Ne yapıyor o casuslar?
Kişisel bilgilerimizi alıp satıyorlar. Bir takım bilgi borsaları gibi çalışan sitelerde vatandaşlık numaralarımız, soyadlarımız, kredi kartı şifrelerimiz gibi her türden kişisel bilginin bir alıcısı var. Bunlar o borsalarda gayet ucuza satışa çıkarılıyor ve kötü niyetli birileri de (mesela bizim adımıza bir şirket kurup hayali ihracatla başkalarını dolandırmak isteyen birileri) girip, 10-15 dolar rayiçlerle bizim bilgilerimizi satın alıyor.
Mesele; bunlara karşı bizi kim, nasıl koruyor? Koruyor mu?
Ya da biz kendimizi nasıl koruyabiliriz, casusları nasıl fark edebiliriz? İşte Kekevi'nin olayın boyutlarını gözler önüne seren cevapları...
Bilişim suçları konusunda yasal düzenlemeler ne düzeyde?
Yeterli değil. Ama bütün dünyada bilişim hukuku yeni yeni oluşuyor. Batı ülkelerine göre Türkiye geride. Batıda kişisel verinin öneminin farkındalar.
Kişisel veri dediğiniz?
Kişiyle ilgili mahrem bilgiler.
Şifrelerimiz gibi mi?
Şifreyi de geçelim. Sosyal güvenlik numaranız, vatandaşlık numaranız, anne kızlık soyadınız.
Mesela biz o bilgileri e-posta yoluyla gönderebiliyoruz.
O birisi de bir kamu kuruluşu olursa eğer toparlıyor onları ve ilan ediyor. Biliyorsunuz KEY ödemelerinde milyonlarca kişinin bütün bilgileri internetten ilan edildi. O dönem sivil toplum kuruluşları olarak gerekli tepkiyi gösterdik buna. Ama 3-4 ay sonra bir daha yayınladılar. Çok ciddi tepki oluşmuştu ve geri çekmişlerdi listeyi. Bu arayıp bulamadıkları bir kaynak casusların. Bunlar alınıp satılıyor.
Nasıl?
Bilgi ticareti başladı tüm dünyada artık. Borsalar kuruldu internet üzerinden. Birileri o siteye girip temin ettiği bilgileri satıyor.
DEVLETLER CASUS YOLLUYOR
Kimler, niçin satın alıyor bu bilgileri?
Bankaları soyuyorlar, hayali şirket kuruyor. Devletler de bilgi hırsızlığı yapıyorlar. Almanya 2007 yılında “Terörle mücadele” maskesi altında bir yasa çıkardı. Bir kurum oluşturarak internete casus program pompalama suretiyle her tür bilgiyi topluyorlar. Sonuçta bütün bilgiler orada devletin kendisi tarafından toplanıyor. Almanya bunu legal hale getirdi. Bu noktada kişilerin bunların farkında olup önlemlerini almaları gerekiyor. Yoksa devlet tarafından yasalar çıkarılsın bu engellensin diye beklersek olacak gibi değil. Bunun hukuksal süreçlerde yeri yok. Yavaş yavaş oluşuyor.
Biz kendi güvenliğimiz nasıl sağlarız? Neler yapmalıyız?
Sorun bilgi sahibi olmamak, güvenliğin öneminin farkında olmamak. Bir banka hesabınız boşaltılsa hoş olur mu? Ya da adınıza birileri şirket kurup sizi borçlandırsa? Daha bir sürü şey… Bunlar yaşanıyor ve zaman zaman medyada yer alıyor. Ama vatandaşın anlayacağı dilden anlatılmıyor. Biraz da hasıraltı ediliyor.
İNTERNET SEFERBERLİĞİ YAPIYORLAR, GÜVENLİKTEN HİÇ BAHSETMİYORLAR
Neden?
Çünkü insanlar korkmasınlar kaygısı var. Özellikle kamu kuruluşlarından duyuyorum bunu. Gizleniyor yani. Medya da öneminin farkında değil. Zaten gündemleri de hiç boş olmuyor! Farkındalık çalışması yapılıyor olsa eminim insanlar hemen öğreneceklerdir. Bilgisayar ve internet kampanyaları düzenliyorsunuz ama güvenlikleri konusunda bir şey yapmıyorsunuz.
İnternette işlem yaparken nerelerde dikkatli olmalıyız? Nerelerde korsanlık riski vardır?
Bir defa şunun bilincinde olmalı herkes: Bilgisayarınızda bir takım bilgiler var. İnternete girdiğiniz anda milyarlarca kişinin bağlı olduğu bir ağın içindesiniz. Her tipte insan var burada. Ve bilgisayarında depoladığınız bilgilerin peşinde olan insanlar da var.
Ne gibi?
