Güvenlik Röportajları #25 Emin İslam TATLI

Güvenlik kahvesinin bu haftaki konuğu IBM Almanya Bilgi Güvenliği Danışmanı Dr. Emin İslam TATLI.

NGB:Kısaca kendinizden bahsedebilir misiniz?

1979 İstanbul doğumluyum. Yıldız Teknik Üniversitesi bilgisayar mühendisliği 2001 mezunuyum. Sonrasında yüksek lisans için Almanya’ya geldim. Freiburg üniversitesi’nde yüksek lisans ve Mannheim üniversitesinde doktoramı tamamladıktan sonra IBM Almanya’da bilgi güvenliği danışmanı olarak çalışmaya başladım ve halen bu işime devam ediyorum.

İş ve özel hayatımda uygulama güvenliği ağırlıklı konularla uğraşıyorum. Doktoram esnasında konum-tabanlı (location-based) mobil uygulamalarındaki güvenlik sorunları ve çözümleri üzerine çalıştım. Bu çalışmada başlıca uğraştığım konular servis-yönelimli mimari (SOA) güvenliği, konum mahremiyeti, mobil kimlik yönetimi, kullanıcı anonimliği ve güvenli kod geliştirme olarak sıralanabilir. Şuanki danışmanlık işlerimim de çoğunlukla askeri projelere ve banka projelerine destek veriyorum. Başlıca uğraştığım konular olarak SOA/Web servisleri güvenliği, (federated- birleştirilmiş) kimlik ve yetki yönetimi, güvenli yazılım süreçleri, Java enterprise güvenliği, güvenlik testleri, smart grid güvenliği, sosyal ağlarda mahremiyet, uygulamalı kriptografi gibi konuları sayabilirim. www.architectingsecurity.com altında güvenlik ağırlıklı yazılarımın bulunduğu bir blog tutuyorum. Haziran 2010’da yayın hayatına giren Java Dergisi’nde (www.javadergisi.com) güvenlik üzerine yazılar yazıyorum.

Almanya’nın Mannheim (nam-ı diğer küçük İstanbul) şehrinde ailemle yaşıyorum. Kızımdan geri kalan vakitte güvenlik dışında sporla ilgileniyorum. Boş zamanlarımda futbol ve badminton oynuyorum. Masatenisi tutkum var ve Almanya’da bir klüp bünyesinde masa tenisi oynuyorum.

Son 8 yılımı Almanya’da geçirdim ve bilgi güvenliği konusunu Almanya’da hem üniversite araştırmaları bazında, hem devletin bu işe bakışı ve faaliyetleri açısından hem de medyanın duyarlılığı açısından oldukça iyi seviye de buluyorum. Türkiye’deki güvenlikle ilgili gelişmeleri de uzaktanda olsa takip etmeye çalıştım son yıllarda. Aşağıdaki soruları bu sebeple biraz karşılaştırmalı olarak cevaplamaya çalıştım.

NGB:Güvenlik işine nasıl bulaştınız?

Üniversite yıllarında iken şuanda da güvenlik işiyle ilgilenen bir arkadaşım Türkiye’deki bir servis sağlayıcıda bulduğu hataları uzun uzun anlatırdı, ilginç gelirdi bu konular bana, ilk ilgim o vakit uyandı. Sonra yüksek lisans esnasında bilgi güvenliği üzerine bir ders aldım, dersin laboratuar kısmında kriptografi şifrelerini çözmeye çalışıyorduk ve ilgim iyice arttı ve artık konunun içine daha da girdim, sonunda bu alanda staj, yüksek lisans tezi derken bundan sonraki kariyerime bu yolda devam etmeye karar verdim.

NGB:Türkiye’de bilgi güvenligi konusunu değerlendirebilir misiniz?

