Teknoloji
Hacker'lık Mr. Robot'tan İbaret Değil
Hacker serimizin ilk bölümünde hacker ve hacking nedir, ne değildir sorusunun cevabını bir "white hacker" olan Ömer Çıtak veriyor.
Varlığımızın neredeyse yarısı dijital, günlük işlemlerimizin birçoğu algoritmalar üzerinde çalışıyor, geleceğimizi inşa edecek robotların yapay zekası her geçen gün ilerleme gösteriyor.
Hal böyle olunca nüfusu deli gibi artmaya devam eden dünyanın geleceğini düzene koymak ve Skynet'e karşı verilecek olası savaşta ayakta kalabilmek için acil olarak "hacker"lara ihtiyacımız var. Buradan yola çıkarak kaleme alacağım white hacker serisinde hacker ve hacking nedir, ne değildir sorusunu uzmanların anlatımıyla cevaplayacağım.
Z jenerasyonu için dipsiz kuyu gibi görünen bu kültür akımı henüz Mr. Robot ile sınırlı olabilir. Diziyi izledikçe ilham alan, Anonymous ve benzeri örgütlerin eylemleri ile heyecanlanan gençler için "hacking" kapitalizme en mükemmel başkaldırma silahı, en havalı yaşam tarzı ve kısa yoldan çok para kazanma imkanı gibi görülebilir. Ancak ilk yazımızda genç bir white hacker ile konuşarak bir önceki cümlede bahsettiklerimizin şu an için ancak fantezi kaldığını söylememiz gerekiyor.
Ömer Çıtak
© Red Bull
Netsparker firmasında güvenlik araştırmacısı olan Ömer Çıtak, henüz lisede bilgisayarla tanışan, bugün ise liselilere siber güvenlik eğitimi veren bir white hacker. Yazı dizisine genç yaşından yola çıkarak onunla başlamak istememin sebebi, Mr. Robot akımıyla hacking dünyasına 'ters' bir açıdan bakan gençlerin gözleri önündeki pembe bulutları biraz dağıtmasını istememden kaynaklanıyor.
Unutmayın, bir dijital tanrı haline gelerek birçok şey yapabilirsiniz. Ancak yaptığınızın ne anlama geldiğini fark edebilmek için ilk önce white hacker terimini onu temsil eden Çıtak ile konuşalım.
Her ne kadar günümüzde hacker kelimesi 'sanal suçlu' ile eş anlamlı olarak kullanılsa da hacking ve hacker kelimelerinin özü doğrudan suç veya saldırganlık üzerine değildir.
Hacker kavramı ile nasıl tanıştın? Sana verdiği ilk anlam neydi?
Hacking, kendimi bildim bileli farkında olmadan hep içinde bulunduğum bir olay aslında. Bilirsin, bu işlerin bir okulu yok. Tek ihtiyaç duyulan şey ilgi ve merak. Küçük yaşlardan beridir ufak hackler ile hayatımızı kolaylaştırırdım. Burada altını çizmemiz gereken önemli bir nokta var. Her ne kadar günümüzde hacker kelimesi 'sanal suçlu' ile eş anlamlı olarak kullanılsa da hacking ve hacker kelimelerinin özü doğrudan suç veya saldırganlık üzerine değildir. Detaylarını merak edenler Alternatif Bilişim tarafından yayınlanan Hack Kültürü ve Hacktivizm kitabından hacking'in tanımına bakabilirler.
Bir şeyleri olması gerekenin dışında kullanabilmek, ortaya çıkan yeni şeyin hayatımızı bir nebze kolaylaştırıyor olması muazzam bir his. Somut bir örnek vereyim de tam anlaşılsın.
5-6 yaşlarında iken kablolu, pille çalışan kumandalı arabalar vardı. O zamanın parası ile 1 milyon TL, şimdinin parası ile 1 TL'ye satılıyordu. Günümüzde hala satılıyor mu bilmiyorum ancak satılıyorsa bile en fazla 5 TL değerinde bir oyuncak. Tüm çocuklar bu oyuncağı oynamak için alırken ben kırmak için alırdım. Arabanın içinde tekerlerinin dönmesini sağlayan ufak, ucuz işçilik ürünü bir dinamo var ve bu dinamoyu o yaşta hiçbir yerden temin edemiyordum. Arabayı kırıp, içindeki dinamoyu kumandasının üzerine bantlayıp, dinamonun ucuna da bir pervane uydurup ufak bir vantilatör yapardım. Bu bile bir hack'tir. Tabii o zamanlar bunun hacking olduğunu bilmediğimizden hack yaptığımızın da farkında değildik.
