http://wordpress.org/development/2009/11/wordpress-2-8-6-security-release/

-Adobe Shockwave Çoklu Açıklıkları

[Yeni çıkan/güncellenen güvenlik yazılımları]

Geliştirdiğiniz uygulamanın yönetilebilir (managed) kodu içerisinde (C#, VB.Net, J#) güvenlik akışını tanımlamaya yarayan bir eklentidir.

Penetrasyon Testleri, Denetim, Şifre Kırma, Adli Bilişim ve honey pot’lara odaklanan dağılımları içermektedir.

kablosuz yayın yapan Access Point benzeri kaynakları taramanızı sağlıyan bir programdır.

-SAINT Vulnerability Scanner (açıklık/zayıflık tarayıcı) 7.2 sürümü çıktı.

http://www.security-database.com/toolswatch/SAINT-R-7-2-Released-Now-OVAL.html

-Secure advanced Web server for Unix:Hiawatha

Web serverlarda güvenliğin sağlanmasını sağlayan open source bir ürün.

Debian, Ubuntu, Gentoo, Fedora, Slackware, FreeBSD, OpenBSD, NetBSD, MacOS X, Solaris ve Cygwin sistemlerde çalışma özelliğine sahip.

http://www.hiawatha-webserver.org/homepage

-Metasploit Framework v3.3 çıktı

Network ve güvenlik uzmanları tarafından penetrasyon testleri gerçekleştirmek, sistem uzamanları için patch kurulumlarını kontrol etmek, ürün geliştirenler için regression testleri gerçekleştirmek için kullanılabilecek bir framework’tür.

http://btguvenliktest.com/wordpress/?p=136

-Oracle Security Tools
Oracle sistemler için güvenlik açıklıkları test aracı
http://securetools.ru/en/tools.php

NGB: Kısaca kendinizden bahsedebilir misiniz?

Serkan AKCAN: Bilgisayar ile ortaokulda (1988) katıldığım Basic programlama dili kursu ile tanıştım. Profilo Anadolu Teknik Lisesi Fransızca-Elektronik bölümünde yine bilgisayar ve elektronik üzerine eğitim aldım. 1994 Yılında İstanbul Üniversitesi Edabiyat Fakültesi Fransız Dili ve Eğitimi bölümüne girdim ama bilgisayar ve elektronikten kopamayıp 1996 Mart’ında part-time niyeti ile başladığım bir bilişim şirketlerinde Novell uzmanı oldum. Diğer yandan Anadolu Üniversitesi İşletme fakültesini bitirdim.

1998 Yılında MCP ve 2000 Yılında MCSE sertifikalarını aldım. Aynı dönemde Cisco ürünlerinde de uzmanlaşarak sistemin yanı sıra ağ hizmetlerini vermeye başladım. 2000’den sonra bilgi güvenliği üzerine çalışmaya başladım. 2005 yılı başından bu yana ise kurucu ortağı olduğum Nebula Bilişim’de danışmanlık hizmetleri veriyorum.

İş hayatının dışında edebiyat ve özellikle şiire merakım var. 2008 yılında Kara Kapılar adlı bir şiir kitabımı yayınladım. Amatör denizcilik, sivil havacılık, uçuş simülatörleri, amatör olta balıkçılığı, fotoğrafçılık, amatör müzik (davul ve klasik gitar) gibi bir çok özel uğraşım oldu. Bazıları zamansızlık nedeni ile artık devam edemiyor olsa da her birinden hala keyif alırım.



Serkan AKCAN: Aslında güvenlik işine girmem bilinçli bir tercih değildi. Bu alana beni müşterilerim itti. Türkiye’de henüz internet yokken sektöre başlamış olanlardanım.
Önce müşterilerimize internet götürdük, sonra yaygınlaştırdık. Ardından güvenlik ihlalleri olmaya başlayınca sistem ve ağ uzmanı olarak mecburen zaafları kapatma görevi bize düştü. 2000 -2002 arası ağ ve güvenlik yoğun olarak çalıştım ve 2002’den bu yana sadece güvenlik üzerine çalışıyorum.


Serkan AKCAN: Ben birçok kimse kadar karamsar değilim. Durumumuz elbette hiç iç açıcı değil ama bugüne kadar yurtdışı kökenli kurumlarda gördüklerim de bizimkinden çok farklı değil. Bizi biraz daha dibe iten en önemli sebep kurumlarımızın değer taşıyan bilgiye sahip olmaması. Korunması gereken patent, know-how, entelektüel sermaye ve benzeri değerler Türkiye’de çok ama çok az. Orta ve küçük ölçekli kurumların en değerleri verileri muhasebe yazılımları.
Bilgi üretemeyen bir toplumun bilgi güvenliği farkındalığına sahip olmasını beklemek mantıklı olmaz.

