- Kayıt
- 6 Şubat 2015
- Mesajlar
- 549
- Tepkiler
- 435
- Meslek
- Nükleer ve Atom Mühendisi
- Üniv
- MEPhI, KTÜ
Hacker’lar iyi mi, kötü mü? İkisi birden.
Windows’u daha güvenli hale getirmeye çalışıyorlar, şirketlere düzenledikleri saldırılardan para kazanıyorlar ve bazen hükümetler tarafından kiralanıyorlar.
Hacker ya da bilgisayar korsanı dendi mi, bilgisayarla alakası olsun ya da olmasın duyan herkesin zihninde benzer şeyler canlanır. Klavyelerle ve hepsi de yasa dışı şeyler gösteren monitörlerle dolu loş odalarda oturan korsan, çoğu zaman kavanoz dibi gibi kalın gözlüklüdür, upuzun saçları yağlıdır, parmaklarının arasında bir sigara vardır ve Rus aksanıyla konuşmaktadır. Elbette böyle film klişelerinden çıkmış gibi görünen hacker’lar da var.
Duman altı olmuş karanlık odalarda son derece güvenli ağlara ya da bot ağı denetim sunucularına giriş yapanlar da. Ancak korsanları sadece böyle görmek, asıl manzarayı gözden kaçırmak demek. Günümüzün korsanları artık bir alt kültürün üyeleri değil; birçoğunun birbirinden farklı iki kartviziti var. Her şeyin resmi bir şekilde gerçekleşmediği sıradan olaylarda üstünde “hacker” yazanı kullanıyorlar.
Diğer kartvizitlerini ise yeni müşteri bağlamak için kullanıyorlar ve bunun üstünde de “BT güvenlik danışmanı” yazıyor. Korsanların ortak yanı şu: Yazılımlarda ve internet hizmetlerinde zayıf noktaları arayıp buluyorlar. Bir açığı bulduktan sonra yaptıkları iş ise kişiden kişiye değişiyor. Kimileri bu bilgiyi etkilenen şirketle paylaşırken, diğerleri kötüye kullanıp fırsatı paraya dönüştürüyor.
Bazıları bilgiyi Zero Day Initiative (ZDI) ya da iDefense gibi yasal örgütlere satıyor. Bu bilgiler yine ilgili şirketlere ulaştırılıyor. Diğer korsanlarsa sırf adlarını duyurmak için bu olayları ilgili forumlarda duyuruyorlar. Gerçekten niyeti bozuk olan korsanlar ise siber suç dünyasıyla temasa geçip bu güvenlik açığını, en çok parayı verene satıyorlar. Çoğu zaman bunlar gazetelerin manşetlerine bile taşınıyor.
Hacker raconu: Kırıcılar, şapkalar ve diğerleri Hacker sözcüğü ilk çıktığında teknolojiye merakı olan herkesi kastediyordu. Yani aletleri kurcalamayı, programlamayı, lehim yapmayı ve elbette mevcut sistemleri analiz etmeyi sevenleri. 1960’lı ve 70’li yıllarda hacker’ların hedefi telefon sistemleriydi.
Ardından büyük bilgisayar sistemleri oldu. İnternet çıktı çıkalı da veri ağları. Bilgi ve becerilerinin karşılığında hiçbir şey almayan bu uzmanlara teknik dünyanın Robin Hood’ları gözüyle bakılıyordu. Teknik bilgiye sahip ancak etik değerlerden yoksun kişiler de bilgilerini yasadışı şekilde kullanmaya başlayınca yepyeni bir sözcük, yani “cracker” (kırıcı) ortaya çıktı.
İlk başta 1980’lerin oyunlarındaki kopyalamaya karşı koruma yöntemlerini kıranlara “cracker” deniyordu. Daha sonra zararsız hacker’lar kendilerini yeraltında çalışan meslektaşlarından kavramsal olarak uzaklaştırdılar. Bununla birlikte, internet çağında cracker / hacker ayrımı işe yaramadığından yepyeni tanımlara ihtiyaç duyuldu.
