Stuxnet siber sabotaj operasyonu, dünyanın her yerindeki güvenlik araştırmacıları için hala gözde bir tartışma konusu olarak yerini koruyor. İlk siber silah olarak kabul edilen Stuxnet, kurnaz ve iyi dizayn edilmiş bir mekanizma kullanarak İran nükleer programını hedef almıştı. Gazeteci Kim Zetterin kaleme aldığı “Countdown to Zero Day” kitabı bu Kasım ayında raflardaki yerini aldı. Kitapta daha önce Stuxnet hakkında açıklanmamış yeni bilgiler bulunuyor. Açıklanan bilgilerin bir kısmı, Kim Zetter tarafından, Kaspersky Lab’ın Küresel Araştırma ve Analiz Ekibi üyeleriyle gerçekleştirilmiş mülakatlardan oluşuyor.
Fakat kitabın ortaya çıkardıklarının dışında Stuxnet saldırısıyla ilgili olarak bu zamana kadar kesin olarak cevaplanamamış bir soru daha bulunuyor. Virüs İran nükleer tesislerine nasıl sızdı? Aşağıdaki yazı ve sunduğu argümanlar güçlü bir cevap veriyor bu soruya: “Stuxnet nükleer tesislere mal ve hizmet sağlayan üçüncü şirketler aracılığıyla bulaştırıldı.” İki gün boyunca yayınlayacağımız yazılarda Stuxnet’in ayrıntılı bir analizini sunan Stuxnet: Zero victims yazısının Türkçe versiyonunu okuma fırsatı bulacaksınız.
İşte Stuxnet saldırısının metodları, hedef aldığı şirketler ve 5 saldırı dalgasının ayrıntıları:
Dört yıl önce keşfedilen Stuxnet hakkında bir çok detaylı araştırma bulunmasına rağmen, bu saldırının asıl hedefinin tam olarak ne olduğu halen kesinliğe kavuşmadı. Büyük ihtimalle Stuxnet’in amacı, uranyum zenginleştirme santrifüjlerinin motorlarının çalışmasına olumsuz şekilde etkilemekti. Fakat bu santrifüjler tam olarak nerede, Natanz, Fordow veya başka bir yerde mi konuşlanmıştı?
Stuxnet’in bilinen ilk verisiyonu olan Stuxnet 0.5, bu yazının kapsamı dışında. Biz daha çok 2009 ve 2010’daki daha iyi bilinen versiyonlar üzerine odaklanacağız.
Şubat 2011’de, Symantec W32.Stuxnet raporunun yeni versiyonunu yayınladı. 3000’den fazla solucan dosyasını analiz eden Symantac,Stuxnet’in beş kurum üzerinden yayıldığını ve bunların bazılarının 2009 ve 2010’da iki kere saldırıya uğradığını açıkladı.
Symantec raporunda verilen saldırı dalgaları
Symantec uzmanları, bu bilgiyi, solucanın ilginç bir özelliğini kullanarak çıkarmayı başardı. Yeni bir bilgisayara bulaşırken, Stuxnet, bulaştığı sistemin adını, Windows domain’ini ve IP adresini kaydediyordu. Bu bilgiler, solucanın dahili log’unda kaydediliyordu ve bir sonraki hedefe bulaştığında da katlanarak çoğalıyordu. Bunun bir sonucu olarak, Stuxnet’in içinde, hangi bilgisayarlardan yayıldığı bilgisi bulunabiliyordu.
Symantec raporunda bu kurumların adını vermezken, bu bilgiler, solucanın ilk nasıl yayıldığı konusunda yeterli malumat sunuyordu.
Stuxnet dosyalarını iki yıl boyunca topladık. bu dosyalardan 2000 tanesini inceledikten sonra, solucanın çeşitli versiyonlarının 2009 ve 2010 yılında ilk olarak hangi kurumları hedef aldığını ortaya koymayı başardık. Bu kurumların aktivitelerinin bir analizi, neden ilk kurban oldukları sorusunu da açıklıyordu.
Domain A
Stuxnet 2009 versiyonu (biz Stuxnet.a olarak adlandıracağız) ilk olarak 22 Temmuz 2009’da üretildi. Bu bilgi solucanının içinde bulunuyordu. Bundan birkaç saat sonra, solucan ilk bilgisayara bulaştı. Bu kadar hızlı bir bulaşma olması, USB ile bulaşma ihtimalini ortadan kaldırıyordu, çünkü böyle bir solucanın, saldırı gerçekleştirilen bir bilgisayara bu kadar kısa sürede bir USB sürücü ile bulaşmış olması mümkün değil.
Bulaşan ilk bilgisayarın adı KASPERSKY idi ve ISIE domain’inin bir parçasıydı.
Bu ismi ilk defa gördüğümüzde çok şaşırmıştık. Bu isim, ilk bulaşan bilgisayarın, içinde kurulu olan antivirüs programıyla aynı adı taşıdığı anlamına gelebilirdi. Fakat, yerel domain’in adı yani ISIE, kurumun gerçek adı konusunda bize daha fazla bilgi sunmaktaydı.
Kurbanın İran’da bulunduğunu varsayarak, ISIE’nin, İran Endüstri Mühendisleri Topluluğu olabileceğini veya bu kurumla bağlantılı olan İran Endüstri Mühendisliği Enstitiüsü (IIEE) olabileceğini düşündük. Fakat ISIE, İran’dan başka bir yerde bulunan bir ISIE de olabilir miydi? Virüsün bulaştığı bilgiayarda, antivirüs programının kullanıldığı bilgisi gözönünde bulundurulduğunda, ISIE’nin bir Rus şirketi bile olabileceğini düşündük.
