Çağın Ulubatlıları Beyaz Hackerlar
Fetih ayındayız. Bundan tam 12 sene önce yine bir fetih ayında “Bakalım elimizde ne var? Warcraft Gazileri Knight Fatihleri” şeklinde bir kapak yapmıştık. Önermemiz biraz naif de olsa şuydu: Sanal oyunlarda vaktini boşa harcadığını düşündüğümüz gençlerimiz aslında orada yeni dönemin ruhuna uygun bir mücadele yöntemi ediniyor olabilirlerdi. “Ne diye oyunda oynaştasın” dediklerimiz aslında çağın istediği nitelik ve becerileri kazanıyorlardı da biz farkında değildik. Bugün geldiğimiz noktada çok da haksız olmadığımız anlaşılıyor. Savaşlar artık sanal düzlemde gerçekleşiyor. Hacker bu savaşı yürütenlere verilen isim. Dolayısıyla hackerlık günümüzün en itibarlı mesleklerinden birisi haline geldi. İyi ve usta hackerların çekirdekten yetişmek için günlerini ve gecelerini neredeyse çocukluktan itibaren bu alana hasretmeleri gerekiyor. Şüphesiz hackerların da iyisi var, kötüsü var. Biz bu sayımızda bu mesleğin beyaz hacker da denilen iyilerini ele alıyoruz. Çoğu gençlerden oluşan bu grup kapalı kapılar değil açık ekranlar ardında o kadar önemli işlere imza atıyorlar ki biz onlara çağın Ulubatlıları demekten kendimizi alamıyoruz. Dosyamız, inanıyoruz ki savaş, fetih ve fatihlik kavramlarını yeniden değerlendirmenizi sağlayacak.
“Hack” işlemi, bir başkası tarafından kurulan düzenin, gerçekleştirilen bir işin, yine bir başkası tarafından düzenlenmesi esasına dayanır. Ne kadar bizim dilimizde bilgisayar ile haşır neşir olan kişilere “hacker” muamelesi yapılsa da, aslında hacker, şahsi veya kurum ve kuruşlara ait ağlara, sistemlere ve bilgisayarlara nasıl sızılabileceğini tespit eden ve izinsiz olarak iyi veya kötü niyetli sızan kişilere denir. Türk Dil Kurumu’nun (TDK) da internet üzerindeki sözlüğüne göre bu kelimenin anlamı “Bilgisayar ve haberleşme teknolojileri konusunda bilgi sahibi olan, bilgisayar programlama alanında standardın üzerinde beceriye sahip bulunan ve böylece ileri düzeyde yazılımlar geliştiren kişi” olarak tanımlıyor. Yani her bilişim uzmanı için hacker potansiyeli taşıyor diyebiliriz.
Hacker: İstemezse Asla Yapmaz!
Buraya kadar her şey tamam ama maalesef her şey TDK’nın tanımı kadar normal değil. Hackerlık; alanına, becerisine ve en nihayetinde maksadına göre şekillenen bir faaliyet alanı. Hackerlar bu işe kimi ticari, kimi savaş kimi de dava gözüyle bakıyor. Hepsinin ortak özelliğinde de özgür olma, kontrol edilmeme isteğinin belirdiğini görüyoruz. Yani bu adamlar inandıkları şeyi yapıyor ve inanmadıkları ve istemedikleri hiçbir şeyi yapmıyor...
Günümüzde yaygın ifadeyle kullanılmakta olan 3 farklı hacker var:
-Siyah şapkalılar,
-Gri şapkalılar,
ve Beyaz şapkalılar.
Siyah Şapkalılar (Black Hat)
Hackerlar içerisinde en zararlı ve tehlikeli olan gruptur. Siyah şapkalı bir hacker keyfi ve büyük olasılıkla bir çıkarı için bilgisayarınızı, cep telefonunuzu, arabanızı hatta daha da ileri giderek çok özel devlet mercilerinin yazılımlarını ve internet sitelerini hackleyebilir. Özellikle bankaların sistemlerini hackleyerek maddi kazanç elde etmeye çalışırlar.
Gri Şapkalılar (Grey Hat)
Adından da anlaşılacağı üzere gri şapkalı hackerlar siyah ve beyazın ortasında; yani tam olarak hangi taraftan oldukları belli olmayan; daha çok kişisel menfaatleri için hack yapan, bunun karşılığında da para kazanan gruptur. Bu yüzden iyi veya kötü olduklarını söylemek zordur. Birçoğu bilgi çalmaz, çalsa da karşılığını aldıktan sonra o bilgileri imha ederler.
Beyaz Şapkalılar (White Hat)
Ve geldik beyaz şapkalı hackerlara. Beyaz şapkalı bir hackerla karşılaşırsanız asla korkmayın çünkü güvendesiniz. Birçoğu özel şirketlerde, devlet dairelerinde ve özel birimlerde çalışır. Bir gaye, amaç ve hizmet maksadıyla bu işi yaparlar. Siyah şapkalı bir hacker ne kadar bilgiliyse, beyaz şapkalı bir hacker da o kadar bilgilidir. Onlar sanal alemin görünmez kahramanları; siyah şapkalı hackerların korkulu rüyasıdır.
