Birçoğumuza göre, Kevin MITNICK ismi, Hacking’le eş değerde.

MITNICK, şirket bilgisayarlarına girdiğini, merakını tatmin için kaynak kodlarını çaldığını itiraf ediyor, ama şiddetle NORAD ( Kuzey Amerika Hava Savunma Komutanlığını )’nı hacklemediğini ve FBI in telefonlarına girmedigini belirtiyor.

Adını kötüye çıkaran, çok medyatikleşen kovalamacadan sonra, FBI bilindiği üzere 1995’te Mitnick’i tutuklamıştı. 5 yıl hapis cezası yatan MITNICK, 2000 yılında serbest bırakıldı ve şu an bir GÜVENLIK ŞIRKETI var.

CNN’den Manav Tanneeuru, nun MITNICK’le telefonda yapmış olduğu bu röportajda, MITNICK geçmişi, bugünün güvenliği ve isminin anılmasıyla nasıl başa çıktığını anlattı.

CNN – Bir Kevin MITNICK efsanesidir gidiyor, fakat siz genel olarak bunu inkar yoluna gidiyorsunuz ? Sizi bu kadar ünlü yapan nedir ? Ve şu ana kadar görülen yanlışlarınız nelerdir ?

MITNICK – FBI’ın telefonlarına sızmak gibi iddialar, “Enemy of State” veya “War Games” filmlerinden alınmış gibiydi. Gerçekten yaptıklarıma eklenen, uydurma bir sürü hikaye vardı. Hacker iken, sadece kod bilgisine bakmak için, Motorola ve Nokiadan kodları aldığımda ki – bu aslında hırsızlık sayılır – doğru.

Ama başımı belaya sokan yine benim. Çünkü Newyork Times’daki portre, beni çok tehlikeli bir karakter olarak gösteriyordu, hükümet de hemen soruşturmanın üstüne atladı.

Sorgulandığım günün sonunda, doğal olarak, Halka açık umumi bir telefondan ıslık öttürürek, nükleer füzeleri harekete geçirebilme ihtimalim olmadığı için hapse 1 yıl girmedim.

Ayrıca güçlü değildim. Avukatım çok parası olmayan, devlete ait bir avukattı. Fakat bir sürü iddialardan da suçlu bulunmadım. Eger NORAD’ı hackleseydim veya FBI’in telefonlarını dinleseydim, kesin olarak suçlu bulunurdum.

Kendi davranışlarımdan dolayı başımı belaya sokan benim. Buna rağmen Medya bana “Osama Bin Mitnick” muamelesi yaptı.

CNN – O aralar, ülkedeki en ünlü ve rağbette olan hacker’dınız. Şimdi ise, Senato size bilirkişi muamelesi yapıyor ve çok önemlisi bir Güvenlik Şirketi işletiyorsunuz.

MITNICK – Aslında enteresan, çunku hacking, hukuki olmayan ve suc teşkil edecek amaclar icin kullanılabilecek bir yetenek. Geçmişte sırf meraktan hack yaparken, bir yandan yasak bilgi meyvasından bir parçanın tadına bakıyorsunuz gibi bir korku da yaşıyorsunuz.

Şu an ise, genel güvenlik sözcüsü olarak güvenlik alanında çalışmaktayım. Gelirimin % 25’ini, güvenlik hizmetleri sağlıyor. Insanlar, beni sistemlerini hacklemek icin kiralıyorlar ve sistemdeki açıkları raporlayıp onarmamı istiyorlar.

Aslında garip, başka hangi alanda, suç sayılacak bir işi yaparak para kazanabiliyorsunuz ki ? Etik hırsız olamazsınız, etik katil de olamazsınız. O yüzden durum biraz ironik. Fakat, altyapı, bilgim ve yeteneklerimi kullanıp, topluma yararlı olduğumu bilmek hoş bir duygu.

CNN – Artık online dünyada olduğunuza göre, özellikle güvenlik sektöründe, size karşı bir güvensizlik veya paranoya yaşıyor musunuz ? Şirketiniz ne şekilde algılanıyor ?

