|
Haftalık yayınlanan NetSec Güvenlik Bülteni’nin yeni
sayısı ile karşınızdayız.
Bülten Web Adresi: http://www.lifeoverip.net/newsletter/sayi15
“Haftalık Güvenlik Bülteni Ağ Güvenliği
Listesi Netsec'in
üyeleri tarafından hazırlanmakta olup herkesin katkısına açıktır. Amacımız
değişken güvenlik dünyasının farklı alanlarını yakından takip eden
arkadaşların geçtiğimiz hafta içerisinde dikkatini çeken güvenlikle ilgili
haberler, yazılar, araçların paylaşımıdır.”
“Güvenlik Bülteni’nin 16. sayısına
ekleme yapmak isteyen arkadaşlar buradan
çalışabilirler.”
GÜVENLİK DÜNYASINDAN HABERLER. 2
KRİTİK SEVİYE
GÜVENLİK AÇIKLIKLARI. 3
YENİ ÇIKAN/GÜNCELLENEN GÜVENLİK YAZILIMLARI. 3
HAFTANIN GÜVENLİK YAZILIMI. 4
HAFTANIN MİSAFİRİ. 5
ETKİNLİKLER. 7
DİKKAT ÇEKEN YAZILAR. 8
İŞ İLANLARI. 9
GÜVENLİK BÜLTENİ HAKKINDA. 9
 GÜVENLİK
DÜNYASINDAN HABERLER
-Netsparker Satışa Çıktı
http://ferruh.mavituna.com/netsparker-satisa-cikti-oku/
-Autorun-Tabanlı Malwareler
Yükselişte
http://shiftdelete.net/autorun-tabanli-malwareler-yukseliste-16446.html
-Microsoft'un Aralık Ayı Yamaları
http://shiftdelete.net/microsoftun-aralik-ayi-yamalari-16486.html
-NASA sites hacked via SQL
injection
http://www.scmagazineus.com/nasa-sites-hacked-via-sql-injection/article/159181/
-Dikkat! Autorun tabanlı
malwareler yükselişte
http://www.veteknoloji.com/dikkat-autorun-tabanli-malwareler-yukseliste-25407-.html
-CertMag 2009 Maaş Anketi
http://umut-simsek.blogspot.com/2009/11/certmag-2009-maas-anketi.html
 KRİTİK SEVİYE
GÜVENLİK AÇIKLIKLARI
-ISC
BIND 9 Cache poisoning vulnerability (DNSSEC)
https://www.isc.org/node/504
 YENİ
ÇIKAN/GÜNCELLENEN GÜVENLİK YAZILIMLARI
-Nessus
v4.2.0 çıktı
Ücretsiz güvenlik tarama programı Nessus'un 4.2
sürümü duyuruldu. Yeni sürümde göze çarpan en belirgin özellik Nessus'un
artık web arabirimli bir araç olması.
http://blog.tenablesecurity.com/2009/11/nessus-42-released.html
-Lynis
v1.2.7 çıktı
Unix sistemler için geliştirilmiş bir denetleme
aracıdır.
http://btguvenliktest.com/wordpress/?p=140
-
Nipper v1.1 çıktı
Nipper yapılandırma dosyası inceleme ve güvenlik
analiz yazılımıdır. Nipper yazılımı kullanılarak, bazı ağ cihazlarının
yapılandırma dosyaları güvenlik açısından incelenebilir.
http://btguvenliktest.com/wordpress/?p=139
-Metasploit
3.3.1 Çıktı
http://www.metasploit.com/framework/download/
 HAFTANIN GÜVENLİK YAZILIMI
Yazılım adı :Sucuri(Network
integrity montioring)
İndirme adresi
:http://sucuri.net/index.php?page=nbi
Kategori :İzleme/gözleme
Ortam :Web/Internet
İşlevi :web siteleri,
host isimlerinde yapılan anormal değişiklikleri raporlama
Sucuri(Network integrity
montioring), web tabanlı bir hizmettir ve web sayfanıza ait internet
ortamında yapılan değişiklikleri takip eder ve size mail ile bildirir.
Sucuri.net'in çalışma mantığı
oldukça basittir, önce değişiklikleri izlemek istediğiniz host ismi kayıt
edilir sonra bu hosta ait web içeriği, dns kayıtları, whois bilgileri, ssl
sertifika bilgileri ve karaliste durumları internetten toplanır. Sonraki adım
bu bilgileri devamlı orjinal kaynaklarından kontrol etmek ve bir değişiklik
olduğunda size bildirmekten ibaret.
