Günümüz siber güvenlik dünyasının temelini oluşturan iki temel bileşenden biri uygulama güvenliğidir. Uygulamalar arka planda çalışan protokol ne kadar güvenli olursa olsun geliştiricisinin güvenlik hakkındaki bilgi ve  tecrübesi kadar güvenli olacaktır. Uygulama geliştirme süreçlerinde alınmayan temel önlemler uygulama calışır duruma getirildiğinde ciddi güvenlik zafiyetlerine yol açmaktadır. Siber dünya basit bir uygulama hatasından tüm sistemin, ağın veya veritabanının ele geçirildiği örnekleriyle doludur.

BGA(Bilgi Güvenliği AKADEMİSİ) ve TUBİTAK BİLGEM işbirliğiyle düzenlenen “Uygulama Güvenliği Etkinliği” serisinin Ankara ayağında uygulama güvenliği konusu tüm yönleriyle ele alınarak katılımcılara konu hakkında bilgi aktarımı sağlanacaktır.

Etkinlik boyunca aşağıdaki konu başlıklarına değinilecektir:

• Siber Güvenlik Tehditler ve Uygulama Güvenliği
• Genel uygulama güvenliği
• Web uygulama güvenliği
• Dünyadan ve Türkiye’den uygulama güvenliği istatistikleri
• Google’dan uygulama açıklığı arama
• Uygulamalarda güvenlik zafiyeti keşif yöntem ve araçları
• Uygulama güvenliği tek başına yeterli mi?
• Basit web zaafiyetler ve yol açtıkları büyük zararlar
• Uygulamalarda kaynak kod denetimi
• Güvenlik uygulama geliştirme ipuçları
• Web uygulama güvenliği dünyasında trendler.
• Web uygulama sızma testlerinde ipuçları
• Web uygulama güvenlik testleri ve otomatik tarama yazılımları
• Web uygulama güvenliği nasıl sağlanmaz
• IPS ve web uygulama güvenlik zaafiyetleri
• Web uygulama güvenlik duvarları ve koruma alanları
• Uygulamaya yönelik DoS/DDoS saldırıları ve korunma yöntemleri

Düzenleyen

BGA(Bilgi Güvenliği AKADEMİSİ) ve TUBİTAK BİLGEM

Sponsorlar

Bilişimcim

Tarih/Saat

27 Eylül 2011 09:30-17:00

Yer/Ulaşım

ODTÜ Yerleşkesi TÜBİTAK UZAY Teknolojileri Araştırma Enstitüsü Konferans Salonu B Blok 2.Kat  http://www.uzay.tubitak.gov.tr/

Kayıt

http://www.bga.com.tr/appsec-kayit.html adresindeki formu doldurarak etkinliğe kayıt olabilirsiniz. Etkinliğe kayıt ücretsiz olup sadece kurumsal katılımlar onaylanacaktır.

Etkinlik kontenjanı 140 kişidir.

Etkinlik Programı

09:30-09:45 Açılış Konuşması: Neden Uygulama Güvenliği? Huzeyfe ÖNAL(BGA)-Tahsin TÜRKÖZ(TUBİTAK BİLGEM)

09:45-10:30 Eğrisiyle Doğrusuyla Sızma Testleri Tahsin TÜRKÖZ(TUBİTAK BİLGEM)

10:30-10:45 Kahve Arası

10:45-11:30 Sızma Testlerinde Web Uygulamaları Huzeyfe ÖNAL(BGA)

11:30-11:45 Kahve Arası

11:45:12:30 Uygulamalar İçin  Kmple Güvenlik İbrahim ARSLAN (Bilişimcim)

12:30-13:30 Yemek Arası

13:30-14:15 “Uygulama Güvenliği Testlerinde Fuzzing” Celil ÜNÜVER Vulnerability Researcher (BGA)

14:15-14:30 Kahve Arası

14:30-15:15 Güvenli Yazılım Geliştirme Süreci ve Başarımın Temel Taşları Yılmaz ÇANKAYA(TUBİTAK BİLGEM)

15:15-15:30 Kahve Arası

15:30-16:15 Uygulama DoS/DDoS Saldırıları Huzeyfe ÖNAL(BGA)

16:15-17:00 Farklı DDoS Türlerinden Korunma – Canlı Demo Ayhan YİĞİN (Bilişimcim)

Hediye

Etkinlik boyunca gerçekleştirilecek sunumlarda yapılacak çekilişlerde BGA(Bilgi Güvenliği AKADEMİSİ) tarafından iki kişiye “Web Uygulama Güvenlik Testleri” ve “Beyaz Şapkalı Hacker” eğitimi hediye edilecektir.

