Hackers filmine modern bir bakış

Filmin 25. yıldönümünü kutlarken Hackers’ı bir de günümüzdeki bilgi güvenliği standartları açısından inceliyoruz.

Birkaç yaygın yanlış kanı, siber güvenlik kültürünün kapsamlı bir şekilde benimsenmesini engelliyor. Bir şehir efsanesi — hackerlar gerçekten zekidir ve bu yüzden onlarla mücadele etmenin anlamı yoktur — tam olarak çeyrek asır önce yayınlanan Hackers filmi tarafından özellikle popüler hale geldi. Fiilm endüstrisi tarafından bugün bile kullanılan bir dizi klişenin ortaya çıkmasına bu film neden oldu.

Gerçekten de, filmin kötü kahramanları ve onların düşmanı Ellingson Mineral’in bilgi güvenliği uzmanı Plague, herhangi bir bilgi sistemindeki güvenlik açıklarını bulabilen ve bunlardan yararlanabilen son derece zeki tipler olarak tasvir ediliyor.

Örneğin, filmin ana karakteri bir okulun veritabanına da, bir kablolu yayın şirketinin ağına da aynı kolaylıkla girebiliyor. Phantom Phreak tek bir kuruş ödemeden ankesörlü telefonlardan Venezuela’yı arayabiliyor. Grubun en genç ve en az deneyimli hacker’ı olan Joey bile, Ellingson Mineral’in süper bilgisayarı Gibson’a erişim sağlamayı başarabiliyor. Her şey oldukça etkileyici görünüyor (1995 için), ancak ekibin başarılarına biraz daha yakından bakalım.

Bir TV kanalını hacklemek

Başrol oyuncusu Dade (diğer adıyla Crash Override), sıkıcı bir tv şovunu daha eğlenceli bir şeyle değiştirmek için bir TV kanalının ağına giriyor. Bunu gece bekçisini arayarak, bilgisayarına erişmesi gereken bir muhasebe çalışanını taklit edip bekçiden çevirmeli modemdeki telefon numarasını okumasını isteyerek yapıyor.

Bir yandan bu, basit bir sosyal mühendislik numarasıdır. Öte yandan, şirket açısından akıl almaz bir durumdur — ve bekçinin talihsizliğine değinmiyorum bile. Muhasebecinin bilgisayarı neden yayının kontrol edildiği ağa bağlı? Neden gelecek bir aramayı bekleyen bir modemi var? Telefon numarası neden modemde yazıyor?

Bu sızma operasyonu devam ederken, şirketin ağında başka bir hacker olduğu ortaya çıkıyor: Kate, diğer adıyla Acid Burn. Kate oraya nasıl girdi? Muhtemelen şirketin, açıkları olan modemlerin kullanıldığı başka bilgisayarları da var.

Gibson’u Hacklemek

Acemi hacker Joey, süper bilgisayar Gibson’a giriyor. Halkla ilişkiler (PR) müdürünün, “tanrı” şeklindeki süper güvenli şifresini kullanarak evdeki bir modemden süper bilgisayara giriş yapıyor. Filmdeki her karakterin (Halkla İlişkiler müdürü olduğu belirtilen kişi ve şirketin güvenliğinden sorumlu olan Plague de dahil) bu filmin evrenindeki en yaygın şifrelerin aşk, sır, seks ve tanrı olduğunu bilmesi de cabası. Dahası, Halkla İlişkiler müdürü bazı açıklanamayan nedenlerden dolayı bilgisayarda süper kullanıcı haklarına sahip. Yani aslında, filmdeki hackerların sözde “büyük” başarısı, yaratıcılıktan değil kurumsal zaaflardan kaynaklanıyor.

Plague’nin entrikaları

Filmin konusu, Ellingson Mineral’de çalışan hacker Plague’in kurnaz planı etrafında şekilleniyor. Şirketin her işleminden birkaç sent aşırmak için küçük bir kötü amaçlı yazılım yazan Plague, paraları Bahamalar’daki gizli bir hesaba aktarıyor. Bu, 12 yıl önce Superman III filminde uygulanana benzer bir plan olmasaydı, orijinal sayılabilecek bir olay örgüsü olduğu söyleneiblirdi. Filmde, dağıtımı ve kopyalanması hakkında hiçbir şey belirtilmese de, herkes nedense kötü amaçlı yazılımı bir solucan olarak tanımlıyor.

Bu bilgilere dayanarak Plague’yi gerçekten bir siber suç dehası olarak görebilir miyiz? Maalesef hayır. Kendisi dışında kimsenin konuya dair hiçbir fikrinin olmadığı bir şirkette bilgi güvenliğini yönetiyor. Halkla ilişkiler biriminin müdürüyle iş birliği halinde ve ona sınırsız yetki de verebiliyor? Bu içeriden gerçekleştirilen bir saldırıdır; sorun aslında şirketin siber güvenliğinde değil, işe alım politikalarında yatıyor.

