Üç büyük teknoloji devi Apple, Facebook ve Google’ın güvenlik açıklarını bulan İbrahim Baliç, üç şirket ile arasında geçenleri anlattı.
Röportaj: Aytun Çelebi
Günümüzde, teknolojiyle çok az ilgilenen bir insan bile Apple, Facebook ya da Google gibi şirketlerin en az birisinin hizmet ve ürünlerinden faydalandığını söylemek mümkün. Geçtiğimiz hafta, birçok yayında bu üç teknoloji devinin güvenlik açıklarını bulan, sitelerini ve hizmetlerini hack’leyen bir Türk hacker haberi Türk basınında yer almaya başladı. Biz ise kesin yargılar içeren, ancak muhatap şirketlerin görüşlerine yer vermeyen haberlere karşılık, bu iddiaların hakikati yansıtmayabileceğini içeren bir haber yaptık.
Sonrasında, iddiaların yöneldiği İbrahim Baliç ile üç şirketle arasında geçenleri detaylı bir şekilde konuştuk. Üç şirkete de konu hakkında sorular sorduk. Apple yorum yapmayı reddederken, Google henüz bir yanıt vermedi. Verdiğinde bu yazıya ekleyeceğiz. Facebook’un yanıtı ise şu şekilde oldu: “Bugüne kadar İbrahim Baliç’ten yazılım hataları (bugs) hakkında geçerli bilgiler aldık. Kendisi bu doğrultuda, bize yazılım hatası bildiren diğer isimlerle birlikte White Hat listemizde, 2012 yılı kategorisi altında yer alıyor. İbrahim, rapor ettiği hatalardan biri için, yine 2012 yılında para ödülü de almıştır. Mark Zuckerberg’in hesabını hack’lediğine dair iddialar ise gerçeği yansıtmamaktadır. White Hat listemize https://www.facebook.com/whitehat/thanks/ adresinden erişebilirsiniz.”
Kendinizi kısaca tanıtabilir misiniz?
Londra’da ikamet ediyorum, Türkiye’de ve Londra’da ufak çaplı şahıs şirketlerim bulunuyor. Bu şirketler üzerinden şirketlere güvenlik danışmanlık hizmeti ve uygulama geliştirme hizmetleri veriyoruz. Son zamanlarda malum olaydan ötürü, eğitimler vermeye de başladık. Küçük bir hayatım var, çevremdeki insanlar günde 18 saat bilgisayar başında zaman geçirdiğim için beni hasta ruhlu biri olarak tanırlar. Amacım, kendimi ve ülkemi dijital savaşlara karşı geliştirmek ve gelecekte insanlığa fayda sağlayacak projeler ortaya çıkartmak…
Apple Dev Center’ın kapanması ile ilgili haberlerde adınız geçti. Bu konuda bir blog yazısı ve video da yayınladınız. Ancak, aralarında Guardian gibi gazetelerin ve Techcrunch, InfoWorld, VentureBeat gibi yayınların da olduğu yabancı kaynaklar, bu hack’in sorumlusunun siz olmayabileceğini belirten yazılar yayınladılar. Ne düşünüyorsunuz?
İlk olarak belirtmek istiyorum ki, bu Apple Dev Center kapanması için yapılmış bir saldırı değildi. Bu yapmış olduğum bir güvenlik araştırması sonucu elde ettiğim bilgilerden ötürü, firmanın kendisini güvence altına almayı düşünmesinden ötürü gerçekleştirilmiştir. Belirttiğiniz kaynaklardaki haberlerin içeriği, yazarın şahsî düşüncesidir. Saygı duyuyorum. Fakat ilgili konu için haberi yapan editörlerin uzmanlık alanları, malumunuz ki güvenlik değil ve kendilerinin bu tipte bir olayın gerçekleşmesi için neler olması gerektiği veya mevzubahis olan zafiyetlerin kapsamı hakkında bilgi sahibi olmadıkları için, düşünce yapıları da olayları açıklamak için yeterli değil. Tamamen kendilerine özgü bir şekilde olayı dile getirmişler. Ayrıca olayların zaten hacking ve saldırı olarak lanse edilmeye çalışılmasından da, ilgili kişilerin zihniyetlerinin karalamak veya ortamı germek olduğunu açıkça anlayabilirsiniz. Bunlara en güzel cevabı Apple şirketi burada verdi. Günler süren araştırma ve görüşmelerimiz e-posta ve telefon üzerinden gerçekleşti. Yapılan bu araştırma sonucunda, Apple şirketi, yaşanan bu olayın iyi niyet ile yapıldığını ve Apple şirketinin ürünlerinin daha iyi hâle getirilmesi kapsamında fayda sağlayacı olduğunu anladı ve beni kendi sitelerinde teşekkür listelerine eklediler (http://support.apple.com/kb/ht1318). O haberleri daha iyi okursanız, hepsi benim bir hacker olduğumu ve siteleri hack’lemek icin saldırı yaptığımı söyledi, şayet durum böyle olsaydı, Apple beni teşekkür listesine eklemezdi.
