Havelsan’ın bazı dosyalarının sızması ile ilgili haberimizi yayınlarken, bu haberin siber güvenlik alanında istihbarat takip eden, Amerikalı bir siber güvenlik firması çalışanı olan Utku Şen tarafından 1 yıl önce twitter üzerinden ikaz edildiğini de haber yapmıştık [1][2].
Siber güvenlik alanında çalışan bazı uzmanlar, turk-internet.com’a bir çok olayı haber veriyor. Bu nedenle Garanti Bankası dDOS saldırısı gibi yerli saldırıları ya da dünyadaki büyük saldırıları çok hızlı bir şekilde haber yapabiliyoruz. Bu hem bu uzmanların, hem de bizim “aman Türkiye’yi haberdar edelim” sorumluluğumuzla yapılıyor.
Bu haberleri verenlerin çoğu, kendilerini ortaya koymaktan –çeşitli nedenlerle ama genellikle Türkiye içinde servis vermeleri nedeniyle– hoşlanmıyorlar. Utku Şen’in açıkça mesaj yazdığını görünce, bu nedenle ilgilendik ve kendisinden bir söyleşi istedik. Yukarıda video olarak izleyebileceğiniz söyleşinin metin halini de aşağıda okuyabilirsiniz.
Turk-internet.com: Kendinizi tanıtır mısınız?
Utku Şen: Ben 28 yaşındayım, yaklaşık 15 yıldır siber güvenlik ve programlama ile ilgileniyorum, adı Hacker One isimli Amerika merkezli bir siber güvenlik şirketinde çalışmalarımı devam ettiriyorum. Bunun yanında hobi olarak siber istihbarat konusuna meraklıyım ve bu alanda kişisel olarak çalışmalar yapıp bunun sonuçlarını insanlarla paylaşmayı tercih ediyorum. Bilgi üniversitesi bilgisayar mühendisliği fakültesinden mezunum.
Turk-internet.com: Amerika’dan bir firma, Havelsan’dan bazı bilgileri sızdırdı. Siz bu konuda 1 sene önce yapmışsınız. Bu uyarıyı nereden ve nasıl buldunuz? Ne için yaptınız?
Utku Şen: Aslında burada bu uyarıyı yapmadan önce saldırı gerçekleştiren kişi ya da grubun biraz arka planından bahsetmek istiyorum. Bu Phineas Fisher dediğimiz kişi ya da grup 2016 yılında ortaya çıkan bir grup. Yaptığı ilk saldırıda İtalian “Hacking Team” isimli casus yazılım üreten firmayı hacklemişti. Bu grup ve bu casus yazılımı üreten firmanın bütün iç dökümanlarını, mail yazışmalarını ve müşterileriyle alakalı bilgileri dışarı sızdırdı.
Burada hangi devletler casus yazılım satın alıyor, nerelerde kullanılıyor, bunları halka göstermiş oldu. Ve tabii biraz halkın yararına olan saldırı olduğu için toplumdan çok büyük bir sempati kazandı bu saldırgan. Dolayısıyla, bu ilk ortaya çıkan kişi oldu. Halkın yanında, vatandaşın sevgilisi, kâr gütmeyen bir hacker grubu olarak ortaya çıktı. Bundan 1 sene sonra bu grup bankayı hackledi ve oradan kazandığı ücreti Rojova’ya aktardı. En azından aktardığını iddia etti ve burada yine bu grup kendini komünist grup olarak ortaya koyduğu için, ücreti Rojova’ya aktarması çok şüphe çeken değil, beklenen bir şeydi ama burada Türkiye açısından alarmlar çalmaya başladı açıkçası.
Doğrudan Türkiye’nin karşısındaki bir gruba destek veren hacker grubuyla karşı karşıyayız ve zaten ondan kısa bir süre sonra da akparti.org.tr’nin mail sunucusunu hackleyerek Ak Parti’ye ait iç yazışmaları Wikileaks’e sızdırdı ve bu saldırı çok büyük, ses getiren bir saldırı olmasa da bu grubun doğrudan Türkiye’yi hedef alan bir grup olduğu konusunda artık ikna olmuş olduk en azından. Ve bu grup zaman zaman fanzin tadında manifestolar yayınlayarak amacına yönelik ve ilerideki planlarına yönelik ipuçları vermeye devam ediyordu.
Ben zaten bu grubu ortaya çıktığından beridir yakından takip ediyorum. En son geçen sene yayınladığı fanzinde NATO’nun silah üreticilerine karşı, genel olarak NATO ülkelerine karşı saldırılar yapılması gerektiğinden bahsediyordu ve burada spesifik olarak Türkiye’yi hedef gösteriyordu. Havelsan gibi, Baykar gibi silah üreticilerinin hedef alınması gerektiğini söylüyordu çünkü iddia ettiği şey Türkiye’nin savaş suçu, insanlık suçu işlediğine yönelik iddiaları vardı.