Bu sefer de beyaz şapkalılar, gri şapkalılar ve siyah şapkalılar ortaya çıktı. Şapka benzetmesi, eski kovboy filmlerinde kötülerin hep siyah, kahramanların beyaz, ikisi arasında kalanların ise gri şapka giymesinden geliyor. “Beyaz şapkalı hacker” tanımı günümüzde hala yaygın olsa da, web hızlandırma uzmanlık firması Akamai’nin BT güvenlik şefi Joshua Corman gibi uzmanlar daha ayrıntılı tanımlamalara ihtiyaç duyuyorlar.
Corman, bu camiayı “kanuna saygılı ve iyi”, “kanuna saygılı ama kötü,” “iyi niyetli ama karmaşa yaratan” ve “kötü niyetli ve karmaşa yaratan” olmak üzere dörde ayırmak istiyor. Böylece LulzSec ya da Anonymous gibi Sony’nin Playstation ağını hedef alarak adını duyuran grupları sınıflandırmaya dahil ediyor. Çünkü bu hacker’ların çalışmaları klasik siyah – gri – beyaz bölümlemesine uymuyor.
Hacker yardımı: BT sektörünün muhbirleri Hacker’ların etkinliklerinden fayda gören bir sürü BT şirketi var. Gerçi firmalar sadece beyaz şapkalı hacker’larla uğraşmak istiyorlar. Bu hacker’lar üreticilere, ürünlerindeki açıkları bildiriyorlar. Mesela bir zamanlar hacker’ların korkulu rüyasıyken şimdi onlara saygın güvenlik muhbirleri gözüyle bakan Microsoft. Redmondlu şirket artık dünyanın dört bir yanına saçılmış teknoloji kurtlarından uzak durmaya çalışmıyor.
“Eskiden sloganımız ‘ya onlar ya biz’di. Hacker’lar hep görmezden geldiğimiz rakiplerimizdi,” diyor Microsoft’un güvenlik stratejileri müdürü Sarah Blankinship. Blankinship dünya çapındaki hacker topluluğunun en parlak isimleriyle sürekli bağlantıda olan bir ekibe sahip ve “Black Hat” adlı güvenlik konferansında uzmanlar için partiler düzenliyor. Günümüzde, Microsoft’un ürünleriyle ilgili hemen her türlü güvenlik açığı, firmanın güvenlik araştırma senaryoları uyarınca hacker’lar tarafından tespit ediliyor.
Microsoft, şantaj riski çok yüksek olduğundan bu ihbarlarda bulunanlara para ödemiyor. Microsoft’** iyi ve kötü gününde hep birlikte olanlardan biri Amerikalı beyaz şapkalı hacker Dan Kaminsky. Her zaman mesaj kaygılı tişörtler giyen 32 yaşındaki Kaminsky, bir zamanlar Microsoft’ta danışman olarak çalışmış ve şirketin en önemli ürünlerini test eden ayrıcalıklı bir grubun içinde yer almış.
Kaminsky, Windows’un yeni çıkacak sürümlerinde daha bu işletim sistemleri piyasaya sürülmeden yıllar önce potansiyel güvenlik açıkları aramaya başlamış. DNS’te ölümcül bir hata saptayan Kaminsky, böylesi bir işbirliğinin bir zorunluluk olduğunu söylüyor: “Eğer şirketlerin bu güvenlik açıklarını örtbas edip kendilerine saklamalarına izin verirsek bundan kimseye bir fayda gelmez.”
Kaminsky bu yüzden de yaptığı işi internet için bir güvenlik mücadelesi olarak görüyor: “Eğer BT ürünleri sürekli maddi zarara yol açıyorsa avukatların işe karışması an meselesidir.” İnternetin hükümetlerin denetiminde olması ise elbette hacker’ların dayanamadığı şeylerden.