Muhakkak yukarıda anlattığımın birebir aynısını veya benzerini o yaştaki birçok çocuk yapmıştır. Önemli olan sonrası. O çocukların büyük çoğunluğu gerek ilgi eksikliğinden gerek imkansızlıktan ya da farklı sebeplerden hacking deneylerinin devamını getiremedi. Ben devamını getirebilen az insandan biri olduğum için mutluyum.
Yazılım alanında ilk deneylerine ne zaman başladın?
Hacking'in bilgisayar ile kesiştiği döneme ancak lise 1'de girebildim. O zamana kadar imkanım olmadığından bilgisayar yüzü bile görmemiştim. Liseyi kazandığımda arkadaşlarıma 'ben de bilgisayar işlerine hevesliyim ancak bilgim yok' diyerek ilgimi ortaya koymuştum. Yeni arkadaşlarım da iki üst dönemde okuyan bir hacker'dan bahsettiler. Ben o kişiye bir sene boyunca resmen yapıştım. Bu sürenin sonunda en azından ne yapmam gerektiğini bilecek kadar bilgi edinmiştim.
Aktif olarak lise 1'de, ergenliğin ve yanlış düşünmenin tavan yaptığı yıllarda gray hat (gri şapkalı hacker) sayılabilecek birçok deneyimim oldu. Tabii o yaşların verdiği duygulardan dolayı yaptıklarımız çok keyifli geliyor, etik kısmını sorgulamıyorduk. Ancak sonradan olgun düşünmeye başlayınca işin o kısmını bırakıp tamamen zararsız olan kısmına geçtik. O zamanlarda black hat/gray hat tadında deneyler yapmamızın sebebi imkanların şimdiki kadar geniş olmamasıydı. Şimdi her tarafta ücretli ücretsiz güvenlik eğitimleri veriliyor, öğrenilen teknik bilgilerin kimseye zarar vermeden uygulanabileceği yüzlerce laboratuvar ortamı mevcut. Bizim zamanımızda bunlar yoktu. Forumlardan bir şeyler öğrenip bunları bize ait olmayan gerçek sistemlerde test ederdik. Bunlar şu an tamamen karşı olduğumuz, başından sonuna yanlış olan şeyler. Gerek verdiğimiz eğitimlerde gerek oluşan güvenlik sohbeti ortamlarında bunu altını çok net bir şekilde çiziyor, bunları belirtmemize rağmen yanlış şeyler yapan kişilere gerekli yaptırımın uygulanması için çalışıyoruz.
Black hat/white hat arasındaki çizgiyi nasıl çizdin?
Bu sorunun cevabı çok net bir şekilde, Türkiye internetinin babası Mustafa Akgül. INETD ve LKD her sene bir çok etkinlik düzenler. Bu etkinliklerden en büyüğü Akademik Bilişim etkinliğidir. Binlerce katılımcı Akademik Bilişim'de açılan kurslarda kendini geliştirme fırsatı elde eder.
Akademik Bilişim'in web sitesinde bulduğum bir zafiyet ile sponsorların ödeme yapacağı banka bilgilerinin bulunduğu sayfaya kendi banka hesap bilgilerimi yazdım. Sonrasında büyük harflerle amacımın kötü olmadığını, bir güvenlik zafiyetlerinin olduğunu ve bu zafiyet başkası tarafından keşfedilir ise kötü sonuçları olabileceğini not düştüm. Genelde bu tarz olaylarda karşı taraf sizi dava eder ancak Akgül hoca bana gayet samimi bir mail atıp, teknik bilgimi bir yerlere zarar vermek yerine daha faydalı işler için kullanmamı söyledi. Bunun ardından beni Akademik Bilişim'e davet ederek eğitim verebileceğimi belirtti. Bu olay benim black hat'ten white hat'e doğrudan geçmeme vesile oldu. Yaşadığım tecrübenin ardından hacker anlamına sadece ve sadece white hat olarak yaklaşmayı tercih ettim ve gördüm ki, ilk soruda bahsettiğimiz hacking'i gerçek olarak yaşamak istiyorsak bunun tek yolu white hat.
