26 Mart 2012

Siber Saldırı: Siber Savaş ve Siber Muhalefet

Siber güvenlikle ilgilenenlerin sık sık dile getirdiği bir gerçek vardır: “Tamamen güvenli bir sistem yoktur ve her sisteme girilebilir”. İnternet güvenliğinde çıta giderek yükseliyor. Sistemin güvenliğini yükseltebilirsiniz, ama bu güvenliği garanti edemezsiniz. El elden üstündür… Eskiden sistem güvenliğini sağlamanın basit bir yolu vardı: İnternete bağlanmamak! Artık internete bağlı olmayan sistem “sistem” olarak adlandırılamayacağı, yani hiç bir işe yaramayacağı için, bu seçenek de ortadan kalktı.

“Siber savaş” veya “siber saldırı” terimleri yeni değil. İnternetin başından beri “hacktivist”ler (politik nedenlerle hacking eylemi yapanlar), kripto-anarşistler, siber-punk’lar vb. oradaydı zaten. Seattle’daki Dünya Ticaret Örgütü protestoları internet ve cep telefonları üzerinden örgütlenmiş ve büyük başarı kazanmıştı; Zapatistalar, milislerin köylü katliamlarını internete yayarak Meksika hükümeti üzerinde uluslararası baskı oluşturmuştu; Filipinler devlet başkanı Estrada 1 Milyon SMS mesajıyla istifa etmeye zorlanmıştı. İnternet en başından beri politik hareketlerin önemli bir aracı olageldi.

Elbette buna çeşitli terör örgütlerinin ağır kriptolu internet iletişimini kullanmasını, çeşitli devlet istihbarat örgütlerinin benzeri faaliyetlerini de katmak gerek. Bunlar, internetin yeni bir savaş alanı, yeni bir cephe olmaya başladığını gösterdi. Nitekim daha 1997’de, ABD “derin kuruluşu” RAND bu konuda raporlar yayınlamaya başladı (Mesela John Arquilla ve David Ronfeldt’in “Athena’nın Kampında” raporu; aynı ikili 2001’de “Ağlar ve Ağ Savaşları: Terör, Suç ve Militanlığın Geleceği” raporunu yayınladı). İnternet cephesinde savaş özellikle son üç yıldır ciddi biçimde kızışmış durumda.

İnternetin başından beri işin içinde olan ve Elektronik Ufuklar Vakfı’nın kurucusu (https://www.eff.org/) John Perry Barlow, daha 1996’da “Siber mekanın bağımsızlık bildirgesi”ni yayınlamış ve devletlere “burada istenmiyorsunuz” diye seslenmişti. Aynı Barlow, 2010 sonunda, Wikileaks’in “Cablegate” yayınlarına karşı ilk saldırılar ve savunma hareketleri başladığında Twitter’dan şu mesajı geçmişti: “İlk ciddi enformasyon savaşı başladı. Savaş alanı Wikileaks, sizler de ordularsınız.”

Hemen ardından da Arap Baharı patladı, sosyal medyanın muhaliflerin örgütlenme, iletişim ve kamuoyu oluşturma çabalarında ne kadar etkili olduğu görüldü. Sonra Yunanistan, İspanya, “Öfkeliler Hareketi” (Los Indignados), İsrail, Londra yağmaları derken “Wall Street’i İşgal Et!” (OWS) eylemleri giderek yerküreye yayılan işgal hareketlerine dönüştü. Bu eylemlerin her birinde internetin, sosyal medyanın ciddi bir mevcudiyeti var. Bu istisnasız tüm iktidarları, çok uluslu şirketleri, askeri-endüstriyel kompleksleri ciddi biçimde ürküttü ve hemen karşı saldırıya geçtiler. Bir çok ülkede gündeme gelen internet sansür düzenlemeleri, telif hakkı bahanesiyle geçirilmeye çalışılan SOPA, PIPA tarzı yasalar, ACTA gibi uluslararası anlaşmalar, çocuk pornografisi ve terör gibi bahanelerle uygulanan fişleme / dinleme / izleme / denetim çabaları bu saldırın örneklerinden ibaret.

