Yeni Dünyanın Petrolü: Veri

Etrafımızdaki her şey, durmaksızın veri üretiyor: Tüm dijital işlemler, sensörler, mobil telefonlar, GPS cihazları, araba motorları, tıbbi laboratuvar testleri, kredi kartı işlemleri, otellerdeki kapı ki­litleri, rapor kartları ve sosyal medya faaliyetleri veri üretiyor. Akıllı telefonlar bizleri birer insan sensörüne dönüştürürken, hayatımıza dair ciddi boyutta ciddi boyutta veri ortaya çıkarıyor. Sonuç olarak, bugün doğan çocuklar tüm hayatlarını devasa bir dijital ayak izinin gölgesinde geçiriyor, Zaten halihazırda dünyadaki çocukların yüzde 92si öyle veya böyle internette bulunuyor. Ailelerinin ultrasondan çıkan ilk fotoğrafı Facebook’a yüklemelerinden, kalp pillerinin bağlantısı kesilene kadar geçen yüz yılı aşkın bir sürede, doğumdan ölüme kadar her anları dijital olarak kaydediliyor ve sonsuza kadar bulutta korunuyor. Veri üretim döngümüz bir an olsun durmuyor.³

Yalnızca 2014 yılı İçinde, her bir dakikada;

• 166.667 e-posta gönderdik,
• Google’da 2 milyon arama yaptık,
• Facebook’ta 684.000 içerik paylaştık,
• Twitter’da 100.000 tweet attık,
• Apple App Store’dan 47.000 uygulama indirdik,
• YouTube’a 48 saat uzunluğunda yeni videolar yükledik,
• Instagram’a 36.000 yeni fotoğraf koyduk,
• WhatsApp ta 34 milyon mesaj yazdık.

Başka bir deyişle, her on dakikada, insanoğlunun ilk on bin neslinin ürettiği kadar bilgi ürettik.⁴ Biz bunları yaparken, bu bo­yuttaki veriyi depolamanın maliyeti de sürekli olarak azaldı.⁵ Ör­neğin, 2014 sonlarında Amazon.com’dan sadece 300 dolara satın alınabildiğimiz altı terabaytlık bir sabit diskte, tarih boyunca dünya üzerinde bestelenen tüm müzikleri depolayabiliyorduk.

Dünyanın bilgi altyapısındaki akıl almaz büyümeye, “büyük veri devrimi” adı verildi. Büyük veri, insanlığa uzun süredir çözü­lemeyen karmaşık problemlerin ölçülebilir olduğunu, bu yüzden de deneysel olarak çözülebilir olduğunu vaat etti. Bu raddede tıp dünyası harika bir örnek olabilir. Tüm hasta verileri elektronik tıp kayıtlarında kataloglandıkça, doktorların da en etkili tedavileri belirlemek, ölümcül ilaç etkileşimlerini fark etmek ve hatta fiziksel semptomlar görünmeye başlamadan hastalık başlangıcını tahmin etmek için veri setlerini incelemesi kolaylaşıyor. Yani sayısız hayatın kurtarılma ihtimali bulunuyor.

İster perakende, ister ulaşım, isterse ilaç sektörü olsun, tüm en­düstrilerde büyük veri neticesinde inanılmaz boyutlarda ekonomik değer görülecek.⁶ Hatta bu değerler o kadar yüksek olacak ki, Dün­ya Ekonomi Forumu, kısa süre önce veriye ‘yeni petrol” adını taktı. IBM, Oracle, SAS, Microsoft, SAP, EMC, HP ve Dell gibi yüzlerce şirket, büyük veri fenomeninden en yüksek kârı elde edebilmek için yeni çağın altın kapma yarışına girdiler. Veri gerçekten yeni petrolse, dijital dünyanın modern para birimiyse, en fazla veriye sahip olanlar da muazzam güce ve etkiye sahip olacaktır. İlk petrol baronları John D. Rockefeller ve J. Paul Getty’nin kendi çağlarını yönetmesi gibi, bugün elinde en yüksek miktarda veriyi bulunduran isimler de, Mark Zuckerberg ve Eric Schmidt’in belirttiği üzere, yaşadığımız çağda sözü en çok geçenler olacak. Facebook, Google ve Acxiom gibi şirketler insan davranışıyla ilgili tarih boyunca biriken tüm verileri bir araya getirirken, kısa zaman içerisinde bunları kendi çıkarları için kâr, gözetleme, tıbbi araştırma, siyasi baskı, şantaj veya nasıl isterlerse o şekilde kullanabilecekler.

