1)Kısaca firmanızdan/ekibinizden bahsedebilir misiniz?

Zemana Ltd, merkezi İstanbul-Türkiye’de olan, online tehditlere karşı, kullanıcıları korumak için çözümler üreten, global internet güvenlik firmasıdır.

Zemana ürettiği proaktif güvenlik çözümleri ile başta e-ticaret ve e-bankacılık bilgileri olmak üzere, elektronik kimlik ve işlem hırsızlığına karşı en etkin korumayı sağlar.

Ekibimizde Türk ve yabancı, alanında profesyonelleşmiş kişiler görev almaktadır.

2)Güvenlik işine nasıl bulaştınız?

Henüz Türkiye, yerli üretim güvenlik ürünleri ile dünya pazarına girmemişti. Romanya’dan “Bitdefender” , Slovakya’dan “ESET”, Rusya’dan “Kaspersky” varken neden Türkiye’den “Zemana” olmasın dedik ve bu konuda adımlarımızı atmaya başladık.

Öncelikle üniversite yıllarında kendi çabalarımızla bireysel olarak başlattığımız güvenlik projelerimizi 3 yıl boyunca ARGE olarak geliştirdik ve yine üniversite yıllarından tanıdığımız, Antivirüs firmalarında çalışmaya başlamış arkadaşlarımızı kendi firmamıza transfer ettik. Böylece uluslararası arenadaki serüvenimiz başlamış oldu.

3)Türkiye’de bilgi güvenliği konusunu değerlendirebilir misiniz?

Türk milleti olarak; her işte olduğu gibi güvenlikte de, bize birşey olmaz noktasından hareket ediyoruz. Güvenlik programlarına ödenecek para fuzuli kabul ediliyor. Kullanıcılar, taki başlarına kötü bir şey gelene kadar, hiçbir önlem almıyor.

Kurumlar ise kendi sunucularının güvenliğine çok fazla önem verirken, kullanıcılarının güvenliğine önem vermiyorlar. Örneğin Türkiye’deki bir bankanın sunucusu hack etmek Amerika’daki bir bankanın sunucusunu hack etmekten çok daha zor olabilir ama zincirin diğer halkası olan kullanıcılarını hack etmek de bir okadar kolay oluyor çünkü tüm güvenlik yatırımı kurum içi yapılıyor.

Bu duruma son vermek için, güvenliğin önemi çok iyi anlatılmalı ve güvenlik bilinci yaratılmalıdır. Bu doğrultuda, devlet ve sivil toplum kuruluşları bir araya gelerek, güvenlik bilincini yaymak için ortak akıl oluşturmalıdır.

4)Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?

Global dünyada yaşadığımız bilinciyle, üretilecek Türk menşeli güvenlik ürünlerinin, tüm dünyada satabilecek kalitede olması gerektiğine inanıyoruz. Bu bağlamda, üniversitelerimizin ilgili bölümlerinde, kalıplaşmış standart eğitimin yanında daha ileri seviyede ve yaşadığımız teknolojilere paralel, kaliteli eğitim verilmeli. Buralardan mezun olacak gençler için teşvik edici uygulamalar devreye sokulmalı. Verilecek teşvikler; büyük firmalardan ziyade, bu işe ilgi duyan gençlere hitap etmeli ve teşvik prosedürlerinin de herkesçe yerine getirilebilecek basitlikte olması gerekmektedir. Aksi takdirde, teşvikler bir işe yaramaz ve bu işe ilgi duyan cevherler ortaya çıkartılamaz. Kısacası devlet teşviklerini uygularken pozitif ayrımcılık yapmalıdır.

Şonuç olarak, kaliteli ve dünya standartlarında olmayan yerli üretimin ülkemize hiçbir faydası olmayacaktır.

5)Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

İlk önce, toplumda güvenlik bilinci oluşturacak yayınların çoğaltılması ve toplum önderlerinin bu konuda daha fazla rol alması sağlanmalıdır. Örneğin; sigaranın zararları, kanserden korunma yolları devlet desteği ile nasıl anlatılıyorsa; bu denli gelişen ve büyüyen internet çağında da sanal güvenlik ile ilgili yayınların yapılması gerekir.

