Activity | Complexity is the enemy of Security

NetSec “Ağ ve Bilgi Güvenliği Listesi” 10 Yaşında…

Huzeyfe ONAL — Sat, 23 May 2015 19:59:18 +0000

2006 Mayıs’ında duyurduğumuz “Netsec Ağ ve Bilgi Güvenliği Listesi” 9. yaşını tamamlayıp 10’nuna adım attı…

İlk duyurusunu http://blog.lifeoverip.net/2006/05/18/ag-ve-guvenlik-e-posta-listesi-acildi/ adresinde yapmıştım listenin ve bu adreste yazdığım kadarıyla ilk zamanları bayağı sancılı geçmiş.

Aradan geçen 9 yılda toplam 2850 kişi üye oldu, bazıları ayrıldı, bazılarını liste kendi kendine üyelikten çıkardı:).

Şuan %99′u sektörden oluşan ~3000 kişiyle Türkiye bilişim/bilgi güvenliği alanında bir boşluğu doldurduğuna inanıyorum.

Baskaları gibi Türkiye’nin ilk, tek, uçan kaçan, super listesi diyerek reklam yapmaya gerek yok. Kendi halinde, sıkı kurallarıyla- kimilerine göre sıkıcı- mütavazi bir sekilde sektördeki haberlerin, duyuruların ve teknik bilginin konusulduğu bir liste olma amacıyla yola çıkmıştık ve bu yolda devam ediyor NetSec listesi.

Siz de güvenlik dünyasında olup bitenlerden herkesten önce birinci kaynaktan haberdar olmak ve konusunun uzmanları arasındaki faydalı tartışmalara katılmak istiyorsanız buradan üye olabilirsiniz.

2010 yılı itibariyle listenin tüm üyelik ve moderasyon işlerini yürüten Ömer ALBAYRAK ve Kasım ERKAN’a tüm liste adına teşekkür ederim.

The post NetSec “Ağ ve Bilgi Güvenliği Listesi” 10 Yaşında… first appeared on Complexity is the enemy of Security.

Kurumsal SOME Yönetiminde Siber Güvenlik Tatbikatı Hizmeti

Huzeyfe ONAL — Sat, 27 Dec 2014 06:16:44 +0000

Kurumların bilgi teknolojilerine bağımlılığı arttıkça siber dünyadaki saldırı yüzeyi de genişlemektedir. İş dünyasını ciddi manada tehdit eden siber saldırılar karşısında tüm dünyada uzun süredir uygulanan klasik, ürün odaklı “savunmacı” yaklaşım yerini daha proaktif ve çözüm/insan odaklı yöntemlere bırakmaya başlamıştır.

Siber savunma amaçlı yapılan yatırımlar kurumlarda vicdani rahatlık sağlamakta ve genellikle operasyonel iş yoğunluğu nedeniyle tam verimli kullanılamamaktadır. Tüm bu savunma sistemleri saldırgan gözüyle tekrar incelenip konumlandırılmadığı müddetce alınan ürünlerin verdiği rahatlık yaşanacak bir güvenlik problemine kadar sürecektir. Kurumsal güvenliği sağlayacağı düşünülerek gerçekleştirilen sızma testleri genellikle dar kapsamlı ve standart araçlar gerçekleştirilerek yapıldığı icin kurumun gerçek manada siber saldırılar karşısındaki durumunu göstermede yeterli olmamaktadır.

BGA Bilgi Güvenliği, siber saldırganların kurumlara yönelik gerçekleştirdiği sofistike saldırıları senaryolaştırarak kurumların(SOME Ekiplerinin) bu tip saldırılar karşısında nasıl davrandığı, kullanılan güvenlik ve kayıt sistemlerinin(SIM/SIEM) yeterli olup olmadığının tespiti amaçlı “Siber Tatbikat Hizmeti” sunmaktadır.

Ortalama 45 gün süren siber tatbikat çalışması(50 farklı senaryo ile) sonrası hazırlanacak rapor kurumların sofistike bir saldırıdan önce bu saldırıya ait ön belirtileri yakalama, saldırı anında hızlı aksiyon alma ve saldırı sonrası geriye doğru analiz yapma konusundaki olgunluk seviyeleri tespiti ve iyileştirmeler konusunda somut öneriler sunmaktadır.

Siber Tatbikat senaryoları hazırlanırken son 3 yıl içerisinde Türkiye ve dünya üzerinde büyük kurumlara gerçekleştirilmiş siber saldırılar ve BGA tarafından gerçekleştirilmiş sızma testi sonuçları incelenmiş, bunlar içinde Türkiye’deki kurum ve kuruluşların altyapıları düşünülerek olabildiğince gerçekci olmasına özen gösterilmiştir.

