Karanlık pazarın cazibesi

Sabırlı, bilgili ve enerjik olursanız İnternet'in karanlık bölgelerinde kendi işinizi kurabilirsiniz. Ancak izinizi süreceklerden çok daha iyi olmanız
şart!
ABD Savunma Bakanlığı'nın geçen sene düzenlediği siber güvenlik yarışmasında katılımcılara çeşitli zorluk derecelerinde 22 soru soruldu. Bunlar dijital bir fotoğrafa gizlenen bilgilerin ortaya çıkarılması, bir sitenin güvenlik aşamalarının geçilmesi ya da bir şifrenin kırılması gibi aslında erbabı için heyecan verici ve eğlendirici sorulardı. Dört kişilik takımların katıldığı ve her yıl tekrarlanan bu ve benzeri yarışmalar, Savunma Bakanlığı yöneticileri için baş edemedikleri sorunlarda bu alandaki en iyi beyinleri biraraya toplayıp çözüm geliştirme fırsatı anlamına geliyor.
Can Yıldızlı, geçen sene bu yarışmaya Türkiye'den tek başına (Lone- Wolf) katıldı ve 4 bin 789 puanla birinci oldu. İkinciliği 3 bin 532 puanla Arizona Üniversitesi (SIGSEGV), üçüncülüğü 3 bin 471 puanla silah üreticisi Northrop Grumman'ın aynı adlı takımı aldı. Can Yıldızlı gelecek yıl bu kez dört kişilik bir takımla ABD'ye gidecek. Takım arkadaşlarını, aynı zamanda kurucusu ve CEO'su olduğu şirketi Prodaft'ın (Proactive Defense Against Future Threats - Gelecekteki Tehditlere Karşı Proaktif Savunma) çalışanları oluşturuyor.
Yıldızlı, Prodaft'ı dört ay önce siber suçlar, delil toplama ve benzeri konularda ABD'de elde ettiği deneyimi Türkiye'ye taşımak amacıyla kurdu.
"Güvenlik Türkiye'de artık insanların yavaş yavaş algısına oturan birşey. İnternet insanların hayatına çok hızlı entegre oldu dolayısıyla da bilinmeyen birçok konudan kaynaklanan sorunları çözmek gerek" diyor. Kuşkusuz Yıldızlı'nın kastettiği şey, çöken işletim sistemlerini yeniden kurmak ya da virüs temizlemek değil. Karşısında bilgisayar teknolojilerinin suç işlemek için kullanıldığı bir "yeraltı dünyası" var.
İlişkileri daha çok forumlarda, sohbet kanallarında beliren ve karşılıklı güven üzerine kurulan bu dünya, "yeraltı" olarak tanımlansa da aslında kendi aktörleri, iş modelleri olan bir piyasa aslında. Burada ölçek ekonomisinin kuralları işliyor ve alınan riske göre kazanç değişiyor.
Bu piyasanın en önemli figürlerinden biri, zararlı yazılım geliştiricisi (malware developer). Bu riski en az olan aktör çünkü tıpkı bir silah satıcısı
gibi zararlı yazılımı üretip satıyor. Bunu da sipariş üzerine yapıyor. Örneğin bir bot (ağ üzerinden diğer bilgisayarlara girip faaliyette bulunan küçük
yazılımlar) yazıp fiyat belirliyor. Piyasada sipariş üzerine yazılanların fiyatları bin ile 2 bin dolar arasında. Özel yazılmış botların pek çok sitede
bulunabilen harcıalem botlara göre üstünlüğü, kararlı olmaları ve hedefe uygun özellikler taşımaları.
