ZERO DAYS (2016)

 

116 dk

Yönetmen: Alex Gibney          

Senaryo: Alex Gibney 

Ülke: ABD

Tür: Belgesel

Vizyon Tarihi: 01 Temmuz 2016 (ABD)

Dil: İngilizce, Farsça, Almanca, Fransızca, İbranice, Arapça, Rusça

Müzik: Will Bates        

Nam-ı Diğer: Уязвимость нулевых дней

Oyuncular:    David Sanger, Emad Kiyaei, Eric Chien,     Liam O’Murchu,   Gary D. Brown,   

Özet

Yönetmenliğini Charles Koppelman üstlenmiştir. Belgesel filmi olan Zero Days internet güvenliğini, siber suçlar ve siber-casusluk konularını ele almaktadır. Yapımcılık görevini Alex Gibney ve Charles Koppelman ikilisi üstlenmiştir.

Filmden

Karanlıklar içinde yürüdüğümüz yollarda iyi ve kötü daima yan yana duruyor.

 Bu olay yaşamın doğasında var.

 Kurallar çevçevesinde yönetilen demokratik güçler ile, bunların şakadan ibaret olduğunu düşünen, örgütler arasında yaşanan ve oldukça, dengesiz bir çatışmanın tam ortasındayız.

 Nefret sizi felç eder, Sevgi ise özgür bırakır diyerek fanatik grupların size, inanmasını bekleyemezsiniz.

 Bu oyunda uymamız gereken farklı kurallar var.

 Bugün İran için çalışan iki bilimadamı, ülkenin başkenti olan Tahran’da, gizemli bir suikast sonucu öldürüldü.

 Bir dizi saldırı sonucu Bugün gerçekleştirilen saldırı stratejik sabotaj şüphelerinin tümünü içeriyor.

 İran, ülkenin nükleer programını hedef alan saldırıların sorumlusu olarak, Amerika ve İsrail’i suçladı.

 Maalesef şüpheye yer bırakmayacak şekilde, bugün gerçekleştirilen suikastler, Batılı Ülkeler ve Siyonist Rejim tarafından gerçekleştirilmiştir.

 Kesinlikle söylüyorum, İran topraklarında gerçekleştirilen hiçbir saldırıda Amerika Birleşik Devletleri’nin herhangi bir katılımı söz konusu değildir.

 Gizli operasyonlar yardımcı olabilir, işinizi kolaylaştırabilir.

 Bazen gerekli olabilir, herzaman zorunlu değildir.

 Ama hiçbir zaman politik zekanın yerini alamazlar.

 İran’da gerçekleştirilen suikastler, STUXnet saldırıları ile alakalı mıydı?

 Sonraki soru lütfen.

 İran’a ait altyapı tesisleri, yeni ve oldukça güçlü bir virüs tarafından saldırı altında.

 Sanal dünyada STUXnet adıyla anılan bu virüsün, enerji santralleri ve rafineriler gibi altyapı birimlerine sızmak, ve sabote etmek için geliştirildiği düşünülüyor.

 Yani kredi kartı bilgilerimiz yada buna benzer bilgileri toplamak yerine, belirli sanayii yapılarına sızmak ve bazı kritik hasarlar yaratarak, bu yapılara zarar vermek için mi yazılmış?

 Stuxnet virüsü dünya genelinde saldırılar yaptı.

 Sadece İran’daki saldırı sayısı 30.000 civarında.

 Birçok ülkenin istihbarat örgütü bu süper virüse karşı tetikte bekliyor.

 Çalınan bilgiler teröristlerin eline geçebilir.

 Hiçkimse virüsü kimin yarattığını yada virüsün neden yazıldığını bilmiyor, ancak İran’ın tüm bunlardan dolayı İsrail yada Amerika’yı sorumlu tutması, ve misilleme yapmasından korkuluyor.

 Bir çeşit hacker grubu tarafından yazılmış olması muhtemel, ancak güvenlik uzmanlarına göre arkasında bir devlet olması oldukça yüksek ihtimal.

..

 Sonuç olarak baktığımızda STUXnet saldırısı neyi amaçlıyordu?

 Anlatabilir misiniz?

 Detaylara girmek istemiyorum.

 Saldırı çoktan yaşanıp bittiğine göre, neden STUXnet hakkında daha detaylı ve halka açık şekilde konuşulamıyor?

 Evet, cevabım “Çünkü bu gizli bir bilgi”.

 Bilerek, farkında olarak gizli bilgileri paylaşamam.

 STUXnet hakkında daha fazla konuşmadığınızı, çünkü STUXnet’in gizli bilgi olduğunu biliyorum.

 Söylediklerinizin ikisi de doğrudur.

 Ama medyada olayla ilgili, birçok şeyden söz edildi.

 Bu konuda yorum yapmak istemiyorum.

 Ben de sizin gibi medyadan yada gazetelerden takip ediyorum.

 Ama detayı hakkında herhangi bir bilgim yok.

 İnsanlar, kamuyu ilgilendiren konularda, halka açık şekilde konuşamadığınız zaman rahatsız olabilirler.

 Ama Ben rahatsız oldum.

 Evet, buna eminim.

 Bu soruyu cevaplamam.

 Maalesef yorum yapamam.

 Buna nasıl cevap vereceğimi bilmiyorum.

 Başlamadan önce hazır olan iki cevabımı da söyleyeyim, bilmiyorum ve bilseydim bile söylemezdim.

 Ama herşey gizliyse nasıl tartışabiliriz?

 Sanırım şuan tam da o noktadayız.

 Hiçkimse istemiyor Olayın ucunun nereye gideceği belli olmadığı için, hiçbir ülke itirafta bulunmak için, yada olayı üstlenmek için gönüllü değil.

 Ve STUXnet’in arkasında her kim varsa, olayı henüz üstlenmedi.

 Yetkililere STUXnet hakkında sorular sormak, oldukça rahatsız edici ve gerçekten uzak.

 Çıplak Kral’ın elbisesi hakkında sorular sormak gibi.

 Saldırılardan dolayı dünya genelinde birçok bilgisayar etkilenmesine rağmen, hiçkimse olayın kontolden çıktığını yada sunduğu tehlikeleri itiraf etmiyor.

 STUXnet operasyonunun ardında saklanan gerçek aslında neydi?

 Belki bilgisayar kodları bu konu hakkında konuşabilir.

 STUXnet ilk kez Belarus’ta farkedildi.

 Bilgisayarlar kendini kapatmaya başlayınca panikleyen İran’lı müşterisi, sayesinde virüsü bulan ilk kişiyle görüştüm.

 Daha önce hiç bu kadar gelişmiş birşeye rastladın mı?

 Daha önce birçok gelişmiş virüs gördüm.

 Ama onlar bu çeşit “Zero Day” içermiyorlardı.

 Böylesini ilk defa görüyorum.

 Böylesi bir tehlikenin varlığı, mümkün olan en kısa sürede internet güvenlik şirketlerini, haberdar etmeme neden oldu.

 Hergün burada oturup o meşhur, samanlıktaki iğneyi bulmaya çalışırız.

 Hergün milyonlarca zararlı yazılım keşfediyoruz, ve milyonlarca saldırı gerçekleşiyor.

 İnsanları, bilgisayarlarını ve sistemlerini ve ülkelerin altyapı sistemlerini bu tür saldırılardan korumaya çalışıyoruz.

 Hepsinden önemlisi hangi saldırıların ciddi tehditler içerdiğini bulmaya çalışıyoruz.

 Bu kadar çok saldırı varken, etkileri oldukça önemlidir.

 20 yıl önce antivirüs şirketleri virüs avına çıkıyordu.

 Çünkü çok fazla yoktu.

 Bir ayda belki onlarca yada düzinelerce, ki bunlar küçük rakamlardı.

 Şimdi her ay milyonlarca farklı saldırı oluyor.

 Buraya “Ağaçkakan Odası” yada “Virüs Laboratuvarı” diyoruz.

 Burada virüs araştırmacıları bulunuyor.

 Biz onlara Ağaçkakan diyoruz çünkü onlar da aynı, Ağaçkakan gibi ağlardaki solucan ve parazitleri avlıyorlar.

 Siber saldırıların ardında üç tür grup görüyoruz.

  • İlki siber suçlular.
  • Bunlar sadece yasadışı kazanç peşinde oluyorlar.
  • Kısa yoldan köşeyi dönmek gibi.
  • İkincisi Activist’ler yada diğer adıyla “Hacktivist”ler.
  • Bazen eğlence için bazense, politik mesaj vermek adına yapıyorlar.
  • Üçüncü grup devletsel oluşumlar.

 Ya yüksek değer içeren istihbarat elde etmek, yada saldırı amacındalar.

 Güvenlik şirketleri sadece bilgi paylaşmaz.

 Tehdit içeren örneği de paylaşır.

 Belarus’lu güvenlik şirketi İran’daki müşterisinde virüsü bulunca, virüsü içeren örnek tüm güvenlik camiası ile paylaşıldı.

 Zararlı yazılımı adlandırırken, yazılımda tekrarlanan bir dizi yada kelime seçmeye çalışırız.

 Bu sefer iki kelime vardı, ikisinden birer parça alınca ortaya “STUXnet” çıktı.

 STUXnet ile ilgili bilgileri mühendislerimden biri anlattı.

 Odama gelip kapımı açtı, ve dedi ki “Eugene, biliyorsun ki hepimiz çok kötü birşey bulacağımız günü bekliyorduk”, “Bulduk”.

 Virüsü bulduğunuz anda laboratuvardaki ortam nasıldı?

 Çok farklı birşey bulduğunuz için şaşkınlık duygusu mu hakimdi?

 Şaşkınlık denilemezdi.

 Bir tür şoktu.

 En kötü korkularımızın ve en kötü kabuslarımızın bile ötesine uzanıyordu.

 Ve virüsü inceledikçe bu durum daha da arttı.

 Araştırdıkça, durum daha da tuhaf bir hale geliyordu.

 Hergün birçok zararlı yazılımı inceler ve koduna bakınca “Tamam bu kötü ve araştırmalıyız” deriz.

 Bu hep böyle olmuştur.

 STUXnet’e ilk kez baktığımızda ise, kodu açtık ve heryerde kötü birşeyler vardı.

 Tamam, bu kötü.

 Şu da kötü, baştan aşağı incelememiz lazım dedik.

 Ve bir anda aklımda yüzlerce soru belirdi.

 Yaptığımız işte en sıradışı şey izleri takip etmek, tehdidin arkasında kimler var, neler yapıyorlar ve amaçları ne?

 Ve olayı kaynağında engellemeye çalışırız.

 Bu oldukça heyecan ve merak uyandıran birşeydir.

 Elinizde çözülmesi oldukça zor olan yeni bir bulmaca vardır, sabah saat 04:00’e kadar uğraşır ve çözmeye çalışırsınız.

 Ben de tam olarak böyle hissediyordum.

 oldukça meraklanmıştım.

 Çok heyecanlanmıştım ve neler olup bittiğini öğrenmek istiyordum.

 Ve Eric de aynı şeyleri hissediyordu.

 İkimiz de birşeyler bulmak için kodda bir ileri bir geri gidip duruyorduk.

 Liam ile birlikte kodu incelemeye devam ettik, parçaları paylaştık, bulduklarımızı karşılaştırdık, fikirlerimizi tartıştık.

 Ve derin analiz dediğimiz şeyi yapmamız gerektiğiniz anladık, yazılımı parçalara ayır, herbir byte’a, tüm 0 ve 1’lere bak, ve içindeki şeyi anlamaya çalış.

 Fikir vermesi açısından söylüyorum Ortalama bir yazılımda kodu açıp incelememiz dakikalarımızı alır.

 Bu virüsü açıp incelemeye başlayalı bir ay olmuş, ve içeriğini yada amacını anlamaya yeni başlayabilmiştik.

 STUXnet’in kodunu incelediğimizde ortalama bir kodun 20 katı uzunluğundaydı.

 Ama içinde hiç hata yoktu.

 Bu oldukça nadir görülür.

 Zararlı yazılımlar her zaman hatalı kod içerirler.

 STUXnet’te durum farklıydı.

 Oldukça yoğundu ve her bir kod dizisinin bir görevi vardı, ve görevini tam da olması gerektiği gibi yapıyordu.

 Bizi şaşırtan şeylerden biri de, STUXnet’in “Zero Day” dediğimiz bir özelliğe sahip olmasıydı yada başka bir deyişle, içerdiği bir dizi kod sayesinde sizin haberiniz olmadan yada siz birşey yapmadan yayılması.

 Örneğin bir dosyayı indirip açmanıza gerek yoktu.

 Zero Day yayılma biçimini saldırgan dışında hiçkimse bilemezdi.

 Böylelikle ona karşı korunamazsınız.

 Hiçbir yama yayınlanamaz.

 Zero Days koruması yoktur.

 Yani onu durdurmak için.

 Saldırganın da güvendiği buydu.

 Çünkü Zero Day yayılımını seçerse, istediği heryere sızabileceğinden %100 emindi.

 Bu yöntem oldukça güvenilirdir.

 Bu kodları karaborsada yüzbinlerce dolara satabilirsiniz.

 Sonra endişemiz daha da arttı, çünkü daha çok Zero Day kodu bulduk.

 Tekrar ediyorum, Zero Day kodları oldukça nadirdir.

 STUXnet’in içinde tam 4 tane Zero Day kodu bulduk.

 Ve senenin geri kalanında sadece 12 Zero Day gördük.

 Tüm dikkatimizi çekmişti.

 Böyle birşeyi daha önce görmemiştik.

 Aslında, böyle birşeyi hiç görmedik.

 Zararlı bir yazılımda bunlardan bir tane görmeniz anlaşılabilir, sonuçta kodu yazanlar bu işten para kazanmak istiyorlar kredi kartı bilgilerinizi çalarak kazanıyorlar.

 Yani bu koda vakit ayırmaları anlaşılabilir.

 Ama tek bir yazılımda 4 tane Zero Day görmek yarım milyon dolarlık kod demek oluyor.

 Sıradan suç grupları bunu yapamaz.

 Bunun arkasında daha büyük birileri var.

 Sıradan suçlular olmadığı kesin.

 Hacktivist’ler değil.

 Öyleyse kim?

 Bu zararlı yazılımın oldukça gelişmiş ve karmaşık şekilde yazılmış olması, arkasında devlet destekli bir grubun olduğunu akla getiriyor.

 En az bir devlet destekli grup yazılımın geliştirmesinde rol almış.

 Devlet destekli yada bir devletin yaptığı yazılımlara baktığımızda, kodlar tamamen temizdir.

 Arkalarında hiç iz bırakmazlar.

 Geride ipucu bırakmazlar.

 Ama STUXnet’te birkaç ipucu bırakılmıştı.