Ama devletleri ve şirketleri korkutan sadece internetin bu muhalif kullanımı değil. Çünkü bu muhalefet, internetin başından beri orada olan anarşist / “hacktivist” hareketlerin de yükselişini tetikledi. Ana akım medyanın “sivilceli şişko ergen” hacker imajına hiç de uymayan çok geniş, tamamen lidersiz, gayri-merkezi ve dağıtık bir biçimde örgütlenen Anonymous, LulzSec, Telecomix gibi küresel ve bunlarla bir şekilde bağlantılı bir çok ulusal ve yerel hareket ortaya çıktı. Bunların Wikileaks’in bağış paralarını hukuksuz bir biçimde engelleyen PayPal veya VISA gibi kuruluşlara siber saldırılar düzenlediğini gördük.

Aynı gruplar Arap Baharında Tunus, Mısır, Yemen, Libya, Suriye polisine ve istihbaratına da ciddi darbeler indirdiler. Mübarek’in isyanı bastırmak için interneti kestiği beş gün içinde Mısır borsası çökerken, bu grupların desteğiyle muhalefet tweet geçmeye devam ediyordu. Akabinde bu gruplarla iktidarlar arasındaki savaş daha da derinleşti. İnterneti sansürleyen otoritelerin web sitelerine saldırılardan, devletler hesabına çalışan özel siber güvenlik şirketlerinin kirli sırlarının ele geçirilmesine, üyelerinin tutuklanması sonrası İspanya, Yunanistan, Fransa gibi ülkelerdeki polis sistemlerine, hatta Interpol ve FBI sistemlerine yapılan ve bir kısmı da bu sistemleri gerçekten çökertip hassas bilgilerin ortalığa saçılmasına neden olan operasyonlar geldi. Ülkemiz de bunlardan nasibini aldı.

Devletler ve şirketler kendilerini bu saldırılardan koruyabilirler mi? Belki bir yere kadar. Ama dediğim gibi mükemmel sistem güvenliği yoktur ve hiç bir zaman da olmayacak. Bu yüzden bu sorunun cevabı açık: Hayır, koruyamazlar. Nitekim FBI başkanı, geçtiğimiz günlerde, bir numaralı ulusal tehdidin çok yakın bir gelecekte terörizm değil siber saldırılar olacağını açıkladı (http://turk.internet.com/portal/yazigoster.php?yaziid=36102). Benzeri söylemleri her gün duyuyoruz. Burada Türkiye’de de başta Ulaştırma Bakanı olmak üzere yetkililer rutin olarak aynı açıklamaları sık sık yapıyorlar. Bu savaş her iki tarafta da çıta yükselerek, gelişerek sürecek. Bir taraf daha sağlam koruma sistemleri yapacak, diğer taraf bu sistemleri kıracak yeni teknikler geliştirecek; bir taraf insanları dinlemek, izlemek ve özel hayatlarına kast etmek için daha gelişmiş teknolojiler kullanacak, diğer taraf bu teknolojileri ele geçirip, kırılması çok daha zor kripto algoritmalarını sıradan insanın kullanımına sunacak.

Bir taraf interneti sansürlemek, denetlemek, P2P ağları engellemek, dosya paylaşımını durdurmak için elinden geleni ardına koymayacak, diğer taraf I2P ağları geliştirecek, özgür ağ, derin ağ, karanlık ağ, veri cennetleri, kaos kutuları, TOR (free net, deep web, dark net, data heavens, chaosbox) gibi sansürü ve engellemeyi fazlasıyla güçleştiren farklı teknolojiler kullanacak. Daha şimdiden savaşın cephesi henüz prototip halindeki kuantum bilgiişlem veya sinir ağı benzeri ağ sistemlerine sıçradı bile… Burada gerçekten de sivilceli ergen çocuklardan söz etmiyoruz :)

27 Mart 2012

Hacktivizm, İktidarlar ve Şeffaflaşma

“Sızıntı gazeteciliği”, basın tarihin başlangıcından beri vardır ve bilginin kamusallığının apaçık bir göstergesidir; tamamıyla meşrudur. Kendi vatandaşlarının ya da müşterilerinin arkasından dolap çeviren hükümetlerin veya şirketlerin kirli sırlarının ortalığa saçılması her durumda meşrudur ve uluslararası hukukla korunan bilgi edinme hakkının, basın özgürlüğünün asli bir parçasıdır. Wikileaks ile birlikte sızıntı gazeteciliğinin altın çağına girdik. Şimdi de Wikileaks benzeri yapıların çoğaldığını göreceğiz, görüyoruz da.