Ancak bu dünyada iş yapmak için oturup kod yazmanız gerekmiyor. İlgili forumlardan bağlantı kurup bot siparişi verip işe girebilirsiniz. Bot satıcısı, o programı göstediğiniz sunucu adresinde çalışacak biçimde ayarlayıp yerleştiriyor. Botları istediğiniz hedeflere hedeflere uyarlamak, sipariş edeceğiniz modüllerle gerçekleştiriliyor. Örneğin HSBC'ye uyumlu bir botu, Chase Bank'ı da kapsayacak şekilde genişletmek için 200 dolar harcayıp bir modül yazdırmalısınız. Yazılım geliştirici istediğiniz botu size satıyor ve gerisine karışmıyor.
Botun istediğiniz sunucuya yerleştirildiğini varsayalım. Bu aşamada henüz geliriniz yok. Gelir ancak botlar başka bilgisayarlara yerleşip bir ağa
dönüştüğünde oluşacak. Dolayısıyla botların dağıtılması gerekiyor. Botların yerleştiği her bilgisayar, bu ağın yani "botnet"in kaynaklarını oluşturacak. Botlar masum görünümlü herhangi bir belgeye eklenerek diğer bilgisayarlara girebiliyor, örneğin indirilen bir torrent belgesinden. Botun içindeki yayılma kodları bir bilgisayara yerleştiğinde hemen IP aralıklarını taramaya başlıyor. Bulduğu zaman o IP'ler sıçrıyor ve yeni yerleştiği bilgisayara ilişkin bilgileri sunucusuna yolluyor. Böylece bot ağı genişlemeye başlıyor ancak beklemeden daha önce ağını kurmuş bir botnet satıcısından bin makinelik bir ağı, 100 dolar fiyatla satın almak da mümkün.
Ağların genişlemesi için paylaşım sitelerinden yararlanmak iyi bir yol. Yeni bir videonun çıkması, ilgi çekici bir dokümanın paylaşıma sunulması
yayılmayı kolaylaştırıyor. Sohbet yazılımı MSN'in popüler olduğu zamanlarda birden beliren "fotoğrafıma bak!" mesajıyla yollanan dokümanlar da bu amaçla kullanılıyordu. Bu dokümanlar kullanıcının haberi olmadan diğer adreslere kendini yolluyordu.
Yayılmak için bir diğer seçenek, paravan siteler. Hazırlayanın hayal gücü ölçüsünde ilgi çekici bir içerikle ziyaretçi çeken bir site, ziyaretçi gelir
gelmez İnternet tarayıcısının, Java ve Flash gibi yazılımlarının sürümlerini görüyor (bunu zaten her site yapıyor) ve güvenlik açığı olanlara otomatik
olarak botları yerleştiriyor. Bunu sağlayan uygulamaya "exploit paketi" adı veriliyor. Bin ila 2 bin dolar fiyatla satılan bu paketler, siteye gelen
ziyaretçilerin yüzde 15 ila 20'sini botnete dahil edilebiliyor.
Tabii ki böyle bir sitenin başarısı çektiği trafiğe bağlı. Bunun için botnete katılacak aday makine sayısını artıran trafik satıcılarına gitmeniz
gerek. Bu kişiler, site sahibi olabildikleri gibi bir siteyi kırmış da olabiliyor. Böylelikle sağladığı ziyaretçi trafiğini makul bir fiyatla size
aktarabiliyor. Örneğin brüt 1 sentlik bot fiyatıyla günlük 10 bin ziyaretçi için 100 dolar ödemeniz yeterli. O size ziyaretçi yolluyor, siz de
gelenlerin açıklarını bulup makinelerine bot bulaştırıyorsunuz. Yüzde 20 ortalamayı baz alırsak, her gün 100 dolar harcayarak yani 5 sentlik bot
maliyetiyle ağınızı günde net 2 bin bot genişletebiliyorsunuz. Şu sıralar 10 binlik brüt bot trafiği tedariki, 100 doların biraz üzerinde seyrediyor.
Trafiği aldınız, artık elinizde bir bot ordusu var. Dolayısıyla size, botların yerleştiği makinelerin kullanıcılardan gelen kritik bilgiler akıyor.
