Işıkları hacklemek: İtalyan İşi’nin siber güvenlik açısından incelenmesi

Filmin baş karakterlerinin veya düşmanlarının bir şehrin ulaşım sisteminin kontrolünü ele geçirmesi standart bir film senaryosudur. Karakterlerin amacı, peşlerinde olanlar için trafiği sıkıştırmak veya kendileri için bir kaçış yolu yaratmaktır. Hackerlar, Özgür Yaşa veya Zor Öl ve Taksi, bu hacker olay örgüsünün sanatsal anlamda vücut bulmuş hâlinin küçük örnekleridir. Bir zamanlar orijinal olan bu senaryo çoktan bir Hollywood klişesine dönüştü.

Bu kalıp, büyük olasılıkla 1969 tarihli İngiliz filmi İtalyan İşi ile başladı. O dönem için sürpriz olmayan bir şekilde, filmdeki tek siber olay buydu.
Ancak trafik sabotaj sahnesi, biri Hollywood (İtalyan İşi, 2003) ve diğeri Bollywood (Players, 2012) yapımı dahil birçok uyarlamayı gün yüzüne çıkardı.

Trafik ışığı sahnesi, filmin çeşitli yeni yapımlarında da önemini koruyor. Böylece, üç versiyonu karşılaştırarak, film yapımcılarının ve sinemaseverlerin kritik altyapı hackleri hakkındaki tutumlarının gelişimini inceleyebiliriz.

İtalyan İşi (1969), İngiliz yapımı

Gelecek odaklı Torino, zamanının akıllı şehri olarak tasvir ediliyor. Filmde bir süper bilgisayar, trafik kameralarından gelen verilerin de toplandığı tek bir merkezden her trafik ışığını kontrol ediyor. Daha önceden yaşamını yitirmiş olan ve soygunun arkasında bulunan beyin, süper bilgisayar için kötü amaçlı yazılım ve kameraları devre dışı bırakabilecek açıklanamayan bir cihazla birlikte, tehlikeli soygunun ayrıntılı bir planını da ana karakter Charlie Croker’a miras bırakır.

Programın kaynağı bilinmiyor. Muhtemelen birisi orijinal kaynak kodunu ele geçirmiş ve onu kaos yaratmak için değiştirmiş. Tabii 1969’da hem İnternet yoktu, hem de yerel alan ağları bile düzgün bir şekilde kurulmamıştı. Kötü amaçlı yazılımı bilgisayara yüklemenin tek yolu, binaya gizlice girip sürücüdeki manyetik bandı manuel olarak değiştirmek. Bu, ülkenin sözde en iyi bilgisayar uzmanı olan Profesör Peach’in yardımına ihtiyaç duyulması demek.

Trafik kontrol merkezine girmek ve programı değiştirmek için bilgisayarın durdurulması gerekiyor. Croker bu görevi üstleniyor ve bisikletini bir güç ünitesine fırlatıyor. Sadece trafik kontrol merkezinin değil, aynı zamanda şehrin geri kalanının çoğunun da elektriğini kesiyor (ve şaşaalı bir mafya ziyafetini de karanlığa gömüyor).

Ve Peach oyundaki yerini alıyor, bant makarasını sürücüden çıkarıp yerine başka bir tane yüklüyor. Elektrik kesilince, yapılabilecek tek şey de zaten bu. Yani, aslında sadece bir laboratuvar asistanı işlevi gören bir bilgisayar uzmanınan sahipler. Bu saçmalığı gözden kaçırdıysanız, bu teknoloji dehasını komik adam Benny Hill’in canlandırdığını da hatırlatalım.

Planın bir sonraki aşaması kameraları devre dışı bırakmak. Suçlular ilgiyi trafik kontrol merkezinden uzaklaştırmak ve gerçek soygunu gizlemek için kameraların çevresindeki çöp tenekelerine ve çatılara bazı cihazlar -muhtemelen sinyal bozucular, ancak ayrıntı verilmiyor- yerleştiriyorlar. O günlerde trafik kameraları kablosuz sinyalleri iletemezdi, ancak gizemli cihazlar kameraları devre dışı bırakabilirdi.

