ABD’nin siber savunması içeriden sökülüyor
(theregister.com)- CVE veritabanının durma tehlikesi, ABD federal siber güvenlik yapısının yalnızca bütçe, personel ve organizasyon kararlarıyla bile sarsılabileceğini gösteriyor
- Son 25 yıldır güvenlik açıkları için ortak referans noktası olan CVE sarsılırsa, savunmacılar aynı açıktan söz edip etmediklerini doğrulamaya zaman harcar ve saldırganlar bu karmaşadan yararlanabilir
- CISA’da personelin üçte birinden fazlası kesinti hedefindeydi ve MITRE’nin CVE sözleşmesi son anda uzatıldı, ancak Mart 2026’da yeniden sona erecek
- NSA ve US Cyber Command liderinin görevden alınması, CSRB’nin fiilen dağıtılması, Salt Typhoon soruşturmasının durdurulması, hazırlığın eyalet ve yerel düzeye kaydırılması ve federal hibelerin kesilmesi federal savunma kapasitesini zayıflatıyor
- Buna DOGE’nin hassas federal sistemlere erişimi de eklenince, ABD’nin kendi eliyle yarattığı güvenlik zayıflaması ABD dışındaki teknoloji ekosistemini de etkileyebilir
CVE durma tehlikesi ve açık yönetiminde karmaşa
- Common Vulnerabilities and Exposures yani CVE veritabanı, son 25 yıldır fiilen tüm güvenlik açıklarını düzenleyen temel liste oldu
- Eski CISA Direktörü Jen Easterly, CVE’yi güvenlik ekiplerinin, yazılım satıcılarının, araştırmacıların ve hükümetlerin güvenlik açıklarını aynı referans sistemiyle düzenleyip tartışmasını sağlayan küresel katalog olarak tanımlıyor
- CVE olmazsa kurumlar ya farklı listeler kullanmak ya da listesiz hareket etmek zorunda kalır, aynı sorundan söz edip etmediklerini doğrulamak için daha fazla zaman harcanır ve saldırganlar bu karmaşadan faydalanabilir
- CVE’yi denetleyen CISA’da personelin üçte birinden fazlası işten çıkarma hedefindeydi ve çalışanlara pazartesi gece yarısına kadar çalışmaya devam mı edecekleri yoksa istifa mı edecekleri konusunda seçim yapmaları bildirildi
- MITRE’nin CVE sözleşmesi son teslim tarihine çok kısa süre kala uzatıldı, ancak Mart 2026’da yeniden sona ermesi planlanıyor
CISA ve federal siber yapıların küçülmesi
- CISA’daki personel kesintileri ve sözleşme belirsizliği, CVE’nin sürekliliği sorunuyla doğrudan bağlantılı
- Geçmişte CVE sözleşmesinin uzatılması neredeyse tartışmasız bir karar sayılırdı, ancak bir sonraki uzatmanın yapılıp yapılmayacağı belirsizliğini koruyor
- CVE gibi ortak bir temel sarsıldığında, teknoloji güvenliği genelinde açıklara müdahaleyi koordine etmek zorlaşıyor
Üst düzey siber güvenlik isimleri ve danışma kurulunun dağıtılması
- NSA ve US Cyber Command başındaki General Timothy D. Haugh nisan başında görevden alındı
- 2016 seçimlerinden sonra Rusya müdahalesine verilen yanıt da dahil olmak üzere, ulusal siber altyapının savunulmasında önemli bir isim olarak görülüyordu
- Görevden alınmasının arka planında, aşırı sağ komplo teorisyeni ve Trump çevresinden bir isim olan Laura Loomer’ın ondan hoşlanmamasının etkili olduğu öne sürülüyor
- Cyber Safety Review Board yani CSRB, Biden yönetimi döneminde büyük siber olayları soruşturmak için kurulmuş bir yapıydı
- Tüm üyelerin görevine son verilerek fiilen dağıtıldı
- Çin bağlantılı “Salt Typhoon” saldırısı gibi önemli siber saldırılara ilişkin soruşturmalar durduruldu
- Salt Typhoon saldırısı Trump ve Başkan Yardımcısı JD Vance’ı da hedef almıştı, ancak yönetim bu konuyu ciddiye almamakla eleştiriliyor
Hazırlığın eyalet ve yerele kaydırılması, federal desteğin azaltılması
- Trump’ın Achieving Efficiency Through State and Local Preparedness başlıklı başkanlık kararnamesi, hazırlık kapasitesinin en etkili şekilde eyalet, yerel ve bireysel düzeyde sahiplenilip yönetildiğini, federal hükümetin ise bunu desteklediğini söylüyor
