Güvenlik kahvesinin bu haftaki konuğu Muğla Üniversitesi Bilgisayar Mühendisliği Bölümü’nden Yrd.Doç.Dr. Enis KARAARSLAN.
NGB: Kısaca kendinizden bahsedebilir misiniz?
Enis KARAARSLAN: 1976 yılında İzmir’de doğdum. Ege Üniversitesi’nde doğmuşum ve göbek bağını üniversiteye gömmüşler. Bir şekilde Ege Üniversitesi’ne göbekten bağlıydım anlayacağınız. Lisans, Yüksek Lisans, Doktora derken yıllar geçti. Bir yandan Uluslararası Bilgisayar enstitüsünde araştırma görevlisi kadrosundayken bir yandan da üniversitenin ağ yönetim grubunda görev aldım.
10 yılı aşkın bir süre Ege Üniversitesi Network Yönetim Grubu’nda ağ ve güvenlik yöneticisi olarak görev yaptım. Aynı zamanda Ege Üniversitesi Cisco Network Bölgesel Akademisini kurdum. Öğrenci ve eğitmen eğitimlerini gerçekleştirdim.
Tübitak Ulakbim’den Murat Soysal’ın önderliğinde, ULAK-CSIRT (http://csirt.ulakbim.gov.tr/) ün kurulumunda görev aldım ve halen üyesiyim.
Tele.com.tr dergisinde 22 sayı süren “Ağ Güvenliği Akademisi” yazı dizisini hazırladım. Aslında bu yazı dizisi, yazmayı düşündüğüm kitabın ilk taslağını oluşturacaktı. Üründen bağımsız, işin daha çok felsefesini anlatan bir kitap yazmayı istiyordum. Şimdilik beklemeye aldığım bir projedir. Arada http://agguvenligi.blogspot.com/ adresine birşeyler karalamaya çalışıyorum.
Askerliğimi Işıklar Askeri Hava Lisesinde yedek subay olarak yaptıktan sonra Ege Üniversitesi’ne geri döndüm. İzmir’i ve Ege Üniversitesi’ni çok sevmeme rağmen, belki de bir değişikliğin iyi olabileceğini düşünmeye başlamıştım. Muğla Üniversitesi’nde Bilgisayar Mühendisliği bölümünün kurulduğunu ve genç kadroyu duyunca, bunun iyi bir fırsat olduğunu anladım. Şu anda Muğla Üniversitesi Bilgisayar Mühendisliği bölümünde Yardımcı Doçent Dr. olarak görev yapmaktayım. Turkiye’de guvenlik konusunda yapilan akademik calismalar genellikle birbirinden kopuk ve ayrik gerceklesiyor. Bu konuda bir sinerji yaratmak ve birlikte calismak icin bir grup olusturduk. “DEU Computer Engineering Security Research Group” sayfasina da asagidaki linkten ulasilabilir: http://srg.cs.deu.edu.tr/
Bilgisayar ağları ve güvenlik konusunda çalışmalarım var. Eğitmenlik yapmayı ve üniversitede olmayı seviyorum. Güvenlik ve ağ yönetimi konusunda yeni birşeyleri denemeyi ve deneyimlerimi paylaşmayı seviyorum.
Gezmeyi, okumayı, kültür ve sanat etkinliklerine katılmayı ve arkadaşlarımla zaman geçirmeyi severim.
NGB: Güvenlik işine nasıl bulaştınız?
Enis KARAARSLAN: Ege Üniversitesi Bilgisayar Mühendisliği bölümünde okurken, elimizin altında çok çeşitli sistemler vardı. IBM Mainframe ve dummy terminaller, Novell üzerinde çalışan Windows, DEC ALPHA’lar üzerinde çalışan Unix. Evdeki PC’me Linux kurarak Linux dünyasıyla tanıştım. Ağda bu sistemler arasında neredeyse hiç güvenlik sistemi yoktu. Zaten mühendislik eğitiminde de güvenlik dersi verilmiyordu. Hocamız sayın Ahmet Koltuksuz’un bu konuda yaptığı birkaç sohbet dışında bu konuda çok bilgisizdik. Keylogger’lar ve ağ dinleyicileri ile şifremizi çalan arkadaşlar da tetiklemiş olabilir tabii ;-).
