@War: The Rise of the Military-Internet Complex by Shane Harris - Bir Kitap İncelemesi
Posted on June 22, 2024 • 14 minutes • 2912 words • Other languages: English
Table of contents
Bu yazının Türkçe’ye tercümesinde ChatGPT’den faydalanılmıştır.
Kitap ve Yazar
Yazar Shane Harris, The Washington Post gazetesi için istihbarat ve ulusal güvenlik konularında araştırmalar yapan bir muhabirdir. 2014 yılında yayımlanan kitabında, siber uzaydaki mevcut savaşın tarihi köklerini açıklamaktadır. Siber alan; kara, deniz, hava ve uzay gibi geleneksel alanlara ek olarak beşinci alan olarak kabul edilmeye başlanmıştır. Doğası gereği ve asimetrik dengesizlikler nedeniyle, nispeten düşük gelirli bir ülke, bilgi teknolojisi altyapısına yatırım yaparak kendi kötü amaçlı yazılımlarını geliştirebilir ve yüksek gelirli bir ülkeye karşı çeşitli siber saldırılar başlatabilir; bu, geleneksel askeri savaşta çok da mümkün değildi.
Kaynakların terörle mücadeleden siber tehditlere tahsis edilmesi konusundaki politik değişim, ABD ve dünya için kritik bir dönüm noktasıdır. Bu değişim, yazar tarafından politik bir perspektiften ve sorunların arka planından gösterilmektedir. İster kabul edelim ister etmeyelim, ulus-devletler siber uzayın ana aktörleridir. Bu nedenle, siyasi amaçlar için bu alanda güç sahibi olma eğilimi artmaktadır.
Bu metinde, kitapta dikkatimi çeken bazı noktaları nakletmek istiyorum.
Kitaptan Alıntılar
Artık hükümet, bu bilgiyi katı gizlilik kuralları altında şirketlerle paylaşıyordu. Alıcılar, tehdit imzalarını aldıklarını açıklamamalı ve kendi ağlarına yapılan herhangi bir saldırıyı Pentagon’a bildirmeliydi. (s.14)
Ekim 2012’de dönemim Savunma Bakanı Leon Panetta, ABD’nin fiziksel yıkıma ve can kaybına neden olacak, ulusu felç edip şok edecek ve yeni bir kırılganlık hissi yaratacak bir “siber Pearl Harbor” eşiğinde olduğunu uyardı. Beş ay önce, Başkan Barack Obama bir gazete makalesinde, geleceğin savaşlarının çevrimiçi olarak yapılacağını ve “savaş alanında askeri üstünlüğümüzle boy ölçüşemeyen bir düşmanın, burada evimizdeki bilgisayar açıklarımızı istismar etmeye çalışabileceğini” yazdı. (s.14)
Askeriye artık siber uzayı savaşın “beşinci alanı” olarak adlandırıyor ve orada üstünlüğü, diğer dört alanda olduğu gibi, misyonu için hayati öneme sahip görüyor: Kara, deniz, hava ve uzay. (s.16)
Gerçekten de, casusluk ve saldırı kombinasyonu olan siber savaş, 2007’de Irak’taki Amerikan askeri zaferi için hayati öneme sahipti; bu zafer, tam olarak açıklanmadı veya takdir edilmedi. ABD Ordusu, ABD istihbarat ajansları ile birlikte fiziksel dünyadaki insanları takip etmek ve ardından yakalamak veya öldürmek için saldırgan siber teknikler (hackleme) kullandı. (s.16)
Hükümet yetkilileri, savunma hakkında konuşmayı tercih ederler; bu, stratejik ve alaycı bir hesaplamadır: İşgalcileri püskürtmek için fon ve siyasi destek toplamak, diğer ülkelerde casusluk yapmak veya saldırmak için bir siber ordu kurmaktan daha kolaydır. (s.18)
2003 işgaline giden aylarda askeri liderler, zararlı yazılımın Iraklı bilgisayar ağlarından Fransız bankaları tarafından kullanılanlara göç edebileceği korkusuyla Irak’ın bankacılık sistemine planlanan bir siber saldırıyı iptal ettiler. …siber silahlardan kaynaklanan dolaylı zarar riski büyüktü. (s.25)
