En doğru cevaba ulaşmanın yolu bir bilene sormaktan geçiyor dedik ve Mehmet İnce’yi karşımıza aldık. “Hacking”e Windows 95 ile başlayan İnce’nin genç hacker’lara anlatacak çok şeyi var!

Ortaokulda eline geçen her kitabı ve internette karşısına çıkan her makaleyi silip süpüren Mehmet İnce, kendi kendini geliştirmek isteyen hacker adayları için en iyi yol göstericilerden biri. En önemli tavsiyesi, Linux ve İngilizceyi iyi öğrenmeniz gerektiği.

Yıllar önce bir haber yapmak için adını yeni duyduğum bir siber güvenlik girişiminin kapısını çaldım. Karşımda, günümüzün önde gelen siber güvenlikçilerinden birkaçı duruyordu. Ortalık kabloları sağa sola saçılmış onlarca bilgisayar ile doluydu. Ortaokul ve liseli olduğu belli olan gençler kafalarını ekranlara eğmiş ve çıt çıkarmadan kendilerine verilen işlemleri halletmekle uğraşıyordu.

Bugün her biri siber güvenlik alanında çalışan bu isimleri yetiştiren uzmanlardan biri, Mehmet İnce’ydi. Aradan geçen zaman içinde girişimleri hızla büyüdü ve uluslararası arenada boy gösteren Türk siber güvelik firmalarından biri haline geldi.

Haliyle internet serüveni Windows 95 ile başlayan tüm hacker’lar gibi Mehmet’in de kendini geliştirmesi fazlasıyla külfetli oldu. Ancak o en büyük hazineyi çok erken keşfettiğini ve ondan sonuna kadar yararlandığını düşünüyor: Erişimi bedava kaynaklar.

Hacker olmaya çalışmak ’90’ların sonu ve 2000’lerin başında neye benzerdi? Bu soruyu yönelttiğim Mehmet yeni nesillerin kulağına küpe olması gereken tecrübelerini bir bir anlattı.

Devlet okulunda okuyan bir çocuk olan bendeniz, Google yerine AltaVista kullandığımız yıllarda, bir gram İngilizce bilmeden bu işe giriştim. Bu konuda yine elime geçen her şeyi okuduğumu hatırlıyorum. İlk girişimlerimin sonucunda, Windows Front-Page 95 ile bir HTML web sitesi yapmayı başarmıştım.

İnternet macerası Windows 95 ile başlamış

‘Hacking’ kavramı ile ilk tanıştığın zamanı anlatır mısın?Çocukluğumda vaktinin hemen hemen çoğunu bilgisayar başında geçiren bir çocuk olduğum için bu durum anne-babamın dikkatini çekmekte gecikmedi. Babamın 1990’lı yıllarda gittiği bilgisayar kursundan kalan Windows 3.1 komut satırı kitaplarını (daktiloda yazılmış kocaman kitaplar) eski valizlerde bulduğum zamanlarda, her şeyi okumaya başladığımı hatırlıyorum. Babam, bilgisayara olan ilgimi doğru bir işe dönüştürmem gerektiğini düşünmüş olsa gerek ki, bana ortaokul birinci sınıfta ‘bir web sitesi yap, fotoğraflarımızı yayınlayalım internette’ dediğini hatırlıyorum (kendisi bir doğa fotoğrafçısıdır). Devlet okulunda okuyan bir çocuk olan bendeniz, Google yerine AltaVista kullandığımız yıllarda, bir gram İngilizce bilmeden bu işe giriştim. Bu konuda yine elime geçen her şeyi okuduğumu hatırlıyorum. İlk girişimlerimin sonucunda, Windows Front-Page 95 ile bir HTML web sitesi yapmayı başarmıştım. Hosting, domain vb. terimlerinde ne anlama geldiğini yine bu yolda öğrendim. Akabinde Front-Page 95’in ‘FTP deployment’ özelliği ile ilgili HTML dosyalarını hosting sunucusuna yükleyip siteyi yayına almayı yine bir şekilde başarmıştım. Aradan 20 gün geçti ve bir gün web sitesine girdiğimde bambaşka bir içerik gördüğümü hala çok iyi hatırlarım. ‘Bu benim yaptığım site değil ki’ demiştim. Onca emek verip hazırladığım web sitesi birileri tarafından ele geçirilmişti. Ortaokul 1 zamanımda işte bu şekilde tanıştım ‘hacking’ olgusu ile. Benim için yepyeni bir dünyanın başladığını o an hissetmiştim.

