15 Eylül 2008

Microsoft'tan FBI ve CIA'e kıyak

Microsoft'tan FBI ve CIA'e kıyak
ChaO yakalanmadan önce Haber 7’ye verdiği röportajda Microsoft’un FBI ve CIA ile işbirliği yaparak tüm dünyadaki bilgisayarları takip ettiğini söyledi










Dünyanın önde gelen bilgisayar korsanı Çağatay Evyapan (ChaO), yakalanmadan önce Haber 7’nin sorularını cevaplamıştı. FBI, CIA ve Interpol’in yakalamak için uğraştığı ancak takma adı dışında hakkında hiçbir şey bilmedikleri ChaO o dönemde Haber 7’nin araştırdığı, ‘sanal banka soygunu’ dosyasında adı geçmesi üzerine bizimle irtibata geçmiş ve konu hakkında bilgiler vermişti.

Bilgisayar Mühendisi olan ChaO, bize göndermiş olduğu mailde, kendisinin büyük projelerle uğraştığını, kart kopyalama cihazları yapıp, pos cihazlarını modifiye ettiğini bunun için yüksek teknolojiye sahip donanımlar ve yazılımlar kullandıklarını söylemişti.
Emniyet Müdürlüğü’nün yapmış olduğu açıklama da Çağatay Evyapan’ın söylediklerini destekliyor. Sahte pos cihazları yapan bunlara özel yazılımlar hazırlayan, banka kartı kopyalama için cihazlar üzeren ChaO bu cihazları yurt dışına satıyordu. ChaO satış dışında da sanal dolandırıcılık konusunda yöneticilik görevi vardı. Sanal dolandırıcılık konusunda geliştirilen yeni bir teknolojiye ‘olur’ veren ChaO, bizimle yaptığı görüşmelerde ısrarla Türkiye’de hiçbir zaman soygun yapmadığını söylemişti.
03 Mart 2008’de yayınlamaya başladığımız yazı dizisinde adı geçen ve bazı bilgilerin eksik olduğunu belirtip haberimize itiraz eden ve bize maille ulaşan ChaO ile daha sonra zaman zaman mail üzerinden görüştük. Tüm görüşmelerimizde kendisinin yurt dışında yaşadığını söylemiş ve FBI, CIA ve Interpol tarafından aranırken Türk polisinin kendisinin yakalamasının imkansız olduğunu belirtmişti.
Kendisine çok güvenen ChaO, yapmış olduğumuz bu röportajı, IP bilgilerini ve diğer teknik bilgilerin polise ve savcılığa verebileceğimizi belirterek, “Biz Scene'de (sanal alem) FBI ve CIA ile savaşıyoruz ve onların en çok aradığı insanlarız, dolayısı ile, bizlerin teknik olarak takibimizin yapılamayacak olması kimseyi şaşırtmamalı” demişti.

TÜM GÜVENLİK ÖNLEMLERİ AŞILABİLİR
ChaO ile yapmış olduğumuz bu görüşmeyi okuyunca siz de hayrete düşeceksiniz. Bankaların güvenlik için yapmış olduğu tüm duvarların aşıldığı, anne kızlık soyadı, gizli soru gibi güvenlik önlemlerinin çok da güvenli olmadığını göreceksiniz. Bu bilgilerin satışının yapıldığını aktaran ChaO bankalarda kayıtlı bilgilerin değiştirilebildiğini de belirtiyor.
ChaO, bu röportajda sanal alemde yaşanan savaşları anlatırken ABD’nin kendi çıkarları için neler yaptığını da gözler önüne seriyor. Windows kullanan herkesin bilgisayarına erişim imkanı veren bazı açıkların Microsoft tarafından bilerek kapatılmadığını bunu FBI ve CIA’nin kullandığını, bilgisayar korsanlarının bu açıkları fark ettiklerini söyleyen ChaO 50 bin dolara, Windows’taki bu açığın kendilerin tarafından isteyenlere satıldığını belirtmişti.

Sanal alemde güvenin çok önemli olduğunu vurgulayan ChaO, işlerin güven üzerine yürüdüğünü ve ‘güvenilir suçlu’ tanımının bu alem için kullanılabileceğini aktarmıştı. ChaO ayrıca Türkiye dışında bazı bankalara danışmanlık yaptığını da belirtmişti.

