©NetSec Güvenlik Bülteni – XX

NetSec Güvenlik Bülteni

MERHABA

01/02/2010

Ayda iki kere yayınlanan NetSec Güvenlik Bülteni’ nin yeni sayısı ile karşınızdayız.

Bülten Web Adresi: http://www.lifeoverip.net/newsletter/sayi20

Bülten ile ilgili olarak görüş ve düşüncelerinizi lütfen bizimle paylaşın. Linkte hem istatistiklerimiz hem de yorum ve düşüncelerinizi paylaşabileceğiniz bir yazı bulunmaktadır. http://blog.lifeoverip.net/2010/01/05/netsec-guvenlik-bulteni-2009-istatistikleri/

 “NetSec Güvenlik Bülteni Ağ Güvenliği Listesi Netsec 'in üyeleri tarafından hazırlanmakta olup herkesin katkısına açıktır. Amacımız değişken olan güvenlik dünyasının farklı alanlarını yakından takip eden arkadaşların geçtiğimiz hafta içerisinde dikkatini çeken güvenlikle ilgili haberler, yazılar, araçların paylaşımıdır.”

-E.Ü.’de Öğrenci Bilgi Sistemi’ne girildi iddiası
http://www.milliyet.com.tr/e-u-de-ogrenci-bilgi-sistemi-ne-girildi-iddiasi/ege/haberdetay/23.01.2010/1192554/default.htm

-Dijital delillere Yargıtay’dan ince ayar
http://www.bilisimhukuk.com/2010/01/dijital-delillere-yargitaydan-ince-ayar/

-22 milyon bilgisayarın %48'inde malware tespit edildi
http://www.antiphishing.org/reports/apwg_report_Q3_2009.pdf
http://blogs.zdnet.com/security/?p=5365

-Türkiye’deki bilgi güvenliği firmaları
http://blog.lifeoverip.net/2010/01/27/turkiyedeki-bilgi-guvenligi-firmalari/

-Güvenli İnternet Günü Ana Teması : 'Önce Düşün, Sonra Paylaş'
http://turk.internet.com/haber/yazigoster.php3?yaziid=26357

-Hundreds of Network Solutions Sites Hacked
http://www.krebsonsecurity.com/2010/01/hundreds-of-network-solutions-sites-hacked/
http://blog.networksolutions.com/2010/update-web-site-defacement-issue/

-Google'a Sanal Saldırılar, Obama Yönetini Zorda Bıraktı
http://turk.internet.com/haber/yazigoster.php3?yaziid=26288

-Kingston flash bellekleri geri çağırıyor

http://www.socialnewsturkey.com/2010/01/27/kingston-flash-bellekleri-geri-cagiriyor/

-Sosyal Medya Siber Suçlulara Daha Fazla Fırsat Yaratıyor

http://turk.internet.com/haber/yazigoster.php3?yaziid=26348

-Zimuse Solucanı Doğu Avrupa'dan Dünyaya Yayılıyor

http://turk.internet.com/haber/yazigoster.php3?yaziid=26356

-e107 portali son sürümünde backdoor bulundu
http://seclists.org/fulldisclosure/2010/Jan/480

-Google Chrome Birkaç Açıklık

http://www.bilgiguvenligi.gov.tr/guvenlik-bildirileri-kategorisi/google-chrome-birkac-aciklik.html

-Sun Java System Web Server'da Açıklıklar

http://www.bilgiguvenligi.gov.tr/guvenlik-bildirileri-kategorisi/sun-java-system-web-serverda-acikliklar.html

-Apache SpamAssassin 3.3.0 çıktı

http://www.net-security.org/secworld.php?id=8775

-BING WEB SERVER PROBE V1.0 RELEASED

http://www.security-database.com/toolswatch/Bing-Web-Server-Probe-v1-released.html

-SecuBat Web Açıklık tarayıcısının yeni sürümü yayınlandı.

http://www.security-database.com/toolswatch/SecuBat-Web-Vulnerability-Scanner.html