Siber Tatbikat Hizmeti konusunda detay bilgi almak, senaryolar hakkında görüşmek icin [email protected] adresine e-posta gönderebilirsiniz.

Web: https://www.bgasecurity.com

The post Kurumsal SOME Yönetiminde Siber Güvenlik Tatbikatı Hizmeti first appeared on Complexity is the enemy of Security.

IstSEC Bilgi Güvenliği Konferansı ’14 Aktif Katılım Çağrısı

Huzeyfe ONAL — Sat, 23 Aug 2014 15:40:11 +0000

##İstSEC Bilgi Güvenliği Konferansı ’14 ##
http://www.istsec.org
İstanbul, Türkiye
15 Ekim 2014

#İstSec Hakkında

İstSec (İstanbul Bilgi Güvenliği Konferansı) bilgi/bilişim güvenliği alanında çalışan, bu alana merak duyan ve konusunun uzmanları arasında bilgi paylaşımı yayma amaçlı İstanbul’a özel bir etkinliktir. İstSec, benzeri güvenlik etkinliklerinden farklı olarak ürün/teknoloji bağımsız, pratiğe yönelik bir etkinlik olma amacı taşımaktadır.

Konferans, kayıt olan herkese açık ve ücretsizdir. http://istsec.eventbrite.com adresinden ön kayıt işlemleri başlamıştır.

#Kimlere Hitap Eder

İstSec, özelde bilgi güvenliği yöneticileri, ağ ve sistemi güvenliği departmanı çalışanları, güvenlik ürünü satış ve pazarlamacıları, ethical hacking konusu meraklıları, adli bilişim analizi konusu meraklıları, yazılım uzmanları, siber güvenlik uzmanlarına yönelik olmakla birlikte bilgi güvenliği ve alt dallarına meraklı herkesin ilgiyle izleyeceği bir etkinliktir.

#Konferansın Ana Konuları

İstSec ‘14 konferansında gerçekleştirilecek sunum ve çalıştaylar aşağıdaki konuları kapsamaktadır.

Bulut bilişim ve güvenlik
Zararlı kod analizi ve geliştirme teknikleri
Saldırı tespit ve engelleme yöntemleri
DDoS saldırıları ve korunma yöntemleri
Yazılım güvenliği ve güvenlik yazılım geliştirme süreçleri
Siber kavramlar(siber savaş, siber ordu, siber tehdit)
WLAN/EDGE/3G iletişim güvenliği
Internet takip/izleme sistemleri
Ipv6 güvenliği
Sanallaştırma güvenliği
Bilişim sistemlerinde adli bilişim analizi
Sızma testleri(pentest) ve yöntemleri
Exploit geliştirme ve tersine mühendislik yöntemleri
Web uygulama güvenliği
Internet ortamında istihbarat toplama yöntemleri
Türkiye’de siber güvenliğe verilen önem ve siber güvenlik yol haritası
APT(Advanced Persistent Threat)
DLP(Data Loss Prevention) sistemleri ve güvenlik zaafiyetleri

#Konferansa AktifKatılım

Konferansa konuşmacı olarak katılmak isteyenler sunum konularını [email protected] adresine aşağıdaki formatta 15 Eylül 2014 tarihine kadar gönderebilirler.

Ad soyad:

Çalıştığı şirket:

Telefon numarası:

E-posta adresi:

Kısa özgeçmiş:

Konuşma başlığı ve konusu:

Daha önce konuşmacı olarak katıldığı konferanslar:

#NOT:

-Doğrudan bir ürünü, firmayı anlatan sunumlar değerlendirmeye alınmayacaktır.

-Tüm gönderiler İstSec düzenleme ekibi tarafından incelenerek karar verilecektir.

#Sponsorluk

İstSec konuşmacılarının ve katılımcılarının masraflarını karşılamak amacıyla farklı kategorilerde sponsorlar aranmaktadır. Sponsorluk konusunda hazırladığımız “sponsorluk dosyasına” http://www.istsec.org/sponsorluk2013.pdf adresinden erişebilirsiniz.

The post IstSEC Bilgi Güvenliği Konferansı ’14 Aktif Katılım Çağrısı first appeared on Complexity is the enemy of Security.

Huzeyfe Önal ile Linux Üzerine Bir Röportaj

Huzeyfe ONAL — Sun, 06 Apr 2014 08:01:41 +0000

Gectigimiz haftalarda SistemLinux.org sitesinin yapmis oldugu Linux röportajı…

Soru 1: Linux’e ilk olarak ne zaman başladınız? Başlangıç hikayenizden bahsedebilir misiniz?

