Kendinizden biraz bahsedebilir misiniz?
Adım Ege Balcı Eskişehirliyim, üniversite okumak için İstanbulda geldim ve hala İstanbul’da yaşıyorum. Neredeyse ilk okul yıllarımdan beri siber güvenliğe ilgi duyuyorum son 5 yıldır da profesyonel olarak INVICTUS firmasında siber güvenlik araştırmacısı olarak çalışıyorum. Spesifik olarak red team pentesting, exploit development ve threat intelligence alanlarında çalışıyorum.
Sıfırdan pentester olmak isteyen birisi için ne önerirsiniz? Nereden başlamalıdır? Hangi adımları izlemelidir?
Programlama konusunda kendini geliştirmenin çok önemli olduğunu düşünüyorum, birkaç programlama diline hakim olmak başkasının yazdığı kodları okuyup iyi bir şekilde anlayabilmek bu alanda çalışmak isteyenlerin çok işine yarayacaktır. Genel olarak siber güvelik üzerine çalışmak isteyen herkes için ingilizcenin en önemli şeylerden biri olduğunu düşünüyorum. İngilizce teknik kitap okuma alışkanlığı edinmek çok hızlı yol almanızı sağlayacaktır. Ayrıca sektörde çalışan insanlar tarafından düzenlenen eğitim ve CTF yarışmalarına katılmak ve konferansları takip etmek de yararlı olacaktır.
Stuxnet gibi solucan yazılımlarını incelediniz mi?
Stuxnet’in direkt kendisini incelemedim fakat hakkında birçok yazı okudum. Stuxnet benzeri birçok APT zararlısının analizini çalıştığım kurumda rutin olarak yapıyoruz.
Şu an da yapılan pentestlerin ileri de bir yapay zeka modeliyle karşımıza çıkması mümkün mü? Mümkün ise ne kadar başarılı olunabilir? İnsanların yanlış yapma ihtimali her zaman daha yüksektir, bu işi algoritmalara bırakmak doğru mudur?
Günümüzde yapılan pentest süreçlerinin büyük bir kısmının otomatize edilebilir şeyler olduğuna katılıyorum fakat insan hatasından kaynaklı hiçbir zafiyetin yapay zeka ile %100 oranda önüne geçilemeyeceğini de düşünüyorum. Yapay zeka günümüzde herkesin diline pelesenk olmuş bir kavram fakat konu üzerine biraz çalıştığınızda okadarda büyülü bir şey olmadığını görüyosunuz :).
Normal internet kullanıcılarının kendi güvenliklerini sağlamaları için tavsiyeleriniz nelerdir?
Bu çok klasik bir soru bende hep verilen klasik cevapları vericem.
- İnternet bağlantısında ortak ağ kullanıyorsanız, önemli şifrelerinizi girmediğinizden emin olun.
- Gizli olması gerektiğini düşündüğünüz belge, bilgi, fotoğraflarınızı, ücretsiz depolama hizmeti veren Dropbox gibi servisler yerine güvendiğiniz bir ortamda, örneğin çalıştığınız kurumun server’larında saklayın.
- Tüm e-postalar, sosyal medya hesapları için ‘SMS doğrulama’ gibi ikinci güvenlik yöntemlerini kullanın.
- Cep telefonunuzu satarken geri dönüşümü olmayacak şekilde tüm bilgilerinizi silin.
- Cep telefonu veya bilgisayarınıza, tüm yazılımların güncel versiyonlarını indirin. Ne kadar güncel, o kadar güvenli.
- Bilgisayarlarınız arasında uzaktan erişim kullanıyorsanız, işiniz bittiğinde bilgisayar ve modeminizin uzaktan erişime kapalı olduğundan mutlaka emin olun.
- Çok güçlü şifreler kullanın ve şifrelerinizi sık sık değiştirin.
FPGA çiplerinin hacklenmesi zor olduğu söyleniyor. Diğer çiplerin aksine tek bir göreve sabitlenerek çalışabileceğinden kaynaklı. Bu konuda ki görüşleriniz nelerdir?
Bu soruyu biraz anlamsız buluyorum, FPGA çiplerinin güvenliğini ne ile kıyasladığımızı anlayamadım. Günümüz işlemcileri ile FPGA çiplerinin arasında bir kıyaslama yapmak çok doğru olmaz, FPGA (Field Programmable Gate Array) programlanabilen mantık blokları demek oluyor bu ciplerle genelde çok basit işler yapılıyor, günümüz işlemcileri çok daha komplex işler yapmak için tasarlanmış cipler dolayısıyla “FPGA çiplerinin hacklenmesi” cümlesi çokta bişey ifade etmiyo açıkçası 🙂 FPGA çipleri kullanılarak dizayn edilen bir sistemin side-channel saldırıları ve benzeri donanım bazlı saldırılar ile manipüle edilebilir fakat bu durum her türlü elektronik cihaz için geçerlidir diye düşünüyorum.
