Güvenlik / Security Makaleleri - Bilinmeyen Hack; Terimi ve Kullanıcılar Üzerindeki Etkisi

Bu yazıyı ister şaşkın ve bazı noktalarda takılarak, isterse kendi düşüncelerinizin kelimelere dökülmüş halini heyecanla seyrederek okuyun, yazının; akıcı, sıkmayan konulara ve anlatıma sahip ve her seviyede bilgisayar kullanıcısına yararlı olacağı kanısındayım.

Şimdi sizlere teknolojik aletler olarak adlandırdığımız cihazların henüz bulunmadığı zamanları düşündürmek, beyninizde yaşatmak istiyorum. Hemen öyle ilkel zamanlara gitmeyin, ilk bilgisayar üretildiği zamana gelin biranda. Birden hayata "bilgisayar" diye bir terim giriyor. Tabi bu bir süreç aslında fakat şuan hızlı düşünüyoruz. Üretilen bu bilgisayarın ortalama bir oda büyüklüğünde olduğunu, donanım sayısını, çeşitlerini bir kenara bırakın, unix veya ms-dos komut sistemi olarak adlandırdığımız siyah ekranda

yapılan işlemler kadar bile kararlı olamadığını, hız bakımından vasat olduğunu düşünün. Fakat ne kadar büyük bir buluştur ki bir bakıma bize teknolojik aletler dediğimiz bugünkü cihazları hediye etmiştir. Peki neydi bu buluş? Bir kaç donanımın klavye denilen bir cihazdan basılan harfleri algılaması, tanıması ve programlanan bir düzen içinde cevap vermesi. İşte makalemizin, aynı zamanda yazılım teknolojisinin temeli olan terime geldik; programlama.

Programlama dinamiktir. Dinamik sözcüğünden kastım, en basit ifadeyle matematik gibi bir insan ürünüdür ve bir işin birden fazla türetilebilir yolu vardır. Diyeceksiniz ki bu ne demek? Yani herhangi bir matematik işlemi yapacaksınız, sonucu “2” çıkacak, sonucu 2 olan sonsuz tane işlem türetilebilir. İşte programlamada buna benzer. Bir işi (program, web sayfası, virüs, exploid vb.) iki kişi ayrı ayrı yapar, sonuç aynıdır, fakat izlenen yol aynı olmak zorunda değildir. Buna küçük bir örnek vermek gerekirse bir dinamik dille yazılmış bir web sayfasını A kişisi php dinamik dili ile kodlarken, B kişisi asp ile kodlamış olabilir, fakat sonuç aynıdır.

Ya da ikisi de aynı dinamik dili kullanıyor olsada web sitesini yapmak için kullandığı dosya isimleri, dinamik kodlardaki değişkenler, algoritma birebir olması imkansızdır. Çeşitli çalışmalar için çeşitli algoritmalar yaygın olarak bilindiğinden algoritmalar benzese bile dediğim gibi bunun üzerine farklılık yaratacak daha birçok faktör bulunmaktadır. Bu yüzden her beyin kendi yolunu tasarlar ve sonuca ulaşır. Dinamik dillerde sonuca ulaşırken programlamanın çeşitliliğinden ve belirli uyulması gereken kurallardan kaynaklanan hatalar yapılmış olabilir. Yüzlerce satır yazdığınız kodun mesela 18. satırında çalışmanızı sunacağınız kullanıcıların ulaşamaması gereken bir bilginin bir değişkende saklandığı ve çeşitli denemeler sonucunda ekrana yazdırılabileceğini farkedememiş olabilirsiniz. İşte web sayfalarının dinamik dillerle yazılan kodlamalarındaki bu tip durumlara açık deniyor. Bunun gibi ne tipte açıklar bulunabileceğini öğrenmek istiyorsanız ilk önce seçtiğiniz dinamik dili öğrenmeniz ve sayfaların dinamikliğinden yararlanıp üzerinde kafa yormanız gerekecektir. Bu tip açıklar kullanılmakta ve çeşitli güvenlik sitelerinde yamalarıyla birlikte tanıtılmaktadır. Tamamen güvenli bir site tasarlamak için kullandığımız dinamik dile başkalarını yazdığı kodları tamamen kavrayacak kadar hakim olmalı ve bu dinamik dil ile yapılan sayfaların açıklarını iyi takip etmeli, sorunu kavramalı, ayrıca doğabilecek yeni açıkları da tespit edebilmemiz gerekmektedir. Böyle bir açığa sahip olan bir web sayfası; kişisel, bir şirket yada bir host firmasının sayfası olabilir ki bir host şirketinin sayfasıysa böyle bir açık sayesinde sayfa üzerinde kullanıcının yetki sınırı kalkıp hosta kayıtlı bütün web sayfalarının ele geçirilmesi söz konusu olabilmektedir.

