Müfit Yılmaz Gökmen'in haberi Facebook’ta bugüne kadar 10’dan fazla güvenlik açığını ortaya çıkardığı için şirket tarafından ödüllendirilen, hatta bir denemesinde Facebook CEO’su Mark Zuckerberg’in hesabını hack’leyen Türk bilişim uzmanı İbrahim Baliç soruları cevapladı...
Facebook, geçtiğimiz ay 900 milyon kullanıcısının profil bilgilerindeki e-mail adreslerini herkesten habersiz değiştirmiş, bu uygulama kullanıcıları öfkelendirdiği gibi, teknoloji analistlerinden de tepki almıştı. Ancak "korsan e-mail" olayı, sanıldığının aksine kullanıcıların güvenliğini artırmak için yapılmış bir değişiklik çıktı.
İnternet teknolojileri alanında yedi yıldır çalışmalar yapan yazılım uzmanı Baliç, 'korsan e-mail' vakasının ardında yatanları, sosyal medyanın güvenlik sorunlarını konuştuk. Baliç, Facebook'un güvenlik konusunda dışarıdan göründüğü gibi olmadığını söylerken, Türkiye'deki IT altyapısı ve yatırımlarının ciddi ölçüde güçlenmesi gerektiğini belirtti.
IT alanındaki geçmişinizden ve şu anki çalışmalarınızdan bahseder misiniz? 2005 yılından beri yazılım geliştirmekteyim. 2006 yılında İstanbul'da kendi şirketimi kurdum. 2010 yılından itibaren Londra'dan çeşitli firmalara yazılım ve bilgi güvenliği alanında danışmanlık yapmaktayım.
Facebook 'taki mail karmaşasını nasıl fark ettiniz, bu olayın gelişimi, kamunun gözünden kaçan kısımları neler? Yaşanan bu durumu sadece mail karmaşası olarak nitelendirmek yanlış olur. Yapmış olduğum testler sonucunda fark ettiğim bir açıktı. Bunu tam olarak açıklamak istemiyorum fakat, yaşanan olay "bir mail karmaşasından" değildi. Tersine, Facebook kullanıcıları risk altındaydı. Yapılan güncelleme Facebook kullanıcılarını korumaya yönelikti. Mesajlaşma modülünde oluşan bir hata, Facebook kullanıcılarının hesaplarında bir tünel açmaya neden oluyordu. Kısaca, size gelen mesajlar farklı birilerine de kopya olarak, sizin haberiniz olmadan gidebiliyordu.
Facebook'ta geçmişte çok fazla güvenlik açığı yaşandı. Bugüne kadar ne gibi güvenlik açıklarını fark ettiniz? Genelde yaptğım iş network trafiğini dinlemek. Güvenlik alanında da asıl uzmanlaşmak istediğim bölüm de veri güvenliği. Facebook üzerinde de testlerimi veri akışını dinleyerek sağlıyorum. Toplamda 14 adet hata bildirimi yaptım. Fakat bunlardan sadece dört tanesini kritikti diyebilirim. Bazı hatalar için Facebook çalışmalarını hala sürdürüyor. Bunlar hakkında açıklama yapamam. Hatalar içeren bazı uygulama/içerikler ise kapatıldı. Kapatılan ve kritik olan hatalardan en basit olanı, istediğim bir Facebook kullanıcısının hesabında istediğim kadar albüm oluşturabilmemi sağlıyordu. Bu aşamada sanırım biraz dikkat çektim çünkü Mark Zuckerberg, Pedram Keyani, Ola Okelola gibi isimlerin Facebook profillerinde çok sayıda albüm oluşturdum.
Bunun dışında hala tam olarak giderilememiş bir diğer hata ise, yorum döngü hatasıdır. Bu kritik bir hata, istediğim herhangi bir post(paylaşılan herhangi bir şey) yorumlarını silebiliyorum(gizliyorum). Bu hata için ilk testlerimi yine Pedram Keyani üzerinde gerçekleştirmiştim. E-mail kargaşası diye tabir ettiğimiz olay da oldukça kritik bir durumdu. Genel olarak kullanıcıların güvenlik haklarını ihlal edebilecek türden açıklar üzerinde çalışıyorum.