Sucuri(ağ tabanlı bütünlük
kontrolü) servisi http://sucuri.net adresinden ücretsiz
kullanılabilir.
 HAFTANIN MİSAFİRİ
Güvenlik Bülteni’nin
bu haftaki misafiri IT-WAY Türkiye kurucularından Hakan ÜNSAL
NGB: Kısaca kendinizden bahsedebilir misiniz?
Hakan ÜNSAL: Deniz Lisesi ve Deniz Harp
Okulu mezunuyum. Harp Okulunda Elektrik/Elektronik branşında okumuştum. Mezun
olunca bir süre bahriyemizin gemilerinde görev yaptım sonra ODTÜ’de
Bilgisayar Mühendisliği bölümünde özel bir eğitimden geçtik ve tekrar Deniz
Harp Okuluna geri dönüp bilgi işlem bölümünde hem sistem işletim sorumlusu
olarak hem de ek görevle öğrencilere Bilgisayar Programlama dersleri veren
öğretim görevlisi olarak çalıştım.
Mezun olduğum okulda ders verme heyecanını da yaşamış oldum yani. Güzel
zamanlardı. Ama zor iş olduğunu itiraf etmeliyim. O zamanlar Harp Okulunda
verdiğim dersle ilgili bir ders kitabı bile yazmıştım. Ben oradan ayrıldıktan
bir süre sonra zamanın değişen şartlarına göre Harp Okulunun müfredatı da
değişmişti ve o kitabı rafa kaldırdılar bildiğim kadarı ile. Sadece bir grup
insanın bildiği, herkese açık olmayan bir yayınım da var yani...
Kişisel meraklarım arasında hafif silahlar ve maketler var. Havalı
tabanca, 22 veya 32 kalibre spor tabancaları ile yarışmalara katılmışlığım ve
Harp Okulları arası şampiyonluklarım vardır. Gerçi günümüzde malum sebepler
yüzünden silah merakı olan herkese kötü gözle bakılır oldu ama havalı tabanca
ve özellikle 22 kalibre tabanca ile atış yapmak kadar zevkli bir uğraş çok
azdır. Bir kez, layıkıyla, bu sporu yapma fırsatı bulan herkes beni
anlayacaktır. Bir de maket merakım var. Ahşap, plastik, gemi, uçak vs.
farketmez. Evlenip çoluk çocuğa karıştıktan sonra artık buna pek vakit
ayıramıyorum ama bu konuda büyük oğlumun kanına girdim. Küçük olanının da eli
kalem tutunca ona da bulaştırırım artık...
NGB: Güvenlik işine nasıl bulaştınız?
Hakan ÜNSAL: Tamamen kendi tercihimin
dışında oldu aslında. Deniz Kuvvetlerinden ayrıldıktan sonra 1 sene kadar
Gantek’de çalışmıştım. Oradaki genel müdürümüz Timuçin Bey yeni kuracağı bu
iş için tercih etti beni. 1996 yılında biz bu sektöre girdiğimizde örnek
alabileceğimiz, yardım alabileceğimiz, başımız sıkıştığında danışabileceğimiz
hemen hemen hiç kimse yoktu. Internet erişimi de zaten Türkiye çapında çok
kısıtlı idi. Nuran Varol diye cin gibi bir arkadaşımız vardı, onun bana
faydası çok olmuştur o ilk yıllarda. Ayrıca o yıllarda Türkiye pazarına
girmek isteyen her üreticinin teknik elemanlarından da birçok şey öğrenme
fırsatım oldu. Güvenlik sistemleri üreticisi firmalar ne kadar küçük olusa o
kadar dinamik ve yardımsever oluyor. Büyüdükçe dışa kapanıyorlar. İlk
acemiliği attıktan sonra ise başımızı bu işten kaldıramaz olduk.
NGB:Turkiye'de bilgi guvenligi konusunu degerlendirebilir misiniz?
Hakan ÜNSAL: Patronlar
güvenliği yük bilir çünkü bizim ne yaptığımızdan anlamıyorlar. Anlamadığı,
aklının yatmadığı şeye para yatıran patron hiç tanımadım ben. Bizim
yaptığımız işi kar merkezi değil zarar merkezi olarak gördükleri veya böyle
algıladıkları için de hep ikinci planda kalan bir konumdayız.
