Ahmet Mersin İle Siber Güvenlik Röportajı

  • Ahmet biz seni tanıyoruz fakat okurlarımız seni tanımıyor olabilir,bize kendinden kısaca bahsedebilir misin?

Adım Ahmet Soyadım Mersin. Siber güvenlik araştırmacısıyım, 19 yaşındayım. Balıkesir üniversitesinde öğrenciyim. Okuduğum bölüm iklimlendirme,evet baya ironik bir durum bir çok kişi buna inanmıyor.
Biz seni bilgisayar mühendisliği okuyorsun sanıyorduk diyorlar.Sıradan bir öğrenciyim.
Diğer öğrenciler kafelerde çalışarak harçlığını çıkarır iken ben bug bountyler ile çıkarıyorum.
İlk okul yıllarında arkadaşlarım takdir belgesini sınıf öğretmeninden alırken ben intelden aldım. Sanırım diğer öğrencilerden bir kaç farkım var.

  • Güvenlik sizin için nedir?

Şimdi güvenlik ibaresi,benim için bu sektörde çok anlamsız bir kelimeden başka bir şey değil.
Milyonlarca dolar veren firmalara bakıyorsunuz,hack ediliyor. Dünyanın en iyi istihbarat servisine bakıyorum onlarda hacklendi. Buradan şu sonuç çıkıyor,güvenlik diye bir şey yoktur. Önlem planı vardır. Diyelim ki bir veri sızıntısı karşısında ne yapabiliriz yada kullandığımız sistemlerde zero day çıkarsa ve biz bunu ne kadar kısa süre içerisinde önlem alabiliriz yada kullandığımız sağlayıcı buna ne kadar sürede güncelleme sağlar? Bu tip soruları kendinize sorup bunlara çözüm ararsanız emin olun kendinizi daha güvende hissedeceksiniz. Yada En azından gelecek olan saldırıyı hissedebilirsiniz.

  • Siber güvenlikte iş bulabilmek için ne tür çalışamalar yapmak lazım nasıl bir hedef izlemek gerekir?

Diyelim ki bir x firması var ve siz hackersınız yada güvenlik araştırmacısınız ve orada işe girmek istiyorsunuz aklınıza gelecek olan tek şey şu firmanın açığını bulayım bunlarda beni belki işe alır.

Bu düşünce Türkiye şartlarında tamamı ile yasal süreçlere giden yola uzanıyor ve siz iş teklifi bekliyorken dava kâğıdı evinize gelebilir.Türkiye de yaşıyorsanız kesinlikle bu yolu denemeyin.
Ülkemizde oluşmayan bir düşünce bu,bug bounty anlayışı kesinlikle yok ve haliyle bu tur bir girişimde bulunursanız başınız derde girebilir.

Ama size bir ipucu vericem ve emin olun ki bu bir anda bakış acınızı değiştirecek.
Bana iyi bir dostum şöyle demiştı:

“Bu sektörde kimse senin nereden mezun olduğunuza bakmaz. Yaptığın ve yapabildiğin işlere bakar. CV nı gönderdiğin zaman ismini google’da aratırlar ve karşılarına çıkan sonuca göre değerlendirme yaparlar.”

Şimdi buna örnek vereyim. Diyelim ki 2 cv var ve isimlerden birini google da aratıyorsunuz. Karşınıza direk ismi geçen kişinin blogu geliyor. Github hesabı geliyor yada o kişinin vermiş olduğu seminer geliyor. Buradan şu sonuç çıkıyor bu kişi zaten işi biliyor ve bu sektörde tanınıyor ve yararlı işler yapmış. Diğer kişiyi arıyorsunuz karşınıza bir sonuç çıkmıyor.
Şimdi durum böyle oluncada haliyle siz bir iş veren olsanız ismini duyurmuş kişiyi ise alırsınız.
Benim önerim isminizi google aramalarında çıkarmaya çalışın elinizden geldiği kadar blog yazmaya çalışın,github üzerinden çalışmalarınızı paylaşın emin olun ki size artışı olucaktır.