Hacker’ların bilgisi: Zenginlik mi, onur mu? Hacker’larla BT devlerinin işbirliği aslında bir simbiyoz, yani iki tarafın da çıkar sağladığı bir ilişki. Alman Felix “FX” Lindner, “Dışarıdan göründüğü kadar basit değil,” diyor bu durum için, “ama bazen karşı tarafa alışıyorsunuz.” Ağ güvenliği uzmanı Lindner, Cisco için çalışıyor ve dünyanın en büyük internet veri trafiğinin üzerinden aktığı ağ bileşenlerinde güvenlik açığı arıyor. Lindner, işvereninden övgüyle söz ediyor: “Cisco ve Microsoft gibi firmalar, hacker topluluğuyla birlikte çalışırken gösterdikleri profesyonellik konusunda çok hoş birer istisna.”
Elbette firmaların bunu önce öğrenmeleri gerekiyor. Tıpkı Microsoft’un müdürlerinden birinin aktardığı anekdot gibi: 2005 yılında hacker topluluğunun yaptığı bir ihbar, dev yazılım firması tarafından anlaşılamamış. Ardından da bu güvenlik açığı bildirimi unutulup gitmiş. Çok geçmeden Zotob adlı zararlı kod dünyanın dört bir yanındaki PC’lere saldırıya geçip firmalarda maddi zarara yol açtığında, Zotob’un daha önce hacker’ların açık seçik bildirdiği güvenlik açığından faydalandığı görülmüş. O gün bugündür Mic
rosoft, her türlü ihbarı ciddiyetle değerlendiriyor, hatta mesaj Çince yazılmış olsa bile. Elbette tüm hacker’ların bu denli asil davrandığını söyleyemeyiz.
Çünkü bazı uzmanlar durumu Microsoft’a bildirmek yerine (bu durumda tek ellerine geçen, aylık güvenlik bülteninde isimlerinin anılması) paraya çevirmeyi tercih ediyor. Uzmanların birçoğu emeklerinin karşılığında para alıyorlar. Asıl yanıt bekleyen soru, hacker’ların, keşfettikleri güvenlik açıklarını ne yapmaları gerektiği. Alman hacker Halvar Flake, açığı bulan kişinin ne yapacağına kendisinin karar vermesi gerektiğini düşünüyor. Ona göre, hacker bu bilgiyi ücretsiz verebilir, satabilir ya da lisanslayabilir; yeter ki kanunları çiğnemesin.
“Hiç kimse anti virüs üreticilerini, ürünlerini ücretsiz dağıtmaya zorlayamaz,” diyor. Fransız Vupen firmasının müdürü Chaouki Bekrar ise daha az diplomatik davranıyor ve ihbarları kabul edip de karşılığında para ödemeyen firmalara doğrudan saldırıyor: “Giderek daha fazla güvenlik uzmanı, bilgilerini ilgili üreticiyle paylaşmaktan kaçınır oldu. Şirketlerin her yıl ticari güvenlik kontrollerine, kod analizine ve önlemlere milyonlarca dolar harcaması daha da şaşırtıcı. Öte yandan, bunlardan aşağı kalır bir iş yapmayan ve daha önce hiç kimsenin haberdar olmadığı açıkları tespit edenlere tek kuruş bile koklatmıyorlar.” Vupen, donanımlardaki ve yazılımlardaki güvenlik sorunlarını saptayıp bunları ilgili firmalara satarak hayatını kazanıyor. Apple’ın App Store’una kötü amaçlı bir uygulama soktuktan sonra ünlenen hata avcısı Charlie Miller ise olaya farklı bir açıdan yaklaşıyor: “Acaba hatayı bulan kişi, bunu 100.000 dolara hükümete mi satmalı, yoksa 10.000 dolara yeraltı piyasasına mı? Üstelik bilginin hangi amaçla kullanılacağını bilmeden. Ben, internet güvenliğimin 17 yaşındaki Belaruslu bir çocuğun ahlaki bakımdan doğru kararı vermesine bağlı olmasından yana değilim.”
