Makale & Analiz

Derse girdiğinde klima bakıcısı sandılar, şimdi parola avcılığı yapıyor

Dünyanın en büyük şirketlerinin sistemlerini hacklemek için milyonlar ödediği, Gürcü göçmen bir ailenin İsrail’e gelen oğlu Reuven Aronashvili, gizli İsrail askeri biriminde edindiği bilgilerle saldırı amaçlı siber şirket CYE’yi kurdu.

Reuven Aronashvili, Tel Aviv Üniversitesi’nde Lineer Cebir dersi için sınıfa girdiğinde, öğretim görevlisi, haftalardır bozuk olan klimayı tamir etmeye gelen bakımcı olduğunu sanıp kendisine sinirlenmişti. “Belki de ona biraz farklı göründüm. İnsanlar bana saygısızca davrandığında mızmızlanmayıp kendim için doğru olanı yapmaya çalıştım. Sonraları o profesörü her gördüğümde ona klimanın durumunu sordum ve sınıfındaki en iyi notu aldım” diyor İsrail’e göçen iki Gürcü ebeveynin oğlu Reuven Aronashvili.

Daha 16 yaşındayken liseden mezun olamayan öğrencilere ders veren Aronashvili, ders verdiği çocukların kendilerinden hemen hemen daha genç olan birinin onlara ders vermesine şaşırdıklarını söylüyor. Bunları komik bulduğunu söyleyen Aronashvili kendi okulunda da 100 üzerinden 96 ortalamayla mezun oluyor.

Bir matematik öğrencisi, bir öğretmen, saygın bir teknoloji biriminde askeri görevli gibi görünse de bunların kendi ruhuna uymadığını yalnızca onun özgeçmişini oluşturan parçalar olduğunu söylüyor.

Stuxnet’in perde arkası: Hedef alınan İranlı şirketler -2

GENÇLiĞiMDEN BERi YANIMDA OLAN TEK ŞEY BAŞARIYA AÇLIĞIM

“Sahip olduklarımla yetinmiyorum, başarıya yönelik bu açlığım gençliğimden beri beni terk etmeyen tek şey” diyen Aronashvili, annesinin hemşire olduğunu babasının da mobilya fabrikasında çalışan bir işçi olduğunun altını çiziyor.

Bu, bugün çocuklarımın yaşamadığı bir açlık türüdür. Beş buçuk yaşındaki kızım ne zaman telefon ve tablet alacağını bilmek istediğinde, bunun farklı bir çocukluk olduğunu anlarsınız. Bunu sevmiyorum, çocuklarımın bu şekilde büyüdüğünü görmek beni biraz üzüyor. Onlar için hiçbir şey eksik değil ve hayatları rahat. Asıl kaygım, çocuklarımın dürtüleri eksik olduğunda, bunun onları nereye götüreceğidir. Bir şeyi yapmak için açlık dürtüsü olması gerekiyor. Yiyecek için fiziksel açlıktan bahsetmiyorum, yani başarı için açlıktan bahsediyorum” diyen Aronashvili, ailesinin çok çalıştığını bu yüzden de kendi çocuklarını bu kadar çalışmak zorunda bırakmayacağını da ekliyor.

HAYALLERİM DAHA FAZLASIYDI

Üst düzey bir öğrenci olan Aronashvili, imtiyazsız öğrencilerin faydalandığı bir programda asker-öğrenci olarak Tel Aviv Üniversitesi’nde lisans eğitimine başlamak için Acre’den ayrıldı. Üniversitenin gözlerini açtığını söyleyen Aronashvili “O zamana kadar hayalim Rafael Gelişmiş Savunma Sistemleri şirketinde çalışmaktı. Çünkü Acre’de yaşayan insanlar için en iyi iş buydu. Orada çalışanlar, villalarda yaşarlardı ve orada işe girdiğinizde hayatta bir şey başarmış olurdunuz” diyor.

Daha sonra öğretmenlerinin kendi şirketleri olduğunu duyunca hayallerinin ve isteklerinin bundan daha yüksek bir şey olduğunu anladığını söylüyor.

