|
Ayda iki kere yayınlanan NetSec Güvenlik Bülteni’ nin yeni sayısı ile karşınızdayız.
Bülten Web Adresi: http://www.lifeoverip.net/newsletter/sayi21
Bülten ile ilgili
olarak görüş ve düşüncelerinizi lütfen bizimle paylaşın. Linkte hem
istatistiklerimiz hem de yorum ve düşüncelerinizi paylaşabileceğiniz bir yazı
bulunmaktadır.
http://blog.lifeoverip.net/2010/01/05/netsec-guvenlik-bulteni-2009-istatistikleri/
“NetSec Güvenlik Bülteni Ağ Güvenliği Listesi Netsec
'in üyeleri tarafından hazırlanmakta olup herkesin katkısına açıktır.
Amacımız değişken olan güvenlik dünyasının farklı alanlarını yakından takip
eden arkadaşların geçtiğimiz haftalar içerisinde dikkatini çeken güvenlikle
ilgili haberlerin, yazıların, araçların paylaşımıdır.”
GÜVENLİK DÜNYASINDAN HABERLER.
KRİTİK SEVİYE
GÜVENLİK AÇIKLIKLARI.
YENİ ÇIKAN/GÜNCELLENEN GÜVENLİK YAZILIMLARI.
HAFTANIN GÜVENLİK YAZILIMI.
HAFTANIN MİSAFİRİ.
ETKİNLİKLER.
DİKKAT ÇEKEN YAZILAR.
İŞ İLANLARI.
GÜVENLİK BÜLTENİ HAKKINDA.
 GÜVENLİK DÜNYASINDAN HABERLER
-Şifreniz 5 dakikada kırılabilir
http://www.sabah.com.tr/Teknoloji/2010/02/14/sifreniz_5_dakikada_kirilabilir
-Firefox kullanıcılarını botnet halne getirdiler
http://www.chip.com.tr/konu/firefox-ile-hack-lediler_18003.html
-Twitter'da Büyük Tehlike
http://shiftdelete.net/twitterda-buyuk-tehlike-17958.html
-İnternet suçlarına karşı üçlü
çalışma başlatıldı
http://www.referansgazetesi.com/haber.aspx?HBR_KOD=136266&KTG_KOD=504
-Outlook web access spam tehditi
http://www.hakanuzuner.com/index.php/outlook-web-access-spam-tehditi.html
-(IN)Secure MAgazine 24. sayısı çıktı
http://www.net-security.org/dl/insecure/INSECURE-Mag-24.pdf
-Klavyeli kredi kartı
http://www.veteknoloji.com/klavyeli-kredi-karti-27677--.html
-Windows'daki 17 Yıllık Açık Yamandı
http://www.turk.internet.com/portal/yazigoster.php?yaziid=26444
-Google Siber saldırıları
Soruşturması için NSA’le Anlaştı
http://www.turk.internet.com/portal/yazigoster.php?yaziid=26452
-Eski Açıklar Hala Güvenlik Tehditi
Oluşturuyor
http://www.turk.internet.com/portal/yazigoster.php?yaziid=26498
 KRİTİK SEVİYE GÜVENLİK AÇIKLIKLARI
-Apple IPhone Ve Apple IPod Touch Açıklıkları
http://www.bilgiguvenligi.gov.tr/guvenlik-bildirileri-kategorisi/apple-iphone-ve-apple-ipod-touch-acikliklari.html
-Popüler Web Açıklıkları
http://www.net-security.org/secworld.php?id=8846
-Oracle WebLogic Server zaafiyeti
http://www.oracle.com/technology/deploy/security/alerts/alert-cve-2010-0073.html
-Critical vulnerability in Novell's
NetStorage
http://www.h-online.com/security/news/item/Critical-vulnerability-in-Novell-s-NetStorage-925370.html
-Microsoft Windows TCP/IP Uyarlaması Birkaç
Açıklık
http://www.bilgiguvenligi.gov.tr/guvenlik-bildirileri-kategorisi/microsoft-windows-tcp-ip-uyarlamasi-birkac-aciklik-ms10-009.html
