Kurcalanan Dijital Kilit

Geçtiğimiz günlerde Google'a yöneltilen saldırılardan sonra dünyada hiçbir kurumsal ağ güvenli görünmüyor. Google'ın Çin'le karşı karşıya gelmesi elbette sıra dışı. Ve bu durum insan hakları, uluslararası politika ve yüksek teknoloji casusluğuna kadar uzanan bir dizi tartışmaya yol açacak. Google'ın bilgisayarlarına izinsiz girildi ve 30 kadar başka şirkete yine Çin içinden saldırılar gerçekleştirildi. Sanal güvenlik uzmanları, bu tip saldırıların giderek daha karmaşık bir hal aldığına ve en iyi önlemlerin bile yetersiz kalabildiğine dikkat çekiyor. Daha önce Federal Soruşturma Bürosu'nda (FBI) yüksek teknoloji suçları alanında görev yapan, şimdi de New York'ta bilgisayar güvenliği üstüne bir şirketin başında bulunan Edward M. Stroz, "Casusluk ve kurumsal ağlara nasıl girildiği konusunda Google olayı bize iyi bir ders veriyor," diyor. Kara şapkalı ve beyaz şapkalı olarak adlandırılan korsanlar, bilgisayar güvenliğiyle ilgili sürekli rekabet halindeler. Kara şapkalıların ana silahı, "malware" olarak bilinen ve son yıllarda epey geliştirilen zararlı yazılımlar. Zararlı yazılımlar eskiden daha çok virüs ve solucanlardan ibaretti. Bu dijital baş belaları kişisel bilgisayar ve ağlara giriyor, bazen de onlara hasar veriyordu. Fakat günümüzde zararlı yazılımlar seçici bir şekilde kurumsal ağların içinde yuvalanıyor. Üstelik sanayi casusluğu için; ticari sırların, müşteri listelerinin, geleceğe ait plan ve kontratların dijital kopyalarını nakletmek için kullanılabiliyorlar. Şirketler ve kamu kuruluşları, zararlı yazılımları saptayıp onlarla mücadele eden güvenlik yazılımları için her yıl milyarlarca dolar harcıyor. Buna rağmen kara şapkalılar üstünlük kazanmış gibi görünüyorlar. Bilgisayar Güvenliği Enstitüsü'nün geçen ay gerçekleştirdiği ve 443 şirketle kamu kurumunu kapsayan bir ankete göre, katılımcı kuruluşların yüzde 64'ü kendilerine zararlı yazılımların bulaştığını bildirmiş. Bu oran önceki yıl yüzde 50'ydi. Güvenlik ihlallerinin kuruluş başına yol açtığı ortalama maddi kayıpsa 234.000 dolar. Bir araştırma ve eğitim enstitüsü başkanı Robert Richardson, "Zararlı yazılımlar büyük bir sorun ve bu sorun giderek büyüyor," diyor. Sanal güvenlik uzmanları, en büyük önlemin, bilinçli olmaktan ve eğitimden geçtiğini belirtiyorlar. Zararlı yazılımlar çoğu zaman bilinen hilelerin yüksek teknolojiye uyarlanmasıyla bulaşıyor. Sözgelimi, bir şirketin otoparkına o şirketin logosunu taşıyan bir USB flaş bellek bırakılıyor. Meraklı çalışanlar onu alıp bilgisayarlarına takıyor ve tehlikesiz görünen bir dosyayı açıyorlar. Oysa orada, bilgisayardaki kullanıcı şifrelerini ve diğer gizli bilgileri toplayıp korsana yollayan bir yazılım saklı. Bilgisayar korsanları, daha gelişmiş türden yazılımlarla kişisel bilgisayarları tamamen ele geçirebiliyorlar. Google saldırılarında kullanılan ve "yemleme" denen bir başka yöntem de şu: Alıcıya, onun çalıştığı banka veya benzer bir kuruluştan gelmiş gibi görünen bir e-posta gönderiliyor ve ondan kullanıcı şifresini vermesi isteniyor. Dolandırıcılar hiç olmazsa birkaç kişiyi kandırma umuduyla