Bu röportajın önceki 2 bölümünü
başlığı altında okuyabilirsiniz.
turk-internet.com : Kendinizi tanıtır mısınız?
Hacker – 1 : Şu anda Doğu Anadolu’da ikamet etmekteyim. Eskişehir doğumluyum ve liseye devam ediyorum. 17 yaşındayım. Ailemin durumu kötü olmasa da, kendi başıma birşeyler başarabileceğimi kanıtlamak istiyorum. Bu yüzden bir internet şirketinde network admin olarak çalışıyorum. Bilgisayar ile ilk tanıştığımda henüz 8 yaşındaydım. İlk bilgisayarım hala evimde bir köşede durmaktadır; Amiga. Daha sonra unix kullandım ve pc üzerinde hep source kodlarla çalıştığım için, bilgim daha çok arttı.
7 sene önce internet ile tanışmam, tüm hayatımı değiştirdi. Daha önceleri, evde tek başıma programlar yazarken, bazı sistem hatalarına rastlamıştım. Ama o dönemlerde bırakın interneti, bilgisayar bile o kadar fazla sayıda yoktu. Yani Türkiye’de bilgisayar sektörü, internet sonrası gerçekten hızlı gelişti.
Daha sonra yurt dışındaki sitelerde dolaşırken, benim işlemlerimi, değişik yöntemlerle yapmanın yada kod hatalarını kullanmanın ‘hack’ olarak adlandırıldığını gördüm. Ve bundan sonra benim için yeni bir dönem başladı. Tecrübelerimi ve elde ettiğim bilgileri internette kullanmaya başladım. Tabi ki, ilk denemelerim Türk siteleriydi. Türkiye’de güvenliğin nekadar düşük olduğunu o zaman anladım…
Hacker – 2 : Ben Diyarbakır doğdum ve halen burada ikamet ediyorum. 18 yaşındayım. Şu anda ………’da staj yapmaktayım. Ailemde bilişim sektörü üzerinde küçük çapta bir iş sahibi. Ailemizin maddi durumu iyi fakat arkadaşım “Hacker – 1” gibi ben de herzaman kendi ayaklarım üzerinde durup, kendi bilgimi kanıtlamayı istiyorum.
Bilgisayar ile ilk 7 sene önce tanıştım. İlk ilgimi çeken pascal programlama dilleri oldu. Daha sonra interneti keşfettim. Derken internette bir kaç döküman buldum. Araştırdığım konular ilgimi gün geçtikçe daha çok çekti ve sistem güvenliği üzerine yoğunlaştım …
turk-internet.com : Bu kendi kendinizi geliştirme sürecini biraz daha geniş anlatır mısınız? Nasil yaptınız? Hangi siteler ya da kitaplar ya da insanlar etken oldu gelişmenizde..
Hacker – 1 : Kendimi geliştirme aşamam aslında bir sitenin hacklenmiş halini gördüğümde başladı. Adresini hatırlayamıyorum, çok uzun zaman geçti. Daha sonra pek fazla kaynak olmadığı için server kodlarını araştırmaya başladım (apache,iss,st3).
Daha sonra burada bazı açıklar gördüm. Server kodlarını yönetici dizininde saklıyordu ama dış network’e de açılıyordu. Demek ki oradaki bilgiler dış networke açılıyorsa, yanında küçük kodlarla diğer bilgiler de gelebilir gibi bir fikir geldi akılma ve ilk web hack denemem böyle başladı. O zamanlar 8m.com üzerinde php ve cgi dosyalarınızı çalıştırabiliyordunuz.
