(ISC)² , International Information Systems Security Certification Consortium anlamına gelmektedir. (ISC)² ;  kar amacı gütmeyen, dünya üzerinde faaliyetlerini sürdüren bir kurumdur. Değerlerinden bazıları sarsılmaz güvenilirliği ve profesyonelliğidir.

The post 10 Soruda CISSP Sertifikasyonu first appeared on Complexity is the enemy of Security.

CISSP, bağımsız bir kuruluş olan ISC2 tarafından geliştirilen ve bilgi güvenliğinin tüm alanlarını kapsayan ileri seviye bir sertifikadır.
Zengin , ürün ve teknoloji bağımsız bakış açısı, ezbere dayalı olmayan içeriğiyle CISSP sertifikası günümüzde en geçerli bilgi güvenliği sertifikasyonu olarak bilinmektedir

CISSP® sertifikası, ANSI (American National Standards Institute) ISO (International Standards Organization) 17024:2003 standartına uygun ilk bilgi güvenliği sertifikasıdır.

The post CISSP Sertifikası Hazırlık Eğitimi first appeared on Complexity is the enemy of Security.

Bunun temel sebebi günümüzde –istisna sayılacak bir iki sertifikasyon programı hariç– sertifikaların belirli bir bilgi birikim sonrası bu birikimi ispat etme amaçlı belgeler yerine çalışılarak alınacak birer kağıt parçası konumuna düşmüş olmasıdır.

Amaç sertifika almak olunca içerik çok da önemli olmayabiliyor, amaç birşeyleri detaylı öğrenmek olunca sertifika daha değerli oluyor.

BGA olarak siz değerli okuyucularımızın kariyer planlarında sertifikasyonun önemini merak etmekteyiz.

Bu amaçla www.bga.com.tr adresinde bir anket açmış bulunmaktayız. Anket sonuçlarına göre Bilgi Güvenliği AKADEMİSİ eğitimleri içerisine bize gelen sertifikalı eğitim taleplerini de eklemeyi planlıyoruz.

The post Kariyer Planınızda Sertifikalar Ne Kadar Önemli? first appeared on Complexity is the enemy of Security.

Bu soruyu Güvenlik bülteninin her sayısında çeşitli uzman arkadaşlara soruyoruz ve oldukca çeşitli cevaplar geliyor, merak edenler sertifika programları hakkındaki sektörün ileri gelenleri tarafından verilen cevaplara röportajlar kısmından ulaşabilir.

Hayatın bir gerçek yüzü bir de yaşanan yüzü vardır, sertifikalara çeşitli açılardan eleştiri getirebilir, hatta gereksiz denilebilir ama sektörün büyük bir kısmında sertifikaların ciddi şekilde değerlendirmeye alındığı gerçeğini değiştiremeyiz. Özellikle herkesin ben herşeyi biliyorum dediği günümüzde  sertifikalar bilgi ölçme aracı olarak kullanılıyor.

Güvenlik sektöründe uzun yıllardır varlığını geliştirerek sürdürmüş çeşitli sertifikalar vardır. Bunların arasında en karizmatik, en fazla para yapanı hiç şüphesiz ISC2 tarafından verilen CISSP sertifikası.  Türkiye’de de bu sertifikaya olan ihtiyaç ve talep gün geçtikce artıyor. Çeşitli arkadaşlarla konuşurken her birinin Cissp ile ilgili çeşitli forum/listelere üye olduğunu gördüm. Değişik ortamlardan edindikleri bilgileri Türkçe olarak tartışmak, paylaşma adına CISSP-TR listesini kurmaya karar verdim.

Liste kısaca Türkiye’de  Cissp sınavına hazırlananlar için aşağıdaki işlevleri yerine getirme amacı taşımaktadır:

• Kaynak paylaşımı
• Sertifika sınavları hakkında tecrübe paylaşımı
• Çalışma gruplarının kurulması ve yönetimi
• Ücretli/ücretsiz eğitim duyurularının paylaşılması

Liste arşivi sadece üyelere açık olacaktır.

Üye olmak için:

[email protected]  adresine boş bir e-posta gönderebilir
ya da
http://groups.google.com/group/cissp-tr adresine giderek Google hesabınızla listeye kayıt olabilirsiniz.

