Güvenlik Röportajları #23 Murat BALABAN

Güvenlik kahvesinin bu haftaki konuğu EnderSYS Ar-Ge müdürü Murat BALABAN.

NGB: Kısaca kendinizden bahsedebilir misiniz?

Murat BALABAN: 1980 Kütahya doğumluyum. İlk orta ve lise öğrenimim Kütahya’da geçti. 1997 senesinde, üniversite öğrenimim için İstanbul’a geldim. Biraz gecikme ile de olsa 2003 yılında Boğaziçi Üniversitesi, Management Information Systems bölümünden mezun oldum.Üniversite yıllarında, açık kaynak denen belaya müptela oldum 🙂 O zamanlar açık kaynak felsefesini Linux ile aynı kavramlar telakki ettiğimizden, Linux işletim sistemi üzerinde açık kaynak kodlu yazılımlari incelemeye, sonra da benzer yazılımlar üretmeye başladım.

Arkadaşlarım İsmail Yenigül ve Ömer Faruk Şen’le beraber, EnderUNIX yazılım geliştirme grubunu kurduk. Grubun amacı, ülkemizin tüketim toplumundan, üretim toplumuna geçiş sürecine bilişim teknolojileri alanında destek vermekti. Sloganımızı, “öğren, üret, eğit” şeklinde özetlemiştik.
EnderUNIX çekirdek ekibinde yer aldığım 6 sene süresinde, özellikle bilgi güvenliği özelinde yazılım ve belgeler yayınladım. VoIP çağrılarını decode eden VoIPong yazılımı, uzun süre, alanında en gelişmiş yazılım olarak kullanıldı. Bu program 2004 senesinde IBM tarafından ödüllendirildi.

Buffer overflow açıkları hakkında 2001 senesinde yayınladığım İngilizce makale, aleph1’in aynı konudaki makalesinden sonra, konuyu en iyi anlatan makale olarak değerlendirildi. IBM, Microsoft, IEEE ve güvenlik üzerinde ar-ge çalışmaları olan ünlü site ve bloglarda yayınlanan makalelerde, bu belgede ilk defa aktardığım yöntem referans gösterildi. Bu belgenin devamı niteliğinde, exploit’ler için kabul kodları geliştirme tekniğini anlatan ikinci makalem de 2002 senesinde yayınlandı, uzun süre, “güvenlik arge” si yapan (!) frenk zevat tarafından bolca kullanıldı 🙂

Host-based güvenlik açıklarına ilgim bir müddet sonra azaldı, sonrasında pasif network monitoring konularına profesyönel manada da eğildim.

Şu anda, kurucusu ve ortağı olduğum Endersys firmasında, Ar-Ge Müdürü olarak görev yapmaktayım. Daha önce, bilgi güvenliği konusunda edindiğim bilgi ve tecrübeleri, firmamızdaki ar-ge ekibi ile beraber yerli, kaliteli, uluslarası kalite standartlarında güvenlik ürünleri geliştirmek için değerlendirmeye çalışıyorum.
NGB: Güvenlik işine nasıl bulaştınız?

Murat BALABAN: Computer science’a bulaşan herkes, az çok yaramazlık yapma eğilimindedir. Bir iki kod yazıp, klavyde tuşladıklarının, ekranda harflere dönüşümünün serencamını biraz olsun kavrayanlar, standart işleyen bu mekanizmayı dürtüklemeye, dijital kanun ve kurallar bağlamında izin verilmeyenleri, non-standart yollarla elde etmeye çalışırlar.

Bizimki de aynı hikaye. Biri elimden tutup beni yetiştirmedi, fakat ziyadesiyle ilham aldığım bir “Sensei”m var 🙂

NGB: Türkiye’de bilgi güvenliği konusunu değerlendirebilir misiniz?
Murat BALABAN: Herhangi bir bilim alanında, gelişme veya ilerlemenin oluşmasının birinci koşulu, “ihtiyaç” tır. Bu aslında, evrensel kuralları düşündüğünüzde, genel bir kanun. Susamazsanız su içmezsiniz,acıkmazsanız yemek yemezsiniz. Yaşadığınız mahallede, ilçece hiç hırsızlık olayı vuku bulmamışsa, evinizin kapısının kapalı tutmanız yeterlidir. Ayrıca kilitlemeniz size gereksiz görünebilir.

Türkiye’deki bilgi güvenliği konusuna henüz yeterli önemin verilmiyor olması da, bu evrensel kural bağlamında açıklanabilir.

İnternet yaygınlaşıyor. İnternet’e erişim her geçen gün daha kolay hale geliyor. İnternete erişim sağlayan masum vatandaşların sayısı arttığı nispetle, sanal alemde illegal işler peşinde koşanların sayısı da aynı ivmeyle artıyor.