Dolayısıyla, zaten yurtdışında sempati toplayan grup olduğu için kendi sempatizanlarını hedeflere yönelmesini istiyordu. Bunun yanında Baykar, Havelsan gibi şirketlerin içerisinde çalışanlara saldırıya yardımcı olmaları halinde kendilerine para ödülü vereceğini de teklif ediyordu. Dolayısıyla ortada çok ciddi bir vardı, grubun ne kadar tehlikeli olduğunu biliyoruz, bunun yanında içerideki çalışanları da bir para ücreti teklif ediyordu ve bu grubun fanzinleri muhtemelen Türkiye’de devlet yetkileri tarafından takip edilmediğini düşündüğüm için, bunu okuyan biri olarak ben Tweet atarak en azından yetkililere bir nebze sesimi duyurmaya çalıştım açıkçası.
Turk-internet.com: Sızan dosyalar önemli dosyalar mı sizce? Baktınız mı, nelerden bahsediyor?
Utku Şen: Açıkçası sızan dosyaların hassaslığını değerlendirmeden önce bu saldırının nasıl yapıldığını biraz düşünürsek, dosyaların nerden ortaya çıktığı az çok belli oluyor. Benim anladığım kadarıyla Havelsan çok fazla bilgi paylaşmadığı için sadece 6-7 çalışanın mail hesap parolaları ele geçirilip bu çalışanların kendi içlerinde ya da şirket içinde yolladığı maillerin eklentileri kopyalanmış. Dolayısıyla sadece maillerle yollanan dökümanlar ortaya çıktığı için bunların hassasiyet seviyeleri biraz düşük kalıyor.
Benim gördüğüm kadarıyla, bazı şartnameler, ihale maddeleri, bazı kişisel bilgiler ya da iç yazışmalar gibi dökümanlar var. Havelsan’ın böyle çok ciddi bir sunucusunun ya da varlığının hacklenip oradan çok ciddi, hassas bir verinin sızdığına rast gelmedim açıkçası. Dolayısıyla bu çok sofistike bir saldırı değil, temel olarak 6-7 çalışanı hedef almış ve onların mailleşmelerini ele geçirmiş ve dolayısıyla sızan bilgiler de sızan bilgiler de çok hassas muhteviyatlı değil.
Turk-internet.com: Peki bunun Havelsan’a itibar kaybı veya siber saldırıların yapıldığı firmaların itibar kaybına uğradığı söyleniyor. Sızıntıyı bu nedenle yaptıkları söyleniyor. Bu yoruma ne diyorsunuz?
Utku Şen: Açıkçası saldırgan grubun motivasyonundan tam emin değiliz. Çünkü saldırgan grubun, yani Phineas Fisher grubunun aslında Rus gizli servis projesi olduğuna dair çok ciddi emareler var. Örneğin, Amerikan gazeteci ve araştırmacı yazar Joseph Reed’in çıkardığı bir kitapta; Washington’da Amerikan istihbaratına dayandırdığı bilgilere göre, CIA, bu grubun Rus gizli servisinin projesi olduğuna neredeyse ikna olmuş durumda zaten. Ve CIA’nin bu tip yaptığı çıkarımlar genelde doğru çıkıyor.
Çünkü Rus gizli servisi daha önce IŞİD’li bir grup adı altında bir hacker grubunu yönlendirdiği ortaya çıkmıştı. Daha sonra Yemen’de ki bir cihadist örgüte dayalı hacker grubu çıkarttı ancak çalışanlarının Rus olduğu ortaya çıkmıştı. Dolayısıyla Phineas Fisher grubunun aslında Rus gizli servis projesi olduğunu söylemek çok güç değil. O yüzden bu saldırının arka planında Rus gizli servisi Türkiye’ye yönelik ne yapmaya çalıştığı sorusuna cevap bulmak gerekiyor. Bu bir itibar kaybetmesine Türkiye’nin yol açması beklenen bir saldırı da olabilir fakat bunun altında daha politik nedenler de aranabilir, o konuda çok emin değilim. Ama şunu biliyoruz ki, çok sofistike bir saldırı değil ve Rusya’nın siber savaş konusundaki gücü bundan çok daha fazla. O yüzden çok hedefli, sofistike saldırıdan ziyade Rusya’nın Türkiye’ye açtığı uyarı ateşi olarak değerlendirmek daha makul olur gibime geliyor.
Turk-internet.com: Uyarı ateşi dediniz ama daha derinden, göremediğimiz bir şeyler de olmuş olabilir mi?
Utku Şen: Açıkçası, sızdırılan belgelerin içinde daha derine inildiğine dair bir emare yok. Belki de sızdırılan belgelerin hepsi sızdırılmamış olabilir. Belki zaman içinde bu paylaşılabilir. Havelsan tarafından saldırıya yönelik bir teknik analiz yayınlanmadığı için saldırının boyutuna dair çok fazla derin bilgimiz yok. O yüzden zaman içinde gözlemleyip bunu değerlendirmemiz gerekecek.
Turk-internet.com: Peki Utku bey, siz takip ettiğiniz için, biraz da Dünya’da siber güvenlik konusunda neler oluyor kısmını sizin bakış açısından değerlendirelim. İnternetin ilk günlerinden beri, kurumsal bazda ve ülkesel bazda saldırılar görüyoruz. Sizce bunlara karşı önlemler çok geniş olmasına rağmen basitçe birkaç şey söyler misiniz? Mesela kurumsal bazda firmalar neler yapmalı? En çok hangi saldırılar var bugünlerde?
