Bu hafta sonu, Çin destekli bilgisayar korsanlarının, muhtemelen Amerikalılar hakkında istihbarat toplamak amacıyla birçok ABD telekom ve internet sağlayıcısının telefon dinleme sistemlerini tehlikeye attığına dair haberler çıktı.
30 yıllık ABD federal yasası kapsamında zorunlu kılınan telefon dinleme sistemleri, bir telekomünikasyon veya internet sağlayıcısının ağındaki en hassas sistemlerden bazılarıdır ve genellikle seçilmiş birkaç çalışana, internet trafiği de dahil olmak üzere müşterileri hakkındaki bilgilere neredeyse sınırsız erişim sağlar. ve tarama geçmişleri.
Ancak yıllardır arka kapıların güvenlik riskleri konusunda alarm veren teknoloji uzmanları için, uzlaşma haberleri asla gelmeyeceğini umdukları ama bir gün geleceğini bildikleri “size söylemiştim” anıdır.
Georgetown Hukuk profesörü ve güvenli sistemler uzmanı Matt Blaze, TechCrunch’a telekom ve internet sağlayıcılarının en son uzlaşmaları hakkında şunları söyledi: “Bunun kesinlikle kaçınılmaz olduğunu düşünüyorum.”
Wall Street Journal İlk olarak Cuma günü, Salt Typhoon adlı Çin hükümetine ait bir bilgisayar korsanlığı grubunun, müşteri verilerini kolluk kuvvetlerine ve hükümetlere iletmek için kullandıkları sistemlere erişmek üzere AT&T, Lumen (eski adıyla CenturyLink) ve Verizon dahil olmak üzere ABD’nin en büyük üç internet sağlayıcısına sızdığı bildirildi. Saldırıların telekom ve internet devlerinden “geniş bir internet trafiği toplanmasına” yol açmış olabileceği bildiriliyor. CNN Ve Washington Post ayrıca izinsiz girişleri ve ABD hükümetinin soruşturmasının erken aşamada olduğunu doğruladı.
Çin harekâtının hedefleri henüz tam olarak bilinmiyor ancak Journal, ihlalin “potansiyel olarak felaket” olduğunu düşünen ulusal güvenlik kaynaklarına atıfta bulundu. Söz konusu hackerlar Salt Typhoon, Çin ile ABD arasında potansiyel olarak Tayvan üzerinden gelecekte yaşanması beklenen bir çatışma durumunda yıkıcı siber saldırılara zemin hazırladığı düşünülen Çin destekli birkaç hackleme biriminden biri.
Blaze, TechCrunch’a Çin’in ABD telefon dinleme sistemlerine yaptığı müdahalelerin, görünürde yasal ve yasal amaçlara yönelik bir arka kapının kötü niyetli olarak kötüye kullanılmasının en son örneği olduğunu söyledi. Güvenlik topluluğu, kötü niyetli aktörler tarafından istismar edilemeyecek veya suiistimal edilemeyecek bir “güvenli arka kapıya” sahip olmanın teknolojik olarak imkansız olduğunu savunarak uzun süredir arka kapılara karşı çıkıyor.
Stanford akademik ve şifreleme politikası uzmanı Riana Pfefferkorn, “Yasa, telekomünikasyonunuzun aramalarınızı dinlenebilmesi gerektiğini (şifrelemediği sürece) ve kötü aktörlerin her zaman hedefi olan bir sistem yaratması gerektiğini söylüyor” dedi. Bluesky’de bir konu. “Bu hack ABD’nin yalanını ortaya çıkarıyor” [government] Kendi güvenliğiniz için gönderdiğiniz her mesajı okuyabilmeli ve yaptığınız her çağrıyı dinleyebilmelidir. Bu sistem sizi korumuyor, tehlikeye atıyor.”
Pfefferkorn, ”Tek çözüm daha fazla şifrelemedir” dedi.
Son zamanlarda arka kapı suiistimallerine zemin hazırlayan 30 yıllık yasa, Cep telefonlarının nadir olduğu ve internetin henüz emekleme aşamasında olduğu bir dönemde 1994 yılında yasalaşan Kolluk Kuvvetleri için İletişim Yardımı Yasası veya CALEA’dır.
CALEA, bir telefon şirketi veya internet sağlayıcısı gibi herhangi bir “iletişim sağlayıcısının”, yasal bir emir sunulduğunda müşterinin bilgilerine erişmesi için hükümete gerekli tüm yardımı sağlamasını şart koşmaktadır. Başka bir deyişle, bir müşterinin verilerine erişmenin bir yolu varsa, bunu telefon şirketlerinin ve internet sağlayıcılarının sağlaması gerekir.
