Güvenlik kahvesinin bu haftaki konuğu Mert SARICA
NGB: Kısaca kendinizden bahsedebilir misiniz?
Mert SARICA: 2006 yılında özel bir üniversitenin bilişim sistemleri bölümünden mezun oldum. İş hayatına atılana kadar hayatımın çok büyük bir bölümü bilgisayar başında hacking üzerine kitaplar, makaleler ve dergiler okuyarak, videolar izleyerek ve programlama ile geçiyordu, orta okul yıllarından üniversite yıllarına kadar olan süre boyunca hackinge olan merakım sonunda işimin bir parçası oldu.
Artık eskisi kadar boş vaktim olmaması nedeniyle elimden geldiği kadarıyla boş vakitlerimi bilişim güvenliği üzerine kitaplar okuyarak ve videolar izleyerek geçiriyorum, geri kalan kısmında da pratik yapıyor ve yeni kurduğum bloguma (merak edenler için http://www.mertsarica.com) birşeyler karalıyorum.
Yaptığım işe gelecek olursak, şuanda bir finans kuruluşunda müşterilere daha güvenli hizmetlerin sunulabilmesi için kaynak kodu analizinden, ters mühendisliğe, penetrasyon testinden, forensic analizine kadar olabildiğince teknik işler yapıyorum. Sahip olduğum sertifikalardan da bahsetmek gerekirse CISSP, SSCP, OSCP ve OPST.
NGB: Güvenlik işine nasıl bulaştınız?
Mert SARICA: Yaklaşık 6 sene önce, üniversite yıllarındayken ders seçmek için kullanılan elektronik sistemin güvenlik seviyesini ölçmek amacıyla incelerken (yeni nesle kötü örnek olmasın, suç olduğunu hatırlatmak isterim) sistem üzerinde parametre manipülasyonuna imkan tanıyan bir güvenlik zafiyeti olduğunu keşfetmiştim ve bu sayede diğer öğrencilerin bilgilerini görüntüleyen bir program hazırlamıştım ancak kötü bir niyetim yoktu sadece merakımın kurbanı olmuştum ve bu zafiyeti okul yönetimine bildirmeninde okuldan atılmama sebep olacağı korkusu yüzünden ilgili zafiyet ve program tozlu klasörler arasında yerini almıştı.
Daha sonra mezun olmaya yakın tez konusu seçmek için danışmanın odasına gittiğimde konular arasında “Hacking Methodologies” konusu tabiiki gözüme çarpan ilk konu olmuştu ve bu konuyu seçmiştim.
Danışmana tezimde keşfettiğim zafiyeti ve hazırladığım programı kullanmak istediğimi söylediğimde konu bölüm başkanına, bölüm başkanından dekana, dekandan genel sekretere, genel sekreterden bilgi işlem koordinatörüne taşınmıştı ve sonunda yönetim takdir edilesi bir karar alarak beni işe almak istediklerini ve üniversitedeki sistem ve uygulamalardaki güvenlik açıklarını bularak kendilerine yardımcı olmamı istemişlerdi, her ne kadar iş hayatının o zamanlar bana uzak olduğunu düşünsemde sonunda üniversiteme faydamın dokunacağını düşünerek kabul etmiştim, benim hikayemde bundan ibaret, biraz merak, biraz şans…
NGB:Turkiye’de bilgi guvenligi konusunu degerlendirebilir misiniz?
Mert SARICA: Açıkçası farklı sektörlerde çalışmadığım için, şuan içinde bulunduğum sektörde önem verildiğini söyleyebilirim. Önem verilmesinin sebebine gelecek olursakta her ne kadar regülasyonların bilgi güvenliğini sağlama adına koca bir balon (Google keyword: Hannaford Breach & PCI Compliance) olduğunu düşünsemde önem verilmesini sağlayan en büyük etkenlerden biri olduğuda inkar edilemez bir gerçek.
Regülasyonlar firmaları iç ve dış penetrasyon testi yaptırmaya zorlamasalardı şuan kaç firma kesenin ağzını açıp müşterilerinin güvenliği için bunu gerçekleştirirdi açıkçası bir elin parmaklarını geçer miydi bilemiyorum. Ünlü soygunculardan Willie Sutton’a sorulan soru ve yanıtı regülasyonların şart koşmadığı durumlarda dahi her zaman finansal işlemlerin gerçekleştiği tüm sektörlerde güvenliğe önem verilmesi gerektiğinin önemini vurguluyor.