Cevap: Tam hatırlamıyorum ama 2000 yılının Ekim aylarıyı, üniversiteye yeni başlamıştım ve laboratuvarda bir makine üzerinde Dokunmayın – Linux yazıyordu. Dokunmadım ama merak ettim ve başladım. İlk sistemimi kurup ayağa kaldırmam yaklaşık 6 ayıma maloldu. Derginin birinin verdiği bozuk CD’i kurmak için haftalarca uğraştım, o zamanlar bu kadar kaynak olmadığı için yaşadığım sürecin normal olduğunu düşünüp Kolay mı, Linux bu, olacak o kadar zor diye kendimi teselli ediyordum.

The post Huzeyfe Önal ile Linux Üzerine Bir Röportaj first appeared on Complexity is the enemy of Security.

Siber Dünyada İzleme Yöntemleri ve Bireysel Mahremiyet

Huzeyfe ONAL — Sat, 08 Mar 2014 12:06:47 +0000

Son yılların en moda söylemlerinden biri “dinleniyoruz, izleniyoruz” söylemidir. Bu söylem kısmi olarak doğruluk payı içerse de genellikle teknolojiye uzak gazeteciler, kişiler tarafından dönem dönem dillendirilmektedir.

Dinleme, izleme olaylarının bu kadar gündemi meşgul etmesi aynı zamanda bu işin sınıfsal bir ayrıma neden olduğunu da göstermektedir. Kişilerin kendilerini önemli hissetmesinde birileri tarafından dinleniyor olmasının önemli payı olduğu ortaya çıkmaktadır. Dinleniyorsan önemli birisindir!

Dönem dönem hem Türkiye’de hem dünyada dinleme, izleme haberleri sıcak gündeme oturuyor. Son zamanlarda NSA’in internet izleme amaçlı geliştirdiği sistemin detaylarının medyaya sızmasıyla birlikte tekrar gündemimize oturdu.

Eski bir NSA çalışanı olan Edward Snowden tarafından medyaya verilen bilgiler incelendiğinde NSA’in tüm dünyaya yönelik hem internet hem uydu hem de GSM tabanlı geniş bir izleme altyapısı kurup kullandığı ortaya çıkmıştır.

Diğer bir ismi de teknik takip olan “teknolojik izlemenin” en önemli ayağını cep telefonu (akıllı telefon) izleme/dinlemeleri ve internet üzerinden takip oluşturmaktadır. İnternetin gelişimiyle birlikte iletişime ait tüm adımların internet üzerinden yapılabilmesi nedeniyle internet izleme/takibi daha da önemli hale gelmiştir. Internet’in çoğunlukla mobil sistemler üzerinden kullanılması nedeniyle mobil sistemlerin takibi (hem GSM hem de internet üzerinden) bireylerin tüm hayatlarını izlemek anlamına gelmektedir.

Bunun temel nedeni cep telefonlarının sosyal hayatın her anında, her alanında bizi kuşatmış olmasındandır. Cep telefonlarından sadece konuşma bilgileri değil, yerine göre fiziksel lokasyon bilgileri de alınabilmektedir ki bu bilgiler geleceğin ticari ve istihbarat dünyasının en önemli kaynakları olacaktır.

Akıllı telefonlara dikkat

Basit bir örnekle on yıl boyunca telefonunu kapatmadan (ara ara yapılan kapamalar dikkate alınmayabilir) yaşayan birisi için çok rahat bir şekilde sosyal yaşam haritası çıkarılabilir. Bu kişi hangi zaman dilimlerinde nerelerde bulunuyor? En fazla gittiği yer neresidir? En az veya tek bir kereliğine uğradığı yer neresidir? Kaçta yatar, kaçta iş başı yapar, hangi güzergahı kullanır vs… Örnekleri arttırmak mümkündür. Bu bilgiler ticari açıdan bölgesel olarak hangi lokasyonlarda ne tip ihtiyaçların olduğu bilgisinde kullanılabilir ya da daha ileriye götürürsek birbirine benzer özellikte hayat süren insanları facebook vs benzeri ortamlarda biraraya getirerek onlara özel hizmetler sunulabilir.

İşin istihbari ayağına bakarsak bir kişi hakkında suçlama yapıldığında o kişinin geçmişe yönelik tüm sosyal hayatı bir sayfada özetlenebilir ki bu da suçu ispat etmede veya tam tersi durumlarda çok işe yarar.

Peki geleceğin iletişim aracı olarak görülen internette durum nasıl? Neden hep telefon izlemeleri medyada çıkıyorda internet izlemeleri konusunda bir ses çıkmıyor? Sebebi basit, internet henüz cep telefonu kadar sosyal hayatımızın içerisine giremedi. 3G bunun için ilk adımdı, ve birkaç yıla kalmadan internetin hayatımızdaki önemi son on yılın toplamından daha fazla artacak.

