The post BGA CEH Eğitimi Notları #Gün 1 – Ders 1 first appeared on Complexity is the enemy of Security.

Yazmamın sebebi yazdıklarımı çok önemli bulmam ve milletin faydalanması gibi ulvi bir amaç değil sadece içinde bulunduğum sektörün ancak bu şekilde daha ileri gideceğine inanıyor olmam ve kendimi geliştirmeme faydası olması.

On yılı aşkındır sektörü takip ediyorum, kimler gelip geçmedi ki? Bir heyecanla kurulan gruplar, e-posta listeleri, siteler, örgütler vs. Hepsi belirli  dönemde belirli amaçları yerine getirdi ve internetin karanlık tarihine gömüldü, şimdi nerede o eskiler diye soranlara rastlıyorum… Cevabı basit aslında, herkes de biliyor ama söyleyemiyor:)

Edindiğim tecrübe şunu gösteriyor ki Türkiye’nin güzel insanları birbirleriyle ortak iş yapacak kadar henüz olgunlaşmamış. Herkes de bir köşe kapma telaşı, birşeyleri ilk yapıyor “gözükme” telaşı. Oysa başarı ekip işidir, ekip demek paydaş demektir. Birinin diğerine ihtiyacı olduğundan değil, birlikte daha güçlü olduğu için insanlar ekip olurlar.  Özendiğimiz yabancıların çoğu başarılarını birbirlerinin yüzlerini görmeden uzak diyarlardan birlikte gerçekleştiriyorlar.

Bunu artık genlerimize bağlıyorum ben, birşey yapmasa da köşeyi sahiplenmiş kişi/grupların “ilerde yaparım”, “yapacaksak bunu biz yaparız”  tarzı çürümüş düşüncelerine. Zaman bu tiplemeler için çok iyi bir göstergedir.

Yaptığı işten  zevk almazsa ve idealleri sadece maddi ise yapacağı her iş kısa vadeli olacaktır. Bugüne kadar sevmediği işi yapması  nasip olmayan bu satırların yazarı bu konuda oldukca şanslıdır ve bu şansını çevresindekilere dağıtma konusunda oldukca samimidir.

Arasıra blog takipcilerinden de mail geliyor eskisi gibi teknik yazmıyorsunuz. Evet yaşlandım artık eskisi gibi yazamıyorum, blog takipcilerinin sayısı arttıkca da insanların zamanını boşa harcamayayım diye gereksiz gördüğüm şeyleri bloga eklemiyorum. Anlık olarak takip etmek isteyenler için FriendFeed hesabım: http://friendfeed.com/huzeyfeonal

Bir de yazdıklarımı BGA blog‘a eklemeye çalışıyorum, tüm mesaimi neredeyse Bilgi Güvenliği AKADEMİSİ‘nin işleri alıyor. 2011’de de muhtemelen bu süreç devam edecek.

Çok fazla kafa ütülemeden kısa kısa istatistikler vereyim, merakı olanlar gidersin:)

2010 yılı ziyaretci sayısı:

• 3.425.378 sayfa gösterimi
• 160.000 Ziyaretci
• 108.000 Tekil  IP sayısı

Google’dan gelen arama kelimeleri:

• ultrasurf
• huzeyfe önal
• lifeoverip
• youtube yasağı
• anti sansür
• huzeyfe
• huzeyfe onal
• backtrack
• hüzeyfe önal
• dns youtube

En fazla ilgi gören 10 sayfa/post:

1. NetSec Topluluğu
2. Ultrasurf engelleme
3. Egitimler
4. Youtube yasagi ve DNS yonlendirme saldirilari
5. Internet kisitlamalari nasil asilir? Anti-sansur yazilimlari
6. Hakkımda
7. Ultrasurf Bloklama-II(Snort, OpenBSD PF)
8. Ultrasurf ile Firewall kurallarını aşma
9. Türkiye’deki bilgi güvenliği firmaları
10. Güvenlik Bülteni

Eh gecikti ama yeni yılımız huzur, sağlık ve bereket getirsin:)

The post 2010 yılına dair istatistikler ve gelecek yıl… first appeared on Complexity is the enemy of Security.

http://netsec.lifeoverip.net/duyuru/netsec-ag-ve-guvenlik-bulteni-sayi33-06-09-2010/

The post Netsec Güvenlik Bülteni: Sayı 33 – 06.09.2010 first appeared on Complexity is the enemy of Security.

