İnanması zor: Siber uzayın eski “En Çok Arananları” Kevin Mitnick, artık BT güvenliğinin zayıflıklarını test etmeyi sevdiği ve bunun için asil bir şekilde para ödediği banka müdürüne benziyor. Koyu mavi takım elbise, kravat, parlak ayakkabılar – 80’ler ve 90’lardan bir zamanlar korkulan bilgisayar korsanı, Tirol Alpleri’ndeki BT güvenlik sağlayıcısı phion’un bir endüstri toplantısında meslektaşlarına kendini böyle tanıttı. MIT Technology Review, Mitnick ile geçmişi ve geleceği hakkında konuştu.
Duyuru
Güvenlik uzmanı Kevin Mitnick, 16 Temmuz’da Las Vegas’ta pankreas kanseri komplikasyonları nedeniyle öldü. Bu noktada kendisiyle yapılan bir röportajı yeniden yayınlıyoruz. Yazar Tom Sperlich, 2008’de tanıttı.
Duyuru
Bay Mitnick, yaklaşık beş yıllık cezanızın ardından 2000 yılının başlarında hapisten çıktıktan sonra hayatınız gerçekte nasıldı?
Hapishaneden salıverilmemden kısa bir süre sonra, ABD hükümeti benden bilgisayar sistemlerinin güvenliğini sağlamamı istedi. Lieberman ve Thompson gibi senatörler benden Washington’daki bir kongre komitesi önünde ifade vermemi istediler. Artık beş yaş daha büyük ve daha akıllı olduğuma göre, yeteneklerimi iyi bir şekilde kullanmaya karar verdim. Etik olmayan bir bilgisayar korsanı olmaktan etik bir bilgisayar korsanı olmaya geçtim – ilginç bir şey, çünkü sonuçta bilgisayar korsanlığı olan başka hangi suç eylemini etik olarak yapabilirsin?
Ayrıca iki kitap yazdım ve kendi BT güvenlik danışmanlığı firmamı kurdum. Prensip olarak, yıllardır yaptığım şeyi yapıyorum ama şimdi izin alarak. Aynı zamanda bir tür kariyer.
Yine de, bir kez daha vurgulamak gerekirse, geçmişte bir bilgisayar korsanı mutlaka kötü niyetli bir suçlu olarak görülmüyordu. Ama daha çok, sürekli olarak bilgisayar ve telekomünikasyon sistemlerinin nasıl çalıştığını ve güvenlik önlemlerinin nasıl atlatılabileceğini bilmek isteyen biri gibi. Örneğin, bunu yalnızca entelektüel tatminim için ve merakımdan yaptım.
Bu öncül bugün çok yaygın görünmüyor. Önemli ölçüde değişti mi?
Evet evet. Bir bakıma, ben hâlâ hackerların “eski okulundan” biriydim. O zamanlar aslında daha çok eğlenmek, arkadaşlarınızla iyi geçinmek, teknolojiyi keşfetmek ve sınırlarını zorlamakla ilgiliydi. Bugün, kötü bilgisayar korsanları yalnızca para kazanmayı, kazanmayı hedefliyor. Geçenlerde küçük bir e-ticaret şirketi işleten bir arkadaşıma tavsiye ettim. Alan adı, alan adı kayıt kuruluşu tarafından “ele geçirildi” ve bana bu konuda yapabileceğim bir şey olup olmadığı soruldu.
Bununla birlikte, çaba ve tazminatım göz önüne alındığında, en hızlı ve en kolay yolun, daha sonra araştırdığım gibi, Omid adlı İranlı bir bilgisayar korsanına bir tür fidye ödemek olduğu ortaya çıktı. Bu cesur bir girişimdi, ancak alan adının kilidini açması için ona 3.000 $ ödemek sonunda işe yaradı. Umarım artık bunu bırakır. Baktığımda, bu Omid’in bunu her zaman yapıyor gibi göründüğünü, bir tür küresel ağa bağlı olduğunu ve muhtemelen İran’ın yasal bir boşluğu olduğu için yapmaya devam ettiğini gördüm.