-Microsoft Data Analyzer ActiveX Kontrolü Kod
Çalıştırma Açıklığı Microsoft Data Analyzer ActiveX Kontrolü Kod Çalıştırma
Açıklığı
http://www.bilgiguvenligi.gov.tr/guvenlik-bildirileri-kategorisi/microsoft-data-analyzer-activex-kontrolu-kod-calistirma-acikligi-ms10-008.html
-Microsoft DirectShow Yığın Taşması
Açıklığı
http://www.bilgiguvenligi.gov.tr/guvenlik-bildirileri-kategorisi/microsoft-directshow-yigin-tasmasi-acikligi-ms10-013.html
 YENİ ÇIKAN/GÜNCELLENEN GÜVENLİK YAZILIMLARI
-Nikto 2.1.1 sürümü yayınlandı
http://cirt.net/node/67
-Total Privacy 5.84 yayınlandı
http://www.net-security.org/software.php?id=729
-ProcNetMonitor v2.5
yayınlandı
http://securityxploded.com/getfile.php?id=7255
-MS CAT.NET V2.0 BETA - CODE ANALYSIS TOOL .NET
http://www.security-database.com/toolswatch/MS-CAT-NET-v2-Beta-Code-Analysis.html
-TCPJUNK V2.8.21 - PROTOCOLS TESTING
http://www.security-database.com/toolswatch/TCPJunk-v2-8-21-protocols-testing.html
-ACUNETIX WVS V6.5 BUILD 20100210 RELEASED
http://www.security-database.com/toolswatch/Acunetix-WVS-v6-5-build-20100210.html
-OpenDNSSEC 1.0
http://www.opendnssec.org/download/
 HAFTANIN GÜVENLİK YAZILIMI
Yazılım adı : OWASP
Dirbuster
İndirme
adresi : http://www.owasp.org/index.php/Category:OWASP_DirBuster_Project
Kategori : Web Güvenliği
Ortam : Windows/Linux
İşlevi : Web sitelerinde dosya/dizin keşif
aracı
Web uygulama güvenlik testlerinin
önemli bir ayağını dosya/dizin keşif çalışması oluşturur. Çok güvenli olduğu
düşünülen sistemlerde unutulan bir test dosyası bazen tüm güvenliğin boşa
gitmesine sebep olabilir.
Web sitelerine yönelik dosya/dizin keşif
çalışmaları iki şekilde yapılır: ana sayfadan ya da arama motorlarından
verilen bağlantılar aracılığıyla ya da doğrudan eldeki bir dosyada yazan
dosya/dizin isimlerini brute force yaparak.
Dirbuster ikinci yöntemi yani bağlantıları takip
değil de bruteforce yöntemini kullanır. Muadili araçlardan önemli farkı oldukça geniş dizin listesine sahip olmasıdır.
Dirbuster kullanarak ayarlanabilir seviyede HTTP GET/HEAD istekleriyle test
edilen sitede bulunan (linkle gidilen ya da linksiz doğrudan ulaşılabilen)alt dizinleri kısa sürede bulunabilir.
Kullanımı:
Dirbuster java kullanılarak yazılmıştır ve komut
satırı, gui olmak üzere iki çeşit kullanıma sahiptir.
Komut
satırından kullanım:
java -jar DirBuster-0.12.jar -H -u
http://www.target.com/ -l /pentest/dirbuster/directory-list-all.txt
GUI
kullanım için:
java -jar DirBuster-0.12.jar -u http://www.target.com/
 HAFTANIN MİSAFİRİ
 Güvenlik kahvesinin bu haftaki konuğu Muğla Üniversitesi
Bilgisayar Mühendisliği Bölümü'nden Yrd.Doç.Dr. Enis KARAARSLAN.
NGB:
Kısaca
kendinizden bahsedebilir misiniz?
