Mail ile bize ulaşanlardan bir tanesinin oldukça enteresan olan hikayesini ve uzantısında hacker’lar dünyasından bazı noktaları sizlere de sunmak istedik. Ferruh Mavituna önceki bölümlerde
- Hack Etmek Yerine Yardım Edince İş Buldu – 1)
- Hack Etmek Yerine Yardım Edince İş Buldu – 2)
- Hack Etmek Yerine Yardım Edince İş Buldu – 3)
- Hack Etmek Yerine Yardım Edince İş Buldu – 4)
Bize kendisinden ve yaptığı işlerden ve Türk hacler’larla elektronik ticaretin güvenilirlik-güvenmezlik kavramlarından bahsetti. Bugünkü bölümde, yaşadığı ilginç tecrübeyi konuşacağız.
turk-internet.com : Sizin bize yazma nedenlerinizden biri olan bir tecrübeniz söz konusu bunu anlatır mısınız?
Ferruh Mavituna : Yaklaşık 10 ay kadar önce internet üzerinden para transferi yapan yabancı büyük bir firmanın sistemlerinde önemli bir açık keşfettim. Pek de kısa olmayan araştırmalar ve uğraşlar sonucunda firmanın tüm sistemine erişim hakkına sahip oldum. Sistemdeki hata saldırganın tüm sisteme tam erişim sağlamasına neden oluyordu.
Bu firmanın ortalama bir milyon müşterisinin olduğunu ve yılda 1,5 milyon dolar civarında para transferi gerçekleştirdiğini gözönünde bulundurursanız bu tabii ki çok ciddi bir sorun oluşturuyordu.
Kendileri ile iletişime geçtim, şu an birlikte bir çalışma içerisindeyiz.
turk-internet.com : Pek de kısa olmayan araştırmalar sonucu demişsiniz. Neden bu tür bir uğraşa girdiniz? Şirketin bilgilerine ulaşarak ne yapmaya çalışıyordunuz?
Ferruh Mavituna : Aslında bu sanırım neden güvenlik ile uğraştığım sorusuna da bir cevap olabilir. Önceden de belirttiğim gibi ortada bir açık var ve bunu benim yerime kötü niyetli bir kişi bulabilir, bu o firma ve müşterileri için çok daha kötü bir olay olurdu.
Bilgi ve yapılamaza ulaşma isteği de tabi bu hareketimin en büyük nedenleri arasında. Açıkçası bu işi karşı tarafın bilgisi dahilinde veya dışında yaparken ciddi bir zevk alıyorum ve buna karşı direnmek oldukça zor.
Tabii ki bir taraftan da açığın detaylarını ve etkilerini inceleyip o şekilde firmaya bildirmem gerekiyor. Bu sayede firma ile iletişim kurduğumda açığın sebebini, kimlerin kullanabileceğini, olası zararlarını ve çözüm yollarını onlara önerebilirdim.
turk-internet.com : Peki amacınızı karşıdaki firmaya doğru bir şekilde nasıl anlatabildiniz? Yani tehdit etmediğinizi ve iyi niyetli bir şekilde açığı izah ettiğinizi nasıl düşündüler?
Ferruh Mavituna : Herşeyden öte bir güvenlik uzmanı olarak bu açığı kullanan başka biri (bir saldırgan) milyon dolarlar değerinde kanunsuzluk, para aktarımı yada tüm müşterilerin kişisel bilgileri ve Kredi Kartlarına erişebilirdi.
Ben firma ile kontağa geçerken bu durumu düzeltmek istedim. Aynı zamanda kendim güvenlik uzmanı olarak çalıştığımdan dolayı kendilerine bu servisi verebileceğimi ilettim.
Firma ile iletişim prosedürü gerçekten zor oldu, ilk önce e-mail ile durumu temel olarak izah ettim. Kendimi gerçek ismim, adresim ve işim ile tanıttım. Uluslarası telefon görüşmeleri ve bir dizi e-mail yazışması ile kendilerinin durumu yanlış anlamaması için çok uğraştım açıkçası.
Ek olarak bunu kanıtlamak ve mevcut açığı olası bir anlaşma ve servis hizmetinden önce en hızlı şekilde kapatabilmeleri için henüz görüşmelerin başında açığı kapatlamaları için gerekli teknik prosedürleri kendilerine bildirdim. Bu da tabii ki güveni bir kat daha pekiştirdi.
turk-internet.com : Bundan sonrasında ne olacak? Bu firma için mi çalışacaksınız? Bu noktada avukatın size nasıl bir yardımı oldu?
Ferruh Mavituna : Şu an bu firma ile çalışmaya başladım sayılır. İmza işlemleri kaldı. Şimdilik kendilerine buradan düzenli şekilde hizmet vereceğim. İlerisi içinse tekrar görüşmeler olacak.
Sn. Av.Ali Osman Özdilek internet hukuku üzerine çok bilgili bir insan. Özellikle firma ile iletişim ve anlaşma esnalarında işi hukuka uygun bir şekilde yapması ve benim için o ülkede sorun oluşturabilecek olası kanunlar hakkında bilgilendirmesi benim için harika oldu.
Aynı zamanda tüm kontrat ve diğer prosedürleri de hallettiği için bir kez daha kendisine teşekkür etmek isterim.
Ek olarak eğer kendisi ile görüşmemiş ve bir avukat olmaksızın kontağı devam ettirseydim iş çok daha farklı yerlere gelebilir ve ciddi sorunlar çıkabilirdi diye düşünüyorum.
Bundan sonra ise bu firma için en azından şuan Türkiyeden part-time çalışacağımdan dolayı Türkiyedeki firmalar ile de güvenlik uzmanı olarak çalışmaya devam edeceğim.