Çağın Fatihleri...
Başlığımızda da ifade ettiğimiz gibi biz beyaz şapkalı hackerlar için Çağın Fatihleri diyoruz. Nasıl ki ülkeler arasında savaşlar oluyor, bu savaşlar aynı zamanda sanal ortamda da kendisine yer buluyor; işte burada devreye beyaz şapkalı hackerlar girerek her biri özel, sanal askerlere dönüşüyor!
Önemli, dikkatli ve büyük destekler alması gereken bu hackerlar aramızda, oturduğumuz binada veya iş yerimizde olabilirler. Birçoğu bu işi gizli olarak ve maddi kaygı gütmeksizin yapar. Dilerseniz özellikle gençlerin çok ilgisini çeken beyaz hackerları biraz konuşalım...
Beyaz Şapkalı Hacker
Ne Yapmaz?
- Instagram, Facebook, Twitter, mail hacklemez,
- Format atmaz,
- Yasadışı işlemler yapmaz.
Ne Yapar?
- Bilgisayar ile ilgili sorunlarınızı çözebilir,
- Sistemlerin daha güvenli çalışmasını sağlar,
- Bozulmuş ya da güvenlik zafiyetine uğratılmış bir sistemin, nasıl o hale geldiğini araştırabilir,
- Sistemlerdeki zafiyetleri bulup sistem sahibine raporlar.
Dünyanın Yeni Gündemi Siber Güvenlik
Yavuz Selim Yüksel / Bilişim Teknolojileri ve Siber Güvenlik Derneği Yön. Kur. Bşk.
Yetenekli, pırıl pırıl, imanlı, milli duygulara sahip gençler görüyoruz. Bunlara öncülük edip yol göstermemiz lazım. Bunların içerisinden yazılım bilecek, siber güvenlik tarafında konumlandırılacak, zekâ seviyesine göre bir organizasyon kurulması lazım. Bu da ancak sivil toplum kuruluşlarıyla olabilir diye düşünüyorum.
Hackerlik kavramının ortaya çıkışından bahsedebilir misiniz? Hackerlar hayatımıza ne zaman girdi?
Hackerlik kavramı ülkemizde anlaşıldığı gibi bir kavram olarak başlamadı. Mesela, birçok teknoloji sitesinde ev ile ilgili aletleri değiştirip amacı dışında, daha iyi bir amaca hizmet edecek şekilde dönüştürme işlemine “hack” diyorlar. Aslında akıllı, sıra dışı insanların sıra dışı yöntemler kullanarak birtakım aletleri, bu konvansiyonel aletlerde olabilir, dijital aletlerde olabilir, farklı bir amaç için kullanmaları, kontrol etmeleri olarak değerlendirebiliriz. Bizdeki hackerlik kavramı veya hacker dediğinizde dünyada anlaşılan kavram dijital bir sistemin yetkisi olmayan kişiler tarafından kullanımının ele geçirilmesi olarak algılanıyor ama aslında zeki insanların değişik yöntemlerle birtakım cihazları farklı amaçlarla kullanması olarak ortaya çıkıyor.
Bahsettiğiniz gibi hackerlik denince halkın zihninde negatif bir çağrışım oluşuyor ama bunun karşısında “beyaz şapkalı” diye tabir edilen hackerlik kurumu var. Biraz da bundan bahsedebilir misiniz bize?
Hackerlar kendi aralarında üç sınıfa ayrılır: Siyah Şapkalı, Gri Şapkalı, Beyaz Şapkalı. Siyah Şapkalı hackerlar; kötü olarak sınıflandırdığımız, ticari amaçlarla zarar veren insanlar ya da devletlerin istihbarat örgütleri olabilir. Bunun yalnızca bireyler değil devletler boyutunda da düşünebiliriz.
Bir de Gri Şapkalı hackerlardan bahsedebiliriz. Bunlar ekseriyetle aktivist gruplardır. İnsanlığa zarar verdiği için zarar verdiğini iddia ederler. Kişilere, siyasi-politik durumlara tepki ya da insan hakları ihlalleriyle ilgili durumlarda Siyah Şapkalı tarafına geçip ticari amaçlarla zarar verebiliyorlar.
