Future Crimes | Marc Goodman (Kitap)

Geleceğin Suçları, ileri teknolojilerin güvenlik üzerine etkileri, siber suçlar ve siber terör üzerine çeşitli Birleşmiş Milletler, NATO, Los Angeles Polis Departmanı gibi kurumlarda çalışmış olan Marc Goodman tarafından kaleme alınan bir kitap. Kitapta yakın geçmişte yaşanan pek çok olay (kişisel icloud vb, hesapların ele geçirilmesi, sistemlere solucan ve trojan yerleştirilmesi, virüsle yapılan saldırılar, banka hesapları ve kredi kartı bilgilerinin ele geçirilmesi gibi) akıcı bir dille ele alınıyor. Geleceğin Suçları, internetin ve teknolojinin kötü niyetli kişilerin elinde ne hal alabileceğini tahminlerimizin de ötesinde büyük suçların ne şekilde mümkün olduğunu ve daha da önemlisi bizim ne ölçüde bu tuzaklara düşmeye hazır olduğumuzu göstermesi nedeniyle oldukça önemli bir kitap.

Yakın zamana kadar sadece birer hayalden ibaret olan birçok gelişmenin yaşandığı dijital çağda, artık hemen her şey birbiri ile bağlantılı hale geliyor. Çok yakın bir gelecekte, akıllı ev sistemleri, parmak izimizi veya göz retinamızı tarayan sistemler, ev işlerine yardımcı robotlar, süt bitince yenisini marketten sipariş veren buzdolabı ile aynı ortamda yaşıyor olacağız; hatta bu sistemlerden bazıları şu an bir hayli yaygınlaşmış durumda. Yaşadığımız dünyayı bambaşka bir hale getirmesi muhtemel olan nesnelerin interneti (internet of things) ile tanışma aşamasındayız. Tüm bu teknolojiler, insan hayatının daha kolay hale gelmesinde çok büyük paya sahip. Ancak, maalesef, kötü niyetli kişiler için yakınımızda dolaşmak hiç bu kadar kolay olmamıştı. Sadece bilgisayar başında oturarak korunmasız ve güncellenmemiş sistemlere giriş yapmak, bilgileri ve resimleri çalmak, video kameralara ve mikrofonlara uzaktan erişmek kötü niyetli kişiler için neredeyse artık sıradan hale geldi. Kitabın yazarı Marc Goodman, çeşitli hackerlik numaraları öğreten videoların ve anlatımların bulunduğu web sitelerinin sayısının her gün arttığından ve kodlamadan hiç anlamayan kişilerin bile buralarda verilen direktifleri izleyerek kolayca istedikleri zararı verebileceklerinin altını çiziyor. Yazılım sistemleri ve kod yazmakla ilgilenen bazı kişiler de, bu becerilerini maalesef sırf kendilerini kanıtlamak uğruna kötü yönde kullanabiliyor. Yazarın kitabında vurguladığı gibi, ‘ne kadar bağlantı varsa, o kadar da açık var demektir’. Her şeyin bağlantılı olduğu dünyada herkes savunmasız hale geliyor, sosyal medyada aktif olmamak veya evde bilgisayarın olmaması bir şey fark ettirmiyor. Sadece bir akıllı cep telefonu veya bir banka hesabı ile atm kart sahibi olmak tehlikeye açık olmak için artık kesinlikle yeterli.

Yazar, kariyeri boyunca edindiği deneyimleri ve gözlemlediği olayları, kitabında çeşitli uyarılar ve ipuçları eşliğinde aktarıyor. Pek çok kavramın ve basına konu olan veri hırsızlıkları ile sistemlere izinsiz girişlerin perde arkasını anlaşılır ve akıcı bir dille aktarıyor. Suç dünyasının dikkatinin bu yöne çevrilmesinin en temel nedeni, biraz özenle suçluların kimliksiz hale gelerek izlerini kolayca kaybettirebilmeleri ve böylece yakalanma olasılıklarının çok azalması.