Ücretsiz hosting aldım ve hazırladığım küçük bir perl koduyla tum dizinlere ulaşabildiğimi gördüm. O gece teker teker hack’leyebildiğim kadar site hackledim. Daha sonra sistemi 1 hafta kapattılar. Yeniden açtıklarında, açığı da düzeltmişlerdi. Küçük bir programcık ile bu kadar bilgiye erişebiliyorsam, neden daha fazlasını yapmayayım. Kendimi böylece kanıtlayabilirim dedim ve web hack yapmaktan daha ileri dallara atladım…
Hacker – 2 : dal.net üzerinde bir kanalda çalıntı kredi kartları dağıtılıyordu. Merak ettim banka sistemine mi giriliyor? Değilse nasıl yapıyorlar diye düşündüm. Daha sonra bunu araştırmaya başladım. Bu bilgileri güvenlik sertifikası olmayan alışveriş sitelerinden çaldıklarını öğrendim.
Kullandıkları yöntem şöyle: Bazı alışveriş sitesi müşterilerinin kredi kartı bilgilerini veritabanında tutuyor. Sertifika kullanmıyor. Bu bilgiler encrypt edilmiyor. Hacker’lar siteye kodlama hatalarını bularak veya sitenin datalarının saklandığını öğrenerek izinsiz erişim sağlayıp, bu veritabanlarını çalıyorlar.
Bunu öðrendikten bende bir deneme yaptım. ***bay.com’daki veritabanına ulaşmayı başardım. Ancak bu noktada asıl dikkatimi çeken şey Kredi Kartları değil, datalarla birlikte gelen şifrelerdi. Ve hacking ve exploit programcılığında gelişmeme en büyük katkı Hacker-1 ismi ile tanıdığınız arkadaşımdan geldi.
turk-internet.com : Neden Hack ile uğraşıyorsunuz? Neyi yapmaya ya da ispatlamaya uğraşıyorsunuz?
Hacker – 1 : Hack çünkü onlarca kişinin yaptığı çok muhteşem gözüken ve çok büyük maliyetlerle tasarlanan sistemlerin çok küçük hatalarının büyük kayıplara yol açması beni üzüyor. Aslında hack’lerken kin ve nefret yok içimde. Sadece firmalara tasarım ve uygulamadan önce güvenliklerini ön planda tutmaları gerektiğini göstermek istiyorum.
Size bir örnek anlatmak istiyorum, geçen sene A**’ta sistem güvenlikçisi olarak çalışan bir arkadaşım benimle iddaya girdi, “sisteme giremezsin” diye. Çok basit bir yöntemle tüm network’lerine ulaştım.
Size yöntemi anlatacağım çünkü A** benden aldığı yardım ile açıklarını kapattı. İlk hedef olarak sitelerinin açıklarını taradım ve /scripts/ dizinin altında rootexe.exe (unicode cmd kopyası) diye bir dosyaya rasladım.
Daha sonra bu dosyayı kullanarak kendi bilgisayarımın pws serverı üzerinden backdoor programını serverin başlangıç dizininin altına download ettim. Daha sonra server’larını, DDos saldırısı yaparak kilitledim. Mecburen server’ı yeniden başlattılar. Böylece benim küçük backdoor devreye girdi.
Gördüğünüz gibi çok büyük firmaların bile küçük hataları ne kadar büyük zarara yola açabiliyor. Başkalarına soralım benim sahip olduğum bilgilere sahip olsaydınız ne yapardınız şeklinde.. Bence ilk cevap: BİR BANKAYA GİRER TONLA PARA ÇEKER, KAÇARDIM! olur.. Ama bence siz gerçekten benim kafamdaki bilgileri toparlayabilseydiniz bile bu bilgileri iyi bu şekilde kullanmayabilirdiniz. Çünkü güvenlik çok geniş bir tasarımdır…
Hacker – 2 : Hack bence özgürlük demektir. Bir çok büyük yazılım firması, büyük rakamlar/maliyetlerle yazılımlar üretip, yine büyük rakamlara satıyor. Peki niye yazılımlarının büyük maliyetlere mal olduğunu biliyor musunuz? Çünkü yazılımlarını, büyük rakamlarla satılan yazılım platformları üzerinde geliştiriyorlar. Biz ise aynı yazılım platformlarını cretsizce alıp kullanabiliyoruz.
