Kategori arşivi: Türkiye

Türkiye’de siber güvenlikle ilgili hem kamuyu hem özel sektörü ilgilendiren haberleri bu bölümde bulabilirsiniz.

Türkiye

Ankara’dan kritik siber güvenlik adımı: Türkiye CCD COE üyesi oldu

1 Yorum

Siber güvenlik alanında uluslararası platformlarda görünürlüğünü artırmaya çalışan Türkiye’nin, Yunanistan ve Finlandiya ile birlikte NATO Siber Savunma Mükemmeliyet Merkezi’ne (CCD COE) üye olacağı açıklandı. Merkez’den bugün yapılan açıklamaya göre Türkiye ve Yunanistan sponsor üye Finlandiya ise katkı sağlayıcı üye olacak. 3 Kasım’dan itibaren üyelik statüleri resmileşecek.

İLGİLİ YAZI>> NATO’NUN İLK SİVİL SİBER GÜVENLİK DİREKTÖRÜ

Estonya’nın başkenti Tallinn’de bulunan NATO CCD COE dünyada NATO akreditasyonu bulunan 17 mükemmeliyet merkezinden biri olarak tanınıyor. Siber güvenliğin teknik olduğu kadar stratejik boyutunda da bir düşünce kuruluşu olarak çalışmalar yapan CCD COE, her sene dünyanın önde gelen siber savunma tatbikatlarından Locked Shields’i düzenliyor.

İLGİLİ HABER >> NATO’NUN EN KAPSAMLI TATBİKATI: LOCKED SHIELDS

2007’de Estonya’nın maruz kaldığı siber saldırının ardından kurulan Merkez, disiplinlerarası çalışmaları, hükümetlere verdiği danışmanlık hizmetleri, düzenlediği konferanslar (CyCon 2015) ve üye ülkelerin katılacağı ücretsiz eğitimler ile isminden sıkça söz ettiriyor.

Her geçen gün bir ulusal güvenlk meselesi olarak görülmeye başlanan ‘siber savunma’ konusunda bir otorite haline gelen CCD COE’ye Çek Cumhuriyeti, Estonya, Fransa, Almanya, Macaristan, İtalya, Litvanya, Letonya, Hollanda, Polonya, Slovakya, İspanya, İngiltere ve ABD sponsor üye olarak bulunuyor. Yeni üye olan Finlandiya’nın dışında sadece Avusturya katkı sağlayıcı üye sıfatını taşıyor. Sponsor üyeler Merkez’e yıllık aidat ödeyen ve alınan kararlarda imza ve oy hakkı olan ülkelerden oluşurken, katkı sağlayıcı üyeler toplantılara gözlemci statüsünde katılabiliyor ve herhangi bir oy hakkı bulunmuyor.

Türkiye’nin Merkez’e üye olmasıyla birlikte etkinliklere doğrudan katılım şansına sahip olacak, alınan kararlarda belirleyici olabiliecek ve devlet kurumlarının gönderdiği uzmanlar ücretsiz eğitim alabilecek. Bunların yanında Türkiye Merkez’de daimi personel bulundurabilecek.

Türkiye’nin Merkez’e üye olmasında Cumhurbaşkanı Recep Tayyip Erdoğan’ın geçtiğimiz yıl ekim ayında Tallinn’de CCD COE’ye bizzat yaptığı ziyaretin etkili olduğu ifade ediliyor.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]

 

Türkiye

Haftasonu Sec For You Konferansını kaçırmayın!

Yorum yapın

Türkiye’nin gözde üniversitelerinden Koç Üniversitesi’nde faaliyet gösteren IEEE Kulübü tarafından organize edilen Security For You Bilgi Güvenliği Konferansı 24-25 Ekim tarihlerinde Taxim Hill Hotel’de gerçekleştirilecek.

Alanında uzman kişilerin de katılacağı konferasta, katılımcıların güncel siber saldırıları ve korunma yollarını anlamasını, kariyer planlamalarında yardımcı olmayı ve kişilere güvenli yazılım geliştirme alışkanlıkları kazandırmayı amaçlanıyor.

İLGİLİ HABER >> TÜRKİYELİ UZMANLAR HACKING’İN SÜPER LİGİNDE TER DÖKECEK

Celil Ünüver, Bahtiyar Bircan, Işık Mater, Faruk Ünal, Behruz Cebiyev, Can Demirel, Kenan Abdullahoğlu, Ünlü Ağyol ve Bekir Karul gibi isimlerin konuşmacı olarak katılacağı konferansın ilk gününde sunumlar yapılırken, ikinci gününde atölye çalışmalarına yer verilecek.

