Acaba medyada sık sık işlendiği gibi Türkiye hacker cenneti mi, ‘bizim’ hacker’lar dünyanın en iyileri mi? Güvenlik uzmanı olan ve geçen hafta Bilgi Üniversitesi’nde hacker yarışması düzenleyen Huzeyfe Önal hacker’ları çağırıyor; ‘zekasına güvenen hacker’lar benim sitemi hack’lesin’!
Bilgi Üniversitesi geçen hafta sonu uluslararası bir bilgi güvenliği konferansına ev sahipliği yaptı. Akşam gazetesinin haberine göre, 24 Aralık’ta Ankara’da da düzenlenecek, siber suçların ve Türkiye’deki internetle ilgili hukuki düzenlemelerin konuşulduğu konferansın dikkat çekici bir bölümü ‘Beyaz Şapkalı Hacker’ yarışmasıydı. ‘Capture the Flag’ adıyla düzenlenen yarışmada 20 hacker, bu işte en iyi olduğunu ispat etmeye çalıştı. Yarışmaya 150 hacker başvurmuş, ön eleme testinin ardından sayı 20’ye inmişti. Fakat beş saat boyunca 11 engeli aşmaya çalışan o 20 hacker arasında da 3G destekli iPhone ödüllü yarışmayı bitirebilen çıkmadı.
Bu ilginç yarışmanın sonucu özellikle medyada sık sık işlenen manzarayla epey ters düşüyor. Biz söz konusu haberlere bakarak, Türkiye’deki hacker’ların dünyanın en iyileri arasında olduklarını artık neredeyse ezberlemiştik. Yoksa durum bize anlatılan gibi değil mi? Şimdi diyeceksiniz ki, ‘Bir yarışmadan böyle bir sonuç çıkarılabilir mi, o yarışmaya ‘iyi’ hacker’lar katıldı mı?’ İşin bu kısmında Huzeyfe Önal’ın çağrısına kulak verelim; ‘kendisine, zekasına güvenen hacker’lar varsa beni hack’lesin.’
Huzeyfe Önal kimdir? Kendisi bu haberde bahsi geçen güvenlik konferansının ve hacker yarışmasının koordinatörlerinden. Kocaeli Üniversitesi’nde bilgisayar mühendisliği okurken bu işe merak salmış ve ikinci sınıftan itibaren büyük şirketlerde çalışmaya başlamış. Hep ‘beyaz şapkalı’ olarak kaldığını söylüyor. Şu anda Türkiye’nin en büyük iletişim şirketlerinden birinde güvenlik uzmanı.
Kendisinin açtığı http://hackme.lifeoverip.net adresini hack’leyenler bir netbook kazanacak. Bir tür yarışma olarak da düşünebilirsiniz, 19 Ocak‘ta başlayacak. Yarışmanın belki de daha çekici kısmıysa, kazanan kişinin, büyük şirketlerde çalışan kalburüstü bilgi güvenlikçilerinin oluşturduğu haberleşme ağında nam salacak olması ve oldukça iyi sayılabilecek iş fırsatlarını yakalama imkanı bulması.
– Hacker yarışmasından biraz bahsedebilir misiniz; nasıl yapıldı, yenisi nasıl olacak?
Bu bir bayrak kapma oyunu aslında. Roma döneminde çocukları savaşçı olarak yetiştirmek için iki tepeye bayrak dikip iki gruba ayrılan çocuklara bu bayrakları savunma ve ele geçirme görevleri verirlermiş. 2000 yılından beridir internete uyarlanmış biçimiyle hacker yarışması şeklinde oynanıyor. Biz sanırım Türkiye’de ilk kez yaptık. 11 adımlık bir savunma sistemi kurduk, bayrağı biz savunmuş olduk bu durumda, katılan hackerlar da sisteme saldırı düzenleyip onu ele geçirmeye çalıştı. Gerçi bayrağı kapabilen olmadı ama orada aldıkları puanlara göre 19 Ocak‘ta başlayacak yarışmaya daha avantajlı pozisyonda katılacaklar. Kendisine, zekasına güvenen hacker varsa yarışmaya katılıp beni hack’leyebilir. Hatta isteyen şimdiden yarışmanın sitesini hack’lemeye kalkışabilir. Becerebilene netbook vereceğim.
TÜRKİYE’DE HACKER’LIĞA MERAKLI 500 BİN KİŞİ VAR
– Bu işi yapanlar birbirlerini tanır mı?
Yaklaşık 500 bin kişi var. Bu meraklılar arasında işin inceliklerini bilen hacker’ların oranıysa çok az. Onları da ikiye ayırıyoruz ‘beyaz şapkalılar’ ve ‘siyah şapkalılar’ diye. Anlamlarını tahmin edebiliyorsunuzdur; siyah şapkalılar illegal biçimde sitelere saldıranlar, beyaz şapkalılar da legal işlerde çalışanlar. Türkiye’de iş dünyasında çalışan 400 civarında beyaz şapkalı hacker var, birbirlerini tanırlar ama siyah şapkalılarda öyle bir durum söz konusu değil. Zaten para kazandığımız için bize düşman gibi bakarlar.
