Siber güvenlik açısından Johnny Mnemonic

Johnny Mnemonic’in siber güvenliği gerçek 2021 için de makul görünür müydü?

William Gibson’un, 1995 yapımı Johnny Mnemonic filmine ilham veren kısa öyküsünde hayal ettiği gelecek, aslında cyberpunk’ı özetler: gergin, tehlikeli, son derece gelişmiş ve teknik. 2021’in başlarında geçen filmin sinema versiyonunu siber güvenlik açısından analiz etmeye karar verdik ve kurgusal 2021’i bizim yaşadığımız 2021’le karşılaştırdık.

Film nerede geçiyor?

Film, mega şirketler tarafından kontrol edilen ve Sinir Zayıflama Sendromu (NAS) olarak bilinen tehlikeli bir salgın ile mücadele eden oldukça kasvetli bir dünyada geçiyor. Filmdeki karakterlerden birinin de ifade ettiği gibi, hastalığın nedeni şu: “Aşırı bilgi yükü! Çevrenizdeki elektronik cihazların tümü, hava dalgalarının zehirlenmesine neden oluyor.”

Mega şirketler, salgınlar, yeni teknolojilerin kullanımı ile ilgili komplo teorileri. Tanıdık geldi mi? Aslında sadece kısmen doğru diyebiliriz: Filmin kurgusal 2021’inde, gigabaytlarca bilgiyi saklayan mikroçipler insan beynine yerleştirilebiliyor; gerçekte ise Elon Musk’ın tüm çabalarına rağmen, henüz o aşamaya gelmedik. İnterneti, tuhaf bir VR evreni olarak, 1980’lerin/90’ların klasik film tasvirlerindeki haliyle analiz etmek gibi bir şey yapmayacağız. Çünkü internet bu değil, yani en azından 2021’deki internet.

Pharmakom Endüstrileri

Filmin konusuna göre, aslında NAS için bir tedavi var, ancak Big Pharma bu konuda sessiz kalmayı tercih ediyor — çünkü semptomları tedavi etmek, insanlığı bu hastalıktan kurtarmaktan çok daha fazla kar getiriyor. Ancak bazı Pharmakom çalışanları bu durumu onaylamıyor ve sadece tıbbi bilgileri çalmakla kalmayıp aynı zamanda şirketin verilerini de yok ediyorlar.

Bu durum, Pharmakom’un güvenlik sistemindeki bazı büyük sorunların gün yüzüne çıkmasına neden oluyor:

  • Şirketteki bilim insanlarının, veri erişim izinleri oldukça fazla. İlaç geliştiricilerinin, operasyonel bilgileri okuma ve hatta sunucuya yazma süreçleri için veri erişimine ihtiyaç duymaları anlaşılabilir. Ancak onlara gizli bilgileri kalıcı olarak silebilme izni neden verilsin ki?
  • Pharmakom’un herhangi bir yedeklemesi yok (en azından çevrimdışı olarak). “Anımsatıcı kurye” (aşağıda bundan daha fazla bahsediyoruz) olarak adlandırılan kişilerin çılgınca takip edilmesini de içeren filmin geri kalan konusu, daha çok şirketin bu verileri geri almaya çalışması üzerine kurulu. Eğer hazırda yedeklemeleri olsaydı, Pharmakom verilerini basitçe geri yükleyebilir, ardından bu sızıntıyı ve kurye sorununu ortadan kaldırabilirdi. Bunun yerine filmde, şirketin, içerideki implanta zarar vermeden kuryenin kafasını kesmeye çalışmasını görüyoruz.

Ayrıca Pharmakom ağında, şirketin kurucusunun bilincinin dijital bir kopyasının da yer aldığını belirtmekte fayda var. Filmdeki yapay zeka, sadece özgür iradeye ve internetin tamamı için erişime sahip olmakla kalmıyor, aynı zamanda şirketin canavarca bir şeye dönüşme şeklini de desteklemiyor.

