Bir Ulusal Siber Saldırı Olarak DOGE
(schneier.com)- Yeni kurulan Department of Government Efficiency (DOGE) ile bağlantılı personelin Hazine Bakanlığı, USAID, OPM, Medicaid·Medicare gibi hassas federal sistemlere eriştiğine dair raporlar artarken, ABD hükümeti güvenliğinin temel kontrol mekanizmaları sarsılıyor
- Sorun basit görüntülemeden ibaret değil; yönetici yetkileri, kritik programları değiştirme olasılığı, şifreleme anahtarlarına erişim, denetim günlüklerini değiştirme, yetkisiz sunucu bağlantıları ve hassas verilerin yapay zeka yazılımlarına verilmesini de kapsıyor
- Hazine Bakanlığı’nın federal ödeme sistemi yılda yaklaşık 5,45 trilyon doları işliyor; OPM ise milyonlarca federal çalışanın ve güvenlik izni sahiplerinin ayrıntılı kişisel bilgilerini barındırıyor, bu da ulusal güvenlik etkisini büyük kılıyor
- Görev ayrılığı, denetim, değişiklik takibi, olay müdahalesi ve çoklu onay gibi kötüye kullanımı önleyici mekanizmaların işlemesi gerekirken, bunlardan sorumlu kariyer kamu görevlilerinin dışlandığı veya yerlerine başkalarının getirildiği en büyük risk olarak gösteriliyor
- Yetkisiz erişimin kaldırılması, kimlik doğrulama süreçlerinin yeniden tesis edilmesi, izleme ve değişiklik yönetiminin yeniden devreye alınması ve tüm sistemin sıfırlanması olasılığını da kapsayan bir denetim gerekiyor; sınırsız erişim uzadıkça kurtarma daha da zorlaşıyor
DOGE erişiminin yarattığı güvenlik ihlalinin kapsamı
- ABD hükümeti birkaç hafta içinde, sofistike bir yabancı siber saldırı ya da casusluk faaliyeti nedeniyle değil, hükümet içindeki rolü belirsiz bir milyarderin resmi talimatları doğrultusunda tarihsel ölçekte ciddi bir güvenlik ihlali yaşamış olabilir
- DOGE ile bağlantılı personelin Hazine Bakanlığı bilgisayar sistemlerine erişerek yılda yaklaşık 5,45 trilyon dolar tutarındaki federal ödeme verilerini toplama veya potansiyel olarak kontrol etme konumunda olduğu bildiriliyor
- Erişim kapsamı birden fazla kritik kuruma yayıldı
- USAID’in gizli verilerine, güvenlik izni olmayan DOGE personeli erişti ve bunları kendi sistemlerine kopyalamış olabilir
- OPM, milyonlarca federal çalışanın ve güvenlik izni sahiplerinin ayrıntılı kişisel bilgilerini barındıran kurum ve ihlal hedefi olarak ele alınıyor
- Medicaid ve Medicare kayıtlarının da ihlal edildiği değerlendiriliyor
- CIA çalışanlarının bazı adları yeterince silinmeden gizli olmayan e-posta hesaplarına gönderildi
- DOGE personelinin Eğitim Bakanlığı verilerini yapay zeka yazılımlarına verdiğine ve Enerji Bakanlığı’nda çalışmaya başladığına dair haberler var
Hazine Bakanlığı erişimini engellemek neden yeterli değil
- 8 Şubat’ta bir federal yargıç, DOGE ekibinin Hazine Bakanlığı sistemlerine daha fazla erişmesini engelledi
- Verilerin halihazırda kopyalanmış veya yazılımın kurulmuş/değiştirilmiş olma olasılığı nedeniyle, yalnızca erişimi engellemenin sorunu çözüp çözmediği belirsiz
- Federal çalışanlar ulusal güvenliği koruyan protokollere uymazsa diğer kritik hükümet sistemlerinde de ihlaller devam edebilir
Bu sistemlerin devlet işleyişinin merkezinde olmasının nedeni
- DOGE’nin eriştiği sistemler çevresel altyapı değil, devlet işleyişinin merkezi bağ dokusu niteliğinde
- Hazine Bakanlığı sistemleri, federal hükümetin parayı nasıl hareket ettirdiğine dair teknik planı içeriyor
- OPM ağları, hükümetin kimi istihdam ettiği ve hangi kuruluşlarla sözleşme yaptığına dair bilgiler barındırıyor
