ABD’nin haber ajansı Bloomberg, ülkenin askeri temelli güvenlik ajansı NSA’nın OpenSSL güvenlik açığını başından beri bildiğini ve düzenli olarak bu yolu bilgi toplamak için kullandığını ileri sürdü
Geçen hafta internet altyapısının temelini oluşturan en önemli güvenlik protokollerinden OpenSSL’de belirlenen güvenlik açığı büyük tartışmalara neden oluyor. ABD’li haber ajansı Bloomberg’de yer alan habere göre ABD’nin Ulusal Güvenlik Ajansı (National Security Agency – NSA), ‘Heartbleed’ adı verilen güvenlik açığının varlığında iki yıldır haberdar. Haberde ayrıca askeri temelli bir kuruluş olan NSA’nın bu güvelik açığını düzenli olarak kişi ve kuruluşlarla ilgi gizli bilgi toplama kaynağı olarak kullandığı bilgisi de yer aldı. Konuya yakın iki kişinin ifadelerine dayandırılan haberde OpenSSL protokolündeki açığın oluşmasıyla birlikte NSA’nın sürekli bu açık üzerinden dünya çapında istediği kanallara ulaşabildiği belirtilerek bu ve buna benzer açıkların sadece iki yıldan beri değil çok daha uzun zamandan beri var olabileceğine işaret edildi. Haberin ABD basınında yer almasının ardından NSA’dan yapılan açıklamada söz konusu güvenlik açığı ile ilgili bilgilerin kendilerine de bu ay başı itibariyle ulaştığı belirtilerek yasadışı dinlemeye yönelik tüm iddialar geri çevrildi.
İZ BIRAKMIYOR
Ancak konuya yakın kaynaklardan gelen bilgilere göre OpenSSL açığının NSA’nın küresel takip programında en temel öğe olarak kullanıldığına işaret edilerek küresel internet altyapısında buna benzer ‘arka kapılar’ üzerinde de sürekli çalışıldığı ifade ediliyor. Uzmanlara göre OpenSSL açığı üzerinden düzenlenen saldırıların en büyük avantajı geriye hiçbir izin bırakılmaması. Diğer bir ifadeyle bu yolu kullananlar istedikleri an dünyanın herhangi bir bölgesinde bulunan kişi ve kuruluş bilgilerine fark edilmeden ulaşıp gerekli veriyi toplayabiliyor. NSA’nın veri güvenliği konusunda gündeme gelmesi ise tüm dikkatlerin yaklaşık 13 yıldan beri büyük eleştirilere neden olan ABD’nin Vatanseverlik Yasası’nı çevrilmesine neden oldu. Bu yasa küresel terörle mücadele adı altında devletin güvenlik otoritelerine sınırsız imkanlar tanıyor. 11 Eylül 2001 olaylarının ardından kabul edilen yasaya göre devlete bağlı hem askeri hem de sivil güvenlik kuruluşları kişisel hakların üzerinde hareket etme yetkisine sahip oldu.
ŞİPARİŞ Mİ EDİLDİ?
Bu yasada yer alan bir maddeye göre ABD’de faaliyet gösteren tüm şirketler ulusal güvenlik gerekçesiyle ellerindeki tüm kullanıcı ve şahıs bilgilerini kayıtsız şartsız devlete vermeye zorlanabiliyor. OpenSSL sorununun ortaya çıkmasıyla birlikte akıllarda oluşan soru ise şu: Acaba bu güvenlik açığı veya diğer bir ifadeyle devletin yasal gerekçelerle istediği ‘arka kapı’ özellikle mi oluşturuldu? Ve eğer bu sorunun cevabı evetse mevcut internetin güvenliğini tartışmayı bir kenara bırakıp kendimize yeni ve gerçekten güvenli bir internet aramamızın vakti geldi demektir.
Vatanseverlik Yasası nedir?
26 Ekim 2001’de ABD’de kabul edildi. 10 maddeden oluşan yasanın amacı terörizmle etkin mücadele etmek. Tartışmalara neden olan çok sayıda maddesinden bazıları şöyledir
- Telefon ve internet takibi için gerekli olan savcı onayı büyük ölçüde ortadan kalktı. Savcıdan dinleme yetkisi hâlâ isteniyor ancak savcının sadece onaylama hakkı var.
- NSA, FBI ve CIA savcı onayı olmaksızın ABD’deki tüm şirketlerin sunucularına bağlanma hakkına sahiptir. Bu şart söz konusu şirketlerin yurtdışındaki ABD’li olmayan ortaklarının sunucuları için de geçerlidir. Lokal yasaların buna izin vermemesi dikkate alınmaz.
- ABD’li telekom ve internet servis sağlayıcıları her türlü kullanıcı bilgilerini devletle paylaşmak zorundadır.
- FBI’ın herhangi bir suç unsuru ortada olmaksızın herhangi bir kişinin banka veya herhangi bir finansal kuruluşta kayıt altında bulunan bilgilerini sınırlama olmaksızın elde etme hakkı vardır.
- ABD’nin havayolu ile ülkeye gelen tüm yolcular hakkında PNR kodu üzerinden tüm kişisel bilgilerini isteme ve elde etme hakkı vardır.
Nymexxx 