Bilgi güvenliği açısından Obi-Wan Kenobi

Yavin Savaşı’ndan dokuz yıl önce, çok çok uzak bir galakside, bilgi güvenliğinde durumlar nasıldı.

Obi-Wan Kenobi, Galaktik İmparatorluğun ilanından on yıl sonra, skandal niteliğinde güvenlik açıkları yüzünden Asi Birliği saldırısında büyük ölçüde yok edilen kritik altyapı tesisi ÖY-1 Mobil Savaş İstasyonu’nun (daha bilinen adıyla Ölüm Yıldızı’nun) İmparatorluk tarafından terk edilmesinden ise dokuz yıl önce geçiyor. Diziyi, İmparatorluğun bilgi güvenliği gelişiminin izlerini sürebilme umuduyla izledim, ancak sonuçta “gelişim” yerine “çöküş” sözcüğünün daha yerinde olacağı ortaya çıktı. (Bu arada, her zamanki gibi senaryodaki büyük sürprizlerden bahsetmemeye çalışacağım ama bazı spoiler’ları vermek zorundayım, dikkatli olun!)

Siber güvenlik ve İmparatorluk çalışanları

Dizinin bütününe bakıldığında siber güvenlik açısından en ilgi çekici yer, Engizisyon’un gizli tesisine dışarıdan sızılıp İmparatorluk bilgisayar sistemine erişim kazanılan kısım. Ancak buraya gelmeden önce Mapuzo gezegeninde yine merak uyandıran bir çatışma görüyoruz. Bununla başlayalım.

Mapuzo’daki kontrol noktası

İmparatorluğun en çok aranan Jedi’ı Kenobi’nin bu yağmalanmış madencilik gezegeninde olduğuna inanılıyor. Kontrol noktasındaki Stormtrooper’lar şüpheli görünen bir adamı yakalıyor ve kimliğini belirlemek için yüz tanıma sistemine sahip Engerek Sonda Droid’ini çağırıyor. Bilin bakalım ne oluyor. İşe yarıyor!

Tek bir sorum var: Bu akıllı makineler dokuz yıl sonra Bölüm IV’te droidleri ararken neden kullanılmıyor? Mos Eisley’deki devriyeler yoldan geçenlere aptalca sorular sormak yerine yüz tanıma sistemini kullansalardı Obi-Wan’ı bulup tutuklayabilirlerdi. İmparator, Kenobi’nin başka bir aktör tarafından canlandırılacağını bilemezdi ki!

Su altı Engizisyon Kalesi ve Mustafar’ın uydusu Nur

(Herkesin bildiği) gizli Engizisyon Kalesi, Yıldız Savaşları evreninde gördüğümüz bilgi güvenliği açısından en gelişmiş tesislerden biri. Aynı şekilde fiziksel olarak da oldukça iyi korunuyor.

Yıldız Savaşları evreni standartlarına göre inanılmaz şekilde girişlerde insanların kimlik kartları kontrol ediliyor, kapılar kod silindiri denen kimlik doğrulama cihazlarıyla açılıyor, su altı geçidi ise genelde olduğu gibi giriş kapısının yanındaki bir panelden değil, tamamen bir bilgisayar konsolundan kontrol ediliyor. Ayrıca daha önce hiç görmediğimiz bir şey daha var: Koridorlarda mobil güvenlik kameraları devriye geziyor. İmparatorluğun dokuz yıl sonra tüm bu güvenlik pratiklerini neden terk ettiği ise gizemini koruyor. Bölüm IV’te Kenobi’nin bizzat kendisi Ölüm Yıldızı’nda serbestçe gezebiliyor, çekici ışın kontrol ünitesine erişmek için sisteme giriş yapması bile gerekmiyor.

Ancak, tahmin edebileceğiniz gibi, tüm bu güvenlik önlemleri hiçbir işe yaramıyor. Her zamanki gibi iş yine tek bir çalışanın, “bu katın baş güvenlikçisi” denen kişinin dikkatsizliğine kalıyor. Kenobi’ye içeriden biri, İmparatorluğun gerçek yüzünü gören, mükemmel sosyal mühendislik becerilerine sahip iyi niyetli bir İmparatorluk subayı olan Kaptan Tala Durith yardım ediyor.

Kalenin girişinde Tala’nın belgeleri kontrol edilirken aslında tamamen farklı bir bölgede görevlendirildiği, gizli tesiste hiçbir işi olmadığı ortaya çıkıyor. Ancak Tala rütbesini kullanarak görevli memuru (az önce bahsettiğimiz “baş güvenlikçiyi”) Engizisyoncular için gizli istihbarat getirdiğine ikna ediyor ve içeri alınıyor.

İçeri sızmayı başardıktan sonra bir tür kontrol odasına girerek terminallerden birine giriş yapıyor, kod silindiriyle kimlik doğrulama aşamasını geçiyor. Burada kesinlikle kullanıcı haklarının sınırlandırılmasıyla ilgili bir sorun var: Gerçekten bu bölgede hiçbir görevi yoksa neden sistemde haklara sahip?

Tala bir şekilde hem kalenin planlarına hem de su altı geçit kontrol ünitesine erişim elde ederek Kenobi’yi içeri alıyor. Kontrol odasındaki üst düzey görevli bir noktada terminale birinin dışarıdan girdiğini fark ediyor ama bu yaklaşık 20 dakika sürüyor. Ancak ardından yaptığı şeyler hiçbir mantığa sığmıyor: Bir sebeple Tala’yı giriş belgelerini kontrol etmek için ünitelerin arkasındaki gizli saklı bir köşeye götürüyor, dizinin geri kalanı boyunca da boynu kırılmış halde bu köşede kalıyor.

