|
Ayda iki kere yayınlanan NetSec Güvenlik Bülteni’ nin yeni sayısı ile karşınızdayız.
Bülten Web Adresi: http://www.lifeoverip.net/newsletter/sayi22
Bülten
ile ilgili olarak görüş ve düşüncelerinizi lütfen bizimle paylaşın. Linkte
hem istatistiklerimiz hem de yorum ve düşüncelerinizi paylaşabileceğiniz bir
yazı bulunmaktadır. http://blog.lifeoverip.net/2010/01/05/netsec-guvenlik-bulteni-2009-istatistikleri/
“NetSec Güvenlik Bülteni Ağ
Güvenliği Listesi Netsec 'in üyeleri tarafından
hazırlanmakta olup herkesin katkısına açıktır. Amacımız değişken olan
güvenlik dünyasının farklı alanlarını yakından takip eden arkadaşların
geçtiğimiz haftalar içerisinde dikkatini çeken güvenlikle ilgili haberlerin,
yazıların, araçların paylaşımıdır.”
GÜVENLİK DÜNYASINDAN HABERLER.
KRİTİK SEVİYE
GÜVENLİK AÇIKLIKLARI.
YENİ ÇIKAN/GÜNCELLENEN GÜVENLİK YAZILIMLARI.
HAFTANIN GÜVENLİK YAZILIMI.
HAFTANIN MİSAFİRİ.
ETKİNLİKLER.
DİKKAT ÇEKEN YAZILAR.
İŞ İLANLARI.
GÜVENLİK BÜLTENİ HAKKINDA.
 GÜVENLİK DÜNYASINDAN
HABERLER
-Türkiye’deki bilgi güvenliği
firmaları
http://blog.lifeoverip.net/2010/01/27/turkiyedeki-bilgi-guvenligi-firmalari/
-Web Güvenliği E-Dergi 4. Sayı
http://dergi.webguvenligi.org/sayi/4-subat-2010.wgt
-Avustralyalı Grubun, Devletin Filtrelemesine DDoS Misillemesi
http://www.turk.internet.com/portal/yazigoster.php?yaziid=26546
-AVG 2010 İnternet Güvenlik Tahminleri
http://www.turk.internet.com/portal/yazigoster.php?yaziid=26569
-İngiltere, Web'deki Dolandırıcılıklar İçin Yeni Birim Oluşturuyor
http://www.turk.internet.com/portal/yazigoster.php?yaziid=26562
-Microsoft'un bedava anti-virüsü
Türkçe oldu!
http://www.chip.com.tr/konu/microsoft-un-bedava-anti-virusu-turkce-oldu_18360.html
-Fransa Internet Filtreleme
Planında Kararlı
http://www.turk.internet.com/portal/yazigoster.php?yaziid=26597
-Pwn2Own 2010: 100.000$ ödüllü yarışma
http://www.beyazsapka.org/haberler/pwn2own-2010-100000-odullu-yarisma
-Botnet ile gelen gereksiz e-postalara yeni çözüm: Düşmanı, düşmanın
taktikleriyle yen!
http://www.chip.com.tr/konu/dusmana-dusman-taktigi_17914.html
-Seyahatte, Erişim ve Veri Güvenliği
http://www.turk.internet.com/portal/yazigoster.php?yaziid=26604
-75 Bin Bilgisayar Eşzamanlı
Hacklendi
http://www.turk.internet.com/portal/yazigoster.php?yaziid=26616
-İnternet Sansürü Yazılımcılara
Kazandırıyor
http://www.turk.internet.com/portal/yazigoster.php?yaziid=26647
 KRİTİK SEVİYE
GÜVENLİK AÇIKLIKLARI
-Cisco ASA5500 Security Updates
http://www.cisco.com/warp/public/707/cisco-sa-20100217-asa.shtml
-IBM Cognos Server Backdoor Account Remote Code Execution
Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-10-018/
-Critical
vulnerability in Adobe Download Manager patched
http://www.net-security.org/secworld.php?id=8908
 YENİ ÇIKAN/GÜNCELLENEN
GÜVENLİK YAZILIMLARI
-Medusa 2.0 versiyonu çıktı
Pentest aracı olan medusa nın yeni
versiyonu yayınlandı
http://seclists.org/pen-test/2010/Feb/60
-Snort 2.8.5.3
sürümü çıktı
http://www.snort.org/downloads/
-BROWSER RIDER
V20090204 RELEASED
http://www.security-database.com/toolswatch/Browser-Rider-v20090204-released.html
-MALHEUR V0.4.5 -
AUTOMATIC ANALYSIS OF MALWARE BEHAVIOR
http://www.security-database.com/toolswatch/Malheur-v0-4-5-Automatic-Analysis.html
-NESSUS V4.2.1
RELEASED
http://blog.tenablesecurity.com/2010/02/nessus-version-421-released.html
-JOHN THE RIPPER
UPDATED TO V1.7.5
http://www.security-database.com/toolswatch/John-the-Ripper-updated-to-v1-7-5.html
-WATCHER WEB
SECURITY SCANNING TOOL V1.3.0
http://www.security-database.com/toolswatch/Watcher-Web-Security-Scanning-tool.html
 HAFTANIN
GÜVENLİK YAZILIMI
Yazılım adı : WebTunnel
İndirme
adresi : http://www.islandjohn.com/www.islandjohn.com/Home/Entries/2009/2/1_Webtunnel.html
Kategori :
Web
Güvenliği
Ortam : Linux
İşlevi : TCP protokolü üzerinden tünelleme
yapma imkanı sağlayan bir araç.
