DİKKAT : TAMER ŞAHİN YAZISI
Olayın ilginç yanlarından birisi Princeton Üniversitesinin iddiayı tamamiyle “Güvenliği Kontrol” olarak nitelendirmesi. Peki nedir bu güvenliği kontrol? Her isteyen, istediği ve başkalarına ait network’lerin güvenliğini kontrol edebilir mi?
Aslına bakarsanız bu konu bir yıl kadar önce güvenlik çevrelerinde bayağı etraflıca tartışıldı. Hatta Amerika’da bu tartışmalara örnek olabilecek bir davada “Portscan Legaldir” benzeri bir karar dahi verildi fakat hararetli tartışmalar, karşıt görüşler devam etti. Tabii bu tarz bir durumda ne yapılması gerektiği konusunda federal soruşturma bürosu FBI kararsız. FBI basına yaptığı açıklamada “Bunun federal bir suç olduğuna emin değiliz, durumu değerlendiriyoruz” yorumunu yapıyor.
Aslına bakılırsa bu olayda, eğitim kurumlarındaki güvenlik zayıflıklarının belki de en küçük kısmı yani buzdağının sadece görünen tarafı açığa çıktı. Sistemlerindeki bir zayıflık kullanılarak hack edilen Yale Üniversitesi gibi “Server” olarak nitelendirilen bilgisayarlar dışında, akademik eğitim kurumları bünyesinde bulunan onlarca bilgisayar hergün hack ediliyor. Peki neden eğitim kurumları? Onları hacker’lar için çekici yapan nelerdir?
Aslına bakarsanız nedeni oldukça basit ve aşağıdaki kelimelerle özetlenebilir;
– İlgisizlik
– Acemilik
– Network Erişim Potansiyeli
Etkenlerden ilgisizlik ve acemilikle başlayalım. Akademik kuruluşlarda özellikle de ülkemizde, güvenliğe yönelik olarak bir IT personeli istihdam edilmiyor. Bunun yerine maliyet ve öğrencilerin tecrübe kazanması nedenleri öne sürülerek eğitim kurumları kendi içlerindeki “Bilgisayar Mühendisliği”, “Bilgisayar Programcılığı” gibi bölümlerde eğitimini sürdüren öğrencilerin kısıtlı tecrübelerine başvuruyor. Bu durum her ne kadar öğrencilere pratik yapma şansı verse de unutulmaması gereken nokta, bu tecrübeyi okul ağ’ı gibi kritik bir ortamda kazanmaya çalışmaları, sistemdeki zayıflıkların ortaya çıkmasını getirdiği.
Üniversitelerin network’lerine erişilebilirlik potansiyeli ise Hacker’ları çeken bir diğer unsur. Üniversiteler fazla sayıda öğrenciye yani potansiyel network kullanıcısına sahip oldukları için yüksek bant genişliklerine sahiptirler. Bu kadar çok kullanıcı potansiyeline bağlantılı olarak eğitim kurumlarındaki bilgisayar sayısı da azımsanmayacak derecede fazladir ama genellikle iyi tasarlanmamış, kalıcı güvenlik politikaları oluşturulmamış ağlarla bağlıdırlar. Tabi ki istisnaları da var. Ağdaki her bilgisayar belli ağ geçidi sunucuları üzerinden internet’e çıkacağına, çeşitli nedenlerden dolayı, bazıları gerçek IP’ye yani internetten ulaşılabilecek IP’lere sahip olurlar. Bu bilgisayarlarda çalışan yazılımların, işletim sistemlerinin güvenlik yamalarının düzenli olarak indirilmemesi, üzerlerinde gereksiz servislerin çalışması, okul ile alakası olmayan kişilere erişim tanınması gibi nedenlerle, Hacker’lar networkteki sistemler üzerinden rahatlıkla erişim sağlayabiliyorlar.
Erişim sağlayan Hacker’ların çeşitli amaçları olabilir. Network’te ne kadar fazla sistem, kullanıcı var ise erişimi kontrol etmek o kadar güçtür. Ek olarak trafiğin etkin olarak incelenmemesi sonucu Hacker’lar eğitim kurumlarının sistemleri üzerinden, uzaktaki başka sistemlere de zarar verebilirler. Bu zarar kimi zaman uzaktaki sistemin hack edilmesi olabileceği gibi, eğitim kurumu kullanılarak, internet üzerinden yapılan kredi kartı sahteciliği ya da “Denial of Service” adı verilen birden çok istemci makinanın, tek bir kurban’ın bilgisayarına aşırı network trafiği yaratması yoluyla yapılan bir saldırı da olabilir.
Kaynak : 