Ancak veri yeni petrolse, diğer köklü doğal kaynaklar gibi onun da sıkıca korunması gerekir. En basitinden bugün 100 milyon varil petrolümüz olsa, onları korumasız bırakmamız neredeyse imkânsız olurdu, ama oluşturduğumuz verilerin çok çok büyük bir kısmına bir daha dönüp bakmıyoruz bile. Dijital bilgilerimiz üzerindeki koruma, olması gerektiği seviyenin yakınına bile yaklaşamıyor. Hem zeminde hem de borulardaki o 100 milyon varil petrolü silahlı muhafızlar, dikenli teller, güvenlik kameraları ve sensörler koruyor. Ama Target gibi perakendecilerden çalınan 100 milyon kredi kanı ve müşteri kaydı ne olacak? Önceki bölümlerde gördüğümüz gibi, o veriler doğası gereği güvensiz ve korunmasız veritabanlarında tutuluyor. Bu kadar büyük boyutlardaki veriyi toplayıp korumayı başaramadığınız zaman ne olacağını sanıyorsunuz? Bilgileri elde edip saklama yeteneğimiz, onu ve sonuçlarını anlama yeteneğimize kim bilir kaçıncı turunu bindiriyor. Dünyanın bilgisini depolama­nın kurumsal maliyeti sıfıra doğru yaklaşırken, sosyal maliyet her geçen gün anıyor. Bu da toplumumuz ve dünyamız için gelecekte çok daha büyük sorumluluklar üstlenmemizi gerektiriyor.

Burada tarihten ders çıkarabiliriz, Amerikalı ünlü banka soygun­cusu Willie Sın ton, 1920’lerde başlayıp on yılları aşan hırsızlık kari­yerinde 2 milyon doları aşkın para çaldı. FBI tarafından yakalandık­tan sonra bir muhabir kendisine bir soru yöneltti: “Baksana Willie, neden banka soyuyorsun?” Suttonin bu soruya verdiği cevap, yıllar boyunca sürekli tekrarlandı: “Çünkü para orada.” Sutton’ın iki milyon insandan birer dolar çalma gibi bir seçeneği olsa da, ünlü hırsız çok daha mantıklı ve zaman açısından verimli bir yaklaşım sergileyerek, para birimi toplayıcılarını (bankalar) soymayı seçti. Yani bugünkü suçluların Target, Sony veya diğer büyük veri top­layıcılarının peşine düşmesi biç şaşırtıcı değil. Sonuçta risk düşük, ödül büyük. Günümüz dünyasında para, verinin olduğu yerde.

Gordon Moore ve adını verdiği yasasından esinlenerek, ben de her gün meydana getirdiğimiz veri dağının doğurduğu riskleri tanımlamak için bir vecize düşündüm. Karşınızda Goodman Yasası:

Sis ne kadar veri üretip depolarsanız, organize suçlar da o kadar veri tüketir.

Eninde sonunda, özel bilgileriniz kartellerin, rakiplerin ve hatta yabancı hükümetlerin eline düşecek.⁷ Büyük veri “yeni petrol” ta­nımını alırken, kişisel verilerimiz ise silah derecesinde plütonyum gibi düşünülebilir. Tehlikeli, dayanıklı ve bir kez salındığında geri döndürülemez…

