[Mehmet AKIN]

kevın mittnick
Dünyanın en ünlü hacker’ı: “Niyetim kötü değildi”

Ünlü hacker Kevin Mitnick, 19 Mart 2002’de İstanbul’da yapılan “bilişimde güvenlik” konferansına katıldı. Polis gözetiminde bulunan Mitnick, Los Angeles’tan video konferans aracılığıyla konuştu.

Bilişim sistemlerinde güvenlik konulu SACIS 2002 konferansı, ABD’den katılan son derece ünlü bir ismin konuşmasıyla başladı: Kevin Mitnick. Mitnick işlediği hack suçları yüzünden halen polis gözetiminde olduğu için konferansa Los Angeles’tan video konferans yoluyla katıldı. Ünlü hacker, şirketleri hack ederken niyetinin kötü olmadığını söyledi ve teknoloji merakı yüzünden hacker olduğunu belirtti.

Basının büyük ilgi gösterdiği konferansın başında kısaca “hacking” kariyerinden söz eden Kevin Mitnick, hack suçundan beş yıl hapis cezası aldığını, iki yıl hapiste kaldıktan sonra şartlı tahliye olduğunu ve gözetim halinin de 10 ay sonra sona ereceğini söyledi.

Gözetim süresi boyunca bilgisayar, internet ve cep telefonu kullanmasına izin verilmeyen hacker’ın, Los Angeles’tan ayrılması da yasak… Bu yüzden toplantılara video konferans yoluyla katılan Mitnick, sonu hapiste biten hacker kariyerini şimdi şirketlere bilişim güvenliği konusunda konferanslar vererek sürdürüyor.

“HERŞEY LİSEDE BAŞLADI”
Teknoloji merakının 1970’lerin sonunda lisedeyken başladığını söyleyen Mitnick, önceleri telsizle ilgilendiğini sonra da telefon şebekelerini işleyişini öğrenmeye karar verdiğini belirtti. O dönemde kişisel bilgisayarlar yaygın olmadığı için telefon hatlarına izinsiz girmenin yollarını aradığını, bunun da ilk hack faaliyeti olduğunu söyleyen Mitnick, amacının sadece öğrenmek olduğunu ifade etti.

Kevin Mitnick o dönemde hacker olmanın onurlu bir şey gibi görüldüğünü bugün ise suç teşkil ettiğini söyledi. “Tabii, hacker’lar da kendi aralarında sınıflara ayrılıyor. Hepsini aynı kategoride görmemek lazım. Kimisi merak ettiği kimisi de zarar vermek için hack ediyor. Bu ayrıma dikkat etmeliyiz” diyen hacker, günümüzde üç türlü hacker olduğunu belirtti: “Birinci grupta, gündüz okuluna giden geceleri de çeşitli sistemlere girmeye çalışan çoğu çocuk yaşta, amatör hacker’lar var. İkinci grupta ise profesyonel diyebileceğimiz, büyük şirketlerin güvenlik açıklarından yararlanarak onları hack eden ve çaldığı bilgilerle para kazanan kişiler yer alıyor. Bir de son dönemde şirketlerin internetteki faaliyetleri arttığı için ortaya çıkan bir grup var. Bunlar, şirketlerin talebiyle web sitelerini hack etmeye çalışarak, sistemin güvenlik açıklarını tespit ediyor. Bir çeşit güvenlik danışmanı diyebileceğimiz bu tür hacker’lar da bu işten para kazanan grupta yer alıyor.”

“FBI’IN CASUS PROGRAMINDAN HOŞLANMADIM”
Bilgisayar sistemlerinin güvenliğine ilişkin bir soruya “güvenlik bir ürün değil süreçtir” diye cevap veren ünlü hacker, sürecin “Koruma”, “Tespit” ve “Reaksiyon” aşamalarından oluştuğunu belirtti ve “yüzde yüz güvenli bir sistemin” henüz mevcut olmadığını söyledi.

