Savunmasız Bir Küresel Bilgi Şebekesi
‘Bilgisayar sistemlerinin büyük çoğunluğunun ne kadar kolay ve ne kadar hızlı bir şekilde hacklenebileceğini gördük. Mat Hona’nın yaşadığı deneyim, dijital hayatlarımızın birkaç saniye içerisinde nasıl yok olabileceğini kanıtladı. T. J. Maxx ve Citibank, binlerce kilometre ötedeki suçluların, gözlerine kestirmeleri halinde neler yapabileceğini yaşayarak öğrenmek zorunda kaldı. Tüm bu bariz tehlikelere bakınca, insan fişe takılan ve bataryayla çalışan her şeyi küresel bilgi şebekesine eklemeden önce biraz ihtiyatlı bir yaklaşım sergiler diye düşünüyor. Ancak hepimiz, teknolojik her şeye duyduğumuz aşk ile arkamıza bile bakmadan tam gaz yola devam ediyoruz.
Bunun sonucunda ise bilgisayar sistemlerine günbegün daha da fazla bağlanmaya başlıyoruz. Nitekim bu bağlantılar da tamamen emniyetsiz ve açıklarla dolu. Yani 21. yüzyıl bilgi toplumunun, aslında çok zayıf bir temeli bulunuyor. Ancak o temelin üzerine de bir yandan durmaksızın ağır yükler bindiriyoruz. Kişisel ve iş bilgisayarlarımızın internet ağlarıyla sarılmış olması bir yana, modern toplumlarımızın bel bağladığı önemli altyapılar da internete güveniyor. Elektrik şebekeleri, gaz boru hatları, acil durum numaraları, hava trafik kontrolleri, borsalar, içme suyumuz, sokak lambaları, hastaneler ve sıhhi tesisatlar, internet ile yeni teknolojiler olmadan işlem göremiyor. Bu yeni cesur dünyada, süreçten insanoğlunu çıkarıp, uygarlığımızın bel kemiğini makinelere teslim etmiş durumdayız.
Kredi kartı POS’ları ve ATM’ler, ağlarını işletecek bilgisayarlar ile birlikte dünyada ticaretin akmasını ve kapitalizmin devamlılığını sağlıyor. Güç şebekelerinin stabil çalıştığından emin olmak için elektriğin nasıl, nereye ve ne zaman yönlendirileceğine bilgisayarlar karar veriyor. Bilgisayar destekli acil durum hizmetleri, polis arabalarını, ambulansları ve itfaiyeleri takip ederek acil durumun yaşandığı yere en yakın birimleri sevk etmek için hazırda bekliyor.
Yaşadığımız distopik dünyanın, bilgisayarlar ve elektrik olmadan nasıl görüneceğine küçük bir bakış atmak için, televizyonu açıp tekno-mahşer-zombi istilası benzeri bir şey anlatan The Walking Dead gibi dizileri veya Maymunlar Gezegeni ve Zor ölüm 4 gibi filmleri izleyebilirsiniz. Hollywood’un entrikaları bir tarafta dursun, bilgisayar destekli en önemli bilgi altyapılarımız durmaksızın saldırı alıyor ve sistem arızalarına açık bir şekilde işliyor.