 Bir tanesi, Microsoft Windows’a düşük profilli erişim için STUXnet’in bir sertifika kodu içermesiydi.

 Ki bu sertifika kodu belli bir firmaya ait olacaktı.

 Saldırganlar Microsoft’a gidip “Hey, kodumuzu deneyin ve bize sertifika verin”, diyemedikleri için bunu çalmışlar.

 Taiwan’daki iki şirketten.

 Ve bu iki şirketin aynı iş merkezinde olması dışında hiçbir ortak noktası yoktu.

 Dijital sertifikalar sağlam kapılar ardında oldukça iyi korunurlar, ve erişmek için birçok kişinin onayı gerekir.

 Ve bunları geçmek için hem biyometrik veri hem de bir dizi şifre girmeniz gerekir.

 Bu sertifikalar internet erişimi olan bir bilgisayarda saklanmazlar.

 Birinin yardımı gerekir.

 Casuslar.

 Mesela bir gece temizlikçisi gibi gelip bu sertifikaları çalmış olabilirler.

 Sanki bir James Bond film setine gelmişim gibi ve, aklınıza hiç gelmeyecek şeyler sizi şaşkına çevirir.

 Kodun içindeki araşatırmamıza devam ettikçe, geride bırakılmış birkaç ekmek kırıntısına daha rastladık.

 Siemens ile ilgili birşeyler, Siemens yazılımı yada muhtemelen Siemens donanımı.

 Daha önce Siemens’i hedef alan böyle bir yazılımı hiç görmemiştik.

 Bunu neden yaptıklarını bile bilmiyorduk.

 Google’da biraz araştırdıktan sonra bunun Siemens PLC’lerini hedef aldığını anladık.

 STUXnet, PLC yada programlanabilir yapay zeka kontrolü denilen oldukça özel bir hedef seçmişti.

 PLC’ler pompa, vana yada motor gibi fiziksel bir aleti yöneten küçük bilgisayarlardır.

 Yani bu küçük kutular bir yazılım programı yürüterek, bir motoru açıp kapayabilir yada hızını ayarlayabilirler.

 Bu program kontrol kutuları enerji santralleri yada güç şebekelerini yönetirler.

 Fabrikalarda kullanılır Kritik altyapılarda kullanılır Kritik altyapılar etrafımızı sarmış durumda.

 Ulaşım, telekomünikasyon, finans kuruluşları, sağlık merkezleri.

 STUXnet’in ana kodları dünya üzerindeki oldukça önemli bir yapıyı hedef alıyordu.

 Ana kod oldukça önemli olmalıydı.

 Oraya yazılanlar oldukça tehlikeli olabilirdi.

 Laboratuvarımızdaki sisteme virüsü bulaştırınca bizi şaşkına çeviren bir diğer şey ise, virüsün bulaşacağı donanımı oldukça titiz bir şekilde seçmesiydi.

 Hedef seçerken oldukça hassastı.

 Ona sunulan yada gördüğü her donanıma saldırmıyordu.

 Bir dizi kontrol yapıyor ve bunlar başarısız olursa sisteme saldırmıyordu.

 Kesinlikle belirli bir hedefin peşindeydi.

 İşte o zaman, oldukça gelişmiş ve akıllı bir zararlı yazılım olduğundan emin olduk.

 Bu oldukça sıradışıydı.

 Birileri, dünya üzerindeki tek bir hedef için bunca zahmete mi girmişti?

 O zaman bu oldukça önemli bir hedef olmalıydı.

 Symantec olarak, tüm dünya üzerine yayılmış ve zararlı yazılımları izleyen birçok sondamız var.

 Tüm dünyada STUXnet’in sitemlere sızdığını belirledik Amerika, Avustralya, İngiltere, Fransa, Almanya, Avrupa’nın tamamı.

 Dünyada Windows işletim sistemi kullanan tüm bilgisayarlara bulaştı.

 Amerika’daki endüstriyel kurumların işletmesinden sorumlu örgütler, bize ulaşıp şunu sormaya başladı, “Bize de bulaştı, şimdi ne yapacağız?” Örneğin sizin tüm sisteminizi kapatacağı belirli bir tarih girilmiş miydi bilmiyorduk.

 Dünya üzerindeki elektrik santrallerinin kapatılacağı yada saldırı düzenleneceği bir tarih STUXnet’in oldukça yıkıcı etkileri olabileceğinin farkındaydık.

 Ana kodun içerebileceği şeyler bizi endişelendiriyordu.

 Ve tüm bunlar olurken zamana karşı yarışıp bu saatli bombayı durdurmak için çabalıyorduk.

 Sonunda istatistikleri okuyabilemeyi başardık.

 Ve bu saldırılardan tüm dünyada en çok İran’ın etkilendiğini gördük.

 Bu oldukça dikkatimizi çekti.

 Daha önce özellikle İran’ı hedef alan bir saldırı görmemiştik.

 Biz de jeopolitik gelişmeleri ve haberleri dinleyip dünyada neler olduğuna baktık.

 İran’a giriş ve çıkış yapan boru hatlarında çok sayıda patlama olduğunu gördük.

 Açıklanamayan patlamalar.

 Aynı zamanda ülkedeki nükleer araştırmacılara suikastler yapıldığını gördük.

 Bu oldukça endişe vericiydi.

 Çok kötü bir şeyin olduğunu biliyorduk.

 Kendiniz için endişelendiniz mi?

 Yani ara sıra da olsa dönüp arkanıza bakmaya başladınız mı?

 Evet, kesinlikle arkamı kontrol etmeye ve, telefonda neler konuştuğuma dikkat etmeye başladım.

 Telefon konuşmalarımın dinlendiğinden oldukça emindim.

 Bazen birbirimize dönüp “Bak, ben intihara meyilli değilim”, dediğimiz zamanlar aslında tam olarak şaka yapmıyorduk.

 “Eğer pazartesi günü intihar etmiş olursam emin ol bunu ben yapmadım” Tüm yaz boyunca STUXnet hakkında bulduklarımızı yayınladık.

 Sonra Kasım ayında, Hollanda’lı bir endüstriyel kontrol uzmanı bize ulaşıp, bu tür endüstriyel kontrol ünitelerindeki cihazların, marka ve modelini belirten özel birer sayı içerdiğini söyledi.

 Aslında kodun içinde bu sayılardan birkaç tane bulmuştuk, ancak ne olduklarını bilmiyorduk.

 Ve sonra elimizdeki bu sayıların aradığımız sihirli numaralar olabileceğini anladık.

 Sonra bu numaraları biraz daha araştırdık, ve hedef alınan bu endüstriyel kontrol ünitelerinin, bir tanesi İran’da olan iki şirket tarafından üretilen, frekans dönüştürücü cihazlara ait olduğunu gördük.

 Böylece saldırı hedefinin İran’daki bir tesis olduğunu, ve İran’lı üreticilerden parça aldığını anladık.

 Bu frekans dönüştürücüleri biraz daha araştırdığımızda bunların, Nükleer Düzenleme Komisyonu tarafından kontrol edildiğini gördük.

 Bu ipucu bizi nükleer tesis hedefine yönlendirdi.

 Bu sıradan bir bilgisayar hikayesinden daha fazlasıydı, Bunun üzerine antivirüs dedektiflerini bırakıp, David Sanger adındaki siber suçlar, nükleer silahlar, ve casusluk alanlarında uzmanlaşmış bir araştımacıya gittim.

 Kodun içeriği, gizli bir saldırının, gerçekleşmekte olduğu konusunda beni endişelendirdi.

 Saldırı o kadar gizli yapılmıştı ki, devlet sözcüsü ne diyeceğini bilmediği gibi, saldırı hakkında da hiçbir fikri yoktu.

 Olayın üstüne gittikçe bir ucundan da olsa buna karışmış, yada buna şahit olan birçok kişiyle karşılaştım.

 Kişilerden kastım Amerikalılar, İsrailliler, Avrupalılar Çünkü bu o ana kadar bir yada belki iki devletin saldırı amacıyla kullandığı, ve oldukça, inanılmaz gelişmiş bir siber silah olma özelliğine sahipti.

 İran’ın nükleer program tarihi hakkında yaptığım araştırma beni bu sonuca getirdi.

 İran ilk nükleer reaktöre nasıl sahip olabilmişti?

 Biz verdik Şah rejimi zamanında.

 Çünkü şah bir Amerikan müttefiği kabul ediliyordu.

 Bu samimi karşılama için tekrar teşekkür ediyorum, Sayın Başkan.

 Nixon hükümeti döneminde Amerika Birleşik Devletleri, Şah’ın nükleer programını desteklemeye oldukça hevesliydi Hatta Nixon hükümeti bu dönemde İran ve Pakistan’ın, İran topraklarında ortak bir nükleer tesis kurması gerektiğini savunuyordu.

 Şah’ın nükleer silah edinmeye meyilli olduğunu gösteren bazı deliller mevcuttu.

 Çünkü İran, Amerika’nın da desteğiyle kendini Basra Körfezi’nin hakimi sanıyordu.

 İranlılar kendilerini her zaman Ortadoğu’nun hakimi olarak görürler.

 Neden siz Almanlar yada İngilizler atom ve hidrojen bombalarına, sahipken İran en doğal hakkı olan meşru savunma hakkı yada çıkarlarını, koruma hakkı nedeniyle bile bunlara sahip olamıyor?

 Ancak 1979’da Şah’ı yönetimden alaşağı eden devrim hareketi, nükleer program henüz başlamadan el değiştirmesine sebep oldu.

 Devrim sonrası İran’a karşı olan politikamız sebebiyle, nükleer programın varlığını inkar ettik.

 Benim de aktif görevde olduğum 80’ler ve 90’lar dönemlerinde, Amerika, dünyanın dört bir yanına koşturup, muhtemel nükleer satıcılara, İran’a barışçıl amaçlarla dahi olsa nükleer malzeme satmamasını söylüyordu.

 80’lerin ortalarında Pakistan’dan İran’a gerçekleştirilecek nükleer, sevkiyatlar hiç aklımıza gelmemişti.

 Abdul Kadir Han Pakistan nükleer programının kurucusu da diyebiliriz.

 Pakistan hükümetinin nükleer silah üretimini, büyük bir güven ve sınırsız yetkiyle destekledi.

 İki dönemdir CIA çalışanıydım, operasyonel uzman olarak, kariyerim boyunca genelde deniz aşırı yerlerde bulundum.

 A.K. Han bağlantıları o kadar gözler önündeydi ki, oldukça uzun bir süredir sadece Pakistan nükleer programı ile yetinmemiş, İran da dahil olmak üzere diğer birçok devletin nükleer, silah geliştirmesini desteklemişti.

 A.K Han, Pakistan devletini temsilen İranlı yetkililerle görüşüp pazarlık yapmış, bunun akabinde ise Dubai’de birtakım nükleer silah projelerini, ve gerekli donanımsal malzemeyi içeren bir takas yapılmıştı.

 80’lerin ortalarına kadar İran nükleer programı kaynak sıkıntısı içindeydi.

 Daha çok araştırma ve geliştirme olarak yürütüldü.

 90’ların ortalarında ise nükleer silah üretme, kararını vermeleriyle program büyük bir hız kazandı.

 Bu kararın arkasında neler olduğunu tahmin etmekten öteye gidemeyiz.

 Bence bu sebep Kuveyt Savaşı’ndan sonra Amerika’nın Irak’ı işgaliydi.

 İran ile Irak arasında 8 yıl süren bir savaş olmuştu.

 Biz ise birkaç hafta içinde Saddam’ın tüm güçlerini yok etmiştik.

 Ve bu da sanırım Tahran’daki yöneticileri nükleer silah, edinme konusunda ikna etmeye yetti.

 Bu gibi devletler ve onların terörist müttefikleri, bir “Şer Ekseni” oluşturmakta, ve silahlanarak tüm dünya barışını tehdit etmektedirler.

 2003 ile 2005 arasında Amerika’nın İran’ı işgal edebileceğini düşünerek, nükleer programlarındaki tüm kısıtlamaları kabul ettiler.

 Ancak 2006 yılında, İranlı yöneticiler Amerika’nın Afganistan, ve Irak’ta bir çamura saplandığını anladı, ve kendileri için artık bir tehdit oluşturmadığını gördü.

 Nükleer programlarına devam etmenin güvenli olduğunu düşündüler.

 Düşük seviyelerde Uranyum zenginleştirmeye ve daha çok santrifüj üretip, kullanmaya Natanz’daki yeraltı tesislerinde başladılar.

 Bir gazeteci olarak bu yeraltı tünellerinde ilerlemek, ve İran nükleer santralinin kalbine yolculuk etmek inanılmaz bir duygu.

 Cumhurbaşkanı’nın bugün tesise yaptığı ziyaret sayesinde bu rüya gerçek oldu.

 Batılı ülkeler on yıllarca müzakere yapmamız gerektiğini, ve görüşmeler olumlu olursa belki 20 tane santrifüje sahip olabileceğimizi söyledi.

 Tabi ki İran hükümeti olarak buna hayır dedik.

 Bugün, bu cihazlardan 7000 tanesi yer altı tesislerimizde çalışıyor.

 Kaç defa Natanz’daki tesisleri ziyaret ettiniz?

 Çok fazla değil, birkaç yıl önce IAEA’den ayrıldım.

 Ama yine de birkaç kez orada bulundum.

 Natanz çölün tam ortasındadır.

 Burayı gizlice inşaa ederlerken, çöldeki kurulan bir tarımsal sulama tesisi olacağını söylediler.

 Böyle büyük bir tesis yaparken, insanlara bir açıklama yapmak zorundasınız.

 Birçok mevzii ve hava birimi var.

 Diğer birçok nükleer tesise göre hava saldırılarına karşı daha korunaklı bir yer.

 Yerin oldukça altında.

 Ama iç yapı olarak Natanz da diğer santrifüj tesisleri gibi.

 Brezilya, Rusya, Japonya Birçok tesiste bulundum.

 Kendilerine has küçük farklılıkları saymazsak hepsi aynı.

 Kendilerine has santrifüjleri ve kültürel farklılıkları var Ama temel olarak işlem heryerde aynıdır.

 IAEA gözlem işlemleri de aynı şekildedir.

 Başlıca kurallar vardır.

 Tesise neyin girip, neyin çıktığını görmek istersiniz.

 Ve bundan daha da önemlisi, nükleer silah yapımında kullanılabilecek kadar zenginleştirilmiş, uranyum yerine düşük seviyede zenginleştirilmiş uranyum üretmelidir.

 İran nükleer tesisleri 24 saat gözetim altında.

 Birleşik Devletler nükleer gözlem grubu, ve IAEA, yani Uluslararası Atom Enerjisi Ajansı tarafından.

 İran’ın sahip olduğu her gram hammadde kontrol ediliyor.

