09 Aralık 2016

‘Apple bir hacker peşinde değil’

Haber İçi Üst

Apple’ın 2008’de hayata geçirdiği ve dünyadaki milyonlarca yazılım geliştiricinin yararlandığı geliştirici portalı, geçtiğimiz hafta Perşembe’den bu yana kapalı. İlk günlerde konu hakkında detaylı bilgi vermeyen Apple, bu sabah saatlerinde yaptığı açıklamayla geliştirici portalının ‘siber saldırıya uğradığını ve bir saldırganın kullanıcı bilgilerini ele geçirmeyi amaçladığını’ öne sürdü.

Geliştirici portalının güvenlik açığını bulan ve tespit ettiği tehdidi Apple’a bildiren Türk güvenlik araştırmacısı İbrahim Baliç, teknoloji devinin açıklamasının ardından YouTube’ a koyduğu video ile ‘Apple’ı hack’lemediğini, yaptığının yasal bir güvenlik açıklaması olduğunu’ belirtti.

ntvmsnbc’ye konuşan Baliç, ‘Apple’ı araştırmaları hakkında uyarması ve tüm süreç hakkında bilgilendirmesine rağmen kendisine geri dönüş yapılmadığını ve bir hacker gibi gösterilmeye çalışıldığını’ söyledi.

Baliç, Apple’ın tespit ettiği güvenlik açığı nedeniyle itibarının sarsılmasından korktuğu için bu şekilde hareket etmiş olabileceğini belirtti. Baliç, ntvmsnbc’nin sorularını yanıtladı.

Apple, röportajımızdan bir gün son İbrahim Baliç ile iletişim kurdu. Ürün yöneticilerinden Scott …, Baliç ile görüşmek istediklerini belirtti.

Apple’ın geliştirici portalındaki güvenlik açıklarını aramaya ne amaçla ve neden başladın?

Ben büyük teknoloji firmalarının düzenlediği ödül programlarını takip eden bir güvenlik araştırmacısıyım. Büyük firmalar bu programları teşvik amaçlı olarak düzenliyor ve serbest olarak çalışan araştırmacıları buldukları güvenlik açıkları karşılığında ödüllendiriyor. Düzenlenen programların kapsamı, kuralları ve içeriği şirketlere göre değişiyor.

Benim Apple ile olan ilgim tamamen mobil uygulamalara dayanıyor. Uygulamaları gözden geçirirken aklıma araştırma yapma fikri geldi ve çalışmaya başladım.

Geliştirici merkezindeki güvenlik açığını ne zaman araştırmaya başladın?

15 Temmuz’da. O gün yaptığım ilk güvenlik zaafiyeti araştırmasında küçük bir ‘bug’ (sistem hatası) tespit ettim.  Bir bug’ın boyutunu, bir güvenlik açığına sebep verip vermeyeceğini test ederek anlıyorsunuz. Ben Apple ve önceki firmalar için geçmişte yaptığım araştırmalarda sadece bu bug’ları tespit edip gerekli bildirimi yapıyorum.

İlk tespitin ardından birkaç bug daha tespit edince ayın 16’sında Apple’a bildirim yaptım. Ancak cevap gelmedi.

Toplam kaç tane bug tespit ettin?

16-17 Temmuz’da toplam 13 tane bug buldum ve Apple’a bildirdim. Bildirimlerin hiçbirine Apple’dan hiçbir cevap gelmedi.

Bildirimleri geliştirici portalındaki kendi hesabın üzerinden yaptın?

Evet. Kendi hesabımdan, Apple’ın bu tür bildirimlerle ilgilenen ‘Bug Reporter’ adlı alt birimine bildirimde bulundum.

Sonuç olarak bildirim yaptığında kimliğin belliydi?

Evet. Apple geliştirici merkezindeki kayıtlı kullanıcılardan biriyim. Aynı zamanda Apple tarafından lisansı olan bir yazılım geliştiricisiyim.

“DÖRT SAAT SONRA ERİŞİM KESİLDİ”

Neden geri dönüş yapmamış olabilirler?