Dünyanın en önemli altyapılarının büyük bölümü, veri tabanlı kontrol ve gözedeme sistemi (SCADA) ile çalışıyor. SCADA sistemleri, “sensörler tarafından elde edilen dijital geri bildirim verilerine dayanarak, çeşitli anahtar ve makas değişimleri ile üretimin otomatik olarak gözlenip ayarlanmasını ve diğer kontrol işlemlerini”3 gerçekleştiriyor. Trenlerin raylardaki gidişinden, bir şehrin tüm elektriğinin dağıtılmasına kadar her şeyi gerçekleştiren fiziksel ekipmanların kontrolünü sağlayan bu özelleştirilmiş bilgisayar sistemleri, çoğunlukla eski teknolojilere dayanıyor. SCADA sistemleri, artan bir hızla internete bağlanmaya devam ediyor ve güvenliğimiz açısından önemli tehlikeler oluşturuyor. Ne yazık ki, bu sistemler tasarlanırken ne güvenlik önlemleri ne de internet bağlantılı bir dünyaya karşı dayanıklılık göz önünde tutulmuş. Sıkıntı ise tahmin edebileceğinizden bile daha büyük: Temmuz 2014’te farklı iş kollarında hizmet veren önemli altyapı şirketleri üzerinde yapılan bir araştırmaya göre, önceki on iki aylık süreçte şirketlerin yüzde 70 kadarı en az bir güvenlik ihlaliyle karşılaşarak gizli bilgilerinden olmuş veya işlemlerin kesilmesine yol açan saldırılara maruz kalmış.4
Peki bir hacker, bu sistemlere erişim sağlayarak ne yapabilir? örneğin, yerel su arıtma tesisini idare eden karmaşık bilgi teknoloji sistemini ele alalım. SCADA sistemi, devamlı olarak suyumuzu temizleyip içilebilir hale getirmek için gereken kimyasalların uygun karışımlarını hesaplayıp devreye alıyor. Bu sistemin hacklenmesi durumunda ne olur? Kimyasallar yanlış oranda katılırsa, arıtılması gereken suyumuz zehirli bir hal alabilir mi? Biraz uçuk bir senaryoymuş gibi görünüyor olabilir, ancak 2011 ’den bir BBC haberine göre, hackerlar Teksas, Güney Houston bölgesindeki Su ve Kanalizasyon Birimi’ne yönelik bir saldırı gerçekleştirdi.5 Saldırının kaynağı, IP adresleri üzerinden Rusya’ya uzanırken, saldırıya karışan hackerların bir pompayı art arda açıp kapatarak sistemin çökmesine sebep olduğu belirtiliyor. Saldırı sonucunda hiç kimseye bir zarar gelmemesine karşın, bahsettiğimiz şeyin kolaylıkla kanıtlandığı görülüyor.
Peki başka hangi altyapı sistemleri hacklenebilir? Görünüşe bakılırsa, hackerların herhangi bir sınırı yok. Massachusetts, Worcester’daki Federal Havacılık İdaresi’nin kontrol kulesi 1998’de bunu acı bir şekilde öğrendi. Bölgede yaşayan bir genç, bilgisayar bilgisini kullanarak havalimanına yaklaşan bir uçak ile kule arasındaki iletişimi keserken, uçağın iniş yapacağı pistteki ışıkları bile söndürdü.6 Bu kazada da kimse hayatını kaybetmezken, felaketin olası boyutları hatırı sayılır ölçüde büyüktü. Elbette, zaman içinde dünyanın farklı bölgelerinde önemli bilgi altyapılarına yönelik çok daha fazla saldırı gerçekleştirildi. İlk Örneklerden bir diğeri, Avustralya Queensland’deki Maroochy Shire’da yaşandı. 2001’de bir hacker, bölgenin kanalizasyon arıtma tesisine saldırdı. Tesisin endüstriyel kontrol sistemlerinin idaresini eline geçiren saldırgan, “milyonlarca litre saf kanalizasyon suyunu yerel parklara, nehirlere ve hatta bir Hyatt Regency otelinin bahçesine boşalttı.”7 Saldırı sonucunda bölgedeki deniz yaşamı ve doğal bitki örtüsü ciddi zarara uğrarken, bölge sakinlerinin karşılaştığı sağlık tehditleri de cabasıydı.
Saldırılara karşı en hassas ve en önemli sistemlerimizden biri ise elektrik şebekesi. Elektrik olmadan, modern dünyamızın tüm güzelliklerinden de mahrum kalırız: Işıklar yanmaz, asansörler kalkmaz, ATM’ler çalışmaz, trafik lambaları, metrolar, garaj kapıları, buzdolapları ve benzinlik pompaları işlev göremez. Yedek bataryalar ile acil durum jeneratörleri de nihayet boşaldığında, cep telefonu ile internet de hayatımızdan çıkar. Geçici hayatlarımızın merkezindeki teknolojik altyapının en hayati öğesi olan elektriğe bu kadar bağlı olmamıza rağmen, eski ABD Savunma Bakanı Leon Panetta, “Karşılaşacağımız bir sonraki Pearl Harbor, güç sistemlerimiz ile elektrik şebekemizi bozacak bir siber saldırı olabilir,” diyordu.8
Panetta’nın endişeleri ise ABD Enerji Bakanlığı’nın yayımladığı bir rapor ile iyice doğrulanmış görünüyor. Raporda, dünyanın en karmaşık makinesi olarak bilinen Amerika enerji şebekesinin, elli sekiz bin ayrı elektrik santralini bağlayıp 600.000 kilometreden uzun yüksek voltajlı iletim hattına sahip olduğu belirtiliyor. Buna rağmen, şebekenin en önemli parçalarından yüzde 70 kadarı en az yirmi beş yaşında.9 Yine bu parçaların her biri, rahat bir şekilde saldırı alabilen ve doğal olarak sürekli hedef alman çok eski SCADA teknolojilerini kullanıyor.
