The post NetSec “Ağ ve Bilgi Güvenliği Listesi” 10 Yaşında… first appeared on Complexity is the enemy of Security.
]]>2006 Mayıs’ında duyurduğumuz “Netsec Ağ ve Bilgi Güvenliği Listesi” 9. yaşını tamamlayıp 10’nuna adım attı…
İlk duyurusunu http://blog.lifeoverip.net/2006/05/18/ag-ve-guvenlik-e-posta-listesi-acildi/ adresinde yapmıştım listenin ve bu adreste yazdığım kadarıyla ilk zamanları bayağı sancılı geçmiş.
Aradan geçen 9 yılda toplam 2850 kişi üye oldu, bazıları ayrıldı, bazılarını liste kendi kendine üyelikten çıkardı:).
Şuan %99′u sektörden oluşan ~3000 kişiyle Türkiye bilişim/bilgi güvenliği alanında bir boşluğu doldurduğuna inanıyorum.
Baskaları gibi Türkiye’nin ilk, tek, uçan kaçan, super listesi diyerek reklam yapmaya gerek yok. Kendi halinde, sıkı kurallarıyla- kimilerine göre sıkıcı- mütavazi bir sekilde sektördeki haberlerin, duyuruların ve teknik bilginin konusulduğu bir liste olma amacıyla yola çıkmıştık ve bu yolda devam ediyor NetSec listesi.
Siz de güvenlik dünyasında olup bitenlerden herkesten önce birinci kaynaktan haberdar olmak ve konusunun uzmanları arasındaki faydalı tartışmalara katılmak istiyorsanız buradan üye olabilirsiniz.
2010 yılı itibariyle listenin tüm üyelik ve moderasyon işlerini yürüten Ömer ALBAYRAK ve Kasım ERKAN’a tüm liste adına teşekkür ederim.
The post NetSec “Ağ ve Bilgi Güvenliği Listesi” 10 Yaşında… first appeared on Complexity is the enemy of Security.
]]>The post Kurumsal SOME Yönetiminde Siber Güvenlik Tatbikatı Hizmeti first appeared on Complexity is the enemy of Security.
]]>
BGA Bilgi Güvenliği, siber saldırganların kurumlara yönelik gerçekleştirdiği sofistike saldırıları senaryolaştırarak kurumların(SOME Ekiplerinin) bu tip saldırılar karşısında nasıl davrandığı, kullanılan güvenlik ve kayıt sistemlerinin(SIM/SIEM) yeterli olup olmadığının tespiti amaçlı “Siber Tatbikat Hizmeti” sunmaktadır.
Siber Tatbikat senaryoları hazırlanırken son 3 yıl içerisinde Türkiye ve dünya üzerinde büyük kurumlara gerçekleştirilmiş siber saldırılar ve BGA tarafından gerçekleştirilmiş sızma testi sonuçları incelenmiş, bunlar içinde Türkiye’deki kurum ve kuruluşların altyapıları düşünülerek olabildiğince gerçekci olmasına özen gösterilmiştir.
Siber Tatbikat Hizmeti konusunda detay bilgi almak, senaryolar hakkında görüşmek icin [email protected] adresine e-posta gönderebilirsiniz.
Web: https://www.bgasecurity.com
The post Kurumsal SOME Yönetiminde Siber Güvenlik Tatbikatı Hizmeti first appeared on Complexity is the enemy of Security.
]]>The post IstSEC Bilgi Güvenliği Konferansı ’14 Aktif Katılım Çağrısı first appeared on Complexity is the enemy of Security.
]]>#İstSec Hakkında
İstSec (İstanbul Bilgi Güvenliği Konferansı) bilgi/bilişim güvenliği alanında çalışan, bu alana merak duyan ve konusunun uzmanları arasında bilgi paylaşımı yayma amaçlı İstanbul’a özel bir etkinliktir. İstSec, benzeri güvenlik etkinliklerinden farklı olarak ürün/teknoloji bağımsız, pratiğe yönelik bir etkinlik olma amacı taşımaktadır.
