Dijital Yıkım: Hackleme Hakkında Bir Okuma Listesi
Yıl 1983. Orijinal Mario Bros. video oyunu piyasaya sürüldü. Michael Jackson’ın Thriller’ı Billboard albüm listesinin zirvesine ulaştı. Ve gişe rekorları kıran film WarGames’te , genç Matthew Broderick yatak odasından bir askeri süper bilgisayarın siber savunmasını aşarak küresel bir acil durumu tetikledi. O zamanlar, ev bilgisayarı alt kültürünün dışında, “hackleme” terimi genel halk için yabancı olurdu. Aslında, Broderick’in karakterinin ekranda kullandığı hackleme tekniği, filmin şerefine “wardialing” olarak bilinmeye başlandı. O zamandan bu yana çok yol kat ettik, ancak çoğumuzun internetin nasıl çalıştığına dair yüzeysel bir bilgiden fazlasını bilmediğinden veya WarGames ve sayısız sinematik torunundan edinilenlerin ötesinde hacklemenin doğası hakkında herhangi bir fikre sahip olmadığından şüpheleniyorum.
Ancak her geçen yıl giderek büyüyen bir dijital ahtapotun hayatımızın her alanına daha fazla girdiğinin kesinlikle farkındayız, çoğumuz uyanık olduğumuz saatlerin çoğunda birbirimize bağlıyız. Dijital dünyanın tehlikelerini vurgulayan bitmek bilmeyen uyarılara rağmen, internetin hızı ve rahatlığı karşılığında gizliliğimizden biraz vazgeçmemiz gerektiği giderek daha fazla kabul görüyor. Bu bir takas, en çok güvendiğimiz kurumların (bankalar, sigorta şirketleri, devlet kurumları) kişisel bilgilerimizi güvende tutacağına güvenmek.
Ancak, büyük bir bilgisayar korsanlığı hikayesi olmadan nadiren karşılaşırız. Ocak 2023’te, İngiltere’nin posta hizmeti bir fidye yazılımı saldırısına uğradı; Royal Mail, bilgisayar sistemine yeniden erişim sağlamak için 80 milyon dolar ödemeyi reddettikten sonra büyük mali kayıplara uğradı. Aynı yıl, Oakland, California, on yıllık hassas verilerin çalındığı benzer bir siber saldırının ardından olağanüstü hal ilan etti. Diğer saldırılar daha da yakından ilgilendirdi. Düzinelerce ünlünün özel fotoğraflarının internete sızmasına neden olan 2014 iCloud saldırısına veya evlilik dışı ilişkilere olanak tanıyan bir web sitesi olan ve binlerce abonenin kişisel bilgilerini ifşa eden 2015 Ashley Madison saldırısına bakın.
Belki daha da korkutucu olanı, uluslararası, devlet destekli bilgisayar korsanlığı olasılığıdır: ülkeler, çevrimiçi platformlara sızmak için dijital asker ordularını harekete geçiriyor. Bu tür organize saldırılar, söz konusu ülkeyi eleştiren siteleri hedef almaktan, bir ülkenin altyapısına (bankaları, hastaneleri, televizyon istasyonları veya nükleer santralleri) doğrudan saldırmaya kadar, bir ülkenin çıkarlarını çeşitli şekillerde desteklemek için çalışır. Gerçek dünyadan bir örnek için, Rus siber saldırılarının hayati telekomünikasyon ağlarını çökerttiği Ukrayna’daki devam eden çatışmaya bakmamız yeterlidir.
Aşağıda toplanan özellikler, aydınlatıcı olduğu kadar endişe verici ve ilgi çekici olduğu kadar şaşırtıcıdır. Ancak her şeyden çok, tüm hack olaylarının ardında insan hikayeleri olduğunu bize hatırlatır. Hem hacker’lar hem de kurbanları gerçek insanlardır; klavyenin arkasındakiler için 1’ler ve 0’lar bu bağlantıyı pişmanlık duygusunun ötesinde soyutlamış olsa bile.
