Bir hacker için Türkiye’de güvenlik ne noktada?

hackerBelli aralıklarla sitemde bazı fikirlerine değer verdiğim kişilerin yazılarını paylaşıyorum.

Erhen Yazıcı geçen gün aşağıdaki yazıyı facebook ortamında paylaşmıştı. Onun da izni ile yazıyı siz okurlarımla paylaşmayı uygun gördüm.

Bu arada küçük bir bilgi Erhan Yazıcı Kiralık Hacker A.Ş.’nin sahibi bir güvenlik uzmanı.

HGS / OGS / KGS sisteminde keşfettiğim bir zafiyeti exploit ederek, bir plakaya ait kimlik ve iletişim bilgisi, hangi gişelerden ne zaman geçtiği, bir kişiye ait araçlar vs gibi devletin aracınızla alakalı topladığı tüm data’ya dışarıdan yetkisiz şekilde de erişilebiliyor. Yaklaşık 10 milyon araç ve sahip bilgisi mecvut.

Sigorta Birliği Merkezi’nin sisteminde de benzer şekilde güvenlik açıkları var. Geçmiş yıllar dahil, her araca yapılan her kasko ve sigorta poliçesine, yine kişisel bilgiler dahil olarak erişilebiliyor. Burada da yaklaşık 55 milyon kayıt vardı. 6 ay kadar önce farkettiğim bir zafiyetti, hala aktif.

Bu iki veritabanı birleştirildiği zaman ortaya değerli bir data çıkıyor. Kötüye kullanıma çok müsait, öte yandan devlet benim özel bilgilerimi koruyamıyor düşüncesi..

Önümüzdeki ay Silikon Vadisine gidiyorum diye elimde devletle alakalı -herkesi ilgilendiren- ne varsa paylaşıyım anca fixlenir diye düşünüp gerekli yerlere haber verdim. Bakanlıktan PTT’den Karayollarından vs aradılar 8-10 görüşme yaptım. Sonucunda ilerleyip geldiğimiz nokta şu; “Şuan sistem önümde açık ve bu kapalı devre bi sistem, nereden giriyosunuz beraber yapalım, nereye tıklamam gerekiyor” vs vs smile ifade simgesi Sayfada bir ‘Hackle’ butonu olacağını düşünüyor adam. Bu görüştüğüm kişilerin birkaç tanesi yetkili diğerleri teknik çalışanlar üstelik.

Yazılı gelen bilgilendirmelerde de benzer bi durum var, kim login olursa o kişinin bilgileri görülür, diğerleri görülmez demişler smile ifade simgesi Normalde olması gereken bu zaten, hack dediğimiz şey zaten normalde olmaması gereken şeylerin yapılabiliyor olması değil mi ? Zafiyetin ne olduğunu nasıl kullanıldığını bırakın daha konuyu anlayamıyorlar diye toplantı ayarlayın demo yapıyım gösteriyim dedim. 2 hafta kadar önceydi bu, dün yazılı olarak yine benzer cümleler geldi..

Daha önce de böyle bi tecrubem olmuştu uğraşmayıp ne haliniz varsa görün demiştim. 2 sene kadar önceydi Tubitak Bilgem başkanıyla görüşmem vardı. Toplantı arası yine devlet sistemleriyle alakalı zafiyetlerden bahsetmiştim örnekler vermiştim, o dönem iski’de ibb de vs at koşturuyordum, e-devlette yine kritik açıklar vardı. ‘Bu açıkları kurumların kendileriyle paylaşıp o şekilde ilerlemeniz daha doğru olur’ demişti, ben de eyvallah çok da umrumda demiştim. Zaten şu aralar kurumların kendileriyle paylaşınca da nasıl “ilerlendiğini” gördüm smile ifade simgesi

Hakikaten üzülüyorum, devlet memuru zihniyetini heryerde görebiliyorsunuz, kimse sorumluluk almıyor kimsenin umurunda değil, sizin umrunuzda değilse benim (ya da varsa bu açıkları bulabilen diğer hackerların) hiç umrunda değil, hiçbir zaman da olmaz. Bakanlıkların da mı özelleşmesi lazım kurumsal kalite için ya da bu garanti sistem (kadro) bu kadar garanti olmamalı mı ? Ne yapmamız lazım yani büyük bir skandal olmadan önce uyarıyorum, herhangi bir ücret istemediğimi söylüyorum tek derdim bu açıkların kapatılması ve kendi bilgilerim dahil herkesin kişisel bilgilerinin güvende olması. Daha geçen haftalarda Tatil Sepeti ‘nde bulduğum bir açığın demosunu yapıp göstermiştim, 3 – 5 gün içerisinde açığı bulup kapattıkları halde teşekkür ettiler ödeme yapmak istediler ve bundan sonrası için düzenli danışmanlık istediler. Direkt devlet ve özel sektör farkı gibi anlaşılmasın, özel sektörde de çok vahim örnekler verebilirim en az 10 tane.