Federal hükümetin şirkete ABD’de faaliyet göstermesi için bir lisans vermesi karşılığında şirket, ABD istihbarat ajanslarına keni ağlarına kesintisiz erişim garantisi veren bir sözleşme imzalamak zorundaydı. Böylece telefon görüşmeleri kaydedilebilirdi. (s.29)
En gizli ABD hackerları, aynı zamanda en nadir olanlarıydı—sadece birkaç yüz kişi “TAO” için çalışıyordu ve bunların çoğu yıllarca NSA tarafından tasarlanmış eğitimlerden geçmişti. Casus ajansın müfredatın yazılmasına yardımcı olduğu kolejler ve üniversiteler vardı. (s.36)
Mevcut yasalar uyarınca, ajans bir yabancı teröristin e-postasını ele geçirmek istiyorsa, bu e-posta ABD’de bulunan bir sunucuda depolanmışsa bir arama emri alması gerekebilir. (s.40)
Geliştiriciler arasında yirminci yüzyılın sonlarında en gizemli casuslardan biri olan, Emekli Hava Kuvvetleri Albayı Pedro “Pete” Rustan da vardı. Gizli kariyeri, Alexander ve Petraeus gibi istihbarat ve askeri liderler için RTRG’nin ne kadar önemli olduğunu anlamamıza yardımcı oldu; onların inancına göre bu, Irak’taki savaş için belirleyici olacaktı. (s.47)
1980’lerde Rustan, hava kuvvetleri jetlerini yıldırım çarpmasından koruyacak teknoloji tasarladı. …2012’de Rustan öldüğünde, Michael Hayden Washington Post’a şunları söyledi: “O, halkın hiç duymadığı ama Amerikalıların güvende kalmasından sorumlu olan kişilerden biridir.” (s.48)
Başarı birçok babaya sahip olabilir, ancak ABD hükümetinin üst düzey liderlerini siber savaş kavramıyla tanıştırma kredisine sahip olabilecek biri varsa, o Mike McConnell’dır. (s.52)
O yıl savunma bakanı, Pentagon’un kullandığı ancak aslında çalıştırmadığı ağlara, özellikle kamu telefon ağına ve İnternet’e karşı bir “bilgi savaşı saldırısı” planlamasını emretti. Savunma Bakanlığı yalnızca erken bir benimseyici değil, aynı zamanda icat edeniydi. (s.52)
İstihbarat operatörleri, “kaynaklarını ve yöntemlerini korumak isterler” diye yazdı isimsiz bir NSA yazarı. (s.53)
Ancak NSA, yabancı istihbarat amaçları için bu ekipmanı dinlediğinde, bir emre ihtiyaç duymamalıdır; sonuçta, hiçbir Amerikalıyı gözetlemiyor. (s.55)
Ağustos 2007’de, McConnell ve Beyaz Saray tarafından köşeye sıkıştırıldıklarına inanan Demokratlar, istemeyerek yasayı onayladır. Bir aydan biraz fazla bir süre sonra NSA, ABD şirketlerinden büyük miktarda e-posta ve diğer İnternet iletişimlerini elde eden yeni bir toplama sistemi olan PRISM’i yaygınlaştırdı. (s.56)
Daha sonra, özel bir toplantıda Bush, Obama’ya İran’daki bir nükleer tesise karşı gizli bir siber saldırı setini onayladığını, daha sonra Stuxnet olarak bilinen bilgisayar solucanını kullandığını aktardı. (s.57)
Araştırmacılar genellikle Stuxnet’in 2009 ve 2010 yılları arasında bin santrifüjü yok ettiğini belirtir. Bu, tesisin çalıştırdığı toplam santrifüjlerin sadece yaklaşık yüzde 20’siydi ve İranlılar, hasar gören ekipmanları değiştirmek için yedek santrifüjlere sahipti. Ancak Obama yönetimi yetkilileri, Stuxnet’in İran’ın silah programını iki yıla kadar geri götürdüğünü söylediler. Eğer durum böyleyse, Stuxnet’in bir savaşı başlatmak için değil, önlemek için tasarlandığı göz önüne alındığında, bu değerli ve kıymetli bir zamandır. (s.58)
