Siber Tehditler ve Bilişim Güvenliği / Web Güvenliği Uzmanı Emrullah Akdemir
Emrullah Akdemir, bilgi güvenliği alanındaki çalışmalarını 2008 yılından beri profesyonel olarak yürütüyor. Türkiye’de bilgi güvenliği farkındalığının artmaya başladığı 2011 yılından bu yana kamu kurumları ve özel sektörde bilgi güvenliği alanında danışmanlık yapıyor. Sektörde yaptığı çalışmalarla Google, Microsoft, Facebook gibi büyük şirketlerde kritik güvenlik açıkları bularak bu şirketlerden ödül ve teşekkürler aldı. Birçok üniversitede bilişim alanında ücretsiz seminerler ve bilgilendirme sunumları düzenledi. Şu anda da bulunduğu firma da penetrasyon testi (sistemlere sızma testi) gerçekleştiriyor, bilgi güvenliği alanında sektöre çözümler üretiyor. Emrullah Akdemir ile siber güvenlik üzerine sizin için konuştuk.
Google, Facebook ve Microsoft’tan aldığınız ödüllerden bahseder misiniz?
Facebook’un 2011 yılında o zamana kadar çıkan en büyük güvenlik açıklarından birini keşfetmiştim. Açığın etkisi nedeniyle, dünyadaki tüm Facebook hesapları 15 saniye gibi kısa bir süre içerisinde ele geçirilebiliyordu. Bu yüzden oldukça kritik ve büyük bir güvenlik açığıydı.
2008 yıllarında da Microsoft üzerinde bir güvenlik açığı nedeniyle bazı Microsoft hesaplarının ele geçirilmesini sağlayan bir zafiyet keşfetmiştim.
Google’da bulduğum güvenlik açığında ise kısmi olarak bazı hesapların hizmetlerinde değişiklikler yapılabiliyor ve saldırganlar yetkisi olmayan hizmetlerde oynamalar, değişiklikler yapabiliyordu. Bu ve benzer firmalar üzerinde bulduğum çok kritik güvenlik açıkları haricinde, kısmi olarak kritik olmayan ama yüksek ve orta dereceli birden fazla güvenlik açığı buldum ve bildirimlerini bu firmalara yaptım. Tabi bu firmalar güvenlik açıklarını keşfedip bildiren güvenlik araştırmacıları için özel sayfalar düzenliyor ve bu sayfalarda bu kişilere teşekkür ediyorlar. Ayrıca güvenlik uzmanlarına da çeşitli miktarlarda para ödülleri veriyorlar. İsmim şu anda bu firmaların beyaz şapkalı hacker olarak nitelendirdikleri güvenlik uzmanları teşekkür ve onur sayfalarında geçiyor.
Ben bulduğum çoğu kritik zafiyet için nasıl kullanıldığına dair bir video çekiyorum ve bunları güvenlik açığı kapandıktan sonra kişisel blogumdan yayınlıyorum.
SİBER SAVAŞLAR BAŞLADI
Siber güvenlik herkesin gündeminde. Ev kullanıcılarını, kurumları ve ülkemizi de ilgilendiriyor. Türkiye şu an siber güvenlik konusunda ne durumda değerlendirir misiniz? Türkiye’de bu konuda neler yapılıyor?
Siber güvenlik konusu, şu anda bütün dünyada gerçekten çok hızlı bir şekilde ilerliyor. Çağımız bilişim çağı ve artık bilişim ile ilgili her gün yeni gündemlere sahibiz. Gelecekte de bilgisayarların hayatımızın hemen hemen tamamına hükmedeceğini söylemek yanlış olmaz ve bilişim güvenliği konusu bu yüzden oldukça önemli. Özellikle bilişim konusunda insanlar daha fazla bilinçlenmeli ve kendilerini tehlikelerden olabildiğince korumalılar. Ülkemizde de eskiye nazaran insanlarımızda ciddi bir bilinçlenme artışı var, fakat bu yeterli düzeyde değil. Dolandırıcılar bile artık taktiklerini sanal dünya üzerinden kurguluyor ve bu alanda çalışmalar yürütüyorlar. Ülkemizde bilişim güvenliği alanında çok fazla şeyler söylenmeye başlandı; evet, doğru fakat bunlar sadece söylem olarak kalıyor.
Ülke olarak artık bilişim güvenliğinde ciddi anlamda yatırımlar yaparak bu alanda dünyadaki lider ülkelerin seviyelerine erişmemiz gerekiyor. Bu bir yarış ve gelecekte artık düşük maliyetli yapılan ama rakiplere zararı oldukça büyük saldırıların yaşanacağı siber savaşlara şahit olacağız. Şimdi bile bu savaşlar ülkeler arasında gizliden gizliye başladı ve etkilerini direkt olarak şu ana kadar yaşamasak bile, hedef konumunda olduğumuz birçok olay yaşandı. Birkaç sene öncesine kıyaslarsak gerçekten çok daha iyi bir yerdeyiz ama maalesef devlet kurumlarımızda siber güvenlik kelimesi halen Twitter, Facebook ve Youtube vb. sosyal medyanın kontrol edilebilir olmasından ibaret.