6)Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?

Bu tür kuruluşların varlığı bile önemlidir. Şu an için yeterli olmasa bile, devlet desteği ile kurulan veya sivil toplum kuruluşlarının ortaya çıkardıkları kuruluşlar önemlidir.

7)Bu işe yeni başlayanlara neler önerirsiniz?

Herşeyden önce ileri seviyede İngilizce öğrenmelerini ve Internette Türkçe kaynağa bağlı kalmadan devamlı araştırmalarını.

8)Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?

İnternet üzerinden kimlik bilgilerinin kullanılması yaygınlaşacak ve buna paralel olarak bu bilgilere yönelik saldırılar da her geçen gün artacaktır.

Bu doğrultuda, Ipv4 ve Ipv6 protokolleri tamamen kaldıracak ve yerine aynı telefon numaralarında olduğu gibi IP adreslerini de, kişilerin gerçek kimliği ile eşleştiren bir zorunlu IP protokolü oluşturulacak, aksi taktirde cyber saldırılarının mutasyonuna bakıldığında bunların önüne geçmek yazılım yada donanım ile sağlamak mümkün olamayacak.

9)Güvenlik sertifikaları konusuna ne düşünüyorsunuz?

Günümüzde alınan güvenlik sertifikaları, bilhassa da ülkemizde bu sertifikaları veren kuruluşların bunu ranta dönüştürdüğünü görüyoruz. Belli bir süre sertifika programlarına katılan herkese bu sertifikalar kolaylıkla verilmektedir. Bundan dolayı alınan sertifikalar, etiketten öteye geçememektedir.

Gerçekten bu işe ilgi duyanların, sertifikalardan ziyade, bu işe odaklanmaları, çok çalışmaları ve trendleri yakından takip edip bilgilerini güncel tutarak kendilerini geliştirmeleri gerekmektedir. Orneğin biz personel alımlarımızda kesinlikle diploma yada sertifika sormuyoruz sadece istediğimiz konuları bilip bilmemesi ile ilgileniyoruz, yabancı firmalarda da bu böyle ancak ne yazık ki Türkiye’de iş bulmak için bu etiket , mülakat için bir vize.

10)Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

Kendi kontrolümüzde olmayan ve kullanmak zorunda olduğumuz servisler. ISP gibi.

11)Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitalpların okunmasını tavsiye edersiniz?

Securing Business Information, Intel press.

12)Bilgi güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı

Biz yaptığımız işi en iyi şekilde ve dünya standartlarında yapmaya çalışıyoruz. Bu işi iyi yapanları takdir edip yakından takip ediyoruz.

Örneğin; Eugene Kaspersky ve Mark Shuttleworth

13)Güvenlik dünyasında en fazla kullandığınız yazılım hangisi?

PE editorler ve Network sniffing araçları.

14)Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?

http://blog.metasploit.com/

http://blog.lifeoverip.net/

http://blogs.securiteam.com/

http://www.rootkit.com/

http://news.cnet.com/security/

http://www.zdnet.com/blog/security

http://www.offensive-security.com/

http://www.osronline.com/

15)Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?

İnsan yapacağı işi şeçmekten ziyade, istediği, severek yapabileceği işi yapmalıdır. Bizde güvenlik işini severek, isteyerek yaptığımiz için, her zaman bu işi yapardık diye düşünüyoruz.

The post Güvenlik Röportajları #28 “Zemana” first appeared on Complexity is the enemy of Security.

http://netsec.lifeoverip.net/duyuru/netsec-ag-ve-guvenlik-bulteni-sayi33-06-09-2010/

The post Netsec Güvenlik Bülteni: Sayı 33 – 06.09.2010 first appeared on Complexity is the enemy of Security.

Satır aralarında hem kendisiyle hem de güvenliğe bakış açısıyla ilgili önemli bilgiler yer almakta.

NGB: Kısaca kendinizden bahsedebilir misiniz?

