ABD Savunma Bakanlığı (Pentagon), Çin ordusunun teknoloji şirketi Huawei’nin de aralarında olduğu 20 Çin firmasına ya sahip olduğu ya da bu firmaları desteklediğini düşünüyor.
Amerikan medyasına göre Pentagon’un hazırladığı listede güvenlik kamerası sistemi firması Hikvision, telekomünikasyon şirketleri China Telecoms ve China Mobile ile Çin Havacılık Sanayii Kurumu (AVIC) da yer alıyor.
Listenin ABD’nin firmalara karşı yeni mali yaptırımlarına zemin hazırlayabileceği belirtiliyor.
Pekin yönetimi uzun zamandır firmalarının Çin ve Komünist Parti tarafından kullanıldıkları iddiasını reddediyor.
Listenin, Çin ordusunun hassas teknolojik bilgileri ele geçirmesini engellemek için ABD Kongresi’ndeki komiteler, ticari kuruluşlar, yatırımcılar ve Çinli firmalar ile muhtemel ortaklık kuracak firmaları bilgilendirmek için hazırlandığı anlaşılıyor. Listedeki firma sayısının artabileceği anlaşılıyor.
ABD yasalarına göre Amerikan Savunma Bakanlığı, ülkede faaliyet gösteren ve Çin Halk Kurtuluş Ordusu’nun “sahip olduğu veya kontrol ettiği” firmaları izlemek zorunda.
İki partiden senatörlerü de Ticaret Bakanına baskı yapıyor
Hem Demokrat hem de Cumhuriyetçi kongre üyeleri son aylarda Pentagon, Çin hükümetinin ya da ordusunun kontrol ettiği şirketlerin listesini yayımlamaları ve güncellemeleri konusunda baskı altındaydı.
Kasım ayında, Amerikalı senatörler Tom Cotton ve Chuck Schumer, Ticaret Bakanı Wilbur Ross’a, 2018 İhracat Kontrol Reformu Yasası ve 2019 Ulusal Savunma Yetkilendirme Yasası tarafından zorunlu tutulan ABD politikasını güncellemelerinin istendiği bir mektup gönderdi.
Senatörler mektupta, Çin ile bağları olan teknoloji şirketlerine ABD’ye özgü hassas bilgilerin iletileceği endişesini dile getirmişti.
Mektupta ABD Ticaret Bakanlığı’nın neden iki yasa tarafından zorunlu kılınan ihracat kontrol incelemelerini tamamlamak için “yavaş olduğu” da sorgulandı.
Senatörler, Çin Komünist Partisi’nin ABD teknolojisini askeri uygulamalarla çalıp çalmadığını ve Çinli şirketlerin gelişmekte olan sivil teknolojileri askeri amaçlar için kullanıp kullanmadığını değerlendirmek için incelemelerin yapılması gerektiğini vurguladılar.
Senatörler Cotton ve Schumer, “Bu inceleme ve sonuçlarının uygulanması hangi durumda? Bu inceleme, Çin’in casusluk ve zorla teknoloji transferi çabaları için hedeflediği ABD ekonomisindeki sektörleri belirleyecek mi? Çin’deki nihai askeri kullanım ve nihai kullanım için kontrollerin kapsamını değiştirecek misiniz? Bu incelemenin sonuçlarını kamuya açıklayacak mısınız?” sorularını yöneltti.
Mektup, incelemelerin “olabildiğince hızlı ve eksiksiz bir şekilde” yapılması çağrısıyla son bulmuştu.
ABD Başkanı Donald Trump, Huawei’nin de aralarında olduğu “ulusal güvenlik riski” oluşturduğuna inanılan yabancı telekomünikasyon şirketlerine Amerikalı firmaların teknolojilerinin satılmasını yasaklamıştı. Washington yönetimi, Çin ile olan ticaret savaşının ABD’nin ticari sırlarının çalınmasına bir yanıt olduğunu söylemişti.