Etkinliğin detaylı programına www.sec4u.org adresinden ulaşabilirsiniz.

Ücretsiz davetiye almak için TixBox sayfasını ziyaret ediniz.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]

 

 

Türkiye

Sadıç: “ABD siber ordu için Silikon Vadisi ile çalışıyor”

2 Yorum

Dünyanın 157 ülkesinde denetim vergi ve danışmanlık hizmeti sunan Pricewaterhousecoopers (PwC) Türkiye’de müşterilerine siber güvenlik konusunda denetim ve danışmanlık sağlıyor.

Her geçen gün artan siber tehditlere karşı müşterilerine çeşitli yollardan yardımcı olan PwC siber güvenlik ekibinin başında ise sektörün yakından tanıdığı bir isim, Adil Burak Sadıç bulunuyor. Konferanslarda yaptığı etkili sunumlarla siber güvenlik etkinliklerinin aranan yüzü haline gelen Sadıç ile tecrübelerini, sektörün geleceğini ve farkındalık eğitimlerinin içeriğini konuştuk.

PwC’nin siber güvenlik alanında verdiği hizmetler arasında denetimin yanında güvenlik testi de bulunuyor. Son yıllarda özellikle orta ve büyük boy kurumlar için güvenlik testi yapan ‘merdivenaltı’ siber güvenlik şirketleri hem ucuz iş gücüyle sektörün gelişmesini engelliyor, hem de müşterilerin ciddi güvenlik sorunları yaşamasına neden oluyor.

Bu konuya değinen Sadıç, denetim yapan şirketler arasında yeterince profesyonel olmayanların çalıştıkları sisteme zarar verdiği talihsiz olayların sektördeki aktörler tarafından yakından bilindiğini söyledi. “Testler sırasında büyük bir bankanın ana bankacılık sisteminin zarar görmesi, devre dışı kalması, çalışmaz hale gelmesinden tutun operatörlerdeki problemlere ya da muhasebe sunucusunda bir problem yaşanmasına kadar bunlar yaşanabiliyor. Bir servisin kısa süreli durması gibi problemler çok kolay çözülebilir ama özellikle ana bankacılık sistemleri gibi sistemlerin durması ve ayağa kalkması oldukça ciddi mali kayıplara yol açabilir.” ifadelerini kullanan güvenlik uzmanı, PwC’nin düzenlediği güvenlik testlerinin bazı bölümlerinde sisteme zarar vermemek için test edilen kurumdan yetkililerle işbirliğine gidilen durumlar olduğunu söyledi.

Şirketin güvenlik denetim ve danışmanlık hizmetleri hakkında konuşan Sadıç, müşterilerine sundukları hizmetleri birkaç kademeye ayırdıklarını anlattı: “Genelde bir kurumla çalışmaya başladığımız zaman özellikle testin ilk haftasında müşteriye gitmemeye çalışıyoruz. Onlardan sadece bize nereyi test etmemizi istediklerini söylemelerini istiyoruz ve sıfır bilgiyle test yapıyoruz. Haliyle dışarıdan bir saldırgan nasıl yaklaşıyorsa biz de onlara öyle yaklaşıyoruz. İkinci aşamada kurumun içine giriyoruz ama bu seferde “dışarıdan gelen bir danışmanınız ya da misafiriniz nasıl çalışıyorsa, bu kablosuz ağ olabilir kablolu ağ olabilir, biz onunla bir test yapalım” diyoruz. Bir sonraki aşamada çalışan standart bir bilgisayarınızı verin biz kendi bilgisayarlarımızı da kullanmayalım böylece size içeriden bir çalışan nasıl zarar verebilir gibi kademeli olarak ilerletiyoruz. Prensibimiz bir denetim işlevi verebilmemiz için özellikle ilk aşamalarda kurum içinden minimum kontağınızın olması. Bizim yaptığımız çalışmayı bilen bir güvenlik yöneticisi olabilir, BT müdürü olabilir. Yeri geldiği zaman BT denetlendiği için kurumun üst yönetiminden birisi genel müdür ya da genel müdür yardımcısının bildiği testlerimiz de olabiliyor.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”3″]

