Çin Destekli Hackerlar Amerika Birleşik Devletleri’ndeki İnternet Sağlayıcılarının Dinleme Sistemlerini Kırmış
Bu hafta sonu gelen bir haber ile Çin destekli hackerların birkaç Amerikan telekomünikasyon ve internet sağlayıcısının dinleme sistemlerini kırdığı ortaya çıktı; muhtemelen Amerikalılar hakkında istihbarat toplama amacıyla.
Dinleme sistemleri, ABD federal yasaları uyarınca zorunlu tutulan ve bir telekomünikasyon veya internet sağlayıcısının ağında bulunan en hassas sistemler arasında yer almaktadır ve genellikle seçilmiş birkaç çalışanın müşterileriyle ilgili bilgilere neredeyse engelsiz bir erişim sağlar; bu bilgiler arasında internet trafiği ve tarayıcı geçmişleri de bulunur.
Hackerlar Tarafından Kullanılan Geri Kapılar Tehlikeli Mi?
Yıllardır yasal olarak gereken geri kapıların güvenlik riskleri hakkında uyarıda bulunan teknologlar için, bu komploların ortaya çıkması “sana söylemiştim” anıydı ve gelmesini hiç ummasalar da bir gün geleceğini biliyorlardı.
Güvenli sistemler üzerine uzmanlaşmış Georgetown Üniversitesi Hukuk Profesörü Matt Blaze, telekomünikasyon ve internet sağlayıcılarının son korsan saldırıları hakkında TechCrunch’a şunları söyledi: “Bence bu durum kesinlikle kaçınılmazdı.”
The Wall Street Journal, Çin hükümetinin Salt Typhoon adlı birkaç büyük Amerikan internet sağlayıcıya (AT&T, Lumen (daha önce CenturyLink olarak biliniyordu) ve Verizon dahil) saldırdığını ve müşteri verilerinin kolluk kuvvetlerine ve hükümetlere sunmaları için kullandığı sistemlere erişim sağladığını bildiren ilk haber kuruluşuydu. Bu saldırılar, telekomünikasyon ve internet devlerinden “muazzam miktarda internet trafiği” toplama olasılığını doğurdu. CNN ve The Washington Post de bu saldırıları ve ABD hükümetinin soruşturmasının başlangıç aşamasında olduğunu doğruladı.
Gelişmiş Şifreleme Çözümü Olarak Daha Fazla Şifreleme
Salt Typhoon tarafından yapılan Çin kampanyasının tam olarak ne amaçla düzenlendiği henüz tam olarak bilinmemekle birlikte, WSJ’ye göre milli güvenlik kaynakları bu saldırıyı “potansiyel olarak felaket” olarak nitelendirdi. Söz konusu hackerlar, Çin ile Amerika Birleşik Devletleri arasında beklenen bir gelecekteki çatışma, muhtemelen Tayvan üzerine olacak bir durumda yıkıcı siber saldırılar için temel oluşturmak amacıyla hareket eden birkaç Çin destekli hacker biriminin arasında yer alıyor.
Blaze, ABD’nin dinleme sistemlerine yapılan Çin saldırılarının, aslında yasal ve yasal amaçlar için tasarlanmış bir geri kapının kötüye kullanımının en son örneği olduğunu belirtti. Güvenlik topluluğu uzun zamandır geri kapılara karşı çıktı ve “güvenli bir geri kapının” kötüye kullanılamayacağını savunarak teknolojik olarak mümkün olmadığını iddia etti.
Stanford Üniversitesi’nden bir akademisyen ve şifreleme politikası uzmanı olan Riana Pfefferkorn, bir sosyal medya paylaşımında şunları dile getirdi: “Yasaya göre telekomünikasyon şirketiniz çağrılarınızın dinlenmesine izin vermek zorunda (şifrelenmediği sürece), böylece kötü niyetli aktörler için her zaman bir hedef haline gelmiştir. Bu hack, ABD [hükümeti]’nin her mesajınızı okumak ve her aramanızı dinlemek zorunda olmasının sizin için olduğu yalanını açığa çıkarıyor. Bu sistem sizi tehdit ediyor, sizi korumuyor.”
“Tek çözüm daha fazla şifreleme,” diyor Pfefferkorn.
Dinleme Sistemlerine Yol Açan Yasalar
Son dönemde geri kapıların yanlış kullanılmasını sağlayan 30 yıllık yasa, 1994 yılında yürürlüğe giren ve o dönemde cep telefonlarının nadir olduğu ve internetin henüz başlangıç aşamasında olduğu zamanlarda birçok telefon operatörü ve internet sağlayıcısının müşteri bilgilerine erişimi sağlamak için hükümete gereken destek sağlama zorunluluğunu içeren İletişim Yardımcısı Kanunu (CALEA) adını taşıyor.