Facebook'ta bu kadar güvenlik açığı ve kullanıcılarla site arasındaki iletişim kopukluğunun nedenleri ne olabilir? Facebook, sizin de çok iyi bildiğiniz üzere inanılmaz büyük bir ağ. Devasa bir modüler yapıya sahip. Ürünleri çoğaldıkça, ürünler aralarındaki erişim hak ve sınırları da aynı oranda genişlemekte. Durum böyle olunca çok farklı alanlardan farklı hatalar çıkabiliyor. Burada Facebook alt yapısını suçlayamayız. Bu kadar büyük bir yapının, mevcut seviyede bulunması bile gerçekten çok güclü bir ekip tarafından geliştirildiğini bizlere gösteriyor. Bunun dışında iletişim kopukluğu zannedildiği kadar çok değil. Facebook güvenliğe inanılmaz önem gösteren bir firma. Ben Facebook ile olan iletişimlerimde çok hızlı bir ekip tarafından cevaplanıyorum.
Facebook'un kullanıcılarını öfkelendirmesi uzun dönemde kendisine nasıl etkiler yapabilir? Facebook bilindiği üzerine halka arz edildi. Bu aşamada Facebook'un çok daha sistemli ve çok daha ciddi atılımlar yaptığını görmek mümkün. Örnek vermek gerekirse, Facebook geçtiğimiz aylarda ödeme sisteminde değişiklik yaptı. Bugün Facebook kullanıcıları diye tabir ettiğimiz kişi rakamları korkunç seviyelerde, 600- 700 milyonlar ile ifade ediliyor. Böyle bir kitlenin şu an elinde olduğunu düşünerek cevaplarsak, bence kesinlikle kullanıcılarını kızdırmaması gerekiyor. Facebook için artık kullanıcı kaybı para kaybı demektir.
Sosyal medya ağlarını kullanırken kullanıcılar nelere dikkat etmeli, güvenlik ve hizmet koşullarına dikkat etmek ne kadar önemli? Çok güzel bir soru ve bence sadece sosyal medya ile sınırlamamak gerekli. Ben genel olarak şu şekilde bir örnek veriyorum: "Her site rafta duran farklı bir üründür." Örnek olarak bir çikolata ve bir pasta düşünün. Bunları raflardan almadan önce nasıl ki son kullanım tarihlerine bakmamız gerekiyorsa, bence siteler için de hizmet koşulları aynı nitelikleri taşıyor. İnsanlar sitenin ve yapılacak olayın ne olduğunu bilmek zorundalar. Türkiye'de artık belli yasalarla, düzenlemelerle bu iş bir sisteme oturtuluyor. Fakat bilinçli kullanıcı olarak tabir edilen kesim bence daha tam olarak oturmadı.
Soruyu tekrar sosyal medya ile daraltırsak şayet, sosyal medya siteleri, genelde ürün içinde ürün barındırmakta. Örnek olarak Facebook uygulamalarını da ayrı birer ürün olarak düşünün. Her uygulamanın işlemleri kendi içerisinde farklı hak ve sınırlar ile devam etmekte. Türkiye'yi ele alırsak, bir kaç yıl içerisinde, milyonlarca kişi hakkında veri toplandı. İnsanlar uzun bir süre bilinçsiz olarak kişisel bilgilerini uygulamalara bilinçsiz olarak verdiler. Böylece bilgilerini başka kişilerin eline kaptırdılar.
İşte tam bu alanda, Facebook'u suçlayamıyoruz. Çünkü, Facebook kullanacağınız uygulamanın hak ve sınırlarını, yani erişebilecekleri bilgileri size zaten bildiriyor ve soruyordu; "Buna izin vermek ister misiniz?" şeklinde. Fakat bazı kullanıcıların İngilizce bilmemeleri, bilinçsiz bir şekilde bu uygulamalara izin vermeleri, verilerin toplamasına neden oldu. Şahsen kullanıcılar için verebileceğim en doğru tavsiye, her alanda kullanacakları site için öncelikli olarak bilinçlendirilmeleri. İşlevsellik olarak teorik bir alt yapı mantığı öğrenmeleri faydalı olur.