Hükümetlerin de siber tehditlerle karşı karşıya kaldığı bir dönemde olduğu yorumuna katılan Burak Sadıç, Ankara’nın siber güvenlik konusunda özel sektör ile yeterli işbirliğine gitmediğini düşünüyor. ABD, İngiltere ve Almanya gibi ülkelerle karşılaştırıldığında “hükümetimiz özel sektörü tamamen bağrına basmış değil” diyen Sadıç’a göre ABD siber ordu geliştirme amacında  da sırtını özel sektöre dayamış durumda. “ABD, siber ordu geliştirmek söz konusu olduğu zaman bunu çok fazla ordu kılıfında yapamazsınız deyip Silikon vadisiyle çok ciddi bir işbirliği var. Keza İngiltere’ye gittiğiniz zaman bizim İngiltere’deki ofisimiz İngiliz hükümetiyle çok çok yakın çalışıyor. Hatta ve hatta İngiltere hükümetinin içinde belli görevlerde çalışan danışmanlarımız da var.”

Kamu özel sektör işbirliğinin temelinde artan siber tehditlerle mücadelenin devletlerin kaynaklarını zora sokması olduğunu söyleyen Sadıç, SOME’lerin kurulma sürecini de değerlendirdi: “SOME kurarken sadece güvenlik alanında çalışan minimum 3-4 eleman barındırmak zorundasınız. Tatilleri de göz önünde bulundurursanız güvenlik operasyon merkezlerinde bir koltukta beş kişinin oturması gerekiyor. Saldırganlar uyumuyorlar. Böyle düşündüğünüzde kritik altyapılara baktığınızda belli bir teknik seviyenin üzerinde kalifiye 400 ila 500 arasında eleman ihtiyacı doğuyor. Türkiye’de şuanda 400 ila 500 tane eleman var mı –tüm Türkiye genelinde derseniz- bu profilde bu teknik yetenekte yok. O yüzden de mutlaka ve mutlaka zaten kamuyla özel sektörün işbirliği yapması gerekiyor.”

ALTINDA BEZLE SALDIRI YAPAN ARKADAŞLAR ŞİMDİ EKİBİMİZDE

Siber güvenlik uzmanı yetiştirme konusunda fikirlerini paylaşan Sadıç, 10-15 yıllık tecrübe sahibi uzmanların kendi ekibinde çalışmasının az bulunan bir şans olarak değerlendirdi. “Tecrübeliyim diyen insanlara bakarsanız kaba tabirle altında bezle saldırı yapan arkadaşlar diyebilirsiniz. Ben kariyerime 20 sene önce başladım ve 15 sene önce güvenlik altyapılarını kuran ekiplerin içindeydim. 15 sene önce bizler sistem kurmaya çalışırken -sokaktaki çoluk çocuk sizin sistemlerinize saldırabilir diye- bahsettiğim arkadaşlar şu an büyüdüler, okullarını bitirdiler, profesyonel olarak bizim ekibimizde ve benzer ekiplerde çalışmaya başladılar. Okulu bitirip ondan sonra 15 sene tecrübeli olmuş profesyonel danışman sayısı çok çok az.”

İş başvurularında çozukluktan itibaren kazanılan bu tecrübeyi nasıl ölçtüğü sorulan Burak Sadıç, çocukluktan itibaren bu işlerle uğraşan insanların becerilerini kanıtladıkları zaman diğer adayların önüne geçtiğine dikkat çekiyor. “Denetim yapacak ekip için eleman aradığımızda çok iyi bir üniversiteden çok iyi bir not ortalamasına sahip arkadaş mı, burada bahsettiğimiz on-on beş sene tecrübesi olan bir arkadaş mı dediğiniz zaman belki de lise mezunu olabilir, bu on-on beş sene tecrübeli ama üniversiteyi yeni bitirmiş arkadaş bizim için çok çok daha değerli olabiliyor.” diyen Sadıç bu noktada üniversitelerin mezunlara kattığı ‘kurumsal kültürün’ de önemini vurguladı.

Siber güvenlik uzmanı açığı nedeniyle İngiliz hükümetinin birkaç yıl önce hüküm giymiş hackerları devlette işe alabileceğine dair bir değişiklik yapıldığı hatırlatılan Sadıç, benzer bir durumun şirketler açısından çok daha zor olduğunu söyledi. Hüküm giymiş kişileri işe alan şirketler olduğunu belirten Burak Sadıç, siber suçlara müdahil olmuş kişilere sadece uzaktan test yaptırılması gerektiğine dikkat çekti.