Washington, müttefiklerine, Huawei’in 5G teknolojisini kullanmamaları konusunda da baskı yapmıştı. Ancak Trump’ın yaptırım kararları Avrupa ülkelerinden destek görmemişti.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Dünyanın en yoğun katılımlı hacker konferansı olarak bilinen DEF CON’un bu yıl ilk kez düzenlediği ‘Aviation Village’ (havacılık köyü) uçak sanayisini DEF CON’un hacker topluluğuyla bir araya getirdi. CYBERSCOOP’tan Shannon Vavra bu ilginç buluşmayı köşesine taşıdı. Zira söz konusu etkinlik klasik bir hacker buluşmasının ötesinde gerçekleşti. Vavra haberinde bu durumu şu ifadeyle özetliyor: “DEF CON’daki ilk ‘havacılık köyü’nün hackleme hedefleri arasında F-35 savaş uçağı simülatörü bulunmakta, fakat bu durum Pentagon’un Dijital Hizmetler biriminin yeni başkanı Brett Goldstein’ın Las Vegas’taki konferans salonunda gezinip durmasın
ın tek sebebi değil. Kuruluş bu ortamı aynı zamanda bir işe alma vesilesi olarak da görmekte”
Goldstein CyberScoop’a yaptığı açıklamada ise “Bu odada ve konferansın bir ucundan diğer ucunda dünyanın en iyi güvenlik yetenekleri bulunmakta” diyor ve ekliyor: “Bu topluluğun hayal gücünü tetikleyebilirsem, onları kendileriyle işbirliği yapmak istediğimize inandırabilirsem bu benim için bir kazanım olur”
İlk ‘Bug Bounty Program’ını (Yazılım hatası bulma ödül programı) 2016 yılında gerçekleştiren Dijital Hizmetler Birimi’nin (DDS) şu anda 70 p
ersoneli bulunuyor. Bunların bir kısmı sivilken bir kısmı da aktif ordu görevinde bulunuyor. Ancak yaklaşık olarak her iki yılda bir rotasyona tabi tutuluyorlar. Bu personel değişimi, DDS’ye taze fikir ve yetenek kazandırmak için kasten yapılıyor. Goldstein bu durumu şu sözlerle anlatıyor: “Sürekli adam topluyorum. Normalde müthiş sosyal bir insan değilim. Bir çeşit sessiz biri sayılabilirim. Ancak bu konferans sırasında kendimi aşıp tanışabildiğim kadar yeni kişi ile tanıştım”
Önceden OpenTable, Chicago Polis Departmanı ve akademide çalışan Goldstein, kendisini Pentagon’da çalışmaya ikna eden şeyin ‘vazife ‘ olduğunu belirtiyor.
“Hava Kuvvetleri’nde bir hac
ker ekibimiz var ancak yeterli olduğunu düşünmüyorum”
DEF CON’da havacılığa odakl
anılması, devlet denetimlerin yakın zamanda silah sistemlerinde kusurlar bulduğu bir döneme denk geldi. Çok kısa bir süre önce, Bug Bounty platformu Bugcrowd, Hava Kuvvetleri’nin yeni bulut sunucusunda 54 zafiyet bulduğunu açıklamıştı. İç Güvenlik Bakanlığı daha bir kaç hafta önce, küçük uçaklardaki bir zafiyetin hackerlara motor göstergesi, rakım, ya da hava sürati gibi uçuş bilgilerini değiştirmelerini sağlayabileceği konusunda uyarmıştı.
