.com sitesinin haberine göre, Obama’ya bu konu hakkında verilen tavsiyeler arasında, bulunan bir güvenlik zaafiyetinin gizlenmesi ve hedeflere karşı kullanılması için ‘ilgili tüm kurumların’ bilgisine başvurulmalı ve bu açıklığı istismar etmenin belirli bir süresi olması da bulunuyordu. Fakat ABD Başkanı’nın bu tavsiyeleri kulak ardı ettiği anlaşılıyor. Heartbleed açıklığının ABD hükümeti tarafından önceden bilindiği ve istismar edildiğine dair haberler sıkça medyada yer almıştı. Daniel iddiaları yalanlasa da, 2010’dan beri (Stuxnet virüsünün ortaya çıktığından beri) yürülükte olan ‘açıklıkları açıklama’ politikasının her zaman başarılı bir şekilde yürümediğini belirtmişti.
Konuyla ilgili açıklığa kavuşturulması gereken başka bir soru daha var. ABD hükümeti sadece kendisi yazılım açıklıklarını bulmuyor. Aynı zamanda diğer firmaların bulduğu sıfırıncı gün açıklıklarını da satın alıyor. Daniel verdiği röportajda açıklığın gerçekten önemli olduğunu düşünüyorlarsa, ‘kamuoyuyla paylaşmak’ amacıyla açıklığı firmadan satın aldıklarını iddia ediyor.
ABD Başkanı Barack Obama, Ulusal Siber Güvenlik ve İletişim Entegrasyon Merkezi’nde yaptığı konuşmada, siber güvenlikle ilgili yeni adımlar açıkladı.
Ülkenin kritik altyapı ve finansal sistemleri ile elektrik şebekeleri ve boru hatları gibi birçok önemli noktanın internetle bağlantılı olduğuna işaret eden Obama, bu nedenle siber tehdidin ivedi ve büyüyen bir tehdit oluşturduğunu kaydetti.
Ancak kamu veya özel sektörün bu tehditle tek başına başa çıkamayacağını ifade eden Obama, ortak bir görev misyonu açıkladı. Obama, bu noktada, Kongre’ye, hükümet ile özel sektör arasında daha büyük bilgi paylaşımının yolunu açan yeni bir siber güvenlik kanun tasarısı sunacaklarını anlatarak, bu tasarının “siber tehditle ilgili bilgileri paylaşan şirketlere sorumluluk koruması sağlanması ve kişilerin özel hayatı ve özgürlüğünün koruma altına alınması” gibi unsurları da içereceğini dile getirdi.
Obama, bunun yanında, güvenlik güçlerinin siber suçları işleyenlerin izlenmesi ve tutuklanması noktasındaki düzenlemeleri de güncelleyeceklerini ve daha aktif hale getireceklerini bildirdi.
Kötü amaçlı yazılımların durdurulması için mahkemelerin yetkilerini genişletmeyi de istediklerini kaydeden Obama, ayrıca, gelecek ay Beyaz Saray tarafından Stanford Üniversitesi’nde, “hükümet yetkilileri, güvenlik güçleri, teknoloji endüstrisi, tüketici hakları savunucuları, hukuk profesörleri ve öğrenciler” gibi her kesimi bir araya getirecek siber güvenlikle ilgili zirve düzenleyeceklerini de duyurdu.
Geçen haftalarda Sony firması “Röportaj” filmi nedeniyle saldırıya uğramış, ABD yönetimi saldırının sorumlusu olarak Kuzey Kore’yi göstermişti. Önceki gün de IŞİD, ABD Merkez Kuvvetler Komutanlığı’nın (CENTCOM) Twitter ve Youtube hesaplarını hacklemişti.
Dünyaca ünlü güvenlik araştımacısı Mikko Hypponen Aralık ayında Belçika’nın başkenti Brüksel’de verdiği Ted konuşmasında 2014 yılının siber olaylarının yıllık özetini sunuyor.