Da Vinci virüsü

Joey yanlışlıkla “solucan”ın bir parçasını indirdiğinde Plague, Da Vinci adındaki bir virüsü harekete geçiriyor (yine, bunun gerçekten bir virüs mü olduğu yoksa filmin yazarlarının, 1995’te çoğu sinemasever için yeni olan bir terimin kulağa hoş geldiği için mi kullandığı net değil). Kötü amaçlı yazılım, hedefteki şirketin petrol tankerlerinin kontrolünü uzaktan ele geçirerek balast tanklarına su pompalayıp onları alabora edecek potansiyele de sahip. Aslında, “virüs” dikkatleri başka yöne çekmek için kullanılan bir hile.

Plague bunu basitçe (a) dikkati para toplayan “solucandan” uzaklaştırmak için, (b) Joey ve arkadaşlarını şirketi hacklemek ve nihayetinde onları “solucan” konusunda suçlamak için ve (c) onları Gizli Servis’e teslim edip Joey’nin bilgisayarına girmeleri ve hangi bilgilerin sızdırıldığını öğrenmeleri için kullanıyor — kötü amaçlı yazılımın daha fazla para aşırmak için zaman kazandığından bahsetmeye gerek yok.

Aslında, böyle bir “virüs” o zaman için fazlasıyla fütüristik. Öncelikle, 1995 yılında denizde seyreden bir geminin sürekli olarak operatör şirketin navigasyon sistemlerine bağlı olması fikri pek mantıklı değil. Birincisi, ne bugün ne de o zamanlar seyrüsefer için internete ihtiyaç vardı; GPS sistemi halihazırda tam kapasite çalışıyordu ve siviller tarafından erişilebilir durumdaydı.

İkincisi, 1990’ların ortalarında bir geminin sürekli olarak çevrimiçi olmasının pek gerçekçi bir yanı yok. Uydu ile veri aktarımı o zamanlar yoktu; aktarım için bir telefon hattı üzerinden sürekli — ve oldukça pahalı — bir modem bağlantısı yapılması gerekiyordu.

Ayrıca, tankerlerin (kritik altyapı olarak sınıflandırılabilecek) balast suyu enjeksiyon kontrolü için yedek manuel sistemleri bulunur. Süreç normalde tamamen otomatizedir. Bu nedenle tankerdeki bir bilgisayarın, kötü amaçlı yazılımlar olmasa bile başarısız olma olasılığı bulunuyordu. Kısacası Da Vinci virüsünün işe yaraması için, birisinin gemi tasarımı aşaması da dahil olmak üzere ticari gemiyi sabote etmek için uzun ve zahmetli bir zemin oluşturması gerekiyordu.

Hesaplaşma hazırlığı

Kahramanlar, alçak Da Vinci’yi durdurmaya ve çalınan paranın nereye transfer edildiğini bulmak için “solucanın” kodunun tamamını ele geçirmeye karar veriyor. Hazırlıkların fazlasıyla kapsamlı olduğunu söylemek mümkün. Ama tam da burada film tuhaflaşmaya başlıyor.

Hacker Cereal Killer, bir telefon şirketi çalışanını taklit ediyor, ABD Gizli Servisi binasına sızıyor ve oraya bir yazılım hatası (bug) yerleştiriyor (Profesyonel olması gereken çalışanların hiçbirinin, bilgisayardan uzak durma cezası olan, salaş pantolonlu bir gençten neden şüphelenmediği de bir muamma).

Dade ve Kate, Ellingson Mineral’in çöplerini karıştırıyor ve bazı kağıtları çalıyor. Bu kısmın inandırıcı olduğu söylenebilir — bugün bile her şirket çöplerinin nasıl ve nereye atıldığını takip etmiyor. Ancak çöpe atılan belgeleri didikleyerek kurumsal sistemlere sızmak için kullanılabilecek 50’ye yakın şifreyi bulmaları mümkün oluyor. Yani buna sızıntıdan çok patlama demek gerek.

Gibson’un son savaşı

Ana karakterler, hacker topluluğundan yardım istiyor ve birlikte süper bilgisayarı virüs bombardımanına tutuyorlar. Bu noktada, film artık gerçeklikle tüm bağını kaybediyor. Ne yazık ki, Ellingson Mineral’in bilgi sistemlerinin mimarisi hakkında hiçbir şey bilmiyoruz ve bu nedenle bir grup saldırganın Gibson’a aynı anda nasıl bağlanacağını, çeşitli virüsleri nasıl yükleyebileceğini ve “solucanı” nasıl indirebileceğini tam olarak çözemiyoruz.

