Türk genci 2 günde çözdü! Snapchat’in açığını buldu, para mükafatını kaptı

Gonca Kocabaş / Milliyet.com.tr – Bursa’da yaşayan ve Eskişehir Osmangazi Üniversitesi istatistik kısmı mezunu olan 24 yaşındaki Hüseyin Tıntaş, 2013 yılından beri yazılım ve siber güvenlikle ilgileniyor. Bir süredir yazılım geliştirme alanında çalışan Tıntaş siber güvenlik haberlerini takip edip yeni çıkan gelişmeleri, eserleri test ortamında deneyimliyor. Özgür yazılımı destekliyor ve özgür yazılım topluluklarına katkıda bulunuyor. Güvenlik açıklarının bulunup firmalara bildirildiği ödül avcılığı sistemi olan ‘Bug Bounty’ ise özel ilgi alanı. 

‘HER HAFTA BİR OYUNCAK PARÇALAYIP ÇALIŞMA PRENSİBİNE BAKARDIM’

Hüseyin Tıntaş daha çocuk yaşlarındayken ailesinin kendisine aldığı oyuncakların içini açıp, nasıl çalıştığını merak eden bir çocuktu. İnatla her hafta yeni bir oyuncak parçalayıp çalışma prensibini anlamaya çalışan Hüseyin, şimdilerde bu alana duyduğu ilginin temellerinin, çocukluğuna dayandığını söylüyor.

Siber güvenlik merak, araştırma duygusu ve analitik düşünme üzerine şurası bir bölüm. Güvenlik testi yapılan bir sistemi nasıl çalıştığını bilmek gerekiyor. Birtakım noktalarda bulmaca çözer üzere adım adım kesimleri birleştirmenin yararlı olduğuna değinen Hüseyin Tıntaş, “Dünyaca ünlü birçok firmada güvenlik açığı bulup bildirdim. Doğal ki ülkemize ilişkin kurumlarda, belediyelerde ve markalarda da yüzlerce güvenlik açığı bulup bunların kapatılmasını sağladım” deyip Snapchat’in açığını nasıl bulduğunu şu sözlerle anlattı:

‘YERLİ VE YABANCI BİRÇOK KURUMUN AÇIKLARINI BULDUM’

“Daha evvel, Instagram, Facebook, Snapchat, Whatsapp, Riot Games, Shopify ve ismini veremeyeceğim birçok yerli kurumumuzda da güvenlik açığı bulup buradaki yanılgıların giderilmesini sağladım” diyen Tıntaş, “Firmaların isimlerini tek tek yazmaktan çok burada şuna değinebilirim: Yurt dışı merkezli firmalar güvenliğine sınır safhada kıymet verip, en ufak bir güvenlik açığı karşısında bile ziyadesiyle ödül veriyor. Ülkemizdeki firmalardan da tıpkı tavır ve davranışları bekliyoruz” yorumunda bulundu.

Bilgi güvenliği için firmaların nasıl tedbirler almaları gerektiği konusunda da bilgi paylaşan Hüseyin, “Düzenli güvenlik taramaları ve güncellemeler yaparak sistemlerini müdafaaya almalı ve çalışanlarına siber güvenlik konusunda eğitimler vererek farkındalığı artırmalılar. İki faktörlü kimlik doğrulama ve şifreleme metotlarını kullanarak bilgilerin korunmasını sağlamalılar. Unutmayalım ki sistem ne kadar inançlı olursa olsun, inançsız olan hep insandır” dedi.

‘SİBER GÜVENLİK DEDİĞİMDE SİLAHLI MI SİLAHSIZ MI DİYORLARDI’

Gelişen teknolojiyle birlikte mesleğini açıklamanın günden güne kolaylaştığına dikkat çeken Hüseyin Tıntaş, “Geçtiğimiz yıllarda siber güvenlik yahut yazılım departmanının ne iş yaptığını açıklamak durumunda kalıyordum. Evvelden ‘Siber güvenlikle ilgileniyorum’ dediğimde ‘Silahlı mı, silahsız mı?’ üzere komik sorularla karşılaşabiliyordum. Artık herkesin bu kesimlere dair bir sorunu yahut bir sorusu olabiliyor. Ama hâlâ toplumda bakış açısı değişmiş değil, kalıp niyetler devam ediyor. En âlâ firmada, en yeterli güvenlik mühendisi de olsanız, ailenizin ve arkadaş etrafınızın formatçısı olmaktan ne yazık ki kurtulamıyorsunuz” açıklamasında bulundu.

