Kısa bir süre önce Londra’da kurduğu yazılım firmasıyla web uygulama güvenliği alanına odaklanan Ferruh Mavituna, web uygulamalarındaki güvenlik açıklarını tespit eden yazılımıyla dünyanın farklı ülkelerine ulaşmak istiyor. Mavituna’nın, 4 kişilik bir Türk ekibi ve 3 İngiliz yatırımcının desteğiyle hayata geçirdiği “Yanlış Raporlama – False-Positive”i çözen projesi, Netsparker, geçirdiği süreç dolayısıyla da dikkat çekiyor. Türkiye’de, Turkcell gibi kurumsal kullanıcıların yanında halen İngiltere, Yunanistan, Amerika, Singapur’da müşterileri bulunan Mavituna, ürünle, yazılım geliştirmeden sonraki güvenlik testi süreçlerinin de hızlandırılabildiğine dikkat çekiyor.
turk-internet.com: Netsparker nedir? Böyle bir ürün geliştirme fikri nereden icap etti?
Ferruh Mavituna: Netsparker web uygulamalarındaki güvenlik açıklarını otomatik olarak tespit edebilen bir yazılım. Yani bir web sitesinin adresini Netsparker’a veriyorsunuz o da sizin için o sitenin güvenliğini test edip sitedeki güvenlik açıklarını raporluyor.
Piyasada Netsparker’a benzer ürünler senelerdir var, yani otomatik olarak web uygulaması güvenliği testi yapan yazılımlar. Ben yaklaşık 8 seneden fazla bir süredir web güvenliği üzerine çalışıyorum, bu seneler boyunca bu yazılımları inceledim ve kullandım ama açıkçası bu yazılımların bir çok şeyi yapamadığını fark ettim, güvenlik açıklarını kaçırıyorlardı, “false positive” dediğimiz gerçekte güvenlik açığı olmayan şeyleri güvenlik açığıymış gibi raporluyorlardı. Yeterince pratik değillerdi ve her şeyden önemlisi daha ileri gitmeye çalışmıyorlardı. Dolayısıyla, ben de kendi yazılımı geliştirmeye karar verdim.
Netsparker, bankalar, e-ticaret kurumları, finans kurumları ve e-devlet sistemleri gibi güvenliğin önemli olduğu her türlü web sitesi sahibi kurum ve firmalara hitap ediyor. Bu firmaların güvenli yazılım geliştirme sürecinde ya da yazılım geliştirmeden sonraki güvenlik testi süreçlerini de inanılmaz bir şekilde hızlandırıyor.
Ürünün iki önemli özelliği var; birincisi, dünyadaki ilk ve tek “False Positive” raporlamayan güvenlik yazılımı olması. Bu teknoloji sayesinde ikinci bir kendine özgü özelliği var o da bulduğu güvenlik açıklarını aynı bir saldırgan gibi kullanabilmesi. Yani size “Sitenizde güvenlik açığı var, bir saldırgan kullanıcıların şifrelerine ulaşabilir” demek ile kalmıyor şifrelere ulaşıp size bunu gösteriyor. Bütün bunlar olurken kullanıcını güvenlik konusunda uzman olması gerekmiyor, kullanıcı bunların hepsini basit bir arabirimden iki üç tıkla halledebiliyor.
turk-internet.com: İngiltere’ye gidişinizden ve orada ekibinizi oluşturmanızdan kısaca bahsedermisiniz?
Ferruh Mavituna: Bir gün internette dolaşırken İngiltere’den bir firmanın teknik tabiri ile “Penetration Tester” aradığını gördüm, özetle firmalar size web sitelerini veya ağlarını gösteriyorlar, siz de hack edip, nasıl hack ettiğinizi ve sistemin güvenlik açıklarını firmaya raporluyorsunuz.
İş ilanı tam olarak benim uğraştığım konuya uyunca ben de başvurdum, daha sonradan İngiltere-Londra’ya gidip kendileri ile yüz yüze görüştük, anlaştık ve bu sayede Avrupa’nın en büyük ve en iyi takımlarından birinde “Senior Security Engineer & Researcher” olarak işe başladım.
Aslında, işe başladığımdan yaklaşık bir ay kadar sonra Netsparker’ı geliştirmeye başladım. Bu geliştirme süreci aralıklı bir şekilde yaklaşık üç sene sürdü. Daha sonradan çevremdeki insanların yazılımı beğenmesi, aktif olarak kullanmaya başlaması ve yazılımın kendine özgü bazı özelliklerinden dolayı bunu ticari olarak piyasaya sürmeye karar verdim.
Bunun ardından üç İngiliz yatırımcının da desteği ile önce işten çıkıp yeni bir firma kurdum, daha sonra bunu takip eden aylar içerisinde Türkiye’den üç teknik arkadaşımızı daha ekibe kattım.
turk-internet.com: İngiltere’de olmak size ne gibi avantajlar sağlıyor?
Ferruh Mavituna: Her şeyden önce, Amerika’dan sonra dünyadaki en büyük güvenlik marketi İngiltere’de. Dolayısıyla, bir çok bu konuda aktif olarak çalışan firma ve kişiler ile bire bir iletişimde olmak hem teknik hem de ticari anlamda ciddi bir avantaj getirdi. İkincisi, bu tip özel konudaki bir proje için Türkiye’de yatırımcı bulmak ciddi derecede zor bir iş olabilirdi. İngiltere’de, bu iş tahminimden de kolay sonuçlandı.
turk-internet.com: Halen, çalışmalarınızı İngiltere’de mi sürdürüyorsunuz?
Ferruh Mavituna: Ben İngiltere’deyim ama ekibin geri kalanı Türkiye’de bulunuyor. Bu sayede hem Türkiye’nin hem de İngiltere’nin avantajlarından faydalanabiliyoruz. Türkiye’deki ekibimizi büyütme çalışmaları içerisindeyiz ama, açıkçası henüz Türkiye’de güvenlik sektörü yetersiz olduğundan dolayı tüm operasyonu Türkiye taşımak gibi bir planımız yok.
turk-internet.com: Ürününüzü, hedef kitleye ulaşmak için bir pazar stratejiniz var mı?
Ferruh Mavituna: Türkiye’de bankalar, telekomünikasyon kurumları, e-ticaret siteleri gibi bir çok firma ile iletişim içerisindeyiz. Bir kısmı hala deneme süresinde, bazıları satın aldı, bazıları da satın alma süreci içerisinde.
Açıkçası, hedef kitleye teknik olarak ulaşmaya çalışıyoruz. Yani yazılımın benzerlerine göre üstünlüğü, kendi özgü yapısı ve teknolojisi ile kendi kendini ayağa kaldıracağına inanıyoruz. Bu yüzden zaten demo gönderdiğimiz tüm firmalara kendi hali hazırda kullandıkları yazılımla karşılaştırmalarını rica ediyoruz ki Netsparker’ ın onlardan daha iyi çalıştığını, daha çok güvenlik açığı tespit edebildiğini ve “False Positive” leri raporlamadığını kendileri de görsünler.
Kaynak : 