Anonymous yeni bir video ile organize olarak Facebook’a saldıracaklarını açıkladı. En azından Britanya’da gerçekleşecek saldırı için 5 Kasım tarihi telaffuz edildi. Videoda gönüllülere saldırıya katılması için çağrıda bulunurken, planlanan aktiviteyle ilgili herhangi bir detay verilmedi. Hazırlanan video yaklaşık bir ay önce yayınlandı ve geçtiğimiz haftaya kadar hiç gündeme gelmedi. Twitter profillerinde ses yoktu ve saldırının düzenlenmesi planlanan platformda –Facebook’ta- bir sayfa bile oluşturuldu.

Videoya göre Facebook birçok sebep nedeniyle “öldürülmeyi” hak ediyor:

1. Kişisel bilgileri topluyorlar ve silmiyorlar – “siz hesabınızı ‘silseniz’ bile tüm kişisel bilgileriniz Facebook’ta kalıyor ve profil istenen zaman yeniden açılabiliyor. Gizlilik ayarlarınızı değiştirerek Facebook hesabınızı daha ‘özel’ yaptığınız tamamen bir halay ürünüdür. Facebook sizinle ilgili ailenizden daha çok şey biliyor.”

2. Sizin bilgilerinize ulaşım haklarını resmi makamlara ya da özel kuruluşlara satıyor – “Facebook bilgiyi hükümet makamlarına satıyor ve güvenlik şirketlerine el altından bilgiye erişim izni veriyor. Böylece dünya çapında insanlar gözetlenebiliyor. Mısır ve Suriye’de olduğu gibi bazı güvenlik şirketleri hükümet yetkilileri için çalışıyor.”

Sebeplerini açıklarken bir mesajla imzalarını atıyorlar, “Bizler milli ya da dini önyargılar olmadan varız. Bizler gözetlenmeme, yavaşça üzerimize gelinmeme ve kâr için kullanılmama hakkına sahibiz. Bizler köle gibi yaşamama hakkına sahibiz.”

Şimdi suçlamaları inceleyelim. İlk olarak veri saklanmasıyla ilgili; Facebook’un kendi gizlilik sözleşmesinde açıkça şu ifade yer alıyor: “Siz bir hesabı sildiğinizde, bu Facebook’tan kalıcı olarak silinmiştir.”

Hesapların geri getirilebilmesiyle ilgili de şu ifadeler yer alıyor: “Kaldırılmış ve silinmiş bilgiler 90 gün kadar yedeklenir ancak diğerleri bu bilgilere ulaşamaz.” Elbette eğer siz bilgilerinizi Facebook üzerinde paylaşmayı tercih ederseniz ve bu bilgi daha sonra arkadaşlarınız ya da bağlantılarınız tarafından paylaşılırsa, siz kesinlikle kontrolü kaybettiğinizi düşünürsünüz. Bu zaten internette bir şey paylaşırken neden dikkatli olmanız gerektiğinin en büyük gerekçesidir. Bakıldığında Anonymous’un ilk maddedeki sıkıntısı geçersiz gibi görünüyor.

İkinci olarak, Facebook bilgileri üçünü partilere mi satıyor? Yine gizlilik sözleşmesinde Facebook’un bu konudaki eğilimi için özetle şu ifadeler yer alıyor: “Biz bilgileri kanuna uygun olarak celp, mahkeme kararı ya da diğer talepler doğrultusunda (suçla ilgili ve sivil konular dahil)eğer biz talebin hukuka uygunluğuna inanırsak paylaşabiliriz. Amerika Birleşik Devletleri dışından gelen taleplerin de o bölgedeki yerel hukuk kurallarına uygunluğuna, kullanıcıların mahkemelere başvuruları sonucunda ve genel olarak kabul edilmiş uluslararası standartlara uygunluğuna göre saygı gösterilir. Biz ayrıca önemli bir yasadışı olayın önüne geçilmesi, bedensel zarar verilmeye teşebbüs edilmesi ya da bizim ve sizin insanların tacizlerinden korunması amacıyla bilgileri paylaşabiliriz. Bu durumlarda bilgiler diğer şirketlere, avukatlara, mahkemelere ya da diğer hükümet kuruluşlarına verilebilir.”