Hacker’ların iş kotası: Haftada bir güvenlik açığı Çinli hata avcısı Wu Shi, 17 yaşına daha yeni basmış. Geçimini yazılımlardaki hataları bularak kazanıyor ve şimdiye kadar 100’den fazla hata yakalamış. Bunlar daha çok Apple Safari, Google Chrome ya da Internet Explorer gibi tarayıcılarda bulunuyor. 2010 yılında 50’den fazla hata tespit etmiş ki, aslan payı 35’ten fazla hatayla Apple’ın tarayıcısı Safari’ye ait. Shi, hataları ZDI’ye satıyor: “Para ödedikleri sürece asıl şirketlerle çalışmayı yeğliyorum. Ödemediklerindeyse güvenlik açığını ZDI ya da iDefense gibi ciddi kuruluşlara satıyorum.” Çinli hacker ortalama haftada bir açık buluyor. Bunlar için de 3.000 dolar civarı para kazanıyor. “Bu rakam çok değil, çünkü Google hata başına yalnızca 500 dolar veriyor,” diyor Wu Shi. Dahası, “üreticinin beyaz şapkalı bir hacker’a ödeme yapması, organize bir saldırıyla başa çıkmasından daha ucuza geliyor,” diye ekliyor Shi. “Hem araştırmacı, hata için para aldıktan sonra üstüne bir de şantajda bulunamaz.” Wu Shi Şangay’da yaşıyor ve elde ettiği bilgileri bilişim mafyasına satmak istemiyor.
“Yaptığım beni memnun ediyor, riskli işlere bulaşmak istemiyorum.” Bir hacker’ın yaptıklarının karşılığında ne kadar kazandığını belirleyen çeşitli faktörler var. Öncelikle, parayı yasal olarak mı kazanacak, yoksa suçlulara mı satacak? İkincisi çok daha kârlı ama tehlikeli de. Hatta BT uzmanları organize suç örgütleriyle ve terörist örgütlerle işbirliği yapar duruma bile gelebiliyorlar. Zero Day Initiative (ZDI) uzmanlarından Dan Holden gibi kara şapkalı hacker’lar yeraltı dünyasında çalışıyor ve popüler hatalar için 100.000 dolar para isteyebiliyorlar. Holden uzman ve müşterisinin ondan zaafları öğrenme karşılığında para alması tümüyle yasal. ZDI, HP’ye ait ve elde ettiği bilgiyi dahili BT güvenliği ürünlerini geliştirmek için kullanıyor. O yüzden de organizasyon, elde ettiği bilgileri, açıkları kapatabilmesi için ilgili üreticiye ücretsiz olarak sunuyor. Hacker fiyatları: Özel teklif yok Adobe Reader, Internet Explorer ya da Windows gibi çok yaygın kullanılan ürünlerle ilgili hatalar çok rağbet görüyor ve bunlara karaborsada 50.000 ila 100.000 dolar ödenebiliyor. Holden, “Ödenen para, saldırganın hedefine göre değişiyor. Kimi güvenlik açıkları solucan saldırılarına daha uygun. Bazen de SpearPhishing saldırısıyla az sayıda kurbana ulaşılıyor,” diye açıklıyor. Bu ikinci yöntem Adobe Reader’ın ya da Office uygulamalarının açıklarından yararlanıyor. Imperva’nın güvenlik stratejisti Rob Rachwald, FAZ Online’** yaptığı bir röportajda hataları, yasadışı kırma işlemlerini ve kırma araçlarını içeren pazarın toplam büyüklüğünün 250 milyon dolar olduğunu tahmin ediyor. Rakamlar bu kadar büyük olunca, web kullanıcılarına tek düşen, beyaz şapkalı hacker’ların yasadışı çağrılara uymamaları ve BT şirketlerinin ağları daha güvenli kılan hacker’lara hak ettikleri paraları ödemeleri için dua etmek oluyor
Windows’u daha güvenli hale getirmeye çalışıyorlar, şirketlere düzenledikleri saldırılardan para kazanıyorlar ve bazen hükümetler tarafından kiralanıyorlar.
