Yeni vizyona giren Ölmek İçin Zaman Yok ile birlikte Daniel Craig dönemi kapanmış oldu. Bu vesileyle Bond’u oynadığı beş filmi siber güvenlik açısından incelemek istedik. Bulduklarımız karşısında umarız kafanız “karışmaz ama çalkalanır”. Bu filmlerin Craig dışındaki ortak notası, filmlerdeki MI6 çalışanlarının siber güvenliğin temellerine dair hiçbir fikirleri olmaması.
Bu dikkatsizliğin bilinçli olarak mı tercih edildiğini (Bond’un ve bütün 00 konseptinin ne kadar çağın gerisinde kalmış olduğunu vurgulayacak şekilde), yoksa senaristlerin yetersizliğinden ve siber danışmanların olmamasından mı kaynaklandığını net olarak bilmiyoruz. Sebebi ne olursa olsun, filmlerde karşımıza çıkan absürtlüklere sırasıyla göz atalım. Spoiler alarmı!
Casino Royale
Craig’in ilk Bond filminde şöyle bir sahne izliyoruz: Bond, amiri M’in evine gizlice giriyor, M’in bilgisayarını kullanarak bir tür casusluk sistemine bağlanıyor ve hikayedeki kötü karakterin telefonuna gönderilen bir metin mesajının kaynağını bulmaya çalışıyor. Gerçek hayatta Bond bunu ancak şu şartlarda yapabilir:
- MI6, otomatik ekran kilidi ve kullanıcı hesabından çıkış yapma politikalarını zorunlu tutmuyorsa ve M, bilgisayarını ve oturumunu sürekli açık tutuyorsa;
- MI6 güçlü parola kullanımını zorunlu tutmuyorsa ve M’in parolaları kolaylıkla tahmin edilebilir parolalarsa;
- M parolalarını iş arkadaşlarından gizli tutmayı bilmiyorsa ya da güvenliği ihlal edilmiş parolalar kullanıyorsa.
Bu senaryoların hepsi birbirinden kötü olsa da büyük olasılıkla filmde üçüncüsü gerçekleşiyor; çünkü filmin ilerleyen sahnelerinde Bond yine M’in kimlik bilgilerini kullanarak “güvenli bir internet sitesine” uzaktan giriş yapıyor.
Bond’un parolalara karşı tutumunun da M’den aşağı kalır yanı yok. Pokerde kazandıklarını koyacağı gizli hesap için en az altı karakterden oluşan bir parola oluşturması gerektiğinde iş (ve aşk) ilişkisi olan Vesper’ın adını kullanıyor. Dahası, parola aslında bir numaraya karşılık gelen hatırlatıcı bir ipucu (eski alfanümerik tuş takımlarında telefon numarası çevirmeye yardımcı olan hatırlatıcı kelimeler gibi). Yani sözlükte yer alan bir kelimeye dayanan 6 haneli bir parola.
Quantum of Solace
Quantum of Solace son beş Bond filmi arasında en az bilgisayar içereni olsa da dikkate değer bir nokta barındırıyor. Filmin başında, sekiz yıldır MI6’de çalışan, beş yıldır da M’in kişisel korumalığını yapan Craig Mitchell’ın aslında çift taraflı ajan olduğunu öğreniyoruz.
Tabii bu siber güvenlikten ziyade eski usül bir güvenlik sorunu. Ancak önceki filmde gördüğümüz üzere M’in parolalar konusundaki özensizliğini düşünürsek MI6’in sırları dünyanın dört bir yanında kedisini okşayan kötü kahramanların ellerine düşmüş olabilir.
Skyfall
Skyfall, bu beş film arasında en çok bilgisayar içereni. Bilgi güvenliği, filmin konusunu oluşturuyor. Siber çılgınlık daha ilk sahneden kendini gösteriyor. Kolaylık açısından analizimizi kronolojik olarak bölümlere ayıracağız.
İstanbul’da veri sızıntısı
Bilinmeyen bir suçlu, “dünyadaki terörist organizasyonlara yerleştirilmiş tüm NATO ajanlarının kimliğini” içeren bir dizüstü bilgisayar sabit sürücüsü çalıyor. MI6’in ortaklarının bile (resmi olarak var olmayan) bu listeden haberi yok.
