Günümüzde hackerlar çok gelişmiş şifreleme yöntemleri ve gizlenme araçları kullanıyorlar fakat hikâyenin en sonunda yakalanmalarını sağlayan şey kötü yönetilmiş “OpSec” oluyor. Peki son zamanlarda teknoloji dünyasında sıkça karşılaşılan “OpSec” terimi tam olarak ne anlama geliyor? Dahası, dünya genelinde karmaşık saldırılar gerçekleştiren ve çok güçlü gizlenme araçları kullanan hackerlar nasıl oluyor da yakalanabiliyor?
Bu yazımızda, OpSec kavramını herkesin anlayabileceği şekilde ele alıp dünyaca ünlü yakalanma hikâyelerini ve özellikle sosyal mühendislik gibi kritik konulara odaklanarak hackerların hangi hatalar sonucunda kendilerini açığa çıkardığını inceleyeceğiz.
OpSec: Sadece Güvenlik Değil, Bir Yaşam Tarzı
İngilizce’den dilimize “Opersayonel Güvenlik” olarak geçen Operations Security (OpSec), hassas bilgilerin düşman tarafından ele geçirilmesini önlemek amacıyla uygulanan bir güvenlik sürecidir. İlk olarak Vietnam Savaşı sırasında ABD askeri tarafından geliştirilen bu kavram, düşmanın stratejik bilgileri ele geçirmesini engellemek için ortaya atılmıştır. Teknik ve en yaygın askeri kullanımından ziyade, biz bu konuyu anlaşılabilir kılmak ve okuma zevkini arttırabilmek için OpSec konusunu genel anlatımın dışına çıkarak ele alacağız bu yazıda.
Malesef ülkemizde ki yayın kuruluşları ve web siteleri, bu konuyu sadece teknik bir anlatıma boğuyor ve aslında neredeyse hiç bir şey anlatmadan, bir şeyler anlatıyorlar. Gelin adım adım OpSec konusunun ne olduğuna ve sahip olduğu kritik öneme değinelim.
OpSec, yani Operasyonel Güvenlik; basitçe söylemek gerekirse sizi ele verebilecek tüm bilgileri ve izleri kontrol etme sanatıdır. Hackerlar için bu, özgürlük ile hapis arasındaki ince çizgiyi belirler. Bu, şirketler için milyon dolarlık sırların korunması anlamına gelirken; sıradan bir kullanıcı için bile çevrim içi mahremiyeti korumanın temel yoludur. Ama burada kritik bir detay var: OpSec, sadece hangi bilgiyi koruyacağınızı bilmekle ilgili değildir; hangi küçük bilginin sizi ele vereceğini öngörebilmekle ilgilidir.
“İnternette ya hiç iz bırakma ya da hangi izi bıraktığını bil.” -Shiny Flakes
OpSec’in Temel İlkeleri
OpSec’in mantığını anlamak için beş temel ilkeye göz atalım:
1)Kritik Bilgilerin Belirlenmesi
Hangi bilgiler ele geçirilirse sizi zora sokar? Bu, bir hacker için IP adresi, bir şirket için müşteri verileri veya bir birey için kişisel e-posta adresi, yaşadığı evin adresi, cep telefonu numarası vb. olabilir.
2) Tehdit Analizi
Kim bu bilgilerin peşinde olabilir? Polis? Rakip hackerlar? Sıradan bir siber dolandırıcı? Tehdidi tanımadan korunamazsınız. Bu yüzden tehdidin analiz edilmesi ve potansiyel düşmanların belirlenmesi gerekiyor.
3) Zafiyet Analizi
Bu bilgiler nasıl sızabilir? Çoğu zaman, sızıntılar teknoloji yüzünden değil, insanların yaptığı hatalar ve fark etmeden paylaştıkları bilgiler yüzünden gerçekleşir. Bu zafiyetlerin ya da amiyane tabiriyle zayıf halkaların güçlendirilmesi gerekiyor.
4) Risk Değerlendirmesi
Hangi açıklıklar en büyük zarara yol açar? Her açığın kapatılması mümkün değildir; bu yüzden en kritik olanlara öncelik verilmesi gerekir. Bazen çok önemsiz gibi gözüken açık kapılar, hiç beklenmeyen misafirleri ve sorunları içeri alabilir.
5) Karşı Önlemlerin Uygulanması
Son adımda, tüm bu analizlere dayanarak stratejiler geliştirilir. VPN kullanımı, takma adların dikkatli yönetimi veya çevrim içi davranışların değiştirilmesi vb. gibi karşı önlemler alınması aşamasıdır. Bu adımda kritik eksiklerin tespiti yapılır ve önleme davranışları gerçekleştirilir. İyi bir OpSec sizi görünmez ve tespit edilemez kılma yolunda çok önemlidir.
