Koca Koca Şirketleri Hackleyip Bilgilerinizi Çalan ‘Çocuk’ Yaştaki Hackerlar Bu İşi Nasıl Yapıyor? İşte Dark Web’de Dönenler…
Günümüzde hack üstüne hack olayı yaşanıyor diyebiliriz. Hal böyle olunca siber güvenlik hakkında bilgisi olmayan kişiler, kişisel verilerinin ele geçirilip kötü amaçlarla kullanılacağı ihtimalinden, bilgisi olan kişilere göre daha çok endişe duyabiliyor.
Tabii ki bu meselelerle ilgili bilgisi olanlar da her geçen gün gelişen bilişim suçları karşısında, koruyucu güvenlik önlemlerini almada yetersiz kalabiliyor. Mesela geçtiğimiz günlerde GTA 6 görüntülerini sızdıran 17 yaşındaki bir hacker, Londra polisi tarafından tutuklandı. Türkiye’de de Twitch gibi platformlarda zaman geçirip hack üzerine birbirine tavsiye veren yaşı 15-18 civarlarında ciddi bir hack meraklısı kitle var.
Siber güvenlik; bilişim, IT ve OT sistemleri ile bu sistemlerde işlenen verilerin, siber uzaydan kaynaklanan tehditlere karşı sistematik bir şekilde korunmasıdır.
Genel olarak hack olayının arkasında farklı motivasyonlar yatabiliyor.
Hackleme “sektörüne” henüz yeni giriş yapmış, bizim script-kiddies dediğimiz amatör ekip, sırf yeni yeteneklerini geliştirmek/göstermek ve bunun tatminini yaşamak adına hack yapıyor. Devletlerin, vatandaşları üzerinde istihbarat ele geçirme faaliyetlerine karşı yapılan hackleme, bu faaliyete ve arkasındaki otoriter/totaliter zihniyete karşı gösterilen bir direnç olarak öne çıkabiliyor.
Öte yandan, devlet destekli aktörler, tehdit olarak algılanan gruba ve diger devletlere karşı hackleme yapabiliyor. Ki bu faaliyetler, siber uzayda yaşanan mühasemat (hostility hukuku) hukukunu ilgilendiriyor.
Hacklemenin nasıl yapıldığı ise cok geniş ve girift (karmaşık) bir konudur.
Özetle; bilişim sistemleri, süreçler, organizasyonel yapılar ve insanların bilinç düzeyindeki açıklar suistimal edilerek siber saldırı yapılıyor. Örneğin, internete erişim sağlayan bir modem yada router’in doğru konfigüre edilmemesi hack için bir açık demek. Keza kendisine gönderilen her linki tıklamaması gerektiğini bilmeyen bir çalışan da hackleme için önemli bir açıktır.
Hacklerin beyaz, kırmızı ve gri denilen kısmı, hack eyleminin kötü niyetli olup olmamasına göre yapılan bir sınıflama.
Hedeflediği şirketin açıklarına dikkat çekmek isteyen ve siber saldırıyı şirketin rızası dahilinde yapan hacker beyaz şapkalı hackerdır. Siyah şapkalı hacker, zarar verme amacıyla siber saldırı düzenler. Gri şapkalı hacker ise kendince iyi niyetle siber saldırı yaparak şirketi, açıkları konusunda uyarmak ister. Ancak o, yasal olmayan bu faaliyeti, şirketin (veya diğer bir organizasyonel yapının) yöneticilerinin izni dahilinde yapmaz.
Bilgilerimizin ele geçirildiğini, gelen mesajlar ve doğrudan yapılan iletişimler hariç; hacker, bilgileri bir sitede yayınlarsa anlarız.
Ayrıca Avrupa ve ülkemizde kişisel verilerini kaptıran şirketlerin/organizasyonların ilgili makam ve kişilere hacklendiğini bildirme yükümlülüğü vardır. Son aşama olarak, özellikle kullanıcı adı ve şifreler, dark web’de satışa sunulmaktadır. Dark web’i kapsayan bir arama motoru veya siber tehdit intelligence faaliyetleri sayesinde böyle bir şeyin olup olmadığından haberdar olabiliriz.
Bence kullanıcıların bireysel siber güvenlikleri hakkında bilgilendirilmesi için sistemler, bireylerin bilinçsiz olduğu varsayımı üzerine dizayn edilmeli ve yapılandırılmalı.
Bu çercevede, security by design ve security by default prensipleri öne çıkıyor. Yani bir haberleşme programı, mesajları dogrudan enkripte ederek (gizleyerek) iletmeli. Bunun için ayrıca bir kullanıcı eylemi veya tercihi gerekmemeli.
Bunun haricinde, ilgili meslek örgütü ve sivil toplum kuruluşları, çok teknik terimlere boğmadan yazılmış, görsellerle desteklenmiş sanal broşürlerle kullanıcıları bilinçlendirebilir. Ayrıca, bir app yüklendiğinde veya system kurulumu yapıldığında, açılır pencerelerle (pop-up screen) siber güvenlik konusu hatırlatılıp yönlendirme yapılabilir.
