Savunmasız Bir Küresel Bilgi Şebekesi

‘Bilgisayar sistemlerinin büyük çoğunluğunun ne kadar kolay ve ne kadar hızlı bir şekilde hacklenebileceğini gördük. Mat Hona’nın yaşadığı deneyim, dijital hayatlarımızın birkaç saniye içerisinde nasıl yok olabileceğini kanıtladı. T. J. Maxx ve Citibank, binlerce kilometre ötedeki suçluların, gözlerine kestirmeleri halinde neler yapabileceğini yaşayarak öğrenmek zorunda kaldı. Tüm bu bariz tehlikelere bakınca, insan fişe takılan ve bataryayla çalışan her şeyi küresel bilgi şebekesine eklemeden önce biraz ihtiyatlı bir yakla­şım sergiler diye düşünüyor. Ancak hepimiz, teknolojik her şeye duyduğumuz aşk ile arkamıza bile bakmadan tam gaz yola devam ediyoruz.

Bunun sonucunda ise bilgisayar sistemlerine günbegün daha da fazla bağlanmaya başlıyoruz. Nitekim bu bağlantılar da tamamen emniyetsiz ve açıklarla dolu. Yani 21. yüzyıl bilgi toplumunun, aslında çok zayıf bir temeli bulunuyor. Ancak o temelin üzerine de bir yandan durmaksızın ağır yükler bindiriyoruz. Kişisel ve iş bilgisayarlarımızın internet ağlarıyla sarılmış olması bir yana, mo­dern toplumlarımızın bel bağladığı önemli altyapılar da internete güveniyor. Elektrik şebekeleri, gaz boru hatları, acil durum nu­maraları, hava trafik kontrolleri, borsalar, içme suyumuz, sokak lambaları, hastaneler ve sıhhi tesisatlar, internet ile yeni teknolojiler olmadan işlem göremiyor. Bu yeni cesur dünyada, süreçten insa­noğlunu çıkarıp, uygarlığımızın bel kemiğini makinelere teslim etmiş durumdayız.

Kredi kartı POS’ları ve ATM’ler, ağlarını işletecek bilgisayarlar ile birlikte dünyada ticaretin akmasını ve kapitalizmin devamlılığını sağlıyor. Güç şebekelerinin stabil çalıştığından emin olmak için elektriğin nasıl, nereye ve ne zaman yönlendirileceğine bilgisayar­lar karar veriyor. Bilgisayar destekli acil durum hizmetleri, polis arabalarını, ambulansları ve itfaiyeleri takip ederek acil durumun yaşandığı yere en yakın birimleri sevk etmek için hazırda bekliyor.

Yaşadığımız distopik dünyanın, bilgisayarlar ve elektrik olma­dan nasıl görüneceğine küçük bir bakış atmak için, televizyonu açıp tekno-mahşer-zombi istilası benzeri bir şey anlatan The Walking Dead gibi dizileri veya Maymunlar Gezegeni ve Zor ölüm 4 gibi filmleri izleyebilirsiniz. Hollywood’un entrikaları bir tarafta dursun, bilgisayar destekli en önemli bilgi altyapılarımız durmaksızın saldırı alıyor ve sistem arızalarına açık bir şekilde işliyor.

Dünyanın en önemli altyapılarının büyük bölümü, veri taban­lı kontrol ve gözedeme sistemi (SCADA) ile çalışıyor. SCADA sistemleri, “sensörler tarafından elde edilen dijital geri bildirim verilerine dayanarak, çeşitli anahtar ve makas değişimleri ile üre­timin otomatik olarak gözlenip ayarlanmasını ve diğer kontrol işlemlerini”³ gerçekleştiriyor. Trenlerin raylardaki gidişinden, bir şehrin tüm elektriğinin dağıtılmasına kadar her şeyi gerçekleştiren fiziksel ekipmanların kontrolünü sağlayan bu özelleştirilmiş bilgi­sayar sistemleri, çoğunlukla eski teknolojilere dayanıyor. SCADA sistemleri, artan bir hızla internete bağlanmaya devam ediyor ve güvenliğimiz açısından önemli tehlikeler oluşturuyor. Ne yazık ki, bu sistemler tasarlanırken ne güvenlik önlemleri ne de internet bağlantılı bir dünyaya karşı dayanıklılık göz önünde tutulmuş. Sıkıntı ise tahmin edebileceğinizden bile daha büyük: Temmuz 2014’te farklı iş kollarında hizmet veren önemli altyapı şirketleri üzerinde yapılan bir araştırmaya göre, önceki on iki aylık süreçte şirketlerin yüzde 70 kadarı en az bir güvenlik ihlaliyle karşılaşarak gizli bilgilerinden olmuş veya işlemlerin kesilmesine yol açan sal­dırılara maruz kalmış.⁴

