Gazeteci yazar, yazılım ve siber güvenlik uzmanı. 1986, İstanbul doğumlu. Estonya merkezli bir yazılım firmasında güvenlik araştırmacısı olarak çalışıyor. Karar gazetesi köşe yazarlarındandır.
Hayatını
ve çalışmalarını kendi kaleminden şöyle anlatmıştır.
“Kimsin ve ne
yapıyorsun?
İsmim
Ziyahan. 1986 İstanbul doğumluyum. Netsparker isimli web güvenliği firmasında
güvenlik araştırmacısı olarak çalışıyorum. 1999 yılında evime bilgisayar
alınması ile bilgisayar kullanmaya başladım. Çok geçmeden yazılım dillerine
merak sardım Basic, Visual Basic, ASP, PHP derken 2008 yılından bu yana da
profesyonel olarak çalışıyorum. Çeşitli sektörlerde iş tecrübelerim oldu. Medya,
perakende, e-ticaret, insan kaynakları vb gibi. ‘99 ve 2008 yılları arasında
koca bir boşluk var gibi geliyor ancak bu zamanlarda da harçlığımı çıkartmak
için yazılımlar geliştirdim. Henüz 14-15 yaşında iken yazdığım bir internet
kafe takip programından 5 Milyon Türk Lirası kazandığımı hatırlıyorum. Aman ha!
O zamanlar sıfırlar henüz atılmamıştı, bugünün parasıyla 5 TL.
Bir
dönem şair, bir dönem opera sanatçısı, bir dönem gazeteci olacağım, diye
tutturdum. İstanbul Üniversitesi Coğrafya bölümünde başlayan akademik hayatım,
Sakarya Üniversitesi'nde güç bela nihayete erdi. Ön lisans diplomamı bu
üniversitenin Bilgisayar Programcılığı bölümünden aldım. Sanırım okullar ile
aram çok iyi değil, kendimi uslanmaz bir öğrenci olarak tanımlasam da, sınavlar
ya da diploma beni eğitim konusunda güdüleyebilen unsurlar olamıyor. Eğitim
konusunda tek bir itki tanıyorum o da merak. Merak ediyorsam öğrenebiliyorum,
değilse sopanın ucundaki havuç beni hiç ırgalamıyor. (yeni kuşak bu tabiri
bilirler mi :))
Tuhaf
gelecek ama yolu yarılamaya ramak kala (Cahit Sıtkı’ya istinaden, 30 yaşım için
söylüyorum) hala dünyayı değiştirebileceğimi düşünüyorum. Bence herkes de
inanmalı. Aklınıza gelen bir fikrin, Newton’un kafasına düşen bir elmadan daha
değersiz olacağını kim söyledi? Ya da Arşitmet’in hamam sefasının, bizim
yağmurlar altındaki hülyalı yürüyüşümüzden?..
Sadede
geleyim. Netsparker’da güvenlik araştırmacısı olarak çalışıyorum. Kulağa
yabancı gelen bir ünvan olguğunun farkındayım. İzin verirseniz şöyle
açıklayayım. Netsparker ürünü web uygulamalarınıza bir saldırgan (attacker)
perpektifinden yaklaşarak, sitenizdeki en güncel zafiyetleri kontrol edip, bunu
raporluyor. Bizler de web güvenliği dünyasındaki en yeni gelişmeleri takip
ederek Netsparker’ı güncel tutmaya çalışıyoruz. Yaptığım iş özet olarak bu.
Muhtemelen
okurlarınızın da aşina olacağı çok güzel bir söz var. Sevdiğiniz işi yaparsanız
çalışmak zorunda kalmazsınız, diye. Kendimi çalışıyor saymıyorum. Çok az insana
nasip olacak bir imkana sahibim. Sürekli olarak merak ettiğim bir konuyu
araştırıyorum ve geçimimi bununla sağlıyorum. Güvenlik üzerine bir şeyler
okuyup, araştırmadığım zamanlarda ise yürüyor, kitap okuyor, arkadaşlarımla
sohbet ediyor ve şarkı söylüyorum :)
Hangi
donanımları kullanıyorsun?
