Beyaz Şapkalı bir Hacker’ın Anatomisi
O bir hacker ama amacı zarar vermek değil iyilik yapmak ve size önerileri var


Geçen hafta tanıştığım Türkiye'nin sınırlı sayıdaki "Beyaz Şapkalı Hacker"larında Emir Avcı'dan bizim için özel bir yazı yazmasını istedim. Bilişim güvenliği alanındaki bilgisini ve deneyimlerini bizlerle paylaşmayı memnuniyetle kabul eden Emir Avcı'nın anlattıklarını ve öğütlerini dikkatle okumanızı öneriyorum.
Selin Kunt


Merhaba ben Emir Avcı. İstanbul doğumluyum..
11 yaşında babamın bana almış olduğu bilgisayar ile hayatım değişmeye başlamıştı. İşte her şey tam o yaşda ilk adım başlanğıcı olmuştu.
11 yaşında oyun oynamaktan başka bir şey yapamıyorsunuz.
Bilgisayarı sadece oyun aracı olarak görüyordum.
Ama bir gün bilgisayarlar ile ilgi ilginç bir haber gördüm. Hacker'lar dan bahsediyorlardı.
Hackerları araştırmak için sadece internette kısıtlı bilgileri takip ediyordum.
En çok Bill Gates’in hayatı beni etkiliyordu. Sonuçta o hackerların babası olarak biliniyordu.
Hayatımda bilgisayarda oynamak dışında başka bir şeylerin de olduğunu düşünmeye başladım. Bu araştırmaları yaptığımda henüz reşit bile değildim. Oyunlara olan tutkum yıllar içerisinde değişmeye başladı.
Bilgisayar parçalarına merak duymaya başladım. Bilgisayarın çalışma mantığı beni kendisine hayran bıraktı. Ve 2006 senesinde ilk hack denememi özel bir radyonun sunucusuna izinsiz erişerek yaptım.
Sonrasında büyük holdinglerin sistemlerine izinsiz erişerek devam ettim ve bu sorun yarattı.
Medyanın da yaptıklarımı duyması ile ismim bilişim sektöründe iyi huylu hacker olarak duyulmaya başladı.
En genç hackerlardan olmak çok güzel bir duygu.
Türkiye’nin en genç hacker’larından biriyim. Beni aslında bilişimin her dalında bulabilirsiniz özellikle de güvenlik konusunda. İnsanlarımız çok ilgili ve beni bir çok lise üniversite öğrencisi ödev konusu olarak bile kullandı. Bu beni gerçekten çok sevindiriyor. Ama beni farklı gözle görenler de var. Yaptığım işin adı hacker olduğu için beni sadece soyguncu ya da internetin hırsızlarından gibi görüyorlar.
İşte bu bilgilerin yanlış olduğunu burada daha ayrıntılı bir şekilde açıklıyorum. İş konusunda hayatımın değişim noktası 19 yaşındayken başladı.

"Genç yetenek" sıfatıyla üniversitelerden konferans talepleri geliyor.
Bu talepleri severek kabul ediyorumdum ve konferanslarda kendi hayatımı yaptıklarımı ele alacağımı sanıyordum. Oysa insanların niyetlerinin ve düşüncelerinin çok farklı olduğunu fark ettim.
Örnekler verecektim işlerimi anlatacaktım ve o yaşın vermiş olduğu ego ile de hoş olacaktı. Ama sorular çok değişik sorulmaya başladı.
Hackerları suçlarcasına gelen sorular ve beni de sadece bir şifre kırıcı olarak görmeleri beni çok şaşırttı.
Ama benim genel amacım bilgi bilişim güvenliği sağlamak olduğundan katılımcılara tercihimin hep iyi amaçlı bilgisayar programcılığı ve mühendisliğinin ileride daha iyi bir noktaya gelebileceğini anlatıyordum.
Ben olumluyu anlatarak konuştuğumda dinleyici öğrenciler uyuklardı. Ama şifre kırma ve bunları koruma konusuna değindiğimde herkes toparlanıp soru sormaya başlardı.
İşte orada herkesin içinde iyi ya da kötü bir hackerın yattığını düşündüm.
Tabi iyi bir kariyer için istekli ve meraklı olmalarını söyledim. Bilişim sektöründe hep öğrenmeye açık olmaları durumunda kariyer bakımından iyi bir yere geleceklerinden bahsettim.
Hackerlık ayrı bir beceri yetenek merak ve tutkudur. Ben hacker olacağım diye bilgisayar kullanmadım. İnsan sadece hacker olabilmek için ilgili bölümde okumamalı bu anlamda yanlış kariyer seçmiş olabilir. Sistem mühendisi ağ yöneticisi bilgi güvenliği uzmanı yazılım uzmanı web tasarımcı vs. olup bilişim konularında tecrübe edinebilir ve sağlıklı bir seçim yapabilirler.