Obama, yabancı hackerların ABD’deki ışıkları gerçekten kapattığını söylemedi. Ancak özel olarak, bazı istihbarat yetkilileri, Çinli hackerların 2003 ve 2008’deki iki büyük elektrik kesintisinden sorumlu olduğunu iddia etti. İlk elektrik kesintisi, Kuzey Amerika tarihinin en büyüğüydü, Michigan, Ohio, New York ve Kanada’nın bazı bölgelerini kapsayan 93.000 mil karelik bir alanı kapsıyordu. Yaklaşık 50 milyon insan etkilendi. Ortaya çıkan panik o kadar büyüktü ki Başkan Bush, ışıkların geri geleceğini halka güvence vermek için ulusa seslenerek ifade etti. Yirmi dört saat içinde, elektrik büyük ölçüde geri geldi. (s.63)
2010 yılında Siber Komutanlık şefi olan Alexander, Çin’in endüstriyel casusluk eylemlerinin ülkenin ekonomik büyümesine büyük katkıda bulunduğunu ve ABD’nin en büyük ekonomik zorluklarından biri haline geldiğini söyledi. “Çin, Amerika’nın en iyi şirketlerinin ticari sırlarını çalıyor ve bu bilgileri Çinli şirketlere aktarıyor” dedi. (s.63)
İran’daki bir enerji santraline saldırmak için tasarlanmış bir virüs veya solucanın, Çin’deki bir santrali yok etmesine izin verilmemelidir. “3. Dünya Savaşını başlatmak istemiyoruz,” diyor Ann Barron-DiCamillo, ABD İç Güvenlik Bakanlığı’nda üst düzey bir yetkili ve ABD Savunma Bakanlığı ile birlikte siber saldırılara karşı koordinasyon yapıyor. (s.67)
Ordunun üç ana siber savaş görevi vardır. İlk görev, dünya çapındaki kendi askeri ağlarını yönetmek ve savunmaktır. (s.67) Ordunun ikinci siber misyonu ise silahlı kuvvetleri savaşta desteklemektir. (s.69) Üçüncü görev, askeri personelin “Siber Ulusal Görev Gücü” olarak adlandırdığı bir güç kullanarak Amerika Birleşik Devletleri’ni korumaktır. (s.70)
Koruma güçleri, tam ölçekli bir savaş durumunda gerçekten kendilerini göstereceklerdir. Böyle bir durumda, ABD’nin bir düşmanı en sofistike siber silahlarını ve en iyi savaşçılarını kullanarak askeri komuta ve kontrol ağlarını devre dışı bırakmak veya içlerindeki bilgileri bozmak isteyecektir. (s.68)
2013 yılında yaklaşık 12.600 kişiden oluşan hava kuvvetlerinin siber gücünün yaklaşık %90’ı savunma üzerinde çalışmaktadır. (s.72)
Öncelikle, saldırı savunmadan çok daha zordur. Her ikisini yapmak için gereken araçlar ve prensipler birçok yönden temelde aynıdır. Ancak bir savunucudan çok korunan bir yere girip, bu güvenliği aşmasını istemek farklıdır. (s.72)
Dell SecureWorks’te kötü amaçlı yazılım araştırma direktörü olan Joe Stewart, Çinli siber casusların kiraladığı veya hacklediği ve ABD hükümeti ile Amerikan şirketlerine karşı operasyon üssü olarak kullandığı yirmi dört bin internet alan adını izlediğini 2013 yılında Bloomberg Businessweek’e söyledi. (s.74)
Şifrelenmiş bilgileri okumak daha zordur, ancak imkansız değildir. Sonuçta NSA’nın misyonunun bir parçası kod kırmaktır ve bu konuda altmış yılı aşkın süredir en iyisi olmuştur. (s.80)
ABD istihbarat yetkilileri ve bazı milletvekilleri yıllardır Huawei’nin, Çin’in askeri ve istihbarat servislerinin bir paravanı olduğunu düşünüyorlar. (s.80)
ABD yasalarına göre istihbarat ajansları, diğer ülkelerin yasalarını ve egemenliğini ihlal eden ve ABD hükümetinin dahil olduğunu gizlemeye yönelik gizli operasyonlar yürütebilirler. (s.84)
NIST, standartları gözden geçirmek ve yorumlar sunmak için uzmanların katılımını sağlayan açık, şeffaf bir süreç aracılığıyla çalışır. Bu nedenle onayının bu kadar ağırlığı vardır. (s.96)
Rastgele sayı üreteci araç üzerinde sadece NSA’nın bildiği bir şekilde değişiklik yapmak, tüm şifreleme standardını zayıflatır. (s.96)