Peki bir hacker, bu sistemlere erişim sağlayarak ne yapabilir? örneğin, yerel su arıtma tesisini idare eden karmaşık bilgi teknoloji sistemini ele alalım. SCADA sistemi, devamlı olarak suyumuzu temizleyip içilebilir hale getirmek için gereken kimyasalların uygun karışımlarını hesaplayıp devreye alıyor. Bu sistemin hacklenmesi durumunda ne olur? Kimyasallar yanlış oranda katılırsa, arıtıl­ması gereken suyumuz zehirli bir hal alabilir mi? Biraz uçuk bir senaryoymuş gibi görünüyor olabilir, ancak 2011 ’den bir BBC haberine göre, hackerlar Teksas, Güney Houston bölgesindeki Su ve Kanalizasyon Birimi’ne yönelik bir saldırı gerçekleştirdi.⁵ Saldı­rının kaynağı, IP adresleri üzerinden Rusya’ya uzanırken, saldırıya karışan hackerların bir pompayı art arda açıp kapatarak sistemin çökmesine sebep olduğu belirtiliyor. Saldırı sonucunda hiç kim­seye bir zarar gelmemesine karşın, bahsettiğimiz şeyin kolaylıkla kanıtlandığı görülüyor.

Peki başka hangi altyapı sistemleri hacklenebilir? Görünü­şe bakılırsa, hackerların herhangi bir sınırı yok. Massachusetts, Worcester’daki Federal Havacılık İdaresi’nin kontrol kulesi 1998’de bunu acı bir şekilde öğrendi. Bölgede yaşayan bir genç, bilgisayar bilgisini kullanarak havalimanına yaklaşan bir uçak ile kule ara­sındaki iletişimi keserken, uçağın iniş yapacağı pistteki ışıkları bile söndürdü.⁶ Bu kazada da kimse hayatını kaybetmezken, felaketin olası boyutları hatırı sayılır ölçüde büyüktü. Elbette, zaman için­de dünyanın farklı bölgelerinde önemli bilgi altyapılarına yönelik çok daha fazla saldırı gerçekleştirildi. İlk Örneklerden bir diğeri, Avustralya Queensland’deki Maroochy Shire’da yaşandı. 2001’de bir hacker, bölgenin kanalizasyon arıtma tesisine saldırdı. Tesisin endüstriyel kontrol sistemlerinin idaresini eline geçiren saldırgan, “milyonlarca litre saf kanalizasyon suyunu yerel parklara, nehirlere ve hatta bir Hyatt Regency otelinin bahçesine boşalttı.”⁷ Saldı­rı sonucunda bölgedeki deniz yaşamı ve doğal bitki örtüsü ciddi zarara uğrarken, bölge sakinlerinin karşılaştığı sağlık tehditleri de cabasıydı.

Saldırılara karşı en hassas ve en önemli sistemlerimizden biri ise elektrik şebekesi. Elektrik olmadan, modern dünyamızın tüm güzelliklerinden de mahrum kalırız: Işıklar yanmaz, asansörler kalk­maz, ATM’ler çalışmaz, trafik lambaları, metrolar, garaj kapıları, buzdolapları ve benzinlik pompaları işlev göremez. Yedek bataryalar ile acil durum jeneratörleri de nihayet boşaldığında, cep telefonu ile internet de hayatımızdan çıkar. Geçici hayatlarımızın merkezin­deki teknolojik altyapının en hayati öğesi olan elektriğe bu kadar bağlı olmamıza rağmen, eski ABD Savunma Bakanı Leon Panetta, “Karşılaşacağımız bir sonraki Pearl Harbor, güç sistemlerimiz ile elektrik şebekemizi bozacak bir siber saldırı olabilir,” diyordu.⁸