Konferansın bir başka ünlü konuğu olan ve hacker’ların babası olarak tanınan John Draper da, Kevin Mitnick’e FBI’ın son geliştirdiği casus dinleme yazılımı “Magic Lantern” (Büyülü Fener) hakkında ne düşündüğünü sordu. Magic Lantern, FBI’ın şüpheli kişinin bilgisayarına gizlice yerleştirdiği bir çeşit “trojan” (Truva atı virüsü). Bu tür programlar kullanıcıya farkettirmeden sistemde bir gizli kapı açarak bilgi aktarıyor. Mitnick FBI’ın bu projesinden hiç hoşlanmadığını ve Magic Lantern’i tehlikeli bulduğunu söyledi. Benzer bir casus program olan DIRT’ten söz eden Mitnick, bu programa kızan bir hacker’ın DIRT’ın sitesini hack ederek bütün kodlarını internetten yayınladığı bilgisini verdi.

Türkiye’deki internet güvenliği ve Türk hacker’lar hakkındaki sorulara Türkiye’yi pek tanımadığı cevabını veren Kevin Mitnick, zaten aldığı ceza nedeniyle uzun zamandır internete giremediğini söyledi

bab hacker draper
Hacker’ların babası Draper: “Hack her zaman kötü bir şey değildir”

1970’lerde geliştirdiği basit bir araçla, bedava telefon görüşmesi yapmayı sağlayan John Draper, geçtiğimiz mart ayında İstanbul’da katıldığı konferansta telefon sistemini nasıl hack ettiğini anlattı.

Smart Valley tarafından düzenlenen bilgisayar sistemlerinde güvenlik konulu konferans SACIS 2002, son gününde ABD’den önemli bir konuğu misafir etti. 1970’li yıllarda geliştirdiği basit bir araçla, bedava telefon görüşmesi yapmayı sağlayan ve hacker’ların babası olarak tanımlanan John Draper, hack tarihine geçen eylemi nasıl yaptığını ayrıntılarıyla anlattı. Draper’la hacker’lar, virüsler ve casus programlar üzerine bir röportaj yaptık.

John Draper yaptığı konuşmada, kendisine “sistem kırıcı” olarak ifade edilen hacker sıfatının verilmesini sağlayan Blue Box’u nasıl geliştirdiğini ve sonrasında yaşanan bazı ilginç hikayeleri dinleyicilerle paylaştı. Bir mısır gevreği (Cap’n Crunch) paketinden çıkan basit bir düdükten esinlenerek yaptığı Blue Box adlı araçla telefon hatlarına girebilen Draper, bir keresinde CIA ajanlarının Başkan Nixon’a direkt olarak ulaşmasını sağlayan bir numaraya ulaştığını söyledi. Draper konferansta, geliştirdiği sistemin 1975’teki kayıtlarını da dinletti ve konuşmaların nasıl bedava yapıldığını ayrıntılarıyla anlattı.

Basının ve bilişim sektörünün ilgi gösterdiği konferans sonrası, Draper’a bugünkü hacker’lar, virüsler hakkında ne düşündüğünü sorduk:

“Hacker’ların babası” John Draper kimdir? Kısaca anlatır mısınız ?
Hayatım Silikon Vadisi’nde geçti, uzun yıllardır elektronikle uğraşıyorum. 1970’lerde bedava telefon konuşması yapmayı sağlayan “Blue Box”u geliştirdim. Apple bilgisayarın kurucuları Steve Job, Wazniack’la çalıştım. Pek çok bilgisayar programının gelişim aşamasında bulundum. Bedava telefon görüşmesi yapılabilen Blue Box’la ünlü oldum, hatta bu yüzden tutuklandım.

Siz hacking kavramını nasıl tanımlıyorsunuz ?
Bugünlerde hacking’in farklı tanımları var. Bütün bu tanımlar içinde bana en doğru geleni şu, hacking “programı değiştirmek”tir. Bir bilgisayar programı yazdığınızda, bu, sistemde bir şeyleri değiştiriyorsa bu hacking’tir. Hacking, her zaman kötü bir şey değildir. Bilgisayar programlarını tanımanızı, belki onu değiştirecek, daha iyi, daha hızlı hale getirecek şeyler yapmanızı sağlar. Hacking’in böyle bir yönü de var. Sadece zarar vermek amaçlı olmayabilir, bunu anlamak gerek.

