• Trump'ın Finansman Kesintileri ABD Çip Tedarik Zinciri Çalışmasını Tehlikeye Atıyor (spectrum.ieee.org)
    by durum_leyla     2 ay önce        0 Yorum     yaşam    


    • Trump'ın Finansman Kesintileri ABD Çip Tedarik Zinciri Çalışmasını Tehlikeye Atıyor
    Trump yönetiminin devlet harcamalarını azaltma çabalarının bir parçası olarak, ABD Savunma Bakanlığı, 360 milyon doları üniversitelere bağlı hibelere dahil olmak üzere, 580 milyon ABD dolarından fazla fonu geri çekti. Bu kesintiler, Başkan Trump'ın ulusal önceliklerle uyumlu olmadığını düşündüğü ulusal güvenlik odaklı araştırmalar da dahil olmak üzere, ülke genelindeki çok sayıda projeyi durma noktasına getirdi.

    Belirsiz süreliğine askıya alınan projeler arasında, Ulusal Savunma Yetkilendirme Yasası (NDAA) aracılığıyla finanse edilen ve ABD yarı iletken tedarik zincirindeki siber güvenlik açıklarını incelemeyi amaçlayan, Cornell Üniversitesi'nde yürütülen çok yıllı, 3 milyon dolarlık bir çalışma da yer alıyordu. Bu, Cornell'deki 75'ten fazla Savunma Bakanlığı tarafından finanse edilen proje arasında durdurma emri alanlardan biriydi.

    Bu araştırma, artan jeopolitik gerilimler ve küresel bir yapay zeka silahlanma yarışı arasında gerçekleştirildi. Çipler hem yapay zeka altyapısı hem de askeri sistemler için kritik öneme sahiptir. Tasarım yazılımı saldırıları ve fikri mülkiyet hırsızlığı gibi riskler anlaşılmadan, bazı uzmanlar bu çalışmanın durdurulmasının, çip tedarik zincirini sabotaja açık bırakabileceği ve ABD'nin ekonomik ve ulusal güvenliğini tehdit edebileceği konusunda uyarıyor.

    Cornell'de hükümet profesörü ve üniversitenin Teknoloji Politikası Enstitüsü direktörü Sarah Kreps, araştırmaya liderlik etti. IEEE Spectrum ile yaptığı bir görüşmede Kreps, ekibinin incelemeyi amaçladığı konuları, projenin nasıl durdurulduğunu ve çip tedarik zincirinin güvenliğinin her zamankinden daha acil neden olduğunu açıkladı. Aşağıdakiler, uzunluk ve netlik açısından düzenlenmiştir.

    Sarah Kreps:

    Araştırmasının kökeni

    Çip tedarik zincirinin güvenlik açıkları

    Fon kesintilerine tepkisi

    Bu proje nasıl ortaya çıktı?

    Sarah Kreps: Yaklaşık iki yıl önce, Micron, Cornell Teknoloji kampüsüyle iletişime geçti. Syracuse yakınlarında 100 milyar dolarlık bir üretim tesisi inşa ediyorlardı ve tüm tedarik zincirlerinin güvenliği konusunda endişeliydiler. Güvenlik açıklarının nerede olduğunu ve dolayısıyla bunların nasıl giderileceğini anlayacak zihinsel kapasiteye veya dahili uzmanlığa sahip olmadıklarını söylediler.

    Cornell Teknoloji, bunun kendi başlarına üstesinden gelemeyecekleri disiplinler arası bir proje olduğunu söyledi, bu yüzden bize ulaştılar. Çalışmalarım, ulusal güvenlik odağıyla ortaya çıkan teknolojilere -yapay zeka, yarı iletkenler- odaklanıyor ve bu da Micron'un, özellikle de nihayetinde Savunma Bakanlığı'nın müşterisi olan çiplerle en çok ilgilendiği şeydi. Proje hakkında tek sayfalık dokümanlar hazırladık ve sonunda 2025 NDAA'ya girdi. Nihayet Aralık 2024'te hibeleri aldık ve çalışma 2025 takvim yılı boyunca yürütülecekti.

