Üç büyük teknoloji devi Apple, Facebook ve Google’ın güvenlik açıklarını bulan İbrahim Baliç, üç şirket ile arasında geçenleri anlattı.
Röportaj: Aytun Çelebi
Günümüzde, teknolojiyle çok az ilgilenen bir insan bile Apple, Facebook ya da Google gibi şirketlerin en az birisinin hizmet ve ürünlerinden faydalandığını söylemek mümkün. Geçtiğimiz hafta, birçok yayında bu üç teknoloji devinin güvenlik açıklarını bulan, sitelerini ve hizmetlerini hack’leyen bir Türk hacker haberi Türk basınında yer almaya başladı. Biz ise kesin yargılar içeren, ancak muhatap şirketlerin görüşlerine yer vermeyen haberlere karşılık, bu iddiaların hakikati yansıtmayabileceğini içeren bir haber yaptık.
Sonrasında, iddiaların yöneldiği İbrahim Baliç ile üç şirketle arasında geçenleri detaylı bir şekilde konuştuk. Üç şirkete de konu hakkında sorular sorduk. Apple yorum yapmayı reddederken, Google henüz bir yanıt vermedi. Verdiğinde bu yazıya ekleyeceğiz. Facebook’un yanıtı ise şu şekilde oldu: “Bugüne kadar İbrahim Baliç’ten yazılım hataları (bugs) hakkında geçerli bilgiler aldık. Kendisi bu doğrultuda, bize yazılım hatası bildiren diğer isimlerle birlikte White Hat listemizde, 2012 yılı kategorisi altında yer alıyor. İbrahim, rapor ettiği hatalardan biri için, yine 2012 yılında para ödülü de almıştır. Mark Zuckerberg’in hesabını hack’lediğine dair iddialar ise gerçeği yansıtmamaktadır. White Hat listemize https://www.facebook.com/whitehat/thanks/ adresinden erişebilirsiniz.”
Kendinizi kısaca tanıtabilir misiniz?
Londra’da ikamet ediyorum, Türkiye’de ve Londra’da ufak çaplı şahıs şirketlerim bulunuyor. Bu şirketler üzerinden şirketlere güvenlik danışmanlık hizmeti ve uygulama geliştirme hizmetleri veriyoruz. Son zamanlarda malum olaydan ötürü, eğitimler vermeye de başladık. Küçük bir hayatım var, çevremdeki insanlar günde 18 saat bilgisayar başında zaman geçirdiğim için beni hasta ruhlu biri olarak tanırlar. Amacım, kendimi ve ülkemi dijital savaşlara karşı geliştirmek ve gelecekte insanlığa fayda sağlayacak projeler ortaya çıkartmak…
Apple Dev Center’ın kapanması ile ilgili haberlerde adınız geçti. Bu konuda bir blog yazısı ve video da yayınladınız. Ancak, aralarında Guardian gibi gazetelerin ve Techcrunch, InfoWorld, VentureBeat gibi yayınların da olduğu yabancı kaynaklar, bu hack’in sorumlusunun siz olmayabileceğini belirten yazılar yayınladılar. Ne düşünüyorsunuz?