Enis KARAARSLAN:
1976 yılında İzmir'de doğdum. Ege Üniversitesi'nde doğmuşum ve göbek bağını
üniversiteye gömmüşler. Bir şekilde Ege Üniversitesi'ne göbekten bağlıydım
anlayacağınız. Lisans, Yüksek Lisans,
Doktora derken yıllar geçti. Bir
yandan Uluslararası Bilgisayar enstitüsünde araştırma görevlisi
kadrosundayken bir yandan da üniversitenin ağ yönetim grubunda görev
aldım.
10 yılı aşkın bir süre Ege
Üniversitesi Network Yönetim Grubu'nda ağ ve güvenlik yöneticisi olarak görev
yaptım. Aynı zamanda Ege Üniversitesi
Cisco Network Bölgesel Akademisini kurdum. Öğrenci ve eğitmen eğitimlerini
gerçekleştirdim.
Tübitak Ulakbim'den Murat
Soysal'ın önderliğinde, ULAK-CSIRT (http://csirt.ulakbim.gov.tr/) ün
kurulumunda görev aldım ve halen üyesiyim.
Tele.com.tr dergisinde 22
sayı süren "Ağ Güvenliği Akademisi" yazı dizisini hazırladım.
Aslında bu yazı dizisi, yazmayı düşündüğüm kitabın ilk taslağını
oluşturacaktı. Üründen bağımsız, işin daha çok felsefesini anlatan bir kitap
yazmayı istiyordum. Şimdilik beklemeye aldığım bir projedir. Arada http://agguvenligi.blogspot.com/
adresine birşeyler karalamaya çalışıyorum.
Askerliğimi Işıklar Askeri
Hava Lisesinde yedek subay olarak yaptıktan sonra Ege Üniversitesi'ne geri
döndüm. İzmir'i ve Ege Üniversitesi'ni çok sevmeme rağmen, belki de bir
değişikliğin iyi olabileceğini düşünmeye başlamıştım. Muğla Üniversitesi'nde Bilgisayar
Mühendisliği bölümünün kurulduğunu ve genç kadroyu duyunca, bunun iyi bir
fırsat olduğunu anladım. Şu anda Muğla Üniversitesi Bilgisayar Mühendisliği
bölümünde Yardımcı Doçent Dr. olarak görev yapmaktayım. Turkiye'de guvenlik konusunda yapilan akademik calismalar genellikle birbirinden kopuk ve ayrik gerceklesiyor. Bu konuda bir sinerji yaratmak ve birlikte calismak icin bir grup olusturduk. "DEU Computer Engineering Security Research Group" sayfasina da asagidaki linkten ulasilabilir: http://srg.cs.deu.edu.tr/
Bilgisayar ağları ve
güvenlik konusunda çalışmalarım var.
Eğitmenlik yapmayı ve üniversitede olmayı seviyorum. Güvenlik ve ağ
yönetimi konusunda yeni birşeyleri denemeyi ve deneyimlerimi paylaşmayı seviyorum.
Gezmeyi, okumayı, kültür
ve sanat etkinliklerine katılmayı ve arkadaşlarımla zaman geçirmeyi severim.
NGB: Güvenlik işine nasıl bulaştınız?
Enis KARAARSLAN:
Ege Üniversitesi Bilgisayar Mühendisliği bölümünde okurken, elimizin altında
çok çeşitli sistemler vardı. IBM Mainframe ve dummy terminaller, Novell
üzerinde çalışan Windows, DEC ALPHA'lar üzerinde çalışan Unix. Evdeki PC'me Linux kurarak Linux dünyasıyla
tanıştım. Ağda bu sistemler arasında
neredeyse hiç güvenlik sistemi yoktu.
Zaten mühendislik eğitiminde de güvenlik dersi verilmiyordu. Hocamız
sayın Ahmet Koltuksuz'un bu konuda yaptığı birkaç sohbet dışında bu konuda
çok bilgisizdik. Keylogger'lar ve ağ dinleyicileri ile şifremizi çalan
arkadaşlar da tetiklemiş olabilir tabii ;-).