 Hammaddelere vurdukları standart mühürler var.

 Bunlar IAEA mühürleri.

 Farkedilmeden bu mühürleri kırmanız mümkün değil.

 Natanz’daki uranyumu incelediğimizde, oldukça özel bir tür olduğunu anladık.

 İzotop 236 denen türdeydi ve bu bizim için tam bir bilmeceydi.

 Çünkü bu tarz uranyumu sadece nükleer silahlara sahip olan devletlerde görürsünüz.

 Bizi kandırdıklarını anladık.

 Bu tür hammaddeleri silah karaborsalarından aldıklarını iddia ettiler.

 Asla A.K. Han’ın adını vermediler.

 Henüz vermemişlerdi.

 Ürettikleri ekipmanların gelişmişliğini ve kalitesini, ve üretimdeki profesyonelliği görünce oldukça şaşırmıştım.

 Böyle birşeyi birkaç aylık zamanda üretmeniz mümkün değildir.

 Uzun bir süreç sonucunda üretilir.

 Bir santrifüje uranyum gazını verirsiniz ki bunlardan binlercesi vardır, ve diğer uçtan zenginleştirilmiş uranyum çıkar.

 Uranyumu, rotor etrafındaki dönüş gücü sayesinde ayrıştırılır.

 Oldukça hızlı döner.

 Saniyede tam 300 metre hızla.

 Ses hızıyla eşdeğer yani.

 Bunlar oldukça muazzam güçlerdir.

 Rotor öyle bir güçle döner ki, bir süre sonra bir muz gibi ortadan eğik görünür.

 Doğal olarak dengelenmesi gerekir.

 Çünkü en ufak bir titreşim bile patlamaya sebep olur.

 Bu da bir başka zorluğu beraberinde getiriyor.

 Sıcaklığı yükseltmeniz gerekir, ancak oldukça ince olan bu rotor, Karbon Fiber’den üretilmiştir.

 Diğer parçalar ise Metal’dir.

 Karbon Fiber’i ısıtırsanız küçülür.

 Metal’i ısıtırsanız genleşir.

 Yani sadece dönerken maruz kaldıkları merkez kaç kuvvetini dengelemkle kalmayıp, bir de farklı sıcaklık tepkimelerini dengelemeniz gerekir ki parçalanmasınlar.

 Bunun oldukça hassas yapılması gerekir.

 Üretilmelerini oldukça zor kılan sebep işte budur.

 Tasarlayabilir yada hesaplayabilirsiniz.

 Ama sonuç olarak üretebilmek için, pratik ve deneyime ihtiyacınız var.

 Yani, tam bir sanat eseri de denebilir.

 Ulusumuzun, ordumuzun ve devrim muhafızlarımızın gücü sayesinde, Başarı dolu günlerimizin sonu asla gelmez.

 Rüya dolu sabahlar kıyılardan yükselirken.

 Hayatın dalları filizlenir.

 Zaferimiz şanlı olsun! İranlılar santrifüjleriyle oldukça gurur duyuyorlardı.

 Ulusal Nükleer Güç Günü dedikleri, ve her yıl Nisan ayında yayınlanan, birçok video çekilirdi.

 Bu kutsal bahar gününa şükürler olsun! Bahçıvana da şükürler olsun! Gururla belirtmek istiyorum ki, bugünden itibaren artık İran da, nükleer yakıt üretebilen ülkeler arasına katılmıştır.

 Ahmadinejad şu motto ile iktidara gelebilmişti, “Eğer ulusal kamuoyu İran’a yaptırım uygulamak istiyorsa, Buna sonuna kadar direneceğiz” Eğer bize daha fazla denetim yada, daha fazla benzeri protokol dayatmaya kalkarlarsa, bunu kabul etmeyeceğiz.

 Hakkımız için savaşmaya hazırız.

 İran, nükleer silahsızlanma anlaşmasını imzalamış bir ülkedir, ve bu anlaşma gereği İran’ın nükleer program yürütme hakkı vardır.

 Zengileştirme yapabiliriz.

 Siz kim oluyorsunuz ki kendinizi, dünya gücü varsayıp bize zenginleştirmeyi yasaklıyorsunuz?

 Felsefesi buydu.

 Ve bu görüş haklı heyecanlandırmıştı.

 2007 ve 2008 dönemlerinde, Amerikan Hükümeti, İran nükleer sorunu konusunda oldukça kötü bir durumdaydı.

 Başkan Bush, Irak’ta yaşanan “Kitle İmha Silahı” fiyaskosundan, sonra halkın önüne çıkıp “İranlılar nükleer silah üretiyor” diyemeyecek kadar kötü bir durumdaydı.

 Askeri bir operasyona karar vermesi mümkün değildi.

 Condoleezza Rice bir keresinde ona, “Bay Başkan, sanırım en iyi sebeplerle bile olsa artık son, Müslüman ülkenizi işgal ettiniz.” demişti.

 İsrail’lilerin bir askeri operasyon düzenlemesini de istemiyordu.

 Sanki yıllardan 1938, ve İran atom gücüne sahip olmayı, hedefleyen o dönemin Nazi Almanyası gibi.

 İran’ın nükleer güç arzusu durdurulmalı.

 Durdurulmaları gerek.

 Hepimiz birlikte durdurmalıyız, şimdi.

 Bugün size ileteceğim tek mesaj budur.

 Teşekkürler.

 İsrail, İran’ı bombalayacağını söylüyordu.

 Ve Washington Hükümeti, olası bir İsrail saldırısı senaryosuna göre, muhtemel tüm sonuçları hesaplamıştı.

 Hepsi korkunç sonuçlardı.

 Bizim düşüncemize göre eğer tüm imakansızlıklara rağmen, tek başlarına buna kalkışırlarsa, Ki olukça etkili bir hava gücüne sahipler, tamam.

 Ama hedef küçük, mesafe oldukça uzun, ve hazırlıklılar, savunmadalar Anlıyor musunuz?

 Eğer bir uçakla bu tarz bir saldırıya kalkışırlarsa, sanırım bizim onlara yardım edeceğimizi ve, başladıkları işi bitireceğimizi düşündüler.

 Bir başka deyişle, ben de dahil olmak üzere, hükümetteki birçok yetkili bu saldırının amacının aslında, İran’ın nükleer gücünü yok etmek olmadığını, asıl amacın bizi İran ile savaşa sokmak olduğunu düşünüyorduk.

 İsrail, İran’ın nükleer programından, Amerika’dan çok daha fazla endişeli.

 Ülkenin boyutlarına ve, yaşadığımız bölgeye bakınca bu endişe normal.

 Amerika, İran’dan binlerce mil uzakta.

 İki ülke sonuç olarak anlaşmıştı.

 İran’ın nükleer güce sahip olmaması, konusunda her iki taraf da hemfikirdi.

 Ancak nasıl bu sonuca ulaşılacağı, yada ne zaman aksiyon alınacağı konusunda, bazı görüş ayrılıkları vardı.

 Fitne ve fesatın kaynağı (İsrail) bu dünya üzerinden silinecektir.

 Vatandaşlarımızı yok etmekle, tehdit eden ülke başkanlarını, oldukça ciddiye alırız.

 Eğer İran nükleer silahlara sahip olursa, şimdi yada gelecekte, bu, insalık tarihinde ilk kez, İslami fanatiklerin, dini fanatiklerin, oldukça tehlikeli ve oldukça yıkıcı bu silahlara, sahip olması anlamına geliyor.

 Ve tüm dünya, bunun gerçekleşmesini önlemeli.

 İsrail yönetimi, sonuçlarıyla yüzleşmeden, durumdan kurtulabileceğini anladıkları anda, İran’ın nükleer silah kararını verdiğini düşünüyor.

 Amerika’nın olaylarla ilgili görüşü ise, İran’lıların henüz nihai kararı vermediği yönünde.

 Bana göre bu hiç farketmez.

 Yani, gerçekten hiçbir farkı yok.

 ve muhtemelen bunu bilmenize imkan yok, Tabi eğer Hamaney’i sandalyeye oturtup, sorgulamazsanız.

 Bence bizim açımızdan bakınca, İran’ın nükleer kapasiteye ulaşmasını engellemek, birincil politik öncelik olmalı.

 Eğer nükleer yakıta sahip olurlarsa, eğer nükleer silah üretme gücüne sahip olurlarsa, bu oyunu kaybederiz.

 Başkan Bush bana bir keresinde şöyle demişti, “Mike, hiçbir başkanın şu iki seçenekle yüzşelmesini istemem, bombalamak yada bombayla yüzleşmek” Kendisi yada vekilleri adına konuşmak gerekirse, olaylar bu noktaya gelmeden çok daha önce, farklı seçenekler ile bu durumdan kurtulmayı dilerdi.

 Bu olay üzerine o kadar yoğunlaştık ve çaba sarfettik ki, sonunda İsrail hükümeti bize inanıp “Tamam, artık size güveniyoruz” dedi.

 İsrail ve Amerika arasındaki istihbarat paylaşımı muazzam biçimde güçlüdür.

 Bu nedenle İsrail yönetimi Amerika’ya haber salıp, “İran’ı bombalamamızı istemediğinizi biliyoruz ” “Tamam, o zaman farklı bir yol seçelim” dedi.

 Bunun üzerine Amerikan istihbaratı, İsrailli mevkidaşları ile, ortak bir operasyon üzerine düşünmeye başladı.

  Birgün, istihbarat ve askeri yetkililerinden oluşan bir grup, Başkan Bush’un ofisine gidip, “Efendim, bir fikirimiz var” dedi.

 “Oldukça riskli” “Başaramayabiliriz, ama yine de denemeye değer” Bir yandan kodları analiz etmeye devam ederken, Bir yandan da 2008 yılında yapılan bir basın gezisinde, çekilen ve İranlılar tarafından yayınlanan resimlere bakmaya başladım.

 Ahmedinejad ve yeni santrifüjler.

 Ahmadinejad’ın Natanz tesisinde, santrifüjlerin yanında çekilen resimleri, oldukça önemli ipuçları içeriyordu.

 Bunların sayesinde elde edilecek çok fazla bilgi vardı.

 Hepsinden önce bu fotoğraflar, gezi boyunca Ahmedinejad’ı koruyanları, açıkça deşifre ediyordu.

 Ve Ahmedinejad’a birşey gösterilirken, çekilmiş o meşhur fotoğraf var.

 Yüzünü görebilirsiniz, ekrandakiler ise görünmüyor.

 Ve resimde arkasında görünen bilimadamlarından biri, birkaç ay sonra suikaste kurban gitti.

 Bu fotoğraflardan birinde, bir bilgisayar ekranı kısmen görülüyor.

 Biz bu ekrana “SCADA Ekranı” deriz.

 SCADA işletim sistemi kısaca bir bilgisayarı yöneten yazılımdır.

 Kullanıcılarına gerçekleşmekte olan işlemler hakkında detaylı bilgiler verir.

 Biraz daha detaylı bakarsanız, tüm kurulum şemasını görebiliyordunuz.

 6 grup santrifüj vardı.

 Ve her grup 164 adet içeriyordu.

 Tahmin edin ne oldu?

 Saldırı kodunun içinde tam olarak bu sayıları görmüştük.

 Bu saldırı kodunun 6 farklı diziden, oluşan birşeye saldırmak istediği, ki bunlar birer varlık yada fiziksel şeyler de olabilir, ve her bir grubun 164 element içerdiği kesindi.

 Hiç gerçek fiziksel test yapabildiniz mi?

 Yoksa sadece kod analizine bakarak mı bunu düşündünüz?

 Evet, düşününce bizim kendi nükleer geliştirme tesisimizi kuramayacağımız oldukça aşikar.

 Bunun yerine birkaç PLC aldık, ki bunlar santraldekilerle aynı model.

 Sonra bir de pompa temin ettik, ve iddialarımızı ispat etmek için, bu düzeneği kullandık.

 İnsanlara bulduğumuz şeyi anlatabilmek için, görsel bir sunum yapmalıydık.

 Düzenekle yapabileceğimiz şeyler konusunda fikir üretmeye başladık.

 Ve balon şişirme konseptinde karar kıldık.

 Balonu şişirecek bir program yazdık, ve 5 saniye sonra duracak şekilde programladık.

 Yani balonu belli bir seviyeye kadar şişirecekti.

 Ama patlatmayacaktı.

 Ve bu tamamen güvenliydi.

 Ve herkese PLC’de yüklü olan bu kodu gösterdik.

 Zamanlayıcı “5 saniye sonra dur” diyor.

 Ve ne olacağını biliyoruz.

 Sonra sisteme STUXnet bulaştıracaktık.

 Ve testi tekrar çalıştıracaktık.

 Karşınızda, tamamen sanal dünyada, var olması gereken bir parça yazılım, bir santraldeki yada fabrikadaki fiziksel donanımı etkileyerek, gerçek, yani fiziksel hasara sebep olabiliyordu.

 Gerçek dünyadaki fiziksel hasar.

 Bu noktada korkmaya başladık.

 Elimizde, insanları öldürme potansiyeline sahip bir zararlı yazılım var, ve bu tamamen Hollywood’dan fırlamış gibi duruyor, ve bunu bize birileri söyleseydi, gülmekten yerlere yatardık.

 Tam da bu noktada STUXnet’i kimin yarattığı, hakkında teoriler üretmeye başlamış olmalısınız.

 Bunu tahmin etmek o kadar da zor değildi.

 Dünya üzerinde çok az sayıda ülkenin, İran’daki bir nükleer tesise, saldıracak yada yok edecek, kapasite ve motivasyonu vardı.

 Amerikan Hükümeti olabilirdi.

 İsrail Hükümeti kesinlikle olmalıydı.

 Kim bilir belki İngiltere, Fransa, Almanya, gibi ülkeler de olabilirdi.

 Ama asla %100 bu devletleri gösteren delillere ulaşamadık.

 Yol gösteren hiçbir ipucu yoktu.

 Bilirsiniz, saldırıyı planlayanlar kodların arasına birkaç şey yazıp, “Bunu yapan bizdik” demezler.

 Eğer deselerdi bile bunun doğruluğuna güvenemezdik.

 Yani bir parça bilgisayar koduna bakarak, onu kimin yazdığını söylemek oldukça zor.

 Sonraki araştırmalarımız, bizi bunun bir tür Amerikan-İsrail ortak operasyonu, olduğunu düşünmeye sevk etti.

 Evet, evet.

 Analizlerinizden çıkardığınız herhangi bir sonuç sizi de, bunun doğru olabileciğini düşünmeye yöneltti mi?

 Kamera önünde bunu konuşamam.

 Nedenini sorabilir miyim?

 Hayır.

 Sorabilirsin, ama cevaplamam.