Basit bir hack gibi görünse de anlattığın olayda dikkat edilmesi gereken ne?
Yukarıdaki olayın yanlış olan tarafı, tespit edilen zafiyetin doğrudan imaj zedeleyici şekilde bildirilmesi. Bu tamamen yanlış bir yaklaşım. Doğru olan, bulunan zafiyetin e-posta atılarak karşı tarafa bildirilmesi.
Mr. Robot şüphesiz ki süper bir karakter. Bilgisayar efektleri kullanılmayan, gösterilen teknik olayların yüzde 100 gerçek olduğu bir dizi. Ancak dizide dünyaya hükmedebilme olayından dolayı genç arkadaşlar bu işlerin çok kolay olduğu algısına kapılıyor. Bilgi sistemleri her ne kadar kritik şeyler olsa da tek bir kişinin veya kişilerin birkaç sistemi hack'leyerek dünyayı yönetmesi dizide gösterildiği kadar kolay olaylar değil.
Mr. Robot'taki teknik detaylar tamamıyla gerçek
© Mr. Robot
Kendini yetiştirebilmek sadece yetenekle mi bağlantılı?
Kendini geliştirmek için birçok faktörün olması gerekiyor ve bu faktörlerden en az işe yarayanı yetenek. Yetenekten daha önemli faktörler var ki bunlar bence ilgi ve hırs. Yine kendimden şöyle bir örnek vereyim.
Lise 2. sınıf öğrencisi iken ailemden uzak bir şehirde lise okuduğumdan dolayı özel bir yurtta kalıyordum. Kaldığım yurdun kuralları oldukça sertti. Bilgisayar yok, internet yok, telefon yok, müzik dinlemek yok. Aklınıza gelebilecek her şey yasak, tek yasak olmayan şey ders çalışmak. Tabii sabit kafalı yurt sorumlularına benim ileride bu işlerle uğraşacağımı, bu işlerin okulda öğretilmediğini, bilgisayar ve internete ihtiyacım olduğunu anlatamadım. Bunun üzerine sabah kalk - okula git - okuldan gel - ders çalış - uyu şeklinde olan düzenimi sabah kalk - okula git- okulda uyu - okuldan gel - ders çalış - yurtta uyuma saati geldiğinde yurttan kaçıp internet cafeye git şeklinde değiştirdim. Yurt sorumluları geceleri kaçtığımı, yurdun ikinci katındaki pencerenin altında oluşan ayakkabı izini fark ederek ancak 2 ay sonra öğrenebildi. Çareyi etrafa kamera döşemekte buldular. O günler şüphesiz benim için en verimli günlerdi. Hatta öyle ki derslerim kötü olduğundan 1-2 dersten kalıp, şu an adını hatırlayamadığım lisedeki ek sınavlar ile geçmiştim. Okuduğum lise de ortamalası iyi bir liseydi ancak dersleri o kadar boşlamıştım ki üniversitesi sınavında arkadaşlarım İTÜ, ODTÜ gibi iyi üniversitelere girerken ben barajı zor geçmiştim.
Yukarıdaki örnekte anlatmak istediğim nokta ilgi ve hırs. Risk almazsanız, çocukluk yıllarınızda arkadaşlarınız gezerken siz tüm gününüzü internet kafede tek bir bug'ı çözmek için uğraşmazsanız, internet cafeye 1 ayda 5 harçlık parası kadar borçlanmayı göze almazsanız kendinizi geliştiremezsiniz. Zeka ve yeteneğiniz de bir fayda sağlamaz.
Mr. Robot akımına kapılan gençler hayal ettikleri ile gerçek dünyayı nasıl birbirinden ayırmalı?
