Erhan SAYGILI İle Röportaj

Erhan-Saygılı-İle-Röportaj

Okuyucularımıza kendinizden biraz bahseder misiniz?

Öncelikle herkese merhaba. Ben Erhan SAYGILI. İsterseniz anlatmaya iş ve eğitim hayatımdan başlayayım. 2012 yılından bu yana çeşitli kamu kurumlarında farklı unvanlarda görev aldım.İş hayatıma yine kamuda Mühendis olarak devam etmekteyim. Lisans eğitimimi Çukurova Üniversitesi Mühendislik Mimarlık Fakültesi Bilgisayar Mühendisliği Bölümünde tamamlayarak 2016 yılında mezun olduktan sonra 2018 yılında Adana Bilim ve Teknoloji Üniversitesinde Siber Güvenlik Ana Bilim Dalında Yüksek Lisans yapmaya başladım. Genel olarak web programlama ve siber güvenlikle ilgilenmekteyim. Bunlar dışında şu sıralar güvenlik duvarları ile sanki biraz daha fazla haşır neşir olduğumu fark ettim. Bazen kendimi gecenin ikisinde güvenlik duvarlarının çalışma yapısı, konfigürasyon inceliklerini araştırırken bulduğum oluyor.

Neden bu alana yöneldiniz?

Açıkçası 2012 yılından bu yana güvenlik sektörüne zaman zaman ilgi duymaktaydım. Araştırmalar yapıyor kendimi geliştirmeye çalışıyordum. Ama ne oluyorsa merak ettiğim bir şeyi araştırırken kendimi farklı farklı alanlarda bir şeyler öğrenirken bulurdum. Geri dönüp baktığımda araştırmaya başladığım nokta ile geldiğim nokta arasında bırakın konu farkını sektör farkı bile olduğu oluyordu.

Bu yıllarca böyle devam ettiği için (hatta hala zaman zaman devam ettiğini söyleyebilirim) bir arpa boyu yol kat edemedim. Her şeyden bir şeyler biliyordum fakat bir alanda her şeyi bilmiyordum. Daldan dala atladığım o yıllarda web tabanlı bir projem vardı. Ufaktan hayata geçirmiştim.Bir gün projemin yönetim paneline girdiğimde İran’lı bir Hacker grubunun bıraktığı bir fotoğrafla karşılaştım.  Aslında benim için dönüm noktası bu oldu diyebilirim. Fotoğrafı gördüğümde bu hacker grubunun biraz kulaklarını çınlattım. O öfke ve mevcutta var olan ilgi sonucunda bu alana yöneldim. Şöyle bir düşündüğünüz de aslında zamanla eleştirdiğimiz şeylere dönüştüğümüzü göreceksiniz. Zamanında ben kulak çınlatan konumundayken hiç kuşkusuz şuanda bol kulağı çınlatılan konumunda olduğumu düşünüyorum.

Siber güvenlik ve yazılım sektöründe diplomanın yeri?

Aslında bu soru çok tehlikeli bir soru. Şöyle bir sektörde göz gezdirdiğinizde bu işlerle ilgilenen bir kısım kişinin Mühendislik dışı bir alanda mezuniyeti olup veya hiçbir yükseköğrenimi olmayan kişiler olduğunu göreceksiniz. Bazen sosyal medya ortamında “işte bilmem şu ülkedeki firmalar diplomaya önem vermiyor, bilmem şu firma için sertifika çok önemsiz…” gibisinden tartışmalara şahit olmuşsunuzdur. Diyorum ki “Arkadaşlar kandırmayın kendinizi”. Birileri başarmışsa herkesin başaracağı anlamına gelmez. Adam okula gitmemiştir, gecesini gündüzüne katarak çalışmıştır. Hakkını vererek çalışmıştır. Kendini ispat ederek veya birileri aracılığıyla bir yerlere girmiştir. Aranızdan kaç kişi bunu yapabilir. Arkadaşlar TŞA’da (Türkiye Şartları Altında) yaşıyoruz. Bunu unutmayın. O yüzden elinizde mutlaka bir diplomanız olsun. Hayatın ne getireceğini bilemezsiniz.Ayrıca burada size üniversite ortamının, alınan derslerin, tanışılan farklı düşünce tarzındaki insanların size neler katacağından bahsetmeyeceğim.