İletişim

Etkinlik hakkında [email protected] adresine e-posta gönderebilir ya da 212 474 0038 nolu telefonu arayabilirsiniz.

The post Uygulama Güvenliği Etkinliği (Ankara) 27 Eylül 2011 first appeared on Complexity is the enemy of Security.

1)Kısaca firmanızdan/ekibinizden bahsedebilir misiniz?

Zemana Ltd, merkezi İstanbul-Türkiye’de olan, online tehditlere karşı, kullanıcıları korumak için çözümler üreten, global internet güvenlik firmasıdır.

Zemana ürettiği proaktif güvenlik çözümleri ile başta e-ticaret ve e-bankacılık bilgileri olmak üzere, elektronik kimlik ve işlem hırsızlığına karşı en etkin korumayı sağlar.

Ekibimizde Türk ve yabancı, alanında profesyonelleşmiş kişiler görev almaktadır.

2)Güvenlik işine nasıl bulaştınız?

Henüz Türkiye, yerli üretim güvenlik ürünleri ile dünya pazarına girmemişti. Romanya’dan “Bitdefender” , Slovakya’dan “ESET”, Rusya’dan “Kaspersky” varken neden Türkiye’den “Zemana” olmasın dedik ve bu konuda adımlarımızı atmaya başladık.

Öncelikle üniversite yıllarında kendi çabalarımızla bireysel olarak başlattığımız güvenlik projelerimizi 3 yıl boyunca ARGE olarak geliştirdik ve yine üniversite yıllarından tanıdığımız, Antivirüs firmalarında çalışmaya başlamış arkadaşlarımızı kendi firmamıza transfer ettik. Böylece uluslararası arenadaki serüvenimiz başlamış oldu.

3)Türkiye’de bilgi güvenliği konusunu değerlendirebilir misiniz?

Türk milleti olarak; her işte olduğu gibi güvenlikte de, bize birşey olmaz noktasından hareket ediyoruz. Güvenlik programlarına ödenecek para fuzuli kabul ediliyor. Kullanıcılar, taki başlarına kötü bir şey gelene kadar, hiçbir önlem almıyor.

Kurumlar ise kendi sunucularının güvenliğine çok fazla önem verirken, kullanıcılarının güvenliğine önem vermiyorlar. Örneğin Türkiye’deki bir bankanın sunucusu hack etmek Amerika’daki bir bankanın sunucusunu hack etmekten çok daha zor olabilir ama zincirin diğer halkası olan kullanıcılarını hack etmek de bir okadar kolay oluyor çünkü tüm güvenlik yatırımı kurum içi yapılıyor.

Bu duruma son vermek için, güvenliğin önemi çok iyi anlatılmalı ve güvenlik bilinci yaratılmalıdır. Bu doğrultuda, devlet ve sivil toplum kuruluşları bir araya gelerek, güvenlik bilincini yaymak için ortak akıl oluşturmalıdır.

4)Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?

Global dünyada yaşadığımız bilinciyle, üretilecek Türk menşeli güvenlik ürünlerinin, tüm dünyada satabilecek kalitede olması gerektiğine inanıyoruz. Bu bağlamda, üniversitelerimizin ilgili bölümlerinde, kalıplaşmış standart eğitimin yanında daha ileri seviyede ve yaşadığımız teknolojilere paralel, kaliteli eğitim verilmeli. Buralardan mezun olacak gençler için teşvik edici uygulamalar devreye sokulmalı. Verilecek teşvikler; büyük firmalardan ziyade, bu işe ilgi duyan gençlere hitap etmeli ve teşvik prosedürlerinin de herkesçe yerine getirilebilecek basitlikte olması gerekmektedir. Aksi takdirde, teşvikler bir işe yaramaz ve bu işe ilgi duyan cevherler ortaya çıkartılamaz. Kısacası devlet teşviklerini uygularken pozitif ayrımcılık yapmalıdır.

