Archive for January 2013

Uzun zamandır aklımdaydı.

Uzun zamandır bir blog kurup, üzerinden yayın sağlamak istiyordum. fakat bir türlü fırsat bulup ilgilenemiyordum. Eminim yine fırsat bulup ilgilenemeyeceğim lâkin bir işe başlamak bitirmenin yarısıdır diyerekten blog’umu kurdum. Günlük başaramasam dahi haftalık olarak bir iki yazıp çizeceğim. Genel anlamda ilgili olduğum konu başlıklarını ve aktarmak istediklerimi buradan yayınlayacağım.

İbrahim BALİÇ

Bilgi Güvenliğine Giriş

Günümüzde hız kesmeden gelişen ve değişen teknoloji, “Bilgi/Veri” hırsızlığını da beraberinde getirdi. Bilim adamları“Bilgi/Veri”yi her an, her yerde kullanabilir duruma getirmek için yıllardır çalışıyor olsalar da, Bilgi/Veri’nin güvenliğini sağlamak gün geçtikçe daha da zorlaşmaktadır. Günümüzde ki en kıymetli şeylerden biri haline gelen “Bilgi/Veri”yi korumak ciddi sıkıntılara yol açmaktadır.

Bu kaynak başlangıç seviyesinde dijital ortamlardaki ve insanlar arasındaki iletişimin içinde “Bilgi/Veri Güvenliği”konusunu işlemektedir.

Düzenleme: MD5 Şifreleme = MD5 Hash özeti oluşturma olarak düzenlenmiştir.

Bilgi Güvenliği

Bilgi/Veri akışı denildiği zaman, genelde insanların ilk akıllarına gelen şey bilgisayar veya elektronik sistemler olmaktadır. Oysaki gündelik yaşamımızda da her an, binlerce, belki de on binlerce bilgi/veri akışı gerçekleşmektedir. Bu aşamada bilgi ve veri kelimelerinin anlamlarına bakılacak olursa,  Türk Dil Kurumunun bilgi kelimesini  şu şekilde tanımladığı:

“Öğrenme, araştırma veya gözlem yolu ile elde edilen gerçek.”

Yine Türk Dil Kurumunun veri kelimesini ise:

“Gözlem ve deneye dayalı araştırmanın sonuçları.”

şeklinde tanımladığı görülecektir. Bir kişinin, bir diğer kişiye anlattığı herhangi bir konudan tutun, herhangi bir kişinin herhangi farklı bir yerden edindiği Bilgi/Veri’ye kadar uzayıp giden, karanlık bir tünel gibidir.

Konunun bu denli geniş olmasından dolayı, Bilgi/Veri’nin korunma zaman ve kademeleri de oldukça farklı ele alınmalıdır.

  • Bilgi/Veri’nin kaynak güvenliği
  1. Bilgi/Veri’nin paydaş güvenliği (çoğalma sayısı x2’dir )
  • Bilgi/Veri’nin aktarım güvenliği

Yukarıdaki sıralamada görüldüğü gibi Bilgi/Veri’nin korunma zaman ve durumları türüne ve yerine göre farklılıklar ve farklı riskler taşımaktadır.

Bilgi/Veri’nin en büyük risklerinden biri paydaş sayısıdır. Önemli bir Bilgi/Veri’nin paydaş sayısı ne kadar çok ise, dağılmış olma riski veya dağılabilme riski de bir o kadar artmış demektir. Bir Türk atasözünde ifade edildiği gibi “Sırrını söyleme dostuna, Dostunun dostu vardır oda söyler dostuna”. Bilgi/Veri’ alanına ve önemine göre kazanmış olduğu değer o Bilgi/Veri’ye ulaşılma istek ve arzularını da hep beraberinde getirmektedir. İnsanlar bu sebeple zaman içinde Bilgi/Veri’ye ulaşabilmeyi hep öncelikli hedefleri halinde tutmuşlardır. Farklı farklı yollar denenmiş farklı farklı yöntemler geliştirmişlerdir. Ve halen daha farklı yollar keşfedilmektedir.

Bu arayışlar, zaman içinde en çokta tıp biliminde kullanılmış ve hatta farklı bilim dalları oluşmasına bile sebep olmuştur. Özellikle günümüz teknolojisinin ve hızla ilerleyen tıp biliminin gelmiş olduğu son nokta gerçekten hayret uyandırıcı seviyelere varmaktadır.

Arayışları 19. yüzyıla kadar sürmüş olan ve günümüzde ilk kullanan kişinin William Thomas Green Morton olduğu kabul gören“Anestezik” ilaçların, günümüzde bu denli farklı amaçlara hizmet edeceği hiç kimsenin aklına gelmemiştir.

“GABA’nın reseptörlerinden ayrılma hızını yavaşlatarak, hücre dışında ki proteinlerin hücre içine bağlanmasını engelleyen bu kimyasallar ile (yani uygulanan kişiyi kısmi felç’e uğratarak)”…

Kişilere sorulan soruları doğru şekilde cevaplamasını beklemek oldukça farklı bir düşünce gibi gözüküyor fakat günümüz de “Pentotal” adlı bir ilaçtan bu şekilde faydalanılıyor.

resim-1.png

Buna benzer birçok alanda biyolojik fonksiyonlara müdahale edilerek yapılabilen çok sayıda işlem günümüz teknolojisi ve tıp kaynaklarıyla mümkün hale gelmiştir. Günümüzde kullanılan yalan makinelerinin kan basıncı, nabız, solunum gibi etkenleri takip ederek insanların yalan söylediğini ortaya çıkartabildiği gerçeğinden yola çıkılarak, yakın bir tarihte insanların düşüncelerinin de okunabileceği öngörülebilir.

Şimdilik insanlarda ki düşünce için Bilgi/Veri dışarıdan müdahale ile elde edilemiyor gibi görünsede, Bilgisayar ve elektronik cihazlarda durum biraz daha farklı.

TEMPEST

TEMPEST adıyla bilinen bir yöntem yıllardır filmlere konu oluyor. Neredeyse tüm istihbarat servislerinin bilgi toplamak amacı ile kullanmış olduğuElektro Manyetik Dinleme olarak Türkçeleşen bu yöntem, yine elektronik cihazlar kullanılarak diğer elektronik cihazlardan bilgi toplama işlemine deniyor. Aynı şekilde bu tür atak ve saldırılardan korunmak içinde EMSEC diye bilinen yöntem ve standartlar uygulanmaktadır.

resim-2.png

Neredeyse kullanmış olduğumuz tüm cihazlar elektromanyetik yayılım göstermektedir. Bu elektromanyetik yayılımlar cihazın durum ve konumuna göre belli mesafelere kadar ulaşmaktadır. Yani daha basit bir şekilde örnek vermek gerekirse elektronik cihazlarımız bizim gözlerimiz ve kulaklarımız ile algılayamayacağımız seviyede bir radyo yayını yapmaktadır. Bu sinyaller bazı özel cihazlar ile birbirinden ayrıştırılarak toplanmaktadır. Bu toplama işlemi sonunda türüne göre yine özel birkaç işleme tabi tutularak görüntü, ses veya yazı haline getirilebilmekte.

