Linke Tıkla, Türkiye Gazetesi'ni Google Favorilerine Ekle!
Hacker'dan kaçis yok!
Hacker'lar sadece 'kötü adamlar'dan oluşmuyor! Beyaz, siyah ve gri şapkalı olmak üzere üç farklı türü var. Gri şapkalılar, en tehlikelileri. Bilgisayar başında bir canavara dönüşüyorlar. Telefonlarımızdan adreslerimize kadar birçok özel bilgimize başkalarının ulaşması artık çok rahat. Yurt dışından bir istihbarat elemanı gelip herkesin bilgisini 5 bin dolara satın alabiliyor.
hackerdosyası-1HAZIRLAYAN: Fatih VURAL
fatih.vural@tg.com.tr
TAKDİM
Geçtiğimiz gün, uluslararası haber ajansı Associated Press'in (AP) Twitter hesabından gönderilen "Beyaz Saray'da 2 patlama! Barrack Obama yaralandı" tweet'i, dünyayı ayağa kaldırırdı. Bu tweet'in, sadece Amerikan borsasında açtığı zarar, 200 milyar dolar civarında. Çok kısa süre sonra, hesabının hacker'lar tarafından ele geçirildiğini duyuran AP, tweet'in yalan olduğunu açıkladı. Buna rağmen Twitter'daki 2 milyon takipçisi, bir anda 87 bine düştü. Ele geçirilen ya da çökertilen sitelerin zararları milyon dolarla açıklanıyor. 2006 yılında, en etkili hacker hareketi olan Anonymous'un ortaya çıkmasının ardından dünyada; 2012 Mart'ında, Marksist ve sosyalist hacker'ların kurduğu RedHack'tan sonra da Türkiye'de hiçbir şey eskisi gibi değil! Bilgisayar kullanan birçoğumuz artık banka hesabımızdan sosyal medya hesabımıza, kablosuz internet ağımızdan kimlik bilgilerimize kadar; şifrelerimizin kırılacağı korkusu yaşıyoruz. Aynı korkuyu devletler de, bankalar da, ticari işletmeler de yaşıyor. Korku, sebepsiz değil; zira telefonlarımızdan adreslerimize kadar birçok bilgi, başkalarına parayla satılıyor. Telefonumuza gelen mesajlar ve aramalar da bunun delili. Biz de sanal dünyadaki en büyük tehlikenin kaynaklarını araştırdık.
Giderek büyük bir tehlike olarak görülen hacker'lar, sadece 'kötü adamlar'dan oluşmuyor! Beyaz şapkalı, siyah şapkalı ve gri şapkalı olmak üzere üç farklı türü var. Siyah şapkalılar, tıpkı Anonymous ve RedHack gibi izinsiz hacker'lar. Eve giren hırsızlar olarak da görebileceğimiz siyah şapkalılar, kimi zaman para için kimi zamansa zarar vermek için internet sitelerine saldırıyor. Son yıllarda buna ideolojiyi de ekleyelim.
Beyaz şapkalılar ise, siyah şapkalıların saldırılarına karşı kullanılan bir savunma timi gibi hareket ediyor. Kendilerine gelen talep üzerine, bir internet sitenin güvenliğini test ediyorlar. Bunu yaparken kullandıkları metot ve yazılımlar da aynı. Tek farkları, izinli olmaları. Ortaya çıkardıkları zaafların giderilmesiyle bir koruma sistemi oluşturuluyor. Bunların tam ortasında yer alan bir de gri şapkalılar var ki, içlerinde en tehlikelileri. Sabah ofiste olabildiğine mülayim ve çalışkan birisinin, evinde bilgisayarın başında bir canavara dönüştüğünü düşünün! Gündüz beyaz şapkalı, akşam siyah!
HİPOKRAT YEMİNİ GİBİ...
Beyaz şapkalı olmanın bir okulu var. Literatüre "ahlaklı hacker'lık" olarak da geçen beyaz şapkalılara sertifika veren BGA (Bilgi Güvenliği Akademisi) gibi şirketler var Türkiye'de. BGA'nın genel müdürlüğünü yürüten Huzeyfe Önal, 5 günlük eğitimle verdikleri sertifika için, 2 yıllık bir ön tecrübe isteklerini söylüyor. Ortalama bir sertifikanın ücreti 2 bin-2 bin 500 dolar arasında. Şu ana kadar 200 civarında sertifika vermişler. Bunlar içinde ekseriyet, güvenlik uzmanlarından oluşuyor ve mezun olduklarında hacker'lığı kötü amaçla kullanmayacaklarına dair belge imzalıyorlar. Hipokrat yemini gibi! Aralarından sadece bir fire vermişler, o da bir firmadan izin almadan güvenlik zafiyetini araştırıp bulmuş ve bunu firmaya söylemiş. Sertifikası o anda iptal!
Türkiye'de bilişim sektörü ve güvenliği üçe ayrılıyor: Kamu, özel sektör ve KOBİ'ler. Huzeyfe Önal, en fazla saldırıyı alan grubun KOBİ'ler olduğunu belirtiyor: "2 senede 500'ün üzerinde KOBİ'ye siber saldırı yapıldı. Şantaj davaları başladı. Bir çete türedi ve güvenlik zaafiyeti bulunan orta ölçekli firmalara saldırdı. KOBİ'ler güvenlik yatırımı yapmadığı gibi, bu konuda bilinçli de değil. Onların hassas verilerini alıyorlar, şifreliyorlar, orijinallerini siliyorlar. Üstüne de not bırakıp, firmadan para istiyorlar. Özel sektör alanında ise ABD çok mağdur, Çinli hacker'lardan. ABD'de çok büyük firmaların know-how'larını çaldılar, uçak üretimi için vs. Kurumların sistemlerine sızarak para talep edip, aksi halde rakip firmalara satmakla tehdit ediyorlar. 2-2 buçuk milyon dolar zarar ettirilen kurumlar var."
BAŞKA ÜLKEDE OLSA...
Bilgi Teknolojileri ve İletişim Kurumu (BTK), geçtiğimiz hafta, siber güvenlik alanında en büyük cezayı kesti. Abonelerin kişisel bilgilerinin kötü amaçlarla kullanımını engelleyecek yeterli tedbiri almayan GSM şirketlerine 17 milyon 469 bin lira idari para cezası verdi. Bankacılık Düzenleme ve Denetleme Kurulu (BDDK) da bankaların müşteriyi zarara uğratan güvenlik açıklarını tespit ettiği anda affetmiyor. Suçlu kamu olduğunda ise hiçbir cezanın uygulanmadığını belirten Huzeyfe Önal, 2011 genel seçimleri sırasında bütün seçmen bilgilerinin çalınmasını örnek gösteriyor: "Türkiye'deki herkesin kimlik bilgileri, kapı numarasına kadar çalınmıştı. Bununla ilgili benim bildiğim bir soruşturma yok. Satılıyor şu anda bu bilgiler. Yurtdışından bir istihbarat elemanı gelip, herkesin bilgisini 5 bin dolara satın alabiliyor şu anda. Başka bir ülkede böyle bir şey olsa ortalık ayağa kalkar. 35 milyon insanın bilgileri var." Önal, kendi bilgisayarını açıp, internetteki forumlara kadar düşen seçmen bilgilerini gösteriyor, kanıt olarak.
HESAPLAR BÖYLE BOŞALTILIYOR
1 dolar 1 dolar çalıyorlar
Bir hacker, 50 bin dolarlık transfer yapmaz . Bu hemen anlaşılır. Onun yerine 10 bin kişiden ayda 1 dolar çekildiğinde kimse fark etmez.
Ahlaklı hacker yetiştiren BGA'nın Genel Müdürü Huzeyfe Önal, siber güvenliği en iyi sağlayan sektörün bankacılık olduğunu söylüyor. Önal, sebebini şöyle açıklıyor: "Hem BDDK etkisi var, hem de bankadan bir şey yaşandığı zaman bunu doğrudan gider olarak görüyorsunuz. Biz de testler yapıyoruz. 10 üzerinden 7-8 puan alıyorlar ama hiçbir zaman en üst seviyeyi yakalamayacaklar. Yarın yeni bir yöntem çıkıyor. Bu işi yapan milyonlarca insan var ve onların bir mesai kavramı yok. 7-24 buna kafa yoruyorlar." Ancak sistem gibi hacker'lar da profesyonel artık. Eskiden filmlerde, hacker'ların milyon dolarlık banka hesap vurgunu döner dururdu. Bankaların bu konuda aldığı yol, hacker'ları da yeni bir yönteme itmiş. Önal, bu yöntemi şöyle anlatıyor: "50 bin dolarlık bir transfer yapmaz bir hacker. Bu hemen anlaşılır. Onun yerine 10 bin kişiden ayda 1 dolar çekildiğinde kimse fark etmez. Profesyoneller küçük rakamlarla çekim yapıyor. Ya da sizin kredi kartınızla yurtdışından alışveriş yapıyor. Ama belli limitin üstündeki bütün alışverişlerinizde bankalar uyarı SMS'i atıyor."
CEZADAN YIRTMAK KOLAY
Siber güvenliğe ilişkin en önemli konulardan birisi de cezai yaptırımlar alanındaki muğlaklık. Yoruma açık cezai durumlarda, ciddi sıkıntılar yaşanıyor. Huzeyfe Önal'ın verdiği örnek çarpıcı olduğu kadar düşündürücü: "Ceza Kanunu'nda bazı maddeler var: 'Bilişim sistemine girmek ve orada kalmak…' Günümüz teknolojisinde, 'Ben klavye üzerinde uyuyakalmışım. F5 tuşu basılı kalmış' diyerek işin içinden çıkabilirsiniz. Böylece, o sitenin sayfasını yavaşlatarak, hizmet veremeyecek duruma getirebilirsiniz. Şu andaki savcıların çoğunluğu, bu nesille yetişmediklerinden yeni dünyayı anlayamıyor. Bugün yakalanan bir hacker varsa, yakalanmayanı on tane."
HERKESİN CEVABINI ARADIĞI SORU:
Cep telefonuma bu mesajlar nasıl geliyor?
Cep telefonumuza her gün ilgili ilgisiz çok sayıda mesaj düşüyor. Arayanlar da cabası… Bu bilgiler nasıl ele geçiyor? Huzeyfe Önal, 6 yıl GSM operatörlerinde çalışmış biri olarak veriyor cevabı: "GSM operatörleri numaraları paylaşamaz. En fazla, çağrı merkezinde çalışan kişiler, bilgileri görebilir ve alabilir. Eskiden bundan haberi olmuyordu GSM firmasının ama artık her şeyden haberleri var. Kayıt altına alıyorlar. Bir yerde alışveriş yaptığınızda, telefonunuz veri tabanına giriyor. Oradan ayrılan bir çalışan bu veri tabanını alıp gidip başka bir yere satıyor. Hatta bu bir sektöre dönüştü. 10 bin tane telefon numarasına 3-5 bin liraya alabiliyorsunuz. Merkezi bir sistem kurulmuş."
Türkiye saklıyor Kanada ifşa ediyor
Ulaştırma, Denizcilik ve Haberleşme Bakanı'nın başkanlığında Siber Güvenlik Kurulu oluşturduğunu hatırlatan Huzeyfe Önal, Türkiye'deki firmaların uğradığı siber saldırılara dair kamuoyunu aydınlatmadığını, bunu saklamaya çalıştığını belirtiyor. Önal, Kanada örneğinde tam tersi bir duruma işaret ediyor: "Kanada'da bilgi güvenliği zaafı varsa ve bir saldırı olmuşsa, kurum bunu açıklamak zorunda. Bilgilendirmezse, ciddi bir ceza var."