Sadece kendi teknik seviyemizde olanlara en iyi çözümü anlatmakla
kalmayıp, karar verici insanlara da basit ve anlaşılır dille, kesinlikle
korku, şüphe ve belirsizlik yaratmadan, neyi neden yapmaları gerektiğini
anlatmalıyız. Sadece bir kurumun ihtiyacını çözmeye yönelik teknik çözümlerin
o kuruma sunulmasının yetmediğine inanıyorum. Biraz da bunların alınmasını,
devreye sokulmasını onaylayacak insanlarla vakit geçirip kar/zarar odaklı bir
tartışma ekseni etrafında büyük resmi onlara çizmek lazım. Körü körüne
kotasını doldurmaya çalışan ve çoğu zaman da ne sattığını tam olarak bilmeyen
satıcılarla pazarlık etmeye çalışan bir yöneticiden ziyade basit ve
açıklayıcı konuşmasını bilen bir teknik elemanla muhatap olan her yöneticiyi
mutlu etmek çok daha kolaydır.
Olmamız gereken noktanın gerisinde olmamızın sebebi bu sektörün
çalışanları olarak yeterince farkındalık yaratamamış olmamızdan kaynaklanıyor
bence. Sadece ürün ya da hizmet alanları değil karar verici insanları da
eğiticek bir düzen kurulması lazım. Medyaya da bu konuda iş düşer. Tüketici
elektroniğine ayırdıkları sütunların 50’de 1’ini bilgi güvenliğine ciddi
olarak ayırsalar, sokaktaki insan diye tabir ettiğimiz kesimin de hergün
okuduğu günlük gazetede bile korku şüphe ve belirsizliğe kaçamadan, ciddi
içerikli haberlerimiz olsa, çok daha çabuk bir farkındalık yaratılır.
Sadece sektörümüzün belli bazı dergilerinde kalmamalıyız. Ama en güzel en
dolu filmlerin bile gece 23:30’dan sonra yayına sokulduğu bir ülkede
ağırbaşlı ve sorumlu bir bilişim güvenliği haberciliğini beklemek ütopya
tabii.
NGB: Türkiye'de yerli güvenlik yazılımı üretimi için görüş ve
önerileriniz nelerdir?
Hakan ÜNSAL: Artık
commodity olmuş FW, AntiSpam, URL Filtering vs. gibi ürünler için çaba
harcamamak lazım bence. Bunları üretip satarak rekabet edilmez, karlı
olmayacaktır. Yurt içinde karlı olabilir belki ama dışa açılmak lazım.
Başarılı ve benzerlerinden farklı ürünler geliştirmek istiyorsak sadece
Türkiye’de değil en azından yakın coğrafyamızda pazarlanabilir ve
alanında öncü ürünler üretmek için çaba harcamamız lazım bence. Mutlaka niche
alanlarda birşeyler üretmemiz lazım. Örneğin one way data transfer
yapanlar özel cihazlar. Havelsan’ın böyle bir ürünü vardı seneler önce ama
hiç piyasada sesini duymuyoruz. Eğer rafa kaldırdıkları bir proje ise çok
yazık olur. Ya da aklıma whitelisting benzeri istemci tarafı çözümler
geliyor. Virüs, Spyware vs ile mücadele etmek gittikçe imkansızlaşıyor çünkü,
daha yenilikçi bir çözüm geliştirilebilir. Yoksa, örneğin, yeni
versiyon geçmek için eski versiyondaki tüm konfigürasyonu unutmak gereken bir
bacağı topal firewall’larımız vs. olur.