Çünkü bu çoklanabilir bir model. Daha şimdiden çevre sorunlarıyla ilgili sızıntıların yayınlandığı GreenLeaks, uluslararası ticaret sırlarının ortalığa döküldüğü TradeLeaks, Avrupa Birliği’nde dönen dolapları yayınlayan BrusselLeaks, veya RuLeaks, TuniLeaks, IndoLeaks gibi ülkelere özgü ulusal sızıntı kaynakları türedi bile. Bunlar daha da çoğalacak ve bence bu çok hayırlı bir gelişme. Artık sızıntı kaynakları New York Times, Washington Post gibi, hükümetleriyle ve şirketlerle göbek bağına sahip endüstriyel medya kuruluşlarının insafına kalmıyor. Sızıntıyı internete salmak yeterli (elbette doğru dürüst bir editörlük çalışması her zaman gerekiyor) ve sızıntı durdurulamaz bir biçimde her yere yayılıyor.

Durdurulamaz, çünkü bunu durdurmak için interneti “kapatmak” gerek ve bu hiç bir babayiğidin harcı değil. Mısır’ın devrik başkanı Mübarek interneti beş gün kapatarak ülke ekonomisine ciddi zarar vermekten de yargılanıyor ve bu umutsuz eyleminin borsayı çökertmek dışında bir işe yaramadığını biliyoruz.

Yani hükümetler, şirketler, bankalar, DTÖ, Dünya Bankası gibi uluslararası kuruluşlar ve askeri-endüstriyel kompleksler de dahil olmak üzere artık tüm iktidar odaklarını daha da zor günler bekliyor; buna alışsalar ve gayri meşru işlere kalkışmadan önce iki kere düşünseler iyi ederler. Artık hiç bir şey gerçekten de gizli kalmıyor

28 Mart 2012

Türkiye ve Siber Savaş

Türkiye de giderek yükselen bu siber savaştan payını alıyor. Son bir kaç yılda gerek hükümet kuruluşlarına gerekse şirketlere yönelik bir çok siber saldırıya tanık olduk. Mesela geçtiğimiz yıl BTK’nın devlet eliyle merkezi filtre kararı “güvenli internet” adı altında yayınlandığında gerek BTK gerekse TİB siteleri saldırıya uğradı ve bir süre kapalı kaldı. Diğer devlet kuruluşlarına da benzer saldırılar düzenlendi. Bunların bir kısmını Anonymous grubu “OpTurkey” adı altında üstlendi, bir kısmını ise kimin düzenlediği ve bu sızmalar sırasında ne tür bilgilerin elde edildiği bir sır olarak kaldı.

En son da bu BTK saldırısı gerçekleşti ve kurumun çevrimiçi şikayet hizmetini kullanan çok sayıda kullanıcının kişisel bilgiler ortalığa saçıldı. Bu çok vahim bir durum yarattı. Hele de, adı üstünde, Türkiye’de bilgi ve iletişim teknolojilerinden sorumlu bir kurumun kendi güvenliğini sağlamaktan aciz olduğunu gösterdiği için. Ben bir çok yerde bu olayı, BTK’nın internet güvenliğinden anladığı tek şeyin internet sansürü ve merkezi filtreden ibaret olduğunun kanıtı olarak yorumladım. BTK yüzünden ortalığa saçılan veriler, kullanıcıların tam isimleri, kullanıcı adları, e-postaları, açık biçimde şifreleri, ev – cep – iş telefonları, doğum tarihi, TC kimlik numaraları gibi ele geçirildiğinde mağduriyet yaratabilecek kişisel veriler ve bence doğabilecek herhangi bir mağduriyetten BTK birinci dereceden sorumlu tutulmalı.

Nitekim bir çok kullanıcı BTK’ya karşı dava açacağını ifade etti. Türkiye’de devlet işini yapıp, interneti sansürlemekte gösterdiği azmi vatandaşlarını korumak için gösterseydi bir kişisel verileri koruma kanunumuz olurdu (on küsur senedir Meclis’e gidip geri dönüyor) ve bu kanun olsaydı zaten BTK hakkında bir kamu davası açılırdı.

