Bir zamanlar FBI'ın “En Çok Arananlar” listesinde yer alan Hector Monsegur, LulzSec'in arkasındaki ünlü hacker "Sabu" olarak Anonymous'un önemli bir oyuncusuydu ve hükümet açıklarını ifşa eden dijital bir hayduttu. Hukukun diğer tarafında ise Anonymous'a sızmayı başaran ve kötü şöhretli Silk Road pazarının çöküşüne öncülük eden FBI ajanı Chris Tarbell bulunuyordu.
Yıllar sonra, artık rakip değil müttefik olarak yan yana oturuyorlar. Ortak bir amaç etrafında sıra dışı bir dostluk paylaşıyorlar: İnternetin karanlık tarafında gizlenen tehlikeleri ortaya koyarak siber güvenliği güçlendirmek. Florida'da düzenlenen Zero Trust World 2025'te yakın zamanda yapılan bir söyleşide, geçmişlerini, hackerliğin evrimini ve kripto para birimi ve yapay zekâ çağında bulanıklaşan etik sınırları değerlendirdiler.
Eski bir hacker ve bir FBI ajanı bir konferansa girer…
Moderatör, Monsegur'u işaret ederek, “Onu tutukladınız” diye alay eder. “Ve yine de burada gülümsüyorsunuz. Bu nasıl oluyor?”
Monsegur, “Hiçbir şey değil. Hala ondan hoşlanmıyorum” diye şaka yapar. “Hayır, kesinlikle şimdi iyi arkadaşız. Ama zaman aldı. Yani, günün sonunda bir seçim yapmak zorunda kaldım; hayatımın geri kalanını hapiste geçirmek ya da gerçekten anlamlı bir şey yapmak.”
Bu seçim kolay değildi. Tarbell'in ekibi Monsegur'un kapısını çaldığında, siber suçlarından dolayı 125 yıla kadar hapis cezasıyla karşı karşıyaydı. "Chris beni oturttu ve 'Gerçekten hayatının geri kalanını sadece bir hükümet sunucusuna sızdığın için bir hücrede geçirmek mi istiyorsun' dedi ve anladım; bu artık bir oyun değildi.”
Tarbell, deneyimin kendisini de nasıl değiştirdiğini anlatarak katkıda bulunur. "Hector bana suçluları insan olarak görmeyi öğretti. Daha önce suçları siyah beyaz görürdüm. Kötü adamı tutuklarsın, içeri atarsın ve hikaye biter. Ama Hector ile çalışarak anladım; insanlar her zaman suçlu olarak başlamazlar. Bazen, buna radikalize olurlar.”
Bu beklenmedik ikili şimdi işletmeleri, kolluk kuvvetlerini ve sıradan kullanıcıları gerçek dünyadaki siber güvenlik tehditleri konusunda eğitmek için birlikte çalışıyor ve her ikisinin de hemfikir olduğu bir şey varsa o da hackerliğin eskisi gibi olmamasıdır.
Hackerliğin değişen etiği
Monsegur, “Eskiden hacker'ların bir kuralı vardı,” diye açıklıyor. “Meraklıydık. Sistemlerin nasıl çalıştığını, nerelerde kırılgan olduğunu anlamak istiyorduk. Ama bir hastaneyi fidye için hacklemeyi asla aklımızdan geçirmezdik.”
Tarbell başını sallar. “Kesinlikle, ama şimdi? O çizgi gitti. Ve biliyor musunuz ne değişti? Para.”
Kripto para biriminin tanıtımı, hackerlik ortamını tamamen değiştirdi. Geçmişte siber suçlular dikkatli olmak zorundaydı; para çalmak, parayı geleneksel bankacılık sistemleri aracılığıyla taşımak ve kolluk kuvvetleri için bir iz bırakmak anlamına geliyordu. Şimdi, kripto ile bu engel kalktı.
Tarbell, “Bu fidye yazılımı grupları her zamankinden daha zengin” diyor. “Ve daha da karmaşıklaşıyorlar. Sıfır gün açıklarını satın alabilecek paraları var—önceden, yalnızca ulus devletlerin bu tür bir gücü vardı. Şimdi, iyi finanse edilen bir fidye yazılımı grubu, bir açık için bir devlet kurumunu geride bırakabilir.”
Monsegur ekliyor, “2000'li yıllarda, açıkları ücretsiz olarak takas ediyorduk. Bir telnet hizmeti için uzaktan bir açık bulursam, onu başka bir hacker ile farklı bir açıkla takas ederdim. Şimdi mi? Bunlar milyonlarca dolara satıyorlar. Bunun için kriptoya teşekkür edebilirsiniz.”
