Harun ESUR | Milli işletim sistemimize olası FETÖ-ABD sabotajı: “Pardus”

NSA bağlantılı terör örgütü FETÖ’nün milli işletim sistemi Pardus projesini engellemeye çalıştığı iddia edilse de aslında teknik bulgular bunun tam tersini, Pardus projesinin bizzat dönemin Tübitak yöneticilerinin eliyle gerçekleştirilmiş bir sabotaj projesi olma ihtimalini güçlendiriyor.

Harun ESUR
@marcusfrex
harun.esur@kuzgunportal.com

Ancak işin asıl vahim olan tarafı, 15 Temmuz öncesinde kapatılmış olan projenin yine Tübitak tarafından hayata geçirilmesi ve yaygınlaştırılmasına hız verilmesi. Böylelikle hem milli güvenliğimiz tehlikeye atılıyor hem de ülkenin 90’lardan beri karşılayamadığı tamamen “Milli” İşletim Sistemi ihtiyacı daha da uzun süre karşılanamayacağa benziyor.

Geriye dönelim. Senelerden 2003. Tübitak bir vizyon ve misyon metni çıkarır. Bu metnin önceliği, ülkenin dışa bağımlılığını en aza indirmek amacıyla bir milli işletim sistemi geliştirmektir. (1) Şüphesiz bu son derece heyecan verici bir fikirdir. Ancak fikrin pratik olarak altının doldurulması, bugünkü varsayımlarımızla olsa olsa bir sabotaj olarak nitelendirilebilinecek bir eylem halini almıştır. 15 yıl boyunca hem devletin kaynakları boşa tüketilmiş hem kafalar meşgul edilmiş, aynı zamanda da samimi ve tamamen milli bir işletim sistemi fikrinin önü kapatılmıştır.

İlgili metne uyum sağlayabilmek amacıyla Tübitak yöneticileri tarafından verilen karar, sıfırdan bir işletim sistemi geliştirilmesi yerine Linux işletim sisteminin kamusal ihtiyaçlara göre revize edilip, allanarak-pullanarak sahneye hızlı bir şekilde çıkarılması olmuştur. Bu kararın, ilgili vizyon ve misyon metninin altına imza atanların niyetlerinin, başkaları tarafından kötüye kullanıldığı son derece açık olsa da elimizde bu lehte bir kanıt bulunmamaktadır. Ama öncelikle sizlere Linux işletim sistemi hakkında bir özet vermemiz gerektiği kanaatindeyiz.

Linux, bilgisayar mühendisi Linus Torvalds’ın geliştirdiği ve halen projenin yöneticisi olarak ABD’de hayatına devam ettiği bir işletim sistemidir. Bugün dünyadaki sunucu bilgisayarların, router, access point ve benzeri ağ elemanlarının büyük çoğunluğu bu işletim sistemini kullanırlar. Kaynak kodunun milyonlarca kopyasını ve modifiye edilmiş halini internette bulabilirsiniz. Torvalds’ın da defalarca doğrudan ve dolaylı şekillerde doğruladığı (2) (3) (4) (5), NSA’nın 2003 senesinden beri Linux işletim sistemine arka kapı yerleştirme gayretleri herkes tarafından bilinmektedir. Burada asıl önemli olan nokta NSA’nın bu tür gayretlerinin sonuçsuz kalmamış olabileceği, Linux işletim sisteminin öyle veya böyle zaten sabote edilmiş olabileceği ihtimalinin gözardı edilmesidir.

Evet, açık kaynak kodlu sistemlere “çok yalın” bir biçimde arka kapı konulmasının mümkün olmadığını bilmekteyiz. Fakat bunun yanı sıra bu sistemlerdeki güvenlik açıklarının keşfi ve art niyetli kullanımı kapalı kaynak kodlu işletim sistemlerine nispeten çok daha kolaydır. NSA gibi global siber güvenlik operasyonlarının ağa babalığını yapan bir kurum için çalışan siber güvenlik uzmanlarının uzun uğraşlar sonucunda resmi Linux çekirdek kodlarına dahil edilemeyen kapalı kodlu Linux bileşenlerine (örneğin donanım sürücüleri veya çeşitli yama paketleri) arka kapılar yerleştirmiş olmaları muhtemeldir. NSA’nın böyle bir çabasının olmaması düşünülemez.

Çünkü global siber uzayda kapalı kodlu işletim sistemlerinden çok daha büyük bir pastaya sahip olan Linux işletim sistemine karşı elde edilebilecek bir koz, günümüzde hidrojen bombasından çok daha kıymetlidir. Bu nedenle söz konusu milli güvenlik olduğunda Linux işletim sisteminin kurumsal kullanımının olumsuz sonuçlara neden olabileceği son derece mümkün görünmektedir.