Konuşmasına 1977 yılında ABD’deki bir eğlence merkezinde yaşanan yangını anlatarak başlayan Hypponen, yangın sırasında bir garsonun dikkatli davranışının yüzlerce insanı ölümden kurtarmasını bugünkü diyatal hayat ile benzerlikleri olduğunu söylüyor. Çok geç olmadan yapılan uyarıların dijital hayatın daha sağlıklı ve güvenilir olacağına dair diğer konuşmalarında da dile getirdiği düşüncesini yineliyor.
Hypponen, dijital bağımlılığın yaygınlaşması ile sıkça gündeme gelen ‘Büyük Birader Bizi Gözetliyor’ algısınıda küçük bir düzeltme yapılması gerektiğini düşünüyor. Tüm vatandaşların izlendiği her adımlarının bir otorite tarafından takip edildiği algısının temelde doğru olduğunu ifade eden siber güvenlik uzmanı, bunu yapanın tek bir otorite olduğu fikrine karşı çıkıyor. Mika Mannerma adlı fütüristten alıntı yapan Hypponen ‘Bir Birader’ yerine ‘Bazı Biraderler’(Some Brothers) olduğunu savunuyor. Üstelik bu biraderler grubunun illa bir devlet ya da istihbarat servisi olması zorunluluğu bulunmuyor.
F-Secure şirketinin başında bulunan Hypponen, şirketinin 2014 yılında Rus hükümetinin çeşitli birimlerinden gönderildiği düşünülen 5 kötücül yazılım familyası bulduğunu açıkladı. Daha çok Ukrayna sistemlerinde bulunan Sandworm, Stuxnet’ten sonra sanayi kontrol sistemlerinde bulunan ikinci virüs olan Havex’i bunlara örnek veren Hypponen, İngiliz istihbaratı GCHQ’nun geliştidiği Regin virüsünün AB’deki müttefiklerine (Almanya gibi) saldırmakta kullandığını hatırlattı.
Diğer biraderler ise şüphesiz teknoloji şirketleri. Silikon vadisindeki devler ile ABD hükümeti arasında ‘müşterilerin özel bilgilerine’ erişim konusuna değinen Mikko Hypponen, Yahoo’nun kendisine yönelik siber saldırılara karşı gelmeye çalıştığını, konunun FISA mahkemesine taşındığını ve mahkemenin kişisel bilgilere erişim isteyen devlet kurumunun lehine karar verdiğini söyledi.
Müşterilerinin kişisel bilgilerini barındıran başka bir birader ise telekomünikasyon şirketleri. Snowden belgelerinin de ortaya çıkardığı gibi Alman telekom firması Stellar’ın müşterileri hakkında topladıkları bilgiler NSA’in dikkatini çekmiş ve Stellar mühendisleri bizzat NSA’in hedefi olmuşlar.
Hypponen konuşmasının sonraki bölümünde kişisel bilgilerin başkalarının eline geçmesinde yine kişisel hataların olduğunu vurguluyor. Bir hizmet ya da ürünü kullanmadan önce imzalanan lisans sözleşmeleriyle ilgili bir araştırma yaptıklarını anlatan Hypponen, Londra’da bedava internet hizmeti verdiklerini ve bunun için hazırladıkları sözleşmeye koydukları “ bu hizmeti kullanarak F-Secure şirketinin gerektiğinde ilk doğan çocuğunuza sahip olmasını kabul ediyorsunuz. Eğer çocuğunuz olmazsa şirket en sevdiğiniz evcil hayvanınıza el konulacaktır.” maddesine rağmen insanların hepsinin okumadan anlaşmayı kabul ettiğini aktarıyor.
Gerçek dünyadan da bir örnek veren uzman, Samsung televizyonlarının bazılarının sözleşmesinde geçen aşağıdaki maddeyi dinleyicilerine göstererek durumun vahametini açıklamaya çalışıyor:
“Lütfen televizyonunuzun etrafında konuştuğunuz kişisel ya da hassas bilgilerein ses tanıma özelliği aracılığıyla kaydedilen ve üçüncü taraflara aktarılan veriler arasında olabileceğinin farkında olun.”
Hypponen konuşmasının sonunda ise tüm bunlara rağmen gözetleme kültürü ile mücadele edilmesi gerektiğini salık veriyor.
