Bruxelles Korner
Zehra Özer
İki çeşit Hackerlar vardır, "siyah şapkalı" hackerlar var onlar kötü niyetli olanlardır dijital alanda soygun veya vandalism yaparlar. Ama aynı şeyi yapan "beyaz şapkalı" hackerlar da vardır, bunlar iyi niyetli olanlarıdır. Her ikisi de aynı becerilere sahiptirler. Sadece sizlerin onları hangi amaçla görevlendirdiğinize bağlıdır. Günümüzde giderek beyaz şapkalı hackerları duyar olduk, buda tabunun giderek kaybolduğu anlamına geliyor. Bugün sistemlerinin ne kadar sağlam olduğunu test etmek için, Windows, Android veya Facebook’a saldırdığınızı yüksek bir sesle söyleyebilirsiniz. Dahası var, onlara gerçek bir sızıntı noktasını gösterebilirseniz eğer bunun için bir ödeme bile alabilirsiniz.
Kim bir güvenlik danışmanı olarak işe başlarsa veya kim kalem-testi (Penetrasyon testleri-Sızma testleri) yapar ise, finansal olarak büyük endişeler altına girmeyecek. Ama aynı zamanda daha az temiz olan tarafında da para var: FBI ya da kriminal bir çete bir iPhone’nun güvenliğini kırmak istediğinde, bu işte büyük para vardır. Yolunuzu siz kendiniz belirlemelisiniz.
"Bu konuda zayıflık yapmayalım ve gerçekci olalım, eskiden bu işler çok daha cazibeliydi," dedi Güvenlik Yürütme Sogeti Lüksemburg Başkan Yardımcısı Vincent Lawrence. Yakalanma ve cezaevinde düşme rizkiniz çok daha azdı ama bunun sınırını siz kendiniz belirlemelisiniz. Ben bir müşterimden profesyonel bir sözleşme kabul ettiğimde kötü tarafını düşünemezdim. Riskin var olduğunu kabullenmelisiniz ve bu riskleri önleyebilmek için hangi yöntemleri kullanmanız gerektiğini belirleye bilmelisiniz," dedi.
Lawrence’e göre hackerlar için para ilaki söz konusu değildir: "Hackerlar sadece hackleme işine odaklanan tutkulu insanlardır." Daha fazla para kazanmak için bu işi yapmazlar mi peki? "Para temellerinde yatan bir şey değildir. Bugünün etik hackerları maaşları için endişe etmemeleri gerekiyor, bu nedenle çoğu zaman onların kötü şeyler yapmaları için riske girmelerine değmez. Fakat organize suçlar her zaman var olacaktır, ama bugünüzde o tarafı tercih etmeleri onlar için eskisinden çok daha az cazibelidir. "
Noel tatilinde hackleme ye başladı
Aynı tutku Inti De Ceukelaire’de de vardı. Aalstlı genç, Ketnet kanalına ait KetnetKick oyununun parametrelerini değiştirerek hileli kazanmayı başardığında, bu işin tam kurdu oldu. Daha sonra flash oyunlar ile aynı şeyi yaptı ve 15 yaşında bir genç olarak, o zamanda henüz (kırılması mümkün değil gibi görünen) PSP oyununun kilidini kırarak oyunu jailbreak etmeyi başardı. Jailbreak demek bir program sayesinde oyunun yazılımını kırmak ve içindeki dosyalara erişebilmektir. O sızıntıyı bir hacker birliğine rapor etti ve böylece hacklemenin tabu olmadığı bir toplumun içine girmeyi başardı. “Google, 2011 yılının kış aylarında, sızıntıları bildiren hackerlara üçret ödemeye başladığında, bende acaba bu yoldan bir şeyler kazanabilirmiyim diye bakmak istedim,” dedi Inti De Ceukelaire.
"Ben tüm Google'un envanterini düzenlemeye başladım ve her şeyi denedim. Bir buçuk gün sonra bir hata buldum, bulduğum bu hata bana yüz dolar kazandırdı. Aramaya devam ettim ve bir hafta içinde 11 sızıntı keşfetmiştim bu da bana 1200 dolar kazandırmıştı. Ben o zaman 16 yaşındaydım ve biraz ekstra para kazanmam için güzel bir deneyimdi," dedi De Ceukelaire. Facebook’ta benzer bir program ile başladığında onu da ele aldı, De Ceukelaire kendi değişiyle Yahoo sayesinde çok şey öğrendiğini iddia ediyor.