Böyle bir sürücünün varlığı bile tek başına devasa bir güvenlik açığı. Bu veri tabanının MI6 için hayati önem taşıdığını varsayalım (ki taşıyor). O halde bu sürücünün İstanbul’da yalnızca üç ajan tarafından korunan bir güvenli evde ne işi var? Filmde söylendiği gibi sürücü şifrelenmiş olsa ve şifre kırmaya yönelik herhangi bir girişimde MI6 uyarılsa bile?
Gizli İstihbarat Servisi’ne siber terör saldırısı
İlk gerçek siber saldırı çok geçmeden yaşanıyor: İngiliz Gizli İstihbarat Servisi’nin genel merkezine siber terör saldırısı düzenleniyor. Saldırgan, çalınan sürücünün şifresini çözmeye çalışıyor. Üstelik, güvenlik sistemine göre, M’in kişisel bilgisayarından. Muhafızlar bilgisayarı kapatmaya çalışsa da kötüler Thames kıyısındaki Gizli İstihbarat Servisi binasını havaya uçuruyor.
Ardından yürütülen incelmede saldırganın çevre kontrol sistemini hacklediği, güvenlik protokollerini devre dışı bıraktığı ve gazı açtığı ortaya çıkıyor. Ancak saldırgan tüm bunları yapmadan önce M’in takviminin de yer aldığı dosyalarını hacklemiş ve çalınan sürücünün şifresini çözecek kodları da ele geçirmiş.
Çalınan sürücü ile ilgili M’in bilgisayarına gelen uyarının bir dezenformasyon veya trolleme girişimi olduğunu varsayalım (ne de olsa sürücünün binada olması mümkün değil). Binanın gaz kaynağı ile ilgili oluşan soru işaretlerini de yok sayalım. Kim bilir, belki de MI6’in koridorları Karındeşen Jack’in zamanındaki gibi gaz lambalarıyla aydınlatılıyordur; sonuçta Britanya geleneklerine bağlı bir ülke.
Ne olursa olsun, mühendislik kontrol sistemini hacklemek gerçek hayatta da gerçekleştirilebilecek bir eylem. Peki, hem mühendislik kontrol sistemi hem de M’in güya “Britanya’daki en güvenli bilgisayar sistemine” sahip bilgisayarı nasıl aynı ağda olabiliyor? Bu açık bir segmentasyon sorunu. Sürücünün şifre çözme kodlarını M’in bilgisayarında saklamak ise ihmalkarlıktan başka bir şey değil. En azından bir parola yöneticisi kullanabilirlerdi.
M’e siber zorbalık
Failler düzenli aralıklarla ajanların adını halka açık alanlarda yayınlayarak M ile uğraşıyor. Bu sayede bir şekilde mesajlarının M’in dizüstü bilgisayarında belirmesini sağlayabiliyorlar. (Bir tür arka kapı var gibi görünüyor; yoksa nasıl girebilirler?) Fakat MI6 uzmanları dizüstü bilgisayarı kontrol etmiyor, yalnızca mesajlarını kaynağını bulmakla ilgileniyorlar.
Sonunda mesajların, sinyali dünyanın dört bir yanındaki binden fazla sunucudan yansıtan bir asimetrik güvenlik algoritması tarafından gönderildiği sonucuna varıyorlar. Böyle bir taktik olabilir, fakat bu bağlamda “asimetrik güvenlik algoritması” ile neyi kastettikleri belli değil. Gerçek hayatta asimetrik şifreleme algoritması bir kriptografi terimi; mesajın kaynağını gizlemekle hiçbir ilgisi yok.
MI6’e içeriden saldırı
Bond, Silva adlı eski bir MI6 ajanı olan hacker’ın yerini tespit ediyor. Silva’yı yakalayıp dizüstü bilgisayarıyla birlikte MI6’in yeni merkezine getiriyor. Ancak Silva’nın bir oyun çevirdiğinin farkında değil. Bu noktada sahneye Q giriyor. Normalde levazım sorumlusu olan Q, pratikte MI6’in hackercıbaşı ve bir soytarı.
