Güvenlik kahvesinin bu haftaki konuğu ya da konukları diyebiliriz kendilerini çok fazla dış dünyaya göstermeyen önemli gruplardan bir tanesi HellcodeResearch.
Üst not: Bazı arkadaşlardan niye böyle underground işler yapan insanlarla röportaj yapıyorsunuz şeklinde şikayetler geldi. Araştırma ekibinin yaptığı işler, yapış yöntemleri vs tartışılabilir(tartışılmayan ne var ki?) ama bizim amacımız Türkiye’de bilgi güvenliği üzerine (özellikle ileri seviye teknik konularda) çalışma yapan ve bunu bir şekilde paylaşan herkesi tanımak, tanıtmak ve fikirlerinden herkesin istifade etmesini sağlamaktır. Beğenmezseniz fikirlerini okumazsınız:)
Bu ülkede benim ilgi alanıma giren(güvenlik) kim olursa olsun ilk adımı atarım, desteklerim, bu konuda benimle %100 zıt düşünüyorsa bile ben fikirlerini söylemesini desteklerim . Yaptığı iş kanunlara göre yasaksa yaptığı işi değil, bilgisini ön plana çıkararak faydalanmaya çalışır, başkalarının da faydalanmasına yardımcı olurum.
Kısacası karşımdakinin ne olduğuna değil, güvenlik konusunda ne yaptığına bakarım. Bu arkadaşlar da Türkiye’deki güvenlik sektörünün farklı alanlarında başarılı çalışmalar yapan kişiler, bu röportaj da onların güvenliği olan bakış açısı. Buyrun buradan…
NGB:Kısaca kendinizden (grubunuzdan) bahsedebilir misiniz?
Hellcode Research, uluslararası bir organizasyondur, ticari kaygıları olmayan informasyon güvenliği alanında hobi amaçli veya profesyonel anlamda bu işle ilgilenen her ülkeden her statuden kişiler tarafından kurulmuştur.Genel olarak “uygulama güvenliği” alanında çalışmaları olsa da bilgi güvenliğinin her alanına ilgi duyan bir ekiptir.
Hellcode Research, farklı dallarda eğitim görmüş ve konuya ilgi duyan her meslekten insanı bir araya getirmiştir.
Dünya’nın her yerinden, düzenlenen konferanslara konuşmacı olarak davet almış ve bu platformlarda araştırmalarını paylaşmıştır.Son olarak Polonya’da (Confidence) düzenlenen bir konferansta bilişim güvenliği alanında önemli isimlerle (örneğin, IOActive – Dan Kaminsky, ImmunitySec – Sebastian Fernandez, Zynamics – Vincenzo Iozzo) birlikte konuşmacı olarak davet almış ve sunumlar yapmıştır.
Hellcode Research, Türkiye sınırları içerisinde “üzülerek söylüyoruz ki” bu tip davetler almamıştır.
Tüm bu teknik konular dışında, aramızda başta müzik olmak üzere çeşitli sanat ve spor dallarıyla (i know kung-fu) uğraşanlardan tutun kız arkadaşlarıyla olan problemlerini çözememeyi kendine hobi edinmiş kişilerde vardır 🙂
NGB:Güvenlik işine nasıl bulaştınız?
Hellcode Research, güvenlik işine farklı sebeplerle ve yollarla bulaşmış insanları bünyesinde barındırır, ama hepsinin ortak ve klasik cevabı meraktır.
NGB:Türkiye’de bilgi güvenligi konusunu değerlendirebilir misiniz?
Hellcode Research, bilgi güvenliğinin Türkiye’de bir butun olarak algılandığını düşünmüyor. Şirketlerin, bilgi güvenliğinin network güvenliğinden ibaret olduğunu düşünen IT Departman müdürlerine sahip olduğunu “Hellcode Research” olarak birebir gördük.
Yabancılara göre neden daha geride olduğumuz sorusuna, yetkin isimlerin gereken noktalarda olmadığı gerçeği cevap olarak görülebilir. Durum böyle olunca, bu kişiler olayın ciddiyetini ve zorunluluğunu kurum yöneticilerine aktarmakta zorluk çekiyorlar.
Örneğin, özel bir bankanın IT departman müdürü ile yaptığımız görüşmede kendilerinin bir güvenlik uzmanından beklentilerinin sadece network düzeyinde olduğunu ve uygulama güvenliğinin Türkiye’de 5 sene sonra önem kazanabileceği cevabı kurumların bu konu uzerine farkındalıklarının neden yabancı ülkelerden daha geride olduğu konusuna net bir cevaptır.
NGB:Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?
Türkiye’de uluslararası düzeyde güvenlik yazılımları/donanımları üretme kabiliyetine mevcut düzen içerisinde hiç bir kuruluşun yeterli olduğuna inanmıyoruz, bu tip bir kaç girişim oldu fakat yanliş kişilerin elinden yanlış ürünler çıktı, eğer firmalar doğru kişileri doğru yerlerde ararlarsa başarı da beraberinde gelecektir.Dışarı bağımlı olunması konusunun ticari anlamda olduğunu düsünüyoruz, güvenlik anlamında dışa bağımlılığın önem arz ettiği konusunda olumlu fikirlerimiz yok, buna bağlı olarak gerekli olup olmadığı ticari bir sorudur.
Eğitim kurumlarında bunun ders olarak okutulmasının da hiç bir önem arz etmediğini Türkiye’de bilgisayar mühendislerinin durumuna bakarak anlayabiliriz.
NGB:Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?
Farkındalığın artması, güvenliğin çeşitli dallarıyla birlikte bir bütün olduğunun anlaşılması.
Sadece ağ güvenliği ile ilgilenen biri, sistem üzerindeki uygulamaların kullanıcılar için ne tür riskler taşıdığını bilemezler. Örneğin bir IDS’nin uygulamada ki zaafiyetler sayesinde nasıl by-pass edileceğini çoğu zaman bilemezler veya ceşitli büyük çapta yazılımları (Apache, IIS)exploit etmek zor olabilir fakat yazılımlar ile senkronize çalışabilecek 3. parti yazılımların taşıdığı riski analiz edemeyen bir güvenlik uzmanı olamaz.Bu nedenden dolayı bizler, Türkiye’de malesef “güvenlik uzmanı” etiketiyle çalışanların bir çoğunun aslında olması gerektiği gibi olan sistemciler olduklarını düşünüyoruz.
Kısacası bu tip risklerin tamamiyle ele alınması gerektiğini, insanlara veya kurumlara aktarılması yine gerçek güvenlik uzmanları, vizyon sahibi insanlar ve örneklendirilmiş sorunların analizini iyi yapabilen ve bunu potansiyel risk olarak tanımlayan kişilerce yapılmalıdır. Wake Up Community !
NGB:Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?
Hellcode Research, böyle bir kurumun statüsünün ne olabileceği konusunda herhangi bir fikre sahip değil.Örneğin, TR-CERT’i ele alacak olursak ne yaptıkları ve kimlerden oluştukları konusunda hiç bir fikre sahip değil.
NGB:Bu işe yeni baslayanlara neler önerirsiniz?
Öncelikle bu işe yeni başlayanlardan işin felsefesini öğrenmelerini, özellikle kavramlar üzerine yüklenen manaları tekrar düşünmelerini tavsiye ederiz. Ne yazık ki düşüncelerimizi bu kavramlara anlam yükleyenlerin şekillendirmesine izin veriyoruz. Bunun böyle olmaması gerektiğini düşünüyoruz.
Onun dışında, teknik anlamda bulabildikleri her türlü materyali değerlendirmelerini, okumalarını ve bilgilerinin teoride kalmaması için sürekli uygulama yapmalarını tavsiye edebiliriz.
NGB:Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?
Hızla değişen trendler göz önünde bulundurulursa, tahmin etmek için uzun bir süre fakat embedded sistemlerin güvenliği hakkında konuşacakmışız gibi görünüyor, onun dışında daha kompleks atakların daha basit yollarla yapılacağı gerçeğinide göz ardı etmemek gerek.
NGB:Güvenlik sertifikaları konusuna ne düşünüyorsunuz?
