heker grubu Anonymous: “ÖSYM sistemine girip, puanları değiştirebiliriz”
Sanal dünyanın dijital eylemcileri kamu kurumlarının, bankaların ve istihbarat örgütlerinin korkulu rüyası oldu. THY’yi çökerten Anonymous grubu ilk kez Habertürk gazetesine konuştu.
Anonymous, HT Gazete’den Yasemin Güneri’ye neden THY’yi neden çökerttiklerini, bundan sonra hedeflerinde hangi kamu kurumu olduğunu açıkladı. Grup ÖSYM’ye girip puanların değiştirilebileceğini ve ıSKı’ye girip su borçlarının silinebileceğini de belirtti.
Anonymous Türk Hava Yolları sitesine neden saldırdı?
"Bu saldırıları işten haksız çıkartılma, çalışanların grev hakkının elinden alınmasından dolayı.
Bir siteyi çökertmeyi amaçlarken, kriterleriniz neler oluyor?
"Bu kriterlerimiz olayın durumuna göre değişiyor. eğer zarar verilmekse amaç farklı duyuruluyor, amaç sadece duyuru vermekse farklı . thy ye amaç zarar vermekti. o nedenle thy sitesi kapatıldı. anayasa mahkemesinin sitesi sadeçce bir iki saat kapatıldı. thy online chek in yapamadı. bir çok işlemi durur. havayollarındaki chek in bölümlerine kadar gidilebilir.
Ne kadarlık bir zarara neden oldunuz?
Günlük satış rakamlarını biz bilemeyiz. basında geçen 400 bin liralık bir zarar.
Anonymous kimdir, nasıl bir eğitimden geçtiniz?
Sertifikasyon eğitimi de aldık. amacımız, toplumun haksızlığa uğradığı konularda tepkimizi dile getirmek. bu, bazı durumlarda zarar vererek oluyor bazı durumlarda duyuru yaparak oluyor. Alanında uzmanlar var. bilgisayar bilişim uzmanları da var.
Nasıl bir araya geldiniz?
Daha önce takılıan gruplar vardı. forumlara üye oluyorsunuz. bir süre sonra arkadaşlıklar ilerliyor. aslında anonymous grubuna isteyen dünyanın dört bir tarafından katılabılıyor.
hekerlar birbirine saldırır mı?
Tabii ki. Farklı amaçları olduktan sonra.
Devlete ait sitelere saldırdıktan sonra kurumlar güvenlik önlemlerini arttırdı mı? Giremeyeceğiniz site var mı?
Giremeyeceğimiz site hem vardır, hem de yoktur. Yüzde yüz güvenlik hiçsbir zaman yoktur. KARşI TARAFTA DA ÇOK CıDDı ÇALIşANLAR VAR. heryere girmek mümkün değil.YA DA ÇOK UZUN ÇABA gerektiren yerler var. girilmeyecek yerler tabii ki var
Bankaları sormak istiyorum...
Bankalara, THY’ ye yapılanın bir benzeri yapılabilir. bankaların heklenmesi, veri tabanının dışarı sızdırılması müşterilere zarar verebilecek birşey. bankanın, THY’ nin dos sistemine kapatılması, bankaların eft havale gibi işlemleri yapamaması bankalara zarar verebilir.
Bankadaki paranın başkasının hesabına aktarılması gibi şey mümkün mü?
Türkiyedeki bankalar dünyada en önde gelen bankalar. bankacılık sektörünü geliştiren gelişmeler dünyada ilk sırada olmasa da türkiye de deneniyor. Türkiye’nin bankacılık tarafında güvenlik çok yüksek. diğer kurumlara baktığımız zaman bankalar daha güvenli.
ınternet üzerinden birsuru kişi alışveriş yapıyor. para nakilleri çok yapılıyor. kişisel hesaplar veriliyor...
Kişisel hesaplar anlamında alışveriş yaparken her siteye güvenmemek gerekiyor. sertifikasını görmek gerekiyor. bu sitelerin de bilindik site olması önemli. gerçi her bilindik siteye de güvenmemek gerekiyor. kredi kartının veri tabanının saklanması yasaktır. ama bazı siteler, yurtdışı ve yurtiçi siteleri kredi kartı bilgilerini tutuyorlar. bu sistem de gelişti. kredi securitiy sistemi var. biraz daha güenli hale geldi.