9/11 saldırılarından sonra 2000’li yıllarda dinleme büyük bir iş haline geldi. Sonraki yıllarda kabul edilen yasalar, Patriot Act gibi, ABD’nin gözetleme ve istihbarat toplama faaliyetlerini genişletti; bunlar arasında Amerikalılar dahil. Bu dönemde CALEA ve diğer gözetim yasaları, telefon ve internet şirketlerine yasa gereği dinleme yapmalarına yardımcı olan üçüncü taraf dinleme şirketlerinin oluşumuna yol açtı.
Bu genişlemiş dinleme yasa ve hükümetin Amerikalılar’ın özel verilerine erişimi ne şekilde gerçekleştirdiği sonraki yıllarda yayınlanan Edward Snowden belgeleriyle anlaşılabilmişti. Snowden, 2013 yılında binlerce Amerikan gizli belgesini sızdırmış ve hükümetin son on yılda yaptığı gözetleme tekniklerini ve uygulamalarını geniş çapta ortaya çıkarmıştı; bu belgeler arasında Amerikalıların özel verilerinin geniş bir şekilde toplandığı da bulunmaktaydı.
Snowden’ın gözetleme skandalının büyük bir kısmı, ABD hükümetinin en iyi yabancı istihbarat hedeflerinden bazıları üzerinde gizli veri topladığına odaklanmış olsa da, bazı durumlarda sistemlerinin ABD istihbarat kurumları tarafından gizlice dinlendiği ortaya çıkan Silicon Vadisi teknoloji devleri bu durumdan büyük ölçüde etkilenmişti. Silicon Vadisi birlikte hareket ederek, yıllar boyunca hükümet tarafından zorunlu kılınan dinleme gizliliğini ve genelindeki muğlaklığı aşındıran değişikliklere yol açtı.
Sonraki yıllarda, teknoloji devleri müşteri verilerine erişemeyecekleri verileri şifreleyerek ürünlerini kilitli hale getirmeye başladılar (bazı test edilmemiş yasal istisnalar hala mevcut olsa da). Teknoloji devleri, Amerikan istihbarat kurumları tarafından ne sıklıkla bir müşterinin verilerini teslim etmeye zorlandıklarını açıklayan “şeffaflık raporları” yayınlamaya başladı.
Telefon ve internet şirketleri ise müşterilerinin telefon ve internet trafiğini şifrelemek için pek bir şey yapmadılar. Bu nedenle, Amerika Birleşik Devletleri’nin büyük bir kısmının internet ve telefon trafiği hala CALEA kapsamında dinlenebilir durumda.
Gerilik Yapılan Saldırılar
Sadece ABD’nin geri kapılara ilgi göstermediği bir durum söz konusu değil. Tüm dünyada hükümetler, şifreleme sistemini zayıflatmayı, yanından dolanmayı veya başka şekillerde tehlikeye atmayı amaçlayan yasaları geçirme çabasını sürdürmektedir. Avrupa Birliği genelinde, üye ülkeler vatandaşlarının özel iletişimlerini şüpheli çocuk istismarı içeren içeriklere karşı incelemeler yapmak için mesajlaşma uygulamaları tarafından zorunlu olarak tarama yapmayı yasal olarak gerektirmeye çalışmaktadır. Güvenlik uzmanları, bu yasaların talep edilen şeyi başarmak için riskli şekilde kötüye kullanılabilecek herhangi bir teknoloji olmadığını belirtmektedir.
Sinyal, uçtan uca şifrelenmiş bir mesajlaşma uygulaması, şifreleme geri kapılarının ele geçirildiği durumları, özellikle de Çin tarafından yapılan son saldırıları birer siber güvenlik tehdidi olarak görmekte olup bu yasa tekliflerinin ciddi bir güvenlik riski oluşturduğunu belirtmektedir.
“Sadece ‘iyi adamlar’ tarafından kullanılabilen bir geri kapı oluşturmanın bir yolu yok,” diyor Sinyal’in başkanı Meredith Whittaker, Mastodon’da yazarak.
Son yıllarda ortaya çıkan geri kapılarla ilgili gelişmiş öneriler hakkında konuşurken Blaze, “CALEA, geri kapılara dair bir başarı öyküsü değil, aksine bir ders olarak görülmelidir,” diyor.