Lo Teks

Filmde Lo Teks olarak bilinen bir grup, direnişi temsil ediyor. Gibson’un orijinal hikayesindeki Lo Teks’ler teknoloji karşıtı bir grup olsa da, filmde çağa ayak uydurdukları görünüyor. Lo Teks’lerle birlikte yaşayan Jones ise, hackleme becerileri ile değerli bilgilerin elde edilmesine yardımcı olan ve sonrasında Lo Teks’in çalıntı bir TV sinyali kullanarak bu bilgileri ilettiği cyborg bir yunus balığı. Teller ve eski katot ışını tüpü TV’lerle dolu bir çöp dağı da Lo Teks sığınağının merkezinde yer alıyor.

Grubun canlı yayınlarda yaptıkları tuhaflıklara rağmen, Johnny ile temasa geçene kadar Lo Teks kimsenin dikkatini çekmiyor (hatta onları bulmuyorlar bile).

Çevrimiçi iletişim

Filmin ortasına doğru Johnny, bir tanıdığı ile iletişime geçmeye çalışıyor. Biz de böylece Yakuza ile çalışan Pharmakom uzmanlarının, Johnny’nin düzenli olarak iletişim kurduğu kişileri izlediğini anlıyoruz — kurgusal 2021’deki mahremiyet, günümüz gerçeğinden bile daha kötü!

Bir hacker-kaçakçının çevrimiçi anonimliği koruyabileceğini düşünülebilir, ancak hayır: Johnny’nin bağlantılarından herkes haberdar, bu nedenle bilgi güvenliği uzmanları hemen onu tespit edip (tamamen yeni, çalıntı bir bilgisayardan ve bir tür gizli modülle çevrimiçi olmasına rağmen) konumunu saptıyorlar.

Yol boyunca Pharmakom, Johnny’nin iletişim kurmasını engellemek için bir “virüs” etkinleştiriyor. Genelde filmlerde karşılaştığımız gibi terminoloji bu filmde de oldukça zayıf; bahsedilen virüs, gerçek bir virüsten çok, bir tür DoS saldırı aracına benziyor.

Anımsatıcı kurye

Çok da uzatmadan, filmin doğrudan bilgi güvenliği ile bağlantılı olan ana temasına geçelim — filmin baş karakterinin mesleğini düşünün. Hatırlatıcı bir kurye olan Johnny’nin kafası, kelimenin tam anlamıyla bir veri depolama cihazıdır. Filmde bu tür kuryeler, internete emanet edilemeyecek olan çok değerli bilgilerin kaçırılması için kullanılıyor. Johnny’yi de, Pharmakom’dan çaldıkları tıbbi verilerin Newark’ta doktorlardan oluşan bir ekibe iletilmesi için isyancı bilim insanları seçiyor.

İmplantın çalışma şekli

Burada bahsedilen teknoloji çok anlaşılır değil: Veriler doğrudan beyinde saklanıyor. Örneğin filmde, Johnny beyninde yer açabilmek için çocukluk anılarının çoğunu feda etmek zorunda kalıyor. İmplantların nominal kapasitesi 80 GB, ancak kısaca ifade etmek gerekirse harici bir kutuya bağlanarak bu 160 GB’a kadar genişletilebiliyor. Fakat aslında bu miktarın iki katı yükleme yaparak da kapasiteyi 320 GB’a çıkarmak mümkün. Ancak bu işlem beyni sıkıştırarak kuryenin nöbet geçirmesine ve burun kanamaları yaşamasına neden oluyor, ayrıca taşıdığı bilgiler de zarar görebiliyor.

Filmde implantı tespit etmek zor bir şey değil. Örneğin, insanlar bir sınırdan geçerken taranıyor ve bu taramalar sayesinde cihazlar görünebiliyor. Ancak bu taramalar, oldukça yüzeysel kalıyor; sistem, yanlış bir şekilde bu beyin implantını disleksiyi önleyen bir cihaz olarak algılıyor. Cihazın sınır görevlileri arasında neden şüphe uyandırmadığı konusu ise muamma.

