Güvenlik Röportajları #8 – Kıvılcım HİNDİSTAN

Güvenlik kahvesinin bu haftaki konuğu Kıvılcım HİNDİSTAN.

NGB: Kısaca kendinizden bahsedebilir misiniz?

Kıvılcım HİNDİSTAN: Merhaba. Adım Kıvılcım Hindistan. Kadıköy Anadolu Lisesi ve ITÜ Mimarlık Fakültesi mezunuyum. Fazlamesai.net sitesinin kurucularından biriyim. Internet ve ahir zamanlarla alakalı herşey ilgimi çekiyor. Basketbol ve masa tenisi lisanslı olarak yaptığım sporlar. Özellikle Go ve Satranç başta olmak üzere her türlü strateji oyunu ilgimi çekiyor, şu anki gözdem DoTA. Yaklaşık on yıldır Bilgi Güvenliği üzerine çalışıyorum. Şu anda bir GSM firmasında Güvenlik Güvenceleme’den sorumlu müdür olarak çalışmaktayım.

NGB:Güvenlik işine nasıl bulaştınız?

Kıvılcım HİNDİSTAN: Güvenlik işine bulaşmam yaklaşık 25 yıl kadar öncesine dayanır. O zamanlar Ortaokul’da bir C-64’üm vardı ve Teleteknik’in çıkarttığı Commodore dergisinin fanatik takipçilerinden biriydim. Daha ortalarda modemler bile yok, akustik kupler (http://bit.ly/dMACi) denen cihazlardan bahsediliyordu. (Gerek teknik, gerek yapı itibariyle oldukça fetiş cihazlardır bunlar, Belki ilk Matrix filminden hatırlarsınız, Morpheus’un Neo’yu ilk Matrix’e soktuğu yerde, ahizeyi telefondan kaldırıp oturttuğu ve çevirmeli telefonda kendi kendine numaraları çeviren bir cihaz vardı) Derginin bir sayısında, CCC (Chaos Computer Club) isimli bir grubun birkaç tane C-64 kullanarak NASA’nın uydularının kontrolünü ele geçirdiklerinin haberi vardı. (http://bit.ly /1FlZCu). Deyim yerindeyse aklım başımdan gitti.

Düşünsenize, kasetten oyun yüklüyoruz daha takas (swap) dünyasını yeni keşfetmişiz, arkadaşlarımızdan aldığımız kasetleri kopyalayabilmek bile (kafa ayarı vs.) bir teknik meydan okuma, adamlar oturdukları yerden dünyanın öbür ucunda, muhtemelen dünyanın en gelişmiş bilgisayar sistemlerinden birine sızıyorlar. Dahası bunu tam da benim kullandığım bilgisayarla yapıyorlar. O gün bilişim güvenliği uzmanı olmaya karar verdim.

Zaten bir süredir MOS 6510 assembler programlıyordum, bu hevesle biraz daha yoğunlaştım. Hemen herkesin yaptığı gibi introlardaki yazıları değiştirmeye kastım falan. Ardından bir gün babam ısrarlarıma dayanamayıp bana bir Amiga aldı. Onla uğraşırken Angels diye bir Türk grubu olduğunu öğrendim, ekipten Doğan’a bir mektup yazdım, çok ilgilendi bana yardımcı oldu. Ardından Scene denen ortama dahil oldum, Titan, Ravel, Cooper, Dark derken Commodore ekibi ile tanıştım Mad, Prince, Master, Remix, Bloody, Chris ve diğerleri. 90’ların başlarında hem bilgisayar işinden para kazanır olmuştum hem de artık çok daha fazla bilgiye ulaşabiliyorduk. 92’de ile defa Phrack dergisi ile tanıştım hiç unutmuyorum 43. sayıydı (http://bit.ly/1hSf2L). Bilgisayarların yeraltı dünyasından bu kadar çok bilgiye bir anda sahip olmak başımı döndürdü.

Linux’u keşfettim

Çeşitli işler yapıp, okula devam ettim, bir yandan da artık PC kullanmaktaydım. Fakat Amiga’da sahip olduğum birçok lüksün (grafik arayüz, multitasking vs.) PC’de olmadığını görünce hayal kırıklığına uğradım. Dahası, PC’de Amiga’nın Fish diskleri gibi kurcalayabileceğim freeware yazılımlar da pek ortada yoktu. O sıralar bir Ankara yolculuğunda Linux’u keşfettim. Bunda garip bir şeyler vardı, Amiga’ya benzeyen. Başladım kurcalamaya. O günden bu yana da gerek masaüstünde gerek sunucularımda Linux kullanıyorum.