- Çin hükümetinin 2015’teki OPM ihlali, personel verilerinin istihbarat görevlilerini tespit etmek ve ulusal güvenliğe zarar vermek için kullanılabileceğini gösteren büyük bir ABD güvenlik başarısızlığıydı
Eşi benzeri görülmemiş olan yalnızca kapsam değil, yöntem de
- Yabancı düşman unsurlar normalde bu tür hükümet sistemlerine sızmak için yıllarca gizlice erişim sağlamaya ve izlerini saklamaya çalışır
- Bu kez, deneyimi sınırlı ve neredeyse hiç denetimi olmayan dış operatörler, kamuoyu gözetimi altında en üst düzey yönetici erişim yetkileri alarak ABD’nin hassas ağlarını değiştiriyor
- Bu tür değişiklikler yeni güvenlik açıkları yaratabilir
- Daha büyük endişe, erişimin kendisinden çok, kötüye kullanımı tespit edip engelleyen güvenlik mekanizmalarının sistematik biçimde zayıflatılması
- Standart olay müdahale protokolleri
- Denetim
- Değişiklik izleme mekanizmaları
- Bu güvenlik mekanizmalarından sorumlu kariyer kamu görevlilerinin görevden alınması ve yerlerine deneyimsiz operatörlerin getirilmesi
Görev ayrılığı ilkesinin göz ardı edilmesinin riski
- Hazine Bakanlığı bilgisayar sistemleri ulusal güvenlik üzerinde büyük etkiye sahip olduğundan, nükleer fırlatma protokollerinde olduğu gibi tek bir kişinin sınırsız yetkiye sahip olmaması ilkesiyle tasarlanmıştır
- Nükleer füze fırlatmak için iki subayın aynı anda anahtarı çevirmesi gerektiği gibi, kritik finansal sistem değişiklikleri de geleneksel olarak birden fazla yetkili personelin birlikte çalışmasını gerektirir
- Bu yaklaşım görev ayrılığı (separation of duties) denen bir güvenlik ilkesidir; basit bir bürokratik prosedür değildir
- Bankalardaki büyük para transferi doğrulaması veya şirketlerdeki önemli finansal rapor onayları gibi, birden fazla kişinin ayrılmış rollerle doğrulama yaptığı süreçler yolsuzluğu ve hataları önleyen zorunlu emniyet mekanizmalarıdır
- Bu önlemlerin baypas edildiği veya yok sayıldığı durum, Fort Knox’taki güvenlik görevlilerini işten çıkarıp kasaya refakatsiz ziyaretlere izin veren bir politika ilan etmeye benzetiliyor
Somut olarak endişe yaratan yetkiler ve değişiklikler
- Sen. Ron Wyden tarafı, saldırganların Hazine Bakanlığı bilgisayarlarında federal ödemeleri doğrulayan kritik programları değiştirme, finansal işlemleri koruyan şifreleme anahtarlarına erişme ve sistem değişikliklerini kaydeden denetim günlüklerini değiştirme yetkisi elde ettiğini değerlendiriyor
- OPM’de, DOGE ile bağlantılı personelin ağa yetkisiz bir sunucu bağladığına dair haberler var
- Hassas verilerle yapay zeka yazılımı eğitildiğine dair haberler de var
- Yeni sunucunun işlevi ve ayarları bilinmiyor; yeni kodun sıkı güvenlik testi protokollerinden geçtiğine dair kanıt yok
- Bu tür yapay zeka sistemleri bu veri türleri için yeterince güvenli değil ve federal verilere erişmeyi hedefleyen yabancı ya da yerli hasımlar için ideal hedef haline geliyor
Sistem değişikliklerinin bıraktığı uzun vadeli açıklar
- Donanım veya yazılım değişikliklerinin karmaşık planlama süreçlerinden ve gelişmiş erişim kontrol mekanizmalarından geçmesinin nedeni, bu sistemlerin önemidir
- Şu anda sistemler tehlikeli saldırılara çok daha açık hale gelirken, onları korumak üzere eğitilmiş meşru sistem yöneticileri de engellenmiş durumda
- Kritik sistemleri değiştirmek yalnızca mevcut operasyonları değil, gelecekteki saldırılarda kullanılabilecek açıkları da geride bırakabilir