Panetta’nın endişeleri ise ABD Enerji Bakanlığı’nın yayımladığı bir rapor ile iyice doğrulanmış görünüyor. Raporda, dünyanın en karmaşık makinesi olarak bilinen Amerika enerji şebekesinin, elli sekiz bin ayrı elektrik santralini bağlayıp 600.000 kilometreden uzun yüksek voltajlı iletim hattına sahip olduğu belirtiliyor. Buna rağmen, şebekenin en önemli parçalarından yüzde 70 kadarı en az yirmi beş yaşında.⁹ Yine bu parçaların her biri, rahat bir şekilde saldırı alabilen ve doğal olarak sürekli hedef alman çok eski SCADA teknolojilerini kullanıyor.

Enerji ve Ticaret Komitesi’nin yaptığı bir araştırmaya göre, Amerikada onlarca kamu hizmeti veren kuruluş, “günlük”, “sürekli” veya “sık sık” siber saldırılara maruz kaldığını belirtiyor. Saldırılar yemleme, virüs bulaştırma veya yoklama taarruzu şeklinde vuku buluyor. Hatta kuruluşlardan birinin, her ay 10.000den fazla siber saldırıyla mücadele ettiğini belirten rapor; yabancı hükümetlerin, suçluların veya canı sıkılan hackerların, bir şebekeyi işlevsiz hale getirmek için ya uğraştığı ya da planladığını vurgulayarak son buluyor.¹⁰ İstihbarat yetkililerinin Wall Street Journal^’ a yaptığı, siher casusların ABD deki elektrik şebekelerine girip daha sonra sistemi kullanışsız hale getirecek yazılım parçaları bıraktığı” yönündeki açıklamalar ile bu bulgular birleştiğinde ise durum daha da vahim bir hal alıyor. Aynı yetkililer, Rus ve Çinli casusların, Amerika’daki elektrik şebekesinin tüm haritasını çıkardığını ve kriz veya savaş durumlarında ABD’deki tüm elektrik ağının “kapatılabileceğini” bile söylüyor.¹¹

Amerika’daki kilit altyapı sistemleri, teröristlerin de radarından kaçmamış durumda. 2012 yazında, El-Kaide’nin As-Sahab medya kolu tarafından hazırlanan bir video, FBI tarafından keşfedildi. Videoda, terör örgütü, saklanmakta olan militanlarına elektrik şebekesi de dahil olmak üzere ABD’deki çeşitli kamu hizmeti alt­yapılarına siber saldırılar düzenleme çağrısı yapıyordu.¹² Daha eski FBI soruşturmaları neticesinde de, El-Kaide’nin Amerika’daki acil telefon sistemleri, elektrik üretim santralleri, su dağıtım tesisleri, nükleer güç santralleri ve gaz depolama ağları gibi hedefler üzerinde online araştırma ve gözetleme yaptığı öğrenilmişti.¹³

Terör örgütü ayrıca saldırılması muhtemel altyapılar üzerinde detaylı hedefleme paketleri hazırlamış; hedeflerin yakın çekim fo­toğrafları, ayrıntılı notlar ve online araştırma sonuçları da paket­lerde yer almıştı.

Bir taraftan hackerlar da SCADA ile diğer önemli bilgi alt­yapılarındaki açıklıkları anlamak, yaymak ve kendi çıkarları için kullanmak adına sıkı bir çalışma sergiliyor. Almanya’da her yıl dü­zenlenen yıllık hacker toplantısı Kaos iletişim Kongresi’nde, Positive Research firmasından analistler, gaz, kimyasal, petrol ve enerji sektörlerindeki endüstriyel altyapılardaki kontrolün tam olarak nasıl ele geçirileceğini anlattı.¹⁴ Daha can sıkıcı olanı ise hackerların bu tür bilgileri birbirleriyle paylaşıyor olması. Altyapı sistemlerini ele geçirmek için kullanılabilen ünlü açıkların paylaşıldığı, tama­men aranabilir bir veritabanı bile oluşturmuş durumdalar.

