Dijital Casusluk - Ama Iyi Niyetli Olun

Dijital Casusluk; kisisel, ticari veya hükümet bilgi sistemlerine ve mülklerine hirsizlik, kanunsuz olarak ele geçirme, kisisel veya politik kazanç saglamak için yoketme ve yanlis bilgilendirme gibi amaçlarla saldirmayi içeren, spesifik-amaçli bilgisuçudur.
Dijital Casusluk (Digital Espionage - DE) - Nedir ve neyi temsil eder

Bilgisuçu (infocrime) hedefi bilgi olan her türlü suçu içerir. Dijital Casusluk; kisisel, ticari veya hükümet bilgi sistemlerine ve mülklerine hirsizlik, kanunsuz olarak ele geçirme, kisisel veya politik kazanç saglamak için yoketme ve yanlis bilgilendirme gibi amaçlarla saldirmayi içeren, spesifik-amaçli bilgisuçudur. Bu suç Internet`in büyümesiyle daha da yayildi. Yazarin dijital casusluk tanimi bazi aktivitelerin özetinden olusuyor. DC aslinda bir spesifik-amaçli bilgisuçlari ailesi. Akla gelebilecek sorular asagidaki gibi:
Bu aile ne kadar büyük, neler gerçekten bilgisayar suçudur, neden ve nasil gerçeklesir, ve en önemlisi bilgisayar suçu islenmesi nasil önlenebilir?

Internet`in olusumu ve büyümesi dijital casuslugu büyük bir tehdit haline getirdi. Çogu bilgisayar kullanicisi halen bu tehlikenin farkinda degil fakat dijital casusluk sadece firmalari ve hükümet kuruluslarini degil herkesi etkilemeye basladi. Firma yönetimlerinin dijital casuslugu anlamada ve önlem almada yavas oldugu görüldü. Var olan çogu güvenlik sistemi geçmiste olan bir güvenlik tehditi için kisa-dönem kar yada önlem endiselerini yansitiyor. Çalisanlari bilgi mülklerini koruma konusunda bilinçlendirme ihtiyacinin yüksek öncelikli olmasina nadir rastlaniyor. Çogu güvenlik sorumlusu uygun planlar ve güvenlik politikalari yerine yöneticinin krizle ilgilenmesine kadar bekliyor.

Bilgisayar suçunun kapsami (Infocrime)

Bilgisayar suçunun kapsamini ölçmek oldukça zor. Raporlara göre bilgisayar suçlarinin bize verdigi zarar yilda 500 milyon dolar ile 10 milyar dolar arasinda. Computer Security Institute (CSI) ve FBI`in bilgisayar suçlari departmani tarafindan yapilan 5000 firma, federal enstitü ve üniversitenin katildigi ankete göre son 12 ay içerisinde söz konusu kuruluslarin yarisi güvenlik sistemlerinin asildigini belirtmis. Bu saldirilar çalisanlarin yetkisiz erisiminden bilinmeyen saldirganlarin sistemlere girislerine kadar farkliliklar gösterebiliyor. Bu çalisma sonuçlarina göre:

Problem büyüyor.
En büyük problem içerden yapilan saldirilar.
Tanimlanan bilgisayar suçlari 1996`da 100 milyon dolarin üzerinde.

Ek olarak WarRoom Research Inc.`in yaptigi ankette 236 cevap güvenlik problemlerinin bilgisayarlar ile ilgili oldugu idi.

%6.8 her türde saldiriyi rapor etti
%30.2 sadece anonim ise rapor etti
%21.7 eger herkes rapor ettiyse etti
%37.4 eger kanun gerektiriyorsa rapor etti
%3.9 diger sebepler için (kendini korumak dahil) rapor etti

Geçtigimiz bir tarihte Amerikan Adalet Bakanliginin hazirladigi bir sunuma göre saldirilan sistemlerin bazilari asagidaki gibi:

U.S. Marshals system - Alaska
U.S. District Court system - Seattle
NASA - Houston
Ordu sistemleri - Körfez savasi
Organ nakli hastahanesi - Italya
Enerji firmalari
911 sistemleri

Ek olarak NSA (National Security Agency) 1996`da Savunma Bakanligi sistemlerine 250 saldiri oldugunu rapor etti. Bu bilgisayar saldirilarinin sonuçlari hasar verici olarak adlandirildi.

