Yazılar

Çin ve Rusya ulusal güvenlik için teknoloji firmalarına rest çekti

cin-ve-rusya-ulusal-guvenlik-icin-teknoloji-firmalarina-rest-cekiyor Çin ve Rusya ulusal güvenlik için teknoloji firmalarına rest çektiArtık Çin’e satılacak donanım ve yazılım ürünlerinin kaynak kodları Çin hükümetine teslim edilecek.

Çin hükümeti devreye aldığı yeni regülasyonlar sayesinde kritik kurumlara satılan yabancı ürünlerin kaynak kodlarını talep ediyor. Örneğin bir Çin bankasına satışı yapılan yabancı yazılımın kaynak kodu devlete teslim edilecek ve bu kod üzerinde olabilecek arka kapılara karşı kaynak kod analizi gerçekleştirilecek.

Çin hükümetinin yayınladığı doküman yaklaşık 22 sayfadan oluyor. Yeni regülasyonlar 2014 yılı sonunda kabul edilerek yürürlüğe girdi. Burada amaç kritik önemdeki sektörlerde Çin’in siber güvenlik altyapısını güçlendirmek. Diğer yandan bu yeni kurallar bütünü ABD’li firmaları büyük fırsatlar içeren Çin pazarına girememek konusunda endişelendiriyor. ABD Ticaret Odası yaptığı açıklamada Çin’li yetkilileri diyaloga çağırarak bu durumun Çin’in büyük oranda milli ürünleri kullanması ile sonuçlanacağını belirtti.

Tek çekince bu değil. Diğer bir çekince ise satışı yapılacak donanım/yazılımların kaynak kodları teslim edildikten sonra Çin’in siber savaş komutanlığı olan PLA’in bunları inceleyerek zero day güvenlik açıklarını tespit etme ihtimali. Bu durumda ABD ürünlerinin kaynak kodlarını inceleyen Çin, ABD’de bu ürünlerin kullanıldığı ağlara izinsiz erişebilir. ABD’li üreticiler ise teslim edecekleri kaynak kodlarının Çin’li teknoloji firmalarına sızdırılabileceği için endişeli görünüyor. ABD ile aynı ürünlerin ucuz versiyonlarını üretmekle ünlü oldukları için ABD’li üreticiler teknolojilerinin kopyalanmasını istemiyorlar. Çin’in hedefi 2019 yılına gelindiğinde ulusal güvenliği ilgilendirebilecek altyapıların %75’inde Çin menşeili ürünler kullanmak.

Rusya’da Çin’in benzeri bir planı devreye sokarak 1 Ocak 2015 itibarı ile yabancı ürünlerin kritik altyapılarda kullanılmasının önüne geçme kararı aldı. Hatta bu adımı ileri götürerek bazı kritik toplantılarda hazırlanan tutanakların bilgisayar yerine mekanik daktilolar ile kağıda dökülmesi kararı almıştı.

Türkiye ise ulusal güvenlik açısından ABD, Fransa, İsrail ve Çin’li üreticilere teslim gözüküyor. En kritik altyapılarda bile ana bileşenler ağırlıklı olarak bu dört ülkedeki üreticiler tarafından hazırlanıyor.

Hacker çetesi bankadan 1.3 milyon euro çaldı

barclays-banka-kvm-cihaz-300x269 Hacker çetesi bankadan 1.3 milyon euro çaldıSekiz kişilik hacker çetesi Barclays Bankasından 1.3 milyon euroyu oldukça pratik bir yöntemle çaldı. Metropolitan Polis Merkezi yetkililerinin bildirdiğine göre içinde 3G router bulunan, KVM adında klavye, mouse, görüntü iletmeye yarayan cihazı Londranın kuzeyindeki bir Barclays şubesine yerleştirdiler.

Çete üyelerinin bu cihazları şubeye sokmak için IT ekibinden kişiler gibi davranarak sosyal mühendislik uyguladığı da belirtiliyor. Sonrasında 3G çalıştıran KVM cihazına uzaktan bağlanan çete üyeleri izinsiz transferleri gerçekleştiriyor.

Çetenin 1.3 milyon euronun yanı sıra hatırı sayılır miktarda kredi kartı, kişisel bilgiyi de ele geçirdiği biliniyor. Üstelik tüm bunlar milyonlarca dolar yatırılan firewall, IPS, antivirus sistemlerine sahip bankanın tüm güvenlik önlemlerini atlatacak 300 dolar değerinde bir donanım ile gerçekleştiriliyor.

Bu noktada tekrar akıllara gelen şey kurumların bilgi güvenliği yatırımlarını ürünlerden çok, penetrasyon testi süreçleri ve sosyal mühendislik gibi saldırılara karşı yapmaları gerektiği.