Sertan KOLAT: İst.Üni. İngilizce İktisat okudum, İst. Üni. Enformatik bölümünde yüksek lisans eğitimini tamamladım. Çocukluğumdan beri bilgisayarlara, 1997’den beri güvenliğe aşırı ilgi duyuyorum. Üniversitede okuduğum sırada çalıştım. 1998’de sektöre girdim ve 2004’ten beri Avanteg’de güvenlik danışmanı olarak çalışıyorum. Burada penetrasyon testleri, ağ ve uygulama güvenlik denetimleri, kurulumlar, müşterilerimize ait üretici bağımsız IDS/IPS sistemlerinin yönetimini yapıyorum.
Yüksek lisans tezimi web güvenlik denetim yazılımlarının iyileştirilmesi üzerine yaptım. Otomatik web denetimlerindeki hatalı algılamaların azaltılması ve daha verimli bir denetim yazılımının nasıl olabileceği üzerine çalıştım. Tezdeki bazı önermeleri deneyebilmek için Arachne adlı bir web denetim yazılımı geliştirdim. Bir çok web denetim yazılımını inceledim ve inceliyorum. Genel ilgi odağım bu yazılımlar ve web uygulamaları güvenliği.
Bilgisayar başında uzun zaman geçirsem de, dışında da iyi zaman geçiriyorum. Film festivallerini ve sanatsal etkinlikleri takip etmeye çalışıyorum. Deniz ve rüzgar hep ilgimi çekmiştir. Uzun bir dönem yaz aylarında amatör olarak yelken yaptım, bu sene rüzgar sörfüne başladım. İkisi de süper zevkli, herkese tavsiye ederim.
NGB:Güvenlik isine nasil bulastiniz
Sertan KOLAT:Tamamen bilinçli bir tercih. Çocukluğumdan beri telefon hatları, elektronik aletler, bozma, tamir, herşeyin nasıl çalıştığı ve yapıldığı merakı, detaycılık; her konuda bu neden böyle ve ben şu şekilde yaparsam ne olur soruları hep vardı. Internet’le tanışınca da bu böyle devam etti ve güvenlik ilgimi çekmeye başladı. Beni Unix tabanlı sistemlere iten de budur. 1998’de kendi programlarımı yazmaya başladım. Çoğu güvenlikle alakalı scanner ve malformed packet gönderen tipte yazılımlardı. Programcı değilim ancak güvenlikle ilgili bazı ufak yazılımlar geliştiriyorum.
Sürekli okuyarak, deneyerek, kurarak, bozarak, nasıl yapılır incelemeleri ile geçti. Eskiden Türkiye’de bilgi güvenliği alanında çalışabilecek sayılı firma vardı, İngilizce ve teknik bilgim iyi olduğu için okuma ve bilgi paylaşımlarıyla kendimi yetiştirdim. 2000 yılında bir ISP’de çalışmaya başlamamın da Internet altyapısı ve işleyişi, ağ cihazları, routing protokolleri, servis bilgileri, saldırı tipleri ve engelleme, farklı yerlerde farklı yapılarla ve işletim sistemleriyle uğraşma vb. konusunda bana çok katkısı oldu.
NGB: Turkiye’de bilgi guvenligi konusunu degerlendirebilir misiniz
Sertan KOLAT: Her konuda olduğu gibi, yarım yamalak. Güvenliğin çok iyi uygulanabilmesi için önce algılanması ve bir bütün olarak düşünülmesi gerekiyor. Güvenlik bir süreç ve her şeyin içerisine katılması gerekiyor. Bir düşünce yapısı haline gelmeli. Bunu çok iyi gerçekleştiren yerlerin sayısı az. Başına kötü bir durum gelen şirketler bile süreci uygulamaya koymuyor, sadece problemleri giderme yoluna gidiyor ve belki birkaç ürün yatırımı yapıyor. Yeni bir yazılım veya hizmet geliştirdiklerinde aynı sorunlar yine karşılarına çıkabiliyor.
Risk analizi ve risk yönetimi çok önemli. Risk değerlendirme sonucunda üst yönetimin güvenlik için bütçe ayırabilmesi de kolaylaşıyor. Fakat ürün yatırımı yapılsa da, hizmet ve bakım yatırımları yapılmıyor. Anlayış değişmediği taktirde bu şekilde devam edecek. Regülasyonlar ve kanuni sorumluluklar bu konuları olumlu yönde desteklediği için önemli.
Türkiye’de sayısız firmaya hizmet verdim. Aslında çok iyi ürünler kullanılıyor ama iyi bir yapılandırma, konfigürasyon ve bakım olmazsa ürünler yeterli faydayı sağlanamıyor. Bir çok firmada personelin bu konuya ayıracak vakti ve bilgisi de olmuyor.
Türkiye’deki pazar payıyla orantılı olarak güvenlik yazılımları da üretilmiyor. Ülkemizdeki bir çok girişim yeterli desteği bulamadığı için kötü sonuçlanıyor.
Toplumsal gelişim ve eğitim sisteminde düzenleme şart. En azından devlet okullarında İngilizce’ye çok çok daha fazla önem verilmeli. Planlı hareket etmeli, gelişmeli, okumalı, sormalı, üretmeli, araştırmalı ve komplekslerimizden arınmalıyız. Bunlar olmadan üzerine ne koyarsak koyalım, olmuyor.
