Tüm hayatını çevrimiçi ortamda insanların gizliliğini korumaya adadı ve F-Secure şirketinde bu işe devam ediyor. “Birçok yönden söylenebilir… mahremiyet savaşını kaybettiğimiz. Birçok insan internetten önce dünyanın nasıl olduğunu hatırlamıyor. Birçok insan için Google veya Wikipedia her zaman oradaydı. Ve internette her türlü veriyi ve içeriği tanıtan çok sayıda hizmeti kullanmaları doğaldır. Bu gerçekten internette ödeme şekliniz. F-Secure uzmanı Miko Hypponen, RootedCON 2017'de bir video yapmak maliyetlidir ancak bunun bedelini verilerimiz ve gizliliğimizle ödüyoruz ”, açıklamıyor.
“Gizlilik konusundaki bir savaşı kaybetmiş olabiliriz. Biz, hayatı başından sonuna kadar izlenebilen bir nesiliz. Hepimiz takip cihazları taşıyoruz. Nerede olduğumuzu, kimlerle iletişim kurduğumuzu izlemek çok kolay. Nasıl bir insan olduğumuzu bilmek kolaydır. Bizi ne ilgilendiriyor. Ve tüm veriler toplanır. Veri yeni yağdır. Bu böyle ve bu yüzden istihbarat teşkilatlarından değil, aynı zamanda bizden veri toplayan şirketlerden de bahsediyoruz. Google, 2016 yılında 80.000 milyon kazandı… ücretsiz hizmetler sunuyor”.
Siber suçlara karşı asimetrik savaş
“Gizlilik savaşını ve güvenlik savaşını kaybettik. Ancak, ikincisini kaybettiğimizi kabul etmeyi reddediyorum. Kötü amaçlı yazılım ve tersine mühendislik çalışmaya başladığımdan beri yaptığım her şey bu amaç içindi: kötü adamlarla savaşmak. Kötü amaçlı yazılım gönderenlere karşı, hizmet reddi saldırıları. Ama siyah şapkalılara kıyasla beyaz şapkalı biziz. Saldırganların savunmamıza erişimi olduğu için işimizin karmaşık olduğunu inkar etmiyorum.
“Öğrendikleri ilk şey, ne tür bir güvenliği kırmaları gerektiğidir. Bir saldırganın başlangıç noktası budur. Ve bir kez öğrendiklerinde nasıl gireceklerine karar verirler. Hazırlanmak için çok zamanları var… ve yanıt vermek için çok azımız var. Bilgisayar güvenliği, saldırılar, sızıntılar veya aptalca şeyler yapan, her şey için aynı şifreyi kullanan, kötü niyetli bağlantılar açan kullanıcılar hakkında her zaman kötü haberler duyuyoruz. Peki 10 yıl önce neredeydik? Güvenlikte büyük gelişmeler oldu. On yıl önce birçok kullanıcı, varsayılan olarak bir güvenlik duvarı bile olmayan Windows xp kullanıyordu.
“Güvenlik açısından uzun bir yol kat ettik. Büyük adımlar atıyoruz ama ne yazık ki düşman da zamanla gelişiyor. Belki de düşmanla karşılaşmanın, onu anlamanın zamanı gelmiştir. Ancak, çoğu zaman olduğu gibi, söylemesi yapmaktan daha kolaydır. Son kullanıcının saldırıların arkasında kimin olduğu hakkında hiçbir fikri yoktur. Hacktivistler, suçlular, beyaz kapaklılar, hükümetler, aşırılık yanlıları var … her türlü bilgisayar korsanı var. Charlie Miller ve Chris Vallasek gibi adamlarımız var. Güvenliği artırmak istedikleri için hack'ler. Anonymus'un siyasi protesto için bir nedeni var. Suçlular virüs yazarak para kazanmak istiyorlar. Ve hükümetler de bununla ilgileniyor çünkü siber saldırılar onları etkiliyor. Etkilidirler, pahalı değildirler ve yadsınamazlar. Askeri açıdan düşündüğünüzde mükemmel bir eşleşme. Ucuz, etkili ve inkar edilemez bir silahınız olduğunda, mükemmel karışıma sahip olursunuz. İşte bu yüzden değişim anı şimdi başlıyor ».
