Bu eleştirileri getirenlerin çoğu(belki de hepsi) Türkiye’de yaşıyor, Türkiye’nin suyunu içip, havasını soluyor ve dünyayı Türkiye gözlüğüyle anlamaya, algılamaya çalışıyor… Ama karşılaştırdıkları etkinliklerin gerçekleştirildikleri ülkeler, yaşam standartları ve insanlarının güvenliğe bakış açısından haberdar değiller.Temel sorunda buradan kaynaklanıyor.

Ben de yaklaşık on yıldır katıldığım yerli yabancı onlarca etkinliği düşünerek Neden Türkiye’de özlemi duyulan nitelikte bir güvenlik etkinliğinin düzenlenemediği konusundaki fikirlerimi yazmaya çalıştım.

Defcon ve Black Hat konferanslarının ciddi bir geçmişi vardır

Bir etkinliğin oturması için en az 4-5 yıllık bir süre gerekir, isminin duyulması, rağbetin artması (hem konuşmacı hem de dinleyici açısından) . Burada “Defcon ve Black Hat ilk zamanlarında da kaliteliydi” eleştirisi gelebilir, doğrudur. Bir etkinliğin kalitesini zamanı değil düzenleyicileri ve hitap ettikleri kesim belirler.

İlgi

Bundan birkaç sene önce Türkiye’de düzenlenen etkinliklere ilginin azlığıdan yakınırdık ama günümüzde özellikle medyanın da siber güvenlik üzerine haberleriyle birlikte konuya olan ilginin ciddi oranlarda arttığı gözleniyor. Başarılı bir düzenleyici Türkiye’de düzenleyeceği siber güvenlik, hacking vs konulu bir etkinliğe 2000 kişiyi taşıyabilir. Fakat mesele çok kişinin katılmasından ziyade ilgililerin katılımının sağlanmasıdır. 2000 konuya meraklı kişi yerine 500 ama konuya merakın ötesinde ilgi duyan katılımcı bu tip teknik etkinlikler için daha önemlidir.

Türkiye’de ilgiyi arttırmanın en basit yolu, etkinlikleri cafcaflı bir otel/mekanda gerçekleştirmek, öğle yemeği vermek ve hediye dağıtmaktır. Belki komik gelecek ama öğle yemeğini kendi cebinden ödeyeceğim diye etkinliğe katılmayan onlarca insan tanıdım. Evet profesyonel bir etkinlikte katılımcılara öğle yemeği de verilir, çay kahve de ısmarlanır ama profesyonel etkinliklerin de bir bedeli vardır ve o bedel sponsorlar tarafından karşılanamazsa etkinlik ücretli olmak zorunda kalır. Uzun yıllara dayanan etkinlik düzenleme/inceleme tecrübelerime dayanarak ücretsiz etkinliklerin içeriği ne kadar başarılı olsa da görünüm olarak başarısız gözüktüğüne şahit oldum. Biz Türk’lerin gönüllü yapılan işler, indirim ve bedavaya getirme konusunda sicili pek de iyi değildir:)

Sponsor Desteği

Türkiye’de bilgi güvenliği üzerine iş yapan firmaların %99’u ürün temelli çalışmaktadır. Ürün temelli çalışan firmaların bu tip ürün bağımsız etkinliklere sponsor olması Türkiye’de malesef mümkün olmamaktadır, olsa da firma sunum olarak teknoloji değil ürün anlatmayı tercih etmektedir.

Neden? Türkiye’de güvenlik hala ürün al sat mantığının ötesine geçememiştir, sektör içindeki ciddi oyunculardan birinin yöneticisi ağzından duyduğum “Ben kazandığım paraya bakarım, yarın patates satarak daha fazla kazanırsam güvenlik ürünü yerine onu satarım” yoruma ihtiyaç bırakmayacak kadar halimizi anlatmaktadır.

Biz demiyoruz ki ürün anlatılmasın, elbette sponsor olan sponsorluğunun karşılığını almalıdır ama bunu tahtaya çıkıp bizim ürün şöyşe iyi, böyle iyi diyerek değil, alternatif anlatım teknik ve yöntelerini kullanarak gerçekleştirmesi gerekir. Etkinlikler sonrası düzenlediğimiz değerlendirme anketlerinde ürün anlatan firmaların sunumlarının neredeyse hiç beğeni almadığına şahit olduk. Oysa ürün yerine ürünün arka planında yatan teknolojiyi anlatan firmalar zaten göz doldurdukları için o teknolojinin hangi üründe, hangi firmada olduğunu katılımcılar merak etmektedir.