İşte son bahsettiğim cümlemde site üzerindeki yetki sınırını kaldırarak, normal kullanıcıya verilen hakların aşılmasına “web hack” denilmektedir. Tabi çeşitli sosyal mühendislik yöntemleriyle domain şifresi de ele geçirilebiliyor ki bu tip yazıları her yerde sık sık okumuşsunuzdur. Bu tip hack olayları çoğunlukla site sahibinin bilinçsizliğinden kaynaklanmaktadır. Konuya geri dönecek olursak, bu tip açıklarda yetkiyi kaldırmaya sebep olan kişi zaten yetkiyi sınırlandıran kişi olduğundan, aslında vermek istemediği düzeydeki yetkiyi kendi elleriyle kullanıcıya sunmuş oluyor. Bu tip açıklar bulunduğunda birçok bilinçli programcı tarafından site sahiplerine haber veriliyor fakat bunu kötü niyetleri için vazgeçilmez bir nimet olarak gören önüne gelen siteyi sebepsiz yere açığını arayan, ne kadar çok site kapatırsa o kadar ünleneceğini düşünenlerde yok değil.

Ayrıca bu tip açıkların uygulamasını program haline getirenler sayesinde, programlama ile yakından uzaktan alakası olmayan, işin bilincinde olmayan bilgisayar kullanıcıları bile açıktan faydalanarak, önüne gelen siteyi kapatıp, yaptığı işe övüne övüne “hack”, kendisinede “hacker” terimini layık görmektedirler. Böylece binlerce kişisel yada kurumsal birçok site haksız ve/veya sebepsiz yere kapanmakta ve site sahipleri bu durumdan doğal olarak rahatsız olmakta, “hacker” terimini kötü algılayıp, kötü tanıtmaktadırlar. Durum sadece bundan ibaret değil, site açıklarını bulabilen kötü niyetli programcılar, uygulamasını program haline getirdikleri küçük dosyaları programlamadan anlamayan, ihtiyacı olan şeyin sadece bir iki program ve ego tatmini olduğu bilgisayar kullanıcılarına dağıtırken bile çıkarlarını ve kötü niyetlerini korumasıyla işler daha bir karmaşık hale gelmektedir. Programı hiçbir şeyden habersiz bir hevesle kullanan bilgisayar kullanıcısının siteminde genellikle bir arkakapı (backdoor) açılır. Yani bu program sayesinde sistemde daha önceden belirlenmiş bir port numarası uzaktan bağlantı için açık tutulur. Böylece sistemde bir açık meydana gelir bu açıktan haberdar olan program üreticisinin dahilinde birçok port tarayıcı program sayesinde yine normal bilgisayar kullanıcıları da sisteme bağlanabilmektedir. Aynı zamanda bu tip programlar size özel bilgilerinizi (cookie veya herhangi bir yazınız, makaleniz olabilir) mail yoluyla programın üreticisinin kendisine ulaşmasını sağlar. Dolayısıyla anlatmak istediğim insanlar ava çıkarken avlanırlar. Çünkü yazılım teknolojisinde kesinlik ve/veya güven yok denecek kadar azdır, her şey program üreticisinin ufkuna, bilincine, üreticiliğine bağlıdır.

