iso_sanayi-dergi

The post İSO(İstanbul Sanayi Odası) Sanayi Dergisi Röportajım first appeared on Complexity is the enemy of Security.

Güvenlik kahvesinin bu haftaki konuğu Huzeyfe ÖNAL. Kendisi ile her zaman gündemde olan DDoS (Denial-of-service attack) konusunu konuştuk.

NGB:Bilişimcilerin özellikle son zamanlarda aşina olduğu bir kavram var: DOS/DDoS. Hep duyarız. Siz nasıl tanımlıyorsunuz bu kavramları? Nedir ne değildir?

Huzeyfe ÖNAL: DoS/DdoS saldırıları aslında yeni karşılaştığımız bir saldırı türü değil, 90’lı yıllarda çıktığından beri dönem dönem kendisini hatırlatan bir saldırı yöntemi. Aslında bilgi güvenliğini oluşturan temel bileşenlere bakıldığında bilginin erişilebilir olması güvenlik için temel şartlardandır. DdoS saldırıları bilgi güvenliğine ait en önemli katman olan erişilebilirliği hedef alır .

NGB:Söylediğiniz kadar etkili ve kötü bir silah mıdır DDoS?

Huzeyfe ÖNAL: Evet, erişilebilir olmayan bir bilginin güvenliğini sağlamak zorunda kalmayız.  Genellikle erişilebilirlik hep unutulur veya tüm senaryolar, tüm güvenlik önlemleri bilginin erişilebilir olduğu düşünülerek alınır. Oysa en temel problem bilginin erişilelemez olmasıdır ve malesef ki DdoS saldırıları bu amaç için sıkça kullanılır.

NGB: Peki şu ataklar olursa DOS/DDoS ‘tur , eğer olmazsa değildir gibi keskin çizgilerle ayırmak mümkün müdür?

Huzeyfe ÖNAL: Eğer bir işlem sonucunda sistem erişilemez hale geliyorsa buna DoS diyebiliriz. Yapılan illa saldırı olmasına gerek yok, bir programcının yapacağı basit bile  –eğer sistemde gerekli önlemler alınmamışsa- sistemin çalışamaz hale gelmesine sebep olabilir. Dolayısıyla DDOS/DOS saldırılarını diğer saldırılardan ayırt etmek için tek şey kullanıyoruz oda sistemin saldırı sonrası erişilebilir olup olmaması.

NGB: DOS/DDoS atakları kendi içinde kategorilere ayrılıyor mu yoksa hepsi tek tip olarak mı yapılıyor? Çeşitlendirme yapmak mümkün mü?

Huzeyfe ÖNAL: Her saldırı tipi kendi arasında kategorilendirilebilir. DdoS saldırılarında da piyasada çok bilinen, sık tercih edilen ve az bilinen saldırı tipleri olarak ikiye ayırmak mümkündür. Bilinen ve sık tercih edilen saldırı tiplerine örnek olarak syn flood, udp flood, http get flood verebiliriz. Az bilinen ve daha çok bilgi, beceri ve kaynak isteyen saldırı tiplerine de dns amplification saldırılarını örnek olarak verebiliriz.

NGB: DOS/DDoS ‘ları mevcut güvenlik sistemlerimizle (firewall,IDS/IPS, Linux,vs…) tamamen önlememiz mümkün mü?

Huzeyfe ÖNAL: Bilişim sektöründe kesin ifadeleri kullanmak ancak bilgi ve tecrübe eksikliğinden kaynaklanır. Bir sistem hiç bir zaman kırılamaz değildir, aynı şekilde her sistem de kırılacak diye kesin bir ifade kullanamayız. Saldırının tipine, şiddetine,  sahip olduğunuz bant genişliğine ve kullandığınız donanım/yazılıma bağlı olarak saldırılar engellenebilir veya engellenemez.

Mesela SYN flood saldırılarına karşı çoğu sistem syn cookie veya syn proxy özelliğine sahiptir. Eğer gelen saldırı çok şiddetli değilse ve SYN flood tipindeyse siz belirli orana kadar bu saldırıları ek çaa gerektirmeden bu özellikleri aktif ederek engelleyebilirsiniz. Ama gelen saldırı sizin bant genişliğinizden yüksek veya güvenlik sistemlerinizin kapasitesinden yüksekse o saldırı karşısında kuracağınız çoğu sistem işlevsiz kalacaktır.

NGB:O zaman şöyle klasik bir durum ortaya çıkıyor. Doğru bilinen yanlışlar var. Bunları sıralayabilir misiniz?

Huzeyfe ÖNAL: DdoS konusunda doğru bilinen yanlışlar fazlasıyla var. Bunun temel sebebi ddos konusunun efsanevi olarak kulaktan kulağa yayılarak öğrenilmesi ve genelleme ifadelerin kullanılması. DdoS denildiğinde hiç yoktan 10-15 adet saldırı tipi akla gelir, bir sistemin DdoS’u engelliyor demesi için bu saldırı tiplerinin hepsine karşı çözüm içermesi gerekir.

Doğru bilinen yanlış(eksiklikleri)ları kısaca sayacak olursak:

• Linux sistemler DdoS’a karşı dayanıklıdır
• Bizim güvenlik duvarı DdoS’u engelliyor
• Bizim Saldırı Engelleme Sistemi DdoS’u engelliyor.
• DdoS saldırıları engellenemez
• HTTP GET flood saldırılarında IP spoofing yapılabilir

NGB:Klasik savunma yaklaşımlarının çok etkili olmadığı bu saldırı tipine karşı önlem almada en temel amaçlar neler olmalı sizce?

Huzeyfe ÖNAL: En temel önlem bu işe hazırlıklı olmaktır. Yoksa ne kadar iyi sistem kullanırsanız kullanın bir işe yaramaz. Bunun örneklerini hem Türkiye’den hem de dünyadan fazlasıyla verebiliriz.  Eğer DdoS saldırıları hakkında kulaktan dolma bilgilerin ötesine geçip, altyapınızı iyi çıkarıp bir saldırı esnasında neler yapılacağını bir prosedüre dökerseniz en ciddi saldırılarda bile ayakta kalma şansınız olur. Bu prosedürü dökebilmek için ağ altyapısının iyi bilinmesi, hizmet alınan ISP’deki iletişimlerin iyi kullanılması , TCP/IP bilgisi mutlaka gerekmektedir. Yoksa kağıt üzerinde güzel duran ama gerçekte işlemeyen bir prosedür olur.