Bu konuda neler yapılabilir? Siber güvenlik uzmanı yetiştirebiliyor muyuz?
Bilgi güvenliği sektörünün şu an için bir okulu yok ve diğer sektörlerle kıyaslarsak tüm dünyada hemen hemen yeni şekillenen, yeni geliştirilen bir sektör durumunda. Bu yüzden bu alanda çalışacak kişilerin öncelikli olarak yaptığı çalışmalara ve vizyonunun genişliğine bakılması daha doğru olacaktır diye düşünüyorum. Günümüzde bu alanda gerçekten birçok çalışmalar yapmış, fakat bu çalışmalarından dolayı yeterli desteği görmediğinden dolayı farklı alanlara yönelen birçok kişi tanıdım. Önümüzdeki 5 yıl bizim ülkemizin bu alanda liderliği alması için gerçekten çok büyük bir fırsat ve bu fırsat iyi değerlendirilir ise, Türkiye siber güvenlik alanında gerçekten öncü konumuna yükselebilir.
Artık başımıza bir şey geldikten sonra önlem alan değil, her zaman ve her alanda insanlarının güvenliğini düşünen ülke konumuna gelmeliyiz.
Türkiye’deki hacker gruplarından bahseder misiniz?
Ülkemiz genel itibari ile genç bir nüfusa sahip ve Türkiye’de hacker kültürü ile yetişen birçok genç, hevesli ve gelişmeye açık insanımız var. Amaçları itibari ile geneli, milli menfaat paydasında birleşen hacker gruplarının bu alanda kendilerini geliştirirken legal çizgide kalmasını sağlamak çok önemli. Yapılan işler bakımından hacker grupları genellikle Türkiye karşıtı tutum alan ülkelerin web sitelerini hackliyor, vermek istedikleri mesajları bu siteler üzerinden paylaşıyorlar. Biz sektörümüzde, bu amaçla hack yapan grupları gri şapkalı hacker olarak nitelendiriyoruz. Gri şapkalı hackerlar, siyah şapkalı dediğimiz amacı genellikle maddi çıkar sağlamak ve sistemlere kalıcı zararlar vermek olan hacker kategorisinden ayrı tutulmaktadır. Gri şapkalı hackerlar genellikle zarar verme amacı gütmeden, ego tatmini veya milliyetçilik duygularından ötürü belirli sistemleri ele geçirmektedirler. Bu beyaz şapkalı dediğimiz güvenlik uzmanı kategorisine en yakın hacker grubudur. Tabi ki ülkemizde amacı sistemlere zarar vermek, insanların parasını çalmak olan ve bazı dinî ve millî duygular üzerinden rant sağlayarak kişilere zarar veren hacker grupları da mevcut. Biz bu tür hackerlara siyah şapkalı hackerlar diyoruz.
Bahsettiğim hacker gruplarının devlet tarafından kontrol edilmesi ve bu alanda yetenekli kişilerin legalize edilmesi, bilişim güvenliği alanında değerlendirilmesi gerçekten çok önemli bir konu. Çünkü bilişim güvenliği alanında işini iyi yapan kişiler bir yana, çalışan kişi sayısı bile oldukça az. Bundan dolayı bu hacker gruplarına yön tayin ederek, ülkemizde bilişim güvenliği sektöründe görev almalarını ve zamanlarını faydalı yönde kullanmalarını sağlamak çok önemli.
Türkiye yoğun siber saldırı alıyor mu?
Daha önce de bahsettiğim gibi ülkemiz şu an doğrudan ciddi profesyonel diyebileceğimiz bir siber saldırı altında kalmadı, en azından gündemimize yansımadı. Bu saldırılar eğer gerçekten profesyonel, planlı ve programlı bir şekilde düzenlense ciddi saldırılar altında kalmamız muhtemel. Özellikle son dönemlerde sıradan kullanıcıların bilgisayarlarına virüs bulaştırarak onların bilgisayarlarını kullanmak amacı güden çeşitli virüsler piyasada oldukça arttı. Dolandırıcıların bilgilerinizi şifreleyerek para talep ettikleri virüslerin doruğa çıktığı bir dönemdeyiz. Siber saldırılar hemen hemen her gün ülkemiz için bir risk taşıyor.
Ülkemizdeki son kullanıcıların yeterince bilinçli olduğunu düşünüyor musunuz?
