Etiket arşivi: Wassenaar düzenlemesi

Uluslararası İlişkiler

İsrailli siber güvenlik firması Cellebrite neden Türkiye’ye boykot kararı aldı?

Yorum yapın

İsrailli siber güvenlik firması Cellebrite neden Türkiye'ye boykot kararı aldı?Son zamanlarda bazı ülkelerin Türkiye’ye yönelik ambargolarına firmaların ürün ve hizmet satışı kısıtlamaları da eklendi. İsrail merkezli siber güvenlik firması Cellebrite daha önce birçok kez çalıştığı Türkiye’ye boykot kararı aldı.

Teknolojinin yaygınlaşmasıyla çevrimiçi olarak, elektronik cihazlarla suç işlenme oranı giderek artıyor. Özellikle mobil cihazların incelenmesi bilişim suçlarının çözüme kavuşturulmasında son derece önemli bir rol oynuyor. Bu iş için adli bilişim firmaları tarafından geliştirilen pek çok yazılım olsa da teknoloji üreticileri de cihazların güvenliği için yeni önlemler almaya devam ediyor.

Amerikan Federal Araştırma Bürosu (FBI) 2015’te de ABD’nin San Bernardino kentinde 14 kişinin öldürüldüğü terör saldırısında saldırganlardan birinin şifreli telefonundaki bilgilere erişmek için Apple’ın kapısını çalmış ve “hayır” cevabı aldıktan sonra İsrailli Cellebrite firmasına başvurmuştu. 

FBI mobil cihazlarının imajlarının kopyalarının alınmasını sağlayan firmaya 1 milyon dolardan fazla ödemişti. Geçtiğimiz yıl FBI, Amerikan deniz üssünde silahlı saldırı düzenleyen kişiye ait iki telefonda bulunan verileri istemek için bir kez daha Apple’a başvurdu. Fakat Apple, iş birliği yapmayı yine reddetti. Mahkemeye taşınan olay, bilişim suçları ile teknoloji dünyası arasındaki veri gizliliği savaşını yeniden alevlendirdi.

HEM KURUMLARI HEM DE ÖZEL ŞİRKETLERİ OLUMSUZ ETKİLEYEBİLİR  

Bu ve benzeri vakalar şifreli telefonlardaki verilerin elde edilmesi için üretilen adli bilişim yazılımlarının önemini ortaya koyuyor. Öte yandan telefon modelleri çok hızlı güncellendiği ve her çıkan model ile şifrelerinin kırılmasının yeniden başlayan bir süreç olduğunu hesaba katıldığında, bu alanda yazılım geliştirme konusunda büyük bir rekabetin olduğunu da söylemek mümkün.

 Tüm dünyada olduğu gibi ülkemizde de bilişim suçlarında kritik rol oynayan bu yazılımları geliştiren iki dünyaca ünlü firmanın son dönemde Türkiye’ye yazılım satışını durdurmaları gündeme geldi. Bu firmalardan biri Türkiye’de Emniyet, Jandarma ve Adli Tıp Kurumu’nun incelemeler için yaygın olarak kullandığı İsrailli Cellebrite. İsrailli firma Wassenaar Düzenlemesini gerekçe göstererek Türkiye’yi ihraç listesinden çıkardı ve Türkiye’ye yazılım satmama kararı aldı.

Siber kısıtlamaların sebep olduğu sorunlar hem kurumları hem de özel şirketleri olumsuz etkileyebilir. Kurumların işlerlikleri zarar görebileceği gibi, bu kurumlardan hizmet alan başka kurumların ya da kişilerin huzur ve refahının yanı sıra, maddi zararlar görmesine de sebep olabilir. Bu durumun farkında olan ülkeler kendi siber ordularını kurma çabasındalar. 

WhatsApp’ı hackleyerek telefonlara sızan NSO zor durumda: Satın alanlar hapse atıldı

 

WASSENAAR DÜZENLEMESİ NEDİR?

Wassenaar Düzenlemesi (WD) konvansiyonel silahların ve çift kullanımlı malzeme ve teknolojinin ihracatını kontrol etmeyi hedefliyor. Türkiye, düzenlemeye 1996 yılında kurucu üye olmuştu.Türkiye konvansiyonel silahlar ve çift kullanımlı malzeme ve teknolojinin bütün ihracat kontrol rejimlerine taraf bir ülke. 

Dünya genelinde 42 üyenin konvansiyonel silahların ve çift kullanımlı mal ve teknolojilerin transferleri hakkında bilgi alışverişinde bulunduğu gönüllü bir ihracat kontrol rejimi olan  Wassenaar, bu tür değişimler aracılığıyla, silah ve çift kullanımlı mal ihracatında üyeleri arasında “daha fazla sorumluluk” geliştirmeyi ve “istikrarsızlaştırıcı birikimleri” önlemeyi amaçlıyor. 