NGB: Bu ise yeni baslayanlara neler onerirsiniz?
Sertan KOLAT: Hevesli olmalılar. Sevmeyen bir insan bu işi yapamaz diye düşünüyorum. Sürekli takip, kendisini güncelleme, geliştirme ve öğrenme gerekiyor. Bu tipte bir karakteriniz yoksa ve amacınız sadece para kazanmaksa şimdiden bu işe bulaşmayın.
Yeni başlayanlar ne yaparsa yapsın İngilizce’lerini ileri seviyeye getirmeleri gerekiyor. Planlı olmalılar. İleride nerede ve belki kimin yerinde olmak istediklerini düşünerek bir plan yapabilirler. Shon Harris’in CISSP Certification All-in-One Exam Guide, Fourth Edition veya daha yenisini mutlaka okumalarını öneririm. Bu kitap sayesinde güvenliğin farklı alanları konusunda genel bilgi sahibi olacaklardır. Belki bundan sonra kendilerine, ilgilerini daha fazla çeken bir alt dal seçebilirler.
Bir şirkette görev yapmak yerine, güvenlik hizmetleri veren, güvenlik ürünleri satan, distribütor vb. firmalarda çalışmalarını öneririm. Bu sayede çok farklı ürünler, farklı istekler, farklı altyapılar ve farklı insanlarla çalışma fırsatı bulursunuz. Aksi taktirde en iyi şirkette bile çalışsanız, çalışan sistemlere ve ağ altyapısına dokunamazsınız. Yeterince ürün ve farklı yapılar göremezsiniz.
Güvenlikle ilgili bir yerde çalışamıyorsanız, bir Internet servis sağlayıcının teknik departmanlarında çalışabilirsiniz. Özellikle güvenlik denetimi yapmak istiyorsanız bu önemli.
Kullandıkları yazılımların özelliklerini çok iyi öğrenmeliler. Yeni bir yazılım kurduğumda hemen neleri ayarlanabiliyor(options) incelerim. Doküman okumak önemli. Nmap, hping, tcpdump en yakın arkadaşlarınız. Örneğin nmap manual okuyun. Sadece yazılımlar değil bunların nasıl çalıştığını anlayabilmek çok önemli. Sectools.org’da bulunan yazılımları inceleyin. Bir güvenlik açığı duyurulduğunda nasıl ve neden olduğunu inceleyin, anlayın. Bu sizi geliştirecektir.
Network ve protokol bilgilerinizi geliştirin. Çok iyi TCP/IP ve protokol bilgisi şart. Mutlaka bir programlama dili bilin(Python, Ruby kolay öğrenilebilir) ve programlama genel mantığını kapmaya çalışın. Linux öğrenin. Mutlaka FreeBSD ve OpenBSD kurun, görün. GUI ortamlarından başta biraz sakının. İstediğiniz Linux dağıtımını kullanabilirsiniz, ama Gentoo’yu mutlaka bir kere kurun. Gentoo Linux Handbook’u tamamen okuyun.
Mail listelerine üye olun. Bugtraq ve full-disclosure’a mutlaka ve bunların dışında securityfocus.com’da ilginizi çeken tüm listelere, Türkçe bilgiguvenligi(yahoogroups), netsec, owasp-turkey olabilir.
Eski saldırılar, saldırı tipleri hakkında bilginiz olsun. İngilizce çok kaynak bulunuyor. Türkçe doküman istiyorsanız olympos.org’da kütüphane bölümündeki en eski yazılardan okumaya başlayabilirsiniz.
Bir RSS reader kullanın ve ilginizi çeken site ve blog’ları takip listenize alın. Security podcast’leri dinleyin. Miro gibi bir yazılımla podcast’leri kolayca takip edebilirsiniz.
Kitap okuyun. Bilgisayardan okuyabiliyorsanız Safari Books Online maliyet açısından daha uygun olabilir. İmkan varsa Amazon’dan satın alınabilir.
Zaman yönetimi ayrı bir konu ama chat vb size çok zaman kaybettirir.
Bu işlerde dikkat önemli. Yaptığınız işi çok iyi yapmaya özen göstermek, ancak mükemmeliyetçilikten de kaçınmak gerekiyor.
Sertifikasyon olayına çok fazla heves ediyorlar. Önce bilgilerini geliştirmelerini öneririm. Bunları tamamlayın, denetim tarafında ilerlemek istiyorsanız sizi uzun bir liste bekliyor.
NGB: Sizce 2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor olacak?
Sertan KOLAT: Software as a service kavramının iyice oturacağını ve bir çok alanda gelişeceğini düşünüyorum. Veri iletişimi her alanda sürekli hızlanıyor. Mobil uygulamaların kullanımı artacak. Ses neredeyse tamamen IP altyapısına geçiyor.
Bunlara bağlı olarak web güvenliği, cloud computing, servis güvenliği, mobilitenin artmasıyla taşınabilen verinin güvenliği, VoIP güvenliği önemli olacaktır.
NGB: Zaman ayırarak sorularımıza cevap verdiğiniz için teşekkür ederiz.