İnsan kaynağı açısından bir problemimiz olduğuna inanmıyorum. Ama bu
insan kaynağını yönlendirmede problemimizin olduğu kesin. Sadece Türkiye için
de değil, dünyanın geneli için böyle bu. Bir zamanlar Oracle’ın CSO’unun
blogunda okumuştum. Meali yaklaşık şöyle idi: "Bizim en önemli
tedarik zinciri unsurumuz bünyemizde çalıştırdiğımız ve sattığımız ürünleri
yazan, seçkin üniversitelerin güya iyi eğitilmiş olması gereken, en iyi
dereceli mezunları. Ama gördük ki bunlar güvenli kod yazmaktan aciz. Dünya
zaman, para, kaynak harcayıp bunları eğitmeye çalışıyoruz şimdi. Halbuki bunu
yapması gereken üniversiteler. Bunu düzeltebilmek umuduya önemli birkaç
üniversitenin bölüm başkanlarına ve dekanlarına resmi yazı yazdım. Sadece
biri cevap verdi o da benden para istedi! Tüküreyim böyle düzenin
içine..." havasında bir yakınma idi. 90’lı yıllarda ODTÜ’de okurken
bizim ODTÜ’deki hocalarımızın bazılarının en büyük derdi de bu idi. Üniversite
mezunlarının iş hayatına olabildiğince hazır bir şekilde yetiştirilmesi
çabası içinde kendileri de değişmeye çalışıyordu. Ama şimdi yeni mezun
arkadaşlara iş görüşmesi yapıp da ne derece donanımlı olduklarını gördüğümde
veya bu tip genç arkadaşları bizim sektörün beklentileri dahilinde
yetiştirmek için harcanan çabaları görünce anlıyorum ki daha aşılması gereken
çok aşama var.
Ayrıca kaliteli ürün geliştirmek için sermaye sorununu çözmemiz lazım
sanırım. Melek sermaye denen kavramın yurtdışında çok güzel çalıştığını
gördüm. Projeler için alınan krediler ancak proje başarılı olursa geri
ödeniyor. Bizde ise özel sektörün böyle bir melek sermaye kavramına sıcak
baktığını hiç görmedim. Çok büyük oranda kısa vadede kar getirecek iş
alanları aranıyor. Dolayısıyla gene parmaklar devlete dönecek, o yapsın
denecek. O zaman da istismarları önlemek için aşırı derece sağından solundan
sıkıştırılmış, esnek olmayan mekanizmalar doğuyor. Bu kısır döngüden
kurtulmak lazım.
NGB: Türkiye'de bilgi güvenliği konusunu daha ileri seviyeye taşımak için
önerileriniz nelerdir?
Hakan ÜNSAL: Türkiye’de
her sektörün bir duayeni var gördüğüm kadarı ile. Otomotiv, tekstil,
demir-çelik, dolmuşçular-taksiciler aklınıza ne gelirse, hepsi için
siyasetçilerle görüşüp derdini anlatacak bir grup etkili insan görürsünüz
duyarsınız. Ama bilişim/bilgi güvenliği alanında böyle bir unsur, mekanizma,
vs. ben hiç görmedim.
Sadece bilişim deseniz çoktur da bişilim güvenliği denince yok gördüğüm
kadarı ile. Uzun vadede bu ülkenin geleceğini şekillendiren tüm siyasilerle
bu alanda Türkiye’de neler yapılması gerektiğini tartışabilmek ve yol
göstermek lazım sanırım. İçimizden böyle gönüllü insanlar çıkartamadığımız
sürece ne bu alanda gerekli olan regülasyonları hakkı ile üretebileceğiz ne
de teknolojiyi üretmekte başarılı olabileceğiz.
Çoğu zaman kamuoyu yoklamalarında en güvenilmez kurumların başında hep
siyasileri görüyoruz ama aslında uzun vadede bu ülkenin geleceğini
şekillendirenler de onlar. Onları donatmalıyız ki hayal ettiğimiz gelişmelerin
önünü açacak yollar açılsın. Biraz önce de konuştuk; üniversite
mezunlarımızın hazırlık seviyesi de, birşeyler geliştirmenin yolları da,
aklınıza ne gelirse, aslında bu ülkenin siyasetçilerinin çizeceği vizyonun
içinde olmalı. İki örnek vereyim: Bir, özellikle hem nicelik hem de nitelik
açısından yeterince bilişim güvenliği kadrosu olmayan kamu kurumları
(büyük/küçük, az önemli/çok önemli farketmez) ve iki, KOBİ’ler için,
gerçek anlamda bir MSSP mimarisini (öyle davulu bende tokmağı sende türünde
modeller değil) destekleyecek her türlü siyasi idareye bugünden oyumu
vereceğimi buradan taahhüt ederim. Ama gelin görün ki bugün hangi kamu kurumu
ya da KOBİ gerçek anlamda bir MSSP hizmeti alabiliyor? Bu hizmeti verecek
ekip, MSSP yok mu var elbet ama bir de mevzuat denen birşey var, her kamu
kurumu her aldığı şeyi demirbaşa sokmak zorunda vs.