Utku Şen: Siber saldırılar yıllar içinde spesifik olarak yöntemleri değişse de aslında temel olarak hedefte olan konseptler aşağı yukarı belli. En çok gördüğümüz saldırı tipleri, insan hatasını hedef alan saldırılar. Sistemler geliştikçe saldırganların bu sistemleri aşması zorlaşıyor ama insanın hatasını kullanıp içeriye sızmak her zaman saldırganlar açısından daha kolay bir hale geliyor. O yüzden son dönemlerde sıkça oltalama e-postalarıyla gönderilen zararlı yazılımlarla şirketlerin ağına sızma ve fidye virüs yerleştirme gibi saldırıları çoklukla gözlemliyoruz.
Ya da bunun yanında internete açık olmaması gereken veri tabanlarının internete açılmasıyla bunların saldırganlar tarafından çalındığını görüyoruz. Bunların hepsi aslında günün sonunda insanların yaptığı hatalara dayanan problemler ve şuan teknolojinin geldiği nokta insanların yaptığı hataları örtme konusunda çok başarılı değil. Ama muhtemelen zaman içinde daha başarılı olacak. O yüzden şirketlerin bu alanda yapabileceği yatırım çalışanların bu siber güvenlik konusunda iyi bir farkındalık eğitimi almaları.
Güvenli kodlama nasıl yapılır, siber saldırılara karşı nasıl proaktif olunabilir, eğer çalışanlar bu konuda bilinçlenirse ve siber güvenlik kültürü kurum içinde yerleşirse saldırılardan etkilenme ihtimalleri düşer. Bu yapılabilecek en düşük maliyetli savunma diyebilirim. Ülkeler bazında da aslında daha ciddi bir durum görüyoruz. Çünkü gerçek savaşlar gibi siber alandaki savaşlarda da devletler saldırıyı bizzat üstlenmiyor. Bu yine Proxy savaşı şeklinde oluyor.
Örneğin bir devlet bir hacker grubu yetiştiriyor, ona marketing materyali sağlıyor ve o hacker grubu üzerinden hedef ülkelere saldırıları gerçekleştiriyorlar ama tabii ki işin arka planındaki devlet saldırıları üstlenmiyor. Siber terör örgütün yaptığı çalışma gibi düşünülüyor. O yüzden devletler birbirlerini yasal olarak bir yaptırıma maruz bırakamıyorlar. Dolayısıyla her devletin nasıl terör saldırılarına karşı önlem alması gibi, siber terör saldırılarına karşı önlem alması gerekiyor. Burada devlet kurumlarının iyi denetlenmesi, sızma testlerinin düzgün yapılması, devlet kurumu çalışanlarına düzgün eğitim verilmesi ve siber güvenlikten mesul makamlara daha liyakata dayalı alımlar yapılması devletin siber posturunu güçlendirecek şeylerden biridir. Bunun yanında, zaten her geçen gün siber güvenlik uzmanı sayısı giderek artıyor ihtiyaç duyulan ve devletlerin bu konuda üniversitelere yatırım yaparak ve eğitime yatırım yaparak bu sayıyı da artırmaları gerekiyor diyebilirim.
Turk-internet.com: FBI geçen hafta ABD’de bir duyuru yaptı ve 2015 yılında yapılan Petya saldırısı başta olmak üzere, Gürcistan’a, Ukrayna’nın 3-4 elektrik kesintisine ve Fransa’da ki seçimlere, bir çok şeye gerçekleştiren grubun aslında Rus askeri istihbarat örgütünde görevli 6 subay olduğunu, isimleriyle ve neleri yaptığıyla verdi. Ama 5 yıl sonra. Birincisi siber ordular dünyada ne durumda? İkincisi bunların 5 yıl sonra tespiti nasıl oluyor? Ne yapıyorlar da 5 yıl içinde tespit ediyorlar.
Utku Şen: Dediğim gibi, şu an APT grubu dediğimiz, Devlet destekli hacker gruplarının çoğu, o devlet tarafından sponsorlu gruplar çünkü bu gruplar aslında çok fazla madde kazançları yok, hedef firmayı hackledikleri zaman buradan bir para kazanmıyorlar. Dolayısıyla bunların sponsoru olması gerekiyor ve yaptıkları saldırıların sofistike olmasından da anlıyoruz ki bu kişiler aslında bu alanda çok ileri düzey bilgiye sahip insanlar ve dolayısıyla bu da onların devlet destekli olduğu konusunda şüpheleri artırıyor. Ve şunu biliyoruz ki, bu grupların devlet tarafından yönlendirildiği aslında istihbarat kurumları tarafından tespit edilebiliyor.
Bu neden 5 sene süren bir süreç derseniz, tespiti çok kolay olan bir şey değil. Ülke içinde bazı kaynakların verdiği bilgiler doğrultusunda bazı parçalar birleştirilebilir ya da hedef grubun teknik alt yapısı karşı saldırıyla hacklenip oradan bilgiler çalınabilir. Örneğin bundan 2 sene önce Hollanda istihbaratı bir Rus hacker grubunu karşı hack saldırısı yaparak onların aslında Saint Petersburg üniversitesinde konuşlandığını kanıtlarıyla ortaya koymuştu.
