Dünya bu Türk'ün peşinde

Apple’ın 2008’de hayata geçirdiği ve dünyadaki milyonlarca yazılım geliştiricinin yararlandığı geliştirici portalı, geçtiğimiz hafta Perşembe’den bu yana kapalı. İlk günlerde konu hakkında detaylı bilgi vermeyen Apple, bu sabah saatlerinde yaptığı açıklamayla geliştirici portalının ‘siber saldırıya uğradığını ve bir saldırganın kullanıcı bilgilerini ele geçirmeyi amaçladığını’ öne sürdü.
Geliştirici portalının güvenlik açığını bulan ve tespit ettiği tehdidi Apple’a bldiren Türk güvenlik araştırmacısı İbrahim Baliç, teknoloji devinin açıklamasının ardından YouTube’ a koyduğu video ile ‘Apple’ı hack’lemediğini, yaptığının yasal bir güvenlik açıklaması olduğunu’ belirtti.
ntvmsnbc’ye konuşan Baliç, ‘Apple’ı araştırmaları hakkında uyarması ve tüm süreç hakkında bilgilendirmesine rağmen kendisine geri dönüş yapılmadığını ve bir hacker gibi gösterilmeye çalışıldığını’ söyledi.
Baliç, Apple’ın tespit ettiği güvenlik açığı nedeniyle itibarının sarsılmasından korktuğu için bu şekilde hareket etmiş olabileceğini belirtti. Baliç, ntvmsnbc’nin sorularını yanıtladı.
Apple’ın geliştirici portalındaki güvenlik açıklarını aramaya ne amaçla ve neden başladın?
Ben büyük teknoloji firmalarının düzenlediği ödül programlarını takip eden bir güvenlik araştırmacısıyım. Büyük firmalar bu programları teşvik amaçlı olarak düzenliyor ve serbest olarak çalışan araştırmacıları buldukları güvenlik açıkları karşılığında ödüllendiriyor. Düzenlenen programların kapsamı, kuralları ve içeriği şirketlere göre değişiyor.
Benim Apple ile olan ilgim tamamen mobil uygulamalara dayanıyor. Uygulamaları gözden geçirirken aklıma araştırma yapma fikri geldi ve çalışmaya başladım.
Geliştirici merkezindeki güvenlik açığını ne zaman araştırmaya başladın?
15 Temmuz’da. O gün yaptığım ilk güvenlik zaafiyeti araştırmasında küçük bir ‘bug’ (sistem hatası) tespit ettim.  Bir bug’ın boyutunu, bir güvenlik açığına sebep verip vermeyeceğini test ederek anlıyorsunuz. Ben Apple ve önceki firmalar için geçmişte yaptığım araştırmalarda sadece bu bug’ları tespit edip gerekli bildirimi yapıyorum.
İlk tespitin ardından birkaç bug daha tespit edince ayın 16’sında Apple’a bildirim yaptım. Ancak cevap gelmedi.
Toplam kaç tane bug tespit ettin?
16-17 Temmuz’da toplam 13 tane bug buldum ve Apple’a bildirdim. Bildirimlerin hiçbirine Apple’dan hiçbir cevap gelmedi.
Bildirimleri geliştirici portalındaki kendi hesabın üzerinden yaptın?
Evet. Kendi hesabımdan, Apple’ın bu tür bildirimlerle ilgilenen ‘Bug Reporter’ adlı alt birimine bildirimde bulundum.
Sonuç olarak bildirim yaptığında kimliğin belliydi?
Evet. Apple geliştirici merkezindeki kayıtlı kullanıcılardan biriyim. Aynı zamanda Apple tarafından lisansı olan bir yazılım geliştiricisiyim.
“DÖRT SAAT SONRA ERİŞİM KESİLDİ”
Neden geri dönüş yapmamış olabilirler?