Ülkemizde son kullanıcılar tabi ki yeterince bilinçli değiller. Özellikle son dönemde artan dolandırıcılık olaylarından etkilenen kişi sayısının çok olmasından bunu görüyoruz.
Siber suçlara verilen cezalar yeterli mi?
Siber suçlara verilen cezaların ülkemiz için yeterli düzeyde olduğunu düşünüyorum. Bu konuda ceza alan kişilerin geneli suçu işlediği zamanlarda genelde 18 yaşından küçük oluyor. Bu alanda sistemlere verdiği zarar bakımından çok büyük olmayan, bu alana yatkın kişilerin de cezasını çektikten sonra bilgisini doğru yönde kullanması adına devlet tarafından çalışmalar yapılması gerektiğine inanıyorum.
GEZDİĞİNİZ TÜM SİTELER ANLIK OLARAK TAKİP EDİLİYOR
Sosyal medyadaki bilgilerimizin, maillerimizin yabancı istihbarat teşkilatları ile paylaşıldığı, bunlar hakkında çeşitli analizler yapıldığı, bu bilgilerden yola çıkarak stratejiler geliştirildiği, toplum mühendisliği çalışmaları yapıldığı konusunda ne söyleyebilirsiniz? Kişisel güvenlik için tehdit oluşturur mu?
Bu sektörün başını çeken ülkeler gerçekten çok büyük yollar kat ettiler ve siber savaşlara hazırlanma konusunda gerçekten çok ön sıralarda yer alıyorlar. Vizyon olarak çok geniş bir perspektiften baktıkları için, geleceğe yönelik yararlı olabilecek bilgileri şimdiden havuzlarda topluyorlar ve bunları zamanı gelince çok daha kapsamlı kullanmak amaçlı güncel tutuyorlar. İnsanlarımız bilgilerini paylaşma konusunda gerçekten gelişi güzel hareket ediyor. Hemen hemen her anını sosyal medya üzerinden paylaşmak, insanlarımız için günlük yapılması gereken işler halini aldı. Bu tabi ki önlem alınmazsa gerçekten çok daha büyük sorun olarak karşımıza çıkabilir. Düşünün istihbarat şirketleri sosyal medya üzerinden sizin tüm karakter analizinizi yapıyor ve ileride sizinle ilgili araştırmalarda hiç zorlanmayacaklar. Belki hedef siz olmasanız bile çevrenizdeki bir kişiye sizin üzerinizden ulaşmak onlar için gerçekten önemli olup kullanılan ve tercih edilen bir yoldur. En basitinden gezdiğiniz tüm siteler anlık olarak takip ediliyor ve bunlara uygun reklamlar görüyorsunuz. Bu bile yapılan işlemin ticari olarak hedefe uygun üretildiğini görmeniz açısından önemli.
TELEFONUM DİNLENİYOR MU?
Telefon dinlemeleri çok gündemde. Dinlenemeyen, izlenemeyen telefon var mı? Korunmak için nelere dikkat etmek gerekli?
Sinyal üreten hemen hemen her şey izlenebilir. Telefon ekranlarınız, monitörleriniz, televizyon ekranlarınız, kablosuz cihazlarınız, yani aklınıza gelebilecek her türlü elektronik aletiniz dinlenebilir ve izlenebilir. Hal böyleyken tabi ki bunların önüne geçmenin yolu vatandaş açısından zor olsa gerek. Burada legal olarak dinlemeleri bir kenara koyarsak, illegal dinlemelerin önüne geçmek için kriptolu haberleşme uygulamalarını kullanmanız önemli. Burada da tabi ki yerli üretilen, güçlü şifreleme algoritmaları kullanan yazılımlarımızın olması şart. Şu an piyasada bu anlamda oluşturulan uygulamaların tamamını inceleme fırsatı bulamadım, tabi ki dinlemelerin önüne geçmek zor fakat imkânsız değil. Kriptolu telefonlar dahi dinlenebilir ve üretilen anlamsız şifreler çözüldükten sonra konuşmaların kriptosuz hali elde edilebilir. Zaten devlet görevlilerinin dinlenen kriptolu telefonlarında, kriptoyu çözmeye yönelik anahtar belirli kişiler tarafından bilindiğinden veya elde edildiği için dinlemeler açık bir şekilde gerçekleşmişti.
Vatandaşlar dinlemeleri önlemek için telefonlarına gelişi güzel uygulamalar yüklememeliler. Belirli yetkiler vererek çalıştırdığınız mobil uygulamalar üzerinden mesajlarınız okunabilir, telefon konuşmalarınız dinlenebilir. Voip üzerinden görüştüğünüz IP telefonlarınızın güvenliği sağlanmazsa bu görüşmeler de kolaylıkla elde edilebilir. Bu yüzden bu sistemlere sızma testleri gerçekleştirmek ve ağınızın güvenliğini sağlamak çok önemli.
