Oğuz Pancar
Stuxnet : İlk Siber Silah
Yıllar içinde ortaya çıkan bilgi kırıntıları, Stuxnet olarak anılan bu solucanın, ABD ve İsrail ortak ekibince 2005’te başlatılan “Operasyon: Olimpiyat Oyunları” adlı proje sonucunda ortaya çıktığına işaret ediyor.
Geçtiğimiz 17 ve 18 Eylül tarihlerinde Lübnan ve Suriye'de, Hizbullah üyeleri tarafından kullanıldığı varsayılan binlerce çağrı cihazı ve yüzlerce telsizin eş zamanlı olarak uzaktan tetikleme yoluyla patlatılması sonucu aralarında çocukların da bulunduğu 42 kişi yaşamını kaybetti. Resmi olarak üstlenmese de İsrail’in eylemi olduğu açık bu sabotaj onun elektronik cihazları kullanarak gerçekleştirdiği ilk eylem değil aslında; Hamas’ın “mühendis” lakaplı bomba yapım uzmanı Yahya Ayyaş’ın 1996’da, nadiren kullandığı bir cep telefonuna önceden yerleştirilen TNT’nin patlatılması yoluyla öldürülmesi İsrail’in istihbaratının bu türden eylemler üstünde çok uzun süredir çalıştığını gösteriyor.
Ancak bunlar kimi yayın organlarında nitelendiği gibi birer siber ya da dijital saldırı değil, elektronik cihazların kullanıldığı sabotaj ve suikastlar yalnızca. Oysa İsrail’in 2010’da açığa çıksa da büyük olasılık 2005’ten başlayarak -ABD ile birlikte- geliştirdiği bir zararlı yazılım var ki, işte o ilk “siber silah” nitelemesini hak ediyor: Stuxnet.
Arıza Nedeni : Bilinmiyor
2010'da Uluslararası Atom Enerjisi Ajansı denetçileri, İran'daki Natanz uranyum zenginleştirme tesisinde yaptıkları inceleme sırasında arıza kayıtlarını incelerken, uranyum gazını zenginleştirmek için kullanılan santrifüjlerin çok sık arızalanmış olduğunu fark ederler. Kayıtlarda, arıza nedeni alanına “Bilinmiyor” yazılmıştır; bakımdan sorumlu İranlı teknisyenler de bu arızalarla ilgili bir yorum yapamamaktadır.
Bundan beş ay sonra, Natanz’daki tesise proje yapan yüklenici firmaların bilgisayarlarında garip bir hata görülmeye başlar; bazı bilgisayarlar durduk yere donup kalmakta ve yeniden başlamaktadır. Firmanın sistem sorumlusu sorunun kaynağını bulamayınca Belaruslu bir arkadaşını, parlak bir sistem güvenlik yazılımı uzmanı olan Sergey Ulasen’i arar. Ulasen, incelediği bilgisayarların birinde zararlı olması muhtemel birkaç dosya bulur ve bunları kendi bilgisayarına kopyalayarak incelemeye başlar. Yaklaşık 500 KB büyüklüğündeki bu dosyalar Ulasen’in daha önce gördüğü hiçbir zararlı yazılıma benzememektedir. Elinde kaynak kodu da olmadığı için ancak çalıştırılabilir (executable) kodu inceleyerek yazılım hakkında bilgi edinmeye çalışan Ulasen, bunun bir “zero-day” (sıfır gün) zararlı yazılımı olduğunu görür.
[“Zero-day”, piyasa sürüldüğünde, dışarıdan sızmaya uygun açıklıklar bulunduran ve bu zayıflıkları henüz bir yama ile giderilmemiş programlara sızmak için tasarlanmış zararlı yazılımlardır. Programdaki bu zayıf nokta genellikle zararlı yazılımın varlığı ile ortaya çıktığı ve üretici şirketin, herhangi bir zarar oluşmadan hatayı düzeltmek için elinde “sıfır gün”ü olduğu, yani hiç zamanı olmadığı durumlar için kullanılır.]
Solucan
Ulasen’in daha sonra uluslararası güvenlik yazılımcılarıyla da paylaştığı programın, çeşitli merkezlerde aylar süren incelenmesi sonunda bu yazılımın özellikleri az çok ortaya çıkar. Kaspersky, Symantec gibi güvenlik yazılımlarında önde gelen şirketlerin bulgularına göre, karşılarındaki program daha önce benzeri hiç görülmemiş bir solucandır.