Twitter, Facebook gibi önemli sosyal ağların güvenik altyapısını nasıl görüyorsunuz? Neler eksik, nelerin farkında değiliz? Twitter içerik olarak Facebook'a göre çok farklı bir işlevselliğe sahip, Facebook çok daha fazla veriyi kullanıcıdan alıp, üzerinde çok daha fazla işlem yapılmasına olanak tanıyor. Bu da Twitter'a göre Facebook'u biraz daha riskli gösteriyor. Fakat, aslına bakarsanız durum öyle değil. Facebook'un yaptırmış olduğu işlem kapasitesine göre yargılarsanız, şahsen kullanıcılara sunulmuş en güçlü yapılardan biri olduğunu söyleyebilirim.
Twitter ise işlevselliği daha az olduğu için ve genel anlamda SSL dâhilinde iletişim trafiği sağlandığı zamanlarda çok güvenli bir sistem gibi gözüküyor. Twitter üzerinde, İsrailli bir arkadaşım benden daha yoğun olarak araştırmalar yapmakta. Üzerinde genel anlamda XSS diye tabir ettiğimiz hata türlerine rastlamaktayız. Kullanıcıların farkında olmadığı birçok şey söyleyebiliriz fakat bilmedikleri en önemli kurallardan biri de bence bu, bilmedikleri hiçbir bağlantıya tıklamamaları gerekli.
Site üzerinde tespit edilmiş çok ufak bir XSS açığı veya türevi bir hatayla, bazı saldırılar yapmak mümkün oluyor. Önerim, kullanıcıların Facebook, Twitter veya herhangi bir sitede gezindikten sonra eğer işlerini tamamladılarsa, kesinlikle oturumlarını kapatmaları. Açık olarak bırakmış oldukları oturumlar sorun yaratabiliyor. Ve özellikle dikkat etmeleri gereken bir şey de çok samimi oldukları kişilerin de hesaplarının çalınmış olabileceği ihtimali. Samimi olsalar dahi onlardan gelen istek ve talepleri hemen yerine getirmek yerine, öncelikle onların o kişi olduğundan emin olmalarına bence alabilecekleri önlemler arasında. Biraz paranoya gerekli.
Türkiye'deki IT altyapısını ve internet kullanıcılarının awareness (bir konu hakkında kullanıcıların yeterince bilinçli olmaları) durumunu nasıl görüyorsunuz? Aslında söylemek gerekirse, Türkiye'deki sıkıntılar çok farklı ve ciddi. IT alt yapısından ziyade, IT alanında yapılacak girişimlerde büyük bir kaynak sıkıntısı var. Belki sırf bu sebepten ötürü birçok kişinin dış kaynaklara yönelmesi gerekiyor. Kimi zaman da projelerin tamamen Türkiye dışına taşıması gerekebiliyor. Ülkemizdeki yatırımcı zihniyetini genel anlamda para kazanan bir projeye yatırım yapma yönünde, fakat Türkiye dışındaki durumu incelerseniz, birçok ülkede yatırımcı demek, "inandığı bir projeye yatırım yapması" olarak algılanıyor.
