NSA
Dün Kaspersky Lab hakkında sansasyonel bir medya haberi yayınlandı. Birçok iddianın yanı sıra Kaspersky Lab’ın, sözleşmeli bir çalışanın ev bilgisayarı aracılığıyla bir istihbarat teşkilatından başka bir istihbarat teşkilatı için hassas bilgiler aldığı yazıldı. Makaledeki başka bir suçlama ise yeni kötü amaçlı yazılımları yakalama yöntemlerimizin “agresif” olduğu yönündeydi.
Gizli kaynaklar tarafından açıklanan (ne kadar ilginç) bu ilk iddia düşük bütçeli bir film senaryosu gibi görünüyor. Bu ilk iddia hakkında resmi açıklamamız dışında yapabileceğim çok fazla yorum yok.
For record, there’s again no evidence re Kaspersky. It is evidence NSA continues to practice poor security+ doesn’t realise data is leaking.
— Kevin Beaumont (@GossiTheDog) October 5, 2017
Kaspersky ile ilgili hiçbir kanıt yok. Bu, yalnızca NSA’nın (Ulusal Güvenlik Ajansı) hâlâ kötü güvenlik önlemleri kullandığını ve verilerin sızdırıldığını fark etmediğini kanıtlıyor.
Ancak kötü amaçlı yazılımlarla mücadele konusunda agresif bir tutumumuz olduğu yorumuna kesinlikle katılıyorum. Kaynağı ne olursa olsun kötü amaçlı yazılımları kesinlikle ve agresif bir şekilde tespit ediyor ve temizliyoruz. Bunu da 20 yıldır gururla dile getiriyoruz. Bu nedenle bağımsız, üçüncü taraf kötü amaçlı yazılım tespiti testlerinde sürekli olarak en üst sıralarda yer alıyoruz. Kötü amaçlı yazılımlar ve siber suçlularla mücadelede agresif olmak konusunda hatalı olduğumuzu düşünmüyoruz. Zaten bunları yapmayan bir programı kabul etmemelisiniz. Bu konuda tartışmaya gerek yok.
Müşterilerimizi korurken (tüm diğer siber güvenlik tedarikçileri gibi) bilgisayarın sağlığını da kontrol ederiz. Güvenlik çözümlerimiz sorunları görebilmek için bir X-Işını gibi çalışır. Ancak gördüğü şeyleri belirli bir kullanıcı ile eşleştirmez. Kullanıcılarımızı siber saldırılardan korurken tam olarak neler yaptığımızı ve yapmadığımızı biraz daha ayrıntılı açıklayayım:
Neler yapıyoruz?
Her gün şüpheli kötü yazılımları işaretleyen yeni sezgisel algoritmalar ve gelişmiş tespit mekanizmaları geliştiririz. Bu şüpheli yazılımlar, otomatik analiz için makine öğrenimiyle çalışan arka uca gönderilir. Sezgisel algoritmalar, yalnızca belirli bir veri türüne odaklanacak şekilde tasarlanmıştır. Bu veri türü bilgisayar sağlığına zarar verme ihtimali olan özelliklere sahip verileri kapsar. Sezgisel algoritmaların önemsediği tek şey verilerin riskidir.
Consensus on infosec Twitter is that Kaspersky may not have colluded with RU gov; just maybe their product may be horrendously compromised.
— Matthew Green (@matthew_d_green) October 5, 2017
InfoSec Twitter’da çoğunluğun fikrine göre, Kaspersky Rus hükümetiyle gizli bir anlaşma yapmamış olabilir. Belki de ürünlerinin güvenliği korkunç bir şekilde ihlal edilmiştir.
Birçok kullanıcıyı etkileme olasılığı olan üst düzey siber tehditlere odaklanırız. Bu tür tehditler genelde son derece karmaşıktır ve her zaman için ilk bakışta kötü amaçlı görünmeyen birden fazla bileşenden oluşabilir. Lütfen, örnek olması açısından ShadowPad ile ilgili son makalemizi okuyun.