Prosedür sonrası yapılacak ilk işlemlerden birisi teknik olarak kapasitenin ölçülmesi, altyapının buna göre –gerekiyorsa- tekrar dizayn edilmesi ve güçlü sistemlerin kullanılması olmalıdır. DdoS saldırıları genellikle oturum bilgisi tutan sistemlerde daha fazla işe yarar. Dolayısıyla oturum bilgisi tutan (TCP/UDP) tüm sistemlerin dökümantasyonları dikkatlice okunarak iyileştirmeler yapılmalıdır.

NGB: Bir DOS/DDoS saldırısı önlenmez ya da engellenmezse bu bize hangi anlamda yansır?

Huzeyfe ÖNAL: Prestij, maddi kayıplar, stres. Çok uzapa gitmeye gerek yok, Türkiye’de DdoS yüzünden hizmet veremeyip 3 günde 200.000 TL kaybeden şirketler biliyorum.

NGB: Bu durumda Türkiye’de bu saldırı türüne karşı önlem almalar ve bilinç açısında durum nedir? Yeterince ciddiye alıyor mu kurumlar?

Huzeyfe ÖNAL: Sadece Türkiye’de değil dünyanın çoğu ülkesinde DdoS saldırıları çok ciddiye alınmamaktadır. Bunun sebebi aslında her gün karşılaşılan bir saldırı tipi olmamasından ve insanların DDOS’u çözümsüz bir saldırı olarak bilmesinden.  Türkiye online işlem hacmini en hıslı arttıran ülkelerden birisi ama malesef ki online işlem servislerinde alınan güvenlik önlemlerinin çoğu bilginin/servisin gizliliğine yönelik, bilginin/servisin erişilebilir olup olmadığı genelde yaşanan kötü tecrüneler sonrası değerlendirilmekte.

NGB:Günümüz DOS/DDoS saldırıları çeşitlerine örnekler verebilir misiniz?

Huzeyfe ÖNAL: 2009-2010 yılları arasında ek sık karşılaşılan DdoS saldırıları: Syn flood, udp flood, icmp flood, http get flood ve dns flood .

NGB: Peki sizin kullanmış olduğunuz özel araçlar/sistemler var mı? Önereceğiniz ya da tavsiyede bulunabileceğiz araçlar var mı?

Huzeyfe ÖNAL: Ticari olarak DdoS’u engelleyen çok sistem var(ddos engellediğini iddia eden diyelim). Eğer iyi yapılandırılırsa bu sistemler belirli oranda ddos saldırılarına karşı çözüm olabilir. Ama burada anahtar kelime “iyi yapılandırılabilirse”. İyi yapılandırmak tamamen TCP/IP bilgisine ve ağ alt yapısınınhakimiyetine bağlıdır.

NGB: Son olarak hem DOS/DDoS  özelinde hem de genel anlamda güvenlik dünyasında dikkat çekmek istediğiniz konu ve tavsiyeleriniz nelerdir?

Huzeyfe ÖNAL: DdoS saldırıları bilgi güvenliği projelerinin, ötesinde tüm online projelerin en önemli bacağını oluşturur.  Bu bilinçle hareket eden yöneticiler sürprizlerle karşılaşmazlar, en ciddi saldırıda bile ne olacağını ve buna karşı neler yapılacağını daha önceden çıkarmışlardır. Geriye adım adım uygulamak kalır.

Benim tavsiyem güvenlik konusunda bir iş, proje yapmadan bunun gerçekten bilgi güvenliğine ne kadar uygun olduğunun ölçülmesi, kullanılacaksa ticari yazılımların mutlaka ciddi testlerden geçirilmesi ve ona göre karar verilmesi.

Burada bir nokta daha ön plana çıkıyor: ülkemizde teknik kapasitesi yüksek eleman sayısı çok az, bu kapasiteye sahip olanlar ya olmaları gereken yerlerde iş bulamıyorlar ya da daha iyi imkanlar sağladığı içib yöneticilik hevesiyle teknik çalışmalarını bırakıyorlar. Teknik olarak çalışan elemanların ek üstünde tutulmadığı bir ortamın ileriye doğru emin adımlarla gitmesi şans olur.

NGB: Röportajımıza vermiş olduğunuz samimi cevaplardan ve bizi kabul etmenizden dolayı teşekkür ederiz.

The post Güvenlik Röportajları #27 “Huzeyfe ÖNAL” first appeared on Complexity is the enemy of Security.

Üst not: Bazı arkadaşlardan  niye böyle underground işler yapan insanlarla röportaj yapıyorsunuz şeklinde şikayetler geldi.  Araştırma ekibinin yaptığı işler, yapış yöntemleri vs tartışılabilir(tartışılmayan ne var  ki?) ama bizim amacımız Türkiye’de bilgi güvenliği üzerine (özellikle  ileri seviye teknik konularda) çalışma yapan ve bunu bir şekilde paylaşan herkesi tanımak, tanıtmak ve fikirlerinden herkesin istifade etmesini sağlamaktır.  Beğenmezseniz fikirlerini okumazsınız:)

Bu ülkede benim ilgi alanıma giren(güvenlik) kim olursa olsun ilk adımı atarım, desteklerim, bu konuda benimle %100 zıt düşünüyorsa bile ben fikirlerini  söylemesini desteklerim . Yaptığı iş kanunlara göre yasaksa yaptığı işi değil, bilgisini ön plana çıkararak faydalanmaya çalışır, başkalarının da faydalanmasına yardımcı olurum.

Kısacası karşımdakinin ne olduğuna değil, güvenlik konusunda ne yaptığına bakarım. Bu arkadaşlar da Türkiye’deki güvenlik sektörünün farklı alanlarında başarılı çalışmalar yapan kişiler, bu röportaj da onların güvenliği olan bakış açısı. Buyrun buradan…

NGB:Kısaca kendinizden (grubunuzdan) bahsedebilir misiniz?

Hellcode Research, uluslararası bir organizasyondur, ticari kaygıları olmayan informasyon güvenliği alanında hobi amaçli veya profesyonel anlamda bu işle ilgilenen her ülkeden her statuden kişiler tarafından kurulmuştur.Genel olarak “uygulama güvenliği” alanında çalışmaları olsa da bilgi güvenliğinin her alanına ilgi duyan bir ekiptir.

Hellcode Research, farklı dallarda eğitim görmüş ve konuya ilgi duyan her meslekten insanı bir araya getirmiştir.

Dünya’nın her yerinden, düzenlenen konferanslara konuşmacı olarak davet almış ve bu platformlarda araştırmalarını paylaşmıştır.Son olarak Polonya’da (Confidence) düzenlenen bir konferansta bilişim güvenliği alanında önemli isimlerle (örneğin, IOActive – Dan Kaminsky, ImmunitySec – Sebastian Fernandez, Zynamics – Vincenzo Iozzo) birlikte konuşmacı olarak davet almış ve sunumlar yapmıştır.

Hellcode Research, Türkiye sınırları içerisinde “üzülerek söylüyoruz ki” bu tip davetler almamıştır.

Tüm bu teknik konular dışında, aramızda başta müzik olmak üzere çeşitli sanat ve spor dallarıyla (i know kung-fu) uğraşanlardan tutun kız arkadaşlarıyla olan problemlerini çözememeyi kendine hobi edinmiş kişilerde vardır

NGB:Güvenlik işine nasıl bulaştınız?

Hellcode Research, güvenlik işine farklı sebeplerle ve yollarla bulaşmış insanları bünyesinde barındırır, ama hepsinin ortak ve klasik cevabı meraktır.
NGB:Türkiye’de bilgi güvenligi konusunu değerlendirebilir misiniz?

Hellcode Research, bilgi güvenliğinin Türkiye’de bir butun olarak algılandığını düşünmüyor. Şirketlerin, bilgi güvenliğinin network güvenliğinden ibaret olduğunu düşünen IT Departman müdürlerine sahip olduğunu “Hellcode Research” olarak birebir gördük.

Yabancılara göre neden daha geride olduğumuz sorusuna, yetkin isimlerin gereken noktalarda olmadığı gerçeği cevap olarak görülebilir. Durum böyle olunca, bu kişiler olayın ciddiyetini ve zorunluluğunu kurum yöneticilerine aktarmakta zorluk çekiyorlar.

Örneğin, özel bir bankanın IT departman müdürü ile yaptığımız görüşmede kendilerinin bir güvenlik uzmanından beklentilerinin sadece network düzeyinde olduğunu ve uygulama güvenliğinin Türkiye’de 5 sene sonra önem kazanabileceği cevabı kurumların bu konu uzerine farkındalıklarının neden yabancı ülkelerden daha geride olduğu konusuna net bir cevaptır.

NGB:Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?

Türkiye’de uluslararası düzeyde güvenlik yazılımları/donanımları üretme kabiliyetine mevcut düzen içerisinde hiç bir kuruluşun yeterli olduğuna inanmıyoruz, bu tip bir kaç girişim oldu fakat yanliş kişilerin elinden yanlış ürünler çıktı, eğer firmalar doğru kişileri doğru yerlerde ararlarsa başarı da beraberinde gelecektir.Dışarı bağımlı olunması konusunun ticari anlamda olduğunu düsünüyoruz, güvenlik anlamında dışa bağımlılığın önem arz ettiği konusunda olumlu fikirlerimiz yok, buna bağlı olarak gerekli olup olmadığı ticari bir sorudur.

Eğitim kurumlarında bunun ders olarak okutulmasının da hiç bir önem arz etmediğini Türkiye’de bilgisayar mühendislerinin durumuna bakarak anlayabiliriz.

NGB:Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

Farkındalığın artması, güvenliğin çeşitli dallarıyla birlikte bir bütün olduğunun anlaşılması.

Sadece ağ güvenliği ile ilgilenen biri, sistem üzerindeki uygulamaların kullanıcılar için ne tür riskler taşıdığını bilemezler. Örneğin bir IDS’nin uygulamada ki zaafiyetler sayesinde nasıl by-pass edileceğini çoğu zaman bilemezler veya ceşitli büyük çapta yazılımları (Apache, IIS)exploit etmek zor olabilir fakat yazılımlar ile senkronize çalışabilecek 3. parti yazılımların taşıdığı riski analiz edemeyen bir güvenlik uzmanı olamaz.Bu nedenden dolayı bizler, Türkiye’de malesef “güvenlik uzmanı” etiketiyle çalışanların bir çoğunun aslında olması gerektiği gibi olan sistemciler olduklarını düşünüyoruz.

Kısacası bu tip risklerin tamamiyle ele alınması gerektiğini, insanlara veya kurumlara aktarılması yine gerçek güvenlik uzmanları, vizyon sahibi insanlar ve örneklendirilmiş sorunların analizini iyi yapabilen ve bunu potansiyel risk olarak tanımlayan kişilerce yapılmalıdır. Wake Up Community !

NGB:Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?

Hellcode Research, böyle bir kurumun statüsünün ne olabileceği konusunda herhangi bir fikre sahip değil.Örneğin, TR-CERT’i ele alacak olursak ne yaptıkları ve kimlerden oluştukları konusunda hiç bir fikre sahip değil.

NGB:Bu işe yeni baslayanlara neler önerirsiniz?

Öncelikle bu işe yeni başlayanlardan işin felsefesini öğrenmelerini, özellikle kavramlar üzerine yüklenen manaları tekrar düşünmelerini tavsiye ederiz. Ne yazık ki düşüncelerimizi bu kavramlara anlam yükleyenlerin şekillendirmesine izin veriyoruz. Bunun böyle olmaması gerektiğini düşünüyoruz.

