Ulusal Siber Saldırı Olarak DOGE

 (schneier.com)
2 puan yazan GN⁺ 2025-02-14 | 1 yorum | WhatsApp'ta paylaş

DOGE'nin ulusal siber saldırısı

  • Son birkaç haftadır ABD hükümeti, tarihindeki en ciddi güvenlik ihlallerinden birini yaşadı. Bu olay, karmaşık bir siber saldırı ya da yabancı bir casusluk faaliyeti değil; hükümetteki rolü net olmayan bir milyarderin resmi talimatıyla gerçekleşti.

  • Yeni kurulan Hükümet Verimliliği Departmanı (DOGE) ile bağlantılı kişiler, ABD Hazine Bakanlığı'nın bilgisayar sistemlerine erişerek yıllık yaklaşık 5,45 trilyon dolarlık federal ödeme verilerini toplama ve kontrol etme kapasitesine sahip oldu.

  • DOGE'nin yetkisiz personeli, ABD Uluslararası Kalkınma Ajansı'nın gizli verilerine erişip bunları kopyalamış olabilir; ayrıca Personel Yönetimi Ofisi (OPM) ile Medicare ve Medicaid kayıtları da ihlal edildi.

  • CIA çalışanlarının isimleri kısmen sansürlenmiş halde gayriresmî e-posta hesaplarına gönderildi; DOGE personeli Eğitim Bakanlığı verilerini yapay zeka yazılımına girdi ve Enerji Bakanlığı'nda da çalışmaya başladı.

  • 8 Şubat'ta bir federal yargıç, DOGE ekibinin Hazine sistemlerine artık erişememesi yönünde engel kararı verdi; ancak verilerin çoktan kopyalanmış ve yazılımların kurulup değiştirilmiş olabileceği için çözümün ne olduğu belirsiz.

  • DOGE'nin eriştiği sistemler, ulusal altyapının çekirdek unsurları arasında yer alıyor ve Hazine sistemleri, federal hükümetin para hareketlerine ilişkin teknik planı içeriyor.

  • Bu olay, dışarıdan operatörlerin sınırlı deneyim ve asgari gözetim altında açık biçimde çalışarak ABD'nin en hassas ağlarında en üst düzey yönetici erişimi elde edip değişiklik yapması bakımından emsalsiz bir durum.

  • En kaygı verici nokta yalnızca erişim yetkisi verilmesi değil, aynı zamanda güvenlik önlemlerinin sistematik biçimde sökülüyor olması. Bu, standart olay müdahale protokollerinin, denetim ve değişiklik izleme mekanizmalarının kaldırılması ve yerlerine deneyimsiz operatörlerin konulması anlamına geliyor.

  • Hazine'nin bilgisayar sistemleri, nükleer silah fırlatma protokollerindekiyle benzer ilkelerle tasarlandı; böylece tek bir kişinin sınırsız yetkiye sahip olması engelleniyor. Bu, yolsuzluk ve hataları önlemek için kritik bir güvenlik önlemi olan "görevlerin ayrılığı" ilkesidir.

  • DOGE ile bağlantılı kişilerin, Hazine bilgisayarlarındaki çekirdek programları değiştirme yetkisi elde ettiği, şifrelenmiş anahtarlara erişebildiği ve sistem değişikliklerini kaydeden denetim günlüklerini değiştirebildiği belirtiliyor.

  • Bu sistemlerde yapılan değişiklikler, yalnızca mevcut operasyonları zedelemekle kalmıyor, aynı zamanda gelecekteki saldırılarda suistimal edilebilecek açıklar da bırakıyor.

  • Üç ana güvenlik alanı tehdit altında: sistem manipülasyonu, veri ifşası ve sistem kontrolü.

  • Bu açıkları gidermek için yetkisiz erişim geri çekilmeli ve uygun kimlik doğrulama protokolleri yeniden devreye alınmalı; kapsamlı sistem izleme ve değişiklik yönetimi de tekrar başlatılmalı.

  • Bu, siyasi bir mesele değil, ulusal güvenlik meselesi; yabancı istihbarat servisleri kargaşa ve yeni istikrarsızlıktan yararlanarak ABD verilerini çalabilir ve arka kapılar yerleştirebilir.

İlgili okumalar

1 yorum

 
GN⁺ 2025-02-14
Hacker News görüşü
  • Düşmanca veya hasım bir ülkenin veri toplaması ve ülkeye saldırmanın yollarını anlama fırsatı elde etmesine dair kaygı haklı
    • Seçilmiş bir kamu görevlisinin aptalca ya da güvensiz davranmasıyla, seçilmemiş kişilerin bunu hiçbir denetime tabi olmadan yapması arasında fark var
    • Bruce Schneier'in görüşüne saygı duyuyorum ve bu konudaki tüm gönderilerin flag'lenmesini önlemek için bu gönderiyi öneriyorum
  • Schneier'nin mantığında hata olabilir
    • "Bu hassas veriler üzerinde AI yazılımı eğitiyorlar" şeklinde haberler var
    • Inference çalıştırmak, eğitim yapmakla aynı şey değil
    • Bu gönderi flag'lenmemeli; bu, ifade özgürlüğüne aykırı
    • HN'de onun içgörülerini değerli bulan birçok kişi var
    • Karşı görüşler, onları ortadan kaldırma girişimleri yerine yorumlarla ifade edilse daha iyi olur
  • Devlet bu kaosu atlatırsa, yazılım en baştan yeniden yazılmalı
    • Aksi halde yabancı ya da yerli hangi aktörlerin sistem hakkında bilgi sahibi olduğunu bilemeyiz
  • Schneier flag'lenmemeli
    • Günlerdir siber güvenlik risklerine dair sakin ve kapsamlı bir değerlendirme bekliyordum
    • Elde edebileceğimiz buna en yakın değerlendirme bu
  • Chesterton'ın çit ilkesini kabul etmek gerekir
    • "Chesterton'ın çiti", mevcut durumun nedenlerini anlamadan reform yapılmaması gerektiğini söyleyen ilkedir
  • Sonuçlar dayatılmadıkça bu davranışlar sürecek
    • Bu sonuçların yasama ya da yargı yoluyla gelmesi gerekir
  • Tanrı'nın izniyle, idari devlet onu denetlemek için seçilmiş yetkililer tarafından diz çöktürülecek
  • Şirketler, gayriresmî hükümetin dördüncü koludur
    • Borsa çökerse onlar da ortadan kaybolur
    • Politikacılara yönelik kampanya bağışları ve lobicilerin musluğu kapanır
    • Panik yaşanır ve liderlik değişir
    • Citizens United, her yerden gelen dark money'nin kampanyaları süresiz finanse etmesine izin veriyor, ancak bunun ABD doları ve piyasalara duyulan güven eksikliğinin yol açacağı borsa çöküşünü dengelemeye yetmesi mümkün değil
  • İlgili makale: "Hazine, DOGE erişiminin 'insider threat' olarak işaretlendiği konusunda uyarıldı"
    • Booz Allen Hamilton'ın yaptığı değerlendirme, Elon Musk'ın müttefikini hassas ödeme sistemlerinin gözetmeni olarak atamadan önce gerçekleştirilmişti
  • Devlet yüklenicisi Booz Allen Hamilton, cuma gecesi raporu hazırlayan taşeronu işten çıkardığını söyledi
    • Bu, Elon Musk'ın government efficiency department'ının Hazine'nin ödeme sistemlerine erişiminin "benzeri görülmemiş bir insider threat riski" yarattığını ve derhal durdurulması gerektiğini savunan bir taslak rapordu