Ve yine hack yani birşeyleri başarmak her zaman insana hazım verir. Büyük firmalar sistemleri hakkında çok yorum yapar. “Kimse giremez” ya da “En iyisi bizim sistem” gibi. Ben özellikle bu tür bir firmanın sistemine girdiğimde gerçekten çok zevk alıyorum çünkü benim gibi birisi devlerle uraşıyor ve çaresizler.
Niye çaresizler? Kendi yarattıkları açıklar yüzünden. Örneğin Windows asla kodlarına dokunulmasını istemez, canı gibi korur ama güvenlik zayıf. Bir de linux’u ele alalım. Hepimiz eminiz ki Windows’dan kat kat daha güvenli. Çünkü kaynak kodları açıktır ve bu yüzden günden güne çok daha büyük bir kitle tarafından geliştirilebiliyor. Gelişmesine izin veriliyor…
turk-internet.com : Başkalarının hayata geçirdiği küçük programlar ve yine başkalarının bulduğu sistem açıklarından faydalanarak bir sistemi çökertmekten haz duyan bir kesim var mı hacker camiasında?
Hacker – 1 : Biz bu tür kişilere kendi aramızda lamer diyoruz: Fakat hiç bir zaman küçümsemiyoruz. Bundan bir süre önce geldiğimiz yeri düşünüyoruz. Bu tür kişiler sadece içindeki hevesi atmak için uğraşırlar. Kesinlikle yardımsal yaklaşım yada maddi bir yaklaşım değildir.
turk-internet.com : Bir sistemi çökertirken veya hack ederken yaptığınız işin geri plandaki boyutlarını düşünüyor musunuz? Örneğin bir sistem admin’in işten atılabilecegi ve bu yüzden evine ekmek götüremeyebileceği, bir bilgi işlem sorumlusunun aç kalacağı gibi şeyler aklınızın ucundan geçiyor mu?
Hacker – 1 : Bir sistemin çökmesinde asıl sebeb zaten ya sistem admindir yada sistemin sahibi. Şu şekilde açıklayabilirim bazı kesimde sistem adminler çok fazla atıp tutarlar. “Kimse sisteme giremez, mükemmel güvenlik!” vs. vs. diye ki zaten bir sistemi göçertirken ya sadece bir mesaj bırakırız yada geçici bir zarara yol açacak işlemler yaparız.
turk-internet.com : Sistemdeki hatayı admine bildirmek yerine neden onu herkesin görebileceği bir şekilde büyük mesajlarla hacklenmiş hale getirmek yapılıyor?
Hacker – 1 : Çoğu hacker ün peşindedir fakat bizimkisi bu şekilde değil. Bizim bunu yapmamızın 1. sebebi “sistem admine defalarca mesaj yollarız cevap gelmez adam ilgilenmez. Biz sisteme bir mesaj bıraktığımızda, zaten bulduğumuz açığı kapatıyoruz. Daha sonra tabi ki admin sistemi bir daha gözden geçirmek zorunda kalıyor…” 2. sebebi ise “Sistem adminlere mesaj atarız işte şu açık var önlemini alın. Daha sonra bakarız açık giderilmiş. Ama arkasından bize mail atarlar “Yok öyle bir açık! Siz kimsiniz! Bir daha mail atmayın!”, ya da hiç cevap gelmez…. bu da 2.sebeb”.
turk-internet.com : Bir hacker olarak kendinizi bir güvenlik biriminin başında düşünün. Sizin dışınızda hayata geçirilmiş bir sisteme yöneticilik yaparken sizinle alakası olmayan bir sistem açığı yüzünden hacklenseniz yani o adamların yerinde siz olsanız ne düşünürdünüz?