Bu tür özel müdahaleler ele alınırken gerçekten profesyonel bir müdahale olarak ele alınmalıdır. Çünkü bu tür bir dinleme işlemi için özel ekip ve cihazlara ihtiyaç duyulmaktadır. Bu kapasitede işlem yapabilen cihazlar, Türkiye ve birçok ülke için bu ülke girişleri kontrol altında yapılmaktadır. İzinsiz sokulamamaktadır.

TEMPEST konusunda Türkiye’de açıklanan en büyük araştırma ve geliştirmeler gündeme TÜBİTAK tarafından getirilmektedir. Uluslararası kapsamda da TEMPEST konusu standartlara bağlanmıştır. Üretim aşamasında cihaz tür ve önemine göre standart uyumluluğu göz önünde bulundurularak üretilmektedir.

Buna rağmen diğer elektronik cihazlardan yayılan sinyalleri Bilgi/Veri’ye dönüştürülmesi dünya genelinde çok sık kullanılan bir yöntemdir. Güncel ve bilinen en temiz casusluk yöntemlerinden olduğu söylenmektedir. Müdahalenin uzaktan olduğu göz önünde bulundurulursa oldukça güvenli ve tespit edilmesi zor gibi görünüyor.

TEMPEST için maddi boyutu ve kanuni riski bir tarafa bırakılırsa, elektromanyetik dinleme yapmak için bir kaç elektronik cihaza ve birazda sabıra ihtiyaç var gibi görünmektedir.

resim-3.png

Aşağıda bağlantıları verilen videoların izlenmesi konu hakkında aydınlatıcı olacaktır.

http://www.youtube.com/watch?v=dWmGNL-ttDY

http://www.youtube.com/watch?v=AFWgIAgMtiA

http://www.youtube.com/watch?v=AFWgIAgMtiA

Şimdi Bilgi/Veri’nin genel anlamdaki güvenlik zaman ve kademelerine göz atalım:

Kaynak güvenliği

Bilgi/Veri’nin kaynağından bahsederken, adından da anlaşılacağı üzere depolandığı, barındırıldığı yer ele alınmaktadır.

Günümüz iletişim teknolojisinin olanakları dahilinde Bilgi/Veri, türüne ve amacına göre farklı kategorilerde kaynaklarda tutulabilmektedir. Alıcılar Bilgi/Veri’ye bu sabit alandan ulaşmaktadırlar. Bu aşamada verinin hem konum hem de tür itibari ile sabit konumda bulunması bilgi ve verinin önemi doğrultusunda olumsuzluklar yaratabilmektedir. Bu durumda Bilgi/Veri’yi Sabit Bilgi/Veri türleri ve Dinamik Bilgi/Veri türleri olarak iki ana kategoriye ayrılabilir.

resim-4.png

Bilgi/Veri türüne ve yerine göre farklı özellikler sergilese de ortak noktası gizliliğidir. Sabit Bilgi/Veri türlerinde paydaş sayısı olarak nitelendirilen kaynaklar, yerine göre önemli roller üstlenir. Bu hususta bir fikir oluşturması açısından yukarıdaki görsel incelenebilir.

Bilgi/Veri çoğaldıkça verinin kaynak sayısı da aynı oranda çoğalmaktadır. Bu sebep ile Sabit veri türlerinde güvenliğin sağlanması, Dinamik veri türlerine oranla daha zordur.

Kaynağın çoğalması aynı zamanda korunmasını da olumsuz yönde etkilemektedir. Ne kadar kaynak varsa riskleri de o kadar artmış demektir. Eşit oranla aktarım güvenliği gerektirmesi, veri türüne ve kaynağına bağlı olarak ta bu durumu daha da zorlaştıracaktır.

resim-5.png

Durum insanlar ve cihazlar içinde aynıdır. Sabit veri türlerinde paydaş sayısının artması dağılım çoğalma riskini de olumsuz yönde etkilemektedir. Buna bağlı olarak verebilecek net sonuç paydaş sayısının yükselmesi, güvenlik riskinin de x2 oranında artmasına sebep olacaktır.

Özellikle Bilgi/Veri’nin aktarım aşamasında kullanılması muhtemel gizleme tekniklerini de olumsuz yönde etkileyen bu durum, Gerek Bilgi/Veri’nin gizlenme aşamasında, gerek kaynak veriye yapılacak gizleme/şifreleme tekniklerinde Bilgi/Veri’nin boyut ve şekil değiştirmesi tekniklerini daha da zorlaştıran bir diğer unsurdur.

Bilgi/Veri’nin aktarım veya depolama için kullanılan gizleme algoritmaları, şekil değiştirme teknikleri gerektiriyor; bu algoritmaların veya şekil değiştirmeler deşifre edildiğinde kaynak ve paydaşların Kaynak ve Aktarım güvenliği de yıkılıyor. Bu sebepten ötürü kaynak veya aktarımı;  paydaş sayısınca değiştirmeyi veya farklılaştırmayı gerektiriyor. Kaynağın çoğalması, korumasını olumsuz yönde etkiliyor.

Sabit Bilgi/Veri türlerinde durum böyle iken Dinamik Bilgi/Veri türlerinde ise kaynağın çoğalması, kaynak Bilgi/Veri’yi Sabit veri türüne oranla biraz farklı etkilemektedir. Kaynak Bilgi/Veri’nin aktarımı tamamlandıktan sonra “paydaşı” kaynak konumuna geçirmektedir. Yani paydaş sayısının çoğalması; kaynak sayısının da çoğalması anlamına gelmektedir. Paydaş sayımızın çoğalması aynı zamanda aktarım güvenliğinin de eşit sayıda arttırmasına sebep olacaktır.

resim-6.png

Paydaş Güvenliği

Paydaş olarak bahsedilen şey kaynak Bilgi/Veri’nin çoğalma sayısıdır. Bilgi/Veri’nin paydaş güvenliği, Bilgi/Veri’nin türüne göre farklılıklar göstermektedir. Bilgi/Veri’nin çeşit ve sınıflarına göre paydaş güvenliği farklı olarak ele alınır. Sabit bilgi türlerinde paydaş sayısı kaynak sayısını çoğaltacağı için çok büyük önem taşırken dinamik veri türlerinde paydaş güvenliği biraz daha farklı roller üstlenir. Paydaş güvenliğinde ele alınması gereken önlem ve durumlar genellikle aktarım güvenliğinden önce kontrol edilmesi gereken aşamalardır.

Aktarım Güvenliği
Bilgi/Veri’nin korunması aktarım güvenliği aşamasında oldukça zor ve risklidir. Bu aşamada genellikle Kriptoloji bilimi devreye alınarak,“Bilgi/Veri” üzerinde şifreleme, gizleme yaparak bilgi aktarımını güvenli bir hale getirilmeye çalışılmaktadır. Fakat özellikle bilgisayar sistemlerin de bu durum biraz karmaşık ve tahmin edildiğinden çok daha fazla sabote edilebilir durum oluşturmaktadır.