YARIN: RedHack üyeleri anlatıyor
fatih.vural@tg.com.tr
TAKDİM
Geçtiğimiz gün, uluslararası haber ajansı Associated Press'in (AP) Twitter hesabından gönderilen "Beyaz Saray'da 2 patlama! Barrack Obama yaralandı" tweet'i, dünyayı ayağa kaldırırdı. Bu tweet'in, sadece Amerikan borsasında açtığı zarar, 200 milyar dolar civarında. Çok kısa süre sonra, hesabının hacker'lar tarafından ele geçirildiğini duyuran AP, tweet'in yalan olduğunu açıkladı. Buna rağmen Twitter'daki 2 milyon takipçisi, bir anda 87 bine düştü. Ele geçirilen ya da çökertilen sitelerin zararları milyon dolarla açıklanıyor. 2006 yılında, en etkili hacker hareketi olan Anonymous'un ortaya çıkmasının ardından dünyada; 2012 Mart'ında, Marksist ve sosyalist hacker'ların kurduğu RedHack'tan sonra da Türkiye'de hiçbir şey eskisi gibi değil! Bilgisayar kullanan birçoğumuz artık banka hesabımızdan sosyal medya hesabımıza, kablosuz internet ağımızdan kimlik bilgilerimize kadar; şifrelerimizin kırılacağı korkusu yaşıyoruz. Aynı korkuyu devletler de, bankalar da, ticari işletmeler de yaşıyor. Korku, sebepsiz değil; zira telefonlarımızdan adreslerimize kadar birçok bilgi, başkalarına parayla satılıyor. Telefonumuza gelen mesajlar ve aramalar da bunun delili. Biz de sanal dünyadaki en büyük tehlikenin kaynaklarını araştırdık.
Giderek büyük bir tehlike olarak görülen hacker'lar, sadece 'kötü adamlar'dan oluşmuyor! Beyaz şapkalı, siyah şapkalı ve gri şapkalı olmak üzere üç farklı türü var. Siyah şapkalılar, tıpkı Anonymous ve RedHack gibi izinsiz hacker'lar. Eve giren hırsızlar olarak da görebileceğimiz siyah şapkalılar, kimi zaman para için kimi zamansa zarar vermek için internet sitelerine saldırıyor. Son yıllarda buna ideolojiyi de ekleyelim.
Beyaz şapkalılar ise, siyah şapkalıların saldırılarına karşı kullanılan bir savunma timi gibi hareket ediyor. Kendilerine gelen talep üzerine, bir internet sitenin güvenliğini test ediyorlar. Bunu yaparken kullandıkları metot ve yazılımlar da aynı. Tek farkları, izinli olmaları. Ortaya çıkardıkları zaafların giderilmesiyle bir koruma sistemi oluşturuluyor. Bunların tam ortasında yer alan bir de gri şapkalılar var ki, içlerinde en tehlikelileri. Sabah ofiste olabildiğine mülayim ve çalışkan birisinin, evinde bilgisayarın başında bir canavara dönüştüğünü düşünün! Gündüz beyaz şapkalı, akşam siyah!
HİPOKRAT YEMİNİ GİBİ...
Beyaz şapkalı olmanın bir okulu var. Literatüre "ahlaklı hacker'lık" olarak da geçen beyaz şapkalılara sertifika veren BGA (Bilgi Güvenliği Akademisi) gibi şirketler var Türkiye'de. BGA'nın genel müdürlüğünü yürüten Huzeyfe Önal, 5 günlük eğitimle verdikleri sertifika için, 2 yıllık bir ön tecrübe isteklerini söylüyor. Ortalama bir sertifikanın ücreti 2 bin-2 bin 500 dolar arasında. Şu ana kadar 200 civarında sertifika vermişler. Bunlar içinde ekseriyet, güvenlik uzmanlarından oluşuyor ve mezun olduklarında hacker'lığı kötü amaçla kullanmayacaklarına dair belge imzalıyorlar. Hipokrat yemini gibi! Aralarından sadece bir fire vermişler, o da bir firmadan izin almadan güvenlik zafiyetini araştırıp bulmuş ve bunu firmaya söylemiş. Sertifikası o anda iptal!