Yıllarca güvenlik teknolojisi üreten bir firmada çalışan Sadıç, kendisine sıklıkla yöneltilen sorunların başında ‘anti-virüs üreticileri mi virüsleri yazıyor?’olduğunu söylüyor ve ardından cevabını ekliyor: “ Bir güvenlik teknolojisi üreticisi ya da güvenlik danışmanlığı veren firmanın bu tarz bir yola gitmesi tamamen kendi ekmeğiyle oynamaktır. Adı üzerinde güven üzerinde inşa edilmiş bir işletme bunların hepsi.” Güven noktasından yola çıkan Sadıç’a göre tam da bu yüzden şirketlerin hüküm giymiş hacker istihdam etmesi söz konusu değil.

PwC’nin siber güvenlik alanında verdiği hizmetlerden biri de farkındalık eğitimleri. Farklı sektörlerden birçok şirkete siber güvenlik farkındalık eğitimi verdiklerini söyleyen Sadıç, söz konusu güvenlik olunca bu eğitimlere şirketin her kademesinden çalışanın katılması gerektiğini söylüyor. “Farkındalık eğitimleri güvenlik görevlisinden CEO’ya kadar herkese verilmeli.” diyen uzman, yoğun tempolarından dolayı eğitime katılamayan üst düzey yöneticilere özel eğitimler tasarlanmış. Bu eğitimlere bizzat kendisi katılan Sadıç, “Siz sadece beyaz yakalılara bu hizmeti vererek bir noktaya kadar gelebilirsiniz ama mavi yakalıların da hepsine olmasa bile ulaşabildiğiniz kadar kısmına bu eğitimi vermeniz gerekiyor.” dedi.

Bu eğitimlerin faydalarına dikkat çeken Burak Sadıç, “Bu da tabii ki iki şekilde fayda sağlıyor. Birincisi kurumun güvenlik seviyesini artırıyor direkt olarak tabii ki genel müdürden başladığı için bu olay. Ama diğer taraftan ikinci farkındalık da genel müdür eğer bu olayların farkında değilse bu bir saatlik seans sonunda farkında olacağı için daha sonra kurum içindeki güvenlik bütçesi arttırılıyor.”

Türkiye

Hapisle yargılanan Lazepem: Hacking bir lanet ve bundan kurtuluş yok!

9 Yorum

Bugüne kadar siberbulten.com’da Türkiye’de siber güvenlik camiasının yakından tanıdığı isimlerle yapılan röportajları okudunuz. Fakat bugün bir hacker ile yapılmış röportaja sayfamızda yer verdik. Lazepem lakaplı Tunay Şentürk ilk kez kendi kimliğiyle medyada yer bulduğu röportajda siber korsanlık ile ilgili genel düşüncelerinden günlük hayatına kadar birçok konuda ilginç açıklamalar yaptı.

Bir sisteme girmendeki en büyük motivasyonu nasıl tarif edersin?

Aslında yaptığın işe göre değişse de o an ki sosyal ilişkilerindeki pozitif/negatif etkilere göre olumlu/olumsuz motivasyonlar yaşıyorum. Kin, öfke, intikam, ezerek hakimiyet kurma, ego tatmini vb Bence bunlardan en güçlü olanı ego tatminidir. Hackerlar egoları çok güçlü olan kişilerdir. En mütevazisi bile, sokaktaki en ukala adamdan daha ukaladır. Sadece bunu yansıtacağı ortamlar bazen farklılık gösterebilir.

Sistemleri dizayn edenler hakkında ne düşünüyorsun? Bir sistemi hacklediğinde veya sızmayı başardığında sistemi dizayn eden mühendislere karşı bir zafer hissettiğin oluyor mu?

Bir sistemi kurmak bozmaktan daha zordur haliyle sistem kuranlara öncelikle saygı duyuyorum ve bütün dengeyi de bu “saygı” unsurunun içine sığdırıyorum. En basit görünümlü sistem bile saygıyı hakediyor.

Benim için sistem dizayn etmek bir resim çizmek gibidir. Bu resmi çizenler başkalarına göre anlamlı bir bütün, onların algılarına göre bir parçalar bütünü oluşturmayı başarabilen insanlardır.