Enerji ve Ticaret Komitesi’nin yaptığı bir araştırmaya göre, Amerikada onlarca kamu hizmeti veren kuruluş, “günlük”, “sürekli” veya “sık sık” siber saldırılara maruz kaldığını belirtiyor. Saldırılar yemleme, virüs bulaştırma veya yoklama taarruzu şeklinde vuku buluyor. Hatta kuruluşlardan birinin, her ay 10.000den fazla siber saldırıyla mücadele ettiğini belirten rapor; yabancı hükümetlerin, suçluların veya canı sıkılan hackerların, bir şebekeyi işlevsiz hale getirmek için ya uğraştığı ya da planladığını vurgulayarak son buluyor.10 İstihbarat yetkililerinin Wall Street Journal’ a yaptığı, siher casusların ABD deki elektrik şebekelerine girip daha sonra sistemi kullanışsız hale getirecek yazılım parçaları bıraktığı” yönündeki açıklamalar ile bu bulgular birleştiğinde ise durum daha da vahim bir hal alıyor. Aynı yetkililer, Rus ve Çinli casusların, Amerika’daki elektrik şebekesinin tüm haritasını çıkardığını ve kriz veya savaş durumlarında ABD’deki tüm elektrik ağının “kapatılabileceğini” bile söylüyor.11
Amerika’daki kilit altyapı sistemleri, teröristlerin de radarından kaçmamış durumda. 2012 yazında, El-Kaide’nin As-Sahab medya kolu tarafından hazırlanan bir video, FBI tarafından keşfedildi. Videoda, terör örgütü, saklanmakta olan militanlarına elektrik şebekesi de dahil olmak üzere ABD’deki çeşitli kamu hizmeti altyapılarına siber saldırılar düzenleme çağrısı yapıyordu.12 Daha eski FBI soruşturmaları neticesinde de, El-Kaide’nin Amerika’daki acil telefon sistemleri, elektrik üretim santralleri, su dağıtım tesisleri, nükleer güç santralleri ve gaz depolama ağları gibi hedefler üzerinde online araştırma ve gözetleme yaptığı öğrenilmişti.13
Terör örgütü ayrıca saldırılması muhtemel altyapılar üzerinde detaylı hedefleme paketleri hazırlamış; hedeflerin yakın çekim fotoğrafları, ayrıntılı notlar ve online araştırma sonuçları da paketlerde yer almıştı.
Bir taraftan hackerlar da SCADA ile diğer önemli bilgi altyapılarındaki açıklıkları anlamak, yaymak ve kendi çıkarları için kullanmak adına sıkı bir çalışma sergiliyor. Almanya’da her yıl düzenlenen yıllık hacker toplantısı Kaos iletişim Kongresi’nde, Positive Research firmasından analistler, gaz, kimyasal, petrol ve enerji sektörlerindeki endüstriyel altyapılardaki kontrolün tam olarak nasıl ele geçirileceğini anlattı.14 Daha can sıkıcı olanı ise hackerların bu tür bilgileri birbirleriyle paylaşıyor olması. Altyapı sistemlerini ele geçirmek için kullanılabilen ünlü açıkların paylaşıldığı, tamamen aranabilir bir veritabanı bile oluşturmuş durumdalar.