En ünlü hacker veritabanlarından biri olan Shodan, elektrik santrallerinden rüzgâr türbinlerine kadar her şeyin, ülke, şirket veya cihaz bazında aranarak nasıl patlayabileceğine dair ipuçları paylaşırken, ayrıntılı “nasıl yapılır” makaleleri ile kötü niyetli herhangi birinin önemli altyapılara saldırmak için gereken bilgi ve teknik ihtiyacını ciddi ölçüde düşürüyor.¹⁵ Hatta, internete bağlı dünyamızda kontrolü ele geçirmek isteyen herhangi bir saldırgan için, Shodan âdeta bir Google işlevi görüyor. Web sitesi, dünyanın farklı ülkelerinde yer alan sunucularda barındığı ve bu ülkelerde savunma açıklarını ya­yınlamak yasadışı olmadığı için de rahatlıkla erişimde kalabiliyor.

Organize suç örgütleri bunlar dışında çeşitli kamu hizmeti veren kuruluş ve hükümetlerden zorla para almak için de altyapı sistem­lerine yöneliyor. Nitekim 2005 ile 2007 yılları arasında Brezilya’da bu amaçla gerçekleştirilen çeşitli saldırılar meydana geldi.¹⁶ Rio de Janerio’nun kuzeyi ile Espırito Santo eyaletlerinde, bir dizi siber saldırı gerçekleşti. Yerel bir suç örgütünün taleplerini yerine ge­tiremeyen elektrik sağlayıcıları sebebiyle üç milyona yakın insan karanlıkta kaldı. Sonucunda ise dünyanın en büyük demir cevheri üreticilerinden olan Vitöria şehrinde çok sayıda santral devre dışı kaldı ve şirket 7 milyon dolar zarara uğradı. Saldırılar ABD istih­baratı ve güvenlik araştırmacıları tarafından doğrulanırken, Başkan Obama da şöyle bir açıklama yaptı: “Başka ülkelerde, siber saldır­ganların bütün bir şehri elektriksiz bıraktığını gözlemliyoruz.”¹⁷

Marc Goodman – Geleceğin Suçları,Timaş,syf;36-41

Dipnotlar:

3-Mat Honan, “How Apple and Amazon Security Flaws Led to My Epic Hacking”,Wired, 6 Temmuz 2012; Mat Honan, “Kili the Password: Why a String of Characters Can’t Protect Us Anymore”, \Vired, 15 Kasım 2012.

4-Peter Diamandis, “Abundance Is Our Future”, TED Konu‏mas‎, ubat 2012.

5-Deloitte Consulting, Sub-Soharan Ajrica Mobile Observatory 2012, 4 ubat 2014.

6- Marc Goodman, “The Power of Moores Law in a World of Geotechnology”, National Interest, Ocak-ubat 2013.

7-Amv Harmon, “Hacking Theft of S10 Million from Citibank Revealed” Los Angeles Times, 19 Aנustos 1995.

8-jason Kersten, “Going Viral: How Two Pakistani Brothers Created the First PC Virus”, Mentol Floss, Kas‎m 2013.

9-Amjad ve Basit Farooq ile bilgisayar virsleri tarihine olaנanst ve eğlenceli bir bak‎‏ aח‎s‎ iחin bkz. Mikko Hypponen, “Fighting V‎ruses and Defending the Net”, TED Konu‏mas‎, Temmuz 2011.

10- Byron Acohido, “Malware Now Spreads Mostly Through Tainted Websites”, USA Today, 4 May‎s 2013.

11-Brian Fung, “911 for the Texting Generation Is Here”, Washington Post, 8 Aנustos 2014.

12-Nicole Perlroth, “Outmaneuvered at Their Own Game, Antivirus Makers Struggle to Adapt”, New York Times, 31 Aral‎k 2012.

13-Kaspersky Lab, Global Corporate T Security Risks: 2013, May‎s 2013.

14-“Online Exposure”, Consumer Reports, Haziran 2011.

15-“Gartner Says Worldwide Security Software Market Grew 7.9 Percent in 2012″, Gart- ner Newsroom, 30 May‎s 2013; Steve Johnson, “Cybersecurity Business Booming in Silicon Valley”, San Jose Mercury News, 13 Eyll 2013.

16- Imperva, Hacker Intelligence Initiative, Monthly Trend Report #14, Aral‎k 2012.

17-Tom Simonite, “The Antivirus Era Is ײver”, MIT Technology Review, 11 Haziran 2012.