Lisans tezi olarak Unix Sistemleri’nde güvenliği inceledim. Yüksek Lisansı UBE’de yaparken ağ ve güvenlik konusunda temel bilgileri edindim. Ege Üniversitesi ağında kurulan güvenlik duvarı ve ağ politikalarının oluşturulmasında görev aldım. Güvenlik duvarını yıllarca yönettim. Açık kaynak kodlu birçok yazılımı deneme ve kullanma şansım oldu. Sorunlarla karşılaştıkça ve o sorunları çözmek için uğraştıkça deneyim kazandım. Sadece güvenlik değil, ağ yönetimi ile aktif olarak uğraştım. Yüksek Lisans ve doktora çalışmalarımda da güvenlik konusunda devam ettim.
NGB: Türkiye’de bilgi güvenliği konusunu değerlendirebilir misiniz?
Enis KARAARSLAN: Bu konuda en ilginç örnek, SANS’dan çıkan Network Intrusion Detection – An Analyst’s Handbook’daydı sanırım. Bir saldırı analizi sonucunda, “Saldırı Tükiye’den geliyor dikkat” diyordu. Bunu tam olarak anlayamamış ve hocam sayın Tuğkan Tuğlular’a sormuştum. O da, Tükiye’deki sistemlerde yeterince güvenlik önlemi alınmadığından saldırganlar tarafından ele geçirilip, saldırıda bir geçiş noktası olarak kullanıldığını ve bu yüzden “dikkat” ibaresi kullanıldığını belirtmişti.
Üniversitelerde bunu bolca yaşadık. Zaten bu yüzden ULAK-CSIRT kuruldu. Bilinçlendirme çalışmaları sonrasında bunun bir derece azaldığını düşünüyorum. Daha fazlasının yapılabilmesi için bu grubun bir bütçeye ihtiyacı var, şu anda gönüllü esasına göre çalışılıyor.
TR-BOME (http://www.bilgiguvenligi.gov.tr/) de bilgilendirme ve bilinçlendirme konusunda çok yararlı bir iş yapıyor. Tübitak UEKAE tarafından bazı üniversite sistem yöneticilerine ücretsiz kurslar düzenlendi. Bu tür katkıların artarak devam etmesi gerekiyor. Bilgi Güvenliği Derneği, Bilişim Güvenliği derneği gibi oluşumlar var.
Birçok bilgisayar Mühendisliği ve Bilgisayar Programcılığı bölümlerinde güvenlik eğitimi verilmiyor. Verildiği durumlarda ise uygulamaya yönelik olmayabiliyor, çoğu teorik bilgi olarak geçiliyor.
Saldırganlığın yani zarar vermenin bir suç olduğunun yeterince vurgulanmadığını düşünüyorum. Her lamer (sözde hacker), kendisini bilgisayar kurdu zannetmekte. “Biz onları uyarmıştık!” gibi ilginç söylemler de var.
Patronların güvenliği yük olarak görmesi, bu konuda bilinçsiz olmalarından. Şuna da değinmem gerekiyor, bunun nedenlerinden birisi de güvenlik sektörünün aç gözlülüğünden. Önce herkesi korkutuyorlar, sonra oldukça yüklü miktarlar istiyorlar. Sattıkları ürünler, yeni saldırılarda kullanışsız hale düşüyor.
Türkiye’deki güvenlikle uğraşan firmaların çoğu ürün satışı odaklı. Bu firmalar kurumlara yeterince destek veremiyorlar. Bu güvenlik firmalarını denetleyen mekanizmalar da yok.
Açık kaynak çözümler ve bu çözümleri ayakta tutacak firmalar çok önemli.
Özetle, eskiye oranla iyiye doğru bir gidişat var. Daha iyiye gitmesi için, öncelikle insanların bu konuda bilinçlendirilmesi gerekiyor, yani eğitim şart! 😉
NGB: Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?
Enis KARAARSLAN: Yerli güvenlik yazılımı tabii ki gerekli, özellikle askeriye ve diğer kamu kuruluşlarında kullanılmalı. Devlet de bu konuda destek veriyor. TÜBİTAK Teknoloji ve Yenilik Destek Programları Başkanlığı (TEYDEB) tarafından desteklenen yerli firmalar olduğunu biliyoruz.
UEKAE de çok başarılı işler yapıyor ama bazıları “gizli” olduğundan duyulmuyor tabii.