Hacker – 1 : Diğer soruda da açıkladığım gibi biz sadece mesaj bırakırız. Kızdırılmadığımız sürece sisteme kalıcı zarar vermeyiz. Yani bir hacker benim sistemime girseydi diyebileceğim tek şey “Bravo!”. Bunu yapabiliyorsa bilgisi benden üstündür yada atladığım bir nokta vardır. Daha önce de belirttiğim gibi bizimkisi “white hack”.
turk-internet.com : Yeni kanunlarla hackleme işlemi banka soymakla aynı cezaya getirilse yine aynı hack heyecanını yaşamak için sistemlere girmeye çalışır mıydınız?
Hacker – 1 : Ülkemiz zaten bilişim dalında bu kanunlara hazır değil. Bir kere bu kanunların çıkması için devlete adına bilirkişilerin çalışması lazım.. Eh ortalıkta ben hackerım diye dolaşan bir sürü kişi var. Ama yine cevaplayayım: Siz caddede karşıdan karşıya geçerken kırmızı ışıklara dikkat ediyormusunuz? Yani ne kadar kanun çıkarsa çıksın biz devam ederiz. Çünkü bizim hayatımız bu oldu artık. Biz bilgisayar üzerine felsefeler yapan bir topluluğuz.
turk-internet.com : Evinin bir köşesinde sağa sola saldırı yapan biri olmak yerine bu işi iyi yapan biri olarak planlı ve sistematik bir şekilde güvenlik satma işine girmek istemez miydiniz? Bunu ne engelliyor?
Hacker – 1 : Tabi ki isterdim bu tür bir iş yapmayı. Fakat yine ne yazık ki ülkemizde bu imkansız. Daha önceden bu tür girişimlerde bulundum. Fakat çalışacağım şirketler beni güvenlik dalında değil yine hack dalında kullanmaya çalıştı. Bir şirket bana “sözleşmeli” bir iş verirse yaparım artık. Bunu yapmam içinde hiç bir engel yok. Ve tabi ki tekliflere açığım…
turk-internet.com : Bu hacker’lar içinde milliyetçi olarak bilinen kesim mi var? Neden 11 askerin esir alınmasının intikamını almak zorundasınız?
Hacker – 1 > Daha önceleri Türkiye’nin hack ve güvenlik konusunda altta kalmasını
istemiyordum… ve attack yapmadığımız sürece sistem adminler güvenliğe önem vermiyor. Açıklarını kapatmıyorlardı. Saçma ama ne yazık ki böyle. Ben ne zaman yeni bir açığı kullanarak attack yaparsam hemen o açıkk için yamaya başvuruyorlar :). Yani bizim yaptığımıza bir tür destek bile diyebilirsiniz 🙂
Ama önceki sualinizle bana birşeyi hatırlattınız. Sistem adminleri işinden
olabilir biliyor musun diye sorduğunuz soru ile. Karar verdim, artık o tür attack’lar yapmaktansa doğrudan sistem admine ya da guvenlikten kim sorumluysa ona maille ulasmayı deneyeceğim. Aslında bu röportajla biz de birşeyler öğrendik. Hayat sadece sanal degil.. Teşekkürler..
Röportajın burasında milliyetçi sualimize üçüncü bir hacker yani “Rooting Sabotage Force”dan Rammstein’da katılmak istiyor. Soruya verdiği cevap ise şöyle;
Hacker – 3 : Hacker’lar arasında milliyetçi dediğimiz kesim olduğu gibi, tam ters görüşteki (kominist-islamci-siyonist) hacker’lar da mevcut. Genel olarak milliyetçi hacker’lar mutlaka bir Yunan sitesi hacklemeyi hayal ederek başlıyorlar. Bizim savunduğumuz ise Atatürk milliyetçiliği. Bir siyasi parti ile alakamız yok.
Röportajın devamı için Türk Hacker’lar Kim? Neden Hack Ediyorlar? – 4 başlığı altına bakınız.