 Arkasında devletler olması ihtimalinde bile, Yani, endişelerimizden bir tanesi Bu beni gittikçe kızdırmaya başlamıştı.

 STUXnet hakkında konuşmak için bizimle anlaşan sivil insanlar bile, Tel Aviv ve Washington’ın olaydaki rolünü dile getirmekte çekiniyordu.

 Ama benim şansıma, D.C. bir sırlar şehri olarak bilinirken, aynı zamanda sızıntılar şehri olarak da biliyordu.

 Kalp atışı kadar güçlü, durdurması da bir o kadar zor.

 Tüm güvendiğim buydu.

 Sonunda, arkaplanda görüştüğüm birçok insanın da yardımıyla, STUXnet saldırısında Amerika’nın oynadığı rol, anlatılırken bunu kameralara kaydedebilecektik.

 Bilgi teminine karşılık, ihbarcının kimliğini gizli, tutacak bir yol bulmak şartıyla.

 – Hazır mıyız?

 – Kayıttayız.

 Sana sormak istediğim ilk soru, tüm bu gizlilik hakkında.

 Demek istediğim şuan herkes STUXnet hakkında yeterince bilgiye sahip.

 Neden bunun hakkında kimse konuşamıyor?

 Bu gizli bir operasyon.

 Artık değil.

 Demek istediğim ne olduğunu ve kimin yaptığını biliyoruz.

 Belki de bildiğini sandığın kadar çok şey bilmiyorsundur.

 Hikayeyi doğru anlayabilmek için, seninle konuşmak istedim.

 Ben de aynı sebepten dolayı seninle konuşmayı seçtim.

 Gizli bir operasyon olmasına rağmen mi?

 Bak, bu bir çeşit Snowden tarzı olay değil, tamam mı?

 Yaptığı bana göre yanlıştı.

 Çok ileri gitti.

 Çok fazla konuştu.

 Dışardan iş alan biri olan Snowden’ın aksine, Ben NSA’deydim.

 Örgüte olan güvenim tam, bu yüden size vereceğim bilgiler, sınırlı olacak.

 Konuşuyorum çünkü, herkes hikayeyi yanlış biliyor, ve bunun düzeltilmesi lazım.

 Bu yeni silahları anlamalıyız.

 Riskleri oldukça yüksek.

 Ne demek istiyorsun?

 STUXnet’i biz yarattık.

 Bu doğru.

 Ancak bizi felakete öylesine yaklaştırdı ki, ve hala tam kıyısında duruyoruz.

 Birçok devleti ve istihbarat örgütünü kapsayan devasa bir operasyondu.

 Amerika’dan CIA, NSA ve Askeri Siber Karargahı.

 İngiltereden, GCHQ’yi kullanarak İran hakkındaki bilgileri aldık.

 Ama asıl ortak İsrail’di.

 Asıl işi Mossad yürüttü.

 Teknik işleri ise 8200 Birimi yaptı.

 Hikayenin anahtarı aslında İsrail.

 İsrail’de trafik tam bir keşmekeş.

 Yossi, tüm bu STUXnet hikayesini nasıl öğrendin?

 Genel olarak İsrail İstihbaratıyla, özellikle de Mossad ile tam 30 yıldır beraber çalışıyorum.

 1982’de Londra’da yaşayan bir muhabirdim.

 Ve teröristlerin mahkeme süreçlerini takip ederken, tüm bu terörizm konseptiyle haşır neşir olmaya başladım, ve yavaş ancak emin adımlarla bu bende bir bağımlılık yarattı.

 İsrail olarak, oldukça zorlu bir bölgede yaşıyoruz.

 Burada demokratik doktrinler, yada batılı değerler oldukça nadir görülür.

 Ancak İsrail yine de özgür, demokratik, ve batılı bir imaj çizer.

 Gösterişli sokakları, zengin insanları, Amerika yada Avrupa’daki yaşıtlarıyla neredeyse aynı, mantaliteye sahip gençliği ile, oldukça Batılı bir imaj çizer.

 Diğer taraftan gerçek Ortadoğu, imajını yansıtan birçok olaya da tanık olabilirsiniz.

 Terör saldırıları, radikaller, fanatikler, dini bağnazlık gibi.

 İsrail’in, şuan gerçekleşmekte olan, İran nükleer programını yavaşlatmak istediğini biliyorum.

 Geçmişteki olaylara da bakınca, İran’a yapılan bir bilgisayar saldırısında, yada bu resmin en az bir yerinde, İsrail’in de yer aldığına eminim.

 1981’de bir F-16 pilotuydum.

 Ve birgün bize hayal ettiğim, it dalaşları yada MIG avının aksine, yüksek öneme sahip bir hedefi yok etmek için, uzun mesafe uçuşa hazırlanmamız istendi.

 Kimse bu yüksek öneme sahip stratejik hedefin ne olduğunu söylemedi.

 İsrail’den 600 mil uzaktaydı.

 Görev için hazırlanmaya başladık.

 Ki bu oldukça zor bir görevdi.

 O zamanlar havada yakıt ikmali yoktu.

 Ön keşif için uydu desteği de yok.

 Yakıt ucu ucuna yetecek.

 Gün sona ererken, görevi başarıyla tamamladık.

 Görev neydi?

 Bağdat yakınlarında, Osirak olarak bilinen, bir Irak nükleer reaktörünü yok etmek.

 Bu sayede Irak nükleer silaha sahip olma arzusuna, asla ulşamadı.

 Amos Yadlin, yani General Yadlin, askeri istihbaratın başındaydı.

 Bu kurumdaki en büyük kısım ise, 8200 Birimi’ydi.

 Telefonları dinliyorlar, faxları takip ediyorlar, bilgisayarlara sızıyorlardı.

 Bir dönem önce, Yadlin henüz yeni atanmışken, 8200 Birimi diye anılan siber savaş grubu yoktu.

 Sonra yetenekli insanları eğitmeye başladılar.

 Ordu içindeki hackerlar yada, ordu dışından katılan ve siber suçlar biriminde çalışmaya, elverişli kişiler katılabiliyordu.

 19. yüzyıl ordularında sadece kara ordusu ve donanma vardı.

 20. yüzyılda ise savaşın, üçüncü boyutu olarak hava gücü geldi.

 21. yüzyılda, siber ordular savaşın dördüncü boyutu olacak.

 Yeni bir tür silah.

 Limitsiz bir menzile sahip ve oldukça hızlı, geride çok az iz bırakıyor.

 Yani bu size büyük bir fırsat sunuyor.

 Ve tüm Süpergüçler, akıllarında yer etmiş olan, savaş anlayışını değiştirmeli.

 Sonunda ordumuzu bugün karşılaştığımız, ve yarınlarda da devam edecek yeni bir tür savaş için, hazırlamış bulunuyoruz.

 Ordumuzu daha iyi eğittik.

 Daha donanımlı ve daha hazır durumdalar.

 Amerika’nın bugün yüzyüze olduğu ve uzak gelecekte de maruz kalabileceği, tehditlerle baş edebilmesi için.

 Bush hükümetinin son günlerinde devlet görevlilerinin birçoğu Başkan Bush’u, saldırı amaçlı siber silahlara daha çok bütçe ayırmaya ikna etmeyi başarmıştı.

 STUXnet, savunma bakanlığında görüşülmeye başlanmıştı bile.

 Sonra savunma bakanı Robert Gates, programı yeniden gözden geçirdi ve, “Bu programın yeri Savunma Bakanlığı değil” “İstihbarat dünyasındaki gizli operasyonlar bünyesine dahil edilmeli” dedi.

 Böylelikle CIA bu operasyonda oldukça etkin bir görev üstlenmiş oldu.

 Oysa kodlama işinin çoğu Ulusal Güvenlik Ajansı (NSA), ve onun mevkidaşı olan 8200 Birimi tarafından, ortak operasyonlar için kurulmuş “Birleşik Devletler Siber Komuta Merkezi” çatısı altında yapılmıştı.

 Ve ilginç bir şekilde NSA’i yöneten direktör, ikinci bir görev olarak aynı zamanda Birleşik Devletler, Siber Komuta Merkezi’ni de yönetiyordu.

 Ve Birleşik Devletler Siber Komuta Merkezi, Fort Meade’deki, NSA binasının içinde yer almaktaydı.

 Irak ve Afganistandaki hava operasyonlarında danışmanlık, yapmak görevi verilerek bir yıllığına merkezden ayrıldım.

 Bu süre sonunda tekrar geri dönerken bana verilen, görev ABD Siber Komuta Merkezine gitmek oldu.

 Siber Komuta Merkezi, Ordunun sanal ortamdaki, operasyon ve etkileşimlerinin, gerçekleştirildiği bir yer.

 ABD’nin Siber Komuta Merkezine ihtiyaç duyma nedeni olarak, Buckshot Yankee adında bir operasyon gösterilir.

 2008 sonbaharında, gizli ağ bağlantılarımıza sızmış, bir düşman yazılım saptadık.

 Tamamen doğru olmasa bile, herzaman bu tarz sızmaları henüz gerçekleşmeden, güvenlik aşamalarında durdurduğumuzu varsaydık.

 Dış dünya ile ulusal ağlarımız arasında var olan bazı güvenlik tamponlarında.

 Bu konuda oldukça başarılı olduğumuza bir hayli inanmıştık.

 Ama böyle bir olaydan sonra artık, asla tamamen güvenli olamayacağını anladık.

 Bu olaydan sonra Savunma Bakanlığı, Siber Komuta Merkezi olarak bildiğimiz, sistemi oluşturdu.

 Günaydın.

 Günaydın.

 Günaydın efendim.

 Siber’in bugün sizin için bir başlığı mevcut.

 Hafta başında, Antok araştırmacıları, bilinen metodları kullanarak ABD Ordusu’nun ağına sızmaya, çalışan bir düşman yazılım keşfetti.

 Zararlı yazılımı, tampon bilgi bölgesindeki, veri akışından ve istihbarat, yetkililerinden gelen yönlendirmeler ile tesbit edip, bir siber saldırı olduğunu doğruladık.

 Bu bilgiyi Savunma Bakanlığındaki yetkililer ile de paylaştık NSA’i, iletişim sistemlerinin güvenliğini sanal dünyadaki, imkanlarını ve yeteneklerini kullanarak savunan, bit tür kuruluş olarak düşünebilirsiniz.

 Siber Merkez ise, bu savunma görevinden sonra bir karşı saldırı, düzenleme mantığı ile NSA’in gücünü bir adım ileri taşıdı.

 NSA’in yasal olarak saldırı yapma yetkisi yoktur.

 Hiç olmadı ve olacağını da sanmıyorum.

 Bu Siber Merkez’in neden Fort Meade’de, yani NSA’in üst katında kurulduğunu açıklamaya yeterli sanırım.

 Çünkü NSA’in bubunları yapma kapasitesi varken, Siber Merkez’in de bunları yapma yetkisi vardı.

 Ve “Bunlar”dan kastım “Siber Saldırılar”.

 Bu, istihbarat servisleri için, oldukça büyük bir değişim.

 NSA, temel olarak ülke savunması adına, dış güçlerin yada ABD düşmanlarının, iletişimini izlemek adına kod yazan yada kodları kıran, bir operasyon olarak kurulmuştu.

 Siber Merkez kurmak ise aynı, teknolojiyi saldırı amaçlı kullanmak demek oluyordu.

 Düşman ağına sızmayı başarabilirseniz, bu ağlara birer dijital sonda bırakırsınız.

 Ve ABD olarak dünya çapında sonda yerleştirdiğimiz, onbinlerce yabancı bilgisayar mevcut.

 Bu ağlarda neler olup bittiğini, izleyebilir yada bu bilgisayarlara, siber silah yada virüs bulaştırabiliriz.

 Eğer bir ağı dinleyebilirseniz, onu manipüle de edebilirsiniz.

 Bu oldukça kolay.

 Tek yapmanız gereken bunu istemek.

 Irak’ta görev aldım.

 Askeri bir görev olup olmadığını açıklayamam, ama size diyebilirim ki, NSA’in bu ülkede savaş destek birimleri vardı.

 Ve ilk kez sahadaki birimlerin, NSA istihbaratına doğrudan erişimi oldu.

 Zaman içinde savunmadan ziyade saldırıya odaklandık.

 Bilirsiniz, istihbarat toplamak yerine saldırı yapmak.

 Eskiden sinyal izleme birimleri radyoları takip ederdi, ama NSA Irak’a girince, ülkeye girip çıkan bütün ağlara erişim sağlandı.

 Ve her telefon mesajını, email’i, telefon konuşmasını takip etmeye başladık.

 Bir ülkeyi tamamen dinlemek Kötüleri tesbit edip, örneğin patlayıcı yapan bir grup diyelim, ağlarına sızıp, onları gerçek zamanlı olarak izlerdik.

 Kapalıyken dahi telefonlarına, bağlanabilir yada arkadaşlarının hattından, mesaj atıp buluşma yeri belirleyebilir, sonrasında ise yakalayabilir, yada öldürebilirdik.

 Siber Komuta’ya katılan birçok kişi, yani askerlerin çoğu doğrudan, görev yerleri olan Afganistan yada Irak’tan gelmişti.

 Çünkü bunlar daha önce birçok operasyona katılmıştı, ve Siber Komuta’nın geleneksel askeri operasyonlardaki etkisini, oldukça pekiştireceklerdi.

 Mezun olduğumda, yani 2007’de, NSA için yönetici adayı olarak çalışmaya başladım.

 Tam olarak nerede çalıştınız?

 Fort Meade’de.

 Hergün o kocaman ve görkemli binaya gittim.

 TAO-S321 birimindeydim, diğer adıyla “The Roc.” Pekala TAO, “The Roc”?

 Evet, pardon.

 TAO, özel erişim operasyonları demek.

 Yani NSA hackerlarının çalıştığı yer.

 Tabi biz onlara hacker demiyorduk.

 Onlara ne diyordunuz?

 İnternet Operatörleri.

 NSA bünyesinde olup da internet üzerinden saldırı, yada sızma yapabilen sadece onlardı.

 TAO merkezinin içindeyse “The Roc” yer alıyordu, Uzaktan Operasyon Merkezi.

 Eğer Amerikan Hükümeti biryere sızmak isterse, bu talep dığrudan “The Roc”a gidiyordu.

 Talepler çığ gibi geliyordu.

 Gelen istekler o kadar fazlaydı ki, yamamız istenen görevlerin sadece %30 kadarına yetişebiliyorduk, interneti kullanarak bazen ise kargoyla gönderilen parçaları çalarak.

 Bazen CIA bizim için makinalara, böcek yerleştirmeye yardım ediyordu, bu sayede ağa bir kez sızdığımızda, İstersek İzleyebilir Yada saldırabilirdik.

 NSA’in içinde garip bir kültür çakışması vardı, bir kısım maço askerler, diğer kısım ise siber inekler.