Yeteneklerimi iş sahasına girdiğimde kazanabildim.
Ben aslında gerçek hackerlık yeteneğimi büyük holdinglerin sistemlerine izinsiz eriştiğimde keşfettim.
Her insanın kendisi hakkında bilinmediği yönleri vardır.
Aslında bu noktada herşey değişiyor. Bu kendini bilme ve özgüvenini kazanma ile başlıyor.
Bende yeteneklerimi bu alanda gösterdim.
Yeteneğimi ve bilgimi kötüye kullanmak gibi bir isteğim asla olmadı.
Sonuçta ben "iyi" iş yaparak da hayatımı kazanıyorum. Gençliğin vermiş olduğu ve ergen zamanlarımın ego oluşumu ile bir çok sisteme hack etmek için sızmışlığım oldu.
Tabi bu benim kötü olduğum anlamını taşımıyor çünkü sadece zararsız bir yetenek ile zararsız bir merakım vardı.
Ben kendime yeteneklerimi keşif ettiğim zaman inandım ve bir yol çizdim. Ya iyi ya da kötü olacaktım.Benim yetişme ortamımda hiç bir zaman kötü olmak kötüyü tercih etmek söz konusu olamazdı.İşimi seviyorum işim ile yaptıklarımı tecrübelerimi paylaşmayıda seviyorum.
Güvenlik konusunda bir çok firmaya danışmalık veriyorum. Firma bilgi işlem departman yetkilileri temasa geçiyor iş anlaşması yapıyoruz. Anlaşma gereği o firmanın sistem alt yapısındaki açıkları ortaya çıkartıp sonra da bu açıkları kapatıyorum.

Beyaz şapkalı hacker olarak Türkiye'nin teknoloji dünyasındaki yerini iyi görüyorum.
Türkiye yavaş ilerleme sorunundan kurtuldu. Ve teknolojide çok iyi bir yere hızla koşarak ilerliyor. Tabi bazı sorunlarımız da yok değil hiç bir yer dört dörtlük değildir. Her yeni yapılanma için biraz zaman gerekiyor. Bu zamanı bizler iyi değerlendirmeliyiz ki sonucu gelişmeye gitsin.
Temel olarak kamu sektöründe alınması gereken eksik olan güvenlik önlemleri çok ve bunları biraz erteliyoruz gibime geliyor. Bu konuda bir yenileme yapmamız gerekiyor.
Geleceğimizin iyi olmasından yana bir şüphem yok.
Biz büyük bir sevgi ile mesleğimizi tam anlamı ile iyi bir şekilde yaptığımızda üstesinden gelemeyeceğimiz bir işin olamayacağını düşünüyorum.

Hackerların amaçları 2 çeşit grupları ise 3 çeşittir.
Hackerlar çok meraklı sivri zekalı ve sorunları çözmekten bıkmayan insanlardır.
Asıl tutkuları öğrenmektir.
Her bir şeyi merak edip orda bulunmayı ya da o sistemdeki engeli aşmayı isteyen kişilerdir.
Hackerları abartısız olarak gruplarsak ortaya 3 grup çıkıyor ki dünya çapında da böyle biliniyor.
Bunların başta geleni Siyah Sapkalı Hacker'dır. Siyah şapkalı hackerlar sadece zarar vermek için ve zevk için ya da para kazanmak için saldırılar düzenler ve bu işten büyük haz alırlar.
Gri Şapkalı Hacker ise menfaate göre iş yapar. Gri şapkalı hackerlar iki şey düşünürler. Ya iyi iş yapacak ya da zarar verip bunu ticari kazanca çevirecektir.
Beyaz Şapkalı Hacker ise tamamı ile ait olduğu kuruma sadece kar sağlaması için ve bu karda zararlı çıkmaması için bir çok güvenlik metotları geliştirir.
Her zaman firmayı korumak için çözümler üreten kişidir. Tabi beyaz şapkalı hackerlar siyah şapkalı hackerların her yaptığı saldırı yöntemini bilirler. Ve bu bildiklerini iyi olarak kullanırlar.
Bu konu gerçekten çok donanımlıdırlar ve ben de burda beyaz şapkalı hacker olduğumu çekinmeden söyleyebilirim.