Telefon dinleme, 2001’deki 11 Eylül saldırılarının ardından 2000 sonrası dönemde büyük bir iş haline geldi. Daha sonra Vatanseverlik Yasası gibi 11 Eylül sonrası yasaların yürürlüğe girmesi, Amerikalılar da dahil olmak üzere ABD’nin gözetleme ve istihbarat toplama faaliyetlerini büyük ölçüde genişletti. CALEA ve bu dönemdeki diğer gözetim yasaları, telefon dinleme şirketlerinden oluşan bütün bir endüstri telefon ve internet şirketlerinin, onlar adına telefonları dinleyerek yasalara uymalarına yardımcı oldu.
Bu genişletilmiş telefon dinleme yasalarının ve hükümlerinin pratikte nasıl işlediği ve hükümetin Amerikalıların özel verilerine ne tür erişime sahip olduğu, eski NSA yüklenicisi Edward Snowden’ın binlerce gizli ABD belgesini sızdırarak hükümetin gizli bilgilerini geniş ölçüde ifşa ettiği 2013 yılına kadar büyük ölçüde gizli tutuldu. Amerikalıların özel verilerinin geniş bir şekilde toplanması da dahil olmak üzere, son on yıldaki gözetim teknikleri ve uygulamaları.
Snowden gözetleme skandalının büyük bir kısmı, ABD hükümetinin ve en yakın müttefiklerinin, denizaşırı teröristler ve düşman hükümet korsanları gibi üst düzey yabancı istihbarat hedefleri hakkında gizli verileri nasıl topladığına odaklanmış olsa da, ABD hükümetinin casusluk yaptığının açığa çıkması, Silikon Vadisi’nde kargaşaya yol açtı. teknoloji devleri, Bazı durumlarda sistemleri bilmeden dinlenen ABD istihbarat teşkilatları tarafından. Silikon Vadisi kolektif olarak karşılık verdi ve bu da kısmen hükümetin zorunlu kıldığı telefon dinleme gizliliği ve genel belirsizlik yıllarının geriye çekilmesine yol açtı.
Takip eden yıllarda teknoloji devleri, şirketlerin kendilerinin erişemediği müşteri verilerini devretmeye zorlanamayacağını fark ederek, mümkün olduğu kadar çok müşteri verisini şifrelemeye başladı (her ne kadar bazı test edilmemiş yasal istisnalar hala mevcut olsa da). Bir zamanlar ABD gözetimini kolaylaştırmakla suçlanan teknoloji devleri, şirketlerin belirli bir süre içinde kaç kez bir müşterinin verilerini devretmek zorunda kaldığını ayrıntılarıyla anlatan “şeffaflık raporları” yayınlamaya başladı.
Teknoloji şirketleri, dışarıdaki meraklıların (ve hatta bazı durumlarda teknoloji şirketlerinin kendilerinin) müşterilerinin verilerine erişememesi için ürünlerini kilitlemeye başlarken, telefon ve internet şirketleri kendi müşterilerinin telefon ve internet trafiğini şifrelemek için çok az şey yaptı. Bu nedenle, Amerika Birleşik Devletleri’nin internet ve telefon trafiğinin büyük bir kısmı, CALEA kapsamındaki telefon dinlemelerine açıktır.
Arka kapılara meraklı olan yalnızca ABD değil. Dünyanın her yerinde, hükümetlerin şifrelemeyi zayıflatan, gölgede bırakan veya başka şekilde tehlikeye sokan mevzuatı yürürlüğe koyma yönünde süregelen ve ısrarlı bir çabası var. Avrupa Birliği genelinde üye devletler, mesajlaşma uygulamalarının vatandaşlarının özel iletişimlerini şüpheli çocuk istismarı materyallerine karşı taramasını yasal olarak zorunlu kılmak için çalışıyor. Güvenlik uzmanları, kötü niyetli aktörlerin kötü niyetli suiistimal riskini göze almadan yasaların gerektirdiği şeyleri başarabilecek bir teknolojinin bulunmadığını savunuyor.
Uçtan uca şifreli mesajlaşma uygulaması Signal, arka kapı şifrelemesini en sesli eleştirenlerden biri oldu ve Avrupa’nın önerilerinin neden ciddi bir siber güvenlik tehdidi oluşturduğunun nedeni olarak ABD internet sağlayıcılarında Çinliler tarafından gerçekleştirilen son ihlalleri gösterdi.
Signal başkanı Meredith Whittaker, “Yalnızca ‘iyi adamların’ kullanabileceği bir arka kapı oluşturmanın yolu yok” dedi. Mastodon’da yazma.
Son yıllarda arka kapılar için ortaya çıkan daha gelişmiş tekliflerden bazılarından bahseden Blaze, “CALEA, arka kapılar için bir başarı öyküsü değil, uyarıcı bir hikaye olarak görülmelidir” dedi.