 Ben Irak’tan gelmiştim, “Evet Efendim, Hayır efendim” modundaydım.

 Ama silah programcıları için, daha “Açık Fikirli” tiplere ihtiyacımız vardı.

 Masadan masaya dolaşırken, ışın kılıçları, Star Trek figürleri, Japon Anime figürleri, ve bir sürü Aqua Teen yemek balonları görürdünüz.

 Hatta erkeklerden biri, ki çoğunlukla erkektiler, sarı başlıklı bir pelerin giyerdi, ve devasa bir Death Star yapabilmek için tonlarca gri Lego kullanmıştı.

 Hepsi de STUXnet üzerinde mi çalışıyordu?

 Biz ona asla STUXnet demedik.

 Bu isim Antivirüs çalışanları tarafından uyduruldu.

 Bu haber manşetlere düşünce, New York Times’ta yayınlanmış olsa bile, gizli operasyonlarla ilgili bilgileri okumamız yasaktı Bu kelimeyi söylememk için kendimizi zorluyorduk.

 Yani yüksek sesle “STUXnet” demek, Harry Potter dünyasında Voldemort demek gibiydi.

 Bu isim söylenmemeliydi.

 Peki siz ne dediniz?

 Natanz saldırısı çoktan dilden dile yayılmıştı, ve biz ona “Olympic Games” yada kısaca “OG” diyorduk.

 Kodu, PLC’ler üzerinde denemek için, gerek Sandia – New Mexico’da, gerekse Fort Meade’de, büyük bir operasyon başlamıştı.

 Bush döneminde Libya elindeki tüm santrifüjleri iade etmişti, hatırlıyor musun?

 Bunlar İran’ın A.K. Han’dan aldıklarıyla aynı modeldi, P1 Tipi.

 Oak Ridge’deki tesise götürüp, iç çekirdeklerini parçalayan kodu test ettik.

 Dimona’da, İsrailliler de P1’ler ile testler yaptı.

 Sonra, İran üzerindeki kısmi istihbaratımızı kullanarak, daha yeni model olan IR-2 Tipleri’ne ait planları ele geçirdik.

 Farklı saldırı yöntemleri denedik.

 Sonunda, Rotor’ları yok etmeyle sonuçlanacak saldırı tiplerine odaklandık.

 Testlerde, onları paramparça ettik.

 Parçaları topladılar, uçağa yükleyip Washington’a getirdiler, kamyona yükleyip, Beyaz Saray’ın kapısına doğru sürdüler, ve getirdikleri tüm parçaları Toplantı Salonundaki masanın üzerine döktüler.

 Ve sonra gelip bakması için Başkan Bush’u davet ettiler.

 Ve parçalanmış santrifüjden bir parça alıp incelediğinde bunun işe yarayabileceğine ikna olmuştu, ve “Tamam, öyleyse deneyelim” dedi.

 Bush Yönetimi’nin, bu kararın bir çeşit savaş ilanı, olduğuyla ilgili yasal endişeleri var mıydı?

 Varsa bile, ben farketmedim.

 Bu, endişeler olmadığı anlamına gelmez.

 Yada bir yerlerde, bir avukatın endişeli olmadığı anlamına da gelmez.

 Ama bu henüz yeni bir alandı.

 O zamanlar siber ortamda yapılan saldırıların hukuki boyutları, hakkında bilgisi olan oldukça az insan vardı.

 Kısaca anlatmak gerekirse yaptığımız şey “Tamam, işte hedefimiz bu bu sonuca en kısa nasıl ulaşabiliriz bir bakalım” demekti.

 Ve bundan sonra ben yada benim avukatlarım olaya müdahil olup, “Peki, şunları yapabiliriz.

 Tamam mı?”. Yapabileceğimiz birçok şey vardı, ama bunları yapmamıza izin yoktu.

 Ve bundan sonra durup düşünmemiz gereken son birşey, daha vardı, “Ne yapmalıyız?”.

 Çünkü teknik olarak mümkün ve hukuki açıdan yasal olmasına rağmen, kötü sonuçlanabilecek birçok şey vardı.

 Natanz saldırısı CIA öncülüğünde yapılmıştı, bu nedenle NSA’in yetkileri askıya alındı.

 Gerçekten mi?

 CIA’den biri operatörün ve analiz uzmanının yanında durup, herbir saldırı için onay emri verdi.

 Daha saldırıya başlamadan önce, kodun içine bir tür operasyonu durdurma tarihi girmişlerdi.

 Saldırıyı bitirecek bir tarih.

 Durdurma tarihleri Bunları diğer zararlı, yazılımlarda pek göremezsiniz ve aklınıza hemen şu soru gelir, “Peki, neden bir durdurma tarihi girilmişti?” STUXnet’in muhtemelen Hükümet tarafından yazıldığını biliyorsanız, bu kodun imkanlarına bakılmaksızın, bu durumla ilgili kanunlar olduğunu, ve konunun uzmanı bir ekibin “Hayır, buna buna bir durdurma tarihi girilmeli, ve şunları yapabilir, bunlar ise yapamazsınız, yasal olup olmadığını kontrol etmemiz lazım” dediğini hayal edebilirsiniz.

 Bu tarih, Obama’nın göreve başlamasından birkaç gün önceydi.

 Teoriye göre bu operasyon belli bir tarihte durmalıydı, çünkü bu tarihte bir görev değişikliği yaşanacaktı ve yeni onaylar gerekliydi.

 Yemin etmeye hazır mısınız Senatör?

 Hazırım.

 Ben, Barack Hussein Obama – Ben, Barack – İçtenlikle yemin ederim ki Ben, Barack Hussein Obama, içtenlikle yemin ederim ki “Olympic Games” Başkan Obama tarafından ilk görev yılı olan, 2009’da tekrar onaylandı.

 Bu çok büyüleyiciydi çünkü görevdeki ilk yılları, olmasına rağmen Obama yönetimi siber savunma hakkında, sürekli konuşmak istiyordu.

 Bilgisayar sistemlerine, petrol, gaz, enerji ve su nakli gibi konularında bağlı şekilde yaşıyoruz.

 Toplum taşıma ve hava ulaşımı konularında da, onlara muhtacız.

 Ancak tıpkı geçmişte fiziksel altyapımızı, finanse etmekte başarısız olduğumuz gibi, yani yollarımız, köprülerimiz ve raylı sistemlerimizi, dijital altyapımızın güvenliğini sağlamada da başarısız olduk.

 “East Room” toplantıları denen konuşmalar düzenliyor, insanları siber savunmanın gerekliliği, ve Amerikan altyapı sistemlerinin güvenliği konularında ikna etmeye çalışıyordu.

 Ancak siber silahların saldırı için kullanılması, hakkında soru sorduğunuz zaman sessizlik hakimdi.

 İşbirliği yoktu.

 Beyaz Saray yardım etmiyor, Pentagon yardım etmiyor, NSA yardım etmiyor.

 Kimse sizinle bunları konuşmuyordu bile.

 Ancak Obama hükümeti dönemindeki, siber konulara ayrılan bütçeye baktığınızda, büyük bölümünün saldırı amaçlı siber silahlara ayrıldığı görülüyordu.

 “Başlık 10 CNO.” gibi açıklamalar vardı.

 Başlık 10, Askeri Ordu Operasyonları demek.

 Ve CNO da Bilgisayar Ağı Operasyonları demek.

 Bu aslında STUXnet’in bir tür başlangıç olduğunun, ve Hükümetin bu yeni tür silahları geliştirme konusunda ne kadar istekli olduğunun kanıtıydı.

 STUXnet sadece bir evrim değildi.

 Ayrıca zararlı yazılım alanında tam bir devrim niteliğindeydi.

 Geçmişte gördüğümüz zararlı yazılımların çoğu, bir yerlerdeki operatörler tarafından yönlendirilirdi.

 Bilgisayarınıza bulaştıktan sonra, bazılarının “Geri Arama” dediği şeyi yapar, yada emir komuta zincirine dönerdi.

 Yazılım gerçekten de operatörle temasa geçer ve “Şimdi ne yapmamı istersin?” derdi Ve operatör de komutlar gönderip, mesela “Şu dizini araştır”, “Şu klasör ve dosyaları bul”, “Şu dosyaları upload et, diğer bilgisayara da bulaş” gibi, şeyleri yaptırabilirdi.

 Ama STUXnet’in bir emir komuta kanalı olamazdı.

 Çünkü bir kez Natanz’a girdiği zaman, dışarıya sızıp saldırıyı planlayanlara ulaşamayacaktı.

 Natanz ağları, internetten tamamen izole edilmiş bir hava boşluğundadır.

 İnternet bağlantısı yoktur.

 Kendine özgü, izole edilmiş bir ağdır.

 Temel olarak baktığımızda izole bölgeye erişmek saldırganların yüzleşeceği, oldukça zor durumlardan biridir çünkü herşey bunu önlemek için tasarlanmıştır.

 Bilirsiniz, herşey Yani kurallar, prosedürler ve fiziksel ağ, sizin oraya ulaşmamanız için tasarlanmıştır.

 Ancak gerçek hayattaki üretim tesislerinde asla tam anlamıyla izole bir ağdan söz edilemez.

 İnsanların Natanz tesisine yeni kodlar sokması gerekiyor.

 İnsanların Natanz tesisindeki aktivite girdilerini kaydetmesi gerekiyor.

 İnsanların parçaları güncellemesi gerekiyor.

 İnsanların bilgisayarları yenilemesi gerekiyor.

 Bu, sahada karşılaştığımız en büyük güvenlik sorunlarından birini gösteriyor.

 Eğer “Bu enerji santraline yada kimyasal tesise kimse saldıramaz, çünkü buranın internet bağlantısı yok” diyorsanız bu ilizyondan ibarettir.

 Kodu Natanz’a ilk kez soktuğumuzda insan kaynaklardan yararlandık, belki CIA, büyük ihtimalle Mossad.

 Sızma konusunda kendimizi daima gizledik.

 Moskova’da bazı dedikodular duyduk.

 Bir flaş sürücü kullanılarak İran’daki bir bilgisayarın, sahte bir Siemens teknisyeni tarafından virüse maruz bırakıldığı hakkında İran’da Natanz’a girme yetkisi bulunan bir ikili ajan hakkında Ancak aslını bilmiyorum.

 Dikkatimizi içeri girdiği zaman kendi başına, hareket edebilecek bir kod yazmaya verdik.

 Yazılımın içine kendi başına hareket etmesini sağlayacak, tüm kod ve mantığı girmişlerdi.

 Kendi kendine yayılabiliyordu.

 Düşünebiliyordu “Doğru PLC’lere ulaşabildim mi?” Natanz’a ulaştım mı?

 Şuan hedefte miyim?

 Ve hedefine ulaştığında saldırıyı kendisi başlatabiliyordu.

 Bu aynı zamanda şu demek oluyor, saldırıyı iptal edemesiniz.

 Bazı kişilerin “Bu saldırı mutlaka yapılmalı”, diyeceği türden bi saldırıydı bu.

 STUXnet bir kez bırakıldığında geri dönüşü yoktu.

 Saldırıyı başlattığı ve kodlarını kullandığı zaman, kocaman bir odada sıra sıra dizilmiş, bir sürü santrifüj olacaktı.

 Ve bu odanın hemen yanında, bir operatör odası olacaktı, önlerinde kontrol panelleri, ve tüm odayı görebildikleri bir de pencere.

 Santrifüjlerdeki tüm aktiviteler bilgisayarlar tarafından gözlemleniyordu.

 Yani santrifüj, bir elektrikli motor tarafından kontrol ediliyor.

 Ve bu motorun hızı da bir başka PLC, yani programlanabilir bir mantık aygıtı tarafından ayarlanıyor.

 STUXnet saldırı yapmadan önce 13 gün bekleyecekti.

 Çünkü 13 gün, bir dizi santrifüjün uranyum ile doldurulması için geçecek süreydi.

 Santrifüjler henüz boşken yada zenginleştirme henüz, başlamışken saldırmak istemiyorlardı.

 STUXnet’in yaptığı aslında öylece durup 13 gün boyunca gerçekleşen, tüm normal aktiviteleri izleyip kaydetmekti.

 13 gün boyunca döndüklerini görünce saldırı gerçekleşecekti.

 Santrifüjler inanılmaz hızlarda döner.

 Yaklaşık 1,000 hertz civarı.

 Güvenli bir çalışma hızları vardır, dakikada 63,000 devir.

 STUXnet uranyum zenginleştirme santrifüjlerinin, 1,400 hertz’te dönmesini sağladı.

 Dakikada 80,000 devir.

 Amaç olarak bu santrifüjlerin, rezonans frekansı denilen değeri yakalaması hedeflenmişti.

 Öyle bir frekansa ulaşacaktı ki tüm metaller, kontrolsüzce titreşecek ve sonuçta çatlamaya başlayacaktı.

 Heryere uranyum gazı dağılacaktı.

 Sonrasında ise ikinci saldırı gerçekleşecekti, yani dönüş hızı 2 Hertz’e düşecekti.

 Neredeyse sabit duruyormuş gibi olacaklardı.

 Ve 2 Hertz’de tam aksi bir güce maruz kalacaklardı.

 Dönmekte olan bir topaç hayal edin.

 Dönüş hızı yavaşladıkça yalpalamaya başlayacaktır.

 Santrifüjlere de aynısı olacaktı.

 Önce yalpalamaya başlayacaklar, sonrasında ise dağılıp parçalanacaklardı.

 Ve olmakta olan bu durumun bilgisayarlara bildirilmesi yerine, daha önce kaydettiği veriyi gönderecekti Ve bilgisayarlar da öylece durup, “Evet, 1,000 Hertz’de dönüyor, herşey yolunda 1,000 Hertz’de dönüyor, herşey yolunda.” diyecekti Ancak santrifüjler oldukça hızlı döndüğü için, çok yüksek bir ses çıkacaktı.

 Aynı şey gibi Bilirsiniz, bir jet motoru gibi.

 Operatörler bunu duyup “Birşeyler yanlış gidiyor” diyecekti.

 Monitörüne bakıp, “Hmmm, 1,000 Hertz’de dönüyor” diyecek.

 Ama sesi duyduğunda çok kötü birşeyin olduğunu anlayacaktı.

 Sadece operatörleri herşeyin normal olduğu konusunda kandırmakla kalmamış, aynı zamanda otomatik kontrol sistemlerini de kandırmıştı.

 Santrifüjleri öylece kapatamazsınız.

 Oldukça kontrollü bir şekilde yavaşlatılmaları gerek.

 Ve onlar da bu prosedür için büyük kırmızı butona basacaklardı, ama STUXnet bunu engelleyecekti.

 Bu büyük butona defalarca bastıkları halde, hiçbirşey olmayan operatörleri gözünüzde bir canlandırın.