Ham “Bilgi/Veri” şifreleme/gizleme işlemi gerçekleştikten sonra aktarım güvenliği aşamasında sabote edilmesi (ele geçirilmesi) hem kaynak bilgi güvenliğini hem ilgili algoritmasının(“Bilgi/Veri”nin şifreleme tekniğinin) ortaya çıkmasına sebep olacaktır. Aynı zamanda hedefinde ortaya çıkma olasılığını arttırmaktadır.

Günümüzdeki elektronik cihazlar, gizlilik derecesi taşıyan bilgi aktarımlarını, kendi aralarında kurdukları bağlantı ve “Bilgi/Veri” türlerine göre farklı teknik ve algoritmalar ile şifreleyerek gerçekleştirmektedirler. Mesela bunlardan en bilineni hepimizin bilgisayarı ile İnternette gezerken birçok kez kullanmış olduğu SSL (Secure Socket Layer) güvenli bir veri aktarımı sağlayan bağlantı türüdür. SSL konusu genişletmeden önce bilgisayar sistemlerinde birçok farklı güvenli aktarım türü mevcut olduğu belirtilmelidir. TLSSSH vs.. kullanmış oldukları bağlantı çeşidi, modeline göre (“Bilgi/Veri” türü de önemlidir) devamlı farklılıklar gösterebilir.

Elektronik cihazlarda durum böyle iken, İnsanlar arasındaki sözlü aktarımlar içinde durum pek farklı değildir. 2009 yılında gündeme gelen A5 şifreleme algoritması (GSM operatörleri tarafından kullanılmaktaKarsten Nohl ve ekibi tarafından çözülmüştü.

resim-7.png

Bunun dışında kişisel görüşmeler için de günümüzde birçok dinleme cihazı geliştirilmiştir. Bu cihazlar ile kişisel iletişimleri sabote etmek çok kolay bir hale gelmiştir. İnternette sıkça rastladığımız casus mikrofonlar sanırım verebileceğimiz en iyi örnek olacaktır. Kaldı ki buna devletlerin istihbarat servislerinin ve kolluk kuvvetlerinin kullanmış olduğu alt yapı imkan ve olanaklarını düşünmek daha da ürkütücü.

Kriptoloji

Kriptoloji, Türk Dil Kurumu tarafından, “Gizli yazılar, şifreli belgeler bilimi veya incelenmesi” şeklinde tanımlamaktadır. Fakat Kriptoloji bilimi kendi içerisinde farklı alanlara ayrılmaktadır. Steganografi’yi Kriptografi’den ayırıcı en belirgin özelliği, Steganografi ilgili Bilgi/Veri’yi gizler, Kriptografi ise ilgili bilgiyi şifreler. ”Steganografik Mesajlar”da bilgi perdelenmiş/gizlenmiştir. Yukarıda “Merkezi Dicle” olarak farklı bir yazı içerisinden ayırt edilmiş olunan gizli içerik görünmektedir. Kriptoanaliz de yine kriptoloji içerisinde bulunan bir bilim dalıdır. Fakat kriptolojinin bu dalı biraz farklıdır, kriptoanaliz şifrelenmiş bir veriyi çözme ile ilgilenir.

resim-8.png

Kriptografi

Kriptografi, “Bilgi/Veri”lerin şifrelenmesiyle ilgilenen bilim dalıdır denmişti. Şifreleme algoritmaları da kendi içerisinde türüne göre farklılıklar göstermektedir ve bu özelliklerinden dolayı farklı kategorilerde incelenmektedir.

  1. Açık Anahtarlı Şifreleme
  2. Anahtarsız Şifreleme
  3. Simetrik Şifreleme

Açık Anahtarlı Şifreleme

Daha önce bahsedilen SSL (Secure Socket Layer) bağlantı türünü, kullanmış olduğu şifreleme algoritması için “Açık Anahtarlı Şifreleme”ye örnek gösterilebilir. Bu tür algoritmalar “şifreleme” işlemi için farklı, “çözme” işlemi için ise farklı anahtarlar kullanır.

Bu iki anahtardan biri gizli anahtar bir diğeri ise açık anahtar diye tabir edilir. Gizli anahtara sadece bir taraf erişebilir ve bu gizli anahtar sadece veriyi “çözme” için kullanır, diğer açık anahtar ise bu veriyi “şifreleme” işlemine yarar ve erişime açıktır. Durumu özetlemek gerekirse Kullanıcı A, Kullanıcı B, Kullanıcı C olarak 3 adet kullanıcımız bulunmaktadır. Kullanıcı A Kaynak olması durumunda her iki anahtarın sahibidir. (gizli ve açık anahtarların)

Kullanıcı B, Kullanıcı A için bir veri göndermek istediğinde, öncelikle Kullanıcı A ya bağlantı kurup açık olan anahtarını alıyor ve göndereceği veriyi şifreliyor ve bu şifrelenmiş veriyi Kullanıcı A ya tekrar gönderiyor.

Kullanıcı C bu veriyi aktarım aşamasında ele geçirse dahi, çözmek için kullanılacak olan anahtara erişim sağlayamayacağı için ulaşmış olduğu “Bilgi/Veri” verinin şifrelenmiş hali oluyor.

resim-9.png

Anahtarsız Şifreleme

“Anahtarsız Şifreleme” şifrelenmiş “Bilgi/Veri”yi çözmek için anahtarı bulunmayan, oluşturulan şifreleme işlemini şifrelenecek veri için özel olarak üreten algoritma türüne denir. Şifrelenecek “Bilgi/Veri” üzerinde 1Bit’lik bir değişim bile, şifreleme sonucu çıkacak olan şifreli verinin farklı bir şifrelenmiş veri olmasına sebep olacaktır. Genellikle bu tarz algoritmaların tabanı Kelebek Etkisi ile ilişkilendirilir. “Bilgi/Veri” içerisindeki 1 bit’lik bir değişiklik, şifrelenen verinin sonucunu neredeyse tamamen değiştirir. Bu yüzden bu tür algoritmalarda “çözme” anahtarı da bulunmadığı için bu tür şifreli verileri bilinen teknoloji ve imkânlar ile çözmek neredeyse imkânsız gibidir.

Örnek vermek gerekirse en yaygın kullanılan “Anahtarsız Şifreleme” algoritmalarından biri olan MD5’i ele alalım. MD5 ile hemen “ibrahim balic”’ hemde “ibrahim Balic”’i şifreleyelim(buradaki şifreleme tanımı, ilgili verinin çıktı özetini oluşturmaktır. MD5 Hash). Sadece bir harfin değişmesi sonucunda, şifrelenmiş verideki değişikliği kolayca gözlemleyebiliriz.