İşte ChaO’yla yapmış olduğumuz ama yayınlamadığımız röportaj. İlk kez ve sadece Haber 7 okurları için: (Basın kuruluşlarına bir not: Uzun bir süredir takip ettiğimiz bu dosyanın haberlerini kullanırken lütfen bizden ‘bir internet sitesi’ diye bahsetmeyiniz. Haber 7’nin haberlerini kaynak göstererek kullanmanızı rica ederiz)
Neleri alıp satıyorsunuz?
Aklınıza gelebilecek her şey, çoğu tabii ‘Information Based’ şeyler. Genelde 3 gurup şeyler.
1. Herkesin kullanabileceği yani teknik bilgisi olmayanların kullanabileceği:
- - Card Processor'lerden çalınan kart bilgileri (Track1 + Track2)
Bunlar encoder (manyetik kart yazmak için kullanılan araç) ile sahte kartlara yüklenip alışveriş yapılır ya da anlaşmalı dükkanlardan belli bir yüzde ile çekilir.
- - Login'ler
Birçok bankanın Online Site'lerine giriş kodları, gerçek kullanıcının tüm bilgileri (gizli bilgiler dahil, örneğin anne kızlık soyadı ya da banka eğer destekliyorsa müşterinin kendi belirleyeceği gizli sorulara
verilmesi gereken cevaplar vs.)
- - CVV'ler
Kart'ın tüm bilgisi ve kart sahibinin adres, mail vs. bilgileri. Bunlar online alışverişlerde kullanılır.
- - Full'ler
Kart sahibinin mail ve şifreleri, adres vs. bilgileri, banka giriş kodları ve bilumum tüm bilgiler
- - Email List'ler
Spam'ciler yada trojanlarını göndermek isteyenler milyonlarca mail adres listesi alır, bu adreslere email gönderirler. Kendileri gönderemiyorsa satıcıya herkese göndermek istediği mail’i verir ve ilgilendiği ülke vs. kriterlerini belirleyip göndermesini ister. Tabii her extra şey extra para ile olur.
2. Profesyonellerin ilgileneceği şeyler:
- - Card Processor'lerden çalınan Merchant bilgileri:
Bunlar teknik insanlar tarafından satın alınıp "checker" gibi bir servis verilir. Örneğin elinizde kart bilgileri var ve bunların geçerli ve çalışan bilgiler olduğunu test edebilmeniz için siz checker servisine
gidersiniz ve alışverişten önce kontrol edersiniz.
- -Trojan'lar
Bunlar hedef bilgisayarlara sızmak, kontrol altına almak, tüm bilgileri log edip ele geçirmek vs. amaçlarla kullanılır.
- - COBS
Amerikan kart sahiplerinin, bankada kart'ın kayıtlı olduğu adres vs. bilgilerini online olarak değiştirebilmek ve değiştirdiği adreslere online siparişleri ulaştırmak vs. amaçlarla kullanılır.
- - Scam Pages
İlgilendiğiniz bir web sitesinin 1/1 kopyasını kendi server'larınızda çalıştırmak için kopyası yapılır. İnsanların online trafiklerini bu siteye yönlendirip login vs. bilgilerini çalarsınız. Tabii insanlar login olduktan sonra sizin siteniz artik kullanıcıyı gerçek siteye yönlendirip işlemlerini yaptırır ve kullanıcı farkı anlayamaz.
3. Üst düzey profesyonel'lerin ilgileneceği şeyler:
- - Exploit'ler
Microsoft tarafından henüz fark edilmemiş ya da "düzeltilmek istenmeyen" (!) Windows açıklarını kendi trojan'larini yapan insanlar alır, on binlerce bilgisayara enjekte eder ve o bilgisayarları robot gibi kullanır. Yüzlerce amaç için kullanılır bu bilgisayarlar. Örneğin, IP gizlemek (o bilgisayarlar üzerinden online islerinizi yaparsınız), DDOS atakları (başka bilgisayarlara saldırmak, sistem çökertmek vs.), tabii
bilgisayar sahibinin değerli bilgileri varsa çalmak vs.. Tek tek saymak gerçekten imkansız.
- - Custom Solutions (Özel Çalışmalar)
Özel bir proje yapmak istiyorsunuz, çok standart dışı bir şey ve çok özel şeyler gereksinimleriniz var. Gereksinimler elektronik şeyler de olabilir, yazılım turu şeyler de. O zaman ilgili insanlara gider projenizi açıklar ve isteklerinizi karşılayacak çözüm alırsınız. Örneğin ben bu alanda çalışıyorum. Elektronik ve yazılım mühendisliği hizmeti veriyorum.
Tabii bu 3 gurupta daha sıralanacak şeyler vardır, ama siz de takdir edersiniz ki ben sadece size ‘herkesin bildiği’ şeyleri söyleyebilirim.
MICROSOFT’UN FBI VE CIA’LE İŞBİRLİĞİ
* "Düzeltilmek İstenmeyen" Windows açıkları:
FBI gecen sene sonu ve bu sene basında, kendilerinin online suçlarla mücadele için başkalarının bilgisayarlarını ele geçirmek için detect (belirlenemeyen) edilemeyen Trojan (Bilgisayarlardan bilgi çalmak için yerleştirilen yazılım) kullandıklarını resmi olarak açıkladı. Microsoft ilgili yasalar gereği NSA, FBI, CIA gibi kurumlara yardımcı olmak zorunda, bazı açıklar özellikle kapatılmamakta. Tabii bu gibi açıkları biz tespit ettiğimiz zaman o zaman isleri çok zorlaşmakta. Çünkü açıkları bizim kullanmamız onlara karşı operasyon yapmamız riskini meydana getirmekte ve bu onların bir hayli canlarını sıkmakta.

İlgili kapatılmayan açık (yaklaşık 5 senedir!) su anda $50,000'a satılmakta. Kişisel olarak kapatılmayacağına inanmaktayım.

FBI İÇİN GİZLİ KOD EKLEDİ
PGP şirketinin ABD hükümeti baskısı ile PGP v2.0'dan sonra FBI tarafından şifrelenmiş verileri açığa çıkarmak için kod’larına gizli bir kod eklemeye mecbur bırakıldığı resmi açıklamayı 1997'de yaptığı
düşünülürse ki o senelerde PGP çok unlu bir şirket değildi ve çok kişi kullanmıyordu, Microsoft gibi bir her bilgisayarda yazılımı kullanılan ABD şirketinin FBI'a böyle bir hizmet sunması kimse tarafından
yadırganılmamalıdır.

ORTADOĞU’DAKİ ŞİFRELİ VERİ ABD’NİN ELİNDE
Birçok kişiden soru alıyorum, bu tip bilgileri nasıl temin ettiğimiz yönünde, belki siz de merak ediyorsunuz. Gerçek o kadar göz önünde ki, her şey resmen açık istihbarat seklinde. Parçaları birleştirme gücüne sahip ve araştırmaya meraklı herkes görebiliyor. Örneğin ABD Irak'a girdiğinde bir ABD Generalinin açıklaması vardı. "Biz bu bölge de tüm veri iletişimini izliyoruz ve bilinen tüm encryption algoritmalarını 10dk içersinde kırabilecek gücümüz var" şeklindeydi.

Tabii herkes o sırada başka islerle ilgilendiğinden bu gözden kaçtı. Oysaki biz bu açıklamadan sonra yaklaşık 6 ay gece gündüz SSL ve Https algoritmalarını (her ikisi de public/secret key algoritmalari) nasıl kırdıklarını araştırma ile geçirdik. Ben bunu bulup çok uzun bir makale yayınladım. Gerekli altyapıyı kurmanın 13-15 milyon dolar gibi bir maliyeti var. Bu maliyete katlanılıp 5-6 ay gibi bir surede tüm olası public/secret key algoritmasının nasıl neredeyse REAL TIME olarak kırılabileceğini teorik olarak bu iste uzman olan kişilere ispat ettim. Bu algoritmanın önemini size söyle söyleyeyim, dünyadaki tüm bankalar, şifrelemenin üst düzey önemli olduğu bilgi servisleri, gizli servisler, askeri birimler vs. bu algoritmayı kullanmaktadırlar. Zaten olaya hiç teknik bilgiye sahip olmayan bir insan olarak bakarsak dahi her şeyi net olarak görebiliriz ama sorun acaba bakmayı biliyor muyuz?
Gelin hiç teknik bilgisi olmayan insanların yapabileceği ufak bir test yapalım ve kendimize su soruları soralım;
1. İlgili algoritma kim tarafından ve ne zaman bulundu?
Bu algoritma(RSA) resmi olarak(!) 1977'de Amerika’da MIT'de çalışan Ron Rivest, Adi Shamir, and Leonard Adleman adli 3 bilim adamı tarafından bulundu. http://en.wikipedia.org/wiki/RSA
* Aslında bu algoritma 2. Dünya savası sonunda, bir savaşın Hitler'in bilim adamlarına geliştirdiği Enigma'nın çözülmesi ile kazanıldığının farkına varan bilim adamlarının bu yönde çalışmaları ile 1977'den önce bulunduğu düşünülmektedir.
2. Bu algoritma nerelerde kullanıldı?
1985-1989'li yıllara kadar (internet normal insanlar tarafından kullanılmasından önce) sadece ABD'in askeri haberleşmelerde kullandığı GIZLI bir algoritma idi. Daha sonra encryption standardı haline geldi ve dünyanın her yerinde, internet kullanıcılarının HERGÜN (bilerek ya da bilmeyerek) kullandığı bir algoritma haline geldi. Kaynak kodu tamamen açık, herkesin kullanabileceği en güvenilir algoritma olduğu iddia ediliyor.
3. Peki bir ülke (ABD) kendi gizli askeri haberleşmelerinde kullandığı bir algoritmayı, neden ve ne zaman public olarak herkesin kullanımına acar? Bu algoritmayı kendi ülkesine zarar vermek isteyen teröristler dahil olmak üzere diğer ülkelerin de kullanmasını neden ve ne zaman isteyebilir?