Ürün temelli sponsorların yanında bilgi güvenliği üzerine hizmet veren, ar-ge yapan (dolayısıyla ürün geliştiren) firmaların sponsor olması çok daha önemlidir. Zira hizmet veren firma hizmetinin kalitesini firmalardan toplantı talep ederek teker teker anlatmaya kalksa hem zaman hem de maliyet açısından yetiştiremez. Oysa yüzlerce insanın karşısına çıkıp sağlam bir sunum yapan firma aynı anda onlarca firma kazanmış olur.

Türkiye’deki firmalar henüz bu yönteme inanmamaktadır ,zira hala eski kafa ticaret yöntemleri kullanarak, dost, arkadaş eş aracılığıyla iş ayarlama yöntemleri büyük oranda işlemektedir. Ama zaman değişiyor ve ticaret şekilleri de değişiyor, insanlar artık kaliteye de en az eş, dost kadar önem vermeye başladı.

Konuşmacı Sıkıntısı

Etkinliklerin en önemli üç bileşeninden biri konuşmacı kalitesidir, kaliteli bir konuşmacı kaliteli bir sunumla katkıda bulunduğu her etkinliğin hem değerini yükseltir hem de kendi adına iyi reklam yapmış olur. Türkiye’de düzenlemeye çalıştığımız çoğu etkinlik için “Aktif Katılım Çağrısı” yapıyoruz ve gelen konular bir ekip tarafından incelenerek karar veriliyor. Gelen talepler genellikle sık bilinen konular, orta seviye sunumlar oluyor.

İleri seviye konuları anlatacak arkadaşlar ya konuşmaktan çekiniyor (kimliğini gizleme derdi, konferansı beğenmeme, geçduyma vs)ya Türkiye’de yeterli sayıda ileri seviye teknik konuları konuşacak arkadaşlar yok ya da biz onlara ulaşamıyoruz, onları bu etkinliğe katılmaları konusunda ikna edemiyoruz. Son madde doğrudan düzenleyici olarak bizleri ilgilendirdiği için bu konuya daha fazla ilgi gösterme planlarımız var.

Konu Sıkıntısı

Türkiye’de düzenlenecek olan etkinliklerle ilgili diğer önemli bir nokta da seçilecek konular. Sektörün çoğu güvenlik denilince akla Firewall, IPS, İçerik filtreleme ve tamamı ürünlerden oluşan bir konsepti düşündüğü için . burada sadece hata katılımcılarda değil, etkinliği düzenleyenler de katılımcıları yönlendirecek şekilde konu seçimine karar vermeli (Bir önceki konuyla-konuşmacı sıkıntısı-doğrudan alakalıdır.)

Sonuç

Türkiye henüz güvenlikle ilgili emekleme aşamasında bir ülkedir. Her ne kadar Amerika’da, İsrail’de geliştirilen bir ürün ertesi gün ülkemizde “satılabiliyor” olsa da güvenlikle ilgili araştırma, üretim yapan firmalarının sayısının en az satıcı firmaların yarısı kadar olmadıkca, siber güvenlik üniversitelerde ders olarak okutulup, üniversite okuyamayan ama security, hacking konusunda kendini geliştirmiş gençlere bir yol açılmadıkca emekleme aşaması tamamlanmayacaktır.

Bu aşamada biz güvenlik uzmanlarına düşen sektörün önünü açacak, ihtiyaçları daha net belirlemeye yardımcı olacak gruplar kurarak teknik seviyesi yüksek etkinlikler düzenlemek ve bu etkinliklere firma ayrımı gözetmeksizin konunun uzmanlarını davet ederek konuşturmaktır.

Konuyla ilgili geri bildirimlerinizi yorum olarak yazabilir ya da doğrudan [email protected] adresine iletebilirsiniz.

The post Türkiye’de Neden Defcon/Black Hat Konferansları Düzenlen(e)mez? first appeared on Complexity is the enemy of Security.

İstSec ’11 İstanbul Bilgi Güvenliği Konferansı
http://www.istsec.org
İstanbul, Türkiye
3-4 Haziran 2011

Ülkemizde gerçekleştirilen bilgi/bilişim güvenliği çalışmalarına katkı olmak amacıyla her yıl düzenli olarak gerçekleştirdiğimiz İstanbul’a özel bilgi güvenliği etkinliği İstSec konferansı ile tekrar karşınızdayız.

