Yeni nesil hacker’larda olması gereken en önemli yeteneği ‘özgüven’ olarak tanımlayan bilgi güvenliği alanında uzman Evren Yalçın sorularımızı yanıtladı.


Evren Yalçın her gün karşınıza çıkacak türden bir white hacker değil. İş yerine bisiklet ile giden, öğlen saatlerinde sandviçini kemirirken Bitcoin işlemleri yapan ve mesainin ardından kapüşonunu çekip internetin karanlık sayfalarında kaybolan gençlere kıyasla, çok efendi ve mütevazı bir duruşu var. İş günlerinde beyaz gömlek giymekten vazgeçmez, öğlen yemeğini güzel bir restoranda geçirmeyi tercih eder ve akşamları eşiyle beraber yemek pişirir. Bu açıdan baktığınızda her şey çok zararsız görünüyor değil mi? Siz öyle sanın.


Bugüne kadar sayısız firmanın güvenlik bariyerlerini sınamak için sızma testleri gerçekleştiren Yalçın, iş saatlerinde kiminle yazıştığınızdan hangi diziyi izlediğinize kadar birçok bilgiye sahip. Akşamları yemek pişirirken bir yandan patronunuza yazacağı raporun içeriğini düşünüyor ve bıyık altından gülüyor. Ertesi gün sıradan bir bilişim teknolojileri çalışanı gibi yanınızdan geçip gittiğinde neler bildiğini ruhunuz bile duymuyor.


Yalçın, birçok başarılı güvenlik araştırmacısı gibi renkli bir geçmişe ve sorgulayan bir bakış açısına sahip. Çocukluğundan bu yana kafasında oluşan soruları ve merakını dijital dünyanın sonu gelmez algoritma satırlarında keşfetmeye çalışıyor. Kendisi yeni nesil hacker adaylarına önemli tavsiyeler saklayan isimlerden biri. Altını çizdiği mesaj şu şekilde: Hacker olmak için artık kimseye ihtiyacınız yok, sadece kendinize güvenin.


“Bir sistemdeki zafiyeti sömürmenin en kısa yolu yazılım bilgisinden geçiyor. Eğer siber güvenlik alanında belli bir derinliğe ulaşmak istiyorsanız yazılım bilmelisiniz.”

Evren Yalçın Picus Security firmasında atak geliştirici olarak çalışıyor

Güvenlik araştırmalarına nasıl başladın?


İlkokul zamanlarımda daktilo ve saman kağıtla çokça zaman geçirme fırsatım oldu. Kağıt üzerinde hayali bir kahraman oluşturup onunla ilgili hikayeler yazmaya çalışıyordum. Sonrasında depoda kağıt bırakmadığım için babam bana bilgisayar almaya karar verdi. Böylelikle kağıtları bir kenara bıraktım ve ilk bilgisayarımla tanıştım. Tabii hemen sonrasında disket oyunlarıyla bolca vakit geçirdim. Bu disketlerden çok sayıda virüs bulaşmıştır sanırım. Haliyle bir süre sonra bu durum ilgimi çekmeye başladı. Kaynak yetersizliği olduğu için bütün bunlar merak konusu olarak kalıyordu. Evimize internet geldiğinde kaynak ihtiyacımı çözmüş oldum.

Yazılımın siber güvenlik alanındaki yerini nasıl tanımlarsın?


Bir sistemdeki zafiyeti sömürmenin en kısa yolu yazılım bilgisinden geçiyor. Eğer siber güvenlik alanında belli bir derinliğe ulaşmak istiyorsanız yazılım bilmelisiniz. Farklı yazılım dilleri ile ilgilenmeniz çok önemli. Test ettiğiniz uygulamalar hiç bilmediğiniz bir yazılım dili ile yazılmış olabilir. Kod yazma kabiliyeti yanında kod okuma alışkanlığı da önemli bir yetenek. Kısa bir Github aramasıyla çok sayıda yazılımın kaynak koduna ulaşabilirsiniz.


Eklemem gereken bir nokta, Linux kullanmanın da birçok noktada avantaj sağladığı. Tabii ki gerçekten Linux kullanmaktan bahsediyorum. Siyah üstüne yeşil renkli ekranları sadece filmlerde kullanıyorlar (gülüyor).

“Sızma testlerinde en zevkli çalışmalardan birisi de sosyal mühendislik çalışmaları oluyor. E-posta üzerinden personelin bilgilerini toplamaya çalışıyorsunuz, bir yandan telefon ile arayıp personelin parolasını almaya çalışıyorsunuz. Bu tarz çalışmalar insanların doğaçlama yeteneklerini oldukça geliştiriyor.

Eğitim hayatından ve sonrasında nasıl bu işe başladığından bahseder misin?