Bu kurumun ne olabileceğini saptamak uzun zamanımızı aldı fakat sonunda yüksek bir kesinlik oranı ile, bu kurumun gerçekten neresi olduğu bilgisine ulaşabildik.
Bu kurum, Foolad Technic Engineering Co (FIECO) idi. Merkezi İsfahan’da bulunan İranlı bu şirket, 300’den fazla çalışanı ülkedeki endüstriyel tesisler için çoğunlukla çelik ve enerji üreten otomatik sistemler mal ediyor. Şirket, endüstriyel kontrol sistemleri üretimiyle doğrudan ilgileniyor.
Açıkça, şirketin ağlarında, İran’ın en büyük endüstriyel girişimlerinin çoğunun verileri, çizimleri ve planları bulunuyor. Akılda tutulması gereken nokta şu ki, santrifüj motorlarını etkilemeye ek olarak, Stuxnet espiyonaj faaliyetleri de içeriyordu ve bulaştığı sistemlerdeki STEP 7 projelerinin bilgilerini de topluyordu.
2010 yılında bu kurum tekrar saldırıya uğradı. Bu sefer Stuxnet’in 14 Nisan 2010’da üretilen üçüncü versiyonu kullanılarak saldırı düzenlenmişti. 26 Nisan’da, Kaspersky.Isie adlı aynı bilgisayar yeniden saldırıya uğradı.
Stuxnet’in aynı şirkete saldırı düzenlemekteki bu ısrarı gösteriyor ki, Stuxnet’i yazanlar, Foolad Technic Engineering Co. şirketini, hem solucanın nihai hedefine en kısa yol, hem de İran endüstrisi hakkında bilgi toplanabilecek ilginç bir hedef olarak görmekteydi.
Domain B
2009’da bir kez, 2010 yılında ise iki defa başka bir kurum daha defalarca saldırıya uğradı. Bu hedefe bulaşmak için Stuxnet’in üç versiyonu da kullanılmıştı. Bu olayda, siber saldırganlar, Foolad Technical Engineering Co. saldırısından daha da ısrarcı davranmışlardı.
Bu noktada dikkat edilmesi gereken önemli nokta, bu hedefin, 2010 global salgının ilk bulaşan kurbanı olması. Bu kurumun Mart 2010’daki ikinci saldırıya uğraması, Stuxnet’in ilk olarak İran’da, sonra da küresel çapta yayılmasına neden oldu. İlginç olan şu ki, aynı kurum Haziran 2009’da ve Mayıs 2010’da tekrar saldırıya uğradığında, solucan tekrar yayılmadı.
Yayılma alanı en geniş Stuxnet versiyonu olan Stuxnet 2010 (diğer adıyla Stuxnet.b) solucanının ilk bulaşması, üretiminden üç hafta sonra yani 23 Mart’ta gerçekleşmiş. Bilgisayarın adı ve domain adresine ek olarak, Stuxnet makinanın IP adresini de kaydetmişti. Adresin 29 Mart’ta değişmiş olması, dolaylı olarak da olsa, bunun, şirketin ağına ara sıra bağlanan bir laptop olduğunu gösteriyor olabilir.
Fakat bu hangi şirketti? Domain adı olan “behpajooh”, bize hemen bir cevap veriyordu: Behpajooh Co Elec & Comp. Engineering. Foolad Technic gibi bu da merkezi İsfahan’da bulunan ve endüstriyel otomasyon sistemleri geliştiren bir şirketti. Açıkça görünen oydu ki burada SCADA/PLC uzmanları bulunuyordu.
Behpajooh Co hakkında bilgi toplarken, ilginç bir bilgiye daha ulaştık. Khaleej Times adındaki Dubai (BAE) gazetesindeki 2006 tarihli bir makaleye göre, bir Dubai firması, İran’a bomba malzemeleri kaçakçılığı yapmakla suçlanıyordu. Bu malzemelerin İran’daki alıcısı ise İsfahan’daki Bejpajooh Inc adlı şirketti.
O zaman neden Stuxnet aktif olarak Mart 2010 Behpajooh’daki bulaşma ile yayılmıştı? Bu sorunun cevabının, Behpajooh’dan başlayan salgın silsilesinin ikinci halkasında olduğuna inanıyoruz.
Yukarıdaki ekran görüntüsünün gösterdiği üzere, 24 Nisan 2010’da, Stuxnet Behpajooh şirket ağlarından, MSCCO domain isimli başka bir ağa bulaştı. Bütün ihtimalleri değerlendirerek yaptığımız bir araştırma, en muhtemel saldırı kurbanının Mobarekeh Steel Company (MSC) olduğunu gösteriyor. MSC, İran’ın en büyük çelik üreticisi ve İran’da faaliyet gösteren en büyük endüstriyel tesislerden biri. MSC İsfahan’da yakın bir yerde bulunurken, saldırının ilk kurbanları olan Behpajooh ve Foolad Technic de, İsfahan’da bulunuyor.
Bu endüstriyel tesis, İran’da onlarca diğer sanayi koluyla bağlantılı bulunuyor ve üretim süreçlerinde devasa sayıda bilgisayar barındırıyor. Stuxnet’in bu endüstriyel tesise bulaşması, zincirleme bir reaksiyonu da beraberinde getirdi ve iki veya üç ay içinde binlerce bilgisayara yayılmasını sağladı. Örneğin, Haziran 2010’da saldırının bir kolu, Rusya ve Belarus şirketlerine kadar ulaşmıştı.