HER MAİLİ AÇMAYIN
Son günlerde sahte e-fatura maili göndererek kullanıcıların bilgileri şifreleniyor ve kendi bilgisayarınızdaki bilgiler kullanılamaz hale getiriliyor. Şifrenin çözülmesi için para talep ediliyor. Bu tip sanal dolandırıcılıklara karşı nelere dikkat edilmeli?
Öncelikle burada son kullanıcıların bilinçli bir şekilde davranması çok önemli. Mail kutunuza gelen her içeriği açmamanız gerekiyor. Yapılan bu saldırılarda kurbanlar rastgele seçiliyor. Bu maili tıklayan kişilerin bilgisayarlarında zararlı bir yazılım aktif oluyor ve belgelerinizi şifreliyor. Belirli bir iletişim adresiyle irtibat kurarak, para karşılığında, belgelerinizi kurtarmanız için bu şifre dolandırıcılar tarafından size satılıyor. Bu konuda mağdur olanların sayısı gün geçtikçe artmakta. Daha öncesinden belirli firmaların sunucularındaki basit güvenlik açıklarını kullanarak bilgileri şifreleyen dolandırıcılar, yönlerini artık bu tarafa çevirdi ve normal bilgisayar kullanıcılarını da tehdit eder hale geldiler. Belirttiğim gibi burada bazen antivirüs yazılımları dahi çözüm olmayabiliyor. Bu yüzden tanımadığınız adreslerden gönderilen e-posta eklerini açarken dikkatli olmanızda fayda var.
ÖZEL BİLGİLERİNİZİ SOSYAL MEDYADA PAYLAŞMAYIN
Güncel olarak hackerler en çok hangi yöntemleri tercih ediyorlar? Son kullanıcılara ne tavsiye edersiniz?
Hackerlar gün geçtikçe yöntemlerini de geliştirerek daha fazla zararlı hale gelmeye başladılar. Güvenlik uzmanları çözüm üretirken oldukça hızlı davranması gerekiyor. Son kullanıcılarımızın yeterli düzeyde virüs analizi yapma yeteneği yok ise kesinlikle güncel bir antivirüs kullanmaları gerekir. Günümüzde artık antivirüs programlarının dahi atlatılarak saldırı düzenlemenin mümkün olduğunu düşünürsek, antikeylogger dediğimiz bilgisayar uygulamalarını farklı bir gözle inceleyen yazılımların da gerekliliği ortaya çıkıyor. Tabi ki alınan bütün bu önlemler bir yere kadar yeterli oluyor. Burada en önemli gerçek, sanal dünyada her şeye, her kişiye güvenmemek olduğudur. Bazen sanal ortamda iletişimde olduğunuz, tanıdığınız olarak sandığınız kişi, o kişi değildir. Hackerlar genellikle sizin başka sitelerde kullandığınız şifreleri ve bilgileri temin ederek saldırı düzenlerler ve bu saldırıların mağduru olabilirsiniz. Bu yüzden her yerde aynı şifre kullanmamaya özen göstermelisiniz. Özellikle parola kurtarma alanlarında sorulan gizli sorularda tahmin edilebilir cevaplar kullanmamaya dikkat edin. Yeri gelmişken tekrar hatırlatmakta fayda var. Kendinize ait kalması gereken özel bilgilerinizi özellikle sosyal medya üzerinden paylaşmakta çok istekli olmayın.
DÜNDEN İYİYSENİZ SİZ HEP İYİSİNİZ
Güvenlik uzmanı olmak isteyenlere tavsiyeleriniz nelerdir?
Bir konuda uzman olmak gerçekten çok önemli. Öncelikle hangi alanda uzman olmak istediğinize karar vermeniz gerekmekte. Her konuda uzman olmayı istemek gibi bir düşünce pek rasyonel bir düşünce olarak gözükmüyor. Bu yüzden yatkın olduğunuz alana yönelerek kendinizi günden güne geliştirmeniz, vaktinizi asla boşa harcamamanız temel kriterler arasında. Bilişim güvenliği günden güne hızla ilerliyor ve siz bu alanı asla bırakmadan devamlı takip etmelisiniz. Kendiniz bir şeyler üreterek katkı sağlarsanız bu alanda gerçekten başarılı olursunuz. Bilişim ile uğraşıyorsanız kesinlikle güvenliği ön planda tutmalısınız.
Üşengeçlik en büyük düşmanınız olmalı. Bilişim güvenliği nesilden nesile aktarılan bir konu değil. Bu yüzden yeni ve herkesle aynı anda başladığınız bu sektörde siz diğerlerinden farklı bir şekilde önlerde ilerleyebilirsiniz.
Unutulmaması gereken konu şudur:
Dünden iyiyseniz siz hep iyisiniz.
Diğer Röportajlar