Türkiye'de hackerlar hakkında yanlış bilgiye sahibiz ve Beyaz Şapkalı Hackerları güvenlik uzmanı olarak bilmemiz daha doğru olacaktır.
Hacker'lar dolandırıcı değildir.
Bilgisayarı merak eden ve inceliklerini öğrenmek isteyen meraklı kişilerdir.
Zaten kötü bir iş yapan var ise buna dolandırıcılık yerine hırsızlık denilmesi daha uygun olacaktır. Bunu çok dalda ele alabiliriz. İyi bir güvenlik uzmanı zaten hacker dır. İşe alınması ise firmayı korumak içindir. Düşünsenize büyük bir holding ve bunun teknoloji alt yapısını bir güvenlik uzmanı koruyor. Aslında o güvenlik uzmanından çok hacker dır. Bir güvenlik uzmanı kötü niyetli internet kalpazanlarının uygulayacağı her yöntemini biliyordur. Bu da oluyor ki güvenlik uzmanı daha tehlikeli kötülere karşı iyi huylu hacker dır. Bu yüzden çoğulu kullanmamak gerek. Hacker dediğimizde kötü iş yapmayan meslek arkadaşlarımızıda suçlamış oluruz. Bunu halkımızda yanlış tabirle kullanır. Hacker denildiğinde internetin dolandırıcısı diye tanımlar. Hacker’lar merak tutkusu ile yaşayan ve iş sürecindeki konumunu bilişim yöneticisi olarak üstlenen kişilerdir. Hacker olduğunu iddaa eden ve bunun içinde kötü işler işliyorsa bu hackerlık dan çıkmış demektir. Benim kanaatim bu yöndedir.


Beyaz şapkalı bir hacker olarak Türkiye'nin bilişim suçlarına verdiği önemi çok iyi görebiliyorum.
Evet Türkiye'de bilişim suçları ve çocuk *****suna karşı müthiş bir güvenlik önlemimiz var. Tabi başta belirttiğim gibi biz Türkiye olarak internette yavaş ilerleme yolundan çıktık ama şuan hızlı ve istikrarlı bir şekilde başarılı kişiler ile bu konuda hızla ilerliyoruz. Tabi tekrar belirttiğim gibi her şey dört dörtlük değildir. İllaki bir kaç sorunumuz olacaktır. Bunlara da zaman vermeliyiz ve şuanda gerçek den çok iyi çalışan birimlerimiz bulunuyor haklarını yiyemeyiz. Mesela program diyorsunuz evet ***** sitelerine karşı önlem aldığımız filtre programlarımızda mevcut ve bu konuda başarılıyız. Son kullanıcıya hitaben hazırlanılan filtre programları her ne kadar aşılıp etkisiz hale getirilse de bizim yapmamız gereken kullandığımız o filtre programının standart şifresini değiştirmeliyiz ki interneti kullanan çocuklarımız bunları aşmasınlar. Son kullanıcı diyip geçiyoruz ama bu kişiler sadece bilgisayar kurdu değil aynı zamanda bu gibi basit teknik konuları aşabilcek bilgiye sahip gençlerimizde var. Burada bilinçli olması gereken ebeveyndir.


18 + siteleri engellemede başarılıyız. Ama yasa dışı engeli aşanlara karşı bir savunmamız yok.
Türkiye site engelleme konusunda gerçek den çok başarılı ama bir kaç sorunumuz var.. Bu engeli aşmak içinde DNS adreslerini illegal (yasa dışı) yol ile değiştiren gruplar bunu nete yaydığında tüm herkes bunu kullanıyor. Bu kişiler erotik içerikli sayfaları destekledikleri için bunlar bizi ilgilendirmiyor. Ama engeli aşan çeşitli dökümanları yok etmekte ya da o konu başlığını silmekde çok baskısız kalıyoruz. İşte bu konuda biraz zayıfız aslında kullanımda olan illegal siteler aracılığı ile erişimi engellenmiş sitelere ulaşabilmek kolay bunu engellemek için ise pek baskı uygulamıyorlar. Bu tür siteleri de engelleseler çok iyi olacak. Her ne kadar güvenlik alınsa da ileride bu güvenliği aşan bir takım grup çıkıyor. Bir tarafdan güvenlik birimlerini anlayış ile karşılamalıyız.


İnternette alış-veriş yaparken korunmak bizim elimizde..
Güvenlik de %100 bir yaklaşım yapamam yaparsam bu çok yanlış olur. İnternet ortamında %100 bir güvenlik kavramı yoktur. Tüm veriler gizlilik den kalkıyor. Ama temel bir güvenlik kavramı var ki bunları yaptığımızda kendimizi güven altına alabiliyoruz. Bilinçli bir toplum olduğumuzda herşeyin üstesinden gelebiliriz.
Mesela İnternet bankacılığını kullanıyorsanız ilk yapmanız gerekenler :

· İşlem yapmak istediğiniz siteyi sık kullanılanlara eklemeniz gerekmektedir.