Hacklendiğini anlayan kişi, bilişim suçları bürosuna şikayette veya görevli savcılığa suç duyurusunda bulunabilir.
Kişiyi korumakla yükümlü olan entite (varlık) veya şirket ile de temasa geçilip hesap sorulabilir. Dijital forenzik (adli bilişim) gerektirmeyen çok hassas bir kurum değilseniz yapılacak ilk hamle, hacklenen sistemi ağdan ayırmaktır. Özellikle siber dünyadan uzak bireylerin, zararın boyutuna göre bir uzmana danışmalarını ve duruma göre legal departman veya avukatla hareket etmelerini tavsiye ederim.
Şifrelerin tavsiye edilen değiştirme sıklığı 6 ayda birdir. Karmaşık olması gereken şifre; en az 12 karakter, büyük harf, küçük harf, rakam ve özel işaretler içermeli.
Bu şekilde bir şifrenin kırılma süresi, günümüz bilgisayarları için 54 yıl sürer. Quantum bilgisayarları bu süreyi önemli ölçüde değiştiriyor ama.
Sitelere kayıt olurken, herhangi bir hacklenme durumunda hangi bilgilerimizin ortalığa saçıldığı hakkında ilgili internet siteleri, Kişisel Verilerin Korunması Kanunu çerçevesinde bize bilgi verme yükümlülüğü altındadır.
Bunun haricinde, bilgilerin mahiyetini ve kapsamını dark web’de açığa çıktığında veya ransom yani fidyeye konu edildiğinde öğrenebiliriz. Verileri teslim ederken, teslim alan kuruluşun güvenilirliğini irdelemek önemlidir. Ayrıca, karmaşık bir şifre oluşturup kimlik doğrulama yaptıktan sonra veriler teslim edilmelidir (özellikle online platformlar için). Çalınan veriler genelde -az önce de söylediğim gibi- bir bütün halinde dark web’de satılır. Siber suçlular bunları oradan satın alır. Sözleşmelerdeki boşluklardan yararlanan dev şirketler de (Facebook, WhatsApp) üçüncü kişilere kendi veri havuzunu açabiliyor.
Çalınan veriler, kişiselleştirilmiş reklam sunmada, veriyi rehin tutarak fidye talep etmede kullanılabiliyor. Çalınan kredi kartı verisinin ise dolandırıcılık ve hırsızlıkta kullanıldığını görüyoruz. Kimlik ve erişim verilerine ise kritik sistemlere uzaktan erişim sağlama amacıyla işlem yapılabiliyor.
Yapay zeka entegre edilmiş big data system ve programlar, açık veya kapalı kaynaklardan veriyi elde edebiliyor.
Dev IT şirketleri bunu yasal yollarla yapmaya çalışıyor. Örneğin, ”sunduğumuz hizmetten ücretsiz yararlanacaksan verilerine erişime izin ver“ gibi bir hüküm dikte ediyor. Bu şekilde elde ettiği veriyi, yapay zeka ile analiz edip kişiselleştirilmiş içerik sunuyorlar. Misal henüz aramasını Google üzerinden yaptığımız bir ürünün benzerlerinin, YouTube programında reklam olarak karşımıza çıkması bu kapsama giriyor.
Türkiye’de bilişim suçlarından mağdur olan kişi ve kurumların mağduriyeti eksenli bir hukuk şekillendi. Ancak maalesef özellikle şirketlerin, verileri muhafaza etme yükümlülüğünü düzenleyen hukuki altyapı fevkalade yetersiz.Diğer bir deyişle, yüksek güvenlik pratiklerini edinme, şirketlerin iyi niyetine kalıyor daha çok.
Ayrıca bilgiyi koruma ve mahremiyet, henüz ülkemizde yerleşen bir hassasiyet değil. Aksine, devlet kavramı adeta bilgilerin depolanması, paylaşılması ve teslim edilmesi üzerine kurulu. Bilginin korunmasına dair birey lehine hukuki güvenceler ise tam olarak netleştirilemiyor. Bu konuyla ilgili son yıllarda çalışmalar yapılsa da yine de kişisel verilerin korunması adına daha fazla önleme ihtiyaç var.
Bazen haberlerde çıkan devletlerin vatandaşlarına ait kimlik verilerinin internete düştüğü haberlerinin doğru olduğu düşünüldüğünde, devletlere ait hassas verilerin çok güvende olduğunu düşünmüyorum. Siber suçlular kendilerini anonim kılmak adına VPN ve Tor gibi teknikler kullanıyor. Bu yöntemleri aşarak suçun arkasındaki gerçek IP veya MAC adresini tespit etmek de çok zor.
ÖNERİ: İllegal yollarla hack yapmanın bir suç olduğunu tekrardan hatırlatalım. Bu yazımızda usulsüz yapılan hack’in ne kadar yanlış olduğunu göstermeyi amaçladık. Bir şirketin bünyesinde çalışan beyaz yaka hacker değilseniz bu işlere bulaşmamanızı öneririz.