Konferans, kayıt olan herkese açık ve ücretsizdir. http://istsec.eventbrite.com adresinden ön kayıt işlemleri başlamıştır.
#Kimlere Hitap Eder
İstSec, özelde bilgi güvenliği yöneticileri, ağ ve sistemi güvenliği departmanı çalışanları, güvenlik ürünü satış ve pazarlamacıları, ethical hacking konusu meraklıları, adli bilişim analizi konusu meraklıları, yazılım uzmanları, siber güvenlik uzmanlarına yönelik olmakla birlikte bilgi güvenliği ve alt dallarına meraklı herkesin ilgiyle izleyeceği bir etkinliktir.
#Konferansın Ana Konuları
İstSec ‘14 konferansında gerçekleştirilecek sunum ve çalıştaylar aşağıdaki konuları kapsamaktadır.
#Konferansa AktifKatılım
Konferansa konuşmacı olarak katılmak isteyenler sunum konularını [email protected] adresine aşağıdaki formatta 15 Eylül 2014 tarihine kadar gönderebilirler.
Ad soyad:
Çalıştığı şirket:
Telefon numarası:
E-posta adresi:
Kısa özgeçmiş:
Konuşma başlığı ve konusu:
Daha önce konuşmacı olarak katıldığı konferanslar:
#NOT:
-Doğrudan bir ürünü, firmayı anlatan sunumlar değerlendirmeye alınmayacaktır.
-Tüm gönderiler İstSec düzenleme ekibi tarafından incelenerek karar verilecektir.
#Sponsorluk
İstSec konuşmacılarının ve katılımcılarının masraflarını karşılamak amacıyla farklı kategorilerde sponsorlar aranmaktadır. Sponsorluk konusunda hazırladığımız “sponsorluk dosyasına” http://www.istsec.org/sponsorluk2013.pdf adresinden erişebilirsiniz.
The post IstSEC Bilgi Güvenliği Konferansı ’14 Aktif Katılım Çağrısı first appeared on Complexity is the enemy of Security.
]]>The post Huzeyfe Önal ile Linux Üzerine Bir Röportaj first appeared on Complexity is the enemy of Security.
]]>The post Huzeyfe Önal ile Linux Üzerine Bir Röportaj first appeared on Complexity is the enemy of Security.
]]>The post Siber Dünyada İzleme Yöntemleri ve Bireysel Mahremiyet first appeared on Complexity is the enemy of Security.
]]>Dinleme, izleme olaylarının bu kadar gündemi meşgul etmesi aynı zamanda bu işin sınıfsal bir ayrıma neden olduğunu da göstermektedir. Kişilerin kendilerini önemli hissetmesinde birileri tarafından dinleniyor olmasının önemli payı olduğu ortaya çıkmaktadır. Dinleniyorsan önemli birisindir!
Dönem dönem hem Türkiye’de hem dünyada dinleme, izleme haberleri sıcak gündeme oturuyor. Son zamanlarda NSA’in internet izleme amaçlı geliştirdiği sistemin detaylarının medyaya sızmasıyla birlikte tekrar gündemimize oturdu.
Eski bir NSA çalışanı olan Edward Snowden tarafından medyaya verilen bilgiler incelendiğinde NSA’in tüm dünyaya yönelik hem internet hem uydu hem de GSM tabanlı geniş bir izleme altyapısı kurup kullandığı ortaya çıkmıştır.
Diğer bir ismi de teknik takip olan “teknolojik izlemenin” en önemli ayağını cep telefonu (akıllı telefon) izleme/dinlemeleri ve internet üzerinden takip oluşturmaktadır. İnternetin gelişimiyle birlikte iletişime ait tüm adımların internet üzerinden yapılabilmesi nedeniyle internet izleme/takibi daha da önemli hale gelmiştir. Internet’in çoğunlukla mobil sistemler üzerinden kullanılması nedeniyle mobil sistemlerin takibi (hem GSM hem de internet üzerinden) bireylerin tüm hayatlarını izlemek anlamına gelmektedir.