[“Solucan” (worm) olarak sınıflandırılan zararlı yazılımlar, kendini çoğaltan ve bulunduğu ağdaki diğer bilgisayarlara kopyalayan yazılımlardır.]
Bu noktada, İran’ın nükleer programından söz etmek gerek belki. İran’daki nükleer araştırmalar 1950'lerde “Atoms for Peace” programı kapsamında ABD'nin desteğiyle başlar; programın amacı barışçıl bilimsel araştırmalarda kullanmak üzere radyoaktif parçacıkların üretilmesidir. İran 1970'te nükleer faaliyetlerini IAEA denetimlerine açar ve Nükleer Silahların Yayılmasının Önlenmesi Anlaşması'nı (NPT) onaylar. Ancak 1979 İran Devrimi bu anlaşmanın sonunu getirir ve İran nükleer programını gizlice sürdürmeye başlar. İran Ulusal Direniş Konseyi'nin 2002’de, bir uranyum zenginleştirme programı yürütüldüğünü resmen açıklamasından sonra, ABD Birleşmiş Milletler örgütünü ön cepheye sürerek İran’ın nükleer programını NPT’ye aykırılık gerekçesiyle durdurmaya çalışır; başaramayınca bu kez çalışmaların uluslararası denetime açılmasını sağlamak için çaba harcamaya başlar. Elbette temel endişe, İran’ın, İsrail ve ABD’nin kendi güvenlikleri için kabul edilemez bulduğu, nükleer silahlara sahip olmasıdır. Çünkü, İsrail ya da ABD dışında bir gücün nükleer silaha sahip olması, bu iki haydut devletin Ortadoğu’da istedikleri gibi at oynatmalarının önüne bir engel olacak dikilecektir.
Her ne kadar İran yönetimi pek çok kez nükleer silahlara sahip olmayı günah saydıklarını ve amaçlarının barışçıl amaçlı nükleer enerji elde etmek olduğunu açıkladıysa da bu, ABD ve İsrail İran’ın nükleer programını gizlice baltalamak için ellerinden geleni yaparlar. 2010’da ortaya çıkan bu siber saldırı da baltalama çalışmalarının içindeki en önemli girişimlerden biridir.
[Bence İran’ın yürüttüğü programın amacının nükleer silahlar elde etmek olduğu açıktır. Her ne kadar dini lider Ayetullah Ali Hamaney, nükleer silahların İslam'a aykırı olduğunu belirten bir fetva verdiyse de Kuran’da kitle imha silahlarını yasaklayan bir hüküm olmadığı açıktır; olsa bile kendi yurttaşlarına acımasız olan bir rejimin insani nedenlerle nükleer silahlara karşı olması pek düşünülemez. İran orta-uzun vadede bir İsrail-ABD saldırısının kaçınılmaz olduğunu değerlendirdiği için bu silahlara sahip olmak istemektedir ve son yaşanan gelişmeler bu endişelerinin hiç de yersiz olmadığının kanıtıdır.]
Yıllar içinde ortaya çıkan bilgi kırıntıları, Stuxnet olarak anılan bu solucanın, ABD ve İsrail ortak ekibince 2005’te başlatılan “Operasyon: Olimpiyat Oyunları” adlı proje sonucunda ortaya çıktığına işaret ediyor.
Siemens Step-7
Yaklaşık 3 yılda tamamlanan proje sonunda İsrail ve ABD’nin önündeki tek engel solucanın İran nükleer tesislerine yerleştirilmesidir. Bu kolay bir iş değildir, çünkü tesisler internet bağlantısına tümüyle kapatılmıştır; tek çare, solucanı barındıran bir USB diskin tesisteki bilgisayardan birine takılmasıdır. Zaten sonrası kolaydır. USB disk bilgisayara takılır takılmaz Stuxnet kendini belleğe yükler, Windows işletim sisteminin sürücü yazılımı kılığına girer (muhtemelen bir baskı kuyruğu-print spooler sürücüsü olarak) ve işletim sisteminin çekirdeğine sızar. O andan sonra işletim sistemi ya da sürücülerinin sürümleri yükseltilse de Stuxnet çekirdeğe kadar sızdığı için kendini korur.
Stuxnet kendini ağ içinde yer alan diğer bilgisayarlara da kopyalar, ta ki içinde Siemens’in endüstriyel yazılımları yüklü her bilgisayara bulaşıncaya kadar (Siemens yazılımı yüklü olmayan bir bilgisayara yüklenen Stuxnet kendini ve izlerini siler). Stuxnet o kadar akıllıca tasarlanmıştır ki, sürümü yeni olan bir Stuxnet daha düşük sürümlü bir kopyasıyla karşılaşınca onu da yeni sürüme yükseltir.