Sonuç: Her şey tıkır tıkır işliyor. Kameralar kapanıyor, trafik ışıkları yanıp sönmeye başlıyor, şehirdeki yollar felç oluyor. Peach ise, toplu taşıma araçlarında uygunsuz davranış göstermekten tutuklanıyor (sormayın).

İngiliz versiyonu: Çıkarımlar

Siber Güvenlik

• Film, kritik altyapının fiziksel güvenliğine karşı oldukça küçümseyici bir tavır sergiliyor. Hem güç trafo merkezi hem de trafik kontrol merkezi pratikte korumasız. Hackerlar, herhangi bir sorun yaşamadan sürücüye ulaşıyor ve bandı başarıyla değiştiriyor.
• Bilgisayar, yedek programı sorgusuz sualsiz kabul ediyor. Bu aslında mazur görülebilir; kod imzalama o zaman henüz icat edilmemişti.

Algı

• Bilgisayar hacklemek, oldukça karmaşık bir şey olarak algılanıyor. Çete, ülkedeki en iyi bilgisayar uzmanını bilgisayarı kandırmak üzere işe almak için çok fazla çaba harcıyor. Bu bilgisayar uzmanının, sadece bir bant makarasını değiştireceğini unutmayalım.
• İşlerin teknik detaylarını açıklamaya yönelik hiçbir girişim yok. Bunun yerine kara kutu aygıtları mucizevi bir şekilde kameraları devre dışı bırakıyor.

İtalyan İşi (2003), Amerikan yapımı

Bana göre Hollywood versiyonu, İngiliz versiyonunun düpedüz bir yeniden yapımı olarak kabul edilemez. Elbette, karakterlerin amacı aynı (altın külçelerini çalmak). Kovalamaca sahnesi de neredeyse orijinalin tıpkısı; ancak Hollywood versiyonunda motivasyonlar çok farklı. Psikoloji ve ahlak kısmını bir yana bırakalım, yine kameralar ve trafik ışıklarıyla uğraşmak zorundalar. Ancak bu suçluların bir uzman aramasına gerek yok. Ekipte zaten bir bilgisayar dehası var: Lyle. Lyle’ın işi soygunları planlamak ve koordine etmek için binaların 3B modellemesini yapmak. İşte bu sizin pratikteki dijital dönüşümünüz. 2003 yılında, ekipte bir bilgisayar uzmanına sahip olmak oldukça normal.

Dahası, filmin Amerikan versiyonu biraz daha hack gerektiriyor. İlk olarak, suçlular bir telefon şirketinin uzaktan izleme sistemini hacklemeye çalışıyor. Çalışanlarını bunun yasal bir dinleme işlemi olduğuna ikna ediyor ve nihayetinde ses akışını kendi dinleme noktalarına yönlendiriyor. Lyle, eski sevgilisini gizlice dinlemeye yıllarını adamış. Dolayısıyla, bu konuda oldukça deneyim sahibi biri.

Ancak, ana hack planında bir değişiklik yok. Los Angeles Otomatik Trafik Gözetleme ve Kontrol Operasyon Merkezi’ne 2003 yılında girmek, Torino’nun 1969’daki sistemine girmekten çok daha kolay. Merkez, internete bağlı ve hatta bir grafik kullanıcı arayüzüne (GUI) sahip. Lyle dizüstü bilgisayarının başına geçiyor ve parolayı manuel olarak bulmaya çalışıyor. Sonunda ekranda “Erişim Sağlandı” sihirli kelimeleri görünene kadar parolayı art arda başarılı olmadan giriyor.