Güvenlik kahvesinin bu haftaki konuğu Huzeyfe ÖNAL. Kendisi ile her zaman gündemde olan DDoS (Denial-of-service attack) konusunu konuştuk.

NGB:Bilişimcilerin özellikle son zamanlarda aşina olduğu bir kavram var: DOS/DDoS. Hep duyarız. Siz nasıl tanımlıyorsunuz bu kavramları? Nedir ne değildir?

Huzeyfe ÖNAL: DoS/DdoS saldırıları aslında yeni karşılaştığımız bir saldırı türü değil, 90’lı yıllarda çıktığından beri dönem dönem kendisini hatırlatan bir saldırı yöntemi. Aslında bilgi güvenliğini oluşturan temel bileşenlere bakıldığında bilginin erişilebilir olması güvenlik için temel şartlardandır. DdoS saldırıları bilgi güvenliğine ait en önemli katman olan erişilebilirliği hedef alır .

NGB:Söylediğiniz kadar etkili ve kötü bir silah mıdır DDoS?

Huzeyfe ÖNAL: Evet, erişilebilir olmayan bir bilginin güvenliğini sağlamak zorunda kalmayız.  Genellikle erişilebilirlik hep unutulur veya tüm senaryolar, tüm güvenlik önlemleri bilginin erişilebilir olduğu düşünülerek alınır. Oysa en temel problem bilginin erişilelemez olmasıdır ve malesef ki DdoS saldırıları bu amaç için sıkça kullanılır.

NGB: Peki şu ataklar olursa DOS/DDoS ‘tur , eğer olmazsa değildir gibi keskin çizgilerle ayırmak mümkün müdür?

Huzeyfe ÖNAL: Eğer bir işlem sonucunda sistem erişilemez hale geliyorsa buna DoS diyebiliriz. Yapılan illa saldırı olmasına gerek yok, bir programcının yapacağı basit bile  –eğer sistemde gerekli önlemler alınmamışsa- sistemin çalışamaz hale gelmesine sebep olabilir. Dolayısıyla DDOS/DOS saldırılarını diğer saldırılardan ayırt etmek için tek şey kullanıyoruz oda sistemin saldırı sonrası erişilebilir olup olmaması.

NGB: DOS/DDoS atakları kendi içinde kategorilere ayrılıyor mu yoksa hepsi tek tip olarak mı yapılıyor? Çeşitlendirme yapmak mümkün mü?

Huzeyfe ÖNAL: Her saldırı tipi kendi arasında kategorilendirilebilir. DdoS saldırılarında da piyasada çok bilinen, sık tercih edilen ve az bilinen saldırı tipleri olarak ikiye ayırmak mümkündür. Bilinen ve sık tercih edilen saldırı tiplerine örnek olarak syn flood, udp flood, http get flood verebiliriz. Az bilinen ve daha çok bilgi, beceri ve kaynak isteyen saldırı tiplerine de dns amplification saldırılarını örnek olarak verebiliriz.

NGB: DOS/DDoS ‘ları mevcut güvenlik sistemlerimizle (firewall,IDS/IPS, Linux,vs…) tamamen önlememiz mümkün mü?