NSA’nın çabaları 2013’te Edward Snowden tarafından açıklanan belgelerde ortaya çıktığında, RSA ve NIST ajanstan uzaklaştılar ancak hiçbirisi arka kapının yerleştirilmediğini iddia etmedi. (s.97)
Birçok gözlemci, mevcut tekniğin NSA tarafından önerilen algoritmadan daha güvenli olduğu için NSA tarafından tercih edilmediğini speküle etti. (s.99)
Bugün güvenlik uzmanları ve hükümet yetkilileri, NSA’nın serbest çalışan hackerlar ve kurumsal aracılarla dolu karanlık bir çevrimiçi pazardaki sıfırıncı gün açıklarının en büyük alıcısı olduğuna inanıyor. (s.101)
Raytheon ve Harris Corporation, sıfırıncı gün pazarında büyük oyunculardır. Ayrıca askeriye için geleneksel silah sistemleri tasarlarlar ve Pentagon’un en köklü ve en büyük yüklenicilerinden ikisidirler. (s.101)
Böylesine belirsiz ve zor farkedilir bir hatayı saptama yeteneği, iyi hackerları büyük hackerlardan ayıran şeydir ve sıfırıncı gün açıklarının keşfine yol açar. (s.102)
Donanımın iç mekaniklerinde bulunan kusurlara dayananlar gibi daha karmaşık açıklar milyonlara mal olabilir. Bu açıklar çok pahalıdır çünkü makinenin mühendisliğini hedef alırlar, yeni yazılım güncellemesi ile giderilemezler. (s.102)
NSA, yalnızca Çin sistemlerine karşı kullanmak üzere iki binden fazla sıfırıncı gün açığı depolamıştır, diyor NSA yetkilileriyle gizli bir toplantıda bilgilendirilen eski üst düzey bir hükümet yetkilisi. (s.102)
…ABD’nin İsrail ile birlikte İran’ın nükleer tesisini devre dışı bırakmak için inşa ettiği bilgisayar solucanı, dört sıfırıncı gün açığı içeriyordu ki bu bir saldırı için çok fazladır. İki bin sıfırıncı gün açığından oluşan bir koleksiyon, siberin nükleer cephaneliğine eşdeğerdir. (s.103)
Vupen, sıfırıncı gün abonelik planını veya kataloğundan bir silahı satın alanların, bu bilgileri başka aktörlere tekrar satmayacaklarını garanti edemeyeceklerini ifade ediyor. (s.104)
Ancak ABD’ye yönelik önemli fiziksel zarar veya yaygın, panik ya da ölüm ile sonuçlanacak bir siber saldırı olursa, ajans bu felaketi önlemekteki başarısızlığı nedeniyle hesap vermek zorunda kalacaktır. (s.104)
ReVuln’un kurucuları, Reuters muhabirine programlarının sistemleri yok eden veya insanların ölümüne neden olan saldırılarda kullanılması durumunda endişelenip endişelenmeyecekleri sorulduğunda, “Biz silah satmıyoruz, bilgi satıyoruz” dediler. (s.105)
Apple ürünlerinde, MacBook Air ve iPhone da dahil olmak üzere, tespit edilmesi zor hataları bulan eski NSA çalışanı Charlie Miller, Twitter için çalışmaya başladı. (s. 107)
Google çalışanları, sıfırıncı gün gri pazarındaki en büyük rakiplerinin NSA olduğunu söylüyorlar: NSA, sıfırıncı gün açıklarını herkesten daha hızlı satın alıyor ve en yüksek bedeli ödüyor. (s.108)
1.5 milyon dolar karşılığında müşteriler, dünya çapında yüz milyonlarca savunmasız bilgisayarın fiziksel konumunu ve İnternet adreslerini gösteren bir veritabanına erişebilirler. (s.109)
Endgame’den bir çalışanın, bir muhabire aktardığına göre: “Bonesaw, İnternet’e bağlı neredeyse her cihazı ve onun donanımını ve yazılımını haritalama yeteneğidir.” (s.109)
Ve Çinli siber casuslar Çin ordusu tarafından destekleniyorsa, bir Amerikan şirketi egemen bir hükümete karşı, bir siber savaş başlatma ihtimaliyle karşı karşıyadır. (s.111)
Fick, savaş deneyimine dair bir anı yazdı ve başka bir kitap olan Generation Kill’de profilini oluşturdu, bu da HBO için bir mini diziye dönüştü. (s.112)
