Avrupa Birliği, ABD'nin yasal erişiminden kurtulmak için milyarlarca Euro'luk yatırımla kendi egemen bulut sistemlerini kuruyor. Ancak bu büyük çabaya rağmen, çoğu Avrupa veri merkezi ve bulut operatörü hala Intel veya AMD işlemcilere güveniyor. İşte tam da bu noktada, “işlemcinin içindeki işlemci” olarak bilinen yönetim motorları, yani Intel ME (Management Engine) ve AMD PSP (Platform Security Processor) kritik bir güvenlik açığı oluşturuyor. Bu durum, Avrupa'nın dijital bağımsızlık hayallerini ciddi şekilde sekteye uğratıyor.
İşlemcinin Gizli Beyni: ME ve PSP Nedir?
Her modern Intel işlemcinin içinde Yönetim Motoru (ME), daha doğrusu Birleşik Güvenlik ve Yönetim Motoru (CSME) bulunuyor. AMD işlemcilerde ise bu görev Platform Güvenlik İşlemcisi (PSP) tarafından üstleniliyor. Güvenlik araştırmacılarının "Ring -3" olarak adlandırdığı bu bileşenler, işletim sisteminin, hatta hipervizörün bile altında, ayrıcalıklı bir seviyede çalışıyor. Yani ana sistemin göremediği veya izleyemediği, bağımsız bir bilgisayar gibi işlev görüyorlar.
Bilgisayar Mimarileri Profesörü John Goodacre, bu durumun pratik anlamını şöyle açıklıyor: "ME, kendi belleğine, kendi saatine ve kendi ağ yığınına sahip. Ana sistemin MAC ve IP adreslerini paylaşabildiği için, ürettiği trafik güvenlik duvarı tarafından ana sistem trafiğinden ayırt edilemiyor." CSME, Platform Kontrol Merkezi'ne gömülü ayrı bir mikrodenetleyici olarak, ana sistemden bağımsız çalışıyor; doğrudan bellek, cihaz erişimi ve ağ bağlantısı gibi özelliklere sahip. Ana işletim sistemi bunları izleyemiyor.
Görünmez Tehdit: Güvenlik Açıkları ve Casusluk Potansiyeli
Intel'in ME aracılığıyla etkinleştirdiği uzaktan yönetim özelliği olan AMT (Active Management Technology), yapılandırılmış cihazlarda en az TCP 16992, 16993, 16994 ve 16995 numaralı bağlantı noktalarını açıyor. Bu bağlantı noktaları, yöneticilerin uzaktan klavye-video-fare yönlendirme, depolama yönlendirme, Serial-over-LAN (SOL) ve güç kontrolü gibi işlevleri kullanmasını sağlıyor. Bu yeteneklerin meşru kullanımları olsa da, aynı zamanda Avrupa'nın egemenlik çerçevelerinin denetleyemediği bir güvenlik açığı yaratıyor.
Microsoft, 2017'de PLATINUM adlı bir ulus devlet aktörünün, Intel'in SOL özelliğini gizli veri sızdırma kanalı olarak kullandığını belgeledi. SOL trafiği, Yönetim Motoru ve NIC yan bant yolu üzerinden, ana sistemin TCP/IP yığını çalışmadan önce ME'ye ulaşıyor. Bu sayede ana güvenlik duvarı ve uç nokta algılama sistemleri hiçbir şey göremiyor. PLATINUM, bir güvenlik açığını değil, AMT'nin etkinleştirilmesi ve kimlik bilgilerinin elde edilmesiyle bir özelliği kullanmıştı. Hatta bazı durumlarda bu kimlik bilgileri, varsayılan "admin" şifresiydi.
Goodacre'ın risk değerlendirmesine göre, kurumsal ağlara ME'si el değmemiş bir cihaz bağlamak, "kuruluşu ana güvenlik yığınını tamamen devre dışı bırakan bir uzlaşma sınıfına maruz bırakıyor." Ayrıca, cihaz "kapalı" görünse bile ME çalışmaya devam ediyor. Modern hafif dizüstü bilgisayarlarda "Modern Bekleme" olarak bilinen bu durum, cihazın tamamen güçsüz kalmadığı anlamına geliyor. ME'nin çalıştığı sistem-üzeri-çip bileşenleri düşük güç modlarında kalıyor ve haftalar içinde pilin bitmesine neden olabiliyor. Bu da cihazın, kullanıcının haberi olmadan düşmanca bir ağa bağlanabileceği anlamına geliyor.
ABD Yasaları ve Avrupa'nın Kör Noktası
ABD'nin 2018 tarihli CLOUD Yasası, Amerikan makamlarına ABD şirketleri tarafından tutulan verilere erişim konusunda yargı yetkisi tanıyor. FISA Bölüm 702 ise istihbarat teşkilatlarının ABD'li kişileri ve şirketleri iletişimlere erişim sağlamaya zorlamasına olanak veriyor. Ancak daha az bilinen RISAA 2024 (Reforming Intelligence and Securing America Act) Yasası, bambaşka bir kapı açıyor.
RISAA, FISA'nın "elektronik iletişim hizmet sağlayıcısı" tanımını genişleterek donanım üreticilerini de kapsama aldı. Bu, Intel ve AMD gibi şirketlerin, gizli emirlerle ABD istihbaratına erişim sağlamak zorunda kalabileceği anlamına geliyor. Bu erişimin kullanılabileceği mekanizma ise Yönetim Motoru. Yani ana işletim sisteminin göremediği veya engelleyemediği, sürekli çalışan, ayrıcalıklı ve ağa bağlı bir yazılım. Fransa'nın katı SecNumCloud sertifikasına sahip bir operatör, Amerikan veri taleplerinden yasal olarak izole edilebilirken, sunucularının içindeki işlemci bu durumdan muaf kalıyor.
Sunucularda Durum Daha mı Farklı?
Sunucu donanımında da durum benzer. Intel ME, sunucularda "Server Platform Services" (SPS) adıyla çalışıyor ve veri merkezi donanımlarında standart olan uzaktan yönetim denetleyicisi BMC (Baseboard Management Controller) buna dayanıyor. EURECOM'dan güvenlik araştırmacısı Profesör Aurélien Francillon, sunucular için BMC'nin daha büyük bir endişe kaynağı olduğunu belirtiyor. BMC'deki güvenlik açıklarının uzaktan istismar edilmesinin, bir sunucunun yeniden kurulmasına veya tamamen ele geçirilmesine yol açabileceğini gösteren araştırmalar mevcut. BMC, sunucu donanımında SPS'ye birincil ağ giriş noktası olduğu için hem en çok maruz kalan arayüz hem de en kritik olanı.
Avrupa'nın Egemen Bulut Hayali, İşlemcinin Gizli Kapısıyla Çöküyor
Avrupa'nın egemen bulut girişimlerine yapılan 2 milyar Euro'dan fazla yatırım, ABD merkezli işlemcilerin içerdiği gizli yönetim motorları nedeniyle ciddi bir kör noktaya sahip. Bu durum, Avrupa'nın kendi dijital bağımsızlığını sağlama hedefini, denetlenemeyen bir donanım katmanının insafına bırakıyor.