Daha önce de dediğim gibi, üniversitelerde bu konuda ek dersler verilmelidir ki bu konuda yeterli personel yetiştirilebilsin. Güvenlik konferanslarında bu tür yazılımlara ödüller ve teşvikler de verilebilir.
NGB: Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?
Enis KARAARSLAN: Bilgi güvenliği eğitimi üniversitede başlar diye düşünüyorum. Bütün Bilgisayar Mühendisliği, Yazılım Mühendisliği ve Bilgisayar Programcılığı bölümlerinde güvenlik eğitimi verilmesi gerekiyor. Güvenliğin şifre algoritmalarının yapılarının anlatılmasından çok, öncelikle bir güvenlik felsefesinin verilmesi gerekiyor.
Yazılım güvenliği yani güvenli kodlama (secure coding) öğretilmesi çok önemli. Şifreleme gibi konuların anlatımında Cryptool gibi görsellikle desteklenmiş programlar kullanılması gerekiyor.
Üniversitelerde gerekli laboratuvarların kurulması için maddi yatırıma ihtiyaç olacaktır. UEKAE ile ortak projeler üniversiteleri daha güçlü hale getirebilir.
Daha sık güvenlik konferanslarına ihtiyacımız var. Her geçen gün, bu konudaki konferans ve etkinliklerin artması sevindirici.
Türkçe yayın da çok önemli. Daha çok belge, kitap ve web içeriğine ihtiyacımız var.
NGB: Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?
Enis KARAARSLAN: Siber güvenlik için TR-CERT gibi bi kuruma gerek var ama bu kurumun CERT olmanın gereklerini karşılaması durumunda tabii ki. UEKAE’deki arkadaşlar da TR-CERT’in yeterince etkin olmadığını biliyorlar. Ama bunun altındaki bütün otonom sistemlerde ayrı CERT veya CSIRT ler kurulabilir ve de kurulmalıdır.
Biz ULAK-CSIRT olarak, ULAKBİM ağı için elimizden geleni yapıyoruz. Bilinçlendirme çalışmalarımızın yanı sıra, OLTA (Olay Takibi) sistemi ile ağdaki sorunların takibi gerçekleşmektedir.
NGB: Bu işe yeni başlayanlara neler önerirsiniz?
Enis KARAARSLAN: Bu konuda arada öğrencilerden mailler alıyorum. Cevaplarımı biraz daha otomatikleştirmek ve daha zengin yapmak için bir belge yazmıştım ve Huzeyfe ÖNAL’ ın yorumlarını da katmıştım.
Ağ Güvenliği Konusunda Kendinizi Yetiştirmek
(http://csirt.ulakbim.gov.tr/dokumanlar/AgGuvenligiKonusundaKendiniziYetistirmek.pdf)
Dökümanın son kısmı:
<Güvenlik konusu gerçekten de genis bir alan. Bilgisayar dünyasında oldugu gibi, güvenligin her alt konusunda uzman olmak imkansız. Örnegin kablosuz ag güvenligi, kriptografi (cryptography), bilgisayar adli bilimleri (computer forensics), nüfuz deneyi (penetration test) … vb konularının herhangi birinde uzmanlasmak bir hedef olarak alınabilir.
Huzeyfe Önal’ın yorumuyla yazıyı bitireyim; “Güvenlik konusuna bozma penceresinden degil de yapma penceresinden bakmak her zaman sizin için daha ögretici olur. Güvenlik konusunda zevk, aslında oyanan bir piyesin perde arkasını bilmekte yatar. Bir baskası için birsey ifade etmeyen garip paketler, size aslında yaklasan bir tehlikeyi haber veriyordur.”>
Ayrıntılar için dökümanı okumalarını tavsiye ediyorum. Arada güncelleyeceğim bir döküman olacak.
NGB: Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?
Enis KARAARSLAN: Büyük ihtimalle çok ilginç yeni sorunlar çıkmış olacak. IPv6 nın hakim olması ile, yeni saldırı türleri ile karşılacağız ve korkarım buna alışmamız biraz zaman alacak. Birçok küçük cihaz ağa bağlanacak ve bunların oluşturacağı güvenlik sorunları da başımızı biraz ağrıtacak.
“Hanım birisi buzdolabını hack’ledi, kapıyı açamıyorum.” en basiti olacak herhalde :). Cep telefonlarında yaşanacak sorunlardan söz etmiyorum bile.