- Rusya ve Çin gibi hasımlar uzun süredir bu sistemleri hedef alıyor; yalnızca istihbarat toplamakla kalmayıp kriz anlarında sistemleri nasıl aksatabileceklerini de anlamaya çalışıyor
- Sistemlerin çalışma biçimi, güvenlik protokolleri ve açıkların teknik ayrıntıları, olağan güvenlik önlemleri olmadan kimliği belirsiz taraflara ifşa edilmiş olabilir
Güvenlik etkisi üç alana ayrılıyor
-
Sistem manipülasyonu
- Dış operatörler operasyonları değiştirirken, bu değişiklikleri izleyen denetim izlerini de değiştirebilir
-
Veri ifşası
- Kişisel bilgiler ve işlem kayıtlarına erişimin ötesinde, tüm sistem mimarisi ve güvenlik yapılandırmaları kopyalanabilir
- Hazine Bakanlığı örneğinde bu, ABD federal ödeme altyapısının teknik planını içeriyor
-
Sistem kontrolü
- Kritik sistemler ve kimlik doğrulama mekanizmaları değiştirilirken, bu tür değişiklikleri tespit etmek üzere tasarlanmış araçlar devre dışı bırakılabilir
- Bu, basit bir operasyonel değişiklik değil; operasyonların dayandığı altyapının kendisini değiştirme eylemidir
Gerekli acil adımlar
- Yetkisiz erişim kaldırılmalı ve uygun kimlik doğrulama protokolleri yeniden tesis edilmeli
- Kapsamlı sistem izleme ve değişiklik yönetimi yeniden devreye alınmalı
- İhlal edilmiş sistemleri temizlemek zor olduğundan, tam bir sistem sıfırlaması gerekebilir
- Bu dönemde yapılan tüm sistem değişiklikleri için kapsamlı bir denetim yürütülmeli
- Devam eden sınırsız erişim, nihai kurtarmayı daha da zorlaştırır ve kritik sistemlerde geri döndürülemez hasar riskini artırır
1 yorum
Hacker News görüşleri
Dile getirdiği kaygılar, özellikle de hasım devletlerin ve hasım aktörlerin veri toplama ve ABD’yi bozma ya da saldırma yollarını anlama fırsatlarının artacağı kısmı makul görünüyor
Seçilmiş bir kamu görevlisinin aptalca ya da güvensiz bir şey yapması ile seçilmemiş kişilerin hiçbir denetim ve denge olmadan bunları yapabilmesi aynı şey değil
Bu arada, bu konudaki yazılar sürekli flag’leniyor gibi göründüğü için bu yazıya upvote verdim; Bruce Schneier’a ve onun birçok görüşüne saygı duyuyorum
Kişisel e-posta sunucusu ile ilgili oldukça meşhur bir olay olduğunu hatırlıyorum
Şu anda olanlarla karşılaştırınca gerçekten akıl almıyor
Schneier’ın akıl yürütmesinde bir hata olabilir:
They are also reportedly training AI software on all of this sensitive data.Çıkarım çalıştırmak, eğitim ile aynı şey değildir
Yine de bu yazının flag’lenmesi gerektiğini düşünmüyorum. İfade özgürlüğüne aykırı gibi geliyor; HN’de onun yazdığı başka yazılar da çok iyi değerlendirmeler aldı ve içgörülerini değerli bulan çok kişi olduğu açık. Katılmıyorsanız, yazıyı ortadan kaldırmaya çalışmak yerine bunu yorumlarda ifade etmek daha iyi
Karşı tarafın görüşü ise, daha yeni seçimle hükümet israfını denetleme ve azaltma yetkisi aldıkları; hükümet bürokratlarının bütçe ve faaliyetleri istenmeyen gözetim ve denetimden korumak için raporları çarpıttığı bir asil-vekil sorununu önlemek adına verilere doğrudan erişimin gerekli olduğu yönünde
Böyle çerçevelerseniz, değişiklik kontrolünü sürdürmek gibi argümanlar olsa bile karşı kamptan flag yemeği istemiş olursunuz
Ancak benim hipotezim, hedeflerinin aslında her bir bakanlığın tüm çıktılarıyla modeli eğitmek olduğu yönünde
Teknik uygulama açısından şu an gördüğümüz şeyin nihayetinde BigBalls ve ekibinin büyük dil modellerine bundan sonra ne yapmaları gerektiğini sorması seviyesine indirgeneceğini düşünüyorum. Sonradan dava açılırsa savunmalarının bu olacağına para basarım