İnternet üzerinden mi hareket ettikleri veya bir şekilde doğrudan şirketin dahili modemlerine mi bağlı oldukları bile belli değil. Her durumda, Plague bir şekilde saldırıların kaynağını tespit ediyor.

Bu noktada merak uyandıran “Çoklu GPI ve FSI virüsleri” ifadesi duyuluyor. GPI, herhangi bir yürütülebilir dosyaya gömülebilen virüsler için uzun süredir kullanılan eski bir isim olan Genel Amaçlı Virüsler’i ifade eder. FSI’lar veya Dosyaya Özgü Virüsler, belirli bir formattaki dosyaları hedefleyen virüslerdir. Başka bir deyişle bu ifade aslında, güvenlik ekibinin birçok virüsle karşılacağı anlamına gelir.

Uluslararası aramalar

Phantom Phreak olarak bilinen hacker, film boyunca ankesörlü telefonları ücretsiz kullanıyor. 2020 için en gerçek dışı görünen bu yöntem, aslında en inanılabilir olanı. O günlerde phreaking — telefon sistemlerine girmek — hacker kültürünün temel bir parçasıydı, Phantom Phreak adı da buradan geliyor.

Ücretsiz görüşmeler yapmak için Red Box olarak bilinen ve telefona atılan jetonlarının sesini simüle eden bir cihaz kullanıyor. Bu gerçekten işe yarıyordu ve nasıl yapılacağına dair yönergeler, internet öncesi çağda bile hacker toplulukları arasında yaygın olarak paylaşıldı. Jetonun düştüğünü sanan ankesörlü telefonlar, dolandırıcıya kaç dakika verileceğini faturalama sistemine iletiyordu.

1995 yılına gelindiğinde, Red Box çoktan yolun sonuna gelmişti. Güvenlik açığının farkına varan telefon şirketleri, frekans filtreleri, dijital kanallar üzerinden çoğaltma ve eklenen jeton sayısını fiziksel olarak doğrulama yolları gibi koruyucu teknolojileri uygulamakla meşguldü. Ancak filmin vizyona girdiği sırada Red Box hala kullanılıyordu.

Ekipman

Hackerlar tarafından kullanılan ekipman özel bir ilgi alanı sayılabilir. Zengin bir ailesi olan Kate, “Pentium’dan üç kat daha hızlı” dediği P6 dizüstü bilgisayar kullanıyor. Bu, Intel’in altıncı nesil x86 mikroişlemcilerinden ilki olan Pentium Pro’ya yapılan bir göndermedir. O günlerde bu gerçekten de dünyanın en güçlü çipiydi ve filmle aynı yılda, 1995’te piyasaya sürüldü. Ve Kate’nin modemi 28.800 kbps hızında çalışabiliyordu — döneminin en iyi ekipmanlardından biri daha.

Bununla birlikte, daha yakından incelendiğinde, telefon kabinleri aracılığıyla bağlanırken kahramanların, akustik sinyalleri dijitale dönüştüren, akustik bağlama koluna benzeyen bir şey kullandıklarını ortaya çıkıyor. Bu, yalnızca 1.200 kbps hızı destekleyen son derece güvenilmez bir mekanizmaydı ve 1995’te modası maalesef çoktan geçmişti. Yine de etkileyici görünüyor.

Hayal dünyası

Filmdeki diğer bazı anlar da hayal gücünün sınırlarını zorluyor. Hackerlar yaptıkları şeylerle yetinmeyip bir de bir devlet görevlisinin peşine düşüyor ve bu sırada:

  • Kredi kartını bloke ediyorlar,
  • Siciline sahte trafik cezaları ekliyorlar,
  • Gizli Servis’in veri tabanına öldüğü bilgisini giriyorlar.

Tüm bunları nasıl başardıkları belli değil ancak bir kez daha bu, hackerların yaratıcılığından çok bankanın, polisin ve Gizli Servis’in beceriksizliğinin kanıtı sayılabilir. Hackerların numaraları arasında tek ikna edici olanı, bir arkadaşlık sitesinde edepsiz bir reklam yayınlamaları. Ancak bunun için hackerlık yeteneği gerekli değil, sadece garip bir mizah anlayışı yeterli.

Ve tabii ki film, antikahramanların şehrin trafik ışıklarını keserek kaosa neden olmalarıyla bitiyor. Tam bir klasik.

Özetlemek gerekirse

Beyaz perdedeki hackerlar bile süper insanlar değildir; sadece başkalarının hatalarından ve aptallıklarından faydalanırlar. Ve gerçek hayattaki çoğu saldırganın teknik uzmanlık seviyesi çok daha düşüktür, hiç de kötülük dehası sayılmazlar. Kaspersky Automated Security Awareness eğitim platformumuz, bunu ve diğer birçok yanlış anlamayı gidermeye yardımcı olarak çalışanlara bariz hatalardan kaçınmayı öğretiyor.

İpuçları