Sistemler değil, insanlar 'hack'leniyor

Can Yıldızlı, hacker saldırılarının verdiği zararların büyük ölçüde önlenebileceğini belirtiyor: 'Çünkü sistemler değil, insanlar 'hack'leniyor. Çağımızın hackerları için en kolayı arka kapı, o sistemi kullanan en zayıf halka da insanlar!'

23 Mayıs 2013 Perşembe, 09:18
Abone Ol google-news

Bir hacker’ı gözünüzde nasıl canlandırırsınız? Bilgisayar başında; gözlüklü, göbekli, sürekli pizza yiyen biri olarak mı? Ya da kar maskeli bir figür mü? Yoksa büyük büyük devletlerin şifrelerini kıran bir adam mı?

Hackerlar bize bugüne kadar hep gizemli bir havayla sunuldu, merak ettik, hacker gerçekten kimdir? Ve şimdi, bir hacker’ın şifresini kırmak için, ABD Savunma Bakanlığı Pentagon’a bağlı Siber Suç Merkezi’nin istihbarat problemlerinin çözüldüğü uluslararası yarışmasından ülkesine birincilikle dönen Can Yıldızlı’yla buluştuk. Güvenlik yazılımı uzmanı Can Yıldızlı şu sıralar yeni kurduğu Prodaft adlı şirketle, kurumlara fiziksel güvenlik, yazılım güvenliği ve bilgi güvenliği alanlarında çözümler sunuyor.

Yıldızlı ile buluştuğumuzda, ard arda şaşkınlık patlamaları yaşadık. Doğum günlerimizin aynı olması, ailenin aynı memleketten olması ve daha pek çok “aynı”lık... Bu kadar tesadüf nasıl olabilirdi? Olamazdı, zaten birkaç dakika sonra, şirket güvenliği adına ele geçirilen kimlik bilgileriyle bir punduna getirme durumu yaşandığı çıktı ortaya. “Acaba hakkımızda başka ne biliyorlar” sorusunun tedirginliğiyle röportaja başladık...
 

- Genelde hacker haberi yapılırken hep olağanüstü ve gizemli bir şeyler dönüyormuş havalarına girilir. Nedir bu işi bu kadar gizemli kılan?

Hacker dediğiniz kişi, bilgisayarı sıradan bir insandan daha iyi kullanan biridir. Normalde yapamayacağınız şeyleri bilgisayarla yapabilirler. Diyelim ki dijital ortamdaki bir yarışmaya yüz kişi katıldı, oradan bir hacker çıkıyor, kendisini bir takım teknikler ile birinci yapıyor. Bu tarz yöntemleri, toplumunun yüzde 99’u bilmediği için büyütülüyor biraz. İnternet çok hızlı bir şekilde hayatımıza girdi dolayısıyla interneti kontrol eden biri de gözümüzde büyüyor...
 

- Dijital dünyadaki insanlar üzerindeki algı gün boyu bilgisayar başında geçiyormuş algısıdır, ne dersiniz?

Öyle değil aslında. Hacker’lar bilgisayar başında, gözlüklü, göbekli, sürekli pizza ile beslenen biri gibi de algılanıyor. Bizim ekipte herkes bir uzak doğu sporuyla ilgileniyor. Ben de dört sene ninja sanatıyla ilgilendim, Ercan Şarbat’tan ninjutsu dersi aldım. Hackerlara baktığınızda çoğunun ya sporla ya da müzik aletiyle ilgilendiğini görürsünüz. Piyano çalan bir hackera rast gelmek bile çok olağan.
 

- Günde kaç saat bilgisayar başındasınız?

Daha önceki hacker dönemlerimde günde 26 (!) saat. (gülüyor)... Bilgisayarım hiç kapanmazdı. Belli bir süre sonra bilgisayarın çalışma sesi, fan sesi ninni gibi oluyor, o ses durunca sanki bir şeyler ters gidiyor gibi hissediyordum.
 

- Peki bu arada hayatı kaçırdığınızı düşündünüz mü hiç?