Bugüne kadar 300’ü aşkın güvenlik zafiyeti bildirisi ‘security advisory’ yayınladığım doğrudur. Hala daha aynı şeyi yapmaya devam ettiğimi söyleyebilirim, bugün bile. Kuvvetle muhtemel çalışabildiğim süre boyunca bu devam edecektir.

Seni devam etmeye motive eden ne oldu?

Web sayfamın saldırganlar tarafından ele geçirilmesinin ardından süregelen günlerde tüm araştırmalarımı bu konu üzerine yaptım. Tüm işleri zor yoldan öğrenmek zorunda olduğumu hatırlıyorum. Programlama dili nedir bilmeden, günümüzde open-source (açık kaynak) dediğimiz tüm projeleri internetten bir şekilde temin edip kodlarını anlamaya çalışarak geçiriyordum hayatımı. Ailemin, ‘Günde 15 saatten fazla bilgisayar başında anlamsız karakterlere bakıp duruyordun’ demesi o günlerin trajikomik özetidir. İngilizce öğrenmem programlama dili öğrenme çabamla doğru orantılı oldu. Programlama dillerindeki direktiflerin (print, echo, import, function vs.) ne iş yaptığını deneme yanılma ile bulup, bu direktifleri İngilizce sözlüklerde arayıp öğrenme gibi bir döngü içerisindeydim. 

Hayatımdaki ilginç noktalardan birisi, yabancı IRC kanallarında İngilizce konuşmaya çalışırken birisinin bana ‘Türksün değil mi?’ demesi olmuştur. Aynı kanalda başka bir Türk vardı. Tanıştık, internet arkadaşı olduk. Beni ziyaret etmeye kalkıp yaşadığım şehre bile gelmişti o arkadaş. Geldiğinde de bir hediye verdi: ALFA yayıncılık – Herkes için PHP. Hem de Türkçe çevirisi. Bana bu iyiliği yapan insanın takma adını dahî maalesef hatırlamıyorum. Kendisine müteşekkirim. O kitap hala kitaplığımda durmaktadır. O günden beridir sürekli kitap alıp okuyup saklama özelliğim var diyebilirim. Daha önce de belirttiğim üzere, günümüze nazaran bazı şeyler benim için zor yoldan oldu. Beni ileriye taşıyan şeyler nelerdi, diye geriye dönüp baktığımda ise her zaman başka insanlar tarafından yazılmış ve ücretsiz bir şekilde erişilebilir olan internet kaynakları hatırıma gelir. Bu benim en büyük motivasyon kaynağımdı. Bu nedenle, vakti zamanında hiç tanımadığım insanların yayınladıkları makalelerin bana yaptığı yardımı günümüz interneti ve imkanları ile tekerrür etmeye gayret ediyorum.

Siber güvenliğe nasıl adım attın?

2005’e geldiğimde kendimi açık kaynak yazılımlarda güvenlik açığı arama ve yazılım sorumlularına bunları bildirmekle ilgilenirken buldum. Pek tabii o yıllarda, günümüzde hata avcılığı (bug bounty) yaklaşımı yoktu. Zira bu çalışmalarda benim motivasyonum herhangi bir maddi gelir beklentisinden ziyade, tamamıyla hobiye dayanıyordu. Bugüne kadar 300’ü aşkın güvenlik zafiyeti bildirisi ‘security advisory’ yayınladığım doğrudur. Hala daha aynı şeyi yapmaya devam ettiğimi söyleyebilirim, bugün bile. Kuvvetle muhtemel çalışabildiğim süre boyunca bu devam edecektir.