Lisans tezi olarak Unix
Sistemleri'nde güvenliği inceledim. Yüksek Lisansı UBE'de yaparken ağ ve
güvenlik konusunda temel bilgileri edindim.
Ege Üniversitesi ağında kurulan güvenlik duvarı ve ağ politikalarının
oluşturulmasında görev aldım. Güvenlik duvarını yıllarca yönettim. Açık
kaynak kodlu birçok yazılımı deneme ve kullanma şansım oldu. Sorunlarla karşılaştıkça ve o sorunları
çözmek için uğraştıkça deneyim kazandım.
Sadece güvenlik değil, ağ yönetimi ile aktif olarak uğraştım. Yüksek
Lisans ve doktora çalışmalarımda da güvenlik konusunda devam ettim.
NGB: Türkiye'de bilgi güvenliği konusunu
değerlendirebilir misiniz?
Enis KARAARSLAN: Bu
konuda en ilginç örnek, SANS'dan çıkan Network Intrusion Detection - An
Analyst's Handbook'daydı sanırım. Bir
saldırı analizi sonucunda, "Saldırı Tükiye'den geliyor dikkat"
diyordu. Bunu tam olarak anlayamamış ve hocam sayın Tuğkan Tuğlular'a
sormuştum. O da, Tükiye'deki sistemlerde yeterince güvenlik önlemi
alınmadığından saldırganlar tarafından ele geçirilip, saldırıda bir geçiş
noktası olarak kullanıldığını ve bu yüzden "dikkat" ibaresi
kullanıldığını belirtmişti.
Üniversitelerde bunu bolca
yaşadık. Zaten bu yüzden ULAK-CSIRT kuruldu. Bilinçlendirme çalışmaları
sonrasında bunun bir derece azaldığını düşünüyorum. Daha fazlasının
yapılabilmesi için bu grubun bir
bütçeye ihtiyacı var, şu anda gönüllü esasına göre çalışılıyor.
TR-BOME (http://www.bilgiguvenligi.gov.tr/)
de bilgilendirme ve bilinçlendirme konusunda çok yararlı bir iş yapıyor.
Tübitak UEKAE tarafından bazı üniversite sistem yöneticilerine ücretsiz
kurslar düzenlendi. Bu tür katkıların artarak devam etmesi gerekiyor. Bilgi
Güvenliği Derneği, Bilişim Güvenliği derneği gibi oluşumlar var.
Birçok bilgisayar
Mühendisliği ve Bilgisayar Programcılığı bölümlerinde güvenlik eğitimi
verilmiyor. Verildiği durumlarda ise
uygulamaya yönelik olmayabiliyor, çoğu teorik bilgi olarak geçiliyor.
Saldırganlığın yani zarar
vermenin bir suç olduğunun yeterince vurgulanmadığını düşünüyorum. Her lamer
(sözde hacker), kendisini bilgisayar kurdu zannetmekte. "Biz onları
uyarmıştık!" gibi ilginç söylemler de var.
Patronların güvenliği yük
olarak görmesi, bu konuda bilinçsiz olmalarından. Şuna da değinmem gerekiyor,
bunun nedenlerinden birisi de güvenlik sektörünün aç gözlülüğünden. Önce
herkesi korkutuyorlar, sonra oldukça yüklü miktarlar istiyorlar. Sattıkları
ürünler, yeni saldırılarda kullanışsız hale düşüyor.
Türkiye'deki güvenlikle
uğraşan firmaların çoğu ürün satışı odaklı. Bu firmalar kurumlara yeterince
destek veremiyorlar. Bu güvenlik
firmalarını denetleyen mekanizmalar da yok.
Açık kaynak çözümler ve bu
çözümleri ayakta tutacak firmalar çok önemli.