Hüseyin Tıntaş günümüzde karşılaşılan siber güvenlik ihlallerine neden olan 7 nedeni ise şöyle sıraladı:

– Zayıf şifreler: Kolay kestirim edilebilir ve kolay şifreler, siber saldırganların hesaplara erişmesine ve datalara ziyan vermesine yol açabilir.

– Yazılım güncellemelerinin ihmal edilmesi: Eski yazılımlar güvenlik açıkları içerebilir ve bu da siber saldırganların sisteme sızmasını kolaylaştırır.

– İnsan yanlışı: Çalışanların kazara hassas dataları sızdırması, makus niyetli temaslara tıklaması yahut bilgileri korumak için kâfi tedbirler almaması.

– Toplumsal mühendislik ve phishing atakları: Kullanıcıları kandırarak ferdî bilgilerini ve şifrelerini ele geçiren siber dolandırıcılık usulleri.

– Zayıf ağ güvenliği: İnançsız ağ yapılandırmaları ve güvenlik tedbirlerinin eksikliği, saldırganların ağa erişmesini ve bilgi ihlallerine neden olmasını kolaylaştırır.

– İç tehditler: Şirket içindeki makûs niyetli çalışanlar yahut iş ortakları, hassas bilgilere erişebilir ve siber güvenlik ihlallerine yol açabilir.

– Malware ve ransomware: Ziyanlı yazılımlar ve fidye yazılımları, aygıtlara ve ağlara sızarak datalara ziyan verebilir ve fidye taleplerine yol açabilir.

‘KARMAŞIK VE EŞSİZ ŞİFRELER KULLANIN’

Sosyal mühendislik ve phishing (oltalama) akınlarına karşı nasıl korunulabileceği hakkında bilgiler veren Tıntaş, şahısların eğitilmesinin bu cins tehditleri önlemeye yardımcı olabileceğine dikkat çekti. Hüseyin Tıntaş birebir vakitte, “E-posta gönderenin kimliğini doğrulayın ve beklenmedik irtibatlar, ekler yahut talepler içeren e-postalara karşı dikkatli olun. Aygıtlarınızda aktüel antivirüs ve güvenlik yazılımları kullanarak, phishing hücumlarını ve ziyanlı yazılımları tespit etmeye yardımcı olabilirsiniz. Hesaplarınız için iki faktörlü kimlik doğrulama (2FA) kullanarak, makus niyetli bireylerin hesaplarınıza erişmesini zorlaştırın. E-posta yahut toplumsal medya bildirilerinde bulunan kuşkulu temaslara tıklamamak, sizi phishing hücumlarından koruyacaktır” diyerek şunları da ekledi:

SİBER GÜVENLİK ALANINDA HANGİ GELİŞMELER YAŞANACAK?

Gelecekteki kimi siber güvenlik alanındaki teknolojik gelişmelerin de altını çizen Hüseyin Tıntaş, “Yapay Zeka (AI) ve Makine Tahsili (ML), siber güvenlik tahlillerini geliştirmek için kullanılacaktır. Olağandışı davranışları ve güvenlik ihlallerini daha süratli tespit etmeye yardımcı olacaklardır. Blockchain, sağlam ve şeffaf data saklama ve paylaşma sağlayarak, data manipülasyonu ve sahteciliğini önlemeye yardımcı olacaktır. Nesnelerin İnterneti (IoT) cihazlarının sayısı arttıkça, bu aygıtları korumak için gelişmiş güvenlik tahlilleri ve protokoller geliştirilecektir. Sızma testi ve otomasyon, gelişmiş sızma testi araçları ve otomasyon teknolojileri, güvenlik açıklarının tespitini ve düzeltilmesini daha süratli ve tesirli hale getirecektir. Bulut hizmetlerinin yaygınlaşmasıyla birlikte de, bulut tabanlı güvenlik tahlilleri ve idare araçları ehemmiyet kazanacaktır. Ayrıyeten ülkeler ve şirketler ortasında siber güvenlik tehditlerine karşı bilgi paylaşımı ve iş birliği artacaktır” notunu düştü.