Tespit ettiğim bug’ların çok basit olduğunu ve Apple tarafından önemsenmediğini düşündüm. Bu yüzden araştırmalarıma ağırlık verdim. Sonraki araştırmalarda diğer kullanıcıları da etkileyebileceğini düşündüğüm yeni bug’lar buldum ve yeniden bildirimde bulundum. Ancak yine cevap gelmedi.
Bu tespitleri hangi gün yaptın?
17 Temmuz’da. En çok tespiti yaptığım gün 17’siydi ve aynı gün kullanıcıların bilgilerine ulaşabildiğim açıkları buldum. Tüm bu tespitlerin kayıtları ve ID’leri belirli. Açığı tespit ettikten sonra Apple’a yine e-posta gönderdim.
Bilgiler neler içeriyor?
Kullanıcıların verilerini görmemi sağlayan bug aracılığıyla, 73 tane Apple çalışanının bilgilerine ulaştım. Ayrıca, Marz Zuckerberg’i arattım ve yıllar öncesinden açılmış bir hesabın bilgilerini buldum. Bu hesap bir başkasının aynı adla açtığı profil da olabilir. Ben tespit ettiğim bug ile veri sorgulaması yapabildiğim için merakımdan dolayı Zuckerberg araması da yaptım.
Elde ettiğim bilgilerinin hepsini topladım ve bu sefer tüm verileri hem Apple’a, hem de Bug Reporter’a gönderdim. Açığın çok ciddi olduğunu çünkü içeriden kullanıcı bilgisi çekmeme imkan verdiğini belirttim. Belirttiğim sayıdan daha fazla da kullanıcı bilgisi almadım.
Yani ne Apple, ne de Bug Reporter e-postalarına cevap vermedi?
Evet. Kullanıcı bilgilerine de ulaşmamı sağlayan açığı tespit ettikten sonra durumun ciddiyetinden dolayı hem e-posta hem de Bur Reporter aracılığıyla bildirim yaptım. Ancak yine geri dönüş yapmadılar. Aradan iki gün geçtikten sonra, ayın 21’inde, elimde bulunan bilgiler üzerinde test yapmak istedim. Çünkü tespit ettiğiniz bug ile neler yapabileceğiniz, tamamen ayrı bir alan. Bug’ları tek tek analiz edip incelemeniz gerekiyor.
Apple geliştirici portalını ne zaman kapattı?
Kullanıcı bilgilerine ulaşmamı sağlayan bug’ı tespit ettiğimi bildirdikten dört saat sonra erişim kesildi. Bu aşamada bana yine geri dönüş olmadı.
Sen nasıl hareket etmeyi düşündün?
Ben, bulduğum bug yüzünden Apple’ın itibarının zedelenmesine izin vermesini istemediği için böyle hareket ettiğini düşünerek telaşlandım. İlk gelen bu oldu çünkü kullanıcı bilgilerine ulaşabilmeniz bir firma için çok ciddi bir durum. Ancak ben hiçbir bilgiyi paylaşmadım. Facebook sayfamda olsun veya başka bir yerde kimsye bahsetmedim, son derece ciddi yaklaştım. Beklentim, Apple’ın bana ciddi bir şekilde geri dönüş yaptıktan sonra tespitlerimi onayladıkları veya incelediklerine dair bir açıklama yapmalarıydı. En azından bir teşekkür etmelerini mesleği güvenlik açıklarını bulmak olan birisi olarak isterdim.
Birçok firma güvenlik açıklarını tespit eden yazılımcıları bir listeye ekliyor ve onları ödüllendiriyor. Firmaların halihazırda ödül programları var. Kimi para ödülü veriyor, kimi tişört gönderiyor, kimi WhiteHat listesine ekliyor. Apple’ın da kendine özgü bir programı var. En son kontrol ettiğime göre, Apple geçtiğimiz ay bir yazılımcıyı teşekkür listesine bile eklemiş. O kişi de aynen benim gibi bireysel bir araştırma yaptı, Apple’dan izin alarak güvenlik açıklarını araştırmadı. Sonuçta bizle serbest araştırmacıları ve benim de beklentim benzer bir tepkiyle karşılaşmaktı.