Doğal süreç işliyor. Rapor edilen, duyulan, gazetelerin üçüncü sayfalarına çıkan bilgi güvenliği felaketleri arttıkça, insanların bu konuya bakışları da doğal olarak değişecek. Ne diyorlar, “natural selection” ? 🙂

NGB: Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?
Murat BALABAN: Bu güzel vatanda her şeyin yerlisi üretilmeli. İğnesinden ipliğine, incirinden, muzuna, dişlisinden, motoruna… Güvenlik yazılımları ve güvenlik ürünleri de tabiki, bunun dışında tutulamaz.

Beylik lafları canibinden değerlendirmeyin. Güvenlik ürünleri üretebilecek “potansiyel”e sahip mühendisimiz çok, beynimiz çok.Fakat, potansiyel beyinler’in, daha üniversite sıralarında bu konuya, tabiri caizse, uyanmaları, uyandırılmaları lazım.

Üniversitelerin bilgisayar mühendisliği bölümünden mezun olanların tamamına yakını, herhangi bir hedef belirlemeden iş aramaya başlıyorlar. Rüzgarın önüne katılmış, hazan yaprakları gibi. Rüzgar ne yöne eserse oraya. Bu çok ciddi bir problem. Firmama gelen iş başvurularını incelediğim ayan beyan bu durumu görebiliyorum.

Lisans eğitimi sırasında geçirdiği dört beş senede aldığı derslerin muhteviyatı haricinde, kendi merak edip de bir konuyu araştırmış aday o kadar az ki.. X programlama dilini bilen, mühendisinden, matematikçisine yığınlar varken, Y dilini kullanabilen, çok ihtiyaç olmasına
rağmen çok az.Üretecek olan sonuçta insan. Bu iş için insan kaynağını üretecek yer üniversiteler. Üst paragrafta yaptığım tespitten hareket edecek olursak, lisans eğitimi sırasında yönlendirme ile ilgili bir problem olduğu kesin.Üniversiteler’le ar-ge yapan firmalar daha çok iletişimde olmalılar. Endüstri, üniversitelere feedback vermeli, hatta, daha da ileri gideyim, endüstri, üniversitedeki eğitimin bir parçası olmalı.

Kendi firmam açısından, insan kaynağı probleminin çözümü noktasında, ilgileneceğini düşündüğüm bazı hocalara, danışmanlığının bir kenarından tutmak kaydıyla, tez konusu önermeyi düşünüyorum.

Başta demiştik ya, ihtiyaç gelişmeyi kamçılar diye. Endüstrideki somut ihtiyaçlar, üniversite sıralarına “problem” olarak getirilecek.
Problemler, üniversitede firma-hoca-öğrenci işbirliğiyle çözülecek. Hem firma, hem üniversite, hem de öğrenci kazanacak. Win-win-win 🙂 Böyle bir mekanizmayı en azından kendi firmam için kurmayı düşünüyorum.

Devlet teşvikleri filan fişmekan… Herşey insanda bitiyor. Kaliteli, ne yaptığını, ne yapacağını bilen, azimli bir nesil yetişsin, arkası mutlaka kendiliğinden gelir. Yetişmiş insan yoksa, bu işlerin peşinden koşacak kimse yoksa, teşvikler ancak, bazıları için devletten para tırtıklama aracı olur.
NGB: Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

Murat BALABAN: Toplumsal bilincin artırılması noktasında, bilgi güvenliği temalı portaller, e-posta listeleri, paylaşım forumları var, ve çalışıyorlar. Bunların sayısı artırılabilir, niteliklerinin yükselmesi sağlanabilir.

Üniversitelerde lisans seviyesinde, computer security, lisans/lisansüstü seviyesinde güvenli programlama teknikleri gibi dersler verilebilir.

Kısaca her kesimde, her seviyede bilinç artırılmalı. Bilinç, ihtiyacı, ihtiyaç da gelişimi doğuracaktır.

NGB: Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?

Murat BALABAN: Kesinlikle. Gayr-i resmi ve şifai olarak Tübitak UEAKE, bu rolü üzerinealmış görünüyor. Milli kripto projesi gibi yaptıkları çoğu çalışma, kamu özelinde bilgi güvenliğinin artmasını netice veriyor.
Daha da özelde, bilgi güvenliği bilincinin artırılması ve bu konuda  tavsiye makamı bir kurum olmalı mı? Mutlaka.

NGB: Bu işe yeni başlayanlara neler önerirsiniz?
Murat BALABAN: Önce kendilerini tanıyıp, gerçekten bu konularda çalışmak isteyip istemedikleri konusunda kendilerini iyice tartsınlar. Çünkü sevmediğiniz, ilgi duymadığınız bir alanda başarılı olmanız mümkün değildir.Sonrasında hedef belirleyip, seçtikleri konu üzerinde yoğunlaşsınlar. Hedef önemli, çünkü “ne yapmak istiyorum” sorunsunun cevabının olmaması, baştan büyük bir kayıptır. Rotası belli olmayan gemiye hiçbir rüzgar yardım edemez derler ki tartışmasız çok doğru bir söz.

