Güvenlik kahvesinin bu haftaki konuğu bilgi güvenliği danışmanı Tamer ŞAHİN. Kendisi ile hem kendisi hakkında hem de güvenlik dünyası hakkında konuştuk.
NGB:Kısaca kendinizden bahsedebilir misiniz?
Bilgi güvenliği alanında çalışıyorum. Penetration test, vulnerability research gibi konularla ilgileniyorum. Bilgi güvenliği üzerine 10 yılı aşkın süredir kendi firmamda hizmet veriyorum. Sayısız banka, holdingler, devlet kuruluşlarına hizmet verdim. Ayrıca kendi yarattığı e-learning platformu üzerinde hizmet veren bir firmada ortaklığım var. Bu kuruluşun da software development sürecini, yazılım teknolojilerini belirleyip, cluster sunucu altyapısını yönetiyorum.
Bir dönem Korhan Kaya ile beraber (2000 civarı) Türkiye’nin dünya piyasalarında boy gösterebilecek standartta ilk güvenlik yazılımı “Mindwall Intrusion Detection System”yazılımını yarattık. Manhattan Chase Bank, Citibank gibi kuruluşlarda test edildi. Risk sermayesi kuruluşu ile iletişimimizi sağlayan aracılardan kaynaklı sorunlar yüzünden bu çok sevdiğimiz ve emek verdiğimiz proje son aşamalarında iptal edildi.
Bugüne kadar public yayınladığım 50’den fazla güvenlik duyurusu bulunuyor. Bir ara dünya güvenlik listelerinde bunları yayınlıyordum. Sonrasında bulduğum güvenlik açıklarının haklarını iDefense isimli bir bilgi güvenliği kuruluşu satın alarak yayınlamayı tercih etti. Yaklaşık 1 yıllık bir süreçten sonra verdiğim penetration test hizmeti için artı olacağını düşündüğümden bunları kendime saklayıp, sadece hizmet verdiğim kuruluşlar için değerlendirmeyi uygun gördüm.
Vakit buldukça üniversitelerde hackerlık, bilgi güvenliği ve tüm bunların yasal yansımaları ile yaşamımı anlattığım konferanslar veriyorum. Hacker’lık ve güncel bilgi güvenliği ile alakalı konularda ulusal gazete, televizyonlar ile mülakatlar gerçekleştiriyorum.
Geçmişte gerçekleştirdiğim hack olayları ve bunların etik, etik olmayan yanları çeşitli üniversite, liselerde ders, ödev olarak işleniyor.
NGB:Güvenlik işine nasıl bulaştınız?
Türkiye’nin ceza alan ilk hackerıyım. Bu sebepten henüz Türkiye’de bilgi güvenliği gibi bir sektör oluşmamışken bu işlerin içine düştüm. Çeşitli servis sağlayıcılar, internet firmalarında çalıştıktan sonra sistemler ve bilgi güvenliği üzerine kendimi yetiştirdim. Başımı biraz belaya soktuktan sonra bir hacker olarak etik ve kurumsal anlamda hizmet verilebileceğini keşfettim.
Tamamen kendi merakım ve çabamla gelişen bu süreç ilerleyerek bugüne kadar geldi.
NGB:Türkiye’de bilgi güvenliği konusunu değerlendirebilir misiniz?
Türkiye’de daha çok ürün odaklı bir eğilim var. İnsanlar aldıkları bir firewall kutusunu networklerine koyup tamamen güvende olacaklarını düşünüyorlar.
Veya güvendikleri, bu işten az biraz anlayan birilerinin yönlendirmesiyle yine ürün odaklı ani geçişler yapabiliyorlar. Bu tarz konularda kimse kuruluşun network kimyasına bakmıyor. Ne tarz servisler çalışıyor, sunucular hangi platformda hizmet veriyor göz önünde bulunduran pek yok.
Bu ufağından, büyük boyutlu bilgi güvenliği firmalarına kadar aynı. Ellerinde hep aynı mavi dosyayla gelip karbon kopya sistemler kuran bir sürü firma mevcut.