Wassenaar Düzenlemesine üye ülkeler ayrıca diğer üyelerin önerilen ihracatları üzerinde veto yetkisine sahip değiller. Wassenaar, şeffaflığı teşvik etmek için devletleri, anlaşmanın iki kontrol listesinde yer alan silahlar ve maddelerle ilgili ihracat faaliyetleri hakkında bir dizi gönüllü bilgi alışverişi ve bildirimde bulunmaya çağırıyor.

Makale & Analiz

HackingTeam skandalı Wassenaar düzenlemesini etkiler mi?

Yorum yapın

Dünyadaki güvenlik ve istihbarat birimlerine casus yazılımlar satan Milano merkezli Hacking Team’in uğradığı siber saldırı, şirketin çok sayıda hükümetle olan ticari ilişkilerini ortaya çıkardı. Temmuz ayının başlarında gerçekleşen olay sonucu, firmanın hedef bilgisayarlara sızmak için kullandığı yazılım kodlarının yanı sıra müşterilerle yapılan yazışma ve faturalar da gün yüzüne çıktı. Müşterilerin arasında Libya ve Sudan gibi insan hakları noktasında son derece geri kalmış baskıcı rejimlerin bulunması aslında bir kaç senedir süren tepkilerin haklılığını ortaya çıkarmış oldu. Diğer dikkat çeken husus ise saldırıdan bir kaç ay önce ABD’nin, Wassenaar Düzenlemesi’nin kapsamını genişleterek bu tarz casus yazılımların ihracatının kontrol altına alınması hakkında Viyana’da her yıl toplanan Wassenaar’ın karar alma mekanizmasına verdiği teklifti.

2006 senesinde kurulan Hacking Team’in, onlarca ülkede bulunan müşterilerine “uzaktan kontrol sağlayan takip sistemleri” (Remote Control System) üretip sattığı bilinen bir gerçek. Bu yazılımlar sayesinde, kontrol altına alınan bilgisayar ve akıllı telefonlardan harddisk bilgileri, e-mailler, kullanıcı şifreleri ve Skype görüşmeleri gibi kişisel veriler ele geçirilebiliyor. Bununla birlikte cihazın kamerası ve mikrofonu kullanılarak hedef şahıslara ait ses ve görüntüler kaydedilebiliyor.

Terör başta olmak üzere, ülkelerin ulusal güvenliklerine tehdit oluşturan unsurların takip edilmesi ve suçun engellenmesi adına gereksinim duyulan bu sistemlerin baskıcı rejimlerin elinde ciddi insan hakkı ihlallerine sebebiyet vereceği endişesi zamanla gündeme gelmeye başladı. 2014 yılında Citizen Lab’ın yayınladığı raporda, satılan casus yazılımların baskıcı hükümetlerce politik amaçlarla muhalefet liderlerine ve yayın organlarına karşı kullanıldığı iddia edildi. Gerçekten de yapılan bazı bilişim analizleri sonucunda Sudan, Etiyopya, Birleşik Arap Emirliği ve Fas hükümetlerinin Hacking Team’den temin ettikleri yazılımlarla muhalif gazeteci ve insan hakları aktivistlerini hedef aldıkları tespit edildi. Ancak firma ısrarla bu iddiaları reddetti ve AB, BM ve NATO gibi kuruluşlarca baskıcı olarak nitelendirilen kara liste ülkelerle ticari ilişkilerden sakındıklarını vurguladı. Tartışmaların akabinde, Temmuz ayında ifşa olan 415 GB büyüklüğündeki arşiv firmaya karşı dile getirilen iddiaların gerçekliğini gözler önüne sermiş oldu.

İLGİLİ HABER >> HACKING TEAM EMNİYETE CASUS YAZILIM SATMIŞ

Hacking Team benzeri özel şirketlerin ürettiği bu yazılımların ülkelerin istihbarat ve güvenlik birimlerine satışını engelleyen uluslararası bir hukuk normunun olmayışı özellikle insan hakları örgütlerince çokça dile getirilen bir husus olmuştur. Gerçekten de yaklaşık 5 milyar dolarlık yıllık ticaret hacmine sahip olan takip sistemleri pazarı her yıl %20 oranında büyümekte ve bu durum özel hayatın gizliliği ve kişisel verilerin korunması noktasında tedirginliklere yol açmaktadır. Bu doğrultuda atılan en ciddi adım ise Wassenaar Düzenlemesi’nde 2013 yılında yapılan değişik olmuştur.

