Tamer Şahin ile yaptığımız röportaja Türkiye’deki, özellikle kamu şirketlerindeki güvenlik konuları ile devam ediyoruz.(Daha önceki bölümleri Hacker Olmak Her Zaman Kötü mü? ve Türkiye’de Saldırganlar Genellikle Dışarıdan başlıkları altında bulabilirsiniz)
turk-internet.com : Türkiye’de Güvenlik Konusuna Verilen Önem Yeterli mi? Kamu/Özel Sektör Bağlamında Nasıl Değerlendiriyorsunuz?
Şahin : Türkiye’de önceki yıllara oranla bilgi güvenliğine ciddi yatırımlar yapılıyor. Aslına bakarsanız ben bunun nedenini olaylardan ders almaya bağlıyorum. Önceki yıllarda bazı firmalara ve kamu kuruluşlarına karşı gerçekleştirilen saldırılar sonucunda verilen kayıplar sonraki dönemde hem yeni kurulacak firmalarda hem de mevcut firmalarda ciddi bir güvenlik politikası geliştirilmesini ve mevcut network’lerin gözden geçirilmesini sağlamıştır.
Devlet kuruluşlarına karşı yapılan saldırılarda kullanılan teknikleri incelerseniz görürsünüz ki bu saldırıları yapan kişiler ileri düzeyde teknikler kullanmıyorlar. Zaten bütçe ve personel sorunu çeken kamu kuruluşlarının, mevcut şartlarla network’lerini güvenli hale getirmelerini beklemek açıkçası bana hayalcilik gibi geliyor.
Son dönemlerde herkesin diline doladığı “e-devlet” gibi bir yapılanmalara girilmek isteniyorsa bütçenin personel gibi gereksinimlerinin yeterli oranda karşılanması ve doğru sistemler seçilerek, doğru kişilerle bu tür bir oluşum içerisine girilmesi gerekir. Aksi taktirde bedeli düşündüğümüzden çok daha fazla olabilir. Bu bedel maddi bir zarar olabileceği gibi bir devletin en üst kurumlarının işlemlerini yürüttüğü “sanal devlet dairelerinde” kitlelerin kişisel bilgilerinin tahrip görmesi ya da oradan alınıp farklı amaçlarla kullanılması da olabilir. Yani e-devlet’in güvenliği çok önemli aksi tandirde, her anlamda ciddi kayıplar söz konusu olabilir.
Devletin genel olarak yaklaşımı her ne kadar olumsuz bir eğride sürse de, gereksinim duydukları zaman dışarıdan profesyonel destek almaktan çekinmiyorlar. Örneğin geçenlerde oldukça büyük yankılar uyandıran “Bursa’daki Cinsel Taciz Yapan Öğretmen” olayında İzmir, Bursa Emniyeti ve Interpol arasında gerçekleşen iletişim sırasında İzmir Emniyeti benimle temasa geçti olayla ilgili belirli ipuçları dahilinde bazı raporlar hazırlamam istendi. Bu raporları hazırladım. Sonuç olarak başarılı bir operasyon gerçekleştirildi ve toplumumuz içerisinde yaşayan bu hastalıklı zihniyete sahip kişi yakalandı. Şu anda cezasını çekiyor.
turk-internet.com : Bu Olayı Biraz Açalım. Ne Tür Bir Çalışma Yaptınız O Konuda?
Şahin : Çocuk pornosu operasyonunda Bursa’da öğretmenlik yapan şahıs evinde taciz ettiği çocukların resimlerini internet uzerinden satmak için bazı yabancı web sitelerinin webmaster’larına email gondermiş. Bu emailleri ele geçiren Interpol konuyla ilgili olarak İzmir Emniyet Müdürlüğü ile irtibata geçmiş. İzmir Emniyet Müdürlüğü Interpol’den gelen bildiri ve diğer ipuçlarını değerlendirmek amacı ile benimle temasa geçti. Yaptığımız çalışma sonucunda şahsın e-maillerinden IP numarasını tespit ettik. Oradan da internet servis sağlayıcısı bulundu. Firma ile temasa geçildi. Sonuçta şahsın Bursa’da ikamet ettiği saptandı. Olay Bursa Emniyetine gönderildi. Sonrasında da bildiğiniz gibi Bursa Emniyeti operasyon duzenleyip şahsı yakaladı.
turk-internet.com : Ülkemizde Kullanılan Güvenlik Programları ve Firewall’lar Yurtdışı Kaynaklı. Ülkemizde Firewall ve Güvenlik Yazılımı Üretemez miyiz?
Şahin : Elbetteki Türkiye’de de bu konuda belirli çalışmalar yapılabilir. Fakat krizler sonrası neredeyse %40’lara varan bir küçülme yaşayan sektörde bu çalışmanın ne ölçüde sağlıklı ilerleyeceği tartışılır.
Bildiğim kadarıyla “Havelsan”nın bu konuda bir çalışması var fakat devlet içerisinde kullanılacak bir güvenlik yazılımı olduğu konusunda duyumlar aldım. Sanıyorum ki özel sektör’ün kullanımına sunulmayacak.
Umarım herkesin kullanımına sunulur ve bu konuda da zamanla bir çesitlilik yaşanır.
turk-internet.com : Dış Kaynaklı Güvenlik Yazılımı Kullanmanın Riski Var mıdır?
Şahin : Böyle bir riskin olmadığını rahatlıkla söylebilirim. Bilinen hemen hemen tüm güvenlik yazılımları, dünya pazarına sunulmadan önce çeşitli bağımsız kuruluşlar tarafından denetlenerek “zayıflıklara” sahip olup olmadığı sınanır. Bunun yanı sıra yazılım zaten piyasaya çıktıktan sonra, dünya genelindeki, ben ve benim gibi güvenlik alanında çalışan yüzlerce kişi tarafından sınanır. Zayıflıkları bulmaya çalışanlar, bulduklarını hemen çok kısa bir zaman içerisinde yayınlarlar ve geniş kitleler hemen haberdar olur. Dolayısıyla böyle bir yazılımı kimse edinmek istemez.
turk-internet.com : Sizce Devletin, Kendi Siteleri ve Network’leri Açısından ya da Genel Olarak Türkiye Bilişim Sektörü ve Güvenliği Açılarından Neler Yapması Lazım?
Şahin : Benim fikrim öncelikle devlet’in “e-devlet” gibi bir yapılanmaya
girmeden önce kendi bünyesindeki web sitelerini farklı sunuculardan alıp tek bir network içerisinde toplaması gerekli. Şu anda devlet’in farklı makamlarıyla ilgili sunucular farklı yerlerde bulunuyor. Bunlarin kimi Ankara’da kimi ise çeşitli İnternet Servis Sağlayıcılarda. Bunlar tek bir network içerisinde toplanıp gerekli önlemlerle birlikte birbirleriyle iletişim içerisinde bir sistem kurulabilirse “e-devlet” ütopya olmaktan çıkar. Fakat bunun yakın
zamanda olacağına yada bahsettiğim şartlar dahilinde olacağına ihtimal veremiyorum.
turk-internet.com : Son olarak Karen Fogg mail olayına ne diyorsunuz?
Şahin : Geçtiğimiz günlerde bu olaydan basın aracılığı ile haberdar oldum. Yazılar, herhangi bir güvenlik önlemi alınmadığından bahsediliyordu. Tamamen dışarıdan bakarak söylenebilecek tek şey bu
işin içeriden fiziksel olarak yapılmışa benzedigidir.
Yazının son bölümünü e-ticaret Güvenliği Sadece ‘SSL’ Değildir başlığı altında okuyabilirsiniz.