Güvenlik Röportajları #13 – Emre SAĞLAM

Netsec güvenlik bülteninin bu haftaki konuğu dünya bankası bilgi güvenliği departmanı çalışanlarından Emre SAĞLAM…

NGB: Kısaca kendinizden bahsedebilir misiniz?

Emre SAĞLAM: Herkese Merhaba. 93 yili Istanbul Saint Joseph Lisesi’nden ve 2000 yilinda da uzun bir maratondan sonra ‘:)’ Galatasaray Universitesinin Bilgisayar Muhendisligi bolumunden mezun oldum. Daha sonrasinda ABD’de George Washington Universitesinde Bilgisayar ve Ag guvenligi uzerine Master’imi tamamladim. Su anda ise Ag guvenligi uzerine Dunya Bankasinda calismaktayim.

Hayatim boyunca birseyleri kurcalamaktan hoslandim, hatta cocukken ailem benden cok cekti. Radyo/teyp/saat kurcalayip bozmaktan ilallah dediklerini hatirliyorum. (Onceden soyleyeyim, tamir basari yuzdem bayagi dusuktu) Sanirim bu yuzden bana Lego setleri alarak bu merakimi sokulup takilabilecek seylere dogru kanalize etmeye calistilar. Eger sizin de geek cocuklariniz olmasini istiyorsaniz Lego’yu siddetle tavsiye ediyorum 😉 Muhendislige sanirim ilk boyle bulastim.
Ilk bilgisayarla tanismam ise Commodore 64 ve onunla birlikte gelen 100+ floppy ile oldu. Bol bol oyun oynadiktan sonra, tabii ki C64’umu de kurcalamam gerektiginden bir cok bilgisayar kavramini orada ogrendim. Daha sonra universitede Galatasaray Universitesi Linux Kullanicilari kulubunu kurduk. Linux ile de ilk tanismam 94/95 yillarinda bu kulup sayesinde oldu. Guvenlikle de yine bu sayede bol bol hack edilerek tanistim. :)Is disinda hayatimin geri kalaninda havalar guzel oldugunda motosiklete binerek, motosiklet tamir ederek, bilgisayar programlayarak, kitap okuyarak ya da World of Warcraft oynayarak geciriyorum.

NGB: Güvenlik işine nasıl bulaştınız?

Emre SAĞLAM: Güvenlik işine tamamen kendi isteğimle adeta balıklama daldim. Bir tartışma olsun, mekanik bir şey olsun, hep bir şeylerin açığını bulmak ilgimi çekmiştir. Sanırım güvenlik mesleği için iyi bir özellik bu. Masterimi bu konu üzerine özellikle seçtim. Meslek arayışında özellikle güvenlikle ilgili çalışmak istedim. Bu konudaki tercihim sanırım bundan daha fazla bilinçli olamazdı. Bu konuda gerçekten kendimi çok şanslı hissediyorum. Her insana bu kadar sevdiği konuda çalışabilmek nasip olmuyor ne yazık ki.

NGB: Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

Emre SAĞLAM: Türkiye’de ya da dünyada güvenlik konusunu daha ileriye taşımak için öncelikle güvenlik kavramının firewall/IPS koyup, vulnerability scannerları haftada bir çalıştırmaktan ibaret olmadığını birbirimize anlatmalıyız. Güvenliği bir süreç olarak algılamayı amaç edinmeliyiz.
Güvenlik zaten hergün içinde yaşadığımız bir şey ve inanın ki bilgisayar güvenliği ile hava trafiği kontrol güvenliği veya en basitinden evinizin güvenliği arasındaki tek fark kullandığınız araçlar. Eminim evinizden çıkarken kapınızı kilitlemek ne kadar normal geliyorsa, web serverinizi dünyaya 80/443 numaralı portlar dışında acmamak da o kadar normal geliyordur. Önemli olan iste bu güvenlik sürecini bilgi teknolojilerinde de benimsemek, korumasını üstlendiğiniz şirketlerin başındakilere de benimsetmek. Güvenlik tepeden destek görmediği ve özellikle tepeden bilinçle tabana yayılmadığı sürece daima eksik kalacaktir.

