Google’ın Project Zero bug-avı ekibinde öne çıkan bir araştırmacı olan Hacker Maddie Stone’un ilgi çekici hikayesi birçok zorlukla başladı.
Stone’un güvenlik araştırma topluluğu saflarında yaptığı yolculuk her zaman kolay olmadı, dahası bu yolculuk onu özellikle de Twitter gibi teknoloji ve mühendislik endüstrisindeki önemli mecralar hakkında konuşma için harekete geçirdi.
Teknoloji dergisi Wired’a konuşan Stone, “Fiziksel olarak güçlü olduğunu anladığında, bu birçok ruhsal meselelerde dönüşüm sağlıyor.” diye konuştu.
Stone, “Sanırım bu, şu gibi durumlarda bana yardımcı oldu: İlk işimde (Johns Hopkins Üniversitesi Uygulamalı Fizik Laboratuvarı’nda) ordudan bir sürü erkekle dolu pek çok yerde bulundum. Peki o zaman, dedim, şınav çekebilirim. 305 pound ağırlığında halter kaldırabilirim.” ifadelerini kullandı.
TERSİNE MÜHENDİSLİK BECERİSİYLE PROJECT ZERO’YA KATILDI
Stone, Project Zero’ya 2019’da Android güvenlik ekibi üzerine 2 yıl çalıştıktan sonra, katıldı. Buraya donanım ve yazılım tersine mühendisliğindeki becerilerinden dolayı işe alınmıştı.
Android’de kötücül bir yazılımı etkisiz hale getiren bir ekibe öncülük eden Stone, devletin gizli bilgilerine erişmeye çalışan siber tehdit unsurlarını engellemişti.
Stone, Android odaklı çalışmasını şöyle anlattı: “Potansiyel zararlı uygulamaları buluyorum, yazılımı zayıflatıyorum ve geliştirdiğimiz savunma sistemi 2,8 milyar cihaza yayılıyor. Bu öylesine devasa, somut bir etkiydi ki çoğu insan bunu mesleğinde bulamıyor.”
KONUŞMASINDAN SONRAKİ 72 SAAT İÇİNDE KODLAR DEĞİŞTİ
Stone’a düşen görevlerden biri hackleme araçlarından birine karşı saldırı yapmayı içeriyordu, fakat diğer zamanlar daha kişisel bir hal aldı. Bir keresinde Stone ve çalışma arkadaşları, Android cihazlara bulaşmaya niyetli ve caydırıcı silahları bozma konusunda yetenekli bir botnet saldırganıyla 18 ay savaştı. 2018 yazında savaş kızışırken Stone, Las Vegas’taki Black Hat güvenlik konferansında Botnet yazılımının analiz edilmeden gizli kalmasını sağlayan özellikler hakkında bir konuşma yapmıştı. Saldırgan grup ise 72 saat geçmeden bahsettiği özelliklerden her birini değiştirmeye başladı, halbuki konuşma halka açık yapılmamıştı.
Project Zero genişlemeye karar verdiğinde Android üzerindeki deneyimi Stone’u doğal olarak uyumlu hale getirmişti. Keşfedilmemiş yazılım “bug”larını önceden bulmak ve geliştiricileri çabucak uyumlu hale getirmek için motive etmek grubun misyonunun özünü oluşturuyordu. Fakat 2019’da ekip, odağını genişletti. Sadece sıfır-gün açıklarını ortaya çıkarma ve araştırmacıların kendilerini, vahşi ortamda siber saldırganların aktif bir şekilde kötüye kullandığı şeylerin izini sürerken ve çalışırken bulmasının ötesinde bir çalışmaydı bu. Ayrıca, saldırganların istifade ettiği şeyler, Stone’un Android üzerinde kökünü kazıdığı kusurlara benzer türdendi.
Dergiye konuşan Project Zero yürütücülerinden ve kurucu üyelerinden biri olan Ben Hawkes ise şu değerlendirmelerde bulundu: “Üzerinde çalıştığımız problem teorik değil. Bunlar, insanları etkileyen, kullanıcı zararına yol açan ve toplum üzerinde etkisi olan sorunlar. Temel fikir esasında Project Zero içinde karma bir rol yaratmaktı.” Stone şu ikisi arasındaki boşluğu kapatacaktı: Bireysel hatalar bulma amacıyla kod taramak ve saldırganların nasıl davrandığı ve daha geniş çapta nasıl geliştiğine bakmak.
Stone, Project Zero’ya daha geniş bir bakış açısı verme konusunda yardımcı oldu. Ne tür zaafların saldırganlara değerli göründüğünü anlamak ve onlara bu tür bugları bulma ve kullanmayı nasıl çok daha zor ve maliyetli yapmak konusunda çalışmalarını sürdürüyor.
