20-21 Mayıs tarihleri arasında SteigenbergerHotel Maslak’ta gerçekleştirilecek olan Türkiye’nin ilk global siber güvenlik zirvesi LOCARD Global Cyber Security Summit sonrası konuşmacılarından Chema Alonso ile konuştuk... BlackHat gibi dünyanın en popüler hacking konferanslarında da konuşmacı olarak yer alan, Güvenlik Uzmanı olan Chema, Telefonica'nın siber güvenlik firması Eleven Paths'te CEO görevini yürütüyor. Yukarıda bahsettiğimiz güvenlik konularıyla ilgileniyor ve her gün milyonlarca insanı etkileyen siber suçlara çözüm arıyor.
1-Kimlik bilgilerinizi isteyenlere karşı dikkatli olun!
Hacker'lar nasıl düşünür? ABD başkanlık seçimi adayları Donald Trump ve Hillary Clinton gibi isimler başta olmak üzere bugünlerde kendimizi nasıl koruyabiliriz?
İlk olarak, hacker'ların tamamen siber suçlulardan ayrı bir yerde olduğunu belirtmem gerekiyor. Hacker'ı tanımlamak için şu ifadeyi kullanmayı tercih ederim:
Bir sistemin, bilgisayarın ve bilgisayar ağlarının nasıl çalıştığını anlamak için özel çaba gösteren kişi. Açıkçası hacker teriminin 'güvenlik kırıcı' anlamındaki cracker ile karıştırıldığını düşünüyorum.
Güvenlik alanına odaklanmış bir hacker, her zaman teknolojinin sınırlarında gezinmeye çalışır. İlgilendiği alanın bir kenarında kalmış dosyalar nihayetinde kırılacaktır. Hacker'lar teknoloji araştırma arzusuna sahiptir ve bir şeyleri yapmanın sürekli yeni yöntemleri keşfetmeye çalışırlar.
Siber suçlular ise farklıdır. Onlar daha çok 'nasıl' kısmına odaklanır. Bir siber suçlu sadece sahte e-postalar ile firmalardan veya ünlülerden çalarak para kazanan birisi olabilir. Bu tür sıradan yöntemler halen işliyor çünkü internette hesabı bulunanların yüzde 10'undan azı iki basamaklı güvenlik doğrulama kullanıyor. İnternette kurtlar ve kuzular vardır. Eğer kurtların özelliklerini bilmezseniz, bir koyun olursunuz. Eğer internetten keyif almak istiyorsanız, sizden bilgilerinizi isteyen süper renkli bir hizmete girmeden önce güvenlik konusunda araştırma yapmanız lazım.
2-Türkiye'de bedava Wi-Fi ile akıllı şehir ve ev konsepti giderek yaygınlaşıyor. Tüm bunların sakladığı riskler nedir?
Wi-Fi ağları herkes tarafından paylaşılan içerik kullanır. Ortak paylaşımlı medyayıdinleyebilir veya üzerinden sinyal gönderebilirsiniz. Başlangıçta, Wi-Fi ağları bir çok güvenlik açığına sahipti. Günümüzde modern protokol ve ayarlar ile güçlendiriliyorlar. Yine de bedava Wi-Fi ağlarında birçok risk mevcut.
İlk olarak güvenlik yeterince güçlü değil. İkincisi Wi-Fi yapısı gereği siber suçlulara veri akışına müdahale edebilecekleri, yönlendirebilecekleri açıkları sunuyor. Bu yüzden ya bedava Wi-Fi kullanmayın veya güçlü bir VPN bağlantısından yararlanın.
3- FBI'ın iPhone şifresini kırmasını nasıl yorumluyorsunuz? iPhone Touch ID teknolojisi yeterli mi?
Bu konudaki şahsi görüşüm, büyük firmaların benim bir İspanyol, AB ve BM vatandaşı olarak kişisel haklarımdan sorumlu olmadığı. Bana kalırsa gizlilikten çok daha önemli birçok hak var. Gizlilik de tabii ki korunmalı. Bulunduğumuz şartlar altında İspanya'nın demokratik bir ülke ve Avrupa regülasyonlarına uyumlu olduğumuzu düşünürsek Apple gibi bir firma kilidin kırılması için yerel güvenlik yetkililerine yardım etmeli.
Bence Apple bu tür bir konuda yetkililerle çalışmalı ve medyada bu kadar gürültü oluşmamalı. Her gün güvenlik yetkilileri birinci sınıf ülkelerdeki iPhone'lar üzerinde binlerce adli tıp analizi yapıyor ve kimse bağırmıyor. Hatta güvenlik yetkilileri daha iyi adli tıp analizleri için araçlar geliştirilmesine yardım ediyor.
Bunun da ötesinde, değindiğiniz gibi Touch ID devletler için mükemmel bir kapı. Sınırlardan geçişlerde insanların parmak izi vermesi şart ve Norveç ile ABD gibi ülkelerde cihazlarınızın kilidini açmanız gerekiyor.
4- Whatsapp ne kadar güvenli? Yeni getirilen uçtan uca güvenlik ne kadar başarılı? Siz WhatsApp'ı güvenli buluyor musunuz?