İstSec  İstanbul Bilgi Güvenliği Konferansı bu yıl 3-4 Haziran tarihlerinde Bilgi Üniversitesi Dolapdere kampüsünde gerçekleştirilecektir. Konferansın bu seneki ana teması “Yeni teknolojiler, yeni güvenlik riskleri” olarak seçilmiştir.

Konferans, kayıt olan herkese açık ve ücretsizdir.

#İstSec  Nedir?

İstSec (İstanbul Bilgi Güvenliği Konferansı) bilgi/bilişim güvenliği alanında çalışan, bu alana merak duyan ve konusunun uzmanları arasında bilgi paylaşımı yayma amaçlı İstanbul’a özel bir etkinliktir.

İstSec, benzeri güvenlik etkinliklerinden farklı  olarak ürün/teknoloji bağımsız, pratiğe yönelik bir etkinlik olma amacı taşımaktadır.

#Kimlere Hitap Eder?

İstSec, özelde bilgi güvenliği yöneticileri, ağ ve sistemi güvenliği departmanı çalışanları, güvenlik ürünü satış ve pazarlamacıları, ethical hacking konusu meraklıları, adli bilişim analizi konusu meraklıları, yazılım uzmanları, siber güvenlik uzmanlarına yönelik olmakla birlikte bilgi güvenliği ve alt dallarına meraklı herkesin ilgiyle izleyeceği bir etkinliktir.

#Konferansın Ana Konuları

İstSec ‘11 konferansında gerçekleştirilecek sunum ve çalıştaylar aşağıdaki konuları kapsamaktadır.

-Bulut bilişim ve güvenlik
-Zararlı kod analizi ve geliştirme teknikleri
-Saldırı tespit ve engelleme yöntemleri
-DDoS saldırıları ve korunma yöntemleri
-Yazılım güvenliği ve güvenlik yazılım geliştirme süreçleri
-Siber kavramlar(siber savaş, siber ordu, siber tehdit)
-WLAN/EDGE/3G iletişim güvenliği
-Internet takip/izleme sistemleri
-Ipv6 güvenliği
-Sanallaştırma güvenliği
-Bilişim sistemlerinde adli bilişim analizi
-Sızma testleri(pentest) ve yöntemleri
-Exploit geliştirme ve tersine mühendislik yöntemleri
-Web uygulama güvenliği
-Internet ortamında istihbarat toplama yöntemleri
-Türkiye’de siber güvenliğe verilen önem ve siber güvenlik yol haritası
-APT(Advanced Persistent Threat)
-DLP(Data Loss Prevention) sistemleri ve güvenlik zaafiyetleri

#Konferansa Aktif Katılım

Konferansa konuşmacı olarak katılmak isteyenler sunum konularını [email protected] adresine aşağıdaki formatta 22 Nisan 2011  tarihine kadar gönderebilirler.

Ad soyad:
Çalıştığı şirket:
Telefon numarası:
E-posta adresi:
Kısa özgeçmiş:
Konuşma başlığı ve konusu:
Daha önce konuşmacı olarak  katıldığı konferanslar:

#NOT:
-Doğrudan bir ürünü, firmayı  anlatan sunumlar değerlendirmeye alınmayacaktır.
-Tüm gönderiler İstSec  düzenleme ekibi tarafından incelenerek karar verilecektir.

#Sponsorluk

İstSec konuşmacılarının ve katılımcılarının masraflarını karşılamak amacıyla farklı kategorilerde sponsorlar aranmaktadır.  Sponsorluk konusunda hazırladığımız “sponsorluk dosyasına”  http://www.istsec.org/sponsorluk.pdf adresinden erişebilirsiniz.

Konferans hakkında daha detaylı bilgi için: http://www.istsec.org adresini ziyaret edebilirsiniz.

İstSec düzenleme kurulu.
[email protected]
www.istsec.org

The post İstSec ’11 İstanbul Bilgi Güvenliği Konferansı Aktif Katılım Çağrısı first appeared on Complexity is the enemy of Security.

Mevsim yaza durdu ve IstSec‘in tarihi geldi… Haziran ayının ortalarında IstSec’i üçüncü kere gerçekleştireceğiz. Şimdilik yer ve konuşmacıların durumunu kesinleştirmeye çalışıyoruz.

Tamamlanınca Türkiye’de ilk defa ileri seviye teknik bir konferansı gerçekleştirmiş olacağız. I. ve II. IstSec konferanslarında aldığımız eleştirilerin çoğu içeriğe yönelikti(İçeriğin daha teknik ve ileri seviye konular içermemesi eleştirildi). Biz de eleştirileri dikkate alarak daha az sponsorla daha teknik içerikli bir konferans olması konusunda karar kıldık.