-Wireshark 1.2.6 sürümü yayınlandı

http://www.wireshark.org/docs/relnotes/wireshark-1.2.6.html

-Netsparker - "Automate That" Release v1.1.5.0057

http://www.mavitunasecurity.com/blog/netsparker--automate-that-release-v1150057/

-OSSIM 2.1

Opensource güvenlik monitörü yazılımı

http://www.net-security.org/software.php?id=304

-OWASP CODE CRAWLER UPDATED TO V2.5.1

http://www.security-database.com/toolswatch/OWASP-Code-Crawler-updated-to-v2-5.html

Yazılım adı             : IDS Policy Manager
İndirme adresi       : http://www.activeworx.org/Programs/IDSPolicyManager
Kategori                : Ağ Güvenliği
Ortam                   : Windows
İşlevi           : Saldırı Tespit Sistemi Yönetim Arabirimi

Açık kaynak kodlu Snort Saldırı Tespit ve engelleme sisteminin en önemli eksikliği son kullanıcıya hitap edecek bir arabiriminin olmamasıdır. UNIX/Linux konusunda tecrübeli kullanıcılar Snort'u komut satırından yönetmede problem yaşamazlar fakat Snort sensörlerinin birden fazla olması durumunda yine bir yönetim karmaşası çıkacaktır.

IDS Policy Manager kullanarak kullanacağınız Snort sensörlerini tek bir arabirimden kolaylıkla yönetebilirsiniz. IDS Policy manager ile snort.conf üzerinde yapılabilecek tüm ayarlar grafik arabirimi üzerinden kolaylıkla gerçekleştirilebilir.

Güvenlik kahvesinin bu haftaki konuğu Biznet Genel Müdür Yardımcısı Onur ARIKAN.

NGB: Kısaca kendinizden bahsedebilir misiniz?

Onur ARIKAN:

1968 kasımında Ankara’da doğdum. Çocukluğum ve gençliğim Ankara’da geçti. TED Ankara Koleji’nin ilk orta ve lise kısımlarını bitirdikten sonra üniversite sınavında Istanbul’a gelmeyi kafaya koydum. Dolayısıyla tercihlerimin tamamına yakına Boğaziçi’ydi. Ama üniversite sınavına ODTU’de girecektim. Sınav yerini gormek için bir arkadaşımla ilk defa ODTÜ kampüsüne gittim. Mayıs ayının sonlarıydı yanlış hatırlamıyorsam. Bilenler bilir kampusün en cıvıl cıvıl olduğu öğrencilerin dersliklerden ziyade kırlara uzandığı zamanlar. “Burası da pek fena bir yere benzemiyormuş” diye düşünerek ama kafamda Istanbul, ODTÜ Elektrik Elekronik Mühendisliğini, ilk yedi Boğaziçi tercihi içinde bir yere yazdım. Ve körün attığı taş gibi orası tuttu. Böylece Ankara’lılığa devam ettim. Ta ki 2006 yılının Ağustos’unda temelli Istanbul’a taşınana kadar. 

Okuldan mezun olunca TürkiyeElektrik Kurumu’nun Bilgi İşlem Daire Başkanlığı’nda sistem programcısı olarak çalışmaya başladım. Mainframe okuldan sonra orada da karşıma çıktı. Sonra 386 işlemciler ile PC dünyası. TEK’te iki buçuk senelik bir çalışmadan sonra askerliğimi Türk Hava Kuvvetleri’nin bilgi işleminde uzun dönem gerçekleştirdim. 

12 ay olarak askere gidip 17 ay olarak askerlik yapanlardan olarak, bu görev oldukça uzun oldu. Ama askerlik dönemindeki çalışmalar benim için çok yararlı oldu. İlk TCP/IP network, UTP kablolama, fiber sonlandırma, terminal sunucular, switchler, routerlar karargah iletişim ağının kurulması benim için önemli kazanımlardı. Aslında benim görevim Cobol ile program yazmaktı ama aklım orada yeni kurulmakta olan yapıdaydı. Ve bu deneyim benim bir network firması olan VİS’e girmeme sebep oldu 1994 yılında. Ankara bölge müdürlüğünde hem teknik hem satış ağırlıklı olarak çok mutlu bir şekilde çalıştım. Altı sene sonra oradaki misyonumu tamamladığımı düşünerek VİS’den ayrıldım, ve yine aynı şirkette çalışan arkadaşlarımla 2000 yılının aralık ayında Biznet’i kurduk. 