Hacker ya da bilgisayar korsanı dendi mi, bilgisayarla alakası olsun ya da olmasın duyan herkesin zihninde benzer şeyler canlanır. Klavyelerle ve hepsi de yasa dışı şeyler gösteren monitörlerle dolu loş odalarda oturan korsan, çoğu zaman kavanoz dibi gibi kalın gözlüklüdür, upuzun saçları yağlıdır, parmaklarının arasında bir sigara vardır ve Rus aksanıyla konuşmaktadır. Elbette böyle film klişelerinden çıkmış gibi görünen hacker’lar da var.
Duman altı olmuş karanlık odalarda son derece güvenli ağlara ya da bot ağı denetim sunucularına giriş yapanlar da. Ancak korsanları sadece böyle görmek, asıl manzarayı gözden kaçırmak demek. Günümüzün korsanları artık bir alt kültürün üyeleri değil; birçoğunun birbirinden farklı iki kartviziti var. Her şeyin resmi bir şekilde gerçekleşmediği sıradan olaylarda üstünde “hacker” yazanı kullanıyorlar.
Diğer kartvizitlerini ise yeni müşteri bağlamak için kullanıyorlar ve bunun üstünde de “BT güvenlik danışmanı” yazıyor. Korsanların ortak yanı şu: Yazılımlarda ve internet hizmetlerinde zayıf noktaları arayıp buluyorlar. Bir açığı bulduktan sonra yaptıkları iş ise kişiden kişiye değişiyor. Kimileri bu bilgiyi etkilenen şirketle paylaşırken, diğerleri kötüye kullanıp fırsatı paraya dönüştürüyor.
Bazıları bilgiyi Zero Day Initiative (ZDI) ya da iDefense gibi yasal örgütlere satıyor. Bu bilgiler yine ilgili şirketlere ulaştırılıyor. Diğer korsanlarsa sırf adlarını duyurmak için bu olayları ilgili forumlarda duyuruyorlar. Gerçekten niyeti bozuk olan korsanlar ise siber suç dünyasıyla temasa geçip bu güvenlik açığını, en çok parayı verene satıyorlar. Çoğu zaman bunlar gazetelerin manşetlerine bile taşınıyor.
Hacker raconu: Kırıcılar, şapkalar ve diğerleri Hacker sözcüğü ilk çıktığında teknolojiye merakı olan herkesi kastediyordu. Yani aletleri kurcalamayı, programlamayı, lehim yapmayı ve elbette mevcut sistemleri analiz etmeyi sevenleri. 1960’lı ve 70’li yıllarda hacker’ların hedefi telefon sistemleriydi.
Ardından büyük bilgisayar sistemleri oldu. İnternet çıktı çıkalı da veri ağları. Bilgi ve becerilerinin karşılığında hiçbir şey almayan bu uzmanlara teknik dünyanın Robin Hood’ları gözüyle bakılıyordu. Teknik bilgiye sahip ancak etik değerlerden yoksun kişiler de bilgilerini yasadışı şekilde kullanmaya başlayınca yepyeni bir sözcük, yani “cracker” (kırıcı) ortaya çıktı.
İlk başta 1980’lerin oyunlarındaki kopyalamaya karşı koruma yöntemlerini kıranlara “cracker” deniyordu. Daha sonra zararsız hacker’lar kendilerini yeraltında çalışan meslektaşlarından kavramsal olarak uzaklaştırdılar. Bununla birlikte, internet çağında cracker / hacker ayrımı işe yaramadığından yepyeni tanımlara ihtiyaç duyuldu.
