Bir Porno Sitesinden Aldığı Fotoğraflarla Profil Oluşturup Devlete Sızmayı Başaran Adamın Hikâyesi
Kurgusal olmasına rağmen herkesin onu gerçek bir birey sanmasıyla neredeyse tüm dünyayı karıştıran biriyle tanıştıracağım sizi bugün: Robin Sage.
Çayınızı kahvenizi alın, gelin. Çok ilginç bir siber güvenlik hikâyesi bu.
2009 yılına gidelim. Robin Sage böyle biriydi. En azından herkes onun bu görseldeki kişi olduğunu düşünüyordu.
Facebook, Twitter, Linkedin gibi mecralarda bu isimde ve bu fotoğrafı, aynı biyografik bilgileri taşıyan bir hesap vardı.
Biyografisini şöyle özetleyebiliriz:
25 yaşında, Massachusetts Teknoloji Enstitüsü'nde eğitimini aldıktan sonra ABD Deniz Kuvvetleri'ne bağlı Donanma Ağ Muharebe Komutanlığı'nda 'siber tehditler uzmanı' vasfıyla 10 yıllık tecrübesiyle çalışan biri.
'25 yaşında 10 yıllık tecrübe mi?' diye kimse sormamıştı anlaşılan zira Google bile deneyiminden etkilenerek ondan danışmanlık hizmeti almayı teklif etmişti.
Sosyal mecralarda kendi 'hayali' mevkisindeki yüzlerce kişiyle arkadaşlık kurdu Robin Sage. Tabii bu kişilerle olan konuşmalarında bazı bilgi sızıntıları da elde etti.
Profesyonel temaslar bir yana, birçok erkek ondan etkilenerek onunla buluşmak da istedi. Bir porno sitesinden alınan fotoğraf ve etkileyici referanslar onu bir ay gibi çok kısa sürede güvenilir ve aranan bir karakter haline getirmişti.
İşin ilginç yanı, profili ortaya çıkalı birkaç gün olmasına rağmen bazı kişiler onun var olmadığını kolayca kavradı.
Nedendir bilinmez, bu ifşa onun güvenilir duruşunu pek etkilemedi.
Kurduğu bazen ufak bazen büyük çaplı dostluklarla Amerika'nın en gizli istihbarat birimlerinden kişilerden istediği bilgileri kolayca edindi. Üst seviye gizliliğe sahip belgeler de gizlenmiş askeri üsler de Sage'ye dostluk çerçevesinde anlatılmaya başlanmıştı.
Bazı üst düzey isimlerden gizli belgeleri teyit etmesi, incelemesi, bazı konferanslarda konuşma yapması bile talep edildi.
Tüm bu aktarılan bilgiler, tüm bu istekler kurumların içerisindeki katı kuralların ihlaliydi.
Aralık 2009 - Ocak 2010 arasında, kısacık bir sürede gerçekleşen bu olay Thomas Ryan adlı bir yazılım uzmanının işiydi.
O, bilgiye sahip olan bilgisayarları hackleyerek yahut farklı yöntemlerle dosyaları bularak erişmektense o bilginin sahibine erişmeyi düşündü, çünkü bilgi en net şekilde sahibinden öğrenilebilirdi. Maalesef, haklı çıktı.
Robin Sage için tasarladığı profil herkesi korumasız bırakıyordu. İyi bir okuldan mezun olmuş, bir devlet kurumunda çalışıyor ve hiç de 'tehlikeli' görünmüyordu.
Bazı ortak bağlantılar hiç tanımadığı insanlarla arasında öyle bağlar kurmasına izin vermişti ki, bir noktadan sonra herkes onun için erişilebilir olmuştu.
Çünkü herkes 'Savunma Bakanlığı'nda çalışan üst düzey bir bürokrat onu tanıyorsa, güvenilir biridir' diye düşünüyordu. Ayrıca bu sızmayı kolaylaştıracak birkaç hamlesi daha olmuştu, seçtiği profilin cinsiyeti gibi.
Erkeklerin yoğunlukta olduğu savunma sektöründe bir işe girişecekse bunun için bir kadın profili oluşturmalıydı. Aynı şekilde kadınlar yoğun olarak çalışıyor olsa bir erkek profili oluşturması gerekecekti.
Thomas Ryan, bu güvenlik açıklarının tümünü ifşa etti. Hatta yaptığı deneyi konferanslarda bile sundu!
İnsan istihbaratının önemini bir kez daha anlatan bu çalışmasına 'Robin Sage ile yatağa girmek.' adını verdi.
Asıl soru şuydu, 2009 yılında Google bir görselin kaynağını/benzerini arama hizmeti vermekteydi. Bu basit kontrol imkânına rağmen birçok kişi sosyal medya hesaplarında sadece birkaç fotoğraf olan Sage'den şüphelenmedi.
Gizli belgelerin güvenliği bile insan zaaflarıyla elde edilebildiğine göre, yoksa bundan sonra kimseye güvenme sözünü daha sık tekrarlamamız mı gerekiyor?