NGB: Güvenlik sertifikaları konusunda ne düşünüyorsunuz?
Enis KARAARSLAN: Genellikle sertifika denildiğinde, o kişinin belirli bir bilgiye sahip olduğunu tanımlayan bir belgeden söz ediyoruz. İş görüşmelerinde bir artısı olduğu gerçek ama bunu bir deneyimin de takip etmesi çok önemli. Aslında bu sertifikalara hazırlık da ciddi bir motivasyon gerektiriyor. İnsanlar sertifika sınavlarına çalışırken eksiklerini tamamlayabiliyorlar.
Güvenlik sertifikaları hakkında ayrıntılı bir bilgim yok.
NGB: Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?
Enis KARAARSLAN: Son zamanlarda web uygulama güvenliğine yoğunlaşmıştım. Bilindiği üzere ağ seviyesinde alınan önlemler sadece bazı saldırıları engelleyebiliyor, kodun acil çalışması gerektiğinde ağ seviyesindeki önlemlerin bazıları kaldırılmak zorunda da kalabiliyor.
Yazılımda girdi ve çıktı denetiminin iyi bir şekilde yapılması gerekiyor. Programcılara, kod yazarken yapmaları gerekenleri anlatmakta çok ciddi zorluklar yaşadık. Bu konuda eğitim almamışlardı ve birçoğu güvenlik düşünerek kod yazamıyordu. Bence birisinin programcı olarak çalışmadan önce bu eğitimleri almasının sağlanması gerekiyor.
Üniversitelerde güvenlik önlemlerinin yeterince alınması çok zor. Kullanıcılar her türlü özgürlüğün kendilerine sağlanmasını istiyorlar. Ne kadar özgürlük verilirse o kadar güvenlik açığı oluşuyor. Hem kısıtsız hem de güvenli olmasını istiyorlar. Bu da bence çözümsüz bir küme. Kısıtlarsanız yasakcı oluyorsunuz. Sonuçta amaç üzüm yemek, bağcıyı dövmek değil. Belirtilen işin yapılabilmesi için çözümler üretmeniz gerekiyor. Bunu da kısıtlı bütçe ve kısıtlı personelle yapmanız gerekiyor.
Sistemi yönetmek için zaten ciddi bir zamana ihtiyacınız var, bir de güvenlik için zaman harcamanız gerekiyor. Güvenlik politikaları iyi bir şekilde düzenlenmeli ve kullanıcı/yöneticilerin hak ve sorumluluklarını iyice anlamaları sağlanmalı.
NGB: Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitapların okunmasını tavsiye edersiniz?
Enis KARAARSLAN: Son olarak, Bruce Schneier’in “Secrets & Lies” ini okuyorum. Uzun zamandır okumam için kütüphanemde bekliyordu, artık bitirmeliyim :). Sırada Mckenzie Wark’ın “Bir Hacker Manifestosu” var.
SANS’ın Network Intrusion Detection – An Analyst’s Handbook’unu, Cisco Press’ten “Penetration Testing And Network Defense”i öneririm. Artık bulabilir misiniz bilemiyorum, Açık Akademi’nin “Ağ Güvenliği İpuçları” kitabı da güzel bir Türkçe kaynaktı.
NGB: Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı?
Enis KARAARSLAN: Kahraman demeyelim de, güvenlik felsefesi olarak Bruce Schneier’i takip ediyorum ve beğeniyorum.
NGB: Güvenlik dünyasında en fazla kullandığınız yazılım hangisi?
Enis KARAARSLAN: Wireshark sanırım. Sonuçta paket analizi, ağ yönetimi ve güvenlikte çok önemli. Artık sistem yöneticiliği yapmıyorum, zamanında snort, nmap, nessus gibi birçok açık kaynak kodlu ürünü kullandım.
NGB: Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?
Enis KARAARSLAN: Aslında çok site var ama ilk aklıma gelenler:
http://www.bilgiguvenligi.gov.tr
http://blog.csirt.ulakbim.gov.tr( Gerçi biraz ihmal ettik son zamanlarda)
NGB: Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?
Enis KARAARSLAN: Neden olmasın 🙂
NGB: Zaman ayırarak röportajımıza katıldığınız için teşekkür ederiz.
Güzel bir çalışma. 🙂 Tekrar teşekkürler Hüzeyfe ÖNAL.