Wassenaar Düzenlemesi, asıl adıyla “Konvansiyonel Silahlar ve Çift Kullanımlı Mallar ve Teknolojiler İhracatlarının Kontrolüne Dair Wassenaar Düzenlemesi”, soğuk savaş döneminde kurulan Çok Taraflı Silah İhracat Koordinasyon Komitesi (COCOM)’nin devamı niteliğinde ortaya çıkan bir silah kontrol mekanizmasıdır. Türkiye, Rusya ve ABD de dahil olmak üzere 41 ülkenin taraf olduğu bu Düzenleme kapsamında devamlı olarak güncellenen bir teknolojik ürün ve silah listesi yayınlanmaktadır. Taraf ülkeler listedeki ürünlerin ihracatının kısıtlanması veya kontrol altına alınmasına yönelik olarak iç hukuklarında çıkardıkları yönetmelik ve tebliğlerle etkinlik sağlamaktadır. Bu Düzenleme uluslararası sözleşme (treaty) niteliğini haiz olmadığı için taraf devletler açısından uluslararası bir bağlayıcılığı bulunmasa da iç hukuk mekanizmaları bu ürünlerin ihracatını kontrol altına almaktadır. Örneğin ülkemizde bu ürünlerin ihracatı için lisans alınması gerekmektedir. İhracatçı firmaların başvurusu üzerine, İstanbul Maden ve Metaller İhracatçı Birliği Genel Sekreterliği’nce bir değerlendirme yapılmakta ve nihai karar Dış Ticaret Müsteşarlığı’nca verilmektedir. Teknolojik inceleme açısından uzmanlık gerektiren bu lisanslama sürecinin ülkemizde ehil kurumlarca yapılmaması, kontrol mekanizmasının etkin bir şekilde işletilememesine sebebiyet vermektedir.

İLGİLİ YAZI >> KURAN’I CASUSLUĞA ALET EDEN ŞİRKET

Asıl meselemize dönecek olursak, 2013 yılında Wassenaar Düzenlemesi’ne siber güvenlikle ilgili bazı yazılımların (“intrusion software” ve “IP network surveillance systems”) ihracatının lisansa bağlanması noktasında bir ekleme yapıldı. Ancak asıl dikkat çeken teklif,  Mayıs ayında ABD’den geldi.  Teklife göre, 2013’teki liste, çok daha kapsamlı olacak şekilde genişletilecek ve yazılımlar konusunda çok ciddi bir ihracat kontrolü söz konusu olacak. Aslında 2013’teki değişiklik her ne kadar “saldırı yazılımları” tanımını geniş tutsa da getirilen istisnalar kontrol mekanizmasının kısıtlı bir seviyede kalmasını sağlıyor.Son verilen teklif ise, bu istisnaları kaldırmakla beraber güvenlik araştırmaları ve penetrasyon testlerinde kullanılan araç ve yazılımların ihracatına lisans zorunluluğu getiriyor.Bu durumda, siber saldırılara karşı sistem açıklarınıtespit etmeye yarayan teknolojiler için lisans zorunlu hale gelecek  ve hatta bulunan açıkların paylaşılması yasaklanmış olacak.

HAFTALIK HABER BÜLTENİNE ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”3″]

 

Teklif, başta Google olmak üzere birçok yazılım üreticisinden ciddi eleştiriler aldı. Kuralların çok geniş kapsamlı olmakla beraber muğlâk ifadeler içermesinin söz konusu yazılım teknolojilerine ait bilgilerin küresel düzeyde paylaşılmasını kısıtlayacağı ifade edildi. Google Chrome Güvenlik Ekibi’nden Tim Willis yaptığı açıklamada, teklifin kabulünün güvenlik açıklarını bulmak adına yapılan Ar-Ge çalışmalarında caydırıcılığa sebep olacağı ve araştırmaları sekteye uğratacağını vurguladı. Yazılım güvenliği uzmanı Jonathan A. Zdziarski ise, bu kadar kapsamlı bir kısıtlamanın ürünlerin hukuksuz olarak kullanılmasını engellemekten çok güvenlik amaçlı yapılan araştırmaları yavaşlatacağını ve internet güvenliğinde çok ciddi açıklara sebebiyet vereceğini belirtti. Yoğun tepkiler üzerine Temmuz ayı sonunda açıklama yapan ABD Ticaret Bakanlığı sözcüsü, yapılan yorumları göz önünde bulundurarak teklifi tekrar gözden geçireceklerini ifade etti.

Özetle, Hacking Team’in uğradığı saldırı uzaktan kontrol sağlayan takip sistemlerinin ne kadar yaygın olarak kullanıldığını gözler önüne serdi. Özellikle, 3. Dünya ülkesi olarak sınıflandırabileceğimiz ülkelerin bu ürünleri hukuki çerçeve dışında bir saldırı mekanizması olarak kullanabileceği görülmüş oldu. Bu doğrultuda, 2013’te Wassenaar Düzenlemesi’ndeki değişiklik ile ortaya konulan siber güvenlik ürünlerine ihracat kontrolü bu konudaki ilk ciddi adım olmuştu. Ancak geçtiğimiz aylarda Hacking Team gibi şirketlerin ürettiği casus yazılımların da ihracatını kısıtlayacak yeni kuralların getirilmesi internet güvenliği uzmanlarınca ciddi tepkilere sebep oldu ve teklif konusunda geri adım atıldı.

Suçla mücadele açısından zaruri görülen takip sistemlerinin insan hakkı ihlallerine sebebiyet verecek saldırı araçlarına dönüşebildiği görülmekle beraber, bu yazılımların ihracatında gidilecek bir kısıtlamanın da durumu kontrol altına almaktan çok güvenlik konusundaki Ar-Ge çalışmalarını yavaşlatabileceği tartışmaları daha uzun yıllar devam edeceğe benziyor.