Özetle, eskiye oranla
iyiye doğru bir gidişat var. Daha iyiye gitmesi için, öncelikle insanların bu
konuda bilinçlendirilmesi gerekiyor, yani eğitim şart! ;-)
NGB: Türkiye’de yerli güvenlik yazılımı üretimi için
görüş ve önerileriniz nelerdir?
Enis KARAARSLAN:
Yerli güvenlik yazılımı tabii ki gerekli, özellikle askeriye ve diğer kamu kuruluşlarında
kullanılmalı. Devlet de bu konuda destek veriyor. TÜBİTAK Teknoloji ve
Yenilik Destek Programları Başkanlığı (TEYDEB) tarafından desteklenen yerli
firmalar olduğunu biliyoruz.
UEKAE de çok başarılı
işler yapıyor ama bazıları "gizli" olduğundan duyulmuyor tabii.
Daha önce de dediğim gibi,
üniversitelerde bu konuda ek dersler verilmelidir ki bu konuda yeterli
personel yetiştirilebilsin. Güvenlik konferanslarında bu tür yazılımlara
ödüller ve teşvikler de verilebilir.
NGB: Türkiye’de bilgi güvenliği konusunu daha ileri
seviyeye taşımak için önerileriniz nelerdir?
Enis KARAARSLAN:
Bilgi güvenliği eğitimi üniversitede başlar diye düşünüyorum. Bütün Bilgisayar Mühendisliği, Yazılım
Mühendisliği ve Bilgisayar Programcılığı bölümlerinde güvenlik eğitimi
verilmesi gerekiyor. Güvenliğin şifre
algoritmalarının yapılarının anlatılmasından çok, öncelikle bir güvenlik
felsefesinin verilmesi gerekiyor.
Yazılım güvenliği yani
güvenli kodlama (secure coding) öğretilmesi çok önemli. Şifreleme gibi
konuların anlatımında Cryptool gibi görsellikle desteklenmiş programlar
kullanılması gerekiyor.
Üniversitelerde gerekli
laboratuvarların kurulması için maddi yatırıma ihtiyaç olacaktır. UEKAE ile
ortak projeler üniversiteleri daha güçlü hale getirebilir.
Daha sık güvenlik
konferanslarına ihtiyacımız var. Her geçen gün, bu konudaki konferans ve
etkinliklerin artması sevindirici.
Türkçe yayın da çok
önemli. Daha çok belge, kitap ve web içeriğine ihtiyacımız var.
NGB: Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına
inanıyor musunuz?
Enis KARAARSLAN:
Siber güvenlik için TR-CERT gibi bi kuruma gerek var ama bu kurumun CERT
olmanın gereklerini karşılaması durumunda tabii ki. UEKAE'deki arkadaşlar da
TR-CERT'in yeterince etkin olmadığını biliyorlar. Ama bunun altındaki bütün
otonom sistemlerde ayrı CERT veya
CSIRT ler kurulabilir ve de kurulmalıdır.
Biz ULAK-CSIRT olarak,
ULAKBİM ağı için elimizden geleni yapıyoruz. Bilinçlendirme çalışmalarımızın
yanı sıra, OLTA (Olay Takibi) sistemi ile ağdaki sorunların takibi
gerçekleşmektedir.
NGB: Bu işe yeni başlayanlara neler önerirsiniz?
Enis KARAARSLAN: Bu
konuda arada öğrencilerden mailler alıyorum. Cevaplarımı biraz daha
otomatikleştirmek ve daha zengin yapmak için bir belge yazmıştım ve Huzeyfe
ÖNAL’ ın yorumlarını da katmıştım.
Ağ Güvenliği Konusunda
Kendinizi Yetiştirmek
(http://csirt.ulakbim.gov.tr/dokumanlar/AgGuvenligiKonusundaKendiniziYetistirmek.pdf)
Dökümanın son kısmı:
<Güvenlik konusu gerçekten de genis bir alan.