 Liste yönetimi adına <Huzeyfe ÖNAL>

The post [CISSP-TR] Türkçe CISSP E-posta Listesi first appeared on Complexity is the enemy of Security.

NGB: Kısaca kendinizden bahsedebilir misiniz?

Kıvılcım HİNDİSTAN: Merhaba. Adım Kıvılcım Hindistan. Kadıköy Anadolu Lisesi ve ITÜ Mimarlık Fakültesi mezunuyum. Fazlamesai.net sitesinin kurucularından biriyim. Internet ve ahir zamanlarla alakalı herşey ilgimi çekiyor. Basketbol ve masa tenisi lisanslı olarak yaptığım sporlar. Özellikle Go ve Satranç başta olmak üzere her türlü strateji oyunu ilgimi çekiyor, şu anki gözdem DoTA. Yaklaşık on yıldır Bilgi Güvenliği üzerine çalışıyorum. Şu anda bir GSM firmasında Güvenlik Güvenceleme’den sorumlu müdür olarak çalışmaktayım.

NGB:Güvenlik işine nasıl bulaştınız?

Kıvılcım HİNDİSTAN: Güvenlik işine bulaşmam yaklaşık 25 yıl kadar öncesine dayanır. O zamanlar Ortaokul’da bir C-64’üm vardı ve Teleteknik’in çıkarttığı Commodore dergisinin fanatik takipçilerinden biriydim. Daha ortalarda modemler bile yok, akustik kupler (http://bit.ly/dMACi) denen cihazlardan bahsediliyordu. (Gerek teknik, gerek yapı itibariyle oldukça fetiş cihazlardır bunlar, Belki ilk Matrix filminden hatırlarsınız, Morpheus’un Neo’yu ilk Matrix’e soktuğu yerde, ahizeyi telefondan kaldırıp oturttuğu ve çevirmeli telefonda kendi kendine numaraları çeviren bir cihaz vardı) Derginin bir sayısında, CCC (Chaos Computer Club) isimli bir grubun birkaç tane C-64 kullanarak NASA’nın uydularının kontrolünü ele geçirdiklerinin haberi vardı. (http://bit.ly /1FlZCu). Deyim yerindeyse aklım başımdan gitti.

Düşünsenize, kasetten oyun yüklüyoruz daha takas (swap) dünyasını yeni keşfetmişiz, arkadaşlarımızdan aldığımız kasetleri kopyalayabilmek bile (kafa ayarı vs.) bir teknik meydan okuma, adamlar oturdukları yerden dünyanın öbür ucunda, muhtemelen dünyanın en gelişmiş bilgisayar sistemlerinden birine sızıyorlar. Dahası bunu tam da benim kullandığım bilgisayarla yapıyorlar. O gün bilişim güvenliği uzmanı olmaya karar verdim.

Zaten bir süredir MOS 6510 assembler programlıyordum, bu hevesle biraz daha yoğunlaştım. Hemen herkesin yaptığı gibi introlardaki yazıları değiştirmeye kastım falan. Ardından bir gün babam ısrarlarıma dayanamayıp bana bir Amiga aldı. Onla uğraşırken Angels diye bir Türk grubu olduğunu öğrendim, ekipten Doğan’a bir mektup yazdım, çok ilgilendi bana yardımcı oldu. Ardından Scene denen ortama dahil oldum, Titan, Ravel, Cooper, Dark derken Commodore ekibi ile tanıştım Mad, Prince, Master, Remix, Bloody, Chris ve diğerleri. 90’ların başlarında hem bilgisayar işinden para kazanır olmuştum hem de artık çok daha fazla bilgiye ulaşabiliyorduk. 92’de ile defa Phrack dergisi ile tanıştım hiç unutmuyorum 43. sayıydı (http://bit.ly/1hSf2L). Bilgisayarların yeraltı dünyasından bu kadar çok bilgiye bir anda sahip olmak başımı döndürdü.

Linux’u keşfettim

Çeşitli işler yapıp, okula devam ettim, bir yandan da artık PC kullanmaktaydım. Fakat Amiga’da sahip olduğum birçok lüksün (grafik arayüz, multitasking vs.) PC’de olmadığını görünce hayal kırıklığına uğradım. Dahası, PC’de Amiga’nın Fish diskleri gibi kurcalayabileceğim freeware yazılımlar da pek ortada yoktu. O sıralar bir Ankara yolculuğunda Linux’u keşfettim. Bunda garip bir şeyler vardı, Amiga’ya benzeyen. Başladım kurcalamaya. O günden bu yana da gerek masaüstünde gerek sunucularımda Linux kullanıyorum.