Türkiye'de bilişim sektörü ve güvenliği üçe ayrılıyor: Kamu, özel sektör ve KOBİ'ler. Huzeyfe Önal, en fazla saldırıyı alan grubun KOBİ'ler olduğunu belirtiyor: "2 senede 500'ün üzerinde KOBİ'ye siber saldırı yapıldı. Şantaj davaları başladı. Bir çete türedi ve güvenlik zaafiyeti bulunan orta ölçekli firmalara saldırdı. KOBİ'ler güvenlik yatırımı yapmadığı gibi, bu konuda bilinçli de değil. Onların hassas verilerini alıyorlar, şifreliyorlar, orijinallerini siliyorlar. Üstüne de not bırakıp, firmadan para istiyorlar. Özel sektör alanında ise ABD çok mağdur, Çinli hacker'lardan. ABD'de çok büyük firmaların know-how'larını çaldılar, uçak üretimi için vs. Kurumların sistemlerine sızarak para talep edip, aksi halde rakip firmalara satmakla tehdit ediyorlar. 2-2 buçuk milyon dolar zarar ettirilen kurumlar var."
BAŞKA ÜLKEDE OLSA...
Bilgi Teknolojileri ve İletişim Kurumu (BTK), geçtiğimiz hafta, siber güvenlik alanında en büyük cezayı kesti. Abonelerin kişisel bilgilerinin kötü amaçlarla kullanımını engelleyecek yeterli tedbiri almayan GSM şirketlerine 17 milyon 469 bin lira idari para cezası verdi. Bankacılık Düzenleme ve Denetleme Kurulu (BDDK) da bankaların müşteriyi zarara uğratan güvenlik açıklarını tespit ettiği anda affetmiyor. Suçlu kamu olduğunda ise hiçbir cezanın uygulanmadığını belirten Huzeyfe Önal, 2011 genel seçimleri sırasında bütün seçmen bilgilerinin çalınmasını örnek gösteriyor: "Türkiye'deki herkesin kimlik bilgileri, kapı numarasına kadar çalınmıştı. Bununla ilgili benim bildiğim bir soruşturma yok. Satılıyor şu anda bu bilgiler. Yurtdışından bir istihbarat elemanı gelip, herkesin bilgisini 5 bin dolara satın alabiliyor şu anda. Başka bir ülkede böyle bir şey olsa ortalık ayağa kalkar. 35 milyon insanın bilgileri var." Önal, kendi bilgisayarını açıp, internetteki forumlara kadar düşen seçmen bilgilerini gösteriyor, kanıt olarak.
HESAPLAR BÖYLE BOŞALTILIYOR
1 dolar 1 dolar çalıyorlar
Bir hacker, 50 bin dolarlık transfer yapmaz . Bu hemen anlaşılır. Onun yerine 10 bin kişiden ayda 1 dolar çekildiğinde kimse fark etmez.