Stuxnet’in perde arkası: Hedef alınan İranlı şirketler -2

ASKERi ELiT BiRiM MATZOV

Üniversitesini bitirdikten sonra Aronashvili, gizli askeri elit birim Matzov tarafından işe alındı.

Matzov hakkında konuşmadan önce önemini anlatmak gerekiyor. Dünyada kişi başına start-up’ın en yüksek olduğu ülke olan İsrail’de Birim 81 ve Birim 8200, sinyal istihbaratı, kod ve şifre kırma, orduya teknik donanım sağlama gibi görevlerden sorumlu birimler olarak ön plana çıkıyor. İlginin çoğu bu birimlerde olsa da Matzov gibi daha birçok birim de bu alanda faaliyetini yürütüyor. Matzov ise şifreleme anlamında ön saflarda yer almasına rağmen çok daha az üne sahip.

Matzov, kendini şifreleme ve bilgi sistemleri güvenlik teknolojileri geliştirmeye adayan birimlerden biri. Hatta İsrail’in şifreleme ve siber güvenlik konusunda en yüksek otoritesi olarak ön planda. Halihazırda hizmetlerini de ülkenin tüm güvenlik kuruluşlarına sunuyor.

2005 yılında Aronashvili, Matzov’un güvenlik açıklarını tespit etmek ve ele almak için İsrail ordusunun bilgisayar sistemlerine saldırmakla görevli kırmızı ekibini kurmakla görevlendirildi.

O zamanki komutanların saldırıya uğrama fikrinden heyecan duymadıklarını anlatan Aronashvili, ekibinin o dönem Genelkurmay Başkanı olan Dan Halutz’un dikkatini çekmeden önce Bilgisayar Hizmetleri Müdürlüğü içindeki hedeflere saldırarak yola çıktı. Sonradan Halutz, ekibin yeni hedeflere saldırmasına izin verdi. “Bir start-up gibiydi ve kendimizi pazarlamak zorunda kaldık” diyor Aronashvili.

Aronashvili, sistemlerin boşluklarını tespit etmek için hassas askeri sistemlere saldırdıklarını ve bir organizasyon ve aynı zamanda bir devlet birimi olarak saldırı ve savunma yeteneklerinin arasındaki boşluklar hakkında çok fazla şey öğrendiklerinin altını çiziyor.

Stuxnet’in perde arkası: Hedef alınan İranlı şirketler -2

CYE HEM SALDIRIYOR HEM SAVUNUYOR

7 yıllık askeri hizmeti sırasında Aronashvili, Bilgisayar Bilimleri alanında yüksek lisansını da tamamlıyor. 2012 yılında terhis olunca iş sektörüne geri dönüyor. İki yıl sonra Aronashvili, orduda biriktirdiği bilgileri kullanarak CYE’yi kuruyor. CYE, saldırı lisansına sahip olan ve bunu şirketlerin açık rızasıyla yapan birkaç şirketten biri olarak faaliyetlerini yürütüyor.

Bir bakıma aile işletmesi olan CYE’de Aronashvili, şirketin insan kaynakları başkan yardımcısı olan lise aşkı Reut Diei ile evlendi ve üç çocuğu var. Ağabeyi Haim ise baş satın alma görevlisi olarak çalışıyor. Şu anda Bilgisayar Bilimi okuyan küçük kız kardeşi Sivan da şirkete katılmayı planlıyor.

Aronashvili kendi şirketini, “sonuna kadar giden” gerçek bir hacker gibi tanımlıyor. Müşterilerine “Bir üretim hattının tamamen kapatılmasının neye benzediğini size göstermek 150 milyon dolara mal olabilir bu yüzden size nasıl yapılacağını göstereceğiz” diyerek işe başlayan şirket, müşterilerinin sistemlerini kapatan arayüze kadar girip orada duruyor. Son durak olarak da müşterilerinin fikri mülkiyetini veya başka türlü gizli bilgilerini çalabileceklerini, ticari faaliyetlerini sonlandırabileceklerini veya banka hesaplarını ele geçirebileceklerini gösterdiklerini söylüyor Aronashvili.