Profesyonel hayata atılış

1999 senesinde Gantek’in bir alt şirketi olan GanPro’da çalışan bir arkadaşım (Emre Sevinç a.k.a. FZ) bir SUN sistem admini arandığını, Linux bilen birisi olarak benim ilgimi çekip çekmeyeceğini sordu. İlgileniyorum dedim, gittim görüştüm. GanPro’nun başında Harun Tiftikçi vardı teknik taraftan da Arif Yalçın katıldı görüşmeye. Ben SUN hakkında pek bir şey bilmediğimi ama Linux kullandığımı söyleyince, Arif “Şimdiye kadar en teknik ne yaptın Linux’da?” diye sordu. Ben de “Ev arkadaşlarımın bilgisayarlarını IP Masqurading ile benim bilgisayarımdaki modem üstünden Internet’e bağladım” dedim. Beni işe aldılar.

GanPro o zamanlar çok elit bir ekipti, zaten 2000 senesi mantar gibi ISP kuruluyor, hemen hepsinde de bir şekilde ya Gantek’in ya GanPro’nun ilgisi var; Türkport, Tr.Net, Azeronline, Project X (daha sonra İxir olduğu açıklandı). Bu kurulumlarda, küçük büyük bir çok sistem adminliği işi yaptım. Bu sırada da güvenlikle ilgili ayrı birileri olmadığından “yahu bu sisteme birileri girerse, ederse” diye dert etmeye başladım. O zamanlar (ki hala da öyledir) Arif pir’imiz, boyumuzun yetmediği ne konu varsa ona soruyoruz. Ama cevap versin diye değil (çünkü vermez) alay da etse, terslese de bizi doğru yöne yönlendirsin diye.

Açıkcası bu süreçte GanPro ve Galaksi’de belli bir olgunluğa geldim. Bir yandan Linux dünyası da oldukça gelişti, başta güvenlik olmak üzere iş dünyasında bir çok alanda defacto işletim sistemi halini aldı. Dolayısıyla güvenlik de iyi bir sistem yöneticisinin doğal sorumluluklarından biri olduğu için bu alandaki bilgi ve tecrübem de gelişti. Ardından yavaş yavaş, başta BS 7799 olmak üzere InfoSec’in daha yüksek seviyeli alanları ile ilgilenmeye başladım.
Kısaca(!?) hikayem budur. Bu alanda ilerlememe başta Arif Yalçın ve Harun Tiftikçi olmak üzere Burak Sadıç’ın da çok önemli katkıları olmuştur.

NGB: Turkiye’de bilgi guvenligi konusunu degerlendirebilir misiniz

Kıvılcım HİNDİSTAN: Hep yaptığım bir benzetme var; bilgi güvenliği sektörü zor bir meydan okumanın parçası. Şöyle ki, ortada çok güzel alımlı bir kız var, bu şirketin ana faliyeti, bankacılık olabilir, telco olabilir, üretim olabilir. Bu kızın ebeveyinleri var, bunu da kabaca yönetim kurulu olarak düşünün. Sağlığından, gelişiminden, mutluluğundan sorumlular. Temel amaç da, kızın evlenip mutlu bir yuva kurması, yani ana faliyetini sürdürmesi.

Bizler ise -yine benzetmenin genişliğine sığınarak- bu kızın abileriyiz. Bizden istenen temel beklenti şu, “aman evladım dikkat edin de, kızın namusuna zeval gelmesin”. Öte yandan namusunu koruyacağız derken, olası hayırlı kısmetleri de korkutup kaçırmamak gerekiyor. Kısaca hem kızın namusunu koruyacağız hem de evde kalmaması için görünmez olmamız gerekiyor. Çünkü evde kalması namusuna zeval gelmesinden bile kötü kabul ediliyor
İşte böyle bir ikilem var.

Gereken önem veriliyor mu? Bence verilmiyor. Çünkü kızın namusunun kirlenmesi durumu birçok şirket için korkulan ama ne menem bir şey olduğu hakkında çok da fikir sahibi olunmayan bir olgu, nispeten soyut bir kavram. “Kim ne der, rezil oluruz!” dışında bir motivasyon yok. Sel bastığında çok endişelenmiyoruz da, sel büyük bir firmanın veri merkezine zarar verdiğinde endişeleniyoruz mesela.