1980’lerin başında hacking, “bilgisayar sistemlerine girmek”le eş anlamlı olarak kullanılmaya başladı. Sonra modemler popüler oldu, bilgisayarlar telefon hatlarıyla birbirine bağlanmaya başladı. İnsanlar büyük şirketlerin de modemlerle bilgisayarlarını birbirine bağladığını, ortaya büyük sistemler çıktığını farketti. Bunlara yapılan hack eyleymleriyle sonunda hacking daha kötü bir şey olarak algılanmaya başladı.

Trojan’lar, diğer bilgisayar virüsleri ve bunları yazanlar hakkında ne düşünüyorsunuz?
Kesinlikle iyi şeyler olduğunu söylemeyiz. İyi niyetli ya da yararlı bir amaç için yazılan virüs pek yok. Genelde illegal amaçlarla yazılıp internete yayılıyorlar. Amaçları da bilgisayar sistemlerini sabote etmek.

Echelon, Carnivore gibi bilgisayar ağlarından gizlice bilgi toplamayı hedefleyen bazı global projelere ne diyorsunuz ?
Bence bunlar korkunç şeyler. Hiç hoşlanmıyorum.

Bir de sizin dünkü Kevin Mitnick konferansında bahsettiğiniz Magic Lantern (Büyülü Fener) var.
Magic Lantern, FBI’ın bilgisayarın klavyesindeki hareketleri -yani yazılıp çizilen herşeyi- kaydedebilme kapasitesine sahip bir tür casus program. FBI bu programla o bilgisayar sistemine girip, söz konusu kayıtları download edebiliyor. Sizin haberiniz olmadan bilgisayarda yaptığınız herşey FBI’ın eline geçebiliyor. Doğrusu bu pek de hoş bir şey değil.

Medyanın hacker’ları nasıl algıladığını düşünüyorsunuz? Onları bir kahraman gibi mi gösteriyor, yoksa siber suçlular gibi mi ?
Bence her ikisini de yapıyor. Sistemlerdeki güvenlik boşluklarını yakalayan, iyi niyetli hacker’lar, bunu eğlence amaçlı yapan ancak sonuçta zarar verebilen çocuk yaştaki hacker’lar ya da benim bilgisayarımdaki gizli bilgilerin peşinde koşan kötü niyetli hacker’lar var. Bu yüzden, hacker haberleri bunlar göz önüne alınarak dikkatli yapılmalı. İyi ve kötü niyet vurgulanmalı. “White hat” (beyaz şapkalı) hacker’lar amaçları sadece bilgisayar güvenliğini sağlamak olan uzman kişileri ifade ederken, “gray hat” (gri şapkalı) hacker’lar da yine güvenlik amaçlı olan ancak hack ettiği sistemin bilgilerini başkalarıyla paylaşabilen hacker’ları anlatır. Black hat (siyah şapkalı) hacker’lar ise bir bilgisayar sistemini ya da programını kötü niyetle hack eden kişilerdir. Bunların amacı bilgi çalmak ya da dosyalara zarar vermek olabilir.

İnsanlar size “hacker’ların babası” diyor. Bunu duyunca ne hissediyorsunuz ?
Bu otuz yıl önce yaptığım bir şeyden kaynaklanıyor. Bu işi ilk yapan kişi olduğum için böyle deniyor, bunu benden başkası da yapmış olabilirdi. Hem yaptığım şey çok geride kaldı.

Son olarak Türkiye’yi sormak istiyorum. Bu ilk gelişiniz mi? Nasıl buldunuz ? Konferans nasıl gitti ?
İnsanlar çok dostça davrandı, bu çok hoşuma gitti. Evet bu ilk gelişim ve Türkiye’yi sevdim. Teknolojik olarak gelişmeye ihtiyaç var ama ilerleme de var sanırım.

türk hacker
“Hacker’ı ve suçluyu ayırmak lazım”

Geçtiğimiz yıllarda bazı büyük kuruluşların bilgisayar sistemlerine girmek suçundan hakkında dava açılan ve kamuoyunda “ilk Türk hacker” olarak tanınan Tamer Şahin, hacker’lık tecrübesini ve bilişim güvenliği konusundaki fikirlerini anlattı.

