Günümüzde hack üstüne hack olayı yaşanıyor diyebiliriz. Hal böyle olunca siber güvenlik hakkında bilgisi olmayan kişiler, kişisel verilerinin ele geçirilip kötü amaçlarla kullanılacağı ihtimalinden, bilgisi olan kişilere göre daha çok endişe duyabiliyor. Tabii ki bu meselelerle ilgili bilgisi olanlar da her geçen gün gelişen bilişim suçları karşısında, koruyucu güvenlik önlemlerini almada yetersiz kalabiliyor.
Mesela geçtiğimiz günlerde GTA 6 görüntülerini sızdıran 17 yaşındaki bir hacker, Londra polisi tarafından tutuklandı. Türkiye’de de Twitch gibi platformlarda zaman geçirip hack üzerine birbirine tavsiye veren yaşı 15-18 civarlarında ciddi bir hack meraklısı kitle var. Biz de bu yazımızda siber güvenliğin ne olduğunu, hack olaylarının nasıl geliştiğini, ulusal ve uluslararası bağlamda siber güvenliğin neden sağlanamadığını, yaşı küçük kitlenin nasıl hack yaptığını ve daha birçok konuyu siber güvenlik uzmanı Yasir Gökçe’ye sorduk. Kendisi de sorularımızı memnuniyetle cevapladı.
İşte Yasir Gökçe’nin cevapları…
Siber güvenlik; bilişim, IT ve OT sistemleri ile bu sistemlerde işlenen verilerin, siber uzaydan kaynaklanan tehditlere karşı sistematik bir şekilde korunmasıdır.
Genel olarak hack olayının arkasında farklı motivasyonlar yatabiliyor.
Hackleme “sektörüne” henüz yeni giriş yapmış, bizim script-kiddies dediğimiz amatör ekip, sırf yeni yeteneklerini geliştirmek/göstermek ve bunun tatminini yaşamak adına hack yapıyor. Devletlerin, vatandaşları üzerinde istihbarat ele geçirme faaliyetlerine karşı yapılan hackleme, bu faaliyete ve arkasındaki otoriter/totaliter zihniyete karşı gösterilen bir direnç olarak öne çıkabiliyor.
Öte yandan, devlet destekli aktörler, tehdit olarak algılanan gruba ve diger devletlere karşı hackleme yapabiliyor. Ki bu faaliyetler, siber uzayda yaşanan müsamaha (hoşgörü) hukukunu ilgilendiriyor.
Hacklemenin nasıl yapıldığı ise cok geniş ve girift (karmaşık) bir konudur.
Özetle; bilişim sistemleri, süreçler, organizasyonel yapılar ve insanların bilinç düzeyindeki açıklar suistimal edilerek siber saldırı yapılıyor. Örneğin, internete erişim sağlayan bir modem yada router’in doğru konfigüre edilmemesi hack için bir açık demek. Keza kendisine gönderilen her linki tıklamaması gerektiğini bilmeyen bir çalışan da hackleme için önemli bir açıktır.
Hacklerin beyaz, kırmızı ve gri denilen kısmı, hack eyleminin kötü niyetli olup olmamasına göre yapılan bir sınıflama.
Hedeflediği şirketin açıklarına dikkat çekmek isteyen ve siber saldırıyı şirketin rızası dahilinde yapan hacker beyaz şapkalı hackerdır. Siyah şapkalı hacker, zarar verme amacıyla siber saldırı düzenler. Gri şapkalı hacker ise kendince iyi niyetle siber saldırı yaparak şirketi, açıkları konusunda uyarmak ister. Ancak o, yasal olmayan bu faaliyeti, şirketin (veya diğer bir organizasyonel yapının) yöneticilerinin izni dahilinde yapmaz.
Bilgilerimizin ele geçirildiğini, gelen mesajlar ve doğrudan yapılan iletişimler hariç; hacker, bilgileri bir sitede yayınlarsa anlarız.
Ayrıca Avrupa ve ülkemizde kişisel verilerini kaptıran şirketlerin/organizasyonların ilgili makam ve kişilere hacklendiğini bildirme yükümlülüğü vardır. Son aşama olarak, özellikle kullanıcı adı ve şifreler, dark web’de satışa sunulmaktadır. Dark web’i kapsayan bir arama motoru veya siber tehdit intelligence faaliyetleri sayesinde böyle bir şeyin olup olmadığından haberdar olabiliriz.