Neden Bu Kadar Kritik?
OpSec’in en güçlü yanı, başarıya ulaştığınızda sizi görünmez ve tespit edilmesi güç olan bir konuma getirmesidir. Kimse gerçek kimliğinizle sizi eşleştiremez, hakkınızda konuşamaz, hatta var olduğunuzu bile bilmez. Örneğin yıllardır aranan Satoshi Nakamato’nun bulunamamasının en büyük sebeplerinden birisi, iyi yönetilmiş bir OpSec’dir.
Peki başarısız bir OpSec süreci yönettiğinizde neler olur? Gelin bu konuyu dünyaca ünlü DarkWeb pazar yerlerinden biri olan SilkRoad’un kurucusu Ross Ulbritch üzerinden ele alalım.
Ross Ulbircht’in OpSec Hataları: Bir Yakalanma Hikâyesi
Ross Ulbricht, internet aleminin en bilinen OpSec hatalarından bazılarını yaparak yakalanan bir örnek. Ulbricht, Silk Road adlı yasaklı madde pazar yerinin kurucusuydu ve “Dread Pirate Roberts” takma adıyla Dark Web alanında yıllarca faaliyet göstermiş ve milyonlarca dolar kazanç sağlamıştı. Ulbricht, şifrelenmiş iletişim yöntemleri, takibi zorlaştırmak için Bitcoin, İzlanda’da yer alan bir sunucu ve daha yüzlerce teknoloji kullanıyordu. Ama yaptığı bir dizi OpSec hatası, Ulbricht’in yakalanmasına ve ağır cezalar almasına yol açtı. Çünkü şifreleme teknolojileri sizi bir yere kadar koruyabiliyor olsa da, yaptığınız OpSec hataları ifşa olmanıza sebebiyet verir. Gelin Ross Ulbricht’in OpSec hatalarına göz atalım.
1. Kullanıcı Adı ve Gerçek Kimliği Arasında ki Bağlantı
Ulbricht, Silk Road’u tanıtmak için çeşitli forumlarda “altoid” kullanıcı adını kullandı. İlk başta bu takma ad (nickname) ile Silk Road pazar yerini tanıtan Ross Ulbricht, daha sonra aynı kullanıcı adıyla bir yazılım geliştiricisini işe almak için bir arayışa girdi ve başvuruların rossulbricht@gmail.com adresine yapılmasını istedi.
OpSec Hatasının Sonucu: Bu bilgi kırıntısı, FBI araştırmacılarının “altoid” takma adıyla Ross Ulbricht’in gerçek kimliği arasında bağlantı kurmasına sebep verdi. Buradaki en büyük yanlış; Ulbricht’in dijital kimliği ile kendi adı ve soyadıyla oluşturulmuş mail adresini bir birine bağlamasıydı. Silk Road kurucusunun şifrelenmiş bir mail sistemi ve dijital kimliği ile alakalı bir mail adresi kullanması gerekirdi.
2. Kod Paylaşımları ve İzlenebilirlik
Stack Overflow gibi platformlarda, Ulbricht “frosty” kullanıcı adıyla Tor ağına dair teknik sorular sordu. İlk başta gerçek e-posta adresini kullandı, daha sonra bunu sahte bir adresle değiştirdi. Ancak bu değişiklik bile, Silk Road sunucusundaki kodlarla eşleşen paylaşımlar yapması nedeniyle onun izlenebilirliğini engelleyemedi.
OpSec Hatasının Sonucu: Kod parçacıkları, FBI’ın aradığı dijital imzayla örtüştü. Yukarıdaki örnekte olduğu gibi burada da aynı mail hatası bulunuyor. Kişi hatasını fark ediyor fakat internet üzerindeki izlerin silinmesinin ne kadar zor olduğunu hesaba katamıyor. Sıradan bir kullanıcı bile Wayback Machine ile bu tarz kırıntılara erişebilir.
3. VPN Kullanımındaki Hata ve Bazı İddialar
Ulbricht, Silk Road’un kontrol paneline erişirken VPN kullanıyordu, ancak bir seferinde VPN bağlantısı düşmüş ve bu esnada siteye doğrudan kendi IP’sinden bağlanmıştı. Fakat bu iddianın biraz şüpheli olduğunu belirtmemiz gerekiyor. Bu konuyla alakalı çok fazla spekülasyon var FBI ve NSA’in farklı teknoloji ve teknikler kullanarak yasaya uygun olmayan bir yöntem ile IP adresine ulaştığı söyleniyor.
Bu iddia mahkemeye de taşındı fakat bir muamma olarak kaldı. Edward Snowden ise bu iddianın doğru olduğunu bir panelde açıklamıştı.