Ve eğer bu istihbarat grubunun Rusya için bir eğer casus ya da başka bir kaynağı varsa Saint Petersburg üniversitesinde kimin girip çıktığını gözlemleyebiliyorsa, bu kişilerin gerçek kimliği ortaya çıkıyor aslında. Ve bu zaten Amerika’nın ve diğer NATO ülkelerinin istihbari güçlerini göz önünde bulundurduğumuz zaman, bunların imkansız olmadığını biliyoruz. Hatta bundan yaklaşık 5 sene önce Obama Rusya’yı kırmızı hat denen telefon hattından arayarak bu siber saldırıların devlet tarafından yapıldığını bildiklerini söylediler. Ve bu saldırıyı acilen durdurmalarını istedi. Ve bunu durdurmazlarsa bunun yaptırımlarını olacağını, açık bir biçimde Rusya’yı suçlayarak söyledi. Elinde çok ciddi kanıtlar olmasa, yapmazlar zaten diye düşünüyorum. Dediğim gibi zaman içinde puzzlein parçaları birleştirilerek bu grupların kim tarafından yönlendirildiği ortaya çıkabiliyor.
Turk-internet.com: 10 gün kadar önce ve beş göz denilen, ikinci dünya savaşından sonra oluşan istihbarat müttefikliği, yani; Amerika, İngiltere, Kanada, Avusturalya ve Yeni Zelanda. Bunlara ilaveten Japonya ve Hindistan istihbarat örgütleri bir araya geldiler ve teknoloji firmalarına arka kapı bırakmaları konusunda çağrıda bıraktılar. Zaten zaman zaman güvenlik araştırmacılarının 2013-2014 yıllarında pek çok data networking cihazının içinde arka kapılar bulundu. Snowden’de Cisco’ya ait böyle bug yerleştirildiğini, önemli yabancı firmalara giden cihazlara back yerleştirdiğini fotoğrafları ve belgeleriyle ortaya koydu. Şimdi, bu arka kapı konusu yine istihbarat örgütlerinin bir konusu. Bunu nasıl değerlendiriyorsunuz? Bir de güvenlik araştırmacıları neden böyle bir şeyi araştırıp buluyor?
Utku Şen: Şöyle ki, yabancı bir devletin farklı bir devlete saldırıda bulunması, onların hackleyip gizli bilgilerin alınması aslında çok masraflı bir iş. Hem garantisi olan bir iş değil, uzun bir operasyona süreç istiyor ve çok yetenekli teknik ekibe sahip olmanız gerekiyor. Dolayısıyla bu masrafı düşürmek adına bu gruplar hedef ülkenin kullandığı cihazlara, yazılımlara arka kapı yerleştirerek istedikleri zaman iç ağlarına sızıp oradan çeşitli bilgileri çalmayı daha kolay ve ucuz maliyetli buluyorlar açıkçası.
Örneğin Cisco cihazları Dünya’nın her yerinde hem askeri alanda hem polislerin ya da yargı mensuplarının sistemlerinde kullanılan bir cihaz ailesi aslında. Ve eğer Amerika istihbaratı bu cihaza bir arka kapı koydurmayı başarırsa çok düşük maliyetli ve iç sofistike operasyonlar gerektirmeden istediği zaman bu sistemlere sızıp gerekli bilgileri elde edebilecek. Dolayısıyla, hacker grubunu 2-3 ülkeye yönelik saldırı yapabilecekken 50 ülkeye aynı anda hedef haline getirebilecek. Çok ucuz olan bir silah olarak düşünebiliriz.
Şirketler de tabii devletlerin ricasını zaman zaman yerine getiriyor. Apple gibi firmalar zaman zaman bu ricayı reddediyor. Bunun arka planında nasıl diyaloglar, nasıl pazarlıklar döndüğünü net olarak bilmiyoruz ama Cisco, Juniper gibi ünlü firewall firmaları bu arka kapıları yerleştiriyor ama bu arka kapılar, arka kapı olarak yerleştirilmiyor. Bir yazılım hatası gibi yerleştiriliyor ve bunlar ortaya çıktığında şirket; “Evet, yazılımda bir hata olmuş, düzeltiyoruz” şeklinde açıklama yaparak herhangi bir yasal yükümlülük altına girmiyor zaten.
Siber güvenlik araştırmacıları da aslında bunu bir arka kapı bulalım şeklinde araştırmalarını yapmıyorlar. Genel olarak bu cihazda ya da yazılımda bir güvenlik açığı bulabilir miyiz şeklinde araştırma yapıyorlar ve çok ciddi bir şekilde güvenlik açığı bulunduğu zaman, siber güvenlik araştırmacısı bunun arka kapı olduğunu kanıtlayamaz. Çünkü bu yazılım hatası geçiyor. Ancak bu yazılım hatasının yapılış tekniğine ve boyutuna bakarak, bu hata bu firma tarafından yapılmış olamaz, çok büyük ihtimalle bu bilerek yerleştirilmiş bir hata çıkarımını yapabilir ama yine de arka kapıya %100 kanıt olarak sunmak mümkün değil. Sadece burada varsayımsal ilerlemek gerekiyor diyebilirim.