MITNICK – Güvenlik alanında bir sürü kişi bana güvenmiyor. Çoğunluğu rakipler ve yapacak işler çok. Şunu söyleyebilirim ki, şirkete benle ve geçmişimle ilgili olan şüphelerle alakalı telefonlar gelmiyor.

Aldığımız telefonların çoğu işimizi iyi yapmamızla ilgili. Hiç bir zaman, “Siz X,Y,Z’siniz diye sizinle çalışmayacağız” gibi bir telefon şimdiye kadar almadık.

Işin yüzdesini tabi ki bilemem, ama mutlaka bizim firmamızla çalışmak istemeyen şirketler vardır, bunun sebebi de dava ile ilgili bilgilerinin eksikliğindendir.

Beni sadece hapse giren bir hacker olarak görüyorlardır.

CNN – Illegal hacker olduğunuz zamanlara kıyasla, bir bilgisayarı hack etmek ne zorluktadır ? Güvenlik sektörü yol almış durumda mı ? Hala yıllar önce yaptıklarınızı, yapabilmeniz mümkün mü ?

MITNICK – Şu ana bana bilgisayarlarına girmem için para ödeniyor, aslında şu an durum eskisinden daha kolay. Tamamen eger etik kurallara bağlı bir hacking yapiyorsaniz, tamamen müşteriye bağlı. Güvenlik meselesine gelince, Açıklarla ilgili değişen tek şey, teknik detaylar, tabi ki sosyal mühendislik yine vazgeçilmez.

Geri kalanların hepsi aynı diyebilirim. Dolayısıyla mesele, bilgisayar ve ağ sistem operatörlerinin ve kullanıcılarının uyanıklığı ile ilgili ve bu da “Güvenli bir dünyada mı yaşıyoruz?” sorusuna yaklaşmıyor.

CNN – Peki, normal bir bilgisayar kullanıcısı ne kadar tehlikededir ? Tabi ki kullandığı güvenlik programları bunda büyük rol oynar ama bunlara rağmen ne kadar tehlike içindedir ?

MITNICK – Geçen yıl içinde bir çalışma yapmıştım. USA Today gazetesi ve San Francisco’daki bir pazarlama şirketinin de dahil olduğu bir işti. Farklı işletim sistemleri kullanan 6 ayrı ağın oluşturduğu büyük bir sistem kurduk ve San Francisco’daki DSL bağlantısını ağa monte ettik.

Hiç bir koruma olmaksızın, bu sistemlerin nasıl kırılabileceğini gözlemlemeye başladık. Bilgisayarlardan biri, internet bağlantısını verdiğimizin 4. dakikasında hack edildi.

CNN – Daha önce sosyal mühendislikten bahsettiniz ? Bu terim size ne ifade ediyor ?

MITNICK – Sosyal Mühendislik, birini idare edebilmeyi, birini etkilemeyi veya kandırmayı kullanır. Bir şirkette bir tanıdığınız, ondan istediginiz bir rica, onu istemeyi bilmek ve saldırıyı yapacak kişinin yararına bilgiyi alabilmektir. Bazen bu sosyal mühendislikle, çok zor bir teknik açığı olan web sitesini hacklemek kadar karışık olan bir işi basit bir telefon konuşmasıyla yapabilirsiniz.

CNN – Peki, sizce Hacker’lar sosyal mühendisliği nasıl kullanıyorlar ve ne yapıyorlar ?

MITNICK – Örnek verelim. Mesela Paris Hilton. Cep telefonuna saldırıda bulunuldu. Burada iki yollu saldırı mevcut. Biri, kullandığı telefon operatörü T-Mobile’ın Web sitesi yüzünden, diğeri ise, hackerin, T-Mobile’ın web sitesinin güvenililirliğini tehlikeye atması yüzünden. Yapılan şey, siteye girip Hilton’un numarasını almak için, bir sifre sıfırlaması yapmasıydı. Böylece, yeni sifrenin o numaraya sms ile yollanacağını tahmin etmisti.