Daha bunun gibi uzun vadeli bir yol haritasına ihtiyacı olan onlarca iş
sayılabilir bilişim güvenliği alanında. Ama işte maalesef Hüzeyfe ve
arkadaşlarının cansiperane gayretleri ile kurulmuş bir sitede/mailinglistte
yazışarak olmuyor bu işler. Eli kolu yeten herkes elinin kolunun yettiği her
siyasi ortamda biraz önce bahsettiğim duayenlerimiz aracılığıyla bu konuları
gündemde tutmalı.
Hüzeyfe hocam, istersen sitendeki bir sonraki poll “siyasilerimize neyi
anlatalım?” olsun. Sonra da nasıl anlatacağımızı tartışırız belki. Benim de
adım ütopik Hakan’a çıkar belki ama olsun varsın, idealizm ilermenin
motorudur.
NGB: Türkiye'de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor
musunuz?
Hakan ÜNSAL: Var ama böyle
bir kurum olacaksa ilk işi özellikle kamunun güvenlik ürün/hizmetlerini satın
alma mekanizmalarını baştan aşağı yenilemek olmalı :)130 maddelik IPS
şartnamesi mi olur? Her kurum kapanın elinde mi kalmalı? vs. gibi özellikle
kamu tarafını ilgilendiren onlarca soru sorulabilir.
Yani güvenlik ihlallerini, oluştuktan sonra tahlil edecek şekilde bir
yapılanmadan ziyade, o kurumun daha baştan elini tutacak yol gösterecek bir
mekanizmaya gerek var. Madem bu işi layıkıyla yapacak olan serbest
danışmanların fikirlerini, tecrübelerini, emeklerini bu kurumlara
“satmalarına” mevzuat müsaade etmiyor bari TR-CERT, ya da bu kapsam
TR-CERT’in amacını aşan bir kapsamsa, başka bir organizasyon, bu ihtiyaç
sahipleri ile ihtiyacı karşılayabilecek tecrübeyi buluşturacak katalizör
görevini üstlenmeli. Böyle bir organizasyonun yolunu da kim açar, gene dön
dolaş halkımızın güvenmediği ama aslında güvenmesi gerektiği siyasilerimiz
açar.
NGB: Bu ise yeni baslayanlara neler onerirsiniz?
Hakan ÜNSAL: Bol sabır ve
odaklanma öneririm. Bilişim güvenliği çok geniş bir alan. Herşeyi bileceğim
diye bir şey yok bence. Temel işletim sistemi ve uygulama disiplinlerini
kavradıktan sonra mutlaka belli bir uzmanlık alanına odaklanmak lazım. FW’sa
FW, IPS’de IPS, adli bilişimse adli bilişim, pentest ise pentest vs. Bir
alana odaklanıp kendini geliştirmek önemli bence. Yakın bir gelecekte
piyasada bir sürü her türlü güvenlik işini yapabilir gibi görünen ama bir alanda
ciddi bir sorunla karşılaştığında paralize olan bir sürü insan olacak.
Uzmanlaşmaya ihtiyacımız var.
Bir de maddi imkanı olan herkesin SANS’ın eğitimlerine
gitmesini/katılmasını tavsiye ederim. Büyük şirketlerin eğitim bütçelerinde
mutlaka bir SANS kalemi her sene olmalı bence.
Tabii keşke Türkçe eğitim materyalleri ile desteklenmiş, bahsettiğim
kalitede içerikle verilebilen, iyi Türk eğitmenlerden kurulmuş bilişim
güvenliği ekiplerimiz de çok olsa. Birşeyleri bilmekle anlatabilmek arasında
fark olduğu için tercihan pedagojik bir formasyondan geçmiş, saha tecrübesi
geniş, ne dediği anlaşılan iyi eğitmenlerimiz çok olsa, belki biraz önce
değindiğim üst düzey karar vericileri (ve belki de siyasileri)
etkileyebilecek insan gücümüz de zamanla oluşacak. Eğitim vermekten kastım
sadece teknik eğitim değil çünkü.
Bizim bilişim güvenliği dünyamızın çok kendine has bir ekosistemi var,
bunu bütün unsurları ile kavrayıp toplumdaki her kesime anlatabilecek
insanlara ihtiyacımız var. Şu anda benim oğlum bu dediklerimi anlayacak yaşta
bir genç olse kesin bu eğitmenlik yönüne yönlendirmeye çalışırdım.