18. asrın son çeyreğinde başlayan ve 19. Asrın ilk yarısına kadar büyük biçimde üretim ilişkilerini değiştiren Sanayi Devrimi’nin askeri ürünleri I. Dünya Savaşı’nda kendini göstermiştir. Dikenli tel, seri atış yapabilen makinalı tüfekler, beton ve çeliğin II. Dünya Savaşı’ndaki kadar olmasa da kullanımı saldırganın üstün konumuna son vermiştir.
Daha somut bir biçimde belirtmek gerekirse, I. Dünya Savaşı’nda Alman İmparatorluğu, Bismarck’ın iki cepheli savaş korkusunu yaşamamak için Schlieffen Planı çerçevesinde Belçika üzerinden Fransa’ya saldırmıştır. Bilindiği üzere zırhlı birliklerin olmadığı bir dünyanın Blitzkrieg’i olarak hazırlanan Schlieffen Planı 1913’te ölen eski Alman Genelkurmay Başkanı Alfred von Schlieffen tarafından hazırlanmıştır. Plana göre büyük bir kara imparatorluğu olan, Rusya, seferberliğini tamamlamadan Fransa savaş dışı bırakılacak ve Alman İmparatorluğu iki cepheli savaş tehdidi altında kalmadan yüzünü rahatça doğuya dönebilecekti. Yapılan plan kâğıt üzerinde kusursuz görünse de 24 saatte ele geçirilmesi planlanan Liege’in ancak 12 günde düşürülmesi makinalı tüfeklerin, mayınların, hendeklerin ve dikenleri tellerin dünyasında eski planların işlevsiz olduğunu savaşın ilk günlerinde göstermiştir. Bu ilk örneğin ardından savaş boyunca Çanakkale Cephesi’nden, Batı Avrupa’daki Somme ve Verdun Cephelerine kadar birçok noktada savunmacının teknolojiyle birleşen imkânları sayesinde muharebe bazen aylarca bazen de yıllarca kilitlenmiştir. En net ifadesi ile saldırganın imkânları ve insan gücü hendekler, dikenli teller ve hendeklerin arkasındaki askerlerin kullandığı makinalı tüfekler karşısında erimiştir.
Savunmacının bu üstünlüğü ilk defa 6 Ağustos 1945’te Hiroşima’da kullanılan atom bombasıyla teknik olarak sona ermiştir. SSCB’nin 1949’da atom bombası üretmesi ve nükleer misilleme tehdidi atom bombasının saldırı amacıyla üstünlüğünü ortadan kaldırırken, caydırıcılığın sağlanmasındaki önemini daha da arttırmıştır. Bu açıdan bakıldığında bir devletin başka bir devlet üzerinde nükleer silah kullanma ihtimali her geçen gün azalırken, nükleer silah sahibi olan devletlerin saldırıya uğrama ihtimalide buna paralel olarak azalmıştır. Teknik açıdan saldırı amaçlı olan nükleer silahlar, stratejik açıdan savunma için değerini Soğuk Savaş boyunca kanıtlamıştır. Günümüzde dahi nükleer silah sahibi Kuzey Kore’nin tüm revizyonist politikalarına karşı ambargodan daha fazlasıyla karşı karşıya kalmamasının en büyük sebeplerinden biri, hiç şüphesiz sahip olduğu nükleer güçtür.
1990’lı yıllar boyunca hızla kullanım alanı artan ve önem kazanan siber uzayda ise saldırgan güç yaklaşık yüz yıl önce kaybettiği bu üstünlüğü geri kazanmıştır. Özellikle internetin güvenlik kaygısı taşımayan mimarisi, anonimlik, isnat ve tespitte yaşanan güçlük, saldırı ve savunma arasındaki maliyet farkları, saldırganın vereceği zarar karşısında ödeyeceği bedelin göreli azlığı, siber uzayı saldırgan güç için çok avantajlı bir alan haline getirmiştir. Günümüzde devletlerin kritik altyapılarını ağlar üzerinden yönettiği düşünüldüğünde bu altyapılara düzenlenecek siber saldırılar çok ağır sonuçlara yol açabilmektedir. Örneğin İran nükleer tesislerine yapılan STUXNET saldırısıyla, yüzlerce santrifüj devre dışı bırakılmış ve İran nükleer programının 2 yıl geriye döndüğü iddia edilmiştir. Estonya’ya yapılan siber saldırıyla yaklaşık bir ay boyunca bu ülkede hayat büyük ölçüde sekteye uğratılmıştır. Her iki saldırı sonrasında saldırıya uğrayan devletler diğer devletleri suçlayan açıklamalarda bulundularsa da suçlamalar kanıtlamamış ve suçlanan devletler için herhangi bir yaptırım söz konusu olmamıştır.
Buraya kadar belirttiklerimizden de anlaşıldığı üzere siber uzayın kullanımı sayesinde yaklaşık bir asır sonra savunmacıdan, saldırgan güce yeniden geçen üstünlük, nükleer ve konvansiyonel güç üzerinden ayrımı yapılan büyük-küçük devlet farkının her geçen gün azalmasına neden olmaktadır. Bu fark nedeniyle Soğuk Savaş sonrasında kutupların önemini yitirdiği ve nihayetinde kutupsuzlaşmaya giden dünyada siber uzay üzerinden gerçekleşen saldırılar hiç şüphesiz artacaktır.