İnternet sunduğu esnek altyapı sayesinde hem bu tip teknik takipleri kolaylaştırmakta hem de ihtiyaç duyan/isteyenler için güvenli iletişime olanak sağlamaktadır. Cep telefonlarında olan merkezi sistem internet altyapısında yoktur, cep telefonlarında bulunan merkezi kontrol vs internet altyapısında mümkün değildir. Bu da Internet üzerinden işlenecek suçlar konusunda bizleri gelecekte bekleyen muammalara ışık tutmaktadır. Bugünden interneti ciddiye alıp ona göre yatırım yapmayan devletler ne olduğunu anlayamadan kendilerini değişik bir dünya(suç dünyası)da bulacaklardır.

İnternet doğasında dağıtık bir yapıya sahip olmasına rağmen yerel erişimler cep telefonlarına benzer şekilde belirli merkezlerden sunulmaktadır, bu tip merkezlere Internet servis sağlayıcısı adı verilir. Ve her internete giren kişi mutlaka ilk olarak servis sağlayıcısının ağ omurgasına giriş yapar oradan internete çıkar. Kısaca herhangi bir internet kullanıcısının tüm trafiği öncelikli olarak hizmet aldığı servis sağlayıcıdan geçer(3G, ADSL vs farketmez).

GSM’den farklı olarak internet üzerinde fiziksel olarak yakın ortamlarda bulunmayan bireylerin de internet trafiği izlenebilir. Amerika’da yaşayan biri gerçekleştireceği çeşitli altyapı saldırıları ve casus yazılımlarla İran’daki bir internet kullanıcısını, ya da tüm ülkenin internet kullanıcılarını istediği gibi izleyebilir ve yönlendirebilir. İşin içine internet ve yazılım girdiği zaman yapılabilecekler tamamen kişinin hayal dünyası ile sınırlı olmaktadır. İnterneti özgür olarak kullanabilmek için dikkat edilmesi gerekenler ise şu şekilde özetlenebilir.

Şifreli iletişim kullanımı

Şifreleme yöntemleri kullanılarak sizin bilgisayarınız/mobil sisteminiz ile ulaşmak istediğiniz hedef arasında 3. gözler tarafından anlaşılmayacak şekilde bir iletişim kurulabilir. Fakat iletişim altyapısı için kullanılan SSL/TLS protokollerinin yapısı gereği genellikle tek taraflı ve merkezden kontrollü (Sertifika Otoritesi) çalışmaktadır. Bu yapı gereği merkezi kontrolü elinde bulunduran kişi/kurumlar SSL/TLS bağlantılarını sorunsuzca izleyebilmektedir. Kısaca SSL’in bel kemiği olan sertifikaları onaylamak için kullanılan sertifika otoritesi kimin elindeyse ve bu kurum/kişi internet bağlantılarının çıkışını kontrol ediyorsa rahatlıkla şifreli iletişimi açık olarak elde edebilir.

Proxy kullanarak IP gizleme çalışmaları

Internet üzerinde yapılan çeşitli yasaklamalar sonrası son kullanıcılarda yeni moda ücretsiz proxy ve dns hizmetlerini kullanmak. Bu hizmetlerin güvenilirliği kesin değildir. Kötü niyetli birileri ücretsiz proxy, dns hizmeti vererek kendisini kullanan tüm kullanıcıların bilgilerini toplayabilir. Bu konuda TOR ağı üzerine yapılan araştırmalara internet üzerinden erişilebilir. Tor ağı üzerinde araştırma yapan güvenlik mühendisleri çeşitli hükümet ajanlarının TOR ağını kullanarak erişitiği sistemlerin parola bilgilerini elde etmeyi başarmışlar. TOr her ne kadar anonimlik sağlasa da Tor çıkış düğümü (Tor Exit Node) olan birileri sizin trafiğinizi olduğu gibi görecektir.

Sosyal medya ve ücretsiz web posta sitelerine yönelik iletişim takibi ve korunma

Son yılların en gözde hedeflerinden biri de sosyal medya iletişimi ve e-posta iletişiminin takip altına alınmasıdır. Özellikle muhalif grupların eylem planlarının sosyal medya ve e-posta üzerinden hazırlandığı ve yayıldığı düşünülürse devletler açısından sosyal medya hesaplarının takibi ve izlenmesinin önemi daha da ortaya çıkar.

Son bir yıl içinde Türkiye ve dünyada sık kullanılan sosyal medya ve webmail siteleri (LinkedIN, Facebook, Twitter, Gmail, Hotmail vs) kullanıcılarına ait tüm trafiği SSL üzerinden taşıyacak ve ikili kimlik doğrulama (parola ve SMS) yapacak şekilde altyapılarını geliştirdiler.