Veri koruması

Diğer yandan filmdeki veri koruma yöntemi, orijinal kelimesinin sözlük anlamı olabilir. İstemci, yükleme esnasında rastgele üç tane TV ekran görüntüsü alıyor. Bu görüntüler “veriler içinde çözülüyor” ve “indirme anahtarı” işlevi görüyor. Bunlar olmadan ne verileri indirebiliyorsunuz ne de silebiliyorsunuz, bu nedenle aynı ekran görüntülerinin alıcıya gönderilmesi gerekiyor. Duruma baktığımızda, bu korumanın gerçek verileri şifrelemekle bir ilgisi varmış gibi duruyor, ancak bu koruma, aynı zamanda bir implant erişim mekanizması işlevi de görüyor.

Verileri yükledikleri anda, bilim insanları Pharmakom’a çalışan Yakuza ajanları tarafından saldırıya uğruyor. Akabinde yaşanan çatışmada anahtarın ekran görüntülerinden biri yok oluyor; geriye kalan görüntülerden birini Johnny saklıyor, diğeri ise saldırganların eline geçiyor.

Anahtarı gönderme

“Anahtar” faks ile gönderiliyor. Kulağa komik gelse de, aslında değil; Sözü edilen teknoloji gerçek 2021 için eski olmasına rağmen, anahtarı fakslamada mantıklı bir taraf da var. Faks gönderme işlemi doğrudan telefon ağını kullandığından, bunu yapmak interneti kullanmaktan daha güvenli olabilir, tabii teoride. Ancak maalesef, faks göndermenin görüntü kalitesini düşürme gibi bir eğilimi vardır. Ayrıca filmde, tüm faks makinelerine internetten ulaşılabilmesi gibi bir durum var.

Johnny, Yakuza’lardan kaçtıktan sonra, eksik ekran görüntülerini kurtarmaya çalışıyor. Kaynak faks makinesini, bu makinenin, bir otelin bilgi sistemlerindeki günlüklerini ve üçüncü denemesinde de zorla giriş yaparak parolayı buluyor. Parola çok güçlü olamazdı zaten. Bununla birlikte, durum bizim 2021’imizle mükemmel bir uyum sağlıyor: Birçok otel için güvenlik hala kapıda bir görevlinin olması anlamına geliyor. Johnny yine de, alıcının faks makinesi adresini almayı başarıyor.

Faksa bağlanmak, kimlik doğrulama gerektirmiyor. Dahası, uzaktan bağlanan herkesin arabellekten verileri okuyabilmesi, gizli veriler açısından bu iletişim kanalını tamamen uygun olmayan bir hale getiriyor.

Anahtarsız veri çıkarma

Durum hiç de iç açıcı görünmüyor. Johnny, kafasındaki verileri anahtar olmadan ne indirebiliyor ne de silebiliyor. Ayrıca, izin verilen maksimum kapasitenin iki kez aşılmasıyla, yakında ölecek ve salgının tedavisi de kaybolacak.

Ama bekleyin! Anahtar olmadan bilgi elde etmenin aslında birçok yolu var (çeşitli ciddiyet düzeylerinde sonuçlara da yol açarak):

  • Yakuza’lar, verileri çıkaran bir “kuantum girişim detektörüne” götürebilmek için Johnny’nin kafasını kesmeye çalışıyor.
  • İmplantlar konusunda uzman olan bir doktorun, biraz şansın da yardımıyla veri almayı sağlaması gereken bazı “şifre çözen kodları” var. Bu kodlar hikayede bir işe yaramıyor, ancak her şey bu kodların bazı durumlarda işe yaradığını gösteriyor gibi ve bu da, şifreleme algoritmasının güvenilirliği hakkında bir sürü soruyu beraberinde getiriyor.
  • Daha sonra aynı doktor, verilerin ve implantın cerrahi işlemle çıkarılmasını öneriyor, ancak bu, hastanın hayatı açısından önemli bir risk taşıyor (her şekilde doğacak sağlık sorunlarından bahsetmeye gerek bile yok).
  • ABD Donanması tarafından düşman denizaltılarını uzaktan hacklemek için eğitilen cyborg yunus Jones, bu tekniği Johnny’nin kafatasında deneyebiliyor.
  • Yakuza ajanlarından biri, “anımsatıcı sensörlerin” indirme ve silme işleminden sonra bile verilerin kalıntı izlerini kurtarmaya devam edebileceğinden bahsediyor.