F16’LARI ABD’YE KARŞI KULLANAMAYIZ
Kritik soru bu iste... Bir ülke böyle bir şeye SADECE eğer o algoritma kendi aleyhinde kullanıldığında kendisi için bir risk teşkil etmiyorsa yapar. Yani kendisi bu algoritmayı kırıyorsa ve kırmak başkaları için son derece zor ise, o zaman başkalarının bu algoritmayı kullanmasını teşvik etmeye başlama zamanı gelmiştir. Diğer hallerde, hiçbir ülke ya da hükümet, başka ülkelerin ya da hükümetlerin, kendisini kendi geliştirdiği bir "silah" ile vurmasına izin vermesi hayatın akısına aykırıdır.

(F16'larin teknoloji transferi ile tüm teknolojisi Türkiye’ye getirilip üretimine izin veriliyor da, asıl microchip neden sadece ABD tarafından dizayn edilip bize verilmekte? Bir şekilde eğer Amerika ile savaş çıktığı zaman sizce biz onları, onların geliştirdiği silahlarla vurabilecek miyiz? Bize yaptıkları teknoloji transferlerinin her can alici key'ini ellerinde tutmaları kimsenin dikkatini çekmiyor mu? İlgili
şeylerin kendi alemlerinde kullanımı halinde herhangi bir önlem almadıklarına mı inanıyor musunuz?)
Bu alışverişte sizlerin kazancı ne oluyor?
Escrow hizmeti %5 gibi bir ücreti var. Bu paralarda online Board/Forum, Server kiraları, kısacası online aktivitelerin finansmanı gibi konulara harcanmakta. Kısaca başkalarının alışverişlerinden kişisel olarak para kazanılmamakta. Bu gibi şeyler gönüllü olarak, karşılıksız yapılır, bu yüzden bu konumlara gelmiş insanlara diğer insanlar büyük saygı duyarlar. Örneğin ben, herhangi bir zaman, hiç para vermeden herhangi bir Vendor'dan dilediğimi, dilediğim miktarda alabilirim. O bilir ki benim mutlaka istememin bir nedeni vardır, sadece bana verir, sormaz bile.
GÜVENİLİR SUÇLU OLUR MU?
Sanal alemde 6 basamaktaki hırsızlar kaçtığı zaman, maliyeti kim yükleniyor?
Satıcı dolandırılmış oluyor. Sadece hırsızın IP vs. bilgileri teshir edilip Scene'den atılıyor, ve başka isim kullanarak ve kendine bir kefil bularak tekrar gelirse, tespit edildiğinde, kendisine kefil olan kişi
ile beraber tekrar atılıyor. Escrow gerçekten hırsızların elini-kolunu bağlayan bir sistem. Kimse kimseye kazık atamıyor. Siz tabii, genel suçlu profili aklınıza geldiği için ve derinlikleri bilmediğiniz için, Güvenilir Suçlu olur mu diye düşünebilirsiniz ama Scene'de diğer yerlerde bulamayacağınız güvenilir insanları bulabilirsiniz. Örneğin 100,000 Euro'luk bir alışverişte 3 kişi (alici, satıcı, escrow) herkes birbirine güvenir ve bu insanlar sadece sanal karakterlerdir, buna rağmen herkes birbirine güvenir. Para dolaşır, ve sahibini muhakkak bulur. (100,000euro'luk bir araba almaya gittiğinizde, parayı peşin verip hiçbir belge almadan aracı yarın teslim edeceğini söyleyen bir insana güvenir miydiniz gerçek hayatta?)
Sadun Özkaya ve ekibi kim tarafından kullanıldı?
Olay yargı aşamasında olduğu için fazla birsek söylemem doğru değil. Ama Rus'lar tarafından kullanıldılar.
Sadun Özkaya’nın tutuklandığı, Kier’in bize bilgi verdiği Türkiye’deki banka soygunu olayı nedir? Bu olayın sizinle ilgisi var mı?
O olay dünyada birçok bankanın basına gelmiş bir olay. Daha önce size söylediğim gibi, banka Debit Kartlarında CVV kullanmıyor. Sadece service code olan 120 kullanılıyor. Eğer bir suçlu, kart numarası,
geçerlilik süresi ve şifreyi öğrenirse (online trojan'lar vs. vasıtası ile ve ayrıca bankanın internet sitesine login olup oradan sağlayacakları bilgilerle) bunları boş kartlara yazıp ATM'lerden para çekebilir.
Kier ‘banka’ olayını kısmen açıklamış zaten. O'nun söylediklerini tekrar etmek istemiyorum (Teknik bilgiler veriyor)
Diğer sorunuz olan benimle ilgisi olup olmadığına gelince; Kier ve arkadaşlarının başlarda bana geldikleri ve sistemi çözmem için yardım istedikleri doğrudur ve kendisinin de kısmen söylediği gibi kendilerine benim böyle basit şeylerle uğraşacak zamanım olmadığını söyleyip başka kaynaklar aramasını tavsiye ettim. Ama herhangi bir Rus gurup veya birilerine yönlendirmedim. (Bu bilgiler daha önce yayınlanan yazı dizisindeki iddialara cevap olarak veriliyor)
Pos modifiye ettiğiniz iddiaları doğru mu?