“FACEBOOK BANA ŞAPKA GÖNDERDİ”
Geçmişte Facebook da dahil olmak üzere bu tür araştırmalar yaptın? 
vet. Apple araştırmama da aslında 15’inden önce başladım, günlerce uyumadım. Sadece merak ettim ve güvenlik açıkları olup olmadığına bakmak istedim. 100 binin üzerinde kullanıcı bilgisine ulaştım ve bu esnada Apple’a bildirimde bulunarak araştırmamdan bahsettim. Bugüne kadar benzer çalışmaları birçok firmaya yönelik yaptım ve her zaman bana bir geri dönüş yapıldı.
Peki Apple neden senin kimliğini kabul etmiyor? Henüz geçtiğimiz ay İstanbul’da bir güvenik konferansında konuşmacıydın...
Bunu Apple’a anlatamazsınız.  Ancak karşısındaki kim olursa olsun, Apple’ın kendisine bildirilen güvenlik açığı hakkında geri bildirimde bulunması kurumsal bir yükümlülüğüdür. Hatta ben binlerce kullanıcının bilgisine ulaşabildiğim hakkında uyarıda bulunmama rağmen geri dönüş almadım. Apple’ın en azından karşısındakinin gönlünü alarak onu muhafaza etmesi ve durumu kontrol etmesi gerekirdi.
Yaptığım bildirimlerde diğer kullanıcıları etkileyebilecek önemli bir açık olduğunu vurguladım ve Apple’ın ne kadar büyük bir kurum olduğunu bilerek bu çalışmayı yaptığımı belirttim ve bir karşılık beklerdim.
“APPLE BENİ YOK EDEBİLİR”
YouTube’a koyduğun videonun altında yatan sebep ne?
22 Temmuz sabahı, tüm geliştiricilere olduğu gibi bana da Apple geliştirici hesabımdan bir e-posta geldi. Apple’ın ‘bir saldırıya uğradıkları’ yönündeki mesajı, beni çok büyük bir hayal kırıklığına uğrattı ve YouTube’a video koyma ihtiyacı hissettim. Yaptığım tüm tespitleri vebildirimleri Apple’a ekran görüntüleriyle, verilerle bilrlikte Apple’a sundum.
Eğer bir saldırı planlıyor olsaydım, stratejik bir şekilde hareket eder ve milyonlarca kişinin bilgilerine de ulaşabilirdim.
Geçmişte böyle bir durumla karşılaştın mı?
Hayır. Henüz geçtiğimiz ay Opera’ya farklı bir güvenlik açığı tespit ettim ve bana teşekkür edip beni listelerine eklediler. Geçtiğimiz yıl Facebook’ta kapsamlı bir araştırma yaptım ve bana ‘Hacker’ yazan şapka ve çıkartma yolladılar. Yaptıkları teşviki bir düşünün. Ancak Apple’da geldiğimiz nokta bambaşka. Elde ettiğim bilgileri kimseyle paylaşmadım. Sadece birkaç kullanıcı bilgisine ait ekran görüntüsü sundum ama bunu yapmam gerekiyordu.
Apple’den gelen cevap seni nasıl etkiledi?
Kendimi kötü hissediyorum. Apple çıkıp bana ‘bize saldırdın’ dese, bunu yapmadığımı nasıl kanıtlayacağım? Ben sıradan bir vatandaşım ve bireysel olarak hiçbir gücüm yok. Karşımda ise Apple gibi bir firma var ve hayatımı, geleceğimi, işimi yok edebilir. Apple gibi bir firmanın ‘benim verilerimi hack’ledi’ demesi, benim için çok kötü bir durum. Ben böyle bir şey yapmadım. Bu benm mesleğim. Apple’a, yaptığım işi anlamalarını istediğimi söyledim. Benim işim, sistemlerdeki güvenlik açıklarını arıyorum. Ben bir web sitesine girdiğimde gözüme belki de 10 tane açık çarpıyor.