Yani Facebook, insan hakları ve dünya çapında bazı hükümetlerin yanlışları konusunda hiçbir tartışmaya girmeden, ABD ve yabancı mahkemelerin kanun içinde istekleri doğrultusunda kesinlikle tüm bilgileri paylaşıyor. Bundan almamız gereken ders nedir? Eğer bir Facebook kullanıcısıysanız ve sizin hükümetiniz ya da polis gücünüzün sizin sosyal ağ faaliyetlerinize bakabileceğini unutmadan, hem profilinizdeki hem de site içindeki açıkladığınız her bilgi konusunda dikkatli davranın.

En önemli ve en büyük konu şu ki; Facebook gönüllü girilen bir platform. Siz Facebook’a girersiniz çünkü istersiniz. Bilginizi iradeniz dahilinde ve riskinizi üstlenerek sağlarsınız. Eğer Facebook sizinle ilgili ailenizden çok şey biliyorsa, bu sadece siz ona söylediğiniz içindir. Bunun aksine, sosyal ağ sağlayıcı nasıl ve kime bilgi paylaşacağınızı belirleyebileceğiniz kontrolü sağlarken, benim kesin kanumşu ki; herhangi bir hesaptaki doğrudan gelen ayarlar hala çok açık ve paylaşım kontrol mekanizması oldukça karışık.

Eğer siz bilginizin sadece arkadaşlarınızla paylaşılmasını sağlayacak seçenekleri işaretleseniz bile, güvendiğiniz insanların bu bilgiyi daha sonra nasıl paylaşabileceği konusunda bir şey yapamazsınız. Kalabalık bir alışveriş merkezinde durup, defalarca telefon numaranızı bağırmaktan hoşlanmıyorsanız, bunu internette de yapmamalısınız, hiçbir yerde.

Her şeye rağmen, Anonymous’un yaptığı açıklamada bir kısım benim canımı çok sıkıyor, “Bir gün arkanıza dönüp baktığınızda ve şu an yaptıklarımızı fark edince, internetin kural koyucularına teşekkür edeceksiniz, size zarar vermiyor, kurtarıyoruz.” Nazilerin en önemli isimlerinden Joseph Goebbels de bir defasında benzer bir şey söylemiş, “Halkın düşünce şeklini denetlemek kesinlikle hükümetin [internetin kural koyucuları mı?] hakkıdır.”

Microsoft, 16 Temmuz’da “Security Advisory 2286198”i pazara sürerek, tüm Microsoft Windows kullanıcılarını gerçek anlamda saldırı ve virüs riskiyle karşı karşıya bırakan, Windows Shell’deki henüz yamalanmamış sistem açığını doğrulamış oldu.

Microsoft’a göre, “Sistem açığının nedeni, Windows’un kısayolları yanlış ayrıştırmasıdır. Öyle ki özel olarak oluşturulmuş bir kısayolun ikonu gösterildiğinde tehdit içerikli kod çalıştırılabilmektedir”. Peki bunu sade bir dille nasıl anlatırız?

Herhangi bir Microsoft Windows kullanıcısı söz konusu sistem açığını ortaya çıkarmak üzere tasarlanmış kısayol içeren bir klasör açarsa, bilgisayarına virüs bulaşacaktır. Dosya açmaya gerek yok, sadece taramak yeterli.
Microsoft “Bu sistem açığının daha çok taşınabilir sürücüler kanalıyla suistimal edilebileceğini” söylese de, kullanıcılar, güvenilirliğini garanti edemedikleri tüm kısayol dosyalarına karşı tetikte olmalılar. Aynı sistem açığı, virüslü dosya paylaşımlarıyla ya da zip dosyası gibi tehdit içerikli sıkıştırılmış arşiv kadar basit bir şey kanalıyla suistimal edilebiliyor.

İşin endişe verici yanı şu ki, bu sistem açığını ilk suistimal eden tehdit içerikli yazılım, son derece net bir hedefe sahipti; Siemens WinCC SCADA sistemlerinin peşine düşmüştü. SCADA sistemleri, elektrik ve su gibi kamu hizmetlerinin denetiminde ve büyük ölçekli üretimde rutin olarak kullanılıyor. Siemens, 14 Temmuz itibariyle müşterilerini bu konu hakkında uyarmaya başladı.

Bu tehdit içerikli yazılımın kaynak kodu, şu anda açık dağıtımda (ve Metasploit çerçevesine dahil edilmiş bulunuyor) ve bu tekniğin bu noktadan yayılarak suçlular tarafından yaygın bir biçimde benimsendiğini görmeyi bekleyebiliriz.

Şimdilik saldırılara karşı en iyi savunma, Microsoft Security Advisory’nin içinde: kısayolların ikonlarının gösterilmesini ve WebClient servisini etkisiz kılmak.

Trend Micro’nun söz konusu tehdit içerikli yazılımı nasıl ortaya çıkardığına dair detaylar, TrendLabs bloğunda yer alıyor. Lütfen dikkatli olun; bu, çok yeni bir gelişme ve daha başka tehdit içerikli yazılımlar aynı sistem açığından yararlanmak isteyeceklerdir.

Ödüller, bugüne kadar yüksek profil zararlı yazılım yaratıcıları/operatörlerinin yakalanması karşılığında teklif edildi. Bu tür girişimler ne kadar başarıya ulaştı ve kısıtlayan etkenler nelerdi?

Microsoft Anti-Virus Ödül programı 2003’ten bu yana Sasser, Sobig, Blaster, Conficker ve şimdi de Rustock’un yaratıcıları için çeşitli ödüller teklif etti. Ödül parası Microsoft tarafından sunulsa da ödülü kimin hak ettiğini tutuklama ve mahkeme sonucunda kamu güçleri karar verdi.

Teklif edilen ödüllere rağmen başarıya ulaşan dosya sayısı oldukça az. 2005 yılında Sasser solucanının arkasındaki isim olan Sven Jaschan’ın bilgilerini veren iki kişi 250 bin dolarlık ödülü paylaşmıştı. Ancak dediğim gibi başarılar oldukça sınırlı. Sobig ile ilgili henüz bir tutuklama gerçekleşmedi ve belki de son dönemin en fazla can yakan zararlı yazılımı Conficker yaratıcısıyla ilgili bir gelişme kaydedilemedi.

Zararlı yazılım üretenlerin yakalanması konusunda bilgi verenlere ödülleri elbette sadece Microsoft vermiyor. 2004 yılında SCO MyDoom’un yazarının tutuklanması ve mahkûm edilmesi için 250 bin dolar teklif etmişti. Yine ortaya bir sonuç çıkmadı.

Bu sınırlı başarılını birkaç sebebi bulunuyor; suçlular takma isimler altında hareket ediyor ve gerçek kimlikleri hakkında gerçekten ser verip sır vermiyor. Ödüller “gerçek dünyadaki” suçlarda birçok bilginin açığa çıkmasını sağlarken tanıkların ortaya çıkma olasılığının çok daha yüksek olduğunu anlamamız gerekiyor. Sanal dünyadaysa bu tür suçlara tanık olabilmek için bir şekilde olayların içinde, hatta ortak olmak gerekiyor.

Ayrıca yüksek profilli zararlı yazılımlar konusunda verilen ödüllere bakıldığında 250 bin ila 500 bin dolarlık ödüller göze çarpıyor. Ancak bu ödüller yüksek profilli bir suç şebekesinin normalde kazanabileceği paranın yanında çok düşük kalıyor.