binlerce insana bu postalardan gönderiyorlar. Fakat bir de "mızraklı yemleme" var ki, e-posta hedeflenmiş bir kişiye gönderiliyor ve onun çalıştığı şirketteki bir arkadaş veya meslektaşından gelmiş gibi gösteriliyor. Dolayısıyla çok daha inandırıcı oluyor. E-postalarda ekli gelen dosyaları açmak da casus yazılımların amacına ulaşmasını sağlayan başka bir yöntem. Şirketlere sızmak için web sitelerindeki veya ağ yönlendirme yazılımlarındaki zaaflardan yararlanan teknikler de var. Gizli bilgilerin sızmasını önlemek isteyen güvenlik yazılımları, ağ trafiğindeki anormalliklere, özellikle de kurumsal kaynaklardan gelen büyük dosya ve hızlı veri aktarımlarına bakar. Stroz, "Bilgisayar suçlarıyla savaşmak için teknolojiyle davranış bilimlerini dengelemek gerek," diyor ve ekliyor: "Yasalardan bilgisayarları hapse atmasını bekleyemeyiz." Gelişen cep telefonları da zararlı yazılımlar için yeni yollar açıyor. Uzmanlar, cep telefonlarının mikrofon ve kameralarını gizlice çalıştıran yazılımlar tespit etmiş durumdalar. Maryland eyaletinin Bethesda kentinde bilgisayar güvenlik danışmanlığı yapan Mark D. Rash, "Bu yazılımlar, akıllı telefonları birer izleme cihazına çeviriyor," diyor. Uzmanlar, ideal çözüm olarak en çok değer verilen fikri mülkiyet ve bilgilerin özenle saptanması ve internete bağlı olmayan ayrı bir bilgisayar ağında saklanması gerektiğini belirtiyorlar. Danışmanlık firması Cyber Security Professionals'ta yönetici olan ve bundan önce kamuda sanal güvenlik yetkilisi olarak görev yapan James P. Litchko, "Bazen en ucuz ve en iyi güvenlik çözümü, kapıyı kilitleyip internete bağlanmamaktır," diyor. Fakat internet çağında birçok şirket için bu imkânsız. Daha büyük esneklik ve verimlilik için sektördeki iş ortakları ve müşterilerle bilgiyi paylaşmanın şart olduğuna inanılıyor. Birçok durumda, uzaklardaki proje ekipleriyle çalışılıyor. Hareket halindeki profesyoneller şirket bilgilerinin, nerede olursa olsun, ellerinin altında olmasını istiyorlar. İşbirliği ve iletişim çoğunlukla internet üstünden gerçekleşiyor, ancak bu da dışarıdan saldırı riskini artırıyor. Farklı tedarikçilerden gelen karmaşık yazılımlar şirketlerin ağ ortamlarında ve internette kullanıldıkça güvenlik zaafları doğuyor ve korsanlar işte bu zaaflardan yararlanıyorlar. Bilgisayar güvenlik uzmanlarının esprilerinden biri şöyle: "Parçaların toplamı, sıfıra eşittir." Öte yandan, uzmanlara göre, yazılım ürünlerinin kendileri de korumasız. Kimi uzmanlar, uzun vadeli bir çözüm için yazılım sektörünün olgun bir sanayiye dönüşmesi gerektiğini belirtiyorlar. Bunun için gereken şeyse, kuruluşların kendileri veya devlet tarafından etkin şekilde uygulanacak standartların getirilmesi ve güvenlik açıklarıyla ilgili olarak sorumlulukların tanımlanması. Stratejik ve Uluslararası Araştırmalar Merkezi'nde bilgisayar güvenliği uzmanı olan James A. Lewis, "Bu, piyasanın tipik bir başarısızlığıdır," diyor ve ekliyor: "Serbest piyasa güvenliği sağlayamadı. Ekonomimiz hiç de güvenli olmayan muhteşem bir teknolojiye - internete - fazlasıyla bağımlı hale geldi. Ve bu sorun başımızı daha çok ağrıtacak."