Her tür bilgi. Dosyalarınız, şifreleriniz, kişisel bilgiler. Her şey para ediyor. Kimin ne işine yarar diye düşünebilirsiniz. Ama bir bedeli var hepsinin. Demin söylediğim sitelere gidip o numarayı bir rayiçle satabilirsiniz.
Yani ben istesem birinin sosyal güvenlik numarasını satın alabilirim, öyle mi?
Birinin değil, milyonlarcasının.
Ne kadar bedelle satılıyor bunlar?
Çok pahalı da değil. Bu işe girebilirsiniz! (Gülüyor!) mesela vatandaşlık numarası 8-10 dolar. Sosyal güvenlik numarası 3-5 dolar. Bir kredi kartı şifresi 20-30 dolar. Ama biz sürekli bu borsaya müdahale edip fiyatları düşürüyoruz. Sosyal Güvenlik Kurumu 1 milyon tane bilgiyi bedava dağıtınca borsa düşüyor tabii! 10 dolardan 3 dolarlara falan inebiliyor! (Gülüyoruz!) Bunun farkında olursanız ona göre bilgisayar ve interneti kullanırsınız.
KENDİNİZİ İNTERNETTE NASIL KORURSUNUZ?
Nasıl ele geçiriyorlar bunları?
Bilgisayarınıza erişerek. Veya siz o bilgileri bir yerden bir yere yollarken o ağa girip çalabilirler. Tabii tamamen kişisel beceriyle sağlanması mümkün olmayan durumlar da var. Bunlar için de geliştirilen bazı programlar var. Bunların başında herkesin bildiği antivirüs programları var. Antivirüs programları ‘spy’ları tanımaz. Asıl güvenlik ‘anti spyware’ dediğimiz casus programları. Virüs programları artık demode oldu yani. Eğlence için çoluk çocuğun yazığı şeyler.
Ne yapıyor?
Bilgisayarınızı çökertiyor. Yeniden kurarsınız onu. Ama casus programları öyle değil. Onların amacı casusluk, yani bilgileriniz çalmak. Bilgisayarınızı çökertmek gibi bir niyetleri de yok. Kendilerini belli etmiyorlar. Bilgi ticaretine konu olan şeyleri de en çok bu yöntemle elde ediyorlar. Demin söylediğim gibi Almanya halkına yasal olarak casus program yolluyor. Bir de sosyal mühendislik kullanıyorlar; “teröre karşı” diyorlar. O yüzden kimse bir şey de diyemiyor. Üçüncüsü güvenlik duvarı dediğimiz ‘Firewall’ programları. Her bilgisayarın 65 bin küsur giriş-çıkış kapısı vardır. Diğer bilgisayarlarla, internet ile iletişim sağlanır bunlarla. Ekrana gelen görüntü aslında dosyadır. Onu çağırırsınız ve ‘port’ dediğimiz o kapılardan girer. Yani kapıları açık bilgisayarın. Dolayısıyla o güvenlik duvarı programları o kapıları kontrol eder.
Nasıl edinebiliriz güvenlik duvarı?
Programları satın alıp bilgisayarınıza yükleyeceksiniz. Ücretsizleri de var ama bir çoğu içinde casus programla geliyor. Yani kesinlikle onları kurmamak lazım. Bir takım kalitesizleri de var, işlevini yerine getirmeyen. Bu konuda seçici olmak ve gözlemek lazım. Bir firewall programı giriş çıkışı kontrol eder. O zaman siz de bir işlem yapmak isteyebilirsiniz, çıkış yapmak isteyebilirsiniz o kapılardan. Onu nasıl ayırt edeceksiniz? Size bir soru sorar ‘şöyle bir dosya bilgisayarınızın dışına çıkmak istiyor, izin veriyor musunuz’ diye. Firewall onu yakaladığında iyi niyetli mi, kötü niyetli mi olduğunu bilemez çünkü. İşte biraz kafa yormak lazım. İçeriye bir spyware girdiyse kapıları kullanarak dosyaları gönderir. Kullanıcı bunu okumadan evet derse o program işe yaramaz. İnsan unsuru daima devrede yani. Farkındalık dediğim de bu.
Pahalı mı bu programlar?
Hayır. Bu üçü ve daha bir takım ilavelerin de olduğu güvenlik paket programları var. Set olarak 25-30 dolardan başlıyor. 50 dolara kadar çıkıyor.
Windows Güvenlik Duvarı diye bir şey var. O işe yaramıyor mu?
O işlevsiz. İşe yaramıyor.
CASUSLAR, BİLGİSAYARI KAYBETMEMEK İÇİN VİRÜSLERİ KOVUYOR
En çok nasıl gelir casuslar bilgisayara?
