Üst Not: Bu yazı herhangi bir kişi, kurum ya da grubu hedef almamıştır, kimseye gönderme yoktur. Dogru ya da hatalı yazarın “kisisel” tespitleridir.
Son yılların en önemli konularından biri şüphesiz siber güvenlik. Eskiden ayda bir iki haberle geçiştirilen bu konu artık gündelik yaşamın bir parçası gibi olmaya başladı. Son beş ayda ulusal medyada çıkan siber güvenlik, saldırı vs haberlerinin sayısı 500’e yakın, tekrar haberleri ayıkladığımızda her güne ortalama iki üc siber tehdit, saldırı haberi kalıyor.
Konu popüler olunca kavramlar etrafında toplananlar da çoğalıyor. Bu toplanmanın birden fazla nedeni var, kimi para kazanmak, kimi isim yapmak, kimi makam mevki kapmak kimileri de heyecan yapmak ve kendi ideolojisini, düşüncesini daha geniş kitlelere tanıtmak için kullanıyor bu kavram dünyasını.
Normal olmayan su ki siber güvenlik konusunda adım atmaya çalışan büyük bir çoğunluk bunu klasik yollarla yapmaya çalışıyor. Gerçek dünyada nasıl yapılırsa öyle…
Oysa siber güvenlik dünyasının pek de dikkate alınmayan ama aslında varlık sebebi hackerlardır. Kimilerine göre yaramaz çocuklar, kimilerine göre profesyonel saldırganlar, kimilerine göre de tanımlanamayan ve nefes alıp veren cihazlar.
Güvenlik dünyasının bu üc temel bileşenine kısaca değinelim.
Benim için bu camianın en temel özelliği azim ve motivasyondur. Bir insanın teknik bilgisi yeterli olmayabilir ama internet gibi sınırsız bilgi kaynağı, zaman gibi değerli bir kaynak, damlaya damlaya taşı delecek sabır ve hedefine ulaşmak için gerekirse dağı delebilecek bir motivasyon olduktan sonra yapılamayacak seyler çok azdır.
Bir güvenlikcinin en temel motivasyon kaynağı paradır, diğer maddeler sonra gelir. Evet hepimiz birşeyler öğrenmek ve öğrendiklerimizi paylaşmak, denemek bazı durumlarda yıkmak bozmaktan zevk alıyoruz ama bugün 100 güvenlikciyi alın, bu işi yapacaksınız ama para yok diyelim, yarın 99’u işi bırakır. Bu günümüz dünyasında kimilerine göre eleştirilebilecek kimilerine göre de gayet normal bir davranıştır, insan önce ekmeğini kazanmalı, sonra diğer işlere bakmalı diyebiliriz.
İşin karşı tarafında, güvenlikcilerin var olma sebebi olarak nitelendirdiğimiz insanları düşündüğümüzde büyük çoğunluğunun ilk motivasyonu para değildir. Aralarında parayı ilk motivasyon olarak görenlerin oranı istisna sayılacak kadar azdır. Daha önce gerçekleştirdiğimiz CTF’lerin birinde üç gece uyumadığını söyleyen katılımcılar oldu. İnsanın en büyük özelliği motivasyonu ve sabrıdır. Hackerları motive eden güç genelde cok saglamdır ve bu yolda kafaya koyduklarında dağı delerler… Bu hafta sonu yaşanan bir olay bana bu konudaki gelinecek en üst noktanın ne olabileceği konusunda fazlasıyla bilgi verdi.
Hacker gruplarından ikisi arasında yaşanan husumet sonrası , bunlardan biri diğerinin sistemlerini ele geçirmek için önce Google’un 2 factor authentication olarak adlandırdığımız SMS korumasını aşıyor(nasıl olduğu konusunu Google araştırıyor), sonra husumeti olan hacker grubunun dns kayıtlarının olduğu firmanın tepe yöneticisinin hesaplarını ele geçiriyor ve oradan da diğer hacker grubunun bilgilerini sızdırıyor, değiştiriyor… Yani amaçları uğrunda normal bir insanın düşünemeyeceği, düşünse de cesaret edemeyeceği işler yaparlar. Sadece yurt dışı değil, Türkiye’de buna benzer hatta daha ileri seviye örnekler yaşanıyor.
