CTF (Capture The Flag) Yarışmaları…

Teknolojik imkanlara erişebilirliliğin arttığı, teknoloji bağımlısı gençlerin büyük bir ivme kazandığı, monitörlere yansıyan suretlerinin ekranlarında kalıcı izler bırakırcasına teknoloji ve zaman tüketiminin olduğu, belli bir kontrol mekanizması olmayan siber oluşumlara her geçen gün yeni aktörlerin eklendiği bir ortamda, birilerinin bu yeni ekonomi/yaşam modeli içerisindeki köşe kapma çabaları, gelecekte büyük sorunlar ortaya çıkaracağı sinyallerini veren siber dünyada devasa sorunlar ile boğuşacağımızı göstermektedir. Bu farkındalığın artması temennisi ile küçük bir vakıa analizi sunacağım..

Son zamanlarda Capture the flag yarışmaları popüler olmuş, bir çok yarışma duyurusu çeşitli mecralarda karşımıza çıkmıştır. Ee ne olmuş yani ne anlatmak istiyorsun diyebilirsiniz. Burada işaret etmek istediğim husus genelde bu yarışmaları düzenleyenlerin kurumsal yada kurumsallaşmaya giden girişim şirketlerinin olduğudur. 35 Milyon adet akıllı telefonun satıldığı bir ülkede, eline aldığı bir tableti yada bir kaç akıllı telefonu verip  “haydi CFT düzenliyoruz” demesi yukarıda işaret ettiğim sorunlara ışık tutmak yerine, sadece belli bir amaca hizmetten öteye geçememektedir.

Bu doğtultuda yapılan uygulamayı ve hedeflenen optimum faydayı eleştirmek istiyorum. Bu iş bir farketing:) unsuru olarak değerlendirilmemeli. Bir yarışma modeli kurarken kafalar kaldırılmalı ve etrafa bakılmalıdır.  Neler yapılmış bugüne kadar ve ne fayda amaçlanmış.

Bu tarz yarışmaların birilerinin tekelinde olmasından yana da değilim. Tabiki bu projelerde tüm Özel Kurumlar, Üniversiteler, kamu kuruluşları, stklar, mesleki birlikler vs. düzenleyici olarak bir rol alabilir. Ancak burada yapılması gereken sadece  düzenleyen kuruma bir pazarlama mecrası sağlamasındansa(kısmen bu da olabilir) bir değeri ölçümlemek ve değerlendirmek için işlene bilir veriler sağlaması ve bunun sonucunda da mevcut duruma hatta geleceğe ışık tutacak referans bir kaynak bir çalışma olması hedeflenmelidir.

Genel bir bakış açısı ile konuyu gözlemlediğimizde katılımcıların profili çok genel anlamda değerlendirilmektedir. Bu genç insanların buraya gelişlerindeki süreçler, devamında gidecekleri nokta, gelir ve eğitim düzeyleri,  ülkemizde nasıl bir oluşumun var olduğu, toplumun hangi kesimlerinden ilgi duyulduğu, siyasi oluşumların işin içerisindeki varlığı, etnik yapıların son zamanlardaki etkinliği, işin içerisinde birinin şapkasının siyah birinin şapkasının beyaz olduğu, tövbe edip şapkasını beyaza boyayanların olduğu ve bir çok husus değerlendirme dışında tutulmaktadır. Bunun yerine hadi kurtar bakalım dünyayı, hacklede görelim, gelsin tabletler kıvamında bir ortam şuan da hakim durumdadır.

Konuyu biraz daha açmak gerekirse ülkemizde hacking ile uğraşanların büyük çoğunluğu düne kadar milliyetçi ve muhafazakar 15-24 yaşları arasında gençler idi. İnandıkları değerler ve merakları doğrultusunda sistemlere erişiyor (bunun bir suç olduğunu düşünmeden) ve eriştikleri sistemlere “bakın ben iyi niyetli bir hackerim, istesem sisteminize zarar verebilirim ancak yapmıyorum açıklarınızı kapatmak için bana ulaşın yardımcı olayım. (cCc_hacker_cCc-84@gmail.com)” gibi notlar bırakıyorlardı. Tabi bu bırakılan notların olduğu dizinlerde benzer onlarca txt dosyalar bulunuyorduJ. Underground dünyadaki ilginç dayanışmanın ilk filizlendiği yerlerde buralardı, kimse bir diğerinin bıraktığı notu silmiyordu.