Hacker (Maddy Crowell, Columbia Journalism Review , Nisan 2023)
1980’lerde büyüdüm, nükleer savaş hayaletinin uyarı sirenlerinin periyodik gürültüsü anlamına geldiği bir zamanda. O zamanlarda karanlık bir korku kalbimi kavrıyordu, tehlikeli ve görünmeyen güçlerin hayatım üzerinde son ve ölümcül sözü söyleyeceği hissi. Savaş, çok açık bir şekilde bildiğimiz gibi, fiziksel dünyada hızla devam ediyor, ancak giderek daha büyük savaşların dijital arenada verildiği hissi geliyor. Günümüzde, devam eden farklı bir küresel çatışma toplumun her köşesini etkiliyor gibi görünüyor: zihinlerimiz için bir savaş. Bu biraz histerik gelebilir; politikacılar her zaman fikirleri etkileme işinde olmuştur ve propaganda her zaman jeopolitiğin bir parçası olmuştur. Ancak deepfake’ler, sohbet robotları ve gazetelere yönelik siber saldırılar oyunu önemli ölçüde değiştirdi ve aldatmacada ve onu tespit etme becerisinde dijital bir silahlanma yarışına yol açtı.
Her dava için bir şampiyon vardır. Runa Sandvik internet çağının çocuğudur. İlk bilgisayarıyla 2002’de, 15 yaşındayken karşılaştı ve anında hackleme olasılıklarına hayran kaldı, bu tutku daha sonra kullanıcıların çevrimiçi mahremiyetine yönelik gerçek bir endişeye dönüştü; şimdi gazeteciler ve insan hakları avukatları gibi yüksek riskli sivil grupları korumak için çalışıyor. Siber güvenlik konusundaki iyi niyeti, devlet destekli hackleme konusundaki endişeleri daha da endişe verici hale getiriyor. Yine de, bu makalenin sağladığı büyüleyici teknolojik içgörülerin yanı sıra, Crowell Sandvik’i de ilgi çekici kılıyor: belki de istemeyerek de olsa, insan dijital haklarının savunucusu rolünü üstlenmiş ve bunu da yorulmak bilmez bir özveriyle yapmış gibi görünen alışılmadık bir kadın.
Sandvik’e siber tehditlerden tamamen güvende olmak için ne gerektiğini sorduğumda, bana şöyle cevap verdi: hiç çevrimiçi olmayacaksın ve ormanda yaşamak zorunda kalacaksın. Onun ihtiyatlılığını çoğu zaman şaşırtıcı buluyordum. Acaba benden sakladığı şeyler mi vardı diye merak ediyordum; yalnızca onun uzmanlığına sahip birinin takdir edebileceği bir risk farkındalığı mı. Ya da, o cana yakın açık sözlülüğüyle, çoğumuzun içinde yaşadığımız gözetim distopyasına karşı kör olduğumuzu iletmek istiyordu.
Mirai İtirafları: Web Öldüren Bir Canavar Yapan Üç Genç Hacker Sonunda Hikayelerini Anlatıyor (Andy Greenberg, Wired , Kasım 2023)
Sinematik bir klişe haline geldi: Ebeveynlerinin bodrum katında, ekranlar ve ekipmanlarla çevrili, kendi eğlencesi için büyük şirketleri gelişigüzel hackleyen inek bir genç. Ta ki yetkililer kapıyı çalarak değil, kapıyı kırarak gelene kadar. Bu harika çocuk kötü çocuğun bir kahramana dönüşmesi, bir zamanlar savaştığı yetkililere dünyayı veya en azından Amerika’yı korumak için yardım etmesi. Ancak Josiah White ve iki arkadaşının başına gelenler de aşağı yukarı buydu. Mirai adlı, FBI için en önemli öncelik haline gelen ölümcül bir virüs.
Gençlerin neden bilgisayar korsanlığının karanlık dünyasına çekildiğini anlamak kolaydır; gücünüzün büyük ölçüde büyüdüğü bir alandan daha baştan çıkarıcı çok az şey vardır ve büyük şirketlere meydan okuyan bir bireyin romantizmi sadece olasılığı daha da tatlılaştırır. Bilgisayar korsanları, dik duran at ve iki dumanlı tüfek olmadan da olsa, modern zamanların gösterişli otoyol haydutlarıdır; gizlice hayranlık duymaktan kendimizi alamadığımız bir haydut. Greenberg, bu uzun hikayedeki tüm karakterleri hayata geçirme konusunda harika bir iş çıkarıyor. Hikayeyi nihayetinde kurtarıcı kılan şey bu derinliktir.