Ferruh MAVİTUNA: Lise mezunuyum, Uzun süredir web uygulaması güvenliği konusunda çalışıyorum, özellikle otomatik olarak güvenlik açıklarının tespiti ve exploit edilmesi ilgimi çok çeken konulardan. Bir dönem Türkiye’ de çalıştıktan sonra İngiltere’ de bir güvenlik firmasında çalışmaya başladım. Bir kaç ay kadar önce çalıştığım firmadan ayrılıp kendi firmamı kurdum, bu firmada benim 3 senedir üzerinde çalıştığım bir web uygulaması güvenlik tarayacısının geliştirilmesine devam edip, satışa hazır hale getiriyoruz.

Sanırım en büyük hobim bilgisayar, onun harici iyi bir kitap okuyucusu ve çok daha iyi bir Call of Duty oyuncusuyum

NGB: Güvenlik işine nasil bulaştınız?

Ferruh MAVİTUNA:Aslında güvenlik işine girmem biraz komik, programcı olarak çalıştığım zamanlarda sevdiğim bir arkadaşım askerden aradı ve “ya Ferruh şu siteleri hackliyorlarmış falan, sen bu bilgisayar işini biliyorsun bir baksana güzel bir olaya benziyor” dedi. Ben de baktım Ondan sonra bu iş ben de büyük bir hobi olmaya başlayınca ve yurt dışındaki bir finans kurumu ile de ticari olarak anlaşınca programcılıktan güvenlik sektörüne kaydım ve orada kaldım.

NGB: Turkiye’de bilgi guvenligi konusunu degerlendirebilir misiniz

Ferruh MAVİTUNA:Açıkçası son 3 senedir Türkiye güvenlik sektörünü ticari açıdan çok yakından izleyemiyorum ama ciddi sorunlarımız olduğu kesin. Sorunun çözülmesi için iki şeyin gelişmesi gerekiyor. Regülasyon, bu finansal sektörde hızla ve başarılı şekilde ilerlerken ticari sektörde PCI gibi yetersiz standartlardan başka bir şey yok. İkincisi ise data kaybı gibi sorunlarda kanuni sorumluluk. Yani bir sistemden birilerinin kişisel bilgileri, kredi kartı gibi bilgileri çalındığında ilgili kurumun bu zarardan sorumlu tutulması gerekiyor. Bu konuda çalışmalar vardı ama henüz aktif şekilde yürürlükte değiller diye biliyorum.

Benim gözlemlediğim kadarıyla henüz ticari saldırılar da Türkiye’ de o kadar doruk noktasına ulaşmış durumda değil. Ticari saldırılar büyüdükçe ve medyada daha çok yer aldıkça, kurumlar da güvenliği daha dikkate almaya başlayacaktır. Işin devlet bazındaki durumu da çok kötü gözüküyor ama o bambaşka bir  konu…

NGB: Bu ise yeni baslayanlara neler onerirsiniz?

Ferruh MAVİTUNA:Once Ingilizce, sonra okumak, denemek, daha fazla okumak, daha fazla denemek. Bu döngüyü ne kadar çok takip ederseniz o kadar iyi olacaktır. Bir de bilmediğini bilmek. Bu sonuncusu sadece yeni başlayanlara özel değil öğrenmeye devam etmek isteyen herkes için.

NGB: Sizce 2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor olacak?

Ferruh MAVİTUNA: Bilişim sektöründe bir gün sonrasını bile tahmin etmek zor ama web açısından nacizane aklıma gelen bir kaç noktayı söyleyeyim. SaaS’ ın popülerleşmesi yükselerek devam edecek gibi bu da cloud-computing ve SaaS güvenliğini çok daha önemli bir hale getirecektir. Gene bunun etrafında dönen web servisi güvenliği ve web uygulamlarının API güvenliği exploit ediliyor olacak ve siteler arası paylaşılan component’ lar (widget vs.) başa çok bela açacak gibi. Tüm bunların etkisi de istemci tarafında daha çok güvenlikle ilgili “cross-domain policy” gibi standartların implemente edilmesini getirecektir.

Teşekkürler,

NGB: Zaman ayırarak röportajımıza katıldığnız için teşekkür ederiz.