Yabancı ülkelere göre neden gerideyiz?
Diğer birçok teknolojik ve süreçsel konuda neden gerideysek o yüzden. Çünkü başımıza gelmemiş ve onların tecrübelerini özümseyip, içselleştirerek, aynı hataları yapmamayı beceremiyoruz.

Çok güzel bir örnek Rekabet Hukuğu. Amerika Birleşik Devletleri 1890’larda ilk Rekabet Hukuğu yasasını onaylamış. Neden? Çünkü o sene bir petrol şirketi, çıkarlarına aykırı karar alan bir Amerikan Başkanı’na suikast düzenleyerek öldürtmüş! O zaman anlamışlar ki, şirketler sınır konulmadığı takdirde o kadar güçleniyorlar ki, önlerine çıkan engelleri, bir şekilde aşmanın yolunu buluyorlar, ama yasal ama yasadışı şekilde. Bizde ise 1990’larda gelmiş Rekabet Hukuğu.
Güvenlik de bu şekilde, çoğu zaman biz güvenlik uzmanlarına “evham yapıyorsunuz” gözü ile bakılıyor, çünkü işler yürüyor (ya da yürümeyen kısımları işin doğası olarak kabul etmişiz).

Bir başka güzel örnek de “fren”.

Komik gelebilir belki ama, insanlar “fren neye yarar?” gibi basit bir sorunun cevabını bilmiyorlar. “Fren durmaya yarar” ya da “Fren durdurur.” gibi cevaplar alıyorsunuz.
Şunu düşünün yolda giderken arabanız bozuldu, vites kutusu dağıldı ikinci vitesin üstüne çıkmıyor. Ne yaparsınız? Yavaş yavaş da olsa bir tamirciye ulaşmak için hareket ettirirsiniz arabayı değil mi? Peki frenler tutmaz hale gelirse? Muhtemelen direksiyon kırarak yavaşlar sonra da arabayı ilk ağaca yaslar, indikten sonra da tekerin altına taş koyarız.
Veya spor arabaları düşünün. Şu an gündelik binek arabalar bile 220-240 km/saat hız yapabilirken, gerçekten kaliteli frenler sadece spor arabalarda var.
Demek ki aslında “fren kontrollü ve hızlı gitmeye yarar”
Bizim bunları bilen üst yönetimlere ihtiyacımız var.

NGB: Bu ise yeni baslayanlara neler onerirsiniz?

Kıvılcım HİNDİSTAN: Şimdiye kadar bu konuda sağolsun, birçok arkadaş fikir sordu, hepsine de benzer şeyi söyledim.
Konu ne olursa olsun, en önemli etken heyecan. Heyecan, coşku yoksa ne bilginin, ne becerinin hiçbir anlamı kalmıyor. O yüzden ilk önerim, heyecan duydukları işi yapsınlar.
İkincisi de daha teknik bir öneri, bir şekilde GNU/Linux camiasına girsinler, gerek masaüstlerinde, gerek sunucularında bu işletim sistemlerini kullansınlar. Bunun sebebi fanboy olarak Linux’u ön plana çıkartmak ya da “Linux Windows’tan üstündür” diye kavganın parçası olmak değil kesinlikle.

Linux’un en önemli avantajı şu; ne yaparsanız yapın size teknik açıdan dürüst bir tepki verir. Ne yapacağını söylüyorsa onu yapar, ne eksik ne fazla ve ne yaptığı hakkındaki bilgiyi de ne detayda öğrenmek istiyorsanız o deteyda öğrenebilirsiniz. Ya dökümanında vardır, ya Freenode’da IRC’de bir kanalda o konuda konuşmak için can atan birileri sizi bekliyordur.
Yani bir işi sadece yapmak değil, aynı zamanda mekanikleri ile öğrenmek istiyorsanız Linux size imkan tanır.

Herhangi bir Linux başlangıç noktası olabilir ama şahsi tercihim Debian ya da Ubuntu kullanmanız. Hem kullanıcı tabanının genişliği, hem de arkalarındaki destek açısından bu iki dağıtım diğerlerinden ayrılıyorlar.