Schneier flag’lenmemeli. Birkaç gündür birinin sakin ve derli toplu bir siber güvenlik risk değerlendirmesi ortaya koymasını bekliyordum; bu yazı, elde edebileceğimiz şeye en yakın olanı
Chesterton’ın çiti ilkesini akılda tutmak gerekiyor
Ülke bu çılgınlığı atlatırsa, yazılımın sıfırdan yeniden yazılması gerekecek. Aksi halde içeriden ya da dışarıdan hangi aktörlerin sistem bilgisine sahip olduğunu bilemeyeceğiz
Şirketler fiilen hükümetin gayriresmî dördüncü kolu. Borsa çökerse bunlar bir anda ortadan kaybolur
Siyasetçilere akan seçim bağışları ve lobici para kaynakları kesilir, panik gelir ve liderlik de değişir
Citizens United kararı yüzünden kimliği belirsiz paranın herhangi bir yerden akıp seçim kampanyalarını süresiz ayakta tutabileceğini biliyorum; ama bunun ABD dolarına ve piyasalara güven kaybı nedeniyle borsanın çökmesini telafi edecek kadar olacağını sanmıyorum
Garip olan, Trump’ın dışarıdan bakıldığında diktatör el kitabını daha en baştan berbat şekilde takip ediyor olması. Bu el kitabını yazmış hâlihazırda yaşayan diktatörler bile var. İdari devleti tasfiye etmek için hükümeti birden çok dönem boyunca kontrol etmeniz gerekir. Önce ekonomiyi ya da yaşam kalitesini mümkün olduğunca hızlı şekilde rayına oturtup kendinizin ya da halefinizin en üst iktidarını sağlamlaştırmalısınız. Sonra, halkın gönüllü olarak verdiği gücü birkaç dönem boyunca kullanarak kendi gücünüz üzerindeki denetimleri sökmeli, destekçilerinizin ceplerini ve zihinlerini doldurmalısınız. Ondan sonra ekonomi çökse bile direniş kurbağasını yavaş yavaş haşlayarak kimsenin sizi indirememesini sağlarsınız. Ardından insanlar şikâyet etmeye başladığında ileri sürebileceğiniz bir siyasi özgürlük görünümü kalsın diye muhalefeti tasarlamaya başlarsınız
Trump bunu tersinden yapıyor gibi. Ekonomiye odaklanmak yerine önce destekçilerini besliyor; bu nispeten daha riskli bir strateji. Yine de daha bir ay bile olmadı, el kitabını düzgün şekilde takip etmeye başlamak için hâlâ zamanı var
Sonuçlarıyla yüzleşilene kadar bu davranışlar sürecek
Eklemek gerekirse, bu sonuçların yasama ya da hukuk niteliğinde olması gerekir
Saldırganlar, kritik sistemleri değiştirerek yalnızca mevcut operasyonları ihlal etmekle kalmadı, gelecekteki saldırılarda istismar edilebilecek güvenlik açıkları da bıraktı. Rusya ve Çin gibi hasım ülkelere eşi benzeri görülmemiş bir fırsat verilmiş oldu. Bu ülkeler uzun süredir bu sistemleri hedefliyor; yalnızca bilgi toplamak istemiyor, kriz anında bu sistemleri nasıl aksatabileceklerini de anlamaya çalışıyorlar
Bu noktada, tüm bu darbenin Batı dünyasına yönelik Rus/Çin tarzı bir saldırı olmadığını hayal etmek gerçekten zor. Onlar için o kadar akıl almaz derecede avantajlı ki tesadüf olarak görmek güç
Belki de kendilerini hükümet dışında bir şey olarak görüyorlardır; ama katıldıkları yarışın kendisi, hükümet işi yapmak üzere seçilme yarışıydı
Bir noktada, yararlı hükümet işlevlerine yönelik araçlar, artık kullanılabilir kapasite olarak kalmayacak kadar tahrip edilmiş olacak
Gerçekten öyle mi olmalı?
Tanrı’nın takdiriyle, idari devlet onu denetlemek üzere meşru biçimde seçilmiş kamu görevlileri tarafından dize getirilecek
İlgili makale: “Treasury was warned DOGE access to payments marked an ‘insider threat’”