• Anasayfa
  • Çeviri
  • Hackerlar Yaklaşıyor ve Spor Dünyası Buna Hiç de Hazır Değil!

Hackerlar Yaklaşıyor ve Spor Dünyası Buna Hiç de Hazır Değil!

 Çeviren: Selman Baydar  23/02/2017

*Bu röportaj, Paul Kix tarafından gerçekleştirilmiş ve 08.12.2015 tarihinde aşağıdaki linkte yayınlanmıştır.

http://www.espn.com/espn/story/_/id/14284845/the-hackers-coming-sports-completely-unprepared?utm_content=bufferbfae1&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

hackers2

İlüstrasyon: ESPN / Kyle Hilton

2015 yazında, Amerikan Ulusal Beyzbol Ligi (MBL) ekiplerinden St. Louis Cardinals’ın personeli Christopher Correa’nın, 2013 ve 2014 yıllarında bir başka MBL ekibi Houston Astros’un veri tabanına yasa dışı yolla eriştiği ortaya çıkmıştı. Geçtiğimiz Ocak ayında lig yönetimi, ceza olarak Cardinals’ın Astros’a 2 milyon dolar ödemesine ve Haziran ayındaki ilk iki draft hakkının yine Astros’a verilmesine hükmetti.

Olayın ortaya çıkmasının ardından ESPN dergi editörü Paul Kix’in, siber güvenlik uzmanı Clint Emerson’la gerçekleştirdiği, yalnızca beyzbol değil bütün spor dünyasının benzer tehditlere ne kadar açık olduğuna dair röportajını aşağıda bulabilirsiniz.

hackers1

Chris Correa (Foto: STL Sports web sitesi /Taka Yanigamoto)

Hackerlar yaklaşıyor ve spor dünyası buna hiç de hazır değil!

Bu yaz FBI, spor tarihinde iki takımın karşı karşıya kaldığı ‘bilinen’ ilk hacker vakasında, Astros’un hissedar veri tabanına sızması nedeniyle St. Louis Cardinals’ı soruşturma altına aldı. Henüz bir iddianame hazırlanmamış olsa da, hadise profesyonel spor kulüplerinin güvenlik duvarlarının güvenilirliğine gölge düşürdü. Biz de, bu sistemlerin ne kadar erişilebilir olduğunu anlamak için, çok uluslu şirketlerin, kamu kurumlarının ve spor kulüplerinin siber ağlarında “stres testleri” uygulayan Escape the Wolf’un kurucusu Clint Emerson’a danıştık. İşte Emerson’ın, hackerların sistemlere nasıl girebileceğine ve neler yapabileceklerine dair yorumu.

Hackerlar ‘hack’lemeye devam edecekler! Peki nasıl?

Kimlik avı (phishing) operasyonlarıyla üst yöneticiler avlanıyor!

1,000 çalışanı olan bir şirkette e-posta yoluyla bir kimlik avı operasyonu düzenledik. Çalışanların yüzde yirmi beşi kimlik avı postasına tıkladı ve tıkladıklarında karşılarına çıkan metin tam olarak şuydu: “Sahtedir!”. Buna rağmen yüzde yirmi beşin yüzde yirmi beşi ilgili alanlara bir kullanıcı adı ve şifre girdi. En çok hata yapanlar da üst yöneticiler. Pek dikkatli oldukları söylenemez. Ya da daha kötüsü: İşlerinin neredeyse tamamını asistanları yapıyor ve onlar da sadece mesailerini tamamlamaya çalışıyorlar. Test ettiğimiz neredeyse tüm kuruluşlarda bu yaşanıyor.

Tedarikçilere dadanmak da bir diğer yöntem!

Bir stadyumdan bahsediyorsunuz-vay canına! Günde ne kadar insan, tedarikçi -adını siz koyun- içeri girip çıkar? Ya da fatura, makbuz, envanter girişleri için Oracle türevi bir ağ kullanıyorsunuz,  tüm tedarikçilerinizin öyle ya da böyle bir şekilde takıma erişimleri var. Kötü adamların neredeyse hiçbiri “Pekâlâ, ben bu şirkete nasıl saldırırım?” diye düşünmez, asıl akıllarından geçen şey “Hangi tedarikçilerin bu şirkete erişimi var? Tamam, satış standlarındaki tüketici bilgilerini istiyoruz” olur. Sonra da elde ettikleri bu bilgileri adeta bir füze rampası gibi kullanıyorlar, değil mi? “Anlaşıldı, peynirli nacho firmasının erişimi var” diyorlar. Çünkü onlar faturalarını online olarak iletiyorlar. O yüzden takım adına “Borç bakiyelerimizle ilgili bir sıkıntı yaşıyoruz; o yüzden kullanıcı adınız ve şifrenizin geçerli olup olmadığını öğrenmemiz gerekiyor” yazan bir e-posta gönderildiğinde, tedarikçiler tabi ki de kullanıcı adı ve şifrelerinin geçerliliğinden emin olmak isteyecektir. Çünkü paralarını almak isterler. İki veya üç hafta sonra da gazetelerde, korsanların Patriots1’ın sistemine girdiği ve bütün paralarının uçtuğu yazar.

Stadyumdaki kablosuz internet bağlantıları aracılığıyla saldırı!

