Bul açığı kap parayı

Gais adıyla Türkiye’nin ilk ödül avcılığı şirketini kuran Osman Doğan Cezeri Siber Güvenlik Akademisi’niyle de geleceğin siber savaşçılarını yetiştiriyor.

Dünyada en çok izlenilen dizi olan Game of Thrones geçtiğimiz günlerde hacker saldırılarına uğramıştı. Dizinin yapımcısı HBO bilgilerin karşılığında 250 bin dolar teklif etmiş ancak herhangi bir cevap alamamıştı. Siber saldırganlar dizinin yeni bölümlerini karaborsada pazarlayarak milyonlarca lirayı cebe indirirken, gözler ödül avcılarına çevrildi. Bugün Google, Apple, Twitter ve Whatsapp gibi firmaların düzenlediği ödül avcılığı yani Bug Bounty programları siber saldırganlar için gelir kapısı hâline geldi. Firmaların açıklarını bulmak için saldırılar düzenleyen hacker’lar milyonlarca liralık ödüllerin sahibi olurken, bu alanda Gais adıyla Türkiye’nin ilk ödül avcılığı şirketi kuruldu. Geçtiğimiz ay faaliyetlerine başlayan GAİS Siber Güvenlik Teknolojileri, bünyesindeki 55 siber güvenlik uzmanıyla firmalara güvenlik hizmeti veriyor.

“SIFIRINCI GÜN” AÇIKLARI
Firmanın kurucusu ve aynı zamanda siber güvenlik uzmanı olan Osman Doğan, bugün ödül avcılığının milyar dolarlık bir pazara ulaştığı bilgisini verdi. Doğan, “Google, Apple, Tesla, Twitter gibi bir çok büyük firma güvenliği sağlayabilmek için ödül avcılığı programı düzenliyor. Şu an iPhone’u kırarsanız 1,5 milyon dolar ödül alırsınız. Android’de ödüller 250 bin dolar civarında. Google bir zafiyet bulduğunuzda minimum bin dolar ödüyor. Hediyeler zafiyetin derecesine göre değişiyor. E-posta adresine girerseniz, parolayı bypass ederseniz, sunucuyu hacklerseniz hepsinin tarifesi farklı” dedi. Hacker’ların yazılımdaki açıkları bulmakta çok kabiliyetli olduğunu ifade eden Doğan “Üreticinin haberi olmayan zafiyetlere Zeroday (Sıfırıncı gün) zafiyeti diyoruz. Zeroday büyük tecrübe ve yetenek gerektiriyor. ABD’de Vupen diye bir firma var. Bu firma Zeroday’leri satın alıyor ve satışını yapıyor. Bu alanda dünyanın en büyük firması ise HackerOne. Google bu firmayla çalışıyor” diye konuştu. Türkiye’de bu alandaki faaliyet gösteren ilk firma olduklarını dile getiren Doğan, şunları kaydetti: “Şu an 55 siber güvenlik uzmanımız var. Hedef domain adresini güvenlik uzmanlarımıza yolluyoruz ve onlardan sızma yapmasını istiyoruz. Bir zafiyet varsa Gais’in platformuna işleniyor. Ekibimiz bunun bir zafiyet olup olmadığını araştırıyor. Eğer zafiyet olduğundan emin olursa firmaya yolluyoruz. Firmada kendi kurum içinde süreçleri başlatıyor. Sonra da açığı kapatıyorlar. Firmalar hacker’larla muhatap olmak istemediği için bize geliyor. Aslında firmanın güvenlik birimi gibi çalışıyoruz. Yaş ve mezuniyet şartı aramıyoruz. Çalışanımız arasında eski banka müdürü de var lise öğrencisi de var. Tek kriterimiz ödül avcılığı programlarına katılmış olmaları ve hacker yarışmalarında dereceye girmiş olmaları.”