Artık federal hükümet bile bu suça kurban gidebileceğini an­ladı. 2010’daki WikiLeaks fiyaskosuna ve Er Chelsea (Bradley) Manning’in Irakta ordu istihbarat analisti olarak çalıştığı sırada çalmayı başardığı yüz binlerce gizli diplomatik belgeye bakmamız yeterli. Tabii bundan sadece birkaç yıl sonra Edward Snowden ile tanıştık. Kendisi de Ulusal Güvenlik Ajansı sistem yöneticisi yetkisiyle, becerilerini kullanarak Amerika’ya ve müttefiklerine dair milyonlarca çok gizli belgeyi çalarak gazeteciler ile paylaştı. Kimileri böylesine büyük çaptaki bu bilgi hırsızlığı ve paylaşımını “bilgi çağının sivil itaatsizliği” olarak adlandırdı. Ancak Manning ve Snowden -çok kapsamlı soruşturmalara rağmen- federal hükü­metten böylesine devasa boyutlardaki verileri toplayıp çalabildiyse,Target, Çiti bank veya Apple adına çalışmaları halinde neler olurdu? Kurumsal verilerin üstel büyümesi, dijital bir cihazda depolanan ticari sırların, mühendislik tasarımlarının, teknik bilgilerin, müşteri listelerinin, maaş tablolarının, fiyatlandırma stratejilerinin, teda­rikçilerin ve diğer bilgilerin sızabileceği anlamına geliyor. Bugün,büyük veya küçük her şirket, içinde bir Snowden barındırıyor olabilir. Bunun sonuçlarında ise veri güvenliği, gizlilik ve uzun vadede ekonomik uygulanabilirlik konularında ağır zararlar doğabilir.

Facebook, Google veya Apple hesaplarından çalınacak bir e-posta adresi, hackerların yıllar boyunca birikmiş e-posta mesajlaşmalarına, takvim randevularına, anlık mesajlara, fotoğraflara, telefon görüşmelerine, Amazon’daki alışveriş geçmişine, banka ; hesaplarına ve Dropbox veya Google Drive’daki belgelere erişim sağlamasına yol açabilir. Bununla birlikte bugün algılayabildiğimiz veri kayıplarının, yarın mümkün olacaklar ile birlikte ciddi şekilde soluk kalacağını da unutmamak gerekiyor. Günümüz dünyasında, hem insan hem de makineler tarafından oluşturulan bilgileri topla­yıp ebedi olarak saklama yeteneğimiz, beraberinde getirdiği riskleri anlama yeteneğimizin her zaman üzerinde olacak.

Kötü Koruyucular, İyi Kurbanlar Yoksa İkisi Birden mi?

“Gençliğimde yaptıklarımı bugün yapmak kat kat daha kolay. Teknoloji suç doğuruyor. ”

– Frank W. Abagnale

Sony, Target ve T. J. Maxx hacklendiğinde suçlu kimdi? Bu şirketler, çok gelişmiş uluslararası organize suç örgütlerinin ustalıkla altından kalktığı siber saldırıların kurbanı mıydı? Yoksa yetersiz güvenlik önlemleri almayı başaramadıkları ve en temel koruma öğelerini bile kurmaya üşendikleri için kendilerine güvenen yüz milyonlarca insanı mı kurban etmişlerdi? Cevap, bu iki ucun ara­sında yatıyor. Milyonlarca müşterinin verilerini koruma konusunda perakende mal satan şirketlerin yetersiz bir çalışma sergilemesinin dışında, her gün bir yenisi açılan internet girişimleri ve sosyal medya devleri de güven vermiyor. Verilerinizi Facebook, Google Linkedin ve diğer şirketlerle paylaştığınızda, sadece gizlilik konusunda endişelenmekle kalmamalı, suçluların o verileri ele geçirmesi durumunda ortaya çıkacak sonuçları da düşünmelisiniz. Adı geçen isimler için hacklenme artık rutin bir hale büründü, ancak çalınan veri tamamen size ait. Peki bu şirketler ne sıklıkla mı hackleniyor? Emin olun hayal edebileceğinizden bile daha sık.

Örneğin Facebook’un güvenlik birimi, sarsıcı bir şekilde her gün 600.000’den fazla hesabın ele geçirildiğini kabul etti. Anlayabildiniz mi? Yıllık ya da aylık değil. Her gün 600.000 hesap. Yani her 140 milisaniyede bir hesap çalınıyor.⁸ (Bir göz kırpışımızın 300 milisa­niye olduğunu hatırlayalım.) Bu veriler kimlik hırsızlığı, suç amacı güderek farklı bir kişiliğe bürünme, vergi kaçırma, sağlık sigortası dolandırıcılığı ve çok sayıda diğer suçun hammaddesi oluyor. Şimdi Facebook’ta paylaştığınız o inanılmaz boyutlardaki özel verilerinizi ve bunların organize bir suç örgütünün eline düşmesi durumun­da neler olabileceğini düşünün? Annenizin kızlık soyadı mı, var. Doğum yeriniz mi, var. Doğum tarihiniz mi, var. Çocuğunuzun fotoğrafları mı, o da var.