Turk-internet.com: Aynı soruya bir de şu açıdan bakalım, biliyorsunuz Amerika neredeyse son 3-5 yıldır Çin’li üreticileri suçluyor. Bu cihaz Huawei, ZTE gibi cihaz da olabiliyor, Tik-Tok gibi yazılım da olabiliyor. Ulusal güvenlik suçlamaları yapmasının bir nedeni de bu anlattığımız olay mı? Arka kapılar mı?
Utku Şen: Tabii. Aslında en temel sebebi budur diyebiliriz. Çünkü bu teknik olarak mümkün bir şey ve yapan kişiyi herhangi bir yasal yaptırım altında da bırakmayan bir şey. O yüzden devletler açısından istihbarat toplama amacıyla kullanılması çok mantıklı diyebilirim. Ve nasıl bunu Amerika istihbaratı CISCO üzerinden yapıyorsa, Çin’in de Huawei üzerinden yapmaması için hiçbir sebep yok diyebiliriz. Bu Tik-Tok gibi kullanıcıların daha çok kullandığı yazılımlarla da yapılabilir ki Çin’in bu arka kapı konusunda çok fazla agresif davrandığını biliyoruz.
Daha önce Çin menşeili ürün ve yazılımlarda çok fazla arka kapı çıktı. Çin’li bir IP adresine o kullanıcının davranışlarını, yaptığı aramaları gibi şeyleri Çin ile paylaşan çok fazla sayıda donanım olduğunu biliyoruz. Örneğin, Aliexpress’te satılan Ev otomasyon ürünleri, akıllı ampuller, akıllı saatler gibi ürünlerin aslında Çin’e o ev içinden veri gönderdiğini kanıtlarıyla beraber ortaya çok fazla sayıda. O yüzden Çin’in agresif politikasını bildiğimiz için, Huawei ve Tik-Tok konusunda endişelenmekte çok mantıklı geliyor bana.
Turk-internet.com: Ama bu aynı zamanda her şeyden korkmak anlamına da geliyor, değil mi? Yerli olmayan her türlü cihazdan, yazılımdan arka planında bir takım bilgileri acaba gönderiyor diye korkmak gerekiyor, öyle mi?
Utku Şen: Maalesef gidişat o yönde görünüyor. Batı blog ülkelerinin, NATO ülkelerinin sadece NATO ülkeleri tarafından yapıldığı yazılımları teşvik etmesi, bunun yanında Çin’in Amerika menşeili sosyal platformları ülkesine sokmaması tamamen yerli platformlara öncelik vermesi, gidişatın bu yönde olduğunu bize gösteriyor. Gelecekte belki ülkeler bu tip arka kapı anlaşması imzalayıp bunu tarihe karıştırması da mümkün ama şu an gidişat oraya doğru gidiyor gibi görünmüyor maalesef. Dolayısıyla ülkeler müttefikliklerine güvendikleri ülkelerin yazılımlarını kullanmaya devam edecek gibi görünüyor.
Turk-internet.com: Twitter’ın hacklenmesini nasıl yorumluyorsunuz? 17 yaşında 3-4 çocuğun Twitter’i hacklediğini gördük. Bitcoin çalınması olarak geçti literatürde. Bu kadar basit bir olay olmuş olabilir mi?
Utku Şen: Açıkçası, ilk önce Twitter hacklendiğinde herkes çok sofistike bir saldırı olduğunu zannediyordu ancak bununla ilgili analizler yayınlandı zaten. Saldırı yapan kişiler de yakalandı. Ve bunun aslında çok sofistike bir saldırı değil, gerçekten biraz çocuk çoluk işi olarak tabir edebileceğimiz bir olay olduğu ortaya çıktı. Bu saldırganların Twitter’ın bazı personellerine oltalama epostaları gönderiyorlar ve onların parolalarını elde ediyorlar. Ve bu paraloları kullanarak Twitter çalışanlarının anlık olarak mesajlaştığı Slack isimli yazılımı buluyorlar.
Turk-internet.com: Bu kadar basit olabilir mi ama?
Utku Şen: Evet, bu sıklıkla karşılaştığımız bir şey aslında.
Turk-internet.com: Twitter gibi dev bir firma ve çalışanları bir takım bilgilerini sızdırabiliyor. Biraz şaşırtıcı. Böyle çıksa da, 17 yaşındaki o çocuk nisan ayında yakalanmış ve serbest bırakılmış. Sanki bu olayda kullanılmış gibi görünüyor.