Hava Kuvvetleri’nin Satın Alma, Teknoloji ve Lojistik’ten sorumlu müsteşarı Will Roper, hizmetlerin sistemlerini gerçek düşmanlara karşı nasıl koruyacaklarına dair bir takım açıkları olduğunu ifade ediyor. Roper konferans sırasında basın mensuplarına yaptığı açıklamada şunları kaydetti: “Hava Kuvvetleri’nde hackerlardan oluşan bir ekibimiz bulunmakta ancak bunun yeterli olduğunu düşünmüyorum”
Goldstein’a göre her ne kadar bu zorluklar için hackerlardan medet umulsa da, hükümet adına çalışmaya karar vermek özel sektörün verdiği paralar göz önüne alındığında kolay olmayabiliyor. Goldstein aynı zamanda şunları da ifade ediyor: “Günün sonunda Körfez bölgesinin dışına çıktığınızda rekabet edemeyeceğimizi biliyorum. Ancak benimle çalışmaya karar verirseniz iki yıl boyunca, düşünebileceğiniz en harika şeyler üzerinde çalışacaksınız. Birilerinin hayatını kurtardığınızın bilinciyle yatağınıza gideceksiniz”
Roper, Hava Kuvvetleri’nin saldırılara hazırlıksız yakalanmamak için hackerları kucaklamanın gerekli olduğunu belirtiyor. Ancak ona göre bu durum aynı zamanda endişe verici. Kime güvenmemiz gerektiğini, kimin beyaz şapkalı hacker olduğunu kimin olmadığını iyi bilmemiz gerekiyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Piyasada satılan 9 binden fazla ürünün ABD askeri personelini ve tesislerini gözetlemek ya da hacklemek için kullanılabileceği iddia ediliyor. Pentagon Denetleme Dairesi Başkanlığı’nın yayınladığı bir rapora göre ABD Savunma Bakanlığı personeli siber güvenlik riski taşıyan binlerce yazıcı, fotoğraf makinesi ve bilgisayar temin etti.
Rapora göre, 2018 mali yılında satın alınan 9 binden fazla bilgi teknolojisi ürünü, ABD askeri personelini ve tesislerini gözetlemek veya saldırıya uğratmak için kullanılabiliyor. Ve bu tür alımların gözden kaçırılması düzeltilmeden, risk faktörü devam edecek.
Müfettişler ayrıca Pentagon’un Huawei, ZTE ya da Kaspersky Lab gibi şirketlerden diğer federal istihbarat örgütlerinin siber güvenlik riski teşkil etmekle suçlaması ve Kongre’nin bu şirketlerden satın almayı yasaklamasına rağmen, ürün almak gibi bir alışkanlığı olduğunu belirtti.
Daha da ötesi, rapora göre Pentagon’un onaylanmış ticari ürün listesinde, halihazırda Çin’in en büyük bilgisayar üreticisi olan ve ABD’li yetkililere göre ürünleri siber casusluk yazılım ve donanımları içeren Lenova Group’a ait bilgisayarlar da bulunuyor.
Raporda şu ifadeler de yer aldı: “Savunma Bakanlığı, COTS bilgi teknolojisi ürünleri ile ilgili bilinen güvenlik açıklarını tespit etmeden, değerlendirmeden ve azaltmadan satın almaya ve kullanmaya devam ederse, ulusal güvenlik için kritik olan misyonlar tehlikeye girebilir”
Sözkonusu rapora ilişkin olark entagon henüz bir açıklama yapmadı.
Rollcall.com’da konuya ilişkin yapılan haberde raporun Pentagon’un siber güvenlik konusunda sahip olduğu problemli geçmişin küçük bir bölümü olduğu belirtildi. Habere göre Pentagon’un hayati öneme sahip askeri bilgilerin kaybolmasına ve sayısız ABD askeri bilgisayar sisteminin saldırılara açık hale gelmesine yol açan hackleme vakalarını içeren siber güvenlik sorunları bulunuyor.
Yeni rapor ise örneğin, personelin 2018 mali yılında şüpheli ürünlere en az 33 milyon dolar harcadığını gösteriyor. Rapor, personelin Çin istihbarat örgütleri ile sıkı bağları bulunan Lexmark’tan 8 binden fazla yazıcı temin ettiğini ortaya koyuyor.
Ordu ve Hava Kuvvetleri personeli ayrıca ağ kimlik bilgilerine veya video akışlarına erişebilecek ve hatta “kullanıcının bilgisi olmadan fotoğraf çekebilecek” 117 GoPro kamera satın aldı. Çok sayıda devlet kuruluşu 2006’dan bu yana Çin’li Lenovo tarafından üretilen bilgisayarların siber casusluk riski teşkil ettiğini bildirmiş olsa da, 2018 yılında Hava Kuvvetleri personeli 1.378, ordu ise 195 Lenovo ürünü satın aldı. Rapora göre sonuç olarak Savunma Bakanlığı rakiplerin bilinen siber güvenlik risklerinden yararlanma riskini artırdı.”
