Star Wars’un siber güvenliği: Skywalker’ın Yükselişi

Star Wars: Skywalker’ın Yükselişi örneği üzerinden uzun zaman önce, çok çok uzak bir galakside bilgi güvenliğine yönelik tutumlar hakkında bir rapor.

Uzun zamandır beklenen Star Wars: Skywalker’ın Yükselişi sonunda beyaz perdede. Filmi henüz herkes izlemediği için spoiler vermeyeceğiz; filmin senaryosunda yer alan Death Star boyutundaki boşlukları ya da filmin sanatsal açıdan iyi ve kötü yönlerini de tartışmayacağız. Skywalker’ın Yükselişi’yle yalnızca bilgi güvenliği açısından ilgileniyoruz. Dolayısıyla bu yazı, filmde siber güvenlikle ilgili noktaları ele alacak ve karakterlerin ne kadar iyi (ya da kötü) davrandığını inceleyecek.

Gemiler arası veri aktarımı

Star Wars evreninde veri aktarımı biraz karışık. Bazı bilgiler hızla çok uzağa iletilebilirken bazıları yalnızca fiziksel olarak aktarılabiliyor. Ne yazık ki galakside iletişimin nasıl işlediği ve veri transferi protokollerinin ne kadar güvenilir olduğu hakkında net bir fikrimiz yok. Fakat Direniş’in bilgi güvenliği ekibinin büyük olasılıkla bir fikri var. Kablosuz yöntemlere pek düşkün değiller.

Direniş pilotları, bir noktada bir gemiden diğerine gizli veriler aktarmaları gerektiğinde şunu yapıyorlar:

  • Bir gemi diğerinin üzerine geliyor;
  • Gemi kapıları açılıyor;
  • Kapılardan bir kablo geçiriliyor;
  • R2D2 kablo aracılığıyla bilgiyi indiriyor.

Esasında bu 1980’lerden kalma bir kukla modem bağlantısı. Kullanışlı mı? Hayır. Güvenli mi? Kesinlikle evet. Aktarılan verinin kesilmesi ya da ele geçirilmesi ihtimali yok denecek kadar az.

Siber farkındalık için Direniş’e 10 puan!

Star Wars: the Empire state of cybersecurity problems

Droid hafızası

Star Wars: Skywalker’ın Yükselişi, droidlerin (en azından C3PO’nun) bilgiye nasıl eriştiğini göstermek konusunda diğer bölümlerden daha fazla ayrıntıya giriyor. Olay şöyle gelişiyor: C3PO, antik Sith dilinde talimatlar içeren bir bıçak görüyor. Profesyonel bir çevirmen olarak talimatların şifresini çözüyor, fakat sonuçları paylaşamıyor. İşletim sistemi bu eylemi engelliyor: Hatta tam olarak, işletim sisteminde yer alan İmparatorluk öncesi bir direktif, Sith dilini yasaklıyor.

Veriye erişebilmek için işletim sistemini devre dışı bırakmak gerekiyor. Sorun şu ki, işletim sistemini devre dışı bırakmak, sistemi varsayılan ayarlara geri döndürüyor; yani droid uzun hayatı boyunca biriktirdiği tüm bilgileri kaybediyor. Kısacası “kişiliği” siliniyor. Hacker, Sith dili hakkında herhangi bir kısıtlama içermeyen üçüncü taraf bir sistem bağlayarak yasaklanmış veri kayıtlarını kolaylıkla çeviriyor. Ardından C3PO yeniden yükleniyor, fakat İmparatorluğun yükselişine dair herhangi bir bilgiye sahip değil. Yoldaşlarını bile tanımıyor.

İşletim sistemi yaratıcıları tarafından seçilen veri koruma yönteminin oldukça kusurlu olduğunu söylemeliyim (evet, droidi Anakin Skywalker’ın topladığını biliyorum, ama işletim sistemi hazır gelmişti). Modern sistemlerde bu tarz durumlarda kullanılan güçlü şifreleme, harici bir işletim sisteminden (örneğin bir USB bellekten) yükleme yapılırken verilere erişimi engeller. Diğer bir deyişle, bu sistemin yaratıcıları ya çok hafif bir şifreleme algoritması kullanmış ya da hiç kullanmamış.

Bu normalde siber güvenlik açısından büyük bir problem. Fakat bu sefer büyük bir sorun yaratmıyor. Sistem, Cumhuriyet zamanında kimsenin bilmediği biri tarafından yazılmış. Ancak R2D2 sağduyulu davranmış ve uçuştan önce C3PO’nun haberi olmadan kişiliği de dahil tüm hafızasının bir yedek kopyasını almış. Bizce hiçbir fazla yedeğin zararı olmaz. Dolayısıyla Direniş’e 10 puan daha.

Han Solo: Bir siber güvenlik hikayesi

Evrensel İlk Düzen geçiş kartı

Skywalker’ın Yükselişi hakkında spoiler vermemek için sadece şunu söyleyelim: Bir noktada kahramanlarımızın eline İlk Düzen gemi kaptanları için evrensel bir kimlik doğrulayıcı olan bir cihaz geçiyor. Bu cihaza sahip olduğunuzda geminiz otomatik olarak İlk Düzen kuvvetleri tarafından kendilerinden biri olarak algılanıyor.

Kahramanlarımız bu cihazı kullanarak Kylo Ren’in amiral gemisine bir külüstür indiriyorlar. Peki, güvenliği bu kadar ihlal eden bir cihaz niye yapılmış? Yaratıcıları bu cihazın kaybolması veya çalınması olasılığını neden öngörememiş? Neden iki aşamalı kimlik doğrulama uygulamamışlar?

Bu, İmparatorlık Kalıntıları’ndan 10 puan götürüyor.

Skywalker’ın Yükselişi, Sith kalıntılarıyla ilgili karanlık işleri ve bilinmeyen bir gezegenin yerini açığa çıkaran bazı oyunları da ele alıyor. Ama biz bunları incelemeyeceğiz; bunlar, modern bilgi güvenliği dünyasının oldukça dışında yer alan şeyler.

Yani özetle iyiler 20 puan aldı, kötüler ise eksi 10 puanla geride kaldı. Hollywood’da kötülerin hiç kazanamamasına şaşmamalı.

İpuçları