Bu sefer de beyaz şapkalılar, gri şapkalılar ve siyah şapkalılar ortaya çıktı. Şapka benzetmesi, eski kovboy filmlerinde kötülerin hep siyah, kahramanların beyaz, ikisi arasında kalanların ise gri şapka giymesinden geliyor. “Beyaz şapkalı hacker” tanımı günümüzde hala yaygın olsa da, web hızlandırma uzmanlık firması Akamai’nin BT güvenlik şefi Joshua Corman gibi uzmanlar daha ayrıntılı tanımlamalara ihtiyaç duyuyorlar.
Corman, bu camiayı “kanuna saygılı ve iyi”, “kanuna saygılı ama kötü,” “iyi niyetli ama karmaşa yaratan” ve “kötü niyetli ve karmaşa yaratan” olmak üzere dörde ayırmak istiyor. Böylece LulzSec ya da Anonymous gibi Sony’nin Playstation ağını hedef alarak adını duyuran grupları sınıflandırmaya dahil ediyor. Çünkü bu hacker’ların çalışmaları klasik siyah – gri – beyaz bölümlemesine uymuyor.
Hacker yardımı: BT sektörünün muhbirleri Hacker’ların etkinliklerinden fayda gören bir sürü BT şirketi var. Gerçi firmalar sadece beyaz şapkalı hacker’larla uğraşmak istiyorlar. Bu hacker’lar üreticilere, ürünlerindeki açıkları bildiriyorlar. Mesela bir zamanlar hacker’ların korkulu rüyasıyken şimdi onlara saygın güvenlik muhbirleri gözüyle bakan Microsoft. Redmondlu şirket artık dünyanın dört bir yanına saçılmış teknoloji kurtlarından uzak durmaya çalışmıyor.
“Eskiden sloganımız ‘ya onlar ya biz’di. Hacker’lar hep görmezden geldiğimiz rakiplerimizdi,” diyor Microsoft’un güvenlik stratejileri müdürü Sarah Blankinship. Blankinship dünya çapındaki hacker topluluğunun en parlak isimleriyle sürekli bağlantıda olan bir ekibe sahip ve “Black Hat” adlı güvenlik konferansında uzmanlar için partiler düzenliyor. Günümüzde, Microsoft’un ürünleriyle ilgili hemen her türlü güvenlik açığı, firmanın güvenlik araştırma senaryoları uyarınca hacker’lar tarafından tespit ediliyor.
Microsoft, şantaj riski çok yüksek olduğundan bu ihbarlarda bulunanlara para ödemiyor. Microsoft’** iyi ve kötü gününde hep birlikte olanlardan biri Amerikalı beyaz şapkalı hacker Dan Kaminsky. Her zaman mesaj kaygılı tişörtler giyen 32 yaşındaki Kaminsky, bir zamanlar Microsoft’ta danışman olarak çalışmış ve şirketin en önemli ürünlerini test eden ayrıcalıklı bir grubun içinde yer almış.
Kaminsky, Windows’un yeni çıkacak sürümlerinde daha bu işletim sistemleri piyasaya sürülmeden yıllar önce potansiyel güvenlik açıkları aramaya başlamış. DNS’te ölümcül bir hata saptayan Kaminsky, böylesi bir işbirliğinin bir zorunluluk olduğunu söylüyor: “Eğer şirketlerin bu güvenlik açıklarını örtbas edip kendilerine saklamalarına izin verirsek bundan kimseye bir fayda gelmez.”
Kaminsky bu yüzden de yaptığı işi internet için bir güvenlik mücadelesi olarak görüyor: “Eğer BT ürünleri sürekli maddi zarara yol açıyorsa avukatların işe karışması an meselesidir.” İnternetin hükümetlerin denetiminde olması ise elbette hacker’ların dayanamadığı şeylerden.
