Wikileaks bugün CIA’nin « ExpressLane » projesine ait gizli belgeler yayınladı [1]. Söz konusu belgeler Ajans tarafından, Ulusal Güvenlik Ajansı (NSA), İç Güvenlik Bakanlığı (DHS) ve Federal Soruşturma Bürosu (FBI) dahil birçok kurumun irtibat bürolarına yönelik olarak yürütülen siber saldırıları anlatıyor.

CIA’nin bir birimi olan OTS (Teknik Hizmetler Bürosu) [2], dünya çapındaki irtibat bürolarına sağlanan bir biyometrik veri tabanı oluşturma sistemine sahip ve söz konusu kurumlar buna karşılık onlara bu sistem sayesinde elde ettikleri tüm biyometrik verileri aktarmak zorunda. Öte yandan CIA’nin gözünde bu « gönüllü paylaşım » çalışmıyor ya da yeterli değil zira « ExpressLane », irtibat bürolarına sağlanan böylesi sistemlerden gelen veri kaçaklarına yönelik olarak CIA tarafından kullanılan bir gizli verileri yakalama aracıdır.

İrtibat bürolarını ziyaret eden OTS ajanları biyometrik programlarını güncelleme gerekçesiyle ExpressLane’i bilgisayarlarda kuruyor ve kullanıyor. Bu prosedürü gözlemleyen irtibat subayları, sistem veri kaçağını sağlayan sistem Windows’un basit bir sunum ekranı görüntüsünde olduğu için hiçbir şeyden şüphelenmiyor.

OTS sisteminin başlıca unsurları, yetkililere ve aynı zamanda İstihbarat alanına yönelik biyometrik bilgisayar programlar tasarımında uzmanlaşmış bir ABD şirketi olan Cross Match tarafından sağlanan ürünlerden sağlanıyor [3]. Şirket, ABD Ordusunun, Pakistan’da öldürüldüğü şeklinde sunulan sonuca götüren operasyon sırasında Usame bin Ladin’in kimliğini belirleyebilmek için Cross Match’ın bir ürününden yararlandığı söylendiğinde 2011 yılında manşetlere konu olmuştu [4].

UIDAI onaylı Cross Match şirketi

Cross Match, UIDAI (Unique İdentification Authority of India) tarafından Aadhar 206/5000 programı için onaylı başlıca biyometrik malzeme tedarikçilerindendi [5]. 2011 yılında Hindistan Hükümeti şirkete yetki belgesi vermişti. Şirket 7 Ekim 2011’de bunu dijital parmak izlerinin toplanmasına yönelik « Guardian » adlı alet [6] ve her iki göz retinasını tarayabilen « I SCAN » adlı aleti [7] için almıştı. Her iki düzenek de, asgari insan etkileşimiyle yüksek çözünürlüklü görüntü alınmasına olanak tanıyan Cross Match patentli « otomatik olarak çalışmaya başlama » işlevini kullanmaktadır.

Onay belgesi, ürünlerin UIDAI’nin kalite şartlarına uygunluğunu ölçmeye yönelik gerekli tüm testlerin başarıyla gerçekleştirilmesi sonucunda elde edildi. Onay belgesini veren kurum, Kontrol Standardizasyonu ve Kalite Onay merkezi, Hindistan Hükümetine bağlı Bilişim Teknolojileri Kurumu Müdürlüğü ve UIDAI’den oluşmaktadır. Kontrol Standardizasyonu ve Kalite Onay merkezinin gerçekleştirdiği testler şu kriterlere göre gerçekleştiriliyordu: fiziksel ve boyutsal, görüntü kalitesi, çevresel (sürdürülebilirlik/iklimsellik), güvenlik tertibatı, EMI/EMC, güvenlik, işlevsellik, birlikte çalışabilirlik, kullanım kolaylığı ve ergonomi.

Hindistan’da UIDAI tarafından onaylı kayıt şirketlerinin çoğu Cross Match aygıtlarını kullanmaktadırlar. Cross Match aynı zamanda, Eylül 2010’da UID programı kapsamında geçici onay alan ilk şirket olmuştu. Bu arada Cross Match’ın « Guardian » ve « I SCAN » aygıtlarını tanıtan video görüntüsü UIDAI’nin resmi sitesinden kaldırıldı.