Riskler son derece yüksek olduğunda, örneğin bir saldırının hayatlara mal olabileceği havaalanları, trenler ve altyapı söz konusu olduğunda, şirketin daha geleneksel bir yaklaşım izlediğini söyleyen Aronashvili “Bizim yol gösterici ilkemiz, kimin hangi araçlarla saldırabileceğini ve saldırı yoluyla ne kazanabileceklerini bulmak” diyor. Böylelikle herhangi bir şirketin acil olarak neyi ele alması gerektiğini bilmesi için risk düzeylerini derecelendirdiklerini ifade ediyor.

Aronashvili, birisinin kendi sisteminizi isteyerek hacklemesine izin verme fikrinin riskli olarak göründüğünü ancak müşterilerin CYE aracılığıyla gerçeklerle yüzleşmeyi tercih ettiklerini çünkü bu fikrin gerçeklerden daha az tehdit oluşturduğunu söylüyor. Aynı yöntemleri kullanan gerçek bir saldırının bir felakete yol açabileceğinin de altını çiziyor.

YALAN MAKiNESi VE DOĞRULUK TESTi iŞE ALIMIN GEREKLiLiKLERiNDEN

Bu yöntemler hem Aronashvili hem de müşterilerinin son derece hassas bilgilere maruz kaldıkları için her bir CYE çalışanına tamamen güvenebilmelerini gerektiriyor. Gri diye bir şeyin olamayacağını bir insanın ya iyi ya da kötü olduğunu düşünen Aronashvili “Yalan makinesi ve doğruluk testleri işe alma gereksinimlerimiz arasında yer alıyor ve kirli bir işe karışmış olan hiç kimse bizimle çalışamıyor” diyor.

Aronashvili “Çalışanlarım için endişelenmiyorum, onları bir bankanın önüne koysam ve kimsenin farkına varmadan 100 milyon doları nasıl çalacaklarını göstersem bile” diyor. “Ancak sabıka kaydı olan birini eğitmek, almak istemediğim bir risk” diye de ekliyor.

GECELERİ MIŞIL MIŞIL UYUYABİLEN TEK BİR SEKTÖR YOK

Aronashvili, CYE’nin müşterileri arasında finans kurumlarının yanı sıra altyapı şirketleri, üreticiler ve çoğu İsrailli olmayan teknoloji şirketleri bulunuyor. Sıkı düzenleme nedeniyle finans sektörünün nispeten korunduğunu, sigorta ve MedTech şirketlerinin ise çok savunmasız olduğunu söylüyor. “Bugünlerde geceleri mışıl mışıl uyuyabilen tek bir sektör olduğunu sanmıyorum” diyor.

Merkezi İsrail’de Herzliya’da bulunan ve Almanya, İngiltere, İsviçre ve ABD’de ofisleri bulunan CYE’de 70 kişi çalışıyor. İlk günden beri kar elde ettiklerini söyleyen Aronashvili, yatırımcılarının paradan çok bağlantılara ihtiyaçlarının olduğunu bildiğini ekliyor.

Stuxnet’in perde arkası: Hedef alınan İranlı şirketler -2

10 DAKiKA iÇiNDE BiR KURUMUN ŞiFRELERiNiN YÜZDE 50’SiNDEN FAZLASINI KIRABiLiYORUZ

Kurumsal sistemleri hackleyen bir şirket olarak, kurumların savunma sistemlerini nasıl bulduğu sorulan Aronashvili “İnanılmaz savunma araçları görüyoruz yani bir mahsulün kremasını. Ancak sonra kuruluştaki çalışanların %80’inin 30 saniyeden kısa sürede kırılabilen şifreleri olduğunu fark ediyoruz. Tek bir kullanıcıyı alıp her olası şifreyi denemiyoruz, bunun yerine tüm kullanıcıları alıp her birinde iki veya üç olası şifre deniyoruz. Böylece kilitlenmiyoruz veya sistemi şüpheli etkinlik konusunda alarma geçirmemiş oluyoruz. Saldırıdan sonraki 10 dakika içinde ise bu yöntemi kullanarak bir kuruluşun şifrelerinin %50sinden fazlasını kırabiliriz” diyor.