Huzeyfe ÖNAL: Bilişim sektöründe kesin ifadeleri kullanmak ancak bilgi ve tecrübe eksikliğinden kaynaklanır. Bir sistem hiç bir zaman kırılamaz değildir, aynı şekilde her sistem de kırılacak diye kesin bir ifade kullanamayız. Saldırının tipine, şiddetine,  sahip olduğunuz bant genişliğine ve kullandığınız donanım/yazılıma bağlı olarak saldırılar engellenebilir veya engellenemez.

Mesela SYN flood saldırılarına karşı çoğu sistem syn cookie veya syn proxy özelliğine sahiptir. Eğer gelen saldırı çok şiddetli değilse ve SYN flood tipindeyse siz belirli orana kadar bu saldırıları ek çaa gerektirmeden bu özellikleri aktif ederek engelleyebilirsiniz. Ama gelen saldırı sizin bant genişliğinizden yüksek veya güvenlik sistemlerinizin kapasitesinden yüksekse o saldırı karşısında kuracağınız çoğu sistem işlevsiz kalacaktır.

NGB:O zaman şöyle klasik bir durum ortaya çıkıyor. Doğru bilinen yanlışlar var. Bunları sıralayabilir misiniz?

Huzeyfe ÖNAL: DdoS konusunda doğru bilinen yanlışlar fazlasıyla var. Bunun temel sebebi ddos konusunun efsanevi olarak kulaktan kulağa yayılarak öğrenilmesi ve genelleme ifadelerin kullanılması. DdoS denildiğinde hiç yoktan 10-15 adet saldırı tipi akla gelir, bir sistemin DdoS’u engelliyor demesi için bu saldırı tiplerinin hepsine karşı çözüm içermesi gerekir.

Doğru bilinen yanlış(eksiklikleri)ları kısaca sayacak olursak:

• Linux sistemler DdoS’a karşı dayanıklıdır
• Bizim güvenlik duvarı DdoS’u engelliyor
• Bizim Saldırı Engelleme Sistemi DdoS’u engelliyor.
• DdoS saldırıları engellenemez
• HTTP GET flood saldırılarında IP spoofing yapılabilir

NGB:Klasik savunma yaklaşımlarının çok etkili olmadığı bu saldırı tipine karşı önlem almada en temel amaçlar neler olmalı sizce?

Huzeyfe ÖNAL: En temel önlem bu işe hazırlıklı olmaktır. Yoksa ne kadar iyi sistem kullanırsanız kullanın bir işe yaramaz. Bunun örneklerini hem Türkiye’den hem de dünyadan fazlasıyla verebiliriz.  Eğer DdoS saldırıları hakkında kulaktan dolma bilgilerin ötesine geçip, altyapınızı iyi çıkarıp bir saldırı esnasında neler yapılacağını bir prosedüre dökerseniz en ciddi saldırılarda bile ayakta kalma şansınız olur. Bu prosedürü dökebilmek için ağ altyapısının iyi bilinmesi, hizmet alınan ISP’deki iletişimlerin iyi kullanılması , TCP/IP bilgisi mutlaka gerekmektedir. Yoksa kağıt üzerinde güzel duran ama gerçekte işlemeyen bir prosedür olur.

Prosedür sonrası yapılacak ilk işlemlerden birisi teknik olarak kapasitenin ölçülmesi, altyapının buna göre –gerekiyorsa- tekrar dizayn edilmesi ve güçlü sistemlerin kullanılması olmalıdır. DdoS saldırıları genellikle oturum bilgisi tutan sistemlerde daha fazla işe yarar. Dolayısıyla oturum bilgisi tutan (TCP/UDP) tüm sistemlerin dökümantasyonları dikkatlice okunarak iyileştirmeler yapılmalıdır.

NGB: Bir DOS/DDoS saldırısı önlenmez ya da engellenmezse bu bize hangi anlamda yansır?

Huzeyfe ÖNAL: Prestij, maddi kayıplar, stres. Çok uzapa gitmeye gerek yok, Türkiye’de DdoS yüzünden hizmet veremeyip 3 günde 200.000 TL kaybeden şirketler biliyorum.