Ahlaklı hacker yetiştiren BGA'nın Genel Müdürü Huzeyfe Önal, siber güvenliği en iyi sağlayan sektörün bankacılık olduğunu söylüyor. Önal, sebebini şöyle açıklıyor: "Hem BDDK etkisi var, hem de bankadan bir şey yaşandığı zaman bunu doğrudan gider olarak görüyorsunuz. Biz de testler yapıyoruz. 10 üzerinden 7-8 puan alıyorlar ama hiçbir zaman en üst seviyeyi yakalamayacaklar. Yarın yeni bir yöntem çıkıyor. Bu işi yapan milyonlarca insan var ve onların bir mesai kavramı yok. 7-24 buna kafa yoruyorlar." Ancak sistem gibi hacker'lar da profesyonel artık. Eskiden filmlerde, hacker'ların milyon dolarlık banka hesap vurgunu döner dururdu. Bankaların bu konuda aldığı yol, hacker'ları da yeni bir yönteme itmiş. Önal, bu yöntemi şöyle anlatıyor: "50 bin dolarlık bir transfer yapmaz bir hacker. Bu hemen anlaşılır. Onun yerine 10 bin kişiden ayda 1 dolar çekildiğinde kimse fark etmez. Profesyoneller küçük rakamlarla çekim yapıyor. Ya da sizin kredi kartınızla yurtdışından alışveriş yapıyor. Ama belli limitin üstündeki bütün alışverişlerinizde bankalar uyarı SMS'i atıyor."
CEZADAN YIRTMAK KOLAY
Siber güvenliğe ilişkin en önemli konulardan birisi de cezai yaptırımlar alanındaki muğlaklık. Yoruma açık cezai durumlarda, ciddi sıkıntılar yaşanıyor. Huzeyfe Önal'ın verdiği örnek çarpıcı olduğu kadar düşündürücü: "Ceza Kanunu'nda bazı maddeler var: 'Bilişim sistemine girmek ve orada kalmak…' Günümüz teknolojisinde, 'Ben klavye üzerinde uyuyakalmışım. F5 tuşu basılı kalmış' diyerek işin içinden çıkabilirsiniz. Böylece, o sitenin sayfasını yavaşlatarak, hizmet veremeyecek duruma getirebilirsiniz. Şu andaki savcıların çoğunluğu, bu nesille yetişmediklerinden yeni dünyayı anlayamıyor. Bugün yakalanan bir hacker varsa, yakalanmayanı on tane."
Hacker'dan kaçış yok!
|
HERKESİN CEVABINI ARADIĞI SORU:
Cep telefonuma bu mesajlar nasıl geliyor?
Cep telefonumuza her gün ilgili ilgisiz çok sayıda mesaj düşüyor. Arayanlar da cabası… Bu bilgiler nasıl ele geçiyor? Huzeyfe Önal, 6 yıl GSM operatörlerinde çalışmış biri olarak veriyor cevabı: "GSM operatörleri numaraları paylaşamaz. En fazla, çağrı merkezinde çalışan kişiler, bilgileri görebilir ve alabilir. Eskiden bundan haberi olmuyordu GSM firmasının ama artık her şeyden haberleri var. Kayıt altına alıyorlar. Bir yerde alışveriş yaptığınızda, telefonunuz veri tabanına giriyor. Oradan ayrılan bir çalışan bu veri tabanını alıp gidip başka bir yere satıyor. Hatta bu bir sektöre dönüştü. 10 bin tane telefon numarasına 3-5 bin liraya alabiliyorsunuz. Merkezi bir sistem kurulmuş."
Türkiye saklıyor Kanada ifşa ediyor
Ulaştırma, Denizcilik ve Haberleşme Bakanı'nın başkanlığında Siber Güvenlik Kurulu oluşturduğunu hatırlatan Huzeyfe Önal, Türkiye'deki firmaların uğradığı siber saldırılara dair kamuoyunu aydınlatmadığını, bunu saklamaya çalıştığını belirtiyor. Önal, Kanada örneğinde tam tersi bir duruma işaret ediyor: "Kanada'da bilgi güvenliği zaafı varsa ve bir saldırı olmuşsa, kurum bunu açıklamak zorunda. Bilgilendirmezse, ciddi bir ceza var."
YARIN: RedHack üyeleri anlatıyor
Bizi Takip Edin
YORUMLAR
ÇOK OKUNANLAR
-
1
-
2
-
3
-
4
-
5
YAZARLAR
GÖZDEN KAÇMASIN