Bilgisayar dünyasında oldugu gibi, güvenligin her alt konusunda uzman olmak
imkansız. Örnegin kablosuz ag güvenligi, kriptografi (cryptography),
bilgisayar adli bilimleri (computer forensics), nüfuz deneyi (penetration
test) ... vb konularının herhangi birinde uzmanlasmak bir hedef olarak
alınabilir.
Huzeyfe Önal’ın yorumuyla
yazıyı bitireyim; “Güvenlik konusuna
bozma penceresinden degil de yapma penceresinden bakmak her zaman sizin için daha
ögretici olur. Güvenlik konusunda zevk, aslında oyanan bir piyesin perde
arkasını bilmekte yatar. Bir baskası için birsey ifade etmeyen garip
paketler, size aslında yaklasan bir tehlikeyi haber veriyordur.”>
Ayrıntılar için dökümanı
okumalarını tavsiye ediyorum. Arada güncelleyeceğim bir döküman olacak.
NGB: Sizce 2015 yılında bilgi güvenliği dünyası hangi
konuları konuşuyor olacak?
Enis KARAARSLAN:
Büyük ihtimalle çok ilginç yeni sorunlar çıkmış olacak. IPv6 nın hakim olması
ile, yeni saldırı türleri ile karşılacağız ve korkarım buna alışmamız biraz
zaman alacak. Birçok küçük cihaz ağa
bağlanacak ve bunların oluşturacağı güvenlik sorunları da başımızı biraz
ağrıtacak.
"Hanım birisi
buzdolabını hack'ledi, kapıyı açamıyorum." en basiti olacak herhalde :).
Cep telefonlarında yaşanacak sorunlardan söz etmiyorum bile.
NGB: Güvenlik sertifikaları konusunda ne
düşünüyorsunuz?
Enis KARAARSLAN:
Genellikle sertifika denildiğinde, o kişinin belirli bir bilgiye sahip
olduğunu tanımlayan bir belgeden söz ediyoruz. İş görüşmelerinde bir artısı
olduğu gerçek ama bunu bir deneyimin de takip etmesi çok önemli. Aslında bu
sertifikalara hazırlık da ciddi bir motivasyon gerektiriyor. İnsanlar
sertifika sınavlarına çalışırken eksiklerini tamamlayabiliyorlar.
Güvenlik sertifikaları
hakkında ayrıntılı bir bilgim yok.
NGB: Karşılaştığınız en ciddi/kritik güvenlik problemi
nedir?
Enis KARAARSLAN:
Son zamanlarda web uygulama güvenliğine yoğunlaşmıştım. Bilindiği üzere ağ seviyesinde alınan
önlemler sadece bazı saldırıları engelleyebiliyor, kodun acil çalışması
gerektiğinde ağ seviyesindeki önlemlerin bazıları kaldırılmak zorunda da
kalabiliyor.
Yazılımda girdi ve çıktı
denetiminin iyi bir şekilde yapılması gerekiyor. Programcılara, kod yazarken
yapmaları gerekenleri anlatmakta çok ciddi zorluklar yaşadık. Bu konuda
eğitim almamışlardı ve birçoğu güvenlik düşünerek kod yazamıyordu. Bence birisinin programcı olarak çalışmadan
önce bu eğitimleri almasının sağlanması gerekiyor.
Üniversitelerde güvenlik
önlemlerinin yeterince alınması çok zor. Kullanıcılar her türlü özgürlüğün
kendilerine sağlanmasını istiyorlar. Ne kadar özgürlük verilirse o kadar
güvenlik açığı oluşuyor. Hem kısıtsız hem de güvenli olmasını istiyorlar. Bu
da bence çözümsüz bir küme. Kısıtlarsanız yasakcı oluyorsunuz. Sonuçta amaç üzüm yemek, bağcıyı dövmek
değil. Belirtilen işin yapılabilmesi için çözümler üretmeniz gerekiyor. Bunu
da kısıtlı bütçe ve kısıtlı personelle
yapmanız gerekiyor.
