Facebook, Bir Suç Makinesinin Yakalanması için FBI’a Yardım Etti Ama…

Facebook, FBI tarafından aranan çocuk istismarcısının yakalanması için bir teknoloji firmasına Linux işletim sisteminin güvenlik odaklı versiyonunda güvenlik açığı oluşturması için yardım etti. Linux’un güvenlik açığı oluşturulan versiyonunu temsil eden Tails’in geliştiricileri, sessiz sedasız yürütülen operasyondan haberdar bile olmadı. Sosyal medya şirketi Facebook böylece, federal ajanlara bir suçlunun yakalanması için arka kapı oluştururken, güvenlik sektöründeki kuralları da bir nevi ihlal etmiş oldu.

Basına verilen bilgiye göre FBI ile iş birliği yapılarak yakalanan suçlu, yıllarca genç kadınları taciz etmek için popüler sosyal medya ağı Facebook’u kullandı. ABD’nin batısındaki Kaliforniya eyaletinde yaşayan ve 2017’nin Ağustos ayında yakalanan suçlu, aleyhine yöneltilen 41 suçlamadan ceza alması halinde muhtemelen hayatının geri kalanını hapiste geçirecek.

Facebook üzerinde “Brian Kil” adlı sahte adı kullanan suçlu, yıllar boyunca yüzlerce çocuğu şantaj ile tehdit etti. Zamanla, sadece Facebook’un değil, FBI’ın da peşine düştüğü bir isim haline geldi.

Brian Kil adını kullanan şahsın yıllarca yakalanmasına engel olan sebep ise yüksek gözetim altındaki kişilerin bile gizlenmesini sağlayacak güvenlik altyapısına sahip Tails kullanmasıydı. Tails, kullanıcıların trafiğini anonim kılan açık kaynaklı Tor tarayıcısı ile kullanıldığında, bir kişiyi takip etmek mümkün olmuyor. FBI, bir keresinde suçlu kişinin bilgisayarına siber saldırı düzenlemeyi başardı, ancak “saldırı Tails’e uygun olmadığı için” başarısız oldu. Sonrasında, suçlunun kendisi FBI’a art arda mesajlar atarak federal ajanlara meydan okudu.

İkilem…

Facebook’un devreye girmesi ile suçlunun reşit olmayan kızlara gönderdiği otomatik mesajları saptayan bir sistem kuruldu ve hareketlerini takip eden bir ekip oluşturuldu. Ardından, bir teknoloji firmasına yüz binlerce dolar ödenerek Tails üzerinde bir sıfır gün saldırısı tespit etmeleri sağlandı. Tespit edilen güvenlik açığı sayesinde, Tails’in video oynatıcısı üzerinden görüntüleri izleyen kişinin gerçek IP adresi tespit edilebildi. Basına verilen bilgilere göre sıfır gün saldırısı aracı bir kurum ile FBI‘a ulaştırıldı. FBI ardından, suçlunun taciz ettiği kızlardan birinin hesabını kullanarak hedefe bir video gönderdi.

Suçlu ele geçirilirken, olayda Facebook’un hangi ölçekte yer aldığı ve yapılan işlemin hassasiyetine yönelik tartışmalar da baş gösterdi. Özellikle muhabirler, bilgi sızdıranlar, zorbalık mağdurları ve siyasi aktivistleri korumak için geliştirilen Tails’in başka bir firma tarafından ifşa edilmesi de sektörü etik değerlere dair ikilemde bıraktı. Tartışmalar büyüyor…

Facebook, söz konusu operasyonda Tails’i güvenlik açığından haberdar etmeyerek sektörde standart kabul edilen bildiri geleneğini de ihlal etti. Dahası, güvenlik açığına yönelik yama oluşturulması adına Tails’in daha sonra da uyarılmadığı, hatta Facebook’un zafiyetin fark edildiğine dair Tails geliştiricilerine bilgi bile vermediği belirtildi.

Facebook: “Son çareydi…”

Konu hakkında açıklamada bulunan Facebook çalışanları, alınan kararın “son çare” olduğunun altını çizerken bir suçlunun neden olduğu zararı en aza indirmek için maliyet ve zamandan kazanıldığı belirtildi.

Yaşanan olay, ABD Adalet ve Ulusal Güvenlik Bakanlığı‘nın teknoloji firmalarına ürünlerinde “gözetim için arka kapı oluşturmaları” için baskı yaptığı bir dönemde gerçekleşti. Bu talep, ABD hükümetinin özel iletişimler üzerinde dev bir denetleme kurmasına neden olacağı gibi arka kapıyı sağlayan araçların anahtarlarının siber korsanların eline geçmesi, siber güvenlik risklerini de gündeme getirebilir.

ABD Kongresi, şirketler için bu uygulama altında belirlenecek standartlar ve uygulanmamaları halinde verilecek cezaları belirlemek için bir komisyon kurulmasını planlıyor.

FBI’ın Tails sıfır gün saldırısında olduğu gibi benzer bir işlemi başka operasyonlarda yapıp yapmadığı veya güvenlik açığını diğer federal ajanslarla paylaşıp paylaşmadığı bilinmiyor.