ABD Savunma Bakanlığı, düşmanların savaş alanında görevdeki askerlere yönelik ticari konum verilerini kullanarak hedef aldığını ve gözetlediğini doğruladı. Bu durum, telefonlar ve bilgisayarlardan toplanan bilgilerin bireyleri izlemek ve hedef almak için nasıl kötüye kullanılabileceğinin en son örneği.

Senatör Ron Wyden tarafından TechCrunch ile paylaşılan bir mektupta, ABD Orta Komutanlığı’nın ticari konum verilerini satın alan düşman aktörlerin, ABD askerlerini izlediğinden haberdar olduğu belirtildi.

Mektupta, “USCENTCOM, düşmanların ABD personelini hedef almak veya gözetlemek için ticari konum verilerini kullanmasıyla ilgili birçok tehdit raporu aldı,” deniliyor.

Mektup, örnekler veya detaylar sunmuyor; Savunma Bakanlığı’ndan bir sözcü ise yorum talebine yanıt vermedi.

Reuters, bu haberi Perşembe günü ilk olarak duyurdu.

Konum verileri genellikle telefonlar ve bilgisayarlardan çevrimiçi reklamcılık yoluyla toplanır; ardından bu veriler veri brokerları tarafından satın alınır ve açık piyasada satılır. Amerikan hükümeti ve askeri, geçmişte bu verileri mahkeme kararı almadan satın aldı. Son yıllarda, FBI tüketicilere reklam engelleyici kullanmalarını tavsiye ederek, uygulamaların, web sitelerinin ve diğer yazılımların toplayabileceği veri miktarını azaltmayı önerdi.

Wyden, Reuters’a, “Rekabetçi reklam teknolojisi endüstrisini ulusal güvenlik tehdidi olarak değerlendirmeye başlama zamanı geldi,” dedi.

ABD hükümetinin en gizli operasyonlarından bazıları hakkında bilgi sahibi olan kıdemli demokratik bir yasa koyucu, Merkezi İstihbarat Teşkilatı’nın belirli faaliyetleri hakkında “derin endişeleri” olduğunu belirtti.

Senatör Ron Wyden tarafından yazılan ve iki satırlık mektupta CIA’nın faaliyetlerinin doğası veya senatörün özel endişeleri açıklanmadı. Ancak, bu mektup, Wyden’ın federal hükümet içinde yanlış veya yasadışı bir şey olduğuna dair toplum önünde belirttiği son yıllardaki dikkat çekici bir durumu izliyor; bu durum zaman zaman “Wyden sireni” olarak adlandırılıyor.

CIA, Wall Street Journal’ın Dustin Volz’u aracılığıyla yaptığı açıklamada, “Senatör Wyden’in memnuniyetsizliği ironik ama şaşırtıcı değil,” diyerek bunu bir “onur nişanı” olarak nitelendirdi.

TechCrunch’a ulaşıldığında, Wyden’ın ofisinden bir temsilci yorum yapamadı, çünkü konu sınıflandırılmıştı.

İstihbarat topluluğunu denetleme görevi olan Wyden, hükümetin siber ve diğer istihbarat operasyonları da dahil olmak üzere devam eden gözetim hakkında son derece gizli bilgilere erişim iznine sahip olan az sayıdaki yasa koyucudan biridir. Ancak, bu programlar oldukça gizli olduğundan, Wyden bildiklerini başka insanlarla ve diğer yasa koyucularla, sadece belirli güvenlik izinlerine sahip Senatörler ile paylaşma hakkına sahip değildir.

Bu nedenle, gizlilik savunucusu olarak bilinen Wyden, istihbarat ve gözetim konularındaki nadir ama açık sözlü açıklamalarıyla, sivil haklar grupları tarafından dikkatle izlenen birkaç anahtar Kongre üyesinden biri haline geldi.

Son birkaç yılda, Wyden, bir gizli karar ya da istihbarat toplama yönteminin yasadışı ya da anayasaya aykırı olduğunu düşündüğü durumlarda çeşitli endişeleri dile getirmiştir.