PROJECT ZERO’DAKİ İLK YILI
Project Zero’daki ilk yılında Stone aktif bir şekilde istifade edilmiş onlarca yazılım hatasını araştırdı. Bu araştırmayı, her birinin nasıl çalıştığını, kullandığı tekniklerin yeni veya yaygın olup olmadığını, saldırganların başlangıç “bug”ını bulmak için hangi araçları kullanmış olabileceğini ve yazılımdaki yapısal iyileşmelerin her türden saldırının çalışmasını zorlaştırıp zorlaştırmadığını belirlemek için yaptı.
Şimdiye kadarki bulguların pek çoğunun beklemedikleri sonuçlar olduğunu vurgulayan Stone, “Bundan benim nihai çıkarımım şu oldu: Biz, bu işi istediğimiz şekilde yapmak için henüz yeteri kadar veri sahibi değiliz.” ifadelerini kullandı.
Project Zero’nun takip hesap tablosu, şu anda aktif olarak kullanılan sıfır-gün açıkları için bu yıl su yüzüne çıkan 15 örnek gösteriyor. Bunlardan üçü anti-virüs yazılımı gibi güvenlik tarama araçlarında bulundu. Stone konuya ilişkin şu tespitlerde bulundu:
“Chrome, Windows ya da iOS gibi devasa platformlara kıyasla kullanıcı tabanının ne kadar alçak gönüllü olduğunu göz önünde bulundurduğunuzda, anti-virüsle ilişkili girdilerin bu miktarda olması şaşkınlık verici. Fakat, onların özellikle savunmasız olup olmadıklarını ya da diğer faal olarak kullanılmış sıfır-gün açıklarının gün ışığına çıkıp çıkmadıklarını söylemek zor.Temel olarak veri, pek çok şeyi gözden kaçırdığımızı gösteriyor.”
GÜVENLİK ENDÜSTRİSİNDE DAHA İYİ BİR ŞEY İNŞA ETMEK
Pek çok kullanılmış sıfır-gün açığının hala devam etmesi, Stone’un en önemli görevinin sadece fare kapanlarını kontrol etmek olmadığını gösteriyor. Project Zero ve bir bütün olarak güvenlik endüstrisinin nasıl daha iyi bir şey inşa edebileceğinin bir yolunu bulmak gerekiyor.
Rockwall, Texas’ta Dallas’ın doğusunda küçük bir kasabada büyüyen Stone, erkek kardeşleri ve amcaları, ABD savaşlarında çarpışan ya da özellikle 11 Eylül saldırılarından sonra görevlendirilen arkadaşlarla çevriliydi. Her sabah okul, andımız, sonrasında Texas eyalet bağlılık yemini, sonunda bir dakikalık saygı duruşuyla başlıyordu. Stone yetiştiği çevre için, “Böyle bir atmosfer içinde büyüdüm, dünyaya yardım etmenin en iyi yolu ülkeni desteklemektir.” ifadelerini kullandı.
STONE’UN HAYATI
Rockwall, Lake Ray Hubbard, 1960’ların sonunda lanetlenmiş bir havza, üzerine kurulmuş. Dallas’a yakın olmasına rağmen, Interstate 30 (eyaletler arası yol) 1990’ların ortalarında göl üzerine doğru genişleyen ve Dallas merkezine gidiş geliş zamanını azaltana kadar Rockwall çok daha izole bir yerdi. Stone’un annesi şehirdeki hukuk şirketinde yöneticiydi ve babası oradaki bir yatırım firması için çalışıyordu. Babası daha sonra Rockwall’da ilkokul ve ortaokul öğretmeni oldu.
Stone çocukken elektronik parçaları ayırmıyordu, bir bodrum bilgisayarında saatlerce kod yazmıyordu ya da diğer tipik hacker işleriyle uğraşıp durmuyordu. Bunun yerine, teknolojiyle ilk etkileşimi bir ana akım milenyum deneyimini yansıtıyordu. 2000’lerin başlarında, ilk AIM ekranının ismi Keepsmilin27’ydi, bugün Stone’a çocuksu ve utanç verici gelen bir lakap, fakat bugün dahi onun parlak kişiliğini özetliyor.
Mükemmel AIM’i uzaktan mesaj göndermeye ayarlamak ve Reader Rabbit ve Math Blaster oynamak dışında bilgisayarlar Stone’un zihninden çok uzaktı. “Bilgisayarla olan asıl ilişkim batik yazı sanatını PowerPoint sunumlarında renkli arka planlarda kullanmaktı,” dedi
Yedinci sınıfta zorla tenis takımına girdi: bir seneye kalmadan en iyi oyuncuydu. Stone “O andan sonra tenis dönüştü ve yapmak istediğim her şey oldu,” diye konuştu.