Türkiyede’ki özellikle uluslararası büyük ölçekli firmaların oturmuş bir güvenlik yönetim politikaları olduğunu düşünüyorum. Orta ve ufak ölçekli şirketlerde ise benim gözlemlediğim çoğunlukla ürün temeline dayanan bir yaklaşım var. ” X ürününü alalım ve güvenli olalım ” tarzında. Bilindiği üzere güvenlik bir süreçtir ve her firmanın bir güvenlik yönetim politikası olmalıdır, ancak bu süreç takip edilirse sonuca ulaşılabilir. Devlet kanadında da son yıllarda gelişmeler olduğunu gözlemliyorum. Türkiye’de ki üniversitelerde ise yeterince araştırma ve geliştirme projesi yapıl(a)madığını, mezunların bilgi güvenliği konusunda çok donanımlı olamadıklarını düşünüyorum.

Almanya için konuşacak olursam bilgi güvenliği özellikle üniversitelerde, araştırma enstitülerinde, askeriyede, büyük ve orta ölçekli firmalarda ve medyada çok önemseniyor. Örneğin üniversitelerde bilgi güvenliği ile ilgilenen onlarca üniversite kürsüsü ve araştırma projeleri halihazırda mevcut. Üniversite-Endüstri iletişimi çok iyi olduğundan bu araştırmalar çoğu zaman kağıt üzerinde kalmayıp ya bir yeni bir firmanın kurulması olarak, ya yeni bir ürün olarak, ya bilgi güvenliği farkındalığını artırıcı bir döküman olarak vs. hayatımıza giriyorlar. Televizyon medyasında da sürekli bilgi güvenliği konusunda gerçek hayatta yaşanmış güvenlik saldırılarını canlandıran programlar yayınlanıyor ve bu sayede bu konu halkın gündeminde canlı tutuluyor.  Tıkladığı bir link yüzünden bir kimsenin uğradığı olta (phishing) saldırısının sonuçlarını gören kişi kendi hayatında bilmediği bir linke tıklarken artık iki kere düşünüyor. Alman askeriyesi de 2007-2015 yılları arasında sürecek olan Herkules projesi (http://bit.ly/cH6OXm) kapsamında bütün IT ve bilgi güvenliği alt yapısını şuanda yenilemektedir.

NGB:Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?

Tabiki Türkiye’de güvenlik yazılımlarının geliştirilmesi de desktelenmesi gereken bir konu. Üniversiteler bu konuda çok temel bir işlev görebilir, görmelidir. Almanya’da yürütülen yüksek lisans tezlerinin sonucunda elde edilen sonuçların, uygulamaların kurulan bir firma bünyesinde geliştirilmesine devam edildiği birçok örneklere şahit oldum. Kurulacak olan bu küçük ölçekli firmalara belirli bir süre devlet desteği de çok önemlidir.

NGB:Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

Benim gözlemlediğim özellikle üniversitelerde gerçekleştirilen çalışmalar çok kısıtlı. Sadece bilgi güvenliği üzerine yoğunlaşan çok fazla kürsümüz yok diye biliyorum. Almanya’da bilgi güvenliğinin ondan fazla alt dalı  (örneğin kriptografi, anonimlik, mahremiyet, mobil güvenlik, yazılım güvenliği gibi) üzerinde yoğunlaşmış kürsüler ve bu kürsülerin yürüttüğü bir çok Avrupa birliği ya da Alman araştırma enstitüsü (DFG- www.dfg.de/en/index.jsp) tarafından desteklenen projeler var. Bizim de üniversitelerimizde yapılan çalışmalar artmalı, lisans/yüksek lisans/doktora çalışmalarının sonuçları endüstriye firma olarak, ürün olarak geçiş sağlayabilmeli ve bu süreçte devlet desteği sağlanmalıdır.

Bilgi güvenliğinin üniversitelerde nasıl öğretilmesi gerektiği tartışılan bir konu. Bu işi saldırı metodları bizzat çalışarak yapılmalı diyenler olduğu gibi ağırlığı korunma yöntemlerine vermeyi tercih edenler de var. Almanya’da bir arkadaşım doktorasını ‘Bilgi güvenliği üniversiteler’de nasıl öğretilmeli’ konusu başlığı altında yaptı ve bu çalışmasında elde ettiği istatiksel sonuçlarda ofansif metod ağırlıklı eğitim alanların bilgi güvenliği konusunda daha donanımlı olduğunu ortaya koyuyordu. Ben de buna paralel düşünüyorum ve üniversitelerimizdeki derslerde saldırı teknikleri öğretilmelisini, laboratuar ortamında CFG (capture-the-flag) yarışmaları düzenlenmelisini ve üniversitelerin öğrencilerden ve asistanlardan oluşan CFG takımları oluşturmalarını ve bu takımların uluslararası yarışmalara katılmasını destekliyorum.