Kültür Üniversitesi İletişim Tasarımı bölümünü bitirdim. Bu bölümde senaryo yazmayı, kamera kullanmayı, kurgu yapmayı öğrendim. Okul hayatım devam ederken günün birinde üniversitenin web uygulamalarında bulduğum kritik bir zafiyet sonucunda bilgi işlemde çalışma fırsatım oldu. Askerliği geride bıraktıktan sonra PwC Türkiye danışmanlık firmasında sızma testi danışmanı olarak çalıştım. Çok sayıda orta-büyük ölçekli kurumun güvenlik testini yaptım. Şu an ise Picus Security firmasında atak geliştirici olarak çalışmaktayım.

Bug bounty, CTF yarışmaları ve sızma testi çalışmalarının anlam ve önemi nedir sence?

CTF (capture the flag) yarışmaları son dönemde ülkemizde de oldukça popüler. Farklı konularda ilgisi olan kişilerle birlikte takım oluşturup, katılım sağlamanızı tavsiye ederim. Bazı siber güvenlik bulmacalarını çözmek insanı birçok noktada geliştiriyor.


Daha gerçekçi örnekler için ise eğer mümkünse aktif sızma testi çalışmalarına katılım sağlanmanızı tavsiye edebilirim. Bu tarz çalışmalarda şirketleri hem dış dünyadan hem de kurum personeli gibi içeriden test etme şansınız oluyor. Sızma testlerinde en zevkli çalışmalardan birisi de sosyal mühendislik çalışmaları oluyor. E-posta üzerinden personelin bilgilerini toplamaya çalışıyorsunuz, bir yandan telefon ile arayıp personelin parolasını almaya çalışıyorsunuz. Bu tarz çalışmalar insanların doğaçlama yeteneklerini oldukça geliştiriyor.


Ayrıca bug bounty programlarına katılım sağlamanız modern teknolojileri test etmenize olanak sağlıyor. Bu alanda ilk çalışmalarımdan birisi, Samsung Smart TV programıydı. Gerçekten eğlenmiştim. Sonrasında birçok firmaya güvenlik zafiyeti bildirdim. Kahve ısmarlayan da oldu, t-shirt gönderen de (gülüyor). Bu aralar bugcrowd ile çalışan firmalara güvenlik açığı bildiriminde bulunuyorum. Bir bug bounty programında zafiyet bulduğum için firma sahibi testini yaptığım ürünün lisansını hediye etmişti.


“Öğrenme eylemi bir süre sonra bitmemeli. Hayatınızın her aşamasında ‘profesyonel stajyer’ olmanızı tavsiye ediyorum.”

“Siyah üstüne yeşil renkli ekranları sadece filmlerde kullanıyorlar”

Atak geliştiricisi olmaya nasıl karar verdin? Atak geliştiricisi olmak isteyen gençlere vereceğin tavsiyeler nedir?

Zafiyetleri takip etmeyi seven biriyim. Bu benim için bir hobiydi, mesleğim haline geldi. Picus firmasında atak geliştirirken de güncel teknolojiyi farklı kaynaklardan, kişilerden takip etmeye çalışıyorum. Ayrıca siber güvenliğin farklı alanlarıyla ilgili yoğun bir şekilde okuma yapmaktayım. Aslında temelde bir şeyleri bozmaya çalışıyorsunuz. Bu yüzden bozduğunuz uygulamanın nasıl çalıştığını bilmeniz önemli. Güvenliği günlük hayatınızın bir parçası haline getirirseniz, öğrenme sürecini hızlandırabilirsiniz.


Aynı yoldan gitmek isteyen genç araştırmacılar neye dikkat etmeli?

Bu alanda kendini geliştirmek isteyen arkadaşlara önerim, kendilerine güvenmeleri. Bilgiye ulaşmak eskiye göre artık çok kolay. Bu yüzden geriye sadece parçaları doğru bir şekilde birleştirmek kalıyor. Kısacası kimseye ihtiyaçları yok. Ayrıca bu alanın siyah kısımları da maalesef çok fazla. Bu yüzden güvenlik çalışması yaparken mutlaka zarar vermeden ve etik değerler çerçevesinde bu alanla ilgilenmeye çalışsınlar.

Katıldığın eğitim ve konferanslarda gördüğün tabloyu nasıl özetlersin?

Konusu ne olursa olsun konferanslara gitmeden önce konuya iyice hakim olmak lazım. Bunun yanında konferans aralarını iyi değerlendirmelerini öneriyorum. İnsanlarla konuşun. Sonrasında o insanları takip edin. Eğitim önemli, her şeyin başı eğitim, fakat belli bir temeli aldıktan sonra devamını kendiniz getirmelisiniz. Öğrenme eylemi bir süre sonra bitmemeli. Bu noktada hayatınızın her aşamasında ‘profesyonel stajyer’ olmanızı tavsiye ediyorum.