-Hacker’lık geçmişinizden başlayalım mı? Siz Türkiye’nin en ünlü hacker’ı olarak biliniyorsunuz. Kamuoyunun sizi hacker olarak tanıması nasıl oldu? (Super Online ve Garanti Bankası olaylarından kısaca bahsederseniz, adli süreç nasıl gelişti ? vs.)

Bu konudaki ilk geniş çaplı olay bir gazetede yayınlanan haberle gerçekleşti. O haberden sonra sadece internet güvenliği ile alakalı insanların tanıdığı biri olmaktan çıkmış oldum ve artık bilgisayarla biraz alakası olan ve “Hacker” kelimesinin anlamını az çok bilen bir çok insan tarafından tanınmış oldum.

Fakat gazetedeki haberin üslubu biraz zarar verici nitelikteydi. Bu haberden sonra büyük bir banka “Bilgisayar Sistemlerine İzinsiz Girmek” ve “Bankalar Kanununa Muhalefet” suçundan iki dava açtı.

-Hacker’lar amaçlarına göre çeşitli gruplara ayrılıyor. Siz kendinizi ne tür bir hacker olarak tanımlıyor musunuz?

Bahsettiğiniz gibi hacker’lar da kendi aralarında çeşitli gruplara ayrılıyor. Blackhat, Whitehat, Greyhat olarak. Blackhat bilgisayar sistemlerine girip verileri alan, değiştiren zarar veren hacker’lar olarak tanınıyor. Whitehat, hacking becerisini ticari ortamda firmalara danışmanlık hizmeti vererek kullanıyorlar. Greyhat ise hem ticari ortamda bilgisayar sistemlerinin korunması için çalısmalar yapıp hem de gerektiginde bir bilgisayar sistemine girip zarar vermeden istediği bilgiye ulaşıp iz bırakmadan kaybolan hackerlar’a deniliyor.

Açıkçası kendimi bir gruba ait hissetmedim. Ilk zamanlar yaptıklarımla bir “Blackhat” olduğum soylenebilir. Simdi birikimimi bilgisayar sistemlerini korumak adına kullanıyorum fakat yine de şu durumda kendimi tam bir “Whitehat” olarak hissetmiyorum. Sanırım “Greyhat” bana en yakın grup oluyor.

-Neden hack ediyordunuz? Büyük bir şirketin sistemlerine girmek size neler hissettiriyordu?

Bunun için belirli bir nedeni var diye açıklamak komik olur. Sanıyorum kendi sınırlarımı zorlamakla ilgili bir şey… Sürekli bir adım ileri gitmek, çıtayı her seferinde biraz daha yükseltmek…

-Yanılmıyorsam şu anda şirketlere bilişim güvenliği konusunda danışmanlık yapıyorsunuz. Dünyada da bunun örnekleri var değil mi? Eski hacker’lar kariyerlerini güvenlik uzmanı olarak sürdürebiliyor. Sizin için bu süreç nasıl işledi?

Benim için bu süreç son zamanlarda oldukça sancılı gelişiyor. Son 2 yıldır Türklerin geliştirdigi ilk güvenlik yazılımı hazırlıyorduk. Programı gelistirdik ve dünya çapında ünlü test merkezlerinden yeterlilik sertifikasyonlarını tamamladık. Fakat Amerika’daki risk sermayesi kuruluşu ile iletişimimizi sağlayan kişiler tarafından dolandırıldık.

Bu projedeki maddi kaybımın yanında manevi açıdan da büyük oranda kayıplar verdim. Kariyerim için planladığım, yurt dısında bir güvenlik firmasında bir yandan kariyerimi sürdürüp diğer yandan “Information Security” dalında üniversite eğitimimi tamamlama isteğim suya düşmüş oldu. Bunun yanında 2 yıllık verilen emeğin de boşa gitmiş olması cabası…

Şu anda proje iptal edildi ve ben iş tekliflerini değerlendirdiğim bir süreçteyim. Bunun yanı sıra bağımsız olarak firmalara verdiğim danışmanlık hizmetlerim devam ediyor.