Son olarak beyaz şapkadan bahsediliyor. Ülkemizde son 2-3 senedir popüler bir konu haline geldi. Popüler olmasının en önemli sebebi dünyadaki güvenlik anlayışındaki değişiklikler oldu. Hackerleri anlamadan, onların nasıl iş yaptığını anlamadan sadece defansif bir güvenlik anlayışının çok işe yaramadığı, çok etkin sonuçlar alınamadığı ortaya çıktı. Özellikle birçok hacker, mesela bir sisteme sızdığında yaklaşık 265 gün sistem içerisinde hiçbir şey yapmadan bütün trafiği analiz edenler var, bütün işleyişi öğreniyor, ondan sonra zarar veriyor. Bu anlayışın karşısında dediğim gibi standart network güvenliğinden anlayan klasik ekiplerle bu iş yürümedi. Sonrasında ofansif yani karşı tarafın araçlarını kullanan, saldırma becerisine sahip olan, bir sistemi hackleyebilecek yetenekleri olan güvenlik uzmanları yetiştirildi. Bunlar sistemleri koruyan, çevreye zarar vermeyen, ticari amaçları olmayan, şirketlerin kadrolu çalışanları oldular. Bunlar da beyaz şapka olarak literatüre geçtiler.
Türkiye’de 30 bin, Çin’de 10 Milyon Hacker...
Ülkemizdeki beyaz şapkalı hacker ihtiyacının 30 bin civarı, Amerika’da ise 1.5 milyon olduğu söyleniyor. Çin’e bakıyorsunuz yaklaşık olarak 10 milyon beyaz şapkalı hacker yetiştirecek eğitmenler yetiştiriyor. Tüm dünya bu işe dört elle sarılmış durumda. Dünyanın yeni gündemi siber güvenlik diyebiliriz. Konjonktür gereği konvensiyonel yöntemlerle yapılan savaşların sonuna geldiğimizi, harp stratejilerinin dijitalleştiğini görüyoruz. Bu açıdan siber güvenlik alanını çok kritik görüyorum.
İstihbarat birimlerinin hackerları kullanma durumu söz konusu. Bundan biraz daha bahsedebilir misiniz? Hangi yöntemleri kullanıyorlar, insanlara nasıl etki ediyorlar?
Bunun en güzel örneği Mark Zuckerberg örneği. Amerikalılar Trump gibi adamı başkan olarak istemediler ama nasıl olduysa sandıkta böyle bir sonuç çıktı. Mesela Trump’ın kendi FBI direktörü birtakım belgeler, iddialar ortaya attı ve ondan sonra görevinden istifa ettirildi. Rus hackerlar tarafından Amerika’daki seçim sonuçlarının manipüle edildiğini iddia etti. Sonrasında Cambridge Analytica olayı patladı.
Cambridge Üniversitesi, soğuk savaş dönemi yani Amerika ile Rusya’nın birbirileriyle sürekli istihbarat ve diğer savaşları döneminde Rus casusların, bilim adamlarının konuşlandığı üniversitedir. “Cambridge Five” denilen bir ekip var. Beş tane profesörden oluşan bir casus ekibi. Facebook olayında Cambridge üzerinde çalışma yapılıyor. Bu istihbaratı yani seçim sonuçlarının değiştirilme operasyonunu kuvvetlendiriyor. Mesela biz şöyle deriz; Facebook kullanıyorum, özel bir şeyim yok bana ne yapabilirler. Ama Amerikan Senatosu, Zuckerberg’e yaklaşık 3-4 saat süren bir soruşturma yaptı. Kendisine şunları sordu: “Hangi otelde kalıyorsunuz?” Söylemek istemedi. En son “kimlerle yazıştın?” dedi. Onu da söylemedi. “Peki, bunları niye söylemiyorsunuz?” dedi. Zuckerberg’de; “bunlar benim kişisel verilerim, bana özel” dedi. “Ama çok sıklıkla duyum alıyoruz ki siz telefonların mikrofonlarını açıp ortam dinlemesi yapıyormuşsunuz” diye de eklediler. O da reddetti. Aslında şöyle bakmalıyız olaya; bir sosyal medya paylaşım sitesi bile birçok insanın çok pahalı satılan teknolojik cihazlarla birtakım verilerini topluyor.
Türkiye’de Mekanizma Yok
Ülkemizde siber güvenlik alanında eğitim çalışmaları ne durumda?
Bizim derneğimize günde 20’ye yakın başvuru geliyor. Bunların çoğu da ortaokul-lise çağındaki genç çocuklar. Mekanizma yok. Bunlara sahip çıkacak, bunları yetiştirecek… Farklı mekanizmalar var ama onlar da başka bir şeye hizmet eder hale dönüşebiliyor. Mesela BTK-Bilgi Teknoloji Kurumu 2 sene önce siber ordu kuruyoruz dedi, gençleri bünyesine katacağını belirtti ama bu işin böyle olmaması gerekiyor. Biz sahada çok çalışma yapıyoruz; birçok yetenekli, pırıl pırıl, imanlı, milli duygularına sahip gençler görüyoruz. Bunlara birinin öncülük edip onlara erken yaşlarda mentorluk yapması, yol göstermesi lazım. Bunların içerisinden yazılım bilecek, bunların içerisinden güvenlik tarafından konumlandırılacak, zekâ seviyesine göre bir organizasyon kurulması lazım. Bu da ancak sivil toplum kuruluşlarıyla olabilir diye düşünüyorum.