İki aydır baskını bekliyordu. Artık gece programına uyuyordu, Paras ve Dalton ile sabah 3 veya 4’e kadar bilgisayarında çalışıyor, sonra sabah 8’e kadar uyuyor ve sonra babasının bilgisayar tamirhanesine gidiyordu. Ama o gece, sonunda sabah 4’ten sonra yatağa girdiğinde, hala uyanık yatıyordu, zihni kaygıyla yarışıyordu.
Çarpma sesleri başladığında ve ağabeyi ortak bodrum katındaki yatak odalarından yukarı doğru aceleyle çıktığında, Josiah depo odasına girdi ve bilgisayarlarını hızla kapattı. Mirai yaratıcılarının üçü de hack’lerini uzak sunucularda yapmaya ve onlara yalnızca kendi bilgisayarlarında çalışan geçici sanal makinelerden bağlanmaya dikkat etmişti. Bu yüzden bilgisayarları kapatmanın hafızada kalan tüm verileri sileceğini düşündü. Sonra, telefonunu kapatmadan önce, şifreli mesajlaşma uygulaması Signal’i kullanarak Paras’a bir mesaj gönderdi: “911.”
İz Bırakmayın: Genç Bir Bilgisayar Korsanı İnternette Kendini Nasıl Kaybetti (Huib Modderkolk, The Guardian , Ekim 2021)
Çocuklarının çevrimiçi olarak neler yaptığı konusunda endişelenen tüm ebeveynlere sesleniyorum. Ergenler son derece ketum olabilir, kişisel işlerine istenmeyen müdahalelerden rahatsız olabilirler. Günümüzde, ne yazık ki, bir ergenin evde kalmakla başını derde sokması, geç saatlere kadar dışarıda kalması kadar kolaydır. Biz ebeveynlerin yapabileceği en iyi şey, çocuklarımıza, onların yaşındayken almayı dilediğimiz tüm bilgeliği ve tavsiyeleri aşılamak, bağlantıda kalmak ve en iyisini ummaktır.
Adil uyarı: Bu mutlu sonu olmayan bir hikaye. Gerçek hayatta keşfedemediği özgüveni ve sosyal ağı çevrimiçi bulan ve yasadışı bilgisayar korsanlığının gücü ve olasılıkları tarafından baştan çıkarılan ve trajik bir sonuca ulaşan genç bir adamın hikayesi. Edwin Robb elbette suçsuz değil, ancak yine de ona biraz üzülmekten kendinizi alamıyorsunuz.
Edwin internette geziniyor ve bilinen bir açığı olan yazılımı kimin kullandığını görmek için ağları tarıyordu. Bu durumda, bu HP Data Protector’dı. Google’ı kullanarak siteleri manuel olarak aradı ve arama terimi olarak belirli bir web veya IP adresinin yanına “Data Protector” yazdı. Aralık 2011’in başlarında Edwin altını buldu. Yazılımı kullanan ve yamayı içeren güncellemeyi henüz yüklememiş olan Norveç’teki NTNU adlı bir üniversite buldu. Edwin açığını yakaladı, çalıştırdı ve içeri girdi. Üniversitenin ağına baktığında emrinde altı bilgisayar sunucusu olduğunu keşfetti. Edwin bir hamleyle Tromsø Üniversitesi’ndeki bir “süper bilgisayarın” kontrolünü ele geçirdi. Bir süre etrafta dolaştı ve ardından bir “arka kapı” kurdu. Artık istediği zaman üniversitenin bilgisayar sunucusuna uzaktan erişebiliyordu.