İş danışmanlığı faaliyetinizde, esas olarak “sosyal mühendislik” alanında uzmanlaştınız. Bu kadar özel ya da bu kadar tehlikeli olan ne?
Sosyal mühendislik, bilgisayarlar var olmadan çok önce de vardı. Aslında bir nevi oyunculuk. Halihazırda internetsiz ve bilgisayarsız işleyen bu Nijeryalı çetelerin dolandırıcılık girişimleri var örneğin. Parolaları veya diğer önemli bilgileri elde etmek için insanları manipüle etmekle ilgilidir. Ancak Nijeryalı çetelerin hileleri uzun zamandır bilinmesine rağmen, insanlar hala onlara aşık oluyor. Bu yüzden insanları toplum mühendisliği ve onun nasıl çalıştığı hakkında eğitmeyi misyonum haline getirdim, bu yüzden umarım bir dahaki sefere bunu düşünürler ve aldanmazlar.
Çünkü insan zincirin en zayıf halkasıdır. “İnsan güvenlik duvarını” güçlendirmemiz gerekiyor, bu yüzden gerekli eğitim çalışmalarını yapmak için her zaman yoldayım. Şaşırtıcı bir şekilde, çoğu şirket toplum mühendisliğini hiç umursamıyor. Büyük devlet kurumları bile değil. Bir süre önce ABD Gelir İdaresi (IRS) bir güvenlik denetimi gerçekleştirdi. 100 IRS yöneticisi arandı ve IRS BT personeli gibi davrandılar. Yöneticilerden 35’i telefonda şifresini ve kullanıcı adını açıkça ifşa etti.
Gördüğünüz gibi, bu önemli bir tehdit. Bir şirket çok para harcayabilir ve her türlü BT güvenlik donanımını ve yazılımını satın alabilir, ancak bir saldırgan bu şirkette “oyun oynayan” tek bir kişi bulursa ve sonunda sisteme girmesi için kandırabilirse, o zaman teknolojiler için verilen tüm bu para bir hiçtir. Yapmanız gereken tek şey, çalışanların hazırlanmış bir web sitesine tıklamasını sağlamaktır ve bu, bilgisayarlarında kötü amaçlı kod pusuya yattığı anlamına gelebilir. Bu, bilgisayar korsanının zaten ağda olduğu anlamına gelir. Bunu kabul etmeli ve zincirdeki boşlukları buna göre doldurmalısınız.
Haberin Sonu
Duyuru
Güvenlik uzmanı Kevin Mitnick, 16 Temmuz’da Las Vegas’ta pankreas kanseri komplikasyonları nedeniyle öldü. Bu noktada kendisiyle yapılan bir röportajı yeniden yayınlıyoruz. Yazar Tom Sperlich, 2008’de tanıttı.
Duyuru
Bay Mitnick, yaklaşık beş yıllık cezanızın ardından 2000 yılının başlarında hapisten çıktıktan sonra hayatınız gerçekte nasıldı?
Hapishaneden salıverilmemden kısa bir süre sonra, ABD hükümeti benden bilgisayar sistemlerinin güvenliğini sağlamamı istedi. Lieberman ve Thompson gibi senatörler benden Washington’daki bir kongre komitesi önünde ifade vermemi istediler. Artık beş yaş daha büyük ve daha akıllı olduğuma göre, yeteneklerimi iyi bir şekilde kullanmaya karar verdim. Etik olmayan bir bilgisayar korsanı olmaktan etik bir bilgisayar korsanı olmaya geçtim – ilginç bir şey, çünkü sonuçta bilgisayar korsanlığı olan başka hangi suç eylemini etik olarak yapabilirsin?
Ayrıca iki kitap yazdım ve kendi BT güvenlik danışmanlığı firmamı kurdum. Prensip olarak, yıllardır yaptığım şeyi yapıyorum ama şimdi izin alarak. Aynı zamanda bir tür kariyer.
Yine de, bir kez daha vurgulamak gerekirse, geçmişte bir bilgisayar korsanı mutlaka kötü niyetli bir suçlu olarak görülmüyordu. Ama daha çok, sürekli olarak bilgisayar ve telekomünikasyon sistemlerinin nasıl çalıştığını ve güvenlik önlemlerinin nasıl atlatılabileceğini bilmek isteyen biri gibi. Örneğin, bunu yalnızca entelektüel tatminim için ve merakımdan yaptım.
