IstSEC Bilgi Güvenliği Konferansı ’14 Aktif Katılım Çağrısı

##İstSEC Bilgi Güvenliği Konferansı ’14 ##
http://www.istsec.org
İstanbul, Türkiye
15 Ekim 2014

#İstSec  Hakkında

İstSec (İstanbul Bilgi Güvenliği Konferansı) bilgi/bilişim güvenliği alanında çalışan, bu alana merak duyan ve konusunun uzmanları arasında bilgi paylaşımı yayma amaçlı İstanbul’a özel bir etkinliktir. İstSec, benzeri güvenlik etkinliklerinden farklı  olarak ürün/teknoloji bağımsız, pratiğe yönelik bir etkinlik olma amacı taşımaktadır.

Konferans, kayıt olan herkese açık ve ücretsizdir. http://istsec.eventbrite.com adresinden ön kayıt işlemleri başlamıştır. Continue reading

Posted in Activity | Tagged | Leave a comment

Linux AKADEMİ – Açık Kod Ağ ve Güvenlik Sistemleri Eğitim ve Danışmanlık

linux_akademiLinux AKADEMİ, 2013 yılında Türkiye’deki kamu kurumları ve özel şirketlere Linux ve açık kaynak kodlu ağ, sistem ve güvenlik çözümleri ve eğitimleri sunmak üzere kurulmuştur. Temel amacı kurumların ihtiyaç duyduğu ağ ve güvenlik çözümlerinin daha esnek ve ucuz maliyetle kotarılması ve siber  güvenliğinin ön  planda olduğu ağ altyapılarında açık kaynak sistemlerin efektif kullanımının sağlanmasıdır.

 Linux AKADEMİ’nin başlıca faaliyet alanlarını, Snort/Suricata IPS, pfSense bütünleşik güvenlik duvarı, OSSEC, ModSecurity, Zimbra, Nagios, Zabbix gibi alanında stabil çalışır açık kaynak çözümlerin kurulumu, yönetimi, desteği  ve Linux eğitimleri oluşturmaktadır.

Linux eğitimleri ve verilen hizmetler konusunda detay bilgi www.linuxakademi.com.tr sayfasından erişilebilir.

Posted in Misc | Leave a comment

5651 Sayılı Kanun, Youtube/Twitter, DNS Engellemeleri ve Gündem Soruları

AjansHaber sitesi icin seçimler öncesi yasaklanan çeşitli siteler ve DNS engellemeleri(+hijacking) konuları üzerine soru cevaplar…
AH:Twitter’da şu an son durum nedir, halen engellemeler devam ediyor mu?
Twitter’a erişimlerin engellenmesi için değişik yöntemler deneniyor aktif olarak Twitter Türkiye’den normal internet erişimi ile ulaşılamıyor. Twitter ile bakanlık arasında görüşmelerin devam ettiği ve Twitter’in bazı konularda geri adım atacağı beklentisi içindeyiz.
Posted in Misc | 2 Comments

Huzeyfe Önal ile Linux Üzerine Bir Röportaj

Gectigimiz haftalarda SistemLinux.org sitesinin yapmis oldugu Linux röportajı…
Soru 1: Linux’e ilk olarak ne zaman başladınız? Başlangıç hikayenizden bahsedebilir misiniz?
Cevap: Tam hatırlamıyorum ama 2000 yılının Ekim aylarıyı, üniversiteye yeni başlamıştım ve laboratuvarda bir makine üzerinde Dokunmayın – Linux yazıyordu. Dokunmadım ama merak ettim ve başladım. İlk sistemimi kurup ayağa kaldırmam yaklaşık 6 ayıma maloldu. Derginin birinin verdiği bozuk CD’i kurmak için haftalarca uğraştım, o zamanlar bu kadar kaynak olmadığı için yaşadığım sürecin normal olduğunu düşünüp Kolay mı, Linux bu, olacak o kadar zor diye kendimi teselli ediyordum.
Posted in Activity | Leave a comment

Siber Dünyada İzleme Yöntemleri ve Bireysel Mahremiyet

Son yılların en moda söylemlerinden biri “dinleniyoruz, izleniyoruz” söylemidir. Bu söylem kısmi olarak doğruluk payı içerse de genellikle teknolojiye uzak gazeteciler, kişiler tarafından dönem dönem dillendirilmektedir.

Dinleme, izleme olaylarının bu kadar gündemi meşgul etmesi aynı zamanda bu işin sınıfsal bir ayrıma neden olduğunu da göstermektedir. Kişilerin kendilerini önemli hissetmesinde birileri tarafından dinleniyor olmasının önemli payı  olduğu ortaya çıkmaktadır. Dinleniyorsan önemli birisindir!

Continue reading

Posted in Activity | 3 Comments

Siber Güvenlik Röportajlarım-2

Zaman zaman çeşitli gazete/dergiler Siber güvenlik, siber tehditler konusunda görüşlerimi almak için sorular gönderiyor. Çoğuna zaman ayırıp cevaplamaya çalışıyorum fakat nerede ne zaman yayınlandığı konusunda bilgim olmuyor. Bundan sonra verdiğim röportajları belli bir süre geçtikten sonra buradan da paylaşacağım.