Bizler
gibi canlı kanlı olmasa da eşyaların, nesnelerin de bir yaşamları olduğunu
düşünüyorum. İnterneti var da, yaşamları neden olmasın nesnelerin? Bu sebeple
kullandığım araçlarla da ayrı bir bağım var. Bunun eşyaların ömürlerinden, iş
yapışınıza kadar pek çok noktaya tesir ettiğini düşünüyorum. Çok fazla sayıda
alet edevat kullanmıyorum. Şık bir Toshiba laptopum var. 16 gb RAM, 1 TB HDD ve
i7 işlemcili. 23 inch olan monitörümü, harikulade bir Asus 27 inch monitörle
değiştirdim. Eski monitörüme çok teşekkür ediyorum, çok kahrımı çekti. Logitech
bir kulaklıklı mikrofonum var.
Hangi
yazılımları kullanıyorsun?
İşimiz
gereği en çok Netsparker’ı kullanıyoruz :) Bunun dışında Fiddler Proxy programı
testler aşamasında elimiz ayağımız olan bir program. Office vb programları
sıklıkla notlar, makaleler için kullanıyorum ama bütün bu işler için artık
bulut teknolojilerini kullanıyoruz. Snagit ekran görüntüsü ve eğitim
kayıtlarında kullandığımız bir başka program. Haftalık eğitimlerimizin
kayıtlarında da kullanıyoruz. Yine “Klavye Delikanlıları” podcastinin kayıtları
için de Google’ın azizliğine uğradığımız için kullanıyoruz. Tekrar kontrol etme
şansım olmadı ama bir süre önce Hangouts’tan yaptığımız görüşmelerin Youtube’a
otomatik olarak upload edilmediğini farkettik. Skype ve Snagit ikilisi
üzerinden devam ediyoruz.
Netsparker
Windows tabanlı bir uygulama. Dolayısıyla işletim sistemi olarak Windows 10
kullanıyorum ancak farklı ortamlardaki web sistemlerinin davranışlarını
incelemek ve test etmek için yoğun olarak sanallaştırma kullanıyorum. Buradaki
tercihim pek çok meslektaşımın aksine Oracle Virtual Box.
Parola
yönetimim için KeePassX‘i kullanıyorum. Browser yani tarayıcı olarak da Mozilla
Firefox. Tabii yine istemci tarafındaki davranışları test etmek için tüm
tarayıcılar elimin altında. Ama gündelik işlerim için, yani normal bir
kullanıcı olarak Firefox taraftarıyım.
Evernote
Clipper plugini de çok kullanışlı bir araç. Sözünü ettiğim gibi devamlı surette
bir şeyler okumak ve not tutmak zorunda olduğum için, derhal notlarımı
Evernote’a aktarabiliyorum. Bunları etiketleyebiliyor ve farklı not
defterlerine kaydedebiliyorum.
Çalışırken ne
tarz müzikler dinliyorsun?
Çalışırken
müzik dinlemiyorum. Bazen kendimin mırıldandığı oluyor.
Hayalindeki
çalışma ortamı nasıl?
Bir
10 yıl öncesine kadar uslanmaz bir kentli olan ben, şimdilerde bu soruya farklı
cevaplar vereceğim. Hiçbir şey beni tabiatın cömertliği kadar hayretler
içerisinde bırakıp sevince boğmuyor. Bir meyvenin yaşamak istiyorum dercesine
çekirdeklerini avuçlarınızın içerisine bırakışı, tabiatın yeniden dirildiği şu
bahar ayında dalların binbir renge, desene bezenişi beni benden alıyor. Bunu
gerçekten yazıyla anlatamam. Bu harikulade sanatı sadece sükut ve
minnettarlıkla izlemesi gerekiyor insanın. Bambaşka bir güç buluyorum.
Dolayısıyla bütün bunları temaşa edebileceğim bir çalışma ortamım olsun, çok
isterdim.”
KAYNAKÇA:
Ziyahan Albeniz - Security Researcher @ Netsparker (calismamasam.com, 2 Haziran
2017), Yazarlar – Ziyahan Albeniz (karar.com,
21.02.2022), Ziyahan Albeniz / Dört kapı bir zafiyet (karar.com, 21.02.2022),
Uzun
yıllardır siber güvenlik sektöründe çalışıyorum. Bu mesleği icra ederken
öğrendiğim en önemli düsturlardan biri, mesleğin icrasında her türlü olumlu ya
da olumsuz varsayımı bir kenara bırakmanın zarureti oldu. Aksini acı sonuçlarla
tecrübe ettiğim kadar, bir bilim insanının laboratuvardaki titizliği ile
sistemlere yaklaşmanın, tüm olasılıkları üşenmeden test etmenin faydasını da
bir o kadar gördüm.