Ülkemizdeki çok yetenekli kişiler bu sebeplerle ülke dışına çıkmakta ve projelerin birçoğu ekip yetersizliğinden veya kaynak yetersizliğinden ortada kalmaktadır. Geçtiğimiz günlerde haber sitenizde okuduğum bir haberi örnek verirsem, sanırım tam olarak anlatmak istediğim şeyi özetlemiş olurum. "Düşünce okuyan program" başlığı altında ODTÜ ve KOÇ Üniversitesinin yapmış olduğu inanılmaz güçlü bir projeden haberim oldu. Okudukça daha çok keyif aldığım bu araştırmanın kaynağının Google Inc olduğunu görmek inanın beni üzdü. Biz saygı değer iş adamlarımızın sürat yatlarını parçalatmasından ziyade IT alanında ülkemize değer kazandıracak projelere yatırımlar yapmasından yanayız. Bu gün alt yapı yetersizliği dersek, üretimi gözden geçirmemiz gerekir, benim dikkatimi çeken en büyük sıkıntı budur. Bunun dışında kullanıcılarımız genel olarak her geçen gün biraz daha güçleniyor diyebiliriz. Buradaki güç aslında bilinçlenmeden geliyor. Son yıllarda Dünyada ki diğer şirketlerin Türkiye pazarının farkına varmasının etkisi var diye düşünüyorum. Belki de az da olsa Arap ülkelerinin de etkisi vardır. Yani bundan 10 yıl öncesinin Türkiye'si ile şimdiki Türkiye'nin çok farklı olduğunu söyleyebiliriz. Ürün bazlı düşünürsek, Amerika'da yeni çıkmış bir ürünün bu gün Türkiye'deki bir kullanıcının eline geçmesi haftalar sürmüyor. Bence bilinçlenmek, kullanmak ile eşit orantıda ilerliyor.
Bireysel veya ekip olarak geleceğe yönelik hedef ve projeleriniz neler? Yazılım, güvenlik, internet alanında nelere ihtiyacımız var? Soruyu bireysel olarak cevaplarsam tek hedefimin başarmak olduğunu söyleyebilirim. Projelerimin başarıya ulaştıktan sonra #CanımAnnem hashtag'i altında tweet atıp kutlamak planlarım arasında. Bunun dışında ekip olarak yürüttüğümüz projelerimiz çok daha hedefe odaklı ve çok kapsamlı ilerliyor. Birbirinden farklı pazarlara hitap ediyoruz. Bunların içinde E-Ticaret, Sosyal Medya ve Güvenlik başlıca ilgi alanlarımız diyebilirim. Bu başlıklar içerisinde sayısız teknolojik yapıyı inceliyor ve üzerinde çalışmış oluyoruz. Şu an itibariyle bir yılı aşkın bir süredir, Londra'dan Avrupa pazarını hedef alarak yürüttüğümüz e-ticaret sitemiz bulunmakta. Dünya çapında bir marka haline getirmek için ciddi çalışmalar yapıyoruz. Bunun dışında Ortadoğu pazarına yönelik olarak Katar'ı hedef alarak yine e-ticaret alanında projeler yürüttük. Aynı şekilde Türkiye için yakın bir zamanda duyurduğumuz Sosyal Medya projemizde çok yakında kullanıma açılacak. Bunların dışında güvenlik alanında birkaç Türk firmasıyla ortaklaşa yürüttüğümüz, sonbahar gibi duyuracağımız bir güvenlik projesi de bulunmakta... Proje üretmek konusunda güçlü bir ekip olduğumuzu düşünüyorum ve pek sorun yaşamıyoruz. Geriye tek hedefimiz kalıyor oda başarmak. İhtiyaç duyulan proje alanlarını da bu şekilde açıklamış olduğuma inanıyorum. Elektronik Ticaret, Mobil Ticaret ve Güvenlik alanı en çok boşluğa sahip alanlar diyebilirim. Gerek pazarlamadaki tekelleşmenin önüne geçebilmek adına, gerekse kullanıcılara daha basit ve kaliteli içeriği sunmak adına bu alanlarda projeler üretilmeli. Bu tür projelerin ülke gelişimine de katkı sağlayacağına ve diğer kişilere istihdam sağlayacağına inanıyorum.