Uzun lafın kısası

Anımsatıcı kuryeler kullanmak saçma görünüyor. Görünüşe göre planda simetrik şifreleme kullanıyor (anahtar ne kadar karmaşık olursa olsun, yine de alıcıya aktarılması gerekir). Anahtar, aktarımı korumasız kanallar üzerinden gerçekleştiriyor ve implantın aşırı yük kapasitesi tüm güvenlik düzenlemelerini ihlal ederek hem kuryenin sağlığını hem de verilerin bütünlüğü tehlikeye atıyor. Ancak yöntemin temel zayıflığı, verilerin anahtarsız elde edilmesi açısından çok sayıda açık kapı bırakıyor oluşu.

Dahası, ekran görüntülerinden sadece ikisiyle ve sudaki arkadaşının da yardımıyla Johnny, kendi beynini hackliyor ve üçüncü ekran görüntüsünü de çıkarıyor. Bu da, anahtarın hiç de güvenli olmayan bir uygulama olan şifrelenmiş bilgilerle depolandığı anlamına geliyor.

Gerçek 2021’de ise, verileri güvenilir bir asimetrik şifreleme algoritması kullanarak Web üzerinden göndermek kolay bir işlem. Bir veri aktarımı gerçeği gizlenemese bile, uygulanan strateji teslimatın alıcılara iletilmesini temin eder. Ayrıca 320 GB, 2021 standartlarımıza göre büyük bir hacim sayılmaz.

Neler gerçekleşti, neler gerçekleşmedi?

Gerçek 2021, film yapımcılarının hayallerindeki kadar kasvetli değil — ya da en azından, yapımcıların hayal ettiği konularda kasvet içermiyor. Siber güvenlik büyük gelişme gösterdi. Peki yukarıda bahsedilenlerden hangisi gerçekten olabilirdi?

  • Gerçek 2021’de, aşı verileri dahil, multi-terabayt büyüklüklerindeki gizli bilgi arşivleri neredeyse düzenli şekilde sızdırılıyor. Pharmakom’un başına gelen veri sızıntısı, makul ve oldukça muhtemel bir örnek.
  • İçeriden gerçekleşen saldırılar ve sabotajlar da benzer şekilde bize hiç de yabancı konular değil. Örneğin, bu son olay da sağlık hizmetleriyle ilgili bir örnek.
  • Öz farkındalığı olan ve çevrimiçi bir hayat süren yapay zeka ise henüz yok (bildiğimiz kadarıyla).
  • Hackleme becerileri olan cyborg bir yunus balığı ise biraz zorlama. Birçok bilim kurgu öngörüsünün aksine, yunuslar insan bilgisini algılamayı ve elektronik aletleri kullanmayı henüz öğrenmediler.
  • Buna karşılık, yayın sinyali ihlali gerçek. Ancak bu ihlaller, genellikle küçük çaplı yapılıp davetsiz misafirlerin kimlikleri hızla belirlenen ihlallerdir.
  • Bir kişiyi, belirli bir adrese olan bağlantıya göre çevrimiçi olarak tanımlamak gerçek bir şey, ancak kapsamlı bir ön çalışma gerektiriyor.
  • İki ağ istemcisi arasındaki bağlantıya yönelik bir DoS saldırısı gerçekleştirilmesi gerçek, ancak bu saldırı bir virüsle değil, iletişim kanalı devre dışı bırakılarak yapılır.
  • Bir kişinin beynine çip yerleştirmek henüz gerçekleşmedi. Mevcut deneyler, veri depolamaya değil, bilgisayarla iletişim kurabilmek adına sinirsel bir arayüz oluşturmaya odaklanıyor.
  • Özetle: Doğrudan bir kuryenin beynine bilgi pompalayarak veri aktarmak gerçekçi olmadığı gibi saçma da. Şifreleme sayesinde verileri internet üzerinden kolayca ve güvenli bir şekilde aktarabiliyoruz.

 

İpuçları