Prof. Dr. Burak Berk Üstündağ: "Yazılımla eş zamanlı 5 bin cihazı patlatmak mümkün değil"

Lübnan’da gerçekleşen çağrı cihazlı saldırı, "Akıllı telefonlar ve diğer elektronik aygıtlar uzaktan patlatılabilir mi?” sorusunu gündeme getirdi. İstanbul Teknik Üniversitesi Bilgisayar Mühendisliği Bölümü Başkanı Prof. Dr. Burak Berk Üstündağ, “Binlerce telefonu alıp bir yazılım sayesinde eş zamanlı olarak patlatmak mümkün değil. Bunlar komplo teorilerinin de kalitesini düşürüyor” dedi.
Lübnan’da lityum iyon pil kullanılan binlerce çağrı cihazının eş zamanlı olarak uzaktan patlatılması sonucu 12 kişinin hayatını kaybetti, 300’ü ağır 2 bin 800 kişi de yaralandı. Yapılan saldırının ardından vatandaşların günlük yaşamlarında kullandığı lityum iyon pil ile çalışan akıllı telefonlar ve elektronik diğer cihazların güvenli olup olmadığı ile ilgili soru işaretleri oluştu. Konuyla ilgili açıklama yapan İstanbul Teknik Üniversitesi Bilgisayar Mühendisliği Bölümü Başkanı Prof. Dr. Burak Berk Üstündağ, “Binlerce telefonu alıp bir yazılım sayesinde eş zamanlı olarak patlatmak mümkün değil. Bunlar komplo teorilerinin de kalitesini düşürüyor” dedi.

“Çok karmaşık bir sistem değil. 1996 yılında ilk kez İsrail tarafından uygulanmıştı”
Dün yapılan saldırıyla ilgili olarak cihazların modifiye edilmiş cihazlar olduğunu belirten Prof. Dr. Üstündağ, “Öncelikle teknolojik cihazların aslında günümüzde farklı şekilde nasıl riskler oluşturabileceğini gösterdi. Ama diğer teknolojik bir müdahaleden ziyade bir istihbarat başarısı olarak bence gündemde. Çağrı cihazlarını uzun zamandır kullanıyorduk. Az sayıda vericiyle, hatta tek bir vericiyle bile bir gruba uzak noktalardan mesaj gönderebiliyorsunuz. Çağrı cihazları konusunda burada tedarik zincirinde bir istihbarat açığı gözüküyor Hizbullah tarafında. Yaklaşık 5 bin adet cihaz tedarik edilmeden önce bir aracı giriyor devreye. Ve cihazların standart yazılımı ile verilmesi yerine özel bir mesaj geldiği zaman onun ürettiği işaretle içerisindeki patlayıcıyı tetikleyecek modifiye edilmiş bir cihaz veriliyor. Çok karmaşık bir sistem değil. Hatırladığım kadarıyla 1996 yılında ilk kez İsrail tarafından uygulanmıştı. Hedefindeki kişiye cep telefonu hediye ediyor. O telefon kişiye eriştikten sonra bir mesaj ile bataryanın bir kısmına yerleştirilen patlayıcı harekete geçiyor ve hedefi imha etmeye yeterli oluyor” diye konuştu.
Çağrı cihazlarını bomba haline getirmenin karmaşık bir durum olmadığını söyleyen Üstündağ, “Buradaki seçilen ürün cep telefonu yerine ‘Pager’ dediğimiz çağrı cihazı. Bu cihazın bir farkı var, standart bildiğimiz cihazlar 1 santimetre kalınlığında fakat burada kullanılan cihaz uzun kullanıma uygun. Yaklaşık 80-85 gün tek şarj ile kullanılabiliyor. Çevre koşullarına, çarpma ve vurma gibi durumlara karşı da ayrıca dayanıklı. Bunun istihbarat açısından bir potansiyeli var. Bunun getirdiği de pil hacmi bildiğimiz çağrı cihazlarının iki katı civarında kalınlıkta. Bunun içerisine 5-10 gramlık bir patlayıcı koyduğunuz zaman bunun patlama etkisi 100 gramlık bir parçayı bir mermi hızına çıkarabilecek nitelikte. Dolayısıyla bildiğimiz pilin paketlemesinde bir değişiklik yapıp, içerisinde patlayıcı olan bir pille değiştirip yazılımda da bir değişiklik yaptığınız zaman, ki bu karmaşık bir kod değil. Şu kod geldiğinde şu çıkışı ver şeklinde bir değişiklikle bunu yapmak mümkün” şeklinde konuştu.