Profesyonel hayata atılış

1999 senesinde Gantek’in bir alt şirketi olan GanPro’da çalışan bir arkadaşım (Emre Sevinç a.k.a. FZ) bir SUN sistem admini arandığını, Linux bilen birisi olarak benim ilgimi çekip çekmeyeceğini sordu. İlgileniyorum dedim, gittim görüştüm. GanPro’nun başında Harun Tiftikçi vardı teknik taraftan da Arif Yalçın katıldı görüşmeye. Ben SUN hakkında pek bir şey bilmediğimi ama Linux kullandığımı söyleyince, Arif “Şimdiye kadar en teknik ne yaptın Linux’da?” diye sordu. Ben de “Ev arkadaşlarımın bilgisayarlarını IP Masqurading ile benim bilgisayarımdaki modem üstünden Internet’e bağladım” dedim. Beni işe aldılar.

GanPro o zamanlar çok elit bir ekipti, zaten 2000 senesi mantar gibi ISP kuruluyor, hemen hepsinde de bir şekilde ya Gantek’in ya GanPro’nun ilgisi var; Türkport, Tr.Net, Azeronline, Project X (daha sonra İxir olduğu açıklandı). Bu kurulumlarda, küçük büyük bir çok sistem adminliği işi yaptım. Bu sırada da güvenlikle ilgili ayrı birileri olmadığından “yahu bu sisteme birileri girerse, ederse” diye dert etmeye başladım. O zamanlar (ki hala da öyledir) Arif pir’imiz, boyumuzun yetmediği ne konu varsa ona soruyoruz. Ama cevap versin diye değil (çünkü vermez) alay da etse, terslese de bizi doğru yöne yönlendirsin diye.

Açıkcası bu süreçte GanPro ve Galaksi’de belli bir olgunluğa geldim. Bir yandan Linux dünyası da oldukça gelişti, başta güvenlik olmak üzere iş dünyasında bir çok alanda defacto işletim sistemi halini aldı. Dolayısıyla güvenlik de iyi bir sistem yöneticisinin doğal sorumluluklarından biri olduğu için bu alandaki bilgi ve tecrübem de gelişti. Ardından yavaş yavaş, başta BS 7799 olmak üzere InfoSec’in daha yüksek seviyeli alanları ile ilgilenmeye başladım.
Kısaca(!?) hikayem budur. Bu alanda ilerlememe başta Arif Yalçın ve Harun Tiftikçi olmak üzere Burak Sadıç’ın da çok önemli katkıları olmuştur.

NGB: Turkiye’de bilgi guvenligi konusunu degerlendirebilir misiniz

Kıvılcım HİNDİSTAN: Hep yaptığım bir benzetme var; bilgi güvenliği sektörü zor bir meydan okumanın parçası. Şöyle ki, ortada çok güzel alımlı bir kız var, bu şirketin ana faliyeti, bankacılık olabilir, telco olabilir, üretim olabilir. Bu kızın ebeveyinleri var, bunu da kabaca yönetim kurulu olarak düşünün. Sağlığından, gelişiminden, mutluluğundan sorumlular. Temel amaç da, kızın evlenip mutlu bir yuva kurması, yani ana faliyetini sürdürmesi.

Bizler ise -yine benzetmenin genişliğine sığınarak- bu kızın abileriyiz. Bizden istenen temel beklenti şu, “aman evladım dikkat edin de, kızın namusuna zeval gelmesin”. Öte yandan namusunu koruyacağız derken, olası hayırlı kısmetleri de korkutup kaçırmamak gerekiyor. Kısaca hem kızın namusunu koruyacağız hem de evde kalmaması için görünmez olmamız gerekiyor. Çünkü evde kalması namusuna zeval gelmesinden bile kötü kabul ediliyor 🙂
İşte böyle bir ikilem var.

Gereken önem veriliyor mu? Bence verilmiyor. Çünkü kızın namusunun kirlenmesi durumu birçok şirket için korkulan ama ne menem bir şey olduğu hakkında çok da fikir sahibi olunmayan bir olgu, nispeten soyut bir kavram. “Kim ne der, rezil oluruz!” dışında bir motivasyon yok. Sel bastığında çok endişelenmiyoruz da, sel büyük bir firmanın veri merkezine zarar verdiğinde endişeleniyoruz mesela.

