Üç Küçük Domuzcuk ve Siber Güvenlik

Hikaye anlatıcılarının infosec uzmanı olduklarına dair daha fazla doğrulama.

İnsanlar, eski günlerde siber güvenliğe şu an olduğundan çok daha fazla önem gösteriyordu. Günümüze kadar gelen halk masallarının çoğunun, çocukları siber tehditler dünyasına karşı hazırlamak için uydurulduğuna eminim. Mesela, ünlü İngiliz halk masalı Üç Küçük Domuzcuk’u ele alalım. Basit görünen olay örgüsü, yalnızca kaba kuvvet saldırılarının ardındaki fikri değil; aynı zamanda bal küpleri ve hatta kripto kapsayıcılar gibi karmaşık kavramları da açıklıyor!

Masalın birçok versiyonu var ve dilden dile biraz değişiyor, ancak bugün biz James Halliwell-Phillipps’in 19. yüzyılda yazdığı metne odaklanacağız. Tabi, olay örgüsü bundan daha da eskilere dayanıyor.

Kaba kuvvet

Masal, üç domuzun siber tehditlere karşı korunmak için bir donanım çözümü seçmesiyle başlar. Bu, bir çeşit İnternet ağ geçidi gibi görünmektedir. İlk domuz, samandan yapılmış bir cihaz seçer (ucuz ve güvenilmez), ikincisi ahşap seçer (daha güvenilir, ancak yine de pek iyi değil) ve üçüncüsü taşlardan yapılmış gerçek bir güvenlik duvarı oluşturur.

Masaldaki kurt oldukça düşük vasıflı bir hacker olarak tasvir edilmiştir. Kurdun küçük domuzcukların bilgi altyapısına yaklaşımı, sahip olduğu tek araçla saldırmaktır: üfleme. Kuşkusuz fark etmişsinizdir, bu da kaba kuvvet hacklemesine benzer. Siber güvenlikte, kaba kuvvet genellikle parola kırarken uygulanır.

Masal; hedef, siber güvenliğe fazla dikkat etmediğinde bu tekniğin gerçekten etkili olabileceğini göstermektedir: İlk iki domuz kulübesi kaba kuvvet saldırısına dayanamaz ve saldırgan içeri girer. Ama üçüncüsünde, kurt birtakım sorunlarla karşılaşır. Başka bir deyişle, iki yüzyıl önceki hikaye anlatıcıları bile, varsayılan şifreleri olan ucuz yönlendiriciler kullanmanın bir felakete sebep olduğunu biliyorlardı.

Güvenliği ihlal edilmiş iletişim kanalı

Ne yazık ki, masalın tüm versiyonları ikinci geleneksel saldırıyı içermez. Ama işte karşınızda: İlk saldırı başarısız olduktan sonra, kurt üçüncü domuzcuğa faydalı bağlantılar yollamaya başlar. Özellikle, turp tarlalarının, elma ağaçlarının ve bir de gitmek için en iyi zamanı önerdiği bir panayırın adreslerini gönderir.

Bağlantıların bir kimlik avı biçimi olduğu varsayılabilir, ancak eski İngiliz hikaye anlatıcıları aslında daha ince düşünmüşlerdi. Tarif ettikleri şey tamamen farklı bir saldırı tipiydi. Bu durumda “bağlantılar” sahte değil, gerçektir. Ve bu kurt için oldukça iyi bir seçenek: Kurt, küçük domuzun nereye gittiğini daha az umursayamazdı. Çünkü asıl mesele, iletişim kanalını kontrol etmesiydi; fakat sadece belirli saatlerde, 7/24 değil.

Küçük domuz, tüylü hackerı yararlı siteleri ziyaret ederek kandırır, ancak kurdun ondan yapmasını istediği zamanlarda değil. Tek gerçek tehlike, panayırdan sonra küçük domuz geri dönerken kurt karşısına çıktığında baş gösterir. Domuzcuk, bir yolunu bulur: Panayırdan aldığı yayığın üstüne tırmanıp içine girer ve tepeden aşağı yuvarlanır. Bu da kurdu korkutup kaçırır. Modern terimlerle anlatmak gerekirse; küçük domuz bir kripto kapsayıcıdaki siteden veri indirir ve böylece güvenliği ihlal edilmiş iletişim kanalını kullanmasına rağmen güvenli kalmayı başarır.

Bal küpü

Küçük domuzun altyapısına nüfuz etmeyi amaçladığı son ve çaresiz girişiminde, kurt cihazda bir güvenlik açığı arar. Bulabileceği tek delik bacadır, bu yüzden aşağıya inip şömineden içeri girmeye çalışır. Kurt şans eseri mi bu açığa rastlamıştır? Belli ki hayır; küçük domuz uzun zaman önce bunu fark etmişti. Dahası, tuzağı önceden kurduktan sonra ateşi yakar ve üzerine bir kazan koyar.

Siber güvenlikte bu kazana bal küpü denir. Kasıtlı olarak ortaya çıkan güvenlik açıklarının temel amacı, siber suçluların faaliyetlerini izlemektir. Ancak suçlular yeterince dikkatli değilse, bal küpü aynı zamanda onların maskesini düşürebilir ve kim olduklarını anlamaya yardımcı olabilir.

Açık konuşmak gerekirse, bu bilgilerin bir kısmı 19. yüzyıldaki çocuklar için pek pratik değildi. Ancak asıl hikaye anlatıcılarının aklında farklı bir amaç vardı: toplumun kültürel koduna faydalı uygulamalar sunmak. Böylece yüzyıllar sonra, bilgi teknolojisinin ortaya çıkmasıyla, insanlar tehdit manzarasının içgüdüsel olarak farkına varabileceklerdi. Çocuklarına masalları yeniden anlatanlar daha güvenli bir dünya kurmaya yardımcı oluyorlar.

İpuçları