MD5: 8f487fd313a9846d6f06419e034b392e – ibrahim balic

 

MD5: 9cc8ab5f5f38fdd322d0700503aa49b1  – ibrahim Balic

Görüldüğü gibi şifrelenmiş veri tamamen değişmiştir. Bir harfin büyük olması dahi sonucu tamamen değiştirebiliyor. Bu tür verileri çözmek için genel olarak “deneme yanılma” diye tabir edilen bir yöntem kullanılmaktadır. Bu yöntem ile bilinen bir “Bilgi/Veri”nin şifrelenmiş halini karşılaştırma yaparak, sonuç eşleşmesi doğru ise “çözme” girişiminde bulunulmaktadır.

resim-10.png
resim-11.png

Simetrik Şifreleme

Şifrelenmiş bir “Bilgi/Veri”yi çözmek için ve şifrelemek için aynı anahtarı kullanan algoritma türüne “Simetrik Şifreleme” denir. Her iki tarafta elindeki algoritmada şifrelemeyi ve çözmeyi başarabilmelidir. “Simetrik Şifreleme” taraflar arasındaki iletişimde çözüm anahtarını da ilettiğinden dolayı daha riskli konumdadır. Bir diğer özellik ise farklı bir yapıda şifreleme yapmasından dolayı “Açık Anahtarlı Şifreleme”lere göre daha hızlı şifreleme ve çözme gerçekleştirir. Buda ona bazı alanlarda avantaj sağlar.

Steganografi

Steganografi Bilgi/Veri’nin gizlenmesiyle ilgilenen kriptoloji dalıdır. “Veri/Bilgi” gizlemek kimi zaman şifrelemekten çok daha fazla avantaj sağlayabilir. Şimdiye kadar verilen örnekler ve görsellerden anlaşılacağı üzere “Bilgi/Veri” şifrelenme aşamasında belli başlı işlemlerden geçerek belli bir düzende (kaotik bir yapıda dahi olsalar) oluşturuldukları için, şifrelendikleri yapıyı veya bu yapıdan yola çıkarak “Bilgi/Veri”nin önemi anlaşılabilir.

resim-12.png

Bir sonraki yazımızda bilgi güvenliği kapsamına giren güncel diğer konulardan bahsetmeye devam edilecektir.

 

Veri Akışından ve İşlem Yükünden Tasarruf ( Tetikleyiciler / Triggers )

Günümüz teknolojisinin gelişmesi( bu teknolojik yapının bizi ilgilendiren en önemli gelişmesi aslında eski sistemlerde 48.000 bit lik 56.000 bit lik veri akışı mümkün iken günümüzde 16.000.000 bitin aktarım hızına sevinirken 100 mbit fiber optik kablolama ile 1, 2 , 3 gbbitlere kadar çıkması ve halen daha gelişiyor olması sanırım en önemli gelişme olmuştur..) internet üzerinden aktarımın hızlanması ve yaygınlaşan internet kullanımı da hemen hemen her programlama dilinde ve teknolojik alt yapıda anlık veri akışı gereksinimi/alternatifi doğurmuştur.

Günümüz teknolojisinin veri aktarim hızları düşünülenden daha hızlı gelişiyor olsa da; cpu teknolojimiz o kadar hızlı gelişemedi, hatta tahminlerin ötesinde daha da yavaş ve yetersiz kaldı. hatta intelin kurucusu olan Gordon Moore(Moore Yasası olarak biliniyor)’ın tahminleride cürümek üzere hatta bana göre cürüdü =))) durum işlemcilerin yani server taraflı olarak yükün bildiği ana makinaların işlem kapasitelerini zorlamasından dolayı alternatif çözümler ( parallel bilgisayarlar şuan ki meşhur olan bulut teknolojisi (cloud) server yük dengeleyiciler vs vs ) olsa da, bu tam anlamıyla çözüm üretemedi. Programcıların canını sıkan en önemli konu server taraflı olarak bilgisayarların işlem veremez hale gelmesi veya gecikmesidir.

 Bu ister web tabanlı bir programlama olsun, isterseniz masa üstü bir uygulama olsun veri akışı sağladığınız her alt yapıda istemci ve veri boyutu arttıkca, sisteminiz down olur.
Tahminimce buna alternatif bir çok çözüm üretilmiştir,Üretiliyordur fakat benim kendi edindiğim tecrübelerden sizlere küçük örnekler vererek ana veri aktarimi yerine tetikleyici kullanarak hem veri aktarimindan hemde sunucu taraflı (özellikle mysql, sql gibi database tabanlı veri yığınlarından çekilen bilgi sistemleri için geçerli ) işlem yükünü azaltmaya yönelik bir teknikdir.Basit bir veri akışı sağlayacak diyagram çıktısı, sanırım şu şekilde örneklenebilir.
Bu basit veri akışında Kırmızı Hat(red line) server’a yapılan istek ( request ), Yeşil Hat ( green line) istemciye giden cevap ( response ) olarak düşünerek cizildi.
Bu işlemler zincirinde ana veri aktarımı olarak database’ten 5 farklı tablodan ortalama 0,0186s gibi bir sürede ortalama4.82 kb lik bir veri çekilmektedir. Bu çekilen veri her saniye bazında kontrol edilmesi ve yapılmış değişikliklerin(eğer varsa) istemci tarafına aktarılmasını gerektirmektedir.

Fakat bu veri değişimi her zaman anlık olarak değişmeye bilmektedir. Buna örnek verilebilenecek bir alt yapınotification(bildiri) sistemleridir. Her an kontrol edilmesi gereklidir fakat her an veri olmayabilir. Bu tarz durumlarda bu trigger (tetikleyici) dediğimiz teknikler inanilmaz boyutta işlem yükünü hemde aktarilan veri boyutunu ortadan kaldirabilir.Geliştirilen sistem özelliklerine ve işlem akıcılığa göre aktarilan veri boyutunun kontrollünden tutun, aktarilan datanın id numarasına kadar bir çok kontrolü takip ederek tetikleyici oluşturabileceğimiz ucsuz bucaksız bir deryadır.Yukarıdaki tabloda gösterilen data akışını ele alalım. “ana veri aktarımı olarak database’ten 5 farklı tablodan ortalama 0,0186s gibi bir sürede ortalama 4.82 kb ..” olarak göstermiştik bizim anlık olarak 4.82 kb ‘ı aktarıyor olmamız60 saniyede 60×4.82 kb aktarıma ulaşacağımız anlamına gelmektedir, aynı zamanda bu veriyi cekmek icin database’imizde her saniyede 5 farklı tablodan veri cekmek demektir. Bunun ne demek olduğunun şuan çok daha iyi fark edildiğini düşünüyorum.

Burada gözüktüğü gibi trigger görevi görecek olan ikinci bir servis eklendi. Burada birinci servisi istenilen verinin boyutu, ikinci serviside gelicek olan verinin tamamını almak icin kullanıyoruz. 1 servisimiz tetikleyici görevi görmektedir. Istemci tarafında alınan son veri miktari işlem aşamasında boyut itibari ile kayıt altına alınarak, saniye bazinda sunucudan gelen gelecek veri boyutu ile karşılaştırarak değişiklik durumunda ana verinin cekilmesi basit bir tetikleyici görevi görmektedir. Bunu genel anlamda türetmek ve geliştirmek, database sorugusundan tasarruflar sağlamak vs mümkündür, Aynı mantığı ajax sistemlerinde, database sorgularında akliniza gelebilecek bir çok farklı alanda kendi alt yapınıza göre geliştirmek/kullanmak mümkündür. Şimdilik söyleyebileceklerim bu kadar fakat devam niteliğinde veri güvenliğini ele alan bir kaç deneyimimi aktaracağım, şimdilik herkese iyi çalışmalar dilerim.