Bence kullanıcıların bireysel siber güvenlikleri hakkında bilgilendirilmesi için sistemler, bireylerin bilinçsiz olduğu varsayımı üzerine dizayn edilmeli ve yapılandırılmalı.
Bu çercevede, security by design ve security by default prensipleri öne çıkıyor. Yani bir haberleşme programı, mesajları dogrudan enkripte ederek (gizleyerek) iletmeli. Bunun için ayrıca bir kullanıcı eylemi veya tercihi gerekmemeli.
Bunun haricinde, ilgili meslek örgütü ve sivil toplum kuruluşları, çok teknik terimlere boğmadan yazılmış, görsellerle desteklenmiş sanal broşürlerle kullanıcıları bilinçlendirebilir. Ayrıca, bir app yüklendiğinde veya system kurulumu yapıldığında, açılır pencerelerle (pop-up screen) siber güvenlik konusu hatırlatılıp yönlendirme yapılabilir.
Hacklendiğini anlayan kişi, bilişim suçları bürosuna şikayette veya görevli savcılığa suç duyurusunda bulunabilir.
Kişiyi korumakla yükümlü olan entite (varlık) veya şirket ile de temasa geçilip hesap sorulabilir. Dijital forenzik (adli bilişim) gerektirmeyen çok hassas bir kurum değilseniz yapılacak ilk hamle, hacklenen sistemi ağdan ayırmaktır. Özellikle siber dünyadan uzak bireylerin, zararın boyutuna göre bir uzmana danışmalarını ve duruma göre legal departman veya avukatla hareket etmelerini tavsiye ederim.
Şifrelerin tavsiye edilen değiştirme sıklığı 6 ayda birdir. Karmaşık olması gereken şifre; en az 12 karakter, büyük harf, küçük harf, rakam ve özel işaretler içermeli.
Bu şekilde bir şifrenin kırılma süresi, günümüz bilgisayarları için 54 yıl sürer. Quantum bilgisayarları bu süreyi önemli ölçüde değiştiriyor ama.
Sitelere kayıt olurken, herhangi bir hacklenme durumunda hangi bilgilerimizin ortalığa saçıldığı hakkında ilgili internet siteleri, Kişisel Verilerin Korunması Kanunu çerçevesinde bize bilgi verme yükümlülüğü altındadır.
Bunun haricinde, bilgilerin mahiyetini ve kapsamını dark web’de açığa çıktığında veya ransom yani fidyeye konu edildiğinde öğrenebiliriz. Verileri teslim ederken, teslim alan kuruluşun güvenilirliğini irdelemek önemlidir. Ayrıca, karmaşık bir şifre oluşturup kimlik doğrulama yaptıktan sonra veriler teslim edilmelidir (özellikle online platformlar için). Çalınan veriler genelde -az önce de söylediğim gibi- bir bütün halinde dark web’de satılır. Siber suçlular bunları oradan satın alır. Sözleşmelerdeki boşluklardan yararlanan dev şirketler de (Facebook, WhatsApp) üçüncü kişilere kendi veri havuzunu açabiliyor.
Çalınan veriler, kişiselleştirilmiş reklam sunmada, veriyi rehin tutarak fidye talep etmede kullanılabiliyor. Çalınan kredi kartı verisinin ise dolandırıcılık ve hırsızlıkta kullanıldığını görüyoruz. Kimlik ve erişim verilerine ise kritik sistemlere uzaktan erişim sağlama amacıyla işlem yapılabiliyor.
Yapay zeka entegre edilmiş big data system ve programlar, açık veya kapalı kaynaklardan veriyi elde edebiliyor.
Dev IT şirketleri bunu yasal yollarla yapmaya çalışıyor. Örneğin, ”sunduğumuz hizmetten ücretsiz yararlanacaksan verilerine erişime izin ver“ gibi bir hüküm dikte ediyor. Bu şekilde elde ettiği veriyi, yapay zeka ile analiz edip kişiselleştirilmiş içerik sunuyorlar. Misal henüz aramasını Google üzerinden yaptığımız bir ürünün benzerlerinin, YouTube programında reklam olarak karşımıza çıkması bu kapsama giriyor.
Türkiye’de bilişim suçlarından mağdur olan kişi ve kurumların mağduriyeti eksenli bir hukuk şekillendi. Ancak maalesef özellikle şirketlerin, verileri muhafaza etme yükümlülüğünü düzenleyen hukuki altyapı fevkalade yetersiz.