- Kararname, siber saldırılardan orman yangınlarına, kasırgalardan uzay hava olaylarına kadar uzanan riskleri yerel karar alma ve yatırım alanına dahil ediyor
- Siber saldırılar belirli bir eyaletle sınırlı kalmadığı için, 50 eyaletin her birinin devlet destekli hacker ekiplerine ayrı ayrı karşı koymasının gerçekçi olmadığı eleştirisi yapılıyor
- Trump, görev süresinin başında siber güvenliğe özel federal hibe programının fonunu da kesti
- Eyalet yönetimleri en üst düzey güvenlik uzmanlarını yeterli sayıda istihdam etmekte zorlanabilir
DOGE’nin hassas sistemlere erişimi ve veri riski
- Elon Musk’ın Department of Government Efficiency yani DOGE yapılanması, hassas federal sistemlere erişim sağladı
- Erişilen sistemler arasında Treasury Department’ın ödeme sistemi ile Social Security System de bulunuyor
- Bu verilerin bir yerlere kopyalanmış olabileceği ve görme ya da kullanma yetkisi olmayan kişilerin erişimine açılmış gibi göründüğü yönünde kaygılar dile getiriliyor
- Sadece dışarıdan gelen siber tehditlere karşı savunma değil, bireysel vatandaşları hedef alabilecek büyük çaplı güvenlik saldırılarının altyapısını oluşturabilecek verilerin de açığa çıktığı eleştirisi yapılıyor
- Bir sigorta şirketinden 1,6 milyon kişinin Social Security bilgisinin çalındığı olay bile bu bağlamda küçük ölçekli kalıyor
ABD dışına yayılabilecek etkiler
- ABD uzun süredir teknoloji güvenliğinde lider bir rol oynadığı için, federal siber savunmanın zayıflaması yalnızca ülke içi bir sorun değil
- En büyük zararı ABD görecek olsa da, tüm dünya bunun etkisini hissedebilir
1 yorum
Hacker News yorumları
Bu tam olarak nasıl Amerikan halkına fayda sağlıyor?
Maliyet açısından tartışılabilir. Örneğin CVE veritabanının yılda 50 milyon dolar değerinde olup olmadığı, özellikle de birikmiş işleri düşününce buna değip değmediği sorgulanabilir.
Ayrıca özel ya da yarı özel alternatif hizmetlerin ortaya çıkacağı ve birden fazla hizmetin rekabet ederek iyileşeceği varsayılabilir. Liberteryenler gibi, zor kullanma tekeli olmayan tüm hizmetlerin özel sektör tarafından yürütülmesi gerektiği de savunulabilir.
Ama bu iyi bir argüman değil. 50 milyon dolar büyük görünüyor ve azaltılabilecek alanlar olabilir. Yine de programı öylece bitirmek yerine gerçek bir operasyon analizi görmek isterdim.
İkinci argüman daha da kötü. NIST ve NOAA, maliyetine göre faydası büyük kurumlara örnek; kâr amaçlı bir NIST ya da kâr amaçlı bir NOAA pek mantıklı görünmüyor. Yine de kamu tarafından finanse edilen hizmetlerle özel sürümlerin artılarını ve eksilerini genel olarak tartmak değerli. Kötü bir argüman bile hiç olmamasından iyidir; mevcut yönetim ise böyle bir argüman bile sunmuyor.
Bunun hakları bastırmak için kullanılacağına dair çok sayıda komplo teorisi var ve sonunda belki gerçekten öyle de olabilir. Ama bu daha çok beceriksizce atılmış adımların sonuçlarına sonradan verilen bir tepki olur.
Şu an Trump yönetimindeki yaygın kanaat, bu tür siber güvenlik programlarının para israfı olduğu ve özel sektörün sihirli biçimde ortaya çıkıp bizi kurtaracağı yönünde.
Artık herkes düşük insan sermayesinin yüksek maliyetini yaşayacak.
Ne yazık ki Putin’in Almanya’daki Fulda Gap’e kadar işgali sürdürmesi çok muhtemel. Hâlâ NATO içindeysek savaş ilan etmekten başka seçeneğimiz kalmayacak.
Trump yönetimi, içsel değerinden bağımsız olarak ABD dışındaki insanlara da fayda sağlayan projelere para harcandığını görünce, Amerikan parasının başka ülkelere harcandığını varsayıyor.
Yeterince zeki değiller, yeterince bilgili değiller ve öğrenmeye ya da daha zeki insanları dinlemeye de pek niyetleri yok. Anlamadıkları bir bütçe kalemi görünce, bunun kaldırılabileceğini düşünüyorlar.