İbrahim BALİÇ

ntvmsnbc Röportajım

Facebook’ta bugüne kadar 10’dan fazla güvenlik açığını ortaya çıkardığı için şirket tarafından ödüllendirilen, hatta bir denemesinde Facebook CEO’su Mark Zuckerberg’in hesabını hack’leyen Türk bilişim uzmanı İbrahim Baliç, ntvmsnbc’ye konuştu.

ntvmsnbc
Güncelleme: 12:35 TSİ 25 Temmuz. 2012 Çarşamba

Facebook, geçtiğimiz ay 900 milyon kullanıcısının profil bilgilerindeki e-mail adreslerini herkesten habersiz değiştirmiş, bu uygulama kullanıcıları öfkelendirdiği gibi, teknoloji analistlerinden de tepki almıştı. Ancak “korsan e-mail” olayı, sanıldığının aksine kullanıcıların güvenliğini artırmak için yapılmış bir değişiklik çıktı.

İnternet teknolojileri alanında yedi yıldır çalışmalar yapan yazılım uzmanı İbrahim Baliç, ‘korsan e-mail’ vakasının ardında yatanları, sosyal medyanın güvenlik sorunlarını konuştuk. Baliç, Facebook’un güvenlik konusunda dışarıdan göründüğü gibi olmadığını söylerken, Türkiye’deki IT altyapısı ve yatırımlarının ciddi ölçüde güçlenmesi gerektiğini belirtti.

IT alanındaki geçmişinizden ve şu anki çalışmalarınızdan bahseder misiniz?

2005 yılından beri yazılım geliştirmekteyim. 2006 yılında İstanbul’da kendi şirketimi kurdum. 2010 yılından itibaren Londra’dan çeşitli firmalara yazılım ve bilgi güvenliği alanında danışmanlık yapmaktayım.

Facebook ‘taki mail karmaşasını nasıl fark ettiniz, bu olayın gelişimi, kamunun gözünden kaçan kısımları neler?

Yaşanan bu durumu sadece mail karmaşası olarak nitelendirmek yanlış olur. Yapmış olduğum testler sonucunda fark ettiğim bir açıktı. Bunu tam olarak açıklamak istemiyorum fakat, yaşanan  olay “bir mail karmaşasından” değildi. Tersine, Facebook kullanıcıları risk altındaydı. Yapılan güncelleme Facebook kullanıcılarını korumaya yönelikti. Mesajlaşma modülünde oluşan bir hata, Facebook kullanıcılarının hesaplarında bir tünel açmaya neden oluyordu. Kısaca, size gelen mesajlar farklı birilerine de kopya olarak, sizin haberiniz olmadan gidebiliyordu.

Facebook’ta geçmişte çok fazla güvenlik açığı yaşandı. Bugüne kadar ne gibi güvenlik açıklarını fark ettiniz?

İbrahim Baliç.

Genelde yaptğım iş network trafiğini dinlemek. Güvenlik alanında da asıl uzmanlaşmak istediğim bölüm de veri güvenliği. Facebook üzerinde de testlerimi veri akışını dinleyerek sağlıyorum. Toplamda 14 adet hata bildirimi yaptım. Fakat bunlardan sadece dört tanesini kritikti diyebilirim. Bazı hatalar için Facebook çalışmalarını hala sürdürüyor. Bunlar hakkında açıklama yapamam. Hatalar içeren bazı uygulama/içerikler ise kapatıldı. Kapatılan ve kritik olan hatalardan en basit olanı, istediğim bir Facebook kullanıcısının hesabında istediğim kadar albüm oluşturabilmemi sağlıyordu. Bu aşamada sanırım biraz dikkat çektim çünkü Mark Zuckerberg, Pedram Keyani, Ola Okelola gibi isimlerin Facebook profillerinde çok sayıda albüm oluşturdum.

Bunun dışında hala tam olarak giderilememiş bir diğer hata ise, yorum döngü hatasıdır. Bu kritik bir hata, istediğim herhangi bir post(paylaşılan herhangi bir şey) yorumlarını silebiliyorum(gizliyorum). Bu  hata için ilk testlerimi yine Pedram Keyani üzerinde gerçekleştirmiştim. E-mail kargaşası diye tabir ettiğimiz olay da oldukça kritik bir durumdu. Genel olarak kullanıcıların güvenlik haklarını ihlal edebilecek türden açıklar üzerinde çalışıyorum.

Facebook’ta bu kadar güvenlik açığı ve kullanıcılarla site arasındaki iletişim kopukluğunun nedenleri ne olabilir?

Facebook, sizin de çok iyi bildiğiniz üzere inanılmaz büyük bir ağ. Devasa bir modüler yapıya sahip. Ürünleri çoğaldıkça, ürünler aralarındaki erişim hak ve sınırları da aynı oranda genişlemekte. Durum böyle olunca çok farklı alanlardan farklı hatalar çıkabiliyor. Burada Facebook alt yapısını suçlayamayız. Bu kadar büyük bir yapının, mevcut seviyede bulunması bile gerçekten çok güclü bir ekip tarafından geliştirildiğini bizlere gösteriyor. Bunun dışında iletişim kopukluğu zannedildiği kadar çok değil. Facebook güvenliğe inanılmaz önem gösteren bir firma. Ben Facebook ile olan iletişimlerimde çok hızlı bir ekip tarafından cevaplanıyorum.

Facebook’un kullanıcılarını öfkelendirmesi uzun dönemde kendisine nasıl etkiler yapabilir?

Facebook bilindiği üzerine halka arz edildi. Bu aşamada Facebook’un çok daha sistemli ve çok daha ciddi atılımlar yaptığını görmek mümkün. Örnek vermek gerekirse, Facebook geçtiğimiz aylarda ödeme sisteminde değişiklik yaptı. Bugün Facebook kullanıcıları diye tabir ettiğimiz kişi rakamları korkunç seviyelerde, 600- 700 milyonlar ile ifade ediliyor. Böyle bir kitlenin şu an elinde olduğunu düşünerek cevaplarsak, bence kesinlikle kullanıcılarını kızdırmaması gerekiyor. Facebook için artık kullanıcı kaybı para kaybı demektir.

Sosyal medya ağlarını kullanırken kullanıcılar nelere dikkat etmeli, güvenlik ve hizmet koşullarına dikkat etmek ne kadar önemli?