– Yarışmanızla ‘siyah şapkalı hacker’lara mesaj da veriyorsunuz galiba…
Hacker‘lıkla ilgilenen kişilerin çokluğuna rağmen gerçekten donanımlı olanların sayısı çok az. Bu iş gençlik heyecanıyla yapılıyor genellikle ve 25 yaşından sonra heyecanı kaçıyor, elde avuçta bir şey olmadığını görünce bırakıyorlar, sonuçta para da kazanmak gerek. Bu yarışma gerçekten yetenekli olduğunu iddia edenlere kendilerini gösterme fırsatı ve elbette iyi iş imkanları sunuyor.
HABERLERE ÇIKAN HACK’LEMELER ZEKA GEREKTİRMİYOR
– Kendinizi hack’letmek istemenizin amacı nedir, sizin çıkarınız var mı bu işten?
Haberlerde görüyoruz sık sık, bu hacker işte şu siteyi hack‘ledi gibi… Aslında bu tür işler zeka gerektirmiyor, kaba kuvvetle yapılıyor. Onlara diyorum ki zeki olduğunuzu, işi bildiğinizi düşünüyorsanız benim sitemi hack’leyin. Türkiye’deki belli başlı şirketlerde çalışan arkadaşlarımızla, bu alemin en iyileriyle kurduğumuz bir haberleşme ağı var. Siteyi ele geçirebilenden orada bahsedeceğim ve iyi bir iş imkanı bulacak. Elbette bana da faydası oluyor bu işin, gerçekten iyi saldırganlar olunca yeni taktikleri görmüş oluyorsun.
– ‘Kaba kuvvet’le nasıl saldırılıyor?
Kaba kuvvet ya da sel baskınları da diyoruz. Gerçek dünyadaki gibi büyük bir baskının önünde duramıyorsunuz. Aslında zeka gerektirmeyen basit bir iş. Güvenlik açığı bulunan kişisel bilgisayarları ele geçiren hacker, bütün bu bilgisayarlardan oluşan ordusuyla bir siteye istek gönderiyor ve sistemi kilitliyor. Sitenin yayını engelleniyor. Bu ‘zombi’ ordularının kiralandığı forumlar bile var, 10 bin bilgisayarlık bir ordunun günlüğü 300 dolar civarında. Benzer biçimde ‘hosting’ hizmeti veren büyük firmaların bir bilgisayarında güvenlik açığı yakaladın mı, oraya ait bir bilgisayardan yayın yapan bin civarında internet sitesinden istediğinin giriş sayfasını değiştirebiliyorsun. Zeka gerektirmiyor ama basına çok yansıdığı için bu tür bazı hacker’lar efsane bile olabiliyor. Bazen aynı ismi üç dört kişi kullanıyor.
BENİM BİLGİSAYARIM DA ZOMBİ ORDUSUNUN ASKERİ Mİ YOKSA?
– Benim bilgisayarım da acaba böyle bir ordunun askeri midir, nasıl anlayacağım?
Bilgisayarınıza virüs koruma programı yüklemeniz yüzde yüz koruma sağlamaz ama mutlaka yapmanız gerekir. Bir test yapmıştık, hiçbir güvenlik sistemi bulunmayan bir bilgisayarı internete bağladığınızda ele geçirilmesi, yani zombi yapılması en fazla yedi dakikayı buluyor. Birileri bu alemi sürekli tarıyor çünkü. Sabah tarama programını kurup çıkıyor, akşam geldiğinde bakıyor ki ordusuna 60 bilgisayar daha katılmış!
İş dünyasının beyaz şapkalı hacker’lara çok ihtiyacı var
– Zeka gerektiren hackerlik nasıl yapılıyor?
Bir sistemi çökertmekten çok, o sisteme sızıp bilgi ele geçirmek. İşin zor kısmı da bu. Bu tür hacker’lık daha çok Rusya‘da görülüyor. Biz bu işin eğitimini veriyoruz. Ocak ayında Bilgi Üniversitesi’nde başlayacağız. Gerçekten işin inceliklerini öğrenmek isteyen gelsin. Beyaz şapka takmaları halinde iş bulabileceklerini anlatıp kendilerini geliştirme fırsatı sunuyoruz. Çünkü siyah şapkalılar biraz da iş bulamayacaklarını düşünüyor ama gerçekte sektörün ihtiyacı büyük. Yurtdışından uzman getiriyorlar, o da iki üç kat pahalıya patlıyor.
– İlgi görüyor mu eğitimleriniz?
Genellikle şirketlerde çalışanlar başvuruyor. Hem saldırı hem de savunma eğitimi veriliyor. Fakat saldırı eğitimleri daha çok talep görüyor. Örneğin yılda iki kez savunma eğitimi semineri açılırken yedi kez saldırı eğitimi semineri açılıyor. İnsanlar yıkmayı seviyor galiba.