Durum böyle olunca “hack” teriminin insanlar üzerindeki etkisi de çok farklı oluyor. “Hack” rekabeti geliştiren, çeşitli açıkları bularak programların veya web sitelerinin daha kaliteli hizmet vermesini sağlayan bir uygulama olması gerekirken, bilinçsiz bilgisayar kullanıcıları ve bu tip bilgisayar kullanıcılarını kullanmak isteyen sivri zekalılar sayesinde “hack” terimine kötü damgası vuruluyor, hackerlar bütün zamanını bilgisayarlara zarar vermek için harcayan kötü niyetli insanlar olarak tanıtılıyor. Biz bu tip bilinçsiz kullanıcılara kendilerine verdikleri “hacker” lakabı yerine “lamer” demeyi tercih ediyoruz. Bu tip insanlara lamer denmesinin sebebide “hacker” teriminin kötü bir anlam ifade etmesini engellemektir. Fakat bilinçsiz bilgisayar kullanıcıları var oldukça ve bu durumu kabullenmedikleri sürece insanlar şuan çok yaygın olan bu anlam karmaşasının içinden çıkamayacaklardır.

Özellikle bu tip bilinçsiz kullanıcılar arasında çok popüler olan MSN, ICQ gibi sohbet programlarının açıklarını kullanan programlar çok yaygın bir şekilde dağıtılmakta ve kullanılmaktadır. Hatta bu bir yarış haline getirilmiştir. Çünkü hiçbir programlama dili bilmeyen, çok yaygın olan ve herkesin kullanabileceği bir şekilde tasarlanan Microsoft Windows’un herhangi bir versiyonunu kullanmaktan başka bir artısı olmayan bu lamer arkadaşlarımızın MSN gibi sohbet programlarının üyeliklerini kapatmaktan başka işi yada hobisi bulunmamaktadır. İşin daha kötü tarafı bunu kendine yeterli görmekte ve kendini geliştirmek için herhangi bir çaba göstermemektedirler. Çünkü bu tip kullanıcılar için MSN üyeliği kapatabilen her kişi birer “hacker” dır. Oysaki mesela; adres çubuğuna “ e-hack.org “ gibi bir adres girdiğinde sistemde çalışan protokollerden, ağ sunucularından karşısındaki görüntünün hangi işlemler sonucu karşısına geldiğinden haberi yoktur aynı zamanda merakta etmemektedir. Bu iş biraz merak biraz dasabır işidir. İnsan üşenip sayfalarca makale okumayı zor görürde “nasıl olsa elimdeki program ile istediğimi yapabiliyorum” (istediği ego tatmininden başka bir şey değil) mantığına yatarsa, kendini asla geliştiremez, sadece kullandığı programın açığı kapanana kadar kendini kandırır, ayrıca kullandığı programın kendi sisteminde oluşturduğu kötü amaçlı arkakapılardanda (backdoor) nasibini almış olur. Bir yandanda kendine bir artısı olmayan bu işin sonucunda “hacker” terimini kirletmiş olur.

Şunu düşünün ki benim şuan için aklıma gelen programlama dillerinin sayısı sadece 17 tane ve bu sadece şuan ve sadece benim aklıma gelenler. Dolayısıyla buradan şimdiye kadar bu yazdıklarımı kendine itiraf etmekten kaçınan bütün bilinçsiz kullanıcılara sesleniyorum; MSN yada çeşitli sohbet programlarının açıklarını kullanan programlarla uğraşacağımıza biran önce kendimize bir hedef (mesela herhangi bir programlama dili olabilir) belirleyip kendimizi geliştirmek en mantıklı hareket olacaktır. Eğer bu teknolojiye aynı zamanda hayata bakış açınızı değiştirecek hedefinizi henüz belirlememişseniz biran önce bir yerden başlayın, şuan sadece yüzeysel olarak tahmin edebildiğiniz anlattıklarımın içine girecek ve beni daha iyi anlayacaksınızdır.

Programlamanın, yazılım teknolojisi gelişiminin sonu yoktur, her şey hayalgücünüze bağlıdır. Dolayısıyla bu konu üzerinde anlatılacak püf noktalar bitmeyecektir, bu tip eğitici makalelerin sonu gelmeyecektir, sonu yoktur.

Makalemi daha fazla uzatıp sizleri sıkmak istemiyorum, seçim sizin. Bahsettiklerime, tavsiyelerime kulak asmakla hiçbir şey kaybetmeyecek, aksine kazanacak ve kazandıracaksınız. Bu makalenin amacı kimseye gönderme yapmak değildi, ister bilinçsiz bir kullanıcı, ister onlardan faydalanmaya çalışan kullanıcılar, isterse kim olursa olsun, amaç hepsini kazanmak, yazılım teknolojisini kazandırmaktı. Herkese çalışmalarında başarılar dilerim.

Saygılar.