Yani burada aslında ne olduğu değil, insanlara ne algılattığı önemlidir ve sistem dizayn edenler tek bir kurgu üzerinden sayısız algıya hükmedebiliyorlar. Gerçekten harika bir “dengesiz hakimiyet” söz konusu.

Benim Hacking çalışmalarım %99 sızma üzerine kuruludur. Sistemlere sızdığımda tabii ki bir zafer elde ettiğimi düşünüyorum ama bu onları hafif görme anlamında değil. Sistem kurgusu temelde güvenlik değil işlev üzerine oluşturuluyor. Sonra güvenlik testleriyle onaylanıyor. Bu bilgiyi göz önünde tutarsak işlevin çoğu zaman amacı dışında kullanımlara da müsait olması doğaldır. Sonuç olarak güvenlik ile işlev arasındaki ters orantı sızmalara imkan tanıma/tanımama noktasında belirleyici rolü oynadığını düşünüyorum. Bütün Hacking dengesi aslında işlev/güvenlik ters orantısına dayanan bir matematik kuramıdır demek mümkündür. Bu sebeple aslında zafer mühendislere karşı değil, matematiğin ruhuna olan inancın zaferidir.

Bir sistemi hacklemenin nedenleri arasında onu ortaya çıkaranlardan daha yetenekli olduğunu bu işi daha iyi bildiğini –hatta bu işin eğitimini almadıysan—aslında eğitimin o kadar da önemli olmadığını göstermek olabilir mi?

Kendi adıma eğitim almadığımı belirterek soruyu cevaplamak istiyorum. Eğitim, insanı formel olarak kalıba alır. Hackingin temel kuralı ise informel düşünebilmektir. Aldığı eğitime rağmen bu kalıpları yıkabilenler şüphesiz vardır ama hiç eğitim almamışların bu konuda daha başarılı olduklarını düşünüyorum. Yetenek konusuna gelince, hacklediğiniz sistemi kuranlardan daha yetenekli olduğunuzu değil, sadece daha farklı da düşünebildiğinizi gösteriyor. Bir başka kurgu noktası ise sistemi kuranlar en basit user’ın da katılımı/kullanımını hesaba katarak dizayn ederler. Bu kadar geniş tabanda kurulacak bir sistemin, sistem kurabilecek düzeyde bilgisi olanlar için açık bulma olasılığını arttırdığı şüphesizdir.

Yaptığın siber operasyonlardan dolayı hukuki bir yaptırıma uğradın mı?

Evet, Halihazırda süren 7 dava/soruşturma  ile birlikte 1 de hapis cezası ile sonuçlanan mahkemem oldu.

Hackerlığın bir bağımlılık olduğunu düşünüyor musun?

Bağımlılık sanırım bunu açıklamak için yetersiz kalıyor. Hacker = internet olarak bakılmaması gerekir öncelikle.

Hacking alanının yelpazesini geniş tutmak onun nasıl bir bağımlılık olduğunu anlamamız açısndan önemli. Bilgisayar dışında septik hareketlerimin bile bu bağımlılık ile ilgili olduğunu düşünüyorum. Yolda yürürken, seyahat ederken, herhangi bir etkinlikte bir sistem gördüğümde ilk aklıma gelen şey bu sistemin nasıl kurgulandığı,  sistemin açığı olması durumunda sonucun nasıl olacağı, bu sonuçtan nasıl bir etki sağlanabileceği gibi fikirler.

Ve bu şekilde bir bakış açısının 24 saatinize yansıdığını düşünün. Uyurken bile vücudunuzun formel tepkilerine karşı informel bir dizayn biçmek bağımlılıktan fazlasıyla açıklanmalıdır. Benim görüşüm bu bir lanet ve bu lanetten kurtuluş yok.

Siber korsanlar doğuştan mı hackerdır yoksa hacker sonradan mı olunur?

Dediğim gibi bu bir lanet ve bence doğuştan geliyor. Çocukken gösterilen tavırlarınız, oyuncaklarla bile ilişkilerinizi ileride bu konularla ilgilendiğinizde aslında nasıl bir sürecin başı olduğunu farkettiğiniz an bunun size verilmiş bir lanet/yetenek olduğunu farkediyorsunuz

Bir yere sızmak için ne kadar zaman harcıyorsun? Bu zamana kadar hackleme için en fazla ne kadar zaman harcadın?