Raporu hazırlayan müfettişlere göre bu durumda Kongre’nin hükümetin askeri personele verdiği kredi kartı kullanımını kolaylaştırmasının da payı olduğunu düşünüyor.
Google çalışanlarının, ABD ordusu ile şirketin yaptığı anlaşmayı protesto etmesinin bir benzeri Microsoft-ABD Ordusu cephesinde yaşanıyor.
Seattle merkezli şirket, 480 milyon dolarlık anlaşma çerçevesinde şirketin savaş alanında kullanılması için artırılmış gerçeklik başlıkları tedarik etmesini kapsıyor.
Hükümetin proje tanımına göre anlaşma kapsamında kullanıcıların görüş alanına holografik görüntüler yansıtan bu başlıklar, tespit etme, karar verme ve düşmandan önce harekete geçme özelliklerini benimseyerek ölümcüllüğü artırmaya uyarlanacak. Microsoft bu projeyi içeren anlaşmaya Kasım ayında imza attı.
Bunun karşısında Microsoft çalışanları şirket içi mesaj panosunda yayınladıkları ve e-posta üzerinden diğer çalışanlara ulaştırdıkları bir mektup yayınladı. Mektupta şu ifadeye yer verildi:
“Biz, Microsoft çalışanlarının küresel koalisyonuyuz ve savaş ve zulüm için teknoloji üretmeyi reddediyoruz. Microsoft’un ABD Ordusuna silah teknolojisi sağlamak için çalışması ve oluşturduğumuz araçları kullanarak bir ülkenin hükümetine ‘ölümcüllüğü artırma’ konusunda yardımcı olması konusunda endişeliyiz. Bizler bu işe silah geliştirmek için başlamadık ve çalışmalarımızın kullanılma şekline dair bir söz hakkı talep ediyoruz.”
Microsoft CEO’su Satya Nadella’ya ve şirketin yasal işerinden sorumlu Brad Smith’e hitaben yazılan mektup, şirketin daha önce HoloLens’in eğitimlerde kullanılması dahil olmak üzere orduya teknoloji lisansı verdiğini belirtiyor. Buna rağmen Microsoft’un daha önce hiç çizgiyi aşarak silah geliştirmeye yönelmediği de ekleniyor.
2018 yılı, veri sızıntılarının gündemi meşgul ettiği bir yıl oldu. Veri sızıntılarıyla ilgili haberlerin oldukça rutin hale gelmesi nedeniyle vakalar her seferinde çok hızlı şekilde unutulsa da 2018, şirketlerin ciddi veri sızıntılarıyla hasar gördüğü ve masum kullanıcıların kişisel bilgilerinin risk altına girdiği pek çok vaka ile geride kaldı.
8 dolara 1 milyar kişinin bilgisi
Hindistan’daki Tribune gazetesi, siber suçluların ülkenin biyometrik veritabanını WhatsApp üzerinden sattığını raporladığında, yılın daha ilk günleri yaşanıyordu. Habere göre gazetenin muhabirleri yaklaşık 8 dolara, 1 milyardan fazla kişinin ismine, mail adresine, telefon numarasına ve posta koduna erişim sağlayabilmişti. Daha da kötüsü, fazladan beş dolar ödeme karşılığında kendilerine benzersiz bir Hint kimlik kartı teklif edilmişti. Aadhaar Card olarak bilinen bu kart, bedava okul yemekleri ve yakıt giderleri gibi devlet hizmetleri için kullanılabiliyordu.
FedEx bilgileri kime teslim etti?
Şubat’ta global kargo şirketi FedEx, güvenliksiz bir Amazon AWS sunucusu nedeniyle kullanıcı bilgilerini açığa çıkartan pek çok şirketten biri olarak gündeme geldi. Güvenlik araştırmacıları halka açık bırakılmış sunucunun, isimleri, adresleri, telefon numaralarını, pasaport fotoğraflarını, sürücü belgelerini ve faturaları içeren 119 bin doküman içerdiğini tespit etti. Güvenlik zafiyeti bulunan diğer bulut parçaları gibi, hackerlerin hassas verilere erişim kazanması için bir şifre girmesine bile gerek kalmamıştı.