 Eğer siber silahınız yeterince iyiyse, eğer düşmanın bundan haberi yoksa, bu ideal bir silahtır çünkü düşmanınız, kendisine ne olduğunu dahi anlayamamıştır.

 Belki daha da iyidir çünkü düşman kendi yetenekleri hakkında, – şüpheye düşer.

 – Kesinlikle.

 Şüphesiz Natanz’da gerçekleşen bu aksaklıklar, mühendisleri çıldırtmış olmalı.

 Çünkü her bakım mühendisinin kabusu, o an gerçekleşmekte olan aksaklığın nedenini bilememesidir.

 Hatayı bulmak adına bitmek bilmeyen analizlerle kendilerini paralamış olmalılar.

 Santrifüjlerin patladığını görüyorsunuz.

 Bilgisayar ekranına bakınca, hızlarının uygun olduğu görülüyor.

 Sabit gaz basıncı, herşey güzel görünüyor.

 2009 yılı içinde herşey güzel gitti.

 Santrifüjler parçalandı.

 Uluslararası Atom Enerjisi müfettişleri Natanz’a gittiklerinde, tüm santrifüjlerin söküldüğünü gördüler.

 ABD’nin istihbarat kanallarına göre İran’lı bazı bilimadamı ve mühendisler, santrifüjlerin patlaması sonucu işten çıkarılmıştı.

 İran’lılar tüm aksaklıların sebebi olarak bu kişilerin üretim yada işletmede hata yaptıklarını düşünüyordu.

 Açıkca bu birilerini suçu gibi görünüyordu.

 Yani program tam da yapması gereken şeyi yapıyordu.

 Yani santrifüjleri geride iz bırakmadan yok etmek, ve İran’lıları neyin yanlış gittiği konusunda şüphede bırakmak.

 “Olympic Games”in görkemi işte buydu.

 Birkaç 3 harfli kuruluşun genel müdürü olarak, Natanz’daki 1,000 santrifüjü devredışı bırakmak İnanılmaz iyiydi.

 Bize zaman kazandırması için bir fırsattı.

 Onları yavaşlatmak için bir fırsattı.

 Onları müzakere masasına oturmaya zorlamak için bir fırsattı.

 Yani elimize birçok koz geçmiş oldu.

 Başkan Obama durum değerlendirme odasına gitmiş, ve önüne “Horse Blanket” dedikleri bir şey serilmişti.

 Bu Natanz’daki Nükleer Zenginleştirme tesisine ait devasa bir şematik plandı.

 Ve “Olympic Games”in tasarlayıcıları ona nasıl bir ilerleme kaydettiklerini anlatıyor, ve saldırının bir sonraki adımı için vereceği izni bekliyorlardı.

 Bu toplantılardan birinde bazı çekincelerini dile getirdi.

 “Biliyor musunuz, bazı endişelerim var.” “Çünkü bunlar dışarıya sızarsa,” Ki er yada geç sızacağını biliyordu ” Çinliler bunu bize karşı saldırı bahanesi olarak kullanabilir, Ruslar yada başkaları da.

” Yani görüldüğü gibi bazı şüpheleri vardı, ancak bunlar programın devam etmesi iznini vermesine engel olmadı.

 Ve sonra 2010 yılında, kodun değiştirilmesine karar verildi.

 Bireysel yardımcılarımız, her zaman Natanz’a güncelleme sokamıyorlardı.

 Sebebi söylenmemişti ama kodun içeriye, ulaştırılabilmesi için bir siber çözüm düşünmemiz istenmişti.

 Ama iletim sistemi oldukça zordu.

 Eğer yeterince agresif olmazsa içeri giremezdi.

 Eğer çok agresif olursa da fazla yayılır ve tesbit edilebilirdi.

 İlk numuneye baktığımızda, içinde bazı yapılandırma bilgileri vardı.

 Ve içlerinden biri versiyon numarası olarak 1.1’e sahipti.

 Ve o anda şöyle düşündük “Şuna da bakın, belli ki ilk sürüm bu değilmiş”.

 Veritabanında STUXnet’e benzeyen herhangi birşey bulmak için geçmişe doğru tarama yaptık.

 Daha çok numune topladıkça STUXnet’in önceki birkaç versiyonunu daha bulduk.

 Ve bu kodu analiz edince, versiyon 1.

1’den önceki sürümlerin, çok daha az agresif olduğunu gördük.

 STUXnet’in önceki versiyonları bir bilgisayardan diğerine bulaşmak için, bazı kullanıcıların birkaç şeye tıklamasına yada dosya açmasına ihtiyaç duyuyordu.

 Ve bu kodları inceledikten sonra iki kanıya vardık.

 Birincisi, belki de bu ilk versiyonlarla Natanz’a girmeleri mümkün olmamıştı.

 Çünkü yeterince agresif değildi ve hava boşluğunu geçmeye yetmedi.

 Ve/Yada ikincisi, bu paket onları yeterince, memnun etmedi yada düzgün çalışmadı, belki yeterince hasar veremedi.

 Santrifüj dizesinin belirli parçalarına, saldırıyı hedef alan farklı sürümler vardı.

 Ama Symantec çalışanlarına göre ilk versiyonlar içeriye girmeyi başaramadığı, yada düzgün çalışmadığı için kodu değiştirme ihtiyacı duymuşsunuz.

 Saçmalık.

 Herzaman hava boşluğunu geçmenin bir yolunu bulduk.

 TAO’da, insanlar hava boşluğunun onları koruduğunu düşündüğünde gülerdik.

 OG için konuşursak ilk sürümler düzgün çalıştı.

 Ama NSA her zaman ağırdan alıp ince bir iş çıkarmak istiyordu Problem 8200 Birimiydi İsrailliler, bizi daha agresif olmaya zorladı.

 STUXnet’in yeni versiyonu olan 1.1 sürümü Bu sürüm birden çok yayılma metodu içeriyordu.

 4 adet Zero Days içeriyordu mesela.

 Bu da siz hiçbirşey yapmasanız bile yayılma olanağı veriyordu.

 Ağ bağlantılarıyla bulaşabilirdi.

 USB anahtarlarıyla bulaşabilirdi.

 Ağı istismar ederek yayılabilirdi.

 Bu numune, bizi çalınan dijital sertifikalarla buluşturan sürüm olmuştu.

 Bu numune kısa sürede öyle çok ses getirdi ki, antivirüs çalışanlarının dikkatini çekti.

 İlk numunede bunu görmüyoruz.

 Bu çok ilginç çünkü buna göre geliştirmenin ileri aşamalarında, saldırganlar operasyonun gizliliği konusunda endişe duymamaya başlamıştı.

 STUXnet aslında bir bilgisayardan diğerine bulaşmaya devam ederken, o ana kadar bulaştığı tüm cihazların kaydını tutmuştu.

 Ve ulaşabildiğimiz tüm örneklere ulaşarak, .

on binlerce numuneyi derleyip kayıt dosyalarını çıkardık.

 STUXnet’in yol haritasını çıkardık.

 Sonunda STUXnet’in bu versiyonunu geriye doğru takip etmeyi başardık, dünya çapında bulaştığı ilk beş bilgisayara kadar.

 İlk beş bulaşma Natanz santralinin dışında, hepsi İran sınırları içindeki kuruluşlarda, ve hepsi de endüstriyel kontrol kuruluşları için, endüstriyel parça yada kontrol ünitesi üreten, kurumlarla alakalı çıktı.

 Yani Natanz tesisi için çalışan taşeron firmalar.

 Ve saldırganlar bunun farkındaydı.

 Bunlar elektrik şirketleriydi.

 Boru hattı şirketleriydi.

 Yani bu tarz şirketlerdi, bilirsiniz.

 Ve bu şirketlerdeki teknik ekibin Natanz tesisine gideceklerini biliyorlardı.

 Yani virüsü bu şirketlere bulaştırırlarsa, burdaki teknisyenler bilgisayarlarını, laptoplarını yada USB’lerini alıp Sonra bu operatör Natanz’a gidecekti ve içinde Natanz ağındaki güncellemeleri içeren, USB’sini tesisteki sisteme bağlayacaktı ve bu sayede STUXnet Natanz ağına bulaşıp, saldırılarına başlayacaktı.

 Bu beş hedef STUXnet’i Natanz ağına sokmak için dikkatle seçilmişti, Ve bu şu şekilde değildi Yani STUXnet Natanz’daki tesisten, tüm dünyaya yayılmamıştı.

 Sanki yanlışlık yapılmış gibi, “Bu kadar yayılması düşünülmüyordu ama oldu işte” deniliyordu.

 Hayır, bize göre böyle olmadı.

 Bize göre kasten bu kadar yayılmasını istediler, ki sonunda Natanz’daki tesise kadar ulaşabilsin.

 Birileri şöyle demişti “Yeni birşey bulacağız, gelişmiş birşey, ve çok çok çok daha agresif olacak”.

 Ve açıkcası bu konuda rahatız, tüm dünyadaki bilgisayar sistemlerine bulaşabilir, yeter ki hedefe ulaşsın.

 Mossad’ın rolü, burdaki görevi virüsü serbest bırakmak ve STUXnet’in, Natanz’daki tesise ulaşıp santrifüjleri etkilemesini sağlamaktı.

 Meir Dagan, Mossad’ın müdürü sonuca ulaşma konusunda dönemin başbakanı olan Benjamin Netanyahu, tarafından baskı altında tutuluyordu.

 Roc’dakiler olarak oldukça sinirlenmiştik.

 İsrailliler iletim için yazdığımız kodu almış ve değiştirmişlerdi.

 Sonra kendi kendilerine, bizim onayımız olmadan, siktiğimin düğmesine basmışlardı.

 2010’de, bu olayla yaklaşık aynı zaman dilimi içinde, İranlı bilimadamlarını öldürmeye başladılar.

 Ve kodun amına koydular! Saklanacağı yerde, kod bilgisayarları kapatmaya başladı, ve doğal olarak insanlar bunu farketti.

 O kadar aceleleri vardı ki Pandora’nın Kutusu’nu açtılar.

 Serbest bıraktılar ve tüm dünyaya yayıldı.

 Solucan hızla yayıldı.

 Ancak bir şekilde Belarus’ta farkedilene kadar gözden uzak kaldı.

 Bir süre sonra İsrail İstihbaratı virüsün, Rusya Ulusal Güvenlik Servisi’ne kadar ulaştığını, yani KGB’nin bir çeşit yan kuruluşunda olduğunu doğruladı.

 Yani ABD ve İsrail tarafından hazırlanan bir siber silahın formülü, Rusya’nın ve saldırının asıl hedefi olan ülkenin eline geçmişti.

 Elektronik parçalarımıza yükledikleri yazılımlar sayesinde, birkaç santrifüjümüze küçük de olsa zarar vermeyi başardılar.

 Bu oldukça haysiyetsiz ve onursuz bir saldırıydı, fakat şans eseri uzmanlarımız bunu tesbit etti.

 Ve artık bu saldırıları yapma imkanları kalmamıştır.

 Uluslararası hukukta bir ülke yada ülkelerden oluşan bir koalisyon, bir nükleer tesisi hedef alırsa bu bir savaş ilanıdır.

 Lütfen, bu konuda dürüst olalım.

 Eğer İran’da değil de ABD’de böyle bir nükleer tesis, aynı şekilde hedef alınsaydı, Amerikan Hükümeti öylece oturup bunun peşini bırakmazdı.

 STUXnet barışçıl bir dönemde bazı kritik altyapıları hedef alan bir saldırıydı.

 Evet öyle.

 Ben bunu okuduğumda, Okudum ve dedim ki, “Vay, bu baya büyük birşey.” Evet.

 Bu programı yürüten yetkililer, Leon Panetta yani o dönemim CIA müdürü de dahil, aşağı kattaki toplantı salonuna inip Başkan Obama, ve Başkan Yardımcısı Biden’a neden bu programın bir anda, kontrolden çıktığını anlatmalıydı.

 Başkan Yardımcısı Biden toplantının bir yerinde, kendine özgü bir biçimde hiddetlenmiş ve bu olaydan İsraillileri sorumlu tutmuştu.

 “Kodu değiştirip dışarıya yayılmasını sağlayanlar İsrailliler olmalı” demişti.

 Başkan Obama yetkililere şöyle dedi, “Bunun ağdan dışarıya çıkmayacağını söylemiştiniz, ama çıktı.

 İranlıların bunu yapanın ABD olduğunu anlamayacağını söylemiştiniz, ama anladılar.

 Nükleer programlarına büyük zarar verecek demiştiniz, ama veremedi”.

 Natanz santrali birkaç haftada bir IAEA müfettişleri tarafından kontrol edilir.

 Ve saldırılar hakkında bildiklerinizle, raporları yanyana koyarsanız saldırının sonuçlarını görebilirsiniz.

 Eğer IAEA raporlarına bakarsanız, tesisteki birçok santrifüjün, çıkarılıp kaldırıldığını görürsünüz.

 Neredeyse birkaç bin tanesi kullanılamaz hale gelmiş.

 Bütün bunları düşününce, bütün programlarının bir yıl geriye gitmiş olması beni şaşırtmazdı.

 Ancak 2012 ve 2013 yıllarında, santrifüjlerin tekrar geri geldiğini gördük.

 İranın santrifüj sayısı katlanarak artmış, ve 20,000 düşük zenginlikte uranyum potansiyeline ulaşmıştır.

 Bunlar oldukça yüksek rakamlar.

 İran’ın nükleer tesisleri büyümüş, Fordow ve diğer yüksek korumalı, tesis inşaatları başlamıştır.

 Bu o kadar ironik ki, siber saldırılar nükleer bilimadamlarına suikastler, ekonomik ambargolar, politik dışlamalar İran, her türlü kısıtlama ve saldırıya maruz kalmış, ancak ABD, İsrail ve bunların müttefikleri karşısında, tüm bu düşmanlıklara rağmen yenilmemiştir.

 Ve aslında bu sayede İran’ın nükleer programı, geçmişe göre daha gelişmiş hale ulaşmıştır.

 Yürüdüğümüz bu mayın tarlası oldukça tehlikeli bir yer, Ve bu tür gizli operasyonlara karar veren ülkeler, olayın ahlaki boyutu da dahil olmak üzere tüm sonuçlarını iyice düşünmelidirler.

 Demek istediğim bu savaşta ödememiz gereken bedel budur, ve doğruluk adına çekilen bıçak çok keskin olmamalıdır.

 İsrail ve ABD’de doğruluk adına çekilen bıçak iki tarafı da keser, hem hedefi hem de saldırganı yaralar.

 STUXnet Amerika’daki bilgisayarlara bulaştığında, Savunma Bakanlığı saldırının NSA tarafından yapıldığından habersizdi, Amerika’lıları kendi devletlerinin saldırısından, korumak için inanılmaz bir kaynak harcadı.