Bu öncül bugün çok yaygın görünmüyor. Önemli ölçüde değişti mi?
Evet evet. Bir bakıma, ben hâlâ hackerların “eski okulundan” biriydim. O zamanlar aslında daha çok eğlenmek, arkadaşlarınızla iyi geçinmek, teknolojiyi keşfetmek ve sınırlarını zorlamakla ilgiliydi. Bugün, kötü bilgisayar korsanları yalnızca para kazanmayı, kazanmayı hedefliyor. Geçenlerde küçük bir e-ticaret şirketi işleten bir arkadaşıma tavsiye ettim. Alan adı, alan adı kayıt kuruluşu tarafından “ele geçirildi” ve bana bu konuda yapabileceğim bir şey olup olmadığı soruldu.
Bununla birlikte, çaba ve tazminatım göz önüne alındığında, en hızlı ve en kolay yolun, daha sonra araştırdığım gibi, Omid adlı İranlı bir bilgisayar korsanına bir tür fidye ödemek olduğu ortaya çıktı. Bu cesur bir girişimdi, ancak alan adının kilidini açması için ona 3.000 $ ödemek sonunda işe yaradı. Umarım artık bunu bırakır. Baktığımda, bu Omid’in bunu her zaman yapıyor gibi göründüğünü, bir tür küresel ağa bağlı olduğunu ve muhtemelen İran’ın yasal bir boşluğu olduğu için yapmaya devam ettiğini gördüm.
İş danışmanlığı faaliyetinizde, esas olarak “sosyal mühendislik” alanında uzmanlaştınız. Bu kadar özel ya da bu kadar tehlikeli olan ne?
Sosyal mühendislik, bilgisayarlar var olmadan çok önce de vardı. Aslında bir nevi oyunculuk. Halihazırda internetsiz ve bilgisayarsız işleyen bu Nijeryalı çetelerin dolandırıcılık girişimleri var örneğin. Parolaları veya diğer önemli bilgileri elde etmek için insanları manipüle etmekle ilgilidir. Ancak Nijeryalı çetelerin hileleri uzun zamandır bilinmesine rağmen, insanlar hala onlara aşık oluyor. Bu yüzden insanları toplum mühendisliği ve onun nasıl çalıştığı hakkında eğitmeyi misyonum haline getirdim, bu yüzden umarım bir dahaki sefere bunu düşünürler ve aldanmazlar.
Çünkü insan zincirin en zayıf halkasıdır. “İnsan güvenlik duvarını” güçlendirmemiz gerekiyor, bu yüzden gerekli eğitim çalışmalarını yapmak için her zaman yoldayım. Şaşırtıcı bir şekilde, çoğu şirket toplum mühendisliğini hiç umursamıyor. Büyük devlet kurumları bile değil. Bir süre önce ABD Gelir İdaresi (IRS) bir güvenlik denetimi gerçekleştirdi. 100 IRS yöneticisi arandı ve IRS BT personeli gibi davrandılar. Yöneticilerden 35’i telefonda şifresini ve kullanıcı adını açıkça ifşa etti.
Gördüğünüz gibi, bu önemli bir tehdit. Bir şirket çok para harcayabilir ve her türlü BT güvenlik donanımını ve yazılımını satın alabilir, ancak bir saldırgan bu şirkette “oyun oynayan” tek bir kişi bulursa ve sonunda sisteme girmesi için kandırabilirse, o zaman teknolojiler için verilen tüm bu para bir hiçtir. Yapmanız gereken tek şey, çalışanların hazırlanmış bir web sitesine tıklamasını sağlamaktır ve bu, bilgisayarlarında kötü amaçlı kod pusuya yattığı anlamına gelebilir. Bu, bilgisayar korsanının zaten ağda olduğu anlamına gelir. Bunu kabul etmeli ve zincirdeki boşlukları buna göre doldurmalısınız.
Haberin Sonu