Bu tür sitelere yapılacak sonrası veri tabanları elde edilebilir mi?
Tabii ki elde edilebilir.
Bu bilgileri elde etmeye yönelik çalışan heker grupları var mı?
Buna yönelik çalışan heker grupları muhakkak vardır ama amaçları farklıdır. kimisi sadece senini duyurmak ister, kimisi sadece cebini doldurur.
Peki sizin amacınız ne sadece sesinizi duyurmak mı?
Amacımız sesimizi duyurmak. Bunu duyurmak için sosyal medya çok iyi bir alan oldu. d-dos bir hek yöntemi değil. Basit bir yeri kapattığınız da haberciler bunu bekler. çok basit bir sesini duyurma sistemi
Mart ayı içerisinde Başbakanlık’ın sitesine sizin tarafınızdan bir saldırı olduğu ve sitenin güvenlik önlemlerinin arttırılarak 4-5 bilişim uzmanıyla bunun engellendiği belirtildi. olay gerçek miydi?
4-5 kahraman kişinin siteyi kurtardığı söylendi. ... oldukça güldük o habere. o olay gerçek miydi? tabii ki değildi. film izliyor olmalılar. bizim tarafımızdan olmadı. başkaları tarafından oldu mu bilemem. ama sektörün içinden olanlar buna güldü sadece.
Başbakanlık’taki gizli yazışmalara sizin girip almanız mümkün mü?
Mümkün. Başbakanlık olmasa da o çeşit devlet kurumlarına girip gizli yazışmaları almak mümkün. bu üst kurumlarda tesbit ettiğimiz girilmeye müsait yerler var. her site içine girebilirsin, içinde birşey çıkmayabilir. sadece anasayfasını değiştirebilirsin. bu hiçbir işe yaramaz. bu sadece ses duyurma olur. gizli verilere ulaşma olmaz. sitelirin kullanımına bağlı. iç yazışmalar her zaman ana sitede tutulmaz.ulaşacağınız verinin nerde olduğunu bilmeniz gerekiyor. iç server da tutulur. Her zaman veriler sitenin içinde olmaz.
Başbakanlık’ın sitesine girmediğinizi söylüyorsunuz. Girmiş olsaydınız ve Türkiye’yi uluslararası arenada zor duruma düşürecek belgelere ulaşmış olsaydınız bunları yayınlar mıydınız? wikileaks gibi...
Belgesine göre değişir aslında. Açık olmaktan yanayım. Saldırıya yapanlar buna karar verir.
ınternet bağlantısı olmayan bir siteyi çökertmeniz mümkün görünmüyor bu durumda...
Kapalı devre çalışan sistemlerde, 81 vilayet var. bunlar birbirleriyle kordineli çalışmak istiyorsa, kapalı devre de olsa bir içlernide ağ var. kapalı devrenin bir zayıf halkası var. vpn olabilir.bu makinalara erişmek demek sisteme erişmek demek. bir tane zayıf halka, bütün sistemin mahvolmasına neden olabilir.
Kamu kurumları sizlerden yardım istiyor mu?
Hayır.
Resmi veya gayri resmi...
Yok hayır. Aslında bu şekilde uyarılarda bulunduğumuzuda da ‘sen kimsin ki bize böyle birşey söylüşyorsun" diyorlar. ‘sisteminizde böyle bir açık var. siz kapatacaksınız buyrun, yardımcı da oluruz’ diyoruz. ya çoğu zaman cezap alamıyoruz ya da ‘siz kim oluyorsunuz’ yanıtını alıyoruz.
Türkiye de özellikle en güvenli sisteme sahip kamu kurumu hangisi. belge ve bilgilerini en iyi şekilde saklayan ve sizin girmeyi deneyip de giremediğiniz...
RTÜK diyebilirim. bugüne kadar resmi sitelerde sicili en temiz olan RTÜK dür. Girilememesinin güvenlik sistemi güzel. ayrıca benim tesbit ettiğim ıSKı’nin sitesi de d-dos saldırılarına karşı birçok büyük siteden daha iyi.