Açıkça görülüyor ki bu tesisin personeli bu tür olaylara kesinlikle hazırlıklı değil. Genel anlamda bu sorun düzenli pen testleriyle çözülebilir. Öte yandan büyük olasılıkla Mustafar’da bu alnda uzman pek fazla kişi yoktur.

İmparatorluk karşıtlarının siber güvenlik yöntemleri

Biraz da İmparatorluk karşıtlarından bahsedelim. Bu dizide bildiğimiz asi birlikleri yok. Geleneksel iyi yalnızca karşıt görüşlü Alderaan ve İmparatorluk karşıtı yer altı Path yapılanmasıyla temsil ediliyor. Bunlar da İmparatorlukla savaşmaktan ziyade muhaliflere (hayatta kalan Jedi’lara ve Güç’ü hissedebilenlere) kalacak yer ve ulaşım sağlıyorlar. Elbette bir de Ben Kenobi var. Bilgi güvenliği açısından işler, beklediğimiz üzere hiç de iyi değil.

Alderaan’ın hükümdar ailesi

Alderaan’a hükmeden Organa ailesi güvenlik açısından çok tuhaf bir tutuma sahip. Bu da pek çok soru doğuruyor. Senatör Bail Organa, İmparatorluğun kuruluşundan beri her türlü İmparatorluk karşıtı girişimin içinde aktif olarak yer alıyor. Dahası, evlatlık kızı Leia’nın varlığı da Vader’dan gizlenmek zorunda. Bu durumda insan en azından kendi ailesinin güvenliği hakkında kaygıları olmasını bekliyor. Ama yok, Red Hot Chili Peppers’ın Flea’si tarafından canlandırılan paralı asker Vect Nokru, prensesi sarayın içinden kaçırırken hiç zorlanmıyor.

Leia’nın mini droid Lola’dan (L0-LA59) hiç ayrılmadığını da belirtmek gerek. O halde Bail neden Leia’nın bu çok sevgili cihazına Kaspersky Safe Kids gibi bir çözüm yüklememiş? En azından prensesin nereye götürüldüğünü bilirdi! Üstelik uzaktan droid konumu belirleme teknolojileri de var ve dizide aktif şekilde kullanılıyor.

L0-LA59 droid güvenliği

Bölümlerden birinde L0-LA59’u kaçıran Engizisyoncular droid’e cihazı uzaktan kontrol etmelerini sağlayan kötü amaçlı bir gözetleme cihazı takıyor. İmparatorluğun bu teknolojiyi neden sonrasında daha fazla kullanmadığı belirsiz. Örneğin Bölüm V’te C-3PO’yu yok edilmeye göndermek yerine Bulut Şehri’nde kontrolünü ele geçirebilirlerdi. Organa Hanedanı’nın hem güvenilir olmayan cihazlara bağlantıları hem de dışarıdan gelen kötü amaçlı komutları engelleyecek siber bağışıklığı olan işletim sistemlerine sahip droidler kullanmaması ise daha da şaşırtıcı.

Bail Organa ve iletişim

En büyük gizem, Bail Organa’nın bütün karşıt görüşlerine rağmen Alderaan’ın yok edilmesine kadar nasıl hayatta kaldığı. Yalnızca tekrar tekrar Obi-Wan Kenobi ile iletişim kurmakla kalmıyor (ki bu tek başına cezası ölüm olan bir suç), aynı zamanda bunu güvenli olmayan bir iletişim kanalı üzerinden, Luke ve Tatooine’e atıfta bulunan gizli bilgileri açık metin şeklinde ortaya sererek yapıyor.

Üstelik tek sorun mesajlaşma sisteminin şifresiz olması değil, alıcı cihazda temel kimlik doğrulama da bulunmuyor. Yani cihazı eline alan herkes son mesajı dinleyebilir. Bu insanların kesinlikle siber güvenlik farkındalığı eğitimine ihtiyaçları var!

Jabiim gezegenindeki Path sığınağı

Path sığınağı siber güvenlikle neredeyse hiç tanışmamış. Sığınağın hızla boşaltılabilmesinin tek yolu olan hangar kapısı kumandası, havalandırma kanalına yerleştirilmiş kablolarla dolu garip bir mekanizma. Kötü amaçlı droid kolaylıkla bu cihaza erişim sağlayıp içindeki bir şeyleri fiziksel yolla devre dışı bırakarak kapıyı kontrol edilemez hale getirebiliyor.

Dahası, bu kritik sistem öyle bir yere yerleştirilmiş ki kapı kumandasına ulaşıp tamir etmek mümkün değil. Elbette burada hiçbir maddi kaynağı olmayan kahraman muhaliflerden bahsediyoruz. Yine de on yaşında bir çocuğun bile cihaza ulaşabilmek için ne kadar zorlandığını görünce tasarımcıların sistem bakımı ve tamiri için ne boyutta bir insan hayal ettiğini anlamak güç.

Çıkarılan sonuçlar

Gördüğünüz gibi, ilk Star Wars filminden dokuz yıl önce İmparatorluk bilgi güvenliğinde çok çok daha iyi bir durumdayken karşıtlar temel siber güvenlik anlayışından bile yoksunmuş. Belki de İmparatorluğun ilerici güvenlik önlemlerini terk etmesinin nedeni, nasıl olsa izinsiz girişleri ve diğer olayları önlemek için hiçbir şey yapmıyor olmalarıdır.

İpuçları