NGB: Bu durumda Türkiye’de bu saldırı türüne karşı önlem almalar ve bilinç açısında durum nedir? Yeterince ciddiye alıyor mu kurumlar?

Huzeyfe ÖNAL: Sadece Türkiye’de değil dünyanın çoğu ülkesinde DdoS saldırıları çok ciddiye alınmamaktadır. Bunun sebebi aslında her gün karşılaşılan bir saldırı tipi olmamasından ve insanların DDOS’u çözümsüz bir saldırı olarak bilmesinden.  Türkiye online işlem hacmini en hıslı arttıran ülkelerden birisi ama malesef ki online işlem servislerinde alınan güvenlik önlemlerinin çoğu bilginin/servisin gizliliğine yönelik, bilginin/servisin erişilebilir olup olmadığı genelde yaşanan kötü tecrüneler sonrası değerlendirilmekte.

NGB:Günümüz DOS/DDoS saldırıları çeşitlerine örnekler verebilir misiniz?

Huzeyfe ÖNAL: 2009-2010 yılları arasında ek sık karşılaşılan DdoS saldırıları: Syn flood, udp flood, icmp flood, http get flood ve dns flood .

NGB: Peki sizin kullanmış olduğunuz özel araçlar/sistemler var mı? Önereceğiniz ya da tavsiyede bulunabileceğiz araçlar var mı?

Huzeyfe ÖNAL: Ticari olarak DdoS’u engelleyen çok sistem var(ddos engellediğini iddia eden diyelim). Eğer iyi yapılandırılırsa bu sistemler belirli oranda ddos saldırılarına karşı çözüm olabilir. Ama burada anahtar kelime “iyi yapılandırılabilirse”. İyi yapılandırmak tamamen TCP/IP bilgisine ve ağ alt yapısınınhakimiyetine bağlıdır.

NGB: Son olarak hem DOS/DDoS  özelinde hem de genel anlamda güvenlik dünyasında dikkat çekmek istediğiniz konu ve tavsiyeleriniz nelerdir?

Huzeyfe ÖNAL: DdoS saldırıları bilgi güvenliği projelerinin, ötesinde tüm online projelerin en önemli bacağını oluşturur.  Bu bilinçle hareket eden yöneticiler sürprizlerle karşılaşmazlar, en ciddi saldırıda bile ne olacağını ve buna karşı neler yapılacağını daha önceden çıkarmışlardır. Geriye adım adım uygulamak kalır.

Benim tavsiyem güvenlik konusunda bir iş, proje yapmadan bunun gerçekten bilgi güvenliğine ne kadar uygun olduğunun ölçülmesi, kullanılacaksa ticari yazılımların mutlaka ciddi testlerden geçirilmesi ve ona göre karar verilmesi.

Burada bir nokta daha ön plana çıkıyor: ülkemizde teknik kapasitesi yüksek eleman sayısı çok az, bu kapasiteye sahip olanlar ya olmaları gereken yerlerde iş bulamıyorlar ya da daha iyi imkanlar sağladığı içib yöneticilik hevesiyle teknik çalışmalarını bırakıyorlar. Teknik olarak çalışan elemanların ek üstünde tutulmadığı bir ortamın ileriye doğru emin adımlarla gitmesi şans olur.

NGB: Röportajımıza vermiş olduğunuz samimi cevaplardan ve bizi kabul etmenizden dolayı teşekkür ederiz.

The post Güvenlik Röportajları #27 “Huzeyfe ÖNAL” first appeared on Complexity is the enemy of Security.

 NGB: Kısaca kendinizden bahsedebilir misiniz?

