Pentagon'un hacker'ı olarak tanınan Can Yıldızlı için kart kopyalamak birkaç saniyelik iş. Ancak o bilgilerini güvenlik için kullanıp 'tüyo'lar veriyor.

10 Mayıs 2013

Pentagon’un düzenlediği yarışmada tüm dünyadan rakiplerini geride bırakıp birinci olan ve Apple, Google gibi teknoloji devlerinin tekliflerini geri çeviren ‘hacker’ Can Yıldızlı Türkiye ’ye döndü. Kendi işini kurmak için burslu doktora yaptığı ABD ’deki enstitüden ayrılan Yıldızlı, Türkiye’de iki şirket kurdu. Şirketlerinden birinde yaptığı iş tam bir casusluk. Genç hacker’ın bilgileri ve yapabildikleri dudak uçuklatan cinsten. Ancak o ‘beyaz hacker’ sınıfından. Bilgilerini kötü amaçlı kullanmıyor. Amacının ‘ülkenin kritik kurumlarını korumak için bir ekip kurmak’ olduğunu söylüyor.
Hacker dünyası ona ‘siyah şapkasını çıkaran beyaz hacker’ diyor. Çünkü yıllardır zararlı yazılımlar üzerine çalışıp hacker’lığın yeraltı dünyasını çok iyi öğrendi. Yıldızlı’nın Türkiye’de kurduğu şirketlerinden biri Prodaft. Şirketin faaliyet alanı Türkiye’de bir ilk. İşin tanımı ‘fiziksel sızma’ (güvenlik) testi. Örneğin bir otelin sistemine girilerek sahte bir arıza kaydıyla otel müdürünün odasına sızılabiliyor. Otelin wireless kamerası varsa küçük bir aletle kameranın görüntüsü otelin dışından izlenebiliyor. Tabii bu, otel sahibinin isteği ve izniyle yapılan bir test.
Böylece otelin güvenlik açıkları ortaya çıkarılıp çözümler sunuluyor.
Lazer yöntemiyle bir restoranda camın yanındaki kişilerin konuşmaları 1 kilometre uzaklıktan dinlenebiliyor. Ya da uzaktan kumandalı bir helikopter sayesinde üst katlardaki wireless şifreleri kırılıyor. Yıldızlı’nın geliştirdiği bir yazılım sayesinde otelin bilgi ağına sızılıyor.
Pentagon’un yarışmasında birinci olduktan sonra Apple ve Goole gibi kurumlardan, güvenlik şirketlerinden iş teklifi aldığını ancak görüşmeye bile gitmeden geri çevirdiğini belirten Yıldızlı nedenini şöyle anlattı:
“Benim kendi kafamda bir iş modeli var, ABD’de buna ‘red team ya da tiger team’ deniliyor. İnsanlar verilerini korumak istiyor. Olası tüm saldırıları uyguluyoruz. Örneğin yaka kartlarını, otele giriş kartlarını kopyalıyoruz. Çalışanın kartını kopyalayabiliyoruz. Genellikle metro gibi kalabalık alanı seçiyoruz. Uzaktan kart kopyalanabiliyor.”
Yıldızlı’ya bunun nasıl yapıldığını sordum. Çalıştığım kurumun binasına giriş kartımı, cep telefonundaki kendi geliştirdiği bir yazılımla saniyeler içinde kopyaladı. 65 bloktan 4’ünün şifreli olduğunu belirterek onu da kırmak için birkaç saate ihtiyacı olduğunu anlattı. Yıldızlı’nın kopyalanacak kartı eline almasına bile gerek yok. Kartlar uzaktan kopyalanabiliyor. Yine cüzdanımdaki çok önemli bir kartı da birkaç saniyede kopyaladı. O kartı kullanmak için özel olarak imal edilen başka bir karta kopyalamak yetiyor.

'Açık alanlarda şifrelerinizi girmeyin' 

Yıldızlı ile bir restoranda otururken insanların siber güvenlik konusunda nelere dikkat etmesi gerektiğini sordum. Yine cevabı uygulamalı oldu. Önce yine cep telefonunda kendi geliştirdiği bir yazılım açtı. Ardından garsona wifi’nin şifresini sordu. İnternete bağlandığı anda da restoranda interneti kullanan tüm kişileri gördü. Bana “Bak şu kişi şu anda Facebook’a girdi, şu ise booking.com’da...” diye tek tek gösterdi. Yıldızlı, istenildiğinde kredi kartı dahil ortak kullanım üzerinden girilen tüm şifrelerin kopyalanabileceğini söyledi. İnsanlara ilk tavsiyesi ise “Ortak alanlarda internet kullanırken, gizli bilgilerinizi girmeyin” oldu.

Can Yıldızlı, kredi kartı konusundaki açıkları ise şöyle anlattı: “Türkiye’de internette alışveriş, internet bankacılığı yurtdışına göre güvenli. Ancak bazı açıklar var. Örneğin bazı e-ticaret yapan siteler kredi kartı bilgilerini kopyalıyor. Birçoğu bunu yapmıyor, girildikten sonra kopya tutulmuyor. Kopyaları bulunan site hack’lendiğinde bir anda hacker’ın elinde 100 bin kredi kartı numarası olabiliyor. Sonrası ise çok basit. Yıllar sonra bile kartınız haberiniz olmadan kullanılabilir. Ancak Türkiye’de bankaların güvenlik sistemleri ABD’den daha iyi. Türkiye’de 1000 mağdur varsa, ABD’de 100 binlerce var. Ben hâlâ ABD’deki banka hesabıma Türkiye’den giriyorum.

Can Yıldızlı 1986 doğumlu. Kadıköy Anadolu Lisesi mezunu. Merakla başladığı teknoloji macerasını Sabancı Üniversitesi Bilgisayar Bilimi ve Mühendisliği Bölümü’nde sürdürdü. Yüksek lisansını da yine aynı okulda zararlı yazılım geliştirme üzerine yaptı. ABD’deki Rensselaer Polytechnic Institute’de burslu olarak kabul edildi. Doktora konusu yine zararlı yazılım üzerineydi. Ancak tamamlamadan Türkiye’ye döndü. 2011’de Pentagon bünyesindeki Siber Suç Merkezi’nin düzenlediği Dijital Adli Tıp Yarışması’na katıldı. Burada 52 ülkeden 147 grup yarıştı. Yarışmaya en fazla dört kişilik ekipler halinde katılım hakkı vardı. Yıldızlı tek başına katıldığı yarışmada ABD merkezli, uzay ve savunma teknolojileri alanında faaliyet gösteren Northrop Grumman, Air Force gibi şirketlerin ekiplerini geçerek birinci oldu.
Bir yıl süren yarışmada Pentagon 25 soru sordu. Şifreli dosyaların kırılması, fotoğraflara gizlenmiş şifrelerin ve cep telefonundan silinmiş dosyaların bulunması gibi sorulardan 23’ünü çözen tek yarışmacı oldu. Yıldızlı, “Diğer soruların zaten bir cevabı yoktu. Sadece yorum beklediler” dedi. Pentagon’dan ödül töreni için davet geldi. Ancak Pentagon’a ABD vatandaşı dışındakilerin giremeyeceği söylenince gitmedi ve ödülü Türkiye’ye gönderildi.