“Türkiye’den neden dünya markası olmuş bir siber güvenlik ürünü çıkmıyor?” ya da “Neden milli ürünlerimizi geliştiremiyoruz?” soruları uzun zamandır siber güvenliğe ilişkin hemen hemen her toplantının en çok tartışılan konular arasında yer alıyor. Buna rağmen, çok göz önünde olmasa da ülkemizden çıkan gurur verici başarı hikâyeleri var. Bunlardan biri de web güvenliği konusunda IBM gibi dünya devleriyle yarışan Netsparker.
Global bir marka olabilmek için 2009 yılında Ferruh Mavituna tarafından Londra’da kurulan ve yazılım ekibi yüzde yüz Türk olan firma kısa sürede web güvenliği konusunda dünyada ilk akla gelen çözümlerden biri haline geldi. Şu anda, Malta’dan Malezya’ya kadar ismini duyurmuş olan Netsparker Türkiye pazarında büyümek istiyor ve Türkiye’de cirosunu 2 yıl içinde 2 milyon dolara çıkarmak gibi bir hedefi var.
Hacker gibi davranan web güvenliği yazılımı
Netsparker 2006 yılında geliştirilmeye başlandı ve 2009’da ticarileşerek piyasaya sunuldu. En büyük müşterileri ise genellikle büyük kamu kurumları ve finansal kuruluşlar. Bunun yanında, e-ticaret devleri, savunma sanayi ve enerji sektöründeki devlerin de güvenliği Netsparker’a emanet.
Peki yazılım nasıl çalışıyor? Kısaca teknik özelliklerine bakmak gerekirse aslında Netsparker, “gerçek bir saldırgan ne yapabilir?” sorusunun cevabını arıyor. Bu çerçevede, yazılım bir anlamda kiralık bir hacker olarak da düşünülebilir. Netsparker en basit anlatımıyla, kötü niyetli bir hacker’ın muhtemel kullanacağı tüm yolları deneyerek web sitesine saldırıyor ve web sitesini otomatik olarak analiz edip sitedeki güvenlik açıklarını raporlayabiliyor. Bu süreç içerisinde Javascript/AJAX isteklerini çalıştırıp analiz eden yazılım, sitedeki tüm saldırı noktalarını da tespit ediyor. Bunun ardından siteye belli istekler gönderip sitenin cevaplarını alan uygulama, tüm bu analiz işlemlerine göre açıklık veya tehlike içeren noktaları detaylı olarak raporluyor.
Netsparker’ın geliştirdiği sistem, diğer rakiplerinin aksine sadece açıkları bulup önem sırasına göre raporlamakla kalmıyor. Program, muhtemel bir saldırganın izleyici yolları takip ederek kapıları açıp sistemin içine gerçekten sızılabildiğini göstermek için, içeride karşılaştığı bir dosyayı da kopyalayarak bir kanıt olarak sunabiliyor. Yazılım, web sitesi hangi programlama dilinde yazılmış olursa olsun, sonucu %100 garantili bir şekilde sunuyor. Böylece sistem şirketlerin açıkları bulabilmek için harcayacakları insan gücü ve mesai sürelerini de düşürmüş oluyor.
NASA’nın tercih ettiği Türk markası
Netsparker’ın ikinci ve en önemli bir diğer özelliği ise, bu güvenlik taramasını aynı anda 1000’den fazla web sitesi için gerçekleştirebiliyor olması. Öte yandan, sonuçları 24 saat gibi çok kısa bir süre içerisinde %100 doğruluk payı ile raporlayabiliyor. Bu çerçevede, Intel gibi, 1000 den fazla web sitesine sahip markalar bu özelliği sebebiyle Netsparker’ı tercih ediyor. Öte yandan, NASA, SAMSUNG, EA Electronics, UNICEF gibi global devlerden müşterileri bulunan Netsparker, Türkiye’de TAI, TURKSAT gibi yüksek teknoloji firmalarının ve bir çok özel bankanın web güvenliğini üstleniyor. Aslında şu an için Netsparker’ın müşterilerinin %70’i Avrupa ve ABD’de. Bu çerçevede firma için Türkiye görece daha yeni bir pazar. Ancak Türkiye’de büyük bir potansiyel olduğunu öngören Netsparker şu anda odağını Türkiye’ye çevirmiş durumda ve Türkiye web güvenlik sektöründe 1 numara olmak için çalışıyor.
“Nitelikli insan eksiğimiz var”
Kısa sürede bir dünya markası haline gelmiş Netsparker’ın bu başarısının altında, şirketin genç kurucusu Ferruh Mavituna’nın rolü büyük. Yaklaşık on senedir web güvenliği üzerinde çalışan Mavituna’nın kariyer hikâyesi aslında siteleri hackleyip güvenlik açıklarını rapor etmekle başlıyor. Ardından bu işlemin nasıl daha hızlı ve otomatik olarak yapılabileceği üzerinde kendini geliştiren genç kurucu şu anda 30-35 kişilik ekibiyle dünya devleriyle yarışıyor.
Mavituna’nın başarı hikâyesi birçok genç güvenlikçi ya da kariyerini bu yolda ilerletmek isteyen öğrenci için oldukça ilham verici. Bununla beraber, Mavituna’ya göre, web güvenliği alanında yetişmiş iş gücü bulmak gerçekten zorlu bir süreç ve özellikle Türkiye’de yetenekli de olsa kendini yetiştirme imkânı bulamayan çok sayıda genç var. Başvuru için alınan her 20-30 özgeçmişten yalnızca bir tanesi değerlendirilebiliyor ve bir web güvenliği profesyonelinin yetiştirilmesi yaklaşık altı ay oluyor. Bu yüzden Netsparker aslında kendi çalışanını kendisi yetiştiriyor, şirket çalışanlarının eğitimini en ön planda tutuyor ve genç profesyonellerin bir konuda uzmanlaşmasının önünü açıyor.
2007 senesinde kendi yazdigi XSS tunnel tool unu tanittigi bir etkinlikte tanismistim Ferruhla. Hem tool un yetenekleri gorunce hem de bu yogunlukta her hafta en az bir teknik olmayan kitap okudugunu soylediginde azmini takdir etmistim. Universite okumanin pek birsey ifade etmedigini, onemli olanin insanin arastirmaci,merakli ve azimli olmasi gerktiginin ornegidir kendisi.
Keske Turkiye gencligine bu ozelliklerini daha cok anlatma zamani bulsa. Bu yazi bu anlamda cok yerinde olmus. Sizi de tebrik ederim.
Bende söylediklerinizi bir arkdaşımdan duymuştum. “Üniversite okumanin pek birsey ifade etmedigini, onemli olanin insanin arastirmaci,merakli ve azimli olmasi gerktiginin ornegidir kendisi.” sözünüze sonuna kadar katılıyorum.