İzlendiğinizin farkına varabilir misiniz?

Genellikle internet izleme sistemleri pasif olarak gerçekleştirilir. TAP (Traffic Access Point) adı verilen sistemler kullanılarak aktif trafiğin bir kopyası edinilirken bu trafik üzerinde işlem gerçekleştirilir. Dolayısıyla kişi/kurum internet trafiğinin izlendiği konusunda somut herhangi bir bilgiye sahip olamaz.

NOT:Bu yazı tarafımdan BTHaber dergisi için Ocak 2014’de yazılmıştır.

http://www.bthaber.com/siber-dunyada-izleme-yontemleri-ve-bireysel-mahremiyet-2/

The post Siber Dünyada İzleme Yöntemleri ve Bireysel Mahremiyet first appeared on Complexity is the enemy of Security.

Siber Güvenlik Röportajlarım-2

Huzeyfe ONAL — Sat, 11 Jan 2014 16:33:40 +0000

Zaman zaman çeşitli gazete/dergiler Siber güvenlik, siber tehditler konusunda görüşlerimi almak için sorular gönderiyor. Çoğuna zaman ayırıp cevaplamaya çalışıyorum fakat nerede ne zaman yayınlandığı konusunda bilgim olmuyor. Bundan sonra verdiğim röportajları belli bir süre geçtikten sonra buradan da paylaşacağım. Aksiyon … Continue reading →

The post Siber Güvenlik Röportajlarım-2 first appeared on Complexity is the enemy of Security.

Siber Güvenlik Röportajlarım – I

Huzeyfe ONAL — Sat, 11 Jan 2014 16:32:19 +0000

The post Siber Güvenlik Röportajlarım – I first appeared on Complexity is the enemy of Security.

BGA Kış Dönemi Bilişim Güvenliği Staj Programı

Huzeyfe ONAL — Sat, 02 Nov 2013 14:05:32 +0000

Bilgi güvenliği AKADEMİSİ, 21. yüzyılın en önemli mesleklerinden biri olarak görülen Siber Güvenlik konusunda kendini yetiştirmek, kariyerini siber güvenlik konusunda ilerletmek isteyen üniversite öğrencilerini BGA Kış Dönemi Staj Programına davet ediyor.

Bilgi Güvenliği AKADEMİSİ’nin bilgi/bilişim güvenliği konusundaki deneyim ve uzmanlığını öğrenciler ile paylaşacağı “BGA Staj Programı” gerçek proje uygulamalarıyla katılımcılarına güvenlik konusunda yeni deneyimler ve farklı bakış açısı sunacaktır. Yaz staj okulundan farklı olarak kış staj programı uzun sürelidir ve güvenlikle ilgili genel konulardan ziyade belirli konular üzerinde çalışmaya yöneliktir.

Başarılı stajer öğrencilere Türkiye’deki bilişim güvenliği firmalarında yarı/tam zamanlı çalışma konusunda destek sağlanacaktır.

BGA Staj Okulu Programı kapsamında 5 üniversite öğrencisi alınacak ve aşağıdaki konularda kendilerini geliştirmeleri konusunda destek olunacaktır.

Network Security (Defensive)
Web Application Security (Offensive)
Malware Analysis (Defensive)
Vulnerability Research / Exploit Development (Offensive)
DNSsec & IPv6 Security

Aranan Nitelikler:

Üniversitelerin 3, 4 (uzatmalı öğrenciler için) sınıflarında okuyor olmak,
Meslek yüksek okullarının ilgili bölümlerinde okuyor olmak,
Orta/iyi seviye Linux bilgisi,
Herhangi bir programlama dili kullanarak bir yazılım geliştirmiş olmak (C, Python, Ruby tercih sebebidir),
Temel seviye ağ bilgisi,
İstanbul’da ikamet ediyor olmak,
Haftada iki gün (en az ) BGA ofisine gelebiliyor olmak (Bir gün hafta ici bir gün hafta sonu),

Staj programı kapsamında her bir öğrenciyle bilişim güvenliğinin bir alanında özel olarak ilgilenilecek ve bilişim güvenliği konulu yazılım projesi geliştirilmesi sağlanacaktır. Staj programına katılım sağlayan öğrencilerin gerçekleştirdikleri tüm çalışmalar BGA.com.tr’e ait bir alt domainde paylaşılacaktır.

Başvuru Tarihleri

Staj başvuruları 20 Ekim 2013 – 15 Kasım 2013 arasında yapılmaktadır. Staja kabul edilen öğrenciler 18 Kasım’da https://www.bgasecurity.com/blog adresinden duyurulacaktır.

