Siber güvenlik ve ilintili mevzular, yazılı ve görsel basında giderek daha fazla yer bulmaya başladı. Gün geçmiyor ki, falanca hacker grubunun filanca kamu kurumunun sitesine yapacağı siber saldırıyla ilgili tehditkâr açıklamaları medyamızda boy boy yer almasın, gerçekleştirilen saldırılar, iri punto ‘flash… flash… flash…’ tamtamları ile beraber haberlere düşmesin.
Siber güvenliğin, artarak toplumun gündeminde üst sıralara tırmanmasına sevinmemek, medyamızın siber güvenliği, özelde ulusal güvenliği ilgilendiren olaylara çok daha hassas davranmasını takdir etmemek mümkün değil. Her mekan ve zamanda söyleyegeldiğimiz, ‘Ulusal/kamusal/özel çapta fark etmez, siber güvenlik stratejisinin en önemli maddesi farkındalık yaratmaktır’ önermesinin altını bir nebze de olsun dolduran gelişmeler bunlar.
Peki madalyonun diğer yüzü yok mu? İlgili konularda yapılan tartışmalara, yorumlara, ‘uzman’ görüşlerine bakılacak olursa, madalyonun bir yüzü daha var, ve pek iç acıcı değil açıkçası. Nitelik/nicelik oranlaması yerlerde sürünüyor. Konu gündeme geldiği sayıya orantılı, kaliteli tartışılmıyor.
Kamuoyuna yapılan bilgilendirmelerin niteliği çok düşük seviyelerde. Kavramların yerli yerine oturtulmadığı, bir terimden herkesin aynı manayı devşirmediği ortamlarda sağlıklı fikir yürütmeler yapılamaz. Sağlıklı fikir yürütmelerin yapılamadığı zaman, sağlıklı tartışma mümkün değildir. Harmoni yerini kakofoniye bırakır.
Sözün özü, siber güvenlik üst başlığı altında kamuoyunda doğru bilinen birçok yanlışın olduğu tartışma götürmez bir gerçek. Dernek bize bir köşe ayırmış, bunu efektif kullanma adına işe, bu yanlışları düzelterek başlayalım dedik. Doğru bilinen bu kadar yanlışı düzeltmeye ömrüm vefa eder mi bilinmez, ama biz gene de bir kenarından başlayalım istiyorum. Peşinen söyleyeyim, kimseye akıl öğretmek, bu siber güvenlik işi benden sorulur abiler kabilinden ukala triplere girmek (bizim açık kaynak ve siber güvenlik camiası buna çok alışkındır) gibi bir niyetim yok. Amacım, sadece ve sadece, 14 senelik saha tecrübesinden süzülenleri paylaşabilmek, o kadar.
Gelelim en meşhur siber güvenlik yanlışına. Terimler dedik ya, işe en meşhur yanlışlardan biriyle başlayalım. Konunun bir numaralı aktörüyle, ‘hacker’ ile yani…
Hacker, kamuoyunda yanlış bilinen şekliyle, siber saldırıları yapan kişileri tanımlamak için kullanılan genel bir terim. Bir sitenin ana sayfası değiştirildi, kim yaptı? Hacker’lar. XYX Holding’in piyasaya yeni süreceği ürünün marketing belgeleri çalındı. Kim yaptı? Hacker’lar. Bu nev’i yüzlerce sorunun muhatabı ulu bilge kişi.
Fakat, işin tekniğine vakıf olanlar bilirler ki, siber saldırıları gerçekleştiren her kişi hacker değildir aslında… Birini, hacker olarak tanımlayabilmeniz için, onun bayağı bir fırın ekmek yemiş olması gerekiyor. Bilinenin aksine, bu saldırıları gerçekleştirenler çoğunlukla aslında çok da derinlemesine teknik bilgisi olmayan (leetspeak, l33t hax0r skill’leri olmayan), cracker veya lamer (script kiddie) tabir edilen güruha dahil kişiler. Bu genel düzeltiyi yaptıktan sonra, biraz daha detaya girebiliriz.
Hacker tabir edilen kişiler, bilgisayar donanımları, yazılımları ve işletim sistemleri hakkında derinlemesine bilgi sahibi kişilerdir. Bu bilgi o kadar derindir ki, hacker’lar sistemlerin nasıl çalıştığı kadar, nasıl çalışmadığını da en ince detayına kadar bilirler. Yazılımın ve/veya donanımın zaaflarını, normal çalışma deseninin (İng. normal code of execution) dışına nasıl çıkarılabileceğini çok iyi bilirler. Yazılımlarda ve/veya donanımlarda buldukları zafiyetlerin nasıl istismar edileceği ile ilgili yeni yöntem ve metotlar keşfedebilirler.