Bu yazıdaki amacım hackerlar iyi güvenlikciler kötü değil, aksine güvenlikcilerin de iş yaparken paranın ötesinde motivasyonlar beslemesi gerektiğini vurgulamak. Güvenlik, dğer klasik bilişim konularından çok farklıdır. Önce düşünce yapısının değişmesi ardından ne iş yaptığını bilmesi gerekir güvenlikcinin. Klasik bir bilişim çalışanı hata yaptığında en kötü yedeklerden dönülür ve kurtarma olur ama bir güvenlikcinin hatasının telafisi genellikle olamamaktadır. Velhasıl güvenlik riskli, stresli ama bir o kadar da zevkli bir meslektir. Bu işten zevk alamayanlar başarılı olamaz, zek almak için de biraz varlık sebebi olarak nitelendirdiğimiz insanların düşünce yapısını anlamak, yapamıyorsa da o psikolojiyi bilerek hareket etmek gerekir.
İşin beyaz ve siyah tarafı haricinde bir de ücüncü taraf var ki bunlar tamamen ya bu is iyice popüler olmaya basladı, biz de kıyısından kosesinde tutalım da faydası dokunsun ya da kimse yokken biz vardık bu işlerin içinde bizden habersiz kus ucmamalı düsüncesine sahip olanlardır. Bu tipleri tanımak zor değil, söyle etrafınıza bakıp bu konu hakkında cok konusup somut icraatları olmayan kimler varsa bu kategoriye alabilirsiniz. Ya da bir dünya oneriyle gelip konu elini tasın altına koymaya gelince onu da gencler yapsın diyenleri sayabilirsiniz.
Sonuc olarak siber güvenlik konusu ilerleyen zamanlarda cok daha popüler olacak, hatta silah endüstrisi gibi yüksek paraların döneceği bir sektör haline gelecek -benim tahminim- ve burada klasik hayatın sahipleri olan kocaman adamlar, devletler değil de ismini cismini bilmediğimiz, görmediğimiz insanların gücü ve kontrolü artacak. Her ne kadar devletler büyük bütceler hazırlayarak siber dünyayı kontrol almaya çalışsalar da bu mümkün değil. Temeli özgürlüğe dayanan bir dünya ancak özgür olarak yaşanılır olur.
Çok doğru bir noktaya değinmişsiniz Huzeyfe Bey. Motivasyon konusundaki düşüncelerinize %100 katılıyorum.
Güzel yazı. Özellikle stuxnet ve flame virüsünün arkasında amerika ve israilin olduğu kesinleştikten sonra siber dünyada da bir cephe açılmış oldu. Bizim ülkemizde nükleer enerjiye geçmek üzere olan bir ülke. Santrale uçak çarpsa bişey olmuyor çok güvenli ya stuxnet(vb) girerse¿(: Bir ülkeye atom bombası atmadan o ülkeyi kendi silahıyla vurmak! Siber savaş tank, uçak, roketden daha tehlikeli. Düşünün flame 2010dan beri varmış. İran daha yeni uyandı. O da rusyanın milli AV şirketi Kaspersky sayesinde. Ben şimdi merak ediyorum bizim ülkemizin kritik kurumlarına saldırı oluyormu? Oluyorda haberimiz oluyor mu? Devletin güvenlik-istihbarat kurumları ne yapıyor?
Tebrik ediyorum. Tesbitleriniz tam yerini bulmus.
Tüm tesbitleriniz isabetli ama siyah ve beyaz tarafların haricinde üçüncü taraflar için yapmış olduğunuz tarif çok çok isabetli…