"Yazılımın içerisine sızarak eş zamanlı 5 bin tane telefonu patlatmak mümkün değil”
Saldırı sonrasında oluşturulan “Cep telefonlarımız da patlayabilir” algısının provokatif olabileceğini belirten Prof. Dr. Üstündağ, “Bunun karşılığında sorulan yaygın sorular var. ’Acaba cep telefonları uzaktan patlatılabilir mi?’ Bu komplo teorilerinin kalitesini de düşürüyor bence. Çünkü kullandığımız cep telefonlarının pilleri, özellikle yaygın markaların pilleri çok ağır koşullarda test ediliyor. Bunların içerisindeki donanımlar pilin kendi kendine özel bir durum olmadığı sürece ısınmasına, patlamasına el vermiyor. Hatta bunlar arabaların içerisinde unutulduğunda 70 dereceye kadar sıcaklıklara varıyor. O zaman bile patlamayacak şekilde tedbirleri alınıyor. Ama bazen imalat hataları olabiliyor ama o patlamalar da bu örnekte gördüğümüz gibi patlamalar değil. Dikkat ederseniz görüntülere delik açılan durumlar var plastik cisimlerde. Telefon patlaması ise daha çok yanma hadisesi şeklinde gerçekleşiyor. Kendinizden uzaklaştırmaya çalışıyorsunuz. Çok merak eden gider bir telefoncudan pil alır, onu kontrollü bir biçimde ateşe atar ya da kısa devre eder ve patlamaya çalışır. Dünkü görüntülerde gördüğümüz patlamanın bunlarla bir ilişkisi olduğunu düşünmüyorum. Bu yüzden de hemen ortaya çıkıp bunun teşhisini yapmadan bunu yaymaya çalışmanın toplumda provokatif etkisi var. Bu provokatif etkinin aynı zamanda belki de İsrail’e faydası var. Çünkü o da bir tehdit unsuru gibi sanki cebinde öyle bir silah var, canım istediğimde sizi de uzaktan patlatırım gibi bir imaj onların da hoşuna gidiyor olabilir. Dolayısıyla böyle komplo teorilerine prim vermemek gerekiyor. Hatta bunları yayanların bir tür provokasyona alet olduğuna dikkat etmek lazım. Öyle bir cep telefonu alıp, eş zamanlı olarak 5 bin tanesini bir yazılımın hacklenmesiyle patlatmak mümkün değil” ifadelerini kullandı.

“Dün çağrı cihazlarında yaşanan patlama, cihaza fiziksel müdahaleyi gerektiren bir olay”
Günlük yaşamda kullanılan cihazlardaki pillerin dün yaşanan saldırıdaki gibi patlamasının mümkün olmadığını söyleyen Prof. Dr. Üstündağ, “Dün yaşanan olay, iletişim cihazına fiziksel müdahaleyi gerektiren bir olay. Standart ticari olarak satılan bir cihazın öyle bir özelliği ve işlevi de yok. Çünkü telefonun içerisindeki piller, telefonu enerjilendirmek üzere pilden dışarıya doğru enerji verirler. Pilin patlatılabilmesi için ısıtılıp hızlı bir reaksiyon verdirilmesi lazım. Mevcuttaki piller hızlı reaksiyon gösterecek piller değil. Telefon çalıştığı sürece bir gün iki gün ya da çağrı alıcıda 80 gün olabilecek bir sürede enerji vermek üzere yavaş boşalmak üzere planlanmış pillerdir. Olsa olsa hızlı yanma hadisesinden dolayı yakın çevresine zarar verebilir ama bu nadir görülen bir olaydır. Bu kazalar aynı zamanda bunu destekleyici bir unsur olarak gösterilmemeli. Aksi takdirde herkes şunu düşünmeye başlar; bir batarya üreticisine gittim, elektrikli arabamı değiştirdim, acaba bu batarya beni patlatır mı? Ya da ucuz bir batarya aldım acaba içerisinde bir şey koydular mı, beni patlatırlar mı? Bir cihaz size odaklı üretilmemişse, hedef değilseniz patlayamazsınız. Bunu yapmanın maliyeti pil üretmenin maliyetinden çok daha yüksektir. Ticari amaçla bunu yapmazlar” dedi.
Türkiye’ye getirilen tüm elektronik cihazların Bilişim Teknolojileri Kurumu (BTK) tarafından incelendiğini belirten Prof. Dr. Üstündağ, “Türkiye’ye ithal edilen cihazların sertifikaları Bilişim Teknolojileri Kurumu (BTK) tarafından kontrol ediliyor. Gümrüklerimizde de kontrol ediliyor. Bu kamu kurumları ya da emniyet kurumları için başka bir şey. Onların tedarikleri için geçerli bir durum değil. Onlar tedarikçilerinde gereken özeni gösterdiğini düşünüyoruz” diye konuştu.