Altında yatan varsayım şu gibi: Gerçekten önemliyse biri bunu bir işe dönüştürür.
Signal sohbeti, hükümeti veri sızıntılarına ve yabancı etkiye açık hâle getirmeye kıyasla tali bir mesele.
https://www.newsweek.com/doge-whistleblower-stalked-threaten...
Bunları görmüyorlar. Doğru düzgün haberleştirme yok. Annem tarifelerin kapsamını da bilmiyordu, DJT kripto para dolandırıcılığını da bilmiyordu. Signal’ı da defalarca anlattım ama karmaşık şeyleri gerçekten anlamıyor.
Annem “Trump’ın kaba biri olduğunu biliyorum” diyor ama alıntılarsam, “Amerikalılar için Amerika” istiyor; Çin’i hizaya sokmasını ve sınırları korumasını istiyor.
Babama “Sence Amerika neden bu kadar güçlü ve etkili? Çünkü dünyaya yatırım yapıyor ve öğrencileri Amerika’ya kabul ediyor. Hiçbir neden yokken dünyanın merkezi değiliz” dediğimde, sadece “Biz dünyanın merkeziz” diye cevap verdi.
Ülkemiz soyut düşünemeyen ve yalanlara bağımlı insanlarla dolu.
Bütçe meselenin özü değil, dikkati dağıtan unsur. Sivil siber güvenlik sistemini parçalamak, halkı etki operasyonlarına ve başka zararlara açık hâle getirerek ileride daha fazla “güçlü lider” tarzı çözüme ihtiyaç doğurmanın bir yolu [0,1].
“Siber savunmayı” yok ettikten sonra ancak bir kriz olduğunu iddia edip “siber güvenlik öldü, yaşasın yeni siber güvenlik” diyebilirsiniz.
Ve bu kesinlikle sizin için güvenlik olmayacak.
[0] https://cybershow.uk/blog/posts/computer-security-is-a-polit...
[1] https://cybershow.uk/blog/posts/usw/
Yazı biraz zayıf. CVE bütçesinin neredeyse kesilecek olması kesinlikle trajik, ama NLRB’den veri çıkarılması ve herkesin hesaplarından kilitlenmesi olayına değinmemiş; siber güvenlik federal hibeleri ve CISA bütçe kesintilerini de sadece kısaca ele almış.
Trump yönetiminin ve Musk’ın DOGE ekibinin gerçekte ne kadar beceriksiz olduğunu gösterecek çok daha fazla malzeme var.
DOGE çalışanlarının NLRB’nin Azure hesabındaki faaliyetlerini gizlemek için özellikle çaba gösterdiğine dair ayrıntılı biçimde değiniyor. Devlet şeffaflığı için kesinlikle iyi bir şey olsa gerek.
Berulis’in ifşasına göre DOGE, NLRB sistemine eriştikten birkaç dakika sonra Rus IP adresine sahip biri oturum açma denemelerine başladı. Denemeler “neredeyse gerçek zamanlıydı”.
Oturum açma denemeleri engellendi ama özellikle kaygı vericiydi. Oturum açmaya çalışan kişinin yeni oluşturulan DOGE hesaplarından birini kullandığı ve doğru kullanıcı adını ve parolayı bildiği söyleniyor.
ABD hükümetine bağlı olmayan CVE gibi bir veritabanına ihtiyaç olabilir. Bu, BT dünyasının kendi zayıflığı
Son 10 yılın CVE geçmişini bilip de ciddi ciddi kimi önerebilirsiniz? Cisco’ya ya da Oracle’a mı taşere edeceksiniz?
https://www.thecvefoundation.org/
İlginç bir fikir: Tek bir kuruluşun ortadan kaldırma yetkisine sahip olmaması için CVE’yi birkaç ülkeye dağıtsak nasıl olur?
ABD işbirliği yapmasa bile bu açık bir veritabanı değil mi? BM, AB, Birleşik Krallık, Avustralya vb.nin bunu kopyalayıp ortak bir CVE kurmasını engelleyen ne var?
Trump, “her şeyin bilgisayar olduğu” gerçeğine ikinci kez şaşıracak
Bu sabotaj, ama bunu kim yaptı?
“Washington Monument syndrome, Mount Rushmore syndrome veya firemen first principle olarak da bilinir; ABD devlet kurumlarının bütçe kesintileriyle karşılaştığında, devletin sunduğu hizmetler arasından en görünür veya en çok değer verilen hizmetleri azaltması olgusunu ifade eden bir terimdir”
https://en.wikipedia.org/wiki/Washington_Monument_syndrome