Facebook hesabının ele geçirilmesi ise nihai hedef değil, sadece başlangıç. İnsanların yüzde 75’i, farklı internet sitelerinde aynı parolayı kullandığı ve yüzde 30 kadarı da tüm online hizmetle­rinde aynı giriş bilgisi ve parolayı kullandığı için, Facebook hesap şifreniz bir kez ele geçirildiğinde banka hesabınıza, kredi kartınıza ve e-posta hesaplarınıza erişim de mümkün olabilir.⁹ Ek olarak, artık dijital dünyanın kalanına geçiş için bir pasaport halini alan Facebook hesabınızla üçüncü şahıs şirketlerin sitelerine de giriş ya­pabiliyorsunuz. Siz Facebook hesabınızla alışveriş yaparken, müzik dinlerken ve oyun oynarken büyük bir kolaylık görüyor olsanız da, tek bir giriş verisi elde edildiğinde kullandığınız tüm hizmetler elde edilmiş oluyor.

6,5 milyon hesabı kaybeden Linkedin, 4,6 milyon hesap ile telefon numarasını kaybeden Snapchat ile Google, Twitrer ve Yahoo.da dahil olmak üzere çok sayıda sosyal medya şirketi geçmişte bü­yük hack saldırılarıyla karşılaştı.¹⁰Tüm bu veri saldırılarının yüzde 85 kadarını uluslararası organize suç örgütleri gerçekleştirirken, hedefleri siber yeraltında en yüksek değere sahip olacak mümkün olan en fazla miktarda veriyi çalmak oluyor.¹¹ Kimi zaman ise bu organize suç örgütlerinin, bir bilgisayar sistemine girmek için hack-emesine gerek bile kalmıyor. Sistem zaten kollarını açmış, onları bekliyor vaziyette oluyor. Aynı Serengeti düzlüklerinde yaşayan yırtıcı hayvanların, halihazırda ölü bir hayvanın yanından geçip gitmeyeceği gibi, hackerlar da önlerine çıkan ücretsiz veri ödüllerini boş geçmiyor. 201 İde bulut depolama hizmeti veren dev şirket Dropbox’ın başına da bu geldi.¹² Şirket, ağına ulaşım için gereken bütün hesap şifrelerini yanlışlıkla devre dışı bıraktı. Sonuç olarak, isteyen herhangi biri, Dropbox’a o zamana kadar yüklenen herhangi bir dosyaya erişebiliyordu.

Bu noktada sosyal medya veya internet hesaplarınızın, kimlik hırsızlığı veya başkasının ihmalkârlığı sebebiyle banka hesabınızdan çalınan on binlerce dolar ile sonuçlanacak şekilde ele geçirilmesi durumunda bilginizi riske atanları dava edecek bir hakka sahip olduğunuzu düşünebilirsiniz. Ama tabii ki öyle bir hakkınız yok. “Hizmet kullanım şartlarını okudum ve kabul ediyorum’ tuşuna tıkladığınız zaman o haklarınızdan vazgeçtiniz. Bir tık ile birlikte, o şirketler sistemlerinin ele geçirilmesinde en az zararı gören taraf oldu.

Facebook’un Koşullar bölümünde kocaman harflerle yazdığı madde, konuya iyice açıklık getiriyor:

Facebook’u sürekli olarak sorunsuz biçimde çalışır durumda, virüssüz ve emniyetli tutmaya çalışıyoruz, ancak Facebook u kullanırken karşı karşıya kalabileceğiniz riskler tamamen sizin sorumluluğunuzda olacaktır… Facebook’un her zaman güvenli, güvenilir ve hatasız olacağını garanti etmeyiz…

Bu arada, Google, Yahoo! ve Facebook hesaplarınızda oluş­turduğunuz o kocaman veri havuzlarının peşine düşenler sadece organize suç örgütleri değil, içeride ve dışarıda devletler de onları istiyor, örneğin, Ocak 2010da Google tüm ağlarında oldukça kapsamlı bir saldırıya maruz kaldığını ve saldırının arkasında da Çin hükümetinin olduğunu kamuoyuna duyurdu. Google,Çin hükümetinin Amerika, Asya ve Avrupa’da Çin’deki insan hakları uygulamalarına dair protestolarda bulunan eylemcilerin Gmail hesaplarına erişmek istediğini açıkladı. Saldırıda hedef alınanlar arasında ticari sırlar ile bildiğimiz Google’ı ve ürünlerini çalıştıran, şirketin kaynak kodu da vardı.