Her türlü tehdidi araştırır ve analiz ederiz. Hiçbirini görmezden gelmeyiz. Ayrıca, kullanıcılarımızı kötü amaçlı yazılımlardan koruyacak, bilgisayarlarını daha güvenli hale getirecek ve endişelenmek yerine kullanıcı deneyimlerinin tadını çıkarmalarını sağlayacak sistemlere çok fazla kaynak ayırırız.
Bu son makalenin ardından şunu vurgulamak istiyorum: teknoloji ürünlerimiz şüpheli bir nesne tespit ederse ve bu nesne kötü amaçlı yazılım olarak tanımlanırsa dakikalar içinde tüm müşterilerimiz (kim oldukları veya nerede yaşadıkları fark etmeksizin) bu tehditten korunur. Çok ciddi vakalarda (WannaCry gibi global kötü amaçlı yazılım salgınları veya Equation gibi karmaşık siber casusluk platformları) araştırmacılarımız tehdidi derinlemesine analiz eder ve tehlike göstergelerini açıkça yazdıkları bir araştırma yayınlar. Yani sadece müşterilerimiz değil aynı zamanda tüm diğer kullanıcılar ve siber güvenlik sektöründeki meslektaşlarımız da bu yeni tehditten nasıl korunacakları hakkında bilgi sahibi olabilir. Misyonumuz müşterilerimizin güvenliğidir ve kaynakları ya da amaçları ne olursa olsun müşterilerimizi tüm siber güvenlik tehditlerine karşı korumaya kararlıyız. Bu yaklaşım işimizin temelini oluşturur ve kullanıcılarımız da bize bunun için ödeme yapar.
Kullanıcı güvenini sarsmak kolaydır ve sektör bunu anında fark eder. Kaspersky Lab, bu sektördeki 20 yılı boyunca müşterilerinin güvenliğine olan bağlılığının sorgulanmasına hiç şans tanımamıştır.
But if it's just signatures on NSA implants and NSA exploits, then this is Kaspersky just doing its job, and not at all a Kaspersky-Russia thing.
— Pwn All The Things (@pwnallthethings) October 5, 2017
Eğer belirtiler yalnızca NSA implantlarında ve NSA açıklarından yararlanan yazılımdaysa, bu durumda Kaspersky yalnızca işini yapıyor ve ortada bir Kaspersky-Rusya iş birliği yok.
Siber güvenlik tehditleriyle mücadelede kullandığımız tek yöntem budur. Bu yeni iddialar bana şu şekilde oluşturulmuş gibi geldi: Birisi tehditlerle mücadele etme sürecimizi almış, bazı hayali detaylar eklemiş ve bu yeni düşük bütçeli film senaryosunu oluşturmuş.
Neler yapmıyoruz?
Güç, sorumluluk getirir. Müşterilerimizin bize olan güvenini asla sarsmayız. Güvenlerini yalnızca bir kez sarsmamız bile, sektörün bunu hemen fark etmesi ve iş hayatımızın sona ermesi için yeterli olur ve bunu hak etmiş oluruz.
Böyle bir şeyin Kaspersky Lab veya diğer tanınmış güvenlik şirketleri için imkansız olmasının nedenini anlamak için siber güvenlik sektörünün nasıl çalıştığını anlamak gerekir. Bizim sektörümüzde iki grup vardır: Birincisi, yazılımları bozmak, casusluk araçları oluşturmak ve en uç noktada devletlerin casusluk faaliyetlerine yardım etmek gibi saldırı amaçlı hareket edenlerdir. İkincisi ise kullanıcılar için mücadele eden, onların yanında yer alan, onları saldırılardan koruyan, bilgisayarları savunması için yazılımlar yazan ve gizli servislerin işlerini bozan şirketlerdir.
