CEH ya da benzeri bir sertifika sahibi misiniz ya da bu işin bir eğitimini aldınız mı?
Evet sahibim. Benzer birçok sertifikaya da sahibim. Bunun için özel olarak bir eğitim almadım.
Hacker olmak için hep meraklı olmak gerek derler. Sizce merak yeterli mi?
Çok meraklı olmak gerekir. Tabi sadece merak yeterli değildir. Aynı zamanda geceleri gündüze katmak, sürekli araştırma yapmak ve teoriden sıyrılıp, edinilen bilgileri pratiğe dökmek gerekir.
Kendinizi “hacker” olarak mı yoksa “güvenlik uzmanı” olarak mı tanımlıyorsunuz? Ya da farklı bir tanım var mı?
Siber Güvenlik Uzmanıyım. Bir hacking olayının sadece tekniği ile değil, sosyolojik, psikolojik, terörizm ve ekonomik gibi tarafları ile de ilgilenirim.
Bir keresinde bir “güvenlik uzmanı” asla başka bir hackerı başka bir hackera övme demişti bana. Ancak yine de soracağım, sizin örnek aldığınız, hayranı olduğunuz bir hacker var mı?
Hacker’lar genelde egosu çok yükseklerde olan insanlardır. Kendinden daha iyisini kabullenmezler ve en iyisi olmak için durmadan yarışırlar. Benim de egom yükseklerdedir ama öyle bir takıntım yok. Richard Stallman benim idolümdür 🙂
Hackerlar arasında “lamer” ve “uzman” lafları sıkça kullanılıyor. Sizce lamer’in gerçek tanımı nedir kime denir?
Böyle tartışmalar oldukça sık yaşanır. Bana göre amacı olmadan bir şeyler yapıp, bir yerlere zarar veren herkes “Lamer” sınıfına girmektedir.
Artık yasalarında iyileşmesiyle birlikte hacking haberlerini kredi kartı bilgileri vs. yerine sosyal medya üzerinden daha çok duyar olduk. Sizce Sosyal Medya’da kullanılan servisin güvenlik protokolleri dışında başka önlemler almak gerekli mi?
Bunun aslında tek taraflı bir güvenlikle yani sosyal medya platformunu işleyen taraf ile sağlanması biraz zor. Mesela herkes bir şeyler paylaşıyor, bir yerlerde check-in oluyor. Bu verilere birilerinin ulaşma ihtimali gözardı ediliyor. Bir sosyal medya uzmanı arkadaşım hep şöyle der, “Bir bayandan numarasını isteseniz vermez. Ancak bunu Facebook isteyince, sorgusuz ve kimlerle paylaştığını bilmeden veriyor.”
Mobilin gelişmesiyle birlikte güvenlik uzmanları daha çok mobil sistemlerdeki açıklarla uğraşır oldu. Sanıyorum burada işletim sisteminin de etkisi oldukça büyük. Sizce en güvenli mobil işletim sistemi hangisi?
Bu aslında biraz göreceli bir durum. Fakat Android Market’te binlerce zararlı yazılımın bulunduğunu ve kullanıcıları tehdit ettiğini biliyoruz. İşletim sistemi seviyesinde güvenliğe baktığımızda aralarında çok fark olmayacaktır.
Son dönemlerde sıkça telefon görüşmelerinin dinlenebilir olduğundan bahsediliyor. Dinlenemeyen telefon ya da izlenemeyen mesajlaşma uygulaması var mı?
Eğer yasal bir dinleme yapılıyorsa bu mümkün değildir. Kriptolu telefonlar yasa dışı dinlemelere karşı en güzel çözümdür. Fakat kesin çözüm değildir. Mesela yakın zamanlarda bir operatör firmasında bulduğum güvenlik açığı sayesinde operatör üzerinden arama detaylarına ve mesajlaşma detaylarına ulaşılabiliyordu. Kriptolu telefon kullanmış olsaydık dahi operatör tarafındaki zafiyetlerden dolayı aramalarımız ve mesajlaşmalarımız görüntülenebilecekti. Bu açıdan baktığımızda kesin ve net bir çözüm bulunmamaktadır.
DDoS saldırıları bir çok site için en sevimsiz ve en kolay gerçekleştirilebilen saldırı. Küçük siteler bu saldırılara nasıl karşı koyabilir neler önerebilirsiniz?
