Bir hacker için Türkiye’de güvenlik ne noktada?

hackerBelli aralıklarla sitemde bazı fikirlerine değer verdiğim kişilerin yazılarını paylaşıyorum.

Erhen Yazıcı geçen gün aşağıdaki yazıyı facebook ortamında paylaşmıştı. Onun da izni ile yazıyı siz okurlarımla paylaşmayı uygun gördüm.

Bu arada küçük bir bilgi Erhan Yazıcı Kiralık Hacker A.Ş.’nin sahibi bir güvenlik uzmanı.

HGS / OGS / KGS sisteminde keşfettiğim bir zafiyeti exploit ederek, bir plakaya ait kimlik ve iletişim bilgisi, hangi gişelerden ne zaman geçtiği, bir kişiye ait araçlar vs gibi devletin aracınızla alakalı topladığı tüm data’ya dışarıdan yetkisiz şekilde de erişilebiliyor. Yaklaşık 10 milyon araç ve sahip bilgisi mecvut.

Sigorta Birliği Merkezi’nin sisteminde de benzer şekilde güvenlik açıkları var. Geçmiş yıllar dahil, her araca yapılan her kasko ve sigorta poliçesine, yine kişisel bilgiler dahil olarak erişilebiliyor. Burada da yaklaşık 55 milyon kayıt vardı. 6 ay kadar önce farkettiğim bir zafiyetti, hala aktif.

Bu iki veritabanı birleştirildiği zaman ortaya değerli bir data çıkıyor. Kötüye kullanıma çok müsait, öte yandan devlet benim özel bilgilerimi koruyamıyor düşüncesi..

Önümüzdeki ay Silikon Vadisine gidiyorum diye elimde devletle alakalı -herkesi ilgilendiren- ne varsa paylaşıyım anca fixlenir diye düşünüp gerekli yerlere haber verdim. Bakanlıktan PTT’den Karayollarından vs aradılar 8-10 görüşme yaptım. Sonucunda ilerleyip geldiğimiz nokta şu; “Şuan sistem önümde açık ve bu kapalı devre bi sistem, nereden giriyosunuz beraber yapalım, nereye tıklamam gerekiyor” vs vs smile ifade simgesi Sayfada bir ‘Hackle’ butonu olacağını düşünüyor adam. Bu görüştüğüm kişilerin birkaç tanesi yetkili diğerleri teknik çalışanlar üstelik.

Yazılı gelen bilgilendirmelerde de benzer bi durum var, kim login olursa o kişinin bilgileri görülür, diğerleri görülmez demişler smile ifade simgesi Normalde olması gereken bu zaten, hack dediğimiz şey zaten normalde olmaması gereken şeylerin yapılabiliyor olması değil mi ? Zafiyetin ne olduğunu nasıl kullanıldığını bırakın daha konuyu anlayamıyorlar diye toplantı ayarlayın demo yapıyım gösteriyim dedim. 2 hafta kadar önceydi bu, dün yazılı olarak yine benzer cümleler geldi..

Daha önce de böyle bi tecrubem olmuştu uğraşmayıp ne haliniz varsa görün demiştim. 2 sene kadar önceydi Tubitak Bilgem başkanıyla görüşmem vardı. Toplantı arası yine devlet sistemleriyle alakalı zafiyetlerden bahsetmiştim örnekler vermiştim, o dönem iski’de ibb de vs at koşturuyordum, e-devlette yine kritik açıklar vardı. ‘Bu açıkları kurumların kendileriyle paylaşıp o şekilde ilerlemeniz daha doğru olur’ demişti, ben de eyvallah çok da umrumda demiştim. Zaten şu aralar kurumların kendileriyle paylaşınca da nasıl “ilerlendiğini” gördüm smile ifade simgesi

Hakikaten üzülüyorum, devlet memuru zihniyetini heryerde görebiliyorsunuz, kimse sorumluluk almıyor kimsenin umurunda değil, sizin umrunuzda değilse benim (ya da varsa bu açıkları bulabilen diğer hackerların) hiç umrunda değil, hiçbir zaman da olmaz. Bakanlıkların da mı özelleşmesi lazım kurumsal kalite için ya da bu garanti sistem (kadro) bu kadar garanti olmamalı mı ? Ne yapmamız lazım yani büyük bir skandal olmadan önce uyarıyorum, herhangi bir ücret istemediğimi söylüyorum tek derdim bu açıkların kapatılması ve kendi bilgilerim dahil herkesin kişisel bilgilerinin güvende olması. Daha geçen haftalarda Tatil Sepeti ‘nde bulduğum bir açığın demosunu yapıp göstermiştim, 3 – 5 gün içerisinde açığı bulup kapattıkları halde teşekkür ettiler ödeme yapmak istediler ve bundan sonrası için düzenli danışmanlık istediler. Direkt devlet ve özel sektör farkı gibi anlaşılmasın, özel sektörde de çok vahim örnekler verebilirim en az 10 tane.