Diğer bir konu sektörün kendi ayakları üzerine basamaması. Türkiye ürün distribütörlerinin çok ucuz fiyatlara hizmet satmaya çalıştığı ve bazı devlet kurumlarının özel sektörle rekabet ettiği tuhaf bir ülke. Sektörün içinde bulunanlar sektöre iyilik etmiyorlar diye düşünüyorum.


Serkan AKCAN: Amerika’yı yeniden keşfetmeye gerek yok. Her işte olduğu gibi bu işte de vakit nakittir. Artık bilgi güvenliği eğitimler veriliyor. Bu eğitimlere mutlaka katılmalılar. Ayrıca süper kahraman olmayanların her konuyu ileri derecede öğrenmeye çalışmak yerine belirli bazı alanlara odaklanmaları başarı oranlarını arttırır diye düşünüyorum.

NGB: Sizce 2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor olacak?

Serkan AKCAN:  Mobil güvenlik en büyük alanlardan biri olacak. Teknolojinin bireylere ulaşması ve gündelik hayatımıza hızla girmesi nedeniyle risk kurumlardan bireylere doğru kayacak. Ayrıca ulusal güvenlik ve siber savaş gibi konular çok daha fazla konuşuluyor olacak.


Serkan AKCAN: Hiçbir sertifika veya diploma yaratıcılığı belgelemez ama bu gereksizdir anlamına da gelmez. Sertifikaya bilgi birikimi seviyesi olarak bakmamak gerekir. Belirgin bir işi çok iyi yapıyorsanız iş bulmak için kartvizitinizde sertifikalar olması gerekmez. İşini iyi yapanlar zaten hiç iş başvurusunda bulunmazlar, hep iş teklifi alırlar. Yine de vakti olanlar için her zaman bir avantajdır. En popüleri de şüphesiz CISSP. Şahsen benim sertifikam yok.

NGB: Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

Serkan AKCAN: Hiç şüphesiz “insider”. Internet üzerinden atak yapılarak tüm verileri ele geçirmek ve bu verileri şirket aleyhine kullanmak, şirket içinden bu işi yapmaya kıyasla çok daha zor. Internet sınır güvenliğine oldukça büyük paralar harcanırken yerel güvenlik sistemleri ikinci planda kalıyor. Lokal bölgede yapılan güvenlik ihlallerinin izini sürmek çok zor oluyor. Erişim yetkileri daha fazla olduğu için izler silinebiliyor. Lokal güvenlik süreçleri sınır güvenliğine göre çok daha uzun. Kullanıcı eğitimleri, erişim denetimleri, kayıt tutma, denetleme, veri kaybı yönetimi, risk yönetimi diye uzayıp gidiyor.


Serkan AKCAN: Birkaç yıl önce elime geçen Peter Szor’un yazdığı The Art of Computer Virus Research and Defense kitabını okuyorum. Hacking Exposed serisi hariç tüm kitapları tavsiye ederim :)


NGB: Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı

Serkan AKCAN: Kahramanlık, hayranlık veya örnek alma gibi hisler beslemesem de hiç şüphesiz en çok beğendiğim adam HD Moore. Sadece Metasploit ile ilgisi olduğunu düşünenler web sitesine göz atmalı. http://digitaloffense.net/

NGB: Güvenlik dünyasında en fazla kullandığınız/sevdiğiniz  yazılım hangisidir?

Serkan AKCAN: HD Moore dedik, Metasploit demezsek ayıp olur.

NGB: Zaman ayırarak röportajımıza katıldığınız için  teşekkür ederiz.

-SacisExpo Ankara 2009

18-20 Kasım 2009 

http://www.sacisexpo.com/

-Web 2.0 Güvenliği Semineri
3 Aralık Perşembe
http://www.nebulabilisim.com.tr/blog/3-aralik-persembe-web-20-guvenligi-semineri

-Ağ ve Bilgi Güvenliği Konferansı

5-6 Şubat 2009

-Akademik Bilişim 2010 

10-12 Şubat 2010 

http://ab.org.tr/ab10/

-Standartlar ve Güvenlik Açısından Log Yönetimi

http://www.beyazsapka.org/makaleler/standartlar-ve-guvenlik-acisindan-log-yonetimi

-Data transferlerinizde hala geleneksel FTP mi kullanıyorsunuz?

http://zfrylmz.com/blog/data-transferlerinizde-hala-geleneksel-ftp-mi-kullaniyorsunuz/ http://www.educatedguesswork.org/2009/11/understanding_the_tls_renegoti.html

-TLS renegotiation zaafiyeti kullanarak twitter hesaplarını ele geçirme

Anıl KURMUS tarafından yazılan poc twitter hesaplarının nasıl ele geçirilebileceğini anlatıyor(Twitter zaafiyeti kapattı)

http://www.securegoose.org/2009/11/tls-renegotiation-vulnerability-cve.html

-Güvenlik zaafiyetleri hakkında öğretici, eğlendirici videolar
http://www.youtube.com/user/SymantecEduc