Google saldırı aldığını kabul etmiş olsa da, Çin hükümeti ta­rafından nelerin alınabildiği bilgisi şirket sırrı olarak kaldı. An­cak daha sonra Çin Halk Kurtuluş Ordusu’na bağlı hackerların, Google’ın küresel parola yönetim sistemine ait kaynak kodunu ele geçirdiği belirtildi.¹³ Google’ın kaynak kodunun çalınması ise, Çinlilere Google’ın tüm dünyadaki milyonlarca kullanıcısına ait parolalara erişim imkânı sağlamış olabilir. Yine hackerların uzun­ca bir süre Google sistemlerinde saklanmış olması da mümkün. 2010’dan bu yana Google parolanızı hiç değiştirdiniz mi? Değiştirmediyseniz, Çin Halk Kurtuluş Ordusunda bir kopyası bulunuyor olabilir. Internet ve sosyal medya şirketleri, ister verilerimizin kötü koruyucuları, ister sık sık hedef alınan kurbanları, isterse ikisinden de biraz biraz olsun, internet sitelerine ve şirketlere güvenerek açığa çıkardığımız veriler her an suçluların, teröristlerin ve diğerlerinin eline düşebilir.

Veri Simsarları: Verilerin Kötü Koruyucuları

Her birimize dair inanılmaz oranlarda veri depolayan karanlık ve iyi düzenlenmemiş veri simsarlığının en önemli sorunlarından biri, bu şirketlerin de gayet rahat bir şekilde hacklenebilecek olma­sıdır. Acxiom gibi firmalar insanlara dair trilyonlarca veri depoladı­ğında, Willie Sutton’ın da hatırlattığı üzere para orada olduğu için organize suç örgütlerinin hedefi haline geliyor. Veri simsarlarından böyle büyük çapta veri setlerinin çalınması ise çok öncelere dayanıyor. Örneğin 2002 ve 2003’te, Acxiom ve müşterilerinden milyar kullanıcı kaydı çalındı. Dava belgelerine göre, saldırıdan sorumlu olan hacker Scott Levine, Acxiom’dan 8 GB veri indirerek,kişisel verilerin çalınmasını içeren en başarılı siber saldırılardan birine imza attı.¹⁴

Günümüze biraz daha yaklaşacak olursak, veri simsarlığı yapan Experian şirketi, tüm Amerikalıların neredeyse üçte birine tekabül eden miktarda kişisel veriyi, yanlışlıkla Vietnamlı bir suç örgütüne sattı.¹⁵ Bu inanılmaz dolandırıcılık sebebiyle, şu an 200 milyon Amerikalının sosyal güvenlik numarası dünyanın dört bir yanındaki suçluların eline geçti. Çalınan veri setleri, suçluların kredi kartı başvurusu yapması ve kurbanların adına kredi çekmesi için gereken tüm bilgileri içerdiğinden, suçlu dünyasında bu setlere “fiiliz” adı veriliyor. Bu akıl almaz fiyaskonun yaşanma sebebi ise Experian’ın Vietnamlı hacker örgütüne gereken özeni göstermemesiydi. Suç­lular, paravan bir şirket kurarak kendilerini ABD’de bulunan bir özel soruşturma firması olarak göstermiş ve soruşturdukları dava için gereken verileri satın almak istediklerini belirtmişti. Anladınız mı? Experian, 200 milyon kullanıcı veri belgesini bir kimlik hır­sızlığı örgütüne sattı. Satılan veriler daha sonra SuperSet.info ve FindGet.me gibi onlarca hacker internet sitesinde kayıt başına on altı ile yirmi beş sent gibi fiyatlardan satışa çıkarıldı. Ödemeler ise sadece Liberty Reserve ve WebMoney gibi takip edilemez online para birimleri üzerinden kabul ediliyordu. Experian’ın saldırıdan haber alması ise olaydan çok sonra satılan bilgileri hacker sitelerinde gören Gizli Servisin kendilerini aramasıyla oldu.¹⁶