Dolayısıyla bizzat geliştiricisinin de itiraf ettiği gibi NSA’nın gözünün üzerinde olduğu bir yazılımın, kamusal sistemlerde ve hizmetlerde kullanılması,buna teşvik edilmesi “millileştirme” adı altında milli siber kaynaklara karşı bir taarruza altyapı hazırlanması anlamına gelebilir.

Tüm bunlara rağmen yetkililer kamuoyunu yanlış yönlendirmiştir. Bunun en güzel örneklerinden birisi olarak dönemin yöneticilerinin ısrarla (6) Linux’un en önemli özelliğinin “güvenlik” olduğunu belirtmesini gösterebiliriz. Mesela “Pardus gibi açık kaynak kodlu yazılımlar, doğası gereği geliştirilme sürecinden kullanılma aşamasına kadar on binlerce göz tarafından denetleniyor. Kötü niyetli bir programcı ya da kuruluş tarafından yerleştirilebilecek bir kod parçasının böyle bir ortamda gizlenmesi mümkün değil.” gibi siber güvenlik bilgisi ve işletim sistemi deneyimi zayıf bir ifadenin kamuoyunu ve bürokrasiyi ne kadar yanıltabileceğini göstermek isteriz.

İlk olarak Pardus veya benzeri bir Linux dağıtımının sadece Linux çekirdeğinden ibaret olmadığını bilmeliyiz. Kimi dağıtımlarda (Debian, Fedora, Redhat vs. gibi) en az Linux çekirdeği kadar ilgili dağıtımlara özel kod geliştirmeleri ve tasarımlar bulunmaktadır. Dolayısıyla başka gözler tarafından denetlenen kısım, işletim sisteminin sadece bir bölümünü kapsamaktadır.

Bununla beraber aslında her Linux dağıtımı kendi kod arşivini kendi sunucusunda barındırır ve hiçbir Linux dağıtımı sadece Torvalds’ın denetiminden geçen orjinal Linux çekirdeğinden ibaret değildir. Her dağıtım kendi geliştirmelerini de kendi kod grubunda barındırmakta, son kullanıcıya ve kurumlara dağıtmaktadır.

İkinci olarak da on binlerce göz tarafından denetlenen bir kaynak kodun güvenliğinin aynı anlamda yine aynı gözlerin insiyatifine bırakıldığını anlamamız gerekmektedir. Bu durumun siber güvenlik açısından kabul edilebilir hiçbir yanı olmadığı gibi bunun itirafı da ciddi bir şüphe konusudur. Siber güvenlik nicelik üstünlüğünden çok, nitelik üstünlüğünün galip geldiği bir sahadır. Kaldı ki niyetleri konusunda ortak bir kanıya varılmasının güç olduğu gayri-milli kitlelere milli güvenlik tedbirlerinin kollayıcılığını teslim etmek ilgili konudaki zayıflığın kanıtıdır.

Üçüncü olarak da Linux ile beraber ihtiyaç duyulan bazı bileşenlerin (özellikle firmware olarak tanımlanan lisanslı donanım sürücülerinin) aynı Windows işletim sistemi gibi kapalı kodlu olduklarını ve Linux çekirdeğindeki gibi kolay bir şekilde güvenlik testlerinden geçirilemediklerini bilmemiz gerekir.

2016 senesinde Pardus’tan binlerce kat daha fazla kullanıcı, yazılımcı ve güvenlik uzmanı kitlesine sahip Linux Mint dağıtımının alelade bir saldırgan tarafından nasıl sabote edildiğini ve arka-kapı konularak dağıtıldığı proof-of-concept (konseptin kanıtı) olarak ortaya konulabilir. (7) Buna benzer bir başka örnek de yine hem Linux hem de birçok başka işletim sistemi tarafından kullanılan OpenSSL kriptolama kitaplığında 2 yıl boyunca keşfedilmemiş, Heartbleed olarak adlandırılan güvenlik açığıdır. (12) Bu güvenlik açığının kötü niyetli olarak yerleştirilmiş bir kod olduğuna dair herhangi bir kanıt yoktur.