Çok güzel bir soru ve bence sadece sosyal medya ile sınırlamamak gerekli. Ben genel olarak şu şekilde bir örnek veriyorum: “Her site rafta duran farklı bir üründür.” Örnek olarak bir çikolata ve bir pasta düşünün. Bunları raflardan almadan önce nasıl ki son kullanım tarihlerine bakmamız gerekiyorsa, bence siteler için de hizmet koşulları aynı nitelikleri taşıyor. İnsanlar sitenin ve yapılacak olayın ne olduğunu bilmek zorundalar. Türkiye’de artık belli yasalarla, düzenlemelerle bu iş bir sisteme oturtuluyor. Fakat bilinçli kullanıcı olarak tabir edilen kesim bence daha tam olarak oturmadı.

Soruyu tekrar sosyal medya ile daraltırsak şayet, sosyal medya siteleri, genelde ürün içinde ürün barındırmakta. Örnek olarak Facebook uygulamalarını da ayrı birer ürün olarak düşünün. Her uygulamanın işlemleri kendi içerisinde farklı hak ve sınırlar ile devam etmekte. Türkiye’yi ele alırsak, bir kaç yıl içerisinde, milyonlarca kişi hakkında veri toplandı. İnsanlar uzun bir süre bilinçsiz olarak kişisel bilgilerini uygulamalara bilinçsiz olarak verdiler. Böylece bilgilerini başka kişilerin eline kaptırdılar.

İşte tam bu alanda, Facebook’u suçlayamıyoruz. Çünkü, Facebook kullanacağınız uygulamanın hak ve sınırlarını, yani erişebilecekleri bilgileri size zaten bildiriyor ve soruyordu; “Buna izin vermek ister misiniz?” şeklinde. Fakat bazı kullanıcıların İngilizce bilmemeleri, bilinçsiz bir şekilde bu uygulamalara izin vermeleri, verilerin toplamasına neden oldu. Şahsen kullanıcılar için verebileceğim en doğru tavsiye, her alanda kullanacakları site için öncelikli olarak bilinçlendirilmeleri. İşlevsellik olarak teorik bir alt yapı mantığı öğrenmeleri faydalı olur.

Twitter, Facebook gibi önemli sosyal ağların güvenik altyapısını nasıl görüyorsunuz? Neler eksik, nelerin farkında değiliz?

Twitter içerik olarak Facebook’a göre çok farklı bir işlevselliğe sahip, Facebook çok daha fazla veriyi kullanıcıdan alıp, üzerinde çok daha fazla işlem yapılmasına olanak tanıyor. Bu da Twitter’a göre Facebook’u biraz daha riskli gösteriyor. Fakat, aslına bakarsanız durum öyle değil. Facebook’un yaptırmış olduğu işlem kapasitesine göre yargılarsanız, şahsen kullanıcılara sunulmuş en güçlü yapılardan biri olduğunu söyleyebilirim.

Twitter ise işlevselliği daha az olduğu için ve genel anlamda SSL dâhilinde iletişim trafiği sağlandığı zamanlarda çok güvenli bir sistem gibi gözüküyor. Twitter üzerinde, İsrailli bir arkadaşım benden daha yoğun olarak araştırmalar yapmakta. Üzerinde genel anlamda XSS diye tabir ettiğimiz hata türlerine rastlamaktayız. Kullanıcıların farkında olmadığı birçok şey söyleyebiliriz fakat bilmedikleri en önemli kurallardan biri de bence bu, bilmedikleri hiçbir bağlantıya tıklamamaları gerekli.

Site üzerinde tespit edilmiş çok ufak bir XSS açığı veya türevi bir hatayla, bazı saldırılar yapmak mümkün oluyor. Önerim, kullanıcıların Facebook, Twitter veya herhangi bir sitede gezindikten sonra eğer işlerini tamamladılarsa, kesinlikle oturumlarını kapatmaları. Açık olarak bırakmış oldukları oturumlar sorun yaratabiliyor. Ve özellikle dikkat etmeleri gereken bir şey de çok samimi oldukları kişilerin de hesaplarının çalınmış olabileceği ihtimali. Samimi olsalar dahi onlardan gelen istek ve talepleri hemen yerine getirmek yerine, öncelikle onların o kişi olduğundan emin olmalarına bence alabilecekleri önlemler arasında.  Biraz paranoya gerekli.

Türkiye’deki IT altyapısını ve internet kullanıcılarının awareness (bir konu hakkında kullanıcıların yeterince bilinçli olmaları) durumunu nasıl görüyorsunuz?

Aslında söylemek gerekirse,  Türkiye’deki sıkıntılar çok farklı ve ciddi. IT alt yapısından ziyade, IT alanında yapılacak girişimlerde büyük bir kaynak sıkıntısı var. Belki sırf bu sebepten ötürü birçok kişinin dış kaynaklara yönelmesi gerekiyor. Kimi zaman da projelerin tamamen Türkiye dışına taşıması gerekebiliyor. Ülkemizdeki yatırımcı zihniyetini genel anlamda para kazanan bir projeye yatırım yapma yönünde, fakat Türkiye dışındaki durumu incelerseniz, birçok ülkede yatırımcı demek, “inandığı bir projeye yatırım yapması” olarak algılanıyor.

Ülkemizdeki çok yetenekli kişiler bu sebeplerle ülke dışına çıkmakta ve projelerin birçoğu ekip yetersizliğinden veya kaynak yetersizliğinden ortada kalmaktadır. Geçtiğimiz günlerde haber sitenizde okuduğum bir haberi örnek verirsem, sanırım tam olarak anlatmak istediğim şeyi özetlemiş olurum. “Düşünce okuyan program” başlığı altında ODTÜ ve KOÇ Üniversitesinin yapmış olduğu inanılmaz güçlü bir projeden haberim oldu. Okudukça daha çok keyif aldığım bu araştırmanın kaynağının Google Inc olduğunu görmek inanın beni üzdü. Biz saygı değer iş adamlarımızın sürat yatlarını parçalatmasından ziyade IT alanında ülkemize değer kazandıracak projelere yatırımlar yapmasından yanayız. Bu gün alt yapı yetersizliği dersek, üretimi gözden geçirmemiz gerekir, benim dikkatimi çeken en büyük sıkıntı budur. Bunun dışında kullanıcılarımız genel olarak her geçen gün biraz daha güçleniyor diyebiliriz. Buradaki güç aslında bilinçlenmeden geliyor. Son yıllarda Dünyada ki diğer şirketlerin Türkiye pazarının farkına varmasının etkisi var diye düşünüyorum. Belki de az da olsa Arap ülkelerinin de etkisi vardır. Yani bundan 10 yıl öncesinin Türkiye’si ile şimdiki Türkiye’nin çok farklı olduğunu söyleyebiliriz. Ürün bazlı düşünürsek, Amerika’da yeni çıkmış bir ürünün bu gün Türkiye’deki bir kullanıcının eline geçmesi haftalar sürmüyor. Bence bilinçlenmek, kullanmak ile eşit orantıda ilerliyor.

Bireysel veya ekip olarak geleceğe yönelik hedef ve projeleriniz neler? Yazılım, güvenlik, internet alanında nelere ihtiyacımız var?