Ne kadar zaman harcandığı konusu belirsizdir. Yani ben şuraya sızıcam – hop sızdım – diye bir süreç yok.

Hacktivist eylemlerin tamamı aslında önceden tamamlanmış eylemler olup, eylem duyurulmadan önce oluşturulan gündemle propagandası yapılır. Bu soru belki bir örnekle daha iyi açıklanır. İyi örgütlü bir yapı/kişi hazırda tuttuğu yerleri gündeme göre duyurur ve etkisini arttırır.

Çalışma sürecini o anki psikolojinizde belirliyor. Bir hazırlık süreci aslında başında oturup yapsanız 15-20 dakikalık işlerden oluşabildiğini düşünün, bu bazen 2-3 haftaya yayılabiliyor. Hacking çalışmaları bir memur işi ve kişi takibi olmadığından tamamen kişinin psikolojisine göre değişir. Aynı yöntemler bile olsa eşit zaman aralığını bulamazsınız. Kendi adıma en nitelikli işlerimden birinin 6 aya yayılan bir çalışmam olduğunu hatırlıyorum. Ama aslında şöyle de bir durum var, yaptığınız işlerde bir sonraki işe bilgi aktarımı oluyor. Bunu da “etkileşimli zaman”  olarak ekleme/hesaplama imkanımız yok. Sonra yapılan her iş aslında bir önceki işin zamanından eklenerek yapılan iştir.

Sistemde bir açığı ilk kez fark ettiğinde, bu işi iyi yapmadıkları için kızgınlık mı duruyorsun, yoksa fırsat bulduğun için heyecan mı?

Mükemmel sistem yoktur, haliyle açığı olmayan sistemi kurmakta söz konusu olamaz. İnternetin ilk yıllarından beri bu alanda olduğumdan ve gelişimini çocuk büyütür gibi gözlediğimden ötürü şunu söyleyebilirim ki, kurulan sistemler çoklu etkileşime muhtaçtır. Haliyle kurulan sistemin özgül ağları güvenlikli olsa da etkileşimi içindeki sistemlerin açığından da sorumlu oluyor.

Yani işin Türkçesi, çok iyi şoför olmanız sizi tek başına kazadan korumaz. Başkasının yapacağı hatadan ötürü de kendinizi bir kazanın içinde bulabilirsiniz.

Bu zamana kadar ki en büyük başarın nedir? O başarıya nasıl ulaştığını anlatabilir misin?

Hack olarak cevap vermek gerekirse Mit’in Tırlarıyla ilgili belgelerinin yayınlanması, Mersin GDO operasyon dokümanlarının yayınlanması, Polis Akademisi sınav sonuçlarını sınavdan önce yayınlamam,  2. ve 4. Dağ Komando Tugaylarına yönelik sızma eylemleri, İçişleri ve GÜmrük Bakanlarının Kişisel Maillerinin Hacklenmesi, Emn Genel Müdürü ve Mdr. Yrd. Mailleirnin hacklenmesi ve PC’lerini sızmam, OpIsrael kapsamında Bank Jeruselam veri tabanına erişim, Garanti Bankası ve AktifBank’ın Hacklenmesi, Tenesse eyaleti e-devlet sisteminin hacklenmeleri olarak aklıma ilk anda gelenleri sayabilirim.

Ama kendi açımdan Exploit:JS/Blacole.DG – Trojan.Tinba kendi kodladığım uygulamalar olduğundan en değerlileridir.

Muammer Güler ve (Nurettin) Canikli’nin mailleri hotmaildi ve güvenlik sorularının cevapları memleketleriydi. Emniyet genel müdürleri bile bu maillere devlet yazışmalarını gönderiyor olması ise acınası bir durumdu.