İnsanlar WhatsApp'i ilk yüklediklerinde akıllarından güvenlik geçmedi. Kullanıcıların isteği internet üzerinden bedava mesaj göndermekti. Bugün WhatsApp Avrupa'da birçok güvenlik regülasyonunu bypass eden uçtan uca şifreleme hizmetine sahip. Yakın zamanda yasal sorunlarla nasıl baş edeceklerini bekleyip göreceğiz.
WhatsApp'teki şifreleme hakkında konuşmak gerekirse, iyi yapıldığını söyleyebilirim. Ancak mesajlar halen veri tabanında ve yedeklemerde şifresiz olarak kalıyor. Bu yüzden mesajlar SQLite veritabanından silinse bile elde etmenin birçok yolu bulunuyor.
5- Güvenlik son yıllarda, özellikle bu yıl tüm Dünya vatandaşları için önemli bir sorun haline geldi. Teröristler sosyal medya ve bitcoin'i nasıl kullanıyor? Siber suçlular yüklü miktarlarda parayı bankalardan nasıl çalıyor?
Teröristlerin sosyal medya ve bitcoin'i nasıl kullandığını anlamak için sadece sizin onları nasıl kullandığınızı düşünmeniz yeterli. İnterneti sizin muhtemelen bildiğiniz bazı özel güvenlik yöntemleri ile kullanıyorlar.ISIS'in kullanım tavsiyelerini içeren bir belge yayımlanmıştı ve bunlar oldukça normal (
http://www.wired.com/wp-content/uploads/2015/11/ISIS- OPSEC-Guide.pdf)
Peki nasıl para çalıyorlar? Birçok yöntem kullanıyorlar:
1-Sahte e-posta yöntemiyle kullanıcı adı/şifre ve ikinci basamak doğrulama bilgilerini çalıyorlar,
2-Bankalara Gelişmiş Siber Tehditler (APT) ile saldırıyorlar. Çalışanların bilgilerini ele geçirerek sisteme sızıyor ve para çalıyorlar.
3-Kredi kartları çalıyorlar.
4-Paypal ve Bitcoin hesapları çalıyorlar.
6- Türkiye'deki bankalara bu yıl içinde çok sayıda DDOS saldırısı düzenlendi. Bankacılık güvenliği hakkında ne düşünüyorsunuz? Paramız bankada güvende mi?
Bankalar çok güçlü güvenlik sistemlerine sahip ancak bu sistemler her gün geliştirilmek zorunda. Güvenlik ile iş yönetimindeki riski dengelemeleri gerekiyor. Bu denge siber suçlulara ifşa edebilecekleri riskler veriyor. Eğer bir gün paranızı bankada kaybederseniz, bu muhtemelen hacker saldırısından başka bir nedene dayanacaktır. Hacker'lar sorumluluklarını çok ciddiye alır.
7- Türkiye'yi ne gibi siber tehditler bekliyor olabilir? Devletler çevrimiçi terörizm ve siber tehditlere karşı nasıl önlemler almalı?
Kritik altyapılara yönelik modern saldırılar, devletlerin temel ulusal kaynaklara yönelik yeterince güvenlik önlemi almadığını bizlere gösterdi. Enerji sistemleri, fabrikalar, trenler, havaalanları ve su şebeleri gibi altyapılar risk altında ve siber suçlular için ana hedef konumunda. Bu nedenle ülkeler küresel güvenlik önlemlerine yatırım yapmak zorunda.
Bana geçmişte şu tarz sorular sorulmuştu: "Yarın başkentin ana meydanda 5 bin silahlı adam olsa bir aksiyon planınız mevcuttur. Peki aynısı ülkedeki tüm tren ağını ele geçirebilen bir siber saldırgana karşı mevcut mu?"Demek istediğim, her kritik altyapı için siber güvenlik tehdidi mevcut ve gerekli önlemleri almalısınız.
8- Hacktivist'ler binlerce Türk vatandaşının kimliklerini çaldı. Sizce bu saldırıları neden düzenlediler ve sonuçları ne olabilir?
Açıkçası bilmiyorum. Buradaki tabloda bir üçüncü kişi var. Onlara hacktivist diyoruz. Bu insanlar bir şeyi protesto etmek, bilgi açığa çıkarmak için belgeler çalıyor, siber saldırılar düzenliyor. Onları geçmişte Sosyal ve Politik Aktivisler ile karşılaştırırdık. Örneğin Greenpeace, ülkelerin izin verdiği yasalar altında fikirlerini savunan eylemler yapıyor. Düşünceleri ve eylemleriyle uyuşmuyor olabilirsiniz, ancak onlar aynı fikir altında hareket ediyor. Haktivist'ler için de aynısını söylemek mümkün. Anonymous, akla gelen ilk örneklerden. Düşüncelerini savunmak adına eylem düzenliyor ve bazen bilgi sızdırdıklarını görüyoruz.
Hacktivist eylemi aslında nedir? Eskiden bir siber suçlu muydu?
Bilmiyorum. İleride biriken verilerle ne olacağını göreceğiz.
9- LOCARD konferansı hakkındaki düşünceniz nedir?
LOCARD'ın fikir ve prensiplerini seviyorum. Güvenlik araştırmacılarını, hacker'ları ve güvenlik yetkililerini bir araya getirmek görüş ve tecrübe paylaşmak için oldukça iyi bir düşünülmüş bir organizasyon. Bu yıl Türkiye'de bir araya gelerek, güvenlik araştırmaları ve hacking yöntemlerini görmek adına iyi bir fırsat olduğunu düşünüyorum.