"Benim için Yahoo bir oyun bahçesiydi. O kadar çok kötü program edilmiş kodları bulunuyordu ki ben Yahoo sayesinde hacklemeyi çok güzel öğrenebildim. Yahoo’nun o kadar çok sızıntıları vardı ki sistemlerini ayıklamak için okulda derslerimi aksattım. Onların son zamanlarda, 500 milyon hesapların şifreleri yeterince korunmadığını ve herkesin kolaylıkla erişebileceğini itiraf etmeleri beni hiçte şaşırtmadı."
De Ceukelaire gri bölge varlığının farkında olmasına rağmen, kendisinde suçlu tarafa yönelme refleksinin olmadığını söylüyor. "Ben bu işe başlamadan önce şirketler dahil olmak üzere çoğu bankaların sistemlerinde bile, bir dizi sızıntılar keşfettim. Çoğu zamanlarda bu keşiflerim için iyi yanıtlar aldım. Ama amacında kötü bir niyet olmasa bile bu işte her zaman cezaevine düşme riskini taşıyorsun."
Inti De Ceukelaire tüm tecrübesine rağmen bugün yirmili yaşların başlarında bir genç olarak bir güvenlik profesyoneli değil, bu bilinçli bir seçim. "Ben VRT kanalında, yaratıcı geliştirici olarak çalışıyorum. Bu ortamda birçok insanın yaptığı gibi hobi ve çalışma alanımı birbirinden ayrı tutmak benim içinde önemlidir. Aksi takdirde, bende hacklemede daha fazla yaratıcı olmazdım. Ben mesela örneğin, eğer bugün güvenlik konusunda bir sunum yapmış olsaydım, aynı gün içinde hack yapamazdım. Kafam dolu olurdu. Ben bir hackleme işinde tam zamanlı çalışıyor olsaydım, o zaman (burn-out olurdum) tükenirdim. Hackleme çok yaratıcı bir şeydir ve gün sırasında elinizden gelen başka bir işte çalışmanız sizin için daha iyidir."
Destek almak ve yönlendirilme
Bizim Laurens ve De Ceukelaire’ye inanmamız gerekiyorsa, hackleme esasında bir tam tutkudur. Gerçi hacklemede biraz destek alarak yönlendirilmeniz kuşkusuz şarttır. Buda, Yüksek Eğitim Okulu Howest’te, ‘Bilgisayar ve Siber Suçu Professional Uygulamalı Bilişim’ profesörü olan Kurt Callewaert’tın alanıdır. Bati Flaman bölgesinde bulunan Howest Yüksek Eğitim Okulunun 270 uygulamalı bilgisayar biliminin birinci sınıf öğrencilerinden 200’ü şimdi hacker olmayı seçti. Ama bu kişisel ve farklı bir yaklaşım gerektirmektedir. Yasadışı uygulamalarda yakalananlar derslerden ihraç edilir.
"Biz öğrencilerimize derslere başladıklarında, bilgilerini kötüye kullanmayacaklarına dair bir belge imzalatıyoruz. Biz onlara tadını çıkarabilecekleri özel bir ağ üzerinde zorlukları yenme imkanı ve staj veriyoruz. Ama öğrencilerimiz akşamları ve hafta sonları da bu alanda çalışmak istiyorlar, bu isteklerini karşılayan programlarımız mevcut. Aslında Belçika'da yasaktır, ama ABD’de şirketlerin çoğu talep eden taraf olduğu için bizde halkımızı o yöne doğru yönlerdirmeye çalışıyoruz. Genellikle başarı ile yönlerdiriyoruz. Belçika'da bir çok sistemin ve sitelerin güvenlik sorunları vardır, ama bizim onlara dokunmamıza izin verilmiyor," dedi Callewaert.