Şonuç olarak, kaliteli ve dünya standartlarında olmayan yerli üretimin ülkemize hiçbir faydası olmayacaktır.

5)Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

İlk önce, toplumda güvenlik bilinci oluşturacak yayınların çoğaltılması ve toplum önderlerinin bu konuda daha fazla rol alması sağlanmalıdır. Örneğin; sigaranın zararları, kanserden korunma yolları devlet desteği ile nasıl anlatılıyorsa; bu denli gelişen ve büyüyen internet çağında da sanal güvenlik ile ilgili yayınların yapılması gerekir.

6)Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?

Bu tür kuruluşların varlığı bile önemlidir. Şu an için yeterli olmasa bile, devlet desteği ile kurulan veya sivil toplum kuruluşlarının ortaya çıkardıkları kuruluşlar önemlidir.

7)Bu işe yeni başlayanlara neler önerirsiniz?

Herşeyden önce ileri seviyede İngilizce öğrenmelerini ve Internette Türkçe kaynağa bağlı kalmadan devamlı araştırmalarını.

8)Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?

İnternet üzerinden kimlik bilgilerinin kullanılması yaygınlaşacak ve buna paralel olarak bu bilgilere yönelik saldırılar da her geçen gün artacaktır.

Bu doğrultuda, Ipv4 ve Ipv6 protokolleri tamamen kaldıracak ve yerine aynı telefon numaralarında olduğu gibi IP adreslerini de, kişilerin gerçek kimliği ile eşleştiren bir zorunlu IP protokolü oluşturulacak, aksi taktirde cyber saldırılarının mutasyonuna bakıldığında bunların önüne geçmek yazılım yada donanım ile sağlamak mümkün olamayacak.

9)Güvenlik sertifikaları konusuna ne düşünüyorsunuz?

Günümüzde alınan güvenlik sertifikaları, bilhassa da ülkemizde bu sertifikaları veren kuruluşların bunu ranta dönüştürdüğünü görüyoruz. Belli bir süre sertifika programlarına katılan herkese bu sertifikalar kolaylıkla verilmektedir. Bundan dolayı alınan sertifikalar, etiketten öteye geçememektedir.

Gerçekten bu işe ilgi duyanların, sertifikalardan ziyade, bu işe odaklanmaları, çok çalışmaları ve trendleri yakından takip edip bilgilerini güncel tutarak kendilerini geliştirmeleri gerekmektedir. Orneğin biz personel alımlarımızda kesinlikle diploma yada sertifika sormuyoruz sadece istediğimiz konuları bilip bilmemesi ile ilgileniyoruz, yabancı firmalarda da bu böyle ancak ne yazık ki Türkiye’de iş bulmak için bu etiket , mülakat için bir vize.

10)Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

Kendi kontrolümüzde olmayan ve kullanmak zorunda olduğumuz servisler. ISP gibi.

11)Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitalpların okunmasını tavsiye edersiniz?

Securing Business Information, Intel press.

12)Bilgi güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı

Biz yaptığımız işi en iyi şekilde ve dünya standartlarında yapmaya çalışıyoruz. Bu işi iyi yapanları takdir edip yakından takip ediyoruz.

Örneğin; Eugene Kaspersky ve Mark Shuttleworth

13)Güvenlik dünyasında en fazla kullandığınız yazılım hangisi?

PE editorler ve Network sniffing araçları.

14)Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?

http://blog.metasploit.com/

http://blog.lifeoverip.net/

http://blogs.securiteam.com/

http://www.rootkit.com/

http://news.cnet.com/security/

http://www.zdnet.com/blog/security

http://www.offensive-security.com/

http://www.osronline.com/

15)Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?