Hizmet sektörünün işi ise daha da zor. Örneğin zayıflık testinin önemini anlamayan çok fazla kuruluş var. Maliyetlere yük gibi bakan. Neyse ki bu konularda şanslıyım. Ben müşteri aramıyorum, onlar beni buluyorlar. Dolayısıyla hoşlanmadığım kişi, firma ile çalışmama lüksüne sahip oluyorum. Dileyen herkes benden hizmet alamıyor.
NGB:Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?
Yerli güvenlik yazılımı olarak bildiğim “özgün” bir ürün yok. Geçtiğimiz senelerde Cebit fuarında standları dolaşıp yerli güvenlik yazılımı üreticisi firmalarla biraz sohbet ettim. Hatta güvenlik açıklarını araştırmak için demo alabilirmiyim diye yokladım.
Farkettim ki oldukça ürkekler. Linux, BSD kerneli ile çalışan, iptables, pf vs. kullanan yazılımları kendi ürünleri gibi sahiplenmelerine rağmen bu ürünlere yeterince güvenemiyorlar. Çoğunda GPL lisans ihlalı sorunu mevcut.
Hala bizim yerli yazılım üreticilerinde “sadece arabirim” ürettiklerine dair bir samimiyet, dürüstlük yok. Bunu kabul ettikleri gün dürüst satıcı olacaklar. Bunu yapmayana kadar bu tarz açık kaynak kodlu yapıya sahip, üzerine arabirim oturtularak satılan yazılımlara “hileli mal” ve “haksız kazanç” gözüyle bakıyorum.
NGB:Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?
Bu tarz karar mekanizmalarını elinde bulunduran siyasi statükonun biz gençlerin önerilerini dikkate alacağını sanmıyorum. Hele ki nerd veya bilgi güvenliği çalışanı, meraklısı olan kişilerin okuduğu bir platformdan. O yüzden bu konuya dair fikir belirtmekte pek hevesli değilim. Doğmamış çocuğa yıllardır don biçiyoruz.
NGB:Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?
Tübitak (TR-CERT) bilgi, birikim ve yeterlilik konusunda tartışılmaz konumda ve özellikle kriptoloji konusunda çok başarılı işler yürütüyor. Fakat operasyonel anlamda bilgi güvenliğine katkıda bulunabilecek gerçek hackerlar yetiştirdiği söylenemez. Devlet kuruluşları ve Tübitak bünyesindeki hacker denilen kişilerin, hocaların yaptığı şey hacker gibi davranmaya çalışmak. Bu mühendislerin yaptığı, gerçek hackerlar tarafından bulunmuş açıkları ve araçları kullanmak. Daha fazlası değil. Gerçek hacker sadece başkaları tarafından bulunmuş güvenlik açıklarını kullanmaz, kendisi de yeni güvenlik açıkları bularak sürekli kendini geliştirir. Örneğin Amerika’da siber güvenlik kuruluşları güvenlik açıkları yayınlarken bizim Tübitak’ın bulup dünya bilgi güvenliği piyasasına sunduğu tek bir güvenlik açığı yok.
Hacker bakış açısı öyle bir şey ki sıradan bir insanı alıp bunu içine koyamazsınız. Teknik bir takım yetenekler sonradan kazanılabilir, fakat hacker bakış açısını edinmek uzun yıllar geceli gündüzlü çalışmayı, tutkuyu gerektirir. Dolayısıyla mühendis anlayışı ile mesai saatleri içerisinde gerçekleştirilebilecek bir iş değil hackerlık. Sadece belki iyi bir akademisyen olabilirsiniz. TR-CERT’te akademisyenlerin kendi halinde hobi olarak yürüttükleri bir proje gibi kokuyor.
NGB:Bu işe yeni başlayanlara neler önerirsiniz?
Herkesten tavsiye almamalarını öneririm. Herhangi birinin herhangi bir konuda fikre sahip olduğu bir çağda yaşıyoruz. O yüzden en iyisi herşeyi kendilerinin araştırıp, öğrenmesi. Gördüğüm kadarıyla Netsec bülteni ve birkaç kişisel portal dışında derli toplu yerli bir kaynak yok. Hep olduğu gibi yabancı kaynaklara daha çok sadık kalmak gerekiyor.
Bol bol sorunlarla karşılaşmalarını diliyorum. Sorunları çözdükçe birşeyler öğrenilebiliyor.