Bunun temel nedeni cep telefonlarının sosyal hayatın her anında, her alanında bizi kuşatmış olmasındandır. Cep telefonlarından sadece konuşma bilgileri değil, yerine göre fiziksel lokasyon bilgileri de alınabilmektedir ki bu bilgiler geleceğin ticari ve istihbarat dünyasının en önemli kaynakları olacaktır.
Akıllı telefonlara dikkat
Basit bir örnekle on yıl boyunca telefonunu kapatmadan (ara ara yapılan kapamalar dikkate alınmayabilir) yaşayan birisi için çok rahat bir şekilde sosyal yaşam haritası çıkarılabilir. Bu kişi hangi zaman dilimlerinde nerelerde bulunuyor? En fazla gittiği yer neresidir? En az veya tek bir kereliğine uğradığı yer neresidir? Kaçta yatar, kaçta iş başı yapar, hangi güzergahı kullanır vs… Örnekleri arttırmak mümkündür. Bu bilgiler ticari açıdan bölgesel olarak hangi lokasyonlarda ne tip ihtiyaçların olduğu bilgisinde kullanılabilir ya da daha ileriye götürürsek birbirine benzer özellikte hayat süren insanları facebook vs benzeri ortamlarda biraraya getirerek onlara özel hizmetler sunulabilir.
İşin istihbari ayağına bakarsak bir kişi hakkında suçlama yapıldığında o kişinin geçmişe yönelik tüm sosyal hayatı bir sayfada özetlenebilir ki bu da suçu ispat etmede veya tam tersi durumlarda çok işe yarar.
Peki geleceğin iletişim aracı olarak görülen internette durum nasıl? Neden hep telefon izlemeleri medyada çıkıyorda internet izlemeleri konusunda bir ses çıkmıyor? Sebebi basit, internet henüz cep telefonu kadar sosyal hayatımızın içerisine giremedi. 3G bunun için ilk adımdı, ve birkaç yıla kalmadan internetin hayatımızdaki önemi son on yılın toplamından daha fazla artacak.
İnternet sunduğu esnek altyapı sayesinde hem bu tip teknik takipleri kolaylaştırmakta hem de ihtiyaç duyan/isteyenler için güvenli iletişime olanak sağlamaktadır. Cep telefonlarında olan merkezi sistem internet altyapısında yoktur, cep telefonlarında bulunan merkezi kontrol vs internet altyapısında mümkün değildir. Bu da Internet üzerinden işlenecek suçlar konusunda bizleri gelecekte bekleyen muammalara ışık tutmaktadır. Bugünden interneti ciddiye alıp ona göre yatırım yapmayan devletler ne olduğunu anlayamadan kendilerini değişik bir dünya(suç dünyası)da bulacaklardır.
İnternet doğasında dağıtık bir yapıya sahip olmasına rağmen yerel erişimler cep telefonlarına benzer şekilde belirli merkezlerden sunulmaktadır, bu tip merkezlere Internet servis sağlayıcısı adı verilir. Ve her internete giren kişi mutlaka ilk olarak servis sağlayıcısının ağ omurgasına giriş yapar oradan internete çıkar. Kısaca herhangi bir internet kullanıcısının tüm trafiği öncelikli olarak hizmet aldığı servis sağlayıcıdan geçer(3G, ADSL vs farketmez).
GSM’den farklı olarak internet üzerinde fiziksel olarak yakın ortamlarda bulunmayan bireylerin de internet trafiği izlenebilir. Amerika’da yaşayan biri gerçekleştireceği çeşitli altyapı saldırıları ve casus yazılımlarla İran’daki bir internet kullanıcısını, ya da tüm ülkenin internet kullanıcılarını istediği gibi izleyebilir ve yönlendirebilir. İşin içine internet ve yazılım girdiği zaman yapılabilecekler tamamen kişinin hayal dünyası ile sınırlı olmaktadır. İnterneti özgür olarak kullanabilmek için dikkat edilmesi gerekenler ise şu şekilde özetlenebilir.