Tespit ettiğim bug’ların çok basit olduğunu ve Apple tarafından önemsenmediğini düşündüm. Bu yüzden araştırmalarıma ağırlık verdim. Sonraki araştırmalarda diğer kullanıcıları da etkileyebileceğini düşündüğüm yeni bug’lar buldum ve yeniden bildirimde bulundum. Ancak yine cevap gelmedi.

Bu tespitleri hangi gün yaptın?

17 Temmuz’da. En çok tespiti yaptığım gün 17’siydi ve aynı gün kullanıcıların bilgilerine ulaşabildiğim açıkları buldum. Tüm bu tespitlerin kayıtları ve ID’leri belirli. Açığı tespit ettikten sonra Apple’a yine e-posta gönderdim.

Bilgiler neler içeriyor?

Kullanıcıların verilerini görmemi sağlayan bug aracılığıyla, 73 tane Apple çalışanının bilgilerine ulaştım. Ayrıca, Mark Zuckerberg’i arattım ve yıllar öncesinden açılmış bir hesabın bilgilerini buldum. Bu hesap bir başkasının aynı adla açtığı profil de olabilir. Ben tespit ettiğim bug ile veri sorgulaması yapabildiğim için merakımdan dolayı Zuckerberg araması da yaptım.

Elde ettiğim bilgilerin hepsini topladım ve bu sefer tüm verileri hem Apple’a, hem de Bug Reporter’a gönderdim. Açığın çok ciddi olduğunu çünkü içeriden kullanıcı bilgisi çekmeme imkan verdiğini belirttim. Belirttiğim sayıdan daha fazla da kullanıcı bilgisi almadım.

Yani ne Apple, ne de Bug Reporter e-postalarına cevap vermedi?

Evet. Kullanıcı bilgilerine de ulaşmamı sağlayan açığı tespit ettikten sonra durumun ciddiyetinden dolayı hem e-posta hem de Bug Reporter aracılığıyla bildirim yaptım. Ancak yine geri dönüş yapmadılar. Aradan iki gün geçtikten sonra, ayın 21’inde, elimde bulunan bilgiler üzerinde test yapmak istedim. Çünkü tespit ettiğiniz bug ile neler yapabileceğiniz, tamamen ayrı bir alan. Bug’ları tek tek analiz edip incelemeniz gerekiyor.

Apple geliştirici portalını ne zaman kapattı?

Kullanıcı bilgilerine ulaşmamı sağlayan bug’ı tespit ettiğimi bildirdikten dört saat sonra erişim kesildi. Bu aşamada bana yine geri dönüş olmadı.

Sen nasıl hareket etmeyi düşündün?

Ben, bulduğum bug yüzünden Apple’ın itibarının zedelenmesine izin vermesini istemediği için böyle hareket ettiğini düşünerek telaşlandım. İlk aklıma gelen bu oldu çünkü kullanıcı bilgilerine ulaşabilmeniz bir firma için çok ciddi bir durum. Ancak ben hiçbir bilgiyi paylaşmadım. Facebook sayfamda olsun veya başka bir yerde kimseye bahsetmedim, son derece ciddi yaklaştım. Beklentim, Apple’ın bana ciddi bir şekilde geri dönüş yaptıktan sonra tespitlerimi onayladıkları veya incelediklerine dair bir açıklama yapmalarıydı. En azından bir teşekkür etmelerini, mesleği güvenlik açıklarını bulmak olan birisi olarak isterdim.

Birçok firma güvenlik açıklarını tespit eden yazılımcıları bir listeye ekliyor ve onları ödüllendiriyor. Firmaların halihazırda ödül programları var. Kimi para ödülü veriyor, kimi tişört gönderiyor, kimi WhiteHat listesine ekliyor. Apple’ın da kendine özgü bir programı var. En son kontrol ettiğime göre, Apple geçtiğimiz ay bir yazılımcıyı teşekkür listesine bile eklemiş. O kişi de aynen benim gibi bireysel bir araştırma yaptı, Apple’dan izin alarak güvenlik açıklarını araştırmadı. Sonuçta bizler serbest araştırmacılarız ve benim de beklentim benzer bir tepkiyle karşılaşmaktı.

