Muhtemelen başlığı okuyunca aklınıza kuyu kazan insan tiplemeleri geldi ya da belki biraz kafanız karıştı. Şimdi bir saniyeliğine bir adam düşünün. Elinde bizim ihtiyacımız olan bir güç var ve biz o gücü kullanmak istiyoruz. Fakat bu adamın bir zaafı var: Kedileri çok tatlı buluyor. Kafanızı iyice karıştırabildiysem devam ediyorum. Elimdeki en tatlı kedi videosunu adamın sürekli ziyaret ettiği bir siteye yüklüyorum ve bum!.. Tek bir tıklamayla adamın bilgisayarındayım. Artık bilgisayardaki güç elimde olduğuna göre adamın işi gereği kontrol ettiği kameralardan ihtiyacım olanı kapatabilir ve soygun planımın “Arkanda asla iz bırakma” prensibini gerçekleştirebilirim. Dürüst olmak gerekirse ben de sizin gibi bu işlerin biraz önce atıfta bulunduğum Ocean’s 8 filmindeki gibi kolay olmadığının farkındayım çünkü önemli şirketler bu tehlikenin farkında ve olası bir siber saldırıya karşı önlem almayı akıl edebilecek durumdalar yalnız sıradan bir insan için aynı şeyi söyleyemeyeceğim.
“Açığınızı yakalayanlar” grubunu inceleyecek olursak burada gönderme yaptığım kişiler hacker’lardan bir başkası değil. ”Hack” kelime anlamı olarak kırmak, kesmek, parçalamak demektir. Dolayısıyla hacker’lar da veriyi amacı dışında kullanmaya çalışan, bilgi güvenliğini sağlayan şifreleri kıran kişiler olarak değerlendirilebilir. Yalnız buradan tüm hacker’ları kötü sınıfına sokamayacağımızı fakat her iyi hacker’ın da kafasında tilkilikler dolandığına dair güçlü argümanların bulunduğunu belirtmek isterim.
Figür 1: Deep Web ve Dark Web
Durumu biraz daha iyi anlamak için “Deep Web” ve “Dark Web” kavramlarından bahsedelim. Buz dağı metaforundan anlatacak olursak “World Wibe Web(www)” buzdağının görünen yüzünü oluşturur. Yani Google’da aradığınız ve ulaşabildiğiniz verilerin tamamı bu kısmın bir parçasıdır. Buz dağının görünmeyen kısmını ise “Deep Web” ve onun bir parçası olan, genelde daha derinlerde bulunan “Dark Web “oluşturur. Buraya ulaşabilmek için arama motoruna sitenin isini yazmanız yetmez. Bu kısım, içerisinde birçok istihbarat servisinin ve çeşitli devletlerin gizli teşkilatlarının da faaliyette olduğu bir mecradır. “Ağır ağabeyler” olarak da adlandırabileceğimiz ve örneğin hacker’lara rakip yazılımların açığını buldukları için para teklif eden grubun da bu kısımda yer edindiğini söyleyebiliriz. Sonuç olarak gizli hatta bazen illegal işler “Dark Web” adı altında incelenir.
Günümüzde Deep Web alanı sandığımızdan daha da korkunç. Örnek verecek olursam bir banka hesabınıza internet üzerinden giriş yapıyorsunuz ve ”www.alegoribank.com”u arama motoruna yazmanız gerekiyor fakat siz yanlışlıkla “alegoriban.com” yazdınız ve çıkan ilk içeriğe tıkladınız. Tüm hesap bilgileriniz ve şifrenizi girmeye başladınız fakat sistem bir anda hata verdi. Üzülerek söylemek istiyorum ki şu an muhtemelen bir hacker tüm bunlara şahit olabilmek adına yeteneklerini çok iyi bir planla kullandı ve sizin tüm bilgilerinizi bilgisayar klavyenizin tuşlarına aktardığınız titreşim sayesinde elde etti.
Şu sıralar “Facebook” gibi kuruluşlar hacker’lar için yarışmalar düzenlemekte. Yarışmanın temel konsepti sistem açıklarının bulunmasını sağlayarak olası bir siber saldırıyı önlemek. Siber saldırının yol açabileceği sorunları göz önüne alırsak yarışma yolu ile temiz, sadık bir hacker bulmak akıllıca görünüyor. İşte tam bu aşamada yavaş yavaş “Açığınızı yüzünüze vuranlar” kısmına geliyoruz: hacker’ların kötü olmayanları ya da diğer bir deyişle “etik hacker’lar”. Şirketlerde “Siber güvenlik uzmanı” unvanıyla çalışan etik hacker’ların temel hedefi aslında şirketin kendi sistemine saldırarak sistem açıklarını tespit etmek. Fakat bu açığı tespit ettiklerinde şirket aleyhine kullanmak yerine bu açığın düzeltilmesi için çalışıyorlar yani temel sloganları: başınıza iş açabilirdik ama yapmadık. İşte “etik” sözcüğü buradan geliyor çünkü bu insanlar şirketin tarafındalar ve bir nevi bilgi güvenliğini sağlayan sigorta görevi görüyorlar. Siber güvenlik uzmanlarının daha geniş bir iş tanımı da:
» Yeni algoritmalar belirlemek.
