Çin’liler Amerikalı Firmalara Casus İşlemcili Makinalar mı Sattı?

Bloomberg’in yayınladığı habere göre, ABD merkezli 30 şirketin verileri, Çinli casuslar tarafından çalındı. Bu firmalar arasında ise Apple ve Amazon gibi önemli teknoloji firmaları da yer alıyor. İddiaya göre, Çinli casuslar veri merkezinde yer alan verileri çalmak için casus mikroçip yerleştirdi.

36
36

Snowden’in belgelerini ilk ortaya çıkaran gazeteci Glenn Greenwald’ın 2014 yılında yayınladığı “Gizlenecek Hiç Bir Yer Kalmadı (Nowhere to Hide)” isimli kitabında yer alan şaşırtıcı (mı?) bölümlerden birisinde, Amerika’dan ihraç edilen Cisco cihazlara NSA tarafından casusluk parçaları takıldığına dair fotoğraf ve belgeler yer alıyordu[1]. Aynı günlerde üstüste gelen haberlerde, bağımsız araştırmacılarca, çok çeşitli Amerikan internet erişim ve güvenlik cihazlarında (Juniper, Linksys, Fortinet vs) “arka kapı” bulunmuştu [2][3]. Bu arka kapılar, sivil toplum örgütlerince defalarca protesto edildiler [4] ama ilgili firmalarca sanki –ilk defa görüyorlarmış gibi– şaşkınlıkla karşılandı ve hemen arkasından –dalga geçer gibi– soruşturma başlatıldığı ya da başlatılacağı duyuruldu. Sonuçta ne oldu derseniz? Soruşturma sonuçlarını yani “şu kişi” ya da “şunlar bunu yapmış” gibi bir şeyler duyamadan bu haberleri unuttuk.

Çin de 2015 yılında “enerji tasarrufu” bahanesi ile kamu kurumlarında Windows 8 kullanılmasını yasakladı [5]. Yasaklama kararı için yapılan açıklama “güvenlik” kavramını da içeriyordu ama ne güvenlik, ne de enerji tasarufunun ne anlama geldiğini açıklamamıştı.

Özetle, bilişim sektörü ABD için sadece ekonomisinin 2/3’ünü destekleyen bir endüstri değildi. Yanısıra donanımı ya da yazılımı ile casusluğu da sağlıyordu. Bunlar bir çok güvenlik araştırmacısının ortaya koyduğu bilgilerdi. Ama ABD şimdi benzer bir suçlamayı Çin’e yapıyor[6].

Çin Amerikalıları Yıllardan Beri Ha(c)klıyor mu?

Amazon 2015 yılında, Amazon Prime Video servisini oluştururken kullanacağı video dosyaları sıkıştırma ve farklı cihazlara uygun formatlama yazılımı geliştiren Elemental Technologies firmasını satın aldı[7]. Ama bu alımın tek neden ticari değildi. Firmanın teknolojisi, Amazon Web Servisleri (AWS) firmasının CIA için oluşturduğu yüksek güvenlikli bulut servislerine ve Amerikan hükümetine sağlanan diğer servislere de bu firmanın teknolojisi uygulanacaktı.

Batı basınında yer alan haberlere göre Amazon bu satın alması sırasında, Elemental’in video sıkıştırma işlemini yönetmek için müşterilerine verdiği ve Amerikan Super Micro Computer isimli tarafından üretilen sunucularını güvenlik testinden geçirdi. Bunun için Kanadalı bir firmaya görev verildi. Super Micro aynı zamanda veri merkezlerinde kullanılan ana kartların da üreticisi ve yüzlerce müşterisi var.

İlgili Haber  E-imza ile yılda 100 çam kesilmekten kurtulacak

Kanadalı firma sunucuları incelerken, bir pirinç tanesi büyüklüğünde (ya da resimde görüldüğü üzere bir kurşun kalemin ucu büyüklüğünde) mikro işlemci buldu. Bunun orijinal kart tasarımında yer almadığını farkettiler. Amazon durumu, Amerikalı yetkililere bildirdi. Elemental sunucuları Amerikan Savunma Bakanlığı, CIA drone operasyonu ve Amerikan Deniz Kuvvetleri networkü’nde yer alıyordu.

