Google’ın Project Zero bug-avı ekibinin öne çıkan araştırmacılarından Maddie Stone, üniversite yıllarında zorlanmasına rağmen genç yaşta kariyer basamaklarını hızla tırmandı.
Wired Magazine dergisine konuşan Stone, yüksek öğreniminde özellikle ilk birkaç yılda, sık sık okulu bırakmayı düşündüğünü söyledi. Stone, her zamanki temel dersleri almamıştı, C ve C ++ öğrenirken sürekli telafi sınavlarına giriyordu ve dönemler geçtikçe kendini içinden çıkılmaz algoritmalara saplanmış hissetti. Bu yüzden profesörlerden staj için tavsiye almakta zorlandı. Ancak sonuçta Stone’un kararlılığı galip geldi.
Akademik sınavların yeteneklerini sınamakta yetersiz kaldığını vurgulayan Stone, “O zamanlar notlarım veya bildiğim şeyler herhangi bir uzmanlığı yansıtmıyordu, ancak bir öğrenci olarak şöyle düşündüğümü hatırlıyorum ‘Neden bu konuda yetkinleşeceğimi kimse görmüyor?” ifadelerini kullandı.
Stone, lisans öğrencisi olarak bilgisayar bilimleriyle ilgili onlarca stajyerlik başvurusunda bulundu. Sınıfındaki diğer öğrenciler yaz dönemlerinde veya okul tatillerinde iş deneyimlerini artırırken, Stone yalnızca tek bir görüşmede bulundu. Daha 18 yaşına gelmeden, geleceğe yönelik bir ulusal güvenlik ve istihbarat çalışmasına seçildi. Rusya’nın başkenti Moskova’ya gönderilen Stone, akranlarıyla arasındaki farkı açmaya başladı. Stone, ABD merkezli bir yönetim ve bilişim teknolojileri danışmanlığı şirketi olan Booz Allen Hamilton’da üniversitedeki son senesinden önceki yaz için teknik staj yaptı.
“O zamanlar sadece bir kişinin bana bir şans vermesine, bana ‘Evet, sana şans vereceğiz.’ demesine ihtiyacım vardı.” diyen Stone, “Özgeçmişinizde tek bir işin bulunması çok farklı hissettiriyor.” diye ekledi.
Stone mezun olurken Johns Hopkins Üniversitesi Uygulamalı Fizik Laboratuvarı’nda (Applied Physics Laboratory) araştırma odaklı bir iş teklifi aldı. Baltimore ve Washington DC arasındaki Maryland banliyölerinde bulunan Uygulamalı Fizik Laboratuvarı, üniversiteye bağlı kar amacı gütmeyen bir kuruluş olduğu için çeşitli işler yapabilen bir savunma yüklenicisi olarak göze çarpıyor. Stone ise firmaya ‘kırmızı ekip üyesi’ olarak yani önce zayıflıkları bulmak için çalıştıkları organizasyona saldırmaya çalışan bir hacker olarak katıldı. Stone üniversitede, bir tür makine dili olan ‘Assembly’ dilinde gösterdiği yetenekleriyle ilgi çektiği için APL’deki müdürleri tarafından, özellikle tersine mühendislik uygulamalarına veya Nesnelerin İnterneti cihazlarına bakmaya onların yazılımlarının nasıl çalıştığını anlamak için ‘bitmiş üründen geriye doğru’ bakması istendi.
Apple’ın açığını bulan Ünüver: Elimizde henüz bildirmediğimiz zafiyet var
Kolay Erişim
CİHAZDAKİ YAZDIRMA İŞLEVİNİN ZAFİYETİNİ KEŞFETTİ
Stone’un ilk tersine mühendislik projesi, veri portuna gömülü bir cihaz için bir saldırı yöntemi bulup bulamayacağını görmekti. Diğer bir deyişle cihazın verileri nasıl işlediğini veya hangi sistem fonksiyonlarını kontrol ettiğini anlamak ve hacklenmeye zafiyeti olup olmadığını bulmaktı. Dört gün boyunca uğraştıktan sonra Stone, cihazın yazdırma işlevinde bir zafiyet keşfetti ve cihazın hacklenmeye açık olduğunu ortaya çıkardı.
APL’de dört yıldan fazla kendi alanında çalışıp ustalaştıktan sonra Stone, tersine mühendislik grubunu yönetti. Washington DC’deki ShmooCon gibi güvenlik araştırma konferanslarına katılmaya hatta konuşmalar yapmaya başladı. Gittikçe bir profesyonel haline gelen Stone, endüstrideki cinsiyet eşitsizliğinden ve onu küçümseyen meslektaşlarından kaynaklı zorluklarla karşı karşıya kalmaya devam etti.
APL’den eski meslektaşı Mary Ann Saunders Stone için, “Çiçekli elbiseler giyiyordu, bu aklınıza gelen mühendis veya hacker tipine tamamen aykırıydı. Ama bu, onunla beni laboratuvara bağlayan şeydi çünkü ben de pek geleneksel biri sayılmam.” değerlendirmesinde bulundu.
Stone, APL’deki görev süresinden yaklaşık üç yıl sonra, laboratuvar çalışanlarının siyasete karışıp karışmayacağı konusunda herhangi bir yönerge sunulmadığı için bazı meslektaşlarıyla birlik oluşturdu. Siyasi gündem, Black Lives Matter protestoları ve bu yaz George Floyd’un öldürülmesinin ardından yükselişe geçerken eski iş arkadaşı Saunders ise, Stone hakkında “Maddie konuşmaktan asla çekinmedi.” ifadelerini kullandı.