Bu
sahada istifade ettiğim, güvenliğin ehemmiyetine vurgu yapmak üzere kullandığım
ikinci bir bakış açısı daha var ki mutlaka her fırsatta müracaat ederim: Biz
evimizin bütün kapı ve pencerelerini kilitleme mecburiyetinde iken, hırsız
yalnızca bir açık kapı ve pencereden içeri girebilir. Biz bütün kilitlerin
güvenliğinden mesulken, hırsız bir küçük boşluktan içeriye sızar.
Ya
da Murphy’nin savaş kanunlarında harikulade bir şekilde ifade edildiği gibi
düşman iki koşul gerçekleştiğinde ölümcül vuruşu gerçekleştirir, kendisi hazır
fakat siz hazır olmadığınızda!
Siber
güvenlik terminolojisinde muhafaza etmemiz, sıkı sıkıya kapatmamız;
saldırganların kötü senaryolarını üzerine bina ettiği kapılarımız saldırı
yüzeyleri, yani attack surface olarak adlandırılıyor.
İyi
bir güvenlik analizinin hem savunma hem de saldırı açısından en önemli aşaması
da bu açık kapıların, hırsızların, saldırganların zorlayacakları kapıların
hangileri olacağına karar vermek. Bu kapıların kırılarak mı yoksa başka bir
yolla mı açılacağı tehdit modellemesi, threat modelling olarak adlandırıyoruz.
Bu
haftanın yazısına karar verme sürecinde SOCRadar’ın 2021 yılına ait Türkiye
Saldırı Yüzeyi raporunu posta kutumda buldum.*
Araştırmada
özellikle dikkatimi çeken hususları bu köşede sizlerle paylaşmak istedim: Sanal
dünyanın yeraltı dünyasında Türkçe forumların sayısındaki artış.
Rapora
göre yeraltı forumlarında sadece Türkiye’deki kurum ve kuruluşlardan çalındığı
iddia edilen verilerin satışı yapılmıyor. Üstelik buradaki pazarlık vb.
süreçler de her gün daha fazla Türkçe olarak yapılıyor. Bu daha fazla yerli
tehdit aktörü demek. Bu tehdit aktörlerinin değişik motivasyonları olabilir. Bu
motivasyonların neler olduğunun tespiti, buna dair önlem alınıp politikalar
geliştirilmesi bu yazının kapsamını aşıyor.
Rapora
göre “Türkçe paylaşımların bulunduğu yeraltı bilgisayar
korsanlığı/dolandırıcılık forumları, siber tehdit unsurlarının anonim olarak
yeni kişilerle iletişim kurmaları ve reklam vermeleri için olanak sağlıyor.
Tehdit aktörleri, bu forumlar ve mesajlaşma uygulamaları aracılığıyla kimlik
bilgileri doldurma dahil olmak üzere çeşitli saldırılar için bilgisayar
korsanlığı araçlarını değiş tokuş ve takas etme imkanı buluyor.”
Rakiplerin
işlerini aksatmak için hizmet kesintisi (DoS) saldırıları, kredi kartı
kopyalama yazılımları, Türk vatandaşlarına ait olduğu iddia edilen kişisel
bilgiler bu yeraltı forumlarında, kanallarında alınıp, satılan hizmetlerden.
Yine
rapora göre “E-Ticaret, Bankacılık & Finans ve Sigortacılık, Türkiye’de
siber tehditlerden en çok etkilenen sektörler arasında yer alıyor.”
SOCRadar’ın
16 sayfalık tehdit raporu araştırmaya konu olan yeraltı forumlarındaki
mesajlardan ekran görüntüleri de dahil olmak üzere, saldırı yüzeyi
değerlendirmelerine kanıt oluşturacak pek çok veri içeriyor.
Ücretsiz
olarak yayınlanan bu tarz araştırmalardan istifade etmek, kapatmamız, güvenli
kılmamız gereken kapıların farkında olmamızı sağlayabilir.
Kapatmamız,
güvenli hale getirmemiz gereken kapıların tespiti önemli bir adım. Sonraki
kritik adım ise bu kapıları güvenli hale getirmek bu güvenliği belirli
aralıklarla yeni testlere tabi tutup, sağlamlığını sınamak.
(*)
https://socradar.io/wp-content/uploads/2022/02/2021-Turkey-Threat-Landscape-Report-TR-2.pdf
KAYNAK:
Ziyahan Albeniz / Dört kapı bir zafiyet (karar.com, 21.02.2022),
