Beyaz şapkalılar
Son birkaç haftadır gündemdeki en sıcak konulardan biri hack aktivitileri. Bu güne kadar birçok saldırı haberi okuduk. Fakat şimdi yapılan saldırıların türü ve amacı değişmiş oldu. Hacktivism, yani sanal eylemler gündemimizi daha fazla meşgul etmeye başladı.
Farklı gruptaki eylemcilerin, yasal sınırları zorlayan ve hatta delen eylemlerine bu güne kadar hep gerçek dünyada şahit olduk. İşte bahse konu olan, 'Hacktivism' bu eylemlerin sanal alemdeki yansıması. Politik, sosyal ve benzeri sebeplerden dolayı eylemcilerin şirketlerden, hükümetlerden veya karşıt görüşlü gruplardan intikam alma ve mesajını daha geniş kitlelere duyurma şekli.
Kimilerine göre bu saldırganların ortaya çıkarmış olduğu gerçekler sayesinde kamuoyu bilgilendirilmiş ve saklı kalan gerçekler gün yüzüne çıkarılmış oluyor. Wikileaks belgeleri bu anlamda destekleyicilerin ellerinde en güçlü koz. Karşıt bir görüş geldiğinde ilk önce Wikileaks belgelerinin ne kadar yarar sağladığını söylüyorlar. Hacktivism üzerine yürütülen tartışmalar ve karşılıklı atışmalar farklı ortamlarda hararetli bir şekilde devam ediyor. Bu tartışmaların da bir sonu geleceği sanmam. Ancak şu notu eklemek isterim, şu ana kadar Türkiye'de yapılan eylemlerde kamu yararını ilgilendiren bir bilgi paylaşılmış değil. Tam tersi özel hayatı sıkıntıya sokan ve binlerce insana hayati tehlike yaşatabilecek bir durum meydana gelmiştir. Notu şimdilik burada bitirelim ve devam edelim.
Günümüzde yalnızca hükümetlerin değil, kamu ve özel kuruluşlarının ve hatta bireylerin bile sanal dünyadaki güvenliklerini ve zafiyetlerini önce kendilerini test etmeleri gerekiyor. İşte burada devreye Beyaz Şapkalı saldırganlar giriyor. TEDx konferanslarında bu alanda dinlediğim en başarılı sunumlardan birini vermiş olan Jeremiah Grossman'ı izlemenizi tavsiye ederim. İlgili videoyı YouTube üzerinde bulabilirsiniz: http://youtu.be/-H2G2tlqSSM.
Jeremiah'a göre herkesin mutlaka hacking bilgisine sahip olması gerekiyor. Ve özellikle hükümetler ve kurumların artık öncelikli kendi kendilerini hacklemeye çalışmaları gerekiyor ki açıklarını ve olası tehlikeleri kötü niyetli saldırganlardan daha önce bilebilsinler.
Aslında Türkiye'de de Beyaz Şapkalı saldırganların birçok şirkete danışmanlık verdiğini ve çeşitli testler yaptığını biliyorum. Ancak bunların hemen hemen tamamı özel şirketler ve özellikle güvenlik riski yüksek olan finans kurumlarından oluşuyor. Ancak çok daha önemli bilgilerimizi saklayan ve olası saldırılarda daha büyük felaketler yaşanabilecek olan kamu kuruluşlarında bu hassasiyeti görmek zor. Artık kamu kurumları da güvenliğin sağlanması için yalnızca güvenlik yazılım ve donanımlarına para ayırmanın yeterli olmayacağını, beyaz şapkalı hackerları istihdam etmeleri gerektiğinin farkına varmalılar.
Son bir not, Jeremiah Grossman her sene saldırganın on altın kuralını açıklıyor. Bu senenin liste başındaki kuralı ise ilginç, "Asla kamu kuruluşlarına ve askeri birimlere saldırma". Kuralın sebebini ise şöyle açıklıyor, "Özel şirketlerin aksine hükümetler ve askeri organizasyonlar saldırganları bulmak için harcayacakları çaba ve paranın hesabını yapmazlar. Onlar için önemli olan bu kişilerin bulunması ve cezalandırılmasıdır". Yani Jeremiah Grossman'a göre hükümete saldıranlar eninde sonunda yakalanırlar. Kulağınıza küpe olsun.