Yabancı ülkelere göre neden gerideyiz?
Diğer birçok teknolojik ve süreçsel konuda neden gerideysek o yüzden. Çünkü başımıza gelmemiş ve onların tecrübelerini özümseyip, içselleştirerek, aynı hataları yapmamayı beceremiyoruz.

Çok güzel bir örnek Rekabet Hukuğu. Amerika Birleşik Devletleri 1890’larda ilk Rekabet Hukuğu yasasını onaylamış. Neden? Çünkü o sene bir petrol şirketi, çıkarlarına aykırı karar alan bir Amerikan Başkanı’na suikast düzenleyerek öldürtmüş! O zaman anlamışlar ki, şirketler sınır konulmadığı takdirde o kadar güçleniyorlar ki, önlerine çıkan engelleri, bir şekilde aşmanın yolunu buluyorlar, ama yasal ama yasadışı şekilde. Bizde ise 1990’larda gelmiş Rekabet Hukuğu.
Güvenlik de bu şekilde, çoğu zaman biz güvenlik uzmanlarına “evham yapıyorsunuz” gözü ile bakılıyor, çünkü işler yürüyor (ya da yürümeyen kısımları işin doğası olarak kabul etmişiz).

Bir başka güzel örnek de “fren”.

Komik gelebilir belki ama, insanlar “fren neye yarar?” gibi basit bir sorunun cevabını bilmiyorlar. “Fren durmaya yarar” ya da “Fren durdurur.” gibi cevaplar alıyorsunuz.
Şunu düşünün yolda giderken arabanız bozuldu, vites kutusu dağıldı ikinci vitesin üstüne çıkmıyor. Ne yaparsınız? Yavaş yavaş da olsa bir tamirciye ulaşmak için hareket ettirirsiniz arabayı değil mi? Peki frenler tutmaz hale gelirse? Muhtemelen direksiyon kırarak yavaşlar sonra da arabayı ilk ağaca yaslar, indikten sonra da tekerin altına taş koyarız.
Veya spor arabaları düşünün. Şu an gündelik binek arabalar bile 220-240 km/saat hız yapabilirken, gerçekten kaliteli frenler sadece spor arabalarda var.
Demek ki aslında “fren kontrollü ve hızlı gitmeye yarar”
Bizim bunları bilen üst yönetimlere ihtiyacımız var.

NGB: Bu ise yeni baslayanlara neler onerirsiniz?

Kıvılcım HİNDİSTAN: Şimdiye kadar bu konuda sağolsun, birçok arkadaş fikir sordu, hepsine de benzer şeyi söyledim.
Konu ne olursa olsun, en önemli etken heyecan. Heyecan, coşku yoksa ne bilginin, ne becerinin hiçbir anlamı kalmıyor. O yüzden ilk önerim, heyecan duydukları işi yapsınlar.
İkincisi de daha teknik bir öneri, bir şekilde GNU/Linux camiasına girsinler, gerek masaüstlerinde, gerek sunucularında bu işletim sistemlerini kullansınlar. Bunun sebebi fanboy olarak Linux’u ön plana çıkartmak ya da “Linux Windows’tan üstündür” diye kavganın parçası olmak değil kesinlikle.

Linux’un en önemli avantajı şu; ne yaparsanız yapın size teknik açıdan dürüst bir tepki verir. Ne yapacağını söylüyorsa onu yapar, ne eksik ne fazla ve ne yaptığı hakkındaki bilgiyi de ne detayda öğrenmek istiyorsanız o deteyda öğrenebilirsiniz. Ya dökümanında vardır, ya Freenode’da IRC’de bir kanalda o konuda konuşmak için can atan birileri sizi bekliyordur.
Yani bir işi sadece yapmak değil, aynı zamanda mekanikleri ile öğrenmek istiyorsanız Linux size imkan tanır.

Herhangi bir Linux başlangıç noktası olabilir ama şahsi tercihim Debian ya da Ubuntu kullanmanız. Hem kullanıcı tabanının genişliği, hem de arkalarındaki destek açısından bu iki dağıtım diğerlerinden ayrılıyorlar.

Bir de “Linux ile Internet’i paylaştırdım evde” derseniz işe alıyorlar adamı 🙂

Freenode IRC sunucusu, başta özgür yazılımlar olmak üzere bir çok teknik konuda en iyi bilgi alınabilecek yerlerden biri, şiddetle öneriyorum.
Life over IP güzel bir site mesela 🙂 Gündemi takip etmek açısından iyi.
Sertan’ın blogu http://onalti.blogspot.com/ yine benzer şekilde güzel yerlerden biri. Bilgiguvenligi.org keza öyle.