Yeni bir siber silahlanma yarışı başlıyor
Bir sonraki silahlı savaşın başlangıcındayız. Nükleer silahlanma yarışını gördük. Artık siber silahlardayız. Orada başladı ve yıllarca orada kalacak. Siber silahsızlanma hakkında konuşmak onlarca yıl alacak. Ve hükümetler açısından, sadece ordu değil, aynı zamanda güvenlik güçleri de var. Biri bana polisin vatandaşlara bulaştırmak için virüsleri olacağını söyleseydi, buna inanmazdım, ama öyle. Suçları araştırmak ve teröristleri avlamak için saldırgan teknolojileri kullanan hükümetlerle hiçbir sorunum yok. Fiziksel dünyada ve çevrimiçi dünyada onlar için gitmelisiniz. Ama vatandaş olarak bu hakkı güvenlik güçlerine veriyorsak şeffaflık istemeliyiz. Bu saldırgan siber güç, güvenlik güçlerinin istatistik yayınlaması anlamına gelmelidir. 200 bilgisayara kötü amaçlı yazılım bulaştırdık ve 150'si kötü ve hüküm giymiş kişilerdendi. Ama aynı zamanda tam tersi de olabilir. Şeffaflık yok ve bu nedenle bu konuda karar veremiyoruz. Ancak saldırılardan para kazanan en büyük grup suçlulardır. Onlar çok kazanan ve zulüm gören insanlardır.
Sizin pahasına para kazanmak için en son siber suç eğilimleri
“Siber suçtaki en son trendlerden biri, bitcoinleri ve dijital para birimlerini çalmak için Truva atları olmuştur. Buluşların, icat edildiklerinde apaçık olduğunu biliyoruz. Bunlar en iyisi. Blok zinciri teknolojisi sayesinde, başka birinin müdahalesine gerek kalmadan işlemler otomatik olarak gerçekleştirilebilmektedir. Bitcoin ve blok zinciri fena değil. Para olarak iyidirler. Sorun şu ki, suçlular da ister fiziksel ister sanal olsun parayı istiyorlar. Kredi kartıyla kokain satın almak zordur. Ama bitcoin ile daha kolay. Suçlular için bitcoin cennetten bir hediye gibidir. Bu yüzden bu kadar çok Truva atı patlaması var. Şu anda aynı kurbanlar için yarışan 110 farklı grubu takip ediyoruz. Ve tüm gruplar Rusya'dan değil, Ukrayna'dan da var.
Kurbanlarını nasıl arıyorlar? İlk olarak, bir bağlantı açarak bilgisayara bulaşan açıklardan yararlanma yoluyla. Bugün en yaygın yol bir Word belgesi ve bir e-posta ekidir. Bu makro aracılığıyla 2008 yılında yapılmaya başlandı. Ve şimdi geri döndü. Bu nedenle, daha fazla saldırı alabilecek olanlar, bilgilerini genişletmek için bağlantıları olan virüslü özgeçmişleri alan insan kaynakları departmanlarıdır. Microsoft'un 'sistemime bulaş' demesi gereken içeriği etkinleştirmek yerine düğmenin adını değiştirmesi gerekiyor “-halklardan kahkahalar-.
İki arkadaşa bulaşırsa 'seni affeden' bilgisayar virüsü
«Bilgisayarı şifreleyerek bilgisayarını ele geçiren bir yazılım olan ve 1300 dolar isteyen bir fidye yazılımı bile var, ancak diğer iki makineye bulaşarak kendinizi kurtarabilirsiniz. Fidye yazılımı ödülünü ödeyen iki kişiye virüs bulaştırmanız gerekir. Patlamış mısır. Her kurbanın benzersiz bir URL'si vardır, bu yüzden onu Facebook'a gönderirseniz birçok kişiye virüs bulaşır. O çok yaratıcı ve benim akıllı. Fidye yazılımından sonra bu adamlara geri dönelim. "
LinkedIN'e yapılan siber saldırı, bunu yapan siber suçluyu milyoner yaptı
«2012'de bir LinkedIN saldırısı oldu ve siz de dahil olsaydınız…. anahtarlarını çaldılar. Yani bu sosyal ağda bir hesabınız varsa, şimdi herkesin bildiği bir siber suçlu tarafından çalındı - fotoğrafını gösterdi. Ben onun kurbanlarından biriydim. Kız arkadaşıyla Prag'da tatildeyken gözaltına alınmasına ve ABD'ye iade edilmesini ummasına rağmen henüz bir ceza almadı. 130 milyon şifrenin çalınmasıyla ne ilgisi var? Eh, diğer siber suçlular onlara gelirdi. Şifre satarak ne kadar kazanabilirsiniz? Bilmiyorum. Ancak YouTube'da biraz video izleyerek bir fikir edinebiliriz. Audi R8 ve Lamborghini Hurracane gibi süper spor arabalarla tatiliniz hakkında konuşun. Ayrıca Mercedes'e, Aston Martin'e, Porsche'ye, Rolex'e ve Rolls Royce'a sahip olduğu görülüyor. Peki ne kadar kazandı? Bilmiyorum ama yeter ».