İşlemcinin Çin’deki taşeron firmanın üretimi sırasında kartlara “People’s Liberation Army (Halkın Kurtuluşu Ordusu)” üyeleri tarafından eklendiğini tespit ettiklerini belirten araştırmacılar, sonraki 3 yıl boyunca, mikro işlemcinin ne yaptığını incelediler ve konulduğu makinanın içinde yer aldığı network’te hayalet bir kapı açtığı tespit edildi. Yani iddiaya göre, tedarik zinciri yoluyla Amerikan firmalarına saldırı yapılmış. 1 büyük banka, Amerikan hükümetine iş yapan bazı taşeron firmalar ve Apple dahil 30 kadar firmanın bu saldırılardan etkilendiği iddia ediliyor. Operasyonu Supermicro firmasındaki Çinli casusların organize ettiği de bir başka iddia.

Ancak Amazon ve Apple, basına gönderdikleri maillerde, böyle bir mikro işlemciden haberleri olduğunu yalanlıyorlar. Supermicro da aynı şekilde, böyle bir soruşturmadan habersiz olduğunu belirtiyor. Çin hükümeti ise, “Siber uzayda tedarik zinciri güvenliği, ortak bir sorundur ve Çin de bir mağdurdur” açıklaması yaptı. Buna karşın Obama döneminde bu konuda soruşturmaya başlayıp, Trump döneminde devam ettiği kaydedilen 6 güvenlik görevlisinin detaylı ifadesinden bahsediliyor. Bu yetkililerden biri ve AWS içindeki iki kişi, saldırının Elemental ve Amazon’da nasıl yürüdüğü hakkında kapsamlı bilgiler vermiş. Apple’ın mağdur olduğunu ise 3 Apple yetkilisine ek olarak, 4 ABD yetkilisi söylüyor. Toplamda 17 kişi Supermicro’nun donanımının ve saldırıların diğer unsurlarının manipülasyonunu doğrulamış durumda. Bir hükümet yetkilisi, Çin’in hedefinin yüksek değerli kurumsal sırlara ve hassas hükümet ağlarına uzun vadeli erişim olduğunu söyledi. Tüketici verilerinin çalınıp, çalınmadığı ise bilinmiyor.

İlgili Haber  Çin’de yaşanan distopya: Yapay zeka, kameralar ve bolca utandırma

Trump yönetimi, Çin’e karşı anakartlar dahil olmak üzere bilgisayar ve ağ donanımını, en son ticari yaptırımların odağı haline getirdi ve Beyaz Saray yetkilileri, şirketlerin tedarik zincirlerini diğer ülkelere kaydırmaya başlayacaklarını açıkladılar. Amerikalı yetkililer son bir kaç yıldır Huawei ve ZTE konusunda uyarı yayınlıyorlar ama şimdi Super Micro Computer müşterilerinin de uyarılacağı kaydediliyor.

Ya Bizi? Çinliler mi, Amerikalılar mı, İkisi de mi, Yoksa Hepsi Birden mi Ha(c)klıyor?

Bu arada bu haberi okurken, aklınıza hiç.. “Ya biz” geliyor mu? Bizim bu yazıdan önce de, sonra da geldi. Devamlı okurlarımız, bu konuda daha önce de defalarca ve çeşitli konular çerçevesinde yazdığımızı hatırlayacaklardır.

Sadece biz değil, bu konuda uzun süredir uyarılar yayınlayan bizden çok daha uzman güvenlikçilerimiz var ama kimse aldırmıyor. Acaba devlet kurumlarımızda yer alan Amerikan donanım ve yazılımları ile son yıllarda pek çok kuruma giren Çinli yazılım ve donanımlar neler yapıyor? Nerelere ne bilgiler gönderiyorlar?

Amerikan deniz kuvvetleri tarafından başlatılan yazılım projeleri sonucunda geliştirilen veri tabanları ya da kapalı yazılım olarak tanımladığımız, içini –kodlarını– göremediğimiz yazılımlar, Merkez Bankasından, orduya, bakanlıklara kadar her yerde ve üstelik bunlara biz her sene “lisans” parası ödüyoruz. Milyonlarca $ [8].

Trajikomik bir soru; güvenliğimizi sağlasın diye kullandığımız güvenlik ürünleri acaba güvenliğimizi kime karşı ve ne kadar koru(mu)yor?

Artık farkına varsak ve önlem almaya başlasak iyi olacak…

Kaynak: Füsun S.Nebil / Türk İnternet

Bu yazıda olan etiketler

Yorumlar