Çalışmaları dünya arenasına çıkan kişileri size sunmayı seviyoruz. Bu kapsamda sayılabilecek yazılarımızı örneklersek, Türk TQM Yazılımı Mipsis Cnet’te ve Açık Kaynak Kodu Geliştiren Bir Grup ; EnderUnix hatırlayacaksınız. Şimdi size yine başarılı bir örnek sunuyoruz. Geçtiğimiz yıllarda basında hacker olarak yer alan Tamer Şahin, dikkatlerimizi çok önemli bir konuya çekiyor; “Güvenlik”. 4 gün sürecek olan yazı dizimizde kendisine konuyla ilgili düşüncelerini sorduk.
turk-internet.com : Tamer Bey kendinizi tanıtır mısınız?
Şahin : Yurt dışı merkezli güvenlik yazılımları üreten bir firmada güvenlik uzmanı olarak çalışıyorum. Uzun yıllardır beri güvenlik alanında profesyonel anlamda çalışmalarım var. Ayrıca kişisel olarak geliştirdiğim SecurityOffice web sitesinde üzerinde çalıştığım güncel yazılımların güvenlik açıklarını yayınlıyorum. Sitemde yayınlanan bilgiler başka güvenlik portal ve mail list’lerinde de yayınlanıyor. SecurityOffice neredeyse tüm zamanımı alıyor.
Ticaret Lisesi mezunuyum. Ortaokul yıllarında başlayan bilgisayara merakım daha sonraki dönemlerde bu işi profesyonel olarak yapma isteği doğurdu. Programların zayıf yönlerini araştırmak, bilgiyi daha korunabilir ve kullanılabilir hale getirmek benim için en başından beri önemli bir meraktı. Ama basladığım dönemlerde Türkiye’de bırakın güvenlik konusunu, daha bilişim sektörü bile yeni yeni oluşmaya başlıyordu. Sanırım bu gelişim ve değişim süreci, sektörün gelişmesi ile doğru orantılı olarak benim de kendimi geliştirmemi sağladı.
Şu anda Türkiye’de bilişim sektörü gerçekten belirli bir seviyeye gelmiş durumda, her ne kadar son ekonomik krizler sektörde %40’lara varan küçülmeler yarattıysa da son bir kaç yıldır güvenlik alanında önceye oranla ciddi oranda bir bilinçlenme ve yatırım söz konusu.
turk-internet.com : Yurtdışı firma için Türkiye’den mi çalışıyorsunuz? Bu şirket için çalışmaya nasıl başladınız? Yaptığınız iş Türkiye’ye mi yönelik?
Şahin : Yurtdışı merkezli bir güvenlik firması için tam zamanlı olarak Türkiye’den çalışıyorum. Güvenlik sektöründe uzunca bir süredir bu tarz çalışmalarım bilindiği için, sürekli irtibatta bulunduğum bazı kişiler kanalıyla bu iş beni buldu. Verilen hizmetlerin neredeyse tamamı yurt dışına yönelik.
turk-internet.com : SecurityOffice web sitesinden kimler yararlanıyor ? Siz bu siteden ne kazanıyorsunuz?
Şahin : SecurityOffice web sitesini ziyaret edenler çok geniş bir yelpazeden. Mamafi büyük bir kısmı IT sektöründen. Fakat güvenlik tüm yöneticileri ilgilendiren bir husus. Bu konuda kendisini geliştirmek isteyen yada soracak soruları bulunan kişiler de SecurityOffice’i ziyaret ediyor. Sitedeki zayıflıkları inceledikten sonra sorularını email yolu ile gönderiyorlar. Site istatistikleri incelendiğinde özellikle Microsoft, Compaq, HP gibi firmaların siteyi takip ettiğini görüyorum. Bu oldukça sevindirici.
Yanı sıra yurt dışından, güvenlik konusunda hem profesyonel, hem de kişisel anlamda çalışanlar ya da SecurityOffice tarzı oluşumlarda bulunan kişiler de siteyi sürekli ziyaret edenler arasında. Bu kişilerle sürekli irtibat halindeyim. Mailleşiyoruz. Karşılıklı kafamıza takılan konuları ya da güncel olayları gözden geçiriyoruz.