Operasyon merkezi, trafik akışını tahmin ediyor ve kamera görüntülerine göre trafik ışıklarını otomatik olarak değiştiriyor. Ama aynı zamanda manuel bir modu da mevcut. Lyle de bunu, ışıkların kontrolünü ele geçirmek için kullanıyor. Bunu denemek için bir kavşaktaki tüm ışıkları yeşile çeviriyor ve de bir kazaya neden oluyor. Ancak ışıkları çabucak kapatıyor ve merkez, olayı kısa süreli bir hata olarak kaydediyor.

Çetenin planı, Los Angeles’ın geri kalanında trafik tıkanırken kendilerinin hızla geçmelerini sağlayan bir yeşil dalga yapmak. Soygun gününde, biraz şaşkın gözüken Lyle, bir dizüstü bilgisayar ve yönlendirici ile Union Station’da bir bagaj bandına oturuyor ve yollardaki durumu izlemeye başlıyor. Sadece yolun sinyal ışıklarını değil, aynı zamanda metronun ışıklarını da değiştiriyor. Tüm ekranlarda “Gerçek Napster’ı asla kapatamayacaksınız” mesajını yayınlayarak kontrol merkezini felç ediyor. (Bir komedi unsuru olarak Lyle, Napster peer-to-peer ağını kendisinin icat ettiğini ve Shawn Fanning‘in onun fikrini çaldığını iddia ediyor. Lyle, kendine Napster demeyi seviyor. Açık konuşmak gerekirse, tipik bilgisayar dehası çocuğa benziyor.)

İyi koordine edilmiş operasyon sayesinde altın çalınıyor, herkes kaçıyor. Alçak kötü adam da, yoluna çıktığı Ukrayna mafyasının eline düşüyor.

ABD versiyonu: Çıkarımlar

Siber Güvenlik

• Bir sistemin uzaktan erişim parolası manuel olarak seçilebiliyorsa, bu zayıf bir paroladır.
• Kritik altyapının güvenli bir İnternet bağlantısı kullanması gerekir. Ayrıca, Web tabanlı bir GUI aracılığıyla kontrol edilebilir olmamalıdır. Ve personelin bakışlarını bu konuda bir şeyler yapmaya çalışmak yerine aptalca bir mesaja sabitlememesi gerektiğini de eklemekte fayda var. 34 yıl öncesinin kurgusal İtalyanları bile daha bilgili!

Algı

• 2003 yılına gelindiğinde, hacklemek oldukça yaygın bir olay. Bu nedenle soygunun başarılı bir şekilde tamamlanması, birkaç trafik ışığını devre dışı bırakmaktan daha fazlasına bağlı. Bu aslında bir uyarlama olmayan yeniden yapımda, trafik kontrol merkezine girmek, planlama aşamasında kuşkusuz karşılaşılabilecek rutin bir operasyon.
• Lyle/Napster ne yaptığını ve nasıl yaptığını sürekli açıklıyor. Söylediği şey elbette kuru gürültü ama önemli olan, film yapımcılarının ekrandaki olayların bir gerçekliğe dayandığını göstermek istemesi.

Players (2012), Hint yapımı

Hintli film yapımcıları, İtalyan İşi‘nin her iki versiyonunun da en iyi kısımlarını filmlerine dahil etmeye çalışmış. Yarış, şarkı söyleme, dans, asil ruhluluk ve tabii hackleme gibi, Bollywood cazibesiyle de filmi renklendirmişler. Olay oldukça vahşi: Rusya, Romanya hükumetinin 1915’teki Alman işgalinden önce Rusya’da sakladığı bir miktar altınını Romanya’ya iade ediyor. Kötü Rus ordusu subayları altını taşıyor ve daha da kötü Rus mafyası altının peşinde. Bir grup şerefli Hintli soyguncu da yetimlere bir okul inşa etmek için altını çalmak istiyor.