Bu tip sertifikalar (CEH, CISM, CISSP…) konunun uzmanı olup olmadığınızı asla belirleyemez. Bizler bu tip sertifikalara sahip olanların da dağıtanlar gibi tamamen ticari kaygılar taşıdıklarını biliyoruz.Eğer biraz olsun işin içinde iseniz kesinlikle sertifikaların içerikleri konusunda mizah yapmanız bile olası.
NGB:Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?
Dünyanın en büyük “Real Time” ürünler üreten firmalardan birininin ürettiği bir üründe uygulamadaki bir problemden dolayı mevcut sistem köle haline gelebiliyordu.Arayüze bir controller ekleyerek erişim sağlanabiliyordu. Yani sisteme bir malcode yüklenebiliyor ve program kendini protected storage olarak manipule ediyordu, malcode kendini yüklediğinde tüm processler çöküyor ve sistem yeniden başlıyordu. Böylece zararlı yazılım kendini konfigure edebiliyordu.
İlgili firmaya hemen bu zaafiyet bildirildi ve hızlı bir şekilde patch yazıldı fakat malcode üzerinde ufak değişiklikler yapıldığında görüldü ki zaafiyet hala mevcut ve tekrar iletişim kuruldu daha sonra sistem üzerinde deneme yapılmadı. Fakat şu an mevcut zaafiyetin olmadığını düşünüyoruz.
NGB:Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitalpların okunmasını tavsiye edersiniz?
Bilgi güvenliği konusunda merakımızı gidermek için bir çok materyalden faydalandık bunlardan bir kısmı da kuskusuz kitaplar, en son okuduğumuz kitapları hatırlamayacak kadar uzun zaman oldu fakat genel olarak okumaktan hoslandığımız kitapların isimlerini tek tek vermektense, Hellcode Research’in; Syngress , Adison-Wesley, Wiley Publishing ve No Starch Press kitaplarının bir çoğunu okuduğunu ve bundan zevk aldığını söyleyebiliriz.
NGB:Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı
Hellcode Research olarak bilgi güvenliği ile ilgilenen veya teknik becerilerini takdir ettiğimiz bir çok isim var elbette, kahraman olarak gördüğümüz veya kademe olarak gördüğümüz insanlar oluyor.Bunlardan bazıları; Mike Schiffman, Mark Russinovich, Kris Kaspersky, Ilfak Guilfanov, David Solomon ve tabii Türkiye’den ismini açıklayamayacağımız bir kac kişi.
NGB:Güvenlik dünyasında en fazla kullandığınız yazılım hangi?
IDA, Ollydbg, Windbg, Sysinternals Suite, BinNavi/BinDiff, nmap, wireshark, ettercap, gibi yazılımlar kullandığımız yazılımlara örnek olarak verilebilir.
NGB:Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?
Yabancı siteler zaten biliniyor (Securityfocus..vs) bunun dışında kendi sitemizi önerebiliriz 🙂
NGB:Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?
Hellcode Research, kesinlikle bilgi güvenliği alanında bağımsız olarak araştırmalar yapmaktan zevk duyan bir organizasyondur ve bunun böyle olması gerektiğini düşünür. O nedenle kesinlikle ve kesinlikle yüzlerce alternatif arasından yine bilgi güvenliği konusunu bulup kendine uğraşı alanı olarak seçerdi.
Röpörtajı bültenden okumuştum ancak burada üst not dikkatimi çekti ve yorum yazmadan geçmek istemedim.
Bu güne kadar edindiğim tecrübelerden yararlanarak söyleyebilirim ki; taraf olan, ön yargılı davranan, fikirleri dinlemeden anlamadan yargılayanlar, bir bakıma kendilerini sınırlayanlar mutlaka kaybeden taraf olmuşlardır.
Bu şekilde bir yere varamayacaklarını görenler ve taraf olmak yerine fikirlere objektif bakmayı başaranlar ise ivmelenerek yol aldıklarını fark etmişlerdir.
Hastalığı incelemeden serum(panzehir), virüsü incelemeden aşı yapmaya çalışmak nasıl bir aklın ürünüdür? H1N1 aşı vakası gibi keriz avı(soygunu) yapan hastalıklı beyinlerin ürünü olabilir mi?
