“NASA’yı Ben Hackledim Siz Yapmayın”

Geçtiğimiz ay Digital Age Summit için ülkemize gelen ve NASA’yı hackleyen adam olarak tanınan Chris Roberts ile keyifli bir soru*cevaba imza attık. Enterprise Next farkıyla okuyabilirsiniz.

Çok sayıda uçağı ve Uluslararası Uzay İstasyonu’nu (NASA) hackleyen Chris Roberts, bir dönemin en çok aranan siber suçlularından sayılıyordu. Geleceğin teknolojilerinin siber güvenliklerini sağlamak için altyapı çözümleri sağlayan ve gelecek beş yıl içinde teknolojik tsunami olacağının altını çizen Roberts, “NASA’yı hacklemem kişisel başarı gibi görünse de “teknoloji insan hayatını nasıl değiştirecek, biz buna ne kadar hazırız” konusuna dikkat çekmek açısından daha önemliydi” dedi.

Enterprise Next: Hacklemeye nasıl karar verdiniz?

Chris Robert: Siz parlayan nesneler yapıyorsunuz. Biz onlarla arkadaş oluyoruz… Sadece çünkü onlar oradalar ve biz onları bilip anlamak istiyoruz.
Siz parlak nesneleri oraya koyuyorsunuz. Biz onları buluyoruz …
Siz gizlemişsiniz. Biz açığa çıkarttık.
Siz etrafına duvarlar koymuşsunuz. Biz tüneller kazdık ve aştık.
Siz teknolojiyi korudunuz. Biz insanları hatırladık.
Siz kuralların ve yönetmeliklerin arkasına saklanıyorsunuz. Biz onların temellerini irdeliyoruz.
Siz reaksiyon gösteriyorsunuz. Biz öngörüyoruz.
Siz topluma meydan okuyorsunuz. Biz norma meydan okuyoruz.
Siz kurallara uyuyorsunuz. Biz kurallara ve kural yapıcılara meydan okuyoruz.
Siz bir hedefe odaklanıyorsunuz. Biz yolculuğa özen gösteriyoruz.
Cümleye “Yapamayız” şeklinde başlıyorsunuz. Biz ise “Nasıl yapabiliriz” diye başlıyoruz.
Siz kutunun içinden düşünüyorsunuz. Hangi kutu?
Siz düşünüyorsunuz. Biz serbest düşünenleriz.
Sizin özgürlüğünüz tanımlanmıştır. Biz ifade özgürlüğünü benimsiyoruz.
Daha fazlası var ancak “neden” sorusu ile ilgili mantık insanı harekete geçirir. Bu bilgi ve anlama için duyulan susuzluk gibidir.

Chris Roberts

EPN: İyi niyetli bir bilgisayar korsanı olmasaydınız, HERHANGİ bir sistemden elde ettiğiniz bilgilerle nasıl bir hasar veya kayıp oluşturulabilirdi?

CR: Bunun sistemlerin neler olduğuna ve neye bağlı olduklarına dayalı olduğunu düşünüyorum…Suçlular kredi kartlarını, banka veya finansal bilgileri çaldıklarında oluşturulabilecek olan zararın hepimiz farkındayız. Aynı konular sağlık bakım sektöründe de yer almaktadır ve bunlar sigortayıi doğru sağlım bakım tanılarını ve reçete kullanımlarını etkileme gibi hususları içerebilmektedir. Sonra kritik altyapıya geçiyoruz ve sizden uzaktaki diğer tarafta sebep olunan karmaşaya ve zarara bakıyoruz …Ukrayna ve dijital alemde sürekli saldırıya uğrayan altyapı. Ulaşım ise diğer bir konudur. Sevkıyatları, demir yollarını, arabaları ve diğer ulaşım biçimlerini etkileme becerisi, basit şekilde ne YAPMAK istediğimizle ilgili bir husustur. Liste böyle devam etmektedir. Sahip olduğunuz herşey kırılgandır ve bununla nelerin yapılabileceğinin sınırları sadece klavyede kimin ellerinin olduğu ile ilgili bir konudur.

EPN: Etik bir bilgisayar korsanı olarak şirketlere ve kuruluşlara tavsiyeleriniz nelerdir?
CR: Herkesin size satmaya çalıştığı yanıp sönen ışıklara itibar etmeyin ve temellerinizi sabitleştirin. İnsanları eğitin ve kurumun odaklanılması gereken basit alanlarına (en serbest olan) konsantre olun. Varlık yönetimi, politikalar, prosedürler, kontroller. Ayırma, segmentlere bölme ve basit malzemeleri sınırlandırma yolları ile ilgili olarak eğer düz bir ağ odaklanmanız varsa, en temelde ağ güvenliğiniz önemlidir. Eğer size fabrika ayarlarına sahip olmaları gerektiğini veya üst modele geçme işlemlerini yapamadıklarını söyleyen satıcılarınız varsa, onları ortadan kaldırın ve size yardımcı OLABİLECEK olan daha iyilerini bulun. Kullanıcılarınızı, liderlerinizi, müşterilerinizi ve personelinizi eğitin. Onlara emniyetten değil güvenlikten bahsedin.
…ve bir plan, bir olay yanıt planı, oluşturun çünkü bir gün bir terslik oluşacaktır. Eğer ne olduğunu anlamaya çalışıp oturacak olursanız, iyileştirme sağlayamayacaksınız. Bir plan oluşturun, planı test edin ve herkesi bir masa etrafında toplayın…
Bu bir BT/Bilgi Güvenliği problemi değildir. Bu herkesle ilgilidir. O nedenle hepimiz ortak bir lisanla konuşmalıyız ve bilgiçlik taslamamalıyız…

EPN: Bu alanda kariyer yapmak isteyen gelecek nesle neler tavsiye edersiniz?
CR: Gelin. farklı  fikirler oluşturun ve sorular sorun. Bizim hatalarımızdan öğrenin ve asla “çünkü biz bunu böyle yapıyoruz” ifadesini bir yanıt olarak kabul etmeyin… Eğer dirençle karşılaşırsanız, topluluk içinde bize ulaşın. Biz size yolu temizlemeniz için yardımcı OLACAĞIZ… ya da size bir şok tabancası vereceğiz.

EPN: Gelecekteki siber-güvenli konusundaki vizyonunuzu lütfen bizimle paylaşır mısınız?
CR: Gelecek sadece bu sektörde çalışan seçilmiş birkaç kişiyi değil hepimizi etkileyecektir. Mesajın emniyetten güvenliğe değiştirilmesi gerekir. Mevcut durumda sahip olduklarımızdan daha çeşitli fikirlerin ve kılavuz prensiplerinin oluşturulması için herkes tarafından işitilip üzerinde çalışılması gereklidir.

Sizin de bu konuda söyleyecekleriniz mi var?