Aronashvili, koronavirüs salgını nedeniyle evden çalışmaya geçilmesiyle siber saldırganların kendilerini cennette gibi hissettiklerini, insanların genellikle cep telefon numaralarını modem şifresi olarak koydukları evlerine saldırmanın daha kolay olduğunu ancak yine de bir kuruluşu hedeflemek isterlerse çalışanların bir listesini bulup onları evlerinde yine hackleyebileceklerini” söylüyor.

“Pek çok kuruluş kendisini en aptalca viral saldırılardan bile koruyamıyor. Bu nedenle önemli olan saldırıya uğramayı önleyip önleyemeyeceğimiz değil, ne zaman saldırıya uğrayacağımız ve zararın minimum düzeyde olmasını sağlamak için ne gibi önlemler alabiliriz düşüncesi olmalı” diyor Aronashvili.

STUXNET VE WannaCry EN CiDDi SALDIRILARDANDI

İsrail’in ortalığı kasıp kavuran siber saldırganları beslediği iddiasını cevaplayan Aronashvili, bunun doğru olduğunu İsrail’de çok ciddi zararlar verebilecek pek çok yetenek olduğunun altını çiziyor.

“Stuxnet’i (2011’de İran nükleer sistemine saldıran İsrail ve ABD tarafından geliştirildiği iddia edilen kötü niyetli bir bilgisayar solucanı) ele alalım, şimdiye kadarki en şiddetli siber saldırılardan biriydi diyor. “En ciddi siber saldırılardan biri olan WannaCry (2017’de gerçekleşen binlerce bilgisayara yapılan fidye yazılımı saldırısı) ABD Ulusal Güvenlik Ajansı’ndan (NSA) sızdırılan bir araca dayanıyordu. Bunun mali etkisini bir düşünün, bazı saldırıların insanları fiziksel olarak öldürebileceğinden bahsetmeyin” diyerek bu saldırılarla verilebilecek zararları anlatmaya çalışıyor.

Stuxnet’in perde arkası: Hedef alınan İranlı şirketler -2

BÜYÜK KURULUŞLARIN KENDiLERiNi SAVUNMASI DAHA ZOR

Kurumlara saldıranları mı yoksa güvenlik açıklarını mı buldukları sorusuna bir örnekle cevap veren Aronashvili “Bir zamanlar yüzbinlerce çalışanla dünyanın en büyük elektrik şirketlerinden biriyle çalıştıklarını ve sistem üzerine tam kontrole ulaştıklarına sistem sunucularında çok sayıda porno sitesi bulduklarını söylüyor. Şirketi kim hacklediyse kuruma kötü niyetli bir saldırı ile zarar vermemiş, sadece sunucularını ücretsiz bir barınma hizmeti olarak kullanmış” diyor. Kuruluşların ne kadar büyük olduğu ve onlara saldırmanın ne kadar kolay olduğu arasında doğrudan bir ilişki olduğunu ve büyük kuruluşların kendilerini savunmakta daha çok zorlandığını dile getiriyor.

Aronashvili, ülke saldırılarına karşı korunmanın ise çok daha zor olduğunu vurguluyor.

Aronashvili’nin bir saldırıyı önlemenin gizli tarifi ise bir saldırganın kazanmayı umduğuna kıyasla zahmete değmeyecek kadar pahalı olmasını sağlamak.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

 

Hiçbir haberi kaçırmayın!

E-Bültenimiz ile gelişmelerden haberdar olun!

İstenmeyen posta göndermiyoruz! Daha fazla bilgi için gizlilik politikamızı okuyun.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.

Başa dön tuşu