Amerikan Milli Güvenlik Ajansı (NSA) için 2016 Ağustos’u iyi bir zaman olarak hatırlanmayacak. Bir haftasaonu sabahı Amerikalı yetkililer ülkenin siber güvenlik uzmanları tarafından geliştirilen ve espiyonaj operasyonlarında kullanılan siber gereçlerin internete sızdığını öğrenerek uyandı.
2013 yılında Edward Snowden’ın arkasında olduğu düşünülen sızıntılar kadar olmasa da NSA’in ofansif operasyonlarını ifşa eden bu olayda, bundan önce sadece bir kaç insanın bildiği EXTRABACON, POLARSNEEZE. JETPLOW, FEEDTROUGH, BANANAGLEE, EPICBANANA, BUZZDIRECTION ve EGREGIOUSBLUNDER gibi siber casusluk araçları deşifre olmuş; güvenlik camiası bu yazılımların gerçek olup olmadığının peşine düşmüştü. Washington Post’un ulaştığı eski bir NSA çalışanı operasyon gereçlerini doğrulaması tartışmalara yeni bir boyuta taşıdı. NSA’in hack operasyonlarının yürütüldüğü Tailored Access Operations (TAO) bölümünde çalışan ajan, bu gereçlerin internette satışa sunulmasıyla birlikte büyük kurum ve hükümetlerin güvenliğinin ciddi risk altında olduğunu söyledi.
Kendilerine Shadow Brokers adını takan ve sızıntının sorumluluğunu üstlenen grup, bir kısmını yayınladıkları dosyayı açık artırmayla satışa sundu. Grup açık artırmanın 570 milyon dolara ulaşması durumunda ellerindeki ikinci dosyayı da dünyaya duyuracaklarını açıkladı. Fakat grubun siber silah tüccarlarının ilgisini çektiğini söyleyemeyiz çünkü bugüne kadar NSA siber gereçlerine sadece 981 dolar teklif edildi. Açık artırmanın bir dikkat dağıtma aracı olarak kullanıldığını belirten Berkeley’de bilgisayar güvenliği hocası Nicholas Weaver BitCoin ile yapılmasının gruba mensup kişileri deşifre edeceğini söyledi.
300 megabyte bilginin bulunduğu dosyada bir ağı kontrol etmek için kullanılan istismar araçları, veri sızdırmaya ve bilgiyi değiştirmeye yarayan yazılımlar bulunuyor. Cisco ve Fortinet gibi dünya devlerinin ürettiği güvenlik duvarlarını aşmak için kullanılan istismar araçlarının bulunduğu dosyanın 2013 yılına ait olduğunu tahmin ediliyor. Snowden sızıntılarından sonra bu tür dosyaların daha güvenli olduğu düşünülen sunuculara taşındığı biliniyordu. Kaspersky sızdırılan siber gereçlerin gerçek olduğunu açıklarken, Cisco, Fortinet ve GuardWatch gibi firmalar müşterilerine korunma yöntemleri önermeye başladı.
Shadow Brokers, siber araçların NSA’e bağlı Equation Group tarafından geliştirildiğini açıkladı. 2015 yılında ABD’de üretilen bazı bilgisayarların sabit sürücülerine espiyonaj yazılımı yerleştirdiğinin ortaya çıkmasıyla dünya Equation Group ekibini duymuştu. Bu olayı ortaya çıkaranın Kaspersky uzmanları olduğunu da hatırlamakta fayda var. Kaspersky olaydan sonra yayınladığı blog yazısında Equation Group ile sızdırılan gereçler arasında başta kriptoloma yöntemi olmak üzere güçlü benzerliklerin olduğunu açıkladı.
Bilgilerin gerçek olduğuna dair kanaat oluşunca sızıntının kimin tarafından gerçekleştirildiği sorusu gündeme oturdu. Bir kısım uzman devlet destekli hackerlardan şüphelenirken, diğer taraf bir NSA çalışanının bilerek ya da bilmeyerek yaptığı bir ‘hata’ sonucu bu olayın gerçekleştiğini öne sürdü.
Sızıntının arkasında kim var?
Sızıntının nasıl olduğuna dair tartışmalar devam etse de, geçtiğimiz haftalarda Democratic National Convention’ı (DNC) hackleyerek başkan adayı Donald Trump hakkındaki araştırmaları dünyayla paylaşan Rus hackerlar baş şüpheli olma yolunda hızla ilerliyor. Snowden da Rusya’dan şüphelendiğini açık bir şekilde ifade etti.