NGB: Sizce 2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor
olacak?
Hakan ÜNSAL: Açıkçası bilemem ama (bu alan çok değişken bi alan) ama tahmimince gene
biraz önce bahsettiğim farkındalıktan, gene ürün üretemekten yada
üretememekten vs. yani teknikten ziyade idari ve insani problemleri
konuşacağımazı inanıyorum.
Bir de vendor’lar neyi moda ederse onu konuşacağız. 5 sene evvel IDS/IPS’di
sonra UTM oldu, sonra birden SSL VPN çıktı şimdi bu aralar DAM ve DLP var. Bu
hastalıktan kurtulmamız lazım. Bize empoze edilen şeyleri değil, gerçekten
neye ihtiyacımız varsa onu konuşabilmemiz lazım. Bunu da bağımsız, geniş bir
gözlükle olaylara bakabilen Trusted Advisor’larla elde edebiliriz. Yoksa
sadece ürün danışmanı çok etrafta. Ama güvenilir danışman olabilmek lazım.
Keşke bu sektörün tüm çalışanlarında geçinmek, şirketini kara geçirmek gibi
günlük, maddi endişeler olmasa da her önlerine gelen projede “senin gerçek
ihtiyacın budur, benim ürünüm değil ama şu ürün yapar” diyebilse.
NGB: Güvenlik sertifikaları konusuna ne düşünüyorsunuz?
Hakan ÜNSAL:
NGB: Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?
Hakan ÜNSAL: İnsanoğlunun kendisi.
Ne kadar örnek anlatsam her biri NDA’e girecek o yüzden burada anlatmayayım.
Çözümü biliçtir, farkındalıktır. Ama bu da zaman alacaktır. Sabretmek lazım.
NGB: Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi
kitap/kitapların okunmasını tavsiye edersiniz?
Hakan ÜNSAL: Bilişim
güvenliği ile kitap okumuyorum. Ağırlıklı sebebi vaktim olmuyor. Ama kişisel
olarak çok fazla vendor’la çalışma fırsatım oldu, onların hepsi değil tabii
ama bazı whitepaper’ları, dahili kaynakları vs. çok iyidir. Keçi boynuzu
gibidir, gerçek tat almak için çok okumak lazım ama bazıları çok iyidir.
NGB: Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi)
kimdir? Hangi özelliğinden dolayı?
Hakan ÜNSAL: Öyle bir kahramanım yok
açıkçası. Ama kendime illa bir kahraman arayacak olsaydım başta Serkan Ünlü
olmak üzere Deniz, ABD, Ömer, Oğuz, MHC, Okan gibi daha adlarını burada
sayamadığım hepsi birbirinden kıymetli inTellect’deki çalışma arkadaşlarımdan
herhangi birini seçerdim kendime. Stress altında problem çözme kaabiliyeti,
alternatif üretebilme kaabiliyeti, dirayet, çok çalışmak, her fırsatta her
olaydan ders çıkartıp kendini geliştirebilmek, heves ve özellikle bu alanda
çok gerekli olan iş ahlakı gibi özellikleri çok geniş olan insanlardı.
Bence o ekibin hepsi birer kahramandı hala da öyledirler gözümde.
Dışarıda birşey aramaya gerek yok bence.
NGB: Güvenlik dünyasında en fazla kullandığınız yazılım hangi?
Hakan ÜNSAL: WireShark ve Netwitness
Informer. Sanırım bu sayfaların okuyucularının birçoğundan geriyimdir bu
konuda.
NGB: Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?
Hakan ÜNSAL: DarkReading, SANS Newsbites.
NGB: Tekrar seçme şansınız
olsaydı yine bilgi güvenliği alanını seçer miydiniz?
Hakan ÜNSAL: Evet ama bekar kalmayı da seçerdim sanırım. Bizim
bu işe harcadığımız her zaman (çok sevdiğimiz için gereğinden çok fazla)
aslında ailemizden çaldığımız zaman. Dengeyi iyi kurmak lazım.
NGB:
Zaman ayırarak röportajımıza katıldığınız için teşekkür ederiz.