* Araştırma Görevlisi, Uludağ Üniversitesi, Uluslararası İlişkiler Bölümü, Siyasi Tarih ABD
ABD’nin Tel Aviv Büyükelçisi Dan Shapiro bilişim sektörünün birçok alanında İsrail ve ABD arasındaki işbirliğin geçtiğimiz yıllara oranla geri gittiğini belirterek, en etkili ortaklıkların siber güvenlik alanında gerçekleştiğini ifade etti.
İsrail Reut Enstitüsünde katıldığı bir konferansta konuşan Amerikalı diplomat, iki ülke arasındaki ilişkinin hükümetler arasında olmaknın ötesine geçerek özel sektörün etkili bir rol oynadığı bir ilişki biçiminde olduğunu söyledi. “Bilim ve Teknolojide devlet sadece teşvik edici bir role sahiptir. Asıl işi ypan özel sektördeki bireylerdir.” Diyen Shapiro, internet teknolojileri ile devletlerin ticari üstünlüklerini kısa zaman içerisinde kaybedebilecekleri uyarısını yaptı.
“Siber dünyanın bütünlüğüne yönelik tehditler ekonomimize yönelik tehditlerdir.” diyen Shapiro, siber güvenlik alanında ABD ve İsrail arasındaki işbirliğin geliştirilmesi için atılan son adımları takdirle karşıladığını da sözlerine ekledi.
Tel Aviv ve Washington yönetimleri siber güvenlik alanında ciddi bir işbirliği içerisindeler. Amerikan meşeli şirketlerin İsrail’de güvenlik laboratuvarları açmaları için maddi kolaylıklar sağllanırken, bu işbirliği ordular arasında da gelişmeye devam ediyor. İran’ın nükleer programını yavaşlatmayı amaçlayan Stxunet adlı virüsün İsrail ve ABD tarafından gerçekleştirildiği iddia ediliyor.
Stuxnet ortaya çıktığından beri, siber güvenliğin bütün boyutlarıyla ilgilenen herkesi bir heyecan sardı. Siber güvenlik bugüne kadar sadece marjinal gibi görünen bazıuzmanlar tarafından tartışılırken, Stuxnet kadar büyük ölçekli ve profesyonel bir siber saldırının devletler düzeyinde gerçekleştirilmesi, meseleyle uzaktan yakından ilgilenen herkesi bu konuya daha da gömülmeye itti. Stuxnet, siber savaşın ve siber silahların, bir dönem tartışılan uzay savaşlarıgibi sadece kağıt üzerinde kalmayacağınıgösterdi. Ayrıca meselenin içinde devlet dahli olma ihtimali de, bu konuda bir uluslararasıdüzenleme gerekliliğini bir kez daha gözler önüne serdi.
Kısaca hatırlamak gerekirse, Stuxnet, Haziran 2010’da farkedilen ve İran’ın Natanz nükleer geliştirme tesisine saldırmak için geliştirilmişolan bir siber silahın adıdır. Bu saldırı, resmi olarak hiçbir devlet tarafından üstlenmemişolsa da, saldırıçok büyük ihtimalle bir ABD-İsrail ortak yapımıdır. Zira her iki ülkeden de bu konuda herhangi bir yalanlama gelmemiştir. Ayrıca David Sanger de 2011 yılında yazdığımakalesinde ve daha sonra çıkan Confront and Conceal kitabında, Stuxnet’in Obama’nın emriyle NSA’in Maryland’deki merkezinde geliştirildiğini ve İsrail’de kurulan bir model nükleer tesiste denendiğini iddia etmektedir. Sanger’in iddialarıoldukça inandırıcıolsa da, bu konuda herhangi bir resmi açıklama yapılmamışolması, iddialarıempirik açıdan sorgulanabilir kılmaktadır.
Bir siber saldırı, hedef sistemdeki sistem açıklarınıkullanarak içeri sızar. Stuxnet’te ise, “zero-day”yani sıfırıncıgün açıklarıadıverilen, sistem açığıpiyasalarında değeri kimi zaman yüz binlerce dolarıbulabilen sistem açıklarından bolca kullanılmıştır. Diğer bir deyişle Stuxnet’in tasarlanması, milyon dolarlık bir bütçeye mal olmuştur. Bu da, Stuxnet’in amatör birey veya gruplarca değil de ancak bir ulus devlet bütçesi ve teknik birikimi ile tasarlanmışolduğu konusunda ikna edici bir veri sunmaktadır. Bu konuda, Stuxnet’in geliştirilmesinde ana rolüolduğu iddia edilen devlet olan ABD’nin suskunluğunun çeşitli sebepleri bulunmaktadır. Öncelikle böyle bir saldırıyıüstlenmek, beraberinde başka bir devletin egemenlik haklarınıihlal anlamına gelmektedir. Sözkonusu hedef ülke, İran gibi uluslararasıhukukla sıkıntılıbir devlet bile olsa, sonuçdeğişmeyecek ve ABD bu saldırıdan dolayıhaksız konumda gibi görünecektir. İkincisi (ve siber güvenlik çalışan siyaset bilimciler açısından çok daha heyecan verici olan ise) uluslararasıilişkilerin en temel kavramlarından biri olan caydırıcılık açısından ABD suskunluğunun belli bir anlama geliyor olmasıdır. Caydırıcılık, siber caydırıcılık ve ABD suskunluğu konusuna yine bu yazıda değinilecektir.