Vatandaşların elektrik, su borçları bu tür yerlere girilerek silinebilir mi?
Evet silinebilir. Ama şu vardır. Mutlaka yedek alınıyordur. En azından öyle umut ediyorum. Yedeklerin de silinmesi mümkün. Ama mutlaka yedekliyorlardır.
ÖSYM nin sitesine girip puanlarda değiştirme yapılabilir mi?
Yapılabilir. Puanlarda tek tük değiştirmeler yapılsa 1,5 -2 milyon öğrencinin girdiği sınavda tek tük değişiklik yapılsa ortaya çıkmaz aslında.
Yapılabilir mi?
Tabii.
Denezdiniz mi?
Hayır. Amacımız, herhangi bir suçu olmayan bir kuruma zarar vermek değil. ama kötü niyetli biri bu şekilde bir işlem yapabilir.
Bir heker nasıl yetişir? Nasıl bir eğitimden geçtiniz?
Bu, eğitimden ziyade meraklı olmakla alakalı bir durum. çok klişedir. bütün olay meraklı olmakta. bilgisayarla ne zaman tanıştınız. ilk olarak 11 yaşında tanıştım. kendi kendine keşfedilecek bir şey değil. okuduklarını denersin. deneme yanılmayala başlar. yaptıkça olabildiğini görüyorsun. sonucun işine yarayıp yaramamasına göre hareket ediyorsun.
Sizin, güvenlik sistemini zayıf gördünüğüz site hangisi?
Resmi kurumlardan zayıf halka olarak anayasa.gov. tr’yi söyleyebilirim.
Sadece yayın akışını mı durduruyorsunuz.
Bütününe sızılabilir. Bütün kararlara ulaşılabilir. sızmanın yapılabileceği açık yerleri var.
ıstihbarat birimlerinin sitelerine girmek, bilgilere ulaşmak mümkün müdür?
Bu tarz şeylerde, bilgilerin nerede saklandığını bilmediğiniden dolayı pek mümkün görünmüyor. MıT, gizli belgelerini sitenin altında tutmuyordur. önce bunu öğrenmek gerek. bunun için ya mıT’in içinde olmak ya da oraya sızmak gerek.
ıstihbarat birimleri sizleri çalıştırmayı teklif etti mi?
Bu aslında bir efsane. Ben pek şahit olmadım. yurtdışında daha yaygın olduğu söylenir. Bu yapılmış mıdır? Bilemem
Size böyle bir teklif gelse...
Kabul etmem.
Neden?
Çünkü ben zaten ona karşıyım. bizim amacımız zaten buna karşı mücadele etmek. devletin tarafına geçersem, tam tersi tarafa geçmiş olacağım.
Redhack kendini kızıl sosyalist olarak tanımlıyor. Sizin bir ideolojiniz var mı?
Yok hayır. Hiçbir ideolojimiz yok. Amacımız, sadece haksızlıklara karşı durmak. Bunlara tepki vermek, duyurmak. veya THY da olduğu gibi zarar vermek.
Redhack kendini sosyalist olarak tanımladığı için soruyorum. muhafazak hekerlar da var mı?
Var. Milliyetçi muhafazakarlar da var. onlar, müslümanlığa karşı olanlarla mücadele ediyorlar.
Bir heker nasıl para kazanır? Para kazanabiliyor musunuz?
Para kazanma açısından bakarsanız hekerla ilgim yok. Ben sözcüyüm. Benim mesleğim var. programlar yapıyorum ve kazanıyorum.
ınterente bağlı bir bilgisayarda kendimizi nasıl koruyabiliriz? Evimizde?
Ev kullanıcısının yapabileceği standrat şeyler vardır. Mutlaka bir antivirüs kullanmalı. ve düzenli güncellemeli. lisanslı olmalı. fairval kullanılabilir ücretsiz.
Bundan sonraki hedefiniz?
Bunu söyleyemeyiz
Bunu söylersenezi en azından o kurumlar şimdiden tedbir almaya başlar, tedbirin yeterli olup olmadığını görürüz.
Önce bir kontrol edelim. onu söylemem doğru olmaz.
Toplumsal tepki anlamında sizi en çok kızdıran kişiler kimler.