Onun dışında, teknik anlamda bulabildikleri her türlü materyali değerlendirmelerini, okumalarını ve bilgilerinin teoride kalmaması için sürekli uygulama yapmalarını tavsiye edebiliriz.

NGB:Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?

Hızla değişen trendler göz önünde bulundurulursa, tahmin etmek için uzun bir süre fakat embedded sistemlerin güvenliği hakkında konuşacakmışız gibi görünüyor, onun dışında daha kompleks atakların daha basit yollarla yapılacağı gerçeğinide göz ardı etmemek gerek.

NGB:Güvenlik sertifikaları konusuna ne düşünüyorsunuz?

Bu tip sertifikalar (CEH, CISM, CISSP…) konunun uzmanı olup olmadığınızı asla belirleyemez. Bizler bu tip sertifikalara sahip olanların da dağıtanlar gibi tamamen ticari kaygılar taşıdıklarını biliyoruz.Eğer biraz olsun işin içinde iseniz kesinlikle sertifikaların içerikleri konusunda mizah yapmanız bile olası.

NGB:Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

Dünyanın en büyük “Real Time” ürünler üreten firmalardan birininin ürettiği bir üründe uygulamadaki bir problemden dolayı mevcut sistem köle haline gelebiliyordu.Arayüze bir controller ekleyerek erişim sağlanabiliyordu. Yani sisteme bir malcode yüklenebiliyor ve program kendini protected storage olarak manipule ediyordu, malcode kendini yüklediğinde tüm processler çöküyor ve sistem yeniden başlıyordu. Böylece zararlı yazılım kendini konfigure edebiliyordu.

İlgili firmaya hemen bu zaafiyet bildirildi ve hızlı bir şekilde patch yazıldı fakat malcode üzerinde ufak değişiklikler yapıldığında görüldü ki zaafiyet hala mevcut ve tekrar iletişim kuruldu daha sonra sistem üzerinde deneme yapılmadı. Fakat şu an mevcut zaafiyetin olmadığını düşünüyoruz.

NGB:Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitalpların okunmasını tavsiye edersiniz?

Bilgi güvenliği konusunda merakımızı gidermek için bir çok materyalden faydalandık bunlardan bir kısmı da kuskusuz kitaplar, en son okuduğumuz kitapları hatırlamayacak kadar uzun zaman oldu fakat genel olarak okumaktan hoslandığımız kitapların isimlerini tek tek vermektense, Hellcode Research’in; Syngress , Adison-Wesley, Wiley Publishing ve No Starch Press kitaplarının bir çoğunu okuduğunu ve bundan zevk aldığını söyleyebiliriz.

NGB:Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı

Hellcode Research olarak bilgi güvenliği ile ilgilenen veya teknik becerilerini takdir ettiğimiz bir çok isim var elbette, kahraman olarak gördüğümüz veya kademe olarak gördüğümüz insanlar oluyor.Bunlardan bazıları; Mike Schiffman, Mark Russinovich, Kris Kaspersky, Ilfak Guilfanov, David Solomon ve tabii Türkiye’den ismini açıklayamayacağımız bir kac kişi.

NGB:Güvenlik dünyasında en fazla kullandığınız yazılım hangi?

IDA, Ollydbg, Windbg, Sysinternals Suite, BinNavi/BinDiff, nmap, wireshark, ettercap, gibi yazılımlar kullandığımız yazılımlara örnek olarak verilebilir.

NGB:Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?

Yabancı siteler zaten biliniyor (Securityfocus..vs) bunun dışında kendi sitemizi önerebiliriz

http://tcc.hellcode.net

NGB:Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?

Hellcode Research, kesinlikle bilgi güvenliği alanında bağımsız olarak araştırmalar yapmaktan zevk duyan bir organizasyondur ve bunun böyle olması gerektiğini düşünür. O nedenle kesinlikle ve kesinlikle yüzlerce alternatif arasından yine bilgi güvenliği konusunu bulup kendine uğraşı alanı olarak seçerdi.

The post Güvenlik Röportajları #26 “Hellcode Research Team” first appeared on Complexity is the enemy of Security.

NGB:Kısaca kendinizden bahsedebilir misiniz?

1979 İstanbul doğumluyum. Yıldız Teknik Üniversitesi bilgisayar mühendisliği 2001 mezunuyum. Sonrasında yüksek lisans için Almanya’ya geldim. Freiburg üniversitesi’nde yüksek lisans ve Mannheim üniversitesinde doktoramı tamamladıktan sonra IBM Almanya’da bilgi güvenliği danışmanı olarak çalışmaya başladım ve halen bu işime devam ediyorum.

İş ve özel hayatımda uygulama güvenliği ağırlıklı konularla uğraşıyorum. Doktoram esnasında konum-tabanlı (location-based) mobil uygulamalarındaki güvenlik sorunları ve çözümleri üzerine çalıştım. Bu çalışmada başlıca uğraştığım konular servis-yönelimli mimari (SOA) güvenliği, konum mahremiyeti, mobil kimlik yönetimi, kullanıcı anonimliği ve güvenli kod geliştirme olarak sıralanabilir. Şuanki danışmanlık işlerimim de çoğunlukla askeri projelere ve banka projelerine destek veriyorum. Başlıca uğraştığım konular olarak SOA/Web servisleri güvenliği, (federated- birleştirilmiş) kimlik ve yetki yönetimi, güvenli yazılım süreçleri, Java enterprise güvenliği, güvenlik testleri, smart grid güvenliği, sosyal ağlarda mahremiyet, uygulamalı kriptografi gibi konuları sayabilirim. www.architectingsecurity.com altında güvenlik ağırlıklı yazılarımın bulunduğu bir blog tutuyorum. Haziran 2010’da yayın hayatına giren Java Dergisi’nde (www.javadergisi.com) güvenlik üzerine yazılar yazıyorum.

Almanya’nın Mannheim (nam-ı diğer küçük İstanbul) şehrinde ailemle yaşıyorum. Kızımdan geri kalan vakitte güvenlik dışında sporla ilgileniyorum. Boş zamanlarımda futbol ve badminton oynuyorum. Masatenisi tutkum var ve Almanya’da bir klüp bünyesinde masa tenisi oynuyorum.