En ünlü hacker veritabanlarından biri olan Shodan, elektrik santrallerinden rüzgâr türbinlerine kadar her şeyin, ülke, şirket veya cihaz bazında aranarak nasıl patlayabileceğine dair ipuçları paylaşırken, ayrıntılı “nasıl yapılır” makaleleri ile kötü niyetli herhangi birinin önemli altyapılara saldırmak için gereken bilgi ve teknik ihtiyacını ciddi ölçüde düşürüyor.15 Hatta, internete bağlı dünyamızda kontrolü ele geçirmek isteyen herhangi bir saldırgan için, Shodan âdeta bir Google işlevi görüyor. Web sitesi, dünyanın farklı ülkelerinde yer alan sunucularda barındığı ve bu ülkelerde savunma açıklarını yayınlamak yasadışı olmadığı için de rahatlıkla erişimde kalabiliyor.
Organize suç örgütleri bunlar dışında çeşitli kamu hizmeti veren kuruluş ve hükümetlerden zorla para almak için de altyapı sistemlerine yöneliyor. Nitekim 2005 ile 2007 yılları arasında Brezilya’da bu amaçla gerçekleştirilen çeşitli saldırılar meydana geldi.16 Rio de Janerio’nun kuzeyi ile Espırito Santo eyaletlerinde, bir dizi siber saldırı gerçekleşti. Yerel bir suç örgütünün taleplerini yerine getiremeyen elektrik sağlayıcıları sebebiyle üç milyona yakın insan karanlıkta kaldı. Sonucunda ise dünyanın en büyük demir cevheri üreticilerinden olan Vitöria şehrinde çok sayıda santral devre dışı kaldı ve şirket 7 milyon dolar zarara uğradı. Saldırılar ABD istihbaratı ve güvenlik araştırmacıları tarafından doğrulanırken, Başkan Obama da şöyle bir açıklama yaptı: “Başka ülkelerde, siber saldırganların bütün bir şehri elektriksiz bıraktığını gözlemliyoruz.”17
Marc Goodman – Geleceğin Suçları,Timaş,syf;36-41
Dipnotlar:
3-Mat Honan, “How Apple and Amazon Security Flaws Led to My Epic Hacking”,Wired, 6 Temmuz 2012; Mat Honan, “Kili the Password: Why a String of Characters Can’t Protect Us Anymore”, \Vired, 15 Kasım 2012.
4-Peter Diamandis, “Abundance Is Our Future”, TED Konumas, ubat 2012.
5-Deloitte Consulting, Sub-Soharan Ajrica Mobile Observatory 2012, 4 ubat 2014.
6- Marc Goodman, “The Power of Moores Law in a World of Geotechnology”, National Interest, Ocak-ubat 2013.
7-Amv Harmon, “Hacking Theft of S10 Million from Citibank Revealed” Los Angeles Times, 19 Aנustos 1995.
8-jason Kersten, “Going Viral: How Two Pakistani Brothers Created the First PC Virus”, Mentol Floss, Kasm 2013.
9-Amjad ve Basit Farooq ile bilgisayar virsleri tarihine olaנanst ve eğlenceli bir bak aחs iחin bkz. Mikko Hypponen, “Fighting Vruses and Defending the Net”, TED Konumas, Temmuz 2011.
10- Byron Acohido, “Malware Now Spreads Mostly Through Tainted Websites”, USA Today, 4 Mays 2013.
11-Brian Fung, “911 for the Texting Generation Is Here”, Washington Post, 8 Aנustos 2014.
12-Nicole Perlroth, “Outmaneuvered at Their Own Game, Antivirus Makers Struggle to Adapt”, New York Times, 31 Aralk 2012.
13-Kaspersky Lab, Global Corporate T Security Risks: 2013, Mays 2013.
14-“Online Exposure”, Consumer Reports, Haziran 2011.
15-“Gartner Says Worldwide Security Software Market Grew 7.9 Percent in 2012″, Gart- ner Newsroom, 30 Mays 2013; Steve Johnson, “Cybersecurity Business Booming in Silicon Valley”, San Jose Mercury News, 13 Eyll 2013.
16- Imperva, Hacker Intelligence Initiative, Monthly Trend Report #14, Aralk 2012.
17-Tom Simonite, “The Antivirus Era Is ײver”, MIT Technology Review, 11 Haziran 2012.