Hacker’ların bilgisi: Zenginlik mi, onur mu? Hacker’larla BT devlerinin işbirliği aslında bir simbiyoz, yani iki tarafın da çıkar sağladığı bir ilişki. Alman Felix “FX” Lindner, “Dışarıdan göründüğü kadar basit değil,” diyor bu durum için, “ama bazen karşı tarafa alışıyorsunuz.” Ağ güvenliği uzmanı Lindner, Cisco için çalışıyor ve dünyanın en büyük internet veri trafiğinin üzerinden aktığı ağ bileşenlerinde güvenlik açığı arıyor. Lindner, işvereninden övgüyle söz ediyor: “Cisco ve Microsoft gibi firmalar, hacker topluluğuyla birlikte çalışırken gösterdikleri profesyonellik konusunda çok hoş birer istisna.”
Elbette firmaların bunu önce öğrenmeleri gerekiyor. Tıpkı Microsoft’un müdürlerinden birinin aktardığı anekdot gibi: 2005 yılında hacker topluluğunun yaptığı bir ihbar, dev yazılım firması tarafından anlaşılamamış. Ardından da bu güvenlik açığı bildirimi unutulup gitmiş. Çok geçmeden Zotob adlı zararlı kod dünyanın dört bir yanındaki PC’lere saldırıya geçip firmalarda maddi zarara yol açtığında, Zotob’un daha önce hacker’ların açık seçik bildirdiği güvenlik açığından faydalandığı görülmüş. O gün bugündür Mic
rosoft, her türlü ihbarı ciddiyetle değerlendiriyor, hatta mesaj Çince yazılmış olsa bile. Elbette tüm hacker’ların bu denli asil davrandığını söyleyemeyiz.
Çünkü bazı uzmanlar durumu Microsoft’a bildirmek yerine (bu durumda tek ellerine geçen, aylık güvenlik bülteninde isimlerinin anılması) paraya çevirmeyi tercih ediyor. Uzmanların birçoğu emeklerinin karşılığında para alıyorlar. Asıl yanıt bekleyen soru, hacker’ların, keşfettikleri güvenlik açıklarını ne yapmaları gerektiği. Alman hacker Halvar Flake, açığı bulan kişinin ne yapacağına kendisinin karar vermesi gerektiğini düşünüyor. Ona göre, hacker bu bilgiyi ücretsiz verebilir, satabilir ya da lisanslayabilir; yeter ki kanunları çiğnemesin.
“Hiç kimse anti virüs üreticilerini, ürünlerini ücretsiz dağıtmaya zorlayamaz,” diyor. Fransız Vupen firmasının müdürü Chaouki Bekrar ise daha az diplomatik davranıyor ve ihbarları kabul edip de karşılığında para ödemeyen firmalara doğrudan saldırıyor: “Giderek daha fazla güvenlik uzmanı, bilgilerini ilgili üreticiyle paylaşmaktan kaçınır oldu. Şirketlerin her yıl ticari güvenlik kontrollerine, kod analizine ve önlemlere milyonlarca dolar harcaması daha da şaşırtıcı. Öte yandan, bunlardan aşağı kalır bir iş yapmayan ve daha önce hiç kimsenin haberdar olmadığı açıkları tespit edenlere tek kuruş bile koklatmıyorlar.” Vupen, donanımlardaki ve yazılımlardaki güvenlik sorunlarını saptayıp bunları ilgili firmalara satarak hayatını kazanıyor. Apple’ın App Store’una kötü amaçlı bir uygulama soktuktan sonra ünlenen hata avcısı Charlie Miller ise olaya farklı bir açıdan yaklaşıyor: “Acaba hatayı bulan kişi, bunu 100.000 dolara hükümete mi satmalı, yoksa 10.000 dolara yeraltı piyasasına mı? Üstelik bilginin hangi amaçla kullanılacağını bilmeden. Ben, internet güvenliğimin 17 yaşındaki Belaruslu bir çocuğun ahlaki bakımdan doğru kararı vermesine bağlı olmasından yana değilim.”