Kendinize özel araç geliştirdiniz mi? Geliştirdiyseniz hangi alanda kullanmak için geliştirdiniz (yazdınız)?
Şirkette en çok yaptığım işlerden biri araç geliştirmek oluyor 🙂 Sürekli kendim ve pentest ekibi için cephane üretiyorum ve genelde kaynak kodunu okumadığım hiçbir aracı da kullanmamaya çalışıyorum. Birşeyler geliştirirken genelde tekerleği yeniden keşfetmemeye çalışıyorum eğer söz konusu araç daha önceden yapılmamış yeni bişey ise yazmaya değer buluyorum. Ayrıca açık kaynak felsefesini sonuna kadar destekliyorum genelde yazdığım şeylerin kodunu paylaşmaktan yanayım fakat geliştirdiğim araçları şirkette kullandığımız için hepsini açık kaynak olarak yayınlayamıyorum.
Hangi OS’u kullanıyorsunuz?
Birçok farklı iş için farklı OS ler kullanıyorum, ama gene olarak linux tabanlı sistemler diyelim. Sızma testlerinde ubuntu mate dağıtımını günlük hayatımda arch linux kullanıyorum.
Pentestingde exploit development, reverse engineering gibi daha ileri seviye konular için nasıl bir öğrenme yolu izlenmelidir? Varsa hem öğrenmeyi hızlandıran, hem de uygulamayı iyileştiren birkaç tüyo verebilir misiniz? (Kış kampından Selçuk adlı öğrencinizin sorusudur.)
İki konu içinde teknik kitap okumak çok önemli, reverse engineering için CTF writeupları okumanın ben çok yararını gördüm. Exploit geliştirme konusunda da exploit-db.com gibi sitelerde yayınlanan exploit kodlarını incelemek, aynı zafiyet için kendi exploit kodunuzu yazmak bu konuda faydalı olacaktır.
Bu alanda iş bulmak isteyen kişiler için iş imkanları sizce yeterli midir?
Ben bu işlerle yeteri kadar ilginen kişlerin güzel yerlere gelebildiğine birçok kez şahit oldum. Eğitimlere ve konferanslara katılan, açık kaynak projeler yapan, blog yazan ve CTF lere katılan gençler genelde siber güvenlik firmaları tarafından kapılıyor. Bu iş için yeterince hevesli bir insanın günümüzde işsiz kalacağını düşünmüyorum.
İyi bir siber güvenlik araştırmacısı ne derecede programlama bilmelidir? Özellikle web uygulama güvenliği alanında çalışanlar ne gibi dilleri bilmeliler ve hangi seviyede olmalılardır?
Daha öncede sölediğim gibi programlamayı bu meslek dalında çok önemli buluyorum, başkasının kodunda bir zafiyet bulabilmek için o kişinin neleri gözden kaçırmış olduğunu neleri yanlış yaptığını anlayabilmek gerekiyor. Web uygulama güvenliği alanında çalışan kişiler için ne kadar çok web programlama diline hakim olursa o kadar iyi olacağı kanısındayım. Özellikle PHP, Java, .Net günümüzde çokça kullanılan dillerdir önce bunlara yoğunlaşılabilir.
Sizce insanlar neden siber güvenlik alanına yönelmelidir?
Genel olarak insanlar siber güvenlik alalnına yönelmelidir diye bir düşüncem yok fakat sektör ne kadar gelişirse yapılan işlerin de değeri daha çok bilinecektir diye düşünüyorum.
KernelBlog hakkında ki düşünceleriniz neler?
Ekip olarak siber güvenlik bloglarını çokça takip ediyoruz ve olabildiğince destek olmaya çalışıyoruz. KernelBlog un sahipleri Akademik Bilişim kurslarında öğrencilerimdi genç ve çok hevesli arkadaşlar ilerde güzel yerlere geliceklerini düşünüyorum. Bu işlere erken yaşta başlamak büyük avantaj oluyor genelde, umarım hep bu kadar hevesli kalırlar :).
Eklemek istediğiniz bir şey var mı?
Son olarak Can Yıldızlı’nın sözleriyle veda edeyim 🙂
1- Egonuza asla yenik düşmeyin, dünyada mutlaka bir konuyu sizden daha iyi bilen ve sizi havada karada geçecek birileri olacaktır.
2- Amacınız olsun. Basit bir iş yapıyorsanız bile bir amaç uğruna yapın.
3- Cool takılmayın. Diğer insanlarla iletişime girin ve sadece bir grup dostunuzun sizi yüceltmesine izin vermeyin. Yoksa geçici körlüğe kapılırsınız. 4- İllegal kasmayın. Üzülürsünüz.
5- Yılmayın ve diğer insanların başaramamış olması sizin başarısız olacağınız anlamına gelmediğini aklınızdan çıkarmayın.
Ege Balcı hocamıza bize zaman ayırdığı için teşekkür ederiz.
Hocamızın Sosyal Medya Hesabına Buradan Ulaşabilirsiniz.
suat
güzel röportaj, elinize sağlık.