“Bilgisayar korsanı” (bundan sonra yazıda “hacker”[1]) kavramının genellikle zihnimizde olumsuz bir imajı vardır. Belki de bu olumsuz imajdan dolayı Türk Dil Kurumu, bu kavramı[2] “bilgisayar ve haberleşme teknolojileri konusundaki bilgisini gizli verilere ulaşmak, ağlar üzerinde yasal olmayan zarar verici işler yapmak için kullanan kimse” olarak tanımlamaktadır. Ancak hackerlar hakkında, bu tanımda olduğu gibi, bir genelleme yaparak hackerların hepsini tek ve olumsuz bir çatı altında toplamak aslında yanlıştır. Bu durumu daha iyi açıklayabilmek için öncelikle “hackleme” eyleminin ve “hacker” kavramlarının birer nötr tanımları yapılmalıdır.
Hacker adı verilen kişi aslında “hackleme” eylemini gerçekleştiren kimsedir. Hackleme eylemi ise “internet bağlantısı veya fiziksel bir bağlantı sayesinde bir sisteme veya bilgiye sıradan olmayan yollardan ulaşabilmek” olarak tanımlanabilir. O hâlde, “internet bağlantısı veya fiziksel bir bağlantı sayesinde bir sisteme veya bilgiye sıradan olmayan yollardan ulaşabilen kimseye” de hacker dendiği belirtilebilir.
Aslında hackerların hepsi kötü bir amaç için hackleme eylemini gerçekleştirmemektedirler. Kötü niyetli hackerlar olduğu gibi iyi niyetli hackerlar da mevcuttur. Zaten bu ayrım beyaz şapkalı, gri şapkalı ve siyah şapkalı hackerlar arasındaki farkı oluşturmaktadır.
Beyaz şapkalı hackerlar iyi niyetli ve yasal hackleme yapan kimselerdir. Bu nedenle beyaz şapkalı hackerlar etik hackerlardır. Bu grup hackerlar genellikle bir şirket için çalışırlar ve (bu şirketin isteği ve izni doğrultusunda) bu şirketin bir sisteminin veya bilgisinin ulaşılabilirliğini kontrol edebilmek için bu sistemi veya bilgiyi hacklemeye çabalarlar.[3] Amaçları bu sistemin veya bilginin karşılaşabileceği potansiyel tehlikeleri tespit ederek bunları şirkete bildirmektir. Bu sayede bu potansiyel tehlikeler kötü niyetli bir hacker tarafından tespit edilmeden önce düzeltilerek şirketin korumaya çalıştığı sistemin ve bilgilerin güvenliği sağlanmış olur. Örneğin, bir şirketin bilişim teknolojileri departmanında çalışan personel, bu şirketin internet sitesinde bulunan ve başka hackerlar tarafından kötü bir amaç için kullanılabilecek olan boşlukları (departman şefinin bilgisi kapsamında ve yazılı izni doğrultusunda) bu internet sitesini hacklemeye çalışarak tespit ettikten sonra şefine bildiriyorsa ve böylece bu bilgiler, internet sitesinin güvenliğinin güçlendirilmesinde kullanılıyorsa söz konusu personel beyaz şapkalı hacker grubuna girmektedir.
Gri şapkalı hackerlar iyi niyetli ancak yasal olmayan hackleme yapan kimselerdir. Gri şapkalı hackerlar kimilerine göre etik olan, kimilerine göre ise etik olmayan hackerlardır. Örneğin bir hacker, bir şirketin sistemine izinsiz giriş yaptıktan sonra bu sistemde tespit ettiği eksikleri (sisteme hiçbir şekilde zarar vermeden) şirkete bildirip şirketin sistemindeki güvenliğin güçlendirilmesini sağlıyorsa bu hacker bir gri şapkalı hackerdır. Yani söz konusu hackerın yaptığı iş iyi niyetlidir, ancak işin izinsiz yapılması bu hackerı yasa dışı yapmaktadır. Aynı şekilde eğer bir hacker bir sistemi veya bilgiyi kamu yararı için hackliyorsa ve bulduğu bilgileri ve/veya açıkları kamu ile paylaşıyorsa bu hacker, gerçekleştirdiği iyi niyetli ancak yasal olmayan hackleme eylemi nedeniyle gri şapkalı hacker grubuna girmektedir.
Siyah şapkalı hackerlar ise kötü niyetli ve yasal olmayan hackleme yapan kimselerdir. Bu nedenle de siyah şapkalı hackerlar etik olmayan hackerlardır. Siyah şapkalı hackerların eylemleri devletler, büyük şirketler ve özel kişiler için sorun yaratmaktadır. Çünkü siyah şapkalı hackerlar devletlerin, büyük şirketlerin ve özel kişilerin çeşitli bilgilerini (gizli devlet bilgileri, gizli şirket bilgileri, kişisel kredi kartı bilgileri, v.b.) ele geçirerek bu bilgileri kişisel çıkarları için kullanmaktadırlar (şantaj yapmak, para kazanmak, v.b.). Aslında “hacker” kelimesini duyduğumuzda kafamızda oluşan olumsuz hacker imajının siyah şapkalı hacker grubuna ait olduğu söylenebilir.
Sonuç olarak, hiçbir olayın iki zıt kutuptan oluşmadığı ve her olayda nüansların var olduğu söylenebilir. Bu durum, “hackleme” eyleminin ve “hacker” kelimesinin tanımları için de geçerlidir.
[1] Bu yazı “hacker” kelimesinin Türkçede “hekır”, “hack” eyleminin de Türkçede “hek” olarak telaffuz edildiği düşünülerek yazılmıştır
[2] Söz konusu tanım, Türk Dil Kurumu’nun internet sayfasında bulunan Güncel Türkçe Sözlük’te mevcuttur.
[3] Bu hackleme işi genellikle önceden belirlenmiş ve idarenin de bildiği bir takvim çerçevesinde gerçekleştirilmektedir