Kimlik bilgileri, şifreler, kredi kartı numaraları… Ancak botnetiniz faaliyette bulundukça grafiği aşağı inmeye başlıyor. Çünkü bazı kullanıcılar,
bilgisayarın yavaşlamasından kuşkulanıp botları fark ediyor ve makineyi formatlıyor ya da farkında olmadan bilgisayarları yavaşladığı için bu işi
yapıyor. Bu durum ordunuza kayıp verdiriyor. Ama daha önemlisi antivirüsler. Siz o kadar bilgisayara bot yaydığınızda onlardaki antivirüs yazılımları, trafiği şüpheli görüp semgemedi antivirüs üreticisinin merkezine yolluyor. Merkezdeki araştırma programları bunun imzasını veritabanlarına ekliyor.

Diyelim ki sizin 10 bin makinede botunuz ve piyasada 40 tane önemli antivirüs yazılımı var. Gün içinde bu 40 antivirüsten beş taİnternet'in nesi sizin bulaştırdığınız botu şüpheli gördü ve ana veritabanına koydu. Antivirüs yazılımları birbirleriyle bu veritabanlarını paylaştığı için bir anda asgari 10 - 15 antivirüs botlarınızı tanımaya başlıyor. Sizin 10 bin makineden diyelim ki Karspersky antivirüs yazılımı, bunu yakalamaya başladı. Karspersky kullanan 500 kullanıcı varsa ordunuzun mevcudu 10 binden 9 bin 500'e düşüyor.
Hemen pazardan yardım alıyorsunuz ve yeni bir aktör oyuna katılıyor: Şifreleyici (crypter) denilen ve 32 bit sistemlerde, faaliyetlerini engellemeden
uygulama yazılımlarını çok hızlı biçimde şifreleyen programlar, antivirüs yazılımlarından saklanmayı (bypass) sağlıyor. Fiyatı 30 - 50 dolar olan
şifreleyiciyi kullandığınızda botu hiçbir antivirüs yazılımı görmüyor. Binlerce dolarlık kurumsal antivirüs yazılımlarını yeraltından sağlanan 30
dolarlık bir ürünle geçmek gerçekten etkileyici. Ancak her kolay yol gibi bunun da bir sonu var. Zira bir süre istenilen gizlemeyi yapan şifreleyici
nihayetinde karşılıklı aşamalarla ilerleyen virüs - antivirüs savaşına paralel olarak antivirüs yazılımlarından birine yakalanıyor. O yüzden bu ürünü
sürekli güncelleyecek bir yazılımcıya ihtiyacınız var. Bu kişinin maliyeti haftalık bin dolar civarında. Bu parayı aslında botnetinizin grafiğini yukarı
çekmek için harcıyorsunuz. Botnet ne kadar büyükse şifreleyicinin ifşa olmasından doğacak grafik düşüşü o kadar hızlı oluyor ve doğal olarak şifreleyici güncelleyicisine ödeyeceğiniz para da o kadar yükseliyor. Kısacası kalite için kesenin ağzını açmanız gerekiyor.
Yatırımınızı yaptınız. Peki gelir nasıl sağlanıyor? Bu aşamaya gelen botnetinizi satabilirsiniz. Örneğin 2 bin bot piyasada 200 dolara alıcı buluyor.
Bir DDoS (Dağıtık Servis Dışı Bırakma) botneti ise 700 dolara gidebiliyor. Ancak botnet 'işletmek' çok daha karlı bir iş. Örneğin DDoS saldırılarıyla
birçok siteyi anında kapatacak güce sahip oluyorsunuz. Bu aslında bir siteye erişimi geçici olarak kesintiye sokma işlemi. Bir siteye aynı anda
milyonlarca kişi girmeye çalıştığında site bunu karşılayamaz oluyor (Dolayısıyla bir hack etme değil). Trend Micro'nun "Russian Underground 101" başlıklı 2012 raporuna göre DDoS 'hizmeti' günlük 30 ila 70 dolara ya da saati 10 dolara satılabiliyor. Tabii ki bir siteyi bloke ettirmek isteyen
kişinin azmiyle ve sitenin güvenlik Forumlarda daha makul fiyat verebilecek kişilerin sayısına bağlı olarak da fiyatın düşmesi sizi şaşırtmasın.