Stuxnet, Natanz’daki uranyum zenginleştirme tesisine saldırırken, bunu, akıllara durgunluk verecek derecede ustalık ve kurnazlık içeren süreçlerle yapmıştır. Öncelikle belirtmek gerekir ki, bu nükleer tesis, diğer tüm SCADA sistemleri gibi global internet ağından güvenlik gerekçeleriyle koparılmışşekilde işlemektedir. Yani bu sisteme bir virüs bulaştırabilmek için USB sürücüveya harici hard disk gibi bir aparatın sisteme bir şekilde dahil edilmesi gerekmektedir. Stuxnet’in de bunu, bu nükleer tesise hizmet veren üçüncüşahıslar, yani taşeron firmalar ile gerçekleştirdiği düşünülmektedir.
Stuxnet, aktif olduğu süre boyunca, nükleer tesiste içinde uranyum zenginleştirilen santrifüjlerin dönüşhızlarınıetkileyerek kullanım ömürlerini azaltmak suretiyle zenginleştirme sürecine zarar vermeyi hedeflemiştir. Bunu yapmaya başlamadan önce, SCADA ekranlarında, daha önceden almışolduğu 21 saniyelik ekran görüntüsünüdefalarca döndürerek kontrol mühendislerini yanıltmayıbaşarmıştır. Arka planda, santrifüjlerin dönüşhızlarınıartırıp azaltarak ömürlerini azaltmıştır. Kırılan veya parçalanan santrifüjlerin yerine yenilerinin takılmasıgerekmektedir. Bu şekilde, nükleer zenginleştirme süreci tamamen sekteye uğramasa da, İran uranyum zenginleştirme planlarında en azından 2 yıllık bir üretim aksamasıolduğu düşünülmektedir. Stuxnet’in neden bu şekilde bir eylem planıizlediği konusunda çeşitli tahminler bulunmaktadır. Stuxnet, bir anda tüm sistemi parçalayacak, tüm santrifüjleri kıracak şekilde değil de, uzun vadede gizli şekilde bu parçaların kullanım ömürlerini azaltacak şekilde dizayn edilmiştir. İran ise ömrübiten santrifüjleri, yenileriyle değiştmesine imkan verecek sayıda santrifüjüüretip yedekte beklettiğinden, nükleer geliştirmede ciddi bir zarar görülmemiştir. Yine de Stuxnet, tüm bunlara rağmen, kamuya açıklanan ilk siber silah olarak tarihe geçmiştir.
Bugüne kadar konuyla ilgili sessizliğini koruyan İran’ın geçtiğimiz günlerde Stuxnet’i uluslararasımahkemeye taşıyacağıyönünde bir haber basına yansıdı. Bu yazıda da Stuxnet gibi bir siber saldırının UluslararasıAdalet Divanı’na taşınmasısürecinde neler yaşanabileceği konusunda bir değerlendirme yapılmışve tüm bu hukukîsürecin siber güvenlik açısından önemi tartışılmıştır.
Stuxnet, teoride, uluslararasıhukukun en temel metinlerinden biri olan BirleşmişMilletler Sözleşmesi’ni de (The Charter of the United Nations) ihlal etmiştir. Bu sözleşmede, 1.2.4’te açıkça şu şekilde belirtilmektedir: “Tüm üyeler, uluslararası ilişkilerinde gerek herhangi bir başka devletin toprak bütünlüğüne ya da siyasal bağımsızlığına karşı, gerek BirleşmişMilletler’in Amaçları ile bağdaşmayacak herhangi bir biçimde kuvvet kullanma tehdidine ya da kuvvet kullanılmasına başvurmaktan kaçınırlar.”Stuxnet’te de açıkça bir başka devletin egemenlik haklarınıihlal sözkonusudur.
Bilindiği üzere, bir devletin başka bir devletin egemenlik haklarına ve bütünlüğüne saygıduymasıuluslararasıhukukun en temel kaidelerinden birini oluşturmaktadır. Başka bir devletin topraklarınıolduğu kadar, sanayi ve teknik altyapısına saygıduymak, o devletin egemenliğini ilgilendiren bir konudur ve ihlali durumunda uluslararasıhukukun ve uluslararasıtoplumun yaptırımlarıyla karşıkarşıya kalınmaktadır. Normal şartlar altında, her devlet, gayrihukuki olarak verdiği tüm zararlarıkarşılamak zorundadır. Bu konuda uluslararasıhukuk normlarıgayet nettir. Teamül olarak bu şekilde tüm devletlerce kabul edilen bu norm, artık uluslararasıhukuk davalarının kararlarıneticeleriyle de, hukuk mevzuatına girmiştir. 1928’de Milletler Cemiyeti’nin mahkemesi olan Daimi UluslararasıAdalet Divanı(Permanent Court of International Justice) tarafından görülen ve Chorzow FabrikasıDavasıolarak da bilinen Germany v. Poland PCIJ davasında mahkemenin tazminat verilmesi konusunda verdiği karar, bu konuda gelecek tüm davalar için uluslararasıhukuğun temellerinden birini oluşturmuştur. Mahkemeye göre: “Herhangi bir taahhüdün ihlalinin beraberinde tazminat ödeme yükümlülüğügetirmesi, hem uluslararasıhukukun hem de genel olarak hukuk anlayışının temel ilkelerinden biridir.”