BGA Staj Okulu Tarihi

Staj dönemi Kasım-Mayıs 2013 olarak belirlenmiştir.

Başvuru İşlemleri

Başvuru formu https://www.bgasecurity.com

Kayıt formuyla birlikte üniversite hocalarından alınacak referans mektupları değerlendirme aşamasında önem taşımaktadır.

Değerlendirme Süreci

Aday Başvurularını değerlendirilmesi sırasında göz önünde bulundurulan kriterler:

Adayın önceki staj deneyimleri
Referans bilgisi
Başvuruda bulundukları alanda ilerleme istekleri
Yaptıkları projeler

Stajerleri Neler Beklemektedir?

Stajerler bilişim güvenliğinin en zevkli konularında proje geliştirmek üzere yetiştirilecektir.
BGA bünyesindeki danışmanlarla gerçek projelerde bire bir çalışma fırsatı
Gerçek ortamlarda kullanılabilecek proje geliştirme fırsatı
Ücretsiz Blgi Güvenliği AKADEMİSİ eğitimlerine katılma imkanı

İletişim: Staj ve diğer konularla ilgili [email protected] adresine e-posta gönderebilirsiniz.

The post BGA Kış Dönemi Bilişim Güvenliği Staj Programı first appeared on Complexity is the enemy of Security.

Bankalara Özel BDDK Kapsamlı Sızma Testi Eğitimi

Huzeyfe ONAL — Sat, 05 Oct 2013 11:20:30 +0000

Eğitim Tanımı:Bankacılık Düzenleme ve Denetleme Kurulu tarafından bilgi sistemlerine yönelik olarak siber ortamda gerçekleştirilebilecek saldırı türlerinin de hızlı bir değişim ve gelişim göstermesi nedeniyle 27.01.2011 tarih ve 4022 sayılı BDDK Kararı ile Tebliğ’in söz konusu 7 nci maddesinin üçüncü fıkrasının (ç) bendinde yer alan hüküm ile sızma testlerinin düzenli aralıklarla yapılması zorunlu kılınmıştır. Genelgede yer alan sızma testi çalışmalarının sonuçlarının kontrolü teftiş ekiplerine yüklenmiştir.

Bu bağlamda teftiş ekiplerinin sızma testi sonuçlarını kontrol edebilmesi ve banka çalışanlarının sızma testi sonuçlarını daha iyi yorumlayabilmelerine katkı sağlamak amacıyla Bilgi Güvenliği AKADEMİSİ tarafından özel bir eğitim içeriği hazırlanmıştır.

BDDK Kapsamlı Sızma Testi Eğitimi, sanallaştırma sistemleri kullanılarak tasarlanmış örnek bir banka sistemini (Bir bankada bulunabilecek -internet bankacılığı dahil- tüm sistemler yer almaktadır) ve bu altyapı üzerinde ilgili genelgede yer alan tüm başlıkları uygulamalı olarak göstermeyi amaçlamaktadır.

Eğitim, Türkiye’de 20 farklı bankaya yönelik gerçekleştirilen sızma testi çalışmalarında aktif rol almış eğitmenler eşliğinde senaryolu ve uygulamalı olarak işlenecektir.

Katılımcılara BGA tarafından bankalara yönelik sızma testlerinde kullanılmak üzere hazırlanmış ve tüm alt maddeleri kapsayan 300 maddelik sızma testi kontrol listesi ücretsiz olarak verilecektir.

Kimler Katılmalı: Banka IT teftiş ekibi çalışanları, bankalarda çalışan güvenlik birimi çalışanları

NOT: İlgili eğitim sadece Türkiye’de hizmet veren banka çalışanlarına yönelik olup farklı kategorideki firmalardan kayıt alınmamaktadır.

Kontenjan: Eğitim kontenjanı 15 kişi ile sınırlıdır. Aynı bankadan en fazla 3 katılımcı kabul edilmektedir.

Eğitim Tarihleri:

8-10 Kasım 2013
13-15 Aralık 2013

Kayıt ve Eğitim Ücreti :[email protected] adresine “BDDK Kapsamlı Sızma Testi Eğitimi” konulu e-posta gönderilmesi yeterli olacaktır.