NGB:Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?
Cloud computing iyice ilerleyecek. Artık online storage’lar, kişisel veri odaklı kullandığımız servisler için endişeleneceğiz.
Facebook, Twitter, Myspace benzeri sosyal ağ sitelerini hedef alan kurtçuk, virusler büyük artış gösterecek. Bunlardan korunmak ile ilgili yeni ürün skalası oluşacak.
Sivil insiyatif kullanan gerilla gruplar DDoS saldırılarını arttıracak. Artık her çeşit kurum protesto veya başka amaçlarla daha sık bu saldırılara maruz kalacak.
Virtualization güvenliği daha ciddi bir sorun olacak. Xen, Vmware gibi firmalar sanal sunucuların güvenliğiyle daha fazla uğraşmak zorunda kalacaklar.
Akıllı telefonlar çığrından çıkacak. Bugünkü wardriving benzeri mobil ödeme hizmetini kullanarak cebimizden 3-5 lira çalan mobil antenler moda olacak.
NGB:Güvenlik sertifikaları konusuna ne düşünüyorsunuz?
Ben güvenlik sertifikalarının geçerliliğine inanmıyorum. Belki sistem yöneticileri için ideal olabilir. Fakat hackerlık anlamında kurs, eğitim, sertifikasyon hizmetlerini “kavanozda hava satmak” olarak nitelendiriyorum. Herhangi bir sistematiğe oturtulamayacak bir işi sistematik biçimde öğretmeye çalışmak anlamsız.
NGB:Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?
En ciddi, kritik olarak nitelendirebileceğim tek bir başlık yok. İşim çeşitliliği içerisinde barındıran bir iş. O yüzden sürekli benzer sorunlar ile uğraştığım söylenemez. Elbette bu da işimi zevkli kılıyor.
NGB:Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitalpların okunmasını tavsiye edersiniz?
Kevin Mitnick’in “Art of Deception” kitabını okumuştum en son. Başlarda iyi olsa da daha sonraları hikayeler kendini tekrar ediyor. Dolayısıyla bu da sürükleyiciliği öldürüyor.
Ben “bilgi güvenliği” ile alakalı kitap okumalarını önermiyorum. Makale, blog ve kişisel tecrübeler her zaman daha güncel ve etkin. İlk etapta cazip gelse de, bilgi güvenliği sürekli dinamik bir yapıya sahip olduğundan kitaplar güncelliğini çok çabuk yitiriyor.
NGB:Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı?
Bugüne kadar öyle biri olmadı.
NGB:Güvenlik dünyasında en fazla kullandığınız yazılım hangi?
Netcat, hping, nmap, paros.
NGB:Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?
Google it!
NGB:Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?
Elbette seçerdim.
NGB:Bir güvenlikçinin en önemli özelliği size göre nedir?
Sürekli olasılıkları hesaplayabilmek, konuları atomlarına kadar detaylandırabilecekken yeri geldiğinde ayrıntılarda boğulmadan bütünü görebilmek, paranoyaklık derecesinde uyanık olmak, kimseye güvenmemek.
NGB:Bilgilerinizi ve tecrübelerinizi internet ortamında paylaşıyor musunuz? Neden?
Paylaşmıyorum. Kimse benimle paylaşmadığından dolayı böyle bir kültür ile yetişmedim. Hep bireysel hareket ettim. Bugüne kadar paylaştığım kişiler bunu istismar edip başlarını belaya soktuğundan dolayı da tercih etmiyorum.
NGB:Paylaştığınız şeylerin kötü amaçlı olarak kullanılması karşısında düşünceleriniz nelerdir?
Herkesin kendi insiyatifidir. Her gün bol sıfırlı bir sürü teklif, ima ile karşılaşıyorum. Eğer hırsız veya kötü niyetli biriyseniz bunu bilgisayar ile gerçekleştiriyor olmanız suçunuzu hafifletmez. Henüz bu anlayış oturmuş değil.
NGB:Sorularımızı yanıtladığınız için teşekkür ederiz.
Pingback: Tweets that mention Güvenlik Röportajları #35 Tamer ŞAHİN | Complexity is the enemy of Security -- Topsy.com