STK’lar Ön Ayak Olmalı
Devletin güvenlik birimleriyle bu iş olmaz maalesef. Kendi içlerinde departman olabilir ama esas sivil toplum kuruluşları bu işe önayak olmalı. Çünkü kurumların ortak problemi, yetişmiş insan bulunamaması. İnsan yetiştirmek için çekirdekten eğitmek gerekiyor.
Sanal Alemde Güvenlik Çok Zor
Fatih Çal / Bilişim Uzmanı
Beyaz hacker ne demek?
“Beyaz hacker” ifadesi aslında bizlerin kullanmış olduğu bir tabirdir. Beyaz şapkalı ve siyah şapkalı tanımları geçmişte-günümüzde ki şu aralar pek de kullanımı tercih edilmemekte birlikte hacker olarak adlandırılan şahısların ortaya koydukları niyet ile alakalıdır. Yani beyaz şapkalı hacker, “barış elçisi”, siyah şapkalılar ise “karayip korsanları” olarak bilinir. Siber güvenlik dünyasında güncel yaklaşım “Red Team/Blue Team” isimleri ile tanımlanmaktadır. Dediğimiz gibi bu ifadeler sadece niyetleri belli eder ve bu akıllanmaz(!) güruhu bir yere/yöne doğru kanalize etmek için kullanılır.
Hacker olmak için belge gerekir mi?
Hayır, “hack” yapmak için bir belgeye ihtiyaç yoktur. Bu iş ilgi ve yetenek işidir. Ama yine de yaklaşımlar neticesinde “sertifikasyon” kısmı da ortaya çıkmış, siber güvenlik uzmanlarının kendilerini kanıtlayabildiği ve eğitim neticesinde başarılı oldukları bazı sınavlarla bu unvanı kullanabilmelerinin sağlanmıştır. Bu belge ve unvanlar ile ilgi ve yetenekleri artık gerekli izinleri alarak ilgili kurum ve kuruluşların güvenlik zafiyetlerini bulmak ve kapatmak için kullanıyor ve bu işten para kazanabiliyor.
Sanal ortamdaki güvenlik zafiyetleri ciddi bir tehlike. Burada hackerların rolü nedir?
Bilgisayar sistemlerinde güvenlik zafiyeti, yürürken hangi ayağımızla adım attığımızı düşünmediğimiz sırada, belediyenin henüz kapatmadığı rögar çukurları gibidir. Siz bilgisayarınız ile milyarlarca bilgisayarın ya da cihazın yer aldığı ortama giriyorsunuz ve herkese “Arkadaşlar, aranızdayım, bakın bu benim bilgisayarım, istediğinizi yapabilirsiniz, hadi eğlenelim!” diyorsunuz, işte tam bu sırada “hacker” denilen şahıs ya da şahıslar, size yaklaşıp, hâl hatır sorduktan sonra cebinizi yokluyor, acaba neler bulabiliriz düşüncesiyle ya da buradan nasıl faydalanırız diye düşünüyorlar. Bu olaya da güvenlik zafiyeti diyoruz. Bu zafiyetler, tespit edildikleri alanlara göre sınıflandırılır ve adlandırılır.
Kullanıcılara kendilerini korumaları için neler tavsiye edersiniz?
Günümüzde akıllı evlerin, bu evlerin içerisindeki her türlü internet bağlantısı olan elektronik cihazların herkesin içerisinde bulunduğu bir ortama girdiğini düşünürseniz, yukarıda bahsettiğimiz “hack”,”hacker”, ”güvenlik zafiyeti” gibi kavramları detaylı olarak araştırmalı ve bilmeliyiz ki vazgeçemediğimiz teknolojileri kullanırken istemediğimiz olaylarla karşılaşmayalım. Çünkü sanal alemde güvenli bir hayat çok zor...
Hackerlığın da Bir Raconu Var
Burak Şentürk / Beyaz Şapkalı Hacker
Beyaz şapkalı hackerlar ne iş yapar?
Beyaz şapkalı hackerların en büyük fonksiyonu, piyasada en fazla yapılan iş; sızma testi. Sızma testi; bir sistem dahilinde güvenlik zafiyetlerini bulup, kötü niyetli bir hackermiş gibi gidilebilecek son raddeye kadar giderek muhtemel zararlarını ortaya çıkarıp sistem sahibine: “Bu şekilde açıklarınız var, bundan bu şekilde zarar görürsünüz, isterseniz bunları bu şekilde düzeltebilirsiniz” diyen ve çözüm önerileriyle beraber raporlar. Ayrıca, bir sistem kurulmadan önce de güvenli olmalı yani planlama aşamasında, kurulduğu, çalıştığı sıralarda da güvenliğinin sık sık denetlenmesi gerekiyor. Bir diğer hizmet ise sistemlerin anlık olarak izlenip dışarıdan o an tehdit alınıp alınmadığını, anlık olarak ne kadar saldırı alındığını, bunların izlenip raporlanması ve diğer birimlerle paylaşılması gibi işler yapar.