Huzeyfe ÖNAL: İzmir’in şirin ilçelerinden birinde hayata gözlerimi açıp delikanlılık çağlarıma kadar yine orada yaşadım. Üniversite tercihlerimde çevremdekilerin ısrarla endüstri ve tıp yazdırma isteklerini elimin tersiyle iterek bilgisayar mühendisliğini tercih ettim. Tabi bunda küçüklükten bilgisayara(çalışma mantığı)na olan hayranlığımın etkisi büyüktür. Lise yıllarındaki engellenemez haylazlığım sayesinde sınavdan tam istediğim sonucu alamadım fakat hayalimdeki bölüm olan bilgisayar mühendisliğini kazandım.

Okula başladığımın ilk ayı bilgisayar mühendisliğiyle ilgili hayallerim yıkılmıştı… Sonra Linux öğrenmeye başladım ve hayatımın ilk aşkını keşfetmiş oldum:). Bundan sonrası zaten hızlı aktı, amacım bilgi güvenliği üzerine uzmanlaşmaktı(o zamanlarki moda adıyla internet güvenliği) ve bu konuda Linux sistemler bana çok yardımcı oldu.

İş hayatına atılıp okulu bir kenara bıraktığımda kısa sürede Türkiye’nin en büyük şirketlerinden birinde gerçek ağ ve güvenlik tecrübesi edinme şansı yakaldım. Sonra her faninin bir gün karşılaşacağı gerçekle tanışıp İstanbul’a taşındım ve hala bu şehrin yükünü çekiyorum.

İş harici zamanlarında yine işle uğraşacak kadar çalışmayı seven, klasik konular(futbol, siyaset vs) açıldığında süt dökmüş kedi olan, bilişim (özellikle ağ, güvenlik) konuları açıldığında susturulamayan biriyim.

NGB: Güvenlik işine nasıl bulaştınız?

Huzeyfe ÖNAL: Internet’in çalışma mantığını çok merak ederdim, bu merak beni çok kısa sürede güvenlik konusuna yönlendirdi ve bu konudaki çok az sayıdaki insana nasip olacak şekilde çekirdekten yetişme bir güvenlikci olma şansı verdi.

Hala bu konudan ekmek(pasta) yiyorum:)

NGB: Türkiye’de bilgi güvenliği konusunu değerlendirebilir misiniz?
Huzeyfe ÖNAL: Her ölçekten onlarca kuruma eğitim/danışmanlık işi yapmış biri olarak rahatlıkla söyleyebilirim ki Türkiye’de bilgi güvenliği konusu henüz emekleme aşamasında. Buradan hızla yürümeye başlayabilir ya da ömür boyu bu şekilde sürünebilir. Bu tamamen yeni yetişen nesile bağlı. 

Çoğu kurum güvenliği bir iki cihaz alıp bunları yönetmek olarak algılıyor. Oysa bu sadece bir operasyonel işlem! Önünde Excel kullanan bir ofis sekreteri ile güvenlik elemanı arasında yapısal olarak çok fark yok.

Bu konuda itiraz edecek olanlara ofis sekreterini incelemelerini öneririm. Nasıl Excel’in en ince detaylarını öğrenip yaptığı işlem konusunda detay bilgisi yoksa bizim güvenlikcilerin de kullandığı güvenlik araçlarını yönetmenin ötesinde konunun kendisine ait pek bilgileri olmuyor.

Yine bu konuda itirazı olanlara sistemleri gerçek manada bu işten anlayan birilerine test ettirmelerini öneririm. Güvenlik amaçlı kullanılan çoğu Firewall/IPS ve benzeri sistem(güvenlik sadece Firewall/IPS’den oluşmaz ama Türkiye’de bu ikili akla geliyor) 
günümüz şartlarındaki saldırılara karşı ciddi manada yetersiz kalmaktadır. Bu yetersizliğin iki sebebinden biri cihazların yöneticilerinin işi iyi bilmemeleridir, diğeri de statik güvenlik sistemlerinin teknolojisinin yetersiz olmasıdır.