Kaynaklarını doğru seçsinler. öğreneceklerini, kulaktan dolma değil, teorisinden, kaynağından başlayarak doğru yerlerden öğrensinler.

Bu minvalde, seçilen alanla ilgili “kitapların” öncesinden iyice okunup anlaşılması çok önemli. E-posta listeleri, paper’lar bunlar, öğrenilenlerin pekiştirildiği araçlar olabilirler..

NGB: Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?

Murat BALABAN: Bilgi güvenliğinin, daha çok standartlaşacağını, güvenlik  zaafiyetlerinin, zafiyetlerin istismarının engellenmesinin, komplike yöntemlerde değil de, daha simplistic yaklaşımlarda aranmaya başlayacağını tahmin ediyorum.

Ekonomik perspektifte, bilgi güvenliği yatırımlarının katlanarak artacağını sanıyorum herkes tahmin eder.Web uygulamalarındaki güvenlik zaafiyetleri artarak popülarite kazanmaya devam eder.Cryptography, end-to-end şifreleme teknolojileri daha da önemli hale gelecektir.

NGB: Güvenlik sertifikaları konusunda ne düşünüyorsunuz?

Murat BALABAN: Bilgi güvenliği uzmanı istihdam eden kurum/firma’lar açısından ön eleme yapılabilmesi açısında önemli olduğunu düşünüyorum.

NGB: Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitapların okunmasını tavsiye edersiniz?

Murat BALABAN: Menezes, Oorschot, Vanstone’un Handbook of Applied Crypto kitabı.(Seçme chapter’lar)
Bence, bu konu ile ciddi olarak ilgilenmek isteyenler, işin teorisi ile işe başlamalı. Örneğin TCP/IP veya network güvenliği üzerinde çalışacakların çok iyi protokol bilgisi olması lazım. İşin teorisinin ve pratiğinin çok iyi özümsenmesi lazım.Akabinde, kendileri, hiç bir ek kaynağa ihtiyaç duymadan, güvenlik açıklarını, nasıl istismar edilebileklerini, nasıl kapatılabikleri konularında kung-fu yapmaya başlayacaklardır.

NGB: Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı?

Murat BALABAN: Bizimki isimsiz kahraman :), pek ortalarda dolaşmaz. Şimdi size isim versem aramız bozulur 🙂

NGB: Güvenlik dünyasında en fazla kullandığınız yazılım hangisi?

Murat BALABAN: gcc ve gdb 🙂

NGB: Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?

Murat BALABAN: Yığınla kaynak var. Fakat çoğu warez hax0r sitesi. Securityfocus.com hala bu konuda ciddi bir bilgi kaynağıdır.  Cert.org. Biraz underground takılmak isteyenler için http://www.phrack.com/.

NGB: Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?

Murat BALABAN: Yaptığım işi sevdiğimi ve geçen bunca yıla rağmen motivasyonumu henüz kaybetmediğimi değerlendirdiğimde, sanıyorum yine aynı konularda çalışırdım.

NGB: Zaman ayırarak röportajımıza katıldığınız için teşekkür ederiz.

This entry was posted in Röportajlar and tagged . Bookmark the permalink.

1 Response to Güvenlik Röportajları #23 Murat BALABAN

  1. Hasan says:

    “Üniversitelerin bilgisayar mühendisliği bölümünden mezun olanların tamamına yakını, herhangi bir hedef belirlemeden iş aramaya başlıyorlar. Rüzgarın önüne katılmış, hazan yaprakları gibi. Rüzgar ne yöne eserse oraya. Bu çok ciddi bir problem. Firmama gelen iş başvurularını incelediğim ayan beyan bu durumu görebiliyorum.” Murat bey iyi hoş söylüyorda herkesin sizin gibi kısmeti bir olmuyor. Doğru insanlar ile tanışmak mümkün olmuyor. Hele hele istanbul gibi bir yere (türkiyenin silikon vadisi sayılan bir şehirde ) yakın bir yerde üniversite okumak hiç mümkün olmuyor.Keşke herkes sizin gibi okurken çalışma fırsatını yakalayabilse. Kıytrık CRUD programcılığı yapmak yerine yeni teknolojiler üretebilse. O zaman ne oluyor piyasa neyi istiyorsa biz o hale dönüşüyoruz kim istemezki isteği işi yapmayı tek bir alanda uzman olmayı …

Leave a Reply

Your email address will not be published. Required fields are marked *

3 + eight =