“Web Uygulama Güvenliği ve Hacking Yöntemleri” adlı kitabınız var kitap hakkında biraz açıklama yapabilir misiniz? Kitabın devamı gelecek mi?

Aslında bakarsanız kitabın hazırlanıp piyasaya sürülme süreci biraz aceleye geldi. Normalde bu şekilde planlamıyordum. Kitabın İçeriğini biraz daha geniş çaplı düşünmüştüm. Kısmetse 2. baskı daha detaylı ve genişletilmiş bir şekilde siz değerli okurlarım ile buluşacak.

Genel itibariyle kitabımı “Web Hacking” alanında kullanılan araçları ve yöntemleri öğretmek, bu alanda çalışan kişilerle aynı bilgi ve beceriye sahip olmanız için yol gösterici bir kaynak olması amacıyla hazırladım. Aslında bakarsanız bu kitabı birazda tepki olması amacıyla yazdım. Gerek Türkçe kaynak yetersizliği, gerekse bu işleri otomatize araç kullanımından ibaret sanan insanlar benim böyle bir şey ortaya çıkarmama neden oldu.

Etrafınıza baktığınızda çok görmüşsünüzdür SQL bilgisi olmadan otomatize araç kullanarak bir uygulamanın veritabanından veri çeken insanları.(Kesinlikle otomatize araçlara karşı biri değilim. Aksine büyük savunucularındanım. Otomatize araç kullanımı her şeyden önemlisi insana büyük zaman kazandırdığı bir gerçektir. Diğer avantajlarından hiç bahsetmiyorum bile.) Demem o ki dışarıdan çevirdiğiniz herhangi birisi bile o otomatize programı kullanabilir. Bastığınız o butonlara basabilir. Aynı veriyi çekebilir. Önemli olan hangi butonlara tıklayarak (veya bir komut yazarak)  işlem yapıldığı değil de o butona tıklandığında arka planda hangi işlerin döndüğünü bilmektir. Bu nedenle kitabımda daha çok bu işlerin arka planda nasıl döndüğünü anlatmaya çalıştım. Kısmetse bunu 2. baskıda okuyucularım daha fazla hissedeceğine eminim.

Birçok siber güvenlik saldırısı oluyor kullanıcılar bu saldırılardan etkilenmemek için neler yapabilir?

Son yıllarda fark ettiyseniz son kullanıcılar için siber saldırıların büyük bir bölümü phishing ve fidye yazılımları çevresinde gerçekleşmektedir. Bu saldırılardan korunmak için kişilerin veya bir kurumda çalışan personellerin bu konular hakkında bilinçlendirilmesi gerekir. Kurumların/kişilerin alacağı donanım veya yazılım tabanlı güvenlik önlemleri insanları bir yere kadar koruyabilir.Bu nedenle bu önlemlerin yanında insanları bilinçlendirerek güvenlik kültürünün oluşturulmasının sağlanması gerektiğini düşünüyorum.

Sizi en çok şaşırtan karşılaştığınız siber saldırılar nelerdir?

Doğruyu söylemek gerekirse artık siber saldırılar sıradan, basit, günlük rutin olaylar gibi gelmeye başladı desem yeridir. Bazen “Vay …….nasıl düşünmüş bunu?” diye kendimi sorguladığım olaylar olmuyor da değil yani. Yalnız son zamanlarda sosyal medya ortamında yer alan phishing içerikli reklamlar aşırı dikkatimi çekiyor. Ne zaman bir sosyal medya platformuna girsem mutlaka bir tane phishing reklamla karşılaşıyorum. Savunmasız kullanıcıları düşününce aslında bunun ne kadar da korkutucu bir durum olduğunu anlıyor insan.(Sosyal Mühendislik ve Sosyal Mühendislik saldırıları üzerine bir aksilik çıkmazsa yakın bir zamanda bir doküman hazırlamayı planlıyorum. İsteyenlere hazırlayacağım bu dokümanı ücretsiz bir şekilde gönderebilirim. Talep edenler Telegram  üzerinden benimle iletişime geçebilir.)