“Kamusal düzeni sağlayan otoritelerin kırılganlıkları kontrol altına alacak yatırımları yapmaları gerekiyor”
Teknolojideki gelişmelerin farklı hassasiyetler ortaya çıkardığını ifade eden Prof. Dr. Burak Berk Üstündağ, “Dünkü hadisenin akla getirmesi gereken başka bir şey var. Biz dünya savaşını topyekun ülkelerin birbirine saldırması olarak algılıyoruz. Ancak yavaş gelişen bir karmaşa durumu var. Sadece elektronik bir yöntemle patlayıcıların harekete geçirilmesi değil. Burada tabii detaylarını da dile getirmek istemediğim başta biyolojik yöntemler olmak üzere, şebekelerle insanlara, gruplara ve hatta tek bir insana ulaşılabilmesi mümkün. Kişiye özel virüslerin ortak şebekelerden yayılması mümkün. Ben burada çok detay vermek istemiyorum ama kamusal düzeni sağlayan otoritelerin geçiş döneminde olduğumuz düşük seviyeli savaşın sürekli bir hal almaya başladığı dönemde sivil taraftaki kırılganlıkları kontrol altına alacak yatırımları yapması gerektiğini düşünüyorum” şeklinde konuştu.

“Sistemine sızabilirseniz otonom bir arabaya kaza yaptırabilirsiniz”
Kontrol sistemlerinin siber güvenliğinin sağlanmasının hayati önemine vurgu yapan Prof. Dr. Üstündağ, “Radyo dalgalarıyla ya da elektromanyetik bir müdahale yapılabilmesi için bir kere odaklı bir enerji yayan güçlü bir sistemin olması lazım. Bunun ya kaynağının size yakın olması ya da o kadar güçlü olması gerekiyor ki kaynağının görünemez olması mümkün değil. Başka türlü tehditler olabilir. Bu tehditlerin başında kontrol sistemlerinin getirdiği proseslerden gelen tehditler var. Dünyada ilk siber saldırı olarak atfedilen Trans Sibirya boru hattının patlatılmasıydı. Boru hattı bir kontrol sisteminin yazılım zafiyetinden kaynaklandı. O kontrol sisteminin oraya satılmasını sağlayan Alman şirketi veya dolaylı aracısı ya da belki replikası günün birinde boru içerisindeki valflerin açma kapanma sürelerini öyle bir ayarladılar ki gaza sıkıştı ve gaz patlaması oldu. Dolayısıyla herhangi bir kontrol sürecinde kendi sürecinden kaynaklanan risklerini gerçekleştirebilirsiniz. Eğer sistemine sızıp yazılımında değişiklik yaptıysanız otonom bir araca kaza yaptırabilirsiniz. Ya da mesela buzdolabında siz yokken gıda zehirlenmesine yol açacak kadar bozulmasına, sonra da siz geldikten sonra sanki bozulmamış gibi çalışmasını sağlayabilirsiniz. Ama bunların hiçbiri dünkü olaydaki gibi öyle ekstra bir efor olmadan patlama gibi şeyleri yapmaz. Kendisi doğası gereği biyolojik riskler oluşturan tesisler ve nesneler için bu tabii farklı bir durum. Onları kontrol eden sistem ve yazılımların özel olarak kontrol edilmesi, siber güvenliğinin sağlanmış olması gerekir. Aksi takdirde diğer taraftan siber saldırı fiziksel hasar veren bir saldırıya dönüşebilir” dedi.

"Yerli üreticiyi kontrol etme imkanı daha yüksek"
Yerli üretimin önemine vurgu yapan Prof. Dr. Burak Berk Üstündağ, “Yerli üretimin önemi ortaya çıkıyor. Yerli üretici de hacklenebilir miydi? Evet ancak şöyle bir fark ortaya çıkıyor. Yerli üreticiyi kontrol etme imkanınız daha yüksek. Yerli üreticilerle ilgili yönetmelikler başta olmak üzere düzenlemeler yapmanız daha kolay. Örneğin BDDK, yıllardır bankaların yazılımlarının kaynak kodlarını ayrıca bir yerde depolatıyor ki gerektiğinde onlar üzerinde tespitler yapılabilsin. Ya da onları tedarik eden firma devre dışı kaldığında sürecin devamlılığında kesintinin önüne geçilebilsin. Aksi takdirde düşünebiliyor musunuz yüz binlerce kişi parasını çekemez hale geliyor. Türkiye’deki düzenleme otoriteleri yerli üretici kendi regülasyonları dahilinde iç hukuka uygun daha fazla tetkik etme imkanları var” açıklamalarında bulundu.