Edwin, dublörlüğünü aksamadan yaptı ve yeni arkadaşları arasında hacker itibarı kazandı. Dwaan, Edwin’in başarısına coşkulu yumruk vuruşları ve “Loooooooolll” ve “OMG!” ünlemleriyle karşılık verdi. Bu sadece Edwin’in iştahını kabarttı. Başka ülkelerde yeni hedefler aramaya başladı. Bir sonraki kurbanı Hollanda’daki Twente Üniversitesi, ardından İzlanda’daki bir web sitesi ve ardından Japonya’daki bir üniversiteydi. Durdurulamazdı. Önce Rusya’daki bir VPN sunucusuna bağlanmaya dikkat ettiği sürece, takip edilecek hiçbir iz bırakmadı.
Beyaz Şapkalı Bir Hacker’ın Hayatı (Zoe Schiffer, Vox , Ağustos 2019)
Hacking’in ahlakını damıtmak için kullanılan beyaz şapka/siyah şapka ikiliği, fantezi rol yapma ve metafizik bilgisini çağrıştırır; hacking’in ortaya çıktığı genel nerd/geek alt kültürü göz önüne alındığında uygun karşılıklar. Terime aşina olmayanlar için, beyaz şapkalı hacker, bilgisayar becerilerini “iyilik” için kullanan kişidir. Bu tür kişiler genellikle şirketler tarafından güvenlik sistemlerini test etmek ve daha az titiz bir operatör keşfetmeden önce güvenlik açıklarını açığa çıkarmak için işe alınır. Ayrıca, hafta sonlarını insanların evlerinde kullanılan yazılım ve donanımlardaki güvenlik açıklarını arayarak geçiren ev tabanlı hacker’lar olan fedakarlar da vardır.
Çoğumuzun hayatına davet ettiği akıllı teknoloji miktarı göz önüne alındığında, özellikle de bu mükemmel yazıda bulacağınız gözlemi hesaba katarsak, böyle insanların var olması güven verici olmalı: Şirketlerin ürünleri için gerekli güvenliği geliştirmektense para cezası ödemeleri genellikle daha ucuzdur. Beyaz şapkalı bilgisayar korsanlığının, kendi katı ahlaki kurallarına bağlı olduğu ve bu kuralları izleyen bireylerin büyüleyici konular olduğu ortaya çıktı.
Dardaman’ın sözleşmelerinin çoğu bir ila iki hafta arasında sürüyor. Çoğu zaman, bir şirket güvenlik ekibine Dardaman’ın orada olduğunu söylemez, bu da onun ağlarında sessizce dolaşmasına, işlerin nasıl yürüdüğünü gözlemlemesine ve sistemin derinliklerine inmesine izin verir. Ancak kedi-fare oyunu yalnızca birkaç gün sürer.
“Hedef, haftanın sonuna kadar aşırı gürültülü olmak,” diye ekledi ve son hamlesinin genellikle şirketin sunucularına etki alanı erişimi sağlayarak güvenlik ekibinde alarmlar çalmak olduğunu belirtti. “Haftanın sonuna kadar beni yakalayamazlarsa, güvenlik araçlarını yeniden değerlendirmeliler.”
Küresel Hack-for-Hire Endüstrisinin İçinde (Franz Wild, Ed Siddons, Simon Lock, Jonathan Calvert ve George Arbuthnott, Araştırmacı Gazetecilik Bürosu , Kasım 2022)
Araştırmacı gazetecilikten her zaman etkileniyorum, özellikle de burada olduğu gibi, anlatı becerisi sunulduğunda. Bu tür hikayeleri hayata geçirmek için gereken zaman, özveri ve çoğu zaman kişisel risk takdire şayandır; aynı şekilde bir hikayeyi empati, sempati ve gerilimle anlatma yeteneği de öyle. Bu makale, bu listedeki diğerlerinden biraz farklı ve muhtemelen daha korkutucu. Büyük şirketleri hedef almak yerine, Hindistan’ın yeraltı dünyasındaki bilgisayar korsanlarına, ister kocasının mali işlerini gözetleyen bir eş, ister içinde bulundukları zor durumdan kurtulmanın bir yolunu arayan bir şantaj kurbanı olsun, kişisel e-posta hesaplarına erişmek için rutin olarak ödeme yapılıyor.