Utku Şen: Açıkçası bununla ilgili elimizde delil olmadığı için net bir şey söylemek mümkün değil. Yine de saldırının analizi bana mantıklı geldi. Şirket çalışanlarının parolalarıyla Slack adı verilen anlık mesajlaşma platformuna erişiyorlar ve orada şirketin iç prosedürlerine dair bir takım bilgiler elde ediyorlar. Bir kişinin adına nasıl tweet atılır ya da kişileri yönetme paneline erişiyorlar ve oradaki dökümanları okuyarak başkaları adına nasıl tweet atılır bunu öğreniyorlar ve daha sonra bu paneli kullanarak o kişiler adına tweet atıyorlar ve zaten o kişiler adına atılan tweetlere baktığımız zaman bunun aslında daha iyi tasarlanabilir bir saldırı olabilecekken çok kötü bir şekilde kullanıldığını anlıyoruz. Ne bileyim, Elon Musk’un ya da Jeff Bezos’un ağzından çok fazla sayıda şey yazılabilir, getiri elde etmesi için. Fakat bunlar “Bitcoin dağıtıyorum, hadi bana bitcoin gönderin” gibi, biraz amatörce bir şekilde kullandılar bunu. Buradan, bunun biraz çoluk çocuk işine açıkçası ikna oldum diyebilirim. Ama tabii bu çoluk çocuk işi olarak gösterilmiş daha sofistike bir saldırı olduğu ihtimalini tamamen yok etmiyor. Ama ilk ihtimal bana biraz daha baskın geliyor açıkçası.
Turk-internet.com: Biraz da Türkiye’den bahsedelim. Geçen yıl büyük bir DDoS yedik, ekim sonunda, bir banka için. Ama çok tuhaftı, DDoS Pazar günü yapıldı ve daha çok da o bankaya giden yolun tıkanması şeklinde bir saldırıydı. Bir takım yorumlar yapıldı ama sonuçta hiçbir şey çıkmadı. Yani, sizce bu konuda herhangi bir istihbarat buldunuz mu? Nasıl yorumluyorsunuz?
Utku Şen: Açıkçası bir grubun bir şirketin iç ağına sızıp oradan bir şeyler çalması aslında arkasında çok fazla iz bırakan bir şey. Hem bu saldırganların yöntemleri ortaya çıkıyor, kullandığı IP adresleri ortaya çıkıyor ve sonra, daha önce yapılan saldırılarla karşılaştırıldığı zaman bu grubun daha önce bu grubun başka bir yere saldırıp saldırmadığını anlıyoruz ve bu grubunun yöntemlerinin mesela Rus gizli servisinin başka bir yerde yaptığı saldırıya çok benzediğini korelasyonunu kurarak bu saldırıyı Rus gizli servisi yapmıştır diyebiliyoruz.
Ama DDoS saldırılarında durum böyle değil maalesef. DDoS saldırıları arkasında daha az iz bırakan bir saldırı çeşidi. Örneğin, DDoS saldırıları genelde zombileştirilmiş, ele geçirilmiş onbinlerce bilgisayardan yapılan saldırılar olabiliyor. Bu makinaları kontrol eden bir kişi var ve bu kişi bu ağı, yani DDoS ağını bir sürü kişiye kiralayabiliyor aslında. Bu DDoS ağından Rus gizli servisi de Amerikan gizli servisi de ya da herhangi bir saldırgan da faydalanabilir. Dolayısıyla DDoS saldırılarının kaynağını hemen bulmak kolay olmuyor.
Bu yüzden Türkiye’ye geçen sene yapılan saldırının tam olarak kim ve ne amaçlı yapıldığı konusunda elimde çok detaylı kanıtlar yok açıkçası. Belki başkalarının daha iyi çıkarımları olabilir bu konuda ama yapılan analizleri incelediğimde doğrudan iyi bir kanıt bulamadım. DDoS saldırıları zaten günümüzde hala çok etkili olan bir saldırı tipi çünkü teknik olarak bunun önlemini almak çok kolay değil, masraflı bir iş.
Hem donanım olarak kapasitenizi artırmanız lazım hem çalışanlarınızın teknik kapasitesini artırıp sayılarını artırmanız lazım vb. Dolayısıyla DDoS’u çözmek çok masraflı bir şey olduğu için, Türkiye’de ki data Centerlerimiz hala bu konuda sınıfta kalıyor diyebiliriz. Çünkü bunun biraz bütçe meselesi olduğunu düşünüyorum. Arada bir DDoS saldırısına maruz kalmak muhtemelen donanım kapasitenizi artırmaktan daha az masraflı görünen bir şey oluyor. Bu yüzden “biz kapasitemizi arttıralım” yerine “biz DDoS yaşayalım daha iyi” gibi bir anlayış söz konusu olabilir.
Turk-internet.com: Biliyorsunuz, kişisel veriler kurulu da, BDDK da, Cumhurbaşkanlığı Dijital Ofis’te Türkiye’nin verisi Türkiye’de kalmalı diyor ama şimdi bu saldırıdan sonra bankaların hepsinin Türkiye’den alamadıkları bu DDoS önleme servisini yurt dışında Akamai gibi firmalardan aldığını görüyoruz. Bu daha masraflı değil mi? Ülkenin DDoS servisi Türkiye içinde bir yatırım yapılmadığı için yurtdışındaki firmalara tonla para akıttığını görüyoruz, daha masraflı değil mi?