 ETKİNLİKLER
-IstSec
'09 - Istanbul Bilgi Güvenliği Konferansı
12-13
Aralık 2009
http://www.istsec.org
-Ağ
ve Bilgi Güvenliği Konferansı
5-6
Şubat 2009
http://www.abgs.org.tr/
-Akademik
Bilişim 2010
10-12
Şubat 2010
http://ab.org.tr/ab10/
-Cyber
Crime Conferance 2010
http://www.technologyforums.com/10CC/overview.asp - http://twitter.com/cybercrime2010
[Güvenlik Eğitimleri
]
-OpenBSD
Packet Filter Güvenlik Duvarı Eğitimi
http://www.guvenlikegitimleri.com/new/packet-filter-guvenlik-duvari-egitimi
[Yarışma]
-IstSec
'09 Capture The Flag Yarışması
http://www.istsec.org/?page_id=73
[Anket]
Türkiye’de
açık kaynak kodlu güvenlik yazılımlarının ne oranda ve ne kadar efektif
kullanıldığına dair bir araştırma anketi.
-Açık kaynak kodlu güvenlik yazılımı kullanıyor musunuz?
 DİKKAT ÇEKEN YAZILAR
-İşletim
Sistemlerinde Güvenlik Tartışması
http://www.beyazsapka.org/makaleler/isletim-sistemlerinde-guvenlik-tartismasi
-Savaş
Cephesi Olarak, Sanal Ortamda Savunma ve Saldırı
http://www.bilgiguvenligi.gov.tr/teknik-yazilar-kategorisi/savas-cephesi-olarak-sanal-ortamda-savunma-ve-saldiri.html?Itemid=183
-Layer
2 Network Protections – reloaded!
http://isc.sans.org/diary.html?storyid=7708&rss
-Korsanlar
zamanınızı ve paranızı çalıyor!!!
http://www.veteknoloji.com/korsanlar-zamaninizi-ve-paranizi-caliyor-25294-.html
-Bridging
the Gap between the Enterprise and You - or - Who's the JBoss now?
http://www.redteam-pentesting.de/publications/2009-11-30-Whitepaper_Whos-the-JBoss-now_RedTeam-Pentesting_EN.pdf
-Security
trends coming in 2010
2010 yılında güvenlik dünyasında beklenen /
gerçekleşmesi tahmin edilenler hakkında bir yazı
http://www.net-security.org/secworld.php?id=8574
-ADSL
Router Seçimi & ADSL Router Firewall
http://www.guvenli.org/icerik/2-12-09/adsl-router-secimi-adsl-router-firewall
-Tatillerde
bizi bekleyen 10 tehdit
http://net-security.org/secworld.php?id=8549
-Web
Uygulama Güvenlik Duvarı Tercih Rehberi
http://www.cozumpark.com/blogs/gvenlik/archive/2009/10/03/web-uygulama-g-venlik-duvar-tercih-rehberi.aspx
-Açık
Kaynak Kod Güvenlik Uygulamaları Karşılaştırma Tablosu
http://www.enderunix.org/docs/fwcomparetbl_trv01.pdf
-2009
yılı spam olayları hakkında bir makale
http://www.net-security.org/article.php?id=1359
-Cisco
2009 Annual Security Report
Cisco tarafından yıllık yayınlanan güvenlik
raporunun 2009 yılı için olan versiyonu çıktı.
http://cisco.com/en/US/prod/collateral/vpndevc/cisco_2009_asr.pdf
 İNSAN KAYNAKLARI
Güvenlik
E-bülteni #15'ye katkıda bulunanlar: Huzeyfe ÖNAL, Ömer
ALBAYRAK, Cüneyt BERGEL
Güvenlik Bülteni Üyeliği
Güvenlik bültenini mail olarak almak isterseniz http://www.lifeoverip.net/newsletter/
adresine e-posta adresinizi bırakmanız yeterlidir.
Ağ Güvenliği( Netsec ) listesine
üyeliğiniz varsa tekrar bülten üyeliğine gerek yoktur, bültenler listeye
gönderilecektir.
Katkıda Bulunun
Güvenlik
bülteninin bir sonraki sayısına katkı vermek için bu sayının başındaki
linkten faydalanabilirsiniz. Link GoogleDocs'a uzanmaktadır ve üyelik
gerektirmeksizin herkesin katkısına açıktır. Düzenleme konusunda eski
sayılardan faydalanabilirsiniz.
Eski
Sayılar
Güvenlik bülteninin eski sayılarına http://www.lifeoverip.net/newsletter/
adresinden erişilebilir.
Bu sayı Mavituna Security Ltd. tarafindan sponsor edilmistir.
© Copyright(c)
2009 Lifeoverip.Net
.
|
