Siber Güveliğin En Zayıf Halkasının İnsan Olduğunun Kanıtı Olan Bir Test: Robin Sage

Siber Güveliğin En Zayıf Halkasının İnsan Olduğunun Kanıtı Olan Bir Test: Robin Sage

Robin Sage, bir çok kişiyi kendine aşık etti. Ama aslında böyle biri yok. 2009 yılında siber güvenlik tarihinin en iyi testlerinden biri yapıldı.

2009 yılında, Facebook, Twitter, Linkedin ve daha bir çok platformda Robin Sage adına hesaplar açıldı. Sosyal medya profillerine göre 25 yaşında MIT (Massachusetts Teknoloji Enstitüsü) mezunu Amerikan Donanmasında çalışan bir siber güvenlik analistiydi. Bazı insanlar tarafından arkadaşlık teklifi kabul edilmese de 300'e yakın askeri personel, istihbarat çalışanı, güvenlik uzmanı ve orduya çalışan firmaların çalışanları ile sosyal medya üzerinden arkadaş oldu. Hiç gerçek hayat referansı olmamasına rağmen, bir çok erkekten yemek davetleri aldı, hediyeler önerildi, devlet ve özel sektörde (Google gibi önemli firmalarda) çalışma teklifleri aldı.

Sage'le flörtleşenler arasında NSA, Savunma Bakanlığı, askeri istihbarat ve bir çok büyük şirketin çalışanları vardı. Bağlantıları sayesinde çok veri elde etti. Gizli askeri üsler, email adresleri, banka hesapları, organizasyonlar ve kişiler arasında gizli kalması gereken ilişkiler... Hatta gizli belgeleri gözden geçirmesi istenmiş, askeri konferanslarda konuşma davetleri almıştı. 25 yaşında 10 yıllık tecrübesi gözüken Sage'e bir NASA çalışanı yazdığı makaleleri gözden geçirmesi için göndermişti. Sage karakterinin arkasındaki kişi NASA çalışanının çalışmalarını çalıp kendi adına yayınlayabilirdi.

Verilen bilgiler OPSEC'i (Operasyonel Güvenlik) ve PERSEC'i (Kişisel Güvenliği) ihlal ediyordu. Bu bilgilerin verilmesinde cinsiyet ve görünüşün rolü büyüktü. İnsanlar ilişki kurarlarken karşılarındaki insanın cinsiyeti, görünüşü, sosyal konumu, mesleği, çalıştığı şirket gibi değişkenlere göre daha çok güvenebiliyor ve bazı eylemler için teşvik edilebiliyorlardı. Benim açımdan gündelik yaşamı çekilmez hale getiren "bir şey sorabilirim miyim"cilikte de bunu görüyoruz. Yolda yürürken "bir şey sorabilir miyim" diye yaklaşıp engelli derneklerinin aslında var olmayan dergilerini satmaya çalışanlar da sizi çevirirken karşı cinsten olmanıza dikkat ediyorlar. Bu sayede sizi daha kolay ikna edebileceklerinin farkındalar. Cinsiyet seçimi bu nedenle önemliydi. Erkek dominant sektörlere sızmak için seçilen kadın profili başarılı olmuştu. Erkek bir profil ne kadar etkili olurdu bilinmez ama Sage'in kadın olması ona yüzlerce fırsat önerilmesini sağlamıştı.

Bu testin ortaya çıkarttığı başka bir şey ise sadece sosyal medya profilindeki bilgilerin ne kadar etkili olabileceğiydi. Robin Sage'in profilindeki işi de güven sağlıyordu. ABD Donanmasında Siber Tehdit Analisti olarak çalışıyor gözükmesi "devlet tarafından güvenilir bulunmuş" kişi imajı sağlıyordu. Yine aslında mezun olmadığı MIT'den mezun olmuş gözükmesi nedeniyle üst düzey iş teklifleri alabiliyordu.

 Güvenlik uzmanı Thomas Ryan tarafından yaratılan bu karakter daha sosyal medya profillerinin oluşturulduğu 2.günde bazı kişilerce mail adresi ve MIT bağlantılarını araştırılarak ifşa edilmişti. Buna rağmen ilk elde ettiği bağlantılar sayesinde Sage 1 ayda her yaştan güvenlik sektörü çalışanı kadın ve erkekle arkadaş olabilmişti. Yeterli ortak bağlantı elde edince, devlet organlarındaki ve istihbarat görevlerindeki insanları bile ikna etmenin mümkün olduğu ortaya çıkmıştı. Örneğin Sage şöyle bir mesaj almıştı: "Sizi şahsen tanımıyorum ama Marty ile arkadaş olduğunuzu gördüm bu benim için yeterli".

Bunu kendim de defalarca tecrübe ettim. Yıllardır bilişim sektöründe önemli faaliyetlerde bulundum, önemli iletişim kampanyaları yönettim, siyasi ve sivil toplum organizasyonlarında görev aldım. Buna rağmen bu faaliyetlerim sebebiyle beni tanımayan bir çok kişi, beni bu faaliyetlerim nedeniyle tanımış kişilerle ortak arkadaşlıklarımız olması nedeniyle, aslında kim olduğum konusunda muhtemelen hiçbir fikirleri olmamasına rağmen beni sosyal medyada bağlantı olarak ekledi.

Sage'e gelen mesaj da, beni arkadaş olarak ekleyenler de sosyal medyanın en tehlikeli yönlerinden birini bize gösteriyor. Sokak ortasında tanımadığınız biri size selam verip sohbet etmeye çalışsa garipsersiniz. Çünkü yüzlerce gerçek ortak arkadaşınız olsa bile bu bilgiye sahip değilsinizdir. Fakat sosyal medyada bir şekilde onlarca arkadaşınızı bağlantı olarak eklemeyi başarmış birisi size mesaj attığında muhtemelen tanıyormuş gibi hissedersiniz. Yalan haberleri yayılma nedenlerinden biri, güvendiğiniz bir kişi tarafından paylaşıldığını gördüğünüz zaman genelde bilginin doğruluğunu kontrol etme ihtiyacı duymamanızdır. Sahte profillerin gücünü de sağlayan şey aynı güdüdür.

Robin Sage'in fotoğrafı bir porno siteden alınmıştı. 2009 yılında ters resim eşleştirme mümkündü. Sadece Sage'in resmini tersine arama ile arasalardı, pornografik bir siteden alındığını anlayabilirlerdi. Hatta bir ipucu daha vardı: Çok sosyal gözüken bir kişinin neden sadece 2-3 tane fotoğrafı olurdu?

Sage 25 yaşında olmasına rağmen 10 yıllık iş tecrübesi vardı. Siber güvenlik alanında 15 yaşında çalışmaya başlamak imkansıza yakındır. Bu testin en komik yanıysa şuydu: "Robin Sage" ABD ordusunda gerçekleştirilen konvansiyonel olmayan savaş ortamı taktik testlerinden birine verilen adıydı. Yani, aslında ortalama bir ABD ordusu personeli bu profilden hemen şüphelenmeliydi.

Robin Sage karakterinin arkasındaki isim, Thomas Ryan, bu çalışmasını "Robin Sage'le yatağa girmek" adı altında Black Hat konferansında sundu. Kısa süren bu deneyinde sosyal medyada paylaşılan bilgilerin nasıl zarar verebileceği ve saklanması için verilen bilgilerin kolayca başkalarıyla paylaşılabileceğini açıkladı. Teröristlerin de aynı şekilde gizli bilgileri edinebileceği ise oldukça açık.

Bu yazı 02-09-2018 tarihinde yayınlanmıştır.