Ömer Yılmaz - Siber Güvenlik Uzmanı, CVE Araştırmacısı ve SİTEY Kurucusu

Ömer Yılmaz

Siber Güvenlik Uzmanı | CVE Araştırmacısı | Kurucu & CEO - SİTEY

Kurucumuz Ömer Yılmaz, 2014'ten bu yana bağımsız bir siber güvenlik araştırmacısı olarak yoluna devam ediyor. Sızma testlerinden zafiyet analizine, kritik altyapılardan web uygulamalarına kadar geniş bir yelpazede on yılı aşkın saha deneyimiyle bugün SİTEY'e yön veriyor.

Sızma Testi Zafiyet Analizi Kritik Altyapı Web Güvenliği SCADA / OT

Vizyonumuz

Yıllarca sahada yüzlerce sızma testi ve zafiyet analizi yaptık. Her seferinde aynı tabloyla karşılaştık: kurumlar zafiyetleri buluyor ama bir türlü kapatamıyordu. Onlarca aracın çıktıları Excel tablolarında kayboluyor, kritik açıklar haftalarca sahipsiz bekliyordu.

İşte SİTEY tam da bu noktada doğdu. Amacımız basit ama kararlı: zafiyeti sadece bulmak değil, sürecin tamamını uçtan uca yönetmek. Ekiplerin işini kolaylaştıran, yapay zeka ile önceliklendiren ve hiçbir açığın kaybolmasına izin vermeyen bir platform inşa ediyoruz.

Bu yolculukta gurur duyduğumuz bir şey daha var: 2021 ve 2022 yıllarında keşfettiğimiz sıfırıncı gün zafiyetleriyle Türkiye'deki CVE ID tespitine ve zero-day araştırmalarına doğrudan katkı sağladık. Henüz bu alanda çok az sesin çıktığı bir dönemde, bağımsız bir araştırmacı olarak öncülük ettik. Bu deneyim bize şunu gösterdi: Türkiye'nin kendi güvenlik ekosistemini büyütmesi için sadece savunma değil, keşif de şart.

CVE Keşifleri

2021

CVE-2021-40960 CVSS 9.8

Galera WebTemplate 1.0 — Path Traversal (CWE-22)

Galera WebTemplate uygulamasında kimlik doğrulaması gerektirmeden /etc/passwd ve /etc/shadow dosyalarının okunmasına izin veren Directory Traversal zafiyeti. Saldırgan bu bilgiyle sisteme tam erişim sağlayabilirdi.

AV:N / AC:L / PR:N / UI:N / S:U / C:H / I:H / A:H
NVD CVE.org
2022

CVE-2022-3792 CVSS 9.8

Liman Terminal İşletim Sistemi < 5.0.13 — SQL Injection (CWE-89)

Türkiye limanlarının büyük çoğunluğunda kullanılan terminal işletim sisteminde, kimlik doğrulaması gerektirmeden veritabanı üzerinde tam kontrol sağlayan SQL Injection zafiyeti. Konteyner yönlendirmeleri, gemi operasyonları ve tüm lojistik veriler tehlike altındaydı.

AV:N / AC:L / PR:N / UI:N / S:U / C:H / I:H / A:H
Konteyner hedef ülkesinin değiştirilmesi
Veritabanının ransomware ile şifrelenmesi
Milyonlarca liralık ekonomik zarar
NVD USOM CVE.org
2025

SİTEY'in Doğuşu

"Zafiyeti bulmak yetmez, sürecin tamamını yönetmek gerekir." Bu anlayışla 17 güvenlik aracını tek panelde birleştiren, yapay zeka ile önceliklendiren, ekiplere otomatik atayan uçtan uca zafiyet yönetim platformu SİTEY kuruldu.

Platformu İncele

Türkiye'de CVE Ekosistemi

Kaynak: T.C. Ulaştırma ve Altyapı Bakanlığı - 20 Ağustos 2023

USOM Tarafından Atanan CVE ID

20206
20218
202224
202384

USOM, 2021 yılında CNA (CVE Numbering Authority) kabul sürecini başarıyla tamamlayarak Türkiye'de üretilen yazılım ve donanımların güvenlik açıkları için CVE numaraları atamaya başladı.

2021'de sadece 8, 2022'de ise 24 sıfırıncı gün zafiyeti tespit edildiği bu dönemde, kurucumuz Ömer Yılmaz'ın her iki yılda da bağımsız olarak keşfettiği kritik zafiyetler bu rakamlara doğrudan katkı sağladı. Türkiye'de CVE ID ataması ve zero-day araştırmalarının henüz emekleme aşamasında olduğu yıllarda, bu çalışmalarla ekosisteme öncülük edildi.

Basında

22 Aralık 2022

Ulusal limanlardaki büyük tehlike son anda önlendi

“Hacker’lar bunu ele geçirmiş olsaydı, Nijerya’ya gönderilecek konteyner yükünü Amerika’ya gönderebilirdi.”

 23 Aralık 2022

Limanlardaki kritik açık bertaraf edildi! Milyonlarca lira zararı olacaktı

“İthalatın, ihracatın durma noktasına sokabilirdi ve ülkenin ekonomisini direkt etkilerdi.”

 23 Aralık 2022

Liman operasyonlarındaki büyük tehlike önlendi

Liman terminal yazılımındaki zafiyet USOM bildirimi sonrası giderildi. Devam etmesi halinde büyük tehlikeye neden olabilecekti.
İletişime Geç Platformu İncele