SecurityOffice web sitesinden benim maddi olarak herhangi bir kazancım yok. Dolayli yollardan bazı getirileri olduğu söylenebilir. SecurityOffice’in Turkiye’de şu anda kendi dalında tek olması yani güvenlik duyurularını yayınlayan özgün bir araştırma sitesi olması benim açımdan oldukça gurur verici.
Bazen de siteyi gezen, güvenlik konusunda çözümlere ihtiyacı olan firmalar benimle irtibata geçip ortak çalışma içerisine giriyor. Bugüne kadar gerek kamu gerekse özel sektörden bir çok firmayla güvenlik konusunda çeşitli alanlarda hizmetlerim oldu.
turk-internet.com : Sitenizde yayınladığınız güvenlik açıklarını kim buluyor ? Siz bunları nasıl tespit ediyorsunuz ?
Şahin : SecurityOffice web sitesinde yayınladığım güvenlik açıklarının tamamı benim bulduğum güvenlik açıklarıdır. Bu açıkların tespit edilmesi sürecinde öncelikle program ayrıntılı şekilde inceleniliyor. Belirli zayıflıklar gözden geçiriliyor. Sonra bulunan zayıflığın kullanımına dair “exploit” dediğimiz programlar hazırlanıyor daha sonra program üreticisi ile irtibata geçilip programdaki zayıflıktan haberdar ediliyor. Eğer karşı taraf bir çözüm önerisi sunarsa, güvenlik duyurusu, çözüm önerisi ile birlikte SecurityOffice web sitesinde ve diğer güvenlik portallarında yayınlanıyor.
turk-internet.com : Peki bize sizin bulduğunuz açıklardan bir kaç örnek verebilir misiniz?
Şahin :
Microsoft ISA Server Denial of Service Vulnerability
Hewlett Packard AdvanceStack Switch Managment / Authentication Bypass Vulnerability
AOLServer Password Protected File Arbitrary Read Access Vulnerability
turk-internet.com : Programların açığını bulmak enteresan bir olgu. Sizde bu merak nasıl başladı?
Şahin : Programların zayıf yönlerini araştırmak. Bilgiyi daha korunabilir ve kullanılabilir hale getirmek konusunda hep süregelen bir merakım vardı. Programların zayıflıklarını bulmak bana heyecan veren bir keşif süreci gibi geliyor. Güvenlik önlemleri alınmış bile olsa yeni sistemler, yeni gelişmeler, her zaman yeni güvenlik açıkları doğuracaktır. Bu açıkları bulmak, yayınlamak ve yayınlandığı andan itibaren bu açığı ortaya çıkaran kişi olarak bilinmek, insanın kendini yeni nesil bir kaşif gibi hissetmesine neden oluyor. Bu oldukça heyecan verici bir duygu.
turk-internet.com : Seminerler de verdiniz galiba. Ne tür seminerler bunlar?
Şahin : 2000 yılında Microsoft’tan bir istek gelmişti. Güvenlik ile ilgili bazı temel konularda ve potansiyel açıklar hakkında bir seminer vermiştim. 2001 yılında da Inet-tr kapsamında, İzmir’de bir seminer verdim. Konu; bir saldırı tespit sistem yazılımı idi.
turk-internet.com : Geçtiğimiz yıllarda bazı büyük kuruluşların bilgisayar
sistemlerine girmek suçundan hakkınızda davalar açıldı. Bu konuda söyleyecekleriniz var mı?
Şahin : Benim fikrim, eğer etrafınızdaki insanlar zamanınızı boşuna harcadığınızı düşünüyorlar fakat siz yaptığınız şeyden gerçekten zevk alıyorsanız, buna kapılmışsınız demektir. Yaptığınızdan taviz vermiyorsanız içinizde bir Hacker’in iyi tarafı var demektir. Ama endustri casusluğu gibi başka firmaların sistemlerine girip çaldığınız bilgileri bir başka firmaya para karşılığı satıyorsanız, siz sadece bir fırsatçı hatta muhtemelen “suçlu”sunuz. Hacking becerisini suç işlemek için kullanmanın mümkün olduğu doğru fakat bunu yaptığınızda artık hacker olmaktan çıkıp “suçlu” oluyorsunuz. Ben ilk tanıma dahil olduğumu düşünüyorum.
Bu yazının devamı Türkiye’de Saldırganlar Genellikle Dışarıdan başlığı altında.