Hepimizi etkileyecek! Türk hacker açıkladı...

Kendini etik hacker olarak adlandıran Şahin ile kimlik bilgilerinin çalınmasındaki güvenlik zafiyetinden bilgileri çalınanların neler yaşabileceğini ve yeni kimliklerle tekrarının yaşamamak için çözüm olup olmayacağını masaya yatırdık. Türkiye'nin en büyük servis sağlayıcısını, ilk bankasını ve Bill Gates'i hackleme suçlamasıyla adını duyuran Türkiye'nin ilk tescilli Hacker'ı Tamer Şahin'in kimlik bilgilerinin çalınmasıyla ilgili Gazetevatan.com'a özel açıklamaları şöyle; Etik Hacker ne iş yapar? Çok sayıda kamu, özel sektör firmasını yasal olarak, kendi izinleriyle hackleyerek güvenlik açıklarını ortaya çıkarıyorum. Ar-Ge yapıyoruz ve milli yazılımlar geliştiriyoruz. Siber İstihbarat alanında faaliyetlerimiz var. Hackerlar henüz saldırmadan tehditlere dair istihbarat sağlıyoruz. - 50 milyona yakın vatandaşın kimlik bilgisi çalındı? Nasıl ve nereden çalınabileceğiyle ilgili sizin bir düşünceniz var mı? Türkiye'de maalesef kişisel bilgilerin kullanımı çok başıboş bir noktada. Bugün kargo poşetlerinin üzerinde T.C. kimlik numaraları dolaşıyor, telefonda sıradan bir servis aldığınız şirket bile anne kızlık soyadınızı istiyor. T.C. kimlik, anne kızlık soyadı gibi rakam, kelime kombinasyonlarının hiç biri yaşadığımız yüzyılda güvenlik sağlayacak araçlar değil. Yayınlanan bilgilere gelecek olursak aslında bu konu çok ironik. 2009 yılında siyasi partilerle yasal izinler çerçevesinde paylaşılan bilgiler bunlar. Oy kullanabilecek 18 yaşını doldurmuş yaklaşık 50 milyon yetişkin T.C. vatandaşına ait detaylı kişisel bilgiler o dönemde kötü niyetli biri veya birileri tarafından sızdırıldı. Sızdırılan veri ise bir paket program haline getirilip satılmaya başlandı. Önce bir kaç bin TL fiyatla satılan bu 50 milyon kişinin kişisel bilgileri sonra 600 TL'ye kadar düştü. Bu paket programı avukatlar, icra daireleri, finansal bazı işler yapan kişiler satın alıyordu. Bu şekilde veritabanındaki bilgilerden faydalanarak borçlu kişileri tespit ediyorlardı. Elbette bunun tamamıyla hem satan, hem alanlar için yasadışı olduğunu söylememe gerek yok. Milyonlarca lira haksız kazanç elde edildi bu şekilde. Sonrasında bu paket program ve veritabanı internete sızdırıldı. Yıllardır el altından dağıtılıyordu. Sonrasında birileri bunu internette herkesin erişebileceği bir sitede yayınladı. Anonymous grubuna ulaşarak dünyaya "Emniyet Müdürlüğü hacklendi" şeklinde duyurdular. İncelediğimizde gördük ki aslında alakası bile yoktu. Aradan kısa bir süre geçti şimdi de Mernis Nüfus Sistemi hacklenmişte alınmış gibi aynı veriler tekrar önümüze konuluyor. Farklı gibi gözüken tüm bu sızıntıların hepsinde aynı 2009 yılındaki veri var. Devlet kurumlarının internet sitelerinde güvenlik açığı olabilir mi? Elbette olabilir. Her sistemde, internet sitesinde güvenlik açığı olabilir. Önemli olan bunların ne oranda tutulduğu ve ne kadar dikkatli takip edilerek müdahale edildiği. Türkiye'de maalesef güvenlik açıklarını kapatmak demek yeni yazılımlar, donanımlar almak demekmiş gibi bir algı var. Çok sayıda yabancı yazılım, donanım firması kamu/özel sektöre her yıl milyonlarca dolarlık sadece pazarlama bütçeleriyle şekillendirilmiş ürünler satıyor. Bunların bir çoğu göstermelik ürünler ve teknik anlamda yeterlilikleri yok. Milli projelerdeki eksikliğimiz yüzünden ABD, İngiltere, İsrail, Rusya, Çin gibi ülkelerin eline teslim olmuş durumdayız. Sadece sınırlarını korumakla büyük devlet olamayız. Siber dünyada da bağımsızlığımızı korumalı ve sınırlarımızı savunmalıyız. Bunu yaparken ofansif anlamda da çağın gerekliliklerine uygun olarak dijital istihbarat toplamalıyız.  Tekrarı yaşanabilir mi? Yaşanma ihtimali var. Siyasi partilerle de olsa hiç bir organizasyonla bu denli kişisel bilgiler paylaşılmamalı. Bu konuda farkındalık oluşturmak, eğitimler vermek ve kanunları uygulanabilir hale getirmek çok önemli. Kişisel verilerin korunması kanunu yasalaştı. Umarım bu kanun maddeleri kağıt üzerinde kalmaz ve net şekilde uygulanır. Çalınan bilgilerle ne gibi işlemler yapılabilir? Tehlikenin boyutu nedir? Şu an herhangi biri tarafından ulaşılabilir olan bu verilerle çok sayıda dolandırıcılık yapabilmek mümkün. Biri sizin adınıza telefon hattı çıkartıp konuşmalar yapabilir ve borçlu siz gözükebilirsiniz. Adınıza banka hesabı açılıp internet bankacılığı yoluyla çalınan paralar adınıza açılan hesaptan geçirilebilir. Suçsuzluğunuzu kanıtlamak bile yıllar sürecektir. Yine aynı şekilde çek defteri alınabilir, adınıza şirket kurulabilir. Zaten ortada dolaşan bilgilerin çoğu aynı. Sadece adres bilgileri eski. Bunca veri elde olduktan sonra kişinin yeni adresine ve diğer verilerine ulaşmak pek zor değil. Yeni kimlik kartları güvenlik ve kullanım açısından birçok kolaylık sağlayacağı açıklandı. Sizce yeni kimliklerde çip olması, olası bir güvenlik tehdidi yaratabilir mi? Çiplerin kopyalanma ya da çalınması ihtimali var mı? Yeni kimlik kartlarında çip olması önemli. Burada bir takım kişisel veriler tutulacak ve tek kartla çok sayıda işlem yapabilecek gibi gözüküyoruz. Fakat işin en önemli kısmı biyometrik veriler. Yani örneğin siz bir gayrimenkul satıyorsunuz satışı yaparken avuç içi damar izi gibi biyometrik verilerden faydalanılması isabetli olur. Şu an için çip konusu konuşuluyor fakat aslında değiştirilemez ve atlatılamaz olan bu biyometrik bilgiden faydalanmak çok daha isabetli olur. Çipli kimlik kartları ihalesini önceden İsrail'li bir firma almıştı. Bu firmanın ürünleri hacklendi o dönemde, bu da bir tedirginlik yaratmıştı doğal olarak. Sonrasında ihale iptal edildi. Elbette güvenlik açıkları çıkacaktır fakat önemli olan tasarım aşamasındaki algoritmalar ve bu çiplerin şifrelemelerinin ne derece yetenekli kişiler tarafından test edildiği. 4 Mart'ta dağıtımı başlayan yeni kimliklerin gelecekte bize güvenlik açısından etkilerini merak ediyoruz. Yeni kimlikler ile kimlik sahteciliği sona erer mi? Bunu yaşayarak göreceğiz. Alışkanlıklarına çok bağlı bir milletiz. İlk başta bir yadırgama olacaktır. Yine de cep telefonuna bunca bağımlı ve sevdalı insanlar olarak bu teknolojiye de alışmamız pek uzun sürmeyecektir. Eğer sadece çipli kimliklere bağlı kalacaksak şunu söyleyebilirim, gelecekte çipli kimlikler bugünün T.C. kimlik numarası gibi etkisiz bir önlem olarak kalacak. Yurtdışında çipli pasaportları hackleyerek kendini Barrack Obama gibi gösteren kişiler dahi var. Bu ileride daha da artacak. O yüzden bir kimlik doğrulama biçimi olarak çip + biyometrik veriyi her yerde yaygınlaştırmalıyız.