Aksiyon Dergisi röportajı:

Posted in Activity, Misc | Leave a comment

Siber Güvenlik Röportajlarım – I

Zaman zaman çeşitli gazete/dergiler Siber güvenlik, siber tehditler konusunda görüşlerimi almak için sorular gönderiyor. Çoğuna zaman ayırıp cevaplamaya çalışıyorum fakat nerede ne zaman yayınlandığı konusunda bilgim olmuyor. Bundan sonra verdiğim röportajları belli bir süre geçtikten sonra buradan da paylaşacağım.

Hazar Strateji Enstitüsünün yayın organı Caspian Tv adına verdiğim mini röportaj:

Posted in Activity, Misc | Leave a comment

BGA Kış Dönemi Bilişim Güvenliği Staj Programı

Bilgi güvenliği AKADEMİSİ, 21. yüzyılın en önemli mesleklerinden biri olarak görülen Siber Güvenlik konusunda kendini yetiştirmek, kariyerini siber güvenlik konusunda ilerletmek isteyen üniversite öğrencilerini BGA Kış Dönemi Staj Programına davet ediyor.

Posted in Activity, Misc | Leave a comment

Başarısızlıkla Sonuçlanan Ofis Kiralama Macerası

Aşağıda yazılı olaylar son bir hafta içinde gerçekleşmiş olup insanın bir şeyi ne kadar istese de nasibi değilse ona ulaşamayacağını göstermesi açısından önemlidir.

—Her şey BGA’nın  genişleyen ekibimize daha rahat ve şık bir ortamda çalışma imkanı sunmak için yeni ofis aramaya niyetiyle başladı.

I. Olay Continue reading

Posted in Misc | 3 Comments

Bankalara Özel BDDK Kapsamlı Sızma Testi Eğitimi

Eğitim Tanımı:Bankacılık Düzenleme ve Denetleme Kurulu tarafından bilgi sistemlerine yönelik olarak siber ortamda gerçekleştirilebilecek saldırı türlerinin de hızlı bir değişim ve gelişim göstermesi nedeniyle 27.01.2011 tarih ve 4022 sayılı BDDK Kararı ile Tebliğ’in söz konusu 7 nci maddesinin üçüncü fıkrasının (ç) bendinde yer alan hüküm ile sızma testlerinin düzenli aralıklarla yapılması zorunlu kılınmıştır. Genelgede yer alan sızma testi çalışmalarının sonuçlarının kontrolü teftiş ekiplerine yüklenmiştir.

Bu bağlamda teftiş ekiplerinin sızma testi sonuçlarını kontrol edebilmesi  ve banka çalışanlarının sızma testi sonuçlarını daha iyi yorumlayabilmelerine katkı sağlamak amacıyla Bilgi Güvenliği AKADEMİSİ tarafından özel bir eğitim içeriği hazırlanmıştır.

 BDDK Kapsamlı Sızma Testi Eğitimi,  sanallaştırma sistemleri kullanılarak tasarlanmış örnek bir banka sistemini (Bir bankada bulunabilecek -internet bankacılığı dahil- tüm sistemler yer almaktadır) ve bu altyapı üzerinde ilgili genelgede yer alan tüm başlıkları uygulamalı olarak göstermeyi amaçlamaktadır.

Eğitim, Türkiye’de 20 farklı bankaya yönelik gerçekleştirilen sızma testi çalışmalarında aktif rol almış eğitmenler eşliğinde senaryolu ve uygulamalı olarak işlenecektir.

Katılımcılara BGA tarafından bankalara yönelik sızma testlerinde kullanılmak üzere hazırlanmış ve tüm alt maddeleri kapsayan 300 maddelik sızma testi kontrol listesi ücretsiz olarak verilecektir.

Kimler Katılmalı: Banka IT teftiş ekibi çalışanları, bankalarda çalışan güvenlik birimi çalışanları

NOT: İlgili eğitim sadece  Türkiye’de hizmet veren banka  çalışanlarına yönelik olup farklı kategorideki firmalardan kayıt alınmamaktadır.

Kontenjan: Eğitim kontenjanı 15 kişi ile sınırlıdır. Aynı bankadan en fazla 3 katılımcı kabul edilmektedir.

 

Eğitim Tarihleri:

  • 8-10 Kasım 2013

  • 13-15 Aralık 2013

Kayıt ve Eğitim Ücreti :[email protected] adresine “BDDK Kapsamlı Sızma Testi Eğitimi” konulu e-posta gönderilmesi yeterli olacaktır.