İlk olarak belirtmek istiyorum ki, bu Apple Dev Center kapanması için yapılmış bir saldırı değildi. Bu yapmış olduğum bir güvenlik araştırması sonucu elde ettiğim bilgilerden ötürü, firmanın kendisini güvence altına almayı düşünmesinden ötürü gerçekleştirilmiştir. Belirttiğiniz kaynaklardaki haberlerin içeriği, yazarın şahsî düşüncesidir. Saygı duyuyorum. Fakat ilgili konu için haberi yapan editörlerin uzmanlık alanları, malumunuz ki güvenlik değil ve kendilerinin bu tipte bir olayın gerçekleşmesi için neler olması gerektiği veya mevzubahis olan zafiyetlerin kapsamı hakkında bilgi sahibi olmadıkları için, düşünce yapıları da olayları açıklamak için yeterli değil. Tamamen kendilerine özgü bir şekilde olayı dile getirmişler. Ayrıca olayların zaten hacking ve saldırı olarak lanse edilmeye çalışılmasından da, ilgili kişilerin zihniyetlerinin karalamak veya ortamı germek olduğunu açıkça anlayabilirsiniz. Bunlara en güzel cevabı Apple şirketi burada verdi. Günler süren araştırma ve görüşmelerimiz e-posta ve telefon üzerinden gerçekleşti. Yapılan bu araştırma sonucunda, Apple şirketi, yaşanan bu olayın iyi niyet ile yapıldığını ve Apple şirketinin ürünlerinin daha iyi hâle getirilmesi kapsamında fayda sağlayacı olduğunu anladı ve beni kendi sitelerinde teşekkür listelerine eklediler (http://support.apple.com/kb/ht1318). O haberleri daha iyi okursanız, hepsi benim bir hacker olduğumu ve siteleri hack’lemek icin saldırı yaptığımı söyledi, şayet durum böyle olsaydı, Apple beni teşekkür listesine eklemezdi.
Bahsi geçen yazılarda dikkat çekici olan en önemli nokta, diğer şirketin aynı tarihler aralığında keşfetmiş olduğu idda edilen zafiyettir. Bu zafiyet, remote code execution olarak bilinen ve uzaktan kod çalıştırmaya imkân sağlayan bir zafiyet türüdür. Bu zafiyet türünün oldukça tehlikeli olduğu bir gerçek, fakat burada üç noktaya dikkat çekmek istiyorum. Birincisi, Apple Dev Center’ın kapanmasıyla ilgili olarak göndermiş olduğu e-postada açıkça görüldüğü üzere, alındığını söylediği bilgiler veri sızıntısı olarak nitelendirebileceğimiz türden bir zafiyet ile ortaya çıkabilir. Yani burada, kullanıcı adı, soyadı, Apple ID gibi bilgileri ele geçirmek için bu tipte bir zafiyete ihtiyaç vardır.
İkincisi, Remote Code Execution (Uzaktnan kod çalıştırma) gerçekleştiren biri komple sunucuyu ele geçirir. Burada, şifreler de dahil, kredi kartı bilgileri de dahil alınabilir. Yani bilişim ile ilgilenen herkes çok iyi bilir ki, shell üzerinden eğer bağlantı sağlanırsa veya kabuk üzerinde kod çalıştırılabilirse, o sunucunun komple kopyası bile alınabilir. Bu tipte bir zafiyet türü ile kimse kullanıcı adı, soyadı ve e-posta ele geçiremez. Kaldı ki, Remote Code Execution zafiyeti varsa, ilgili sunucunun komple kapatılması gerekir. Çünkü bu tip bir saldırı başka türlü durdurulamaz. Fakat benim tespit ettiğim zafiyet türüne bakacak olursak, site erişimim kesilirse (yayın da bu yüzden durdu), benim kullanıcı bilgilerine erişmemin önüne geçebilirler. Herkes hatırlayacaktır, o dönemde sunucu açıktı, sadece sitede gezilemiyordu.
Üçüncüsü, bunların dışında bildirim yapılan tarihler çok önemli. http://support.apple.com/kb/ht1318 adresinde açıkça görüldüğü üzere, oradaki tarihler, zafiyetin giderildiği tarihlerdir. Remote Code Execution zafiyeti de Apple Dev Center kapandığı gün giderilmiş. Benim bildirim yaptığım tarih 16’sı ve düzeltilme tarihi 25’I; sitenin kapanma süresi de ortalama buna tekabül etmektedir. O haberlde, benim Apple’ın resmi hata bildirme sayfasından verdiği ekran görüntüsünde, tarihler ve zafiyet türleri açıkça gözüküyor. Bunları zaten karşılaştırırsanız, durumu özetleyebilirsiniz. Sadece kullancı adını, soyadı, e-posta gibi bilgileri almak istiyorsanız, ihtiyacınız olan zafiyet, tam olarak benim keşfetmiş olduğum gibi bir zafiyet türüdür ki, bunu güvenlik camiasındaki herkes de bilir.