Stuxnet’in amacı, türbinleri kontrol eden endüstriyel bilgisayarlara sızmaktır. İran’ın bütün nükleer tesislerinde Siemens’in endüstriyel kontrol cihazları ve yazılımları kullanılmaktadır (o dönemki yaptırımlar nedeniyle İran, Siemens ürünlerini Almanya’dan resmi yollarla satın alamamış, başka ülkelerdeki sanayi kuruluşları için alınıyormuş gibi gösterilen cihazlar sonradan gizlice İran’a aktarılmıştır.)
Natanz’daki yüzlerce gaz türbini Siemens’in “Step-7” endüstriyel yazılımıyla kontrol edilmektedir. ABD ve İsrail istihbaratı bunu çoktan haber almıştır. Stuxnet, kontrol ettiği türbinlerde bulunan vanalardaki basıncı aşırı derecede yükseltirken, gösterge ve bilgisayar ekranlarında basıncı normalmiş gibi gösterir (sonraki bir Stuxnet sürümü, türbinlerdeki santrifüj hızı için aynı yanıltmayı hedefler). Vananın yüksek basınç sonucu patlaması sonucu hem türbin hem de zenginleştirme sürecindeki uranyum zarar görmektedir. İranlı mühendisler bir şeylerde terslik olduğunu anlamış olsa da bunun nedenini açığa çıkarmalarına olanak yoktur.
Sızma
ABD ve İsrail Stuxnet’i nükleer tesislere sokabilmek için çok uğraşmış olmalılar. Muhtemelen önce tesiste çalışan kimi yönetici ya da mühendisler satın alınmaya çalışılmış veya İsrail adına çalışan İranlı mühendislerin tesislerde işe girmesi için çaba gösterilmiştir; bu konuda kesin bir bilgi yok. Ama en olası senaryo, Stuxnet’in önce, Natanz’a mimarlık, inşaat, endüstriyel cihaz ya da ısıtma/soğutma sistemi gibi alanlarda proje yapan yüklenici firmalarından birine internet ya da bir USB disk yoluyla yerleştirilmiş olmasıdır. Doğaldır ki bu firmaların yaptığı teknik proje çizimlerinin bir şekilde nükleer tesislerdeki bilgisayarlara aktarılması gerekecektir. Büyük olasılıkla bu tür şirketlerden birinin proje çizimini içeren bir USB disk, Natanz’da önce zararlı yazılımlara karşı güvenli olduğu sanılan bir bilgisayara takılmış, gelişmiş virüs koruyucu yazılımlarla taranmış ve güvenli olduğu düşünülerek bilgisayara aktarılmıştır. Elbette ki o dönem Stuxnet’i yakalayabilecek bir koruyucu yazılım mevcut değildir, daha USB taranırken Stuxnet kendini çoktan bilgisayara kopyalamıştır bile.
[Stuxnet’in ilk olarak yerleştirildiğinden kuşkulanılan 5 şirketten biri olan Neda Industrial Group’ta çalışan bir kontrol mühendisi, 2009’da Siemens kullanıcı forumunda, şirketlerindeki bilgisayarlarda yaşadıkları bir sorundan dert yanar. "Behrooz" kullanıcı adıyla yazan mühendis, şirketlerindeki tüm PC'lerde sürekli Siemens “Step7.dll” dosyasıyla ilgili bir hata mesajı oluştuğunu belirtir; sorunun, USB diski yoluyla yayılan bir virüsten kaynaklandığından şüphelenmektedir. Mühendis, bir DVD veya CD kullanarak enfekte bir sistemden temiz bir sisteme dosya aktarırken her şeyin yolunda olduğunu, ancak bir USB disk kullandığında yeni PC'nin diğeriyle aynı sorunları yaşamaya başladığını yazar.
Behrooz ve meslektaşları virüs taraması yapsalar da, bilgisayarlarında herhangi bir kötü amaçlı yazılım bulamazlar.]
Stuxnet’in yalnızca 2009’da, İran’ın zenginleştirilmiş uranyum üretimini %20 oranında baltaladığı düşünülüyor.
ABD Başkanı George Bush döneminde başlatılan ve Barack Obama döneminde de sürdürüldüğü bilinen Stuxnet projesi gibi pek çokları kim bilir hangi adlarla nerelerde sürüyor şu an. Emin olun bundan 20 yıl sonra ülkelerin siber saldırı-savunma yetenekleri konvansiyonel silah güçleri kadar önemli ve etkili olacak.