Bahsi geçen yazılarda dikkat çekici olan en önemli nokta, diğer şirketin aynı tarihler aralığında keşfetmiş olduğu idda edilen zafiyettir. Bu zafiyet, remote code execution olarak bilinen ve uzaktan kod çalıştırmaya imkân sağlayan bir zafiyet türüdür. Bu zafiyet türünün oldukça tehlikeli olduğu bir gerçek, fakat burada üç noktaya dikkat çekmek istiyorum. Birincisi, Apple Dev Center’ın kapanmasıyla ilgili olarak göndermiş olduğu e-postada açıkça görüldüğü üzere, alındığını söylediği bilgiler veri sızıntısı olarak nitelendirebileceğimiz türden bir zafiyet ile ortaya çıkabilir. Yani burada, kullanıcı adı, soyadı, Apple ID gibi bilgileri ele geçirmek için bu tipte bir zafiyete ihtiyaç vardır.
İkincisi, Remote Code Execution (Uzaktnan kod çalıştırma) gerçekleştiren biri komple sunucuyu ele geçirir. Burada, şifreler de dahil, kredi kartı bilgileri de dahil alınabilir. Yani bilişim ile ilgilenen herkes çok iyi bilir ki, shell üzerinden eğer bağlantı sağlanırsa veya kabuk üzerinde kod çalıştırılabilirse, o sunucunun komple kopyası bile alınabilir. Bu tipte bir zafiyet türü ile kimse kullanıcı adı, soyadı ve e-posta ele geçiremez. Kaldı ki, Remote Code Execution zafiyeti varsa, ilgili sunucunun komple kapatılması gerekir. Çünkü bu tip bir saldırı başka türlü durdurulamaz. Fakat benim tespit ettiğim zafiyet türüne bakacak olursak, site erişimim kesilirse (yayın da bu yüzden durdu), benim kullanıcı bilgilerine erişmemin önüne geçebilirler. Herkes hatırlayacaktır, o dönemde sunucu açıktı, sadece sitede gezilemiyordu.
Üçüncüsü, bunların dışında bildirim yapılan tarihler çok önemli. http://support.apple.com/kb/ht1318 adresinde açıkça görüldüğü üzere, oradaki tarihler, zafiyetin giderildiği tarihlerdir. Remote Code Execution zafiyeti de Apple Dev Center kapandığı gün giderilmiş. Benim bildirim yaptığım tarih 16’sı ve düzeltilme tarihi 25’I; sitenin kapanma süresi de ortalama buna tekabül etmektedir. O haberlde, benim Apple’ın resmi hata bildirme sayfasından verdiği ekran görüntüsünde, tarihler ve zafiyet türleri açıkça gözüküyor. Bunları zaten karşılaştırırsanız, durumu özetleyebilirsiniz. Sadece kullancı adını, soyadı, e-posta gibi bilgileri almak istiyorsanız, ihtiyacınız olan zafiyet, tam olarak benim keşfetmiş olduğum gibi bir zafiyet türüdür ki, bunu güvenlik camiasındaki herkes de bilir.
AMACIM HACK DEĞİL, ARAŞTIRMAK
Apple web sunucu bildirim sayfasında adınız cross-site scripting sorunu bildiren kişi olarak geçiyor, ayrıca bu sayfa için birçok farklı kişinin ve grubun da adı farklı hata bildirimlerinde geçiyor. Sadece hata bildirimini bir sitenin hack’lendiğinin kanıtı olarak mı algılamalıyız?
Öncelikle konu çok yanlış anlaşılmış. Siteyi hack’lenseydi veya o kişiler saldırı yapsaydı, o sayfada bulunmazlardı. Öncelikle o sayfanın anlamı doğru anlaşılmalıdır. O sayfa şu anlama geliyor: Bahsedilen Apple ürünlerinde bir hata vardır. İyi bir güvenlikçi bu hatayı bulmuştur ve bize rapor etmiştir, biz de bu hatayı gidermişsizdir. Etik kurallar dışına çıkarsanız, zaten o sayfaya eklenmezsiniz. Yoksa o sayfa dışında binlerce kişi Apple ürünlerini kırıyor, niye orada yoklar?