Utku Şen: Açıkçası daha masraflı olduğunu düşünmüyorum, çünkü Akamai gibi Cloudflare gibi firmalar DDoS konusunda zaten çok uzun yılların deneyimine sahip firmalar ve bütün AR-GElerini DDoS koruma üzerine yapıyorlar diyebilirim ve internet trafiğinin zaten çok büyük bir bölümü Akamai üzerinden geçiyor. Dünya’da ki en büyük firmaların da kullandığı bir servis bu ve bir DDoS saldırısından etkilenmemek için onu tamamen işin ehli bir şirkete bırakmak, bunu kendiniz çözmeye çalışmaktan bence daha az masraflı ve daha garantili bir yol.
Turk-internet.com: Ya o firmanın mensup olduğu ülke kalkıp demin de söylediğiniz gibi DDoS servislerine Amerika veya Rusya’da kullanılıyor olabilir diye, sizin ülkenizi zora sokmak için DDoS saldırısı yaptırıyorsa?
Utku Şen: Burada %100 garanti güvenli bir yol diyemem ama bir noktada bazı ülkelere, bazı müttefikliklere güvenmek gerekiyor. Örneğin Türkiye bir NATO ülkesiyse ve Amerika ile müttefikse, verilerinin korunması için bir Amerikan firmasına bence güvenmesi gerekiyor. Bu ileride Amerika ile aramız bozulur, başka bir ittifaka doğru yol alırız, onu bilemem ama bazen bazı noktada bazı şeylere güvenmek zorundayız.
Turk-internet.com: Türkiye genelinde öyle bir yetenek yok.
Utku Şen: Şu an için yok. Belki 20 senede, 50 senede çok daha farklı bir noktaya gelebiliriz.
Turk-internet.com: Ama yine de yapılması lazım, değil mi? 20 veya 50 sene her neyse, çalışılması lazım.
Utku Şen: Tabii, hepimizin arzusu bunların Türkiye’de yerli olarak yapılması ve yüksek kalitede yapılması.
Turk-internet.com: Yapılabilir mi? Türkiye’de şu anda hem üniversitelerimizde hem devlet tarafından siber güvenliğin gerektiği kalitede ele alınmadığını düşünüyoruz pek çoğumuz. Buna dair bir işaret göremiyoruz daha doğrusu. Sizce bu ciddi alınsa yapılabilir bir şey midir?
Utku Şen: Benim aslında bu konuda detaylı bir yazım vardı, söylediğim şey şuydu; “Siber güvenlik alanındaki gelişmiş ülkelere baktığımız zaman, örneğin; Amerika, Çin, Rusya gibi, bu ülkeler zaten genel olarak eğitimde, bilimde zaten ileri ülkeler. Şöyle bir durum yok, bu ülke siber güvenlik konusunda çok ileri ama matematikte, kimyada ya da teknolojinin diğer alanlarında geri gibi ülke gibi durum yok. Bir ülke ya bilim olarak ya ileri olur, bunun yanında siber güvenlik bir paket olarak ileri olur ya da bilimde geri olur ve siber güvenlik de bunun yanında geri olur.” O yüzden Türkiye siber güvenlik ve diğer teknolojik problemlerini çözmek istiyorsa, genel olarak bilim hamlesi yapılması gerekiyor. Çocukları daha küçük yaşta bilimsel bir bakış açısıyla yetiştirmesi gerekiyor, üniversitelerin eğitim kalitesinin artırılması lazım, gerekiyorsa yurtdışından akademisyen getirilip burada öğrencilere eğitim verilmesi lazım. Dolayısıyla ben bilimsel faaliyetleri göz ardı edip sadece siber güvenlik alanında yükselmek gibi bir şeye inandığımı söyleyemem ne yazık ki.
Turk-internet.com: Peki, siz bir güvenlik araştırmacısısınız. Güvenlik araştırmacıları mesailerini nasıl kullanıyorlar? Yani, onların kendi içinde sınıflandırmaları var. Bazıları virüs, bazıları açık mı arıyor yoksa istihbarat üzerinde mi çalışıyor bazıları? Yoksa hepsini mi yapıyor, nasıl yapıyor?
Utku Şen: Açıkçası siber güvenlik uzmanlığı, tıp gibi doktorluk gibi çok fazla sayıda alt alana ayrılan bir meslek diyebilirim. Benim şu an profesyonel olarak yaptığım şey, yazılımlardaki güvenlik açıklarıyla uğraşıyorum. Uygulama güvenliği diyebilirim. Bunun yanında sadece istihbaratla uğraşan insanlar var. Örneğin, ortaya çıkan virüsleri analiz edip bununla ilgili raporlar yayınlıyorlar ve bu virüslerin nasıl tespit edileceğine dair fikirlerini öne sürüyorlar. Bunun yanında internetteki ya da dark webteki yazışmaları analiz edip bunlar hakkında istihbari raporlar çıkaran insanlar var. Bunun yanında tamamen ağ güvenliğini sağlamaya çalışan insanlar var. Böyle böyle çok fazla sayıda kategoriye ayrılıyor aslında. Ben profesyonel olarak yazılımlardaki güvenlik açığını bulmaya çalışıyorum diyebilirim, bunun yanında siber güvenlik yazılımlarını da geliştiriyorum ama hobi olarak siber istihbarat alanında yapılan analizlerin hepsini okuyup ve buradaki puzzleların parçalarını birleştirip kendimce analizler ortaya çıkarmaya çalışıyorum diyebilirim ama profesyonel olarak siber istihbarat yapmıyorum.
