http://www.netsectr.org

The post NetSec Topluluğu Yeni Adresi: Netsectr.Org first appeared on Complexity is the enemy of Security.

The post NetSec Topluluğu İstanbul Buluşması|Web Uygulama Güvenliği first appeared on Complexity is the enemy of Security.

30 Ocak 2011 Pazar günü İstanbul’lu NetSec üyeleriyle hem tanışma hem de bilgi paylaşımı amaçlı bir etkinlik düzenlemeyi planlıyoruz.

Bu konuda İstanbul Anadolu-Avrupa yakasında ortalama 50 kişiyi ağırlayabilecek, merkezi bir salon önerecek var mıdır?

Önerisi olan arkadaşlar bana([email protected]) özelden mail atabilirler.

Ek olarak misafirlerimize ikram için sponsor da aranmaktadır.

Buluşmada güncel güvenlik konularında 45′er dakikalık iki de sunum gerçekleştirilecektir. Detaylı program adres kesinleştiğinde tekrar  duyurulacaktır.

The post NetSec Topluluğu İstanbul Buluşması first appeared on Complexity is the enemy of Security.

http://netsec.lifeoverip.net/duyuru/netsec-ag-ve-guvenlik-bulteni-sayi32-19-08-2010/ adresinden okuyabilirsiniz.

The post Netsec Güvenlik Bülteni: Sayı 32 – 19.08.2010 first appeared on Complexity is the enemy of Security.

—

Netsec ağ ve bilgi  güvenliği listesi üyeleri tarafından hazırlanan güvenlik bülteninin 29.sayısı çıktı.

Bu sayının konuğu IBM Almanya’da Bilgi Güvenliği Danışmanı olarak çalışan Dr. Emin İslam TATLI.

Bülten ipucu     :netcat ile port tarama
Bülten yazılımı  : Cloudhsark aracının tanıtımı

http://www.lifeoverip.net/newsletter/sayi29 adresinden okuyabilirsiniz.

The post Netsec Güvenlik Bülteni: Sayı 29 – 01.07.2010 first appeared on Complexity is the enemy of Security.

Böylece çeşitli konularda aylık toplantılar yaparak sektörün ileri gelenlerini çeşitli konularda fikir paylaşımı yapmak amacıylasizlerle buluşturacağız, dernek kapsamında ücretsiz güvenlik eğitimleri açılacak ve üniversite öğrencilerine yönelik çeşitli çalışmalar olacak.

Bunun için bir iki arkadaş dernek kurma konusunda uğraşıyor. Dernek kurma konusunda tecrübeleriniz, önerileriniz varsa bana ulaşmanızı rica edeceğim.

Piyasada iki üç  adet bilgi güvenliği(bilişim güvenliği) derneği varken neden yeni bir dernek diyenler için tek bir cümlelik klasik cevap vereceğim

• Varolan bilgi /bilişim güvenliği dernekleri malesef ki Türkiye’nin ihtiyacını karşılayamamaktadır. Yeteri kadar aktif değiller ve sektörün sadece küçük bir kısmına hitap ediyorlar.

The post NetSec- Ağ ve bilgi güvenliği derneği first appeared on Complexity is the enemy of Security.

2006’nın Mayıs’ında duyurduğumuz “Netsec Ağ ve Bilgi Güvenliği Listesi” 4. yaşını bitirip 5’ine bastı.

İlk duyurusunu http://blog.lifeoverip.net/2006/05/18/ag-ve-guvenlik-e-posta-listesi-acildi/ adresinde yapmıştım.

Aradan geçen 4 yılda toplam 1000 kişi üye oldu, bazıları ayrıldı, bazılarını liste kendi kendine üyelikten çıkardı:).

Şuan %99’u sektörden oluşan ~700 kişiyle Türkiye için bilgi güvenliği alanında bir boşluğu doldurduğuna inanıyorum. İlerleyen günlerde sadece sanal bir liste olmaktan çıkıp bir topluluk haline dönüşeceği haberini de paylaşmış olayım.

Siz de güvenlik dünyasında olup bitenlerden herkesten önce birinci kaynaktan haberdar olmak  ve konusunun uzmanları arasındaki faydalı tartışmalara katılmak istiyorsanız buradan üye olabilirsiniz.

http://blog.lifeoverip.net/2007/06/14/netsec-1-yasini-doldurdu/

The post NetSec 5 yaşında… first appeared on Complexity is the enemy of Security.

http://www.lifeoverip.net/newsletter/sayi14 adresinden okuyabilirsiniz.

