Güvenlikte en zayıf halka: İnsan

Güvenlikte en zayıf halka: İnsan

Misafir yazar Osman Koç, ilk yazısıyla aramızda:

Bilgisayarcı milletinin işi zordur. Kavram geniştir bir kere, “bilgisayarcı” sözü nereye çekseniz gelir. Bilgisayarcı kah donanımdan sorumlu olur, kah yazılıma ter akıtır. Bazen elde kasa “hamallık” yapar, icap ederse uzak diyarlardan parça siparişleri verir, çapraz kurları takip eder, tüccarlığın kitabını yazar.

Bilgisayarcılardan birisini bulan her bilgisayar sahibinin kendine göre soruları vardır:

“Abi bende Norton vardı, çok kasıyordu, sonra kaldırdık virüs girmiş midir?”
“Benim bilgisayar bazen donuyor. Aile resimleri falan var. Birisi girmiş olabilir mi?”

Bilgisayarların hayatımıza getirdiği kolaylıklar arttıkça hard disklerimiz de en önemli sırlarımızın korunduğu yerler olmaya başladı. Aile albümlerimiz, banka hesaplarımız, şirket bilgilerimiz, e-maillerimiz ve daha niceleri, paylaşıma pek de müsait olmayan dosyalarımız arasında.

Hal böyle olunca, bilgisayar güvenliği de gittikçe cirosunu arttıran sektörlerden oldu. Bu sektördeki firmalar da, çözümü bilgisayar hırsızlarını kendi saflarına çekmekte (tabii bulabildilerse) buldular. “Bir taşla iki kuş” tabiri; hem karşıdan bir düşman eksilten, hem de düşmanın bakış açısıyla kendisini geliştiren bilgisayar güvenliği firmaları için bire bir. Ve tabii güvenlikçilerin en iyileri de, en iyi hırsızlardan oluyor haliyle.

Gelmiş geçmiş en büyük hacker -Türkçe ifadesiyle “kırıcı”(!)- olarak kabul edilen 1963 doğumlu Kevin Mitnick, FBI’ın “En çok Arananlar” listesinde yer alan ilk hacker olarak tarihe geçti ve fotoğrafı, bu listede uzun yıllar yer aldı.

Bu popülariteyi kazanmasına sebep olan pek çok hareketi olmuştu elbette: Los Angeles otobüs trasfer sistemini kırarak ücretsiz yolculuk yaptı, FBI’dan kaçtı, DEC şirketine 160,000$’lık zarara uğrattı, Los Angeles’taki Bilgisayar Öğrenme Merkezi’ndeki IBM mini bilgisayarına admin girişi elde etti.

Bu kadarla da kalmadı; Nokia, NEC, Motorola, Sun Microsystems, ve Fujitsu Siemens sistemlerini hackledi.

Bütün bu hareketleri, kimilerinin kendisini “İflah olmaz bir suçlu” olarak isimlendirmesine, kimilerinin ise “Sanal Dünya’nın Kayıp Çocuğu” gibi jeneriklik bir ifadeyle adını anmalarına yol açtı.

“Olur böyle vakalar, Amerikan polisi yakalar”

Uzun bir kovalamacanın ardından FBI, Tsutomu Shimomura gibi bilgisayar bilimcilerin desteğiyle Mitnick’i yakaladı ve Mitnick hapse atıldı.

5 yıl hapiste kaldıktan sonra 2000 yılında koşullu olarak serbest bırakıldı. Serbest bırakılma koşullarının arasında 21 Ocak 2003’e kadar telefona (kara hatlarını kullananlar hariç) ve bilgisayara dokunmamak da yer alıyordu.

“Telefon ne alaka?” dediğinizi duyar gibiyim. Efendim, Mitnick’in hayli kabarık olan suç dosyasında sadece internet suçları bulunmuyordu. Telefon hatlarını başka hatlara yönlendirmek ve bazı hatları devre dışı bırakmak gibi “hobileri”, öteden beri biliniyordu.