Lise yıllarına geldiğimde hayatım tamamıyla güvenlik alanında geçiyordu. Siber güvenlik ile tanışma hikayemden mi kaynaklanır bilmem, çocukluk yıllarımda blackhat tarafı ile çok az haşır neşir oldum. Kendimi lise yıllarından beri whitehat hacker, daha da doğrusu bir güvenlik araştırmacısı olarak görmekteyim. Zira yüzlerce advisory yayınlamış olmanın beni tam anlamıyla güvenlik araştırmacısı yaptığı düşüncesindeyim. Üniversitede tercihim pek tabii bilgisayar mühendisliği oldu, ancak pek okula gitmedim. Üniversitenin ilk yılından itibaren özel sektörde çalışıyorum. ‘Okula sadece sınav zamanları gidip, birinci sınıfın başında hangi derslerden hangi notu alırsam 2,5 ortalama ile mezun olurum?’ hesabı yaptım. Lise yıllarımda öğrendiğim bilgiler ile okula minimum vakit ayırıp dört sene bu plana sadık kalıp mezun oldum. Bu demecim, demek değildir ki üniversiteler gereksizdir. Aksine son derece önemli. Eğer bu söyleyişi okuyan siber güvenlik alanına meraklı üniversite öğrencileri var ise kendilerine üniversiteye dair bakış açımı kaleme aldığım şu yazıyı okumalarını naçizane önerim olarak paylaşmak isterim.

İnce, İngilizce ve Linux bilmek çok önemli, diyor

Taksim’deki ofisinizden bugün geldiğiniz noktaya kadar geçen süreci kısaca anlatır mısın?


2011 yılında, tamamı ile benim gibi aynı duygu ve arzularda olan iki insanla bir araya gelme fırsatım oldu. Daha doğrusu daha önceleri bir şekilde yollarımız Can Yıldızlı ile kesişmişti. Can’ın da yolu ise Koryak Uzan ile. Bu üçlü 2011 yılı sonunda, Can’ın önderliğinde PRODAFT ismi altında bir araya geldi. Daha öncede dedim ya, insan yetiştirmek ve bu alana meraklı kişilere kaynak oluşturabilmek en büyük arzularımdan birisi. Benimle aynı duygu ve arzulara sahip olan iki ortağım ile aslında ilk Taksim ofisimizde ciddi bir staj dönemi gerçekleştirdik. O yıllarda staja katılan arkadaşlarımız bugün ekipteler. İnsan yetiştirmeye verdiğimiz değer hiç değişmedi. Şu anda tamamı staj döneminde yetişmiş 21 kişilik bir grubuz. 


Pek tabii bugünlere gelirken satır aralarında kaybolan çok problemler yaşadık. Lakin bugün geldiğimiz noktadaki en önemli konu, 2012 yılında U.S.T.A (Ulusal Siber Tehdit Ağı) adını verdiğimiz ve ülkemizi ilk defa ‘siber istihbarat’ terimi ile tanıştıran ekip oluşumuzdur. Şu anda bu AR-GE projesi ülkenin en önemli sektörlerinin kalbi noktasında. Ecnebi memleketlerdeki teknolojileri getirip bu topraklarda satmak, benim asla kabul edebileceğim bir husus değil. Tüm arkadaşlarım adına rahatlıkla söyleyebilirim ki, bizim en büyük mutluluğumuz bu memlekette bulunan ve siber güvenlik alanına adeta aşık olan Türk insanları, staj sürecinden itibaren yetiştirip, aynı ekip ile U.S.T.A’yı hayata geçirmiş olabilmektir. Bu projenin beyni, kalbi ve her şeyi 21 kişilik Türk ekiptir. Bu denli yetenekli insanlarla bir arada çalışıyor olmaktan aldığım haz, tarif edilemez.


“Linux öğrenmek bence en kritik noktalardan birisidir siber güvenlik için.

Siber güvenlikçi olmak isteyen gençler eğitim sürecinde nelere dikkat etmeli?