Polisler...
HT Gazete
Sanal dünyanın dijital eylemcileri kamu kurumlarının, bankaların ve istihbarat örgütlerinin korkulu rüyası oldu. THY’yi çökerten Anonymous grubu ilk kez Habertürk gazetesine konuştu.
Anonymous, HT Gazete’den Yasemin Güneri’ye neden THY’yi neden çökerttiklerini, bundan sonra hedeflerinde hangi kamu kurumu olduğunu açıkladı. Grup ÖSYM’ye girip puanların değiştirilebileceğini ve ıSKı’ye girip su borçlarının silinebileceğini de belirtti.
Anonymous Türk Hava Yolları sitesine neden saldırdı?
"Bu saldırıları işten haksız çıkartılma, çalışanların grev hakkının elinden alınmasından dolayı.
Bir siteyi çökertmeyi amaçlarken, kriterleriniz neler oluyor?
"Bu kriterlerimiz olayın durumuna göre değişiyor. eğer zarar verilmekse amaç farklı duyuruluyor, amaç sadece duyuru vermekse farklı . thy ye amaç zarar vermekti. o nedenle thy sitesi kapatıldı. anayasa mahkemesinin sitesi sadeçce bir iki saat kapatıldı. thy online chek in yapamadı. bir çok işlemi durur. havayollarındaki chek in bölümlerine kadar gidilebilir.
Ne kadarlık bir zarara neden oldunuz?
Günlük satış rakamlarını biz bilemeyiz. basında geçen 400 bin liralık bir zarar.
Anonymous kimdir, nasıl bir eğitimden geçtiniz?
Sertifikasyon eğitimi de aldık. amacımız, toplumun haksızlığa uğradığı konularda tepkimizi dile getirmek. bu, bazı durumlarda zarar vererek oluyor bazı durumlarda duyuru yaparak oluyor. Alanında uzmanlar var. bilgisayar bilişim uzmanları da var.
Nasıl bir araya geldiniz?
Daha önce takılıan gruplar vardı. forumlara üye oluyorsunuz. bir süre sonra arkadaşlıklar ilerliyor. aslında anonymous grubuna isteyen dünyanın dört bir tarafından katılabılıyor.
hekerlar birbirine saldırır mı?
Tabii ki. Farklı amaçları olduktan sonra.
Devlete ait sitelere saldırdıktan sonra kurumlar güvenlik önlemlerini arttırdı mı? Giremeyeceğiniz site var mı?
Giremeyeceğimiz site hem vardır, hem de yoktur. Yüzde yüz güvenlik hiçsbir zaman yoktur. KARşI TARAFTA DA ÇOK CıDDı ÇALIşANLAR VAR. heryere girmek mümkün değil.YA DA ÇOK UZUN ÇABA gerektiren yerler var. girilmeyecek yerler tabii ki var
Bankaları sormak istiyorum...
Bankalara, THY’ ye yapılanın bir benzeri yapılabilir. bankaların heklenmesi, veri tabanının dışarı sızdırılması müşterilere zarar verebilecek birşey. bankanın, THY’ nin dos sistemine kapatılması, bankaların eft havale gibi işlemleri yapamaması bankalara zarar verebilir.
Bankadaki paranın başkasının hesabına aktarılması gibi şey mümkün mü?
Türkiyedeki bankalar dünyada en önde gelen bankalar. bankacılık sektörünü geliştiren gelişmeler dünyada ilk sırada olmasa da türkiye de deneniyor. Türkiye’nin bankacılık tarafında güvenlik çok yüksek. diğer kurumlara baktığımız zaman bankalar daha güvenli.
ınternet üzerinden birsuru kişi alışveriş yapıyor. para nakilleri çok yapılıyor. kişisel hesaplar veriliyor...
Kişisel hesaplar anlamında alışveriş yaparken her siteye güvenmemek gerekiyor. sertifikasını görmek gerekiyor. bu sitelerin de bilindik site olması önemli. gerçi her bilindik siteye de güvenmemek gerekiyor. kredi kartının veri tabanının saklanması yasaktır. ama bazı siteler, yurtdışı ve yurtiçi siteleri kredi kartı bilgilerini tutuyorlar. bu sistem de gelişti. kredi securitiy sistemi var. biraz daha güenli hale geldi.