Peki “sözde” saygın bir firma, neden gereken özeni göstermeden onca veriyi satıyordu ki? Cevap her zamanki gibi paradan geçiyor. Veri simsarları, verileri korudukları zaman değil, sattıkları zaman para kazanıyor. Soruşturma sırasında, suçluların sistem kapatıl­madan önce veri setlerine en az 3,1 milyon kez erişim sağladığı da keşfedilenler arasındaydı. İş işten geçeli çok olmuştu.¹⁷

Her birimize dair verilerin bu denli kolay erişilebilirliği düşü­nüldüğünde, organize suç örgütlerinin, belirli ilgi alanına sahip kişiler ile ilgili bilgileri kötücül amaçlarla elde etmek için kendi veri simsarlığı yapan firmalar ile paravan şirketlerini kurduğunu bilmek şaşırtıcı olmayacaktır. Bunun bir örneği, suça yatkın kitlesine hack gücünü göstermek isteyen bir Rus grubunun açtığı Exposed.su isimli internet sitesiyle karşımıza çıktı. Herhangi bir insana dair veri toplayabilecekleri iddiasını güçlendirmek isteyen hackerlar, siyaset, hukuk ve eğlence dünyasından çok sayıda ünlü ismin kredi dosyalarını paylaştı.

Ele geçirdikleri bu verileri almak için ise hırsızlar Equifaxa ait AnnualCreditReport.com sitesinin güvenlik sistemlerini çökerte­rek, hedefledikleri isimlerin bütün kredi raporlarına ulaştı. Saldırıya kurban giden isimler arasında Ashton Kutcher, Kim Kardashian, Jay-Z, Bili Gates, Beyonce, Robert De Niro, Lady Gaga ve Sean Combs gibi dünyaca tanınan ünlüler vardı.¹⁸ Kredi raporlarına erişilen üst düzey siyasiler arasında ise First Lady Michelle Obama, Başkan Yardımcısı Joe Biden, eski ABD Başkanı George Bush, FBI Başkanı Robert Mueller, CLA Başkanı John Brennan, Başsavcı Eric Holder ve Los Angeles Emniyet Müdürü Charlie Beck yer alıyordu.¹⁹

Exposed.su hacker takımı üstte belirtilen ünlülerin tam tekmil kredi raporlarını internette PDF formatında yayımladı. O dosya­larda tüm dünya, kurbanların sosyal güvenlik numaralarını, doğum tarihlerini, kullandıkları tüm adresleri, özel telefon numaralarını, haklarında verilen yasal kararları, American Express Black kredi kartlarında her ay kaç yüz bin dolar para harcadıklarını ve kaç milyon dolar mortgage borçları olduğunu görebiliyordu. Saldırıdan etkilenen isimlerin kredi raporları, site nihayetinde ulaşılamaz hale gelene kadar bir milyon kez görüntülendi.

Bir önceki bölümde belirttiğim üzere, büyük veri simsarları, in­sanları “beyaz, lise mezunu, taşrada yaşayan, ailesine bağlı, avcılık ve balıkçılık ile ilgilenen, evinde maç izleyenler” gibi belirli kümelere ayırarak oldukça detaylı listeler oluşturabiliyordu. Anlaşılan, bazı veri simsarları, önemli ipuçları için en yüksek parayı ödemeye hazır organize suç örgütlerine özel listeler de hazırlıyor. Dolandırıcılar, veri simsarlarının gözünde oldukça kârlı bir kaynak halini alırken, veri sektörü de suçlu müşterileri için seve seve yeni listeler hazırlıyor. Veri simsarları, listelerinin kullanımı ile ilgili hiçbir sorumluluğu kabul etmezken, ahmak , şansının değişebileceğine inanmak is­teyen emekliler” gibi etiketler kullanarak insanları kümeliyor,²⁰ Bu kümelerin suçluların eline düşmesiyle birlikte ise yaşlı vatandaşlar hayatları boyunca biriktirdikleri paraları kaybediyor.

ChoicePoint, Experian ve Equifax gibi veri simsarları için eko­nomik teşvikler, kamuoyunun güvenliği ve emniyetiyle kıyaslandı­ğında çok daha büyük bir öneme sahip oluyor. Nitekim organize suç örgütlerinin artık bilgi yönetimi işine girdiği büyük veri çağında bu durum daha da endişe verici bir hal alıyor. Bu örgütler, büyük veri dünyasında artık etkili ve çalışkan birer güç oldu. Biz veri ürettikçe, onlar da büyük bir keyifle tüketiyor.

