Kitap İncelemesi: Scott J. Shapiro’dan “Fancy Bear Goes Phishing”

FANTEZİ AYI OLMAYA DEVAM EDİYOR: Beş olağanüstü hack’te bilgi çağının karanlık tarihiScott J. Shapiro tarafından


Büyüleyici başlığın sizi aldatmasına izin vermeyin: Scott J. Shapiro’nun siber güvenlik hakkındaki yeni kitabı Fancy Bear Goes Phishing’de kabul ettiği gibi, bilgisayar korsanlığı korkunç zararlar verebilir. Shapiro, Oona A. Hathaway ile birlikte 20. yüzyılın savaşı yasaklama çabalarını anlatan The Internationalists’in (2017) ortak yazarıdır; Fancy Bear Goes Phishing’i çevreleyen birçok soru arasında, bilgisayar korsanlığının başka yollarla savaşa kapı açıp açmadığı da var.

Son olarak, “Süslü Ayı” ve “Rahat Ayı”, 2016 başkanlık seçimleri öncesinde Demokratik Ulusal Komite’nin bilgisayar sistemlerine erişim sağlayan Rus istihbaratına bağlı siber casusluk birimlerini ifade eder. Fancy Bear, Hillary Clinton’ın Goldman Sachs konuşmalarını ve kampanya yöneticisinin risotto ipuçlarını içeren çok sayıda e-posta yayınladı.

Hack inkar edilemez bir şekilde utanç vericiydi ve 2016 seçim sonuçları o kadar yakındı ki, sızdırılan e-postaların damla damla düşmesinin Donald J. Trump’ın gidişatını değiştirmesinde bir faktör olup olmadığını söylemek imkansız. Shapiro, DNC’nin sistemlerine girmenin “normal bir casusluk eylemi” olduğundan ve casusluğun uluslararası hukuka göre yasal olduğundan bahsetmiyorum bile. Casuslar kimlik avından geçmeyi sever – ne olmuş yani? Asıl soru, avlarıyla ne yaptıklarıdır. Dünyanın görmesi için “çalınan bilgileri ifşa ederek”, “Süslü Ayı bir savaş eylemi gerçekleştirmiş olabilir.”

“Belki” – şimdi çok fazla hareket alanı olan küçük bir cümle var ve Shapiro onu yakalamak için hiç acele etmiyor. Temalarından biri, bilgisayar korsanlarının her ikisi de sayılarla temsil edilebilen “ikilik ilkesini” veya “kod ve veri arasındaki belirsizliği” nasıl kullandıklarıdır. Yale Hukuk Fakültesi’nde hukuk ve felsefe profesörü olan Shapiro’nun bu kitapla benzer bir şey yaptığını iddia ediyorum – tarif ettiği çoğu bilgisayar korsanının aksine, belirsizliği büyük ölçüde hayırsever bir etki için kullanıyor. Kitaplar kelimelerden oluşur ve kapsamlı bir siber güvenlik rehberi veya dijital bir Kıyamet hakkında bir kıyamet gerilim filmi anlamına gelen kelimeler arayanlara başka yerlerde daha iyi hizmet verilir. Shapiro’nun siber suçlar ve siber savaş hakkında söyleyecek çok şeyi olabilir, ancak sözleriyle gerçekten yapmak istediği şey, bize beş bilgisayar korsanının hikayesini anlatmak.


DNC ile anlaşma bir şeydir. Diğerleri, 1988’de erken İnternet’e bulaşan ve Ulusal Güvenlik Teşkilatı’ndaki bilgisayar güvenliği baş bilim adamının oğlu tarafından geliştirilen Morris solucanı; 1990’lardan Dark Avenger adlı Bulgar bir bilgisayar korsanının kötü amaçlı yazılım çalışması; 2005 yılında Paris Hilton’un cep telefonunun 16 yaşındaki bir erkek çocuk tarafından hacklenmesi; ve 2016 yılında üç genç tarafından yaratılan ve güvenlik kameraları ve tost makineleri gibi sözde akıllı cihazları gizlice çağırarak gücü artan ağa bağlı bir süper bilgisayar olan “Mirai botnet”.


Shapiro’nun kendisi üniversitede bir bilgisayar bilimi öğrencisi olarak başladı ve ardından bir teknoloji girişimcisi olarak çalıştı ve müşterileri için Time-Life Kitapları da dahil olmak üzere veritabanları oluşturdu. 52 yaşına kadar ilk bilgisayarını hacklemedi, ancak kaybettiği zamanı Yale Hukuk Fakültesi’nin web sitesini hackleyerek telafi etti, “dekanımın takdir edemediği bir başarı.” Shapiro esprili ve konusuyla yorulmadan ilgileniyor. Bilgisayar programlama ile örneğin Aşil ve kaplumbağa paradoksu arasındaki bağlantıları çözerek meslekten olmayan insanları bile kodlamanın teknik tanımlarına çekiyor. Rousseau’yu İnternet’in ilk günleri için anlayışlı bir rehber olarak sunuyor. Tek bir paragraf, Putin’den Descartes’a ve Matrix’e çevik bir şekilde hareket ediyor.

