‘Hacker’ denince aklınıza ne geliyor? Sıradan internet kullanıcılarının veya şirketlerin bilgilerini ele geçirip para hırsızlığı yapanlar mı, dijital dünyada bir sihirbaz gibi istedikleri yere ulaşıp, Robin Hood misali bu yeteneklerini mağdurlar için kullananlar mı?
‘Hacker’lar hep merak konusu, hep ilgi odağı. Bilgilerini kötü niyetlerle kullananların bile hayatı çok merak ediliyor. Nasıl edilmesin? Bazen ‘dâhi’ diye nitelenebilecek genç beyinler, dünyanın en büyük şirketlerinin, kurumlarının sistemlerine sızıp, büyük maddi kayıplara yol açabiliyor. Bazıları ise şirketlerdeki güvenlik açıklarını tespit edip, iyi niyetle onları uyarmak ya da oluşan zararı profesyonel olarak gidermek için çalışabiliyor. Nereden bakarsanız bakın, ‘hacker’ların merakların odağında olması çok anlaşılır.
Onları tanımak için önce ‘hacker’ tanımının nereden çıktığına bakalım. Aslında orijinal anlamıyla ‘hacker’, bilgisayar sistemleriyle çok ilgilenen, problemleri farklı ve beklenmedik yollarla çözen kişiler için kullanılıyordu. 1990’larda artık yaygınlaşan bilgisayar sistemleri üzerinde işlenen suçların medyada ‘hacking’ olarak tarif edilmesiyle, popüler kültürde ‘hacking’ kavramı, ‘bilgisayar korsanı / suçlusu’ şeklini aldı. Böylece kökeni 1960’lara dayanan bir kültür olan ‘hacker’lık, siber güvenlikle özdeşleşmeye başladı. Ancak bir ‘hacker’ın siber güvenlik alanındaki uzmanlığı, onun her zaman suçlu olduğuna veya gizli, özel işler yaptığı anlamına gelmiyor.
Peki hangi ‘hacker’ iyi, hangisi kötü niyetli? Onları daha yakından tanımanız için, faaliyetlerini hangi şapka altında yürüttüklerini öğrenmeniz gerek. Hepsi benzer teknikler kullanmasına rağmen, ‘hacker’ları birbirinden ayıran bu teknikleri ne amaçla kullandıkları. ‘Hacker’ları (security hacker – güvenlik korsanı) dijital dünyada genel olarak kullanılan ifadelerle, üç ana kategoride tanıyabilirsiniz: Siyah şapkalı, beyaz şapkalı ve gri şapkalı... Hangisinin niyeti nedir ve nasıl çalışırlar, gelin bakalım:
Siyah şapkalı hacker
‘Hacker’ denince aklınıza bilgisayarının başında eldivenli, maskeli ve kapüşonlu suç işlemeye hazır biri geliyorsa, tanıştıralım: Kendisi bir siyah şapkalı hacker. Tabii ki bir siyah şapkalı hacker eldiven, maske ve kapüşona ihtiyaç duymaz; ancak bu imajın özdeşleştiği banka hesabı çalan, sosyal medya hesaplarına sızan bilgisayar korsanları aslında ‘siyah şapkalı hacker’lardır. Bu gruptaki ‘hacker’lar uzmanı oldukları dijital teknikleri, hizmet reddi saldırısı, kimlik hırsızlığı, ağları tahrip veya yok etme gibi amaçlarla kullanır.
Beyaz şapkalı (Etik) hacker
‘Siyah şapkalı hacker’ların aksine, bilgisini iyiye kullanan kişilere ‘beyaz şapkalı hacker’ denir. ‘Beyaz şapkalı hacker’lar, sistemleri siyah şapkalı bilgisayar korsanlarından korumaya çalışan ‘hacker’lardır. Bu çalışmalar, sistem sahibinin izni ve isteği çerçevesinde yapılır; dolayısıyla yasa dışı değildir.
Beyaz şapkalıların bir sistemi korumak için yaptığı çalışmaların başında sızma testi gelir. Sistem sahibinin isteği üzerine yapılan bu test esnasında beyaz şapkalı hacker, sanki bir siyah şapkalıymış gibi davranır ve sistemin açıklarını, zafiyetlerini ortaya çıkarmaya çalışır. Bu açıkların ne gibi kötü amaçlarda kullanılabileceğini ve bu açıkların kapatılması için neler yapılabileceği konusunda yol gösterir. ‘Beyaz şapkalı hacker’lar sızma testlerinin yanı sıra, oltalama saldırıları simülasyonu, açık kaynak istihbaratı gibi hizmetler de sunabilir.
Bir hacking işinin etik olarak değerlendirilmesi için sistem sahibinin her an haberdar ediliyor olması gerekmez. ‘Bug bounty’ denen ödül programlarıyla şirketler, ‘etik hacker’ları sistemlerini test etmeye davet eder. Bağımsız bir şekilde araştırmalarını yapan ‘hacker’lar, bir sonuç elde ettikleri takdirde sistem sahibine haber verir ve bulunan zafiyetin önemine göre ödül alır. Beyaz ve siyah şapkalıları ayıran diğer bir nokta da şudur: Bir beyaz şapkalı hacker, hedef sistemde bir zafiyet bulduğunda sistem sahibine haber vererek bunun kapatılmasını sağlarken, siyah şapkalı hacker bu zafiyeti kullanarak sisteme zarar vermeye veya bir şekilde kişisel menfaat elde etmeye çalışır.
Gri şapkalı hacker
Kanunlara uymayan, yeteneklerini zarar vermek, suç işlemek amacıyla kullanan ‘siyah şapkalı hacker’lar ve bunların karşısında sistemleri savunmaya çalışan ‘beyaz şapkalı etik hacker’lardan bahsettik. Gri şapkalar bu ikisinin arasında bulunur. Kanunlara uyma konusunda beyaz şapkalılar kadar istekli değillerdir ancak buldukları zafiyetleri kişisel çıkar elde etmek veya zarar vermek için kullanmazlar.
Örneğin bir güvenlik açığı keşfettiklerinde, ‘etik hacker’lar gibi sistem sahibine bu zafiyeti açıklamak veya siyah şapkalılar gibi bu zafiyeti kullanarak sisteme zarar vermek yerine, bir ücret karşılığında onu tamir etmeyi teklif edebilirler.
Ağustos 2013'te, Khalil Shreateh ismindeki bir araştırmacı, Facebook’ta bulduğu önemli bir güvenlik açığının şirket tarafından ciddiye alınmaması üzerinde Mark Zuckerberg'in Facebook sayfasını hackledi. Shreateh, Facebook'a bu hatayı defalarca bildirmeye çalışmıştı, ancak Facebook hatanın bir zafiyet olduğunu kabul etmiyordu. Hack olayı üzerine Facebook bu zafiyeti kapattı ancak Shreateh, politikalarını ihlal ettiği için Facebook'un ‘Beyaz Şapka’ programından ödüllendirilmedi. Bu yüzden bu olay bir gri şapkalı hacker aktivitesi olarak kabul edilir.
Tabii ki güvenlik korsanlarını sadece bu üç kategoriye sıkıştıramayız. Siyah, gri ve beyaz şapka kavramlarının yanı sıra, uzman olmayan ve yalnızca hazır araçları kullanarak sistemlere sızmaya çalışan ‘script kiddie’ler, yeteneklerini sosyal veya ideolojik amaçlar için kullanan hacktivistler, devletlere ve istihbarat kurumlarında çalışan siber savaş yetkilileri gibi farklı gruplar da hacker dünyasının sakinleri arasında sayılabilir.