Son 8 yılımı Almanya’da geçirdim ve bilgi güvenliği konusunu Almanya’da hem üniversite araştırmaları bazında, hem devletin bu işe bakışı ve faaliyetleri açısından hem de medyanın duyarlılığı açısından oldukça iyi seviye de buluyorum. Türkiye’deki güvenlikle ilgili gelişmeleri de uzaktanda olsa takip etmeye çalıştım son yıllarda. Aşağıdaki soruları bu sebeple biraz karşılaştırmalı olarak cevaplamaya çalıştım.

NGB:Güvenlik işine nasıl bulaştınız?

Üniversite yıllarında iken şuanda da güvenlik işiyle ilgilenen bir arkadaşım Türkiye’deki bir servis sağlayıcıda bulduğu hataları uzun uzun anlatırdı, ilginç gelirdi bu konular bana, ilk ilgim o vakit uyandı. Sonra yüksek lisans esnasında bilgi güvenliği üzerine bir ders aldım, dersin laboratuar kısmında kriptografi şifrelerini çözmeye çalışıyorduk ve ilgim iyice arttı ve artık konunun içine daha da girdim, sonunda bu alanda staj, yüksek lisans tezi derken bundan sonraki kariyerime bu yolda devam etmeye karar verdim.

NGB:Türkiye’de bilgi güvenligi konusunu değerlendirebilir misiniz?

Türkiyede’ki özellikle uluslararası büyük ölçekli firmaların oturmuş bir güvenlik yönetim politikaları olduğunu düşünüyorum. Orta ve ufak ölçekli şirketlerde ise benim gözlemlediğim çoğunlukla ürün temeline dayanan bir yaklaşım var. ” X ürününü alalım ve güvenli olalım ” tarzında. Bilindiği üzere güvenlik bir süreçtir ve her firmanın bir güvenlik yönetim politikası olmalıdır, ancak bu süreç takip edilirse sonuca ulaşılabilir. Devlet kanadında da son yıllarda gelişmeler olduğunu gözlemliyorum. Türkiye’de ki üniversitelerde ise yeterince araştırma ve geliştirme projesi yapıl(a)madığını, mezunların bilgi güvenliği konusunda çok donanımlı olamadıklarını düşünüyorum.

Almanya için konuşacak olursam bilgi güvenliği özellikle üniversitelerde, araştırma enstitülerinde, askeriyede, büyük ve orta ölçekli firmalarda ve medyada çok önemseniyor. Örneğin üniversitelerde bilgi güvenliği ile ilgilenen onlarca üniversite kürsüsü ve araştırma projeleri halihazırda mevcut. Üniversite-Endüstri iletişimi çok iyi olduğundan bu araştırmalar çoğu zaman kağıt üzerinde kalmayıp ya bir yeni bir firmanın kurulması olarak, ya yeni bir ürün olarak, ya bilgi güvenliği farkındalığını artırıcı bir döküman olarak vs. hayatımıza giriyorlar. Televizyon medyasında da sürekli bilgi güvenliği konusunda gerçek hayatta yaşanmış güvenlik saldırılarını canlandıran programlar yayınlanıyor ve bu sayede bu konu halkın gündeminde canlı tutuluyor.  Tıkladığı bir link yüzünden bir kimsenin uğradığı olta (phishing) saldırısının sonuçlarını gören kişi kendi hayatında bilmediği bir linke tıklarken artık iki kere düşünüyor. Alman askeriyesi de 2007-2015 yılları arasında sürecek olan Herkules projesi (http://bit.ly/cH6OXm) kapsamında bütün IT ve bilgi güvenliği alt yapısını şuanda yenilemektedir.

NGB:Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?

Tabiki Türkiye’de güvenlik yazılımlarının geliştirilmesi de desktelenmesi gereken bir konu. Üniversiteler bu konuda çok temel bir işlev görebilir, görmelidir. Almanya’da yürütülen yüksek lisans tezlerinin sonucunda elde edilen sonuçların, uygulamaların kurulan bir firma bünyesinde geliştirilmesine devam edildiği birçok örneklere şahit oldum. Kurulacak olan bu küçük ölçekli firmalara belirli bir süre devlet desteği de çok önemlidir.

NGB:Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

Benim gözlemlediğim özellikle üniversitelerde gerçekleştirilen çalışmalar çok kısıtlı. Sadece bilgi güvenliği üzerine yoğunlaşan çok fazla kürsümüz yok diye biliyorum. Almanya’da bilgi güvenliğinin ondan fazla alt dalı  (örneğin kriptografi, anonimlik, mahremiyet, mobil güvenlik, yazılım güvenliği gibi) üzerinde yoğunlaşmış kürsüler ve bu kürsülerin yürüttüğü bir çok Avrupa birliği ya da Alman araştırma enstitüsü (DFG- www.dfg.de/en/index.jsp) tarafından desteklenen projeler var. Bizim de üniversitelerimizde yapılan çalışmalar artmalı, lisans/yüksek lisans/doktora çalışmalarının sonuçları endüstriye firma olarak, ürün olarak geçiş sağlayabilmeli ve bu süreçte devlet desteği sağlanmalıdır.

Bilgi güvenliğinin üniversitelerde nasıl öğretilmesi gerektiği tartışılan bir konu. Bu işi saldırı metodları bizzat çalışarak yapılmalı diyenler olduğu gibi ağırlığı korunma yöntemlerine vermeyi tercih edenler de var. Almanya’da bir arkadaşım doktorasını ‘Bilgi güvenliği üniversiteler’de nasıl öğretilmeli’ konusu başlığı altında yaptı ve bu çalışmasında elde ettiği istatiksel sonuçlarda ofansif metod ağırlıklı eğitim alanların bilgi güvenliği konusunda daha donanımlı olduğunu ortaya koyuyordu. Ben de buna paralel düşünüyorum ve üniversitelerimizdeki derslerde saldırı teknikleri öğretilmelisini, laboratuar ortamında CFG (capture-the-flag) yarışmaları düzenlenmelisini ve üniversitelerin öğrencilerden ve asistanlardan oluşan CFG takımları oluşturmalarını ve bu takımların uluslararası yarışmalara katılmasını destekliyorum.