Sistemi yönetmek için
zaten ciddi bir zamana ihtiyacınız var, bir de güvenlik için zaman harcamanız
gerekiyor. Güvenlik politikaları iyi bir şekilde düzenlenmeli ve
kullanıcı/yöneticilerin hak ve sorumluluklarını iyice anlamaları sağlanmalı.
NGB: Bilgi güvenliğiyle ilgili en son okuduğunuz kitap
hangisidir? Hangi kitap/kitapların okunmasını tavsiye edersiniz?
Enis KARAARSLAN:
Son olarak, Bruce Schneier'in "Secrets & Lies" ini okuyorum.
Uzun zamandır okumam için kütüphanemde bekliyordu, artık bitirmeliyim :).
Sırada Mckenzie Wark'ın "Bir Hacker Manifestosu" var.
SANS'ın Network Intrusion
Detection - An Analyst's Handbook'unu, Cisco Press'ten "Penetration
Testing And Network Defense"i öneririm. Artık bulabilir misiniz
bilemiyorum, Açık Akademi'nin "Ağ Güvenliği İpuçları" kitabı da
güzel bir Türkçe kaynaktı.
NGB: Bilgi Güvenliği dünyasındaki kahramanınız(örnek
aldığınız kişi) kimdir? Hangi özelliğinden dolayı?
Enis KARAARSLAN:
Kahraman demeyelim de, güvenlik felsefesi olarak Bruce Schneier'i takip
ediyorum ve beğeniyorum.
NGB: Güvenlik dünyasında en fazla kullandığınız yazılım
hangisi?
Enis KARAARSLAN:
Wireshark sanırım. Sonuçta paket analizi, ağ yönetimi ve güvenlikte çok
önemli. Artık sistem yöneticiliği yapmıyorum, zamanında snort, nmap, nessus
gibi birçok açık kaynak kodlu ürünü kullandım.
NGB: Bilgi güvenliğiyle ilgili hangi blog/sitelerin
takibini önerirsiniz?
Enis KARAARSLAN:
Aslında çok site var ama ilk aklıma gelenler:
http://www.bilgiguvenligi.gov.tr
http://blog.lifeoverip.net
http://www.schneier.com/
http://www.securityfocus.com/
http://blog.csirt.ulakbim.gov.tr(
Gerçi biraz ihmal ettik son zamanlarda)
http://ferruh.mavituna.com/
NGB: Tekrar seçme şansınız olsaydı yine bilgi güvenliği
alanını seçer miydiniz?
Enis KARAARSLAN:
Neden olmasın :)
NGB: Zaman ayırarak röportajımıza katıldığınız
için teşekkür ederiz.
 ETKİNLİKLER
* 1. Ulusal Siber Güvenlik Konferansı
25 Mart 2010
*4. TÜBİTAK-UEKAE Bilgi Teknolojileri Güvenlik Konferansı
https://www.bilgiguvenligi.gov.tr/etkinlikler/4.-tubitak-uekae-bilgi-teknolojileri-guvenlik-konferansi-ozel.html
[Güvenlik Eğitimleri
]
-Web
uygulama güvenlik testleri eğitimi -13 Mart 2010
http://www.guvenlikegitimleri.com/new/web-uygulama-guvenlik-testleri-egitimi-13-mart-2010
[Yarışma]
-The Curious
Mr. X
http://forensicscontest.com/2010/02/03/puzzle-4-the-curious-mr-x
[Anket]
Türkiye’de
açık kaynak kodlu güvenlik yazılımlarının ne oranda ve ne kadar efektif
kullanıldığına dair bir araştırma anketi.
-Açık kaynak kodlu güvenlik yazılımı kullanıyor musunuz?