Hacker tabir edilen zevat kendilerini çok iyi yetiştirmiş mühendislerdir. Kendilerini yetiştirmiş diyorum, çünkü bu seviyede bilgi ve beceri hiçbir bilgisayar mühendisliği lisans/yüksek lisans programında verilmez. Üniversite eğitiminde alınan temelin üzerine çok katlı bir bina yapmak gerekir bu seviyeye gelebilmek için.
Hacker’ların asıl işi bozmak değil, yapmaktır aslında. Yok etmek değil, üretmek. Üretmeyi çok iyi bildiklerinden dolayı, ürettiklerini nasıl yok edeceklerini de en iyi onlar bilirler. 110 katlı çelik bir gökdelenin ‘saniyeler’ içerisinde nasıl yerle bir edileceğini, en iyi onu inşa eden mimarı, değilse bir meslektaşı bilir, değil mi?
Hacker’lardan gücün karanlık tarafına (Dark side of the Force) geçenlerinin sayısı çok azdır. Genel itibariyle bilgi, birim ve enerjilerini insanlığın iyiliği için kullanırlar. Bu bağlamda, Unix’in yaratıcıları Dennis Ritchie ve Ken Thompson, Brian Kernighan, eski Minix hacker’ı ve Linux çekirdeğinin yaratıcısı Linus Torvalds, Free Software Foundation’un kurucusu ve Emacs’in yazarı Richard Stallman, gerçek birer hacker olarak isimlendirilebilirler…
Hacker’lar kadar bilgi ve becerileri olmasa da, bilgisayar sistemlerine sızma ve ele geçirme konularında normalin üzerinde bilgi ve becerisi olan zevata da ‘cracker’ deniyor. Gücün karanlık tarafına geçen hacker’lar kümesi ile elit cracker kümesi bazen kesişebilse de, genel itibariyle cracker’ları black hacker’lardan ayrı tutmayı yeğliyorum. Bilinen ilk internet solucanının yazarı Robert Tappan Morris, gücün karanlık tarafına geçmiş, çok iyi derecede bilgi sahibi bir hacker tabir edilebilir. Elit bir cracker olduğu su götürmez bir gerçek olsa da, dünyanın gelmiş geçmiş en iyi hackerı olarak yedi düvele nam salmış Kevin Mitnick’i, bilinenin aksine hacker kümesi içinde değerlendirme imkanı çok yoktur. Doğru olup olmadığı net olmasa da, underground’da Mitnick’in başkalarından kendisi için exploit derlemesini bile istediği, bazen sosyal mühendislik gibi ‘l33t’ olmayan yöntemlerle işlerini gördüğü yönünde eleştiriler bulunmakta.
Cracker’lar ise hackerların rağmına yapmaktan çok bozmaya odaklanırlar, üretmekten çok yok etmeye. Fakat, bozmak ve yok etmek dahi belli seviyede zeka ister. Savaş var savaş var, kavga var kavga var. Kung-fu bir kavga sanatı değil mi? Sun Tzu, ‘The Art of War’ isimli kitap yazmış seneler önce. Demek ki, bozma ve yok etme dahi strateji, zeka ve azim gerektiriyor.
Bir de, ‘script kiddie’, ‘lamer’ gibi isimlendirmelerle tasvir edilen bir kısım zümre daha var. Türkçe ifadeyle çaylak diye de isimlendirebileceğimiz bu kişiler, çoğunlukla başka cracker’lar tarafından tespit edilmiş yol, yöntem, program ve betiklerle ve çoğunlukla kötü amaçlarla bilgisayar ve ağ sistemlerine sızar, yetkisiz erişim sağlarlar. Bilgisayar sistemlerine sızma, ele geçirme merakı yeni uyanan ve amiyane tabirle yeni yetme (İng. newbie, n00b) denebilecek kişiler eğer sınıf atlayıp Cracker’lığa terfi edememişlerse, mütemadiyen bu sınıfta hayatlarını geçirirler.
Bir şirketin sistemlerine sızmanın, başkalarının gizli dehlizlerinde dolaşmanın sebebi olan ‘merak’ duygularını, faydalı nehirlere akıtmayı öğrenemeyenler maalesef, kendilerini yaptıkları ‘gizemli, efsunlu’ işin yalancı büyüsüne kaptırıp, hayatlarını heder ediyorlar.
Şimdi, yeniden sözün başına dönüp, olayı özetlersek; medyada bilişim güvenliği ihlallerinin olağan şüphelisi olarak lanse edilen hacker’lar masumdur. Gürültünün çoğu, tool kullanıcısı ‘ing. Script kiddie) ve cracker tabir edilen kesim tarafından çıkarılmaktadır.
Efe Germiyanoğlu
İstanbul, 23 Temmuz 2012