Hackerlık merdiven altı bir meslek mi? Bu işi gerçekten şirketler kurup yürüten kişiler de var mı?
Sayıları son 10 yılda artmakla beraber Türkiye’de 100-150 tane siber güvenlik şirketi var. Siber güvenliğin de kendi içerisinde alt alanları var. Artık üniversitelerde adli bilişim, bilgi güvenliği bölümleri; yüksek lisans bölümleri var. Piyasadan talep oldukça üniversitelerde arzı yanıtlayan bir bölüm haline gelmeye başladı. 20-30 yıl önce olduğu gibi hackerler bu işi hobi olarak veya başka bir işin yanında ek iş olarak ya da dediğiniz gibi merdiven altı yapmak zorunda değil. Bu iş ile ilgilenen lise-üniversite öğrencileri bile çok rahat bir şekilde staj yapabilecek, part time çalışabilecek, uzaktan çalışabilecek şirketler bulup bunlara katılabiliyorlar. Zira ben de öyle çalışıyorum.
Beyaz şapkalı hackerların kendi arasında özel bir dili, raconunu var mı? Girilmeyecek çizgiler veya şu konuya saygı duyarız, şu konuya dikkat ederiz gibi.
Beyaz şapkalı hackerin ilk iki kelimesi beyaz şapka, white hat dediğimiz olay, işin özü, etik. Aslında bunun İngilizcesi ethical hacking yani etik hacker demek. Dikkat ettiğimiz şey; ahlak. Ahlak dediğimiz şey; vicdandan gelir veya toplumsal temayüle uyar.
İllaki yazılı bir kuralın olmasına gerek yok. İnsanların zarar görmesini engellemek için sistemlerin zarar görmesini engellemek için ordunun, emniyetin, toplumun, eğitimin yani aklınıza gelebilecek her şeyin zarar görmesini engellemek için yaptığımız her şey de ilk başta bunu göz önünde bulunduruyoruz, etiği göz önünde bulunduruyoruz.
Beyaz şapkalı hackerler girilmesine izin vermediğiniz sisteme girmezler. Özel şirketlerin ve kamu kurumlarının bazı programları var. Şirket programı açıklıyor, diyor ki: “Benim sistemimde şu kadar zafiyet bulursan ya da kullanıcıların bilgilerini ifşa edebilecek bir zafiyet bulursan sana bu kadar para veririm, daha büyüğünü bulursan sana bu kadar para veririm, kritik bir zafiyet bulursan sana bu kadar para veririm.” Yani teşvik ediliyor.
Zafiyet Bildir; Para Kazan!
Dünya üzerindeki yüzlerce şirket sistemlerini test edebilsinler diye hackerlere açıyorlar ve hackerler buraya saldırıyorlar sürekli. Normal şartlarda siz herhangi bir sisteme saldırdığınız zaman davalık olursunuz çünkü bu bir suç ama bu tarz sistemlere saldırıp zafiyet bildirdiğiniz zaman para kazanırsınız.
Bu durumlar bizim “Bug Bounty” dediğimiz ödül avcılığı sistemine dayanıyor ve burada çok güzel bir racon var, muhtemelen başka hiçbir sektörde olmayan bir racon var, insanlar gerçek sistemlerdeki açıkları, zafiyetleri kovalıyor, raporluyor, bildiriyor, parasını alıyor eğer şirketler izin verirse o zafiyetler kapatıldıktan sonra o zafiyetler paylaşılıyor. Yani “bizim sistemimizde böyle bir zafiyet vardı, Burak bunu buldu 500$ aldı” diye açıklar. Hackerlığın da bir raconu var yani.
Birbirinizle yarışma, hava atma durumlarınız nasıl oluyor?
O da bizim sektörün güzel bir artısı, Capture The Flag adında yarışmalar var. Şirketlerin veya kamu kurumlarının siber güvenliğe alanında yeteneği olan insanları keşfetmeye yönelik bir yarışma. Türkiye’de de yapılıyor. Siber güvenliğe dair farklı kategorilerden oluşan, belli zorluklardaki problemleri, belli puanlarla önünüze getiriyorlar ve belli bir süre içerisinde çözmeniz isteniyor. Diğer hackerleri da görüp yarışabiliyorsunuz. Biz birbirimize böyle diş göstermeyi tercih ediyoruz.
Dünya ile kıyaslarsak bizim beyaz şapkalı hackerlık durumumuz nasıl bir seviyededir? İyi miyiz bu konuda?
Doğru bir kıyaslamanın ölçütü nedir onu bilmiyorum ama dünya çapında ün yapmış, iyi yerlere ismini yazdırmış, kendi ününü buradaki sektörle paylaşan çok değerli insanlar var. Bu insanların çoğu diğer ülkelerden teklifler aldılar ama gitmediler. Bilgisini, tecrübesini buradaki siber güvenlik öğrencilerine aktararak, paylaşarak bu ülkeye yine katkıda bulunmaya devam ediyorlar. Teknoloji, yazılım, siber güvenlik gibi yönlerden Türkiye, gelişmiş ülkeleri yakalamış vaziyette ama daha kat etmemiz gereken çok yol var. Daha fazla yatırım gerekiyor, daha fazla insan gücü gerekiyor, daha fazla teknik bilgi derinliği gerekiyor… 8 milyon nüfusu olan bir devlet bile içerisinde 1000 tane, 2000 tane siber güvenlik start-up’ı bulundururken Türkiye’de henüz bunların sayısı 200-300 civarında.