İşin medya ayağında da özellikle televizyon medyası konunun önemine binaen vatandaşların bilinçlenmesi için programlar yapmalılar ve gerçek hayattaki bilgi güvenliği saldırılarından kesitler sunmalılar.

NGB:Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?

İsrail ile son yaşadığımız olayı dikkate alırsak artık ülkeler arası savaşların siber ortama taşındığına hepimiz şahit olduk. Dolayısı ile siber güvenlik birimine acilen ihtiyacımız var. TR-CERT’in çalışmalarını çok yakından takip edemedim. Umarım bu ihtiyacı giderebilecek bir kurumdur.

NGB:Bu işe yeni baslayanlara neler önerirsiniz?

Açık kaynak kod kültürünü edinmelerini çok tavsiye ederim. Açık kaynak projelerini takip etmeliler ve de mümkün olursa aktif olarak katkıda bulunmalılar. Linux dünyasıyla yakınlaşmalı ve Linux hayatlarının bir parçası olmalıdır.

Bilgi güvenliği çok geniş bir alan. Bütün bu konularda genel bir fikir sahibi olmak önemli ancak aynı zamanda uzmanlaşılacak bir alanda belirlenmeli. Ve hangi alanda uzmanlışılırsa uzmanlaşılsın ilgili konuya saldırgan gözü ile bakabilmeliler ve penetrasyon test konusunda bilgi sahibi olmalılar.

Bilgi güvenliğinin sırf teknik yönü ile yetinilmemeliler ve bu işin psikolojik, sosyolojik, ekonomik ve de hukuki yönleri üzerine düşünülmeli, kafa yorulmalılar.

NGB:Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?

Konum tabanlı mobil servisler (location-based mobile services) ve akıllı elektrik şebekesi (smart grid) hayatımıza daha fazla girecekler. Akıllı şebekeler Almanya’da hukuki olarak 2010 yılında zorunlu hale geldiler. Yeni yapılan bütün binalarda akıllı sayaç kurma zorunluluğu getirildi. Bu bahsettiğim servislere özel yeni problemler ön plana çıkacak. Konum mahremiyeti (location privacy), mobil güvenli ödeme sistemleri, akıllı elektrik sayaçlarının kimlik ve yetki denetimi, akıllı sayaçların işlediği verilere sayısal imzaların eklenmesi ve bunların denetlenmesi gibi.

Aynı şekilde firmaların güvenli yazılım geliştirme süreçlerini de daha dikkate alacaklarını, varolan birtakım çalışmaları (OpenSAMM, BSIMM) kendi koşullarına göre düzenleyeceklerini ve bu işe daha fazla kaynak ayıracaklarını düşünüyorum.

NGB:Güvenlik sertifikaları konusuna ne düşünüyorsunuz?

Sertifika alma süreci amaç olmayıp araç olduğu sürece bence faydalıdır. Amaç kişinin kendisi geliştirmesidir, sertifika buna vesile oluyorsa ne güzel. Ancak sertifika olmazsa olmaz değildir. Hiç bir sertifikası olmayıp alanında uzman benim tanıdığım çok kimseler bulunmaktadır. Bir de herkes X sertifikasını alıyor diye bu sertifikayı almaktansa kendi amacıma en uygun sertifika alma sürecine girmeyi tercih etmeliyim.