Bunun dışında araştırma/öğrenme/öğretme/geliştirme dörtlüsününün en azından ilk üçünü bulunduğunuz ortamda yaşatmaya çalışın. Gerisi zaten daima ileriye gidecektir.

NGB: Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?

Emre SAĞLAM: Bu konuda pek bir bilgim yok ne yazik ki.

NGB: Bu ise yeni baslayanlara neler onerirsiniz?

Emre SAĞLAM: Merak. Merak. Merak. En önemlisi bu ise ilgi duyun. (Her konuda olduğu gibi) Okuyun, öğrenin, kurcalayın. RFC okuyun, protokol öğrenin, bir protokolü hayata geçirin. 🙂 İmkan varsa yabancı dillerde yazılmış makaleleri ve kitapları takip edin ve kendi dilinizde birşeyler üretin.

Bildiklerinizi başkalarına aktarmayı felsefe edinin. Yeni fikirlere açık olun. Rekabetçi olmayın, bunun yerine ortak çalışın.

Mutlaka bir programlama dilini araç olarak kullanacaksınız, en azından bir ya da iki dile hakim olun. (perl/python ikilisi, bash scripting tavsiyelerim)
Özgür yazılıma önem verin. Linux öğrenin, öğretin. Ama cidden öğrenin. En az bir kernel modülü yazmadan gözüme gözükmeyin 😉 Yeni başlayanlara ubuntu, debian, kendini zorlayıp geliştirmek isteyenlere kesinlikle gentoo tavsiye ediyorum.
Kitaplar:
Bruce Schneier – Applied Cryptography mutlaka okunmasi gereken bir kitap.

O’Reilly yayınevinin çok kaliteli kitapları var. DNS, TCP/IP, kısacası internet yapıtaşlarının nasıl çalıştığını anlatan bütün kitaplarından faydalabilirsiniz.

e-posta listeleri:

netsec oldukca basarili bir liste, hala uye degilseniz kizarim 🙂

[http://blog.lifeoverip.net/netsec-listesi/]
bugtraq, securityfocus, insecure.org listeleri de kesinlikle tavsiye edilir.

NGB: Sizce 2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor olacak?

Emre SAĞLAM: 2015 yılına kadar güvenliğin bir servis ve hizmet sektörüne dönüşme ihtimali çok yüksek. Gazetelerde, halk arasında konu olarak bu mu konuşulur bilemem 🙂 Ama şirketsel geleceği bu gözüküyor. Onun dışında kesinlikle hala visual baic scriptleri ve üç boyutlu kullanıcı arabirimleriyle internetten banka soyan film karakterleri olacak, hala virüslerle özel bilgiler çalınacak, zayıf statik şifreler daha da hızlı kırılacak.

Pozitif yönden ise şu anda emekleme devresinde olan web application firewall gibi teknolojilerinin daha da olgunlaşması, aynı zamanda da güvenlik araçlarının merkezi/güvenilir yönetimi konusunda da adım atmasını bekliyorum. Virtualization konusunun da güvenlikle uğraşan insanların başını bayağı ağrıtabileceğini sanıyorum. Belki de 2015 yılı sanallaştırma güvenliğinin çözüldüğü yıl olur. 🙂

Son olarak Kriptografi çiplerinin yaygınlaşmasıyla bilgi şifreleme konusunda da bir atılım yaşanacağını umuyorum. Ama tabii ki bu atılım dijital anahtar yönetimi sorunlarını da beraberinde getirecektir. 15 seneden fazla bir süredir çözülemeyen bu sorunun çözümünün de bize 2050 yılında uzaylılar tarafından ışık hızı üstü seyahat bilgisi ile birlikte verileceğini düşünüyorum! 🙂

NGB: Güvenlik sertifikaları konusuna ne düşünüyorsunuz?

Emre SAĞLAM: Guvenlik sertifikalarinin yararliligi konusunda gercekten ortadan ikiye ayrilmis durumdayim. 🙂 Benim dusuncem, eger imkaniniz varsa, alabiliyorsaniz alin. Ornegin Cisco-PIX kullandigimiz bir projede PIX’e hakim bir insani 6 ayligina bir proje icin ise almam gerekiyorsa ve elimde 10 tane ozgecmis varsa, PIX sertifikasi olanlara oncelik veririm.