«Bu anahtarları alırsanız 1,3 milyon Gmail hesabına erişebilirsiniz. Çünkü hepsi LinkedIN ile aynı şifreye sahip. Sorduk ve kullanıcıların %50'si tüm sitelerde aynı şifreyi kullanıyor. Bu oldukça aptalca. Bu yüzden Gmail'e girdiklerinde eski e-postaları ararlar. Gmail bunları asla silmez ve belirli bir türü ararlar. Amazon gibi bir İnternet mağazasına kaydolduğunuzda aldığınızlar. Yani bu e-posta adresiyle, örneğin Amazon ile bir hesabınız olduğunu biliyorlar. Ve şifreniz işe yaramazsa, önemli değil. Çünkü tüm giriş sayfalarında sihirli bir "Şifremi unuttum" düğmesi ve Gmail'e nasıl erişimleri var… Gmail'e eriştiklerinde her şeye erişimleri olur. Xbox, Palystation satın alabilirler ve bunun için ödeme yapacaksınız ».
Korkunç Nesnelerin İnterneti
«Elimizde olan bir diğer büyük zorluk, Nesnelerin İnterneti'nin ve endüstriyel kontrol sistemi olan ICS'nin parlak geleceğidir. Böylece bir yüzme havuzunda meydana gelen bir nükleer reaksiyonu gösterdi. Bu videoyu neden gösteriyorum? Eh, çünkü endüstriyel kontrolün bir örneği. Bu reaktör, programlanabilir bir robot olan bir PLC tarafından kontrol edilir. Tüm altyapılar bilgisayarlar ve yazılımlar tarafından yönetilmektedir. Bu konuda net olmalısın. Biz bilgisayar güvenliğinden geliyoruz ve yıllarca bilgisayarların güvenliğini sağlamam gerektiğini düşündüm. Ama şimdi bilmiyorum. Bizim işimiz bilgisayarların güvenliğini sağlamak değil…. Tüm topluma güvenlik sağlamaktan ibarettir. Dünyayı görme biçiminizi değiştirmenin zamanı geldi. Ve IOT ve ICS riskleri hakkında çok fazla şey var ve çok şey konuşuluyor ve ilki, bu şeylerin bağlanmaları gerekmese de internete bağlanıyor olması. Bu şeyler arkada olana erişim sağlar. Yanlışlıkla internete bağlanan birçok fabrika sistemi var.
Çevrimiçi bir krematoryumu böyle göstermiş, yatak odaları güvenlik kameralarıyla görülmüş… «Bir arkadaşım, şifresiz bağlanmış bir tekne gibi şeyler buluyor. Ayrıca perdeler ve panjurlar. Ve arkadaşım diyor ki, internetteki perdeler açılıp kapatılabiliyorsa, bunun anlamı nesnelerin interneti gelecekte değil. Burada. Ve onlar vektörlerdir. Diğer sistemlere erişmenizi sağlayan bir ampule erişebilirsiniz. Wi-Fi'lı bir kahve makinesi koyarsınız ve zincirin en zayıf halkası olur ve bir gün uyanırsınız ve tüm bilgisayarlarınız şifrelenir. Yapmak? "Güçlü şifreler koymadan asla bir cihaz kullanmayın."
“Mirai kötü amaçlı yazılımı 120 milyon IOT cihazına bulaştı, ancak sahipleri umursamadı. Onlarla konuşuruz. Güvenlik kameranız saldırıya uğradı … ve evet dediler, ne güzel? Ama iyi çalışıyor. İşe yararsa, insanlar saldırı için kullanılıp kullanılmadığını umursamıyor. Ve en üzücü olan şey, tüm cihazların kullandığı birkaç şifre kullanıyor olmasıdır. Ayrıca 80'lerden kalma bir sistem olan Telnet'i de kullandılar çünkü şifreli değildi ».