Şifreli iletişim kullanımı
Şifreleme yöntemleri kullanılarak sizin bilgisayarınız/mobil sisteminiz ile ulaşmak istediğiniz hedef arasında 3. gözler tarafından anlaşılmayacak şekilde bir iletişim kurulabilir. Fakat iletişim altyapısı için kullanılan SSL/TLS protokollerinin yapısı gereği genellikle tek taraflı ve merkezden kontrollü (Sertifika Otoritesi) çalışmaktadır. Bu yapı gereği merkezi kontrolü elinde bulunduran kişi/kurumlar SSL/TLS bağlantılarını sorunsuzca izleyebilmektedir. Kısaca SSL’in bel kemiği olan sertifikaları onaylamak için kullanılan sertifika otoritesi kimin elindeyse ve bu kurum/kişi internet bağlantılarının çıkışını kontrol ediyorsa rahatlıkla şifreli iletişimi açık olarak elde edebilir.
Proxy kullanarak IP gizleme çalışmaları
Internet üzerinde yapılan çeşitli yasaklamalar sonrası son kullanıcılarda yeni moda ücretsiz proxy ve dns hizmetlerini kullanmak. Bu hizmetlerin güvenilirliği kesin değildir. Kötü niyetli birileri ücretsiz proxy, dns hizmeti vererek kendisini kullanan tüm kullanıcıların bilgilerini toplayabilir. Bu konuda TOR ağı üzerine yapılan araştırmalara internet üzerinden erişilebilir. Tor ağı üzerinde araştırma yapan güvenlik mühendisleri çeşitli hükümet ajanlarının TOR ağını kullanarak erişitiği sistemlerin parola bilgilerini elde etmeyi başarmışlar. TOr her ne kadar anonimlik sağlasa da Tor çıkış düğümü (Tor Exit Node) olan birileri sizin trafiğinizi olduğu gibi görecektir.
Sosyal medya ve ücretsiz web posta sitelerine yönelik iletişim takibi ve korunma
Son yılların en gözde hedeflerinden biri de sosyal medya iletişimi ve e-posta iletişiminin takip altına alınmasıdır. Özellikle muhalif grupların eylem planlarının sosyal medya ve e-posta üzerinden hazırlandığı ve yayıldığı düşünülürse devletler açısından sosyal medya hesaplarının takibi ve izlenmesinin önemi daha da ortaya çıkar.
Son bir yıl içinde Türkiye ve dünyada sık kullanılan sosyal medya ve webmail siteleri (LinkedIN, Facebook, Twitter, Gmail, Hotmail vs) kullanıcılarına ait tüm trafiği SSL üzerinden taşıyacak ve ikili kimlik doğrulama (parola ve SMS) yapacak şekilde altyapılarını geliştirdiler.
İzlendiğinizin farkına varabilir misiniz?
Genellikle internet izleme sistemleri pasif olarak gerçekleştirilir. TAP (Traffic Access Point) adı verilen sistemler kullanılarak aktif trafiğin bir kopyası edinilirken bu trafik üzerinde işlem gerçekleştirilir. Dolayısıyla kişi/kurum internet trafiğinin izlendiği konusunda somut herhangi bir bilgiye sahip olamaz.
NOT:Bu yazı tarafımdan BTHaber dergisi için Ocak 2014’de yazılmıştır.
http://www.bthaber.com/siber-dunyada-izleme-yontemleri-ve-bireysel-mahremiyet-2/
The post Siber Dünyada İzleme Yöntemleri ve Bireysel Mahremiyet first appeared on Complexity is the enemy of Security.
]]>The post Siber Güvenlik Röportajlarım-2 first appeared on Complexity is the enemy of Security.
]]>Zaman zaman çeşitli gazete/dergiler Siber güvenlik, siber tehditler konusunda görüşlerimi almak için sorular gönderiyor. Çoğuna zaman ayırıp cevaplamaya çalışıyorum fakat nerede ne zaman yayınlandığı konusunda bilgim olmuyor. Bundan sonra verdiğim röportajları belli bir süre geçtikten sonra buradan da paylaşacağım.
Aksiyon Dergisi röportajı:
The post Siber Güvenlik Röportajlarım-2 first appeared on Complexity is the enemy of Security.