Eğitmenler: Ozan UÇAR, Huzeyfe ÖNAL

Özet Eğitim İçeriği:

Bilgi Güvenliğinde Sızma Testleri ve Önemi

Genel sızma testi kavramları

Sızma testi çeşitleri

White-box, Black-box, gray-box penetrasyon test cesitleri

Sızma testi adımları ve metodolojileri

Sızma testlerinde kullanılan ticari ve ücretsiz yazılımlar

Sızma testi raporu yazma

Sızma Testlerinde Keşif ve Bilgi Toplama Çalışmaları

Bilgi toplama çeşitleri

Aktif bilgi toplama

Pasif bilgi toplama

Açık kaynaklardan banka çalışan ve müşterilerine ait hassas bilgi toplama

Arama motorlarını kullanarak banka ağı ve çalışanlarına yönelik bilgi toplama

Güncel bilgi ve istihbarat toplama araçlarının sızma testlerinde kullanımı

Örnek senaryo

BDDK Sızma Testi Teknik Kapsam ve Uygulamalar

İletişim Altyapısı ve Aktif Cihazlar Sızma Testi

Ağ ve güvenlik cihazlarına yönelik güvenlik testleri

Tünelleme yöntemleri kullanarak Firewall/IPS atlatma

İçerik filtrelemeler servislerini atlatma denemeleri

Yerel agda kullanılan ağ cihazlarına yönelik parola denemeleri

Yerel ağ güvenlik testleri

DNS Servislerine Yönelik Sızma Testi Çalışmaları

DNS servisi kullanarak bilgi edinme çalışmaları

DNS sunuculara yönelik güvenlik denetimi kontrol listesi

Etki Alanı ve Kullanıcı Bilgisayarları Sızma Testi Çalışmaları

Son kullanıcı bilgisayarı güvenlik testleri

Anti-virüs atlatma testleri

Veri sızdırma denemeleri ve DLP atlatma testleri

Port/protokol kısıtlamalarını aşma

Yetki yükseltme saldırıları

Fiziksel erişim ile yetki yükseltme

E-posta Servisleri Güvenlik Testleri

E-posta servisi üzerinden banka iç ağı hakkında bilgi edinme

Sahte e-posta gönderim denemeleri

Kullanılan Anti-Spam/Virüs sistemlerinin testleri

Veritabanı Sistemlerine Yönelik Sızma Testi Çalışmaları

Veritabanlarına yönelik (Mssql,Oracle,Mysql,Postgresql vb.) sızma testi girişimi

Veritabanı zafiyetleri kullanarak işletim sistemi ele geçirme denemeleri

Veritabanı güvenlik zafiyetlerinin tespit edilmesi

Veritabanı sistemi kullanıcılarına yönelik parola testleri

Web Uygulamalarına Yönelik Sızma Testi Çalışmaları

Web uygulamalarına yönelik güvenlik testleri

OWASP top 10 2013 kontrol listesi denetimi

Otomatize araçlar kullanarak web güvenlik testleri ve avataj/dezavantajları

Web Servislerinin Denetlenmesi

Kablosuz Ağ Sistemlerine Yönelik Sızma Testi Çalışmaları

Gizli ve Açık SSID ile Yayın Yapan Kablosuz Ağların Tespiti

Wep Korumalı Kablosuz Ağlara Yönelik Parola Kırma Saldırıları

WPA Korumalı Kablosuz Ağlara Yönelik Parola Kırma Saldırıları

WPA Enterprise KullananKablosuz Ağlara Yönelik Saldırılar

Sahte Kablosuz Ağ Kurulumu ve Sosyal Mühendislik Saldırıları

Kablosuz Ağların ve/veya Kablosuz Ağ Kullanıcılarının Sinyallerini Kesmek

ATM Sistemleri Sızma Testleri

ATM sistemlerine yönelik sızma testi adımları

ATM sistem yöneticisine ait bilgilerin ağ ortamı/paylasımlardan elde edilmesi

Dağıtık Servis Dışı Bırakma Testleri

DoS/DDoS saldırıları ve amaçları

Güncel olarak gerçekleştirilen DDoS saldırı çeşitleri

Örnek DoS/DDoS saldırısı gerçekleştirme ve doğrulama

Sosyal Mühendislik Testleri

Farklı sosyal mühendislik testi senaryoları

Telefon ve e-posta üzerinden sosyal mühendislik denemesi

Sosyal mühendislik sonrası elde edilen bilgilerin aktif sistemlerde kullanımı

Sosyal mühendislik saldırılarına karşı çözüm önerileri

Örnek Bir Sızma Testi Raporu Yazımı ve İncelemesi

Uygulama Senaryoları

Kısıtlı kullanıcı yetkilerine sahip, bilgisayarı ele geçirilmiş veya kötü niyetli çalışanın yetki yükseltme ve iç ağda erişim elde etme girişimi.