Söylemeye gerek yok, İngilizce bilmiyor olmak benim inanılmaz yavaş ilerlememe neden oldu. Bu konu su götürmez bir gerçek. Değinmek istediğim bir diğer husus ise siber güvenlik alanının aslında derya deniz olması. Pek tabii olayın başında siber güvenliğin hangi alanını tercih edeceğinin kararını vermek mümkün değil. Bu nedenle benim takip ettiğim yaklaşım, elime geçen her teknik dokümanı, kitabı okumak olmuştur. Bir süre sonra siber güvenliğin hangi alanından daha çok zevk aldığınızı daha net görebiliyorsunuz. Bu noktaya gelene dek edinilen tüm bilgiler, seçilen siber güvenlik alt disiplini ile alakalı olsun olmasın çok işe yarar oluyor. Bir paragrafı açık kaynak ve Linux’e ayırmadan geçmek bu soruya haksızlık olacaktır. Kısa ve net bir cümle ile ifade etmek gerekirse, Linux öğrenmek bence en kritik noktalardan birisidir siber güvenlik için.

Ailesi saatlerce anlamsız karakterlere bakıp durduğunu düşünüyormuş

Başarılı bir siber güvenlik girişimi olarak aynısını başarmak isteyenlere önerilerin var mı ?


Sizlerle aynı ülküyü edinmiş lakin tamamıyla farklı düşünebilen insanlarla bu yola girin. 10 yılı aşkın süredir bir hobiyi meslek olarak icra etmeye çalışırken fark ettiğim tek şey, farklı bakış açılarının katkılarıdır. Can, Koryak, ekipten arkadaşlar her gün karşımıza çıkan hususlar ile ilgili inanılmaz farklı bakış açıları katıyorlar. Bu tür bir ortamın içerisinde olmak her ne kadar bir hobiyi icra ediyor olsanız da, müşterek hayatın getirdiği iniş çıkışlarda sırtınızı yaslayabildiğiniz yegane dayanak. Özetle, ekip önemli.

Küresel siber savaş alanında Türkiye’nin konumunu nasıl özetlersin? Neler yapmalıyız?


Küresel bir siber savaş alanında sadece Türkiye’nin değil hemen hemen hiçbir ülkenin (İsrail, ABD ve Çin hariç) durumunu olumlu göremediğimi ifade etmek isterim. Çok popüler bir örnek vermek gerekirse, Stuxnet adında bir husus yaşandı. Haziran 2010 yılında tespit edilen ve siber güvenliğin çok yeni sayılabilecek tarihinin mihenk taşlarından birisi oldu. Stuxnet, ABD ve İsrail’in, İran’ın nükleer çalışmalarını sekteye uğratmak için kullandığı solucan yazılımdır. Haziran 2010’da varlığı açığa çıkan virüs İran’ın Buşehr ve Natanz’daki nükleer tesislerini etkilemiştir
[1] . Yani bundan 7 sene önce bir ülkenin, başka bir ülkeye ait en kritik alt yapısına yönelik siber saldırı düzenlediğini gördük. Bu tür saldırılar ile ilgili çalışmaların ise saldırının tespit edildiği zamandan en az 5 sene öncesine dayandığı ise tecrübeyle sabittir. 


Demem o ki, gerçekten bir siber savaşın yaşandığını, klasik savaşlarda olduğu gibi yaşanırken tanıklık etmekten ziyade aslında saldırı bittikten sonra öğrenecek olmamızdır. Bu durumda, şu anda ben bu cümleleri yazarken bir siber savaşın yaşanmadığını kim iddia edebilir ki? ‘Peki neler yapmalıyız?’ kısmına gelirsek, dünyadaki siber güvenlik firmalarının neredeyse %70’inin ortaya çıktığı topraklardaki –İsrail- modeller incelenmeli. Bu husus, deneme yanılma tahtasına çevirilemeyecek kadar kritik bir öneme sahip.


[1] – https://tr.wikipedia.org/wiki/Stuxnet


0