Kullanımı:
http://www.islandjohn.com/islandjohn.com/Home/Entries/2009/2/1_Webtunnel.html
adresinden webtunnel uygulamasi
indirilir. Uygulamanin wts.pl —>Sunucuya aktarilacak kisim wtc.pl
—->istemcide kullanilacak kisim
olmak uzere iki bileseni
vardir. “wts.pl” web sunucuda cgi-bin dizinine yerlestirilir.
Sonrasinda tunel kurulumu icin wtc.pl scripti calistirilmali.
#perl wtc.pl
Usage: wtc.pl [--daemon] [--pid file] [--cert file]
[--key file] local remote tunnel [proxy]
local Tunel
kurulduktan sonra yerelde dinlemeye alinacak port(Tunelleme yapilacak diger
uygulamalar bu portu kullanacak)
remote
Baglanilmak istenen asil sistem
tunnel Tunel
ucu olarak kullanilacak wts.pl scriptinin http/https yolu
proxy
Uygulamayi Proxy uzerinden kullanmak icin Proxy adresi
Tunel’i aktif etmek icin
kullandigim komut:
$ perl wtc.pl
tcp://localhost:8080 tcp://vpn.lifeoverip.net:22
http://WEB_SUNUCU/cgi-bin/wts.pl
2009-02-23 10:42:57
webtunnel[9512]: wtc_tunnel_start() code=200 message=OK status=1
reason=Tunnel started C
2009-02-23 10:43:38
webtunnel[9512]: wtc_tunnel_stop() code=200 message=OK status=1 reason=Tunnel
stopped
Bu komutla localhost’un 8080
portunu uzaktaki wts.pl araciligi ile vpn.lifeoverip.net’in 22. portuna
baglamis olduk. Kurulan tuneli kullanarak SSH baglantisi yapalim
huzeyfe@elmasekeri:~$ ssh
localhost -p 8080
The authenticity of host
‘[localhost]:8080 ([127.0.0.1]:8080)’ can’t be established. DSA key
fingerprint is c2:c3:a8:6c:0b:ce:7c:59:7d:e3:38:6c:98:67:4a:46. Are you sure
you want to continue connecting (yes/no)? yes Warning: Permanently added
‘[localhost]:8080′ (DSA) to the list of known hosts. Password: Last login:
Sun Feb 22 19:23:16 2009 from XYZ Copyright (c) 1980, 1983, 1986, 1988, 1990,
1991, 1993, 1994 The Regents of the University of California. All
rights reserved.
$ last|head -1 huzeyfe
ttyp0
WEB_SUNUCU Mon Feb 23
10:33 still logged in $
Gorulecegi gibi
vpn.lifeoverip.net’e istemcinin ip adresinden degil web sunucunun ip
adresinden baglanilmis oluyor.
Tunel Guvenligi
Tunel kurulurken bir sniffer
araciligi ile gidip gelen veriler incelenirse asagidaki gibi cikti alinacaktir
root@elmasekeri:~# urlsnarf
urlsnarf: listening on eth0
[tcp port 80 or port 8080 or port 3128]
123.alibaba. – -
[23/Feb/2009:10:56:06 +0200] “GET
http://WEB_SUNUCU/cgi-bin/wts.pl?cmd=start&arg=tcp%3A%2F%2Fvpn.lifeoverip.net%3A22
HTTP/1.1″ – - “-” “webtunnel/0.0.3″
123.alibaba. – -
[23/Feb/2009:10:56:07 +0200] “GET http://WEB_SUNUCU/cgi-bin/wts.pl?cmd=read
HTTP/1.1″ – - “-” “webtunnel/0.0.3″
123.alibaba. – -
[23/Feb/2009:10:56:07 +0200] “POST http://WEB_SUNUCU/cgi-bin/wts.pl?cmd=write
HTTP/1.1″ – - “-” “webtunnel/0.0.3″
123.alibaba. – -
[23/Feb/2009:10:56:07 +0200] “GET http://WEB_SUNUCU/cgi-bin/wts.pl?cmd=read
HTTP/1.1″ – - “-” “webtunnel/0.0.3″
123.alibaba. – -
[23/Feb/2009:10:56:07 +0200] “GET http://WEB_SUNUCU/cgi-bin/wts.pl?cmd=read
HTTP/1.1″ – - “-” “webtunnel/0.0.3″
123.alibaba. – -
[23/Feb/2009:10:56:07 +0200] “POST http://WEB_SUNUCU/cgi-bin/wts.pl?cmd=write
HTTP/1.1″ – - “-” “webtunnel/0.0.3″
123.alibaba. – -
[23/Feb/2009:10:56:08 +0200] “GET http://WEB_SUNUCU/cgi-bin/wts.pl?cmd=read
HTTP/1.1″ – - “-” “webtunnel/0.0.3″
…
POST detaylarina bakilirsa arada gidip gelen veriler(sifreler vs)okunabilir.
