Siber saldırı ile tüm dünyayı sarstılar

Yayınladıkları yeni NSA programları içerisinde Microsoft, IBM, Oracle gibi yazılım devlerinin sistemlerindeki güvenlik açıklarını hedef alan araçlar da vardı ve tüm dünyadaki hackerlar tarafından kullanılabilir hale geldi. Bu saldırılar kapsamında Türkiye’de faaliyet gösteren iki katılım bankasının da tespit edildiği ifade ediliyor.

Konu üzerinde çalışmalar yapan siber güvenlik uzmanı Burak Çifter ve siber güvenlik hukuku uzmanı Av. Şafak Herdem’den konunun detaylarını şöyle aktardı:

Öncelikle bu ShadowBrokers denilen hacker grubu kim? Daha önce benzer faaliyetleri var mı? Bahsedebilir misiniz?

Av. Şafak Herdem: ShadowBrokers grubunu geçtiğimiz yaz aylarında duyduk ve öncesinde bu grup hakkında elimizde hiçbir bilgi yok. Belli ki hedef aldıkları kurum olan NSA’in takip ve izleme becerilerine oldukça hakimler ve bu yüzden tamamen farklı bir isimle bu faaliyeti yürüten fakat çok tecrübeli ve yüksek kabiliyetlere sahip bir hacker grubu.

Geçtiğimiz yaz Temmuz ayında iki parça halinde NSA araçlarını yayınladılar. İlk parçasını ispat amaçlı olarak serbestçe paylaşıp, ikinci parçasını ise yüksek bir şifreleme metodu ile şifrelenmiş olarak internete yüklediler ve bunu çözümlemek için gereken şifreyi bir açık arttırmayla satacaklarını duyurdular. Bu açık arttırmayı da takip edilmemesi için BitCoin denilen elektronik bir para birimi üzerinden gerçekleştirdiler. Fakat rağbet olmadığı için Nisan ayı içerisinde bu ikinci parti araçları ve bunlarla birlikte yine NSA’e ait olduğunu söyledikleri hacking araçlarını serbestçe yayınladılar.

Siber Güvenlik Uzmanı Burak Çifter: Araçlar aslında NSA adına faaliyet gösteren “Equation” adında bir siber operasyon ekibine ait. Doğrudan NSA’e ait olduğundan elbette emin olamayız ama incelediğimiz kadarıyla çok gelişmiş ve uzun süreli planlı siber faaliyetler için yazılmış programlar. Birçok araç, yazıldığı tarih itibariyle yamalanmamış olduğu için, kullananın bir çok sisteme doğrudan ve yüksek yetkilerle erişilmesini sağlıyor. Aynı zamanda araçları kullanmak için ayrı bir platform da oluşturulmuş ve sızılan sistemlerde gizli bir şekilde yerleşik kalmak için de özel araçlar yayınlanan pakette mevcut. Bu kadar yüksek kabiliyeti işaret eden başka bir kurum da pek olmadığı için masadaki seçenekler arasındaki en kuvvetlisi NSA. Snowden da Twitter’dan ShadowBrokers  tarafından yayınlanan araçların NSA araçları olduğunu teyit eden bir mesaj paylaştı.

NSA’in toplu izleme ve dinleme faaliyetleri Wikileaks ve Snowden tarafından fazlaca ifşaa edilmişti. Bu sızıntılar bize öncekiler dışında ne anlatıyor?