]]>The post Siber Güvenlik Röportajlarım – I first appeared on Complexity is the enemy of Security.
]]>Hazar Strateji Enstitüsünün yayın organı Caspian Tv adına verdiğim mini röportaj:
The post Siber Güvenlik Röportajlarım – I first appeared on Complexity is the enemy of Security.
]]>The post BGA Kış Dönemi Bilişim Güvenliği Staj Programı first appeared on Complexity is the enemy of Security.
]]>Bilgi güvenliği AKADEMİSİ, 21. yüzyılın en önemli mesleklerinden biri olarak görülen Siber Güvenlik konusunda kendini yetiştirmek, kariyerini siber güvenlik konusunda ilerletmek isteyen üniversite öğrencilerini BGA Kış Dönemi Staj Programına davet ediyor.
Bilgi Güvenliği AKADEMİSİ’nin bilgi/bilişim güvenliği konusundaki deneyim ve uzmanlığını öğrenciler ile paylaşacağı “BGA Staj Programı” gerçek proje uygulamalarıyla katılımcılarına güvenlik konusunda yeni deneyimler ve farklı bakış açısı sunacaktır. Yaz staj okulundan farklı olarak kış staj programı uzun sürelidir ve güvenlikle ilgili genel konulardan ziyade belirli konular üzerinde çalışmaya yöneliktir.
Başarılı stajer öğrencilere Türkiye’deki bilişim güvenliği firmalarında yarı/tam zamanlı çalışma konusunda destek sağlanacaktır.
BGA Staj Okulu Programı kapsamında 5 üniversite öğrencisi alınacak ve aşağıdaki konularda kendilerini geliştirmeleri konusunda destek olunacaktır.
Aranan Nitelikler:
Staj programı kapsamında her bir öğrenciyle bilişim güvenliğinin bir alanında özel olarak ilgilenilecek ve bilişim güvenliği konulu yazılım projesi geliştirilmesi sağlanacaktır. Staj programına katılım sağlayan öğrencilerin gerçekleştirdikleri tüm çalışmalar BGA.com.tr’e ait bir alt domainde paylaşılacaktır.
Başvuru Tarihleri
Staj başvuruları 20 Ekim 2013 – 15 Kasım 2013 arasında yapılmaktadır. Staja kabul edilen öğrenciler 18 Kasım’da https://www.bgasecurity.com/blog adresinden duyurulacaktır.
BGA Staj Okulu Tarihi
Staj dönemi Kasım-Mayıs 2013 olarak belirlenmiştir.
Başvuru İşlemleri
Başvuru formu https://www.bgasecurity.com
Kayıt formuyla birlikte üniversite hocalarından alınacak referans mektupları değerlendirme aşamasında önem taşımaktadır.
Değerlendirme Süreci
Aday Başvurularını değerlendirilmesi sırasında göz önünde bulundurulan kriterler:
Stajerleri Neler Beklemektedir?
İletişim: Staj ve diğer konularla ilgili [email protected] adresine e-posta gönderebilirsiniz.
The post BGA Kış Dönemi Bilişim Güvenliği Staj Programı first appeared on Complexity is the enemy of Security.
]]>The post Bankalara Özel BDDK Kapsamlı Sızma Testi Eğitimi first appeared on Complexity is the enemy of Security.
]]>Eğitim Tanımı:Bankacılık Düzenleme ve Denetleme Kurulu tarafından bilgi sistemlerine yönelik olarak siber ortamda gerçekleştirilebilecek saldırı türlerinin de hızlı bir değişim ve gelişim göstermesi nedeniyle 27.01.2011 tarih ve 4022 sayılı BDDK Kararı ile Tebliğ’in söz konusu 7 nci maddesinin üçüncü fıkrasının (ç) bendinde yer alan hüküm ile sızma testlerinin düzenli aralıklarla yapılması zorunlu kılınmıştır. Genelgede yer alan sızma testi çalışmalarının sonuçlarının kontrolü teftiş ekiplerine yüklenmiştir.
Bu bağlamda teftiş ekiplerinin sızma testi sonuçlarını kontrol edebilmesi ve banka çalışanlarının sızma testi sonuçlarını daha iyi yorumlayabilmelerine katkı sağlamak amacıyla Bilgi Güvenliği AKADEMİSİ tarafından özel bir eğitim içeriği hazırlanmıştır.
BDDK Kapsamlı Sızma Testi Eğitimi, sanallaştırma sistemleri kullanılarak tasarlanmış örnek bir banka sistemini (Bir bankada bulunabilecek -internet bankacılığı dahil- tüm sistemler yer almaktadır) ve bu altyapı üzerinde ilgili genelgede yer alan tüm başlıkları uygulamalı olarak göstermeyi amaçlamaktadır.
Eğitim, Türkiye’de 20 farklı bankaya yönelik gerçekleştirilen sızma testi çalışmalarında aktif rol almış eğitmenler eşliğinde senaryolu ve uygulamalı olarak işlenecektir.
Katılımcılara BGA tarafından bankalara yönelik sızma testlerinde kullanılmak üzere hazırlanmış ve tüm alt maddeleri kapsayan 300 maddelik sızma testi kontrol listesi ücretsiz olarak verilecektir.
Kimler Katılmalı: Banka IT teftiş ekibi çalışanları, bankalarda çalışan güvenlik birimi çalışanları
NOT: İlgili eğitim sadece Türkiye’de hizmet veren banka çalışanlarına yönelik olup farklı kategorideki firmalardan kayıt alınmamaktadır.
Kontenjan: Eğitim kontenjanı 15 kişi ile sınırlıdır. Aynı bankadan en fazla 3 katılımcı kabul edilmektedir.
Eğitim Tarihleri:
8-10 Kasım 2013
13-15 Aralık 2013
Kayıt ve Eğitim Ücreti :[email protected] adresine “BDDK Kapsamlı Sızma Testi Eğitimi” konulu e-posta gönderilmesi yeterli olacaktır.
Eğitmenler: Ozan UÇAR, Huzeyfe ÖNAL
Özet Eğitim İçeriği:
Bilgi Güvenliğinde Sızma Testleri ve Önemi
Genel sızma testi kavramları
Sızma testi çeşitleri
White-box, Black-box, gray-box penetrasyon test cesitleri
Sızma testi adımları ve metodolojileri
Sızma testlerinde kullanılan ticari ve ücretsiz yazılımlar
Sızma testi raporu yazma
Sızma Testlerinde Keşif ve Bilgi Toplama Çalışmaları
Bilgi toplama çeşitleri
Aktif bilgi toplama
Pasif bilgi toplama
Açık kaynaklardan banka çalışan ve müşterilerine ait hassas bilgi toplama
Arama motorlarını kullanarak banka ağı ve çalışanlarına yönelik bilgi toplama
Güncel bilgi ve istihbarat toplama araçlarının sızma testlerinde kullanımı
Örnek senaryo
BDDK Sızma Testi Teknik Kapsam ve Uygulamalar
İletişim Altyapısı ve Aktif Cihazlar Sızma Testi
Ağ ve güvenlik cihazlarına yönelik güvenlik testleri
Tünelleme yöntemleri kullanarak Firewall/IPS atlatma
İçerik filtrelemeler servislerini atlatma denemeleri
Yerel agda kullanılan ağ cihazlarına yönelik parola denemeleri
Yerel ağ güvenlik testleri
DNS Servislerine Yönelik Sızma Testi Çalışmaları
DNS servisi kullanarak bilgi edinme çalışmaları
DNS sunuculara yönelik güvenlik denetimi kontrol listesi
Etki Alanı ve Kullanıcı Bilgisayarları Sızma Testi Çalışmaları
Son kullanıcı bilgisayarı güvenlik testleri
Anti-virüs atlatma testleri
Veri sızdırma denemeleri ve DLP atlatma testleri
Port/protokol kısıtlamalarını aşma
Yetki yükseltme saldırıları
Fiziksel erişim ile yetki yükseltme
E-posta Servisleri Güvenlik Testleri
E-posta servisi üzerinden banka iç ağı hakkında bilgi edinme
Sahte e-posta gönderim denemeleri
Kullanılan Anti-Spam/Virüs sistemlerinin testleri
Veritabanı Sistemlerine Yönelik Sızma Testi Çalışmaları
Veritabanlarına yönelik (Mssql,Oracle,Mysql,Postgresql vb.) sızma testi girişimi
Veritabanı zafiyetleri kullanarak işletim sistemi ele geçirme denemeleri
Veritabanı güvenlik zafiyetlerinin tespit edilmesi
Veritabanı sistemi kullanıcılarına yönelik parola testleri
Web Uygulamalarına Yönelik Sızma Testi Çalışmaları
Web uygulamalarına yönelik güvenlik testleri
OWASP top 10 2013 kontrol listesi denetimi
Otomatize araçlar kullanarak web güvenlik testleri ve avataj/dezavantajları
Web Servislerinin Denetlenmesi
Kablosuz Ağ Sistemlerine Yönelik Sızma Testi Çalışmaları
Gizli ve Açık SSID ile Yayın Yapan Kablosuz Ağların Tespiti
Wep Korumalı Kablosuz Ağlara Yönelik Parola Kırma Saldırıları
WPA Korumalı Kablosuz Ağlara Yönelik Parola Kırma Saldırıları
WPA Enterprise KullananKablosuz Ağlara Yönelik Saldırılar
Sahte Kablosuz Ağ Kurulumu ve Sosyal Mühendislik Saldırıları
Kablosuz Ağların ve/veya Kablosuz Ağ Kullanıcılarının Sinyallerini Kesmek
ATM Sistemleri Sızma Testleri
ATM sistemlerine yönelik sızma testi adımları
ATM sistem yöneticisine ait bilgilerin ağ ortamı/paylasımlardan elde edilmesi
Dağıtık Servis Dışı Bırakma Testleri
DoS/DDoS saldırıları ve amaçları
Güncel olarak gerçekleştirilen DDoS saldırı çeşitleri
Örnek DoS/DDoS saldırısı gerçekleştirme ve doğrulama
Sosyal Mühendislik Testleri
Farklı sosyal mühendislik testi senaryoları
Telefon ve e-posta üzerinden sosyal mühendislik denemesi
Sosyal mühendislik sonrası elde edilen bilgilerin aktif sistemlerde kullanımı
Sosyal mühendislik saldırılarına karşı çözüm önerileri
Örnek Bir Sızma Testi Raporu Yazımı ve İncelemesi
Uygulama Senaryoları
Kısıtlı kullanıcı yetkilerine sahip, bilgisayarı ele geçirilmiş veya kötü niyetli çalışanın yetki yükseltme ve iç ağda erişim elde etme girişimi.
Sosyal Mühendislik saldırıları ile banka çalışanlarının eposta,vpn vb. bilgilerine erişim ve iç ağa sızma girişimleri.
Misafir kullanıcılarının, siber saldırıları ve fiziksel olarak banka sistemlerine erişim senaryoları.
İç ağdaki bir kullanıcının DLP/IPS/Firewall/Antivirus vb. tüm koruma sistemlerini atlatarak veri sızdırması veya uzakdan bir casus yazılımı iç ağa dahil etmesi.
Mobile bankacılık uygulamalarındaki kritik güvenlik açıklıklarının keşfi ve sömürülmesi senaryoları (pratik olarak tecrübe edinmiş uygulamalar yer alacaktır)
Banka alt yapısınını (bankacılık uygulamaları, internet şubesi vb.) devre dışı bırakacak DDOS/Botnet saldırı uygulamaları.
Farklı açıklıklarla, yetkili kullanıcı haklarını ele geçirme ve Domain Admin olma.
Tanınmaz casus yazılımlar oluşturma ve şifreli iletişim kanalları yaratmak.
Banka çalışanlarının kurumsal hiyerarşilerini oluşturmak (Operasyonel ekipler, müdür-personel ilişkisi ve statüler vb.)
ATM sistemlerini ele geçirmek için yapılan saldırılar ve ATM’nin kontrolünü internetten gerçekleştirmek.
The post Bankalara Özel BDDK Kapsamlı Sızma Testi Eğitimi first appeared on Complexity is the enemy of Security.
]]>The post IstSec ’13 Bilgi Güvenliği Konferansı Aktif Katılım Çağrısı first appeared on Complexity is the enemy of Security.
]]>#İstSec Hakkında
İstSec (İstanbul Bilgi Güvenliği Konferansı) bilgi/bilişim güvenliği alanında çalışan, bu alana merak duyan ve konusunun uzmanları arasında bilgi paylaşımı yayma amaçlı İstanbul’a özel bir etkinliktir.
İstSec, benzeri güvenlik etkinliklerinden farklı olarak ürün/teknoloji bağımsız, pratiğe yönelik bir etkinlik olma amacı taşımaktadır.
Konferans, kayıt olan herkese açık ve ücretsizdir. http://istsec.eventbrite.com adresinden ön kayıt işlemleri başlamıştır.
#Kimlere Hitap Eder
İstSec, özelde bilgi güvenliği yöneticileri, ağ ve sistemi güvenliği departmanı çalışanları, güvenlik ürünü satış ve pazarlamacıları, ethical hacking konusu meraklıları, adli bilişim analizi konusu meraklıları, yazılım uzmanları, siber güvenlik uzmanlarına yönelik olmakla birlikte bilgi güvenliği ve alt dallarına meraklı herkesin ilgiyle izleyeceği bir etkinliktir.
#Konferansın Ana Konuları
İstSec ‘13 konferansında gerçekleştirilecek sunum ve çalıştaylar aşağıdaki konuları kapsamaktadır.
-Bulut bilişim ve güvenlik
-Zararlı kod analizi ve geliştirme teknikleri
-Saldırı tespit ve engelleme yöntemleri
-DDoS saldırıları ve korunma yöntemleri
-Yazılım güvenliği ve güvenlik yazılım geliştirme süreçleri
-Siber kavramlar(siber savaş, siber ordu, siber tehdit)
-WLAN/EDGE/3G iletişim güvenliği
-Internet takip/izleme sistemleri
-Ipv6 güvenliği
-Sanallaştırma güvenliği
-Bilişim sistemlerinde adli bilişim analizi
-Sızma testleri(pentest) ve yöntemleri
-Exploit geliştirme ve tersine mühendislik yöntemleri
-Web uygulama güvenliği
-Internet ortamında istihbarat toplama yöntemleri
-Türkiye’de siber güvenliğe verilen önem ve siber güvenlik yol haritası
-APT(Advanced Persistent Threat)
-DLP(Data Loss Prevention) sistemleri ve güvenlik zaafiyetleri
#Konferansa Aktif Katılım
Konferansa konuşmacı olarak katılmak isteyenler sunum konularını [email protected] adresine aşağıdaki formatta 10 Eylül 2013 tarihine kadar gönderebilirler.
Ad soyad:
Çalıştığı şirket:
Telefon numarası:
E-posta adresi:
Kısa özgeçmiş:
Konuşma başlığı ve konusu:
Daha önce konuşmacı olarak katıldığı konferanslar:
#NOT:
-Doğrudan bir ürünü, firmayı anlatan sunumlar değerlendirmeye alınmayacaktır.
-Tüm gönderiler İstSec düzenleme ekibi tarafından incelenerek karar verilecektir.
#Sponsorluk
İstSec konuşmacılarının ve katılımcılarının masraflarını karşılamak amacıyla farklı kategorilerde sponsorlar aranmaktadır. Sponsorluk konusunda hazırladığımız “sponsorluk dosyasına” http://www.istsec.org/sponsorluk2013.pdf adresinden erişebilirsiniz.
Konferans hakkında daha detaylı bilgi için: http://www.istsec.org adresini ziyaret edebilirsiniz.
İstSec düzenleme kurulu.
[email protected]
www.istsec.org
The post IstSec ’13 Bilgi Güvenliği Konferansı Aktif Katılım Çağrısı first appeared on Complexity is the enemy of Security.
]]>