· İnternet ort******* tanımadıklarınızdan ya da teyit etmeden veri-alış verişinde bulunmayınız.

· Şifrematik kullanınız.

· Güncel anti-virüs programları kullanmalısınız ki bu da lisanslı olmalıdır.

· Bilgisayarı güncellemeniz gerekmektedir. Hep güncel olmalıdır.

· İnternet bankacılığında para transferi konusunda temkinli olarak transfer işlemlerini kısıtlayabilirsiniz. Ya da belirli bir para miktarı koyabilirsiniz.

· Her para transferi yapıldığında yüz yüze mesaj uygulamasını kullanmalısınız.

· İşleminiz bittiğinde internet tarayıcınızın geçmiş bilgilerini ve çerezleri silmelisiniz.

Rahat alış-verişi yapmak için bilinçli ve bu tür konuları okumakdan kaçmayan bir toplum olmamız gerek ki sorun hiç büyümeden korunalım. Güvenlikten bilinçlenmekden bahsediyorum.. Şifrenizi korumanızı öneriyorum.

%100 güvenlik istiyorsanız bilgisayarınız kapalı olmalıdır. Tabi ki bu imkansız bir istek olur ama güvenliğe engel olan bir oluşum için yapılması gereken asıl uygulama şifrelerin nasıl korunur halde olduğunu bilmek.
Bu güvenlik işlerinde yüzdelik bir konu söz konusu olamaz ki olduğunda profesyonellik dışı kalınır. Güvenli şifre sayı ve harflerden oluşmalıdır. Bir de yazı karakterlerinde büyük/küçük harf kullanılmalıdır.

Facebook msn şifremizi nasıl koruyabiliriz
Facebook şifrenizi korumak emailr şifrenizi korumaktan geçer nasıl mı?
İlk önce mail hesabınızı rakam-harf ve büyük/küçük olarak kullanmalısınız. Sonrasında gizlilik sorunuzu seçtiğinizde onun cevabını o sorudan bağımsız ve alakasız olarak vermelisiniz.
Böylece hem Facebook hesabınızı korumuş olacaksınız. Hem de aynı sistemi kullandığınızda Messenger hesabınız da güvende olacaktır.
Tabi herhangi tanımadığınız linklere tıklamamanız önemlidir.
Bir de fiziksel olarak bilgisayarınızı başka kişilerin kullanmamanıza dikkat edin engel olamıyorsanız şifre geçmişini silin. Bu yeterli olacaktır.

Konferanslardan ücret almıyorum diye şaşıranlar var.
Tabi iş hayatı yanı sıra eğitim ile uğraşıyorum. Ben istanbul üniversitesinde okuyorum. Ama faydalıda olmak istiyorum. Benim gözüm daha fazla para da olmadığından üniversitelerin ilgili ya da ilgisiz alanlarında ücretsiz konferanslar düzenliyoruz. Bu konferanslar içerik olarak son kullanıcıyı bilinçlendirmek adına oluyor. Kimse ben biliyorum diyip geçmesin. Bu bilişim konularında bilinçlisiz. Bu bilinçlendirme için hiçbir zaman verdiğimiz konferanslarda reklam ve ücret talep etmedik sadece faydalı olabilmeyi önemsiyoruz.

Ben hayatımı iyi yönde kullanan ve firmalara güvenlik sağlayan biriyim.
Benim firmam olan Sistemcim'de firmaların sistem ağ ve web güvenliklerini sağlıyoruz.
Bunları aşama aşama raporlama şeklinde gerçekleştiriyoruz. Tabi bunlar ekip çalışması ile oluyor.
Ekip çalışanlarıyla önce kötü niyetli bir hackerın yapabileceği tüm saldırıları düzenliyoruz ardından bu saldırı kanallarını kapatıyoruz.
Engelleme ve yüksek derece güvenlik çözümleri üretiyoruz. Bu güvenlik testleri sözleşme dahilinde yapılıyor.
Ayrıca aylık güncel sistem analizi yapıyoruz.
Yani anlıyacağınız gibi sistemleri her zaman analiz ediyoruz ve açık tespit edildiğinde ekibimiz ile buna çözüm yamalar geliştiriyoruz. Firmayı dış saldırılardan korumak için elimizden gelen çalışmaları yapıyoruz.