Nihayetinde bu arz ve talebin belirlediği liberal bir pazar.
DDoS dışında önemli bir gelir kaynağı ise kurulum: Varsayalım ki size İnternet'e bir program yayma teklifi geldi. Söz konusu programı kendi makinenize kurarsanız 1 dolar alıyorsunuz. Eşin dostun makineleriyle belki iki haneli rakamları yakalayabilirsiniz. Ancak botnetinizi kullanırsanız durum değişiyor. Bu sayede 10 bin makineye kurabilir ve anında 10 bin dolar kazanılabilirsiniz. Fakat dikkat! Programını kendi botnetinizde dağıttığınız kişi de, bu programı dağıtmak için bir başkasıyla 5 dolara anlaşmış ve sizin ağınız üzerinizden dağıtım yaparak "sizi sömürüyor" olabilir. Liberal pazarın cilveleri işte!
Az riskle para kazanma yollarından bir başkası ise kitlesel e-posta dağıtımı veya spam işine girmek. Örneğin zayıflama ürünü satanlar genelde spam yoluyla ürünlerini tanıtmayı seçiyor ve siz de ona tanıtım teklifi götürüyorsunuz. Müşterisinin adres veritabanını kullanan bir botnet 50 bin ila
1milyon e-postayı 50 ile 500 dolar arasında fiyatla dağıtabiliyor ama daha ucuzları da var. Spam botnetleri günde 75 bin dolar gelire ulaşabiliyor.
Dünyanın en büyük spam odaklı botneti günde 80 milyon e-posta yolluyor. İnternet üzerindeki posta trafiğinin yarıdan fazlası da spam zaten. Herkes açmıyor bu epostaları; açanların oranı binde 3 dolayında. Burada 80 milyon e-postanın binde üçü 240 bin eder. Kuşkusuz e-postayı açanlarla ürünü alanların sayısı farklı. Ama açanların binde birinin satın aldığını varsayarsak bu, 240 ürün eder. Yani bu yolu kullanmak boşuna değil.
Uzun vadeye yayılmış "istikrarlı kazanç" yolu kredi kartı işinden geçiyor. Botnetinizden size binlerce kredi kartı bilgisi akıyor. Burada asli işiniz
botnet ise kredi kartı alım - satımı sizin için ikincil bir konu. Çünkü kart bilgisi ticareti, botnet işletmeciliğine göre bir üst risk grubuna geçmek
demek. Tabii bu işin de farklı risk dereceleri var. Örneğin kart numaralarını "toptancılara" aktararak riski düşürülebilirsiniz. Botnet'in sağladığı
kredi kartı bilgisinin şöyle bir özelliği var: İnternet üzerinden yapılan alışverişlerde PIN kodu kullanılmıyor. Kullandığınız bilgiler sadece kod, son
kullanma tarihi ve CVC. PIN olmadığından kart sahibinin bakiyesi bilinemiyorsunuz. Ancak kart sağlayıcısı (Visa, MasterCard veya American Express) biliniyor. Visa ve Master- Card'lar tanesi 3 ila 4 dolara gidiyor, American Express 5 ila 6 dolar (toptan alımlarda indirim bir gelenek). PayPal şifreleri de bu ticarete dahil; hesap tutarının yüzde 5 ila 10'una satılıyor zira ne kadar para içerdiği görülebiliyor. Botnet'ten edinilen ganimet arasında oyun platformu bilgileri de yer alıyor. Özellikle oyunların çevrimiçi olmasından sonra bu oyun hesapları da ticarete konu olmaya başladı.