Maddi kaynak bulmada zorlanmayan suç örgütleri (kitapta yapılanma biçimleri hakkında bilgi verilerek Suç AŞ olarak isimlendiriyor) teknolojideki ilerlemelere adeta kayıtsız kalamıyor, hatta öncülük ediyor ve her geçen gün savunmasız halde bekleyen milyonlarca sistemi kendi istekleri doğrultusunda kullanmanın yeni bir yöntemini keşfediyor. Suçlular pek çok alanda yeni yöntemler geliştirirken, dünya üzerinde suçla mücadele etmesi beklenen pek çok resmi kurum, yetersiz altyapı olanakları ve eksik bilgi düzeyi ile suçlulardan birçok olayda birkaç adım geride kalıyor.

İnsanların büyük çoğunluğunun hevesle ve hatta hiç düşünmeden hayatlarına aldıkları teknoloji, büyük sorunların da hayatımıza girmesine neden oluyor. Birçok teknolojik ilerlemeye ev sahipliği yapan Silikon Vadisi firmaları, ürünlerinin getirdiği riskleri pek göz önünde bulundurmuyor. Pek çok yazılım, kendisini oluşturan binlerce satır kodunda mevcut açıkları ile piyasaya sürülüyor, ancak belli bir süre sonunda bu açıklar fark edilince güncelleme yayınlanıyor, ancak bu güncellemeler de tüm açıkların kapatılmasına olanak sağlamıyor. Etik ve ahlaki kaygılar bir yana, elimizde olmadan giderek “şeffaflaşan” hayatlarımızı belki de çok yakın bir tarihte gerçek mi yoksa sanal mı olduğunu anlamakta zorlanacağımız bir dünyada yaşamaya başlayacağız.

İnternet, herkesin iyi niyetli olduğu bir ortamda getirdiği faydalar ile çığır açıcı ve hayatı inanılmaz ölçüde kolaylaştırıcı bir nitelik taşıyor, birçok hayal bu sayede gerçek oluyor, mesafeler ortadan kalkıyor, küresel bir ağ kurulmuş oluyor. Ancak, gerçek dünyada herkesin iyi niyetli olması pek mümkün değil ve internet ile tüm insanlar bugün birbirlerine hiç olmadıkları kadar yakın ve bu nedenle de korumasız ve ulaşılabilir konumda. Kötü niyetli yazılımların her geçen gün artması sonucu, bu alanda milyarlarca dolar harcanıyor. Bir dönem vazgeçilmez olan antivirüs programları da bilgisayar güvenliğinin sağlanması için yeterli olmuyor, bu tür programların başarı oranlarının oldukça düşük olduğu yapılan testlerle kanıtlanmış durumda.

Sıfır gün saldırları, teknolojik tehditlere davetiye çıkarıyor. Bu saldırılar ile, sistemler üzerinde geliştirici ve güvenlik ekibi tarafından henüz çözülmemiş ve fark edilmemiş açıklar hedef alınıyor, sistemler her zaman için en zayıf halkadan vuruluyor.

Tehdit unsuru olarak sadece suçlular (Suç AS) değil, hactivistler (siyasi kaygılar ile hareket eden siber suçlulara verilen isim), teröristler ve büyük hükümetler/devletler hareke ediyor, dünya bazı günler siber savaşlara çok yaklaşıyor hatta bunu yaşıyor.