Diğer bir deyişle, yüksek güvenlik pratiklerini edinme, şirketlerin iyi niyetine kalıyor daha çok. Ayrıca bilgiyi koruma ve mahremiyet, henüz ülkemizde yerleşen bir hassasiyet değil. Aksine, devlet kavramı adeta bilgilerin depolanması, paylaşılması ve teslim edilmesi üzerine kurulu. Bilginin korunmasına dair birey lehine hukuki güvenceler ise tam olarak netleştirilemiyor. Bu konuyla ilgili son yıllarda çalışmalar yapılsa da yine de kişisel verilerin korunması adına daha fazla önleme ihtiyaç var.
Örnegin CHP başkan yardımcısı Onursal Adıgüzel’in söylediğine göre, BTK tüm internet servis sağlayıcılara gönderdigi yazı ile en hayati kullanıcı verilerinin teslimini talep etmiş. 2016 yılında 50 milyon vatandaşa ait kimlik verilerinin internete düştüğü haberinin doğru olduğu düşünüldüğünde, devlete ait hassas verilerin çok güvende olduğunu düşünmüyorum. Siber suçlular kendilerini anonim kılmak adına VPN ve Tor gibi teknikler kullanıyor. Bu yöntemleri aşarak suçun arkasındaki gerçek IP veya MAC adresini tespit etmek de çok zor.
Uluslararası düzeyde işbirliği eksikliği de siber suçluları tespit etme zorluğunu pekiştiriyor.
Bir ülkenin bilişim suç tanımını, diğer bir ülke haklı olarak mahremiyet hakkı, haberleşme hakkı, ifade hürriyeti vb. olarak görüyor. Bu da siber suçlarla mücadelede işbirliğini imkansız kılıyor. Örneğin, bir ülke kendi bünyesindeki database serverleri kullanılarak işlenen bir suçta, söz konusu servera erişimi vermeyebiliyor.
IT ve OT sistemleri kullanılarak fiziksel bir zarar verebilme olgusu ise beni hep saşırtmıştır.
Örnegin Rusya’nın, Ukrayna’daki bir güç santralinin kontrol sistemlerine erişmesi ve halkı elektriksiz bırakması oldukça ilginç. Veyahut ABD’nin, İran’daki Natanz uranyum tesislerinin önemli bir kısmına hackleme yoluyla zarar vermesi (Stuxnet olayı) de buna örnek verilebilir.
Verileri koruma, sistematik, kolektif, düzenli, tutarlı ve efektif (anlık ortaya çıkan) eylemler bütününü gerektiriyor. Böylece 18 yaş altı çocukların bile büyük şirketlerin verilerini hacklemeleri zor olmuyor.
Hack yaparak zarar verme, bir veri hanesine kötücül bir kodun kopyala-yapıştır-enter yapılması kadar kolay. Siber güvenlik ekibi, mesai kavrami dahilinde hafta sonları ve akşamları işi bırakıyor. Siber suçlular ise 7/24 açıkları suistimal etme peşinde. Bir de güvenlik önlemi masrafı, zarar gerçekleşmesi halinde ortaya çıkacak masrafı, kimi durumlarda daha çok aşabiliyor. Bu durum da eylemsizliğe ve riski kabullenmeye sebebiyet verebiliyor. Yakın zamanda Yemeksepetinde bir hack olayı yaşandı. Ancak Yemeksepetinin siber güvenlik olgunluğunu incelemeden ve audit yapmadan bu hack ile ilgili bir şey diyemem.
Editör Notu: Yemeksepeti’ni hacklediğini söyleyen hacker, daha önce bir açıklama yapmıştı. Bu açıklamayı verdiğimiz yazımızı buradan okuyabilirsiniz. Ayrıca illegal yollarla hack yapmanın bir suç olduğunu tekrardan hatırlatalım. Bu yazımızda konuyu bir uzmana sorarak usulsüz yapılan hack’in ne kadar yanlış olduğunu göstermeyi amaçladık. Bir şirketin bünyesinde çalışan beyaz yaka hacker değilseniz bu işlere bulaşmamanızı öneririz.
Yasir Gökçe’ye Twitter üzerinden ulaşabilirsiniz.
- Görsel Kaynakları: Harvad Business Review, Crowd Strike, Analytics Insight, The New Yorker, BBC, Scroll.in, WIRED, Tech Crunch, Dashlane Blog, Bleeping Computer, Auth0, MIT Technology Review, Tech Crunch 2, The New York Times, VICE, Analytics Insight 2