Şimdi gelelim sorunuza; cross-site-scripting türünde de zafiyetler keşfettim, stored-cross-site-scripting türünde de keşfettim. Bunlar, birbirinden farklı türlere sahiptir. Öncelike, bu tür zafiyetlerin neler olduğunun anlaşılması gereklidir. Stored-XSS zafiyeti keşfetmek demek, geliştirme merkezi (Apple Dev Center) içine, benim istediğim bir java script’i kalıcı olarak dahil etmem ve siteye giren tüm kullanıcılarda (yöneticiler, geliştiriciler, moderatörler ve saire) bu script’i (betik adlı ufak programlar) çalıştırmam demektir. Bunu çalıştırarak, tüm çerezleri (sitede oturum açma bilgilerini) çalabilirim. Sitede stored-xss bulmak, siteyi hack’lemek değildir ama sitede siteyi doğru bir saldırı ile hack’leyebileceğinizi gösterebilir. Ama bizim böyle bir çalışmamız olmadığı için, zaten bizi ilgilendiren bir durum değil. Ben güvenlik araştırması yaparım, buldugum zafiyeti de firmalara gönderirim.
Techcrunch’a DevCenter’ın kapanmasından önce bildirdiğiniz hatanın (#14488816) iAd, yani Apple’ın mobil reklam platformuyla ilgili olduğunu söylemişsiniz. Bize olayı bir daha anlatmak ister misiniz? Apple, DevCenter nasıl hack’lendi ve bunu yapan kişi siz miydiniz?
Her sorunuz için aynı cevabı vereceğim. Apple DevCenter hack’lenmedi. Firma, kendisini koruma altına alabilmek için kapattı. Benim de bir hack girişimim bulunmadı. Ortalığın karışmasının sebebi, aslında tam olarak bu diyebiliriz. Ayrıca iAd için yaptığım bildirimde görmüş olduğunuz gibi, reklam platformu üzerinden Apple’a kayıtlı tüm kullanıcılara ulaşabiliyordum. Zaten hata da buydu. Bu bilgilere gelişigüzel, herkesin ulaşabileceğini gösterdim ve 140 binden fazla Apple kullanıcı ID’sine eriştim. Apple şirketinin yanılmasına sebep olan şey ise şu oldu; benim onlara örnek olarak gönderdiğim veriler arasındaki bulunan kullanıcı bilgileri arasında java script kodları gözüküyordu. Bunu gören yetkililer de, benim forum içerisinde keşfettiğim stored-xss’i kullanarak bu bilgileri çalmış olduğumu düşünmeleri oldu. Bu yüzden de kapattılar.
FACEBOOK AÇIKLARI, ONA ÖDÜL GETİRDİ
Hakkınızda yayınlanan haberlerde Facebook’a da çeşitli hatalar bildirdiğiniz ve hatta Facebook’un size para ödülü verdiği belirtiliyor. Firmalar güvenlik açıkları için böyle prosedürler izliyor mu?
Facebook bana bir kredi kartı gönderdi. Bununla alakalı olarak, bir de tebrik mektubu ve birkaç hediye aldım, şapka, tişört ve iPhone kabı. Bunları, zafiyet keşfeden ve bunu firmaya raporlayan kişilere gönderiyorlar. Burada firma kendi içinde bulmuş olduğunuz zafiyet türüne göre size para ödüyor (kredi kartınıza limit ekliyorlar).
Güncel konulara gelirsek, Google Play’e yüklediğiniz yazılım hakkında bilgi verir misiniz?
Keşfettiğim zafiyet, Google Play hakkında değil, Android işletim sistemi ve Android işletim sistemi için geliştirilmesini sağlayan uygulama araçları hakkında. Google’a bunları da raporladık, fakat burada farklı bir test yapmaya çalıştım. Google, uygulama mağazasına koyacağınız her türlü uygulamayı, koymadan önce, kendisi test ediyor, bunu tüm geliştiriciler bilir. Ben de bu geliştirdiğim zararlı uygulamayı Google’ın test etmesi için gönderdim ve dedim ki; bakalım neler olacak. Tam olarak bu sırada, zararlı uygulama Google Play mağazasını kitledi, olay tam olarak budur.
Bu yazılım uygulama mağazasının kapanmasına nasıl sebep oldu?