Babası Steve Stone onun özgürlüğünü, gayretini ve çok erken bir yaşta gelişen özgüvenini hatırlıyor. Fakat ilk yıllarda onu tenis oynarken izlemek çok daha derin bir şey açığa çıkarıyordu.
“Onun ilk tenis kulübü turnuvasını hatırlıyorum, yedinci sınıfta tenisi seçtikten hemen sonraydı,” diyor babası. “Bir şekilde finallere kadar geldi ve dereceye girmiş bir kıza karşı oynuyordu. Üç set olmuştu ve Maddie kaybetmişti fakat bu kızı böyle koşturmaya hakkı yoktu. Vay canına dedim, bu çocuk çok özel bir şeye sahip-çocuklarda çok sık görmediğim bir dayanıklılığı var. Bu yüzden onu o zamanlarda “Maddog” (saldırgan köpek) diye çağırmaya başladım, çünkü asla vaz geçmiyordu.”
LİSE ZAMANLARI
Stone lisede iç tasarımı kovalamak istediğini düşünmüştü. Fakat ülkesine hizmet etme fikri de kafasına takılı kalmıştı. Yazın lise üçüncü sınıftan önce Ulusal Öğrenci Liderlik Konferansı sayesinde ulusal güvenlik ve istihbarat meselesine odaklanmış bir programa katıldı. Ulusal Güvenlik Teşkilatı, Merkezi İstihbarat Teşkilatı ve Pentagon’a ziyaretler savunma işiyle alakalı ilgi uyandırdı, her ne kadar bunu hala anlaşılmaz bulsa da.
Bu arada lisedeyken üstün başarılar ve ileri seviye programlara yerleşme hakkı kazandı, ayrıca notları çok iyiydi, ama matematik ve bilime özel olarak odaklanmamıştı. Okulu, AP Calculus dersini önermedi, bu yüzden bağımsız bir öğrenim olarak ders çalışmaya teşebbüs etti. Stone böylesine doğaçlama bir ortamda konuları kavramak için mücadele etti, bilgisayar bilimini bağımsız çalıştı. Stone “Herhangi bir üniversitede beni programlamaya giriş için hazırlayan hiçbir şey yoktu” diyor.
“SİNEMAYA GİTMEK İÇİN O 15 DOLARA İHTİYACIM VARDI”
Üniversiteye başvurma zamanı geldiğinde Stone’un babası onun ulusal güvenlik ve matematiğe olan ilgisinin ümit verici kariyer yolları açabileceğini düşündü. Bu yüzden ailenin oturma odasında ayakta beklerken ona bir teklif sundu: mühendislik bölümü olan her yere başvurursa ona 15 dolar verecekti. Stone bu durum için, “Arkadaşlarımla sinemaya gitmek için o 15 dolara ihtiyacım vardı. Bu yüzden bilgisayar mühendisliğini seçtim. Bilgisayar bilimi ve bilgisayar mühendisliği arasındaki farkı dahi bilmiyordum.” yorumunu yaptı.
Yine de “adli bilişimi” Tim McGee, polisiye dizi NCIS’deki hacker karakter, sayesinde duymuştu. Birkaç yıldır yayında olmasına rağmen, Stone diziyi lisenin ilk zamanlarında annesiyle birlikte izlemeye başladı. Bir yılbaşı, anne babası ona kaçırdığı sezonların DVD box setini bile aldı.
Stone, “Dizide, çok pozitif olan ‘insanlara yardım ediyoruz, dünyayı kurtarıyoruz’ tarzı bir yönlendirme vardı.Fakat McGee’yle alakalı bir durum vardı. Bilgisayarlar sayesinde çözülemez problemleri çözebilir gözüküyordu.” ifadelerini kullandı.
Stone başvurduğu elit üniversitelerden birinde bekleme listesine alınmıştı. Baltimore’daki John Hopkins Üniversitesi hariç-ayrıca (kurgusal) Tim McGee okulundan mezun oldu, Stone üzerinde etkisi kaybolmamış hala.
John Hopkins’te öğrenci kabul gününde bilgisayar mühendisliği etkinliğinde, elektronikten ve donanım-odaklı tanıtımlardan McGee hissi alamıyordu. Bu yüzden babasıyla birlikte yakınlardaki bilgisayar bilimi açık hava etkinliğine gitti. “NCIS dizisinden McGee gibi adli bilişime gerçekten ilgiliyim” dedi Gerald Masson’a, bölümü kuran ve onun ilk başkanı olan kıdemli bir bilgisayar uzmanı. Onun kendisine gülmesini bekledi, referans almayı değil. “Bunu yapabiliriz.” diye cevapladı Masson. “Seni McGee yapabiliriz.”
Kaynak: Wired Magazine
(Devam edecek)
