Siber suç dünyasının tanınmış üyesi Guccifer’dan ibretlik itiraflar

ABD’li hükümet yetkilileri, politikacılar ve diğer üst düzey bireylere ait yaklaşık 100 e-posta ve sosyal medya hesabını ele geçirdiğini itiraf eden Guccifer rumuzlu Romanyalı hacker Marcel Lehel Lazar’ın bu eylemi aslında bilgisayar güvenliği açısından en zayıf halkanın insanlar olduğunun en son kanıtı.

44 yaşındaki Lazar aslında teknik olarak bir hacker bile değil, o bir sosyal mühendis. Lazar, bir zamanlar kendisine dava açan bir Romanyalının ifade ettiği gibi “obsesif kompülsif bir zihne sahip”, zeki ve ısrarcı bir kişi. Kendi itiraflarından onun aslında hiçbir programlama yeteneğine sahip olmadığı biliniyor. Lazar bugüne dek ne herhangi bir güvenlik açığı bulmuş ne de exploit yazmış. Başarıyla yaptığı tek şey araştırmak, gerekli bilgileri internette bulmak ve bağlantılar kurmak. Yine de Lazar, güvenlikli bir bilgisayara sızdığı ve nitelikli kimlik hırsızlığı yaptığı için suçlu bulundu.

Düşük teknolojili yüksek profil

ABD Adalet Bakanlığı tarafından yapılan açıklamaya göre Lazar, en iyi ihtimalle Ekim 2012’den Ocak 2014’e kadar 100 civarı Amerikalının e-postaları ve sosyal medya hesaplarına izinsiz erişim
sağladığını, onların kişisel bilgilerini ve yazışmalarını elde etmeyi amaçladığını itiraf etti.

Bakanlıktan yapılan duyuruya göre Lazar’ın kurbanları arasında iki eski ABD başkanının birinci dereceden akrabaları, eski bir Kabine üyesi, ABD Genelkurmay Başkanlığı’nın eski bir üyesi ve eski bir ABD Başkanlık danışmanı da yer alıyor.

İlgili iddianamede kurbanların adları belirtilmese de Lazar’ın eski ABD Dışişleri Bakanı Colin Powell’a ait kişisel e-posta hesaplarını çalarak ele geçirdiği belgeleri, resimleri ve bilgileri yayınladığı biliniyor. Lazar’ın benzer bir eylemi gerçekleştirdiği diğer önemli kişiler arasında, aralarında 41. ABD Başkanı George H. W. Bush’un kızı ve 43. ABD Başkanı George W. Bush’un kız kardeşi Dorothy Bush’un da bulunduğu Bush ailesinin çeşitli üyeleri ve dostları da mevcut.

Lazar, 2015’te PandoDaily adlı web sitesine verdiği röportajda, Powell’ın büyükannesinin adını temel alan parolayı tahmin ederek eski Dışişleri Bakanı’nın AOL e-posta hesabına eriştiğini ifade etti. Lazar, Powell ile Corina Cretu adlı Romanyalı bir politikacı arasındaki yazışmaları bulduğunu, bunun ardından Cretu’yu da hedef aldığını söyledi.

Lazar, Cretu’nun güvenlik sorusunun (büyüdüğü sokağın adı) cevabını tahmin ederek onun Yahoo e-posta hesabını da ele geçirdi. Lazar bunun için ilk önce Cretu’nun herkese açık Facebook sayfasından gittiği ilkokulun adını buldu. Daha sonra da doğru cevabı bulana kadar Cretu’nun ilkokulunun yakınlarındaki sokak isimlerini tek tek denedi. Bu noktada elbette onun evinin yakınlarındaki bir okula gittiğini varsayıyordu ki kesinlikle haklıydı.

Bütün bu süreç, aslında zararsızmış gibi görünen bir okulun adı gibi bir bilginin suçlulara nasıl yardımcı olabileceğini, insanların internette kişisel bilgiler paylaşırken dikkatli olmaları gerektiğini göstermesi açısından son derece ilginç.