Sosyal Medya Belası

Kimlik hırsızlığı söz konusu olduğunda, suçluların istediği tüm bilgileri, doğum tarihinizi, annenizin kızlık soyadını ve çok daha fazlasını Facebook hesabınıza gönüllü bir şekilde girdiğiniz için sos­yal medya inanılmaz kolaylık sağlıyor. Şimdi, “Suçlular o bilgileri göremez ki, gizlilik ayarlarımda kapatmıştım ben,” diyor olabilir­siniz. Keşke sistem o şekilde işliyor olsa. Facebook ta paylaştığınız herhangi bir bilginin sızmasının arkasında çok çeşitli sebepler var. İlk olarak, yukarıda da belirttiğimiz gibi Facebook’un hizmet kul­lanım şartları güncellendiğinde, çoğu zaman uzun uğraşlar sonucu yaptığınız gizlilik ayarları, mümkün olan en açık şekildeki varsayı­lan ayarlara geri döndürülüyor ve bilgilerinizi özellikle reklamcılar olmak üzere herkese açık bir hale getiriyor. İkinci olarak, her gün 600.000 Facebook hesabının çalınması, suçluların belirlediği he­defler arasında sıranın her an size gelebileceğini gösteriyor. Son olarak ise, artık paranın olduğu yerde sosyal veriler olduğu için, suçlular da hedeflenmiş virüsler ve Trojanlar formunda özel yazılım araçları geliştirerek Facebook ve diğer sosyal medya hesaplarınızı ele geçiriyor.

Sosyal ağları kullanan insanların en az yüzde 40’lık bir bölümü herhangi bir kötü amaçlı yazılıma maruz kalırken, en az yüzde ,20lik bir kısmımızın e-posta veya sosyal ağ hesapları üçüncü şahışlar tarafından iznimiz olmaksızın ele geçirildi.²¹ Kötü adamlar arkadaşlardan veya aile üyelerinden gelmiş gibi görünen mesajların içerisine sahte bağlantılar ekleyerek, sosyal mühendislik adı verilen yöntem ile kullanıcıları kandırıyor. Suçlular, sosyal ağlarımızda güvendiğimiz kişilerin dijital kılığına bürünerek güvenimizden fay­dalanıyor ve durmaksızın kullanıcıları bir Trojan, virüs veya solucan bulaştıracak linklere tıklamaya itiyor.

Dahası, organize suç örgütleri son dakika haberlerine tepki gösterme konusunda inanılmaz hızlı davranarak, masum kullanıcıların karşısına virüs dolu bağlantı­lar çıkarıyor. İster Haiti’de bir deprem olsun, ister Justin Bieber tutuklansın, isterse de Miley Cyrus çıplak yakalansın, manşetler insanların görmezden gelemeyeceği kadar ilgi çekici oluyor ve her­kes onlara tıklıyor. Malezya Havayolları’na ait MH370 sefer sayılı uçak Hint Okyanusunun üzerinde kaybolduğunda, saldırganlar da uçağa dair sahte fotoğrafları ve “MH370 bulundu!²²CNN’in yayınladığı sarsıcı videoyu izleyin!” gibi başlıklarla çok sayıda söz­de videoyu bir anda internete yaymaya başladı. Bu iletiler sosyal medya sitelerinde gizemin çözülmesini arayan meraklı kullanıcı­lar tarafından binlerce kez paylaşılırken, hiçbiri cihazlarına virüs bulaştığından haberdar değildi. İnsanın başına gelen, gerçekten meraktan gelmişti.