Bu tür sitelere yapılacak sonrası veri tabanları elde edilebilir mi?
Tabii ki elde edilebilir.
Bu bilgileri elde etmeye yönelik çalışan heker grupları var mı?
Buna yönelik çalışan heker grupları muhakkak vardır ama amaçları farklıdır. kimisi sadece senini duyurmak ister, kimisi sadece cebini doldurur.
Peki sizin amacınız ne sadece sesinizi duyurmak mı?
Amacımız sesimizi duyurmak. Bunu duyurmak için sosyal medya çok iyi bir alan oldu. d-dos bir hek yöntemi değil. Basit bir yeri kapattığınız da haberciler bunu bekler. çok basit bir sesini duyurma sistemi
Mart ayı içerisinde Başbakanlık’ın sitesine sizin tarafınızdan bir saldırı olduğu ve sitenin güvenlik önlemlerinin arttırılarak 4-5 bilişim uzmanıyla bunun engellendiği belirtildi. olay gerçek miydi?
4-5 kahraman kişinin siteyi kurtardığı söylendi. ... oldukça güldük o habere. o olay gerçek miydi? tabii ki değildi. film izliyor olmalılar. bizim tarafımızdan olmadı. başkaları tarafından oldu mu bilemem. ama sektörün içinden olanlar buna güldü sadece.
Başbakanlık’taki gizli yazışmalara sizin girip almanız mümkün mü?
Mümkün. Başbakanlık olmasa da o çeşit devlet kurumlarına girip gizli yazışmaları almak mümkün. bu üst kurumlarda tesbit ettiğimiz girilmeye müsait yerler var. her site içine girebilirsin, içinde birşey çıkmayabilir. sadece anasayfasını değiştirebilirsin. bu hiçbir işe yaramaz. bu sadece ses duyurma olur. gizli verilere ulaşma olmaz. sitelirin kullanımına bağlı. iç yazışmalar her zaman ana sitede tutulmaz.ulaşacağınız verinin nerde olduğunu bilmeniz gerekiyor. iç server da tutulur. Her zaman veriler sitenin içinde olmaz.
Başbakanlık’ın sitesine girmediğinizi söylüyorsunuz. Girmiş olsaydınız ve Türkiye’yi uluslararası arenada zor duruma düşürecek belgelere ulaşmış olsaydınız bunları yayınlar mıydınız? wikileaks gibi...
Belgesine göre değişir aslında. Açık olmaktan yanayım. Saldırıya yapanlar buna karar verir.
ınternet bağlantısı olmayan bir siteyi çökertmeniz mümkün görünmüyor bu durumda...
Kapalı devre çalışan sistemlerde, 81 vilayet var. bunlar birbirleriyle kordineli çalışmak istiyorsa, kapalı devre de olsa bir içlernide ağ var. kapalı devrenin bir zayıf halkası var. vpn olabilir.bu makinalara erişmek demek sisteme erişmek demek. bir tane zayıf halka, bütün sistemin mahvolmasına neden olabilir.
Kamu kurumları sizlerden yardım istiyor mu?
Hayır.
Resmi veya gayri resmi...
Yok hayır. Aslında bu şekilde uyarılarda bulunduğumuzuda da ‘sen kimsin ki bize böyle birşey söylüşyorsun" diyorlar. ‘sisteminizde böyle bir açık var. siz kapatacaksınız buyrun, yardımcı da oluruz’ diyoruz. ya çoğu zaman cezap alamıyoruz ya da ‘siz kim oluyorsunuz’ yanıtını alıyoruz.
Türkiye de özellikle en güvenli sisteme sahip kamu kurumu hangisi. belge ve bilgilerini en iyi şekilde saklayan ve sizin girmeyi deneyip de giremediğiniz...
RTÜK diyebilirim. bugüne kadar resmi sitelerde sicili en temiz olan RTÜK dür. Girilememesinin güvenlik sistemi güzel. ayrıca benim tesbit ettiğim ıSKı’nin sitesi de d-dos saldırılarına karşı birçok büyük siteden daha iyi.