B.Ç. :NSA’in bildiğimiz kadarıyla TAO (Tailored Access Operations – Özel Erişim Operasyonları) adında işi sadece özel olarak hedef seçilmiş sistemleri hack ederek bu sistemlere erişmek olan bir birimi var. Yani toplu izleme ve gözetleme faaliyetleri dışında, istihbarat topluluğundaki bir birimden gelen “Şu kurumun şu bilgilerine ihtiyacımız var” taleplerini karşılamak amacıyla özel olarak sistemlere sızan bir birim. Daha önceki sızıntılar toplu olarak izleme ve pasif olarak ağ trafiklerini alıp dinleme kapasitelerini somut olarak göstermişti. Elbette bu kabiliyete sahip olan bir kurumun çok daha fazlasına sahip olduğu ve aktif sızma girişimlerinde bulunduğunu da tahmin ediyorduk. İran’a yönelik yapılan StuxNet saldırısı da bunun bir örneğiydi. Burada karşılaştığımız artık çok somut olarak bir siber ordunun silah envanteri diyebiliriz. 

Peki NSA’in kullandığı bu araçlar nasıl ele geçirilmiş olabilir? Yeni bir “Snowden” vakası mı var?

B. Ç. :Sızma olması ihtimalinden daha çok, NSA tarafından kullanılan sistemlerden birisinin operasyondan sonra temizlenmediğini ve ShadowBrokers grubunun da bu sisteme bir şekilde erişim sağladığı yönünde kuvvetli bir görüş var. Kesin bir ifadede bulunmak mümkün olamaz, her zaman yeni bir sızıntı ihtimal dahilinde elbette. Ama bu araçların hedef aldığı sistemler nasıl ki korumasız kalabiliyorsa, bu araçların bulunduğu sistemler de henüz bilinmeyen daha farklı güvenlik açıklarından etkileniyor olabilirler.

Bu araçların serbest şekilde internete sunulması güvenliğimizi ne kadar tehlikeye atıyor

B.Ç. : En azından zafiyetlerin yamalanmış olması, bilgisayarlarını güncel tutan kullanıcılar ve kurumların bu saldırı araçlarını kullanan diğer saldırganlara karşı güvende olmasını sağladı. Fakat bu güvenlik açıklarının yıllardır biliniyor ve kullanılıyor olduğunu hem de istihbarat kurumları tarafından bunlar için özel araçlar geliştirilmiş olduğunu görünce, bunun gibi yayınlanmamış ne kadar açık olduğunu düşünmemiz gerekiyor. Haliyle sadece bu yayınlanan araçların oluşturduğu risk olarak ölçeklememek gerekli. Bu elimizdekilere bakarak bir projeksiyon yaparsak, herhangi bir sistemin tamamen güvenli olduğundan bahsedemeyeceğimizin bir kez daha görmüş oluyoruz.

NSA’in bu şekilde sistemlere erişim sağlaması ve bu amaçla saldırı araçları geliştirmesi legal mi?

Ş. H. : Aslında bu tür eylemler dünya genelinde istihbarat ve casusluk eylemlerinin hukuka uygunluğu kapsamında,çok ince bir ayrımda değerlendirilmekte. Bu ayrım ise, fiilin hukuka uygunluğu, bilişim sistemlerine bu türden bir müdahalenin hukuka uygunluğundan bahsetmek mümkün değil fakat konu ulusal güvenlik önceliği olarak ifade edildiğinde meşruiyet kavramının değerlendirilmesi gerekiyor. Saldırıların gerçekleşme şekli ve taşere edilmiş grupların kullanılması birlikte değerlendirildiğinde bu eylemin meşru savunma kapsamında olmadığını söyleyebiliriz. 

NSA’in geliştirdiği bu araçlar siber silah anlamına mı geliyor? Eğer öyleyse bunların kullanımıyla ilgili bir kısıt var mı?

Ş. H.  : Siber silah terminolojisi henüz uluslar arası hukuk literatüründe tam olarak tanımlanmış değil bu sebeple bu tür araçları silah olarak tanımlayabiliriz demek şu aşamada pek mümkün değil. Önemli olan biraz önce de ifade ettiğim gibi eylemin meşruluğu, bu eylem sade bir devlet veya bir özel kuruma değil hiç şüphesiz ki nihai olarak bireyin mahremiyetine doğrudan bir müdahale.