Hacker’ların iş kotası: Haftada bir güvenlik açığı Çinli hata avcısı Wu Shi, 17 yaşına daha yeni basmış. Geçimini yazılımlardaki hataları bularak kazanıyor ve şimdiye kadar 100’den fazla hata yakalamış. Bunlar daha çok Apple Safari, Google Chrome ya da Internet Explorer gibi tarayıcılarda bulunuyor. 2010 yılında 50’den fazla hata tespit etmiş ki, aslan payı 35’ten fazla hatayla Apple’ın tarayıcısı Safari’ye ait. Shi, hataları ZDI’ye satıyor: “Para ödedikleri sürece asıl şirketlerle çalışmayı yeğliyorum. Ödemediklerindeyse güvenlik açığını ZDI ya da iDefense gibi ciddi kuruluşlara satıyorum.” Çinli hacker ortalama haftada bir açık buluyor. Bunlar için de 3.000 dolar civarı para kazanıyor. “Bu rakam çok değil, çünkü Google hata başına yalnızca 500 dolar veriyor,” diyor Wu Shi. Dahası, “üreticinin beyaz şapkalı bir hacker’a ödeme yapması, organize bir saldırıyla başa çıkmasından daha ucuza geliyor,” diye ekliyor Shi. “Hem araştırmacı, hata için para aldıktan sonra üstüne bir de şantajda bulunamaz.” Wu Shi Şangay’da yaşıyor ve elde ettiği bilgileri bilişim mafyasına satmak istemiyor.
“Yaptığım beni memnun ediyor, riskli işlere bulaşmak istemiyorum.” Bir hacker’ın yaptıklarının karşılığında ne kadar kazandığını belirleyen çeşitli faktörler var. Öncelikle, parayı yasal olarak mı kazanacak, yoksa suçlulara mı satacak? İkincisi çok daha kârlı ama tehlikeli de. Hatta BT uzmanları organize suç örgütleriyle ve terörist örgütlerle işbirliği yapar duruma bile gelebiliyorlar. Zero Day Initiative (ZDI) uzmanlarından Dan Holden gibi kara şapkalı hacker’lar yeraltı dünyasında çalışıyor ve popüler hatalar için 100.000 dolar para isteyebiliyorlar. Holden uzman ve müşterisinin ondan zaafları öğrenme karşılığında para alması tümüyle yasal. ZDI, HP’ye ait ve elde ettiği bilgiyi dahili BT güvenliği ürünlerini geliştirmek için kullanıyor. O yüzden de organizasyon, elde ettiği bilgileri, açıkları kapatabilmesi için ilgili üreticiye ücretsiz olarak sunuyor. Hacker fiyatları: Özel teklif yok Adobe Reader, Internet Explorer ya da Windows gibi çok yaygın kullanılan ürünlerle ilgili hatalar çok rağbet görüyor ve bunlara karaborsada 50.000 ila 100.000 dolar ödenebiliyor. Holden, “Ödenen para, saldırganın hedefine göre değişiyor. Kimi güvenlik açıkları solucan saldırılarına daha uygun. Bazen de SpearPhishing saldırısıyla az sayıda kurbana ulaşılıyor,” diye açıklıyor. Bu ikinci yöntem Adobe Reader’ın ya da Office uygulamalarının açıklarından yararlanıyor. Imperva’nın güvenlik stratejisti Rob Rachwald, FAZ Online’** yaptığı bir röportajda hataları, yasadışı kırma işlemlerini ve kırma araçlarını içeren pazarın toplam büyüklüğünün 250 milyon dolar olduğunu tahmin ediyor. Rakamlar bu kadar büyük olunca, web kullanıcılarına tek düşen, beyaz şapkalı hacker’ların yasadışı çağrılara uymamaları ve BT şirketlerinin ağları daha güvenli kılan hacker’lara hak ettikleri paraları ödemeleri için dua etmek oluyor