NGB: Sizce 2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor olacak?

Kıvılcım HİNDİSTAN: Şu an IT Güvenliği ile bu kadar çok uğraşıyoruz, çünkü ciddi şekilde canımız yanıyor. Fakat buradaki problemlerin birçoğu artık insan gözünün, algısının üstünde. Bu sebeple, özellikle davranış temelli saldırı tespit sistemlerinin gelişmesi akıllanması ile ve uyumluluk çalışmlarınının belli bir olgunluğa gelmesi ile bu alan gittikçe ölgünleşecek.
Bence 2015 yılında Bilgi Güvenliği, denetim ve servis seviyesi anlaşmaları bölümleri ile birlikte kurumların kendi bünyelerinde barındırdıkları son birkaç bölümden biri olacak. Klasik IT güvenliği diye bahsedilen Bilgi Güvenliği servislerinin (güvenlik cihazları konfigürasyonu, operasyonu başta olmak üzere) 2015’ten önce %100 dış kaynak kullanımına kayacaklar.

Şu anda ne kurumlar ne de servis sağlayıcılar bu tür yönetilen güvenlik servisleri konusunda olgunlaşmış durumda. Samimi düşüncem şu an güvenlik servislerinin pek yönetilebilir olduğunu düşünmüyorum. Elimizde bir fener zifiri karanlık bir ortamda fare arıyoruz. Belki zaman içinde fenerin gücü artıyor olabilir ama odaya da devamlı yeni eşyalar koyuyorlar. Bu yüzden fareleri bulmak gittikçe daha zor bir iş halini alıyor.
Benzetmeyi zorlarsak biraz, önümüzdeki beş yılda odaya konan eşyaların kendi aydınlatmalarının olacağını düşünüyoruz diyebiliriz, çünkü gidişat o yönde. Microsoft gibi dev bir firma, birincil önceliği güvenliğe verdiyse ve şu anki stratejilerinin büyük bir kısmını güvenlikten referans alarak tanımlıyorsa, bu bazı anlayışların değiştiğini gösterir.

Dolayısıyla 2015 yılında çok az firmanın IT güvenlik personeli barındıracağını, güvenlikle ilgili servis vermeyen firmalardaki güvenlik organizasyonunun tamamen dış kaynakları kontrol altında tutmak, onlardan beklenen hizmeti almaya odaklanacağını söyleyebiliriz.
IT Güvenliği problemini belli bir seviyeye kadar çözdükten sonra artık daha üst seviyeden konulara bakabilir olacağız. Bu da bizlerin daha stratejik kararlar verebilmek için önümüzü açacak.
Ben geleceğin Kurumsal Risk Yönetimi (ERM)’de yattığını düşünüyorum. ERM’i kabaca üç bacaklı bir yapı olarak ele alırsak; Operasyon, Finans ve Güvenlik üçgenine baktığımızda en zayıf kısmın güvenlik olduğunu görüyoruz. Malum Finans’ın elinde güç var, Operasyon zaten herşeyi işleten fakat mevcut yapısıyla güvenlik daha belirsiz bir noktada kalıyor. Zira ölçütleri (KPI’ları) hala oturmuş değil. Fakat önümüzdeki yıllarda güvenliğin ERM’deki ağırlığının artacağını ve eş düzey bir oyuncu olacağını düşünüyorum.

NGB: Güvenlik sertifikaları konusuna ne düşünüyorsunuz?

Kıvılcım HİNDİSTAN: Şahsen ürün ve ürün temelli sertifikalara karşıyım. Bunlar üreticilerin kendi selametleri için ön plana çıkarttıkları sertifikalar olmalı, ayrı bir pazar halini alması bir çıkar çatışması doğuruyor.
Bunun dışında bağımsız otoritelerin güvenlik bilgi/görgüsünü onayladıkları sertifikaları destekliyorum. SANS, ISC2, ISACA gayet olgun kuruluşlar ve değişik seviyelerde güvenliğin yönetilebilir kılınması için ciddi çalışmalar yapıyorlar.
Öte yandan unutulmaması gereken en önemli kıstas, sertifikaların bir fotoğraf olduğunu unutmamak. Bunlara belli bir anlayışa gelmiş birisi olmanın belgesi olarak bakmak ve daha ileri gitmeye çalışmak lazım. Yoksa eski fotoğraflara bakıp, o zamanlara geri dönmek isteyen kişilere benzeriz.
Dolayısıyla GIAC, CISA, CISSP, ISO 27001 Auditor ve benzeri sertifikalar tabi ki oldukça değerliler. Fakat en önemli değerleri, karşınızdaki kişinin belli bir anlayışta, belli bir seviyede bilgiye sahip olduğunu varsayarak kuracağınız iletişimin zeminini belirlemek açısından. Yoksa bu sertifikalara sahip ama konuya oldukça uzak da çok insan gördük.