Houston üniversitesinden Barbara D. Ritchey`in arastirmasi baska bir görüsü yansitiyor. Bilgisayar suçlari yillik 1 milyar dolar zarara yol açiyor ve bu bilgisayar suçlulari, çalisanlar, rakipler ve ?cracker?larida içerecek sekilde farklilik gösteriyor. San Fransisco Computer Security Institute Fortune 500 firmalarindan 242 ayri firmanin Internet güvenligi konusunda endisesi oldugunu ve 1995`de sadece %12`sinin (toplamda 50 milyon dolar zarara yol açan) bilgisayar saldirilarini rapor ettigini ortaya çikardi. Dolar bazinda degerlendirecek olursak her bir saldiri firmaya 450 bin dolar zarara yol açiyor.

1996`da Information Week dergisi Ernst and Young ile birlikte 3. yillik anketini gerçeklestirdi. Anket 1290 katilimci ile gerçeklestirildi ve yarisi geçen iki yil içinde bilgi güvenligi ile ilgili para kaybina ugradiklarini belirtti. %20`si kayiplarinin (herbiri için) 1milyon dolarin üzerinde oldugunu belirtti. Bu ankete göre her 4 amerikan sirketinden birisinin kayiplari 1 milyar ile 15 milyar dolar arasinda degisen, bilgisayar suçu kurbani oldugu görüldü.

1990`dan 1995`e dünyadaki bilgisayar sayisi 10 kat artti. 10 milyondan 100 milyona. 1990`da bilgisayarlarin %15`i aga bagli iken 1995`de %50`si, 50 milyona yakin bilgisayar, birbirine bagli idi.

Ticari sirlarin çalinmasi günümüzde is dünyasini tehdit eden en büyük tehlikelerden biri. 1999 yilinda CSI/FBI tarafindan yayinlanan ?Bilgisayar suçlari ve güvenligi çalismasi?na göre 1997 ile 1999 yillari arasinda mali zararda en büyük payi 12 tipteki bilgisayar suçu ve bilginin kötüye kullanimi, çalinmasi oldugunu ortaya çikardi. Arastirmaya göre 64 firmadan 42 milyon dolarin üzerinde degere sahip ticari sir çalinmisti. 1998`de rapor edilen kayiplar 500 dolar ile 500,000 dolar arasinda idi. Disardan iceriye yapilan saldirilar 1997`de %18 iken 1998`de %21`e yükseldi.
Federal Computer Incident Response Center ekim 1996`dan ekim 1997`ye kadar hükümet sitelerine 244 saldiri oldugunu rapor etti. Bu saldirilarin 92`si (%38) içeri sizma, 83`ü (%34) tarama, 37`si (%15) bilgisayar virüsleri, 22`si (%9) eposta saldirilari, 4`ü (%2) servis kullanimi engelleme (DoS), 2`si (%1) kötü amaçli kod, 2`si kötüye kullanim ve 2`si sahtekarlik idi. Bir içeriye sizma olayi aylarca sürmüs ve 10 bin makineyi etkilemis. Hacker`lar bu saldirilarin çogunda root erisimine sahip olmuslar.

National Police Agency of Japan 1997`nin ilk 6 ayinda hacking ile ilgili 946 rapor almis. Bu 1996`nin ilk 6 ayina oranla %25 artisi gösteriyor. Australian Computer Emergency Response Team 1996`dan 1997`ye hacker saldirilarinda %220 artis oldugunu belirtiyor.

Bilgisayarlari aglarla birbirine baglamak teknolojiyi de dogru orantili olarak gelismesine yol açti. Bu kültürel degisikliklerle daha yüksek güvenlige olan ihtiyaç da artti. Eskiden bir bilgisayar suçlusu sistemlere tek bir noktadan saldiri yapabiliyordu ve bu da sistem yöneticilerine bir siteyi koruma avantajini sunuyordu. Günümüzün istemci/sunucu ortaminda ag yöneticileri çok farkli bir savasin içindeler. Aglarindaki her erisim noktasindan saldirilara açiklar. Internet çok sayida sistemin birbirine baglanmasini saglayarak kendine özgü problemleri de beraberinde getirdi.

Suç Sahasi
Bilgisayar suçlari sabotaj, intikam, vandalizm, hirsizlik, gizlice dinleme, veri sahtekarligi veya veri bilgisayar sitemine girmeden önce, girerken ya da girdikten sonra degisiklik yapmayi içerir. Bilgisayarlar kredi karti sahtekarligi, kalpazanlik, zimmete geçirme ve gizli dokümanlarin çalinmasinda kullanilabilir. 2.8MB`lik bilgi içeren bir disk`in fiziksel olarak çalinmasi veri hirsizligi olarak düsünülür. Sinirli erisimi olan bir kullanici hesabina login olup yakalanmak, veya neler yapildigini açiklayan bir mesaj formunda maksatli olarak kanit birakmak veri sahtekarligina örneklerdir.