Haberlerde dikkatinizi çekmiş olabilir; Facebook, ClickCEOP uygulamasını kullanıcılarına sunmaya karar verdi. Medyada sık sık “Panik Tuşu” olarak anılan bu uygulama, endişeli Facebook kullanıcılarına online güvenliğin çeşitli yönleriyle ilgili olarak yardım ve tavsiye alabilecekleri bir yer sunuyor.

CEOP (Çocuk İstismarı ve Online Koruma Merkezi), 13-18 yaşlarındaki Facebook kullanıcılarını profillerine bir ClickCEOP sekmesi (tab) eklemeye teşvik ediyor. Sekme, CEOP İstismar Raporlama sitesine giden bir bağlantı (link) içeriyor. Bu site, siber zorbalık ve korsanlık (Bununla hesapların ele geçirilmesini kastediyorlar) girişimlerini, virüsleri, mobil sorunları, zararlı içerikleri, uygunsuz ya da istenmeyen cinsel davranışları ihbar etmeye ya da bu konularda tavsiye almaya yönelik doğrudan bağlantılar sunuyor.

ClickCEOP uygulaması her gencin profiline önceden tanımlanmış olarak yüklenmese de, Facebook, site genelinde genç kullanıcılara yönelik olarak yürüteceği farkındalık kampanyasıyla uygulamayı destekleyeceğini ve uygulamanın ağızdan ağıza ve tavsiye yoluyla yayılmak üzere tasarlandığını açıkladı.

Facebook’un daha savunmasız konumdaki kullanıcılarının güvenliğini daha ciddi bir biçimde ele aldığını görmek sevindirici. Eğitim ve farkındalık, online tehditlere karşı güçlü birer araç. Umut ederiz ki insanlar arkadaşlarının bu uygulamayı profil sayfalarına eklediklerini gördükçe, uygulama hızla neredeyse öntanımlı bir kurulum haline gelir.

Avcıların sosyal ağlarda ve genel olarak online ortamda bu kadar başarılı olmalarının nedeni, kurbanlarının hissedebileceği herhangi bir şüpheyi ya da korkuyu hafifletmek için yoğun bir biçimde çalışmalarıdır. Olmadıkları bir kişi gibi görünmek amacıyla çalıntı fotoğraf ve kimliklerin yanı sıra yalan olduğu kesin olan ifadeler kullanırlar. Bazı yorumcuların Panik Tuşu’nun umulduğu kadar etkili olamayacağını düşünmelerinin nedeni budur. Ama hiç kuşkusuz, hiçbir şey yapmamaktansa bir şey yapmak yeğdir.

Bir görüşe göre, tuşun varlığı bile farkındalığı artırmaya ve daha savunmasız olanların şüphe seviyesini yükseltmeye yardımcı olacak. Yine bir başka olasılık da tek bir potansiyel kurban bile alarm verse sürekli rahatsızlık yaratan durumların daha hızlı ortaya çıkarılacak olmasıdır.

Ne yazık ki, alternatif sonuçlardan biri de bu işlevselliğin zorbaları ve avcıları daha çapraşık taktiklere yöneltmesi olabilir. Örneğin, onları bulmayı ve durdurmayı daha da karmaşık hale getiren “bir kez kullan ve yok et” türü dostluklar yaratabilirler.
En azından, daha genç ya da savunmasız olanların bir şekilde hedef alındıklarını hissettiklerinde nereye gidecekleri ya da ne yapacakları konusunda kafa karışıklığı yaşamalarına artık gerek yok. Online suçu ciddi boyutlara ulaştıran faktörlerden biri de ihbarda bulunulacak bir merkezin olmamasıdır. Facebook kullanıcıları açısından, sorunun bu küçük bölümü, en azından şimdilik çözülmüş durumda.