Oysa BTK bu olayla ilgili olarak yaptığı açıklamada ortalığa saçılmasına neden olduğu kişisel verilerden bahsetmedi bile. Oysa bu kişisel veriler kullanılarak, veri sahiplerine çok ciddi zararlar verilebilir. Sadece T.C. Kimlik numarası kullanılarak bugün sizin yerinize bir çok resmi işlem yapılabilir ve bu kimlik numaraları zaten ortalarda dolaşmakta, Türkiye’de bu konuda çok ciddi açıklar bulunmaktadır. Bu bilginin üzerine, doğum tarihinizi, ev ve iş adreslerinizi, cep ve sabit telefon numaralarınızı, e-posta adreslerinizi de ekleyin, bir nevi anonim vekalet vermiş gibi olursunuz. Bence BTK sorumlu tutulmalı ve acilen bir soruşturma açılmalı.

29 Mart 2012

Türkiye Hacker Camiası

Türkiye’de hacker camiası aslında oldukça uzun bir süredir faaliyet gösteriyor ve genel hatlarıyla ikiye ayrılıyor: Milliyetçi olduğunu iddia eden ve genellikle başka bir devletle şu veya bu şekilde bir sorun yaşandığında o ülkedeki bazı sitelere saldırıp mesaj bırakan “devletsever” hacker’lar ve RedHack örneğinde olduğu gibi, bilginin özgürleşmesini savunan “Hacker Etiği”ne uygun eylemlerde bulunan daha “sol” eğilimli hacker’lar. Bir çok grup var.

Birinci kategoridekiler, mesela Ermeni soykırım yasasına karşı bu yasayı gündeme getiren Fransız milletvekilinin sitesine saldırıp, oraya tehditkar mesajlar bırakmak veya internet sansürünü gündeme getirmek için Türkiye’deki bazı sitelere saldıran Anonymous’un iletişim forumlarından birini hack’lemek gibi “devlet yanlısı” eylemler peşindeyken, ikinci grup ise tam tersine otorite karşıtı, anarşist ve sol bir takım eylemlere girişiyor ve hedef olarak da Emniyet veya ana akım medya gibi kesimleri seçiyor. Birinci grupta polise çalışan bir çok hacker’ın olduğu da dedikodular arasında. Bunların bir kısmı daha geçenlerde sıradan bir dolandırıcılık eylemine karıştıkları için ifşa oldular mesela.

Bu arada kendisine “hacker” diyen herkesin bu sıfatı taşımadığını da belirmemiz gerek. Bir çok kişi, “hacker”lıktan ziyade, internette bulduğu bazı yazılımları kullanarak oraya buraya saldıran ve “lamer” tabir edilen sıradan kullanıcılardan ibaret.

“Hacker” kültüründe kişisel itibar her zaman önemli olmuştur; bu yüzden seçilen anonim kimliği camiada ünlü kılmak için girişilen bir çok amaçsız eylem de kafa karıştırıyor elbette. Ama politik hack’leme, yani “hacktivizm” tamamen politik amaçlarla seçilmiş hedeflere, genellikle bilgi ele geçirip yayınlama veya belli bir sistemi bir süreliğine işlemez hale getirerek zarar verme amacıyla ve temelde de kamuoyu oluşturmak için girişilen eylemler. Bu bakımdan başından beri örgütlenme tarzları her zaman gayri-merkezi ve dağıtık bir yapıda oluyor ve genellikle bunların liderleri bulunmuyor. Bunlar hücre biçiminde çalışan bir çok grubun internet üzerinden koordineli çalışmasıyla faaliyette bulunuyorlar. Dolayısıyla aralarından bir kaç kişinin yakalanması üzerlerinde pek de yıkıcı bir etkide bulunmuyor.

Şimdilerde bir çok Anonymous üyesinin yakalandığı ve onlara “ağır bir darbe” indirildiği yolunda haberler okuyoruz, ama bu öyle bildiğimiz anlamda bir “örgüt” değil ki, “lider kadrosunu” yakalayıp işini bitiresin. Bu bir ideoloji ve tamamen gayri merkezi, hücresel bir yapı. Birini yakalasan on kişi daha dahil oluyor harekete ve kimin ne yapacağına anlık olarak karar verip öngörülemez bir şekilde faaliyetlerini sürdürüyorlar. Ama mesela Lulzsec daha merkezi bir yapı olduğu için lider kadrosu da bulunuyor ve bunların yakalanması ve içlerinden birinin (yani “Sabo”nun FBI tarafından) ele geçirilmesi grup üzerinde yıkıcı etkide bulunabiliyor. Nitekim grup dağıldığını açıkladı bile. Bu gruptan dağılanlar muhtemelen Anoynous franchise’ını kullanarak eylemlerine devam edecektir (Bkz. Özgür Uçkan, “Anonymous : Kim, Ne, Neden?”, SosyalSosyal ( Anonymous : Örgüt Değil Fikir – 3), http://www.sosyalsosyal.com/anonymous-kim-ne-neden). Otoritelerin aynı “başarı”yı Anonymous üzerinde göstermesi mümkün değil. Olsa olsa bazı dağıtık parçaları ele geçirip göz dağı vermeye ve korku yönetimine kalkışabilirler ve bunun etkisi sınırlıdır.

Türkiye’de siber saldırıların “yaygın olmadığı” düşünülüyor, ama bu da pek temelli bir yargı değil. Bu saldırıları daha önce duymuyor olmamız, daha çok ana akım medyanın kendi oto sansüründen dolayı böyle. Ana akım medya her zaman devletsever hacker’ların eylemlerine yer verdi (bu medya hangi konuda doğru dürüst haber yaptı ki bu konuda yapacak?). Artık bu tür eylemleri duyuyor olmamızın nedeni internetin ta kendisi. Son iki yıldır Türkiye’de sosyal medya, özellikle de Twitter resmen gündem belirler hale geldi. Önemli bir olay olduğunda ilk oraya bakıyoruz, hiç birimizin aklına geleneksel medyaya bakmak gelmiyor. Ana akım medya da toplumun dikkat eşiğini sosyal medya sayesinde aşan olaylara mecburen yer vermek zorunda kalıyor. Bu Van depreminde de böyle oldu, Ahmet Şık’ın daha yayınlanmadan yok edilmek istenen kitabında da, Deniz Feneri davasında da, Uludere olayında da, Pozantı Cezaevi rezaletinde de, çocuk tecavüzü skandallarında da… İktidar bu durumdan çok rahatsız ve sosyal medyayı zaptı rapt altına almak için yakın zamanda bir girişim beklenebilir. Beklenebilir de, bu konuda ne kadar başarılı olur orası meçhul. Daha geçenlerde Çin’in ünlü ateş duvarı bile çöktü de Çinliler topluca Twitter’a girdi…

Yani RedHack ve benzeri sol eğilimli Hacker grupları aslında epeydir eylemde bulunuyor; hatta internetin ülkemize girip belli bir kullanıcı nüfusuna ulaşmasından beri diyebiliriz. Aralarında uzun zamandır adını duyduğumuz bazı hacker’lar var. RedHack’in eylemleri arasında çeşitli banka sistemlerine saldırılardan, İstanbul’da trafik cezalarının silinmesine, valilik, kaymakamlık ve belediye sitelerinin işlemez hale getirilmesinden MOBESE sisteminin teknik detaylarının yayınlanmasına, RTÜK sisteminin çökertilmesinden Adnan Oktar sitelerinin engellenmesine bir çok eylem var. Bunların çoğu geleneksel medyada haber olmadı. Hatta sırf bu yüzden Milliyet’in sitesini kırıp kendi haberlerini yaptılar ve bazı radyoların yayınlarına girerek mesajlarını ilettiler. Son iki yıldır sosyal medyanın bir haber mecrası olarak ana akım medyayı sollamasından beri bu tip eylemleri daha çok duyar olduk. Medya da bu haberlere mecburen yer verdi. Dünyada hacktivist hareketlerin yükseliş eğiliminin aynen buraya da yansıyacağını düşünüyorum açıkçası. Bu tip eylemlerle daha çok karşılaşacağız gibi görünüyor. Siber güvenlik ve siber savaş bizim gündemimizden de düşmeyecek.