Microsoft’un avukatları bile ortak hukuk ihlallerini kullanmayı, bir siber saldırı için izin almak için düşünmediklerini kabul etti. (s.123)
Bir eski NSA yetkilisi, bugünün en iyi özel güvenlik firmalarının eski “SIGINT’erler” tarafından yönetildiğini ve sadece elektronik istihbaratı değil, aynı zamanda insan kaynaklarını da kullandığını söylüyor. (s.125)
…NSA’nın TAO birimi, siber savaşın ön saflarındadır ve dünya genelindeki bilgisayar sistemlerine yönelik saldırılar düzenlemektedir. (s.126)
2013 yılında ağ ekipmanı devi Cisco, Sourcefire’ı 2.7 milyar dolar nakit karşılığında satın alma konusunda anlaştı, bu işlem, New York Times’ın dediği gibi, şirketleri siber saldırılardan ve casusluktan koruma konusundaki büyüyen heyecanı yansıtıyordu. Satın alım duyurulduktan sonra, eski bir askeri istihbarat subayı; Cisco’nun Snort adlı açık kaynaklı bir sızma algılama sistemi üzerine kurulu olan bayrak gemisi ürünü için bu kadar çok para ödediğine şaşırdığını söyledi. (s.126)
Mağdurun Pretty Good Privacy adlı bir şifreleme programını başlatmak için kullandığı ifade veya harf dizisi. (s.127)
Veri İntersept Teknoloji Birimi, ancak içeridekiler ona DITU diyorlar. FBI’ın NSA’nın eşdeğeri, basında neredeyse hiç kapsanmayan ve son on beş yıl içinde sadece birkaç kez kongre ifadesinde geçen bir sinyal istihbarat operasyonu. (s.127)
Örneğin NSA, Microsoft ile çalışarak kullanıcıların e-posta takma adları oluşturmalarına izin veren Outlook’ta yeni bir özelliğin, gözetim için bir engel oluşturmayacağından emin olmak için çalıştı. Bu düzenleme, hükümetin Microsoft’un şifrelemesini dolaşmasına ve Outlook iletilerinin hükümet analistleri tarafından okunabilir olmasını sağlamasına yardımcı oldu. (s.129)
Normalde kanıt toplamak FBI’ın görevi ve suç kovuşturması içindir. Ancak siber güvenlik söz konusu olduğunda, FBI bu yasal yargı misyonundan uzaklaştı ve daha çok bir istihbarat ajansı gibi hareket ediyor. Hackerları mahkemeye götürmekten ziyade, gelecekteki saldırıları tahmin etmeye ve caydırmaya daha az önem veriyor. (s.130)
Bilgi FISA’dan geldiğinde, bunu bir suç kovuşturması için kullanmıyoruz. Peki, neden topluyoruz? Bu konuda kafamı kaşıyorum,” üst düzey bir yasal yürütme yetkilisi diyor. “Bir noktada, bir soruşturmayı sürdürmüyoruz. Sadece istihbarat topluyoruz.” Başka bir deyişle, FBI casusluk yapıyor. (s.132)
Ve büro, hacker kolektifi Anonymous’un bilgisayarlarına sızdı ve hedef listelerini buldu ve listedeki insanları uyardı. (s.133)
Bu istihbarat gerçekten saldırıların önlenmesine yardımcı oluyor mu? “Kesinlikle önleme gördüm,” diyen eski bir yetkili; şirketlerin bazen yapamadığı daha uzun veya tahmin edilmesi zor şifreler kullanma gibi yazılım yamalarını uygulandığını söylüyor. (s.133)
2011’in başlarında, özel istihbarat şirketi Stratfor’un CEO’su George Friedman, istihbarat birimleri kapsamında bir sınıflandırılmış brifingi dinlemesine izin veren geçici bir yetki aldı. Hükümet analistleri, şirketin web sitesinin hacklendiğini ve dünya meseleleri ve uluslararası ilişkiler hakkında çeşitli raporlar için abonelerin kredi kartı bilgilerinin çalındığını aktardılar. Bu numaralar şifrelenmemişti, şirketin zamanında almadığı çok temel bir güvenlik önlemi. Ertesi sabah, Friedman daha sonra yazdığı bir hesaba göre, FBI’dan bir ajanla buluştu, “devam eden bir soruşturma olduğunu ve işbirliğimizi istediğini açıkça belirtti.” (s.134)