The post Netsec Güvenlik Bülteni XIV – 02.12.2009 first appeared on Complexity is the enemy of Security.

Ara ara “hangi güvenlik listelerine üyesiniz?” ,  “bilgi güvenliği konusunda hangi listeleri takip edelim?” sorularına muhatap kalıyorum. Bu tip sorulara teker teker  özelden cevap vermek yerine kısa bir yazı hazırlayıp burayı referans vermenin daha uygun olacağını düşündüm. Öncelikle e-posta listelerinin faydalarına kısaca değineyim sonra hem ingilizce hem de Türkçe içerikte çalışan e-posta listelerinin adreslerini bildiğim kadarıyla yazacağım.

E-posta liste kavramı internetin yaygınlaşmaya başladığı ilk zamanlardan itibaren seviyeli bilgi paylaşımının yuvaları olmuştur. Forum sitelerinin aksine e-posta listeleri daha ciddi, kişilerin kendi isim ve maillerini kullandıkları ortamlar olmuştur. 

E-posta listelerinin iki tür takipcisi vardır;  1)konunun uzmanları, 2) konu hakkında birşey öğrenmek isteyen meraklılar. Meraklı kısım genelde listenin büyük bir kısmını oluşturur ve paylaşmaktan ziyade alıcı pozisyonundadır.  Konunun uzmanları kısmı ise üye sayısının 1/10 kadarını oluşturan kesimdir.

E-posta listeleri, arşivleriyle birlikte birinci elden en sağlam bilgi kaynaklarıdır. Doğrudan ilgili olmadığınız ama merak ettğiniz konularda bile hiç uğraşmadan yüzeysel bilgi sahibi olmanızı sağlar.

Yazışma dili İngilizce olan güvenlik listeleri

Yazışma dili Ingilizce olan güvenlik listelerinin çoğuna buradan ulaşılabilir. seclist.org’daki çoğu güvenlik listesini aktif olarak takip ediyorum. Buradaki listelere üye olacak arkadaşların dikkat etmesi gereken husus  listelerin yoğunluğudur.  Öyle zamanlar oluyor ki  günde 200’den fazla mail geliyor. Bunların hepsini okumaya çalışmak zaman kaybı olacağı için maillerin  konu kısımlarına bakarak eleme yöntemini kullanmak zamanı değerlendirme açısından faydalı olacaktır.

Yabancı listelerin sayısı fazla olmasına rağmen yazışma dili Türkçe olan güvenlik(guvenlikle ilgili) e-posta listelerinin sayısı çok az( ya da ben çok azından haberdarım). Hem  bu konuda ben neleri takip ediyorum hem de bilmediğim başka listelerin varlığından haberdar olmak için Türkçe güvenlik listelerini sıralamaya çalıştım. Burada yazmayan ama aktif (son bir ayda en az bir adet mail gönderilmiş) olarak kullanılan başka listeler varsa yorumlarınızla zenginleştirebilirsiniz.

Güvenlik dünyasını ana dilinde takip etmek isteyenler için

Netsec

Çıkış amacı ağ güvenliği üzerine “teknik”  konuların tartışıldığı, paylaşıldığı bir ortam olmak olan Netsec açılışının üzerinden geçen 3.5 yılda sadece ağ güvenliği değil bilgi güvenliğinin her alanıyla ilgili teknik konuların tartışıldığı bir liste haline gelmiştir. 600’a yakın üyesiyle Türkiye’nin en çok katılımcıya sahip güvenlik içerikli e-posta listesidir. 

EnderUNIX Güvenlik – Aktif değil

Linux Güvenlik

Linux/UNIX sistemlerin güvenliğinin tartışıldığı herkese açık bir e-posta listesi.

BilgiGüvenliği

Turkiye’deki bilgi guvenligi konularinda calisan uzmanlarin ve danismanlarin soru ve sorunlarini paylastiklari tartisma ve paylasim listesi.   BSI’in Bilgi Guvenligi Yonetimi Sistemi standardi ISO 27001 (BS 7799 / ISO 17799) egitimi katilimcilari cekirdek alinarak olusturulmustur.  Liste sadece kendi konu basligi ile ilgili tartismalara yonelik bir listedir.

WebGuvenligi(Owasp-tr)

OWASP Türkiye topluluğunun e-posta listesi. Web uygulama güvenliği konularına meraklıysanız ilginizi çekecek bir e-posta listesi.

The post Takip edilesi e-posta listeleri(güvenlik amaçlı) first appeared on Complexity is the enemy of Security.