Kevin Mitnick’in bu zekasını neden kötüye kullandığına dair yığınla fikir var. Çoğu insan bunu sorunlu bir aileden gelmesine bağlıyor. Annesi ile babasının daha Mitnick 3 yaşındayken ayrılmış olmaları, kardeşinin uyuşturucu bağımlılığı sebebiyle ölmesi ve yakın akrabalarında buna benzer problemler olması, bu fikri güçlendiriyor.

Kimisi ise, bu hareketlerine sebep olarak, yoksul bir çocuk olmasını gösteriyor. Gerçekten de Mitnick, uzun yıllar boyunca bir bilgisayar alabilecek kadar para toplayamamış, bu sebeple farklı teknoloji mağazalarında bilgisayar kullanmıştı.

Ünü arttıktan sonra internette gerçekleştirilen hemen her suç, Mitnick’in üzerine yıkılmaya başladı. Efsaneler öyle bir boyuta ulaştı ki, Mitnick’in FBI ajanlarının gizli telefonlarını dinlediği, en az 20,000 kredi kartını kırdığı iddiaları kulaktan kulağa yayıldı.

Belki de bu ünü sebebiyle olacak, Mitnick hapisten çıktıktan sonra eski “kariyerini” bir kenara bıraktı ve güvenlik şirketleriyle ortak çalışmaya başladı. “The Art of Intrusion” ve “The Art of Deception” isimli kitapları yayınladı. Şu sıralar Mitnick Security Consulting isimli şirketiyle, şirketlere güvenlik desteği ve tavsiyeler veriyor.

“The Art of Deception” Türkçe adıyla “Aldatma Sanatı” kitabında, sadece sistem sorumlularını değil, bilgisayar bulunan bir işyerinde çalışan tüm çalışanları ilgilendiren çok önemli bilgiler mevcut. Kevin bu kitabında “hack” tabir edilen işlerin öykülerine yer vermiş.

Bu öykülerin çoğunda ortak nokta şu:

Bir bilgisayardaki bilgiyi ele geçirmek için en verimli yöntem en zayıf noktasına saldırmak; yani kullanıcısına.

“Yaw bu Kevin’de de bir numara yokmuş” dedirtecek kadar, bilgisayarlar yerine insanları kullanmış. Yani meşhur hackerların en önemli numarası kodların içine girebilmek değil de, “kullanıcıların kanına” girebilmekmiş. Buyurun buradan yakın. Bu kadar keçiboynuzundan sonra bi gram bal gelmesi lazım artık. İşte bahsettiğimiz kitaptan bir parça:

“1978 yılında bir gün Rifkin, Pasifik Hisseteri’nin yalnızca yetkili personelinin girebildiği ve odadakilerin her gün milyarlarca dolar tutarında havale gönderip aldıkları havale odasına doğru yollandı. Ana bilgisayarın çökmesi olasılığına karşı, havale odasının verileri için yedekleme sistemi geliştirecek bir şirkette sözleşmeli olarak çalışıyordu. Bu görevi, banka yetkililerinin havaleleri nasıl gönderdikleri de dahil olmak üzere, tüm havale süreçlerini öğrenmesini sağlamıştı. Her sabah havale yapmaya yetkili banka çalışanlarına, havale odasını aradıklarında kullanmaları için, özenle korunan günlük bir şifrenin verildiğini öğrenmişti.

Güvenliğin en zayıf halkası havale odasındaki memurlar her gün değişen şifreyi ezberlemek için kendilerini yormuyorlardı: Şifreyi küçük bir kâğıda yazıp kolayca görebilecekleri bir yere asıyorlardı.

Kasım ayının tam o gününde Rifkin’in odayı ziyaret etmesinin özel bir nedeni vardı. O kâğıda bakmak istiyordu. Havale odasına gelerek, çalışma süreçleriyle ilgili notlar aldı; güya yedekleme sisteminin olağan sistemlerle tam olarak örtüştüğünden emin olmak istiyordu. Bu sırada asılı kâğıttaki güvenlik şifresini gizlice okudu ve ezberledi. Birkaç dakika sonra dışarı çıktı. Daha sonra söylediğine göre, o an kendini piyangoda büyük ikramiyeyi kazanmış gibi hissetmişti.