Turk-internet.com: Ama hobi olarak da yapsanız o da gerekli değil mi? Yazılımdaki açığı görmek açısından da herhalde istihbarat bilmek her güvenlikçinin takip etmesi için gerekli olan bir şey değil mi?
Utku Şen: Trend olan saldırıları bilirse en çok saldırganların nereden saldırdığını ya da en çok hangi yöntemleri kullandığını bilirse bir yazılımcı, o konuda daha iyi adımlar atabilir bence de.
Turk-internet.com: Son bir Harvard raporu yayınlandı biliyorsunuz, Türkiye de 30. Sırada. Türkiye’nin siber güvenlik düzeyini siz nasıl değerlendiriyorsunuz?
Utku Şen: Açıkçası Türkiye’de bu konuda gelişme var. Bunu göz ardı edemeyiz. Özellikle KVKK yasasının çıkmasıyla ve bunun iyi uygulanmasıyla birlikte, Türkiye’de kurumlar aslında siber güvenliğin ciddi bir şey olduğunu ve eğer hacklenirlerse bunun yasal ve maddi yaptırımlar olabileceğini fark etmeye başladı.
Dolayısıyla bu firmalar siber güvenliği en azından ceza yememek adına olsa bile yatırımlar yapmaya başladılar. Bu Türkiye adına olumlu bir gelişme olduğunu söyleyebilirim. Ama Türkiye’nin şöyle bir dezavantajı var, yetişmiş siber güvenlik uzmanı sayısı ne yazık ki az. Ve örneğin özel firmalarda bu uzmanlara verilen maaşlar da pek parlak olmadığını biliyorum.
Dolayısıyla bu firmalar aslında bünyelerine iyi yetişmiş siber güvenlik uzmanlarını yerleştiremedikleri için siber güvenliğe ne kadar dikkate alsalar bile hacklendiklerini görüyoruz. 1-1.5 ay önce e-ticaret sitesinin hacklendiğini duymuştuk. Biraz personel yetersizliğinden kaynaklanıyor diyebilirim. Bu sadece yazılımla ya da donanımla çözebileceğiniz bir problem değil. Bunun kalbinde yatan şey insan bilgisi. Dolayısıyla Türkiye’nin bu tarafta kendini geliştirmesi lazım. Ama bu alanda çalışmalar yapılıyor, çok umutsuz değilim açıkçası. Bu şekilde yorumlayabilirim.
Turk-internet.com: Son olarak, bu alanda çalışmak isteyecek liseli öğrenciler ya da üniversitede bilgisayar mühendisliğinde okuyan öğrenciler için bir tavsiyeniz olur mu? Bu alanı tavsiye ediyor musunuz? Ediyorsanız da hangi konularda kendilerini geliştirmeliler?
Utku Şen: Siber güvenlik alanını tavsiye etmeden önce öğrencilerin şunu cevaplaması lazım, ben bu siber güvenlik konusu beni heyecanlandırıyor mu? Bundan zevk alıyor muyum? Keyif alıyor muyum? Çünkü yapılması bana göre çok zor bir şey.
Her geçen gün değişen teknikler, bilgiler var. Bunlar karşısında kendinizi sürekli güncel tutmanız lazım, sürekli araştırma yapmanız, yazı okumanız lazım. Bu bana aslında yorucu gelen bir şey fakat ben bunu tutkuyla yaptığım için çok fazla dert etmiyorum diyebilirim. Ama bunu sevmeyen biri tarafından kesinlikle yapılabilecek bir iş olduğunu düşünmüyorum. O yüzden gerçekten eğer bu alan ilgilerini çekiyorsa buraya yönelmelerini öneriyorum.
Bunun yanında mutlaka İngilizce bilgilerini geliştirmelerini tavsiye ediyorum. Çünkü bu alanda yapılan çalışmaların %90ı İngilizce dilinde yapılıyor ve eğer İngilizceleri iyi değilse %90 bilgiyi kaçırıyorlar aslında ve onların bir noktada tıkanmalarına yol açacak bu. Bunu önerebilirim.
Bunun yanında, genel olarak programlama olsun, bilgisayar bilimlerine ait temel bilgiler olsun, bu tip temel bilgileri geliştirirlerse çok daha iyi bir siber güvenlik uzmanı olabilirler ileride. Ve internette şu an zaten çok fazla sayıda kaynak var bununla ilgili. Google’a İngilizce bir biçimde nasıl siber güvenlik uzmanı olurum yazdığınızda bile karşınızda tonla video makale, yazı, kitap, her şey var aslında. Eğer gerçekten öğrenmeye isteklilerse, bilgililerse bu tip kaynakları en alt seviyeden başlayarak tüketmeye başlamalılar diye düşünüyorum. Bu alanda özellikle yazılım işi çok güzel İngilizce dilinde kitaplar var, bunları da okumalılar diye düşünüyorum.