Ondan sonra yaptıkları ise , ID SPOOFING diye tanımlanan bir teknikti. Bilindiği üzere ID SPOOFING’le birine, kendinizi, başka biri adına arıyormuş gibi gösterebilirsiniz. Bunları yapanlar da bu teknigi kullanıp, Paris Hilton’u aradılar, ekranda T-Mobile Müşteri Hizmetleri şeklinde gözüktüler.

Sistemde bir problem yaşadıklarını, yeni sifresi ile ilgili sms mesajları alıp almadığını sordular. Mesajlarda neler yazdığını ogrenmek istediler. Kadın tüm bu bilgileri verince, amaçlarına ulaşmış oldular.

Başka bir örnek de, IRS ( Amerika’daki Vergileri Takip Eden Kuruluş ) yaptığı bir denemede, IRS’te çalışan 100 üstdüzey yöneticiye, “Bilgisayar şirketinden gelindiği, sistemde bozukluk olduğu için, şifreleri kontrol etmek istedikleri” söylendi. 100 kişiden 35 inin, telefonda çekinmeden, şifrelerini bu denemede verdikleri görüldü.

Dolayısıyla, bu tehdit çok bellidir.

Bir şirket, güvenlik duvarı, sistemlere girişlerin tesbit edilmesi ile ilgili teknolojiler ve sifrelerle ilgili yüzbinlerce dolar harcayabilir ama hacker, şirket icinde herhangi birini tanıyorsa, bütün bu harcamalar boşa gidebilir. Anlamsız ama gerçek.

CNN – Online bankacılığa ve online kredi kartı kullanımına ne kadar güveniyorsunuz ?

MITNICK – Ben online bankacılığa inanıyorum. Neden biliyor musunuz ? Çünkü biri benim banka hesabımı hackler, hesabımı boşaltırsa, kim sorumlu olur ? Ben mi banka mı ? Tabi ki banka..

CNN – Peki ya diger islemler ? Faturalarınızı online ödüyor musunuz ? Ya da online alışveriş yapıyor musunuz ? Kevin Mitnick’in, kimlik hırsızlığından endişe duyup duymadığını öğrenmek istiyoruz.

MITNICK – Biri zaten daha önce kimliğimi çalmıştı ve benim ismimle kendine bir telefon aldı. Sonuç feciydi. Keşke kimliğimi 10 yıl önce ben kaçak biriyken çalsalardı. O zaman için tamamdı cunku, 400 dolarlık bir faturaydı. Ben Kaliforniya’da yaşadığım zamanlarda, annemin Las Vegastaki adresini kullanmışlar.

Bu iş gerçekten basittir. Çünkü yapmanız geren tek şey, birinin kimliğini, ve sosyal kimlik numarasını elde etmektir. Sonuçta uzay teknolojisi hiç değil.

Yine de, kredi kartımı online kullanmakta bir mahzur görmüyorum.

Tabi ki yapılabilecek saldırılar olabilir fakat beni bir birey olarak hedef almaları biraz tercih edilmez gibi geliyor bana.

Hedefler daha çok, bankaların kendisi oluyor. Böylece, bir sürü kullanıcı adı ve sifresi alabiliyorlar, bir sürü hesapları inceleyebiliyorlar.

Bana göre, kredi kartı ile online alışveriş, bir lokantaya gidip kredi kartı ile yemek ödeyerek, birinin kartınızı makineden geçirmesinden daha güvenli.

CNN – Bir şekilde artık starsınız, bir kült olarak kabul ediliyorsunuz, hatta Alias dizisinde bir bölümde bir hacker’i bile oynadiniz. Bu şöhretten ne kazandınız ?

MITNICK – Biraz ilginç, bunlarda yer almam, sonuç olarak bakıldığında, suçlu adalet sisteminde biraz negatif etki yarattığı doğru, ama şu an yeni bir sayfa açıldı. Artık insanlar beni ve eski halimle değil, şu anki yeteneklerimle ve işimle anıyorlar.

CNN – Kaçak olmayı özlüyor musunuz ?

MITNICK – Hayır, hiç özlemiyorum. Şimdiki hayatımı seviyorum. Geçmişte gençken pişman olduğum bir sürü hata yaptım. Bana ikinci bir şans verildiği için ve topluma hizmet edebildiğim için kendimi mutlu hissediyorum.