When asked why he robbed banks, Sutton simply replied, “Because that’s where the money is.”
NGB: Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?
Mert SARICA: Karşılaştığım kurumsal yazılım geliştiren yerli firmalar kolay yolu seçerek var olan açık kaynak kodlu yazılımları bir kutu içerisine koyarak, ufak çapta değişiklikler/geliştirmeler yaparak yeni bir ürünmüş edasıyla piyasaya sürdükleri için şuan için tercih edilecek düzeyde pek bir güvenlik yazılımı olmadığını görüyorum ve yenilik yanlısı ürünler ortaya çıkartılmadıkça dev firmalar ve yazılımları karşısında şuan için pek şansları olmadığını düşünüyorum öte yandan henüz rakipleri karşısında geride olsada Netsparker gibi yerli güvenlik araçlarının geliştirildiğini ve dünya pazarına sunulduğunu görmek gerçekten takdir edilmeye değer…
NGB: Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?
Mert SARICA: Anahtar kelime: Farkındalık. Ne zamanki Defcon, Blackhat konseptine sahip ürün reklamlarından uzak, tamamen teknik anlatımların yapıldığı konferanslar düzenlenir ve hatta yurt içinde ve dışında ses getirebilecek çapta araştırmalar gözler önüne serilir o zaman ileri seviyeye taşınması adına büyük bir adım atılmış olur tabii bu konferansların yapılması için bilişim güvenliği üzerine uğraş veren herkesin teknik anlamda içi dolu, tatminkar araştırmalar ve çalışmalar yapması gerekiyor, kısaca bunun için hepimize iş düşüyor…
NGB: Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?
Mert SARICA: Sanal suçların her geçen gün arttığı bir dünyada yaşarken Türkiye’de böyle bir kurumun olmamasını düşünemiyorum. TR-CERT’in Ar-Ge çalışmalarının bir parçasıda zararlı kodların incelenmesi ancak bildiğim kadarıyla Cert’in Vulnerability Analysis Blogu gibi bir bloga sahip değiller ve çalışmalarını bu şekilde paylaşmıyorlar bu nedenle Cert ile karşılaştırdığımda henüz arzuladığımız noktaya gelebilmiş değiller.
NGB: Bu ise yeni baslayanlara neler onerirsiniz?
Mert SARICA: Bol bol kitap okuyun, bol bol video izleyin, kısaca kendinizi sürekli geliştirin ve güncel tutun, tıp alanında yenilikleri ve gelişmeleri takip etmeyen bir doktor nasıl ise güvenlik alanındaki yenilikleri ve gelişmeleri takip etmeyen bir güvenlik uzmanı pas tutmuş bir demirden farksızdır.
Bilişim güvenliği gerçek anlamda teknik yetkinlik isteyen bir alan ve bu nedenle işin teknik tarafından haz almayan bu nedenle bu tarafta yer almak istemeyen kişilerin fazla olması nedeniyle çok fazla tercih edilmiyor ancak sanal tehditlerin gün geçtikçe artmasıda bu uzmanlara olan talebin artmasına sebep oluyor…
NGB: Sizce 2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor olacak?
Mert SARICA: Şüphesiz RFID & Mobile Security
NGB: Güvenlik sertifikaları konusuna ne düşünüyorsunuz?
Mert SARICA: Sertifika = İş = Aş
Örneğin CISSP gibi saygınlığı yüksek bir sertifikaya sahip olmak her zaman işinizi kolaylaştırır, nedenlerini sıralayacak olursam;
Hiçte ucuz olmayan 549$ – 599$ arasındaki CISSP sınav ücretini ödeyen herkes tekrar bu ücreti ödememek için vaktinin büyük bir bölümünü 10 domaini çalışarak geçirmekte ve bu sayede Access Control Systems and Methodology, Telecommunications and Network Security, Business Continuity Planning and Disaster Recovery Planning, Security Management Practices, Security Architecture and Models, Law, Investigation, and Ethics, Application and Systems Development Security, Cryptography , Computer Operations Security Physical Security domainleri hakkında temel düzeyde istemesede bilgi sahibi olmaktadır bu sayede iş veren sizin bu domainler konusunda bilgi sahibi olduğunuzu teyit edebilmektedir.