IT sektöründe de durum farklı değil. İçi boş ama sertifikalı kuru kalabalık. Ne için? Güvenliği firewall, av zanneden şirketlerin IT departmanlarındaki boşluğu geçici bir süre idare etmek için olabilir mi?
Peki ya şikayet eden arkadaşların, geçici olarak idare ettikleri boşluğu kaptırmak gibi kaygıları olabilir mi?..
Hakkaten merak ediyorum..Tepkilerin tek nedeni bakış açısı mı?..
“geçici olarak idare ettikleri boşluğu kaptırmak gibi kaygıları olabilir mi?..”
Geçici degil de daimi olarak idare edilen pozisyonlarin kaybi diyebiliriz:)
Oncelikle sunu belirtmek isterim, ekibimizde Huzeyfe Onal ile teknik anlamda cok zit fikirlere sahip olan kisiler vardi ve fakat yaptigimiz roportaji hic sansurlemeden yayinlamasi ve fikirlerimizi dile getirmemizi saglamasi gercekten cok buyuk saygi duymamizi sagladi..
Onun disinda, underground isler yapmaktan kasit nedir ? bunu tartisabiliriz tabii ki,eger kasit illegal aktivite ise bizim suana kadar boyle isler yapmadigimizi herturlu size ispat edebiliriz.
not: “Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?” sorusuna verdigimiz cevap cok ciddi bir sistem uzerinde buldugumuz acik bunu da Huzeyfe bey ile paylastik kurum ismi vermedik ama eger istiyorsaniz yayinlayabilirsiniz dedik, cunku biz kendimize guveniyorduk, zira soz konusu arastirma canada ibm & cisco ortaklasa projesinde calisan ekip elemanlarimizdan biriyle birlikte yaptik, ve bize bu destegi saglayan soz konusu firmalardir, eger istenseydi bu arkadasimizin mail adresi, telefonu ve soz konusu zaafiyetli urunun sahibi firmadan iletisime gectigimiz kisiler ile Huzeyfe Bey’in de iletisime gecmesini saglayabilecektik.
Onun disinda, herseyin farkinda odugumuzu bilmenizi isteriz, Turkiye’de dunyaca unlu bir guvenlik firmasi icin calisan tum contributorleri tanidigimizi ve bu buyuk firma ile de iletisimde oldugumuzu bilmenizi isteriz..(umarim ne demek istedigimizi anlatabildik)
Turkiye’yi bizden daha iyi taniyan yerli-yabanci kisilerden bugune kadar motivasyon anlaminda destek gorduk (Dan Kaminsky, Sinan Eren vs…) hepsine tesekkur ediyoruz, dunyanin cesitli yerlerinden heppimizin tanidigi sektorde lider konumunda olan firmalardan is teklifleri aldik onlarada tesekkur ediyoruz, bir cok firma ile ortaklasa calistik (tippingpoint vs..) onlarada tesekkur ediyoruz…(ve yine umuyoruz ki ne demek istedigimizi anlatabildik)
ve son olarak, bu roportajdan rahatsiz olanlar kimler bilemiyoruz, ama her ortamda tartismaya acik oldugumuzu, Hellcode Research’un hic bir zaman maddi kaygisinin olmadigini da bilmenizi isteriz…(O yuzden birilerinin rahatsiz olmasina gerek yok.)
sevgiler…
Hellcode Research, plan9 için multitasking üzerine kafa patlatırken tanışmak için randevu isteyen fazlamesai.net ekibine de en derin saygılarını iletmeli bence =)))
Öncelikle Hüzeyfe Önal’a tepkilere rağmen röportajımızı yayınladığı için teşekkürler. Bu işi ticari kaygılardan arınmış şekilde , salt bilgi için gönülden yaptığını bir kere daha gösterdi.