İşin medya ayağında da özellikle televizyon medyası konunun önemine binaen vatandaşların bilinçlenmesi için programlar yapmalılar ve gerçek hayattaki bilgi güvenliği saldırılarından kesitler sunmalılar.

NGB:Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?

İsrail ile son yaşadığımız olayı dikkate alırsak artık ülkeler arası savaşların siber ortama taşındığına hepimiz şahit olduk. Dolayısı ile siber güvenlik birimine acilen ihtiyacımız var. TR-CERT’in çalışmalarını çok yakından takip edemedim. Umarım bu ihtiyacı giderebilecek bir kurumdur.

NGB:Bu işe yeni baslayanlara neler önerirsiniz?

Açık kaynak kod kültürünü edinmelerini çok tavsiye ederim. Açık kaynak projelerini takip etmeliler ve de mümkün olursa aktif olarak katkıda bulunmalılar. Linux dünyasıyla yakınlaşmalı ve Linux hayatlarının bir parçası olmalıdır.

Bilgi güvenliği çok geniş bir alan. Bütün bu konularda genel bir fikir sahibi olmak önemli ancak aynı zamanda uzmanlaşılacak bir alanda belirlenmeli. Ve hangi alanda uzmanlışılırsa uzmanlaşılsın ilgili konuya saldırgan gözü ile bakabilmeliler ve penetrasyon test konusunda bilgi sahibi olmalılar.

Bilgi güvenliğinin sırf teknik yönü ile yetinilmemeliler ve bu işin psikolojik, sosyolojik, ekonomik ve de hukuki yönleri üzerine düşünülmeli, kafa yorulmalılar.

NGB:Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?

Konum tabanlı mobil servisler (location-based mobile services) ve akıllı elektrik şebekesi (smart grid) hayatımıza daha fazla girecekler. Akıllı şebekeler Almanya’da hukuki olarak 2010 yılında zorunlu hale geldiler. Yeni yapılan bütün binalarda akıllı sayaç kurma zorunluluğu getirildi. Bu bahsettiğim servislere özel yeni problemler ön plana çıkacak. Konum mahremiyeti (location privacy), mobil güvenli ödeme sistemleri, akıllı elektrik sayaçlarının kimlik ve yetki denetimi, akıllı sayaçların işlediği verilere sayısal imzaların eklenmesi ve bunların denetlenmesi gibi.

Aynı şekilde firmaların güvenli yazılım geliştirme süreçlerini de daha dikkate alacaklarını, varolan birtakım çalışmaları (OpenSAMM, BSIMM) kendi koşullarına göre düzenleyeceklerini ve bu işe daha fazla kaynak ayıracaklarını düşünüyorum.

NGB:Güvenlik sertifikaları konusuna ne düşünüyorsunuz?

Sertifika alma süreci amaç olmayıp araç olduğu sürece bence faydalıdır. Amaç kişinin kendisi geliştirmesidir, sertifika buna vesile oluyorsa ne güzel. Ancak sertifika olmazsa olmaz değildir. Hiç bir sertifikası olmayıp alanında uzman benim tanıdığım çok kimseler bulunmaktadır. Bir de herkes X sertifikasını alıyor diye bu sertifikayı almaktansa kendi amacıma en uygun sertifika alma sürecine girmeyi tercih etmeliyim.

NGB:Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

Yakın zamanda yaşadığım bir tecrübemi paylaşabilirim. Bir müşterimizin talebi üzerine ilgili firmanın bilgi güvenliği farkındalığını artırma çalışmaları kapsamında firma çalışanlarına olta testi (phishing test) uyguladık. Sonuç benim için şaşırtıcıydı. Geneli üniversite mezunu olan bu firma çalışanlarının %70’i bu saldırının farkına varamadılar. Halkanın en zayıf parçası insan olduğunu tekrar görmüş oldum.

NGB:Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitalpların okunmasını tavsiye edersiniz?

Son okuduğum kitap IBM Redbook kütüphanesinden “Understanding SOA Security Design and Implementation”. SOA mimarilerinin anlatıldığı, güvenlik problemlerinin çözümleriyle birlikte işlendiği bir kitap. Üründen bağımsız olarak mimari açıdan bir yaklaşım gösterdiği için tavsiye edebileceğim bir kitap. Kitap şu linkten ücretsiz indirilebilir: http://www.redbooks.ibm.com/redbooks/pdfs/sg247310.pdf

Diğer ilk aklıma gelen kitaplar olarakta Secret and Lies (Schneier), Security Engineering (Ross Anderson), Hacking Exposed serisi, 19 deadly sins of software security verebilirim.

Burada bir ek parantez açmak istiyorum. “Okunacak çoook kitap var ama vakit kısıtlı” sorunu sanırım çoğumuzun derdi. Bunun için özet hizmeti veren sitelerden (ör. www.getabstract.com) ve/veya diijo gibi web2.0 tabanlı uygulamalardan faydalanarak hem okunacak doğru kitapları bulmaya hem de bir kitabın tamamını okumadan başkalarının özetlerini okuyarak kitaplardan yararlanma yoluna gidilebilir.

Günümüzde kitaplar kadar blog takibi de çok önem kazandı, ilgili bloglar mutaka günlük takip edilmeli.

NGB:Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı

Çalışmalarını çok takdir ettiğim, imrendiğim kimseler/kurumlar var. OWASP bunlardan birincisi. OWASP açık kaynak kod felsefesini takip eden bir kurum. Birçok büyük firmanın kaynak ayırmayıp /ayıramayıp ilgilen(e)medikleri konuları proje haline getirebilmiş bir organizasyon. Gerçekten takdir ediyorum!

Bruce Schneier işin teknik yönünü çok iyi bilen biriki Applied Cryptography gibi bir ansiklobedik kitap yazabiliyor ve kriptografi dünyasına aktüel olarak katkıda bulunuyor (sha3/skein). Bunun yanında güvenlik konusuna yukarıdan bakıp işin psikolojik, sosyolojik, ekonomik ve hukuki boyutlarını anlamaya/anlatmaya çabalayan birisi.