Evet ama bilgisayarda yaptıklarım haz veriyor, program yazıp normal insan zekasından daha hızlı bir şeyler yapan şeyler çıkarmak beni tatmin ediyor. Birazcık ego gibi bir şey sanırım. Bunun dışında meditasyon da yapıyorum.
 

- Dijital ortamda mı?

Hayır, (gülüyor)... Belki sizler kadar her şeyi yerinde takip ederek haz alamıyoruz, ama biz de o tadı bilgisayardan alıyoruz. Bu açıdan da bakmanız lazım. Ben diğer açıdan baktım mesela; fotoğrafçılıkla uğraştım. Dijital dünyayı sürekli takip etmek zorundayız çünkü her gün yeni bir şey çıkıyor ve bu binlerce şirketi etkiliyor. Böyle dinamik bir ortamda roman okuyayım dediğinizde işi kaçırırsınız.
 

- Peki tüm bunların dışında neler yaparsınız?

Annem fotoğraf sanatçısı. Ben de uzun bir dönem fotoğraf çektim. Güvenlik testleri için ise çektiğimiz kameraların çeşitleri ve amaçları değişti; üç boyutlu, dürbünlü son teknoloji ürünü fotoğraf makineleri kullanıyoruz. Seçilmiş en iyi fimleri ve en kötü filmleri izlerim. Müzikle aram iyidir. Klasik müzik, opera, caz, metal, rap her tür müzik dinlerim. Alternatif rock çok severim.
 

- Hayatınızdaki sanattan söz etmişken, işinizle sanat arasında bir paralellik kurun desem...

Bütün parçalar geldikten sonra bir saldırıyı simüle etmekte güzel bir sanat.
 

- Güvenlik uzmanına gündemden bir soru soralım: Cannes Film Festivali’ndeki sanatçıların takması için ödünç verilen mücevherler geçen günlerde çalındı. Güvenlik hat safhada olsa da bu tip olaylar nasıl olabiliyor?

Sonuçta insan rahat kandırılabiliyor. İnsan en zayıf halka olduğu için insan üzerine kafa yoruyoruz. En pahalı cihazları alın, çok komplike bir sistem kurun ama olaya insandan girdiğiniz anda iş bitiyor. Her şeyden koruduğunu iddia eden 150 bin dolarlık ürünler var mesela, hacker giremiyor deniliyor, ama dışarıdan bir kargocu geliyor içeri giriyor ve olay bitiyor. Bu nedenle kontrol noktaları oluşturmak lazım, biraz bilinç kazandırmak da gerekiyor. Ben üniversiteme “Biz fiziksel güvenlik testi yapıyuruz önce bir okulumuzu test edelim” dediğimde “Camları yeni değiştirdik onlar kırılmaz” dediler, camı kırarak içeri gireceğimi zannettiler, işte o noktadan bu noktaya kadar geldik... İnsanları bilinçlendirmeye de devam ediyoruz.
 

- Bu tür olayların önüne nasıl geçilebilir?

Bu tür olaylar var olmaya devam edecek. Bir düşünce yapısı olarak hacker’lık her zaman vardı. Söz konusu olan yalnızca bilgisayar korsanlığı değil. Her türlü sistemin, düzenin, belirli arka kapıları, zaafiyetleri olduğu sürece, bunları dilediği gibi kullanmak isteyenler de tabii ki olacak. Ancak, genel anlamıyla çağımızda yaşanan hacker saldırılarının verdiği zararlar büyük ölçüde önlenebilir. Bunun yolu öncelikle güvenlik bilincinin arttırılmasından geçiyor. Kişisel kullanıcılar, bazı genel uyarıları dikkate kesinlikle dikkate almalı. Kurum yöneticileri ise, körü-körüne ekipman ve yazılım parası vermektense, belirli “güvenlik politikaları” oluşturmalı ve bunları uygulamalı. Çünkü sistemler değil, insanlar “hack”leniyor. Çağımızın hacker'ları için artık en basiti arka kapı, o sistemi kullanan en zayıf halka da insanlar. Bu nedenle kullanıcılara yöneltilmiş politikalar gerekiyor.
 