NGB:Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

Yakın zamanda yaşadığım bir tecrübemi paylaşabilirim. Bir müşterimizin talebi üzerine ilgili firmanın bilgi güvenliği farkındalığını artırma çalışmaları kapsamında firma çalışanlarına olta testi (phishing test) uyguladık. Sonuç benim için şaşırtıcıydı. Geneli üniversite mezunu olan bu firma çalışanlarının %70’i bu saldırının farkına varamadılar. Halkanın en zayıf parçası insan olduğunu tekrar görmüş oldum.

NGB:Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitalpların okunmasını tavsiye edersiniz?

Son okuduğum kitap IBM Redbook kütüphanesinden “Understanding SOA Security Design and Implementation”. SOA mimarilerinin anlatıldığı, güvenlik problemlerinin çözümleriyle birlikte işlendiği bir kitap. Üründen bağımsız olarak mimari açıdan bir yaklaşım gösterdiği için tavsiye edebileceğim bir kitap. Kitap şu linkten ücretsiz indirilebilir: http://www.redbooks.ibm.com/redbooks/pdfs/sg247310.pdf

Diğer ilk aklıma gelen kitaplar olarakta Secret and Lies (Schneier), Security Engineering (Ross Anderson), Hacking Exposed serisi, 19 deadly sins of software security verebilirim.

Burada bir ek parantez açmak istiyorum. “Okunacak çoook kitap var ama vakit kısıtlı” sorunu sanırım çoğumuzun derdi. Bunun için özet hizmeti veren sitelerden (ör. www.getabstract.com) ve/veya diijo gibi web2.0 tabanlı uygulamalardan faydalanarak hem okunacak doğru kitapları bulmaya hem de bir kitabın tamamını okumadan başkalarının özetlerini okuyarak kitaplardan yararlanma yoluna gidilebilir.

Günümüzde kitaplar kadar blog takibi de çok önem kazandı, ilgili bloglar mutaka günlük takip edilmeli.

NGB:Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı

Çalışmalarını çok takdir ettiğim, imrendiğim kimseler/kurumlar var. OWASP bunlardan birincisi. OWASP açık kaynak kod felsefesini takip eden bir kurum. Birçok büyük firmanın kaynak ayırmayıp /ayıramayıp ilgilen(e)medikleri konuları proje haline getirebilmiş bir organizasyon. Gerçekten takdir ediyorum!

Bruce Schneier işin teknik yönünü çok iyi bilen biriki Applied Cryptography gibi bir ansiklobedik kitap yazabiliyor ve kriptografi dünyasına aktüel olarak katkıda bulunuyor (sha3/skein). Bunun yanında güvenlik konusuna yukarıdan bakıp işin psikolojik, sosyolojik, ekonomik ve hukuki boyutlarını anlamaya/anlatmaya çabalayan birisi.

Son olarakta kriptografi dünyasına aktif olarak katkıda bulunan Prof. Çetin Kaya Koç hocamızın adını ekleyeyim.

NGB:Güvenlik dünyasında en fazla kullandığınız yazılım hangi?

Güvenlik testleri için IBM AppScan Standart (black-box test) ve Developer (white-box test) sürümlerini sık kullanıyorum. Başka uygulamaları da sayacak olursam soapui, metasploit, nessus, nikto, gooscan ve bazı Firefox eklentileri LiveHTTPHeaders, Tamper Data, pwgen, WOT gibi.

NGB:Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?

Daha önce bu sütunda sıralanan sitelerin dışında belki şu linkler ilgi çekebilir:

–          Almanya’da bilgi güvenliği uzmanlarının ilk uğrak adresi (almanca bilenlere): http://www.heise.de/security/

–          IBM ISS Blog: http://blogs.iss.net

–          Kim Cameron – Identity Blog: http://www.identityblog.com

–          RedTeam Blog: http://blogs.23.nu/RedTeam/

–          SmartGrid Security: http://smartgridsecurity.blogspot.com

Hakin9 online dergisi: http://hakin9.org ve Insecure online dergisi: www.net-security.org/insecuremag.php

NGB:Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?

Evet, mesleğimi çok seviyorum, teknik yönünün yanında insanı ilgilendiren sosyal yönlerinin olması bana çok cazip geliyor.

This entry was posted in Misc, Röportajlar and tagged , , , . Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

4 + sixteen =