Bunun dışında eğer danışmanlık hizmeti verecekseniz veya danışmanlık hizmeti veren bir kurumun danışman kadrosunda yer alacaksanız, bu sertifikalardan birine sahip olmanız size veya iş vereninize danışmanlık hizmetini pazarlama adına büyük avantaj sağlayacaktır çünkü çoğunlukla bu hizmetlerin satın alınması aşamasında danışmanların sahip olduğu sertifikalar önemli bir oynamaktadır.
Ayrıca bu sertifikaya sahip olan kişiler sertifikalarının geçerliliğini devam ettirebilmek için her sene eğitimlere ve seminerlere katılarak, kitap okuyarak kendilerini geliştirmek zorundadırlar aksi halde sertifikalarının dondurulması ve iptal edilmesi söz konusu olabilir. İş veren açısından baktığımız zaman her daim kendini geliştirmek zorunda olan bir çalışana sahip olması oldukça mutluluk vericidir.
Aklıma son gelen ise bu sertifikaya sahip olmak için code of ethics’i kabul etmeniz gerekmektedir. Code of ethics’i kabul etmiş birinin sahip olduğu bilgiyi kötü emelleri için kullanmayacağı en azından bu ihtimalin oldukça düşük olduğu (malum kariyeri son bulacaktır) göz önünde bulundurulduğunda, çalışanın bu değerli sertifikalarını riske atmayacağı bir gerçektir, bu nedenle iş verene güven vermektedir.
Sonuç olarak sertifika sahibi olmak hem iş veren hem de adaylar için çeşitli avantajlar sağlamaktadır ancak unutulmaması gereken en önemli kısım bu tür teknik olmayan sertifikalar sadece temel düzeyde bilgiyi ortaya koymak için değerlendirme kriteri olarak kullanılmalı, ileri düzey içinse mutlaka hands-on sertifikalar (örnek: OSCP) değerlendirme kriteri olarak kullanılmalıdır.
NGB: Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?
Mert SARICA: Yaklaşık 2.5 sene önce WIFI POSlar üzerinde gerçekleştirdiğim testlerde o gün için güvenli olmadığını ortaya çıkartmak karşılaştığım ciddi güvenlik problemlerinden biriydi tabiiki şuanda artık böyle bir durum söz konusu değil ancak yine de havada uçan paketlere sıcak bakmıyorum…
NGB: Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitalpların okunmasını tavsiye edersiniz?
Mert SARICA: En son okuduğum iki kitap, The IDA Pro Book ve The Mac Hacker’s Handbook. Şuan da okuduğum ise Hacking Exposed Computer Forensic 2nd Edition. The Shellcoder’s Handbook kitabını halen okumamış olan var ise tabiiki öncelikle bunu okumalarını tavsiye ederim.
NGB: Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı?
Mert SARICA: Böyle bir kahramanım olmadı ancak zamanında duyurularını takip etmekten oldukça keyif aldığım Gobbles Security grubunu rahmetle anmak isterim…
NGB: Güvenlik dünyasında en fazla kullandığınız yazılım hangi?
Mert SARICA: Nessus, Paros, Nmap
NGB: Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?
Mert SARICA: http://www.securityfocus.com/ , http://www.securiteam.com/ , http://www.packetstormsecurity.org/ , http://www.explo.it
NGB: Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?
Mert SARICA: Hiç tereddüt etmeden seçerdim.
NGB: Okuyucularımıza aktarmak istediğiniz yeni yıl mesajı var mı?
Mert SARICA: “Yeni yıl yaklaşırken eminimki çoğumuz sevdiklerimiz için hediye
arayışı içine girmiştir, malum konumuz güvenlik oluncada, fikir verme açısından, bıp dıt dut kartların kullanımın yaygınlaşması nedeniyle sevdiklerinize RFID bloklayan cüzdan hediye etmenizi tavsiye eder, herkese iyi yıllar dilerim…”
NGB: Zaman ayırarak röportajımıza katıldığınız için teşekkür ederiz.