The post Güvenlik Röportajları #3 Ferruh MAVİTUNA first appeared on Complexity is the enemy of Security.

 Güvenlik kahvesinin bu haftaki konuğu Adli bilişim analiz çalışmalarından tanıdığımız Halil ÖZTÜRKCİ. Satır aralarında hem kendisiyle hem de güvenliğe bakış açısıyla ilgili önemli bilgiler yer almakta.

NGB: Kısaca kendinizden bahsedebilir misiniz?

Halil ÖZTÜRKCİ: Elektronik  ve Haberleşme Mühendisiyim. Fakat üniversiteden mezun olduğum andan itibaren, yani yaklaşık 10 yılı aşkın bir süredir bilişim teknolojileri üzerine çalışıyorum. Sektöre ilk adımı sistem yöneticisi olarak attım ve sonrasında bir çok kurumda eğitmenlik ve danışmanlık yaptım. Şu an ortağı olduğum ADEO Bilişim Danışmanlık Hiz. Ltd. Şti.’de Güvenlik Çözümleri biriminin yöneticiliğini yapıyorum. Bu bağlamda şirketlerin ihtiyaç duydukları güvenlik hizmetlerini en iyi şekilde sunmaya yönelik çalışıyoruz. Sunduğumuz hizmetlerin başında penetrasyon testleri, adli bilişim incelemeleri, bilgisayar olaylarına acil müdahale gibi hizmetler geliyor.

NGB: Güvenlik işine nasil bulaştınız?

Halil ÖZTÜRKCİ: Tamamen bilinçli bir tercih benimkisi. 2000’li yılların başlarında firewall, IDS gibi güvenlik teknolojileriyle çok fazla uğraşmak zorunda kaldım ve bu uğraşıların sonunda nerede yetersiz kaldığımız sorusunu hep sordum.

Bu sorular çok daha derinlemesine inceleme yapmayi beraberinde getirdi, öyleki saatlerce siyah bir ekran karşısında paket analizi yaptığımı bilirim:). Bunun yanında güvenlik konusunda bana ön ayak olan, teşvik eden birisi de olmadı açıkcası. Gerçi sonradan tanıştığım ve tek işi bilişim güvenliği diyebileceğim arkadaşların da aynı durumda olduklarını bilmek beni şaşırtmadı. Çünkü konuşulan konular dünyada henüz yeniyken Türkiye’de bu konuların çok dikkat çekmesi beklenemezdi. Gerçi günümüzdeki durumunda çok farklı olduğu söylenemez.

Örneğin, günümüzde yurtdışında çok fazla alt alana dağılmış bir adli bilişim konusunu oturup konuşabileceğiniz, birlikte  çalışma yapabileceğiniz kimseleri bulmak gerçekten çok zor.

NGB: Turkiye’de bilgi guvenligi konusunu degerlendirebilir misiniz

Halil ÖZTÜRKCİ: Maalesef Türkiye’de bilgi güvenliğine verilen önem istenen yada olması gereken düzeyde değil. Aslında IT’nin geneli için durum aynı. Bir çok şirket için sadece bir gider kalemi olarak görülüyor.Bunun içinde güvenlik diye ayrı bir başlık açmak ve bu başlığın gereksinimlerini karşılamak adına yatırım yapmak yada yatırım kararı aldırmak daha da zor.
Bunun da başlıca sebebi güvenlik yatırımlarının sizi ”olası” tehlikelere karşı koruyor olduğu algısı. Yani bir çok şirketin iş süreçlerine olumlu etki yapan diğer IT yatırımlarından farklı şekilde ele alınıyor.

Daha iyi olması için nelerin yapılması gerektiğine gelince; Öncelikle hem birey olarak, hem şirket olarak hem de ülke olarak belirli bir güvenlik bilinç seviyesine ulaşmamız gerekiyor. Ne yazık ki bir çok konuda olduğu gibi bilişim güvenliği konusunda da  başımıza bir musibet gelmeden ders almıyoruz.  Planlı hareket etmediğimiz için çok daha fazla zararla karşılaşıyoruz bu tarz olayların sonrasında.