Burada da gerekçelendirme pek net değil. Yalnızca komiklik olsun diye mi soytarı? Yoksa bu karar da senaristlerin siber güvenlik cahili olmasının bir sonucu mu? Q’nun yaptığı ilk iş, Silva’nın bilgisayarını MI6’in iç ağına bağlamak oluyor. Bu sırada yaptığı laf salatasını çözmeye çalışalım:
- “[Silva] belirli dosyalara erişme girişimi olduğunda belleği silecek arızalara dayanıklı protokoller kurmuş.” Fakat eğer Q bunu biliyorsa neden Silva’nın verilerini bu protokollere sahip bir bilgisayarda analiz etmeye devam ediyor? Ya bellek silinirse?
- “Bu omega sitesi. En üst düzeyde şifrelenmiş. Gerçek amacını gizlemek için karıştırılmış bir kod gibi görünüyor. Belirsizlik yoluyla güvenlik.” Bu tamamen rastgele terimlerin arka arkaya dizilmesinden oluşan mantıksız bir laf salatası. Bir kod, şifreleme kullanılarak karıştırılmış (analizi engellemek için değiştirilmiş). Olabilir. Fakat kodu çalıştırmak için bir şeyin önce kodun şifresini çözmesi gerekiyor ve bu noktada o şeyi bulmak lazım. Belirsizlik yoluyla güvenlik, gerçekten de bilgisayar sistemleri için dayanıklı güvenlik mekanizmaları yerine, saldırganların verileri çözmesini zorlaştırarak güvenlik sağlamayı hedefleyen, gerçek hayatta da kullanılan bir yaklaşım. Başarılı bir uygulama değil. Q’nun izleyicilere ne anlatmaya çalıştığı ise hiç net değil.
- “Kodu mutasyona uğratmak için polimorf motor kullanıyor. Ne zaman erişim sağlamaya çalışsam değişiyor.” Saçmalık devam ediyor. Kodun nerede olduğu ve Q’nun nasıl erişmeye çalıştığı muamma. Eğer dosyalardan bahsediyorsa belleğin silinmesi riskiyle karşı karşıya (bkz. birinci madde). Üstelik bu mitolojik motoru neden durduramadıkları ve “kod mutasyonunu” ortadan kaldırıp kodu çözmedikleri de belli değil. Polimorfizm ise kelimenin tam anlamıyla virüslerin yeni kopyalarını oluştururken kötü amaçlı kodu modifiye etmek için kullanılan tarihe karışmış bir yöntem. Burada yeri olan bir kavram değil.
Görsel açıdan Silva’nın bilgisayarında gerçekleşen her şey, aralara on altılı kod sistemine benzeyen bir şeyler serpiştirilmiş dahiyane karmaşıklıkta bir tür spagetti şemasıyla temsil ediliyor. Bond, kartal kadar keskin gözleriyle bu harf ve rakam çorbasının içerisinde tanıdık bir isme rastlıyor: Granborough, Londra’da kullanılmayan bir metro istasyonu. Bond, bunu kod anahtarı olarak kullanmayı teklif ediyor.
Deneyimli istihbarat ajanlarının bileceği üzere, apaçık ortada (tam da arayüzde) bırakılan hayati öneme sahip bir bilgi, çok büyük olasılıkla tuzaktır. Yoksa düşman bu bilgiyi neden ortada bıraksın? Fakat Q, kod anahtarını hiç tereddüt etmeden giriyor. Bunun sonucunda kapılar açılıyor, “sistem güvenliği ihlali” mesajları beliriyor ve Q etrafına bakıp “Biri bana sistemimize nasıl girdiğini anlatabilir mi?” diye sormaktan başka bir şey yapamıyor. “Uzman”, birkaç saniye geçtikten sonra nihayet Silva’nın bilgisayarının ağ ile bağlantısını kesmenin mantıklı olabileceğine karar veriyor.
Bütün olarak baktığımızda esas sorumuz şu: Senaristler Q’yu kasıtlı olarak mı beceriksiz bir amatör gibi göstermeyi seçmiş, yoksa senaryoya rastgele siber güvenlik terimleri serpiştirirlerse Q’nun bir bilgisayar dahisi gibi görüneceğini mi düşünmüşler?