Avrupa'da çalışan genç bir yazılımcı olarak, teknoloji alanında en çok hangi akımın öne çıktığını görüyorsunuz? Gelecek 3-5 yıl en çok öne çıkan teknolojik alan nedir? İnternet teknolojileri alanında çalışmalar yapıyorum. Londra'da olmamızın bize kattığı en büyük avantaj, bu pencereden dünya pazarını anlamamızı daha kolay kılması. Dünya genelinde yıllardır günlük yaşamı dijital ortama entegre etme hayali vardı. Bu hayal kısmen gerçekleştirildi. Bugün günlük hayatımızı, taşıyabileceğimiz kadar ufak elektronik aletler sayesinde dijital dünya ile birleştirebiliyoruz. Bu birleştirme her alanda gün geçmeden de ilerliyor yani eğlencemizin, işimizin hatta sağlığımızın, yargılamanın bile hatta ve hatta belki de devletlerarası ilişkilerin bile bir kaynağı oldu. Bence bunu hepimiz rahatlıkla görebiliyoruz. Mevcut olan yapı,ağırlıklı olarak ihtiyacı küçültme, hızlandırma ve güvenliğin sağlanmasına yönelik. Örneğin, bulut(cloud) teknolojisi, web sitelerin işlem yüklerinden ziyade, tüm elektronik cihazların işlem yüklerini azaltacaktır. bundan ziyade daha fonksiyonel bir yapı ile işlem kapasitesini arttırmaya yönelik cihaz işlemcileri ve cihaz işletim sistemleri geliştiriliyor. Bu gelişimler göz ardı edemeyeceğimiz kadar ciddi yatırımlar. Bence bundan sonrası da bu yönde ilerleyecek. Ben geleceği, özellikle küçük çaplı firmalar için mobil e-ticarette görüyorum.
Sosyal medya dünyasını gelecekte neler bekliyor? Sadece bilgilerimizi hortumlayan platformlar mı olacak yoksa sürekli bilinçlenen kullanıcılara ve güçlü siber örgütlere boyun mu eğecekler? İnterneti kim yönetecek? Bu gerçekten benim de çok merak ettiğim bir soru. Ben kendime şu şekilde soruyorum: "Nereye kadar gidecek?" Bu, sınırları da zorlayan bir soru. Ben bu yönde kullanıcıların kesinlikle "Black Mirror - Siyah Ayna" serisini izlemelerini tavsiye ediyorum. Bu soruyu sanırım en iyi açıklayan senaryolardan biri bu. Bu senaryoları geleceğe uyarlamak nasıl fikirler oluşturur tamamen bir muamma. Bugün ülkemizde sıkça rastladığımız "hack" olaylarını ele alırsak, aslında sosyal medyanın getirisi olan bir şey olduğunu rahatlıkla söyleyebiliriz. İnsanlar bunu bugün yapıyorlarsa bence, bunun neden olduğunu yargılamamız gerekli. Ben bu olayların şu şekilde olduğunu düşünüyorum: 5-6 yıl öncesine kadar yapmış olduğunuz bir şeyi belli bir kitleye ulaştırmak için gerçekten sınırlı sayıda kaynak vardı. Medya bile tam olarak çözüm sunmuyordu. Fakat bugün yapmış olduğunuz bir şeyi sosyal medya aracılığıyla gündeme getirmek hatta ve hatta dünya gündemine getirmek mümkün. Bu da sosyal medyanın geleceğinin ne olabileceğinin ucunu hep açık bırakıyor.
Türkiye siber güç konusunda sizce tam olarak nerede gözüküyor? Bu konuda yapılması gerekenler neler? Aslına bakarsanız Türkiye gerçek anlamda imkân ve olanaklarını doğru bir şekilde kullanamıyor, Gerçekte inanılmaz bir siber güce sahibiz. Fakat her nedense sorunları çözememekteyiz. Bu gün yapılanmalar, özellikle de kamu alanında üzüntü verici. Ülkemizdeki özel sektörü bir kenara bırakın, kamu kurumları bile elinde var olan personellerden tam anlamıyla verim alamıyor. Bunun en büyük sebebi bence kanun ve yönetmelikler. Daha güçlü bir Türkiye istiyorsak bu alanda ciddi çözümler üretmeliyiz. Personellerin teknik başarı ve kabiliyetlerine göre faydalı alanlarda kullanılmaları ve atanacakları birim ve görevlerde bu kabiliyetler kıstas olarak alınmalı. Bunun dışında ülkemizde kişisel olarak sektörde bulunan çok sayıda deneyimli personel mevcut, bu personelleri kendi bünyesine kazandırmak gerekiyor diye düşünüyorum. Bu gün ABD'yi başarılı bir ülke olarak görüyorsak eğer, bu başarının tesadüf olmadığını da anlamamız şarttır bence.