Aslında Türkiye’de bilgi güvenliğini ilerletmenin en hızlı ve kolay yollarından biri bu konuya meraklı (hacker forumlarında zaman geçiren gençler) gençleri hızlı bir eğitim sürecinden geçirip çeşitli konularda çalıştırmak. İnanıyorum ki kısa sürede dünyada güvenlik konusunda sayılı ülkeler arasına girebiliriz.
<!–[if !supportLineBreakNewLine]–>
<!–[endif]–>

NGB: Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?
Huzeyfe ÖNAL: Buraya röportaj veren çoğu arkadaşda hakim olan görüş ben de yok. Neydi o görüş? Tekerleği yeniden keşfettirecek yazılımlarla uğraşmak yerine daha yeni şeylerle uğraşma, sektörün gidişatını takip edip yeniliklere imza atma… 

Bana göre bu düşünce bir hayalden ibaret. Bugüne kadar kimse tekerleği tekrar keşfetmeden daha iyisini çıkaramamıştır. Hem tekerleği keşfederken amaç sadece tekerlek yapmak değil, onun yapımında kullanılan ek bileşenleri öğrenmek daha da ötesinde tekerlek yapmayı, birşeyler üretmeyi öğrenmek. Biz daha ekip olarak ciddi işleri yapmayı başaramıyoruz:)

Türkiye’de birkaç firma dışında özgün güvenlik yazılımı geliştiren -malesef- yok. Bunun temel sebeplerinden biri de devlet desteğinin eksikliğidir. Bu tip konularda bireysel insiyatifler çok fazla işe yaramaz, mutlaka tepeden ciddi bir desteğin olması gerekir ki sanırım  bu da ciddi bir tecrübeden sonra gelecektir. Diğer bir sebep de getirisis düşük olmasıdır, aynı ürünü yurtdışından çok daha ucuza alıp satabilecekkenhiçbir firma yerli ürüne şans tanımıyor.

Yerli ürünlerin piyasada az yer bulmasının önemli bir sebebi de Türk’e olan eksik güven. Bazı yerlerde tam tersi bir düşünce geçerliyken çoğu yerde sadece adı Türkçe ya da yazarları Türkiye’li diye bazı ürünlere karşı burun kıvırıldığına şahit oldum. Bu düşüncenin oluşmasında yerli ürün geliştiricilerinin de payı var. Bir heves uğruna geliştirilip desteği verilemeyen, alternatif ürünlerle rekabetten uzak bir ürün çıkarıyorsak kimsenin bunu sadece Türkiye’de geliştirildi diye almasını beklememeliyiz.
<!–[if !supportLineBreakNewLine]–>
<!–[endif]–>

NGB: Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

Huzeyfe ÖNAL: Çalışmak, çok çalışmak, tekerleği tekrar tekrar keşfetme pahasına rağmen çalışmak…

Çalışırken üretmek, yazmak ve paylaşmak. Her ne kadar ingilizce olarak hemen her tür konuda tonlarca bilgi olsa da ana dilinde yazmak ayrı bir iştir. Türkiye’de en büyük sıkıntılardan biri de bilenlerin bildiklerini paylaşmada üşenmeleri. Evet bilen bir insana bildiği şeyleri yazmak, tekrar etmek  sıkıcı gelecektir ama bu konu ancak bu şekilde ilerler.

Şimdi gözü kapalı güvenlik portallerini saysam bir elin parmaklarını geçmez! Oysa bunların sayısının onlarca olması gerekir. Bu da bizim güvenlik konusunda tüketen bir toplum olduğumuzu gösterir ki sadece tüketme güvenlik kelimesinin anlamına terstir

NGB: Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?

Huzeyfe ÖNAL: Evet böyle bir kuruma acik ihtiyaç var ama bu devlet eliyle değil en fazla desteğiyle olmalı. Bu konuda Türkiye’de çalışan TR-BOME’nin yetersiz kaldığı herkesin malumu ama TR-BOME’nin amacı da zaten tüm Türkiye için siber güvenlik kurumu olmak değil.