Bir de “Linux ile Internet’i paylaştırdım evde” derseniz işe alıyorlar adamı

Freenode IRC sunucusu, başta özgür yazılımlar olmak üzere bir çok teknik konuda en iyi bilgi alınabilecek yerlerden biri, şiddetle öneriyorum.
Life over IP güzel bir site mesela Gündemi takip etmek açısından iyi.
Sertan’ın blogu http://onalti.blogspot.com/ yine benzer şekilde güzel yerlerden biri. Bilgiguvenligi.org keza öyle.

NGB: Sizce 2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor olacak?

Kıvılcım HİNDİSTAN: Şu an IT Güvenliği ile bu kadar çok uğraşıyoruz, çünkü ciddi şekilde canımız yanıyor. Fakat buradaki problemlerin birçoğu artık insan gözünün, algısının üstünde. Bu sebeple, özellikle davranış temelli saldırı tespit sistemlerinin gelişmesi akıllanması ile ve uyumluluk çalışmlarınının belli bir olgunluğa gelmesi ile bu alan gittikçe ölgünleşecek.
Bence 2015 yılında Bilgi Güvenliği, denetim ve servis seviyesi anlaşmaları bölümleri ile birlikte kurumların kendi bünyelerinde barındırdıkları son birkaç bölümden biri olacak. Klasik IT güvenliği diye bahsedilen Bilgi Güvenliği servislerinin (güvenlik cihazları konfigürasyonu, operasyonu başta olmak üzere) 2015’ten önce %100 dış kaynak kullanımına kayacaklar.

Şu anda ne kurumlar ne de servis sağlayıcılar bu tür yönetilen güvenlik servisleri konusunda olgunlaşmış durumda. Samimi düşüncem şu an güvenlik servislerinin pek yönetilebilir olduğunu düşünmüyorum. Elimizde bir fener zifiri karanlık bir ortamda fare arıyoruz. Belki zaman içinde fenerin gücü artıyor olabilir ama odaya da devamlı yeni eşyalar koyuyorlar. Bu yüzden fareleri bulmak gittikçe daha zor bir iş halini alıyor.
Benzetmeyi zorlarsak biraz, önümüzdeki beş yılda odaya konan eşyaların kendi aydınlatmalarının olacağını düşünüyoruz diyebiliriz, çünkü gidişat o yönde. Microsoft gibi dev bir firma, birincil önceliği güvenliğe verdiyse ve şu anki stratejilerinin büyük bir kısmını güvenlikten referans alarak tanımlıyorsa, bu bazı anlayışların değiştiğini gösterir.

Dolayısıyla 2015 yılında çok az firmanın IT güvenlik personeli barındıracağını, güvenlikle ilgili servis vermeyen firmalardaki güvenlik organizasyonunun tamamen dış kaynakları kontrol altında tutmak, onlardan beklenen hizmeti almaya odaklanacağını söyleyebiliriz.
IT Güvenliği problemini belli bir seviyeye kadar çözdükten sonra artık daha üst seviyeden konulara bakabilir olacağız. Bu da bizlerin daha stratejik kararlar verebilmek için önümüzü açacak.
Ben geleceğin Kurumsal Risk Yönetimi (ERM)’de yattığını düşünüyorum. ERM’i kabaca üç bacaklı bir yapı olarak ele alırsak; Operasyon, Finans ve Güvenlik üçgenine baktığımızda en zayıf kısmın güvenlik olduğunu görüyoruz. Malum Finans’ın elinde güç var, Operasyon zaten herşeyi işleten fakat mevcut yapısıyla güvenlik daha belirsiz bir noktada kalıyor. Zira ölçütleri (KPI’ları) hala oturmuş değil. Fakat önümüzdeki yıllarda güvenliğin ERM’deki ağırlığının artacağını ve eş düzey bir oyuncu olacağını düşünüyorum.

NGB: Güvenlik sertifikaları konusuna ne düşünüyorsunuz?