Ancak uzun süredir bu açığın NSA tarafından keşfedildiğine ve Linux işletim sistemlerine karşı bir saldırı aracı olarak kullanılmış olabileceğine dair ifadeler bulunmaktadır. (13) Ayrıca OpenSSL kitaplığındaki neredeyse 15 yıl boyunca farkedilmemiş benzer bazı açıklar için de TippingPoint Zeroday Initiative isimli güvenlik birliği, “maalesef bu kodları gözden geçiren ‘birçok göz’ ilgili açığı yakalayamamıştır” açıklamasını yapmıştır. (14)

Siber güvenlik prensiplerinin en önemli noktalarından birisi, çalışan sistemlerin mimarilerinin ve algoritmalarının saldırganlardan olabildiğince saklanması zorunluluğudur. Buna “black box isolation” denir. Yani eğer bir binaya girdiğinizde hangi noktada hangi güvenlik tedbirlerinin alındığını önceden bilirseniz, o binaya saldırınız o derece kolaylaşır. Bir de bunun üstüne aynı binayı ve aynı güvenlik tedbirlerini tekrar tekrar test edebileceğiniz bir ortam yaratabilme şansınız olursa er ya da geç ilgili binanın bir zaafını keşfeder, saldırılarınızda başarılı olabilirsiniz.

Makalenin başında da bahiste bulunulduğu gibi ısrar edilen hata, 2003’ten bu yana Pardus ile alakalı bütün haberlerde kendisini göstermiş, kötü niyete kadar yorumlanabilecek bir teslimiyet söz konusu olmuştur. (8) (9) (10) Neredeyse 15 yıldır kamuoyunda oluşturulan algı dolayısıyla aleyhindeki eleştirilere kuşkuyla bakılan Pardus projesi, 2012 yılında bahsettiğimiz açılardan haklı olarak kapatılmış fakat 2017 yılında tekrar hayata geçirilmiş ve Cumhurbaşkanlığı Külliyesinden, çeşitli bakanlıklara ve kamu kurumlarına kadar dağıtılmaya başlanmıştır.

Peki çözüm olarak ne düşünülebilir? Bu konudaki kanaatimiz, sıfırdan ve tamamen yerli mühendislerin çabalarıyla, tek elden dağıtılacak olan, kamu kurumları haricinde kullanımı sınırlandırılmış veya tamamen yasaklanmış, kapalı kaynak kodlu ve sürekli olarak güvenlik araştırmalarına tabi tutulan bir milli işletim sisteminin gerçek anlamda milli menfaatlerimize hizmet edebileceğidir. Kulağa her ne kadar Kuzey Kore vari bir tanım olarak gelse de bugün ABD’nin Pentagon’da kullandığı COTS olarak tanımlanan (commercial-off-the-shelf) işletim sistemi, tam olarak verdiğimiz tanıma uygundur. Daha da önemlisi bu ihtiyacın kaderinin devletin bürokratik sınıflarına değil, devletin gözetiminde ve kontrolünde özel sektöre verilmesi gerekliliğidir.

Türkiye’nin siber güvenlik sahasında uzman belki de binlerce firmaya ve bu firmalarda çalışacak genç beyinlere ihtiyacı vardır. Devletin siber güvenlik sahasında teşvik ve değerleme noktalarında çalışması gerekirken, halen bu tür ihtiyaçları hantallığı ve deneyimsizliği ile öne çıkan bürokrat kadrolara devrediyor olması, milli menfaatlerimizi karşılamakta zafiyet göstermemize ve modernleşme adımlarımızı yavaşlatmamıza neden olmaktadır.

Dipnotlar:

https://sites.google.com/site/opentr/neden_pardus (İlgili metin Tübitak’ın web sitesinden kaldırıldığı için ancak arşiv taramalarında bulabiliyoruz)

NSA Wanted Backdoor Access In Linux, Says Linus Torvalds’ Father


http://www.theregister.co.uk/2013/09/19/linux_backdoor_intrigue/
http://www.newyorker.com/tech/elements/how-the-n-s-a-cracked-the-web

The Linux Backdoor Attempt of 2003


http://www.makinamagazin.com.tr/haber/pardus-kullanan-kobiler-yazilim-masraflarindan-kurtuluyor/1509
http://www.makinamagazin.com.tr/haber/pardus-kullanan-kobiler-yazilim-masraflarindan-kurtuluyor/1509
http://www.hurriyet.com.tr/hakiki-turk-isletim-sistemi-pardus-305804
http://www.star.com.tr/yazar/pardus-yazi-1287898/
Türk işletim sistemi: Pardus
http://www.gazetevatan.com/erdogan-in-talimatiyla-adim-atildi-pardus-tekrar-ayaga-kaldirild-1113318-gundem/
http://heartbleed.com/
https://www.wired.com/2014/04/nsa-heartbleed/
https://www.csoonline.com/article/2360229/microsoft-subnet/critical-flaw-in-encryption-has-been-in-openssl-code-for-over-15-years.html