İlk bakışta Stuxnet’in de aynışekilde, Natanz nükleer tesisine verdiği zarardan dolayıABD’nin tazminat ödemesi gerektiği düşünülebilir. Zira ortada açık bir egemenlik ihlali ve bir devletin sanayisine verilmişciddi bir ekonomik ve teknik zarar bulunmaktadır. Yalnız bu noktada, siber güvenlikle ilgili çok ciddi bir duvara çarpılmaktadır. Siber güvenliğin temel problemlerinden biri de, hayata geçirilmişbir siber saldırının gerçekten kim tarafından gerçekleştirildiğinin tespitinin kimi zaman imkansız olmasıdır. “Attribution”yani isnat problemi olarak anılan bu sorun, bir siber saldırısırasında kullanılan IP’lerin bambaşka proxy’ler kullanılarak gerçekleştirilmesinden veya saldırıyıgerçekleştiren grubun arkasında ulus devlet desteği olmasının tespit edilmesinin çok zor olmasından kaynaklanmaktadır. Stuxnet konusunda da şimdiye kadar resmîbir açıklama yapılmamıştır ve tahminler hukukîolarak spekülasyon mesabesindedir. Sözkonusu bu isnat problemi, yani saldırının kime atfedileceğinin tam olarak kestirilememesi, Stuxnet için olduğu kadar diğer tüm siber saldırıların da hukukîolarak problem teşkil etmesinin nedenlerinden biridir. Öyle ki, örneğin Rusya’dan kaynaklandığıdüşünülen bir saldırı, bambaşka bir ülkedeki amatör bir grup tarafından gerçekleştirilmişolabilmektedir ve bu zincirin tam takip edilerek nihaîolarak kimin saldırıdan sorumlu tutulacağı, çözümüzor bir engeldir.
Bahsedilen bu isnat sorunu, uluslararasıhukuk açısından da ilginçbir durum ortaya çıkarmaktadır. Zira UluslararasıHukuk Komisyonu’nun (ILC) 2001 yılında kabul ettiği “Devletlerin UluslararasıHukuka Aykırıİşlemlerinin Sorumluluğu Hakkında Hükümler”(ARSIWA [Articles on Responsibility of States for Internationally Wrongful Acts]) taslağı, devletlerin hangi eylemlerinin hangi durumlarda uluslararasıhukuka aykırıolarak nitelendirilebileceğini açıklığa kavuşturmaya çalışmıştır. Devletlerin kimi eylemleri “uluslararasıhukuka aykırı”(internationally wrongful) olarak nitelenerek yargılanabilir. Fakat yine ARSIWA’nın 2. maddesine göre, sözkonusu eylemin açıkça “sözkonusu devlete isnat edilebilmesi”gerekmektedir. Yani diğer bir deyişle, hukuksuz eylem işlediği iddia edilen devletin bu eylemi gerçekten işlediğine dair açıkça ikna edici deliller bulunmalıdır. Fakat Stuxnet bağlamında, bu şekilde bir isnadiyet problemi bulunmaktadır. Geleneksel silahlarda bir silahıdizayn eden ve saldırıda kullanan devlet kolaylıkla bulunabilirken, Stuxnet gibi bir siber silahta durum bu kadar kolay değildir. Bu türden siber saldırılar, kodlar yoluyla yapıldığından, salt kod incelenerek saldırıarkasında herhangi bir ülke dahli bulunmasımümkün olmayacaktır. Dolayısıyla mahkemenin davayıdelil yetersizliğinden dolayıincelemeye almamasısözkonusu olacaktır. Bu durumda da siber güvenlikteki isnadiyet problemi açıkça hukuku altetmişolacak ve siber saldırılar için yeni bir hukuki yaklaşım ihdas edilmesi gerekecektir.
Aslında, bu şekilde Stuxnet’i ABD’nin işlediğine dair bir yeterli kanıt elde edilemese bile, bir devletin bir saldırıyıüstlendiğini “beyan etmesi”de saldırının devlete isnat edilebilmesi için yeterli olacaktır. Aynıtaslak hukuk belgesinin, yani ARSIWA’nın 11. maddesinde anlatılan “ikrar yoluyla isnat”(attribution by ackowledgement) devreye sokulabilir. Zira ARSIWA’nın 11. maddesi şöyledir: “Daha önceki maddeler altında bir devlete isnat edilemeyen eylemler, yine de, devletin bu eylemin kendi eylemi olduğunu beyan etmesi ve üzerine almasıdurumunda, uluslarararasıhukuka göre bu devletin eylemi olarak sayılacaktır.”Diğer bir deyişle, beyan, isnadiyet için bir temel oluşturmaktadır. Beyanın isnadiyet açısından yeterli kabul edilmesi, uluslararasıhukukta ARSIWA taslağıoluşturulmadan önce de önemli bir normdur. Örneğin 1956’da görülen ve Deniz Feneri Tahkimi olarak bilinen France v. Greece davasında, Girit’in Yunanistan devletinin topraklarına katıldığıbeyanı, Girit’in yaptığıeylemin Yunanistan devletine isnat edilmesi için yeterli bir dayanak olarak görülmüştür. Görüldüğüüzere açık beyanlara ek olarak bu şekilde bir dolaylıbeyan dahi isnadiyet içinde değerlendirilebilmektedir.