Diger bir tipte suç da elektronik para transferleri veya zimmete geçirme ile ilgilidir. Bilgisayar Sahtekarligi ve Kötüye Kullanimi Kanunu (Computer Fraud and Abuse Act) ile mahkum edilen ilk kisi Internet`e solucani (worm) sunan Cornell mezunu Robert T. Morris Jr. idi. Bu solucanlar bilgisayar ortaminda serbestçe geziniyor ve virüslere benzer sekilde programlara saldiriyordu. Bunu bazilari vandalizm (yikicilik) olarak görüyor. Solucan çogalarak 6200 bilgisayari etkilemisti. Morris 3 yil gözetim altinda kalmaya, 10 bin dolar para cezasina, 40 saat toplum hizmetine ve gözetim giderleri için ayda 91 dolar ödemeye mahkum edilmisti.

Bilgisayarlar suç eylemlerinde 3 farkli rol oynayabilir. Birincisi, bilgisayarlar bir saldirinin ?hedefi? olabilir. Örnegin, bir hacker bilgisayardan bilgi çalmaya çalisabilir veya bilgisayara ya da bilgisayar agina zarar vermeye çalisabilir. Bu tip davranislara örnek olarak web sitelerinin degistirilmesi ve bilgisayarlara virüs bulastirilmasi sayilabilir.

Ikinci olarak, bilgisayarlar geleneksel bir saldirinin gerçeklestirilmesinde, örnegin çocuk *****sunun yaratilmasi ve transfer edilmesinde, bir araç olarak kullanilabilirler. COMSEC Solutions bilgisayarin kullanabilecegi suçlar listesini asagidaki gibi siraliyor:

Uyusturucu ticareti
Kanunsuz ?telemarketing?
Sahtekarlik, özellikle sahte faturalar
Entellektüel mülk hirsizligi
?Gerçek yüz? veya ID hirsizligi ve yanlis temsil
Casusluk, endüstriyel ve ulusal
Konvansiyonel terörizm ve suç
Elektronik izleme
Çocuk *****grafisi
Tarih sahtekarliklari
Çete suçlari, özellikle silah ihlalleri
Organize suç
Silahli soygun simulasyonu
Kopyalama suçlari
DoS (servis kullanimi engelleme) saldirilari
Santaj
Web sitesi degistirme (otomatik)

Üçüncü olarak, bilgisayarlar saldiri için ?incidental? (tesadüfi) olabilir fakat bu kanun güçleri için önemlidir. Örnegin, çogu uyusturucu kaçakçisi kayitlarini bilgisayarlarda depoluyorlar ki bu da kagit üzerindeki kayitlara oranla forensic ve kanit islemlerinde zorluk çikariyor.

Ek olarak tek bir bilgisayar 3 sekilde de kullanilabilir. Örnegin, bir hacker bilgisayarini kullanarak Internet servis saglayicisina (?hedef?) yetkisiz olarak erisebilir ve bu erisimi kullanarak ISS`nin disk sürücüsünde bulunan (?incidental?) özel bir yazilimi kanunsuz olarak dagitmada (?araç?) kullanabilir.

Bilgisayar suçu konusunda endiselenmesi gereken firmalar sadece Internet Servis Saglayicilar ve büyük finans kuruluslari degil. Hackerlar bireyleri direk olarak veya ISS`i üzerinden kisisel ve finans bilgilerinin bütünlügüne ve gizliligine saldirarak etkileyebilir. Bir keresinde Alman bir hacker Miami`deki bir Internet servis saglayicisinin sistemine girerek tüm kullanicilarinin kredi karti bilgilerini çalmisti. Hacker daha sonra ISS para ödemezse sistemi yokedecegini ve kredi kartlarini dagitacagini söyleyerek tehdit etmisti. Alman otoriteleri hacker`i paralari toplamaya çalisirken yakaladi. Eger sessiz kalsaydi bu kredi karti numaralarini kullanarak binlerce kullaniciya zarar verebilirdi.

Kaynak: RSA Press Defending your Digital Assets against hackers, crackers, spies & thieves