Analitik Düşünme Gerekiyor
Hackerlığı bir sanat dalı olarak adlandırabilir miyiz?
Siber güvenlik çok analitik düşünmeyi gerektiriyor. Eğer bir sanata benzeseydi muhtemelen mimarlığa benzerdi, çünkü siz karşınızdaki sistemin dayanıklılığını, hangi malzemelerden, hangi bileşenlerden yapıldığını veya içeriğini, nasıl yönetildiğini, nasıl izlendiğini bilemezseniz ona karşı bir yol çizemezsiniz. Siber güvenlik alanında bir şey hacklerken aslında o şeyin kurgusu dışında yani görünenin arkasındaki zahiri görmek lazım. Bu açıdan sanata benzeyebilir. Yani boş bir taşa bakıp içindeki heykeli görmek gibi bir şey.
Türkiye’de hackerlığa çok fazla ilgi duyuluyor. Popüler ve karizmatik bir alan. İnsanlara bu konuda nasıl bir yol izlemelerini tavsiye edersiniz?
Öncelikle bunun çok iyi bir yetenek olduğunu bilsinler. Siber güvenlik alanında çalışmak istiyorlarsa veya bu alanda uzmanlaşmak istiyorlarsa hiçbir zaman suça karışmamaları gerekiyor. Bir sisteme izinsiz erişirseniz suç işlemiş olursunuz ve siciliniz yanar, sektörde iş bulamazsınız. Bu husus çok önemli.
“Siber Takvim” Adında Bir Kanal Var
İnternette bu konuyla ilgili iyi makaleler var. İyi akademi videoları, siber güvenlik firmalarının hazırladığı kurslar var. Artık Türkiye’de de bu konular için konferanslar, kurslar oluyor hem de ücretsiz. “Siber Takvim” adında bir kanal var oraya bakabilirler. Eğer üniversite öğrencisi ise bulunduğu üniversitenin siber güvenlik kulübüne üye olabilir, orada birlikte yarışmalara, etkinliklere katılabilirler, birbirlerine öğretebilirler. Ve bir an önce staj yapmaları gerekiyor çünkü siber güvenlik alanında staj demek işi öğrenmek demek. Siber güvenlik şirketleri negatif işsizlikten dolayı yetiştirebilecek insan arıyorlar.
Beyaz Şapka Size Daha Çok Yakışacak
Ömer Ekinci / Desnet Bilişim Genel Müdürü
Bir sektör müdür hackerlık? Nasıl bir dünya orası?
Devasa bir pazardan söz ediyoruz. Milyarlarca dolardan… Siz bu satırları okurken bile binlerce insanın banka hesabı boşaltıldı, binlerce insan kendi telefonunun kamerasından evinde giyinirken kaydedilip “Bitcoin olarak ödeme yapmazsan bu görüntüleri senin sosyal medya hesaplarından yayınlarız” tehditleri aldı.
Bu “kötü” hackerların dışında da bir dünya yok mu?
Evet, yukarıda bahsettiğim tüm kötü senaryoları gerçekleştiren siyah şapkalı hackerların dışında bir de, kurumsal hayatta çalışan, beyaz şapkalı hackerlar var. Hatta bir yönden de teşvik edelim, siyah şapkalı hackerlara. Belki kırmak, dökmek daha cazip geliyor, daha çok heyecan veriyor olabilir ama risk almayıp, hayatı boyunca hapiste kalmak istemeyen, ama bu yeteneklerini de değerlendirmek isteyen hackerlar için bir de çıkış yolu bu aynı zamanda. Beyaz yakalı hackerlar, iyi maaşlar alan, saklanmayan ve insanlığa faydalı olan tarafını temsil ediyor hackerlığın.
Hırsızlar Önde Olacak
Ama şu da bir gerçek ki dünyada her zaman hırsızlar çelik kapı üreticilerinden daha önde olacaklar. Çünkü kapı üreticileri kapılarını hırsızların tekniklerine göre geliştirirken hırsızlar da yeni teknikler geliştiriyorlar. Aynı şekilde hackerlar her zaman antivirüs şirketlerinden önde olacaklar. Bu durum beyaz şapkalı mı olmalıyım yoksa karanlık tarafta mı kalmalıyım diyen hackerları heyecanlandırsa da aldıkları risk çok büyük.
Sevgili hackerlar, hiç bu kadar riski göze almayın, beyaz şapka size siyahtan çok daha fazla yakışacak.
Sanal Fetihte Ölmek Var Dönmek Yok!