Sosyal medyanın, 35 milyon akıllı telefonun, günlük 250bin kişinin eriştiği ve paylaşımda bulunduğu popüler sitelerin (twitter) zirve yapmasıyla son birkaç senedir popülerlik kazanan siber dünya özelliklede 2011 ve 2012 deki hacktivist hareketler ile zirveye doğru (erişebilirlik/etkinlik) tırmanmaya başladı. Bu ortam beraberinde yeni aktörlerin seslerini duyurmaları için bulunmaz bir ortam haline geldi. İşin içerisinde daha yoğun bir şekilde rol almaya başladılar.  Birçok meraklı gözün takip ettiği bu ortamda underground dünyanın kollektif çalışma modeli ile büyük kurumlara hatta devlete kafa tutmaya kadar işi götürdüler. Medyadan takip ettiğimiz kadarı ile de durum her geçen gün daha kontrolden çıkmış bir hale doğru ilerlemektedir.

Büyük bir kesimini gençlerin oluşturduğu bu dünya, artık sadece başarma duygusunu tatmin için hareket etmemeye başladı. Bilginin kolay erişebilirliliği ve imkanların artması ile yeni kazanç kapılarının oluştuğunu fark ettiler. Bu da taze beyinleri daha üretken hale dönüştürdü.

Dünyada ve Türkiye’de bu kadar güncel olayın olduğu, haberlerin yapıldığı bir ortamda birçok kamu kurumu, stk, özel şirket nasıl bir önlem alıyor derseniz? Alttaki görselde 2012 yılında dünya genelindeki sıkı şifreleme(!) tekniklerini göre bilirsiniz.

 

Olayın bu taraflarını diğer yazılarımıza bırakarak konumuza devam edelim.

Şimdi konunun genelinde gördüğümüz kadarı ile  siber dünyanın ülkemizde 3 muhatabının olduğudur. Bunlardan ilki bu kaos ortamını bir pazarlama mecrasına çevirmeye çalışanlar yani CTF gönüllüleri, ikincisi ise siyah şapkılılara yakın bir gelecekte daha fazla “sosyal sorumluluk projesi ” adı altında risklerini azaltmak ve karşı karşıya oldukları tehlikeleri bertaraf etmek için  legal gelir modelleri oluşturarak yanına almak isteyen akıllı kurumsal yapılar, üçüncüsü ise geneline bakıldığında (çalışan kurumları tenzih ederim) konunun detaylarına dahi vakıf olmayan kamu kurumları ve stklardır. Bu farkındalık durumu, her geçen gün yeni ve prestij zedeleyici hacktivist olaylarlarla artma yönündedir..

Dünya geneline baktığımızda ise görüyoruz ki devletlerin belli organları (örneğin CIA) bu boşluğu doldurmak, bu dünyada bizzat bulunmak, yetişmiş insan gücünü elinde tutmak, underground dünyada nasıl iş yapıldığını görmek adına ciddi  Capture the flag yarışmaları modelliyorlar ve düzenliyorlar. Karşılarına alıp direnç göstermektense bu insanları anlamaya ve çözmeye çalışmaktadırlar. Özelliklede birçok ünlü hacktivist grubu ellerinde tuttuklarına dair haberleri okuyoruz.

Savaşın artık topla tüfekle olmadığını, binlerce km uzaklıktaki bir nükleer santrali 10 yıl geriye götürecek siber silahları(stuxnet) üretebildiklerini, siber ordular kurduklarını ve geleceğin savaşlarına hazırlandıklarını dikkatle izliyoruz.

İşte yapılması gereken devlet eliyle sürecin modellenmesi ve işin içerisine birçok alandaki uzmanların (psikoloj, sosyolog, akademisyen, mühendis, siber güvenlik uzmanı, stklar vs…) dahil edilerek bir uygulama yapılması yönündedir.

İşlenmemiş kontol edilmemiş bir gücün bize ait olmadığını fark etmemiz gerekmektedir.

 

07.12.2012 / Cuma
www.ceh.com.tr

 

 

 

“CTF (Capture The Flag) Yarışmaları…” için bir yanıt

  1. Ya o yarışmadaki her bilgi tutuluyor ve değerlendiriliyor ise. Bunu açıklayacak halleri yok elbet. Bilmeden konuşmak ne kolay… Yarışmayı organize eden ekipte psikolog, akademisyen, mühendis ve siber güvenlik uzmanı mevcuttur. Biraz araştırın, klasik türk insanı profili çizmeyin.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.