Buffer Overflow türü dediğimiz, uygulamanın işletim sistemi tarafından ona ayrılan belleğinin taşmasından ötürü ortaya çıkan bir tür zafiyettir. Türkiye’de babası Celil Ünver’dir, ilgili zafiyet türü hakkında dünya çapında önemli yazılımlarda keşifleri vardır. Daha ayrıntılı bilgiyi kendi blog’undan takip edebilirsiniz. Bunun dışında, hafızası bozulan sistem, kendini kapatmaktadır. Bu sebeple, bu zararlı uygulamayı yüklediğim her Android cihaz otomatik olarak kendini kapatiyor. Bir tür sistem zafiyeti ortaya çıkıyor.
Tekrar benzer bir yazılım yüklenirse mağaza yeniden kapanabilir mi? Google bu açığı giderdi mi?
Kapanabilir, ama Google bunun önüne geçti. Test yapılan uygulamaları şu anda, eskisi gibi tedbirsiz bir şekilde kontrol etmiyor.
TELEFONLAR BİLGİSAYARDAN DA DİNLENEBİLİR
Sonuçta hukukî bir yaptırım olması ihtimali sizi korkutmuyor mu?
Hukuki bir yaptırım olamaz, çünkü bilgisayardaki her yaptığınız ve denediğiniz şey kayıt edilir. Buradan gördükleri ve keşfeder keşfetmez onlara bildirdiğim için her zaman White Hat Hacker olarak listelerde yer alıyorum. 7 yıllık iş hayatımda bunca olaya karışmama rağmen, hiçbir kullanıcıyı riske atacak yasa dışı bir olaya karışmadım. Herkesin bir sicili vardır ve olaylara yaklaşım tarzımı ve beni de herkes artık tanıyor: İbrahim Baliç iyi bir adam.
Son günlerde bilgisayar üzerinde değil daha çok telefon görüşmeleri üzerine siber suçlar gündemde. Sizce kriptolu bir telefon dinlenebilir mi?
Dinlenir, dinlediler.
Cep telefonu dinlemelerini bilgisayar üzerinden gerçekleştirmek mümkün mü?
Tabii ki yazılımsal dinlemeler de yaygındır. Hatta bilgisayar ile artık ortam dinlemesi bile mümkün. Benzer bir olay için, geçtimiz aylarda Google şirketini suçladılar. HTML5 ile gelen Google Konuş özelliği, doğrudan mikrofona erişim sağlıyor ve istediği zaman bilgisayarınızdan ses verilerini alabiliyor diye, ortalık karışmıştı. Benzer birçok olay da var. Benzer olarak, devletler de benzzer uygulamalar kullanıyor. Daha fazla ayrıntı icin finfisher rat olarak araştırma yapabilirsiniz. Devletlerin kullandığı benzer uygulamalar da oldukça fazla.
Operatörlerin sistemlerinde açık buldunuz mu, bu alanda çalıştınız mı?
Pek ilgi alanım değil.
DÜNYA NE DÜŞÜNÜRSE DÜŞÜNSÜN, KURALLARI BEN KOYARIM
White Hat Hacker olduğunuzu belirtiyorsunuz. Bu kavramı biraz açar mısınız?
Hacker olduğumu hiç bir zaman kabullenemedim ama beni ille de bir sınıfa koymak istiyorlarsa, White Hat Hacker olabilirim. Bir tür hacker sınıfı, iyi niyetli hacker’lar olarak anılırlar.
Apple Dev Center’da eriştiğinizi söylediğiniz geliştirici bilgileri arasından, birkaç geliştiricinin kişisel bilgilerini ifşa ettiniz. Bunun White Hacker etiği ile uyuşmadığı ve başka şekillerde de bu bilgilere erişebileceğiniz şeklinde eleştiriler oldu. Bu eleştirileri nasıl yorumluyorsunuz? Eklemek istediğiniz başka bir şey var mı?
Kesinlikle haklısınız, bu konuda çok tepki aldım. Apple yetkilileri, bu konuda çok hassas davrandı ve tüm bilgisayarımdan bu verileri sildiler. Ben o dönem Londra’ya dönmüştüm. Ülke çapında takip edeceklerini ve eğer bir başka kullanıcı bilgisi yayınlanırsa, dava açacaklarını belirttiler. Malumunuz ki, bazen iyi birşeyler yapmak için fedakarlık yapmak gerekiyor. Ben de bu cesarete sahip biriyim. İyi olacağını düşünüyorsam, kuralları ben koyarım. Dünyanın ne düşündüğü umrumda değil.