  • Ülkemizde bir çok genç bu işe başlamak için heves ediyor sizce nereden başlamalılar?

Bu sektöre katılacak gençlerimizin dikkat etmesi gereken en önemli unsur.
Hacker gruplarına yada underground’a katılmamak. Bir anlık yapacakları hata kendilerini zor duruma sokabilir ve evlerini hava kuvvetleri hariç herkes basabilir.
Evet bu konuda şaka yapmıyorum genellikle siber suç yaş sınırına bakıyorsunuz 15 yaşındaki çocuk Fb’nın direktörünü hacklemiş.
Şöyle bir gerçek var ki,hackerların çoğu asosyaldır. Yani haliyle gerçek dünyada istediğini bulamayan çocuklar hayatlarını siber dünyada yaşamaya başlar.
Haliylede kaybedecek bir şeyim yok düşüncesi ile bir çok suçu işliyorlar. Gençlere tavsiyem hacker gruplarına katılmasınlar,ilk olarak maalesef ki ingilizce öğrenmek zorundalar,bana genelde sorulan soruların başında su gelir.
“En iyi dil hangisidir? Bende şunu söylüyorum,tabi ki de ingilizce.”
Sonraki adım kendilerine uygun bir linux dağıtımı seçmeleri ve onu yaşamlarının her yerinde kullanmaya başlamaları.
Özgür yazılımın gücünü hissetsinler. Buna sonra bir programlama dili ile kutlayabilirler kendilerine uygun gelen bir dili öğrenmeye başlasınlar. Dil derken yukarıdaki gibi konuşma dili değil.
Bu sefer programlama dilinden bahsediyorum. Sonraki adım ise kendilerine sanal lablar kurarak kendilerini geliştirmeleri pentest’in mantığını kavramaları internette bununla ilgili çok kaynak var ama dediğim gibi hepsi ingilizce.
Zaten sürekli alıştırma yaptıktan,olayı kavradıktan sonra basamakları kendileri çıkaçaklardır.

  • Bu zamana kadar bug bounty programlarındaki başarılarınız ve ondan önceki önemli yerlerde yaptığınız girişimler var bu tip başarıları hedeflerken kendinize nasıl bir plan çizdiniz?

Kimseyi kıskanmadım yada kimseyi taklit etmedim. Bir çalışma planım yoktu. Zaten başarılı bir insan başkalarının başarısını taktir edebilen insandır. Dedim ki adamlar facebook’un açığını bulmuş benim o insanlardan ne farkım var?
Elbette yok onlar sadece çok çalışıyor dedim ve saatlerimi bu işe vermeye başladım. Karşılığını aldım. Sabırlı oldum ve çok çalıştım sürekli uygulama yaptım. Başarılarımı çok çalışmaya borçluyum.

  • Amazon,linkedin,nasa,oracle,avira,alienvault vb. bir çok şirketin ve kurumun açıklarını buldun bu nasıl bir his yani bir çok kişinin yapamadıklarını yapmak bunu hissedemeyiz ama sen bize biraz anlatır mısın?

Şu açıdan bakalım bu olaylara,binlerce dolarlık güvenlik açığı tarayıcıları,dünyanın en iyi hackerları o sistemlerde açık arıyor yada o sistemleri koruyor. İnsan mutlu oluyor yani ekrana bakıyorsun ve istemsizce yüzün tebessüm ediyor inanabilir misin bugün dünyanın en güvenli sistemlerin birisinde açık buldum ve kendi kendine diyorsun ki benden adam olacak.

  • 10 yıl sonra şuan ki siber güvenlik camiasının durumu ne olur?