Doğrudur. Dünyadaki tüm son sistem POS'larda bulunan "Tamper Proof" security'i hardware ve software yöntemleri ile geçebilen tek kişi benim.
CHAO BANKALARA DANIŞMANLIK YAPIYOR
İsmini veremeyeceğim birkaç banka ve kurumlar için Güvenlik Danışmanlığı da yapmaktayım (Türkiye harici). Bu size garip gelecektir ama özellikle Türkiye dışındaki banka'lar bizlerden Danışmanlık Hizmeti almaktan çekinmiyorlar. Sistemin her açıklarını biz nerdeyse bir bakışta görebiliyoruz ve konuya Yeterince Rasyonel bakabilen insanlar da bunu görmektedirler ve bu yüzden bizden rapor hazırlamamızı vs. istemektedirler. NDA bile imzalattırıyorlar çoğu kez. Tabii ki, Türkiye’de isler değişik. Türkiye’de kurumsal bazda dahi Rasyonalite'den çok duygusal olarak isler yürümekte. Siz gidip ilgili bankaya beni güvenlik konusunda tavsiye ederseniz, muhtemelen banka patronu sizi isinizden attırmak için elinden geleni yapacaktır.
Kaç tane Scene Maker (sanal alemde yönetici) var?
Çok fazla yok. Ama bu bilgi size ve diğer normal insanlara bir fayda sağlamayacağı için söylemek istemiyorum.

Röportajın yapıldığı dönemde verilen bazı bilgileri ve konuyla ilgili güncelliğini yitirmiş bazı kısımlarını çıkarttık. ChaO, ‘sanal banka soygunu’ olayını araştırdığımız sırada, haberde adı geçmesi üzerine bize bir açıklama yapmış ve açıklama sonrası sorularımıza cevap vermişti. Bu süreçte ilk bilgileri veren Kier, ChaO’nun Ergenekon’la bağlantılı olabileceğini iddia etmiş ve bu iddiasını belgeleriyle birlikte kanıtlayacağını bildirmişti. Bunları söyledikten sonra Kier ortadan kaybolmuştu. ChaO’nun adamları Kier’i bulup sorgulamış ve yarı çıplak fotoğraflarını çekerek Haber 7’ye göndermişlerdi. Kier’in oradan kaybolmasını ChaO’ya sormuştuk ancak ChaO sadece sorguladığını ve sonra serbest bıraktığını bildirmiş, sonrasından ise bilgisi olmadığını aktarmıştı. ChaO Ergenekon’la ve Türkiye’deki legal ve illegal bir yapılanmayla bağı olmadığını da vurgulamıştı.
Tüm bu gelişmelerden sonra Emniyet’ten yapılan açıklamada ChaO takma adlı Çağatay Evyapan’ın ve yardımcılarının, kullandıkları teknik donanım ve cihazlarla birlikte 08 Eylül’de yakalandığı açıklandı.

Haber 7

Hiç yorum yok:

Yorum Gönder

Yorumlama biçimi kutucuğundan Adı/Url 'yi seçerek, isminizi ve dilerseniz mail veya site adresinizi yazıp yorumunuzu gönderin. Yorumunuz Editör onayından geçerse yayınlanacaktır. Küfür, Hakaret, İftira ve SİYASİ içerikli yorumlar ve Adı Soyadı belirtilmeyen yorumlar yayınlanmıyacaktır. Surgucum