Bir de önemli bi detay; devlet tarafındaki çoğu zafiyet fixlendikten sonra dahi kullanılabilecek zafiyetler. Yine özel sektörden bir örnek veriyim 3 ay kadar önce Çalık’ın bankasında bi açık farketmiştim, 1.5 milyona yakın müşterinin hesaplarındaki toplam bakiyeyi farklı bir hesaba aktarabiliyordum ya da bunun gibi 5 6 felaket senaryosu daha vardı, bir çok şey yapılabiliyordu tüm hesaplar üzerinde. Haber verdim kapatalım dedim toplantıda kendi verdikleri bi hesaptan kendi verdikleri diğer hesaba 25TL aktararak yapılabildiğini gösterdim. 4 gün kadar sonra açığı kapattılar ve bir daha ne aradılar ne sordular ne de bi teşekkür ettiler smile ifade simgesi Muhtemelen okuyolardır, işte benim örneğimdeki o vizyonsuz ve aynı zamanda iyi niyetli olmayan holding yöneticileri sizsiniz smile ifade simgesi Diğer taraftan Koç’un bankasındaki bir zafiyetten ötürü 550.000 adet kredi kartı bilgisine erişilebiliyordu.

İşte internet bankacılığı gibi sistemlerde açığı kapattıkları zaman daha müdahele edemezsiniz, ama asıl zafiyetin datanın kendisi olduğu yerde -mesela kredi kartı bilgisi gibi- o açık kapandıktan sonra artık kart bilgilerine sistemdeki açık üzerinden erişilemese dahi bi kere o data çekilmiştir, iş işten geçmiştir. Devlet tarafındaki açıklar da genelde hep bu şekilde, o yüzden birileri bu dataları çekip kötü amaçla kullanmadan önce acilen kapatılmaları gerekiyor.

Normalde sosyal medyada şahsı fikirlerimi monolog şeklinde yazmamaya çalışıyorum, birilerinin okumasını istediğim kadar başka birilerinin de okumaması gereken şeyler bunlar, hem tercih hem de gizlilik sözleşmeleri, ama bu seferlik birkaç bişey yazmak istedim, örnekler havada kalmasın diye firma isimlerini de verdim. Yoksa hakikaten birkaç cümle yazıcaktım devlet ve siber güvenlikle alakalı ama bi konu diğerini çağırdı yazı baya uzadı doğaçlama olarak. Normalde zaten söylemek istediğim şeyleri bi kitapta topluyorum burada 10 sayfa daha yazsam yine anlamı yok. Özet fikrim; Türkiye’de bilgi güvenliği bilinci maalesef vahim durumda. Eskiden döve döve adam etme yöntemini benimsiyodum artık anlata anlata adam etmeye çalışıyorum son 2 yıldır smile ifade simgesi İş başa gelmeden gelmiş gibi hareket edip aksiyon almak lazım. Özellikle şirketler için söylüyorum şirket içi bilgi güvenliğine verdiğiniz önemin değeri kadar büyüksünüz. Bazı şirketlerde yönetimin olduğu binaya cep telefonuyla dahi giremiyorsunuz, birçok güvenlikten turnikeden geçiyosunuz size içeride sürekli birisi escortluk yapıyor, kendilerince güvenliğie önem vermişler ve savunma amaçlı birşeyler yapmışlar ama aynı şirkete birkaç günlük bi çalışmayla tüm güvenlik kamerası kayıtlarını izleyebiliyor, yöneticilerin araçlarını takip edebiliyor, şirket içi ip telefon görüşmelerini dinleyebiliyor, gelen giden mailleri okuyabiliyor (dolayısıyla farklı sistemlerin de bilgileri, kredi kartı harcama özetlerini, cep telefonu görüşme kayıtları vs) muhasebe kayıtlarının raporunu alabiliyor, verdikleri 30 milyonluk fiyat tekliflerini görebiliyor, aldıkları siparişlerin tüm detaylarına erişebiliyorsunuz. Şirketlerin bilgi güvenliği anlayışı, işin sadece teori kısmını dershane mantığıyla anlatıp geçen bilgi güvenliği danışmanlığı firmalarından aldıkları iso27001 sertifikalarıyla sabit. Firma sahipleri vicdani olarak rahatlayıp tatmin oluyorlar kendilerini güvende zannediyorlar. Bu danışmanlık firmalarının şirket sahiplerine yaptığı güven aşılamak, gerçek anlamda olabileceklerden maalesef bihaberler. Bunların hepsinin imkansız ütopik birşey olduğunu zannediyorlar çünkü maalesef o bilinç yok, anlatan çok gösteren yok.

Birgün umarım bilgi güvenliğinin önemi artık herkes tarafından kavranmış olur. Önemli olan, rakipleriniz (ya da eğer bir devletseniz düşmanlarınızın, teröristlerin) bu bilince ulaşıp sizin cahilliğinizi kullanmadan önce sizin de bilinçlenmeniz. Devlet sistemleri, üniversiteler, web siteleri, şirketler vs.. Bu farkındalıkta olan insanlar, kendi hayatlarında hangi pozisyonda olursa meslekleri ne olursa olsun bulundukları yere de otomatik olarak o bilinci taşımış olurlar. Önemli olan herzaman insan faktörüdür.”