 DİKKAT ÇEKEN YAZILAR
-Penetrasyon testlerinde IPS Keşfi
http://blog.lifeoverip.net/2010/02/15/penetrasyon-testlerinde-ips-kesfi/
-Basit Malware Analizi…
http://www.mertsarica.com/?p=595
-Traffic Talk: Testing Snort with Metasploit
http://searchnetworkingchannel.techtarget.com/tip/0,289483,sid100_gci1380476,00.html#
-Windows Server 2008 R2 İşletim Sistemi Güvenlik Özellikleri
http://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/windows-server-2008-r2-isletim-sistemi-guvenlik-ozellikleri.html
-Ücretsiz Hakin9 dergileri
http://www.professionalsecuritytesters.org/modules.php?name=News&file=article&sid=1130
-"In the Crossfire: Critical Infrastructure in the Age of
Cyberwar"
http://img.en25.com/Web/McAfee/NA_CIP_RPT_REG_2840.pdf
-GNU/Linux Advanced Administration – Ücretsiz eKitap
http://www.syslogs.org/2010/02/gnulinux-advanced-administration-ucretsiz-ekitap/
-Black Hat DC 2010 Sunumları
http://www.blackhat.com/html/bh-dc-10/bh-dc-10-archives.html
-İnternet tarayıcı güvenlik rehberi
http://www.chip.com.tr/konu/guvenli-tarayici-rehberi_18001.html
-Security-Database Best IT Security Tools for
2009
http://www.security-database.com/toolswatch/Security-Database-Best-IT-Security.html
-Top 10 malware threats for January(Ocak ayı
malwarelerinde ilk 10 sıra)
http://www.net-security.org/malware_news.php?id=1218
-IDS legacy is institutionalized failure
http://www.net-security.org/article.php?id=1372
-Web Açıklık Tarayıcıları Performansları
http://ha.ckers.org/files/Accuracy_and_Time_Costs_of_Web_App_Scanners.pdf
-Uygulamaların OpenSSO tabanlı Kimlik Yönetim Sistemi Entegrasyonu
http://www.bilgiguvenligi.gov.tr/kimlik-yonetimi/uygulamalarin-opensso-tabanli-kimlik-yonetim-sistemi-entegrasyonu.html
-Automated malware analysis platform
http://www.net-security.org/secworld.php?id=8845
 İNSAN KAYNAKLARI
-NETWORK
VE GÜVENLİK MÜHENDİSİ
http://www.yenibiris.com/sentim_bilisim/network_ve_guvenlik_muhendisi/245142.ilan
Network/Güvenlik
http://www.yenibiris.com/smartpro_bilgisayar_akademisi/network/guvenlik/256872.ilan
Network Mühendisi
http://www.yenibiris.com/entegres_bilgi_ve_iletisim_teknolojileri_sanayi_ve_ticaret_as/network_muhendisi/241702.ilan
GÜVENLİK UZMANI
http://www.kariyer.net/jobsearch/jobdetail.kariyer?arn=&sid=&ilankodu=503756&ilId=143
GÜVENLİK UZMANI
http://www.kariyer.net/jobsearch/jobdetail.kariyer?arn=&sid=&ilankodu=483447&ilId=002
GÜVENLİK UZMANI
http://www.kariyer.net/jobsearch/jobdetail.kariyer?arn=&sid=&ilankodu=500511&ilId=144
Güvenlik
E-bülteni #21'e katkıda bulunanlar: Huzeyfe ÖNAL, Ömer
ALBAYRAK
Güvenlik Bülteni Üyeliği
Güvenlik bültenini mail olarak almak isterseniz http://www.lifeoverip.net/newsletter/
adresine e-posta adresinizi bırakmanız yeterlidir.
Ağ Güvenliği( Netsec ) listesine üyeliğiniz varsa tekrar
bülten üyeliğine gerek yoktur, bültenler listeye gönderilecektir.
Eski Sayılar
Güvenlik bülteninin eski sayılarına http://www.lifeoverip.net/newsletter/
adresinden erişilebilir.
Bu sayıya  Sponsor olmuştur.
© Copyright(c)
2010 Lifeoverip.Net
.
|
