Zaman zaman, bazı mailler alıyoruz. Bu mailleri, hack ettiklerini iddia ettikleri sitelerin adreslerini bildirerek, bu konuda röportaj yapmamızı isteyen kişiler oluyor. Tabi ki suç olan bir eylemi desteklemek gibi bir davranışımız olamaz. Aksine bu konuda, amaçları belki sadece “becerisini sergilemek” olan arkadaşları uyarmak istiyoruz. Aslında son derece ciddi ve suç teşkil eden bu konuda, Güvenlik Uzmanı Murat Lostar ile konuştuk.
turk-internet.com : Online sistemlerin boşluklarını bulmak kolay bir iş midir?
Murat Lostar : Bu soruyu ikiye bölüp cevaplamak istiyorum.
Sistemlerde bulunan güvenlik açıklarını “keşfetmek” kolay mıdır?
Yazılımlar geliştirirken yapılan hatalar sonucunda ortaya çıkan güvenlik açıklarını keşfetmek belli yöntemleri bilmeyi ve bu yöntemleri uygulayacak beceriyi gerektirdiği için çok kolay değildir. Ayrıca, bulunan açıkları kullanarak sistemlere saldırıyı kolaylaştıran “tıkla ve saldır” (click&hack) programlarını hazırlamak için programcılık bilgisi gereklidir.
Bilinen güvenlik açıklarının online sistemlerde bulunup bulunmadığını anlamak kolay mıdır?
Kullanılan sistemlerin güvenlik açıklarını bulmak, güvenlikten çok fazla anlamayan saldırganlar için bile artık oldukça kolay. Güvenlik açıklarını bulmak üzere hazırlanmış “Güvenlik Açığı Tarama Programları” yardımıyla, hedef/kurban sistemler taranabilir ve açıklar (güvenlik boşlukları) bulunabilir. Bulunan güvenlik programları kullanılarak sistemlerin kontrolünü ele geçirmek için de ilgili “tıkla ve saldır” programını yüklemek yeterlidir. Bunun için hacker sitelerine düzenli ziyaret etmek önemlidir. Ayrıca daha özel yöntemler hacker’ların kendi aralarındaki bilgi alışverişi ile sağlanabilir.
turk-internet.com : Hackerlar kendi aralarında bilgi değis tokuşu yapıyorlar mi? Nasıl?
Murat Lostar : Hacker’lar arası bilgi alışverişi için birkaç yöntem var.
Herkese açık ilk yöntem, hacker web siteleri. Burada temel saldırı yöntemleri ve yardımcı programlar yer alıyor.
Hacker’lar arası e-posta grupları sayesinde daha detaylı bilgiler paylaşılıyor. Bazı gruplar herkese açık olduğu halde, bazıları sadece “bilinen, kendini kanıtlamış” hackerlar arasında kullanılıyor. Daha özel alışveriş kanallarına sadece kendini kanıtlayarak girilebiliyor. Kendini kanıtlama, belirli sayıda çalınmış kredi kartı bilgisi, kırılmış program ve benzerlerini grubun kullanımına sunarak gerçekleşebiliyor.
turk-internet.com : Bir olayda kendisini güvenlik uzmanı olarak adlandıran bir kişi, bir şirkete açık bulduğunu bildirerek, karşılığında para istemiş. Bu normal midir? Burda ince bir çizgi var mıdır? O çizgi nereden ayrılır?
Murat Lostar : Yapılan hangi iş kanunidir, hangisi etiktir, nereden sonra etik olmaz? Gerçekten bu sınırlardaki çizgi olukça ince ve sürekli yer değiştiriyor. Dünyada da güvenlik uzmanları arasında bu konuda süregelen bir tartışma var. Bence, buradaki ince çizgi, yazılı onayını almadığınız sürece bir başkasının ağına ve sistemlerine girmeyi denememek. Tesadüfen farkına vardığınız güvenlik açığı hakkında, daha fazla araştırma/deneme yapmadan hemen sahibine izin vermek. Bence, izin almadan yapılan, “bilgisayarcı olmayan normal kullanıcıların bilmediği her tür komut/yöntem” etik sınırın dışında kalıyor ve doğru değil.
“Suç”, kanunda suç olarak belirtilen bir hareketi yaptığınız zaman gerçekleşir. Türkiye’de bilişim konusunda kanunlar tam olarak oturmadığı için, “dolandırıcılık” ya da benzeri başka bir kanun sınırı içine girmiyorsa, “suç işlemek” çok zor. Etik anlamda doğru olan, direk ve sadece ilgili şirketin sorumlusuna problemi bildirme. Yardım istenmesi durumunda elbette para karşılığı yardım edilebilir ve bu bilgi güvenliği konusunda güzel bir ticaret olabilir. Ancak problemi duyurmak, bu problemin düzeltilmesini hızlandırma gerekçesiyle bile olsa etik değil. Yapılabilecek konunun ciddiyetini ilgili kurumun üst düzey yönetimine aktarmak.