NGB: Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

Kıvılcım HİNDİSTAN: En kritik güvenlik problemi bence farkındalık eksikliği. Dediğim gibi başta IT olmak üzere o kadar çok operasyonal güvenlik problemlerine gömülmüş durumdayız ki, insanların güvenliği sahiplenmediği takdirde yaptıklarımızın sadece basit teknik detaylar olarak kaldığını unutuyoruz.

Bir başka kritik güvenlik probleminin de işgüzar güvenlik personeli olduğunu düşünüyorum. Güvenliğin en önemli gücü, haklı olmasında yatar bence. İnsanlar bir güvenlik önlemini uyguluyorlarsa buna hak vererek, onu haklı bularak uygulamalıdırlar. Aksi takdirde etrafından dolaşmaya, güvenliği uyutmaya çalışırlar ki, uzun vadede bu güvenliğin kesinlikle kazanamayacağı bir mücadeledir, dahası en çok da şirkete zarar verir. Bu yüzden güvenlik personelinin bir önlemi neden aldığını önce kendisi çok iyi bilmeli, daha sonra bunu çok iyi anlatabilmelidir.

NGB: Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitalpların okunmasını tavsiye edersiniz?

Kıvılcım HİNDİSTAN: Ben Kevin Mitnick’in Art of Deception kitabını okudum. Aldatma Sanatı adı altında Türkçe’ye de çevrildi sanırım ODTÜ yayınlarından.
Güvenliğin en zayıf (ve en önemli) halkasının insan olduğunu, insanı bir parçası yapmadığınız mekanik güvenlik prosedürlerinin ne kadar zayıf olduğunu anlatması açısından çok çok önemli.
Belki kurgu olması açısından insanlar hafife alabilir ama Neal Stephenson’ın Snowcrash ve Cryptonomicon kitaplarını da şiddetle öneririm.

NGB: Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı

Kıvılcım HİNDİSTAN: Açıkcası benim bu alandaki kahramanım, bu alandan olmayan birisi 🙂 Bilgi Güvenliği konusunda bana en çok ilham veren, tabiri yerindeyse ufkumu açan kişi yazar William Gibson’dır. 1984’de Matrix terimin ilk ortaya atan Gibson, çok yaratıcı, çok engin bir zekaya sahip ve bunu yüz yıl kadar önce Jules Verne’in yaptığı derecede güçlü bir şekilde 21. yüzyılın haritasını oluşturmakta kullanıyor. Özellikle “No Maps for these territories” diye bir belgeseli var mutlaka izlemenizi isterim.
Sektöre dönersek, Bruce Schneier ve Dan Kaminsky isimleri ön plana çıkıyor. Schneier hem teori hem de pratikte büyük bir üstat. Kaminsky ise sanırım şu an Internet’in altyapısını en iyi anlayan kişilerden biri. Hani hidayete erdikten sonra Neo bütün çevresini Matrix’in akışları olarak görmeye başlıyor ya, sanırım Kaminsky’de bizim www dediğimiz şeye benzer bir gözle bakıyor.

NGB: Güvenlik dünyasında en fazla kullandığınız/sevdiğiniz yazılım hangisidir?

Kıvılcım HİNDİSTAN: Sanırım tek bir yazılım diye sorsanız netcat (http://bit.ly/2O1zsZ)derim. Ama birkaç şansım olsa, hping nmap, snort ve iptables’ı da unutmamak lazım. Bu yazılımların ortak özellikleri (ki hepsi Netcat’de toplanmıştır) Unix yaşam tarzını yansıtmaları, yani belli bazı işleri çok elementer olarak yapmaları.

Bir yazılım sizin tarafınızdan yazılmadıysa, sizin tam olarak ne ihtiyacınız olduğunu çok iyi bilemez. İkinci en iyi ihtimal, yazılımın basit temel bazı işleri yapması ve diğer yazılımlarla uyumlu çalışabileceği bir ortama sahip olmasıdır. Bu sayede siz istediğinizi yapabilirsiniz.

NGB:Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?

Kıvılcım HİNDİSTAN: Hiç düşünmeden.

NGB: Zaman ayırarak röportajımıza katıldığınız için teşekkür ederiz.