Dolayisi ile tuneli guvenli kurabilmek icin https baglantisi kullanilmalidir.
$ perl wtc.pl
tcp://localhost:8080 tcp://vpn.lifeoverip.net:22 https://WEB_SUNUCU/cgi-bin/wts.pl
gibi
ya da istemci tarafi
sertifikalari kullanilarak daha guvenli bir baglanti kurulabilir.
 HAFTANIN MİSAFİRİ
 Güvenlik kahvesinin bu haftaki konuğu TÜBİTAK/UEKAE’den Grup
ve Proje Yöneticisi Burak BAYOĞLU.
NGB:Kısaca kendinizden
bahsedebilir misiniz?
Burak
Bayoğlu:1980 yılında Marmaris’te doğdum. Üniversite öncesi
öğrenimimi Mersin’de tamamladım. 1997 yılında İstanbul Teknik Üniversitesi
Elektronik ve Haberleşme Mühendisliği Bölümü’nü kazanmamla beraber İstanbul
maceram başladı. 1998 yılında ikinci ana dal olarak Kontrol ve Bilgisayar
Mühendisliği Bölümü’ne de devam etmeye başladım. 2001 ve 2002 yıllarında bu
lisans bölümlerinden mezun oldum. 2002-2004 yılları arasında Sabancı
Üniversitesi Bilgisayar Mühendisliği Bölümü’nde Doç. Dr. Albert Levi
danışmanlığında Yüksek Lisans çalışmamı tamamladım. 2004 yılından bu yana,
Doç. Dr. İbrahim Soğukpınar danışmanlığında Gebze Yüksek Teknoloji Enstitüsü
Bilgisayar Mühendisliği Bölümü’nde Doktora çalışmama devam etmekteyim.
2001 yılında TÜBİTAK
Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü(UEKAE)’nde
Araştırmacı olarak çalışmaya başladım. Halen aynı kurumda Proje Yönetici ve
Başuzman Araştırmacı olarak görevime devam etmekteyim.
UEKAE bünyesinde, Güvenli
Sistem Kurulumu, Güvenlik Testleri, Bilgi Güvenliği Eğitimleri, Bilgi
Güvenliği Yönetim Sistemleri danışmanlık, kurulum ve denetim projelerinde
aktif görevler aldım ve proje yönetim faaliyetlerinde bulundum. Yedi bilgi
güvenliği uzmanından oluşan grubun yöneticisiyim. Microsoft Sistemleri
Güvenliği, ISO/IEC 27001, ITIL, CoBIT, İş Sürekliliği Yönetim Sistemleri
başlıca çalışma konularım. Tasarsız (ad hoc) ağ güvenliği, WTLS prokolünde
açık anahtar kripto sistemlerinin kullanımı, Polimorfik Solucanların Tespiti
konularında uluslararası dergi ve konferansalarda yayınlanmış makalelerimin
yanında çeşitli ulusal yayın organlarında bilgi güvenliği üzerine makaleler
yazmaya gayret ediyorum. Malesef artık ayakta olmayan ama her an canlandırmak
için fırsat kolladığım BT Guvenlik isimli çalışma grubunda, Cenk Örnek, Emre
Sucu, Feridun Aktaş ve adını yazmayı unuttuğum için binlerce kez özür
dilediğim değerli arkadaşlarımla Türkiye İç Denetim Enstitüsü (TİDE)
bünyesinde kar amacı gütmeyen eğitim serileri düzenledik. Neredeyse dernek
olacaktık ki bu uğurda ikinci toplantıyı yapamadık ;-)
NGB:Güvenlik
işine nasıl bulaştınız?
Burak Bayoğlu:Benim için
büyük bir şanstır ki kariyerime bilgi güvenliği konusunda başladım. Yeni
mezun bir mühendis olarak bilinçli şekilde bilgi güvenliği konusunda çalışmaya
başladım desem çok az insan inanır sanırım. Mezun olmadan altı ay önce biri
sormuş olsaydı muhtemelen Netaş, Alcatel, Aselsan vb. bir firmada AR-GE
yapacağımı ya da bir GSM operatörünün RF takımında çalışacağımı söylerdim.
Gel gelelim mezuniyetimden bir gün önce değerli bir hocamın UEKAE diye bir
yer var demesi üzerine yeni mezun olarak ilk ve tek iş görüşmesini yapmamın
devamında güvenlik işine farkında olmadan bulaşmış oldum. 2001-2004 yılları
arasında, OKTEM isimli harika projede, Türkiye’nin Ortak Kriterler (Common
Criteria) yapısının kurulmasından tutun da, güvenlik prensiplerinin
geliştirilmesi, güvenlik testleri, güvenlik eğitimleri, işletim sistemleri ve
uygulama güvenliği, TR-CERT altyapısının kurulumuna kadar çok sayıda temel
çalışmada görev aldım. Bunların yanında gelen bilgi sistemleri denetimi
açılımı, CISA telaşı, CISSP merakı, 27001 (o zamanlar BS 7799-2) vs. vs.
maceralar derken bir de bakmışız ki güvenlikle yatar kalkar olmuşuz...