Hükümet,şirket yada bir birey. Hiç kimsenin gizlisi saklısı kalmayacak,ve üstüne hırsızlıklar ve siber suçlar dahada artacak akıllı bir eviniz olduğunu düşünün ve kapınızın retina tarama ile açıldığını hayal edin ileride olacak olan teknolojiler bunlar ve o retina sisteminde zero day bulunuyor ve hırsızlar evinize çok rahat giriyor. İleride emin olun artık su şirketin verileri çalınmış değilde su devletin helikopteri hacklenerek düşürülmüş haberlerini duyacağız.

  • Siber savaş cephesi gerçekten nasıl bir ortam,şuanda bir kazananı var mı yada hasarı nedir gerçek dünyaya bunları açıklayabilir misin?

Savaşların bir kazananı olmaz. Bunu herkes böyle bilmeli,zaten siber dünyada yapılan tüm hacktvist eylemler gerçek dünyaya yankı yapsın diye yapılıyor. Bir cumhurbaşkanının gizli sırları açığa çıkıyor ve cumhurbaşkanı istifaya zorlanıyor.
Bu şuanda aklıma gelen basit bir örnek. Basit diyorum çünkü daha büyük olaylara sebebiyet veren eylemler mevcut.

  • Bir şirket,kurum,devlet farketmez veri sızdırılması en çok hangi tekniklerle gerçekleşiyor şunu yapsalar aslında milyon dolarlar harcamaları gerekmeyecek diyeceğiniz ipucu var mıdır acaba varsa paylaşır mısın?

Admin:Admin,evet tam bir trajedi çoğu firma bu yüzden hack yiyor biliyor musunuz standart parolalar yüzünden. Yada aldıkları firewall’a güvendikleri için hackleniyorlar.
Yada üniversitede müzik bölümünden mezun olan bir kişinin ciso olarak başa getirilmesi yüzünden. Dahada kötüsü ne biliyor musunuz,otomatızer araçlar ile sistemlerini taradıktan sonra kendilerini güvende hissettikleri için hackleniyorlar. Önemli olan güvenlik yazılımlarına yada duvarlarına yatırım yapmak değil önemli olan insanlara yatırım yapmaktır.

  • Zero day deniliyor bu tam olarak nedir? önlem alabilir miyiz,açık konuşmak gerekirse wanna cry diye bir dalga aldı siber camia sebebinin zero dayler olduğu söyleniyordu bu konuda ne düşünüyorsunuz?

Zero day’e alınacak tek önlem şirketinizin kullandığı yazılımlarda zero day çalışması yapan bir birim oluşturmak ki bu gerçekten masraflı bir iş ve bu tür bir birime sahip bir şirket açıkçası hiç duymadım. Zero day dediğimiz şey bir yazılım olsun güvenlik duvarı olsun yada bir işletim sistemi olsun var olan yada yeni keşfedilen bir açığın ama kamuya açık halde yayınlandığı ilk güne verilir.
Bu demektir ki bir güvenlik araştırmacısı bir yazılımda zafiyet buldu tamam sonrada sağlayıcısı ona yama yayınladı ama olayın derinine indiğiniz zaman o açık bir başkası tarafından daha önce bulunup o açığın exploitini yazıp o yazılıma sahip tüm sistemlerde cirit atmış olabileceği gerçeği ortaya çıkıyor.
Bu gerçekten kötü bir durum.

  • Huawei’ye ait bir modemin güvenlik açiğini bulmuştunuz,bize en çok bahsedilen güvenlik önerileri AntiVirüsler işte güncellemelerinizi yapın aslında bunlar bir komplo mu? asil gerçek tehlike modemlerimiz mi yada başka etmenlerden mı?

