Canımız Hacker'lara emanet

Ömer Temür İSTANBUL
Bu yıl dördüncüsü düzenlenen Shield Konferansı’nda dünyanın en ünlü siber güvenlik uzmanları, diğer bir deyişle beyaz şapkalı hacker’ları İstanbul’daydı. Çok sayıda uçağı ve Uluslararası Uzay İstasyonunu hack’leyen Chris Roberts, bir dönemin en fazla aranan siber suçlusu Brett Johnson, Pentagon’u hack’leyen Jay Kaplan ve dünyanın en tehlikeli şifre çalma yazılımını yazan Benjamin Delpy siber dünyanın beraberinde getirdiği tehlikelere dikkat çekti. Etkinlikte beni en çok etkileyen şey artık sadece paramızın değil can güvenliğimizin de hacker’lara emanet edileceği duygusuydu. Gördüğüm şuydu: Teknolojinin bir de karanlık tarafı var ve korunmak için şimdiden hazırlık yapmak gerekiyor. Çünkü daha fazla teknoloji daha fazla saldırı anlamına geliyor. Altyapılar hedef hâline geliyor; sürücüsüz otomobiller, drone’lar, konuşan makineler, çipler, yapay zekâ v.s. ile birlikte hayatımız da riske giriyor. Etkinlikte bire bir görüşme imkânı bulduğum Jay Kaplan, hacker’ların artık can güvenliğinden de sorumlu olacağından bahsediyor. 

Kaplan, Pentagon’un savunma sistemini 4 saat içinde hack’leyen Synack’in CEO’su ve kurucu ortağı. Geçmişte ABD Ulusal Güvenlik Ajansı NSA’in terörle mücadele konusunda istihbarat operasyonlarında faydalandığı, NSA’de Kıdemli Siber Güvenlik Açığı Analisti olarak görev yapan Kaplan ile hacker’ların dünyası üzerine konuştuk: 

Pentagon’u hack’lemeyi nasıl başardınız? 
Aslında biz devlet tarafından işe alındık. Beyaz şapkalı güvenlik hacker’larıydık. Amacımız dışarıdan bir göz olarak bir yöntem oluşturmaktı. Pentagon zafiyeti olmadığına inanıyordu. Bizden de kendisine saldırmamızı istedi. Tam 4 saatte hack’ledik. 

Pentagon’u hack’lediğinizde ne tür bilgilere ulaştınız?
Çok önemli bilgilere ulaştığımızı söyleyebilirim. Kritik bilgiler, bunları burada açıklayamam.

NSA ile tanışma süreciniz de bu olayla mı başladı?
Evet. NSA’de terörizmle mücadele amaçlı hacker olarak çalıştım. Ancak bu süre içerisinde birçok şirkette ciddi güvenlik açıkları olduğunu gördüm. Şirketler farkında değiller ama büyük zafiyet içerisindeler. Ben de NSA’den ayrıldım kendi şirketimi kurdum. Synack’i şirketler için tıpkı Uber gibi sadece ihtiyaç durumunda hizmet alınacak küresel bir siber güvenlik uzmanı ağı olarak kurduk. Firmalara zafiyetlerinin olduğunu göstermek ve bu alanda farkındalık oluşturmak istiyoruz. Çünkü onlar zafiyetlerinin olmadığını düşünüyorlar. 

Chris Roberts...  Çok sayıda uçağı ve Uluslararası Uzay İstasyonunu hack’leyen isim. Hacker ve araştırmacı. Uzun yıllardır DarkNet araştırmaları, istihbarat toplama, kriptografi, tehditlere yönelik istihbarat sağlama konusunda uzmanlaşmış bir dizi şirketin kurucusu ya da yöneticisi olarak çalışmış. Uçakları neden hack’lediklerini “Uçakları hack’leyerek insanların can güvenliğine dikkat çekmek istiyorduk” şeklinde cevap veriyor ve ekliyor: Çok uzun süren bir araştırma sürecinde elde ettiğimiz bilgileri hava yollarıyla paylaştık. Ancak bizi dinlemediler. Onlara neler yapabileceğimizi göstermek istedik. Aslında yapmak istediğimiz onlara bir mesaj vermekti. Bu alanda bir farkındalık oluşturmak istiyorduk. İsteseydik uçağı düşürebilirdik. 

TÜRKLER ÇOK YETENEKLİ
Türk hacker’ları nasıl buluyorsunuz?
Beyaz şapkalı hacker’ların bir kısmı dünyanın farklı yerlerinden. Bizim de çalıştığımız çok yetenekli Türk hacker’lar var. Onların bir kısmı ile burada tanıştım. Türkler bize çok yardımcı oluyor. Ancak dünyada siber güvenlik alanında muazzam bir yetenek açığı bulunuyor. 2021’e kadar 3,5 milyonu aşkın açık pozisyon olacak. Şirketler yetenek arıyor ancak buna ulaşmakta güçlük çekiyor. 

Siber ordular kuruluyor. Gelecekte siber savaşlar nasıl olacak? 
Teknolojinin gelişmişlik düzeyi arttıkça saldırı sayısı ve hedefi de değişiyor. Mesela nesnelerin interneti ile saldırılar bağlantılı cihazlara doğru yönelmeye başladı. Genelde amaç para kazanmak. Ancak ideolojik ve siyasi amaçlı olabiliyor. Kritik altyapılar hedef alınıyor. Beyaz şapkalı hacker’ların en önemli görevlerinden biri de can kaybını önlemek olacak.
Yakın zamanda buzdolabı ve TV’lerin DDos saldırılarında kullanıldığına şahit olduk. İleride makinelerin de karıştığı terminatör savaşlarına şahitlik edecek miyiz?
Milyonlarca cihazın saldırı için kullanılması büyük bir tehlike. Büyük zarar verebilirler. Sistemlerin bunu engelleyecek şekilde tasarlanması lazım. 

HACKER’LAR KÖTÜ MÜ? 
Bazı şirketler çalışanlarına çip takıyor. Bir gün biz de hack’lenecek miyiz?
Aslında öyle bir şey yaşanması için daha vakit var diye düşünüyorum. Burada saldırının hangi amaçla yapıldığı önemli tabii. Şu an için bir tehdit olduğunu düşünmüyorum. 
Sık sık firmaların hack’lendiğine dair haberler duyuyoruz? Acaba hacker’lar günah keçisi mi yapılmak isteniyor? Yani firmalar kullanıcılarının bilgisini illegal yollarla satıp suçu hacker’lara mı atıyor?
Tabii ki hacker’ları günah keçisi gibi gösteriyorlar. Aslında şirketler verilerin güvenliğinden sorumlu. Veriler kaybolsun veya kaybolmasın hiç önemli değil. Firmalar yapması gerekenleri yapmadıkları için böyle olaylar oluyor. Gerekeni yapsalar hack’lenme diye bir olay olmaz. Bir de şahıs bilgilerinin gizliliği gibi bir durum var. Kameraya mikrofona erişim gibi. Bu gizlilik ihlalidir. Esas düşünmemiz gereken bunların başka amaçlara alet edilmesi.