Börü Han Noyan / Beyaz Hacker
Evet, bu sayımızdaki dosyada bilişim, siber güvenlik uzmanları ve beyaz hackerla konuştuk. Ama konuştuklarımızdan beyaz hacker Börü Han Noyan’a ayrı bir parantez açmak istiyoruz. Börü Han Noyan kendisinin sanal alemdeki ismi. Birçok öncü beyaz hacker timinde yer alan, kendi hacker timini kuran ve bir dönem Apple şirketinin açıklarını bulan Noyan bize; isminin gizli kalması şartıyla çok özel cevaplar verdi.
Kendinden bahseder misin?
Merhaba, ben Börü Han Noyan. İnternette bu ismi kullanmaktayım. İsmimin anlamı çok merak ediliyor. Börü, Göktürkçe’de Kurt, Han Noyan ise Başkomutan anlamına geliyor. Yani Başkomutan Kurt anlamındadır. Yaklaşık 4 yıldır ‘’Beyaz Şapkalı Hacker’’ olarak nitelendirdiğimiz ‘’Hackerlık’’ faaliyetine sürdürmekteyim. Üniversite okuyorum. Bilgisayar programcılığı bölümü öğrencisiyim. Hackerlık macerama başlarken sözde ‘’ermeni soykırımı’’ tekrar dış ülkeler tarafından dillendirilmişti. Ülkemizde ve özellikle dünya basınında oldukça adını pek duyduğumuz Ayyıldız Tim’in ‘’Biz soykırım yapsaydık, ne Ermeni ne de siz kalırdınız.’’ diyerek siber savaş ilan etmesi beni çok etkilemişti ki ismimi belirlememde bu söz büyük etken olmuştur. Hırs ettikten sonra yapılamayacak bir şey değil hackerlık dediğimiz iş. Kendinizi her geçen gün geliştirmeniz gerekmektedir. Ben de kendimi layıkıyla geliştirip, layıkıyla vatanıma, milletime, devletime, bayrağıma bilhassa dinime bu yolda hizmet etmek istedim, hizmet ediyorum ve yaşadıkça da hizmet edeceğim.
Hackerlık ne demek sana göre?
Hackerlığın bin bir çeşit anlamı var. Hackerlık bana göre aslında kuralsız olmaktır. Emir almayı sevmeyen, kendini bir yere bağlı kılmayan, insanların dediklerine aldırış etmeyen kişilerdir hackerlar. İnsanların dediklerine aldırış etmeyen kişilerdir dememdeki kasıt şu; günümüzdeki her şey insanlar tarafından yapılmıştır. Telefonlar, bilgisayarlar, tabletler, televizyonlar vb. İnsanların yaptığı şeyler aslında hiç güvenli olmayan şeylerdir. İçerisinde yazılım barındıran her şey hacklenebilir çünkü. Normal insanların 10 tıklama ile girdiği sitelere, hackerlar 1 tıklamaya girerler veya erişimi engellenmiş sitelere gene hackerlar herhangi bir program ihtiyacı duymaksızın girebilirler. Çoğu kurumun veri tabanlarında tuttuğu bilgiler hackleniyor. Bu nasıl oluyor peki? Kullandığımız şifreler ne kadar güvenli? Bir hacker bunları dert etmiyor işte. Hackerları farklı kılan şey de budur. Kuralsızdır. Engel tanımazlar. Bana göre dünyadaki en havalı iş hackerlıktır. Çünkü o an ne isterse yapabilecek güçtedir.
Apple’ın açığını bulma süreci nasıl oldu?
Apple’ın açığını bulmam aslında biraz şanstı benim için. Bildirimler ile alakalı bir açık bulmuştum. Açıkçası oturup da ‘’ben bugün telefonumla biraz ilgileneyim, açık bulmaya çalışayım da onur listesine gireyim’’ gibi bir düşünceye girmedim. Lise son sınıf öğrencisiydim o sıra, ertesi gün yapılacak olan sınavıma çalışırken, Apple’ın malum olan sürekli güncellemelerinden bir tanesini gerçekleştirdim. Bildirimlerim bende gizliydi yani ekran kilitliyken bildirimlerimin içeriği görünmüyordu. Güncellemeden sonra bildirimlerimin gizli olmasına rağmen kilit ekranında görüntülendiğini fark ettim. Dışarıdan küçük bir sorun gibi gözüken ama aslında Apple şirketi için oldukça büyük bir sorundu. Dünya devi bir şirketin böyle bir hata yapması imkansızdı. 2017 Mart ayında Apple ile iletişime geçtim. Apple’ın herhangi bir sorunu bildirmeniz için oluşturduğu bir report sistemi vardır. Yaklaşık 1,5 ay civarında görüştük. Benim için oldukça zor bir dönemdi. Acaba ne oldu? Ne cevap verecekler düşüncesindeydim. Apple ile görüşmelerim esnasında 2 farklı yol anlattım ve bu 2 farklı yolla açığı kapatabileceklerini söyledim. Anlattığım 2 yoldan birisi ile açığı kapattıklarını söylediler. 2017 Mayıs ayı itibari ile ‘’Apple’ın Onur Listesine Giren 4. Türk’’ unvanına sahip oldum.