Spectre
Teoride Spectre, Nine Eyes gözetim ve istihbarat programının terör karşıtı bir araç olarak yasallığını, etikliğini ve güvenliğini sorgulamayı hedefleyen bir film. Pratikte ise filmdeki gibi bir sistem yaratmanın tek dezavantajı, MI5 ve MI6’in birleşmesinin ardından oluşan Birleşik Gizli Servis’in başkanı yolsuzluk yaparsa ortaya çıkıyor. Yani İngiliz devletinin bilgi sistemlerine erişimin içeriden bir kötü karakter tarafından, bu durumda Bond’un azılı düşmanı Blofeld tarafından, ele geçirilmesi lazım. Bu tür bir sistemin diğer potansiyel dezavantajlarına filmde yer verilmemiş.
Köstebek temasına ek olarak, Q ve Moneypenny film boyunca resmi olarak görevden uzaklaştırılmış olan Bond’a gizli bilgileri iletiyor. Üstelik Bond’un nerede olduğu konusunda da yetkililere yanlış bilgi veriyorlar. Tüm bunları iyi bir amaç uğruna yapsalar da istihbarat açısından bakıldığında gizli verileri sızdırıyorlar ve en iyi ihtimalle görevi kötüye kullanma suçunu işliyorlar.
Ölmek İçin Zaman Yok
Son Craig dönemi filminde MI6, kurbanların DNA’larına kodlanan nanobotlardan oluşan Herakles Projesi adlı gizli bir biyolojik silah geliştiriyor. Herakles sayesinde hedefler, bulundukları odaya nanobot püskürtülerek veya hedefle kesin olarak teması olmuş birinin kanı kullanılarak ortadan kaldırılabiliyor. Silah, MI6 bilim insanı ve çift taraflı (belki de üç taraflı, saymayı bıraktık) ajan Valdo Obruchev’in eseri.
Obruchev gizli dosyaları bir flash sürücüye kopyalayıp yutuyor. Ardından o kadar da gizli olmayan gizli örgüt Spectre’nin son filmde öldürülmeyen birkaç ajanı laboratuvara giriyor, bazı nanobot numunelerini çalıyor ve hain bilim insanını kaçırıyorlar. Çalışanların geçmişinin sorgulanmasında birtakım sıkıntılar olduğunu zaten biliyoruz, fakat gizli silahlar geliştirilen bir laboratuvarda neden veri kaybı önleme (DLP) sistemi yok? Üstelik de Obruchev gibi Rus soyadına sahip birinin bilgisayarında? (Herkesin bildiği üzere Rus demek, kötü adam demek.)
Filmde büyük miktarda DNA verisi sızdırıldığı için silahın istenen herhangi bir kişiye karşı kullanılabileceğine de kısaca değiniliyor. Bu kısım tamamen mantıksız değil. Fakat ardından bu sızıntıların MI6 ajanlarının verilerini de içerdiğini öğreniyoruz. Bu, inandırıcılığı zedeliyor. Sızdırılan DNA verileri ile MI6 çalışanlarının verilerini eşleştirebilmek için bu ajanların listesinin halka açılması lazım. Bu da oldukça uzak bir ihtimal.
Üstelik bu sırada Brofeld’in yapay gözü, Brofeld’in yüksek güvenlikli cezaevinde olduğu yıllar boyunca yandaşlarından birindeki benzer bir gözle 7/24 video bağlantısına sahipmiş. Hadi diyelim ki mahkumlardan birinde biyolojik bir implant olduğunu gözden kaçırdılar. Yine de gözün düzenli olarak şarj edilmesi gerekiyor. Bunu yüksek güvenlikli bir cezaevinde gerçekleştirmek oldukça zor bir iş. Bu sırada gardiyanlar ne yapıyor? Dahası, finalde Blofeld tutuklanırken gözünde cihazı yoktu, dolayısıyla biri sonradan vermiş olmalı. Başka bir köstebek daha mı var?
Bu bir son değil
Tüm bu absürtlüklerin MI6’teki gerçek siber güvenlik uygulamalarını yansıtmadığına, yalnızca senaristlerin tembelliğinin bir sonucu olduğuna inanmak istiyoruz. En azından gerçek gizli servisin çok gizli silahları sızdırmadığını ve çok gizli kodları otomatik kilitleme özelliğine bile sahip olmayan cihazlarda düz metin olarak saklamadığını umuyoruz. Sonuç olarak, senaristlere tek önerimiz siber güvenlik farkındalıklarını artırmaları. Bunun için bir siber güvenlik dersi alabilirler.