Silikon Vadisi’nde patron oldu! Türk genci, Pentagon’un açığını yakaladı

Ankara’da doğup büyüyen ve Taha, ilkokul 2’nci sınıfı okumadan direkt 3’üncü sınıfa geçti. Ortaokulu ailesinin taşındığı Amasya’da okuyan Taha o yıllarda bir bilgisayarı olmamasına rağmen bilgisayar bilimi ve matematik konularıyla ilgilenmeye başladı. Daha 6’ncı sınıftayken Orta Doğu Teknik Üniversitesi’nin (ODTÜ) yaz okulunda programlama kursuna katıldı. Şimdi dünyanın teknoloji üssü olarak bilinen Silikon Vadisi’nde ‘beyaz şapkalı hacker’ olarak çalışan Taha Bıyıklı, başarı hikayesini ve yaptığı işleri şöyle anlattı:

700 SAYFALIK KİTABI TÜRKÇEYE ÇEVİRDİM

“Ortaokulu Amasya’da bitirdikten sonra liselere geçiş sınavında 480’in üstünde bir puan aldım. Ancakpuanım yettiği halde İstanbul yerine daha yakın konumda olan Samsun Garip Zeycan Yıldırım Fen Lisesi’ni tercih ettim. Bu dönemde bilgisayar güvenliği oldukça ilgimi çekiyordu ve bu konu hakkında araştırmalarımı kitaplardan yararlanarak yapıyordum. Ancak Türkçe kaynaklar çok kısıtlıydı. Yabancı bir kaynaktan bununla ilgili bir kitap buldum. Yaklaşık 700 sayfadan oluşan bu kitabın tamamını paragraf paragraf Türkçeye çevirdim. Çevirirken de kitabı neredeyse birkaç kez okumuş oldum. Pandemi başladığı zaman da babamı bana bilgisayar alması için ikna ettim.

TEKNOLOJİ ŞİRKETLERİNİN GÜVENLİK AÇIKLARINI BULDUM

Aynı süre zarfında Capture The Flag (CTF) isimli dünya çapında düzenlenen sistem hackleme yarışmalarının farklı kategorilerine katıldım. Bu yarışmada katılımcılardan, kasıtlı bir şekilde zafiyetli oluşturulan bazı program veya web sitelerindeki güvenlik açıklarının bulunması isteniyor. Şu an üniversitemin takımında hala bu yarışmalara katılıyorum ve dünyanın en iyi takımı olarak öne çıkıyoruz. Diğer yandan hem büyük hem de küçük çaplı pek çok şirket, kendi güvenlik açıklarının bulunması için bazı ilanlar açıyor. Diyorlar ki, ‘sen gel bizim sitenin zafiyetini bul, ben sana şu kadar ödeme yapayım’. Şirketler bu sadeye siber güvenlik noktasında daha güçlü hale gelmeye çalışıyor. Ben de lisedeyken bu ilanlar sayesinde pek çok şirket ve kamu kurumunun güvenlik açığını buldum. Şirketler ortalama o dönem 5-10 bin dolar ödeme yapıyordu. Onların arasında Apple, Nokia, BBC, Sony, o zamanlar adı Amerikan Savunma Bakanlığı olan Pentagon, ASUS, Mail.ru, Philips, Telecom Italia, Erasmus University gibi şirket ve kurumlar bulunuyor.

BU AÇIKLARIN ÇÖZÜMÜ OLDUKÇA ZOR

Bu sistemlerin çoğu çok büyük olduğu için tek değil yüzlerce güvenlik açıkları oluyor. Çünkü bu şirket ve kurumların bünyelerinde çalışan ekipler de oldukça kalabalık. Bu insanlar her gün yeni bir kod yazıyorlar. Her yazılan kodla da yeni güvenlik açıklarının oluşma ihtimali doğuyor. Ancak bunların hepsini bulmak imkânsız. Bu nedenle de şirket ve kurumlar bu ilanları açıyor. Diğer yandan bu güvenlik açıklarının çözülmesi de oldukça zor.

10 YIL SONRA HİÇ ZAFİYET KALMAYACAK

İki çeşit güvenlik açığı oluyor. Bazısı yazılan kodla ilgili. Yani kodun tamamen yanlış yazılmasıyla ortaya çıkan bir zafiyet. Bu zafiyet nedeniyle örneğin sistemlerin veritabanına erişilebiliyor. Ancak diğeri, sistemin mimarisiyle ilgili daha karmaşık bir sorundan meydana geliyor. Burada örneğin bir kullanıcının hesabına izinsiz erişilebiliyor. Bu bir banka hesabı da olabilir, sosyal medya hesabı da. Ya da kişisel verilere de ulaşılabiliyor. Bunları bulmanın otomatik bir yolu şimdiye kadar yoktu. Ancak üniversiteden arkadaşım 18 yaşındaki Dvir Lazar ile kurduğumuz ‘Alkonos’ isimli şirket şu an tam da bunu yapıyor. Yazılımın mimarisinden kaynaklanan güvenlik sorunlarını otomatik olarak çözen bir yazılım geliştirdik ve üstünde çalışmaya da devam ediyoruz. Hedefimiz 10 yıl sonra dünyada hiçbir güvenlik açığının kalmaması. Şirketimiz Silikon Vadisi’nde ve küçük ölçekli şirketlerle çalışmaya da başladık.

BURSUMU KENDİM BULDUM

Liseyi bitirdikten sonra yurtdışı başvurularımın gecikmesi nedeniyle eğitimime bir yıl ara verdim. Bu arada çeşitli Avrupa kentlerinde siber güvenlikle ilgili konferanslara katıldım. Orada tanıştığım isimler sayesinde benim için en iyi üniversitenin ABD’deki Carnegie Mellon Üniversitesi olacağını düşündüm. Üniversitenin bilgisayar bilimi bölümüne kabul aldım ve şu an üniversitede bilgisayar bilimi ve matematik bölümlerinde okuyorum. Okul öğrencilerine burs vermiyor ancak ben kendi burslarımı bularak üniversiteye yerleştim.”

‘ALGORİTMALARIN BÜYÜK KISMINI GELİŞTİRDİM’

Alkonos’un diğer kurucu ortağı olan Dvir Lazar:

“Sistemlerin mimari hatalarından doğan mantıksal zafiyetleri otomatik bulmak için kullanılan algoritmaların büyük kısmını geliştirdim. Özellikle farklı kullanıcı rolleri ve çok adımlı iş akışlarını modelleyebilen yapay zekâ tabanlı tarama motoru da araştırmalarım sayesinde ortaya çıktı. Geliştirdiğim bu teknolojiler sayesinde Alkonos, klasik otomasyonların bulamadığı erişim kontrolü açıklarını ve karmaşık mantıksal hataları tespit edebiliyor.”

BEYAZ ŞAPKALI HACKER’ NEDİR?

Beyaz şapkalı hacker, bilgisayar sistemlerindeki açıkları kötüye kullanmak yerine ortaya çıkarıp ilgili kurumlarla paylaşan, siber güvenliği güçlendirmeyi amaçlayan etik hackerlara verilen isim. Çoğu zaman şirketler ya da devlet kurumları tarafından sistemlerin korunması için görevlendiriliyorlar.