OpSec Hatasının Sonucu: Bu, FBI’ın Ulbricht’in fiziksel konumunu tespit etmesine olanak sağladı.
4. Fiziksel Konumda Yapılan Hatalar
San Francisco’da bir kütüphanede, Ulbricht Silk Road’un kontrol paneline bağlı haldeyken FBI ajanları tarafından yakalandı. Eğer Ulbricht bilgisayarını kilitlemeyi başarsaydı, kolluk kuvvetleri delillere ulaşmakta zorlanabilirdi. Buradaki en büyük hata; bu kadar büyük bir yasa dışı pazarın yönetim paneline, kamuya tamamen açık bir konumdan erişmek. Evet VPN ve benzeri araçlar kullarak dijital ayak izinizi gizliyorsunuz ama kamuya açık ve herkesin görebileceği bir alandan siteye bağlanıyorsanız, yakalanmanız kadar doğal bir durum olmaz.
Polis orada olmasaydı bile Ulbricht’i başka birisi ele verebilir ya da başka durumlara yol açabilirdi.
OpSec Hatasının Sonucu: Ross Ulbricht, Silk Road ile bağlantısını doğrudan kanıtlayan delillerle birlikte gözaltına alındı.
5. Kulaktan Kulağa
Ulbricht’in çevresindeki kişilerle olan iletişimleri de onun yakalanmasında rol oynadı. Eski bir arkadaşı olan Richard Bates, Ulbricht’in Silk Road ile bağlantısını biliyordu ve bu bilgi daha sonra Ulbricht aleyhine kullanıldı. Ayrıca Ulbricht’in Silk Road’da yönetici pozisyonuna getirdiği bazı kişiler, aslında kolluk kuvvetleriyle iş birliği yapıyordu ve Ulbricht bunları hesaba hiçbir zaman katmamıştı. “İki kişinin bildiği sır, sır değildir.” atasözünün bize önemini hatırlatan bir örnek. Bir sistemdeki en büyük açıklardan birisi insan faktörüdür, bunu unutmamak gerekiyor.
OpSec Hatasının Sonucu: Ross Ulbircht, güvenilir sosyal bağlantılar kuramadığı için kolluk kuvvetleri kendisini olaylara bağlayan delilleri topladı. Aynı zamanda Ulbircht’in FBI’daki bazı memurlar tarafından bu şekilde dolandırıldığını da eklemek lazım.
Küçük Hatalar ve Büyük Sonuçlar
Ross Ulbricht’in hikâyesi, siber dünyada görünmez olmanın ne kadar zor ve OpSec uygulamalarının ne kadar kritik olduğunu açıkça ortaya koyuyor. Ne kadar gelişmiş şifreleme yöntemleri ve gizlenme araçları kullanırsanız kullanın, insan hatası her zaman en zayıf halka olmaya devam ediyor. Basit gibi görünen bir e-posta adresi, gözden kaçan bir IP bağlantısı, kamusal alanda yapılan bir işlem veya yanlış kişilere duyulan güven…
Hepsi bir araya geldiğinde, karmaşık ağların ve ileri düzey teknolojilerin sunduğu koruma kolayca aşılabiliyor. Bu yaşananlar sonrası Ulbricht 2 kez ömür boyu hapis cezasına çarptırıldı ve yıllar boyu hapishanede kalmak zorunda kaldı. Geçtiğimiz günlerde kendisine Donald Trump tarafından özel bir af yasası çıkartıldı ve bu mahkumiyeti sona erdi. Konu hakkındaki haberimize buradan ulaşabilirsiniz.
OpSec, sadece dijital araçlar kullanmak değil; aynı zamanda çevrim içi ve çevrim dışı dünyada hangi adımların sizi ele verebileceğini önceden görebilmek, insan faktörünü yönetebilmek ve kusursuz bir strateji yürütmektir. Eğer bu unsurlardan biri aksarsa, tıpkı Ulbricht’in yaşadığı gibi, en sofistike sistemler bile çökebilir.
Dijital dünyada tamamen görünmez olmak, sandığınız kadar kolay değil. Küçük bir detay bile milyon dolarlık imparatorlukları yıkabilir. Unutmayın, siber güvenlikte en tehlikeli an, kendinizi en güvende hissettiğiniz andır. Eğer daha fazla Hacker hikâyesi ve OpSec hatalarından kaynaklı gerçek öyküleri okumak isterseniz yorumlarda belirtmeyi unutmayın.
Kaynaklar: Yusuf İpek/ Youtube, Wikipedia, Dijitalgüvenlik, Arstechnica, Deep Web belgeseli, Businesİnsider