Biznet tamamen bilgi güvenliği odaklı çalışmayı hedeflediğimiz bir firma olarak kuruldu ve bu sene de 10. yılımızı kutlayacağız.

NGB: Güvenlik işine nasıl bulaştınız?

Onur ARIKAN: Aslında network işiyle başladım bilişim sektörüne. İlk mainframe kablolaması ve  IP ağlar burada karşıma çıktı. Router ve modem satışı, Internet’e bağlanmak isteyenlere demo yapmak en önemli konulardandı. 

1995 yıllarında Ankara’da önemli bir müşterimize ilk güvenlik duvarını satınca artık işin ucu güvenliğe de dokundu. Böylece diğer güvenlik ürünlerinin satış, kurulum ve teknik desteği ile de tanıştım. Kendi şirketimiz olan Biznet ise artık mümkün olduğunca network işi yapmamak, tamamen güvenliğe odaklanmak niyetiyle oluşurduğumuz bir yapıydı.

NGB: Turkiye'de bilgi guvenligi konusunu degerlendirebilir misiniz?

Onur ARIKAN:  Hergeçen  gün daha iyiye gittiğimizi düşünüyorum. Ama gerçekten çok yavaş ilerliyor. Bu biraz kültür meselesi. Şirketler, önceden önlem almak yerine başına bir iş gelmesiyle bilgi güvenliğine önem veriyor. Hastalık ve doktor analojisi gibi. Proaktif yaklaşım, tanımlı yazılı kurallar yerine, günlük ve yangın söndürmeye daha yakın yaklaşımlar sıklıkla karşılaştığımız. Ama özellikle bazı sektörlerdeki regulasyonlar, standartlara uyum gereksinimi dış denetimler ve rekabetçi yaklaşım bilgi güvenliğinin önemini daha fazla belirgin hale getirdi.

Yine aynı şekilde yapılan izlemeler kurumların ve çalışanların yanlış hareketlerden haberdar olmasına ve önlem almasına yardımcı olmaya başladı.

Diğer ülkelere göre daha geriden gelmemizin farklı sebepleri var. Ama en önemli konu yazılı kuralları, politikaları tanımlamamak ve bunlara uymak konusundaki isteksiz davranmak. Bu da şirket yöneticilerinin önceliklerinin çok farklı olmasından kaynaklanıyor. Çoğu şirkette konunun öncelik kazanmasını için şirketin başına bir güvenlik olayı gelmesi gerekiyor malesef. 

NGB: Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?

Onur ARIKAN:  Biz de yazılım geliştiren firma olduğumuz için bu konuya dikkatli yaklaşmak gerekiyor. Benim görüşüm daha önceden geliştirilmiş ve zaten onlarca ürünün olduğu pazarlarda benzer ürünler geliştirme çabası çok olumlu sonuçlar doğurmuyor. Bunun yerine daha önce geliştirilmemiş ya da birçok özelliği açısından mevcut ürünlerden daha farklı özellikleri olan ürünler geliştirmek için her türlü desteğin verilmesi gerektiğine inanıyorum. Ama örneğin ben güvenlik duvarı yazılımı yazacağım ya da ben saldırı tespit sistemi yazılımı geliştireceğim diyenlere saygı duymakla birlikte bunun  ülke için olumlu bir sonucu olacağına pek inanmıyorum. 

Ürünün milli olması gibi bazı yaklaşımların sadece pazarlama amacıyla kullanıldığına tanık oldum bu güne kadar. Özetle yerli güvenlik ürünlerinin özgün olması, gerçekten ülke ve kurumlar için bir fayda yaratması, pazardaki yerli/yabancı diğer ürünlerle karşılaştırıldığında önemli avantajları olması gerekli. Bu tür ürünlerin desteklenmesi için özellikle teknoloji geliştirme bölgelerinde çeşitli destekler mevcut. Bu teşviklerin sürekli olması, özendirici yarışmalar ve ürünlerin kurumlara satılması sürece olumlu katkı yapacaktır. 

NGB: Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

Onur ARIKAN: Eğitim şart. Bu konuda çalışan sayısının artması için ücretli ve ücretsiz eğitimlerin artması gerekiyor. Yeni uzmanların sektöre kazandırılması için bu tür eğitimler yararlı olacaktır. Bunun dışında konuyu sürekli gündemde tutacak yayın, aktivite, portal ve raporların da kullanılması gerekli. 