Bir üstteki soruya verdiğim cevabı tekrardan okuyalım.Bulunan şeyin adı zero day. Yani yapabileceğimiz hiç bir şey yok buna karşı. Modem ve zafiyetleri kısmına girersek,birisi modemin root parolasını elde edip ssh yada telnet ile bağlanıp cihazınızın yazılımını değiştirip sizin tüm ağınızda ki verileri dinleyebilir. Yani sizin bilgisayarınızda antivirüs bu durumda bir şey yapamayacaktır. Bilgisayarımıza daha çok önem verelim ama modemimizinde güncellemesi var mı yada bir zafiyeti var mı diye araştıralım zafiyeti varsa eğer güncelleme almıyorsa değiştirmekte fayda var.
Giyilebilir cihaz olayı şuanda daha çok yaygın değil ama diyelim ki bir akıllı bileklik uyku,nabız,yürüdüğünüz adım gibi kişisel verilerinize sahip olabilir yada belkide mikrofona sahip de olabilir. Buda ortamın dinlenmesi gibi bir sorun ortaya çıkarır. Kullandığımız giyilebilir cihazlara dikkat etmekte fayda var. Yada özel konuşma yapılan ortamlarda o cihazları çıkartmanızı önerebilirim.

  • Siber dünya kimlere çıkar sağlıyor yada en çok kazancı olan kim yada taraflar kim?

Bu gerçekten ilginc bir soru oldu. Bende buna ilginç bır cevap vereyim. Bugün dersine gittiğiniz hocanıza bile çıkar sağlıyor olabilir. Evet bu bir gerçek çünkü karşınızdaki kişinin alnında hacker olduğu yazmıyor.
Belki de o hocanız dünyanın en büyük hacker grubunun bir mensubu bunu bilemezsiniz. Üstte de dediğim gibi savaşların kazananı olmaz. X firması y firmasını hackletiyor ve onun gizli projelerini çalıyor.
EE x firmasınıda c firması hackledi hadi gel bir de buradan yak? Taraflar çok fazla, eylemciler hükümetler şirketler yada bir terör örgütü yada bir birey belkide bır siber mafya.
Taraflar çok fazla haliyle en çok kazananın kim olduğunu bilmek zor bir durum.

  • Şimdi şöyle bir söylenti var herkes yazılım dili öğrensin, öğrensin de bu dillerin hangisi iyi yada hangisi tercih edilmeli?

Bir yazılımcının ömrü bir sonraki sürüme kadardır diye bir laf var.
En iyi dil söylentisine ben inanmıyorum her dilin bir birine göre eksi ve artıları var ben şu dili öğreneyim o dil linux da daha çok kullanılıyor diye bir dili tercih etmek komik bir durumdur.
Diyeceksin ki benim şöyle bir projem var yada ben şöyle bir şey yapacağım yada şu amaç için kullanacağım. Bu şekilde kendine en iyi dili seçip o dili öğrenmek zorundasın. C++ ile web sitesi yazılmaz. Onun için php öğrenmek zorundasın.
Bu kadar basit.

  • Bilgisayar bilimi küçük yaştaki çocukları etkiler mi yada tam tersi bu eğitimler küçük yaşta mı başlamalı?

Şimdi anneler ve babalar ile aram bozulacak ama söylemeden de edemeyeceğim. Bana göre bilgisayar bilimi yada yazılım bilimi ınsanın hayata olan bakış açısını değiştirir. Zaten Steve Jobs’ unda bu dediğime benzer bir sözü var.
Çocuklar küçük yaşta yetiştirilmeli zaten yeteneği olan çocuk kendini belli etmeye başlar. O çocuğu bu alanda ilerleteceksin artık zaten her şey bilgisayar ile oluyor. Yani bu onun zararına değil yararına olacaktır.
Siz bir balığı ağaca çıkamıyor diye yargılarsanız o balık kendini sonsuza kadar afedersiniz ama salak gibi hissedecektir. Dediğim gibi çocuğunuz bu alanda başarılı ise bırakın çalışmalarına devam etsin.

  • Eklemek istediğiniz herhangi bir şey var mıdır?

    Anlatılacak çok şey var ama okurlarımızı sıkmak istemeyiz. Talep gelirse aylık röportaj yapabiliriz.

    LinkedIn

Ahmet Mersin İle Siber Güvenlik Röportajı” üzerine 9 yorum

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir