Güvenlik kahvesinin bu haftaki konuğu web uygulama güvenliği üzerine çalışmalarından tanıdığımız OWASP-TR’den Ferruh MAVİTUNA.
Satır aralarında hem kendisiyle hem de güvenliğe bakış açısıyla ilgili önemli bilgiler yer almakta.
NGB: Kısaca kendinizden bahsedebilir misiniz?
Ferruh MAVİTUNA: Lise mezunuyum, Uzun süredir web uygulaması güvenliği konusunda çalışıyorum, özellikle otomatik olarak güvenlik açıklarının tespiti ve exploit edilmesi ilgimi çok çeken konulardan. Bir dönem Türkiye’ de çalıştıktan sonra İngiltere’ de bir güvenlik firmasında çalışmaya başladım. Bir kaç ay kadar önce çalıştığım firmadan ayrılıp kendi firmamı kurdum, bu firmada benim 3 senedir üzerinde çalıştığım bir web uygulaması güvenlik tarayacısının geliştirilmesine devam edip, satışa hazır hale getiriyoruz.
Sanırım en büyük hobim bilgisayar, onun harici iyi bir kitap okuyucusu ve çok daha iyi bir Call of Duty oyuncusuyum 🙂
NGB: Güvenlik işine nasil bulaştınız?
Ferruh MAVİTUNA:Aslında güvenlik işine girmem biraz komik, programcı olarak çalıştığım zamanlarda sevdiğim bir arkadaşım askerden aradı ve “ya Ferruh şu siteleri hackliyorlarmış falan, sen bu bilgisayar işini biliyorsun bir baksana güzel bir olaya benziyor” dedi. Ben de baktım 🙂 Ondan sonra bu iş ben de büyük bir hobi olmaya başlayınca ve yurt dışındaki bir finans kurumu ile de ticari olarak anlaşınca programcılıktan güvenlik sektörüne kaydım ve orada kaldım.
NGB: Turkiye’de bilgi guvenligi konusunu degerlendirebilir misiniz
Ferruh MAVİTUNA:Açıkçası son 3 senedir Türkiye güvenlik sektörünü ticari açıdan çok yakından izleyemiyorum ama ciddi sorunlarımız olduğu kesin. Sorunun çözülmesi için iki şeyin gelişmesi gerekiyor. Regülasyon, bu finansal sektörde hızla ve başarılı şekilde ilerlerken ticari sektörde PCI gibi yetersiz standartlardan başka bir şey yok. İkincisi ise data kaybı gibi sorunlarda kanuni sorumluluk. Yani bir sistemden birilerinin kişisel bilgileri, kredi kartı gibi bilgileri çalındığında ilgili kurumun bu zarardan sorumlu tutulması gerekiyor. Bu konuda çalışmalar vardı ama henüz aktif şekilde yürürlükte değiller diye biliyorum.
Benim gözlemlediğim kadarıyla henüz ticari saldırılar da Türkiye’ de o kadar doruk noktasına ulaşmış durumda değil. Ticari saldırılar büyüdükçe ve medyada daha çok yer aldıkça, kurumlar da güvenliği daha dikkate almaya başlayacaktır. Işin devlet bazındaki durumu da çok kötü gözüküyor ama o bambaşka bir konu…
NGB: Bu ise yeni baslayanlara neler onerirsiniz?
Ferruh MAVİTUNA:Once Ingilizce, sonra okumak, denemek, daha fazla okumak, daha fazla denemek. Bu döngüyü ne kadar çok takip ederseniz o kadar iyi olacaktır. Bir de bilmediğini bilmek. Bu sonuncusu sadece yeni başlayanlara özel değil öğrenmeye devam etmek isteyen herkes için.
NGB: Sizce 2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor olacak?
Ferruh MAVİTUNA: Bilişim sektöründe bir gün sonrasını bile tahmin etmek zor ama web açısından nacizane aklıma gelen bir kaç noktayı söyleyeyim. SaaS’ ın popülerleşmesi yükselerek devam edecek gibi bu da cloud-computing ve SaaS güvenliğini çok daha önemli bir hale getirecektir. Gene bunun etrafında dönen web servisi güvenliği ve web uygulamlarının API güvenliği exploit ediliyor olacak ve siteler arası paylaşılan component’ lar (widget vs.) başa çok bela açacak gibi. Tüm bunların etkisi de istemci tarafında daha çok güvenlikle ilgili “cross-domain policy” gibi standartların implemente edilmesini getirecektir.
Teşekkürler,
NGB: Zaman ayırarak röportajımıza katıldığnız için teşekkür ederiz.