NGB:Turkiye'de bilgi
guvenligi konusunu degerlendirebilir misiniz
Burak Bayoğlu:İstisnalar
kaideyi bozmaz diyerek lafa başlayıp önce tek kelimeyle özetlemeye
çalışacağım Türkiye’de bilgi güvenliğini...“İlgili yasal düzenleme varsa
atlatılması gereken, yasal düzenleme yoksa da idare edilmesi gereken bir
süreç”. Okumaya vakti olanlar için aşağıda biraz daha kalabalık cümlelerle
değerlendirmeye çalıştım.
Türkiye’de bilgi
güvenliği farklı sektörlerde çok farklı olgunluk seviyeleri gösteriyor. Gördüğüm
kadarıyla, Silahlı Kuvvetler, Finans Sektörü ve İletişim Sektörü diğerlerine
göre bu işi çok daha fazla ciddiye alıyor. Kamuda geçmiş yıllara göre
yadsınamayacak kıpırdanma ve ilerlemenin yanında alınması gereken uzun bir yol
var. Küçük ve orta ölçekli işletmelerde iyi denilebilecek firmalar güvenlik
duvarları ve virüs koruma yazılımlarıyla gurur duyuyordur. Anlıyoruz ki sahip
olunan bilginin ya da işletilen sistemlerin güvenliği ulusal çıkarları tehdit
ediyorsa ya da gerçekten büyük hacimde mali sorumluluklar getirebilecekse
gereken önem verilebiliyor. Aksi takdirde malesef ürün sağlayıcıların
yönlendirmesinden öte bir güvenlik bilinci oluşamıyor. Sektörel bazda
değerlendirmem kısaca böyle.
Belki bana
kızabilirsiniz ama patronların güvenliği yük olarak görmesini çok da haksız bir
davranış olarak görmüyorum. Patron kişinin adı üstünde, patron kendisi. Mali
tabloya bakar ve katma değer görmek ister. Eğer güvenlik adına yapılması
istenen yatırımlarının geri dönüşü gösterilemiyorsa bence kusur patronlarda
değil biz bilgi güvenliği uzmanlarındadır. Sadece bir masraf listesine onay
almak için yöneticilerin karşısına çıktığımızda, hele de güvenlikçilerin o
karşı konulmaz “korkutma” taktiğiyle köşeye sıkıştırdığımızda, ilk fırsatta kesilecek
masraf kalemi oluveriyor güvenlik yatırımları. Halbuki denklem çok basit.
Yöneticilerin ilgisini çekebilecek iki temel kavram var. Bunlar, “kazanç” ve
“kayıp”. Ahkam kesmeye başladığımızda herkese öğütlediğimiz “Risk Temelli
Yaklaşım” aslında yöneticilerin konuya bakış açılarını değiştirmek için
kullanmamız gereken yegane yöntem. Eğer güvenliğe gereken önem verilmiyorsa,
yapılması gereken yatırımların kurumu hangi kayıplardan kurtarmayı
amaçladığını, yani riski yeterince iyi anlatamıyoruz demektir. Diyelim ki
anlatamadık ya da ısrarla anlamadıklarını düşünüyoruz, o zaman da yaşanan
kayıpların daha önce önerilen güvenlik yatırımı önerileriyle nasıl
hafifletilecek olduğunu ya da hiç yaşanmayabileceğini anlatmak ayrıca önemli.
Diyelim ki ne nesnel çıkarımlarla güvenliğin gerekliliğini ortaya koyabildik
ne de yaşanmış bir olayla aslında gerekli olduğunu gösterebildik... o zaman
güvenliğe yük olarak bakmalarından daha normal ne olabilir ki? ;-) “Ne kadar
bilirsen bil, anlatabildiklerin karşındakinin anlayabileceği kadardır” deyişi
herşeyi anlatıyor. Konumuzda ne kadar yüksek bilgi seviyesine çıkarsak
çıkalım, muhasebe tutan personelde bilgi güvenliği farkındalığı oluşturmak,
üst düzey yöneticilere güvenliğin önemini anlatmak vb. işleri başarabilmek
için “onların dilinden konuşmayı” öğrenmemiz gerekiyor.
NGB:Türkiye’de yerli
güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?
Burak Bayoğlu:Öncelikle
yazılımı bir kenara bırakırsak bir ülkede üretimin artması ve daha da
önemlisi ürünlerin ihraç edilmesi hiç şüphe yok ki faydalıdır. Güvenlik
yazılımları için de aynı kural geçerli benim için. Söz konusu olan ulusal
güvenlik ise, öncelik ulusal çıkarların korunması ve bağımlılığın
azaltılmasına kayabilir. TÜBİTAK UEKAE bu konuda gurur verici çalışmalar
yapıyor. Milli Açık Anahtar Altyapısı (PKI), kripto yazılımları ve
donanımları, DLP vb. çok sayıda önemli güvenlik yazılımları geliştiriliyor.