    Neden bu kadar acil hissettiniz?

    Kreps: Yapay zeka patlaması gerçekten başlarken buna başladık. 2018'den beri yapay zeka alanında çalışıyorum, ancak tamamen hızlandı. Yapay zekanın jeopolitiği önemlidir. Küresel yapay zeka lideri olma hedefiniz varsa, alt yapısını güvence altına almalısınız.

    Sorunun bir kısmı, altyapının çok çekici olmamasıdır. Hafife almak kolaydır. Ancak yapay zekada lider olmak, ulusal güvenlik ihtiyaçlarını karşılamak ve yerli üretim hedeflerini gerçekleştirmek istiyorsanız, dirençli bir tedarik zincirine ihtiyacınız vardır. Erken çalışmalarımız henüz orada olmadığımızı gösterdi.

    Araştırmanın kapsamı neydi ve neyi başarmayı umuyordunuz?

    Kreps: Bir yıllık bir pencereye oldukça fazla işi sıkıştırıyorduk. Savunma yarı iletken tedarik zincirindeki temel güvenlik açıklarını ele alan üç aşama vardı.

    İlk aşama, malzeme ve bilgi ağlarını haritalamayı içeriyordu: tedarik zinciri direncini değerlendirmek için kritik düğümleri, darboğazları ve yedeklilikleri belirlemek. Malzeme tarafı üretim bağımlılıklarını izlerken, bilgi tarafı veri akışlarını, güvenlik protokollerini ve hırsızlığı veya kesintiyi önlemek için alternatif iletişim yollarını inceledi.

    İkinci aşama, siber güvenlik açısı getirdi. Test sonuçlarına göre güvenlik açıklarını ve yüksek riskli düğümleri belirlemek için wafer fab ve litografi gibi önemli üretim aşamalarına nüfuz ve stres testi yapacaktık.

    Sonbahar dönemindeki üçüncü aşama, bulguları ağ simülasyonları ve masa üstü alıştırmaları aracılığıyla entegre edecekti. Bu, kesintilerin nasıl yayıldığını modelleyecek, malzeme ve bilgi akışlarının çift güvenlik açıklarını analiz edecek ve azaltma stratejilerini test edecektir. Risk senaryolarını doğrulamak ve politika önerilerini şekillendirmek için endüstri, hükümet ve akademik paydaşları dahil edecektik. Sonunda, Kongre'ye bu bulguların hem gizli olmayan hem de gizli bir sürümünü borçluydük.

    Ayrıca bir kavram kanıtıyla başlıyorduk - İsrail-Hizbullah sayfalama saldırıları ve Stuxnet gibi analoji kullanım ve kötüye kullanım durumlarına bakmak. Modellediğimiz risk türlerinin gerçek dünya örneklerini göstererek tehdit ortamının gerçekten nasıl göründüğünü anlamak fikriydi. Bu, geliştirdiğimiz bir tehdit tipolojisinin temelini oluşturdu.

    Hangi güvenlik açıklarını ortaya çıkarıyordunuz ve erken bulgular neler ortaya koydu?

    Kreps: Mart ayı ortasında bir durdurma emri aldık, bu yüzden hala projenin ölçeklendirme aşamasındaydık - ekibi bir araya getirmek, laboratuvarı kurmak, donanımı kurmak. Siber test menzilini kurmak için birkaç yüz bin dolar değerinde gelişmiş sunucu ve hesaplama harcadık.

    Erken bulgulardan biri, tedarik zincirinin farklı bölümlerinin kendi güvenlik açıklarını ne kadar az anladığı, hatta kendi tedarik zincirlerinin nasıl göründüğünü bilmedikleriydi. Üçüncü kademe tedarikçileriniz kimler bilmiyorsanız, güvenlik açıklarının neler olduğunu anlayamazsınız. Durdurma emrimizi aldığımız hafta, ne bildiklerini, ne bilmediklerini ve ne bilmediklerini bilmediklerini haritalandırmaya başlamak için Boise'deki Micron'ı ziyaret etmemiz gerekiyordu. Ama gidemedik.