NGB: Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?

Onur ARIKAN: Özellikle birçok kurumla koordinasyon ve olaylardan öğrenme için gerekli olduğunu düşünüyorum. Güvenlik olaylarının incelemesinin sonunda oluşan raporların paylaşılması farkındalık ve öğrenme sürecini hızlandıracaktır. Örneğin bugün hemen herkes Amterdam havaalanına inerken düşen Türk uçağında ne tür sorunlar olduğunu biliyor. Bu paylaşılmasaydı bunlardan ders çıkarmak da mümkün olmayacaktı. Bilgi Güvenliğinde de bu paylaşım yararlı olacaktır.

NGB: Bu ise yeni baslayanlara neler onerirsiniz?

Onur ARIKAN:  Günümüzdeki öğrenme olanakları çok fazla. Üretici eğitimleri, güvenlik portalleri, dokümanlar, araçlar, güvenlik listeleri inanılmaz kaynaklar. Ben ilk başlarda öğrenmek için kütüphaneleri ve firmaların paralı satılan raporlarını bulup okumaya çalışırdım. Mesela DataPro raporları o zamanlarda çok değerliydi. Şu anda kişinin kendisini geliştirmesi için Internet bağlantısı, bir iki makinadan oluşacak bir labarotuvar çok yararlı olacaktır. Ama yine de benim temel düşüncem “İş İşte Öğrenilir.”

Bu yüzden bilgi güvenliği konusuna meraklı arkadaşların vakit geçirmeden  bu konuda uzmanlaşmış bir firmada yarı zamanlı ya da tam zamanlı olarak iş hayatlarına başlamasını öneririm.

NGB: Sizce 2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor olacak?

Onur ARIKAN: Ben mobil cihazlar için güvenliğin giderek daha fazla önem kazanacağını düşünüyorum. Bunun yanında saldırıların çeşitliliği ile  farklı saldırı engelleme sistemleri, izleme sistemleri de gündeme gelecek. IP dünyasının konutlardaki cihazlara kadar uzamasıyla güvenliğin evlere kadar genişlemesi kaçınılmaz olacak. Kişisel olarak ben yine Apple’ın ilginç çözümlerini konuşacağımızı tahmin ediyorum.

NGB: Güvenlik sertifikaları konusunda ne düşünüyorsunuz?

Onur ARIKAN: Ticarileşmemiş ve gerçekten kişinin yetkinliğini gösteren sertifikaların faydalı olduğuna inanıyorum. Ama bence bu sertifikaların altını başarılı referanslar ile doldurmak gerekiyor.  Sertifikası olmayanlar bu işi bilmiyor anlamına gelmiyor tabi ki. Ama müşterilere konu hakkındaki bilgi ve deneyimi göstermek için önemli bir araç sertifikalar.  

Ben özellikle güvenlik işi yapanların CISSP sertifikasına sahip olmasını önemserim. Bunu takiben güvenlik alanında çalışan firmaların üst düzey sertifikalarını sahip olmak da konuya ne kadar zaman ve emek harcadığınızı gösterecektir. Bunların yanında sırasıyla CISM, CISA, SANS, OSSTMM, PCI DSS QSA sertifikalarını da öneririm.

Unutulmaması gereken bir nokta da bu sertifikalar sadece teknik yetkinliğinizi değil etik değerlere bağlılığınızı da gösterecektir. 

NGB: Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

Onur ARIKAN: Benim karşılaştığım en belirgin sorun ürünlere olan aşırı güven. Güvenliği bir süreç olarak görmeyip ürün alarak güvenli hale geleceğini düşünen kurumlar hem sahte bir güvenlik hissine kapılıyor hem de ciddi miktarda parayı heba ediyor. 

NGB: Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitapların okunmasını tavsiye edersiniz?

Onur ARIKAN: En son okuduğum kitap Linux Security Cookbook’tu. Okuduğum ve konuyla ilgilenen herkese tavsiye edeceğim kitaplar ise Hacking Exposed serisi, Art of Deception, CISSP Prep Guide. Bunun dışında sayısız makale var Internet’te.

NGB: Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı?

Onur ARIKAN: Sanırım öyle birisi yok şimdilik.

NGB: Güvenlik dünyasında en fazla kullandığınız yazılım hangisi?