Stratfor eski hükümet personellerini çalıştırmasına rağmen, birçok danışmanlık firması veya hatta haber kuruluşları gibi raporlar ve analizler üreten özel bir şirkettir. (s.135)
Büro, Monsegur’a Stratfor’dan bilgiyi başka bir bilgisayara aktarmaları için ikna etmesini söyledi, bu da gizlice FBI’nın kontrolünde olan bir bilgisayardı. (s.135)
Buckshot Yankee operasyonu, tüm askeri sistemlere yönelik sanal saldırılarını savunma ve kendi saldırılarını başlatma görevlerini denetleyen tek bir varlık olan ABD Siber Komutanlığı’nın kurulmasını tetikledi. (s.150)
Alexander, devlet yetkililerini siber tehditler konusunda korkutma ve ardından onları tehlikeleri uzak tutabilecek kişi olduğuna ikna etme tarzıyla tanınır. (s.152)
Bir nesil önce casuslar bu ayrıntıları almak için insanların çöplerini karıştırmak zorunda ve onları sokakta takip etmek zorundaydı. (s.155)
NSA’da plan, Tranche 2 olarak bilinmeye başladı. “Kritik altyapı” operatörleri; elektrik şirketleri, nükleer santral operatörleri, bankalar, yazılım üreticileri, taşımacılık ve lojistik şirketleri, hatta hastaneler ve tıbbi cihaz tedarikçileri gibi geniş bir şekilde tanımlanabilen kurumlar, yasal veya düzenleyici bir zorunlulukla, ağlarından gelen ve giden trafiği bir İnternet hizmet sağlayıcısı tarafından taramak için NSA tarafından sağlanan imzaları kullanarak kötü amaçlı yazılım veya yabancı bir devletin siber kampanya işaretleri açısından tarayıcıya sunmak zorunda kalacaklardı. (s.157)
2009 yazında Pentagon yetkilileri, sadece askeri bir sistem değil, aynı zamanda elektrik santralleri gibi özel mülkiyetli kritik altyapı tesislerine karşı da kötü amaçlı trafiği gönderen bilgisayarlara karşı, bir karşı saldırı başlatmalarına izin verecek bir “yürütme emri” taslağı hazırladılar. (s.158)
Alexander, hatta Maginot Hattı’na atıfta bulunarak, Amerika Birleşik Devletleri’nin savunmayı sadece stratejiye odaklanarak ve düşmanlarının kurnazlığını küçümseyerek ülkenin ezilme riski altında olduğunu öne sürdü. (Naziler, Fransızların planlanlamadığı şekilde hattın kenarından dolaşarak aştılar ve ülkeyi altı hafta içinde fethettiler.) (s.162)
Google’ın açıklamasından sonra, diğer şirketlerin de hackerlar tarafından sistemlerine erişildiğini itiraf etmeleri daha kolay oldu. Sonuçta, Google’a olduysa herhangi bir şirkete de olabilirdi. (s.171)
Çin açıklamasının ardından hükümet, Google’ın kurucu ortağı Sergey Brin’e, şirketi hakkındaki kampanya hakkında gizli bir brifing’e katılmasına izin veren geçici bir güvenlik izni verdi. Hükümet analistleri, sızıntının Çin’in Halk Kurtuluş Ordusu’nun bir birimi tarafından yönlendirildiğine karar vermişlerdi. (s.174)
NPR’a konuşan Mandiant’ın baş güvenlik görevlisi Richard Bejtlich, “[bir özel NSA tehdit brifingi] yaşamı değiştiren bir deneyimdi” dedi. “General Alexander, ona ne olduğunu anlattı. Bu CEO, bence şirketi hakkındaki tehditleri bilmiyordu ve şimdi bu, problemi düşünme şeklini her şeyiyle etkiliyor.” (s.177)
NSA, şirketlere ürünlerindeki zayıf noktaları bulmalarında yardımcı oluyor. Ancak bazılarını düzeltmemeleri için şirketlere de ödeme yapıyor. Bu zayıf noktalar, ajansın casusluk yapması veya istihbarat ajansları, orduları ve kritik altyapılarını kurumlarında kuran yabancı hükümetlerin saldırısına uğramak için bir giriş noktası sağlıyor. Örneğin Microsoft, ürünlerindeki sıfırıncı gün açıklarını kamu uyarısından veya yazılım yamasından önce NSA ile paylaşıyor. Cisco, dünya çapında en büyük ağ ekipmanı üreticilerinden biri olarak yönlendiricilerinde arka kapılar bırakıyor, böylece bunlar ABD ajansları tarafından izlenebiliyor. (s.178)
