Güvenlik Röportajları #33 Murat ERAYDIN

Güvenlik kahvesinin bu haftaki konuğu Karmasis Genel Müdür Yardımcısı Murat ERAYDIN. Kendisi  ile hem kendisi hakkında hem de güvenlik dünyası hakkında konuştuk.

Kısaca kendinizden bahsedebilir misiniz?

ODTÜ Fizik Bölümü mezunuyum. Uzun süredir Microsoft ürünleri, IT güvenlik ve yönetim konularında çalışmaktayım. Boş vakitlerimde yeni .NET teknolojileri üzerinde çalışmalar yapmaktan, Pink Floyd dinlemekten, kızım Öykü ile vakit geçirmekten hoşlanırım.

Güvenlik işine nasıl bulaştınız?

11 yıl Microsoft Türkiye’de çalışırken müşterilerden gelen sorular doğal olarak güvenlik alanına da uzmanlaşmama neden oldu diyebiliriz. Çoğu zaman müşterilerden “Bunu kim yaptı? Şu dosyayı kim sildi? Web sitemizi kim hackledi?” tarzında sorular gelirdi (hala geliyor), bu tür olayların nedenleri bazen yanlış yapılandırma, bazen üründe bulunan bir güvenlik açığı, bazen uygulama seviyesinde yapılan hatalar olarak karşımıza çıkar. Bunları bulmak ve düzeltmek için konu hakkında bilgi sahibi olmanız gerekir. Tabi Türkiye’de CNBC-e’de oynayan 24 dizisi (Jack Bauer ve arkadaşları) oldukça etkili oldu J

Türkiye’de bilgi güvenliği konusunu değerlendirebilir misiniz?

Bilgi güvenliğine sadece Türkiye’de değil birçok ülkede henüz yeterli seviyede önem verilmiyor. Internet öncesi zamanları hatırlayın; kolayca para sahibi olmak isteyen birçok kişi BlueBox, BlackBox, WarDialing gibi teknikleri kullanarak bazen bedava telefon konuşması yapmakta, bazen çok daha kritik bilgilere ve sistemlere yetkisiz olarak ulaşabiliyorlardı. Bugün – Internet’in hayatımızın bir parçası haline geldikten sonra – bu tür tekniklerin bir kısmı hala uygulanabilse de artık çok daha kompleks yöntemler kullanılmaktadır.

Şimdi düşünün; SQL Injection yöntemini kullanarak bir firmanın müşteri veritabanına ulaşabilir, kredi kartı bilgilerini ele geçirebilir, insanların TC Kimlik numaralarına ve birçok özel bilgilerine ulaşabilirsiniz. Gerçi son örnek için birşey yapmanıza gerek yok; KEY ödemeleri sonuçlarını açıklarken ilgili kurum bunu PDF olarak yayınlamıştı zamanında J

Öğrenci ve öğretmen bilgilerinin Internet’e sızması, Başbakanın kan tetkil sonuçlarının basında yayınlanması, bir gıda market zincirinde kredi kartı bilgilerinin çalınması, 2003’te 6.5 milyon VISA kredi kartı bilgisinin Internet’e düşmesi (yurtdışı), … Bütün bunlar ve çok daha fazlası yaşandı. Yani “gereken önem veriliyor mu?” sorusunun yanıtı ne yazık ki HAYIR!

Phising yöntemi ise çok daha fazla can yaktı (ve hala yakıyor). 2008 yılında 800’den fazla siber saldırı yapıldı. 2009’da 1500’den fazla siber saldırı gerçekleşti. Son zamanlarda BDDK’nın bastırmasıyla bankalar çok ciddi önlemler almaya başladı, bunlar güzel gelişmeler ancak daha yapılması gereken çok şey olduğu da ortada.

Hatta aynı zamanda avukatlığımızı da yapan Seyfettin UZUNÇAKMAK’ın ifade ettiğine göre, Türkiye’de phising ve SQL Injection yöntemleri kullanılarak yapılan saldırılar neticesinde açılmış çok sayıda savcılık dosyası mevcut. Av. Seyfettin UZUNÇAKMAK’a göre, ne yazık ki Türkiye’de özellikle Adli Bilişim alanındaki çalışmaların istenen seviyede olmaması, bu tip saldırıların faillerinin cezalandırılmasını engellemekte. Yani bu yönde uzman mahkemelerin olmaması bilişim suçlarıyla mücadele konusunda önemli bir engel teşkil emekte..

Peki güvenlik ile ilgili problemleri çözecek bir “gümüş kurşun” var mı? Malesef yok. “Bir zincir, en zayıf halkası kadar güçlüdür” sözü her halde en çok güvenlik konusuna uymaktadır. Peki güvenlik konusunda en zayıf halka nedir? İnsan faktörü. 1 Milyon TL karşılığında hangi sistem yöneticisi gerekli şifreleri vermez? Sağlık bakanlığı bünyesinde bulunan Organ Bağış veritabanının değeri nedir sizce? Bunları sadece soruyorum, yanıt beklemiyorum J

“Peki gerçekten hiç bir yol yok mu?” sorusuna yanıt olarak şunu söyleyebilirim; denetleme ve uygulama aynı birim/kişi tarafından yapıldığı sürece malesef yapılabilecek bir şey yok. Önlem ve denetleme mutlaka farklı birimler tarafından gerçekleştirilmeli. Biraz önce vermiş olduğum örneklerde sistem yöneticisi veya veritabanı yöneticisi önemli bir veriye ulaştığında denetleyiciye bir SMS atılsaydı ne olurdu? Kapıda dedektör varken biri hala hırsızlık yapar mı?

Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?

Türkiye’de iki farklı yazılım üreticiliğine soyunmuş firma profili var; birincisi açık kaynak kodu ile geliştirilmiş ürünleri alıp Türkiye’de ürettik diye piyasaya çıkan firmalar. Bu firmalar, yüzlerce kişi tarafından geliştirilmiş ve hala geliştirilen ürünleri bir veya iki kişi ile idame etmeye çalışıp sonra da başarısız olmaya mahkumdur. Bununla ilgili bir atasözümüzü hatırlatmak istiyorum: “Başkasının ‘yazdığı şeyle’ gerdeğe girilmez” J

Kendi potansiyeli ile üretim yapan firmalar tabi ki bu problemle karşılaşmaz ancak onları bekleyen başka engeller vardır: “Kaç kişisiniz?”, “Bir yıl sonra hala piyasada olacak mısınız?” gibi soruları bir kenara bırakırsak, “Bu konuda pazarda açık var biz de girelim” diyen büyük firmalar. Tübitak orkestrasyon görevini yaparsa büyük bir adım atılabilir, tabi kendisi işin içine girmeden J

Üniversiteler ise başka bir kanayan yara; üniversitelerden yeni mezunlar malesef sektörde kullanılan teknolojiler hakkında hiç bir şey bilmiyorlar. Gerçi öğretim görevlileri konuyu bilmiyorsa bu doğal değil mi? Kendini geliştiren öğretim görevlileri / öğrenciler tabi ki bu ithamın dışında kalıyor.

Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

Türkçe portaller tabi ki önemli ancak bu portaller de doğal olarak yaşamak için gerekli desteğin verilmesi şart. Kullanıcıların eğitimi çok önemli ancak nasıl yapılır açıkçası bir fikrim yok L Siyasilerin bilgilendirilmesi konuya yeterli önemin verilmesi açısından faydalı ancak bu kesinlikle “Bilişim Bakanlığı” demek değil.

Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?

Çalışan bir www.bilgiguvenligi.gov.tr tabi ki işe yarar (14/11/2010 18:48 itibari ile çalışmıyor). Bu portalin de işe yarar bilgiye sahip olması için profesyonellerce ama tarafsızca yönetiliyor ve besleniyor olması gerekiyor. Hükümet bu konuya el atarsa ne olur? Başarısız olur; Bence bilişim ve siyaset kesinlikle aynı ortamda barınamaz. Bilişim bu karışım için çok fazla dinamik kalır.
Bu işe yeni başlayanlara neler önerirsiniz?

İngilizce en önemli konu. Bu konu malesef ilk olarak İngilizce olarak karşımıza çıkıyor. Türkçe’ye çevrilene kadar çoğu zaman artık eskimiş oluyor. Bu yüzden bu konuda ilerlemek isteyenlere önce İngilizce öğrenmelerini öneririm.

Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?

Fraud Detection muhtemelen en çok konuşulan konulardan birisi olacak. Muhtemelen auditing (denetleme) ve loglama hayatımızın bir parçası haline gelecek.

Güvenlik sertifikaları konusuna ne düşünüyorsunuz?

Konu hakkında formal bilgi açısından mutlaka önemli ancak çoğu zaman kariyer amaçlı olarak görüyorum. CISSP sertifikasyonu mutlaka işe yarar. Certified Ethical Hacker? Olsa da olur olmasa da.

Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

Şu an en önemli açık uygulama seviyesinde karşımıza çıkıyor, SQL Injection. Tüm dünyada hala %60’tan fazla sitede SQL injection açığı olduğu tahmin edilmekte. Çözümü konu hakkında bilgi sahibi uygulama geliştiriciler. Veritabanı ile uğraşan tüm programcıların SQL injection konusunda bilgi sahibi olması şart. Tabi ki mevcut uygulamaların bu konuda test edilmesi de gerekiyor.

Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitalpların okunmasını tavsiye edersiniz?

Art of War – Sun Tzu. “Hacking Exposed” serisi oldukça ilginç bilgiler içeriyor, en azından saldırı vektörlerini daha net bir şekilde göz önüne seriyor.

Bilgi güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı?

Tamer Şahin olmadığı kesin! Bu konuda tabi ki Kevin Mitnick önemli bir karakter. Ne yaptığını mutlaka okumak gerekir. Bu aynı zamanda Social Engineering (sosyal mühendislik?) konusunun ve tüm çalışanların eğitiminin önemini bir kez daha ortaya çıkartıyor.

Güvenlik dünyasında en fazla kullandığınız yazılım hangi?

Nessus, CoreImpact, WebInspect

Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?

www.Sectools.org

www.spidynamics.com

www.vupen.com

www.securityfocus.com

http://icat.nist.gov

Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?

Evet J
Bir güvenlikçinin en önemli özelliği size göre nedir?
En az bir hacker kadar konu hakkında bilgi sahibi olması çok önemli bir nokta. “Ben hacker olsaydım nasıl saldırırdım?” sorusunu her zaman aklında bulundurması şart. Tabi ki bunlara karşı önlem nasıl alınmalı konusunu da… Biraz paranoyaklık da gerekebilir J

Bilgilerinizi ve tecrübelerinizi internet ortamında paylaşıyor musunuz? Neden?

Tecrübelerden faydalanmak herkese vakit kazandırır, bu yüzden önemli bir konu olduğunda paylaşmaya çalışıyorum.

Sorularımızı yanıtladığınız için teşekkür ederiz.

This entry was posted in Röportajlar and tagged . Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

eleven + 20 =