Kıvılcım HİNDİSTAN: Şahsen ürün ve ürün temelli sertifikalara karşıyım. Bunlar üreticilerin kendi selametleri için ön plana çıkarttıkları sertifikalar olmalı, ayrı bir pazar halini alması bir çıkar çatışması doğuruyor.
Bunun dışında bağımsız otoritelerin güvenlik bilgi/görgüsünü onayladıkları sertifikaları destekliyorum. SANS, ISC2, ISACA gayet olgun kuruluşlar ve değişik seviyelerde güvenliğin yönetilebilir kılınması için ciddi çalışmalar yapıyorlar.
Öte yandan unutulmaması gereken en önemli kıstas, sertifikaların bir fotoğraf olduğunu unutmamak. Bunlara belli bir anlayışa gelmiş birisi olmanın belgesi olarak bakmak ve daha ileri gitmeye çalışmak lazım. Yoksa eski fotoğraflara bakıp, o zamanlara geri dönmek isteyen kişilere benzeriz.
Dolayısıyla GIAC, CISA, CISSP, ISO 27001 Auditor ve benzeri sertifikalar tabi ki oldukça değerliler. Fakat en önemli değerleri, karşınızdaki kişinin belli bir anlayışta, belli bir seviyede bilgiye sahip olduğunu varsayarak kuracağınız iletişimin zeminini belirlemek açısından. Yoksa bu sertifikalara sahip ama konuya oldukça uzak da çok insan gördük.

NGB: Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

Kıvılcım HİNDİSTAN: En kritik güvenlik problemi bence farkındalık eksikliği. Dediğim gibi başta IT olmak üzere o kadar çok operasyonal güvenlik problemlerine gömülmüş durumdayız ki, insanların güvenliği sahiplenmediği takdirde yaptıklarımızın sadece basit teknik detaylar olarak kaldığını unutuyoruz.

Bir başka kritik güvenlik probleminin de işgüzar güvenlik personeli olduğunu düşünüyorum. Güvenliğin en önemli gücü, haklı olmasında yatar bence. İnsanlar bir güvenlik önlemini uyguluyorlarsa buna hak vererek, onu haklı bularak uygulamalıdırlar. Aksi takdirde etrafından dolaşmaya, güvenliği uyutmaya çalışırlar ki, uzun vadede bu güvenliğin kesinlikle kazanamayacağı bir mücadeledir, dahası en çok da şirkete zarar verir. Bu yüzden güvenlik personelinin bir önlemi neden aldığını önce kendisi çok iyi bilmeli, daha sonra bunu çok iyi anlatabilmelidir.

NGB: Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitalpların okunmasını tavsiye edersiniz?

Kıvılcım HİNDİSTAN: Ben Kevin Mitnick’in Art of Deception kitabını okudum. Aldatma Sanatı adı altında Türkçe’ye de çevrildi sanırım ODTÜ yayınlarından.
Güvenliğin en zayıf (ve en önemli) halkasının insan olduğunu, insanı bir parçası yapmadığınız mekanik güvenlik prosedürlerinin ne kadar zayıf olduğunu anlatması açısından çok çok önemli.
Belki kurgu olması açısından insanlar hafife alabilir ama Neal Stephenson’ın Snowcrash ve Cryptonomicon kitaplarını da şiddetle öneririm.

NGB: Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı

Kıvılcım HİNDİSTAN: Açıkcası benim bu alandaki kahramanım, bu alandan olmayan birisi Bilgi Güvenliği konusunda bana en çok ilham veren, tabiri yerindeyse ufkumu açan kişi yazar William Gibson’dır. 1984’de Matrix terimin ilk ortaya atan Gibson, çok yaratıcı, çok engin bir zekaya sahip ve bunu yüz yıl kadar önce Jules Verne’in yaptığı derecede güçlü bir şekilde 21. yüzyılın haritasını oluşturmakta kullanıyor. Özellikle “No Maps for these territories” diye bir belgeseli var mutlaka izlemenizi isterim.
Sektöre dönersek, Bruce Schneier ve Dan Kaminsky isimleri ön plana çıkıyor. Schneier hem teori hem de pratikte büyük bir üstat. Kaminsky ise sanırım şu an Internet’in altyapısını en iyi anlayan kişilerden biri. Hani hidayete erdikten sonra Neo bütün çevresini Matrix’in akışları olarak görmeye başlıyor ya, sanırım Kaminsky’de bizim www dediğimiz şeye benzer bir gözle bakıyor.

NGB: Güvenlik dünyasında en fazla kullandığınız/sevdiğiniz yazılım hangisidir?