Kitapta, paylaşılan başka bir ilginç bilgi de, Google Yahoo!, Bing, Yandex gibi firmaların sundukları e-posta hesabı, arama hizmeti, ayrıntılı harita ve anlık konum bilgisi, bulut depolama alanı vb ile sosyal medya sitelerinden Facebook ve Instagram başta olmak üzere profil oluşturularak kullanılabilen sitelerin “ücretsiz” olarak hizmet vermesinin altında yatan neden. Bu firmaların ve sitelerin bünyesinde, herbirimize ait çoğu zaman da kendi isteğimizle paylaşmış olduğumuz onlarca bilgi yer alıyor. Ürün tercihlerimiz, tatilimizi nerede geçirdiğimiz, yaptığımız aramalar, kahvemizi nerede içtiğimiz, kimlerle yan yana bulunduğumuz (fotoğraf etiketleme), kimleri tanıdığımız, hangi restoranlarda yemek yediğimiz (konum bilgisi paylaşımı), kimlerden/hangi firmalardan e-posta aldığımız, hangi oyunları oynadığımız gibi binlerce veri, bu siteleri kullanmaya başlamadan hemen önce küçük puntolarla yazılan ve arada sırada firmaların istediği doğrultuda genellikle kendi lehlerinde olarak kullanıcıyı zor durumda bırakabilecek ve sorumluluğu kullanıcıya bırakacak şekilde güncelledikleri kullanım şartları sözleşmesi - hüküm ve koşulları kabul ettiğimiz anda (neredeyse hiç okumadan) karşı tarafla isteğimiz doğrultusunda paylaşılıyor; gizlilik ayarlarında kullanıcı tarafından gerekli kısıtlamalar konulsa bile, bu verilerin analiz edilmesinin önüne geçilemiyor. Firmalar her gün katlanan bu büyük verileri ne yaptıklarını, nasıl kullandıklarını ve en önemlisi (para karşılığında) kimlerle paylaştıklarını asla açıklamıyor. Kitaba göre, bu durum da kullanıcıları bu tür sitelerin ve firmaların birer ürünü haline getiriyor. Biz, bireysel olarak Facebook veya Instagram hesabı hiç oluşturmuş olmasak dahi, eş dost ilişkileri ile sosyal medyada bir şekilde yer almamış olmak neredeyse imkansız hale geliyor. Bu da bizi hayattaki en pahalı şeylerin aslında bedava olduğu noktasına getiriyor. (4.bölüm)

Kitabın sonunda yer alan ek kısmında, bireysel kullanıcılar olarak tehditlerin büyük bölümünü savuşturmak için yapabileceklerimiz Update Protokolü çerçevesinde sıralanıyor (sayfa 557).

• İşletim sistemleri, yazılımlar, bilgisayar programları ve uygulamaların en güncel sürümlerini kullanmak.
• Seçilen parolaların uzun (20 karakter ve daha fazlası) seçilmesi; küçük - büyük harf, semboller ve boşluklardan oluşması.
• Belirlenmiş güçlü parolaların belirli aralıklarla değiştirilmesi, her parolanın sadece bir kez kullanılması, farklı sitelerde aynı parolanın tercih edilmemesi, parolaların hatırlanması için parola cüzdan uygulamalarından yararlanılması.
• Google, iCloud, Dropbox, Evernote, PayPal, Facebook, Yahoo!, Linkedin, Twitter gibi hizmetler için iki aşamalı doğrulamanın kullanılması.
• Kullanılan yazılımların sadece resmi siteleri üzerinden indirilmesi.
• Akıllı cep telefonları üzerinde bulunan uygulamaların cihaz içinde içerikleri ile alakasız görünen noktalara (rehber, konum bilgisi, vb) erişim istemeleri konusunda dikkatli olmak.
• Bilgisayarların tam yetkili admin hesabı yerine kısıtlı yetkili kullanıcı hesapları ile kullanılması.
• Wi-fi, Bluetooth, erişim noktası gibi özelliklerin kullanılmadığında mutlaka kapalı tutulması.
• Mobil cihazlarda ve hard disk vb için şifreler kullanılması.
• Güvenilmeyen e-postaların ve özellikle eklerinin açılmaması ve silinmesi.
• USB belleklerin virüs ve kötü yazılım taramasından geçirilmeden açılmaması; otomatik çalıştır özelliğinin devre dışı bırakılması.
• İnternette gezinirken dikkatli olunması, güvenlik duvarlarının aktif bulundurulması, sosyal medya üzerinde paylaşılan bilgi ve resimler için özellikle hassas olunması.
• Video kamera, mikrofon vb özellikler taşıyan cihazların bu özelliklerinin izinsiz olarak aktif hale getirilebileceği olasılığına karşı önlem alınması.

Yazar, tüm bunlara dayanarak aşağıdaki sonucu okuyucuları ile paylaşıyor (sayfa 128):

Siz ne kadar veri üretip depolarsanız, organize suçlar da o kadar veri tüketir.