Satır aralarında hem kendisiyle hem de güvenliğe bakış açısıyla ilgili önemli bilgiler yer almakta.

NGB: Kısaca kendinizden bahsedebilir misiniz?

Ferruh MAVİTUNA: Lise mezunuyum, Uzun süredir web uygulaması güvenliği konusunda çalışıyorum, özellikle otomatik olarak güvenlik açıklarının tespiti ve exploit edilmesi ilgimi çok çeken konulardan. Bir dönem Türkiye’ de çalıştıktan sonra İngiltere’ de bir güvenlik firmasında çalışmaya başladım. Bir kaç ay kadar önce çalıştığım firmadan ayrılıp kendi firmamı kurdum, bu firmada benim 3 senedir üzerinde çalıştığım bir web uygulaması güvenlik tarayacısının geliştirilmesine devam edip, satışa hazır hale getiriyoruz.

Sanırım en büyük hobim bilgisayar, onun harici iyi bir kitap okuyucusu ve çok daha iyi bir Call of Duty oyuncusuyum

NGB: Güvenlik işine nasil bulaştınız?

Ferruh MAVİTUNA:Aslında güvenlik işine girmem biraz komik, programcı olarak çalıştığım zamanlarda sevdiğim bir arkadaşım askerden aradı ve “ya Ferruh şu siteleri hackliyorlarmış falan, sen bu bilgisayar işini biliyorsun bir baksana güzel bir olaya benziyor” dedi. Ben de baktım Ondan sonra bu iş ben de büyük bir hobi olmaya başlayınca ve yurt dışındaki bir finans kurumu ile de ticari olarak anlaşınca programcılıktan güvenlik sektörüne kaydım ve orada kaldım.

NGB: Turkiye’de bilgi guvenligi konusunu degerlendirebilir misiniz

Ferruh MAVİTUNA:Açıkçası son 3 senedir Türkiye güvenlik sektörünü ticari açıdan çok yakından izleyemiyorum ama ciddi sorunlarımız olduğu kesin. Sorunun çözülmesi için iki şeyin gelişmesi gerekiyor. Regülasyon, bu finansal sektörde hızla ve başarılı şekilde ilerlerken ticari sektörde PCI gibi yetersiz standartlardan başka bir şey yok. İkincisi ise data kaybı gibi sorunlarda kanuni sorumluluk. Yani bir sistemden birilerinin kişisel bilgileri, kredi kartı gibi bilgileri çalındığında ilgili kurumun bu zarardan sorumlu tutulması gerekiyor. Bu konuda çalışmalar vardı ama henüz aktif şekilde yürürlükte değiller diye biliyorum.

Benim gözlemlediğim kadarıyla henüz ticari saldırılar da Türkiye’ de o kadar doruk noktasına ulaşmış durumda değil. Ticari saldırılar büyüdükçe ve medyada daha çok yer aldıkça, kurumlar da güvenliği daha dikkate almaya başlayacaktır. Işin devlet bazındaki durumu da çok kötü gözüküyor ama o bambaşka bir  konu…

NGB: Bu ise yeni baslayanlara neler onerirsiniz?

Ferruh MAVİTUNA:Once Ingilizce, sonra okumak, denemek, daha fazla okumak, daha fazla denemek. Bu döngüyü ne kadar çok takip ederseniz o kadar iyi olacaktır. Bir de bilmediğini bilmek. Bu sonuncusu sadece yeni başlayanlara özel değil öğrenmeye devam etmek isteyen herkes için.

NGB: Sizce 2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor olacak?

Ferruh MAVİTUNA: Bilişim sektöründe bir gün sonrasını bile tahmin etmek zor ama web açısından nacizane aklıma gelen bir kaç noktayı söyleyeyim. SaaS’ ın popülerleşmesi yükselerek devam edecek gibi bu da cloud-computing ve SaaS güvenliğini çok daha önemli bir hale getirecektir. Gene bunun etrafında dönen web servisi güvenliği ve web uygulamlarının API güvenliği exploit ediliyor olacak ve siteler arası paylaşılan component’ lar (widget vs.) başa çok bela açacak gibi. Tüm bunların etkisi de istemci tarafında daha çok güvenlikle ilgili “cross-domain policy” gibi standartların implemente edilmesini getirecektir.

Teşekkürler,

NGB: Zaman ayırarak röportajımıza katıldığnız için teşekkür ederiz.

The post Güvenlik Röportajları #3 Ferruh MAVİTUNA first appeared on Complexity is the enemy of Security.