Siber güvenliğe yatırım yapan firmalar hackerlerin hayatını değiştiriyor

İbram Marzouk henüz 15 yaşında ve şimdiden ailesine bir ev alacak parayı kazanabiliyor. Bunu nasıl başardığına gelince, Marzouk web sitelerinde güvenlik açıklarını bulan bir hacker.

Lübnan’da büyüyen fakat şimdilerde ailesi ile birlikte ABD’ye taşınan genç hacker, Yahoo ve Google gibi internet devlerinin güvenlik açıklarını bularak küçük bir servete ulaştı bile. Marzouk, kazancını takip etmese de 6 ay boyunca günde 10 saat hackleme yaparak 60 bin dolar kazanmış.

Marzouk Facebook, Yahoo, Google ve Apple gibi teknoloji devlerinin ürünlerindeki güvenlik açıklarını bulmaları karşılığında ödeme yaptığı binlerce ‘iyi niyetli bilgisayar korsanı’ndan biri.

Marzouk yaşıtlarından çok farklı bir hayat sürmüyor. Anne babası ve iki kız kardeşi ile birlikte yaşıyor. Her gün liseye gidiyor. Bunların yanı sıra Yahoo ve Google dâhil altmıştan fazla şirketi hackliyor ve güvenlik açıklarını bulma noktasında sektörün en iyilerinden biri olarak biliniyor. Ailesi ve çok yakın arkadaşları dışında kimse bu işi yaptığını bilmiyormuş.

Marzouk hackleme konusunda okumaya 13 yaşında iken başlamış ve ilk güvenlik zafiyetini ‘aylar’ içinde buldu. Genç hacker, işi vasıtasıyla insanları koruduğu için mutlu. ABD Savunma Bakanlığı’nda güvenlik kusurlarını bulmasını örnek gösteriyor.

Marzouk bu alanda tek değil. 18 yaşındaki Sam Curry okul ve çalıştığı restorandaki mesaisinden kalan zamanlarda ‘beyaz şapkalı hacker’ olarak çalışıyor ve bu yolla bu zamana kadar 100 bin dolardan fazla kazanmış.

Parası ile az miktarda büyük alım yaptığını söyleyen Curry, bir ödül avı programına başvurduktan yedi ay kadar sonra 2014 model bir Corolla satın almış. Marzouk ekliyor: “Büyük bir iş gibi görülmeyebilir ama benim için çok büyük bir alımdı.”

Nebraska Omaha Üniversitesi’nde ilk yarıyılı henüz bitiren Curry, ek işini Las Vegas’a yapacağı bir seyahate kaynak bulmak için yapıyor ve siber güvenlik alanında düzenli bir iş bulana kadar para biriktirmek istiyor.

Uzun süredir şirketler, müşteri bilgilerini çalmak üzere şirketlerin sistemlerine ve veri tabanlarına sızmak için sosyal ağlar üzerinden iletişime geçen bilgisayar çetelerinin saldırıları altında bulunuyor. Firmalar, buna karşılık olarak ödül avı programları aracılığıyla genç parlak beyinleri devreye sokuyor.

Twitter, Facebook, Apple ve Yahoo gibi şirketler hackerlara sistemlerine giriş izni veriyor. Bu ödemeler maaşların düşük olduğu ülkelerdeki yetenekli bilgisayar mühendislerinin hayatını değiştiriyor. HackerOne’ın verdiği rakamlara göre 2017’de Hindistan merkezli önemli hackerlar, bir yazılım mühendisinin ortalama maaşının 16 katını kazanıyor.

HackerOne, ABD Savunma Bakanlığı, Dropbox, Starbucks ve Twitter için görevlendirilmiş araştırmacılarına ‘ödül avı’ programı dahilinde 23milyon dolardan fazla ödeme yapmış. Curry’ye göre ‘iyi niyetli hackerlar’ açısından şeytana uyma tehlikesi hep var: “Her hackerde bir parça merak hep vardır.”

Zerodium olarak adlandırılan bir firma, Apple’ın ilk gün açıklarını keşfedene 1,5 milyon ABD doları ödemişti.

Hackerlar arasında karanlık tarafa geçme noktasında net bir eğilim gözlemleniyor. Virgina’da yaşayan 34 yaşındaki Tommy DeVoss, bu yıl sistemleri hackleyerek 200 bin dolar kazanma hırsına sahip ancak şimdilerde bir bilgisayara girebilme imkanına sahip olabildiği için bile şanslı. Nitekim, yaklaşık 15 yıldır ‘siyah şapkalı’ hacker olarak çalıştığını itiraf eden DeVoss, bilişim suçlarından üç kez hapse girmiş ve 2000-2010 yılları arasında bilgisayar kullanması yasaklanmış.

Kredi derecelendirme kuruluşu Equifax’a yönelik yüksek profilli hacklemelerden sonra şirketler DeVoss gibi siber kavganın sağ tarafında kalan hackerlara bel bağlıyor. Equifax, 400 bin İngilizin ve dünya genelinde milyonlarcasının kişisel bilgilerinin açığa çıktığı çok büyük bir veri sızıntısına maruz kalmıştı.

Dolaylı olarak dünyadaki bütün bilgisayarları savunmasız bırakacak olan Intel’deki güvenlik açığından haberdar olmamız ise Google’ın hata araştırma inisiyatifi sayesinde olmuştu. Eğer kusur kötü niyetli kişilerin eline geçmiş olsaydı Batı ülkelerinin ulusal güvenliği tehlikeye düşebilirdi.

2013’te Mark Zuckerberg’in Facebook sayfasında alışılagelmedik bir gönderi belirdi. Gönderi, Khalil Shreateh adlı bir kullanıcıdan geliyordu ve şöyle yazıyordu: “Sevgili Mark Zuckerberg, gizliliğinizi ihlal ettiğim için üzgünüm. Facebook’a gönderdiğim bütün raporlardan sonra yapacak başka bir şey kalmadı”

Filistinli güvenlik araştırmacısı Shreateh, Facebook’un yazılımında, herhangi bir kişiye herhangi birinin duvarında doğrudan gönderi yayınlamasına izin veren kritik bir kusur keşfetti. Şirketin güvenlik ekibi tarafından dikkate alınmayınca Zuckerberg’in kendi sayfasını hackleyerek doğrudan inisiyatif aldı. Olay siber ihbar hakkı elde etmenin zorluğunu gösterirken, Facebook o günden beri gün geçtikçe gelişen ‘ödül avı programlarının’  öncüsü haline geldi.

Ödül avı programları freelance hackerlara yazılımda açık bulmaları karşılığında ödeme yapıyor ve ödüllerin miktarı gittikçe yükseliyor.

Bazı şirketler ‘iyi niyetli hacker’ olarak adlandırılan kişilere karşı hala şüpheci yaklaşmalarına rağmen, ödül avı programları şirketler için freelance çalışanları ödüllendirmenin, araştırmalarını gözden geçirmenin ve problemi güvenli bir şekilde ele almanın bir yolunu sunuyor. Şirketlerde, bir hacker gibi düşünmenin, gerçek bir saldırıya karşı en iyi savunma olduğu düşüncesi gittikçe ağırlık kazanıyor.

Yorum Yaz

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.