Bir Klavye Gecikmesi, Bir Güvenlik Gerçeği
110 ms’lik gecikme ve koca bir gerçeğin ortaya çıkışı
Haberi ilk okuduğumda açıkçası şunu düşündüm:
“Bunca zamandır EDR, SIEM, Zero Trust konuşuyoruz ama adamı klavyedeki 110 ms yakalatmış.”
Amazon’da yaşanan olay aslında çok çarpıcı ama bir o kadar da öğretici. ABD’de uzaktan çalışan bir sistem yöneticisinin klavye girdilerinin normalden biraz fazla gecikmeli gelmesi, güvenlik ekipleri için bir kırmızı bayrak olmuş. Normal şartlarda ABD içindeki bir remote çalışanın klavye sinyalleri onlarca milisaniye içinde ulaşırken, burada 110 ms üzeri bir gecikme tespit ediliyor. İlk bakışta önemsiz gibi ama işin püf noktası tam da burada.
Çünkü bu gecikme, laptop’un gerçekten o lokasyonda kullanılmadığını, büyük ihtimalle başka bir ülkeden uzaktan kontrol edildiğini işaret ediyor. Nitekim olay derinleştirildiğinde, Amazon’a ait bir dizüstü bilgisayarın Arizona’da bulunduğu; ancak cihazın fiilen Kuzey Kore bağlantılı kişiler tarafından yönetildiği ortaya çıkıyor.
Buradaki en kritik cümle bence Amazon’un CISO’sundan geliyor:
“Eğer bu kişileri özellikle aramıyor olsaydık, asla bulamazdık.”
Bu cümle şunu söylüyor:
Güvenlik, sadece teknoloji değil; niyet ve farkındalık meselesi.
Amazon’un Nisan 2024’ten bu yana 1.800’den fazla Kuzey Kore bağlantılı sızma girişimini engellemiş olması tesadüf değil. Adamlar gerçekten bakıyor, gerçekten ölçüyor, gerçekten anormalliği ciddiye alıyor. Klavye gecikmesi gibi “çoğu yerde dashboard’a bile düşmeyecek” bir metriğin bile anlamlandırılması, olgun bir güvenlik yaklaşımının göstergesi.
Bir diğer ilginç nokta da şu:
Bu olay zero-day, exploit, advanced malware falan değil. Gayet “insani” hatalar ve fiziksel gerçekler var. Uzaktan kontrol edilen bir makine, ne kadar iyi gizlenirse gizlensin latency bırakıyor. Ağ topolojisi, proxy zinciri, VPN, jump host… Hepsi bir noktada fizik kurallarına takılıyor.
Ve evet, hâlâ klasik işaretler de geçerli:
Amerikan deyimlerinin yanlış kullanımı, İngilizce artikellerde yapılan hatalar, doğal olmayan iletişim kalıpları… Yani olay sadece network değil, davranış analizi.
Belki de asıl mesele şu: Güvenlik her zaman büyük alarmlarla gelmiyor. Bazen kimsenin bakmadığı bir metrikte, kimsenin umursamadığı bir gecikmede kendini ele veriyor. Amazon bu vakada saldırganı yakaladı çünkü zaten böyle bir tehdidin var olabileceğini kabul etmişti. Bakılmayan yerde güvenlik olmuyor.