Eğer ticari amaçlı bir güvenlik yazılımı geliştirilecekse bu çalışmaları da
destekleyen kamu birimleri mevcut. İhtalatın azaltılması, yerli yazılımcılara
istihdam sağlanması, yenilikçi bir tasarım yapılması vb. etkenler projelerin
desteklenmesinde göz önünde bulunduruluyor. Yerli yazılımcılara sağlanacak
istihdam imkanını aklımızda tutmak kaydıyla ticari amaçlı bir güvenlik
yazılımının illa ki Türkiye’de geliştirilmesi gerektiği konusunda çok fanatik
değilim. Her konuda olduğu gibi yazılım geliştirme konusunda da
küreselleşmenin kurallarına uymak ya da kuralları değiştirmek durumundayız.
Dünyanın yazılım geliştirme devlerinin kadrosu Birleşmiş Milletler’den
farksız. Örneğin Microsoft’un Redmon’daki yerleşkesinde bulunma şansım oldu,
Amerika’lı dan daha çok yabancı kökenli arkadaşlarla karşılaştım. Hindistan,
Kuzey Avrupa vb. yerlerde bulunan yazılım üsleri de cabası. Dolayısıyla
Türkiye sınırının dışına çıkmak için kurala uyup devlerin sahasına girmek
lazım ya da Türkiye’yi küresel bir yazılım üssü haline getirmemiz lazım.
Bunun için yetişmiş gücümüz yadsınamayacak kadar çok. Teknoloji Serbest
Bölgeleri ve KOSGEB bu konuda atılmış önemli adımlar olarak karşımıza
çıkıyor.
NGB:Türkiye’de bilgi
güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?
Burak Bayoğlu:Türkiye’de
bilgi güvenliği konusunu daha ileri seviyeye taşımak için kritik başarı
faktörlerini Türkçe içerik, Yasa desteği ve Eğitim olarak sıralayabilirim.
Türkçe içerikli oldukça kaliteli portaller mevcut. www.bilgiguvenligi.gov.tr ile
üzerimize düşen görevi en iyi şekilde yerine getirmek için çaba harcıyoruz.
Bu portale camiadan gelen makalelerin sayısı da hiç az değil. Tabi ki çok sevindirici.
Bu ortamlar çoğunlukla bilgi güvenliği uzmanlarına hitap ediyor. Son
kullanıcılar için de elbet içerikler mevcut fakat onların bu yayınlara
yönlendirmek için daha çok tanıtım faaliyetine ihtiyaç var. Daha doğrusu bir
şekilde dikkatlerini çekmek gerekiyor. Talep artırılmadığı sürece içeriğin
artması da pek fayda sağlamayacak. Günlük gazetelerde bilgi güvenliğiyle
ilgili yazı dizilerinin farkındalık seviyesine katkı sağladığını düşünüyorum.
Bilgi güvenliği
konusunda yasal mevzuatın tamamlanması konusunda hiçbir çalışma yapılmıyor
desek haksızlık etmiş oluruz. Bunun yanında alınan yol ile alınması gereken
yol arasında hala dağlar kadar fark var. Özellikle bu konuda gelişmiş
ülkelerin yanında halen çok temel mevzuat düzenlemelerinde eksikliklerimiz
bulunuyor.
NGB:Türkiye’de siber
güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?
Burak
Bayoğlu:Türkiye’de siber güvenlik ile ilgili bir kurumun ihtiyacına
elbette inanıyorum. Aslına bakarsanız konu siber güvenlik gibi geniş olunca
ihtiyacı tek kurum ile karşılamak da çok mümkün değil. Türkiye’de siber
güvenlikle ilgili kurumlar yok değil. Emniyet güçleri bünyesinde bilişim
suçları şubeleri görev yapıyor, TÜBİTAK UEKAE bünyesinde TR-CERT kamu
kurumları için CERT koordinasyon merkezi görevini yerine getirmeye çalışıyor,
bir yandan da kamu kurumlarının kendi CERT takımlarının kurulabilmesi için
çalışmalar yapılıyor. ULAK-CSIRT, Türkiye’nin akademik ağı olan ULAKBİM
kapsamında CERT faaliyetlerini yürütüyor. Siber güvenlikle ilgili birimleri
olan diğer kurumlar da mevcut. Bence Türkiye’de eksik olan, bütün bu dağınık
faaliyetlerin regülasyonunu yapacak ve ortak stratejiyle hareket etmelerini
sağlayacak bir üst kurum. Bu amaçla uzun zaman önce başlayan bir kanun
çalışması da var ama sonuçlanmıyor. Belki de sıra gelmiyor... Lafın kısası
bir gün Türkiye’nin de “Ulusal Bilgi Güvenliği Teşkilatı” olacak. O günü
görür müyüz, görürsek bizlere ne görevler düşecek... bekleyip göreceğiz.