Orta risk seviyesinde, kart bilgilerini kapalı forumlarda toptancılara sattınız diyelim. Tabii ki söz konusu para, banka hesabına yatırılan deste deste dolarlar değil. O halde para nereden geliyor? Burada Liberty Reserve (LR), Ukash, PerfectMoney, Webmoney gibi dijital para sistemleri kullanılıyor. Bunlar üzerinden gerçekleştirilen transferler alıcı ve satıcının kimliğinin gizli kalmasını sağlıyor. Örneğin 2 bin adet Visa kart numarasını 2 bin 500 LR (USD) fiyatla toptancıya devrettiniz. Size yapılan ödemeyi bir aracıda dönüştürerek EFT yoluyla bir banka hesabına 2 bin dolar olarak aktarabilirsiniz. 1000 LR (EUR) almak için 1.050 euro ödemek yeterli. Düşük miktarları dijital paraya dönüştürürken aynı birimler için çeşitli aracılarda komisyon oranı yüzde 6 ile 15 arasında değişebiliyor.
Karanlık pazarda genellikle bin ila 2 bin adetlik kart bilgileri el değiştiriyor. Örneğin 10 bin, çok yüklü bir miktara karşılık geliyor. Rakam
büyüdükçe alıcının riskleri yükseliyor. Sattığınız kart bilgisi sonuçta bir veritabanı ve sonsuz sayıda çoğaltabileceğiniz için aynı listeyi bir
başkasına satma olanağınız var. Kuşkusuz, karanlık pazarın 'muteber' satıcıları bundan uzak duruyor çünkü çalışmayan kart verisi nedeniyle birden fazla kişiye satış yaptığınız (multisell) fark edildiği anda, bu durumun forumlarda paylaşılması iş yapma olanağınızı azaltıyor.
Bilgilerin sattığınız toptancı birkaç forumda satış başlığı (ya da pazarı) açıyor. Toptancıdan bu veritabanlarını diğer aracılar satın alıyor. Ticaretin
göbeğini oluşturan bu alan, yüksek risk bölgesi. Bundan sonra ise kullanıcılar bölgesi başlıyor. Kullanıcılar daha çok tüketime yönelenler. Yani kart bilgilerini kullanarak alışveriş yapıyor ve daha çok tüketici ürünlerine yöneliyorsunuz. Ancak satın aldığınız nesnelerin kendi adresinize
gelmesi,yakalanmanız demek olduğundan izinizi kaybettirmeniz gerekiyor. Bunun için yaygın kullanılan yollardan biri İnternet üzerinden alışveriş yapmak ve adres olarak genellikle Çin, Romanya, Rusya, Vietnam gibi denetimin çok güçlü olmadığı ülkelerde bir mutemet (Drop ya da Money Mule) göstermek. Mutemede ödemeyi ya aldığınız üründen bir tane de ona alarak (havadan gelen bir MacBook Air'e kim ne der?) ya da alışverişin belli bir yüzdesi kadar parayı onun hesabına aktararak yapıyorsunuz. Ama har vurup harman savurduğunuz bu para cebinizden çıkmadığı için ödeme sorun oluşturmaz, değil mi? Bu mutemet kendisine gelen ürünü sizin fiziki adresinizin bulunduğu ülkeye yolluyor.
Peki, parayı ürüne çevirmek yerine nakit almak istiyorsanız? Bu durumda işler biraz karmaşıklaşıyor. Dijital paraların birkaç aracı üzerinden dövize dönüştürülmesi ve farklı hesaplar arasında hareket ettirilmesi, resmi kurumlar tarafından izlenmesini de zorlaştırıyor. Daha sonra nihai olarak para aktarma şirketleri üzerinden alıcısını bulması gerekiyor. Her ne kadar bu şirketlerin işlemleri yasal olsa da, karanlık pazarda 'komisyonu çok yüksek olan' para aktarma şirketlerinin daha 'yararlı' olduğu konuşuluyor.
