10/08/2010

İnsan İstihbaratı ve Robin Sage Deneyi

The Washington Times gazetesinde 18 Temmuz günü yayınlanan bir haber, teknolojinin ve özellikle internetin sunduğu imkânların, istihbarat ve daha geniş bir çerçevede ulusal güvenlik alanında ne derece önemli bir silah haline geldiğinin göstergesi gibi idi.

Haberde ele alınan olay, kısaca şöyle:

Robin Sage isimli 25 yaşında, profil fotografına bakılacak olursa güzel ve alımlı, Massachusetts Teknoloji Enstitüsü mezunu ve ABD Deniz Kuvvetleri'ne bağlı Donanma Ağ Muharebe Komutanlığı'nda (Naval Network Warfare Command) "siber tehdit uzmanı" olarak çalışan bir bilgisayar korsanı, ABD Silahlı Kuvvetleri, istihbarat ve güvenlik teşkilatlarına mensup çok sayıda (300'den fazla!) kişi ile Facebook, Twitter, LinkedIn gibi sosyal ağ siteleri üzerinden arkadaşlık kurarak çok sayıda gizli bilgiyi ele geçiriyor ya da bu bilgileri edinecek kadar yeterli ipucu, done, veri ediniyor. Google ve Lockheed Martin gibi çok sayıda büyük şirketten siber güvenlik danışmanlığı teklifleri alıyor. Kısa süre içinde bu kadar geniş bir çevre edinmesinde, yazışmalarında "güzel, zeki ve biraz da hafifmeşrep" bir profil çizmesi etkili oluyor.

Ancak ufak bir sorun var: Robin Sage gerçek değil! Thomas Ryan adlı, New Yorklu bir yazılım uzmanının yarattığı sanal bir karakter. İnternet ortamındaki yegâne profil resmi de bir porno sitesinden alınmış.


Robin Sage'nin profil fotografı
Robin Sage, zekası ve işvesi ile e-posta adres ve şifreleri, banka hesap numaraları, çok sayıda askeri üssün konum ve faaliyetleri gibi bilgilere erişiyor. Bu bilgilerin bir kısmını sadece mesajlaşma ile, bir kısmını da söz konusu sosyal paylaşım sitelerindeki fotograflar, fotograf altı yorumlar, "durum güncellemeleri" (status updates) gibi bilgi kırıntılarını analiz ederek elde ediyor.

İşin daha da ilginç yanı, literatüre Robin Sage Deneyi (Robin Sage Experiment) olarak geçen bu "operasyon"un Aralık 2009 - Ocak 2010 arasında, yani topu topu 1 ay içinde gerçekleştirilmiş olması.

Her ne kadar Wikileaks'in yarattığı gümbürtünün yanında çok fazla dikkat çekmese de, Robin Sage Deneyi, insan istihbaratının (HUMINT) önemini bir kez daha ortaya koydu.

Sinyal istihbaratı, elektronik gözetleme ve takip, istihbarat uyduları ve benzeri çok sayıda yüksek teknoloji içeren istihbarat sistemleri aslında sadece yardımcı birer araç durumunda. Bilgiye en net, kesin, güvenilir ve hızlı şekilde, o bilgiye sahip olan kişiden ulaşılır. Bir örnekle açıklamak gerekirse, bir ülkenin üzerinde çalıştığı bir uçak projesi ile ilgili bilgi edinmek için o uçağın üretildiği fabrikaya girmek ve/veya o projede çalışan bir mühendise erişmek, projenin gerçekleştirildiği bölge üzerine casus uydu göndermekten, çeşit çeşit sinyal ve görüntü toplama sistemi kullanmaktan çok daha etkilidir.

Bu olay ayrıca, bilgi güvenliği (INFOSEC) ve harekât güvenliğinin (OPSEC), bireysel özdenetim ve özdisiplinden başladığı gerçeğini gözler önüne serdi. Ortalamanın üstü tecrübe ve yeteneğe sahip, kararlı bir kişi, sosyal paylaşım ağlarını kullanarak, hedefindeki güvenlik kaidelerine riayet etmeyen kişiye ait,
  • Geçmişte ya da halen görev yapılan birlik ya da kurum, 
  • Kullanılan araç, gereç ve sistemin nicelik ve/veya niteliği,
  • Birlik ya da kurumdaki diğer kişilerin kimlikleri, ayırt edici özellikleri, ailelerine ilişkin bilgiler (çocuk, eş ve akrabaların sayıları, isimleri, yaşanılan şehir, muhit, maddi ve sosyal durum vb)
  • Özel zevkler, hobiler
  • Tepki gösterilen, takdir edilen olay, durum, hareket vb duygusal özellikler

gibi bilgilere rahatlıkla erişebilir. Nitekim bazı hırsızların, gözlerine kestirdikleri ev sahibinin twitter sayfasını takip edip ne zaman nerede olduğunu, dolayısıyla evlerinin ne zaman boş olduğunu tespit ettiği ortaya çıkmıştı.

Bir örnek vermek gerekirse, Facebook'daki asker arkadaşlarının kurduğu grup sayfalarında ("xx birliğinde x tertip askerlik yapanlar" gibi) yer alan fotograflar ve bu grupların sayfalarına yazılan, yapılan görevler ve komutanlar hakkındaki anı ve yorumlardan, söz konusu birliklerin nitelik ve niceliklerine ait detaylara ulaşmak mümkün olabilmekte.

İstihbaratın entelektüel bir faaliyet olduğu söylenegelir. Masabaşında bilgisayar, kalem, kağıt ve bolca beyin fırtınası ile yapılan bir analiz-sentez; pahalı arabalar, teknolojik oyuncaklar ve güzel kızlarla yapılan James Bond operasyonlarından daha çekici değil muhakkak. Ancak bilgi güvenliği konusunda kendi denetimine dikkat etmeyenler için birinci gruptaki istihbaratçılar çok daha büyük tehlike durumunda.


EK: Sevgili Burhan Özşahinoğlu'na, "Türkiye'deki Kamu Kurumlarında Sosyal Mühendislik Uygulamaları" başlıklı makaleyi önerdiği ve TÜBİTAK UEKAE'ye ait Ulusal Bilgi Güvenliği sitesini hatırlattığı için teşekkürler. 

1 yorum:

Adsız dedi ki...

Gerçekten güzel bir yazı olmuş. Ben de kendi çapımda insanlar hakkında fikir edinmek için sosyal paylaşım, arkadaşlık sitelerini takip ediyorum. Sivil vatandaş halimle birisi hakkında az çok bilgi sahibi olabiliyorsam istihbarat örgütlerinin neler yapabileceğini tahmin etmek zor değil. 21.yy istihbarat toplamak için en kolay zaman dilimi olsa gerek.