Apple’ın neden böyle bir tepki verdiği konusunda aklına gelen ilk düşünce ne?
Apple, benim ‘kod enjekte ederek’ kullanıcılardan bilgi çaldığımı zannediyor. Ben, soy ismimim içine bir kod enjekte etmeyi başardım ve bu kod Apple’ın birçok servisinde çalışır hale geldi. Ben kullanıcı adımla giri yaptığımda ve diğer kullanıcılar benim profilime bakmaya çalıştığında, ismimin sonundaki kodlar çalışmaya başlıyor. Bu durum geliştirici hesabında da işe yaradığı için, kod enjekte ettiğimi düşündüler.
Ancak benim verileri aldığım alan çok arka planda. Ben verileri doğrudan kullanıcılardan değil, Apple’ın sunucularından aldım. Bilgiler, Apple’ın hizmet olarak sunduğu, kullanıcı yönetimi (user management) adı verilen bir bölüm. Her hesabnın kendine alt kullanıcı ekleme hakkı var. Ben de burada tespit ettiğim hataları bildirdim. Daha fazlası değil.
Yazılımcının görevi güvenlik açığını tespit etmek, onu kapatmak değil. Dijital dünyada bir yazılım üretili ve yazılımcılar o uygulama hayata geçmeden önce bir güvenlik testi (penetration test) yapar. Bu bir zorunluluktur. Biz Afrika ülkelerine bile gidip bankalara güvenlik testleri yapıyoruz.
“BÜYÜK BİR ÖRGÜT ZANNETTİLER”
Apple böyle bir açığı neden geçmişte tespit edemedi?
Bunu bilemem. Apple’ın teknik altapı açısından bir mali sıkıntısı, yetenekli çalışan açığı olamaz. Bu, gözden kaçmış ufak bir ayrıntıdan başka bir şey değil bence.
Ufak bir ayrıntıya tepki neden bu kadar büyük?
Bu tamamen karşımızdaki kişilerden kaynaklanıyor bence. İlgili birimdeki kişiler bu olayı düzgün bir şekilde koordine edemedi. Kız arkadaşım bana inceleme kısmında yardımcı oldu. Bir bir terör örgütü değiliz.
Bundan sona nasıl bir yol izleyeceksin?
Yabancı basından büyük bir ilgi var. TechCrunch başta olmak üzere birçok kaynak bana ulaştı ve benden aldığı bilgileri daha sonra Apple ile temasa geçerek doğrulamak istediler. Bana söylediklerine göre, Apple kesinlikle ‘bir hacker’ın peşinde değil.’ Ayrıca bir yasal eylemde bulunup bulunmama konusunda ne yapacakları kesin değil.
Ben zaten bir hacker değilim. Yaptığım bazı eylemler hacker'lık gibi görülebilir ancak bunları bildirerek yapıyoruz. Apple'ın yasal olarak hareket etmesi ise hakkı. Ancak yaptığım işi zaten yasal ve bunu kanıtlayacak belgelerim var. Apple’a testlere başlamadan önce gerekli bildirimde bulundum zaten. Hatta attığım tüm e-postaların, belgelerin kayıtları mevcut.
Benim bir terör örgütü olacak halim yok. İnternet servis sağlayıcısından da tüm girişlerin kaydını alabilirler. Ben ‘attack’ nedir biliyorum, mesleğim bunu gerektiriyor. Sadece ne yapabileceğimi görmek istedim. Apple’a araştırmam hakkındaki tüm süreç hakkında bilgi verdim.
Ancak şu an Apple seni bir ‘hacker’ olarak görüyor?
TechCrunch’ın bana söylediği,  medyanın beni hacker ilan ettiği ancak Apple’ın bir kişinin peşinde olmadığı. Sanırım Apple daha büyük bir örgüt bekliyordu. Ben, medya üzerinden kendimi açıklamaya devam edeceğim.