Son olarakta kriptografi dünyasına aktif olarak katkıda bulunan Prof. Çetin Kaya Koç hocamızın adını ekleyeyim.

NGB:Güvenlik dünyasında en fazla kullandığınız yazılım hangi?

Güvenlik testleri için IBM AppScan Standart (black-box test) ve Developer (white-box test) sürümlerini sık kullanıyorum. Başka uygulamaları da sayacak olursam soapui, metasploit, nessus, nikto, gooscan ve bazı Firefox eklentileri LiveHTTPHeaders, Tamper Data, pwgen, WOT gibi.

NGB:Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?

Daha önce bu sütunda sıralanan sitelerin dışında belki şu linkler ilgi çekebilir:

–          Almanya’da bilgi güvenliği uzmanlarının ilk uğrak adresi (almanca bilenlere): http://www.heise.de/security/

–          IBM ISS Blog: http://blogs.iss.net

–          Kim Cameron – Identity Blog: http://www.identityblog.com

–          RedTeam Blog: http://blogs.23.nu/RedTeam/

–          SmartGrid Security: http://smartgridsecurity.blogspot.com

– Hakin9 online dergisi: http://hakin9.org ve Insecure online dergisi: www.net-security.org/insecuremag.php

NGB:Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?

Evet, mesleğimi çok seviyorum, teknik yönünün yanında insanı ilgilendiren sosyal yönlerinin olması bana çok cazip geliyor.

The post Güvenlik Röportajları #25 Emin İslam TATLI first appeared on Complexity is the enemy of Security.

NGB: Kısaca kendinizden bahsedebilir misiniz?

Sertan KOLAT: İst.Üni. İngilizce İktisat okudum, İst. Üni. Enformatik bölümünde yüksek lisans eğitimini tamamladım. Çocukluğumdan beri bilgisayarlara, 1997’den beri güvenliğe aşırı ilgi duyuyorum. Üniversitede okuduğum sırada çalıştım. 1998’de sektöre girdim ve 2004’ten beri Avanteg’de güvenlik danışmanı olarak çalışıyorum. Burada penetrasyon testleri, ağ ve uygulama güvenlik denetimleri, kurulumlar, müşterilerimize ait üretici bağımsız IDS/IPS sistemlerinin yönetimini yapıyorum.

Yüksek lisans tezimi web güvenlik denetim yazılımlarının iyileştirilmesi üzerine yaptım. Otomatik web denetimlerindeki hatalı algılamaların azaltılması ve daha verimli bir denetim yazılımının nasıl olabileceği üzerine çalıştım. Tezdeki bazı önermeleri deneyebilmek için Arachne adlı bir web denetim yazılımı geliştirdim. Bir çok web denetim yazılımını inceledim ve inceliyorum. Genel ilgi odağım bu yazılımlar ve web uygulamaları güvenliği.

Bilgisayar başında uzun zaman geçirsem de, dışında da iyi zaman geçiriyorum. Film festivallerini ve sanatsal etkinlikleri takip etmeye çalışıyorum.  Deniz ve rüzgar hep ilgimi çekmiştir. Uzun bir dönem yaz aylarında amatör olarak yelken yaptım, bu sene rüzgar sörfüne başladım. İkisi de süper zevkli, herkese tavsiye ederim.

NGB:Güvenlik isine nasil bulastiniz

Sertan KOLAT:Tamamen bilinçli bir tercih. Çocukluğumdan beri telefon hatları, elektronik aletler, bozma, tamir, herşeyin nasıl çalıştığı ve yapıldığı merakı, detaycılık; her konuda bu neden böyle ve ben şu şekilde yaparsam ne olur soruları hep vardı. Internet’le tanışınca da bu böyle devam etti ve güvenlik ilgimi çekmeye başladı. Beni Unix tabanlı sistemlere iten de budur. 1998’de kendi programlarımı yazmaya başladım. Çoğu güvenlikle alakalı scanner ve malformed packet gönderen tipte yazılımlardı. Programcı değilim ancak güvenlikle ilgili bazı ufak yazılımlar geliştiriyorum.

Sürekli okuyarak, deneyerek, kurarak, bozarak, nasıl yapılır incelemeleri ile geçti. Eskiden Türkiye’de bilgi güvenliği alanında çalışabilecek sayılı firma vardı, İngilizce ve teknik bilgim iyi olduğu için okuma ve bilgi paylaşımlarıyla kendimi yetiştirdim. 2000 yılında bir ISP’de çalışmaya başlamamın da Internet altyapısı ve işleyişi, ağ cihazları, routing protokolleri, servis bilgileri, saldırı tipleri ve engelleme, farklı yerlerde farklı yapılarla ve işletim sistemleriyle uğraşma vb. konusunda bana çok katkısı oldu.

NGB: Turkiye’de bilgi guvenligi konusunu degerlendirebilir misiniz

Sertan KOLAT: Her konuda olduğu gibi, yarım yamalak. Güvenliğin çok iyi uygulanabilmesi için önce algılanması ve bir bütün olarak düşünülmesi gerekiyor. Güvenlik bir süreç ve her şeyin içerisine katılması gerekiyor. Bir düşünce yapısı haline gelmeli. Bunu çok iyi gerçekleştiren yerlerin sayısı az. Başına kötü bir durum gelen şirketler bile süreci uygulamaya koymuyor, sadece problemleri giderme yoluna gidiyor ve belki birkaç ürün yatırımı yapıyor. Yeni bir yazılım veya hizmet geliştirdiklerinde aynı sorunlar yine karşılarına çıkabiliyor.

Risk analizi ve risk yönetimi çok önemli. Risk değerlendirme sonucunda üst yönetimin güvenlik için bütçe ayırabilmesi de kolaylaşıyor. Fakat ürün yatırımı yapılsa da, hizmet ve bakım yatırımları yapılmıyor. Anlayış değişmediği taktirde bu şekilde devam edecek. Regülasyonlar ve kanuni sorumluluklar bu konuları olumlu yönde desteklediği için önemli.