Doç.Callewaert bu arada Howest Yüksek Egitim Okulu ile bir inisiyatif sunarak Hackmysite.be sitesini kurdu. Burada şirketler öğrencilerin güvenlik açıklarını bulmaya çalışmaları için izin verebiliyorlar. "Her şey hazırdır ama biz öğrencilerimizi riske atmak istemediğimiz için henüz resmi olarak çalışmalarımızı başlatmadık," dedi Callewaert. O bu projeyi ideal ve geçici bir çözüm olarak görüyor, özellikle KOBİ'ler (Küçük ve Orta Büyüklükteki İşletmeler) için. "Sızıntılarını tespit etmeye KOBİ'lerin pahalı danışmanlara başvurmaları için fazla bütçeleri yoktur, bizde ise Etik Hacker olmak istiyen 350 genç var. Onlar sınıfta gördükleri dersten ziyade daha yenilikçi bir şekilde deneyimlerini geliştirmek istiyorlar."
Şu anda, Cybersecurity Belçika Merkezi (CCB), bir rehber üzerinde çalışıyor ama Callewaert tam teşekküllü bir mevzuat bekliyor. "Eğer hacklediğiniz zaman, sık sık gizlilik mevzuatına yaklaşmış olacaksınız buda tutuklanmanıza sebep olabilir. Ama biz bugün sorunlarının varlığını bile bilmeyen birçok şirketlere yardımcı olabiliriz" dedi. Bilişim Doçenti etik hacklemeyi yasal çerçeve içine almayı çok kazançlı görüyor. "Eğer sık sık bulunan sızıntıları karşılığında Facebook ve Google’un ödedikleri primlerinin kaç olduğuna bakacak olursak, ozaman ülkemizdeki şirketlerin ne sızıntıları olabileceğini bilmek bile istemeyiz. Yasal bir çerçeve ile hemen daha fazla kaynaklarımız ve piyasada çok daha fazla insanlarımız olacak dolayısyla bizimde kendinden çok daha emin olan mezunlarımız olacak, " dedi.
Hollanda'da keşfettiği bulguları rapor etmek isteyen etik hackerlar için bir rehber bulunuyor. Böylece, etik hackerlar hiçbir bulguyu istismar etmediğini kanıtlamak zorundadır. Ama aynı zamanda Belçika'da da, bu alanda gelişmeler var. Böylece, Dijital Agenda Bakanı Alexander De Croo, Datanews.be de verdiği son bir röportajında Hollanda’nın yaklaşımını desteklediğini açıkladı. "Belçika'da Siber Güvenlik Merkezi şu anda böyle bir kod üzerinde çalışıyor. Ben bazı şeyleri test edebilmemiz için açıklık olması gerektiğini düşünüyorum, ama biz burada gri bir alana dokunduğumuzun gerçeğine karşıda kör olmamalıyız. "
De Croo’da Hollandalı örneğini fena bulmuyor ama aynı zamanda rehberde dikkatli bir tarama uygulanması gerektiğinin farkında. "Her şey gerçekten rapor edilebilmeli. Tüm bu koşullar rehberde vardır, buna katılıyorum. Ama bu yeni anlayışlar ile çalışmak ve dikkatli olmak zorunda olduğumuz bir etki alanıdır. Şimdi gerçekci olalım. Her şirket bugünlerde siber saldırı tehdidi altındadır – sadece büyük olanlar değil. Endüstrideki rakamları talep edersek, siber saldırıların yüzde 60’ının "KOBİ'lere yapıldığını görüyoruz."
CCB merkezi şu anda etik hacklemenin davranış kurallarını hazırlıyor. "Ben yıl sonuna kadar bu kuralları gözden geçirerek, bu alanda nasıl ilerleyebileceğimizi çözmeliyim," dedi. De Croo'ya göre şirketler hukuku yönünü beklemek zorunda değildir: "Bazı önde gelen Belçikalı şirketler bu uygulamamızın karşılığında olumsuz birşey görmediklerini açıklasalardı, bizim içinde bunun üzerinde ilerlemek daha enteresan olurdu. Böylesi ortamlarda biraz tevazu göstermek zorundayız. Siber güvenlik alanında yanılmaz olduğunu söylemenin hiçbir değeri yoktur. Buna açık olmak sizin bu sorunu önemli bulduğunuzu ve sistemin iyileştirilmesi için hazır olduğunuzu gösterir bence," dedi De Croo.
Yorum Yazın