III. IstSec konferansı konusunda uzman(sözde değil gerçek uzman) kişiler tarafından bir günlük(hafta içi) workshop tadında bir etkinlik olacak.

Sürpriz olarak Türkiye’nin tanınmış hacker gruplarından birini de konferansa davet etmeyi planladık(gerçek hayat tecrübelerini aktarmaları için). Her etkinlikte mutlaka yaptığımız Capture The Flag hacking yarışması yine olacak…

IstSec ’10 için sponsor olmayı düşünüyorsanız veya tanıdığınız firmalardan sponsor olabilecekler varsa sponsorluk şartları için bana yönlendirebilirsiniz.([email protected])

Konferansta sunum yapmak isteyen arkadaşlar düşündükleri konu ve bir paragraflık açıklamasını gönderebilirlerse inceleyip konferans programına dahil edebiliriz. Özellikle reverse engineering, exploit geliştirme vs gibi Türkiye’de pek yaygın olmayan konulara öncelik verilecektir.

Geçtiğimiz yıl yapılan IstSec Konferansı için ulusal medyada yer alan haberler:

The post IstSec(İstanbul Bilgi Güvenliği Konferansı) ’10 için sponsor arayışı first appeared on Complexity is the enemy of Security.

Bir dünya kaliteli insanlar tanıştık, tanışlarımızla dostluğumuzu pekiştirdik, yeni şeyler öğrendik… Velhasıl kışın bu en sert günlerinde bile kaliteli  insanların  engelleri aşıp böyle ortamlara geleceğini tecrübe ettik. (Toplamda 400 katılımcı, Cumartesi 300, Pazar 100).

Yakında daha detaylı değerlendirme(eleştiri, özeleştiri, övünme vs) yazısı hazırlayacağım.

Şimdi kolları AnkaSec(Ankara Güvenlik Konferansı) için sıvadık, onu da bir atlattık mı tamamdır, yeni yıla rahat gireceğim…

The post IstSec 09’un ardından… first appeared on Complexity is the enemy of Security.

CTF yarışması gerçek hayatta sistem adminleri, network adminleri ve güvenlik adminlerinin yaptığı hataları simüle eden bir yarışmadır ve toplam 11 adımdan oluşmaktadır. 11 adım=1000 puan, iPhone’u kazanmak için 900 puanı aşmak gerekmektedir(Senaryo kesinlikle çözülemez değil, hediyeleri şimdiden aldık ve konferansta sahiplerini bulmasını istiyoruz.).

Gerçekten ben bu işi biliyorum diyen bir pentest’cinin 1-2 saatte rahatlıkla çözebileceği bir senaryo hazırladık. Tek kişilik değil de birden fazla kişiden oluşan ekiplerin kazanma ihtimali daha yüksek.

CTF yarışmasına kayıt olmak için gerekli bilgiler http://www.istsec.org/?page_id=73 adresinden edinilebilir.

CTF engelini aşıp mail gönderenlerin tekrar kayıt maili göndermelerine gerek yok, kayıtlar Cuma günü dondurup detaylı bilgilendirme maili gönderilecektir.

Şimdilik kayıt sayısı 100 gözüküyor fakat önceki tecrübelerimden medeni cesaret gösterip geleceklerin sayısının 15-20 olacağını tahmin ediyorum. Umarım yanılırım.

The post iPhone hediyeli hacking yarışması! first appeared on Complexity is the enemy of Security.

The post AnkaSec- Ankara Güvenlik Konferansı first appeared on Complexity is the enemy of Security.

 İlkini Haziran 2009’da yaptığımız IstSec – İstanbul Bilgi Güvenliği Konferansının ikincisini 12-13 Aralık’da İstanbul Bilgi Üniversitesinde yapıyoruz.

 Bu sefer etkinlik iki gün ve çok geniş bir yelpazaye hitap ediyor.  Akademik dünyadan, hukuk dünyasından ve bilgi güvenliğiyle bir şekilde ilgisi bulunan tüm meslek dallarından konuşmacılar yer alıyor.

  Klasik hale getirmeye çalıştığımız Capture The Flag yarışması da etkinliğin en heyecanlı bölümlerinden biri olacak gibi gözüküyor. Bu sene sponsorlarımızdan süper hediyeler (iPhone, Netbook vs) almayı başardık. Hediyeler böyle güzel olunca CTF’i de daha kaliteli yapabilmek için Owaps-tr grubuyla birlikte çalışıp süper bir oyun çıkardık ve CTF’e katılım için basit bir engel koyduk.