 Düşmanı bulmuştuk ve o bizdik.

 Görmüş olduğunuz bu gözetleme istasyonunun amacı, birçok farklı kaynaktan gelen bilgileri toplamak, ve hangilerinin tehdit olduğunu algılamaktır.

 Yani tehditlerin neler olduğunu bilirsek, hem özel kuruluşlar hem de devlet teşkilatları için, etkili koruma önerileri geliştirebiliriz.

 Stuxnet virüsü hakkında bir demeç verebilir misiniz?

 Evet tabi ki, bunu konuşmaktan çok memnun olurum.

 2010 Temmuz ayının başında bir zararlı yazılım bulunduğu, ve gidip incelememiz gerektiği hakkında bir telefon geldi.

 Analize ilk başladığımızda “Allah kahretsin” dediğimizi hatırlıyorum, öylece oturup, bu belli bir hedefe ait dedik.

 Endüstriyel kontrol birimine saldırıyor.

 Öylesine zarar verici bir boyuta gelebilir ki, sadece ekipmana zarar vermekle kalmayıp insan hayatına da, zarar verebilir yada öldürebilir.

 STUXnet daha önce gördüğümüz hiçbirşeye benzemediği için oldukça endişeliydik.

 Yani o gece pek fazla uyumadık diyebilirim.

 Kısaca telefonlar açtık, tanıdığımız herkesi aradık, bakanı bilgilendirdik, Beyaz Saray’ı bilgilendirdik, diğer bakanlık ve teşkilatları bilgilendirdik, dünyayı ayağa kaldırdık, ve bu yazılımın aslında ne olduğunu, bulmaya çalıştık.

 Günaydın Başkan Lieberman, ve kıdemli üye Collins.

 Bu kadar küçük ve zararsız birşey, kırılgan altyapımızın güvenilirliği hakkında, hepimizi düşünmeye ve tedbir almaya itmiştir.

 Bu, STUXnet olarak bilinen virüsü içermektedir.

 Israrla birkaç kez “Biz olabileceğimizi düşünüyor musun?

” diye sorulmuştu.

 Bu olasılık aklımın ucundan dahi geçmemişti, çünkü o anda aklımızdan geçen “Acaba bizim tesislerimize mi saldırıyor?” sorusuydu.

 Yani potansiyel olarak hedef alabileceği tesisler arasında, Amerika’daki endüstriyel tesisler de bulunmaktaydı.

 Bu konuya savaş alanından örnek vereyim.

 Arkanızda duran keskin nişancının, sizi vurmasını beklemezsiniz, çünkü sizin tarafınızda olduğunu düşünürsünüz.

 STUXnet olayında saldırganın kim olduğunu bilmiyoruz.

 Yani anlamamıza biraz yardımcı olun.

 Bu şey nedir?

 Kaynağını ve hedefini anlayabilmiş değiliz.

 Salonda bulunanların olaydan haberi olduğuna dair, şüpheye düşeceğiniz birşey oldu mu?

 Hayır hiçbir zaman böyle bir izlenim vermediler, yada “Tamam, artık herşeyi biliyorsun hadi şimdi çık git” anlamına gelen birşey söylemediler.

 Asla takipsizlik emri gelmedi.

 Asla Hiçkimse “Bunu araştırmayı bırak.” demedi.

 Bunun arkasında bir devlet teşkilatının olabileceğini, ve bunu yapabilecek kapasitedeki teşkilat sayısının, oldukça az olduğunu düşünebilir miyiz?

 Seán McGurk, Savunma Bakanlığı’ndaki Siber Birimi’nin müdürü, senatonun huzurunda STUXnet’in ABD için, ne denli büyük tehdit olduğu konusunda ifade verdi.

 Bu sizce bir sorun değil mi?

 Bence Şey Yani nasıl Ne anlamda?

 STUXnet’in kötü bir fikir olduğu hakkında mı?

 Hayır, hayır, hayır Ne olduğunu bilmeden, – Ve neye saldırdığı hakkında fikri olmadan – Oh, Tamam Anladım.

 Evet Bizim yarattığımız birşeye karşı Bunun ABD altyapısına karşı geliştirilmiş ciddi bir tehdit olduğuna inanıyordu.

 Evet.

 Solucan elden kaçtı! Solucan elden kaçtı.

 Anlıyorum.

 Ancak daha da uçlarda gezinen bir teori var, doğru yada yanlış bilmiyorum ama, David Sanger’ın dediğine göre Metni ben de okudum “Bunu kim yaptı?”.

 İsrailliler miydi?

 Ve ben, şey Gerçekten bilmiyorum, ve bilmememe rağmen hala, bu konu hakkında konuşamam, tamam mı?

 STUXnet birilerinin gizli operasyonuydu, tamam mı?

 Ve “Gizli Operasyon”un tanımına bakarsan, olayı gerçekleştiren yada arkasındaki aktörlerin, sonsuza kadar gizli kalmasını amaçladığını anlarsın.

 Yani tanımından yola çıkarsak bu tür konuşmalar eninde sonunda, “Bu tür şeyler hakkında konuşmuyoruz” potasında toplanacaktır.

 Bugüne kadar, ABD Devleti hiçbir zaman dünya üzerindeki bir hedefe, saldırı amaçlı siber operasyon yaptığını kabul etmedi.

 Ancak Bay Snowden sayesinde öğrendik ki 2012 yılında, Başkan Obama bir özel izin metni yayınlamış, ve hangi koşullar altında siber silah, kullanılabileceğini belirtmiştir.

 Ve ilginçtir ki bir siber silah her kullanılacağında, Başkan’ın özel izni alınmalıdır.

 Gerçek dünyada bu durum sadece nükleer silahlar için geçerli.

 Nükleer savaş ve nükleer silahlar ile siber savaş ve siber silahlar birbirinden çok farklıdır.

 Bazı ortak yanları olmasına rağmen durum böyle.

 1960’ların başında ABD Hükümeti aniden şunu farketti Binlerce nükleer silaha sahipti, Büyük olanlar, küçük olanlar, Jeep’lere monte edilmiş olanlar, denizaltından ateşlenenler, ve kullanımı konusunda bir ilke oluşturulmamıştı.

 Hiçbir stratejisi yoktu.

 Eğer birgün bunları kullanması gerekirse, izlemesi gereken prosedürler, hakkında hiçbirşey yoktu.

 Ve bu sayede akademisyenler nükleer savaş ve nükleer silahlar hakkında, gizlenmemiş belgeleri yayınlamaya başladılar.

 Sonuç olarak ise ABD’de 20 yılı aşkın bir süre, nükleer silahların nasıl kullanılacağı konusunda şiddetli tartışmalar yaşandı.

 Ve sadece Kongre’dekiler yada Washington Yönetimi’ndeki yöneticiler, bu konu hakkında kafa yormakla kalmadı.

 Rusların da bu konuyu düşünmesini sağladı.

 Ve tüm bunlardan bir tür nükleer ilkeler topluluğu çıktı, ortak kararla önlenmiş bir yıkım, ve tüm bu karmaşık nükleer dinamiğinin temeli atıldı.

 Bugün, en azından böyle önemli bir konu sayesinde, bir araya geldiğimiz zaman neler başarabileceğimizi, bir kez daha görmüş olduk.

 Siber savaş ve siber silahlar hakkında, buna benzer bir görüşmeyi henüz yapamayız.

 Çünkü herşey gizli bilgi.

 Eğer bir görüşme yaparsanız, Hükümetteki kişilerle, hala Hükümette olan kişilerle, güvenlik muafiyeti olan kişilerden bahsediyorum, duvara toslamış gibi olursunuz.

 İran’ı durdurmaya çalışmak gerçekten benim öncelikli görevim.

 Ve bence, Bu laf açılmışken size STUXnet virüsünün nasıl potansiyel olarak Sorabilirsin, ama yorum yapmayacağım.

 Hiçbirşey söyleyemez misiniz?

 Hayır.

 Sizce nükleer enerji konusunda aldıkları kararlarda onları en çok etkileyen ne oldu?

 STUXnet virüsü mü?

 STUXnet hakkında konuşamam.

 İran’daki santrifüjlere yapılan operasyon konusunda bile konuşamam.

 ABD, STUXnet’in geliştirilmesinde rol oynadı mı?

 Bu konuda herhangi bir yorumda bulunmak araştırmamız bitmeden önce, oldukça zor görünüyor.

 Ama efendim, başka bir ülke buna karıştı mı diye sormuyorum.

 ABD buna karıştı mı diye soruyorum.

 Ve biz Bu şu anki durumda cevaplayabileceğim birşey değil.

 Bakın, oldukça uzun bir süredir, “Bilgisayar Ağı Saldırısı” terimini kullanmaktan bile korkuyordum.

 Bu şey oldukça gizli bir bilgiydi, ve bu bir anda halkın kendi arasında tartıştığı bir şey oluvermişti.

 Çünkü biz demokrasi ile yönetiliyorduk ve, halkımız siber ortamda da varlık göstermemizi istiyordu.

 Şimdi, NSA ve CIA’in müdürü olarak bu konunun gereğinden fazla gizli tutulduğunu söylüyorum.

 Bu kadar gizliliğin sebeplerinden biri, oldukça özgün bir silah sistemi olması.

 Bu silah sistemi bizzat istihbarat topluluğu tarafından oluşturuldu.

 Ve bu insanlar gizliliğe çok önem verirler.

 Gizlilik, kaynaklarımızı korumada yada, ulusal güvenlik konularında hala başvurduğumuz birşey.

 Ancak gizliliğe başvururken onu bir bahane, olarak kullanmamalısınız, yapmanız gerektiğini bildiğiniz, ama yapmadığınız birşey için mesela.

 Yada Amerikan halkının er yada geç öğreneceği bir konuda onu kullanamazsınız.

 Birçok hükümet yetkilisinin operasyonun varlığını inkar etmesine rağmen, en azından içerden birileri hikaye hakkında parça parça da olsa bilgi sızdırmıştı.

 2012’de, David Sanger “Olympic Games” hakında detaylı bir yazı yayınlamış, aslında bunun nasıl ABD-İsrail ortak operasyonu olduğunu, ve Natanz’daki tesise siber saldırı yapma konusunda, nasıl anlaştıklarını kaleme almıştı.

 Hikayenin halka ulaşması, öylesi bir zamana denk gelmişti ki anlaşılan, ulusal güvenlikle alakalı birkaç olay daha, dışarıya sızdırılmıştı.

 Ve bunun sonucunda, Ordu Avukatları tarafından soruşturma açıldı.

 Basın açıklaması ve sızıntı hakkında mı?

 Basın açıklaması ve sızıntı hakkında.

 Makale yayınlandıktan kısa süre sonra, Obama yönetimi STUXnet hakkındaki gizli bilgilerin, dışarıya sızdırılması konusunda General James Cartwright’ı hedef aldı, ve soruştuma açıldı.

 İran nükleer programını hedef alan bazı siber saldırıların, sizin emrinizle gerçekleştirildiği hakkında raporlar var.

 Bu bilgilerin dışarıya sızdırılması hakkında ne düşünüyorsunuz?

 Öncelikle bu konu hakkında yorum yapmayacağım Bunun detayları Aslında Gizli kalması gereken bilgilerdir.

 Yönetime geldiğim günden beri bu tür, sızıntılara karşı sıfır tolerans gösteriyorum.

 Mevcut mekanizmalarımız var.

 Bu sızıntıları yapanları bulabilirsek sonuçlarına katlanmak zorunda kalacaklar.

 Oldukça önemli bir dava olmuştu, ve soruşturmanın boyutu oldukça genişletildi.

 Sanırım daha önce bir şekilde “Olympic Games” hakkında konuşmuş, ve suçlu olmadığı blinen kişilerle bile tekrar görüşüldü.

 STUXnet medyaya sızınca, ofisteki herkesi yalan makinasına bağladılar, hiçbir bok bilmeyenleri bile.

 Stajyerleri bile makinaya soktular.

 Tanrı aşkına! Bu tür bilgileri sızdırdığınız zaman suç işlemiş oluyorsunuz, ve geçmişte olduğu gibi bugün de konuyla ilgili soruşturma açacağız.

 Yönetim, hiçbir zaman suçlamalar hakkında dosya açmadı.

 Muhtemelen dava açılırsa STUXnet hakkındaki gizli bilgilerin, açığa çıkacağından korktular.

 Şuana kadar, ABD yada İsrail Hükümetindeki, hiçbir yetkili bu ortak operasyonun, varlığını kabul etmedi.

 Hiçbir zaman sahada gerçekleşmekte olan operasyonlar hakkında bilgi vermem.

 ama kapasitemiz hakkında konuşabilmeliyiz bence.

 Sığınak delici silahlarımızdan bahsedebiliyoruz neden siber silahlar hakkında da konuşmayalım?

 Demek istediğim, operasyonun gizliliği zaten kalmadı.

 İsrail’deki dostlarımız, sırf onlar yanlış birşey yapmasın diye, ortak katılımla geliştirdiğimiz bir silahı aldı, ve kendi istedikleri şekilde kullandı, bu sayede operasyonun gizliliği bozuldu, ve neredeyse savaşa kadar gidiyordu.

 Ve biz bunun hakkında konuşamayacak mıyız?

 STUXnet hakkında konuşmanın bir yolu var.

 Bu oldu.

 Olduğunu inkar etmek aptallık olur.

 Bu olduğu için bugün burda hakkında konuşuyoruz.

 Asıl konuşmamız gereken şeyler, artık STUXnet’ten sonraki dünyada mı yaşıyoruz?

 David Sanger’a şöyle dedim, “Anlıyorum, tahribattaki bu değişiklik oldukça dramatik, ancak üzerine Ağustos 1945’in kokusu sinmiş.” Birisi yeni bir silah kullandı, ve bu silah tekrar kutusuna geri konmayacak.

 Operasyonel detayları bilmiyorum.

 Ve silahı kullanmaya karar vermeden önce, kim ne yapmış yada yapmamış onu da bilmiyorum.

 ama şunu biliyorum.

 Eğer çıkıp da birşey yaparsak, dünyanın büyük bölümü bunun, yeni standartı temsil ettiğini düşünür.

 Ve bunu yapmanın normal ve yasal karşılanacağını düşünürler.

 Fakat angajman kuralları, uluslararası normlar, anlaşma metinleri, bunlar artık yok.

 Savaş kanunu çok uzun zamandan beri var olduğu için, fiziksel gerçeklik ve değişen şartları düşünmeye bağlı durumdadır.

 Örneğin sıradan saldırıları düşünecek olursak.

 Bildiğiniz gibi bunlar hızla değişen dünyamızda yapılmış saldırılardır.

 Çok fazla bir gizem içermiyor.