Ama guvenlik muhendisi tarzinda kalici bir is acilmissa ve karsima PIX sertifikali bi insan gelirse o kadar da onemli bir arti olmadigini dusunuyorum.

NGB: Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

Emre SAĞLAM: Tahmin edersiniz ki yasadiginiz gercekten ciddi guvenlik problemlerini anlatmaniz her zaman yasak olacaktir 😉 O yuzden cok klasik olacak ama: Karsilastigim en ciddi guvenlik acigi insan. Cozumu ise surec, egitim, derinligine savunma, ve insanin yine kendisi. Gercek hayattan ornek vermek gerekirse: Sistem yoneticisi bir web server hazirliyor, DMZ’ye koyuyor. Uygulama yoneticisi kimseye haber vermeden FTP aciyor. 3 ay sonra internet kullaniminizda artis goruyorsunuz. Nedeni ise basit. FTP hesaplari sifresiz ve sunucunuz illegal program degis tokusunun en buyuk parcasi olmus.

Surec olarak DMZ’de bulunan her sunucuyu sıkı kontrolden gecirmeyi edinseniz, egitim olarak uygulama yoneticisine uygulamasinin kritik bir yerde yasadigini ve surece uymasi gerektigini verseniz, derinligine savunma olarak da ornegin firewall ile sadece http portunu dunyaya acsaniz, bir ya da birden fazla kisinin hata yapmasinin onune buyuk olcude gecebilirsiniz.

NGB: Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitapların okunmasını tavsiye edersiniz?

Emre SAĞLAM: Bruce Schneier – Applied Cryptography mutlaka okunmasi gereken bir kitap.

O’Reilly yayınevinin çok kaliteli kitapları var. DNS, TCP/IP, kısacası internet yapıtaşlarının nasıl çalıştığını anlatan bütün kitaplarından faydalabilirsiniz.

NGB: Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı?

Emre SAĞLAM: Kahraman demek ne kadar dogru olur ama Bruce Schneier’i cok seviyorum 🙂 Ozellikle guvenligi korku baskisi altinda satmaya calismayan bir insan. Durumu guzel bir sekilde analiz etmeyi  ve analizinden dogru, yararli ve uygulanabilir sonuclar cikarmayi biliyor.

Bir baska sevdigimi insan da Gordon Lyon. Eminim bir cogunuz onu nmap’in yaraticisi Fyodor olarak biliyorsunuz 🙂 Karakter kompleksinden uzak, caliskan ve bildiklerini paylasan bir insan  oldugu ve tabii ki de insecure.org ve nmap’in babasi oldugu icin kendisini begenerek izliyorum.

NGB: Güvenlik dünyasında en fazla kullandığınız yazılım hangi?

Emre SAĞLAM: nmap ve hping. Bunlar olmasaydi ne yapardim bilemiyorum. nmap kullanimi konusunda fazlamesai irc kanalinda bir seminer vermistim. (http://bit.ly/5SK3mY) hping konusunda da hala bir borcum var 😉

NGB: Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?

Emre SAĞLAM: Ozellikle blog ve site takip etmeyi sevmiyorum. Zamanim oldukca asagidaki sitelere goz gezdiriyorum.

Huzeyfe’nin blogu aktif ve bilgi dolu. Sanirim hepimiz adresini zaten biliyoruz 🙂

Bruce Schneier: http://bit.ly/GG0S

Reddit netsec: http://bit.ly/89NcGp

NGB: Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?

Emre SAĞLAM: Sanirim ciftciligi deneyebilirdim. Biraz da topragi hack edeyim diye 😉 Saka bir yana, ingilizcede en sevdigim ozdeyislerden birisi su: “The grass is greener on the other side” Bizdeki karsiligi da komsunun tavugu komsuya kaz gorunur. Her zaman baska bir is, baska bir alan insana daha cazip gorunur. Bu insani doyumsuzlugumu bir kenara biraktigimda, bir saniye bile dusunmeden yine bilgi guvenligi alanini secerdim. 🙂

NGB: Zaman ayırarak röportajımıza katıldığınız için  teşekkür ederiz.

This entry was posted in Röportajlar and tagged . Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

four × five =