Fransisco Partners şirketi

2012 yılında Francisco Partners, Cross Match Technologies’i satın aldı [8]. Şirketin dünya genelinde 5 000 müşterisi var ve 80’den fazla ülkede kullanılan 250 000’den fazla ürün üretti. Cross Match’ın müşterileri arasında, birçok yabancı hükümet ve güvenlik gücünün yanı sıra, ABD Savunma Bakanlığı, Dışişleri Bakanlığı ve ayrıca çeşitli eyalet yönetimleri ve yerel otoriteler bulunuyor. Cross Match aynı zamanda mali hizmetler alanında olduğu kadar eğitim ve sağlık sektöründe de temel altyapıyı korumak için değişiklik arayışı içerisinde olan müşteri için biyometri çözümleri de sunmaktadır.

Fransisco Partners şirketinin müşteri portföyü içerisinde NSO Group adında İsrailli bir siber silah satıcısı şirket de yer almaktadır [9]. Şirket tarafından geliştirilen « Pegasus iOS » adlı zararlı yazılım, bir yandan Birleşik Arap Emirliklerinden etkin bir militanın ve diğer yandan bir Meksikalı gazetecinin iphone’lara yönelik olarak gerçekleştirilen saldırılarla bağlantılıydı [10].

Toronto Üniversitesi’nin « Citizen lab »’na ve Lookout gezici güvenlik şirketine bağlı araştırmacılar, İsrail’in en iyi istihbarat örgütlerinden gelen bir öğrenci tarafından kurulan, hükümetin casus yazılım tedarikçisi NSO Group’un etik anlayışını sorgulamaya başladılar [11]. Fransisco Partners bu şirkete 2014 yılında 120 milyon dolar tutarında yatırım yaptı. Citizen lab NSO’nun Pegasus zararlı yazılımının bir Meksikalı gazeteci ve Birleşik Arap Emirliklerindeki bir militanın iphone’larını hedeflediğini ifşa etti. Aynı gün Forbes dergisi Fransisco Partners’in yatırım listesini yine İsrail tarafından finanse edilen SS7 olarak adlandırılan ve küresel telekomünikasyon şebekesi unsurlarını hacklemeye yönelik tartışmalı malzemeler satan bir gözetim şirketini de içine katacak şekilde genişlettiğini ortaya koydu [12]. Anlaşmaya yakın bir kaynak Forbes’e bunun özel yatırım şirketine 130 milyon dolara mal olduğunu açıkladı.

Casus hükümetler, militanlar ve gazeteciler

Fransisco Partners aynı zamanda gözetim amaçlı olarak Deep Packet Inspection adlı ürününü sattığı Türkiye’de de casusluk operasyonları yürüttü [13]. Deep Packet Inspection daha başlar başlamaz gözetim imkanı vermektedir. Birincil işlevi şebekede dolaşan veri « paketlerini » açmak ve dolaşımlarına izin verip vermemek için onları incelemektir. Kullanımının tartışmalı olması nedeniyle DPI daha şimdiden gazetelerin « manşetlerine » konu oldu. Örneğin Çin çok memnun olduğu DPI’yi kitlesel sansür ve gözetim amacıyla kullanmaktadır. Fransisco Partners’in önemli yatırımcıları arasında bulunan merkezi Kaliforniya Sunnyvale’de bulunan Blue Coat Systems adlı şirket, iç savaşın başlamasından itibaren DPI teknolojisinin Suriye’de 2011’de interneti filtrelediğini gördü. İnsan hakları savunucuları durumu kaygıyla izlerken, Blue Coat daha sonra bunun kendisinden ürünü alıp satanların suçu olduğunu ve bu teknolojinin söz konusu ülkeye sokulması için onay vermediğini söyledi. Hatta daha sonra bu işlemi yapan bir aracı Endüstri ve Güvenlik Bürosu (BIS) tarafından 2,8 milyon dolar tutarında rekor bir cezayla karşı karşıya kaldı [14]. Fransisco Partners aynı şekilde her ikisi de DPI ürünleri tedarikçisi Barracuda Networks ve Dell Software şirketlerinin hisselerini elinde bulunduruyor.

Biyometri sektöründe Aadhaar’ın öncüsü

Aadhaar programı özü itibariyle her bir yurttaşa özgü biyometrik ve demografik verileri temel almaktadır. Bu veriler ancak biyometrik aygıtların ve bunlara uygun programların kullanılmasıyla elde edilebilir: bu Aadhaar’ın değer zincirinin 2 ve 3ncü aşamalarıdır [15].