Mail yoluyla. Ekli dosyalar içeren spamler yoluyla gelir. Ve sosyal mühendislik içeren maillerdir bunlar. Mesela kurların dalgalandığı bir dönemde Merkez Bankası’nın logosuyla gelir. ‘Ekte kurları takip edebileceğiniz program var’ der mailde. İnsanların bunu bilmesi lazım. Kendi eliyle o casusu bilgisayarına yüklüyor ve farkına da varmıyor. Spyware gizlenmek üzere yazılmıştır çünkü. Ve öyle spywareler var ki, bazı virüsleri kovalayıp yok ediyor ve bilgisayarı koruyor. Çünkü virüs gelirse bilgisayarı çökertecek ve kendisi o makineyi kaybetmiş olacak. Pahalı yazılımlar bunlar. Çünkü bu bilgi borsalarında milyon dolarlar dönüyor.
Mesela cep telefonlarına gelen “kimlik numaranızı yollayın 50 kontör hediye” mesajlarının çoğu işlevsiz çıkıyor. Dolayısıyla bunlar da casus SMS olabilir mi?
Evet. Şimdi bunu irdeleyelim. Bir şekilde 100 bin tane cep telefonu numarası elde ettim diyelim. Bunun çok büyük bir mahsuru yok. Uyuşturucu almıyorum sonuçta. Ve 100 bin kişiye en fazla 1 saat içinde SMS yolluyorum. En kötü ihtimalle yüzde 20’si geri dönse 20 bin kişi eder. 20 bin tane kimlik numarasını 1 dolardan satsan 20 bin dolar. Bu 1 günlük iş. Bir olay yaşamak için sıra bekliyoruz yani. Ve mahkemeler yetmiyor. Bilişim suçları da çok birikmiş durumda. Mağdur kesimi çok bu suçların.
Şimdi benim bilgisayarıma 5 ay önce casus girdi diyelim. Güvenlik duvarı kursam bunu fark edebilir miyim?
Bilgisayarda casus program olup olmadığını gözle görmek mümkün. Bütün programları durduruyorsunuz ve belli programlarla gözlemeye başlıyorsunuz. 65 bin kapıdan giren çıkan var mı diye bakıyorsunuz. Çalışan hiçbir program yokken bir paket alışverişi varsa o bilgisayarda casus program vardır demektir. Profesyonel firewall’unuz varsa onlar rapor verir ne girip ne çıkmış diye.
Bu casuslar dışarıdan aldığımız DVD’lerle, CD’lerle de bulaşabiliyor değil mi?
Evet. Bilgi para demek. Bir program yazdığınızda onunla casusluk yoluyla kat kat para kazanabilirsiniz. Bilgi bu kadar önemli.
“ARKADAN DOLANARAK YASAĞI DELİYORSUN”
İnternet yasakları konusunda ne düşünüyorsunuz?
Google yasaklanıyor, alibaba.com yasaklandı. Neden? Dış Ticaret Müsteşarlığı’nın alibaba.com’da yer satın alan ihracatçılara bir teşvik verdiğini biliyorsunuz. Devlet tarafından kullanılması teşvik edilen bir site bu yasak kapsamında yasaklandı. Buradaki amaç özgürlüğü kısıtlamak. İnterneti kontrol almak. Mesela Youtube da bir videonun yayını gerekçesiyle yasaklandı. İpin ucunu da kaçırdılar artık. Hala yasak. Oradaki yasak ile ülkeye ne fayda sağlanıyor? Biz görmesek de bütün dünya görüyor o videoyu.
Youtube yasağına çok fazla tepki olduğunda Başbakan “Ben giriyorum, siz de girin” demişti. Yasak olan bir şeyi yapmaya teşvik etti yani. Ulaştırma Bakanlığı ilişkili Telekomünikasyon İletişim Başkanlığı’nın yasakladığı siteye giriş yolunu gösterdi. Bir de güvenli mi bu yoldan girmek siteye?
Bu, konunun ne kadar farkında olduklarının ispatı. Farkında değiller. Başbakan ne söylediğini bilmediği için söylüyor. Kendi hükümetinin yasağını arkadan dolanarak deliyorsun. Mantıklı değil. Bakanlıkla müşterek çalışmalarımız oluyor. 18 Kasım’da Ankara’da 3 gün sürecek Bilişim 09 etkinliği var. Cumhurbaşkanlığı himayesinde, Ulaştırma Bakanlığı ve Bilgi Teknolojileri Kurumu’nun desteğinde gerçekleşiyor. Halka açık ve birçok konunun değerlendirileceği bir kurultay. Bunun içinde bir de Güvenlik Konferansı düzenleyeceğiz. Çok geri dönüşü olmuyor maalesef ama konuşma fırsatı buluyoruz.
Gerçek Gündem/Başak Günsever
Editör: TE Bilisim