Mali teşvikler, hackerliğin ahlakını da değiştirdi. Eski tarz hacker'ların hastaneleri hedef alma konusunda yazılmamış bir kuralı olabilirken, bugünün fidye yazılımı grupları kasıtlı olarak sağlık tesislerini hedef alıyor. Hastanelerin, kritik sistemleri geri yüklemek için can atarak ödeme yapma olasılığının daha yüksek olduğunu biliyorlar.
Tarbell, “Artık etik yok,” diye yakınıyor. “Bu sadece iş.”
Sorumluluk ve insan faktörü
Ancak şirketlerin endişelenmesi gerekenler sadece elit hacker'lar değil. Tarbell'e göre, iç tehditler en büyük güvenlik risklerinden biri olmaya devam ediyor.
“Bakın, kendi giriş kimlik bilgilerini 40 dolara satan insanlar var. Ve 80 dolara mı? Şirketin çok faktörlü kimlik doğrulama (MFA) kimlik bilgilerine erişim sağlayabilirsiniz.”
Sonra da hatalar var; kimlik avı bağlantılarına tıklayan, kötü amaçlı yazılım indiren veya zayıf şifreleri yeniden kullanan çalışanlar.
Tarbell, “Güvenlik kültürü hakkında çok konuşuyoruz,” diyor. “Ama size bir şey sorayım—eğer muhasebeden James, şirkete milyonlarca dolara mal olan bir kimlik avı bağlantısına tıklarsa… işini kaybetmeli mi?”
Seyirci mırıldanıyor.
Tarbell, “Yani sorumluluk nerede?” diye soruyor. “Şu anda, birisi bir dolandırıcılığa kurban giderse onu bir eğitim seansına gönderiyoruz. Belki ek bir siber güvenlik kursu alırlar. Ama tekrar tekrar dikkatsizlerse? Sonuçlar olmamalı mı?”
Monsegur devreye giriyor: “Ve işte konu burada; saldırganlar bunu biliyor. Şirketinizin içindeki en zayıf halkayı bulmaları gerektiğini biliyorlar. Ve en zayıf halkanız 'muhasebeden James' ise… tebrikler. Yeni hacklendiniz.”
Gelecek: Yapay zeka, sosyal mühendislik ve bir sonraki büyük tehditler
Son on yıl fidye yazılımlarıyla tanımlandıysa bir sonraki 10 yıl yapay zekâ destekli siber suçlarla şekillenecektir.
Tarbell, “Yapay zekânın dolandırıcılık için kullanıldığını zaten gördük” diye uyarıyor. “Dolandırıcılar, insanları para göndermeye kandırmak için derin sahte sesleri kullanarak aile üyelerini taklit ediyor. Birkaç yıl verin ve tamamen yapay zekâ tarafından oluşturulmuş kimlik avı kampanyaları göreceğiz—e-postalar, telefon görüşmeleri, hatta video mesajları—hepsi insanları erişimi bırakmaya zorlamak için tasarlanmış.”
Monsegur katılıyor. “90'larda birini sosyal mühendislikle ele geçirmek istiyorsam, onunla gerçekten konuşmalıydım. Şimdi mi? Yapay zekâ, her biri hedeflerine göre özelleştirilmiş binlerce kimlik avı e-postasını anında üretebilir. Ve otonom yapay zekâ siber saldırılarına ulaştığımızda—insan müdahalesi olmadan güvenlik açıklarını belirleyebilen ve bunları istismar edebilen botlar?—işler korkutucu hale geliyor.”
Peki şirketler ne yapabilir?
Monsegur'a göre çok fazla kuruluş ihlallerin olmayacağını varsayıyor. “Bir saldırının olacağı zihniyetiyle güvenlik oluşturmalısınız. Eğer fidye yazılımı yarın sistemlerinizi kilitlerse, planınız nedir? CEO'nuzun sesi sahte bir havale yetkilendirmek için klonlanırsa, bunu nasıl doğrularsınız? Bunlar artık varsayımsal senaryolar değil. Bu gerçeklik.”
Sonuç
Konuşma düşündürücü bir notla sona eriyor.
Monsegur, “Kontrolsüz siber suçun ne yapabileceğini gördüm,” diyor. “Bunun bir parçası oldum. Ve sonuçlarını gördüm.”
Tarbell başını sallar. “Ve kolluk kuvvetlerinin nasıl geri savaştığını gördüm. Ama size bir şey söyleyeyim—FBI tutuklamaları siber suçları durdurmuyor. Kötü adamların önünde kalmanın tek yolu, herkesin siber güvenliği ciddiye almasıdır. Bu, işletmeleri, hükümetleri ve bireyleri içerir.”
Sahneden ayrılırken mesaj açık:
Hackerliğin etiği değişti. Oyunun kuralları değişti. Ve riskler mi? Daha önce hiç bu kadar yüksek olmadı.