Kıvılcım HİNDİSTAN: Sanırım tek bir yazılım diye sorsanız netcat (http://bit.ly/2O1zsZ)derim. Ama birkaç şansım olsa, hping nmap, snort ve iptables’ı da unutmamak lazım. Bu yazılımların ortak özellikleri (ki hepsi Netcat’de toplanmıştır) Unix yaşam tarzını yansıtmaları, yani belli bazı işleri çok elementer olarak yapmaları.

Bir yazılım sizin tarafınızdan yazılmadıysa, sizin tam olarak ne ihtiyacınız olduğunu çok iyi bilemez. İkinci en iyi ihtimal, yazılımın basit temel bazı işleri yapması ve diğer yazılımlarla uyumlu çalışabileceği bir ortama sahip olmasıdır. Bu sayede siz istediğinizi yapabilirsiniz.

NGB:Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?

Kıvılcım HİNDİSTAN: Hiç düşünmeden.

NGB: Zaman ayırarak röportajımıza katıldığınız için teşekkür ederiz.

The post Güvenlik Röportajları #8 – Kıvılcım HİNDİSTAN first appeared on Complexity is the enemy of Security.

NGB: Kısaca kendinizden bahsedebilir misiniz?

Burak DAYIOĞLU: Hacettepe Bilgisayar Muhendisligi bolumunu 1998’de bitirdim, 2002’de ODTU Bilgisayar Muhendisligi’nden yuksek lisans derecesi aldim, o zaman bu zaman da yine ODTU Bilgisayar Muhendisligi’nde doktora calismalarini surduruyorum. Doktorayi bitirebilecegimi sanmiyorum. 1994’ten beri guvenlik konusunda kendimi gelistirmeye calisiyorum, 1995’ten beri guvenlik ile ilgili islerinden gelir elde ediyorum.

Guvenligin pek cok farkli alaninda calistim, bu acidan cesitliligin deger kattigini dusunuyorum. Kariyerimin baslarinda ag ve sistem guvenligi konusu revactaydi ben de o konuda epey calistim. Penetrasyon testleri ve guvenligin genel olarak daha BT odakli konulari ana ilgi alanimdi. Yuksek lisans tezim saldiri tespit sistemlerinin durumsal bilgilerinin arttirilmasi ile ilgiliydi. 2000’lerin basindan itibaren yazilim gelistirme sureclerinin guvenligi ile ilgilenmeye basladim; bu konunun oldukca onemli oldugunu dusunuyorum. 2005’ten bu yana da bilgi guvenligi yonetimi konusunda calismaya basladim. 2009’un basindan bu yana is surekliligi yonetimi ve ilgili BT konulari ile ilgili calismalar da yapiyorum.
 
2002’de Pro-G Bilisim Guvenligi’nin kurulusundan itibaren icinde yer aldim. 2009 Eylul’unden beri de Symantec’in Turkiye’deki danismanlik organizasyonunda danismanlik proje yoneticisi olarak calisiyorum.

Bilgisayar basinda olmadigimda vaktimi buyuk oranda iki konu icin harciyorum; cocuklarim ve kitaplarim. Iki oglum var ve onlarla vakit gecirmekten cok buyuk keyif aliyorum. Kitap konusu ayri bir tutku, herhangi bir anda 3-5 tanesini paralel okumaya bayiliyorum. Su anda Good to Great, Black Swan, New School of Information Security ve Sail’i okuyorum.

NGB:Güvenlik işine nasıl bulaştınız?

Burak DAYIOĞLU:  Bilgisayar basina ilkokul 4. sinifta oturdum, orta okulda yazilim isinden para kazaniyordum. Daha lisedeyken hedefim ya network’cu ya da “guvenlikci” olmakti; tumuyle bu islerin “havali” olmasindan kaynaklaniyordu. Guvenlik isini yapmaktan cok memnunum cunku herhangi bir konunun guvenliginden soz etmek icin once o konuyu cok iyi bilmeye ihtiyac var ve ben calisip ogrenmeye bayiliyorum; ogrenecek konu hic bitmiyor. Gercekten cok calisiyorsaniz daha kolay sivrilebileceginiz bir alan oldugunu dusunuyorum, sanirim ben bunun icin tercih ettim.
NGB: Turkiye’de bilgi guvenligi konusunu degerlendirebilir misiniz

 Burak DAYIOĞLU: Ne cok iyi ne de cok kotu durumda oldugumuzu dusunuyorum. Bu bir kulturel donusum konusu, bizden daha ileride oldugunu dusundugumuz ulkeler sadece bu kulturel donusumu daha once yasadi bence. Tatsiz ornekler bu turden kulturel donusumleri hizlandiriyor, bizde musteri bilgileri calinan bir buyuk supermarket ve is surekliligi problemi yasayan bir kac buyuk firma disinda hemen akla gelen buyuk ornekler henuz yok. Bu turden ornekler konuya dikkat cekiyor, hizin artmasina katki sagliyor.