(Umarım görürüz ;-) )
NGB:Bu ise yeni
baslayanlara neler onerirsiniz?
Burak Bayoğlu:Bilgi
güvenliği konusunda profesyonelleşmek isteyenlere önerim, dar alanlara
kapanıp kalmamalarıdır. Belirli konularda uzmanlaşmak ve sivrilmek önemli
fakat genel güvenlik prensiplerini öğrenemek için kendine vakit ayırmadan
spesifik alanlarda bıdıklık yapmak yıllar geçtikçe kişiyi kendi ördüğü
duvarlar arasında yanlız bırakır. Her ne alanda uzmanlaşmayı hedefliyorsak
hedefleyelim, yaptığımız işte en önemli unsurun insan olduğunu unutmamak gerekiyor.
İletişim ve proje yönetimi becerisi, teknik uzmanlık konusuyla beraber
geliştirilmeli. Çalıştığımız konuyla ilgili belli başlı e-posta listeleri ve
periyodik yayınların takibi oldukça önemli. Hızlıca bir google araması
yapıldığında çok sayıda kaynağa ulaşılabilir. Takip etmeyi hedeflediğiniz
kaynakların sayısının artması, bir süre sonra hiçbirini takip etmemeyi de
beraberinde getirecektir. Konudan konuya farklılık gösterebilir ama ben
securityfocus.com e-posta listelerinden ve SANS okuma odalarından çok
faydalanmıştım. CISA konsepti ve 7799 standardlarıyla tanışmam da kısıldığım
teknik alanlardan çok daha geniş güvenlik bakış açısına geçmemi sağlamıştır. Yeni
başlayanlar için hemen hemen aynı kategorilerde farklı bakış açıları olan
27001 standardı, CISSP hazırlık kitapları, CISA hazırlık kitapları iyi bir
ilk okuma noktasıdır.
NGB:Sizce
2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor olacak?
Burak Bayoğlu:2015, çok
da uzak bir zaman değil. Bu sebeple konuların çok farklılaşacağını
sanmıyorum. Güvenlik problemlerimiz uzun yıllardır aynı aslında. Kimlik
doğrulama, şifreleme, yetkilendirme vs. vs. II. Dünya Savaşı sırasında
kullanılan elektro-mekanik bir rotör makinesi olan Engima’nın 32 sayfa(attım) kod kitabı varmış hocam diye konuşuyorlardı o
zamanın bilgi güvenliği uzmanları sanırım. Sezar’ın şifreleme algoritması
hala anlatılır derslerde, ben olsam 5 karakter kaydırırdım falan deriz. 40
bit SSL çerez gibi kırılıyor diye konuştuk bir ara. 2015 yılında bu rakamlar
ve teknolojiler biraz daha farklılaşmış olacak. Yeni teknolojilerde güvenlik
genelde arkadan geliyor. Bu teknolojiler yaygınlaşana kadar da efsane
şeklinde güvenlik açıklıkları konuşulmaya başlanıyor. Özellikle kablosuz
teknlojilerin ve her noktadan İnterenet bağlantısının gün geçtikçe hayatımıza
daha çok girdiğini düşünürsek sanırım yaygın ağların (pervasive/ ubiquitous networks)
komikliklerinden bahsediyor oluruz. Bizim komşu fırınına şifre koymamış,
yaktım kestanelerini... diye eğleniriz birbirimizle herhalde ;-)
NGB:Güvenlik sertifikaları
konusuna ne düşünüyorsunuz?
Burak Bayoğlu:Serifikalar,
kişinin bilgi seviyesi için belirli seviyede fikir veriyor elbette. Tek
başına işe yarayacaklarını düşünmüyorum. Özellikle, herhangi bir deneyim
gereksinimi olmayan, ortalıkta soru bankaları dolaşan sertifikaların çok da
geçerli olduğunu söyleyemem. Çoğu sertifika, kapsadığı alanlar ve adayı
getirmek istediği nokta açısından faydalı. Bu sertifikaların sınavlarına
ciddi şekilde çalışan adayların bilgi haznelerine kesinlikle önemli bilgiler
eklediğinden eminim. Bir yandan da sadece ilgili sınavı geçmek için soru
bankalarına çalışan adayların kendinlerine çok şey kattığını düşünmüyorum.
Problem şu ki sonuçta hangi yöntemi izlemiş olursa olsun CV’ye yazılan
sertifikanın adı aynı. Eğer bir iş görüşmesi yapıyor olsaydım, adayın ne
kadar çok sertifikası varsa o kadar çok soruyla karşılaşırdı. Eğer aday bir
konuda yetkinlik iddiasında bulunan sertifikaya sahipse profesyonel anlamda
ne kadar dürüst olduğunu anlamak için bilgi seviyesini ciddi şekilde
tartardım. Sonuç olarak adının altına yazmak için geçiştirdiği bir çalışma
süreci olduğunu hissedersem faydasından çok zararı olurdu. Dürüstlük, teknik
yetkinlikten çok daha önemli bir meziyet.