Osman Doğan

FİRMALARIN TEŞEKKÜR LİSTESİNDE
Kendisinin de ödül avcılığı programlarıyla zamanın da bir çok ödül kazandığını anlatan Osman Doğan, “American Airlines’ta zafiyet buldum bana 50 bin mil hediye ettiler. Yandex 200 dolar verdi. Ebay’de de açık buldum. Apple, Microsoft, Adobe, Yandex, Linkedin, United Airlines, Vmware, Barracuda, Nokia, BlackBerry, Evernote, AT&T etc gibi şirketlerden ödül aldım. Bazıları ödül yerine teşekkür listesine ekliyorlar. Firmaların teşekkür listesi var. O listede olmak önemli. Bu hacker için aynı zamanda bir referanstır” dedi.

Ahilik sistemiyle geleceğin hacker’larını yetiştiriyor
Osman Doğan, Cezeri Siber Güvenlik Akademisi ile sektörün yetişmiş elaman ihtiyacını karşılıyor. İsmini sibernetik biliminin kurucusu Müslüman bilim adamı El-Cezeri’den alan akademide siber güvenlik alanında ücretsiz eğitimler verildiğini belirten Doğan, “El-Cezeri 1150 yılında Artuklu sarayında yaşamış bir bilim adamı. Robot bilimi konusunda çalışmalar yapmış. Bizde kendi bilim adamımızın ismini koyduk. Bir usta-çırak ilişkisi gibi yani Ahilik teşkilatı gibi çalışıyoruz. Bilenler bilmeyenlere öğretiyor. Siber güvenlik ve bilgi güvenliği alanında personel yetiştiriyoruz. Youtube’de röportajlarımız var. Türkiye’de istekli hevesli kişilere ulaşmak istiyoruz. Kriptoloji, adli bilişim, webde zafiyet bulma yöntemleri gibi alanlarda eğitimler veriyoruz. Sponsorlarımız bize destek veriyor. Bugüne kadar Kıbrıs, Ankara, Kütahya ve Sivas’ta eğitimler verdik. Önümüzdeki günlerde Diyarbakır’da olacağız. İl il eğitimler veriyoruz. Tamamen gönüllü bir oluşum. Şu an 100 güvenlik uzmanı bu oluşumun içerisinde” dedi. Doğan, eğitim alanlara katılım belgesi verdiklerini belirterek ayrıca onları CV havuzuna ekleyerek iş bulma ve staj imkanı sağladıklarını sözlerine ekledi.

Whatsapp’ı hack’ledi ünlendi
Osman Doğan Whatsapp’ı hack’leyerek büyük bir üne kavuşmuş. Doğan hack’leme vakasını ise şöyle anlattı: “2014 yılında WhatsApp’ta sunucu dosyalarına eriştim. Durumu WhatsApp’a bildirdim. Ama bana geri dönüş yapmadılar ve aynı gün zafiyeti kapattı. Ödül programları olmadığı için ödül de alamadım. Sonrasında İngilizce bir makale yazdım. WhatsApp’ın ödül vermediğini ve ödül avcılığı programının olmadığını yazdım. Ardından kısa bir süre geçti ve yeni bir zafiyet daha buldum. Bu defa WhatsApp’ın dil konfigürasyonun olduğu sisteme girmeyi başardım. Girdikten sonra içeride başka bir zafiyet bularak sistemde ilerledim. Bir gün sabah kalktığımda Twitter’dan 30-35 DM geldi. Bana ‘Osman Bey bir konuda desteğiniz istiyoruz’, ‘Ben kasko firmasıyla WhatsApp üzerinden sesli bir görüşme yaptım, şu an kaskomu ödemiyorlar. Görüşmemi inkar ediyorlar. Telefon görüşme kaydımı bana ulaştırır mısınız’, ‘Filanca sanatçının teknoloji danışmanıyım. WhatsApp sanatçının numarasını bloklamış onu açar mısın’, ‘WhatsApp’taki mavi tiki turuncu yapar mısın’ diye mesajlar geliyordu. Bu olay sabaha karşı 4’te oluyor. Ben de bütün bunları niçin bana soruyorsunuz dedim. ‘WhatsApp’ın sitesinden size ulaşıyorum. Orda sizin Twitter account’unuz var. Onun için size ulaştık’ diye cevap veriyorlardı. Bir de baktım ki Whatsapp.com’da ürün destek bölümünde benim Twitter kullanıcı adım yer alıyor. İki hafta boyunca orada kaldı. Binlerce mesaj aldım o sürede. Hâlâ gelen mesajlar var.”