-Türkiye’de bilişim sektörünün güvenliğe yaklaşımını nasıl değerlendiriyorsunuz? Güvenliğe gerekli önem veriliyor mu?

Türkiye’de güvenliğe verilen önem son yıllarda artmaya basladı. Tabii ki bunda önceki yıllarda başa gelen olayların da çok büyük etkisi var. Bu açıdan böyle bir gelişime katkıda bulunduğumu bilmek gerçekten güzel. Fakat dünyadaki örneklerinde sürekli büyüme eğiliminde olan IT sektörü, Türkiye’de krizde neredeyse %40 oranında küçüldü. Bu derece reel bir küçülmenin yaşandığı sektorden de tam olarak güvenlik konusunda girişimlerde bulunması beklenemez. Sanıyorum ki gelecek yıllarda bu durum olumlu bir eğride sürecektir.

-Genel olarak hack eylemini gerçekleştirenler gizli kalma eğilimindedir. Bu sizin için pek mümkün olmadı. Türkiye’de sizin gibi güvenlik açıklarını tespit eden ancak ortaya çıkmayan çok hacker var mı?

Bu konuda hevesli çok insan var fakat bir elin parmaklarını geçmeyecek sayıda profesyonel insan bulunuyor Turkiye’de. Fakat onlar da sahada oynamak yerine tribünde oturmayı tercih eden kişiler.

-Özellikle ABD’de hacker’lar ağır hapis cezalarıyla karşı karşıya kalabiliyorlar. Bu açıdan Türkiye’deki hukuki durum nedir?

Türkiye’de halen bu konuda hukuki platform oluşturulmuş değil. Şu an bir internet servis sağlayıcının bilgisayar sistemlerine girmek suçundan 1 yıl 8 ay hapis cezasına çarptırıldım. Aynı suçu tekrar işlemem durumunda bu ceza infaz edilecek. Hakim ve savcıların doğal olarak konu hakkında herhangi bir bilgileri yok. Su anda hakkımda açılmış 3 dava var ve halen devam ediyorlar. Türkiye’de bilisim suçu kapsamında “Bilgisayar sistemlerine izinsiz girmek” istemiyle yargılanan ilk ve tek kişi durumundayım. Bu davalardan ne gibi bir sonuç alınacağına dair hiçbir fikrim yok. Karşıdaki firmalar, gruplar oldukça büyük ve hemen herseyi etkileyebiliyorlar. Hakim ve savcılar bu konuda eğitilirse tarafsız, doğru danısman kişiler ışığında, bundan sonra gelişebilecek bu tarz davalarda doğru kararlar verilebileceğine inanıyorum.

-Hacker’ların kendi alanlarında uydukları etik kurallar var mı? Belli siteleri hack etmemek vs.

Çeşitli “Hacker Manifestoları” internette yer alıyor fakat bunlar gerçek anlamda hacker topluluğu arasında kabul gören ama uygulanmayan manifestolar. Hack edilen siteler için ise bir kategorizasyon mevcut değil her çesit sitenin kırılmasını görmek mümkün.

-Hacker’lık bilgisayara meraklı gençler için cazip bir alan gibi görünüyor, ama işin hukuki yönünü de göz ardı etmemek gerek. Siz bu konuyla ilgili insanlara, kendi tecrübenizden de yola çıkarak ne söylemek istersiniz?

Açıkcası bir sabah kapı çalınıp, çevik kuvvet mensubu polisler tarafından evinize baskın yapılması pek hoş bir sey değil. Özellikle Emniyet’te yasanan süreçle, yargıda devam eden süreç insanı çok yıpratıyor. Hacker’lık genellikle insanlarda taşıdığı gizem ve mistik hava yüzünden çekici geliyor. Fakat unutulmamalı ki bu belirli kıstaslar dahilinde yapıldığında kişi “hacker” olarak tanımlanabilir. Eğer kişi sistemlere girip, oradan aldığı verileri kar gözeterek başka firmalara satıyorsa o zaman bu kisi bir “hacker” değil sadece “suçlu” olarak nitelendirilebilir.

[Yazar]

Yazılar