CISA, CISM, CISSP, PMP
ve de SANS’ın ilgili sertifikaları bence hala saygın sertifikalar. Elbette
adayların dürüstlüğü çok önemli. Mesela, gerekli görülen deneyim süresini
doldurmadan CISA sertifikasını alan bir arkadaşımız bence uzun vadede
kariyerini baltalamış oluyor. Aynı zamanda ilgili adayı onaylayan (endorser)
da aynı şekilde inanılırlığını tehlikeye atıyor. Camiamızda bu konuya daha
çok önem vermek gerekiyor. PMP sertifikasını da güvenlikle ilgili
sertifikalar arasında saydım çünkü etkili proje yönetimi, her alanda başarıya
ulaşmak için olmazsa olmazlar arasında. Senin PMP sertifikan var mı derseniz,
malesef henüz yok ;) Sınav başvurumu yaklaşık 8 ay önce yaptım ve kabul
edildi. Bir ara zaman bulup sınava girebilmeyi umut ediyorum ;-)
NGB:Karşılaştığınız en
ciddi/kritik güvenlik problemi nedir?
Burak Bayoğlu:Karşılaştığım
ciddi güvenlik problemlerinin hepsinin kaynağında insan hataları vardı. Ne
gariptir ki baş rol oyuncuları da çoğunlukla BT uzmanlarının ta kendileriydi ;-)
Anlatması dile kolay olan ama pratikte uygularken kırk dereden su
getirdiğimiz “En az haklar (Least Privilege)” ve “Görevlerin Ayrılığı
(Segregation of Duties)” prensiplerinin etkin şekilde uygulanması için pratik
yöntemler bulmalıyız. Personel sayısının yetersizliği ve sahip olunan gücün
kaybedilmeme isteği (ben yanlış yapmam mantığı) yaşadığı sürece bu
problemlerle yaşamaya devam edecek gibi duruyor çoğu kurum.
NGB:Bilgi güvenliğiyle
ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitalpların okunmasını
tavsiye edersiniz?
Burak Bayoğlu:Eğri oturayım, doğru cevap
vereyim ;-) Eğer olur da kitap okumaya vakit bulabilirsem daha beşeri
konularda okumaya çalışıyorum. Digital Fortress kitabını okurken zaman zaman
kitaptan kopup bilgi güvenliği konusunda bu kadar da atılmaz diye eğlendiğim
zamanlar olmuştu. Bilgi güvenliği profesyonelleri için Schneier’in
Secrets&Lies’ı vb. kitaplar daha önce çok tekrar edilmiştir. Farklı
disiplinlerde okuma yapmanın daha faydalı olduğuna inanıyorum. ISACA’nın
COBIT Focus dergisini ve PMI’ın PMNetwork dergisini düzenli olarak takip
etmeye çalışıyorum. Okuyorum demek belki yavan kalacak, son zamanlarda
“çalıştığım” bir kitap olarak McKenna ve Maister’in “First Among Equals” kitabını
herkese tavsiye ederim.
NGB:Bilgi Güvenliği
dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden
dolayı
Burak Bayoğlu:Bilgi
güvenliği dünyasında budur diyeceğim ve örnek aldığım bir kahramanım yok.
Eğer en yakın olanları söylemem gerekirse, şu an grubumda
benimle beraber çalışan arkadaşlarımı kahramanlarım olarak ilan ederdim. Hepimiz
birbirimizin iyi özelliklerini örnek alıyoruzdur elbet ama ben bunun için
değil, en zorlu projelerde, bazen sadece kahramanlarda bulunabilecek bir
cesaretle yanımda oldukları için adlarını sayardım. Abdurrahman Pektaş, Ali
Dinçkan, Battal Özdemir, Deniz Demirel, Fatih Koç, Oktay Şahin ve Osman
Pamuk... işte benim kahramanlarım !
NGB:Güvenlik dünyasında en
fazla kullandığınız yazılım hangi?
Burak
Bayoğlu:Eski adıyla Ethereal, yeni adıyla Wireshark en çok
başvurduğum yazılım sanırım. Ne zaman lazım olsa en bakir bilgiyi en
kullanışlı şekilde hizmetime sunduğundan özel bir yeri vardır bende ;-)
NGB:Bilgi güvenliğiyle
ilgili hangi blog/sitelerin takibini önerirsiniz?
Burak
Bayoğlu:Aslında kaynak çok ama takip etmekten bahsedince liste
biraz daha kısalıyor benim için. (Türkçe içeriğe kıyak geçtim ;-) )
www.bilgiguvenligi.gov.tr
www.lifeoverip.net
www.beyazsapka.org
www.fazlamesai.net
www.securityfocus.com
www.schneier.com
http://isc.sans.org/
NGB:Tekrar seçme şansınız
olsaydı yine bilgi güvenliği alanını seçer miydiniz?