Fakat Stuxnet bağlamında, ABD’li devlet yetkililerinin beyanatlarıgerçekten güçlübir dayanak teşkil edecek kadar sağlam değildir. Sanger’ın kitabındaki iddialarının ya da basında çıkan diğer iddiaların mahkemece delil olarak kabul edilebilmesi oldukça zordur. Bu beyan eksikliği, isnadiyet için yeterli görünmemektedir.
Tüm bunlara rağmen, mahkeme davayıgörmeyi kabul edebilir. Bu durumda, ABD’nin mahkemede kendini savunup savunmayacağıkonusu çok önemlidir. Eğer savunmayıseçerse ve Stuxnet’i resmîolarak kendisinin yaptığınıkabul ederse, bu durumda ABD tazminat ödeme ve prestij kaybıgibi riskleri göze almak durumunda kalacaktır. Eğer kendini savunmayıseçmezse de, bu durumda siber caydırıcılık açısından son derece önemli bir fırsatıkaçırmışolacaktır. Zira siber caydırıcılık, geleneksel caydırıcılıktan farklıdır. Normal şartlarda herhangi bir silahıüreten ve elinde bulunduran bir devlet, salt bu durumdan bile, diğer devletleri kendisine karşıgüçkullanmaktan vazgeçirir ve caydırıcılıktan yararlanmışolur. Ancak siber silahlar kodlardan oluştuğundan, karşıdevlete gözdağıvermekte kullanılmalarıneredeyse imkansızdır ve devletlerin ikincil güçgösterilerine ihtiyacıvardır. Stuxnet gibi, bir mühendislik harikasısiber silahın ABD tarafından uluslararasıarenada sahiplenilmemesi, son derece stratejik bir siber caydırıcılık hamlesinin elden kaçırılmasıanlamına gelecektir. Yalnız bu noktada şöyle bir eleştiri haksız sayılmaz: Stuxnet ortaya çıktığından beri, bu siber silahın kendisine atfedilmesi neticesinde ABD zaten siber caydırıcılıktan fazlasıyla yararlanmıştır. Sadece resmi bir açıklama ile üstlenmemişolması, caydırıcılıktan feragat etmesi anlamına gelmez. Böyle bir bakışaçısıda şimdilik son derece haklıgörünmektedir. Gerçekten de ABD’nin resmîolarak suskun kalması, kendisine siber güvenlik konusunda geldiği aşama hakkında son derece önemli bir prestij kazandırmıştır.
Yine de, uluslararasıhukuk açısından olayıincelemeye devam edilmesi gerekirse, ABD’nin kendisini savunurken kullanmayıseçeceği argüman, bu saldırıyıkendini ve bölgedeki müttefiki İsrail’i koruma adına gerçekleştirdiği olabilecektir. İran’ın uranyum zenginleştirmesinin, muhtemel bir nükleer silah amacıyla kullanılmasınıönceden önleme girişimi olarak kendini savunmaya gidebilir. Bu durum, uluslararasıhukuka aykırıişlemler hakkında yukarıda bahsedilen taslakta ele alınmıştır. Bir devlet, kendisine ya da temel çıkarlarından birine bir zarar geleceği iddiasıyla zorunlu olduğu hallerde uluslararasıhukuka aykırıbir eylem işlediğini iddia ederek kendini savunma yoluna gidebilir. Yukarıda bahsedilen ARSIWA’nın 25. maddesi, “zaruret”hallerini hükme bağlamıştır. Bu maddeye göre, “zaruret”(necessity) iddiasıiçin “devletin, kendi temel çıkarlarına büyük ve mutlak bir tehlikenin önlenmesi için bu hukuka aykırıeylemi işlediğini”açıkça gösterebilmesi gerekmektedir. Bu zaruret konusu, hukuka aykırıkimi eylemlerin işlenebilmesinin önünüaçmaktadır. ABD’nin de olasıStuxnet davasında kendini savunmasıdurumunda, bu maddeyi dayanak olarak kullanmak istemesi muhtemeldir. ABD, İran’ın Natanz’da geliştirdiği uranyumun, kendinin ve bölgedeki müttefiki İsrail’in güvenliğini tehlikeye atabileceğini, bunun da 25. maddede belirtilen “büyük ve mutlak bir tehlike”(“a grave and imminent peril”) teşkil ettiğini iddia edebilir. Fakat buradaki sorun, Natanz’da geliştirilen uranyumun herhangi bir nükleer silahta kullanıldığına dair bir kanıt yoktur. Ayrıca İran, UluslararasıAtom Enerjisi Ajansı’nın aktif bir üyesidir ve dolayısıyla bu ajansın güvenlik tedbirleri gereğince, Natanz’da geliştirilen uranyumun askeri silah geliştirmede kullanılmayacağınıtaahhüt etmiştir. Bu durumda ABD’nin olasıbir Stuxnet davasında kendini savunurken, işlediği iddia edilen eylemi güvenliğini korumak için “zaruret”altında yaptığışeklinde bir iddia da mesnetsiz bulunarak mahkeme nezdinde haksız bulunabilir.