2011 yılında Wyden, ABD hükümetinin Patriot Yasası’nın gizli bir yorumuna dayandığını söyleyerek, endişelerini açıklamadan, “kamuoyunun yasanın ne söylediğini düşündüğü ile Amerikan hükümetinin yasanın ne söylediğine dair gizli düşünceleri arasında bir uçurum yarattığını” ifade etti.

İki yıl sonra, o zamanlar NSA sözleşmeli çalışanı olan Edward Snowden, Ulusal Güvenlik Ajansı’nın Patriot Yasası’nın gizli yorumuna dayanarak, Verizon da dahil olmak üzere ABD telefon şirketlerini, yüz milyonlarca Amerikalı’nın arama kayıtlarını sürekli olarak teslim etmeye zorladığını ortaya çıkardı.

O zamandan beri, Wyden, ABD hükümetinin insanların iletişim içeriklerini nasıl topladığına dair endişeleri dile getirmiş, Adalet Bakanlığı’nın Apple ve Google’ın, federal otoritelerin gizlice müşteri bildirimlerinin içeriğini talep ettiğini açıklamasına izin vermediğini belirtmiş ve CISA’nın ret ettiği bir sınıflandırılmamış rapor‘un, ABD telefon şirketlerini tehdit eden “şok edici detaylar” içerdiğini ifade etmiştir.

Techdirt’ten Mike Masnick‘ın belirttiği gibi, Wyden’ın CIA’nın faaliyetleri hakkında neden uyarıda bulunduğunu henüz bilmiyoruz ama Wyden her uyardığında haklı çıkmıştır.

Amerika Birleşik Devletleri Senatörü Ron Wyden, Federal Ticaret Komisyonu (FTC) aracılığıyla Microsoft’un güvenlik açıkları için araştırma talep etti. Ünlü teknoloji şirketinin ürünlerinde yetersiz güvenlik sağladığı belirtilirken, bu durumun sağlık kuruluşlarına yönelik fidye yazılımı saldırılarına yol açtığına dikkat çekildi.

Güvenlik Açıkları ve Sonuçları

Senatör, Microsoft’un “aşırı siber güvenlik ihmalinden” sorumlu tutulması gerektiğini belirtti. Bu ihmal, kritik altyapı üzerinde, özellikle de ABD sağlık kuruluşları üzerinde ciddi saldırılara sebep oldu. Wyden, Microsoft’un ürünlerinde iyi belgelenmiş güvenlik risklerini etkili bir şekilde azaltmada gösterdiği uzun süredir devam eden yetersizliği vurguladı. Özellikle 2024 Ascension Health fidye yazılımı saldırısı örneğini öne çıkararak, 5.6 milyon hastanın verilerinin tehlikeye girdiğini belirtti.

Mayıs 2024’te gerçekleşen bu olay, bir çalışanın kötü niyetli bir Bing arama sonucu üzerinde tıklaması sonrasında meydana geldi. Bu durum, bilgisayar korsanlarının “Kerberoasting” saldırısını gerçekleştirmesine olanak tanıdı.

Kerberos ve Kerberoasting Nedir?

Kerberos, ağ kaynaklarına erişimi sağlamak için kullanıcıların ve hizmetlerin kimliklerini parola alışverişi yapmadan doğrulamaya yarayan bir ağ kimlik doğrulama protokolüdür. Kerberoasting ise, saldırganların Microsoft Active Directory’den şifrelenmiş hizmet hesabı kimlik bilgilerini çalma tekniğidir.

Bu teknik, genellikle zayıf veya tahmin edilmesi kolay parolalardan faydalanır. Bu parolalar, eski ve güvensiz olan RC4 algoritması ile şifrelenmiş olabilir. Saldırgan bu parolayı çözerek, yetkilerini yükseltebilir ve hedef ağda yan yana hareket edebilir.

Microsoft ile Görüşmeler ve Cevaplar

Senatör Wyden, Temmuz 2024’te Microsoft ile iletişime geçerek firmayı RC4 kullanımının tehlikeleri konusunda müşterilerini uyarmaya çağırdığını dile getirdi. Ayrıca, daha güvenli seçenekler olan AES 128/256 gibi algoritmaların varsayılan ayar haline getirilmesi gerektiğini belirtti. Ancak, Microsoft’un bu konuya verdiği yanıt, Ekim ayında yayınladığı bir blog yazısı ile gerçekleşti. Bu yazı, teknik detaylarla dolu olup, karar vericilerin dikkatini yeterince çekemedi.