Bu, kendini çok farklı şekillerde gösteren temel bir ayrımdır. Bu iki grup, bir kategoriden diğerine etik olarak kabul edilen davranışlardan saygınlığa ve doğruyu yanlıştan ayırmaya kadar farklılık gösterir.
Bu iddialar şu şekilde oluşturulmuş gibi görünüyor: Birisi siber güvenlik sektörünün tehditlerle mücadele etme sürecini almış, bazı hayali detaylar eklemiş ve bu yeni düşük bütçeli film senaryosunu oluşturmuş.
KL, 20 yıldır kullanıcıları için mücadele etmektedir. Makine öğrenimi ve bulut güvenliği gibi birçok teknolojiye öncülük etmiş, dünyanın en iyi güvenlik çözümlerinden birini yaratmış ve YALNIZCA en üst düzey etik standartlara uyan kişileri işe almaya çalışmıştır.
Uzmanlarımızın hepsi, herhangi bir devlet adına yapılan casusluk faaliyetini kolaylaştırmak için kullanıcı güvenini kötüye kullanmayı etik dışı olarak kabul eder. Bunu yapabilecek kişiler bir şekilde şirkete sızmayı başarsa bile bu riski azaltmak için bir sürü şirket içi ve kurumsal strateji kullanıyoruz. Ayrıca Kaspersky Lab’de 3000’in üzerinde çalışan var. Böyle bir faaliyet olsaydı çalışanlarımızdan biri fark ederdi. Bunu herkesten saklamak imkansızdır.
İşin karmaşık yanı
Şirket içinde bir güvenlik ekibimiz olmasına ve ödül avcılığı (bug bounty) programları kullanmamıza rağmen ürünlerimizde hiçbir güvenlik sorununun olmadığına dair %100 garanti veremeyiz. Zaten bunu yapabilecek hiçbir yazılım tedarikçisi yoktur. Yazılım, insanlar tarafından yapılır ve insanlar hata yapar. Bunun önlemenin hiçbir yolu yoktur.
Güvenlik teknolojileri ve önlemleri ne kadar mükemmel olsa da en eski tehdit aracı olan ucuz bir USB bellek ve yanlış yönlendirilen bir çalışan nedeniyle milyonlarca insanın güvenliği ihlal edilebilir.
Şimdi haberde yazılanların doğru olduğunu varsayalım. Yani Rus hackerların kullanıcılarımızdan birinin kişisel bilgisayarına kurulu ürünlerimizde bir zayıf noktayı kullanmış olduğunu ve ulusal güvenliği korumakla görevli resmi kurumların bunu bildiğini farz edelim o halde bunu neden bize bildirmediler? Saatler içerisinde çok ciddi hatalar için yama üretebiliriz. O halde neden bu güvenlik açığını bize bildirerek dünyayı daha güvenli bir hale getirmesinler? Bunu yapmamaları için hiçbir etik gerekçe göremiyorum.
You expected him to apologize for his product detecting NSA's malware and reporting it? Or for idiots taking classified materials home?
— Vess (@VessOnSecurity) October 5, 2017
Kaspersky’dan, ürününün NSA’nın kötü amaçlı yazılımını tespit ettiği ve bildirdiği için mi, yoksa gizli materyalleri evine götüren aptallar için mi özür dilemesini bekliyordunuz?
Son olarak, şu rahatsız edici düşünceyi aklımdan çıkaramıyorum: güvenlik teknolojileri ve önlemleri ne kadar mükemmel olsa da en eski tehdit aracı olan ucuz bir USB bellek ve yanlış yönlendirilen bir çalışan nedeniyle milyonlarca insanın güvenliği ihlal edilebilir.
WSJ’NİN SİBER GÜVENLİK HABERİ İÇİN @E_KASPERSKY’NİN AÇIKLAMASI: DOĞRULAR, YALANLAR VE RAHATSIZ EDİCİ AYRINTILAR
Tweet
İpuçları