Bilgi güvenliği konusunda daha hızlı adımların atılması için kanunların başımızda  Demokles’in Kılıcı gibi durması lazım galiba. Bu sadece bizim ülkemiz için geçerli değil tabii ki ama diğer ülkelere oranla biraz daha kanun zoruyla iş yaptığımız için bu alanda da belirli adımların atılması için mutlaka devlet tarafından bazı şeylerin kanunla zorunlu hale gelmesi gerekiyor diye düşünüyorum.

Neden diğer ülkelerden gerideyiz sorusuna ise şöyle cevap vereyim. Teknolojiyi bu ülkelere göre çok daha geç kullanmaya başlayan bir ülkeyiz ve bu teknolojinin ürettiği bilgi’nin korunmaması durumunda neler ile karşılaşılabileceği konusunda diğer ülkelerden daha az tecrübe sahibiyiz.  Ne zaman teknolojiyi diğer ülkeler gibi hayatımızın her alanında verimli ve bilinçli kullanmaya başlarsak, bilgi güvenliği konusundaki geri kalmışlığımızı da o zaman kapatacağız diye düşünüyorum.

NGB: Bu ise yeni baslayanlara neler onerirsiniz?

Halil ÖZTÜRKCİ: Bilişim güvenliği tarafında yoğunlaşmak isteyen arkadaşlara öncelikle iyi bir sistem ve network bilgisine sahip olmalarını tavsiye ederim. Bunun yanında programcılık bilgisinin de olması güvenlik tarafında eksik yanlarının kalmamasını sağlayacaktır. Bilişim güvenliği dediğimiz alan da aslında kendi içinde bir çok alt alana bölünmüş durumda. Uygulama güvenliği, network güvenliği, adli bilişim vb. gibi daha bir çok alt alan var ve her alt alan kendine has derin bir uzmanlık gerektiriyor. Bu konularda kendini geliştirecek arkadaşlara tavsiyem bir yol haritası çıkartıp daha yolun başında hangi alanla uğraşmak isteyeceklerine karar vermeleri ve verdikleri kararı uygulayacak şekilde çalışmalara başlamaları.

Ülkemizde son yıllarda bilişim güvenliği ile ilgili olarak çok sayıda eğitim verilmeye başlandı. Durumu uygun olan arkadaşların bu eğitimlere katılarak süreci hızlandırmaları mümkün ama eğer eğitimlere katılmaları mümkün değilse bu durumda kendi kendine hazırlık yollarını seçmeleri gerekiyor ki burada da kitaplar ve eğitim video’ları devreye giriyor.

Eğer iyi bir google kullanıcısıysanız bütün bu kaynaklara internetden ulaşmanız mümkün. Bununla beraber bu alanda uzmanlaşmak isteyen arkadaşlara kişisel olarak sürekli takip ettiğin bir kaç web sitesi ile webcast ve podcast serisininden bahsetmek isterim.

Öncelikle SANS’ın “InfoSec Reading Room”u yeni başlayanlar için oldukça faydalı olacağına inandığım kaynakların yer aldığı bir site (http://www.sans.org/reading_room/). Güncel güvenlik haberlerini takip edebilecekleri http://www.scmagazineus.com/ ,  http://news.cnet.com/security/  ve http://www.h-online.com/security/ adreslerini sık sık ziyaret etmeliler  veya RSS feed’lerini almalılar diye düşünüyorum.
Bunun yanında bilişim güvenliğini ile ilgili güncel konuların ele alındığı ve oldukça geniş bir arşive sahip  SANS’in webcast serisi mutlaka takip edilmeli. (http://www.sans.org/webcasts/) . Ayrıca http://pauldotcom.com, http://podcasts.scmagazine.com ve http://www.cigital.com/silverbullet/ adreslerindeki podcastleri de sürekli takip etmelerinde fayda var.

NGB: Sizce 2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor olacak?