Diğer devlet kademelerine ise sızdığım maillerden gönderdiğim RTE talimatlı güvenlik programı yüklenmesi mailleriyle eriştim. Açıkcası çok zor olmadı. İnsanların yönetilen zihinlerinin nelere zaafiyetleri olduğunu bilmeniz yetiyor. Kara Kuvvetleri işlerini açıklayamam. Bank Jeruselam ise tamamen web tabanlı bir saldırıydı gerçekten iyi iş çıkarmıştım. Aktifbank yine web sayfasının test sürümünü açıkta bırakmışlardı ve bu sayfayı buldum. Garanti Bankası ise bir çok defa önemli sitede kullanılan “tamper data” kullanımı ile tesadüfen bulduğum bir açıktı. 2012’de referansı olan bir kişi aracılığıyla bu açığı ilettiğimde kabul etmediler ama açığı kapadılar. 2015’de yapılan güncellemesinde bu açığın tekrar oluştuğunu gördüm. – Her güncelleme sonrası böyle testlerim olur – bu sefer açığı kabul etmelerini sağladım. Bir de kamuoyunda bilinmeyen KKTCELL ‘in gizli projelerine sızma yöntemiyle erişim sağladım ama herhangi bir zarar vermedim. Benim saldırı alanım olmadığından iletişim kurup bildirdim.  MiT belgeleri yine sızdığım iç yazışmalardan çıkardığım belgelerden oluşuyor.

Bunların dışında hatırlayamadığım basında yer alan çok önemli onlarca işim daha oldu ama ilk anda bunları hatırlayabiliyorum.

En büyük hedefin nedir?

Sanırım yapabileceğim bir çok şeyi yaptığımı düşünüyorum. En Son MİT belgelerinin yayınlanması zirve olabilir benim için.

Seni hackerlıktan ne vazgeçirebilir ? Hapse girdiğinde bilgisayara dokunamamanın azabını yaşayacağından korkuyor musun?

Hackerlıktan vazgeçtim bunun nedeni ise düzenli bir yaşama duyduğum özlem, yorgunluk ve en önemlisi kırgınlık sanırım. Bunca yapılan işlerin sonrasında 6 ay da dosyanın içeriğine bakacak avukat bulmakta bile zorlanmam çok zoruma gitti. Bilgisayara dokunamama konusuna gelince düşünmek bile istemiyorum, sanırım yaşayamam

Kendini asosyal olarak tanımlıyor musun?

Hayır, gayet sosyal yaşantısı güçlü biriyim. Ben bunun aslında ters algı olduğunu düşünüyorum. Özellikle sızma yöntemini kullananlar açısından sosyal ilişkilerinizin güçlü olması, algı farklılıklarını görmeniz açısından, user davranışlarını anlamanız açısından olmazsa olmazdır. 

Türkiye’de bazı sitelere erişimin engellenmesini ve dünyadaki diğer interneti kısıtlayıcı uygulamalar hakkındaki görüşün nedir?

Çocuk pornografisi dışında sansürün kabul edilemez olduğunu düşünüyorum. İnternet kısıtlayıcıların aynı zamanda fişlemenin gücüyle doğru orantılı olduğunuda sistem kurucularıyla yaptığım görüşmelerden ve bilgim ölçüsünde görüyorum. Haliyle internet kısıtlaması ile fişleme doğru orantısı kişisel hayatın gizliliğinin ihlalini tehdit ediyor ve bu bağlamda kabul edilemez.

Türkiye’nin Julian Assange’ı olmak ister miydin?

Ben Julian Assange olmayı isteyecek bir şey göremiyorum ama onun benim gibi olmak isteyebileceğini düşünürüm. Sonuçta sızdırma değil alınteriyle iş yaptım bugüne kadar. Çok çalışırsa iyi gazeteci olabilecek birini kendimle kıyaslamam zira dünyada ki belki de hiç bir gazetecinin kariyeri boyunca göremeyeceği kadar haberi benim çıkardığım belgeler sayesinde insanlar öğrendi

2014 yılında seçimlere kadar Türkiye dinleme skandalı ile sarsıldı. Bu dinleme kayıtlarının veya devletteki gizli yazışmaların dışarı sızmasını nasıl değerlendiriyorsun? Sence bunlardan sorumlu olanlar vatan haini midir?

Vatan hainliği kavramı maalesef çok ucuz kullanılıyor. Devlet gizliliğini sağlayamıyorsa bundan muhalif kesim kendi yararını gözeterek iş yapacaktır. Türkiye’de devlet-hükümet kavramları çok içiçe geçtiğinden muhalif çıkar ilişkisi de vatan ihanetliği kapsamına rahatlıkla sokuluyor. Türkiye’de çok gizli alanlarda çok gizli yazışmalara erişmiş biri olarak, Türkiye’nin “devlet gizliliği” niteliğinde belgesi olan bir ülke olduğunu düşünmüyorum

Bu tür yazışmaların dışarı sızmasında içeriğin önemli olduğunu düşünüyor musun? Kamu zararı olan bir bilginin sızmasında etkin rol almak istediğin birşey midir?