Soruyu bireysel olarak cevaplarsam tek hedefimin başarmak olduğunu söyleyebilirim. Projelerimin başarıya ulaştıktan sonra #CanımAnnem hashtag’i altında tweet atıp kutlamak planlarım arasında. Bunun dışında ekip olarak yürüttüğümüz projelerimiz çok daha hedefe odaklı ve çok kapsamlı ilerliyor. Birbirinden farklı pazarlara hitap ediyoruz. Bunların içinde E-Ticaret, Sosyal Medya ve Güvenlik başlıca ilgi alanlarımız diyebilirim. Bu başlıklar içerisinde sayısız teknolojik yapıyı inceliyor ve üzerinde çalışmış oluyoruz. Şu an itibariyle bir yılı aşkın bir süredir, Londra’dan Avrupa pazarını hedef alarak yürüttüğümüz e-ticaret sitemiz bulunmakta. Dünya çapında bir marka haline getirmek için ciddi çalışmalar yapıyoruz. Bunun dışında Ortadoğu pazarına yönelik olarak Katar’ı hedef alarak yine e-ticaret alanında projeler yürüttük. Aynı şekilde Türkiye için yakın bir zamanda duyurduğumuz Sosyal Medya projemizde çok yakında kullanıma açılacak. Bunların dışında güvenlik alanında birkaç Türk firmasıyla ortaklaşa yürüttüğümüz, sonbahar gibi duyuracağımız bir güvenlik projesi de bulunmakta… Proje üretmek konusunda güçlü bir ekip olduğumuzu düşünüyorum ve pek sorun yaşamıyoruz. Geriye tek hedefimiz kalıyor oda başarmak. İhtiyaç duyulan proje alanlarını da bu şekilde açıklamış olduğuma inanıyorum. Elektronik Ticaret, Mobil Ticaret ve Güvenlik alanı en çok boşluğa sahip alanlar diyebilirim. Gerek pazarlamadaki tekelleşmenin önüne geçebilmek adına, gerekse kullanıcılara daha basit ve kaliteli içeriği sunmak adına bu alanlarda projeler üretilmeli. Bu tür projelerin ülke gelişimine de katkı sağlayacağına ve diğer kişilere istihdam sağlayacağına inanıyorum.

Avrupa’da çalışan genç bir yazılımcı olarak, teknoloji alanında en çok hangi akımın öne çıktığını görüyorsunuz? Gelecek 3-5 yıl en çok öne çıkan teknolojik alan nedir?

İnternet teknolojileri alanında çalışmalar yapıyorum. Londra’da olmamızın bize kattığı en büyük avantaj, bu pencereden dünya pazarını anlamamızı daha kolay kılması. Dünya genelinde yıllardır günlük yaşamı dijital ortama entegre etme hayali vardı. Bu hayal kısmen gerçekleştirildi. Bugün günlük hayatımızı, taşıyabileceğimiz kadar ufak elektronik aletler sayesinde dijital dünya ile birleştirebiliyoruz. Bu birleştirme her alanda gün geçmeden de ilerliyor yani eğlencemizin, işimizin hatta sağlığımızın, yargılamanın bile hatta ve hatta belki de devletlerarası ilişkilerin bile bir kaynağı oldu. Bence bunu hepimiz rahatlıkla görebiliyoruz. Mevcut olan yapı,ağırlıklı olarak ihtiyacı küçültme, hızlandırma ve güvenliğin sağlanmasına yönelik. Örneğin, bulut(cloud) teknolojisi, web sitelerin işlem yüklerinden ziyade, tüm elektronik cihazların işlem yüklerini azaltacaktır. bundan ziyade daha fonksiyonel bir yapı ile işlem kapasitesini arttırmaya yönelik cihaz işlemcileri ve cihaz işletim sistemleri geliştiriliyor. Bu gelişimler göz ardı edemeyeceğimiz kadar ciddi yatırımlar. Bence bundan sonrası da bu yönde ilerleyecek. Ben geleceği, özellikle küçük çaplı firmalar için mobil e-ticarette görüyorum.

Sosyal medya dünyasını gelecekte neler bekliyor? Sadece bilgilerimizi hortumlayan platformlar mı olacak yoksa sürekli bilinçlenen kullanıcılara ve güçlü siber örgütlere boyun mu eğecekler? İnterneti kim yönetecek?

Bu gerçekten benim de çok merak ettiğim bir soru. Ben kendime şu şekilde soruyorum: “Nereye kadar gidecek?” Bu, sınırları da zorlayan bir soru. Ben bu yönde kullanıcıların kesinlikle “Black Mirror – Siyah Ayna” serisini izlemelerini tavsiye ediyorum. Bu soruyu sanırım en iyi açıklayan senaryolardan biri bu. Bu senaryoları geleceğe uyarlamak nasıl fikirler oluşturur tamamen bir muamma. Bugün ülkemizde sıkça rastladığımız “hack” olaylarını ele alırsak, aslında sosyal medyanın getirisi olan bir şey olduğunu rahatlıkla söyleyebiliriz. İnsanlar bunu bugün yapıyorlarsa bence, bunun neden olduğunu yargılamamız gerekli. Ben bu olayların şu şekilde olduğunu düşünüyorum: 5-6 yıl öncesine kadar yapmış olduğunuz bir şeyi belli bir kitleye ulaştırmak için gerçekten sınırlı sayıda kaynak vardı. Medya bile tam olarak çözüm sunmuyordu. Fakat bugün yapmış olduğunuz bir şeyi sosyal medya aracılığıyla gündeme getirmek hatta ve hatta dünya gündemine getirmek mümkün. Bu da sosyal medyanın geleceğinin ne olabileceğinin ucunu hep açık bırakıyor.

Türkiye siber güç konusunda sizce tam olarak nerede gözüküyor? Bu konuda yapılması gerekenler neler?

Aslına bakarsanız Türkiye gerçek anlamda imkân ve olanaklarını doğru bir şekilde kullanamıyor, Gerçekte inanılmaz bir siber güce sahibiz. Fakat her nedense sorunları çözememekteyiz. Bu gün yapılanmalar, özellikle de kamu alanında üzüntü verici. Ülkemizdeki özel sektörü bir kenara bırakın, kamu kurumları bile elinde var olan personellerden tam anlamıyla verim alamıyor. Bunun en büyük sebebi bence kanun ve yönetmelikler. Daha güçlü bir Türkiye istiyorsak bu alanda ciddi çözümler üretmeliyiz.  Personellerin teknik başarı ve kabiliyetlerine göre faydalı alanlarda kullanılmaları ve atanacakları birim ve görevlerde bu kabiliyetler kıstas olarak alınmalı. Bunun dışında ülkemizde kişisel olarak sektörde bulunan çok sayıda deneyimli personel mevcut, bu personelleri kendi bünyesine kazandırmak gerekiyor diye düşünüyorum. Bu gün ABD’yi başarılı bir ülke olarak görüyorsak eğer, bu başarının tesadüf olmadığını da anlamamız şarttır bence.

