bencede
New member
BKA ve Zitis, sıfır gün açıkları arıyor – federal hükümet onlar hakkında hiçbir şey bilmiyor
“Görme, duyma, duyma, hiçbir şey söyleme” federal hükümetin ve AB Komisyonu’nun sloganı, Federal Polis Teşkilatı (BKA) ve Bilgi Teknolojileri Merkez Ofisi’nin güvenlik sektöründe gerçekleştirdiği sıfır gün istismarları karşısında. (Zitis), görünüşe göre elinde hackleme otoritesi olarak bilinir hale geldi. Her iki yerel güvenlik makamı, Hollanda adli tıp kurumu, Norveç polisi ve Fransız şirketi Synacktiv ile birlikte, %90’ı AB tarafından 3,8 milyon avro ile finanse edilen Overclock projesinin ortaklarıdır. Ana hedefi, araştırmacılara şifreli akıllı telefonlara “gerçek zamanlı erişim” sağlamaktır.
Overclock, “Operasyonel Öncü: Suçla Mücadele için Şifreleme Araştırmasını Kullanma (‘Kilitleme’)” anlamına gelir. 1 Ekim 2021’de başlayan proje, 36 ay sürecek ve Fransa İçişleri Bakanlığı tarafından yönetilecek. Önceki Cerberus girişimi üzerine kuruludur. Bu, AB kolluk kuvvetleri tarafından şifreleri kırmak ve şifrelenmiş cihazlara erişim elde etmek için kullanılan bir platformdur.
Projenin resmi açıklamasına göre Overclock, “suç ağları tarafından kullanılan teknik açıkları ve şifre çözme uygulamalarını keşfederek” suçluların korunan bilişim cihazlarından en üst düzeyde “okunabilir veri çıkarılmasını” sağlamayı amaçlıyor. İstenen gerçek zamanlı erişim, “özel bir istismardır”. Bu hack, verilerin “orijinal şifreyi kırmaya gerek kalmadan” okunmasını sağlar. Bu, uzaktan, yani cihaza fiziksel erişim olmadan da yapılabilir. İdeal olarak, kriptografiye dayanan organize suç ağları bu şekilde ortadan kaldırılmalıdır.
Sıfır gün güvenlik açığı
New Responsibility Foundation’da güvenlik uzmanı olan Sven Herpig, bu duyuruların ışığında diyor. Twitter derecelendirmesihız aşırtmayla uğraşanların bu arada “özel olarak uyarlanmış akıllı telefonlarda ve bunların temel sürümlerinde” sıfır gün güvenlik açıkları bulduğunu. Bunlar, genel halk tarafından henüz bilinmeyen ve bu nedenle özellikle tehlikeli olan güvenlik kusurlarıdır. BKA, akıllı telefon istismarlarıyla da ilgilenen benzer AB projesi Exfiles ile de ilgileniyor.
Sol görüşlü bir Avrupa Parlamentosu Üyesi olan Cornelia Ernst, Ekim ayında Komisyon’a amaçlanan canlı erişim için ne tür güvenlik açıklarından yararlanıldığını sordu. İçişleri Komiseri Ylva Johansson’un Ocak ayının sonundan beri verdiği yanıt şaşırtıcı çünkü Brüksel’deki hükümet kurumunun devlet fonlarını dağıtmasına temel oluşturan projenin tanımıyla tamamen çelişiyor. Şu anda tartışmalı sohbet kontrolünü ve bununla ilişkili uçtan uca şifreleme saldırısını zorlayan İsveçli, Overclock’un “herhangi bir casus yazılım biçiminde araştırma veya geliştirme veya şifreli cihazlara gerçek zamanlı erişim için tasarlanmadığını” söylüyor.
“Kolluk Güçleri için Olay Yeri İnceleme Yönergeleri”
Johansson’a göre, proje yalnızca “bir soruşturma sırasında keşfedilen şifreli cihazların uygun şekilde ele alınmasını sağlamak için kolluk kuvvetlerine olay yeri inceleme yönergeleri” sağlamayı amaçlıyor. Uygulama, “mevcut bir Europol güvenli yasa uygulama platformunda” gerçekleştirilir. Ek olarak, ilgili taraflar “cihazlardaki verilere yasal erişimi desteklemek için bir adli tıp aracı” üzerinde çalışıyorlar.
Herpig’e göre, Overclock akıllı telefonlar için sıfır gün açıkları arıyorsa ve işin içinde BKA ve Zitis varsa, “bu yetkililerin de güvenlik açıklarına erişimi olması” mantıklıdır. Eyalet Sekreteri Johann Saathoff, geçen hafta milletvekili Anke Domscheit-Berg’in bir sorusuna yanıt olarak, federal hükümetin projedeki bu tür güvenlik boşluklarından “habersiz olduğunu” söyledi. Domscheit-Berg’in parlamentodaki meslektaşı Andrej Hunko, SPD politikacılarına Overclock’un “son teknoloji şifre arama yöntemlerini değerlendireceğini” ve gerekirse bunları Europol platformu için “optimize edeceğini” bildirdi. Anlaşılan İçişleri Bakanlığı projenin açıklamasını bile okumamış.
konu hassas
Konu hassastır: trafik ışıklarındaki hükümet ittifakı, koalisyon anlaşmasında, “herhangi bir güvenlik açığı satın almak veya açık tutmak” yerine, “her zaman mümkün olan en hızlı kapatmayı aramak” için devlet lehine konuştu. daha bağımsız Federal Bilgi Güvenliği Bürosu (BSI). Federal İçişleri Bakanlığı (BMI), bir yıl önce Federal Hükümetin şu anda bu uygulamanın içeriğiyle ilgilendiğini duyurdu. Bölümler arasında “zayıflıkların etkin yönetimine ilişkin görüş oluşturulması” henüz tamamlanmamıştır.
BMI aynı zamanda, sorumlu BSI’nın “federal bir makam tarafından keşfedilen ve üreticiye bildirilmeyen herhangi bir güvenlik açığından haberdar olmadığını” söyledi. Almanya için 2021’de revize edilen siber güvenlik stratejisinin bir parçası olarak, eski Federal İçişleri Bakanı Horst Seehofer’ın (CSU) sıfır gün açıklarından yararlanma konusunda hâlâ kendi çizgisi vardı.
Europol’ün 2020’nin sonundan beri bir şifre çözme platformu işlettiği biliniyor. Avrupa güvenlik yetkilileri ayrıca EncroChat, Sky ECC, Anom ve Exclu gibi az çok iyi şifrelenmiş kripto habercilerinden büyük ölçekte iletişim çalmayı başardı. Başsavcı Markus Hartmann geçtiğimiz günlerde, uçtan uca şifrelemenin, en azından çocukların cinsel istismarı alanında, yalnızca çok az sayıda vakada kapsamlı soruşturmalara engel olduğunu kanıtladığını söyledi.
(bme)
Haberin Sonu