Ürünlerindeki delikleri sadece casus ajanslarına bildireceklerini taahhüt eden şirketlere sessizlikleri için ödeme yapılıyor. (s.178)
Bakanlık, bu toplantıların bazılarının programını ve gündemlerini kamuoyuna açıklamış, ancak katılan şirketlerin isimlerini veya tartıştıkları detayların çoğunu açıklamamıştır. (s.179)
…Qwest’in ağları şimdi NSA’nın genişletilmiş güvenlik aygıtının bir parçası. (s.181)
Soğuk Savaş’ın doruğunda CIA’nın iddia edildiğine göre 1982’de patlayan Sibirya boru hattında kullanılan ekipmana kötü amaçlı yazılım yüklediği iddia ediliyor. (s.183)
Şirketler, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından geliştirilen güvenlik standartlarını ve uygulamalarını benimsemeye teşvik edileceklerdi, bunun için geniş bir endüstri uzmanı ve istihbarat ajansıyla danışıldı. (s.185)
Shell, Schlumberger ve diğer büyük şirketler, çalışanlarına tatlı kedilerin resimleri ve diğer çekiciliklerle sahte mızrak avı e-postaları (spear phishing) gönderdi. (s.186)
…bir tesise saldırmak için, içine girmek ve zayıf noktalarını anlamak gerekir. (s.186)
2009 yılında, McAfee güvenlik firmasına göre, Amerikan petrol şirketleri dünya çapında keşfettikleri petrol yataklarına ilişkin bilgileri çalan bir dizi siber sızıntıyla karşı karşıya kaldılar. (s.188)
Bir tahmine göre, bu akış, 2007’de Estonya’daki bilgisayarlara yönlendirdiğinden çok daha büyüktü, ülkenin elektronik altyapısını durdurduğu ve genellikle kaydedilmiş en yıkıcı saldırılardan biri olarak kabul edildi. (s.189)
…saldırganlar, bankalara saldırmaya ve yeni hedefler eklemeye devam ettiler. Ve çalışmalarına bir sonraki yıla kadar devam ettiler. 2013 yılında NSA, aynı grubun kaynaklandığı yaklaşık iki yüz banka web sitesi saldırısını tanımladı. (s.190)
NSA yetkilileri, yirmi dokuz yaşındaki bir personeli küresel gözetim sisteminin planlarını çalmaktan alıkoyamayan bilgisayarları, korumak istedi. (s.206)
Siber alandaki güvenlik size ait olmayacak. Bu ayrıcalığınız olacak. (s.219)
İnsanlar çevrimiçi gizlilik hakkında konuştuklarında, gerçekten anonim kalma hakkı mı demek istiyorlar, yoksa gözetim devletine tanınmaz mı olmak istiyorlar? Hükümetin perspektifinden bakıldığında, bu doğrudan şüphe uyandıran bir durumdur. (s.219)
Her modern dünya ordusunun kesinlikle yapacağı gibi, siber savaşı silahlı kuvvetler, doktrinine entegre etmekten sorumlu olmalıdır. Gelecekte bir başkan, NSA ve Siber Komutanlık liderliğini ayırmaya karar verebilir, bu da yetkin ve sorumlu bir siber gücün sürdürülmesine büyük ölçüde katkıda bulunacaktır. (s.221)
Sonuç
Bay Harris’e bilgilendirici ve ufuk açıcı çalışması için teşekkür ederim. Devletlerin bu alandaki başlıca güçler olduğunu düşünüyorum ve politikaları ile bu alandaki faaliyetleri yadsınamaz. Ulusal güvenliğe yönelik bir risk olduğunu değerlendirirlerse, politikada ve savaşın her alanında tepkilerini gösterirler. Bu kitap, ABD’nin siber savaş politikası ve stratejisinin evrimini anlamak için öğretici niteliktedir.
‘@War’ kitabını Amazon üzerinden sipariş edebilirsiniz.