Ne, sitemizi mi hacklediniz?!

Eski günleri hatırlar mısınız? Modemin ahenkli sesini dinleyerek, yavaş internetin hazzına (!) vardığımız günlerde, Amerikan veletleri online oyunlarda kapışıyor, FPS’den falan bahsediyorlardı.

O zamanlar Japonlar’ın, Almanlar’ın internet hızlarından bahsedemeyecek kadar internetten uzaktık.

Belki de bu yüzden olacak, Amerikalılar’ın interneti hep doğru ve güvenli kullandıkları fikrine kapıldık. Çocukluğumuzda FBI’ın, CIA’in sitelerini “hack”lemenin hayallerini kurmamız bir tarafa, “Türk sitelerinde hata olur, ama Amerikan sitelerinde hata olmaz” diye düşündüğümüz zamanlar oldu.

İnternete Mahir’le açılan bir ülkenin evlatlarıydık ne de olsa…

Aşağıda anlatacağımız olayı okuduktan sonra, bu konudaki fikirlerinizi değiştirebilirsiniz.

Bu olay, 29 Şubat’ta (2 gün önce) yayınlandı ve bu yazı hazırlanırken digg.com’da 3183 kere oylanmıştı. Varın gerisini siz düşünün.

Kısa bir süre önce, şirketim Inedo’yu federal hükumete ait Central Contractor Registration sistemine kaydettim. Kayıttan sonra benimle irtibata geçen şirketlerden biri de Federal Suppliers Guide‘dı. Onlarla aramızda şöyle soğuk bir diyalog geçti:

FSG Rep: Merhaba Alex, size güzel haberlerim var!

(Durun tahmin edeyim… Bana ucuza bir şeyler vereceksiniz…)
Ben: Peki…

FSG Rep: CCR kaydınızı inceledik ve şirketinizin rehberimizde yer almaya hak kazandığını düşünüyoruz!

(Vay! İşte “bu” harika bir fikir!)
Ben: Rehberinizde mi?

FSG Rep: Satıcılar rehberi! *Yalnızca* eyalet ve federal acenteler tarafından servis ve içerik satın almak için kullanılabiliyor. Neyse, uygunluğunuzu ispatlamak için bazı sorular sormalıyız. İlk olarak, nerede bulunuyorsunuz?

— 3 soru daha sordular —

FSG Rep: Tamam. Şimdi yollayalım bakalım. Tık tık tık… Vay! Bu harika! Gerçekten rehberimize uygunsunuz. Rehberimizde yer almak istiyor musunuz?

Ben: Tabi! Neden olmasın?

FSG Rep: Harika! Başlamak için önemsiz bir ücret gerekiyor. Şimdi bana kredi kartınızı söyleyerek–

Ben: Önemsiz dediğiniz miktar ne kadar?

FSG Rep: Heh, gerçekten çok az. 600’den 7000’e kadar değişiyor.

Ben: Bu kararı şu anda veremem. Bana biraz daha bilgi gönderebilir misiniz?

FSG Rep: Veremez misiniz? Tamam, sanırım size biraz daha bilgi yollamalıyız. Fakat biliyorsunuz, aklınıza takılan her soruyu şu anda cevaplayabilirim. Demek istediğim, bu hakkı kaybetmenizi istemiyorum, hepsi bu!

(Ne kadar ince bir adam! Oysa bunca süredir hızlı konuşan bir tüccar olduğunu sanmıştım…)
Ben: Sanırım bu riski almalıyız. Bana ayrıca rehberin bir kopyasını da yollayabilir misiniz?

FSG Rep: Err, gee… şey, biliyorsunuz… bu yapamayacağımız bir şey. Yani, bu rehberler yalnızca hükumet acenteleri tarafından kullanılabiliyor. Bunları kimseye gönderemeyiz.

(Ben de ne yapabileceklerini merak etmeye başladım!)
Ben: Tamam! Bana ne gönderebiliyorsanız gönderin.

Sonunda satış yetkilisi bana 16 sayfalık gerçek gibi görünen ve hepsinin telefon numaralı (555-555-5555) , web adresleri (00000000000.com) olan şirketlerden oluşan bir listenin yer aldığı 7 mblık bir PDF dosyası gönderdi. Nasıl olduysa, bu dosya beni bir kaç yüz dolar vermeye ikna edemedi ve yetkili bana daha fazla bilgi içeren bir ilan faksladı.

Ertesi gün beni aramalarını beklerken, sitelerine girecek kadar vaktimin olduğunu farkettim. Hemen Yalnızca Federal Tedarik Memurları isimli sayfaya girdim. Merakımdan olacak, bir isim ve şifre uydurdum ve giriş tuşuna bastım. Aniden bir JS uyarı penceresi açıldı.

Böyle bir uyarı penceresinin bu kadar hızlı açılmasının tek yolu, kontrolün kaynak kodla yapılıyor olmasıdır. Ben de kaynak kodunu kontrol ettim ve bakın ne gördüm.

<script language=”javascript”>
<!–//
/*This Script allows people to enter by using a form that asks for a
UserID and Password*/
function pasuser(form) {
if (form.id.value==”buyers”) {
if (form.pass.value==”gov1996″) {
location=”http://officers.federalsuppliers.com/agents.html”
} else {
alert(“Invalid Password”)
}
} else { alert(“Invalid UserID”)
}
}
//–>
</script>

Tabi ki, şu bağlantı (Şu anda offline), beni SECURE Federal Suppliers Guide Listings for Agents (Acenteler için GİZLİ Federal Tedarikçi Rehberi Listesi)‘a götürdü.

Hala biraz vaktim vardı. Ben de listeden bazı firmaların telefon numalarını aldım ve kendilerini aradım. Cevapları aynıydı: “Sizden önce bizi 1 (2-3-4) yıldır kimse aramadı. O kadar da para ödemiştik!”

Satış temsilcisi beni aradığında, neden bu işe para yatırmadığımı kibarca açıklamak istedim.

Ben: Bazı müşterilerinizi referans olmaları için aradım fakat hiçbiri bunu–

FSG Rep: Bir dakika, bir dakika. Müşterilerimizi mi? Müşterilerimizi mi aradınız? Nasıl–

Ben: Şey, şöyle, Acenteler linkine tıkladım ve —

FSG Rep: Bu sayfaya ulaşamazsınız! Bu sayfa yalnızca Federal Tedarikçi Memurları içindir! Şifre korumalı o sayfa!..

Ben: Şey… Şifreniz sayfanın içinde —

FSG Rep: Yani sitemizi mi hacklediniz? Bunu yapamazsınız! Sayfamız GÜVENLİdir! Hacklediğiniz için başınıza dert alacaksınız!

Konuşma biraz sonra bitti. Söylememe bile gerek yok, rehbere katılmadım. Ama iyi haberi söyleyeyim, sitelerini hacklememe rağmen, hala rehbere katılmaya uygun görünüyorum!

Bu yazıda geçen olay, So You Hacked Our Site!? yazısından tercüme edilmiştir.