Burak Bayoğlu:Ne kadar geriye dönebileceğime
bağlı olarak değişir aslında. Eğer Bilgisayar Mühendisi olarak tekrar bir
tercihte bulunma şansım olsaydı cevabım “Evet”. Uzmanlaşılabilecek onca konu
arasında bilgi güvenliğini hala ilgi çekici bulurdum. Eğer daha geriye dönme
şansım olsaydı ve doktoraya kadar işi uzatacağımı bilseydim “kim okuyacak 10
sene” diye sormayı bırakıp beyin cerrahı olmak isteyebilirdim. Evimin
bahçesinde nefsimi köreltme imkanı bulabildiğim için klasik domates
yetiştiriciliği planlarını da hobi seviyesinde bırakmaya devam ederdim
herhalde ;-)
NGB: Zaman ayırarak
röportajımıza katıldığınız için
teşekkür ederiz.
 ETKİNLİKLER
[Güvenlik Eğitimleri
]
-Beyaz Şapkalı Hacker Eğitimi 3 Nisan 2010
http://www.guvenlikegitimleri.com/new/beyaz-sapkali-hacker-egitimi-3-nisan-2010
-Web uygulama güvenlik testleri eğitimi -13 Mart 2010
http://www.guvenlikegitimleri.com/new/web-uygulama-guvenlik-testleri-egitimi-13-mart-2010
[Yarışma]
-The Curious
Mr. X
http://forensicscontest.com/2010/02/03/puzzle-4-the-curious-mr-x
[Anket]
Türkiye’de
açık kaynak kodlu güvenlik yazılımlarının ne oranda ve ne kadar efektif
kullanıldığına dair bir araştırma anketi.
-Açık kaynak kodlu güvenlik yazılımı kullanıyor musunuz?
 DİKKAT ÇEKEN YAZILAR
-Bulut Bilişimi
(Cloud Computing) Teknolojisi ve Güncel Hukuki Problemler
http://www.bilisimhukuk.com/2010/02/bulut-bilisimi-cloud-computing-teknolojisi-ve-guncel-hukuki-problemler/
-SynCookie/SynProxy
ile korunan sistemlere yönelik port tarama
http://blog.lifeoverip.net/2010/02/16/syncookiesynproxy-ile-korunan-sistemlere-yonelik-port-tarama/
-2010 CWE/SANS
Top 25 Most Dangerous Programming Errors
http://cwe.mitre.org/top25/
-A Brief
History of Malware Obfuscation: Part 1 of 2
http://blogs.cisco.com/security/comments/a_brief_history_of_malware_obfuscation_part_1_of_2/
-Infrastructure
vs. Application Security Spending
http://jeremiahgrossman.blogspot.com/2010/02/infrastructure-vs-application-security.htm
-GreenSQL DB
Firewall ile Sql Injection Önlemi
http://www.syslogs.org/2010/02/greensql-db-firewall-ile-sql-injection-onlemi/
-Exploring the boundaries of IT security
http://www.net-security.org/article.php?id=1383
-Ubuntu 9.10 Üzerine Nessus 4.2 Kurulumu
http://www.syslogs.org/2010/02/ubuntu-9-10-uzerine-nessus-4-2-kurulumu/
-Cain&Abel ile Mitm Atağı ve Önleme
Yolları
http://www.itegitim.com/cain-abel/cainabel-ile-mitm/
-IP Source Guard
http://www.agciyiz.net/index.php/guvenlik/ip-source-guard/
-UNIX/Linux İşletim Sistemlerinde Adli Bilişim -
1
http://www.bilgiguvenligi.gov.tr/adli-analiz/unix-linux-isletim-sistemlerinde-adli-bilisim-1.html
-Hacking Oracle from the Web
http://7safe.com/assets/pdfs/Hacking_Oracle_From_Web_2.pdf
-Netfilter connlimit yapısı.
http://blog.csirt.ulakbim.gov.tr/?p=238
 İNSAN KAYNAKLARI
GÜVENLİK UZMANI
http://www.kariyer.net/jobsearch/jobdetail.kariyer?arn=&sid=&ilankodu=503756&ilId=143
GÜVENLİK UZMANI
http://www.kariyer.net/jobsearch/jobdetail.kariyer?arn=&sid=&ilankodu=483447&ilId=002
GÜVENLİK UZMANI
http://www.kariyer.net/jobsearch/jobdetail.kariyer?arn=&sid=&ilankodu=500511&ilId=144
Güvenlik
E-bülteni #22'e katkıda bulunanlar: Huzeyfe ÖNAL, Ömer ALBAYRAK
Güvenlik Bülteni Üyeliği
Güvenlik bültenini mail olarak almak isterseniz http://www.lifeoverip.net/newsletter/
adresine e-posta adresinizi bırakmanız yeterlidir.
Ağ Güvenliği( Netsec ) listesine üyeliğiniz varsa tekrar
bülten üyeliğine gerek yoktur, bültenler listeye gönderilecektir.
Eski Sayılar
Güvenlik bülteninin eski sayılarına http://www.lifeoverip.net/newsletter/
adresinden erişilebilir.
Bu sayıya  Sponsor olmuştur.
© Copyright(c)
2010 Lifeoverip.Net
.
|