Vatandaşların elektrik, su borçları bu tür yerlere girilerek silinebilir mi?
Evet silinebilir. Ama şu vardır. Mutlaka yedek alınıyordur. En azından öyle umut ediyorum. Yedeklerin de silinmesi mümkün. Ama mutlaka yedekliyorlardır.
ÖSYM nin sitesine girip puanlarda değiştirme yapılabilir mi?
Yapılabilir. Puanlarda tek tük değiştirmeler yapılsa 1,5 -2 milyon öğrencinin girdiği sınavda tek tük değişiklik yapılsa ortaya çıkmaz aslında.
Yapılabilir mi?
Tabii.
Denezdiniz mi?
Hayır. Amacımız, herhangi bir suçu olmayan bir kuruma zarar vermek değil. ama kötü niyetli biri bu şekilde bir işlem yapabilir.
Bir heker nasıl yetişir? Nasıl bir eğitimden geçtiniz?
Bu, eğitimden ziyade meraklı olmakla alakalı bir durum. çok klişedir. bütün olay meraklı olmakta. bilgisayarla ne zaman tanıştınız. ilk olarak 11 yaşında tanıştım. kendi kendine keşfedilecek bir şey değil. okuduklarını denersin. deneme yanılmayala başlar. yaptıkça olabildiğini görüyorsun. sonucun işine yarayıp yaramamasına göre hareket ediyorsun.
Sizin, güvenlik sistemini zayıf gördünüğüz site hangisi?
Resmi kurumlardan zayıf halka olarak anayasa.gov. tr’yi söyleyebilirim.
Sadece yayın akışını mı durduruyorsunuz.
Bütününe sızılabilir. Bütün kararlara ulaşılabilir. sızmanın yapılabileceği açık yerleri var.
ıstihbarat birimlerinin sitelerine girmek, bilgilere ulaşmak mümkün müdür?
Bu tarz şeylerde, bilgilerin nerede saklandığını bilmediğiniden dolayı pek mümkün görünmüyor. MıT, gizli belgelerini sitenin altında tutmuyordur. önce bunu öğrenmek gerek. bunun için ya mıT’in içinde olmak ya da oraya sızmak gerek.
ıstihbarat birimleri sizleri çalıştırmayı teklif etti mi?
Bu aslında bir efsane. Ben pek şahit olmadım. yurtdışında daha yaygın olduğu söylenir. Bu yapılmış mıdır? Bilemem
Size böyle bir teklif gelse...
Kabul etmem.
Neden?
Çünkü ben zaten ona karşıyım. bizim amacımız zaten buna karşı mücadele etmek. devletin tarafına geçersem, tam tersi tarafa geçmiş olacağım.
Redhack kendini kızıl sosyalist olarak tanımlıyor. Sizin bir ideolojiniz var mı?
Yok hayır. Hiçbir ideolojimiz yok. Amacımız, sadece haksızlıklara karşı durmak. Bunlara tepki vermek, duyurmak. veya THY da olduğu gibi zarar vermek.
Redhack kendini sosyalist olarak tanımladığı için soruyorum. muhafazak hekerlar da var mı?
Var. Milliyetçi muhafazakarlar da var. onlar, müslümanlığa karşı olanlarla mücadele ediyorlar.
Bir heker nasıl para kazanır? Para kazanabiliyor musunuz?
Para kazanma açısından bakarsanız hekerla ilgim yok. Ben sözcüyüm. Benim mesleğim var. programlar yapıyorum ve kazanıyorum.
ınterente bağlı bir bilgisayarda kendimizi nasıl koruyabiliriz? Evimizde?
Ev kullanıcısının yapabileceği standrat şeyler vardır. Mutlaka bir antivirüs kullanmalı. ve düzenli güncellemeli. lisanslı olmalı. fairval kullanılabilir ücretsiz.
Bundan sonraki hedefiniz?
Bunu söyleyemeyiz
Bunu söylersenezi en azından o kurumlar şimdiden tedbir almaya başlar, tedbirin yeterli olup olmadığını görürüz.
Önce bir kontrol edelim. onu söylemem doğru olmaz.
Toplumsal tepki anlamında sizi en çok kızdıran kişiler kimler.
Polisler...
HT Gazete