En kolay yol “Ortadaki adam operasyonu” adı verilen yöntem. Ortadaki adam tam olarak şudur: Bir dükkâna gider, 50 $’a dâhili pilli bir modem alır, sırt çantama atar ve maça giderim. Daha önce maçlara çok defa gittiğim için, telefonuma baktığımda herkese açık ya da özel, bütün kablosuz internet seçeneklerini ve nasıl adlandırıldıklarını görebileceğimi bilirim. O yüzden ben de kendi bağlantımı hedeflediğim kablosuz bağlantıyla aynı şekilde adlandırır ve kullanacak olan insanlara olabildiğince yakın bir yere otururum. Kablosuz interneti açtığınızda ilk yapacağınız şey nedir? En güçlü bağlantıyı aramak! En güçlü bağlantı listenin en üstüne çıkar; bağlantıya bakarsınız, tıklarsınız ve sonra ben sizi ele geçiririm. Girdiğiniz internet sitelerini, ne tür e-postaları cevapladığınızı takip edebilir ve kişisel bilgilerinizi yavaş yavaş toplamaya başlayabilirim. Çünkü bu bağlantıyı, güvenli ağlarınıza kaydetmiştiniz, yanılıyor muyum? Telefonunuz bu ağı artık unutmayacak, kablosuz bağlantınızı tekrar açtığınızda size tekrar şifre sormayacak.  Bir daha asla sormayacak, çünkü o ağa daha önce defalarca bağlanmış olacaksınız.

Ve yapabilecekleri hiç de hoş olmayan şeyler…

Mali verilerin ele geçirilmesi…

Ticari operasyonlarınızın peşine düşmek, tam da akıllı bir hackerın yapacağı iş. Kolaylıkla üçüncü şahıs bir tedarikçiden takımın finansal tablolarına, oyunculara dair mali verilere ulaşabilirsiniz. Tedarikçi ve iş ortaklarının tüm mali verilerinden, sendikalara, temsilcilere, spor malzemesi şirketlerine, kulüp mağazalarına ve satış standlarına kadar, ticari operasyonlar anlamında suiistimale açık sayısız konu var.  Takımlar milyonlarca dolar kaybedebilir.

Büyük ölçekli terör riski…

Spor alanındaki bir korsanlık faaliyeti sonrası ürün satışlarında, bağışlarda ya da gişe gelirlerinde büyük kayıplar olacaktır, bunun göz ardı edileceğini düşünmüyorum. Ama bir organizasyonun siber saldırıya uğradığını ve DAEŞ tarafında hedef alındığını düşünün -ki bu hiç de varsayım değil: Barcelona Futbol Kulübü’nün Twitter hesabı geçici olarak Esed yanlısı Suriyeli hackerlar tarafından ele geçirilmişti. Peki bu, yaşadığımız dünyada ne anlam ifade ediyor? Stadyuma bir saldırı planladıkları anlamına mı geliyor? Bir bakmışsınız tehdit asgari düzeyin çok daha yukarısına ulaşmış.

Oyuncuların tıbbi kayıtlarına erişim…

Oyuncuların tıbbi kayıtlarını bir düşünsenize! Tek bir oyuncunun HIV-pozitif olduğunu bildiğimde ve bunu koz olarak kullandığımda karşımdakini ne tür bir dijital esaret altına alacağımı ya da ne kadar fidye talep edebileceğimi bir hayal edin. Tıbbi veriler, tüketici verileri ya da mali verilerden iki-üç kat daha değerlidir. İlgili mali verileri de içermelerinin yanında hayatınızla ilgili geçmişinizdeki bütün bilgileri ellerinin altında alırlar. Kulüpler ise bu bilgileri saklı tutabilmek için milyonlarca dolar ödüyorlar. Bir kişide herpes varsa, bunun hacker için değeri vardır. X oyuncusuna gidip “Eşiniz herpes taşıdığınızı biliyor mu?” denilmesi bir şantajdır. Dedikodu sitelerine de gidebilirsiniz: Bir hacker bildiklerini TMZ2’ye taşıyabilir ve her şey paraya bakar. Otomatik olarak da değer kazanır.  

Korkunç bir virüsün yayılması…

Bir hacker, kötü amaçlı bir virüs yükleyip bu yazılımı, ağdaki diğer açıkları aramak için kullanabilir. Yine hackerlar, kendilerini yönetici gibi gösterebilirler. Çinli hackerlar, fark edilmeden dört yıl boyunca Amerikan serverlarına girdiğini belirten bir FBI istatistiği vardı. Dört yıl! Siz farkına bile varmadan. Bu dört yıl içinde ne kadar bilgi toplayabileceğinizi biliyor musunuz? Bu bilgiyle yapılacak şantaj tehditlerini bir hayal edin. Mali verilerden tıbbi verilere ya da e-posta adreslerine kadar, bir kulübün sunucusunda bulunan her şey gasp edilmeye açıktır.  

Oyunun kendisinin ele geçirilmesi…

Ağ yoluyla bir sisteme bağlanan her şey ele geçirilebilir: iletişim, skorbord, aydınlatma, dev dijital ekranlar. Bir anda ışıklar söndürülebilir-ya da dev ekranda bir porno ile karşılaşabilirsiniz.

Ve en basitinden takımların çok büyük miktarda parasına mal olur!

Sony3’e bakarsanız orada olan biten, tam bir Hollywood dramasını ortaya çıkaran bir avuç e-postaydı, nihayetinde de Sony’nin yaklaşık 300 milyon dolarına mal oldu. Günümüzde en popüler sigorta çeşidinin siber sigorta olmasının bir sebebi var; bunlar sigortacıların ürettiği en detaylı poliçeler. Sigortalar artık çok ama çok yüksek rakamlarda çünkü artık hackerlık çok ama çok yüksek bir yerde.

Yukarıdaki röportajın orijinali ESPN The Magazine – 21 Aralık 2015 ‘Yılın Fikirleri’ Özel Sayısı’nda yayınlanmıştır.

1 Amerikan Ulusal Futbol Ligi (NFL) ekibi New England Patriots

2 http://www.tmz.com/

3 http://www.btnet.com.tr/guvenlik/sony-pictures-saldiriya-ugradi/1/17391

twitter     instagram     soundcloud