Aslında iş burada bu sektörden ekmek yiyenlere düşüyor ama henüz sektörün büyük bir bölümü dışardan cihaz al-sat mantığıyla çalıştığı için elbirliğiyle birşeyler çıkarmaları zor. Söylemek için henüz erken fakat böyle bir çalışmaya başladık. Çok laf söylemek yerine elini taşın altına koyabileceklerle bu işi yürütmeye çalışacağız.

NGB: Bu işe yeni başlayanlara neler önerirsiniz?

Huzeyfe ÖNAL: İlk önereceğim şey TCP/IP ve temel Linux öğrenmeleridir. Sonra diğer öğrendiklerini bu ikili üzerine bina edebilirler. Internette çok fazla zaman kaybetmemek için ne gerekiyorsa yapmak lazım, şimdi anlaşılmaz ama ilerde en değerli varlıklarının zaman olacağını göreceklerdir.

Yine bu konuda lifeoverip.net’de uzunca birşeyler yazmıştım(http://blog.lifeoverip.net/2010/04/13/bilisim-sektorunde-kendimi-nasil-gelistirebilirim/)

NGB: Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?
Huzeyfe ÖNAL: Bugün konuştuklarımızdan farklı şeyler olmayacağını düşünüyorum. Zira dünyanın her yeri interneti aynı zaman diliminde aynı şartlarla kullanmıyor ve bazı şeylerin doğası hiç (insan) değişmiyor.

Bugün hala 6-7 sene öncesinin wormları internette dolanıyorsa bugünkü bazı wormlarda bir 4-5 sene sonra dolanıyor olacak. Ya da on sene önce kullanıcıları kandırarak sistemlerine trojan vs yükleniyordu bugün hala aynı yöntem en geçerli ve tercih edilen yöntemlerden biri. Yapılış şekli değişse de özünde aynı…

Yine temel bilgi eksikliğinden dolayı güvenlik konusu yakında çıkmaza girecek. Hemen her konuda yeni ürün, yeni katman alan güvenlikciler yakın zamanda artık güvenlik sistemlerinin yönetilemez olduğunu anlamaya başlayıp daha basit sistemlere yönelecekler.

Bunların haricinde nerde hareket orda…. misali mobil sistemlere yönelik saldırılar artacak, DOS saldırıları daha fazla yaşanmaya başlayacak ve web güvenliği artık ağ güvenliği gibi bir standarta oturmaya başlayacak. Hacker’lık ciddi bir meslek haline gelecek:)

NGB: Güvenlik sertifikaları konusunda ne düşünüyorsunuz?

Huzeyfe ÖNAL: Günümüz bilişim dünyasında sertifikaların asıl amacı dışına hizmet ettiğini düşünüyorum. Bir sertifika ilgili konuya hakim olduğunuzu belirleyen belgedir, o belgeyi alabilmek için öncelikle o konu hakkında uzmanlık seviyesinde bilgi sahibi olmalısınız. Oysa günümüzde sertifikalar uzmanlıktan sonra degil, doğrudan alınmaya çalışılıyor. 

Yani insanlar o konuda kendini geliştirdikten sonra sertifika almıyor, daha çok sertifika almak için kendini geliştirmeye çalışıyor ama geliştirdikleri alan daha çok o sertifikanın özel konuları oluyor.

Sertifikalar kendinizi ifade etmenin en kolay yoludur. Karekterinize göre sertifika alarak kolay yolu seçebilirsiniz ya da zor olan yolu seçerek sertifikadan daha değerli olacak işlere atılabilirsiniz. İkincisi çok daha zordur fakat daha değerlidir.

Ben işe alım konusunda sektör içinde olan birinin sertifikalara çok fazla bakmadığını, sektörden uzak kişilerin sertifika konusuna çok dikkat ettiğine şahit oldum.