Öğleden sonra saat üç sularında odadan çıkmış, doğruca binanın mermer kaplamalı girişindeki telefon kulübelerine gitmiş, telefona jeton atarak havale odasının numarasını çevirmişti. Sonra, telefonda başka bir kılığa bürünmüş, kendini, banka danışmanı Stanley Rifkin’den, Bankanın Uluslararası İşlemler Birimi’nin bir çalışanı olan Mike Hansen’a dönüştürmüştü.

Bir kaynağa göre, yapılan görüşme aşağıdaki gibi gelişmişti:

“Merhaba, ben Uluslararası İşlemler’den Mike Hansen,” dedi Rifkin, telefonun diğer ucundaki genç kadına.

Kadın ofis numarasını istedi. Bu olağan bir soruydu ve Rifkin hazırlıklıydı:

“286,” dedi.

Kadın sonra “Peki, şifre nedir?” diye sordu.

Rifkin’in adrenalinin etkisiyle zaten hızlı atan kalbi o anda iyice hızlandı.

Duraksamadan yanıtladı, “4789.”

Sonra havale talimatlarını vermeye başladı: New York Irving Yatırım Ortaklığı’ndan Zürih Wozchod Handels Bankası’ndaki hesaba yatırılmak üzere “tam olarak on milyon
iki yüz bin dolar.” Bu hesabı önceden kendisi açtırmıştı.

Kadın söylenenleri not edip, “Tamam, bilgileri aldim. Şimdi de birimler arası takas numarasına ihtiyacım var.” dedi.

Rifkin’in başından aşağı kaynar sular döküldü; bu beklemediği bir soru, araştırmasında unuttuğu bir ayrıntıydı. Ama soğukkanlılığını koruyup her şey yolundaymış gibi davrandı ve hiç beklemeden cevap verdi, “Bir kontrol edeyim; sizi hemen ararım.”

Bu kez bankanın başka bir birimini aramak için tekrar telefonda kılık değiştirerek havale odasındaki bir çalışan gibi davrandı. Takas numarasını öğrendi ve genç kadını yeniden aradı.

Genç kadın numarayı aldı ve, “Teşekkürler” dedi. (Bu koşullar altında, teşekkür etmesi gerekenin aslında Rifkin olması gerektiği söylenebilir.)

Birkaç gün sonra Rifkin İsviçre’ye uçtu, parasını aldı ve 8 milyon dolarını bir yığın elmas karşılığında bir Rus acentesine verdi. Tekrar uçağa bindi ve taşları bir para kuşağına saklayarak A.B.D. gümrüğünden geçti. Tarihteki en büyük banka soygununu yapmıştı ve bunu bir silah, hattâ bir bilgisayar bile kullanmadan gerçekleştirmişti. Tuhaf olan, işlediği suçun bir süre sonra “en büyük bilgisayar dolandırıcılıkları” başlığı altında Guinness Rekorlar Kitabı’nın sayfalarında yer almasıydı.

Stanley Rifkin’in insanları aldatma sanatında kullandığı bu beceri ve teknikler bütününe artık toplum mühendisliği diyoruz. Aslında bu iş için gerekenler özenli bir planlama ve iyi laf yapma yeteneğinden ibaret.”

Kitabın konusu işte bu, –Kevin’in ustası olduğu- toplum mühendisliği teknikleri ve şirketiniz üzerinde kullanılmaları durumunda nasıl karşı savunma yapacağınız.

Her ne kadar sabıkalı bir Amerikalının reklamını yapmak hoş olmasa da, kitabın özellikle sektördeki insanların gözünü daha iyi açabilmesine yardımcı olacağı aşikar.

Ancak nasıl aldatılabileceğimizi görerek, kendimizi daha iyi koruyabiliriz.

Eğer internette korunmak mümkünse…

İsmail Sarbay

Hekim. Opereyşın'ın kurucu ortağı ve isim babası. Görseli yazıya tercih etmesiyle tanınır. Hobilerine titizlikle sarılır.

Sevebilirsin...