Bir de önemli bi detay; devlet tarafındaki çoğu zafiyet fixlendikten sonra dahi kullanılabilecek zafiyetler. Yine özel sektörden bir örnek veriyim 3 ay kadar önce Çalık’ın bankasında bi açık farketmiştim, 1.5 milyona yakın müşterinin hesaplarındaki toplam bakiyeyi farklı bir hesaba aktarabiliyordum ya da bunun gibi 5 6 felaket senaryosu daha vardı, bir çok şey yapılabiliyordu tüm hesaplar üzerinde. Haber verdim kapatalım dedim toplantıda kendi verdikleri bi hesaptan kendi verdikleri diğer hesaba 25TL aktararak yapılabildiğini gösterdim. 4 gün kadar sonra açığı kapattılar ve bir daha ne aradılar ne sordular ne de bi teşekkür ettiler smile ifade simgesi Muhtemelen okuyolardır, işte benim örneğimdeki o vizyonsuz ve aynı zamanda iyi niyetli olmayan holding yöneticileri sizsiniz smile ifade simgesi Diğer taraftan Koç’un bankasındaki bir zafiyetten ötürü 550.000 adet kredi kartı bilgisine erişilebiliyordu.

İşte internet bankacılığı gibi sistemlerde açığı kapattıkları zaman daha müdahele edemezsiniz, ama asıl zafiyetin datanın kendisi olduğu yerde -mesela kredi kartı bilgisi gibi- o açık kapandıktan sonra artık kart bilgilerine sistemdeki açık üzerinden erişilemese dahi bi kere o data çekilmiştir, iş işten geçmiştir. Devlet tarafındaki açıklar da genelde hep bu şekilde, o yüzden birileri bu dataları çekip kötü amaçla kullanmadan önce acilen kapatılmaları gerekiyor.

Normalde sosyal medyada şahsı fikirlerimi monolog şeklinde yazmamaya çalışıyorum, birilerinin okumasını istediğim kadar başka birilerinin de okumaması gereken şeyler bunlar, hem tercih hem de gizlilik sözleşmeleri, ama bu seferlik birkaç bişey yazmak istedim, örnekler havada kalmasın diye firma isimlerini de verdim. Yoksa hakikaten birkaç cümle yazıcaktım devlet ve siber güvenlikle alakalı ama bi konu diğerini çağırdı yazı baya uzadı doğaçlama olarak. Normalde zaten söylemek istediğim şeyleri bi kitapta topluyorum burada 10 sayfa daha yazsam yine anlamı yok. Özet fikrim; Türkiye’de bilgi güvenliği bilinci maalesef vahim durumda. Eskiden döve döve adam etme yöntemini benimsiyodum artık anlata anlata adam etmeye çalışıyorum son 2 yıldır smile ifade simgesi İş başa gelmeden gelmiş gibi hareket edip aksiyon almak lazım. Özellikle şirketler için söylüyorum şirket içi bilgi güvenliğine verdiğiniz önemin değeri kadar büyüksünüz. Bazı şirketlerde yönetimin olduğu binaya cep telefonuyla dahi giremiyorsunuz, birçok güvenlikten turnikeden geçiyosunuz size içeride sürekli birisi escortluk yapıyor, kendilerince güvenliğie önem vermişler ve savunma amaçlı birşeyler yapmışlar ama aynı şirkete birkaç günlük bi çalışmayla tüm güvenlik kamerası kayıtlarını izleyebiliyor, yöneticilerin araçlarını takip edebiliyor, şirket içi ip telefon görüşmelerini dinleyebiliyor, gelen giden mailleri okuyabiliyor (dolayısıyla farklı sistemlerin de bilgileri, kredi kartı harcama özetlerini, cep telefonu görüşme kayıtları vs) muhasebe kayıtlarının raporunu alabiliyor, verdikleri 30 milyonluk fiyat tekliflerini görebiliyor, aldıkları siparişlerin tüm detaylarına erişebiliyorsunuz. Şirketlerin bilgi güvenliği anlayışı, işin sadece teori kısmını dershane mantığıyla anlatıp geçen bilgi güvenliği danışmanlığı firmalarından aldıkları iso27001 sertifikalarıyla sabit. Firma sahipleri vicdani olarak rahatlayıp tatmin oluyorlar kendilerini güvende zannediyorlar. Bu danışmanlık firmalarının şirket sahiplerine yaptığı güven aşılamak, gerçek anlamda olabileceklerden maalesef bihaberler. Bunların hepsinin imkansız ütopik birşey olduğunu zannediyorlar çünkü maalesef o bilinç yok, anlatan çok gösteren yok.

Birgün umarım bilgi güvenliğinin önemi artık herkes tarafından kavranmış olur. Önemli olan, rakipleriniz (ya da eğer bir devletseniz düşmanlarınızın, teröristlerin) bu bilince ulaşıp sizin cahilliğinizi kullanmadan önce sizin de bilinçlenmeniz. Devlet sistemleri, üniversiteler, web siteleri, şirketler vs.. Bu farkındalıkta olan insanlar, kendi hayatlarında hangi pozisyonda olursa meslekleri ne olursa olsun bulundukları yere de otomatik olarak o bilinci taşımış olurlar. Önemli olan herzaman insan faktörüdür.”