Uç Nokta Güvenliği, Dolandırıcılık Yönetimi ve Siber Suç, Nesnelerin İnterneti Güvenliği
Hiçbir OpSec Ölçüsü Bozuk Bir Tedarik Zincirinin Etkilerine Karşı Kurşun Geçirmez Değildir
Mathew J. Schwartz (euroinfosec) •
19 Eylül 2024
Ağ güvensizliğinin olduğu bir çağda güvenli iletişimler çoğunlukla şifreleme ve gözetleme izleme korkularına odaklanmıştır. Ancak bu hafta teröristlerin ve suçluların dehşetine rağmen hiçbir OpSec önlemi bozuk bir tedarik zincirinin etkilerine karşı kurşun geçirmez değildir.
Ayrıca bakınız: JAPAC | Uygulamalarınızı Güvence Altına Alın: Yapay Zeka Tarafından Oluşturulan Kod Riskini Nasıl Önleyeceğinizi Öğrenin
Hizbullah militanları bu yılın başlarında akıllı telefonların, sürekli konum iletimleri ve gelişmiş casus yazılım hedefleri olarak ünleri göz önüne alındığında çok büyük bir risk olduğuna karar verdiler. Eski tip çağrı cihazlarına geçiş bunların hepsini ortadan kaldıracaktır. Ancak Hizbullah temel bir bileşeni unuttu: donanım tedarik zinciri. Kanıtlar, görünüşe göre İsrail hükümeti tarafından yüksek kaliteli plastik patlayıcılarla donatılmış patlayıcı cihazlar tarafından zarar gören bir dizi öldürülmüş veya sakatlanmış militandır.
Organize suç, Ghost adlı başka bir sözde güvenli, şifreli platforma sızan ve onu bozan ve artık anonimliği kaldırılmış operatörlerini ve kullanıcılarını tutuklayan uluslararası bir kolluk kuvvetleri operasyonunun ardından benzer bir ikilemle karşı karşıya kaldı. Avustralya Federal Polisi yetkilisi, Avustralya polisinin Ghost ağına “akıllı yazılım mühendisliği ve bu cihazlardaki güncellemeleri değiştirerek onları esasen gözetleme cihazlarına dönüştürerek” sızabildiğini söyledi.
İronik olarak, daha güvenli olduğu varsayılan iletişim cihazlarına geçiş, suçluların kaçınmaya çalıştığı güvenlik sorunlarına yol açtı: yakalanma ve ölüm.
Hizbullah operasyonu hakkında bilgilendirilen kişiler, İsrail’in çağrı cihazları ve telsizler satmak için paravan şirketler kurduğunu ve alıcıya bağlı olarak her cihazın iki versiyonunu sunduğunu söyledi: normal bir versiyon ve “patlayıcı PETN ile bağlanmış piller” kullanan bir versiyon, The New York Times Çarşamba günü bildirdi. Uzmanlar, savaşçıları öldürmek, kör etmek veya başka şekilde sakatlamak için sadece az miktarda patlayıcıya ihtiyaç duyulacağını, bunun en önemli nedeninin çağrı cihazlarının patlamadan önce, Hizbullah liderliğinden geldiği etiketli bir mesaj aldıktan sonra yüksek öncelikli bir uyarıyla bip sesi çıkarması olduğunu ve bunun da muhtemelen birçok kullanıcının cihazları gözlerine kaldırmasına yol açtığını söyledi.
“Bir tehdit modeli her zaman önce donanıma – ve donanımın içinde ne olduğuna – bakmalıdır,” diyor İngiltere’deki Surrey Üniversitesi’nde bilgisayar bilimi profesörü olan siber güvenlik uzmanı Alan Woodward. “Hizbullah’tan bu çağrı cihazlarının üretildiği yere gidip en azından paketlenen şeyleri görmek için numune alan kimse yok muydu?”
Tedarik zincirlerini bozmak, en azından on yıl önce müşterilere ulaştırılırken bilgisayar ekipmanlarını ele geçirmek ve değiştirmekle ilişkilendirilen ABD Ulusal Güvenlik Ajansı tarafından kullanılan bilinen bir istihbarat teşkilatı taktiğidir; bazen virüsler veya özel donanım yazılımı ekleyerek. Güvenlik uzmanları, İsrail’in istihbarat aygıtının büyük ölçüde rakipsiz olduğunu ve çevik düşünme ve ülkeye karşı düşmanları tarafından oluşturulan varoluşsal tehdit tarafından geliştirilen asimetrik bir yaklaşımla bilindiğini söylüyor.
Soğuk Savaş’ın sonunda askeri istihbaratta kariyerine başlayan Cyjax CISO’su Ian Thornton-Trump, “Terörle mücadelede, 3 boyutlu bir satranç oyunundan bahsediyoruz” dedi.
Thornton-Trump, İsrail’in cep telefonu gözetleme kabiliyetlerinden, rakiplerini istismar edebileceği bir iletişim alternatifi aramaya yöneltmek ve onları sürekli bir kesinti halinde tutmak için bahsetmiş olabileceğini, bunun hem “operasyon maliyetini artırmak” hem de istismar edilebilir hatalar yapma olasılıklarını artırmak için olabileceğini söyledi.
Peki akıllı telefonlar, çağrı cihazları ve telsizlerden sonra ne geliyor? Uzmanlar, Hizbullah’ın büyük bir kısmının gizli hücreler halinde örgütlendiğini ve liderliğin birbirleriyle hiçbir bağlantısı olmayan küçük hücrelere doğrudan “birden çoğa” komutları verdiğini söylüyor.
“Kalem, kağıt ve faks iletişimlerine indirgenirlerse, bunları ele geçirmek daha kolay olur, bu yüzden bunları koda dökerler,” belki de daha fazla insan kurye tarafından taşınır, dedi Thornton-Trump. Ancak kuryeler özel kuvvetler tarafından yakalanabilir ve sorgulanabilir ve kodlar sinyal istihbarat ajansları tarafından çözülebilir.
Siber suçlular muhtemelen patlayan çağrı cihazları tehlikesiyle karşı karşıya değiller ancak polisin sürekli olarak kullandığı şifreli telefon hizmetlerine güvenilir alternatiflerin de kıtlığıyla karşı karşıya kalıyorlar. Tek kullanımlık SIM kartlar ve VPN hizmetleriyle desteklenen ticari akıllı telefonlara ve WhatsApp, Signal veya Telegram gizli sohbetleri gibi şifreli mesajlaşma uygulamalarına geri dönebilirler. Ancak Surrey Üniversitesi’nden Woodward, fiziksel cihazların -en azından- kolluk kuvvetleri ve istihbarat teşkilatları tarafından altüst edilme riski altında olduğunu söyledi.
“Kullanımlık telefonlara dayalı bir komuta ve kontrol yapısına sahip olmanın bir diğer yanı da – ve suçlular bunu geçmişte buldu – bugün kimin hangi numarada veya hangi adreste olduğunun bir tür kaydını tutmanız gerektiğidir,” dedi. “Bu yüzden bu veritabanı aniden birincil siber güvenlik hedefi haline gelir ve bunu ele geçirebilirseniz, önümüzdeki birkaç gün için hedef listeniz olur.”