“FACEBOOK BANA ŞAPKA GÖNDERDİ”

Geçmişte Facebook da dahil olmak üzere bu tür araştırmalar yaptın?

Evet. Apple araştırmama da aslında 15’inden önce başladım, günlerce uyumadım. Sadece merak ettim ve güvenlik açıkları olup olmadığına bakmak istedim. 100 binin üzerinde kullanıcı bilgisine ulaştım ve bu esnada Apple’a bildirimde bulunarak araştırmamdan bahsettim. Bugüne kadar benzer çalışmaları birçok firmaya yönelik yaptım ve her zaman bana bir geri dönüş yapıldı.

Peki Apple neden senin kimliğini kabul etmiyor? Henüz geçtiğimiz ay İstanbul’da düzenlenen NOPcon bilgi güvenliği konferansında konuşmacıydın…

Bunu Apple’a anlatamazsınız.  Ancak karşısındaki kim olursa olsun, Apple’ın kendisine bildirilen güvenlik açığı hakkında geri bildirimde bulunması kurumsal bir yükümlülüktür. Hatta ben binlerce kullanıcının bilgisine ulaşabildiğim hakkında uyarıda bulunmama rağmen geri dönüş almadım. Apple’ın en azından karşısındakinin gönlünü alarak onu muhafaza etmesi ve durumu kontrol etmesi gerekirdi.

Yaptığım bildirimlerde diğer kullanıcıları etkileyebilecek önemli bir açık olduğunu vurguladım ve Apple’ın ne kadar büyük bir kurum olduğunu bilerek bu çalışmayı yaptığımı belirttim. Sonuç olarak bir karşılık beklerdim.

“APPLE BENİ YOK EDEBİLİR”

YouTube’a koyduğun videonun altında yatan sebep ne?

Bu sabah, tüm geliştiricilere olduğu gibi bana da Apple geliştirici hesabımdan bir e-posta geldi. Apple’ın ‘bir saldırıya uğradıkları’ yönündeki mesajı, beni çok büyük bir hayal kırıklığına uğrattı ve YouTube’a video koyma ihtiyacı hissettim. Yaptığım tüm tespitleri ve bildirimleri Apple’a ekran görüntüleriyle, verilerle birlikte sundum.

Eğer bir saldırı planlıyor olsaydım, stratejik bir şekilde hareket eder ve milyonlarca kişinin bilgilerine de ulaşabilirdim.

Geçmişte böyle bir durumla karşılaştın mı?

Hayır. Henüz geçtiğimiz ay Opera’da farklı bir güvenlik açığı tespit ettim ve bana teşekkür edip beni listelerine eklediler. Geçtiğimiz yıl Facebook’ta kapsamlı bir araştırma yaptım ve bana ‘Hacker’ yazan şapka ve çıkartma yolladılar. Yaptıkları teşviki bir düşünün. Ancak Apple’da geldiğimiz nokta bambaşka. Elde ettiğim bilgileri kimseyle paylaşmadım. Sadece birkaç kullanıcı bilgisine ait ekran görüntüsü sundum ama bunu yapmam gerekiyordu.

Apple’den gelen cevap seni nasıl etkiledi?

Kendimi kötü hissediyorum. Apple çıkıp bana ‘bize saldırdın’ dese, bunu yapmadığımı nasıl kanıtlayacağım? Ben sıradan bir vatandaşım ve bireysel olarak hiçbir gücüm yok. Karşımda ise Apple gibi bir firma var ve hayatımı, geleceğimi, işimi yok edebilir. Apple gibi bir firmanın ‘benim verilerimi hack’ledi’ demesi, benim için çok kötü bir durum. Ben böyle bir şey yapmadım. Bu benim mesleğim. Apple’a, yaptığım işi anlamalarını istediğimi söyledim. Benim işim, sistemlerdeki güvenlik açıklarını arıyorum. Ben bir web sitesine girdiğimde gözüme belki de 10 tane açık çarpıyor.

FACEBOOK YORUMLARI
Haber İçi Orta

Yazar Hakkında

Benzer yazılar

Haber İçi Alt
Powered by Maç Sonuçları & Canlı Skor Mobil