RC4 Algoritması ve Güvenlik Riski

RC4, Kerberos’ta hâlâ bir seçenek olmasına rağmen, zayıf bir şifreleme algoritmasıdır ve metin düzeyindeki bilgilerin geri kazanımına olanak tanıyan zafiyetleri vardır. Microsoft, ürünlerindeki güvenliği artırma sözü vermesine rağmen, RC4’ün eski sistemlerin desteklenmesi için hala var olduğunu belirtiyor.

Senatör, Microsoft’un uygulamalarını ciddi bir ulusal güvenlik riski olarak nitelendirerek, FTC’nin müdahale etmemesi durumunda daha fazla yüksek etki yaratan olayların yaşanacağından emin olduğunu vurguladı. “Zamansetinde harekete geçilmezse, Microsoft’un dikkatsiz siber güvenlik kültürü, işletim sistemi pazarında de facto tekel olmasıyla birleştiğinde, ciddi bir ulusal güvenlik tehdidi oluşturuyor” diye ekledi.

Microsoft’un Yanıtı ve Gelecek Planları

BleepingComputer, Microsoft’tan bu gelişmeye ilişkin bir açıklama talep etti. Bir sözcü, “RC4 eski bir standarttır ve hem yazılım mühendisliğimizde hem de müşterilere yönelik belgelerimizde kullanımını teşvik etmiyoruz, bu nedenle trafikimizin %0.1’inden daha azını oluşturuyor” ifadelerini kullandı. Bununla birlikte, RC4’ün tamamen devre dışı bırakılmasının birçok müşteri sistemini bozacağı konusunda uyarıda bulundu.

Şirket, müşterilerine kesinti oluşturmadan algoritmayı kademeli olarak kaldırmaya çalıştığını ve kullanıcılarına “en güvenli şekilde” algoritmayı kullanmaları için tavsiyelerde bulunduğunu belirtti. Microsoft sözcüsü, “RC4’ün kullanımını nihayetinde devre dışı bırakmak için bir yol haritası hazırladık. Senatörün ofisiyle bu konuda iletişim halindeyiz ve onlara ya da hükümetteki diğer kişilere soru sormaya devam edeceğiz” dedi.

FTC’nin Yanıtı ve Gelecekteki Adımlar

Şu an için FTC, Senatör Wyden’in talebine kamuya açık bir yanıt vermedi. Ancak, bu durumun siber güvenliğe olan etkileri ve teknoloji devlerinin sorumlulukları üzerine tartışmaların artacağı aşikar. Microsoft’un güvenlik önlemleri ve uygulamaları konusunda daha aktif ve şeffaf bir tutum benimsemesi kritik önem taşıyor. Özellikle sağlık gibi kritik sektörlerde siber güvenlik, yalnızca bireylerin değil, ulusun güvenliğini de doğrudan etkiliyor.

Güncel Siber Güvenlik Haberleri – 2

Son dönemde, Microsoft‘un siber güvenlik konusundaki uygulamaları yeniden eleştiri konusu oldu. ABD Senatörü Ron Wyden, Federal Ticaret Komisyonu’na (FTC) bir mektup yazarak, şirketin “aşırı siber güvenlik ihmali” nedeniyle sorumlu tutulması gerektiğini belirtti. Wyden, Microsoft’un büyük ölçüde monopolize ettiği işletim sistemi pazarının ve ihmalci siber güvenlik kültürünün, ABD’nin kritik altyapısını tehdit ettiğini ifade etti. Bu durumun sonucunda, sağlık hizmetleri ağı gibi önemli sektörler de hedef alındı.

Ransomware Saldırısının Detayları

Wyden’ın ofisinin edindiği bilgilere göre, sağlık sistemi Ascension geçen yıl büyük bir ransomware saldırısına maruz kaldı. Bu saldırı sonucunda, yaklaşık 5.6 milyon bireyin kişisel ve tıbbi bilgileri çalındı. Saldırı, Black Basta adlı bir ransomware grubuna atfediliyor. ABD Sağlık ve İnsani Hizmetler Bakanlığı, bu olayın son bir yıl içinde yaşanan en büyük sağlıkla ilgili veri ihlalli olaylarından biri olduğunu vurguladı.