Halil ÖZTÜRKCİ:Aslında çok faklı konu başlıklarını konuşmayacağız fakat tehditlerimiz farklılık gösterecek. Örneğin yine virüslerle karşılaşacağız, yine kişisel bilgiler ele geçirilmek istenecek ve yine para, saldırganları en çok motive eden şey olacak. Bunun yanında günümüzden daha fazla oranda kanun/uyumluluk/standart odaklı yürüyecek bilgi güvenliği işleri diye düşünüyorum.

NGB: Zaman ayırarak sorularımıza cevap verdiğiniz için teşekkür ederiz.

The post Güvenlik Röportajları #2 Halil ÖZTÜRKCİ first appeared on Complexity is the enemy of Security.

  Türkiye’de bilgi güvenliğinin çeşitli dallarında çalışan uzmanları tanıtıyoruz. Bu haftaki konuğumuz OWASP-TR kapsamında Web Uygulama Güvenliği üzerine çalışmalarıyla tanınan Bedirhan URGUN.

NGB)Kısaca kendinizden bahsedebilir misiniz?

Bedirhan URGUN:Lisans ve yüksek lisans eğitimini bilgisiyar mühendisliği alanında tamamladım. Profesyonel çalışma alanım güvenli yazılım geliştirme süreçleri ve web uygulama güvenliği. Özellikle güvenli geliştirme süreçleri bir çok alt konudan oluşuyor ve büyük kurumsal şirketlerde uygulanması tam bir hendek-deve vakası. Meraklarım ise daha çok yeşil bir saha ve beyaz bir top etrafında oynanıyor…

NGB)Güvenlik işine nasil bulaştınız?

Bedirhan URGUN: Güvenlik işine duyduğum ilgi yüksek lisans sırasında aldığım bir ders (William Stallings, Cryptography and Network Security) ile başladı. İlk başlarda yazılım ve güvenliği birleştirebileceğim bir alan arıyordum. 2005 senesinde Tubitak-UEKAE’de çalıştığım sırada bir çalışma arkadaşım web güvenliğine yönlendirdi beni. Daha sonra her akşam iş çıkışı yazıcı çıktıları ile eve gittiğimi hatırlıyorum.

NGB)Turkiye’de bilgi guvenligi konusunu degerlendirebilir misiniz

Bedirhan URGUN:Bir çok zorluk ve eksiklik olduğu aşikar ama bu bir istisna değil. Hem kurumsal hem de kamusal alanlarda bilinçlendirme konusunda elimizden geleni yapmamız şart. Bu alanlara, özel şirketler olduğu kadar üniversiteler (hatta liseler) ve diğer kamu kurumları da dahil.

NGB)Bu ise yeni baslayanlara neler onerirsiniz?

Bedirhan URGUN:Bilgi güvenliği alanının her konusunda yeni işe başlayanlara kendini yetiştirmek isteyenlere önerim, araştırmacı ruhlarını ön plana koymalarıdır. Her zaman sistematik çalışma yapmamız mümkün olmayabilir ama temel konuların iyi öğrenilmesi çok önemli (network protokolleri, yazılım temelleri, temel ingilizce, v.b.). Bu süreç bazıları tarafından karate öğrenme sırasında yapılan “cilala parlat” tekniği olarak da bilinir. Ayrıca arkadaşlarımızın her ne kadar ilk bakışta heyecanlı gelse de gücün karanlık tarafına geçmemelerini öneriyorum.

NGB)Sizce 2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor olacak?

Bedirhan URGUN:Bilgi güvenliğinin ana konuları değerini yitirmeyecektir; risk/açıklık yönetimi, açıklıklar, standardlar. Yakınsama süreci gerçekleştikçe mobil güvenliğin önemi bir o kadar artacaktır. Her ne kadar eski yapılan hatalardan dersler çıkarılıp, uygulansa da kullanıcı/cihaz sayısının ve bağımlılığın artması beraberinde bilgi güvenliğinin çok daha ciddiye alınmasını getirecektir.

NGB) Zaman ayırarak sorularımıza cevap verdiğiniz için teşekkür ederiz.

The post Güvenlik Röportajları #1 Bedirhan URGUN first appeared on Complexity is the enemy of Security.