Sosyal Medya Haberler Röportajım

Facebook, yazılımındaki açıkları sadece kendi mühendisleri ile değil, kullanıcıları ile de kapatıyor. Bunu yaparken de en çok yardımı olan kullanıcılarını “ödüllendirmek” maksadıyla bir liste hazırlıyor. Buna White hat diyorlar. White hat bilişim sektöründe “iyi niyetli hacker” anlamına geliyor.

Facebook’un White hat listesine bugüne kadar 8 Türk girebildi. Bunlardan şüphesiz en önemli olanı listeye 1. sıradan giren İbrahim Baliç. Biz de bunu fırsat bilerek kendisiyle bir röportaj gerçekleştirdik:

Bize kendinizden bahseder misiniz?

Kendim için söyleyebileceğim çok fazla bir şey yok. İstanbul’da doğdum, iş sebebiyeti ile Londra’ya yerleştim ve orada yaşıyorum. Ortalama, günün 16 – 18 saatini dijital ortamda veri aktarımı yaparak geçiriyorum. Kimi zaman eğlence için kimi zaman iş için oluyor. Kısacası interneti seviyorum.

Bilişim sektöründe ne gibi başarılarınız var?

Buna cevap vermek zor. çok farklı alanlarda çok farklı pozisyonlarda çalışmalara katılıyorum ve her birinin kendine özgü başarı sayılabilecek nitelikleri bulunmaktadır. İbrahim Baliç olarak, güvenlik alanında cevaplarsam eğer bu soruyu, ilk olarak 2006 yıllarında Iplanet Search Script (FBI,CIA, NASA, MIT vs gibi kurumların kullanmış olduğu bir script idi) akabinde Garanti Bankası, Ziraat Bankası gibi bankacılık alanında hizmet veren kurumlar ve bazı kamu kuruluşlarında güvenlik testleri yaparak güvenlik raporları oluşturarak bildirimler yapıyorum.

2008 Yılında başlayan askerlik görevimin hemen ardından Londra’ya yerleştim. Uzun zamandır güvenlik alanında çalışmalarıma ara vermiştim. 2012 itibari ile tekrar sektöre giriş yaptım. 2012 yılı itibari ile Hava Lojistik Komutanlığı, OMSAN, Facebook ve bir çok özel kurum üzerinde kritik sayılacak açıklar tespit ettim. Bunları kişisel başarım sayabiliriz sanırım. Bunun dışında Baliç Bilişim olarak veya İbrahim baliç olarak katılmış olduğum grup çalışmalarım da bulunmaktadır.

Facebook’un white hat programının amacı nedir, nasıl çalışır?

Aslını söylemem gerekirse kişisel olarak görüşüm şudur ki, Facebook White hat programını tamamen teşvik amaçlı oluşturmuş. Ciddi bir ekip kurduklarını ve inanılmaz hızlı müdahale ettiklerini şahsen tecrübe ettim. Nasıl çalışıyor sorusuna gelirsek bulmuş olduğunuz açığı teknik olarak ayrıntıları ile birlikte bildiriyorsunuz ve uygun bulunması sonucu ekran görüntüsü talep ediyorlar. Bunun dışındaki iç süreçleri hakkında pek bilgim yok.


White hat’e 1. sıradan giren ilk Türk sizsiniz. Bunu nasıl gerçekleştirdiniz?

Söylemiş olduğum gibi iç süreçleri hakkında pek bilgim bulunmamakta fakat Mark Zuckerberg, Pedram Keyani, Ola Okelola gibi güçlü isimlerin profilleri ile biraz oynadım. Techcrunch gibi dergilerin Facebook fan pageleri üzerinde biraz oynadım ve 11′in üzerinde bildirim yaptım sanırım bunla alakalı olabilir. O listeye giren 8’inci Türk oldum. 1 sıradan girmek de gurur verici bir durum oldu benim için.

Facebook’a ne gibi açıkları bildirdiniz. Mümkünse birkaç örnek verebilir misiniz?

Facebook’ta farklı alalarda farklı hata ve açıklar tespit ettik. Bunlardan en kritik olanları giderildi. Bazı güvenlik politikaları zincire dahil olduğu için sanırım onlarda köklü değişiklikler yapacak Facebook. Tabii ki bu benim şahsi düşüncem yetkili arkadaşlardan böyle bir açıklama gelmedi fakat bazı güvenlik politikası ihlallerinin farklı alanlarda farklı şeyleri etkileyebileceğini düşünüyorum. Örnek verme konusuna gelirsek en kritik güvenlik açığı istediğim profilde istediğim kadar albüm oluşturabilmemdi. Bunun dışında istediğim sayfalardaki gönderi ve yorumlarını silebiliyordum. Bu silme konusu tabir yerinde ise tam olarak silmek değil. Bir döngü hatası verdirip sayfada gözükmemesini sağlıyordum. Bunun dışında Facebook kullanıcı profillerinde, benim tünel adını verdiğim, bir kanal açarak Facebook kullanıcılarının mesajlarını kendime yönlendirebiliyordum. Onların haberleri olmadan onlara gelen mesajlar bana geliyordu. Farklı alanlarda facebook kullanıcılar için belirlenmiş birkaç kişisel limiti de aşmayı başardım. Bunun dışında facebook like, share sayıları ile oynayabiliyordum. Bunların dışında tam olarak açıklayamayacağım farklı alandaki hatalar da mevcuttur.

Facebook, bu “iyi niyetli” çalışmalarınıza ne gibi bir karşılık veriyor? Yani karşılığı sadece teşekkürden mi ibaret?

Facebook bu alanda açıkların onaylanması ve giderilmesi sonrası size 500$ gibi bir ödül veriyor. Fakat o listede bulunmanın benim için maddi karşılığı yok gibi.

Şu an üzerinde çalıştığınız bir proje var mı? İbrahim Baliç ismini daha sık duyabilecek miyiz?

Daha önce söylediğim gibi çok farklı alanlarda çok farklı projelerde yer alıyorum. Bunların bazılarını şimdilik açıklayamıyorum fakat artık daha sık karşınıza çıkacağıma inanıyorum. Şu an için güvenlik alanında Twitter üzerinde çalışmalarıma devam ediyorum. Twitter’ın white hat listesinde hiçbir türk ismi bulunmaması üzücü. Bu konuda çalışmalar yapıyorum.

Verdiğiniz yanıtlar için teşekkür ederiz. Başarılarınızın devamını diliyoruz.

Ben ilgi ve alakanız için sizlere teşekkür ederim. Yayın hayatınızda başarılar dilerim ve bu konularda da sizlerden ricam insanları teşvik etmeniz. Türkiye de çok başarılı insanlar bulunmaktadır. Bunları gündeme getirerek onları ateşleyebilirsiniz.

Ek: İbrahim Baliç’in Facebook’ta başkalarının sayfalarında albüm oluşturmasını izlemek için:http://www.youtube.com/watch?v=_dPi6zVLfsE

 

 

http://www.sosyalmedyahaber.com/ibrahim-balic-facebook-white-hat-listesine-1-siradan-giren-ilk-turk-roportaj/

Röportajı gerçekleştiren Şener Dağaşan (@senerdagasan) arkadaşımıza teşekkür ederim.