Teknolojik unsur, bilgisayar korsanlığı sorununun yalnızca yarısıdır ve Shapiro’nun “alt kod” dediği şeye karşılık gelir. Diğer yarısı, insan olan her şeye atıfta bulunan “üst kod” dur: yasalar, normlar, akıllı insanları kötü siber hijyenle idare edebileceklerine inandıran bilişsel önyargılar. Shapiro, teknolojik çözümlerin önemli olduğunu ancak bizi yalnızca sınırlı ölçüde koruyabileceğini savunuyor. Aşağı kod, yukarı kodu takip eder. “Siber güvenlik, öncelikle teknolojik bir çözüm gerektiren, öncelikle teknolojik bir sorun değildir” diye yazıyor. “İnsan davranışını anlamayı gerektiren bir insan sorunu.”

Ve bu tür insan davranışları, yalnızca teşviklere ve cezalara değil, aynı zamanda edinilen bilgilere de bağlı olarak değişebilir. 2000 yılında ortalığı kasıp kavuran bir virüs, e-posta eki olarak gönderilen ILOVEYOU idi. Shapiro, Microsoft’un işletim sistemindeki ciddi teknik güvenlik açıklarından yararlanmanın yanı sıra, “‘aşk yükseltme kodumuz’ da kötüye kullanıldı” diye açıklıyor. “İnsanlar sevilmek ister.” Hiç şüphe yok ki insanlar hala sevilmek istiyor, ancak 23 yıl sonra virüslü e-posta o kadar açık bir şekilde şüpheli görünüyor ki, virüslü bir e-postanın parodisi gibi görünüyor. Sıradan bilgisayar kullanıcılarının çoğu, muhtemelen “Lütfen benden gelen SEVGİ MEKTUPUNA bakın” yazan bir e-posta ekini açamayacak kadar yorgun ve alaycıdır.


Böylece zamanla, daha az masum hale gelerek savunmalar oluştururuz; tuhaf bağlantılara tıklamaya, sosyal güvenlik numaralarımızı açıklamaya daha az, iyi bir parolanın 12345 olduğunu düşünmeye daha az eğilimli oluruz. Ancak Shapiro’nun gösterdiği gibi, düzenleme hala temkinli bilgisayar kullanıcılarını bırakmak bile gereğinden fazla savunmasızdır. Sonsuz lisans sözleşmelerinin kalın yasal dili, yazılım şirketlerinin, örneğin bozuk bir ekmek kızartma makinesi üreticisinin yapamayacağı şekillerde sorumluluktan kaçmasına izin verdi: “Hiçbirimiz lisans sözleşmelerini okumuyoruz çünkü (1) hukukçu olmayanlar için anlaşılmaz. ; (2) avukatlar için bile opaktır; (3) sabırsızız; ve (4) başka seçeneğimiz yok.”

Ayrıca, Shapiro, artık bir “gözetim kapitalizmi” dünyasında yaşadığımızı, yani verilerimizin çoğunun şirketler tarafından depolanıp satıldığını da ekliyor. Onlara çok kişisel bilgiler emanet ediyoruz ve bu bilgileri bilgisayar korsanlığı girişimlerinden korumak için mümkün olan her şeyi yapacaklarını varsayıyoruz. Yine de, şirketlerin veri ihlalleri için karşılaştıkları yasal sonuçlar “gülünç derecede küçük”.

Daha sert cezalar yardımcı olabilir; mevzuat da daha iyi. Yine de Shapiro, siber sıkıntılarımızı kesin olarak durduracak sihirli bir kurşun olduğu inancına kapılmamamızı da tavsiye ediyor. “Mükemmel bir kesinliğe ihtiyacımız yok,” diye yazıyor, “yalnızca mantıklı önlemler.” Bu kitaba daha kapsamlı bir sonuca varmayı umarak başlayan okuyucular, beklentilerinin (eğlenceli bir şekilde) alt üst edildiğini görecekler: başka bir deyişle, siz saldırıya uğradı.


FANTEZİ AYI OLMAYA DEVAM EDİYOR: Beş olağanüstü hack’te bilgi çağının karanlık tarihi | Scott J. Shapiro tarafından | Resimli | 420 sayfa | Farrar, Straus ve Giroux | 30 dolar