İnsan yapacağı işi şeçmekten ziyade, istediği, severek yapabileceği işi yapmalıdır. Bizde güvenlik işini severek, isteyerek yaptığımiz için, her zaman bu işi yapardık diye düşünüyoruz.

The post Güvenlik Röportajları #28 “Zemana” first appeared on Complexity is the enemy of Security.

Bu konuda değerli görüşünüzü sağ taraftaki anket köşesinden oylayabilirsiniz.

The post Bilgi güvenliğine ait bileşenlerden hangisi sizin için daha önceliklidir? first appeared on Complexity is the enemy of Security.

Java Teknolojileri ve Programcıları Derneği’nin ev sahipliğinde, Java dergisinin sponsorluğuna gerçekleştirilen “Web Uygulama Güven(siz)liği 2.0” konulu konferansa ait sunum dosyasına aşağıdaki adresten erişilebilir.

http://www.bga.com.tr/calismalar/web-insecurity.pdf

Etkinlik, sıcak bir yaz akşamı olmasına rağmen beklenmedik bir katılımla gerçekleştirildi. Katılımcıların sıcak kanlılığı ve organizasyonun mükemmel işleyişi sayesinde oldukca güzel bir akşam geçirdik.

Etkinliğie ait fotoğraflara ve yorumlara http://www.jtpd.org/blogs/item/jts-11de-neler-oldu–web-guvensizligi-semineri–huzeyfe-onal adresinden erişebilirsiniz.

The post Web Uygulama Güven(siz)liği Sunumu first appeared on Complexity is the enemy of Security.

Çoğu güvenlik uzmanı web uygulama açıklıklarını IPS ile engelleyebileceğini düşünüyor.Bu tamamen olmasa da büyük oranda yanlış bir algı. Web uygulamalarının büyük bir çoğunluğunu IPS ile korunamayacak kadar karışıktır.  Bir şeyi korumak için öncelikle onun nasıl çalıştığını ve korumak istediğiniz nesneye yönelik tehditleri iyi bilmelisiniz.  Bu da ya konuyla ilgili eğitimler alarak ya da konuya özel zaman ayırıp kendinizi geliştirerek olabilir.

Web uygulama güvenliği konusuna ilgi duyan ama  konuya hakim olmadığı için çok zaman harcamadan hazır, pratik ve tecrübeli birilerinden konuyu uygulamalı öğrenmek isteyenler için  “Web Application Pentest” eğitimimiz  gelen talepler üzerine Mayıs ayında tekrar açılıyor.  Kariyer ve güvenlik konusunda rakiplerinizden bir adım daha önde olmak için kaçırılmayacak bir eğitim.

Eğitim içeriği ve tüm detaylar https://www.bgasecurity.com/egitim/web-uygulama-guvenlik-testleri-egitimi/ adresinden edinilebilir.

Eğitim içeriği

1. Eğitim Giriş
2. Web Standartları
3. Doğrulama Eğilimi
4. Otomatize Araçlar
5. Arama Motoru Keşif Teknikleri
6. Girdi Noktaları Bulma Teknikleri
7. Yayınlanmış Zafiyet Arama Teknikleri
8. HTTP Bağlantı Güvenliği
9. SSL Zayıflıkları
10. HTTP Metotları Denetimi
11. Kimlik Doğrulama Çeşitleri
12. Kaba Kuvvet Denetimi
13. Güvensiz CAPTCHA
14. Session Fixation
15. CSRF Denetimi
16. Dizin Gezinimi
17. Hak Yükseltme Denetimi
18. İş Mantığı Denetimi
19. Yansıtılan XSS Denetimi
20. Depolanmış XSS Denetimi
21. SQL Enjeksiyonu Denetimi
22. Kod Enjeksiyonu Denetimi
23. İşletim Sistemi Komut Enjeksiyonu Denetimi
24. Web Servis Teknolojisi Giriş
25. WSDL Denetimi
26. Ajax Giriş
27. Ajax Denetimi

The post Web Application Pentest Eğitimi 26 Haziran 2010 first appeared on Complexity is the enemy of Security.