Elektronik cihazlar düzenlenmelidir: güvenli değillerse hak talebinde bulunabilmelisiniz
“Güvenliğe yatırım yapmalısınız. Fiziksel güvenliği düzenliyoruz ve çevrimiçi güvenliğin düzenlenmesi gerekiyor. Cihaz düzenlemelerini belirleyen birinden bahsetmiyorum. Ancak üreticinin yarattığı problemlerden dolayı dava açılacağının düzenlenmesi gerekir. Kısa devreli bir çamaşır makineniz varsa, onu düzeltmeniz gerekir. Ve eğer onu dava edemezseniz ve bunun siber dünyada başarılması gerekir. Bir güvenlik ihlali için dava açabileceğinizi.
Siber silahlar ve siber silahsızlanma zamanı geldi
"Hükümetler ve onların hack'lerinden bahsettim. Başkanlık seçimlerinde ABD'ye yönelik saldırıların konuşlandırılmasında ön sıradayız. Rusya, dünyanın en büyük gücünün seçimlerinin sonucunu etkilemeye çalıştı. Birkaç ay önce Bloomber'da Putin ile bir röportaj var ama zaten biliniyordu. Bu yüzden ona Demokratları kimin hacklediğini sordular. Gerçekten önemli mi? Önemli olan e-postaların içeriğidir. Bunu kimin yaptığı konusunda kamuoyunun dikkatini dağıtmayın. Bu siber savaş mı? Değil".
Ukraynalı askerler cep telefonlarına virüs bulaştıktan ve coğrafi olarak konumlandırıldıktan sonra öldürüldü
Ancak iki ay önce Ukraynalı askerler telefonlarına kötü amaçlı yazılım bulaştığını gördüler, konumlandılar ve topçu onları parçaladı. Siber savaşın sisinden bahsediyorum. Belirli bir ülkedeki bu silahlanma yarışı, bir ülkenin kaç tankı olduğunu bilebilirsiniz…. Ama siber kapasitelerde hiçbir fikrim yok. ABD'nin iyi olduğunu, siber savunma yeteneklerini geliştirmek için daha uzun süre daha fazla para yatırıldığını, İsrail, Rusya, Çin'in çok iyi olduğunu biliyoruz. Ama sonra her şey çok belirsiz, İsveç'in siber saldırı kapasitesi nedir? İspanya? Vietnam? Fikrim yok. Bu siber savaş bulutsusu. Bu yüzden nükleer silah yarışından çok farklıdır. Gücü, kullanımında değil, korku yaratma yeteneğindeydi. Hiroşima ve Nagazaki bunun açık örnekleriydi. Bu onu kullanmakla ilgili değil, onlara sahip olduğunuzu göstermekle ilgili. Bir ülke o silaha sahip olduğunda kimsenin onunla uğraşmadığını herkes bilir.
Siber savaş bulutsusu ile kimse bir şey bilmiyor. Siber silahların gücü muhalefette değil. Bu yüzden onları görüyoruz. Stuxnet ve 2015'te Ukrayna'daki elektrik şebekesinin hacklenmesi veya 2016'da savaş alanında ölen Ukraynalı askerler.
Siber silahların gücü kullanımlarındadır. Siber silahlar kolayca elde edilebilir ve çok fazla güce sahiptir. Stuxnet saf askeri yetenekle elde edilemezdi. Mesele İran'ın nükleer programını geciktirmekse, ülke can pahasına da olsa işgal edilebilir veya santral bombalanabilir. Veya bir milyona mal olan stuxnet yazabilirsiniz. Ve bir B52 çıktısı ile aynı maliyete sahiptir. Ancak bunun aksine görünmez.
Bilgisayar korsanları artık bilgisayarları savunmuyor … şimdi dünyayı savunuyorlar
«Bugün içinde yaşadığımız dünya budur. Hepimiz güvenlik görevlisiyiz. İşimizin bilgisayarlara güvenlik sağlamak olduğunu düşündük. Ama artık değil. Şimdi bu iş artık topluma güvenlik sağlamak ve bunu çok ciddiye almak zorundayız çünkü büyük bir sorumluluğumuz var, düşündüğümüzden daha fazla çünkü toplumumuzu savunan biziz ».
OneMagazine'de bunun gibi daha fazla makale görebilirsiniz.