Sosyal mühendislik saldırıları

Elbette ünlüler, politikacılar ve halka mal olmuş bazı kişiler kendi kişisel yaşamlarına dair internette yer alan bütün bilgileri ortadan kaldıramıyor. Bu bilgileri onlar açığa çıkarmasa bile onların yerine muhtemelen bir başkası bunu Wikipedia’da, haber sitelerinde, dedikodu blog’larında, biyografilerde ve benzeri yerlerde yapıyor. O halde özellikle yüksek profilli politikacıların kendilerini ve çevrimiçi hesaplarını sosyal mühendislik saldırılarından nasıl koruyabileceklerine dair eğitim almaları gerçekten iyi bir fikir olabilir.

Bu tür saldırılar çok da yeni değil. Geçmişte hacker’ların sadece sosyal mühendislik teknikleri kullanarak kişisel e-posta hesaplarını ele geçirdikleri politikacılar arasında eski Alaska Valisi Sarah Palin ve CIA Müdürü John Brennan gibi isimler de yer alıyor. Benzer yöntemleri sosyal medya hesapları hack’lenen birçok Türk ünlü de var.

Bireyler, onları hedef haline getirebilecek bir şöhret seviyesine ulaşınca şöyle bir geriye dönmeli ve internetteki hesaplarını incelemeli. Bu web siteleri gerçekten çok fazla kişisel bilgiye gereksinim duyuyor mu ya da bu bilgilerden bazıları kaldırılabilir mi? Kullandığınız parolalar yeterince güçlü mü ve her hesabın parolası farklı mı? İki aşamalı kimlik doğrulamayı destekleyen sitelerde bu özelliği açtınız mı? Ne türden hesap kurtarma veya parola sıfırlama seçenekleri var? Başkalarının bilme ihtimali olan bilgilerle parolayı sıfırlamak mümkün mü? Bu hesaplar için gereken güvenlik sorularına verilen cevaplar kolayca tahmin edilebilir mi? Bu hesaplara aslında artık gerek bile var mı? Eğer gereksizlerse hesabı silme seçeneği var mı?

Bunlar nihayetinde sadece zengin ve ünlü kişilerin değil, herkesin sorması gereken oldukça önemli sorular. Birçok kişi bunlarla uğraşmanın zaman kaybı olduğunu düşünebilir ama potansiyel bir veri ihlali ve arkadaşlarınız, akrabalarınız veya eski sevgililerinizle olan özel sohbetlerinizin ele geçirilmesi gibi bir durumda bir zamanlar üşendiğinizden çok daha uzun ve zorlu bir süreçten geçeceksiniz.

Şartlı salıverildi ama…

Lazar, Romanya’da kayda değer kişilerin e-posta hesaplarını hack’lediği için 2014’te Romanya’da 7 yıllık hapis cezasına çarptırılmış ve hapse girmişti. Geçen yılın başlarında ise ABD hükümeti tarafından açılan davada yargılanması için ABD’de gönderildi. Bir yıl önce görülen davada Lazar, ABD’de de 52 ay hapis cezasına çarptırıldı. Romanya hükümeti, 7 yıllık cezasını Romanya’da tamamlamasının ardından yeniden ABD’de gönderilmek üzere Lazar’ı geri talep etti.

Lazar, Haziran 2014’te Romanya İstihbarat Servisi’nin eski müdürü ve hali hazırda Romanya’nın ABD Büyükelçisi görevini yürüten George Maior’un kişisel e-posta hesabını hack’lediği için dört yıllık hapis cezasına çarptırılmıştı. Fakat o tarihte Lazar, Romanya’nın diğer önemli isimlerinin e-posta hesaplarını hack’lediği için 2012’de çarptırıldığı üç yıllık hapis cezasının askıya alınmasının ardından altı yıllık bir şartlı salıvermeyle denetim altında tutuluyordu. Şartlı salıverme koşullarını ihlal eden Lazar’ın daha önceki üç yıllık hapis cezası yeniden etkinleştirildi ve toplam yedi yıllık bir hapis cezasına çarptırıldı. ABD mahkemelerinin verdiği 52 aylık ceza ise bu süreye eklenecek.