‘Hackerlık karanlık pazara dönüşüyor’

- Türkiye dijital güvenliğin gerekliğinin farkında mı peki?

Farkında ve bu farkındalık yavaş yavaş artıyor. Obama, siber saldırıyı savaş başlangıçı olarak görüyorum demişti. Gelişmiş ülkelerde farkındalık daha da yüksek.
 

- Kurumlara güvenlik testi yapıyorsunuz. Bu teste bir örnek verir misiniz?

Kuruma neyi korumak istediklerini soruyoruz. Kurum da “Veri tabanınını korumak istiyoruz” ya da “Şu alet çok pahalı çalınmamasını istiyoruz” diyor mesela. Bankalar ve oteller ise daha çok müşteri verilerinin çalınmaması ve bu konuda daha güvende olmak istiyor. Biz de firmaların bilgisi dahilinde saldırıları gerçek bir hacker grubu gibi simüle ediyoruz ve açıklarını kapatıyoruz. Böylece firmalar hackerlara karşı daha güvenli oluyorlar. Testlerimizde ise her türlü yanıltıcı sanatı kullanıyoruz. Ninja sanatı da işin içinde yani. (gülüyor)...
 

- Dijital güvenlik anlamında Türkiye en çok neye maruz kalıyor? Kurumlar, kişiler en çok ne gibi dijital güvenlik ihlallerine uğruyor?

Bizim gözlemlediğimiz farklı saldırı modelleri var. Yüksek profilli suçlardan bahsedecek olursak, şirket veritabanına yetkisiz sızan, önemli bilgileri şifreleyen, ve bu verilerin tekrar açılması için yüksek bedellerde fidye talep eden olaylar ile karşılaşabiliyoruz. Parola değiştirilse dahi, sisteme aşina olan eski çalışanlarca gerçekleştirilen saldırılar da yadsınamayacak derecede fazla. Kişisel ölçekde bakıldığında ise, ortak alanlarda kullanılan kablosuz ağların “sniff” edilmesi ile gerçekleşen önemli bilgi ve kimlik hırsızlıkları gerçekleştiriliyor. Yani; ölçeği değiştirdiğinizde, saldırgan ve saldırı tamamen değişiyor.
Ülkemizde, kişiler, şirketler ve kurumlar, farklı amaçlar ile, farklı yollardan saldırı altında. Ve biz ülke olarak “hacker”lığı, “bilgisayar önünde kar maskeli adam resmi” ile afişe edilen “facebook şifresi çalan çocuklar” olarak görmeye devam ettiğim sürece, kimliğimiz, paramız ve daha da kötüsü, kritik altyapılarımız, tehdit altında olmaya devam edecek.

- Sıradan insan hackerdan ne anlıyor, ne bekliyor? Mesela size ne gibi talepler geliyor, sevgilimin mailinin şifresini kır diyenler de oluyor mu?

Sıradan insan hacker’lığı, “eğlence için kişi ve kurumların sistemlerine giren kişiler” olarak görüyor. Tabi ki bunu “ego” için yapan da birçok hacker var, ancak büyük resim çok daha farklı. Hacker'lık başlı başına bir endüstri, bir karanlık pazar haline gelmiş durumda. Bizim insanımız halen olayı, belirttiğiniz gibi, “benim kız başkasıyla yazışıyor mu bir bak” seviyesine indirgiyor. Diğer bir yandan, biz, ciddiyetimizi ve şirket profilimizi bir ölçüde oluşturmayı başarabildiğimizden dolayı bize bu tür talepler gelmiyor.

Genel anlamda ciddi tehditlerle yüzleşen kurumlar kapımızı çalıyor. Bilgisayarına truva atı sokulduğundan şüphelenen üst düzey yöneticilerden, siber şantaj ile karşı karşıya kalmış holding yöneticilerine, güvenli bir altyapı arayışında olan ufak ölçekli firmalardan, şirket içerisinden çalınan bilginin kaynağına ulaşmak isteyen yöneticilere kadar değişik talepler ile yüzleşiyoruz. Ve bunlara çözüm bularak ülkemiz adına birşeyler yapmak bize çok ciddi bir tatmin sağlıyor.