Facebook skandalı gündemi sarstı
Çevrimiçi gizliliği gündeme getiren Mart, teknoloji şirketlerinin kullanıcı verilerini nasıl dikkatsiz bir şekilde açığa çıkardığını tüm halkın ilgisini çeken Cambridge Analytica vakasıyla gösteren bir ay oldu.
Bu vakada Facebook’ta bulunan bir kişilik testini çözen 270 bin kullanıcının ve bu kişilerin toplam 50 milyon arkadaşının kişisel bilgileri çalınmıştı. Normalde Facebook uygulama geliştiricilerinin kullanıcıların verilerini üçüncü partilerle paylaşmadığı düşünülse de test ile toplanan veri, Cambridge Analytica ile paylaşıldı.
Facebook verilere erişildiğini fark edince, verilerin yok edilmesini talep etse de karşı taraf sözünü tutmadı. Teknik olarak düşünüldüğünde bu bir Facebook veri sızıntısı yerine bir veri politikası açığı olarak düşünülebilir ancak sonuçları pek çok veri sızıntısından daha kötü oldu.
Sağlık derken bilgiler gitti
Nisan ise MyFitnessPal uygulaması kullanıcılarının zarar gördüğü bir dönem olarak 2018’de yer aldı. Hackerlerin kullanıcı adları, mail adresleri ve şifreleri çalmasının ardından 150 milyon kullanıcı, kişisel bilgilerinin ele geçirildiğini fark etti. Bu vaka, kırılması zor şifreler seçme ve aynı şifreyi birden fazla web sitesi veya uygulamada kullanmama gibi basit kuralların önemini bir kez daha gösterdi.
GDPR yürürlüğe girdi
25 Mayıs 2018’de Avrupa’nın GDPR yasasını devreye koyması ve bu sayede şirketlerin kullanıcıların özel bilgilerine karşı dikkatsiz olmasının daha çok engellenmeye başlanması ile Mayıs, veri güvenliği için iyi bir ay oldu.
GPDR ile devletler ilk kez, güvenliği zayıf şirketlere ciddi maddi cezalar verme gücü kazandı. Ancak tabii ki GDPR gibi yeni veri koruma kanunlarının hiçbiri veri sızıntılarının sonunu getirmedi.
Facebook’a bağlı “myPersonality Facebook” uygulamasına kayıtlı altı milyon kullanıcının özel, hassas verilerinin GitHub’da dört sene boyunca açık olarak görülecek şekilde yayınlandığı ortaya çıktı. Facebook, profillere dair çok fazla bilgi depoladığı için bu ve başka 200 uygulamanın çalışmasını askıya alsa da, tam bir çözüm geliştiremedi.
Bilet devi bilgileri çaldırdı
Yılın yarısı geride kaldığında, veri sızıntıları ardı arkası kesilmemeye devam ediyordu. Haziran, Ticketmaster vakasıyla çalkalandı. Kötü niyetli bir kodun Ticketmaster sitesine yerleştirildiğini fark eden yetkililer, isim, adres, mail adresi, telefon numarası, giriş ve ödeme detayları gibi kullanıcı bilgilerinin sızdırılmış olabileceğini duyurdu.
Sorunun Ticketmaster’in ödeme sayfasına yerleştirdiği üçüncü parti kodundan kaynaklandığı ortaya çıktı. Dijital bir banka olan Monzo, Ticketmaster ile Nisan ayında iletişime geçerek websitelerinin sızıntıya uğramış olduğuna inandıklarını belirtmiş ancak Ticketmaster problemin gerçekliğini Haziran’a kadar doğrulamamıştı.
