“Bu işi egom için yapıyorum”

İki hafta önce, Twitter engellenmeden hemen önce teknoloji meraklıları İbrahim Baliç’in Google’ın uygulama marketi Google Play’i devre dışı bırakmasını konuşuyordu. Baliç daha önce de Apple ve Facebook’un sistemlerinde zafiyet bularak, sistemleri devre dışı bırakmış ve çok konuşulmuştu. Baliç’i İstanbul’daki şirketinin ofisinde ziyaret ettik ve merak ettiklerimizi sorduk. Öğrendik ki Baliç için önemli olan -kendi sözleriyle- “Oxford, Harvard, MIT’den mezun olan zehir gibi adamların kurdukları sistemlerde zafiyet bulabilmek”. Bu, Baliç’e kendini iyi hissettiriyormuş.

Nerede eğitim aldınız?

2001’de girdiğim liseyi 2003’te bıraktım. Elektrik-elektronik lisesindeydim. Başarılı bir öğrenciydim. Fakat ben okulda yapacak bir şey bulamadım.

Kendi kendinizi yetiştirdiniz...

Okula gitmedim ama okulda okutulan kitabın 10 katını okudum.

Siz de o zaman Silikon Vadisi’nin büyük patronları gibi okuldan bir şey alamadığınız için devam etmediniz...

Aynen! Hocalarım mesela “Kondansatör getirin yarın” derdi. Arkadaşlarım “Hocam kondansatör ne?” diye cevap verirdi. Hoca da başlardı en baştan anlatmaya. Tabii çocuk aklı, düşünemiyorsun okul önemli diye. Bir de hiperaktif bir çocuktum. Yerimde duramazdım, bir şeyle uğraşırken durabilirdim sadece.

“Android’de bir zafiyet buldum, ortalık karıştı”

Bildiğim kadarıyla “hacker” kelimesinden hoşlanmıyorsunuz.

Ben “hacking” yapmıyorum. Benim işim zafiyet araştırmak.

Boşluk arıyorsunuz yani...

Evet. Hack’lemek için değil, zafiyeti bulmak için araştırma yapıyoruz. Aslında amacımız da siber silah endüstrisini geliştirmek.

Neden peki?

İnsanlar “Egosu yüksek” diyor. Evet doğru, çok büyük bir egom var. Ben bu işi egom için yapıyorum. Mesela Facebook denilen yerde binlerce geliştirici, mühendis çalışıyor. Bunların hepsi çok yüksek okullardan mezun; Oxford, MIT, Harvard gibi... Zehir adamlar bunlar. Bu adamlar bir sistem yapıyor ve siz evde oturup cipsinizi yerken
o sistemi bozabiliyorsunuz.

Google Play’i nasıl etkilediniz?

Apple olayından sonra “Şimdiki hedefin ne?” dediklerinde “Google” demiştim. Ama Google tesadüf eseri oldu biraz. Ben aslında Android işletim sisteminde bir zafiyet buldum. Bu zafiyeti bildirdim. Fakat şöyle bir durum var: Google Play, tüm Android uygulamalarının bir arada tutulduğu, yüklendiği, satıldığı bir platform. Ben Android’deki zafiyeti bulduğum zaman bunu Google Play’de denemek istedim; sadece meraktan. Bir baktım ki gerçekten Google Play de etkileniyor. Yine de küresel olarak sistemin etkileneceğini düşünmemiştim. Forumları karıştırdım. Öğrendim ki tüm uygulama geliştiriciler etkilenmiş.

Peki Google’dan cevap geldi mi?

Hayır, gelmedi. Çünkü ortalık karıştı. Normalde Google çok iyi bir firma. Bu tarz şeylere para ödülü de veriyor. Kızgın olabilirler. Maddi hasar oluştuğu söyleniyor çünkü. İnsanlar
iki gün boyunca hiçbir şey yapamadı; uygulama yükleyemedi, satamadı...

“Facebook’un elini ayağını öpsünler”

Şimdiye kadar zafiyetlerini açık ettiğin şirketler nasıl tepki verdi?

En iyisi Facebook. Diğer firmalar Facebook’un elini ayağını öpsün.

Size hediye de yolladı Facebook, değil mi?

Facebook’tan hediyeler geldi. Kredi kartı da gönderdiler. Ben sistemlerinde zafiyet buldukça bana para yüklüyorlar.

Facebook’ta zafiyet bulabilmek için ne kadar uğraştınız?

Üç ay.

Nasıldı o süreç? Kendinizi eve kapatıp, ekranları açıp saatlerce zaman mı harcadınız?

Bu soruyu en güzel eşim cevaplar sanırım. İlk tanıştığımız zaman çok kızıyordu bana. “Birlikte zaman geçirelim, bir şeyler yapalım” diyordu. Yemek yerken bile masamdadır bilgisayarım. Günde
18 saat o bilgisayarın karşısındayım. Bilgisayarla yaşıyorum. Günde 18 saat çalışarak üç ayda Facebook’ta zafiyet buldum.

“Türkiye’de bürokrasi sıkıntısı var; Amerika’dan teklif aldım”

Bundan sonra savaşların siber silahlarla mı yapılacağını düşünüyorsunuz? Bu yüzden mi “Amacımız siber silah endüstrisini geliştirmek” dediniz?

Evet. Savaşlar siber silahlarla yapılacak, yapılıyor da... Dünyanın gündemi bu şu aralar. Size çok basit bir şey söyleyeyim. 2010’da ben Sağlık Bakanlığı’nın sunucularına girdim. Bu sunucularda bütün hastalara ulaştım ve bakanlığın (Alo 182) randevu sistemine eriştim. İstesem bu sistemi de çökertirdim. Düşünün eğer bunu yapsaydım ülke felç olurdu. İşte size siber silah örneği...

“Makam araçları için rapor hazırladık”

Nasıl çalışmalar yürütüyorsunuz peki siber silahlarla ilgili?

Son olarak Ankara’da Siber Güvenlik Konferası vardı. Orada bir konuşma yaptım. Nasıl olduğunu anlattım. Siber silahlara ilgi duymamın nedeni hiperaktifliğim; bir şeyleri bozmak istemem. Mesela milyarlarca dolar harcanıyor ve füzeler yapılıyor. Fakat füzeler sadece yıkmak üzerine. Siber silahlar öyle değil. Siber silah
bir şeyi yok etmeden, onu düşmanınızın elinden almanızı sağlıyor. Menzili yok! Maliyeti de çok ucuz. İran’ın nükleer santrallerini düşünün. En iyi örnek bu. Bu santraller bir siber silahla durduruldu.

Devletten teklif geldi mi?

Türkiye’de bürokrasi öyle işlemiyor maalesef. Amerika’da böyle aslında. Hatta en son Amerika’ya gittiğimde benzer
bir teklif aldım. “Yaptığın araştırmaları Amerikan hükümeti için yapmayı düşünür müsün?” dediler. Savunma sanayiinde, United Defence’de çalışan bir yöneticiydi. “Hayır” da, “evet” de demedim. Türkiye’de böyle olmuyor. Türkiye’de bir şeyi yapmak için kırk kapıdan geçmen, onay alman lazım.

Türkiye’de hiç çalışmanız olmadı mı?

Oldu aslında. Başbakan ve bakanların makam araçlarıyla ilgili bir rapor hazırladık. Biliyorsunuz yeni nesil arabalar elektronik çiple çalışıyor. Onlarda açık olabilirdi. Kaza
bile yaptırılabilirdi. Konuyla ilgili rapor sunduk biz.