Malesef ki DDOS saldırıları en büyük tehdit aracı. Büyük sayfalar iyi yatırımlarla kendini korumaya alabiliyorlar. Küçük ve orta ölçekli sayfalar CloudFlare gibi bir çözümle ufak ücretler karşılığında DDOS saldırılarından belirli ölçülerde korunabilirler.
Mobilde ve Masaüstünde hangi antivirüs ve firewall yazılımlarını önerirsiniz?
Mobil ve Masaüstü güvenliğinde son zamanlarda Avast ve Trend Micro oldukça popüler durumda. Aynı şekilde bir Türk güvenlik yazılımı olan Comodo’da tercih edilebilir.
Sosyal Ağlarda Clickjacking, Fake Application vb. saldırılara karşı son kullanıcılara ne gibi önerileriniz olabilir?
Bu tarz saldırılara maruz kalmamak için her şeye tıklamamalı ve “izin ver” dememeliler. İzin verdikleri uygulamaların da gizlilik ayarlarını yaparak kendileri adına gönderilerde bulunmasını engellemelidirler.
Türkiye’deki hacker gruplarından biraz bahseder misiniz? Aktif olan, herkesin takip etmesi gereken gruplar hangileri?
Bir çok yerde Türkiye’deki hacker gruplarının 2005-2006 yıllarından sonra malesef ki çok aktif olamadığını dile getiriyorum. Türkiye’de şu an bir kaç grup çalışmalarına devam etmektedir. Yabancı hacking grupları takip edilebilir.
Türkiye bugüne dek çok büyük çaplı bir siber saldırıya maruz kaldı mı?
Türkiye’deki sistemler hergün çeşitli saldırılara maruz kalmaktadır. Daha önce Anonymous ve RedHack gibi gruplar büyük saldırılar düzenlediler.
Türkiye’de devlet kurumları siber saldırılar için ne kadar hazır?
Kurumlar için siber güvenlik tatbikatları yapılmaktadır. Ama maalesef ki kurumların güvenliği oldukça kötü durumda. Her gün aldığımız hacking haberlerine sürekli yenileri eklenmektedir. Güvenliğin sadece bir kaç milyon dolarlık cihazlar/yazılımlar ile sağlanmayacağını anladığımızda ve siber güvenlik kurulunu kurup aktif çalışmalarını desteklediğimiz de bu durum mutlaka değişecektir.
Dünyada siber saldırılara karşı en hazırlıklı ülke hangisi?
Aslında böyle bir ülke hali hazırda yok. Bugün Amerika bile çok hazırlıklı olmasına rağmen siber saldırıları engellemek için ülkelerle anlaşmaya gitmektedir.
Eyüp Çelik Kimdir?
1998 yılında hackinge merak sarmış, 2000 yılında aktif olarak hacking dünyasında ki çalışmalarına başlamıştır. 2008 yılına kadar siyah şapkalı bir hacker olan ÇELİK, dünyada ses getiren bir çok hacking grubunun yöneticiliğini yapmıştır. Süreç içerisinde, Sistem – network uzmanlığı, yazılım – veritabanı uzmanlığı, web uzmanlığı gibi alanlarda çalışmış ve bir uzmanlık alanına bağlı kalmamıştır. 2008 yılından sonra hacking dünyasını bırakıp, güvenlik alanına yönelerek beyaz şapkalı hacker olmaya karar verdi. Bu konuda bir çok sertifikaya alarak süreci tamamladı. Aynı zamanda eğitmen kimliği ile de tanınan ÇELİK, Türkiye’nin önde gelen eğitim kurumlarında Etik Hackerlık, Web Güvenliği ve İleri Düzey Sızma Testleri konularında eğitimler vermektedir. 2012 yılından bu yana bir bilişim firmasında “Siber Güvenlik Birim Müdürü” olarak bir çok kamu kurumuna ve kurumsal firmaya “Siber Güvenlik Danışmanlığı” hizmetleri vermektedir. Boş vakitlerini güvenlik araştırmaları yaparak, fotoğraf çekerek ve bireyleri güvenlik alanında bilinçlendirmek için blogunda makaleler yazarak değerlendirmektedir.
Akıcı anlatım. Özet bilgi