Onur ARIKAN: Daha çok zafiyet tarayıcıları kullanıyorum. Nessus vb.

NGB: Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?

Onur ARIKAN:

www.securityfocus.com,

www.secunia.com,

http://www.nist.org,

http://netsecurity.about.com,

http://www.bilgiguvenligi.gov.tr/ 

NGB: Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?

Onur ARIKAN: Evet seçerdim.

NGB: Zaman ayırarak röportajımıza katıldığınız için  teşekkür ederiz.

*Ağ ve Bilgi Güvenliği Konferansı

5-6 Şubat 2009

http://www.abgs.org.tr/

*Akademik Bilişim 2010 

10-12 Şubat 2010 

http://ab.org.tr/ab10/

[Güvenlik Eğitimleri ]

-Web uygulama güvenlik testleri eğitimi -13 Mart 2010

http://www.guvenlikegitimleri.com/new/web-uygulama-guvenlik-testleri-egitimi-13-mart-2010

[Yarışma]


[Anket]
Türkiye’de açık kaynak kodlu güvenlik yazılımlarının ne oranda ve ne kadar efektif kullanıldığına dair bir araştırma anketi.

-Açık kaynak kodlu güvenlik yazılımı kullanıyor musunuz?

-CentOS üzerinde Fail2Ban ile Brute Force Önlemi 
http://www.syslogs.org/2010/02/centos-uzerinde-fail2ban-ile-brute-force-onlemi/

-Siber Savaşta Eğitim Zırhı 
http://www.bilgiguvenligi.gov.tr/siber-savunma/siber-savasta-egitim-zirhi.html

-Savunma Sanatı Bölüm 3
http://www.bilisimhukuk.com/2010/01/savunma-sanati-bolum-3

-Sayısal Zaman Damgası
http://www.logyonetimi.com/?p=125

-Kod Adı Aurora (MS10-002)
http://blog.zemana.com/2010/01/kod-ad-aurora-ms10-002.html

-PHP RFI Prevention
http://www.exploit-db.com/download_pdf/11259

-Saldırılar akıllanıyor

http://www.bthaber.com.tr/?p=1629&cat=18&sayi=SAYI:754

-Methods of quick exploitation of blind SQL Injection
http://www.exploit-db.com/papers/11269

-Cisco router şifre kırma
http://www.agciyiz.net/index.php/genel/cisco-router-sifre-kirma/

-Cisco switch şifre kırma
http://www.agciyiz.net/index.php/genel/cisco-switch-sifre-kirma/

-GÜVENLİK UZMANI

http://www.kariyer.net/jobsearch/jobdetail.kariyer?arn=&sid=&ilankodu=500511&ilId=144

-NETWORK VE GÜVENLİK MÜHENDİSİ

http://www.yenibiris.com/sentim_bilisim/network_ve_guvenlik_muhendisi/245142.ilan

-Bilgi Güvenliği Uzmanı

http://www.yenibiris.com/bimsa_as/bilgi_guvenligi_uzmani/261122.ilan

-Ağ Güvenliği yöneticisi
http://permalink.gmane.org/gmane.comp.security.netsec/4809

-Network ve Güvenlik Mühendisi

http://www.yenibiris.com/dsg_ik_ve_danismanlik/network_ve_guvenlik_muhendisi/236534.ilan

-VB.NET Developer Arıyoruz

http://ferruh.mavituna.com/vbnet-developer-ariyoruz-oku/

Güvenlik E-bülteni  #20'ye katkıda bulunanlar: Huzeyfe ÖNAL, Ömer ALBAYRAK

Güvenlik Bülteni Üyeliği

Güvenlik bültenini mail olarak almak isterseniz http://www.lifeoverip.net/newsletter/ adresine e-posta adresinizi bırakmanız yeterlidir.

Ağ Güvenliği( Netsec ) listesine üyeliğiniz varsa tekrar bülten üyeliğine gerek yoktur, bültenler listeye gönderilecektir.

Eski Sayılar
Güvenlik bülteninin eski sayılarına  http://www.lifeoverip.net/newsletter/ adresinden erişilebilir.


Bu sayıya Mavituna Security Ltd. Sponsor olmuştur..


© Copyright(c) 2010 Lifeoverip.Net

.