Bazı arkadaşların bizim underground ve illegal işler yaptığımız konusunda kaygılarını öğrendik. Underground işler sadece illegal işlerden mi ibarettir? (cc vb) Herhalde yaptığımız en illegal iş yayınladığımız bazı güvenlik bildirilerinde responsible yerine full-disc ı seçmek. Bunun ne kadar kötü , iyi olduğu tartışılabilir ancak illegal değildir. Ve bize göre iyidir de… Kaldı ki son yayınladığımız full-disc advisory nin tarihi 3 şubat 2010 dur. Üstelik artık açıkları yayınlamak yerine zdi/tippingpoint gibi güvenlik şirketlerine açıkları satmayı tercih ediyoruz. Yani birçok firmanın güvenlik için kullandığı ids cihazlarına ips filtrelerine katkıda bulunuyoruz. (bkz: http://tcc.hellcode.net/musashi/win.JPG)
Ekibimizde bazı güvenlik şirketlerine çalışan, siber terörist faaliyetler hakkında istihbarat desteği sağlayan kişiler varken bu tarz iftiralara , ithamlara maruz kalmamız kabul edilebilir değil.
Saygılar…
Celil Ünüver
Öncelikle Hüzeyfe Önal’a tepkilere rağmen röportajımızı yayınladığı için teşekkürler. Bu işi ticari kaygılardan arınmış şekilde , salt bilgi için gönülden yaptığını bir kere daha gösterdi.
Bazı arkadaşların bizim underground ve illegal işler yaptığımız konusunda kaygılarını öğrendik. Underground işler sadece illegal işlerden mi ibarettir? (cc vb) Herhalde yaptığımız en illegal iş yayınladığımız bazı güvenlik bildirilerinde responsible yerine full-disc ı seçmek. Bunun ne kadar kötü , iyi olduğu tartışılabilir ancak illegal değildir. Ve bize göre iyidir de… Kaldı ki son yayınladığımız full-disc advisory nin tarihi 3 şubat 2010 dur. Üstelik artık açıkları yayınlamak yerine zdi/tippingpoint gibi güvenlik şirketlerine açıkları satmayı tercih ediyoruz. Yani birçok firmanın güvenlik için kullandığı ids cihazlarına ips filtrelerine katkıda bulunuyoruz. (bkz: http://tcc.hellcode.net/musashi/win.JPG )
Ekibimizde bazı güvenlik şirketlerine çalışan, siber terörist faaliyetler hakkında istihbarat desteği sağlayan kişiler varken bu tarz iftiralara , ithamlara maruz kalmamız kabul edilebilir değil.
Saygılar…
Celil Ünüver
Türkiye’de(ve dünyanın büyük bir bölümünde) hala exploit vs gibi işlerle uğraşmak illegal olarak nitelendirilebiliyor. Bu konuda herhangi bir standart olmadığı(ki bana göre olamaz da) için de bu tip eleştiriler gelecektir. Oysa birçok firma el altından bu tip faaliyetleri destekliyor:).
Evet haklısınız, illegal olarak nitelendirilebiliyor. Ancak iyi yada kötü olduğu tartışmalı. Örneğin bizim yayınladığımız bir açık belki bir çok kötü niyetli kişinin elinde var ve responsible disc ile vendor un patch yayınlamasını beklemek bize göre son kullanıcı için daha tehlikeli. Biran önce yayınlandığında ise vendorlar çok daha hızlı bir şekilde patch yayınlamaya çalışmakta. Sorun bazı kişilerden eleştiriler gelmesi değil, eleştirilere açığız ancak burda hellcode research ün direk illegal işlerle uğraşan bir grup olarak görülmesi söz konusu. Bunu düzeltmek istedik.
Saygılar
Güzel Röportaj olmuş.Sanırım bazı gerçekler birilerini rahatsız etmiş.Güvenlikçi olunmaz doğulur.
Güzel bir röportaj olmuş gerçekten. Hellcode Research ekibini yakından tanıyan bir kişi olarak böyle aslı astarı olmayan suçlamaları insanlar niye yapar diye düşünüyorum? Acaba böyle düşünenler, ne kadar “sektör” için çabalıyor? Maddi kaygılar yerine sektör için kaygılansalar güvenlik daha ön planda olurdu herhalde bu memlekette…Sormak lazım pentest yapan güvenlikçi arkadaşlara, bilgisayarlarını karıştırsak kaç tane exploit çıkar? hiç mi! inandırıcı değil… Daha şeffaf, daha içten olmaları dileğiyle… —