Güvenlik konusunda sertifikaların gerçek manada güvenliği öğrenme amaçlı olduğunu düşünemeyiz. Zira güvenlikcilerin işi hackerlara ya da saldırganlara karşı sistemleri korumadır. Ben bugüne kadar hiçbir hackerin, ya da saldırganın bu tip sertifikaları almaya çalıştığına şahit olmadım. Eğer amacınız hackerlara karşı sistemleri korumaksa bunu ancak onların yöntemlerini inceleyerek yapabilirsiniz. Yoksa siz/biz(güvenlikciler) Firewall ile uğraşırken(port aç-kapa) onlar siz/bizden iki üç adım ilerde sofistike saldırıları gerçekleştirmeye uğraşıyor olurlar.

Yaklaşık 6 yıldır eğitmenlik hayatında tanıdığım yüzlerce kişiyi düşünürsem rahatlıkla söyleyebilirim ki sertifikalar temel bilgi ve genel geçer bilgi konusunda malesef birşey veremiyor ve temeli olmayan birine ne kadar çok sertifika aldırırsanız aldırın CV’de güzel görüntünün ötesinde işe yaramıyor.

Yine de sertifikalar  genel konularda çok birşey öğretmese de sertifikanın hedefi olan konularda düzenli bilgi verdiğinden ve kişileri en azından eşik değerinin üzerinde bilgi sahibi olmaya zorlamasından dolayı değer veriyorum. 

NGB: Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

Huzeyfe ÖNAL: On yıla yaklaşan sektör tecrübemde en sık karşılaştığım problem “temel bilgi eksikliği”, malesef bunu daha çok sektör çalışanlarında görüyoruz. İmkanım olsa güvenlik sektörü çalışanlarının hepsine TCP/IP temelleri ve güvenliği eğitimi almayı zorunlu kılardım.
Bunun dışında genel olarak en problemli konu her zaman “insan”dır. Her zaman en zayıf halka olarak güvenlik zincirini tehlikeye sokar. Bunu da insanları güvenlik konusunda daha fazla bilinçlendirerek aşabiliriz.

NGB: Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitapların okunmasını tavsiye edersiniz?

Huzeyfe ÖNAL: İşim gereği eş zamanlı birden fazla kitap okumaya çalışıyorum. Bitirmeye çalıştığım son kitaplar: 

• Justin Clarke’in “SQL Injection Attacks and Defense”
• Real Digital Forensics 
• Nmap Network Scanning

Tekrarını okuduğum diğer bir kitap da “Snort 2.1 Intrusion Detection, Second Edition”.

NGB: Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı?

Huzeyfe ÖNAL: Çeşitli kişileri çeşitli yönlerinden dolayı örnek almışlığım vardır. Bunlar arasında Metasploit yazarı HDM, Nmap yazarı Gordon Lyon, OpenBSD projesi baş geliştiricisi Theo De Raadt, Microsoft’un baş patronu Bill Gates.

NGB: Güvenlik dünyasında en fazla kullandığınız yazılım hangisi?

Huzeyfe ÖNAL: İşim gereği en fazla Hping ve tcpdump kullanıyorum. Bunların yanında Nmap, Metasploit, Snort ve OpenBSD Packet Filter yazılımlarını da gün aşırı kullanıyorum.

NGB: Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?

Huzeyfe ÖNAL:Hemen hergün çeşitli konularda onlarca blogu ziyaret ediyorum. Bunları geçen gün lifeoverip.net’de yazmıştım(http://blog.lifeoverip.net/2010/03/25/takip-ettigim-guvenlik-icerikli-bloglar/). 

Yeni başlayanlara önerim fazla bloglarda zaman kaybetmemeleri, daha çok teknik altyapılarını geliştirecek bilgileri okumaları yönünde.
<!–[if !supportLineBreakNewLine]–>
<!–[endif]–>

NGB: Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?

Huzeyfe ÖNAL: Hayır, seçmezdim. 
<!–[if !supportLineBreakNewLine]–>

The post Güvenlik Röportajları #22 Huzeyfe ÖNAL first appeared on Complexity is the enemy of Security.