Her durumda guvenlik konusu patron ajandasina girmek icin zor konu; yatirimin geri donusunu gostermenin zor oldugu her alanda oldugu gibi guvenlik konusunda da zorlanmamizin dogal oldugunu dusunuyorum.
NGB: Bu ise yeni baslayanlara neler onerirsiniz?

Burak DAYIOĞLU: Guvenlikten once “neyin guvenligi” icin calismayi planliyorlarsa o konuyu cok iyi ogrenmelerini (acele etmemelerini) oneririm. Guvenlik konusuna baslangic icin Ross Anderson’in Security Engineering kitabi nefis bir baslangic olurdu. Sanirim bu kitabin bir surumu Internet uzerinden ucretsiz de download edilebiliyor.

NGB: Sizce 2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor olacak?

Burak DAYIOĞLU: Bu ara okudugum kitaplardan birisinin adi Black Swan; yazar temel olarak bu turden gelecek kestirimlerinde bulunan uzmanlarin “üfledigini” (konudan bi haber oldugunu ama cok iyi biliyormus gibi “kesebildigini”) anlatiyor. Kesin eksik ve hatali cikacaktir ama yazilim guvenliginin, bilgi guvenligi olgunluk modellerinin, guvenlik olcumleme konusunun onemli olacagini dusunuyorum.

NGB: Güvenlik sertifikaları konusuna ne düşünüyorsunuz?

Burak DAYIOĞLU: Ben sertifikalarin faydali oldugunu dusunuyorum; en azindan karsinizdakinin bir sertifikayi alacak kadar konuya ilgi gosterdigini gormenizi sagliyor. Sertifika sahibi 10 kisiyi yan yana koyunca cok farkli birikim duzeyleri gosterecegine de suphe duymuyorum ama yine de birikim gelistirmek icin faydali olduklarini dusunuyorum. Bu faydasinin yaninda kartvizitte guzel durduklari, is bulma kolayligi sagladiklari da acik.

Bence ISC2 ve ISACA sertifikalari dunya capinda en populerleri; CISSP, CSSLP, CISA, CISM sertifikalarini onerebilirim.

NGB: Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

Burak DAYIOĞLU:  En ciddi guvenlik problemlerimiz insanla ilgili olanlar. Teknik olanlar bir sekilde cozuluyor ama konusu insan olan problemleri cozmekte cok zorlaniyoruz; egitim sart.

NGB: Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitapların okunmasını tavsiye edersiniz?

Burak DAYIOĞLU:  Su anda New School of Information Security’i okuyorum. Sorunun diger kismi zor; ne calismak istediginize bagli olarak cok degisir. Hacking Exposed serisi, CounterHack, Practical Unix and Information Security, Network Intrusion Detection (Northcutt), Writing Secure Code ilk aklima gelen BT guvenligi kitaplari.

NGB: Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı

Burak DAYIOĞLU: Ornek aldigim tek bir kisi yok; hayran olduklarimdan birisi Adam Shostack; konulara cok farkli acilardan bakabiliyor, siradisi oldugunu dusunuyorum. http://www.emergentchaos.com/ adresindeki blog’unu izlemenizi oneririm.

NGB: Güvenlik dünyasında en fazla kullandığınız/sevdiğiniz  yazılım hangisidir?

Burak DAYIOĞLU: En yogun kullandigim yazilim Microsoft Word. Ne yaparsam yapayim is sonunda bir sekilde raporlamaya donuyor. En sevdigim yazilim nmap, bir amuda kalkmadigi kaldi, onu da yaparlarsa tam olacak.

NGB: Zaman ayırarak röportajımıza katıldığınız için  teşekkür ederiz.

The post Güvenlik Röportajları #7 Burak DAYIOĞLU first appeared on Complexity is the enemy of Security.