Önemli hacker faaliyetleri içindesin. Kendi kurduğun bir takım da var. Bunlardan bahseder misin?
Evet oldukça zor zamanlardan geçtim. Birçok hacktivist grup içerisinde ülkeme hizmet ettim. Dünya’daki bazı istihbarat servisleri tarafından arananlar listesine girdiğimiz zamanlar oldu. Tabi bunları dışarıya pek duyurmamaya çalışıyoruz. Ailemiz, akrabalarımız bizi biraz daha farklı tanıyor, biliyor bu konuda. Hiçbir sıkıntımızın olmadığını, her şeyin yolunda gittiğini sanıyorlar ama gerçek bu. Mossad, CIA gibi büyük istihbarat servisleri tarafından hedef gösterildiğimiz zamanlar oldu. İlk hackerlık zamanımda hacklediğim, erişilemez kıldığım web site Dünya Sağlık Örgütü’nün sitesiydi ve ana sayfasına ‘’Gazze’ye Selam, Hack’e Devam’’ yazmıştım. Çünkü Gazze’de dindaşlarımız katledilirken onların sağlık hizmeti vermesi benim pek umurumda olmuyordu. Genelde Avrupa ülkeleri çok darbe yemiştir ama benim asıl hedefim her zaman İsrail’di. İsrail’in bizden çektiğini hiçbir ülke çekmedi.
2019 yılı itibari ile Akabörü Siber Tim adında kendi grubumu kurdum. Akabörü, ‘’Ulu Kurt’’ anlamına gelmekte Göktürkçe’de. Faaliyetlere yakın zamanda geçeceğiz. Allah’ın da izni ile layıkıyla hizmet edecek bir grup olmasını istiyorum inşallah.
Hackerlar hep kötü algılanıyor ama siz farklı bir tarafta duruyorsunuz. Maksadınız nedir?
Hackerlar kendi bünyesinde oldukça farklı alanlara ayrılıyor. Bunlardan birisi ve hatta en önemli ayrım noktası olan ideolojileridir. Biz, ülkemiz, dinimiz, vatanımız, bayrağımız ve milletimiz için hack yapıyoruz. Tabi ki ‘’bize dokunmayan yılan bin yaşasın’’ modunda da değiliz. Siber alemde az önce bahsettiğim 5 unsuru korumaya çalışıyoruz. Mesela İsrail ülkede ezanı yasaklatacak kanunu meclise sunduğunda, İsrail’e siber savaş ilan edilip en çok izlenen 2 televizyon kanalında ezan okutturmuştuk. Tabii hackerlar Müslüman da olsa veya farklı dine sahip kişilerde olsa önemli olan davasıdır.
Müslüman olup da sizin bildiğiniz tabirle ‘’Siyah şapkalı’’ hackerlar tanıyorum. Bunlarla ayrı ayrı mücadele içerisindeyiz. Gene örnek vermek gerekirse Türk hacktivist gruplar var mesela RedHack gibi. RedHack Avrupa destekli bir gruptur ve ülkemize olabildiğince zarar vermeye çalışır. Gezi Parkı olaylarında internetteki hazırlığı gerçekleştiren gruptur. Ayyıldız Tim’in bunlarla uzun soluklu çatışmaları olmuştur. Hackerlık denilince insanımızda şu algı oluyor; ‘’Bilgisayar korsanı, çalıp çırpan veya sürekli amaçsız bir şekilde her yere saldıran kişiler.’’ Hayır. Bu düşünce biz gibi hackerları oldukça üzen bir şey...
Emin olun haberlerde duyduğunuz dış güçlerin o tehditleri vardır ya, biz bizzat onların saldırıları ile mücadele veriyoruz. Nasıl dışarıda askerimiz polisimiz varsa, internette de biz varız. Biz bu vatanın sanaldaki askerleriyiz. Biz olmazsak Türkiye siberde olabildiğince darbe yiyen bir ülke haline gelir. Ama biz biliyoruz ki bunun mükafatını ahirette alacağız. Benim bu işlerden dolayı dış güçler tarafından şehit edilen birçok dostum oldu. Ama bizim davamız belli, yolumuz belli. Kısacası ‘’Ölmek var! Dönmek yok!’’ diyoruz. Daha bunlar gibi binlerce soru sayılabilir. Bu soruların çözümünün ise kadim geleneğimizden gelen ve günümüzde ihmal edilen itikad, tefsir ve fıkıh okuma halkalarından geçtiğini düşünüyorum. Maalesef günümüzde bu tip okumaların güvenilir kaynaklardan yapılmaması ve popüler, rahat konuşmalar yapan hoca görünümlü kimselerin dinlenmesi gençleri olumsuz yönde etkiliyor.
GENÇ'ın Yazısı.