En çok rastladığınız zafiyet nedir?

İlgi alanım gereği genellikle web ile ilgili çalışmalar yaptığım için çoğunlukla XSS’le karşılaşıyorum. Tabi bunları Injection ve Directory Listing gibi güvenlik zafiyetleri takip ediyor.

Bir sistemi savunmak mı daha kolay saldırmak mı?

Bence saldırmak daha kolaydır. Saldırmak için belirli bir alanda bilginin olması (Hatta bilgisi olmadan insanların otomatize araçlar kullanarak zafiyet tespit edip veri çektiği durumları daha öncede belirmiştim) yeterlidir. Savunduğun sistemle/uygulamayla/servisle vs. ile ilgili her şeyi bilmen gerekiyor. Bu nedenle savunmak saldırmaktan daha zordur.

Ülkemizdeki birçok genç siber güvenliğe merak salıyor ve yöneliyor. Bu gençlere tavsiyeleriniz nelerdir? Nasıl bir başlangıç yapmalılar?

Mümin Sekman’ın bir sözü ile bu sorunuza cevap vermek istiyorum. “Başarı bilgi ister. Bilginin de beşte dördü ilgidir.” Bu alana yönelen ve başarılı olmak isteyen gençlere tavsiyem çok çalışın, çok araştırın ve ilgili olun. Gerisi zamanla gelir zaten.

Teknoloji geliştikçe hayatımızın her yerinde kullanılmaya başlanıyor, teknolojini gelişimi siber güvenlik açısından durumu nasıl?

Her geçen gün hızlı bir şekilde gelişen teknoloji hayatımızla ilgili bizlere kolaylık sağlamakla birlikte arkasından güvenlikle ilgili birçok sorunu da beraberinde getirdiği kaçınılmaz bir gerçektir. Dolayısıyla teknolojinin gelişimi ile birlikte siber güvenliğe olan ihtiyaçta artmıştır. Teknolojinin gelişimi ve siber güvenlik arasındaki ilişkiyi görmek için komplike düşünmeye gerek yok. En basit haliyle insanların şimdiki maruz kaldıkları phishingsaldırıları ile bundan 10 yıl önce maruz kaldıkları phishingsaldırılarını karılaştırarak bu ilişkiyi rahatlıkla görebilirsiniz. Bu nedenle teknolojinin gelişimi siber güvenliğe olan ihtiyacı arttırmıştır.

Herkes yazılım dili öğrenin diyor peki bu dillerin hangisi iyi yada hangisi tercih edilmeli?

Ortamlarda en çok sorulan sorular Hangi dil iyidir? Hangi dil kötüdür? Hangi dil tercih edilmelidir? Ve de en çok tartışılan cevaplar. Ağzı olan herkes çıkıp yok Java şöyle iyi, yok C bu işin atası, yok C# da bunu daha kolay yapabilirsin, yok Assembly öğren bilgisayara dans ettir. “Oha …. Yavaş gel biraz.” Bence işini gören dil hangisi ise en iyi dil o dur. Onu tercih etmelisindir. Gerisi teferruat.

KernelBlog ekibi hakkındaki görüşleriniz?

Sizin gibi gençlerin bu tarz alanlara yönelmesi, bu tarz girişimler de bulunması beni gururlandırıyor ve mutlu ediyor. Başarılarınızın ve çalışmalarınızın devamını dilerim.

Son olarak eklemek istediğiniz şeyler var mı?

Son olarak sözlerimi Paul Brunton’un bir sözü ile tamamlamak istiyorum.

Çömez yakınıyormuş: “Bize öyküler anlatıyorsun ama anlamlarını açmıyorsun.” Usta yanıt vermiş: “Biri sana meyveyi çiğneyerek ikram etse hoşuna gider miydi?”

Yani bir şeyler öğrenmek istiyorsanız, araştırın. Birilerinin size gelip vermesini beklemeyin.

 

Erhan SAYGILI hocamıza bizimle röportaj yaptığı için teşekkürlerimizi sunuyoruz.
Erhan SAYGILI| Web SiteTelegram

 

 

Erhan SAYGILI İle Röportaj” üzerine 6 yorum

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir