İletişim ve bilgi işlem teknolojilerinin sürekli gelişmesi, kişisel, sosyal ve ticari hayatımızda bilişimin ağırlığını giderek artıyor. Finansal işlemlerin bilgi teknolojileri aracılığı ile yönetilmesi, üretim ve dağıtım kanallarında bilişim teknolojilerine olan bağımlılığın artması, her türlü cihaz ve makinanın diğer cihaz ve sistemlere bağlanabilmesi bizlere kolaylık sağlıyor. Ancak bu gelişmeler haksız kazanç sağlamak ve toplumda terör korkusu yaratmak isteyen suçlulara da bulunmaz fırsatlar sunuyor.
Internet bankacılığıyla para transferi artıyor
Bundan 20 yıl önce banka hesap kartı ve kimlik belgesi ile, mesai saatleri içinde hesabınızın bulunduğu şubeye gidip, kuyruğa girdikten ve kimlik fotokopilerini çektirdikten sonra, gerçekleştirdiğiniz işlemleri banka cüzdanınıza yazdırarak para çekebilirdiniz. Hatta başka bir şubeden para çekmek istediğinizde, telefon ya da faks ile, karşı şubede gerçekten hesabınız olup olmadığı ve bakiyenizin yeterlilik durumu öğrenilirdi. Günümüzde artık tüm bunlar nostalji oldu. Para çekme makinaları ve internet üzerinden kullanım sayesinde istediğimiz an para çekip, internete erişebildiğimiz her yerden istediğimiz para transferlerini gerçekleştiriyoruz. Tabi her tür rahatlığın bir bedeli oluyor. Finansal işlemler bu kadar kolaylaşınca, kullanıcı ismi ve şifresini ele geçiren, haksız kazanç peşindeki insanların işleri de kolaylaşıyor. Kullanıcı ismi ve şifresini ele geçirmeye çalışmak kadar, finans kuruluşlarının sunucularından bu bilgileri almaya çalışmak da mümkün. Sunucu açıklarını ele geçirip, sunucu ve veritabanına erişmek tüm bu bilgleri korumasız bırakabiliyor. O yüzden güvenlik teknolojilerine çok yatırım yapılmakta ve kötü niyetlilerin kullanabileceği zayıflıkları önlemek için özel çabalar sarf ediliyor.
Kendi kendini dolandıranlar bile var!
Herşeye rağmen gene de çok farklı yollarla bu güvenlik duvarları aşılabiliyor. Örneğin bankada açtığı hesabın ay sonu bakiye bildirimi mesajını takip ederek, sunucu adresini öğrenen bir şifre kırıcı, bu adresten sunucuya ulaşmayı başarmış. Sonrasında veritabanına erişen kişi, kendi hesabından 200bin dolarlık bir borç kaydı yaratmış. Bir gün sonra bankayı arayarak hesabında kendisinin gerçekleştirmediği 200bin dolarlık bir çıkış olduğunu belirtmiş. Banka yetkilileri durumu inceleyince kullanıcıya hak vermişler ve diğer müşterilerini tedirgin etmemesi amacıyla, fazla soruşturmadan kişinin hesabına 200bin dolar yatırmışlar. Tabi her bir olay araştırılıp, nedenler bulundukça önlemler alınıyor. Günümüzde, bu hatanın tekrarlanmaması için uygulama ve veri tabanı ayrı sunucular üzerinde tutuluyor. Kullanıcılara bilgilendirme mailleri uygulama ve ya veritabanı sunucularından gönderilmiyor. Düşen sunucu fiyatları ile uygulamalar ve veritabanları farklı sunuculara dağıtılarak bu tür yasa dışı erişimlerin önlenmesine çalışılıyor.
En büyük tehlike şirket içinde!
Bu tür kullanıcı isim ve şifrelerinin ele geçirilmesi çoğu zaman şirket içi kullanıcılar tarafından gerçekleştiriliyor. O yüzden şirketler mümkün olduğunca az bilgiyi veritabanlarında saklıyorlar. Belli bilgilere şirket çalışanlarının erişimi bile mümkün olmuyor. Bu tür bilgileri saklayan ve olması gereken değerlerle karşılaştıran ayrı uygulamalar devreye alınmış durumda. Kimsenin erişemediği, kendi kendini yöneten bu sistemler ile şirket içi veri kopyalama ihtimali neredeyse sıfırlanıyor, çünkü kötü niyetli çalışanların ulaşabileceği bir veri bulunmuyor. Tabi bir kullanıcı gerçekten şifresini unuttuysa ve yenisini alması için bu uygulamalarda belirtilen prosedürleri yerine getiremiyorsa, bu da tam bir kaosa sebep oluyor. Örneğin anlık mesajlaşma kullanıcı şifresi kırılan bir arkadaşım, kullanıcı şifresini yenilemek için gerekli olan ek soru ve cevabını hatırlayamadığı için kullanıcı şifresini sıfırlatamadı. Kullanıcı ismini bloke de ettiremedi. Suistimali önlemek için kişisel müdahale sıfırlanınca, bu tür inisiyatifler de ortadan kalkıyor. Tüm arkadaşlarına haber verene kadar, şifre kırıcı kontak listesinde ki bazı arkadaşlarından borç para isteyerek, arkadaşımı yüklü bir meblağın sorumluluğu altına soktu.
Kopya siteler pusuda bekliyor
Bazı şifre kırıcılar, yazım hatalarının gerçekleşeceğini varsayarak, finansal kuruluş sitelerinin olası yazım hatalarını içeren site isimleri satınalıyorlar. Örneğin www.abc.com sitesine girecek kullanıcıların, acele ile www.abb.com ya da www.ab.com yazabileceği düşünülerek, bu sitelerin isim hakkı alınıyor. Gerçek sitenin bire bir aynı site görünümü ile kullanıma açılıyor. Bu yazım hatası nedeni ile kopya siteye girip farkına varmayanların, kullanıcı ismi ve şifresi elde ediliyor. Sonrasında hemen gerçek siteye bağlanıp şifre değişikliği işlemi yapılarak, kullanıcının sisteme girişi engelleniyor ve hesabından istenen işlemler gerçekleştirilebiliyor. Son dönemde cep telefonu kısa mesaj servisi onayı ile bu tür girişimlerin sonuçsuz kalması sağlandı. Cep telefonunun ele geçirilmesi ya da SIM kart kopyalaması gibi olasılıklar nedeniyle hala tam güvenlikten bahsedemesek de, gerçekleşme olasılığı eskiye oranla çok daha azaldı.
Terör, korku ve kaos teorisi
Toplumda korku salarak kendilerini olduklarından daha güçlü hissettirmek isteyen kötü niyetli kişiler için bilgi sistemlerine yönelik saldırılar giderek daha cazip hale geliyor. Ocak 2003’de nükleer bir tesisin güvenlik sistemine korsan (hacker) saldırısı gerçekleşti. Operasyonel sistemlere girmesine çok az bir süre kala bu saldırı durduruldu. Bundan 6 ay sonra ise Kanada ve A.B.D’de gerçekleşen ve 30 saat boyunca 50 milyon kişinin elektriksiz kalmasına neden olan aksaklık, ‘acaba terörist bir saldırı mı?’ sorusunu yoğun bir şekilde gündeme getirdi. Oysa kesinti terörist saldırısı değildi. O günlerde hayli artan sıcaklık nedeni ile elektrik tüketiminin artması ve ağaç yıkılması sonucu kesilen elektirk akımının, devreye otomatik olarak giren sistemler ile yedek ünite ve hatları devreye sokması yüzünden meydana gelen aşırı yüklenme kesintiye yol açmıştı. Kaos teorisinin öngördüğü gibi, adeta bir kelebeğin kanat çırpması ile kasırga oluşmuştu. Entegre sistemler ve otomatik devreye giren yedekleme üniteleri bölgesel olabilecek ve birkaç yüz bin kişiyi etkileyecek elektrik kesintilerinin, 50 milyon kişiye yayılmasına neden olmuştu. Karşılaşılan sonuçlara bakıldığında, bu kesinti herhangi bir terörist saldırıdan çok daha fazla kişiyi etkilemiş ve basit bir sandviçin bile 100 dolara kadar yükselmesine sebep olarak ekonomik bir krizi de tetikleyebilmişti. Bu tür olaylar sayesinde bilgi sistemleri güvenliğinin önemi iyice anlaşıldı ve son dönemlerde en fazla yatırım alanlardan biri haline geldi. Özellikle internet üzerinden ürün ve hizmet satışı yapma konusunda iş modelleri geliştirilirken, en önemli konulardan biri güvenlik oldu. Bilgi teknolojileri seminerlerinde en fazla katılımcı alan konuların başında da güvenlik gelmeye başladı.
Ülkemizde en yaygın suç, telif hakları ihlali
Ülkemizde en yaygın bilişim suçu olarak ne şifre kırıcılığı ne de korsan saldırılardan bahsedilmiyor. En yaygın bilişim suç, telif hakları ihlalleri ya da lisanssız/korsan kullanım olarak ortaya çıkıyor. 2007’de bu alanda 321.676 şahsa ve 463.834 mala karşı suç işlendi. Yani toplam nüfusun yüzde 9,35’i, emniyete intikal eden suç işledi. Bağımsız araştırma kuruluşu IDC’ye göre Türkiye’de telif hakkı ödenmeden kullanılan yazılım oranı ise yüzde 65 düzeyine ulaşıyor. Yine bağımsız araştırma kuruluşlarının verdiği bilgilere göre Türkiye’deki toplam PC sayısı yaklaşık 7,5 milyon civarında. Bu, PC sahiplerinin yüzde 65’nin lisanssız yazılım kullandığını düşündüğümüzde yaklaşık 4,8 milyon kişinin telif hakkı suçu işlediği düşünülebilir. Ülkemizde suç oranının, medeni ülkelerden daha az olmasıyla övünüyoruz. Ancak telif hakları ihlallerini değerlendirdiğimizde, Batılı ülkelerdeki 100 bin kişide 935 adetlik suç oranı, Türkiye’de 100 bin kişide 65.935’e yükseliyor.
Suçu önlemek ve suçluları yakalamak mümkün
Artan iletişim olanakları ile artık her an her yerden internete erişebilmek mümkün. Mala ve cana yapılan saldırılarda devreye girecek internet erişimi caydırıcı olabileceği gibi, suç işlenirse suçluyu bulmak için de kullanılabilir. Uzun zamandan beri filo yöneten firmalar tarafından kullanılan mobil araç izleme teknolojileri diğer sektör ve kullanıcılara da açılıyor. Yeni çıkan bir fotoğraf makinası, belli aralıklarla çekilen fotoları internette belirleyeceğiniz bir siteye yükleyebiliyor. Böylece fotoğraf makinanız çalınırsa, ilk fotoğraf çekiminden sonra kimlerin elinde ve hangi ortamda bulunduğuna dair bir fikriniz olabilecek. Aynı şekilde geliştirilmekte olan bilezik ya da kolye gibi devamlı vücudunuzla temasta olan bazı aksesuarlar, sürekli biometrik ölçümler yapabilecek. Böylece sağlığımızla ilgili endişe verici bir durum belirdiğinde, kalp krizi ya da sara nöbeti gibi, sağlık ekiplerine ve aile yakınlarına mesaj gönderebilecek. Aynı şekilde bir yankesicilik olayı ile karşılaşırsanız, korkunuzu belli eden biometrik değerler yükseldiğinde, güvenlik birimlerine ortamın ve suçluların görüntüleri gönderilmeye başlanacak. GPRS ile yer tespitinin de yapılması ile güvenlik birimlerinin en kısa süre de müdahalesi sağlanabilecek. Kısacası, beraberinde bazı yeni riskler getirse bile teknoloji hayatımızı değiştirmeye ve iyileştirmeye devam ediyor.
Kariyer Dergi Ağustos 2008