 Ancak Siber ortamda yapılmışsa biraz kafa karıştırıyor, buna saldırı denilebilmesi için ne kadar ileri gitmeliyiz?

 Yani strateji geliştirmede yada askeri operasyonlarda kullandığımız, tüm terimleri ve kuralları alıp Siber ortama uyarlamamız gerekiyor.

 Nükleer kontrol konusunda oldukça kapsamlı bir sistem geliştirildi.

 Ruslar gelip bizim silolarımıza bakıyor.

 Biz de gidip onların silolarına bakıyoruz.

 İki ülke ilişkileri bozulduğu zamanlarda bu kontrol sistemleri devre dışı kaldı.

 Ancak bu sistemi Siber ortama uyarlamak soyut anlamda imkansız olabilir.

 Müfettişlerinizi nereye yollayacaksınız?

 Hepsi laptopun içinde, bilirsiniz ABD ve Rusya’da kaç tane laptop var?

 Anlaşma metinlerini ve izlenecek kuralları göz önüne alırsak, Siber ortamda uluslararası bir kontrol sistemi oluşturmak oldukça zor.

 Gerek Çinlilerle, gerekse Ruslarla bu konu hakkında görüşmeler, yapmış olmamıza rağmen sonuç almak oldukça zor.

 Şuan Siber ortamdaki tek kural “Yakalanmadan ne yapabiliyorsan yap!” Çok iyi bir kural değil, ama şuan geçerli olan bu.

 Bu, ulusal güvenliklerini tehdit ettiklerini düşündükleri, birçok hedefe bu yöntemle saldıran ülkelerin, kullanmakta olduğu bir kural.

 Siber ortamda faal olan güçler, bu konuya bir düzenleme getirilmesini yavaşlatmaya çalışıyorlar.

 Hedef pozisyonunda olanlar ise bir an önce düzenleme gelmesini istiyor.

 Bu konudaki uluslararası hukuk belli bir yöntemle ele alınır, ve bu yönteme göre bir devlet çıkıp “Ben bunu yaptım ve sebebi de bu” demelidir.

 ABD oluşturulacak kanunun bu noktaya gelmesini istemiyor, çünkü yaptığı şeylerde yer aldığını sürekli inkar ediyor.

 “Olympic Games” hikayesini anlatmaya karar vermemdeki temel sebeplerden biri, sadece güzel bir casus hikayesi olduğu için değil, ki gerçekten de öyle, ama bir ulus olarak, Siber silahlarımızı nasıl kullanacağımızı tartışmalıyız.

 Çünkü Siber saldırılara karşı dünya üzerindeki en savunmasız ülkeyiz.

 Sabah uyanıp çalar saati kapatıyorsanız, kahve yapıp, yakıt alıp, ATM kullanıyorsanız, endüstriyel kontrol sistemine giriş yapmış oluyorsunuz.

 Bu bizim hayatımızdaki temel güç.

 Ve maalesef, bu sistemler bir ağla yada birbirlerine öylesine bağlılar ki, bu da onları oldukça savunmasız yapıyor.

 Kritik altyapı sistemleri genellikle akıllarda güvenlik, endişelerinin bulunmadığı yada şartların nasıl değişeceğini, düşünemedikleri hatta internet bağlantısının hesap edilmediği, uzun, çok uzun yıllar önce yapılmışlardır.

 Birçok deneme ve maalesef saldırı sonucunda gördük ki bu sistemlerin, içine sızmak gelişmiş bir hacker için oldukça kolaydı.

 Bir demiryolu sistemine sızdınız diyelim.

 Rayları değiştirebilirsiniz.

 Patlayıcı malzemeler taşıyan trenleri raydan çıkartabilirsiniz.

 Doğalgaz hattını ele geçirdiğinizi düşünün, bir vananın açılması gerekirken, kapalı tutuyorsunuz ve basınç birikiyor, sonra boru hattı patlıyor.

 Elektrik üretim işinde yada dağıtımında yer alan şirketler var, geçmişte sistemleri dış güçler tarafından, ele geçirildi ve şebeke elektriği kesildi.

 Bir anlığına hayal edin Doğu yakasındaki hem elektrik dağıtımı hem de internet hizmeti kesilmiş olsun.

 Sadece 24 saat sürmüş olsa bile ne çapta bir ekonomik hasara sebep olurdu bir düşünün.

 Yetkililere göre Ortadoğuda ABD ve İsrail kaynaklı, siber saldırıya maruz kalan ilk ülke İran oldu.

 Bu siber saldırılar da gösteriyor ki, bilgisayar uzmanları, programcılar ve yazılım mühendislerinden, oluşan bir siber saldırı ordusu kurma, konusunda oldukça cesaret kazanmış durumdalar.

 Eğer genç bir vatandaşsanız ve ülkenizdeki bilimadamlarının suikastini görseniz, nükleer tesislerinize saldırıldığını görseniz, ülkenizin Siber ordusuna katılmaz mıydınız?

 Birçoğu katıldı.

 Bu yüzden İran bugün dünyadaki en büyük siber ordulardan birine sahip.

 Yani bu saldırıyı kim yaptıysa, İran’ın santrifüj sayılarında küçük bir eksilmeye sebep olmakla, gurur duymak yerine dönüp arkasına bir bakmalı, ve yaptığı hatanın ne kadar büyük olduğunu görmeli.

 İran, çok hızlı ve gelişmiş bir şekilde ABD’ye mesajını iletti.

 Bunu iki saldırıyla yaptılar.

 İlk olarak Saudi Aramco’ya, yani dünyanın en büyük petrol şirketine, saldırıp tüm yazılımlarını yok ettiler, 30.000 bilgisayardaki tüm kodlar gitti.

 İran bunun sonrasında Amerikan Bankalarına saldırdı.

 Amerikan Bankalarına yapılan en büyük saldırı, Ortadoğu’dan yapıldı ve şuan yapılmaya devam ediyor.

 Online bankacılık yapmak isteyen binlerce müşteri hüsrana uğradı.

 Hedefler arasında Bank of America, PNC ve Wells Fargo da var.

 ABD, İran’lı hackerların olaya karışmış olmasından şüpheleniyor.

 İran bankalarımıza saldırdığında, üst erişim bağlantılarını kapatabilirdik.

 Ancak Savunma Bakanlığı sunucular İran’da olmadığı için endişe duydu.

 Bu konuya diplomatik bir çözüm bulunana kadar, Obama bu sorunla özel sektörün ilgilenmesine karar verdi.

 Beyaz Saray’daki toplantı salonunda, insanların toplanıp şöyle dediğini hayal ediyorum Dürüst olayım, hayal etmiyorum bunu biliyorum.

 Beyaz Saray’daki toplantı salonunda insanlar toplanıp, şöyle dediler, İran bugün bize bir mesaj yolladı ve dedi ki “Natanz’da kullandığınız STUXnet benzeri, Siber silah kullanmaya bir son vermelisiniz.

 Bunu biz de yapabiliyoruz.” STUXnet saldırısının istenmeyen sonuçları oldu.

 Karşı tarafta kargaşa ve hasar hedeflerken, karşı taraf da size aynısını yapabiliyordu.

 Canavar sahibine saldırmaya başlamıştı ve şimdi herkes bu oyuna dahil olmuş durumdaydı.

 Tüm dünyaya, hatta buna kötü kişiler de dahil olmak üzere, çok ciddi çapta probleme sebep olmak, hatta yaralanma ve ölümlere sebep vermek için, neler yapmaları gerektiğini göstermiş oldular.

 Kaçınılmaz olarak birçok ülke Siber gücü kullanmak isteyecek, hem istihbarat hem de zarar verme amacıyla.

 Bunu daha önce Rusya’nın da katıldığı birkaç çatışmada gördük.

 Bir savaş çıkarsa, birileri bizim iletişim sistemimizi yada radımızı kapatmak isteyecek.

 Devlet destekli “Uyuyan Siber Hücreler” bugün dünyanın heryerine dağılmış durumda.

 İletişim sistemlerini hedef alabilir.

 Bilgileri dışarıya çıkarabilir.

 Bir sonraki STUXnet’e öncülük yapabilir.

 Demek istediğim, siz sadece STUXnet’e odaklanıyorsunuz, ama bu İran’a karşı yürütülen büyük bir operasyonun küçük bir parçası.

 İran’a karşı daha büyük bir operasyon mu var?

 Nitro Zeus. NZ.

 Buna yüzlerce milyon dolar, belki milyar dolar harcadık.

 İsrailliler İran’a saldırdığında, bizim de bu çatışmaya çekileceğimizi öngördük.

 İran’ın komuta kontrol sistemine saldırılar yaptık, böylece İranlılar savaş sırasında birbiri ile haberleşemeyecekti.

 İçişlerine ve milli hava savunma sistemlerine sızdık, böylece üstlerinde uçsak bile bizi vuramayacaklardı.

 Ayrıca sivil yaşam destek sistemlerini de hedef aldık.

 Güç şebekeleri, ulaşım, iletişim, finans sistemleri.

 İçeri sızmış bekliyor, gözlüyorduk.

 Bu sistemleri siber saldırılarla felç etmeye yada yok etmeye hazırdık.

 Kıyaslama yapacak olursak, STUXnet bir tür dikkat dağıtma saldırısıydı.

 NZ ise affı olmayan geniş çaplı bir Siber Savaş’tı.

 Asıl soru şu, böyle bir dünyada mı yaşamak istiyoruz?

 Ve eğer yurttaşlar olarak bunu istemiyorsak nasıl daha sakin, ve aklı başında bir şekilde bunu tartışabiliriz?

 Bu sorunu nasıl çömemiz gerektiği hakkında daha yenilikçi bir yöntem bulmamız gerekiyor.

 Siber silahlara sahip olduğumuzu kabul edene kadar, böyle yenilikçi bir yöntem bulamayacağız.

 Ve eğer diğer devletlerin bunu kullanırken bazı kısıtlamalar, yapmasını istiyorsak biz de aynısını yapmalıyız.

 Yanı bu tek yönlü bir yol değil.

 O kadar yaşlıyım ki nükleer silah kontrollerinde, biyolojik silah kontrollerinde, ve kimyasal silah kontrollerinde bulundum.

 Ve bu silah kontrollerinin hepsinde, daha başlarken şöyle denir, “Bunu yapmak çok zor.

 Bir sürü problem var.

 Teknik şeyler.

 Mühendislikle alakalı.

 Bilimin dahil olduğu şeyler.

 Gerçekten bunu onaylamak çok zor.

 Asla başaramayaksınız.

” Bazı durumlarda 20 yada 30 yıl sürebilir.

 Ama şuan oldukça güzel işleyen bir biyolojik silah kontrol mekanizmamız var.

 Oldukça güzel işleyen bir kimyasal silah kontrol mekanizmamız var.

 Üç yada dört tane nükleer silah test mekanizmamız var.

 Evet, zor olabilir.

 20 yada 30 yıl da sürebilir.

 Ama siz cidden uğraşmazsanız asla olmaz, ve eğer siz hiç başlamazsanız asla olmaz.

 Bugün, iki yıl süren müzakerelerden sonra, uluslararası müttefikleriyle birlikte ABD, uzun dönem devam eden yıkıcı bir tehditi ortadan kaldırarak, İran’ın nükleer silah üretme arzusunu dizginlemeyi başarmıştır.

 İsviçre’nin Lozan şehrinde, İran, Amerika, İngiltere, Fransa, Almanya, Rusya ve Çin tarafından anlaşıldı.

 Anlaşma gereğince İran santrifüj sayısını üçte iki oranını geçecek şekilde azaltacak.

 İran, en azından önümüzdeki 10 yıl boyunca gelişmiş santrifüj kullanarak zenginleştirilmiş, uranyum elde etmeye çalışmayacak.

 Bu sayede ülkemiz, müttefiklerimiz ve dünyamız daha güvenli bir yer olacak.

 6 milyon Yahudinin katledilmesinden 70 yıl sonra, İran’lı yöneticiler ülkemi yok etmeye ant içmiş, ve buna tepki olarak tüm hükümetler, hiçbir ses çıkarmamıştır.

 Sağır edici bir sessizlik.

 Belki şimdi anlamışsınızdır, İsrail bu anlaşma kutlamalarında size niye katılmıyor.

 Tarih her zaman Amerika’yı öncü gösterdi, sadece gücümüzle değil, aynı zamanda ilkelerimizle.

 Yanlız kaldığımızda değil, dünyayı bir araya getirdiğimizde daha güçlü olduğumuzu gösterdi.

 Bugünkü anlaşma, daha güvenli ve daha mutlu bir gelecek için, yeni bir sayfa olacaktır.

 Teşekkürler.

 Tanrı sizi korusun.

 Ve Tanrı Amerika Birleşik Devletleri’ni korusun.

 Tanıdığım herkes İran anlaşması konusunda heyecanlanmıştı.

 Kısıtlamalar ve diplomasi işe yaramıştı.

 Ama bu anlaşmanın ark planında Siber kapasitemize olan güven yatıyor.

 İran’ın heryerine sızmıştık.

 Hala da öyle.

 Size operasyonun detaylarını yada nereye neler yapabileceğimizi anlatacak değilim.

 Ama bu bilim kurgularda gördüğünüz Siber savaş tarzı birşey.

 Bu Nitro Zeus.

 Tüm endişem ve konuşma sebebim şu Bir ülkenin enerji ağını öylece kapatırsanız, tekrar eskisi gibi çalışamaz, anladınız mı?

 Humpty-dumpty gibi düşünün

Bu işten sorumlu yöneticiler ışıkları tekrar açamazsa, yada suyu haftalarca filtre edemezlerse, birçok insan ölür.

 Ve başkalarına yaptığımız birşeyi, onlar da bize karşı yapabilir.

 Böyle bi konu hakkında sesiz kalmamız mı gerekiyor?

 Yoksa konuşmalı mıyız?

 Bu film hakkında birçok kişiye gittim, bazıları arkadaşımdı, hapse atılmaktan, korktukları için NSA yada STUXnet, hakkında konuşmaktan korktular.

 Bu korku bizi korur mu?

 Hayır, ama beni korur.

 Yoksa “Bizi” mi demeliyim?

 Ben, bu olayın gizli tutulmasına kızan, fakat ortaya çıkıp konuşmaya korkan, bir grup NSA ve CIA çalışanının, ifadelerini okuyan ve onları canladıran, bir oyuncuyum.

 Artık ortaya çıkıyoruz.

 Şey, ortaya çıkartılmasını sağlıyoruz.

 Sahne arakasından bu filmin yapımına katkıda bulunan tüm cesur insanlara teşekkür ediyoruz.

||

 

BAŞA DÖN

 

Reklamlar

yorumda sahte e-posta yazanlara cevap verilmez.

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Connecting to %s