» Koruyacağı sistemin, saldırı açıklarını belirlemek ve bu açıkları kapatmak.
» Saldırı anında, oluşabilecek kaybı minimum düzeye indirgemek.
» Siber saldırı ataklarına karşı, yeni yazılımlar üretmek ve bu yazılımları en iyi performansta kullanmak olarak değerlendirilebilir.
Şimdi biraz farklı bir açıdan bakalım. Dürüst olmak gerekirse yazının en başından beri hedeflerimden biri sizi etik hacker’lığa yönelik fazla sempati beslemekten korumaktı. Bu durumun kişisel bir nedeni olmadığını sadece sizi birazdan bahsedeceğim yaygın düşünceye karşı tarafsız bir bakış açısına yöneltmeye çalıştığımı belirtmek istiyorum. Bir argümana göre hayatta hiçbir zaman sadece siyah ve beyaz yoktur yani hiçbir etik hacker da tam anlamıyla beyaz kalamaz. Her hacker’ın mutlaka karanlık tarafı da tatması kaçınılmazdır ve ancak böyle kendilerini geliştirebilirler. Açığınızı yüzünüze vuranlar kısmında bahsetmeye çalıştığım da bu argümandı aslında çünkü her ne kadar insanlar eksik yanlarını görmek istese de bunun yüzünüze vurulması karşı tarafın iyi niyetini size sorgulatabilir.
Biraz da “etik hacker” kavramını terimsel olarak inceleyecek olursak: benim de ağırlıklı olarak bahsetmeye çalıştığım “White hat” ya da “Beyaz Şapkalı Hacker’lar” güvenlik analisti hacker olarak geçmektedirler. Bunun dışında “Black hat” dediğimiz amacı zarar verme olan hacker’lar ve de “Grey hat” adı verilen yasadışı olsa bile anlaşılır etik nedenlerle “cracking” yapan hacker’lar da mevcuttur.
Figür 2: Hacker Sınıflandırması
Ünlü Hacker’lar:
- Eric Steven Raymond (ESR): “Hacker Sözlüğü”, “Nasıl Hacker Olunur?” makaleleri hacker’lık kültürünü tanımladı.
- Steve Wozniak (Woz): Apple I adlı bilgisayarı kendi imkanları ile yapmıştır. Steve Jobs ile birlikte “Apple” şirketini kurmuştur.
- Robert Morris (rtm): İlk solucanı yazan kişidir.1988’de yazmış olduğu internet kurtçuğunu kazara serbest bırakmasıyla birlikte birçok bilgisayar çökmüştür.
- Tsutomu Shimomura: Hazırladığı özel yazılımla cep telefonu görüşmelerinin dinlenmesini sağladı. Ünlü korsanlardan Kevin Mitnick’in yakalanmasına katkı sağladı.
Ünlü Korsanlar:
- Kevin David Mitnick (Condor): İlk bilgisayar korsanlarındandır. 15 Şubat 19952te FBI tarafından düzenlenen bir operasyonla yakalanmıştır. Fujitsu, Motorola, Nokia, Sun Microsystems gibi şirketlerin bilgisayar ağlarına girmiştir. Mitnick, fotoğrafı FBI’nin “En Çok Arananlar” listesinde yer alan ilk bilgisayar korsanı olarak anılmaktadır ve günümüzde “Beyaz Şapkalı Hacker” olarak görevini sürdürmektedir.
- Kevin Poulsen (Dark Dante): 1990 yılında Los Angeles bölgesine giden bütün telefon hatlarını ele geçirdi. KIIS-FM adlı radyonun 102. arayanına vereceği Porsche 944 S2 marka arabayı bu şekilde kazandı.
- Mark Abene (Phiber Optik): “Master of Deception” adlı grubu kurmuştur. Telefon sistemleri işleyişinin aydınlatılmasında önemli yeri oldu. New York dergisi tarafından şehrin 100 zeki insanından biri seçilmiştir.
Özetle demek istediğim durum sizin sandığınızdan çok daha ciddi ve ne yazık ki tüm bilgi hırsızlıkları bilgisayarınıza bulaşan virüsler ile gerçekleşmiyor. Kullanıcıyı hataya sürüklemek gibi inovatif yöntemler de türedi ve siber güvenlik sandığımızdan daha önemli bir hale geldi. Açığınızı yakalayanların bol olduğu bu ortamda bilgilerinizi paylaşırken bir kere daha düşünmenizde fayda var.
Metin Kaynakçası
1- Şeker,Harun.2011.”Hacker Kültürü ve Etik Hacker”.Cehtürkiye.Com. http://www.cehturkiye.com/
2- Wilhelm,Thomas.2009.” Professional Penetration Testing”. Elsevier. https://doi.org/10.1016/B978-0-12-802722-6.00003-0
3- Turkhackteam.Org. https://www.turkhackteam.org/konular/siber-guvenlik-uzmani-kimdir.1726051/
Görsel Kaynakçası
Kapak Görseli: https://bilginc.com/blog/etik-hack-nedir.jpg