Sosyal Mühendislik saldırıları ile banka çalışanlarının eposta,vpn vb. bilgilerine erişim ve iç ağa sızma girişimleri.
Misafir kullanıcılarının, siber saldırıları ve fiziksel olarak banka sistemlerine erişim senaryoları.
İç ağdaki bir kullanıcının DLP/IPS/Firewall/Antivirus vb. tüm koruma sistemlerini atlatarak veri sızdırması veya uzakdan bir casus yazılımı iç ağa dahil etmesi.
Mobile bankacılık uygulamalarındaki kritik güvenlik açıklıklarının keşfi ve sömürülmesi senaryoları (pratik olarak tecrübe edinmiş uygulamalar yer alacaktır)
Banka alt yapısınını (bankacılık uygulamaları, internet şubesi vb.) devre dışı bırakacak DDOS/Botnet saldırı uygulamaları.
Farklı açıklıklarla, yetkili kullanıcı haklarını ele geçirme ve Domain Admin olma.
Tanınmaz casus yazılımlar oluşturma ve şifreli iletişim kanalları yaratmak.
Banka çalışanlarının kurumsal hiyerarşilerini oluşturmak (Operasyonel ekipler, müdür-personel ilişkisi ve statüler vb.)
ATM sistemlerini ele geçirmek için yapılan saldırılar ve ATM’nin kontrolünü internetten gerçekleştirmek.
Bankacılık ağlarında kullanılan Loglama sistemlerinden kaçış ve atlatma uygulamaları.

The post Bankalara Özel BDDK Kapsamlı Sızma Testi Eğitimi first appeared on Complexity is the enemy of Security.

IstSec ’13 Bilgi Güvenliği Konferansı Aktif Katılım Çağrısı

Huzeyfe ONAL — Sun, 28 Jul 2013 08:20:56 +0000

##İstSEC Bilgi Güvenliği Konferansı ’13 ##
http://www.istsec.org
İstanbul, Türkiye
10 Ekim 2013

#İstSec Hakkında

İstSec (İstanbul Bilgi Güvenliği Konferansı) bilgi/bilişim güvenliği alanında çalışan, bu alana merak duyan ve konusunun uzmanları arasında bilgi paylaşımı yayma amaçlı İstanbul’a özel bir etkinliktir.
İstSec, benzeri güvenlik etkinliklerinden farklı olarak ürün/teknoloji bağımsız, pratiğe yönelik bir etkinlik olma amacı taşımaktadır.

Konferans, kayıt olan herkese açık ve ücretsizdir. http://istsec.eventbrite.com adresinden ön kayıt işlemleri başlamıştır.

#Kimlere Hitap Eder

#Konferansın Ana Konuları

İstSec ‘13 konferansında gerçekleştirilecek sunum ve çalıştaylar aşağıdaki konuları kapsamaktadır.

-Bulut bilişim ve güvenlik
-Zararlı kod analizi ve geliştirme teknikleri
-Saldırı tespit ve engelleme yöntemleri
-DDoS saldırıları ve korunma yöntemleri
-Yazılım güvenliği ve güvenlik yazılım geliştirme süreçleri
-Siber kavramlar(siber savaş, siber ordu, siber tehdit)
-WLAN/EDGE/3G iletişim güvenliği
-Internet takip/izleme sistemleri
-Ipv6 güvenliği
-Sanallaştırma güvenliği
-Bilişim sistemlerinde adli bilişim analizi
-Sızma testleri(pentest) ve yöntemleri
-Exploit geliştirme ve tersine mühendislik yöntemleri
-Web uygulama güvenliği
-Internet ortamında istihbarat toplama yöntemleri
-Türkiye’de siber güvenliğe verilen önem ve siber güvenlik yol haritası
-APT(Advanced Persistent Threat)
-DLP(Data Loss Prevention) sistemleri ve güvenlik zaafiyetleri

#Konferansa Aktif Katılım

Konferansa konuşmacı olarak katılmak isteyenler sunum konularını [email protected] adresine aşağıdaki formatta 10 Eylül 2013 tarihine kadar gönderebilirler.

Ad soyad:
Çalıştığı şirket:
Telefon numarası:
E-posta adresi:
Kısa özgeçmiş:
Konuşma başlığı ve konusu:
Daha önce konuşmacı olarak katıldığı konferanslar:

#NOT:
-Doğrudan bir ürünü, firmayı anlatan sunumlar değerlendirmeye alınmayacaktır.
-Tüm gönderiler İstSec düzenleme ekibi tarafından incelenerek karar verilecektir.

#Sponsorluk

Konferans hakkında daha detaylı bilgi için: http://www.istsec.org adresini ziyaret edebilirsiniz.

İstSec düzenleme kurulu.
[email protected]
www.istsec.org

The post IstSec ’13 Bilgi Güvenliği Konferansı Aktif Katılım Çağrısı first appeared on Complexity is the enemy of Security.