    Her gün saldırı altında oldukları ve bu tehditleri sistematik olarak değerlendirmek ve azaltmak için uzmanlığa sahip olmadıkları açık.

    Tedarik zincirindeki bazı gerçek dünya siber risklerinden bahseder misiniz?

    Kreps: Bundan kaynaklanabilecek göz alıcı sayıda olası saldırımız var. Tasarım aşamasında, yukarı akışta, fikri mülkiyet hırsızlığı veya donanım Truva atları ekleyebilirsiniz. Rakibiniz, klonlanmış veya sabote edilmiş çiplere yol açabilecek kötü amaçlı bir şeyi ön uçtaki yazılıma koyabilir.

    Sık sık deniz aşırı ülkelerde (Tayvan, Güney Kore, Çin) bulunan üretim aşamasında, dökümhanenin kendisi tehlikeye girebilir. Yazılımın doping seviyelerini değiştirdiğini veya tasarımcı bilmeden gizli işlevler yerleştirdiğini hayal edebilirsiniz. Bu, sabotaja, düşük verimli üretime veya çalışmayan çiplere yol açabilir.

    Fab sonrası test ve montaj sırasında, yükleniciler ince değişiklikler getirebilir - dağıtım sonrasında tespit edilmesi zor olan bellenim veya test ortamlarındaki kötü amaçlı kod. Araç zinciri aşamasında, çipleri enfekte edebilecek tasarım yazılımındaki kötü amaçlı yazılım riskleri vardır. Bu araçlar genellikle sahada güncellenir, bu da başka bir saldırı vektörü haline gelir.

    Paketleme ve dağıtım sırasında son kilometreye kötü amaçlı güncellemeler eklenebilir. Ve daha sonra, uyku halindeki kodun bir çipin gelecekte devre dışı bırakılmasına izin verebileceği fikri var - uzaktan kapatma düğmesi türündeki riskler. Bunların hepsi gerçek endişeler.

    Fon kesintisine tepkiniz neydi ve ekibinizi nasıl etkiledi?

    Kreps: Açıkçası, şaşırdım. DOGE'nin ilk haftalarında, bir kurşundan kurtulduğumuzu hissettik. Projenin ulusal güvenlik için çok merkezi olduğunu ve ülkeyi önemseyen herkesin bu tür bir çalışmayı durdurmanın kendi ayağınıza ateş etmek olduğunu göreceğini düşündük. Ancak Mart ayı ortalarına kadar, yükseköğretimle ilgili siyasi sonuçların çapraz ateşine yakalandık - Cornell'den 1 milyar dolar çekildi.

    Projedeki doktora öğrencilerinin hemen çalışmayı durdurması gerekti çünkü destekleri hibelere bağlıydı. Bazı idari yardımımız, lisans öğrencilerimiz vardı ve bunların hepsi gitti. Bu gerçekten üniversitelerden endüstriye kadar olan fonlama ve eğitim hattını düşündürdü.

    Bu programlardaki öğrenciler genellikle SpaceX, Micron ve ASML'de çalışmaya devam ediyorlar. Şu anda ABD ekonomisi ve ulusal güvenliği için çok merkezi olan bu endüstriler, eğitim hatlarını kaybedecekler. Bunun gerçek bir sorun olduğunu düşünüyorum. Federal hibeler bu eğitimi mümkün kılan şeydir. Bunları keserseniz, sadece araştırmayı bozmakla kalmaz, üç ila beş yıl içinde ortaya çıkacak olan ulusal güvenlik ve havacılık alanında bir yetenek açığı yaratırsınız.

    Fonların yeniden sağlanması olasılığı var mı?

    Kreps: Birkaç farklı açıdan çalışıyoruz. Ancak bu, yönetim düzeyinde bir karardı, bu nedenle Cornell'in tek taraflı olarak değiştirebileceği bir şey değil. Örneğin Columbia, fonlamayı yeniden başlatmak için karşılaması gereken bir şartlar listesi aldı. Biz buna benzer bir şey almadık, bu da daha zorlaştırdı.

    Projenin devam edeceğinden iyimser misiniz?

    Kaydol ya da oturum aç

    Yorumlar