Sosyal medya virüsleri arasında en ünlüsü ise, tüm dünyada­ki Facebook kullanıcılarını hedef alan, dev sosyal ağın taklitçisi Koobface’ti.²³ Kötücül sosyal medya solucanı, kullanıcıları arka­daşlarından gelmiş gibi görünen ve “Oha! internette çıplak videon var!” tarzı başlıklara sahip karşı koyması imkânsız bağlantılar ile kandırıyordu. Kim tıklamaz ki buna? Ne yazık ki tek bir tık ile virüs yağmuru başlıyordu. Bir kez bulaştığında, Koobface solucanı, Facebook, Skype, Yahoo! Messenger ve Gmail gibi bir bilgisayarda bulabildiği tüm giriş bilgilerini çalıyordu. Solucan aynı zamanda bilgisayarınızı hizmet aksatma saldırılarına katılmaya zorluyor ve güvenilmez internet sitelerine bağlanmanıza sebep olacak şekilde web arama sonuçlarını düzenleyebiliyordu. Kötü amaçlı yazılım,St. Petersburg, Rusya’dan bir hacker grubu tarafından tasarlanıp geliştirilmişti.²⁴ Tüm dünyaya yayılan saldırıdan sorumlu suçlular birer birer belirlenip isimleri duyurulmasına rağmen, Rus yetkililer bu suçları dolayısıyla vatandaşlarım yargılamayı reddetmişti.

Elbette günümüzde sosyal medya saldırı araçlarını kullanmak da gelişen tüm teknolojilerle birlikte oldukça kolay bir hal aldı. Bilgi çalmak için artık usta bir hacker olmanıza gerek yok. Örneğin, herhangi birinin rahatlıkla indirip kurabileceği Firefox eklentisi Firesheep, aynı ağdan Facebooka bağlanan kişilerin hesaplarını ele geçirip çalabiliyor. Bu eklenti ile, örneğin bir Starbucks’ta onlarca diğer insanla birlikte aynı ağa bağlandığınızda, o insanlardan biri Firesheep kullanıyorsa, saldırgan eklentiyi kullanarak sizin hesap bilgilerinizle Facebook’a giriş yapabiliyor.²⁵ Bu kadar kolay. Bir kez giriş yaptığında ise hırsız tüm kişisel bilgilerinize erişebiliyor, hesap ayarlarınızı değiştirebiliyor ve duvarınıza istediğini yazıp, arkadaşlarınıza istediği mesajı gönderebiliyor. Bu şaka gibi kolay tekniğe kimi zaman oturum hırsızlığı denirken, yeraltı dünyasında bu “sidejacking” olarak da adlandırılıyor.

Saldırganlar, bunların dışında üçüncü şahıs uygulamalar ve onli­ne oyunlar üzerinden sosyal medya sitelerindeki kullanıcıları hedef alırken, banka hesaplarınıza yönelik düzenlenen saldırılar ile kredi­niz mahvolabiliyor. Maryland, Baltimore da yaşayan Lisa Lockvvood da, on yedi yaşındaki oğlunun Facebook’taki bir oyun uygulamasına çok fazla bilgi vermesiyle bu dersi zor yoldan öğrendi. Oyun, genç çocuğa sosyal güvenlik numarasını da talep eden bir anket ile ekstra oyun puanı vaat ediyordu. Doğal olarak, “seviye yükselmek” için kendisine sunulan bu inanılmaz fırsatı kabul eden çocuk tüm an­keti doldurdu. Sosyal güvenlik numarasının, birkaç gün içerisinde yedi farklı araba kiralama başvurusunda kullanacağından ise hiç haberi yoktu. Yaşadıkları yerdeki bir Subaru-Volkswagen bayisinin annesini arayıp, oğlunun yeni bir araba için kredi başvurusunda bulunduğunu söylemesine kadar olay sürdü.²⁶

Marc Goodman – Geleceğin Suçları,Timaş,syf;125-137

Dipnotlar:

2- Lauren Indvik, “92% of U.S. Toddlers Have Online Presence”, Mashable, 7 Ekim 2010.
3- Allegra Tepper, “How Much Data Is Created Every Minute?” Mashable, 22 Haziran 2012; Kristin Burnham, “Facebook’s WhatsApp Buy: 10 Staggering Stats”, Informa- tionWeek, 21 Şubat 2014.
4- Verlyn Klinkenborg, “Trying to Measure the Amount of Information That Humans Create”, New York Times, 12 Kasım 2003.
5- McKinsey Global Institute, Big Data; The Next Frontier Jor Innovation, Competition, and Productivity, Mayıs 2011; Kevin Kelly’nin “Web 2.0” konferans konuşması, 2011, http://blip.tv/web2expo/web-2-0-expo-sf-2011 -kevin-kelly-4980011.

……..