Konferans duyurusunun yayılması için katkı vermek isterseniz aşağıdaki basın bültenini kullanabilirsiniz.

IstSec ’09 – İstanbul Bilgi Güvenliği Konferansı

2009 yılında dünyaya damgası vuran ve siber tehditlere karşı önemini daha çok hissettiren siber güvenlik, siber casus yetiştirme politikaları, siber savaşlar ve bu alana yönelik olarak ülkelerin bütçelerinden ayırdıkları hatırı sayılır oranlara ulaşan rakamlar, bilgi güvenliğini bireysel, kurumsal ve ülke güvenliği açısından kritik öneme kavuşturmuştur. ISTSEC ‘09 konferansı bu eksendeki soru ve sorunlara çözüm ve çözüm önerileri sunmayı hedeflemektedir.

Türkiye’de bilgi güvenliği ve açılımları konusunda kamuoyunda farkındalık yaratmayı, bilgi ve bilinç düzeyini yükseltmeyi hedefleyen ve bu amaçla yılda iki defa yapılan bir konferans olan ISTSEC ’09’un açılışı bu yıl Ulaştırma Bakanı Sayın Binali YILDIRIM tarafından gerçekleştirilecektir.

Bu yıl iki günlük bir program olarak dizayn edilmiş ISTSEC ‘09 konferansının ilk gününde; web güvenliği, Iphone ve telefon dinlemeleri, Hackerlar’ın bilgi güvenliğine bakış açısı, kurum / şirket personelinden kaynaklanan ihlaller gibi bilgi güvenliği konularında spesifik sunumlar ve tartışmalar yapılacaktır.

Bilgi güvenliğinin açılımları niteliğinde olan konular ise panel formatında alanında uzman teknik uzmanlar, emniyetçiler ve hukukçular tarafından irdelenecektir.  Devletlere ve bireylere yönelen Siber Tehditlere karşı, diğer ülkelerde ve Türkiye’deki uygulama örnekleri ele alınacaktır. 2009 yılında dünyaya damgası vuran ve önemini daha çok hissettiren siber güvenlik, siber casus yetiştirme politikaları, siber savaşlar ve bu alana yönelik olarak ülkelerin bütçelerinden ayırdıkları hatırı sayılır oranlara ulaşan rakamlar bilgi güvenliğini bireysel, kurumsal ve ülke güvenli açısından kritik öneme kavuşturmuştur. ISTSEC ‘09 konferansı bu eksendeki soru ve sorunlara çözüm ve çözüm önerileri sunmayı hedeflemektedir.

Konferansın ikinci gününde, bilgi güvenliğinin hukuk alanında karşılığını teşkil eden veri koruması konusu, bilgi güvenliği ile olan ilişkisi ve tıbbi istihbarat, cloud computing, yeni nesil iletişim teknolojileri, uluslararası düzenlemeler ve uygulamalar ışığında değerlendirilecektir. Diğer panellerde, kayıtlı elektronik posta, bilişim suçları, 5651 Sayılı Kanun ve bilgi güvenliği açısından durum tespiti yapılarak çözüm önerileri sunulacaktır.  Ayrıca tüm beyaz şapkalı hacker’ların davetli olduğu “Capture The Flag” yarışması konferansın ikinci gününde meraklılarına açık olacaktır.

ISTSEC 2009, bilgi güvenliği uzmanlarının, hacker’ların, bilgi güvenliğine meraklı olan herkesin, bilişim teknolojisi hukukçuları başta olmak üzere tüm hukukçuların, güvenlik güçlerinin ve bireylerin katılması gereken bir etkinliktir.

İstanbul Bilgi Üniversitesi Bilişim Teknolojisi Hukuku Uygulama ve Araştırma Merkezi, Bilgi Güvenliği ve Adli Bilişim Araştırma Grubu ile İstanbul Barosu Bilişim Hukuku Merkezi ve Bilgi Güvenliği Derneği tarafından ortaklaşa düzenlenen ISTSEC ‘09 Konferansı 12-13 Aralık 2009 tarihlerinde;  İstanbul Bilgi Üniversitesi Silahtarağa Kampüsü’nde gerçekleştirilecektir.

Konferansa katılım  ücretsiz olup kayıt yaptırılması zorunludur. Kayıt için www.istsec.org web sayfasının kullanılması gerekmektedir. Kayıt yaptıran kullanıcılara konferansa bir hafta kala onay mesajı gönderilecektir.

The post IstSec ’09 – İstanbul Bilgi Güvenliği Konferansı first appeared on Complexity is the enemy of Security.