Yayınlayan

Atif Unaldi

Setting up the BBS system enabling the communication of two persons over telephone lines when he was a student at the Physics Department at the Bosphorus University, Atıf Unaldı established the first Internet connection in Turkey. He achieved a “first of its kind” type project again in Turkey by making an Internet and information program at Radio D (Radio Club) named “Farenin Kuyrugu” (The Tail of the Mouse) between 1992-1994. In 1994, he prepared, presented and produced a nightly live show,”RadyoNet”, appearing five weekdays on Kanal D. This was the first program consisted of live computer pictures from beginning to end. Atıf Unaldı was the General Director of the first Internet server in Turkey, Anadolu.Net, between 1994-1996. Being the supervisor of the World Air Games I in 1996 and 1997, he registered the sportsmen into the games over the Internet and Intranet. In 1998, he also became the Internet supervisor of the Sabah Group, and worked as a consultant in the project to sell Sabah Kitapları (Sabah Books) over the Internet. In the same year, he continued to write at his column (Yeni Ufuklar-New Horizons) in the .Net magazine, which was a publication of the Milliyet Group. In 1999, he was appointed as the webmaster in Ihlas.Net, and he also designed and administered it. In the very same year, he wrote at a column in an IT magazine, Pcweek of the Sabah Group. In the meantime, founding a web-design company, Artmedya, Unaldı prepared an Internet magazine talk show program for BRT, GeceNet, which he presented with Romina Ozipekci. Later, continuing to write in his column in the magazine, Canteen of the Aksam Group, Atıf Unaldı gave web-design lectures in the Ceramic Department of the IU. Leaving his position in Canteen upon the establishment of the Interporbil Group, Unaldı has been a columnist in the economy magazine, EkoTimes. At the moment, Atıf Unaldı is the columnist in the Computerlife magazine. He has been also a columnist in Finansal Forum newspaper every Wednesday. Being the brand consultant of Buybye.com, Unaldi produced and presented a programme, TRON, in Technology Channel. As of December 2004, becoming the IT Director of Star Media Group, Unaldi carried out the editorship of STARTEK supplement of Star newspaper. Currently being the Internet Director of Kanal D and Star Tv, Unaldi also produces the Technorock programme in Rock Fm. Being one of the founders of the group called Sitebuilders supported by Microsoft, Unaldı has been organising conferences, seminars and panels concerning “Web-design”, “mobile Internet”, “e-trade” and “advertisement in the Internet” with the group. The group has been successfully providing the persons and organisations with its free educational studies. Published Books 2006 Netizen ( Internet Dictionary ) The contests he participated as a juryman: 2002 - Altın Örümcek Web Contest 2003 - Altın Örümcek Web Contest 2004 - Grafi2000 Flash Animation Contest 2004 - Altın Örümcek Web Contest 2005 - Altın Örümcek Web Contest 2006 - Web Marketing Assotion - Web Awards His published articles: The Structuring of the Internet in the Information Society of Turkey, Yeni Turkiye Dergisi (The New Turkey Magazine), March 1998 Web-design criteria, Yıldız Technical University Publication, 1994 Conferences, Seminars and Professional Activites: 1999 - Informing the sitebuilders and e-trade and web-design seminars in Microsoft headquarters (Istanbul) 1999 - Web-design, e-trade, Media Technologies seminars within Microsoft (Ankara, Istanbul, Izmir, Konya, Antalya) 2000 - e-trade seminars within Kosgeb (Ankara) 2000 - e-trade seminars in the Fatih University (Ankara) 2000 - The Bilgi University Internet seminars (Speakers: Microsoft Turkey General Director Sureyya Ciliv, Atıf Unaldı) 2000 - Within the framework of the IT 2000 activities, e-trade and web design seminars (Istanbul) 2003 - PRCI Turkiye (Istanbul) 2003 - Wireless Forum ( İstanbul) 2003 - ODTU ( Ankara ) 2003 - Mobiliz.biz ( İstanbul ) 2004 - PRCI ( İstanbul) The softwares he translated: 1996 - Windows Commander 2000 - Babylon Internet Dictionary 2002 - Sitepublisher Softwares: 1992 - The installation of two radio automation systems (Radyo Kulup and Radyo C) (1995) 1994 - The software of two computer programs (Crossword and Puzzle) which were played with the participation of the television audience at Kanal 6 television. 1996 - The Turkish version of a program called Windows Commander 1998 - A computer software enabling the automation of the TV advertisement department The organisations he is the member of: WSP (Web Standards Project) A global organisation Sitebuilders Microsoft ASP Guilt A world organisation Isoc (Internet Society) A world organisation Mobiliz.biz Mobile Advertising Platform CehTURK