Ancak özellikle şaşırtıcı olan, bu tür hacker’ların ahlaktan tamamen yoksun olmalarıdır. Hiçbir yargıda bulunmazlar. Bir müşteri yüklü bir ücret ödemeye razıysa, onun emrini yerine getirecek biri bulunabilir. Hepimizin sahip olduğu bir korku değil midir bu? Tüm özel çevrimiçi aktivitelerinizin, e-postalarınızın, fotoğraflarınızın, hatta hareketlerinizin tamamen ifşa olması düşüncesi? Bu makale, sizi elmas tüccarlarının, şaibeli politikacıların ve etik olmayan özel dedektiflerin karanlık dünyasına doğru giderek daha da karanlık koridorlara götüren bu tavşan deliği parçalarından biridir. Tüm şifrelerinizi sıfırlamak için çabalamanıza neden olacaktır.
Kurbanlarına yaklaşmadan önce, aileleri, ilişkileri, yetiştirilme tarzları, çocukları, servetleri ve tatil yerleri hakkında ayrıntılar arayarak kişisel hayatlarını araştırır. Bunu, kurban hakkında bilgi kırıntılarını internette tarayan otomatik bir yazılım kullanarak yapar ve hedeflerinin WhatsApp hesabını izleyerek genellikle çevrimiçi oldukları saati belirler.
“Bir hafta, iki hafta, üç hafta veya belki bir ay boyunca sizi gözetliyoruz,” dedi. Bu, kurbanın bir tanıdığı gibi davrandığında daha inandırıcı olmasına yardımcı oluyor.
Bir Su Arıtma Tesisini Çökertmek İçin Yapılan Bir Hackleme Yarışmasının İçinde (Kaveh Waddell, The Atlantic , Ekim 2016)
Çocukluğumun sayısız saatini, kocaman 48 KB hafızası olan eski ZX Spectrum ev bilgisayarımda programlar yazarak geçirdim. Gerekirse (Basic ve Logo’nun kabul edilebilir olduğunu varsayarak) bir veya iki satır kod yazabileceğimi düşünmeyi seviyorum, ancak burada kronikleştireceğiniz aktiviteler söz konusu olduğunda kendimi tamamen kaybolmuş hissettiğimi itiraf ediyorum. Bu, üniversite çağındaki çocuklar için bir yarışma ve onların ekrandan ekrana atlayıp heyecanla sistemdeki açıkları aramalarını okumak, beni eğitimli akrobatların sahnede geriye doğru takla atmasını izlemek gibi, hayranlık ve şaşkınlığın bir karışımıyla dolduruyor.
Bu genç hackerlar bir oyun oynuyor olabilirler, ancak bunu yaparken gerçek hayattaki karşılaşmalar için prova yapıyorlardı. Hükümetler, bir ülkenin altyapısına yönelik siber saldırı tehdidinin her zamankinden daha fazla farkındalar. Bu makaledeki sahte su tesisi gerçek olsaydı, başarılı bir hack ciddi sonuçlar doğurabilirdi. Bu parçanın konusu olan yetenekli öğrencilerin becerilerini doğru yönde geliştirmeye devam etmelerini umalım.
Sonraki iki buçuk saat boyunca, su arıtma tesisi, tesisin kontrollerine daha da derinlemesine girerken birbirlerine saldıran ve mutlak bir kaos yaratan birkaç farklı hacker grubunun kuşatması altında kaldı. Saat 2:45’te, dönen bir çift siren odanın etrafına mavi ışınlar fırlattı: Tesisin su seviyelerini koruyan sistem devre dışı bırakılmıştı ve tanklarından biri endişe verici bir oranda dolmaya başladı.
“Şamandıra suya battı!” diye bağırdı bir teknisyen tankların yakınından. Şamandıranın suya battığı anda su akışını kesmesi gerekiyordu.
“Hala doyuyor mu?” diye sordu bir diğeri, dizlerinin üzerinde duran dizüstü bilgisayarının üzerine eğilmiş halde.
“Evet!”
“Bu kötü.”
İşçiler, tanktaki suyu güvenli bir seviyeye indirmek için santralin elektriğini tekrar kapattılar.