Mr. Robot şüphesiz ki süper bir karakter. Bilgisayar efektleri kullanılmayan, gösterilen teknik olayların yüzde 100 gerçek olduğu bir dizi. Ancak gözlemlediğim kadarı ile dizide dünyaya hükmedebilme olayından dolayı genç arkadaşlar bu işlerin çok kolay olduğu algısına kapılıyor. Bilgi sistemleri her ne kadar kritik şeyler olsa da tek bir kişinin veya kişilerin birkaç sistemi hack'leyerek dünyayı yönetmesi dizide gösterildiği kadar kolay olaylar değil. Aslında bunun olayı basit, her ne kadar dizideki teknik kısımlar gerçek olsa bile adı üztünde DİZİ. Yazılmış bir senaryosu var ve bu senaryo yazılırken düşünülmüş bazı kaygılar var. En basit kaygı dizi izlenecek ki yapımcılar para kazanacak. Bundan dolayı insanların hayal dünyasını kolayca ele geçirebilecek şeyler gösterilebiliyor ama gerçek dünya ne yazık ki dizideki gibi değil. En azından herhangi bir insan dizideki kadar uykusuz kalır ise muhtemelen ölür.
Bizim sektör ilgi ve yetenek ister. Sadece ticari zeka yetmez. Sadece ticari zeka ile gelindiğinde ortaya çöp işler çıkar. Sadece para kazanmak isteyenler gidip franchising çiğ köfteci açsınlar ya da gayrimenkul gibi alanlara yatırım yapsınlar.
"Siber güvenlik sektöründe yapabilecek şey çok"
© Red Bull
Siber güvenlik alanında genç bir hacker neler yapabilir?
Yetenekli ve ilgili olan hacker'lara siber güvenlik sektöründe yapabilecek şey çok. Çok farklı birbirinden mükemmel sistemler geliştiren firmalar var. Bu firmalarda harika işlerle uğraşabilir ya da kendi harika işini kurabilir. Genelde yetenekli arkadaşların sektör içerisinde pek bulunmamasından dolayı sektörde 'çöp' diye nitelendirebileceğimiz firmalar ve işler var. Ben bireysel olarak bunların hepsini temizleyip, sektörü sadece gelir kaynağı olarak görenlerden kurtarmak istiyorum. Sadece para kazanmak için bizim sektörü ziyaret eden bir dünya iş adamı var. Bizim sektör ilgi ve yetenek ister. Sadece ticari zeka yetmez. Sadece ticari zeka ile gelindiğinde ortaya çöp işler çıkar. Sadece para kazanmak isteyenler gidip franchising çiğ köfteci açsınlar ya da gayrimenkul gibi alanlara yatırım yapsınlar.
Türkiye'de nihayet bilgisi olan ve bildiğini aktarabilme yeteneği bulunan arkadaşlar elini taşın altına sokmaya başladı. Bu süreçlerin sonucunda çok zeki arkadaşlara güzel teknik bilgi aktarılıyor ve efsane işler ortaya çıkıyor.
Türkiye'de neler yapıyoruz? Siber güvenlik alanında birkaç yıl içinde binlerce yetenekli insan çıkarabilecek miyiz?
Türkiye'de son yıllarda siber güvenlik ve yazılım alanının gelişmesine katkı sağlayan sayısız gönüllü topluluk ortaya çıktı. Neredeyse ücretsiz eğitimin olmadığı bir hafta sonu bile geçmiyor. Nihayet bilgisi olan ve bildiğini aktarabilme yeteneği bulunan arkadaşlar elini taşın altına sokmaya başladı. Bu süreçlerin sonucunda çok zeki arkadaşlara güzel teknik bilgi aktarılıyor ve efsane işler ortaya çıkıyor. Sadece ben şahsım olarak verdiğim eğitimlerde o kadar mükemmel öğrencilere denk geldim ki, bu tarz arkadaşlar bizim sektöre girdikçe kalite de gözle görülür şekilde artacak diye düşünüyorum.
Bireysel olarak insanlara faydam dokunması adına az çok bildiğim ne var ise gönüllü şekilde aktarma taraftarıyım. Bunun için gelen her eğitim/seminer teklifine koşa koşa, gerekirse yıllık iznimden kullanarak gidiyorum. Sayısız eğitim verdim, sayısız insana faydamın dokunduğunu düşünüyorum ve bu böyle devam edecek. Faydamın dokunduğu bir kişi, insanlık için güzel bir şeyler yaptığı vakit çektiğim o yorgunluk uçup gidiyor. En büyük motivasyonum fayda sağladığım bir insanın da başkalarına aynısını sunabilmesi.
