21 yaşındaki Kaliforniyalı hacker Adrian Lamo’nun tamamen kendi başına, şirketin sistemine girdiği, internetle, şirketin özel intranet yapısı arasında yanlış konfigüre edilmiş 7 proxy sunucu bularak bunları atlattığı açıklandı.
Lamo içeri girdikten sonra, New York Times’ın şifreleme kurallarındaki zayıflıkları farkettiği ve bu yolla dışarıdan içerik sağlayanlara ait veri tabanına eriştiği anlaşıldı. Bu veri tabanında; Eski Birleşmiş Milletler Silah Uzmanı Richard Butler, Clinton’ın eski danışmanı James Carville, Radyocu Rush Limbaugh, Microsoft’un kralı Bill Gates ve hatta New York Şehri Valisi Mike Bloomberg gibi kişilerin dosyalarının ve bu dosyalarda da mesela sosyal güvenlik numaraları gibi bilgilerin nın yer aldığı bildiriliyor.
New York Times sözcüsü Christine Mohan olayı doğrulayarak, resmi araştırma yapılmakta olduğunu açıklayarak şöyle dedi; “New York Times şirketi kendi iç ağının güvenliğini çok ciddiye alıyor. Bu nedenle eğer gerekiyorsa gereken önlemleri alacağız”.
Mohan şirketin Lamo ile görüşmediğini ve hatta bu saldırının kaynağının tam olarak tanımlanamadığını söyledi. Ama buna karşın olay geniş bir şekilde duyuldu. Çünkü; hacker olaydan hemen sonra SecurityFocus Online Web sitesinden bir gazetecinin yardımı ile bu siteye bir röportaj verdi.
Times ikinci defa hacker kurbanı oluyor. 1998 yılında “Hacking for Girlies” (HFG) olarak bilinen grup Times’a, John Markoff’un, Kevin Mitnick adlı mahkum edilmiş hacker olayını inceleyen “TakeDown” isimli kitabı nedeniyle saldırmıştı. Bu saldırı sırasında sitenin flama bölümüne küfüre varan ve ırkçılıkla ilgili ifadeler eklenmişti.
Son olay, ekranın gerisinde kalmasına karşın, şirketin internet üzerinde potansiyel zayıflıklarını ve kabuslarını işaret etmesi açısından önemli.
Lamo geçen yıl Yahoo!, M,icrosoft ISP WorldCom sistemlerine girmesinden sonra ün kazanmıştı. Bu sefer Times’a çok kolaylıkla girmesinden ötürü şaşkınlık duyduğunu da ifade ediyor; atNewYork ile yaptığı röportajda “Sadece birkaç dakika aldı. Ancak klasik anlamda güvenli değiller demek istemiyorum. Sadece hataları yamamışlardı. Firewall yazılımında sorun vardı. Benim girdiğim yere çoğu kişi giremeyebilir. Yani güvenlikleri çok kötü değildi ama yine de beklediğimden çok daha kolaydı. 5,000 $’s seminer ve yazılım yamaları satıp sonra hiçbir şey yok diyemezsiniz. Altyapı anlamının ötesinde kullanılıyor. Kurumsal altyapılarda, kişisek sistemlerden daha farklı altyapılar olmalı ” dedi.
Sacramento doğumlu Lamo, hacking olaylarında basit bir laptop (Windows 98, 64 MB of RAM, Pentium III 600mhz ve kırık bir keyboard) ve bedava iş istasyonları kullanıyor. Lamo sözlerine proxy sunucuların bir şekilde yanlış kullanıldığını da ekliyor.
“Çoğu sızma ya da sızmayı önleme yaklaşımı sistem merkezli. Sistemleri, bazen networkleri güvenli hale getiriyorsunuz ama bilgi kaynakları, eskiden gelen güven, uygulamaların ortaklaşa kullanım izinleri ve insanların ya da bilgisayarların haberleşmeleri için kullanılan programların zaafları herşeyi açıkta bırakabiliyor”
Lamo, bir keresinde WorldCom’un tüm network altyapısının haritasını PDF dosyası şeklinde almış ve ISS’in kendisini uyararak ödül kazanmıştı. Lamo, New York Times’a sızma harekatının herhangi bir özel amacı olmadığını söylüyor.
“Onlar da oradaydılar. Yaptığım da gayet doğaldı. herhangi bir şekilde açıklama yapmam gerekmiyor. Çünkü aldıklarımı satıyor filan değilim”. Lamo yaptığını “kanunsuz, ahlaka uygunsuz ve kötü bir şey” olduğunu bildiğini söylüyor.
“Onlarla yarışıyor değilim. Ya da Adrian Lamo Güvenlik okulu olarak başarı kazanma peşinde de değilim. Ama onlar için iyi bir şey yaptım. Hem şirketin hem de çalışanların karşı karşıya kalabilecekleri zararları onlara gösterdim. hareketime başka açıklamalar getirmek zorunda hissetmiyorum kendimi. Sadece yaptım” dedi.
“Yaptığımı potansiyel sonuçlarından da haberdarım. Sadece karşı karşıya oldukları problemi gösterdim. Onlara yardım etmiş oldum. Ama bunun başka bir açıklaması yok. Kanun tarafından sorgulanacağımı sanmıyorum. Hayat risklerle dolu” diye ekledi.
Lamo sızma işlemi sırasında, şirketin veri tabanına kendi ismini bırakarak, gazetenin elit katkı verenleri arasında yer almış oldu. Kendi adını, cep telefonunu ve e-mail adresini ekledikten sonra, deneyimleri bölümünü şöyle ekledi; “Bilgisayara sızma, ulusal güvenlik, komünikasyon uzmanlığı”.
turk-internet.com’un notu; Son olarak bu konuda geçen hafta Türkiye’den bir güvenlik uzmanı olan Tamer Şahin ile yaptığımız ve 4 gün süren röportajı hatırlatmak istiyoruz. İlginç bir tesadüf; bu yazının ilk bölümü Hacker Olmak Her Zaman Kötü mü? başlığını taşıyordu.