Olası Stuxnet davasının siber güvenlik ve uluslararasıhukuk açısından başka bir önemi daha bulunmaktadır. 2009 ve 2012 yıllarıarasında, NATO’nun girişimiyle uluslararasıhukuk uzmanlarına yazdırılan ve savaşhukuku ile uluslararasıinsani hukukun siber savaşa uygulanabilirliğini irdeleyen Tallinn Kitapçığı’nın mevcut uluslararasımahkemelerce dikkate alınıp alınmayacağı, muhtemel bir Stuxnet davasında görülebilecektir. Tallinn Kitapçığı, henüz sadece uzman görüşlerini içeren bir kitap hükmündedir. Herhangi bir ülke ya da ülkeler tarafından resmîolarak kabul edilmişveya tartışılmışdeğildir. Yine de, bu türden uzman görüşleri uluslararasıhukuk için önemlidir. UluslararasıAdalet DivanıTüzüğü’nün (Statute of the International Court of Justice) 38(1) maddesinde sayılan uluslararasıhukuğun kaynaklarıarasında, anlaşmalar ve teamüller ile birlikte uzman hukukçuların görüşleri de bulunmaktadır. Bu maddeye göre “çeşitli milletlerin en üstün hukukçularının hukukîkararlarıve öğretileri de 59. maddeye tabi olmak üzere”uluslararasıdavalarda mahkemenin karar vermesine yardımcıolmak için dayanak teşkil edebilir. Tallinn Kitapçığıda bu açıdan uluslararasıhukuk açısından değerli bir metindir. Bu kitapçığın sayısız hükmü, siber saldırıların tıpkıgeleneksel saldırılar gibi egemenlik ihlali teşkil ettiğini ve tazminat gerektirdiğini karara bağlamıştır. Bununla birlikte kitapçık, siber saldırılarıda detaylıolarak ele almış, başa gelmesi muhtemel senaryolarıhesaba katarak, bu durumlarda hangi hukuk mevzuatının işletilebileceğini açıklamıştır. Yalnız Stuxnet davasında veya herhangi bir davada, Tallinn Kitapçığı’nın hükümlerinin kullanılıp kullanılmayacağınıveya uzman görüşüolarak nitelendirilip nitelendirilmeyeceğini zaman gösterecektir.
Stuxnet dava süreciyle ilgili bir çok belirsizlik bulunmaktadır. İran gerçekten bu siber saldırıyımahkemeye taşıyacak mı; mahkeme bu davayıkabul edecek mi; eğer dava görülecek olursa, ABD kendini savunma yoluna gidecek mi; eğer savunmayıseçerse hangi argümanlar ile hareket edecek; dava sonunda mahkeme nasıl bir karar verecek, Tallinn Kitapçığı’ndaki hükümleri dikkate alacak mı, bunların hepsi cevaplarıbelli olmayan sorular. Sonuçnasıl olursa olsun, dava süreci hangi yönde şekillenirse şekillensin, kesin olan bir şey vardır. O da Stuxnet’in uluslararasıbir mahkemece değerlendirilmesinin siber güvenlik ve siber alanın düzenlenmesi konusunda uluslararasıdüzeyde ciddi adımlar atılmasının önünüaçacağıgerçeğidir. Siber güvenliği ulusal düzeyde farkedilmişolmasına rağmen, uluslararasıarenada hala hukukîdüzenlemelere ve normlara ihtiyaçduyulmaktadır. UluslararasıAdalet Divanıveya ilişkili tahkim komisyonlarından birinde Stuxnet’in dava edilmesi, bu konuda, bir çok açıdan son derece önemli ve heyecan vericidir.
Bu yazı ilk olarak Bilim ve Gelecek dergisi, 125. sayıda yayınlanmıştır.
2011 yılında TEDTalks’a konuşan Alman siber güvenlik araştırmacısı Ralph Langner, Stuxnet virüsü hakkında bilgiler veriyor. Stuxnet’in işleyişini kısaca açıkladıktan sonra, bunun bir kitle imha silahına dönüşme ihtimalinden bahsediyor.
Stuxnet, Haziran 2010’da farkedilen ve İran’ın Natanz nükleer geliştirme tesisine saldırmak için geliştirilmiş olan bir siber silahın adı. Bu saldırı, resmi olarak hiç bir devlet tarafından üstlenmemiş olsa da, çok büyük ihtimalle bir ABD-İsrail ortak yapımı. Stuxnet’te “zero-day” yani sıfırıncı gün açıkları adı verilen, sistem açığı piyasalarında değeri kimi zaman yüz binlerce doları bulabilen sistem açıklarından bolca kullanıldı. Stuxnet, aktif olduğu süre boyunca, nükleer tesiste içinde uranyum zenginleştirilen santrifüjlerin dönüş hızlarını etkileyerek kullanım ömürlerini azaltmak suretiyle zenginleştirme sürecine zarar vermeyi hedeflemekteydi. Bunu yapmaya başlamadan önce, SCADA ekranlarında, daha önceden almış olduğu 21 saniyelik ekran görüntüsünü defalarca döndürerek kontrol mühendislerini yanıltmayı başarmıştı.
Bu saldırının teknik detaylarını incelemeye başlayan Langner ve ekibi, ilk olarak kodlara bakarak saldırının hedefini çözüyor. Saldırı hedefinin İran’daki Natanz nükleer tesisi olduğunu farkeden ekip, sonrasında tesise ne tür teknik zararlar verilmeye çalışıldığını inceliyor.
Langer, eğer Stuxnet çok yayılırsa, önü alınamayacak bir siber kitle imha silahıyla karşı karşıya kalabileceğimizi belirtiyor. Konuşmasında saldırının arkasında kim olduğunu açıklamayan Langner, program sunucusunun sorusu üzerine şu şekilde konuşmasını bitiriyor:
“Stuxnet’in arkasında sadece Mossad olduğunu zannetmiyorum. Saldırının arkasında siber süper güç bir ülke var ve dünyada sadece tek bir siber güç ülke bulunuyor. Bu da ABD.