Stone aynı zamanda hayatındaki bir başka zorlukla da uğraşıyordu: Gerilimli bir ilişki içinde olduğu annesi, kendisi lise son sınıftan beri ‘çoklu sertleşim’ (multipl skleroz) hastasıydı ve Maddie üniversite ikinci sınıfa geldiğinde ani bir fiziksel ve zihinsel gerileme yaşadı. Mezun olduktan sonra Stone tekrar hayata döndü ve Baltimore’da çalıştı. Bir doğaçlama grubuna ve olimpik kaldırma spor salonuna katıldı. Temiz havaya ihtiyaç duyduğu için yürüyüşlere başladı. Ayrıca dünyanın dört bir yanındaki güvenlik araştırma topluluklarıyla bağlantı kurmak için Twitter’a katıldı.
Haziran 2017’de Stone, o yıl Montréal’de Recon adlı bir konferansta tersine mühendislik konuşması yaptı. Haftalar içinde Google’dan bir işveren, Android güvenlik ekibine katılma konusunda kendisine ulaştı.
Stone, “Hayatımı temelinden değiştirip Google için Kaliforniya’ya taşındıktan üç ay sonra annem Ocak 2018’de vefat etti. Yine de 2018, en iyi çalışma yıllarımdan biriydi. Hayatımızdaki başka şeyler göze çok yoğun göründüğünde, iyi işler yapmak, kolay cevapları olmayan zorlu sorunları çözmek ve dünyayı biraz daha iyi bir yer haline getirmeye çalışmak benim için her zaman bir çıkış noktası olmuştur.” ifadelerini kullandı.
BURASI HOLLYWOOD DEĞİL
2019 yazının sonlarında, Project Zero’daki ilk haftalarında, Google güvenlik ekipleri, bilgisayar korsanlarının bilinmeyen bir Android güvenlik açığını aktif olarak istismar ettiklerine dair raporlar duyurmuştu. Gelen raporlar, İsrailli NSO Group’u veya müşterilerini işaret ediyordu. Korsanlar, NSO’nun Pegasus casus yazılımını, hedef cihazlara bulaştırmak için bu zafiyeti kullanıyordu.
Stone’un ilk görevi tersine mühendislik uygulayarak hatayı takip etmekti. Google’ın raporları saldırı hakkında, güvenlik açığının nerede aranacağına dair ipuçları barındıran bazı ayrıntılar içeriyordu. Gözlemci ekipler, Stone’un aradığı açığın, sistem belleğini nasıl yönettiği konusundaki kusurunu, işletim sisteminin çekirdeğini manipüle ederek hackerların nasıl açığı kullandığını belirlemişti.
Stone, kötü niyetli bir bilgisayar korsanının yapacağı gibi Android’i araştırmaya başladı. Stone, kendisine veren tanıma uyan bir zafiyet arıyordu. Project Zero ekibinin üyesi olarak üstünde bir sonuç üretme baskısı vardı ve bu baskı, kötü şöhretli ‘exploitlerle’ zafiyet açığının kullanılmasıyla daha da arttı. Stone’un Android uzmanlığı ve Project Zero’daki meslektaşlarıyla beraber bu işi çözmeleri birkaç hafta aldı. Stone’un ortaya çıkardığı güvenlik açığı o kadar ciddiydi ki, Project Zero, Google’a sadece 7 gün içinde haber vermeye karar verdi.
Bir yazılım hatasını keşfetmek, aktif olarak siber saldırı olarak kullanılan bu zafiyeti ‘kısırlaştırdı’. Ancak Stone’un hayatında küçük bir güvenlik uzman kadrosu dışında kimse onu Hollywoodvari bir biçimde alkışlamadı.
Apple’ın açığını bulan Ünüver: Elimizde henüz bildirmediğimiz zafiyet var
“İNSANLARIN YANLIŞ YAPMASINI ZORLAŞTIRIRSAN DOĞRU YAPMALARINI O KADAR KOLAYLAŞTIRIRSIN”
Yazılım’ın her zaman bugları ve kusurları olacak. Amaç ‘sıfır-gün açıklarını’ kapatmak değil, saldırganlar için bunları kullanma engelini yükseltmek. Aslında bu sözler tam olarak Stone’un profesyonel hayatını yansıtıyor: “İnsanların yanlış yapmasını zorlaştırırsan, doğru yapmalarını o kadar kolaylaştırırsın.”
Facebook’ta bir güvenlik araştırmacısı ve siber güvenlik konferanslarında tersine çevirme konusunu sunmak için Stone ile birlikte çalışan bir tersine mühendis olan Amanda Rousseau, “Kişiliği o kadar neşeli ve mutlu ki, tersine mühendislik konusunda heyecanlanmak istemenize neden oluyor” diyor. “Ayrıca çok da açık sözlü. Bir organizasyonda yanlış giden bir şey gördüğünde fikrini hemen söyler. Yanlış giden şeylere hiç tahammülü yok” diye de ekliyor.
Stone, işini iyi yapmak, yürüyüş yapmak, seyahat etmek ve diğer tüm ilgi alanlarından zevk almaktan ve güvenlik camiasında hatta bunun ötesinde her yerde kendini dışlanmış veya güçsüz hissedenler için elinden gelen her şekilde kapılarını açmak istediğini söylüyor.
“Benim için işimin itici faktörü, dünyadaki herkesin internete güvenli bir şekilde erişmesini sağlamanın mutluluğu olacaktır. İşimi çok seviyorum ama ben sadece bir bilgi güvenliği robotu değilim. Bilgi güvenliği dışında sevdiğim birçok şeyim var” ifadelerini kullanıyor.
Stone’un hayata dair yaklaşımı budur. Hemen hiçbir şeyde en iyisi olmak zorunda değilsiniz, uyum sağlamanız gerekmiyor. Sadece yaptığınız şeyin tadını çıkarmalı ve bunu görmek için kararlılığa sahip olmalısınız.