Kamu zararını kimi belirlediğine göre değişecek bir durum. Kamu zararından benim anladığım, ekmeğe yapılan zam, ev ekonomilerini sarsacak şeylerdir. Bunun da yazışmalarla sağlanabileceğini düşünmüyorum. Kurtlar vadisi psikolojisinden çıkıldığında bu gerçeklerin algılanabileceğini düşünüyorum.

SİBER BÜLEN HAFTALIK RAPORUNA ULAŞMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]

 

Türkiye, Uluslararası İlişkiler

Rus hackerlar Türk devlet kurumlarında ‘Suriye’yi aramış

1 Yorum

GameOver Zeus adlı bot yazılımın arkasındaki ekibin, banka hesaplarını boşaltmanın yanı sıra aralarında Türkiye’nin de olduğu pek çok ülkede casusluk yaptığı öne sürüldü.

Amerikan federal ajanları ile iki üstdüzey güvenlik uzmanı, GameOver ZeuS botnet’in sadece bankalardan 100 milyon dolar çalmakla kalmadığını ayrıca içinde Türkiye, Gürcistan ve bazı petrol üreten ülkeleri de geliştirdikleri yazılımla gözetlediklerini açıkladı.

İLGİLİ HABER >> TÜRKİYE’DEKİ PATRIOTLAR HACKER KURBANI MI?

Sanal güvenlik haberlerine yer veren CSO adlı sitedeki habere göre, Türkiye’de devlet kurumlarının hedef alındığını ve sanal korsanların Suriye krizine yönelik de bilgi bulmaya çalıştığı kaydedildi. Ayrıca korsan grubu, Gürcistan’da da istihbarat birimi ile devlet kurumlarına saldırdığı ifade edildi.

Fox-IT’in üstdüzey güvenlik uzmanı Michael Sandee, Rus makamların, botnet yazılımının arkasındaki isimlerden Evgeniy Bogachev’in hırsızlıklarına, siyasi avantaj sağladığı için göz yummuş olabileceğine dikkat çekti.

İLGİLİ HABER >> TÜRKİYE’DEKİ ŞİRKETLER GÜVENDE Mİ?

Sandee, “Tabii bu bir spekülasyon olarak kalıyor şimdilik ama hala tutuklanmamasının nedenlerinden de biri”  diye konuştu. Amerikan federal ajansı, Bogachev için 3 milyon dolarlık bir ödül koymuştu.

Aralarında Bogachev’in olduğu ve “Business Club” olarak nam salmış olan grubun, çok gizli bir yapıda olduğu ve çoğunluğunu da Rus ve Ukraynalıların oluşturduğu bildirildi.

Fox-IT Ürün Direktörü Eward Driehuis, 7 rakamlı hırsızlıkların arkasında dünya genelinde 200 kadar kişinin olduğuna dikkat çekti. “Bu gruba girmek çok zor. Çok güvenmeleri gerekiyor. Altyapıları da çok iyi korunuyor. Olabildiğince sıkı tutuyorlar” ifadelerini kullanıyor Driehuis.

Zeus adlı botnet yazılımı ilk önce 2005 yılında ortaya çıktı. İkinci versiyonu 2009’da ortaya çıkan yazılımın, 2010 ve son olarak da GameOver ZeuS adıyla 2011’de yayımlandı.

İLGİLİ HABER >> OBAMA KİMSEDEN ÇEKMEDİ RUS HACKERLARDA ÇEKTİĞİ KADAR

Suçlular, bilgisayarınızı bir bot’a (zombi olarak da bilinir) çevirebilen kötü amaçlı yazılımları dağıtırlar. Böyle bir durumda bilgisayarınız, sizin haberiniz olmadan Internet üzerinden otomatik görevleri gerçekleştirebilir.

Suçlular genelde çok sayıda bilgisayarı etkilemek için bot kullanırlar. Bu bilgisayarlar da bir ağ veya botnet oluştururlar.

Suçlular botnetleri, istenmeyen e-posta mesajları göndermek, virüsleri yaymak, bilgisayar ve sunuculara saldırmak ve diğer türlerdeki suçları işlemek ve sahtekarlıklarda bulunmak amacıyla kullanır.

Bir botnetin parçası olması durumunda bilgisayarınız yavaşlayabilir ve istemeden suçlulara yardımcı olabilirsiniz.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]