Cross Match şirketinin UID programı kapsamındaki Hintli ortağı Smart Identity Devices’tir (Smart ID) [16]. Smart Identity Devices ya da Smart ID şirketi, biyometri alanında bir öncü ve Aadhaar programının geliştirilmesi aşamasında lider şirket olmuştur. Smart ID biyometrik teknoloji olarak akıllı kartlar ve iletişim ve enformasyon, mali hizmetler, hükümet ve bilişim güvenliği hizmetleri gibi birçok sektörle ilgili ürünler sağlamaktadır. Smart ID’nin merkezi Hindistan Noida’dadır, ticari faaliyetlerine 2008 yılında başlamıştır ve Sanjeev Mathur tarafından yönetilmektedir. Şirketin tasarladığı aygıtlar Aadhaar programı kapsamında Hindistan genelindeki kayıt şirketleri tarafından kullanılmaktadır.

Smart ID tarafından geliştirilen ürün ve hizmetler, biyometrik düzeneklerden mobil telefon uygulamalarına, Aadhaar programının kullanımına ilişkin eğitim hizmetleri, proje yönetimi, bilişim barındırma hizmetleri, ticari temsilcilik yönetimi gibi alanları kapsamaktadır. Smart ID 2014 yılından itibaren Hindistan’da Jharkhand, Tamil Nadu, Odisha, Uttar Pradeş, Batı Bengal ve Madhya Pradeş’te kayıt faaliyetleri gerçekleştirebilecek durumdaydı. Smart ID şirketi şubeleri aracılığıyla 1,2 milyon yurttaşın kayıt altına alınmasına olanak sağladı. Temmuz 2011’de UIDAI Smart ID’yi çok kısa bir süre içerisinde 25 milyondan fazla yurttaşın kaydına olanak sağladığı için en iyi üç kurum arasına aldı.

Smart ID’ye ait « Patrol ID » adlı parmak izi tarama cihazının bedeli 2014 yılında 2 300 dolardı. Ve bu ekipmanlar tüm ülkede kullanılmaya başlandı. Bunun karşılığında CIA’nin örtülü şirketinin Hindistan Hükümetinden ne kadar para aldığını merak ediyoruz. UIDAI’nin CIA’nin tuzaklı aygıtlarından ülke çapında 10 000 adet yerleştirdiğini varsayalım (ki bu çok ihtiyatlı bir tahmindir), bu 1 473 554 800 Rupi gibi devasa bir tutar anlamına gelecektir.

CIA ajanları Aadhar veri tabanına gerçek zamanlı olarak nasıl ulaşıyorlar?

CIA’nin düzenlediği siber saldırıların bir bölümü yakın gözetim amacıyla tasarlanmıştır. Bu yöntem internete bağlı olarak çalışmayan, polisin veri tabanı gibi yüksek güvenlikli bir şebekeye sızma imkanı tanımaktadır. Bu durumda emirle hareket eden CIA subayı ya da ajanı veya bağlı bir istihbarat biriminin subayı belirlenen çalışma mekanına fiziki olarak sızar. Hacker’a önceden hedef bilgisayara yerleştirilecek olan ve bu amaçla CIA tarafından geliştirilen zararlı yazılım içeren bir USB anahtarı verilir. Hacker bu yolla verilere virüs bulaştırır ve bunları taşınabilir aygıta aktarır. Örneğine CIA tarafından üretilen Fine Dining adlı saldırı sistemi CIA ajanlarının kullanabileceği 24 yalancı yem sağlar [17]. İşin uzmanı olmayanlar için ajan video görüntüsü (örneğin: VLC) ya da diapozitif (Prezi) görüntüleme programı başlatıyormuş ya da bir bilgisayar oyunu (Breakout 2, 2048) oynuyormuş ve hatta sahte bir anti-virüs programı (Kaspersky, McAfee, Sophos) başlatıyormuş gibi görünür. Bu arada ekranda yalancı yem uygulaması görünürken, arka planda çalıştırılan program sistematik bir şekilde saldırıya uğrar ve virüs bulaştırılır.

Fine Dining sistemi bir soru formu, yani CIA ajanlarının doldurduğu bir sayfa içermektedir. Söz konusu form CIA’nin Operasyon Destek Müdürlüğü (DSO) tarafından özel operasyonlar kapsamında korsan saldırıları (genellikle bilgisayar sistemlerinden gelen verilerin « dışarı sızdırılması ») mümkün kılabilmek için ajanların taleplerini teknik gerekliliklere dönüştürmede kullanılmaktadır [18]. Anket formu DSO’ya mevcut araçları operasyona uygun olarak nasıl uyarlayabileceği konusunda bilgilendirmekte ve CIA’nin casus yazılımların parametrelerini hazırlamakla görevli ekibe bunun iletilmesi imkanı vermektedir. Böylece DSO, CIA’nin operasyonel personeli ile teknik personeli arasında aracı ofis işlevi görmektedir.