Stuxnet’in geliştirilmesinde büyük rol oynadığı düşünülen TAO ekibinin yaklaşık 2 bin kişiden oluştuğu düşünülüyor. 1990’larda kurulan ekibin sadece taaruzi siber operasyonlarda kullanılacak siber gereçler ürettiği biliniyor. Eski bir TAO çalışanı medyaya yaptığı açıklamada, çalışanlardan birinin yaptığı bir yanlışlık sonucu bu bilgilerin online ortama sızdığı şüphesini dile getirdi. Bu ifade aslında TAO elemanlarının çalıştıkları dijital ortamın güvenliğinden şüphe duymadıklarının bir göstergesi olarak kabul edilebilir. Ekibin bir çalışanının daha önce de yanlışlıkla bazı gizli dosyaları ‘olmaması gereken yerlere’ yüklediğini kaydeden eski ajan, bu durumu geçmiştekilerden farklı kılan şeyin yapılan hatanın fark edilmemesi olduğunu kaydetti.
Sızıntı hakkında ortaya atışan başka bir tez ise, Snowden vakasında olduğu gibi NSA içinden birinin bu bilgileri dışarıya çıkardığı ile ilgili. Basına ismini vermeden konuşan eski bir NSA yetkilisi Internet’e kesinlikle bağlı olmayan bir sunucuda saklanan bu dosyaları Rusya’da yaşayan birinden daha kolay şekilde ulaşabileceği ihtimali üzerinde durdu.
Uzmanlar siber gereçler için ne dedi?
Equation sızıntısında ortaya çıkan siber silahları inceleyen Illinois Üniversitesi’nden Stephen Checkoway siber silahları teknik açıdan geçer not vermediğini açıkladı. Bir araştırma makalesi için Juniper firewall’larını inceleyen Checkoway sızdırılan dosyadaki ve Juniper’in bu ürününü hedefleyen BANANAGLEE adlı istismar gerecinde birçok gereksiz kod bulunduğunu iddia etti. Profesör saldırıyı gizleme sürecinde bulduğu farklı IP adreslerinden yönlendirme yönetimini etkileyici olduğunu fakat kriptoloma kısmında ciddi hatalar olduğunu ifade etti. LulzSec kurucularından tFlow müstearlı Mustafa el Bassam NSA ile bağlantılı olan ve TAO’nun bir alt grubu olduğu düşünülen Equation Grubunun bazı cihazlardan VPN anahtarlarını çalabileceğini ortaya çıkardı.
Zaafiyetlerin nasıl kullanılacağına ilişkin bazı metotlar hakkında da bilgi veren Shadow Brokers’ın bu hamlesiyle yaramaz çocuklardan organize suç örgütlerine kadar herkesin hacker olmaya adım atabileceği konuşulmaya başlandı.
Shadow Borkers’ın yayınladığı zaafiyetlerden birinin bulunduğu Cisco güvenlik yazılımı gibi gözüken bir honeypot kuran güvenlik araştırmacısı Brendan Dolan-Gavitt, 24 saat içerisinde bu zaafiyeti istismar etmeye çalışan biri çıktığını açıkladı. Bunun şaşırtıcı olmadığını söyleyen Gavitt kısıtlı bir teknik bilgiyle dahi Shodan gibi hizmetlerden yararlanarak istismar edilebilecek sistemlerin tespit edilebileceğini belirtti. “ Bir blog postundan herhangi bir zaafiyetin bir siber gereç kullanılarak nasıl istismar edileceğine dair bilgi edinen herhangi biri bu sistemleri hacklemeye başlayabilir.”
Sızıntı, sorumlu ifşa (responsible disclosure) tartışmalarını da yeniden gündeme getirdi. NSA’in bulduğu sıfırıncı gün açıklıklarını istismar etmek için gizli tutması ABD’nin casusluk faaliyeti adına küresel siber güvenliği tehdit etmesi olarak algılanıyor. ABD, olaydan sonra NSA’in aslında Cisco’nun (ya da başka bir şirketin) ürettiği bir güvenlik duvarında bulunan açığı 2013 yılından bu yana bildiğini ve bunu Cisco’dan sakladığına dair güçlü bir şüpheyi tartışıyor.
Milyonlarca dolar bütçeli istismar kabiliyetleri şimdi kamuoyunun elinde ve klasik deyimle ‘eğlenceli şeyler arayan ergenler bile bunları kullanabilir.’
https://www.youtube.com/watch?v=xMXO-ynIJJ4 aklıma bu geldi.