Doğal olarak, bu kapkaç operasyonunun gerçekleşmesi için dünyadaki en iyi hacker’a ihtiyaç var. Ve, gerçek bir hacker’a ihtiyaç var. Bu durumda, bahsi geçen kişi Spider. Tek sorun, kimse onu nerede bulacağını bilmiyor. Neyse ki, baş karakterin kız arkadaşının bilgisayar alanında onur dereceli yüksek lisans derecesi ve etik hackleme (tabii ki, neden olmasın?) konusunda yüksek lisans derecesi var. Bu kız arkadaş, “dünyanın en iyi hacker” sistemlerine giriyor ve Spider’ın aslında yakında bir yerde yaşadığını keşfediyor. Onu kaçırdıktan sonra, plana dahil olmaya ikna ediyorlar.

Plana göre, kaçırılan hacker’ın yerine getirmesi gereken iki görevi var. İlk olarak, kargoyu taşıyan subaylar hakkında bilgi almak için Rus ordusunun internet sitesini hacklemesi gerekiyor. İkinci görevi ise, altını taşıyan trenin hareketlerini gerçek zamanlı olarak izleyen bir uyduyu hacklemek (ve kontrol merkezini durdurmak).

Bir dizüstü bilgisayarda birkaç tuşa dokunarak her iki görevin üstesinden kolayca geliyor. Ancak, çeteye karşı geliyor, altını kendisine saklıyor ve kaçıyor. Trafik ışıklarını devre dışı bırakma işi, usta etik hacker’a kalıyor. Tesadüfen, o da trafik ışıklarının kontrolünü ele geçirme işini, klavyede hızlı bir davul sesiyle, tamamen aynı şekilde yapıyor.

Hint versiyonu: Çıkarımlar

Siber Güvenlik

• Bahsedilebilecek bir siber güvenlik yok. Tüm sistemler, uzaktan ve ön hazırlık yapmadan hacklenebilir. Sadece klavyeye dokunun, ne kadar hızlı olursa o kadar iyi.

Algı

• Hackerlar sihirbazdır.

İtalyan İşi: Sonuç

Her üç filmde de suçlular kan dökülmesini önlemeye çalışıyor ve son ikisinde (kısmen) soylu amaçlarla hareket ediyorlar: Bir öğretmenin cinayetinin intikamının alınması ve yetimler için bir okul inşa etme arzusu. Bununla birlikte, itfaiyeciler, ambulanslar ve benzerleri de dahil olmak üzere büyük bir şehrin tıkanmasının sonuçlarını asla düşünmüyorlar. Bu da sivil kayıplar ve sivillere verilen zararlar anlamına geliyor. Soyguncular iyi adamlar olarak tasvir edilse de, onlara sempati duymak zor.

Siber güvenliğe gelince, “dahi hacker” imajı yarım yüzyıldan fazla bir süredir çarpıcı bir biçimde değişti. Daha önce hacker yetenekli ama tuhaf, öteki dünyadan gelen bir adam gibiyse de; şimdi hacker kendine güvenen, neredeyse her şeye gücü yeten bir tekno-sihirbaz olarak tasvir ediliyor. Trafik ışıklarının kontrolünü ele geçirmek, karmaşık bir teknik işlemden, hafife alınan bir hileye dönüştü. Gerçek tabii ki çok farklı. Bir şehrin trafik kontrol sistemini hacklemek, sinemada göründüğünden çok daha zordur.

Filmlerdeki hackerların gücünün her şeye yetmesi, kritik altyapı çökmelerinin yarattığı tehditin algılanması noktasında olumsuz bir etki bırakıyor. Kaspersky Security Awareness ekibindeki meslektaşlarımıza göre, dahi hacker’ın sinematik klişesi gerçek şirketlerin güvenliğine zarar veriyor. İnsanlar, kötü oyuncuların gereksiz açıklar bırakarak maksimum koruma ile uğraşmaya zahmet etmeden her şeyi yapabileceklerinden oldukça eminler.

Bu nedenle, çalışanlara gerçek dünyada işlerin nasıl olduğunu gösteren güvenlik farkındalığı eğitimini şiddetle tavsiye ediyoruz. Kaspersky Otomatik Güvenlik Farkındalığı Platformu'muz, gerçeği kurgudan ayıran dersler sunar.