Potansiyel hedeflerin tamamı arasında « faal olanlar », « faal irtibatçılar », « sistem yöneticileri », « gizli istihbaratlar », « yabancı istihbarat kurumları », « yabancı hükümet oluşumları » yer almaktadır. Hiçbir zaman aşırılık yanlılarından ya da uluslararası katillerden söz edilmemesi dikkat çekicidir. Aynı şekilde « ajandan », bilgisayar tipi, kullanılan işletim programı, internet bağlantısı ve kurulu anti-virüs programları olduğu kadar, dışarıya sızdırılacak dosya türlerine ilişkin, Office belgeleri, ses dosyaları, video dosyaları, görüntü dosyaları ya da özel dosya tipleri gibi bilgileri içeren bir listeyle hedefin çevresine ait ayrıntıları belirtmesi istenmektedir. Söz konusu « menü » aynı şekilde şu tür bilgileri de istemektedir: hedefe düzenli olarak erişim mümkün mü? Bilgisayara ne kadar süre boyunca erişim sağlanamayabilir? Bu bilgiler, operasyona özel ihtiyaçları karşılamak için bir casus yazılım kitinin yapılandırılması için CIA’nin « JQIMPROVISE » adlı programı tarafından kullanılmaktadır.

Sayfanın altında, adım adım yönlendirerek sizi Aadhaar’a kayıt etmek üzere Cross Match’ın kurulum ve yapılandırılmasını gerçekleştirmenizi sağlayacak olan resmi eğitim el kitabını bulacaksınız. Bu el kitabında aynı zamanda UIDAI’nin yönetim portalından indirdikten sonra referans verilerini yüklemek için atılacak adımlar tanımlanmaktadır.

Manu Joseph’in Live mint’te yayınlanan bir makalesinde altını çizdiği gibi Aadhaar ve El Kaide sözcüklerinin aynı anlama geldiği ve veri tabanı demek olduğunu tespit etmek şaşırtıcıdır [19]. Buna ayrıca Aadhaar ve El Kaide’nin aynı annenin gayrimeşru oğulları olduğu bilgisini de ekleyebiliriz!

Çeviri
Osman Soysal
Kaynak
Great Game India (Hindistan)

[1Vault 7: Projects. ExpressLane”, Wikileaks, 24 Ağustos 2017.

[2Teknik Hizmetler Bürosu CIA’nin Bilim ve Teknoloji Müdürlüğü’ne bağlıdır. 50’li yıllarda söz konusu büro, sorgulamalar sırasında bilgi alabilmek için uyuşturucu, kimyasal ürün, hipnoz ve duyumsal tecrit kullanımı üzerine çalışıp deneyler yaptı. Bakınız Spycraft : The Secret History of the CIA’s Spytechs, from Communism to al-Qaeda, Robert Wallace & H. Keith Melton, Dutton, 2008.

[3Cross Match official website.

[4Cross Match’s SEEK II may have identified bin Laden”, Homeland Security News Wire, 9 Mayıs 2011.

[5Aadhaar Hindistan’da ikamet eden herkese biyometrik ve demografik verileri dikkate alınarak verilen 12 sayıdan oluşan kişiye özel bir kimlik numarasıdır. Bu veriler Unique Identification Authority of India (UIDIA) tarafından toplanmaktadır.

[6Tenprint Livescan”, Cross Match, consulted 24 Ağustos 2017.

[7Portable Jumpkits”, Cross Match, consulted 24 Ağustos 2017.

[8Francisco Partners Acquires Biometrics Provider Cross Match Technologies”, Francisco Partners, 16 Temmuz 2012.

[10Wikileaks CIA Mega-Leak Implicates US And UK Spies In Deep iPhone Hacks”, Thomas Fox-Brewster, Forbes, 7 Mayıs 2017.

[11The Million Dollar Dissident: NSO Group’s iPhone Zero-Days used against a UAE Human Rights Defender (6 bölüm), Bill Marczak & John Scott-Railton, Citizen Lab, 24 Ağustos 2016.

[12For $20M, These Israeli Hackers Will Spy On Any Phone On The Planet”, Thomas Fox-Brewster, Forbes, 31 Mayıs 2016.

[13Is An American Company’s Technology Helping Turkey Spy On Its Citizens?”, Thomas Fox-Brewster, Forbes, 25 Ekim 2016.

[15Looking behind the Aadhaar Curtain”, Unitus Seed Fund, 4 Nisan 2014.

[17Fine Dining Tool Module Lists”, Wikileaks, 24 Ağustos 2017.

[18Operational Support Branch (OSB)”, Wikileaks, 24 Ağustos 2017.

[19When you give your biometrics to Modi”, Manu Joseph, Live Mint, 7 Nisan 2017.