Türkiye’de sayısız firmaya hizmet verdim. Aslında çok iyi ürünler kullanılıyor ama iyi bir yapılandırma, konfigürasyon ve bakım olmazsa ürünler yeterli faydayı sağlanamıyor. Bir çok firmada personelin bu konuya ayıracak vakti ve bilgisi de olmuyor.

Türkiye’deki pazar payıyla orantılı olarak güvenlik yazılımları da üretilmiyor. Ülkemizdeki bir çok girişim yeterli desteği bulamadığı için kötü sonuçlanıyor.

Toplumsal gelişim ve eğitim sisteminde düzenleme şart. En azından devlet okullarında İngilizce’ye çok çok daha fazla önem verilmeli. Planlı hareket etmeli, gelişmeli, okumalı, sormalı, üretmeli, araştırmalı ve komplekslerimizden arınmalıyız. Bunlar olmadan üzerine ne koyarsak koyalım, olmuyor.

NGB: Bu ise yeni baslayanlara neler onerirsiniz?

Sertan KOLAT: Hevesli olmalılar. Sevmeyen bir insan bu işi yapamaz diye düşünüyorum. Sürekli takip, kendisini güncelleme, geliştirme ve öğrenme gerekiyor. Bu tipte bir karakteriniz yoksa ve amacınız sadece para kazanmaksa şimdiden bu işe bulaşmayın.

Yeni başlayanlar ne yaparsa yapsın İngilizce’lerini ileri seviyeye getirmeleri gerekiyor. Planlı olmalılar. İleride nerede ve belki kimin yerinde olmak istediklerini düşünerek bir plan yapabilirler. Shon Harris’in CISSP Certification All-in-One Exam Guide, Fourth Edition veya daha yenisini mutlaka okumalarını öneririm. Bu kitap sayesinde güvenliğin farklı alanları konusunda genel bilgi sahibi olacaklardır. Belki bundan sonra kendilerine, ilgilerini daha fazla çeken bir alt dal seçebilirler.

Bir şirkette görev yapmak yerine, güvenlik hizmetleri veren, güvenlik ürünleri satan, distribütor vb. firmalarda çalışmalarını öneririm. Bu sayede çok farklı ürünler, farklı istekler, farklı altyapılar ve farklı insanlarla çalışma fırsatı bulursunuz. Aksi taktirde en iyi şirkette bile çalışsanız, çalışan sistemlere ve ağ altyapısına dokunamazsınız. Yeterince ürün ve farklı yapılar göremezsiniz.

Güvenlikle ilgili bir yerde çalışamıyorsanız, bir Internet servis sağlayıcının teknik departmanlarında çalışabilirsiniz. Özellikle güvenlik denetimi yapmak istiyorsanız bu önemli.

Kullandıkları yazılımların özelliklerini çok iyi öğrenmeliler. Yeni bir yazılım kurduğumda hemen neleri ayarlanabiliyor(options) incelerim. Doküman okumak önemli. Nmap, hping, tcpdump en yakın arkadaşlarınız. Örneğin nmap manual okuyun. Sadece yazılımlar değil bunların nasıl çalıştığını anlayabilmek çok önemli. Sectools.org’da bulunan yazılımları inceleyin. Bir güvenlik açığı duyurulduğunda nasıl ve neden olduğunu inceleyin, anlayın. Bu sizi geliştirecektir.

Network ve protokol bilgilerinizi geliştirin. Çok iyi TCP/IP ve protokol bilgisi şart. Mutlaka bir programlama dili bilin(Python, Ruby kolay öğrenilebilir) ve programlama genel mantığını kapmaya çalışın. Linux öğrenin. Mutlaka FreeBSD ve OpenBSD kurun, görün. GUI ortamlarından başta biraz sakının. İstediğiniz Linux dağıtımını kullanabilirsiniz, ama Gentoo’yu mutlaka bir kere kurun. Gentoo Linux Handbook’u tamamen okuyun.

Mail listelerine üye olun. Bugtraq ve full-disclosure’a mutlaka ve bunların dışında securityfocus.com’da ilginizi çeken tüm listelere, Türkçe bilgiguvenligi(yahoogroups), netsec, owasp-turkey olabilir.

Eski saldırılar, saldırı tipleri hakkında bilginiz olsun. İngilizce çok kaynak bulunuyor. Türkçe doküman istiyorsanız olympos.org’da kütüphane bölümündeki en eski yazılardan okumaya başlayabilirsiniz.

Bir RSS reader kullanın ve ilginizi çeken site ve blog’ları takip listenize alın. Security podcast’leri dinleyin. Miro gibi bir yazılımla podcast’leri kolayca takip edebilirsiniz.

Kitap okuyun. Bilgisayardan okuyabiliyorsanız Safari Books Online maliyet açısından daha uygun olabilir. İmkan varsa Amazon’dan satın alınabilir.

Zaman yönetimi ayrı bir konu ama chat vb size çok zaman kaybettirir.

Bu işlerde dikkat önemli. Yaptığınız işi çok iyi yapmaya özen göstermek, ancak mükemmeliyetçilikten de kaçınmak gerekiyor.

Sertifikasyon olayına çok fazla heves ediyorlar. Önce bilgilerini geliştirmelerini öneririm. Bunları tamamlayın, denetim tarafında ilerlemek istiyorsanız sizi uzun bir liste bekliyor.

NGB: Sizce 2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor olacak?

Sertan KOLAT: Software as a service kavramının iyice oturacağını ve bir çok alanda gelişeceğini düşünüyorum. Veri iletişimi her alanda sürekli hızlanıyor. Mobil uygulamaların kullanımı artacak. Ses neredeyse tamamen IP altyapısına geçiyor.

Bunlara bağlı olarak web güvenliği, cloud computing, servis güvenliği, mobilitenin artmasıyla taşınabilen verinin güvenliği, VoIP güvenliği önemli olacaktır.

NGB: Zaman ayırarak sorularımıza cevap verdiğiniz için teşekkür ederiz.

The post Güvenlik Röportajları #5 Sertan KOLAT first appeared on Complexity is the enemy of Security.