KKTC'deki siber güvenlik konferansında şifremi kaptırdım. 'Beyaz hacker'ların 'gösteri' amacıyla şifremi ele geçirmeleri 3 dakika sürdü.

26 Nisan 2014

KKTC’de siber güvenlikle ilgili iki günlük konferansta pek çok konu uzmanlar tarafından anlatıldı. Sunumların çoğu normal bir bilgisayar kullanıcısı için çok teknikti. Ama konferansa katılan ‘beyaz hacker’ların deneme amaçlı yaptığı casusluklar inanılacak gibi değildi. Ortak ağdan internete bağlanıldığında yazılan bir şifreyi ele geçirmek birkaç dakika sürdü. Facebook ve Twitter’daki özel yazışmalara dahi ulaşmak mümkündü.
Kıbrıs’taki Cratos Otel’in Bilgi Güvenliği Uzmanı Kasım Erkan, 2 yıldır kişisel girişimleriyle siber güvenlik konusunda konferans düzenliyor. 24-25 Nisan tarihlerinde yapılan ‘CypSec’14’ adlı konferansta siber güvenlik konusunda birçok uzman, ilgi alanlarıyla ilgili konuları anlattı. Siber güvenlik açıkları, adli bilişim, yazılım hataları, sistem açıkları gibi oldukça teknik konular konuşuldu. Kıbrıs’ın Ulaştırma Bakanlığı, emniyet ve askeri teşkilatının bilişimle ilgili kişileri de konferansa katıldı. Erkan’ın anlatımlarına göre, Kıbrıs’ta özellikle firmalar ve bankaların siber güvenlik deneyimleri ve bilgi birikimi Türkiye ’deki gibi değil.
Konuların teknik ayrıntıları, normal bilgisayar kullanıcılarını çok aşıyor. Beni de aştı. Ancak birçoğu ‘beyaz hacker’ sayılan siber uzmanların yapabildikleri görenleri şaşırtıyor. Bilgisayar dehası bu kişiler, bilgi birikimlerini kurdukları şirketlerle kamu adına faydalı şekilde kullanmayı amaç edinmiş durumda. Konferans sırasında tanık olduğum bazı ‘casusluk’ numaraları bile işin ne derece kritik boyutlarda olduğunu ortaya koymaya yetti.
İnternet üzerinden tüm gazeteleri okumayı sağlayan ‘readjournal’ adındaki sisteme Uluslararası Kıbrıs Üniversitesi’nin wifi ağından bağlanarak girdim. Kullanıcı adımı ve şifremi yazdığımda oturum açıldı. Yanımda oturan Prodaft Siber İstihbarat’tan bilgisayar mühendisi Ahmet Can Kan, kendi yazdıkları bir uygulamayla, kullanıcı adı ve şifre girerek açtığım sisteme girmeyi başardı. Başka bir programla da şifremi bana göstermesi yalnız 3 dakika sürdü. Kan, konferans sırasında o anda kimlerin hangi siteleri ziyaret ettiğini öğrenerek tablet bilgisayarından bana da gösterdi.
Bilgi Güvenliği Akademisi’nden Huzeyfe Önal da bilgisayarından, kullandığım oturuma girerek şifremi bana gösterdi. Şifre doğruydu. 

Ortak ağ uyarısı
Her iki uzmanın da ilk uyarısı, “Ortak ağlardan önemli bilgilerin yer aldığı, şifre gerektiren sitelere giriş yapma” oldu. Uzmanlar buna benzer yöntemlerle banka şifrelerinin çok kolay çalınabileceği konusunda uyardı. Önal da konferans süresince kimlerin (IP adresleri) hangi IP adreslerine saldırdığını (sistemine girmeye çalıştığını) izliyordu. 

Yeni düzenin parası: Bilgi
2007’den bu yana siber güvenlik konusunda çalışan bilgisayar mühendisi Önal, internetin giderek daha güvensiz hale geldiğini söyleyerek şu uyarılarda bulundu:
“İnternet üzerinden her türlü kişisel bilgiye ulaşmanın yolu var. Twitter, Skype, Whatsapp, Facebook üzerinden her türlü yazışmaya ve şifreye erişilebilir. Belki tüm kişiler değil ancak hedefte olan birinin bilgilerine ulaşılabilir. Şimdi firmaların çoğu SMS doğrulama sistemi kullanılıyor. İlk aşamada bunu kullanmak faydalı. Tek kullanımlık şifreler kullanılabilir. Bireysel mahrumiyeti korumak zorlaşıyor. Yeni dünya düzeninin para birimi artık bilgi. Para alışverişi yapılmıyor bilgi karşılığı değiş-tokuş var.” 

10 bin firmada açık
Amerikan İstihbarat Birimi NSA'dan sızdırılan dökümanlardaki casusluk olaylarıyla ilgili bilgi veren Önal, şunları söyledi: “Yaptıklarını öğrenince neden ABD ’nin dünyanın en güçlü devlet olduğunu anladım. Filmlere dahi konu olmayan yöntemler kullanmışlar. Örneğin çoğu büyük firmaların kullandığı güvenlik sistemi SSL’nin açığı olduğunu yeni öğrendik. Bu açıkla tüm şifreli işlemler izlenebiliyormuş. NSA bunu 2 yıldır biliyormuş. Her şeyi görebiliyorlarmış. Türkiye’de de bu açığın 10 bin firmada olduğunu geçen hafta öğrendik.”

Konferans süresince çok sayıda sunum yapıldı. Yazılım uzmanı Evren Yalçın, yaptığı sunumda Yahoo gibi şirketlerin sistemlerinde dahi açıklar olduğunu, bu açıkları bulup şirketlere bildirdiğini söyledi. Bazı siber çetelerin şirketlerin sistemine sızdığını ve bilgileri ele geçirerek fidye istediğini belirten Yalçın, çetenin bilgileri şifrelediğini ve o şirkete geri sattığını anlattı. Samsung’un bir açığını bulduğunu ve bundan dolayı firmadan 1000 dolar ödül aldığını belirten Yalçın, “Şimdi açıklarını giderdiler. Türkiye’deki şirketlere casusluk sızması yapmaya cesaret dahi edemiyoruz. Çünkü başka büyük sorumlulukları oluyor” dedi. Prodaft Siber İstihbarat Şirketi Operasyon Direktörü Koryak Uzan da kurumlardan nasıl bilgi hırsızlığı yapıldığına dair örnekler anlattı. Güvenlik duvarlarını aşmadan da çok kolay yöntemlerle şirketlerden bilgi sızdırılabildiğini belirten Uzan, “Bir şirkete gidip yere bir taşınabilir bellek atın. Mutlaka biri alıp bilgisayarına takacaktır. Taktığı anda da bir casus yazılımla şirketteki her bilgiye ulaşmak mümkün. Bir prize takılan bir wireless alıcısı ile o şirketteki ağ üzerinden yapılan tüm işlemler izlenebiliyor.”