Ascension’daki bu ihlal, bir taşeronun Microsoft’un Bing arama motorunda yaptığı bir arama sonucunda bir kötü amaçlı bağlantıya tıklamasıyla başladı. Bu durum, sistemlerinin kötü amaçlı yazılımlar ile enfekte olmasına yol açtı. Saldırganlar, Microsoft yazılımları üzerindeki tehlikeli derecede güvensiz varsayılan ayarları kullanarak Ascension’ın en hassas ağ alanlarına erişim sağladı.

Kerberoasting Tehditinin Ortaya Çıkışı

Saldırının bir diğer boyutu ise Kerberoasting tekniği oldu. Bu teknik, Kerberos kimlik doğrulama protokolünü hedef alarak, Active Directory üzerinden şifrelenmiş hizmet hesap bilgilerini çıkarmayı amaçlıyor. Wyden’ın ofisi, Microsoft’un 1980’lerden kalma RC4 adlı zayıf bir şifreleme teknolojisini varsayılan ayar olarak desteklediğini ileri sürdü. RC4, şifreleme anahtarına dönüşüm sırasında tuz veya yinelemeli karma kullanmaması nedeniyle özellikle saldırılara karşı hassastır.

RC4 ve Güvenlik İyileştirmeleri

RC4, 1987’de geliştirilen bir akış şifreleme algoritmasıdır. 1994’te bir forumda ifşa oldu ve 2015 itibarıyla, mühendislik görev gücü tarafından TLS‘te kullanılmasına yasak getirildi. Microsoft, Windows 11 ve Windows Server 2025 için RC4 desteğini azaltma planlarını açıkladı. Ancak, kullanıcılarının daha güvenli parolalar kullanmasının teşvik edilmesine rağmen, Wyden, Microsoft’un yazılımlarının, yetkili hesaplar için 14 karakterlik bir şifre uzunluğu zorunluluğunu uygulamadığını belirtti.

Alınması Gereken Önlemler

Microsoft, Kerberoasting’e karşı ortamları güçlendirmek için bazı önerilerde bulundu:

• Grup Yönetilen Hizmet Hesapları (gMSA) veya Delegeli Yönetilen Hizmet Hesapları (dMSA) kullanılması.
• Hizmet hesaplarının en az 14 karakter uzunluğunda rastgele oluşturulmuş uzun parolalarla korunması.
• Tüm hizmet hesaplarının AES (128 ve 256 bit) kullanacak şekilde yapılandırılması.
• Hizmet Prensip Adları (SPN) ile ilişkili kullanıcı hesaplarının denetlenmesi.

Ancak, bu önerilerin yeterli olmadığını savunan Wyden, Microsoft’un desteklediği zayıf RC4 şifreleme teknolojisinin, müşterilerini ransomware ve diğer siber tehditlere gereksiz yere maruz bıraktığını savundu.

Geçmişteki Eleştiriler ve Sonuçları

Microsoft, bu tip eleştirilerle ilk defa karşılaşmıyor. Geçtiğimiz yıl, ABD Siber Güvenlik İnceleme Kurulu, Çinli siber tehdit aktörlerinin Microsoft Exchange Online posta kutularına erişim sağlamasıyla ilgili olarak şirketi sert bir şekilde eleştirmişti. Wyden’ın ofisi, Microsoft’un zayıf siber güvenlik geçmişinin, geniş kapsamlı federal sözleşmeler üzerindeki etkisinin sınırlı kalmasını vurguladı.

Senatör Wyden, bu mektubuyla, Microsoft’un sunduğu hizmetlerin siber güvenlik yönünden özellikle dikkat edilmesi gereken bir alan olduğunu gösterdi. Aynı zamanda, kuruluşların ve kamu sektörü ajanslarının daha güvenli tasarım varsayılanları talep etmesi ve bunlara uyum göstermesi gerektiğinin altını çizdi. Ulusal güvenlik, artık belirli bir yazılım platformunun güvenlik tasarım kararlarıyla yakından ilişkili hale geldi.

Güncel Siber Güvenlik Haberleri – 1