New York Times'ın, İran'ın uranyum zenginleştirme çabalarını yavaşlatan STUXNET solucanının kaynağıyla ilgili kapsamlı değerlendirmesi bize bir şey anlatıyorsa, o da Obama yönetiminin, geliştirmekte olduğu siber silahların yayılma potansiyeli hususunda önemli derecede saf olduğudur.
Aslında, Beyaz Saray'da ABD'nin, nihai olarak, yeni bir ülkeye girmesiyle ilgili tartışmalar yapıldığı görülürken, bir yardımcı, Times'a yönetimin "imkanlarını halen keşfetmekte oldukları bir silah için büyük bir teori geliştirmek" istemediğini söyledi.
O halde, 2010 yazında, yönetimin öngörmüş olması gereken bir olay meydana geldi: STUXNET solucanı serbest kaldı ve hedef aldığı İran'ın zenginleştirme tesislerinin dışında kendisini kopyalamaya başladı. Serbest bir şekilde, internette herkesin görebileceği vaziyette teşhir oldu.
Ve işte o zaman, göründüğü kadarıyla fırsatçı bilgisayar korsanları ondan bir şeyler öğrenmeye başladılar.
Data Center Pro'da Eric Gallant tarafından vurgulandığı üzere, STUXNET bilgisayar korsanlarına, sanayi üretiminde (yüksek teknolojili fabrikaları düşünün) ve veri merkezlerinde kullanılan "Sınai Kontrol Sistemleri'nin" saldırılara karşı hassas olduğunu öğretti.
[Güncelleme: Stanford'da doktora sonrası araştırması "altyapı güvenliği hakkında çağdaş tartışmalara odaklanan" Ryan Ellis, "STUXNET'in ortaya çıkışından çok önce SCADA ve ICS sistemlerinin kırılganlıklarının çok iyi bilindiğine, DHS, DOE ve NIST'in ICS ve SCADA'nın güvenliğini hedef alan çabalarının yıllardır devam ettiğine" dikkat çeker. O halde Stuxnet'in bu sistemlerin güvenliği için süregitmekte olan savaşa yeni bir kod tabanı tanıttığını söylemek daha doğrudur.]
1. STUXNET kodunun bilinmeyen hedeflerle yaygınlaşması.
Eylül 2011'de Duqu olarak adlandırılan, STUXNET benzeri yeni bir solucan keşfedildi. Hedefi belli olmasa da gerçek bir saldırıdan önce bir Sınai Kontrol Sistemi hakkında bilgi çalmak için tasarlanmış olabilir. (Bu tür gözetim, STUXNET saldırısı sırasında Natanz zenginleştirme tesisinin başarılı bir şekilde kullanılmaz hale getirilmesinin tamamlayıcı unsuruydu.)
2. Dallas'taki enformasyon güvenliği konferansında "sınai ölçekli" kontrol sistemine dair kötü amaçlı yazılım hemen hemen ifşa oldu.
Araştırmacılar "Motive olmuş saldırganların, devlet desteği olmaksızın, dünyada en yoğun şekilde takviye edilmiş tesislere bile nasıl girebileceklerini göstereceğiz." iddiasında bulundular. SCADA imalatçısı Siemens ve ABD Yurtiçi Güvenlik Departmanı, kamu güvenliği hakkındaki endişeleri dile getirerek araştırmacılardan bunu gösterme çabalarına devam etmemelerini rica etti.
3. Sınai Kontrol Sistemi'ni hack'lemenin "alet takımı" açıklandı.
March 2011'de Rus güvenlik firması Gleg, The Agora SCADA+ Pack olarak bilinen bir yazılım paketini satışa sundu. Yazılım, 11 sıfır-günü kırılganlığını kullanan 22 modül içerdi. Paket SCADA sistem imalatçısının geniş bir aygıt ve yazılımı tarafından uygulanabilir veriler ihtiva etti.
4. STUXNET kodu, milyonlarca bilgisayarı etkileyen "Yok edilemez" zombi botnetinde görüldü.
TDL4 olarak bilinen bu kötü amaçlı yazılım, kendi bekasını temin etmek için çok sayıda zekice hile yerleştirir, doğrudan dünyanın en gelişmiş siber silahı Stuxnet'ten borç alınan da buna dahil.
Aslen ABD ve İsrail tarafından geliştirilen STUXNET kodunun geniş bir şekilde dağıtılması, bunlardan dersler alınması ve faydalanılmasının yollarıyla ilgili bir liste halen devam ediyor. Sonunda internet ve bizim mali altyapımızın bağlı olduğu veri merkezlerinde bu saldırıların nasıl gerçekleştirilebileceğini anlamak isterseniz Data Center Pro'nun tüm görevleri okunmaya değer.
Genel olarak, ABD'nin SCADA (Denetimsel Kontrol ve Veri Toplama) diye adlandırılan altyapısı "kritik altyapının aşil topuğu"olarak tarif edildi. Siber güvenlik konusunda eski Beyaz Saray danışmanı Richard Clarke, Çin'in de ABD elektrik şebekesini zaten araştırmakta olduğunu iddia etti.
İyi haber, paniğe kapılmamak için en az 2 sebep olduğudur. Birincisi, bu tür siber saldırıların ne tür etkisinin olacağı henüz net değil. Mesela İran'ın çabaları yavaşlatıldı ama bu, diyelim, zenginleştirme tesislerinin konvansiyonel silahlarla bombalanmasından elde edilecek sonuçlardan büyük ölçüde farklıydı.
Bizim siber saldırılar konusundaki endişelerimizi dizginlememiz gerektiği konusundaki ikinci sebep de siber savaşta komik denecek derecede asimetri olduğudur. Antivirüs yazılımındaki durumda olduğu üzere, bir tehdidin mevcut olduğunu bilmek bizim hızla sistemlerimizi bu tehditlere karşı aşılamamıza imkan verir. Bunu yapıyor ya da yapmıyor olmamız tamamen ayrı bir meseledir.
Ve bu, STUXNET solucanının potansiyel etkileri konusundaki sohbetlerde Obama yönetiminin ümitsiz bir şekilde saf olduğunun ortaya çıktığı bir alandır: Bir kez ortaya çıktığında bu tür bir saldırının, böyle bir saldırıya karşı savunmak için ABD'de bilgisayarların kontrolündeki kritik altyapının her parçasının değerlendirilmesi ve ebediyyen güncellenmesi gerektiği manasına geleceği odadaki kimseye malum olmadı mı?
Kaynak: Technology Review
Dünya Bülteni için çeviren: Emin Arvas