Hareket ettireceğiniz meblağ büyüdükçe yöntemlerinizin de dikkat çekmeme ve iz bırakmama üzerine eğilmesi gerekiyor. Bu doğrultuda, ilgi gören yerlerden biri oyun siteleri. Örneğin poker oyununa, sahte oyuncular yaratarak katılabilir, bu oyunculara da bol bol para kaybedebilirsiniz. Para cebinizde kaldığı halde sistemden geçerek meşrulaşmış olur. Pek çok kumar sitesi bu durumu kontrol etmek için özel yazılımlar geliştirdikçe hacker'lar da yeni açılan ve daha basit kumar sitelerine yöneliyor. Ayrıca karanlık pazar açısından dijital parayı dönüştüren aracıların giriş kaydı (log) tutup tutmadığı bilgisi de önemli. Buralardan birkaç kere geçiş, izlerin de kaybedilmesini sağlıyor.
Ancak kimse kar üzerinde yürüyüp iz bırakmama konusunda BitCoin'in eline su dökemez. Bitcoin'i, Satoshi Nakamoto adını kullanan ve matematikle iktisat alanlarında derin bilgiye sahip olduğu açık biri (veya birileri) geliştirdi. Sistemdeki toplam para, iletim ve sağlama işlemleri P2P ağları üzerinden gerçekleştiriliyor ve birkaç farklı düğüm üzerinden kontrol ediliyor. Dolayısıyla asla gönderen ve alanın kimliği belirlenemiyor. çeşitli Web siteleri üzerinden gerçek paraya dönüştürülüyor.
Karanlık pazarda iş modelleri sürekli gelişiyor. Günümüzde ağırlık kazanan eğilim ise şantaj yazılımları. Yapılan şey basit ve derin bir bilgi birikimi gerektirdiği de söylenemez: Bir bilgisayara sızıyorsunuz ve o bilgisayarda örneğin bir programı ya da ticari veritabanını genellikle "TrueCrypt" kullanarak şifreliyorsunuz. Sonra o kişiye bir metin dosyasıyla, hesap numaranızı ve verilerini geri istiyorsa bonkör olması gerektiğini bildiren bir not yolluyorsunuz. Ama istediğiniz paranın miktarına dikkat etmelisiniz; paranın miktarı, bu işi takip eden profesyonellerin sizin hangi kanaldan aktarım yaptığınızı da fark etmesini (örneğin Western Union limiti 3 bin dolar) sağlıyor. İlginçtir, şu sıralar bu işler acemilerin eline düşmüş durumda ve 200 ila 300 liralık bedellerle yakalarını kurtardığına sevinen küçük şirketlere, şahıslara sık rastlanır oldu. Şantaj bedelinin düşmesi ve genellikle kurbanların (belki de ne yapacaklarını bilememelerinden) şikayet etmemeleri bu tarzın çok yaygın olduğunu düşündürüyor.
Şimdi yerimizi değiştirelim: Karanlık bölgeden çıkalım ve yasal, meşru ve ahlaki bölgeye geçelim... Hacker'lar için işler bu kadar kolay ve dolayısıyla biz potansiyel kurbanlar için tablo bu kadar karanlık mı?
Lisansüstü düzeyde bilgisayar öğrenimi gören ve bu konudaki en ince teknikleri öğrenip uluslararası alanda becerilerini kanıtlayan Yıldızlı, birikimini bu karanlık dünyayla savaşa ayırmış durumda. Güvenlik anlayışının virüssüz bilgisayardan değil, sokaktan başlatılması gerektiğine dikkat çeken ve bir hacker gibi düşünmenin önemini vurgulayan Yıldızlı, "Hacker dediğiniz kişi mutlaka zeki bir insan değildir. Sadece teknolojiyi sizden biraz daha iyi kullanan kişidir" diyor.

Forbes, Ersun Erdinç