10 milyon kişinin bilgileri sızdı
İngiltere’deki popüler mağazalardan Currys PC World, Carphone Warehouse ve Dixons Travel’in yaklaşık 10 milyon kullanıcısı, ödeme bilgileri ve kişisel kayıtların hackerler tarafından çalındığı bir veri sızıntısından etkilendi. Bu şirketler Temmuz ayını kullanıcıların tepkisi nedeniyle alarm halinde geçirdi.
Air Canada: 1,7 milyon kişi şifresini değiştirmek zorunda kaldı
Ağustos’un veri sızıntısı gündeminin merkezine Air Canada oturdu. Bu vakada hackerler, kullanıcı isimleri, telefon numaraları, mail adresleri, Air Canada hesap numaraları, tüm pasaport detayları, cinsiyet, ikamet edilen ülke ve doğum yıllarına erişim kazandı.
Hackerlerin 20.000 hesabı ele geçirdiği duyurusunun ardından Air Canada’nın mobil uygulamasını kullanan 1,7 milyon kişi, şifrelerini değiştirmek zorunda kaldı. Bu bilgilerin sigorta şirketleri, mobil operatörler ve bankalarla paylaşılması ihtimali nedeniyle durum oldukça korku yarattı.
Tekrar Facebook gündemde
Eylül ayında Facebook tekrar gündeme geldi. Facebook, ciddi bir güvenlik zafiyeti nedeniyle hackerlerin hesaplara ve girişiçin Facebook’u kullanan üçüncü parti uygulamalara dair bilgilere erişebilmesine neden olan bir güvenlik zafiyetinin varlığını kabul ederek yaklaşık 50 milyon hesaba ulaşıldığını bildirdi. Başkasının Gözünden Gör (“View As”) güvenlik sızıntısı olarak bilinen bu sorunun kurbanları arasında kurucu Mark Zuckerberg’in ve Facebook operasyon müdürü Sheryl Sandberg’in bile bulunduğu söylendi.
Bu sefer Pentagon
Ekim’de 30.000 askeri çalışan ve sivil personelin kredi kartı ve kişisel bilgileri, Pentagon’a yönelik bir güvenlik sızıntısında açığa çıktı. Veri sızıntısı, Savunma Bakanlığı’na seyahat yönetimi hizmetleri veren, ismi açıklanmayan bir üçüncü parti sağlayıcıdan dolayı gerçekleşti. En gizli olarak kabul edilen bilgilerin durumdan etkilenmemiş olduğu duyurulsa da, bilgileri hackerlerin eline düşen kullanıcıların içi rahatlatılamadı.
Marriott Otel, 500 milyon kişinin bilgisini çaldırdı
Şimdiye kadarki en geniş kapsamlı veri sızıntılarından biriyle Kasım ayında Marriott Hotel yüzleşti. Otelin açıklamasına göre, ziyaretçi rezervasyon veri tabanındaki 500 milyon kişinin bilgileri risk altına girdi.
Bu bilgiler, isim, mail adresi, telefon numarası, pasaport numarası, hesap bilgisi, doğum tarihi, cinsiyet, giriş ve çıkış bilgileri ile rezervasyon tarihiydi. Bazı kullanıcılara göre kart bilgileri ve kartların son kullanma tarihleri de çalınmıştı. 2013’te Yahoo’nun yaşadığından sonra bu veri sızıntısı tarihteki en büyük ikinci sızıntı vakası olarak kaydedildi.
Ve kapanış Google Plus ile…
Sorunun Mart ayında keşfedilmesinin ardından Google, Ekim 2018’de Google+ sosyal ağında gizlilik hakkında ciddi bir eksikliğin olduğunu kabul etti.
Bu durumun karşılığında şirket, Google+’yı Ağustos 2019 sonunda kapatmaya karar verse de 2018’de Google’ın yaşadığı veri gizliliği problemleri bununla bitmedi.
Google Aralık ayında bu sefer de yaklaşık 52 milyon Google+ profil bilgisinin açığa çıkmasıyla sarsıldı. Açıklamaya göre ara yüzdeki bir zafiyet, üçüncü parti uygulamaların ve geliştiricilerin kullanıcıların kişisel bilgilerine izinsiz erişmesine yol açtı.