Eğitmenler: Ozan UÇAR, Huzeyfe ÖNAL

Özet Eğitim İçeriği:

 Bilgi Güvenliğinde Sızma Testleri ve Önemi

Genel sızma testi kavramları

Sızma testi çeşitleri

White-box, Black-box, gray-box penetrasyon test cesitleri

Sızma testi adımları ve metodolojileri

Sızma testlerinde kullanılan ticari ve ücretsiz yazılımlar

Sızma testi raporu yazma

 

Sızma Testlerinde Keşif ve Bilgi Toplama Çalışmaları

Bilgi toplama çeşitleri

Aktif bilgi toplama

Pasif bilgi toplama

Açık kaynaklardan banka çalışan ve müşterilerine ait hassas bilgi toplama

Arama motorlarını kullanarak banka ağı ve çalışanlarına yönelik bilgi toplama

Güncel bilgi ve istihbarat toplama araçlarının sızma testlerinde kullanımı

Örnek senaryo

BDDK Sızma Testi Teknik Kapsam ve Uygulamalar

İletişim Altyapısı ve Aktif Cihazlar Sızma Testi

Ağ ve güvenlik cihazlarına yönelik güvenlik testleri

Tünelleme yöntemleri kullanarak Firewall/IPS atlatma

İçerik filtrelemeler servislerini atlatma denemeleri

Yerel agda kullanılan ağ cihazlarına yönelik parola denemeleri

Yerel ağ güvenlik testleri

 

DNS Servislerine Yönelik Sızma Testi Çalışmaları

DNS servisi kullanarak bilgi edinme çalışmaları

DNS sunuculara yönelik güvenlik denetimi kontrol listesi

Etki Alanı ve Kullanıcı Bilgisayarları Sızma Testi Çalışmaları

Son kullanıcı bilgisayarı güvenlik testleri

Anti-virüs atlatma testleri

Veri sızdırma denemeleri ve DLP atlatma testleri

Port/protokol kısıtlamalarını aşma

Yetki yükseltme saldırıları

Fiziksel erişim ile yetki yükseltme

E-posta Servisleri Güvenlik Testleri

E-posta servisi üzerinden banka iç ağı hakkında bilgi edinme

Sahte e-posta gönderim denemeleri

Kullanılan Anti-Spam/Virüs sistemlerinin testleri

 

Veritabanı Sistemlerine Yönelik Sızma Testi Çalışmaları

Veritabanlarına yönelik (Mssql,Oracle,Mysql,Postgresql vb.) sızma testi girişimi

Veritabanı zafiyetleri kullanarak işletim sistemi ele geçirme denemeleri

Veritabanı güvenlik zafiyetlerinin tespit edilmesi

Veritabanı sistemi kullanıcılarına yönelik parola testleri

 

Web Uygulamalarına Yönelik Sızma Testi Çalışmaları

Web uygulamalarına yönelik güvenlik testleri

OWASP top 10 2013 kontrol listesi denetimi

Otomatize araçlar kullanarak web güvenlik testleri ve avataj/dezavantajları

Web Servislerinin Denetlenmesi

 

Kablosuz Ağ Sistemlerine Yönelik Sızma Testi Çalışmaları

Gizli ve Açık SSID ile Yayın Yapan Kablosuz Ağların Tespiti

Wep Korumalı Kablosuz Ağlara Yönelik  Parola Kırma Saldırıları

WPA Korumalı Kablosuz Ağlara Yönelik Parola Kırma Saldırıları

WPA Enterprise KullananKablosuz Ağlara Yönelik Saldırılar

Sahte Kablosuz Ağ Kurulumu ve Sosyal Mühendislik Saldırıları

Kablosuz Ağların ve/veya Kablosuz Ağ Kullanıcılarının Sinyallerini Kesmek

 

ATM Sistemleri Sızma Testleri

ATM sistemlerine yönelik sızma testi adımları

ATM sistem yöneticisine ait bilgilerin ağ ortamı/paylasımlardan elde edilmesi

 

Dağıtık Servis Dışı Bırakma Testleri

DoS/DDoS saldırıları ve amaçları

Güncel olarak gerçekleştirilen DDoS saldırı çeşitleri

Örnek DoS/DDoS saldırısı gerçekleştirme ve doğrulama

 

Sosyal Mühendislik Testleri

Farklı sosyal mühendislik testi senaryoları

Telefon ve e-posta üzerinden sosyal mühendislik denemesi

Sosyal mühendislik sonrası elde edilen bilgilerin aktif sistemlerde kullanımı

Sosyal mühendislik saldırılarına karşı çözüm önerileri

Örnek Bir Sızma Testi Raporu Yazımı ve İncelemesi

Uygulama Senaryoları

  1. Kısıtlı kullanıcı yetkilerine sahip, bilgisayarı ele geçirilmiş veya kötü niyetli çalışanın yetki yükseltme ve iç ağda erişim elde etme girişimi.

  2. Sosyal Mühendislik saldırıları ile banka çalışanlarının eposta,vpn vb. bilgilerine erişim ve iç ağa sızma girişimleri.

  3. Misafir kullanıcılarının, siber saldırıları ve fiziksel olarak banka sistemlerine erişim senaryoları.

  4. İç ağdaki bir kullanıcının DLP/IPS/Firewall/Antivirus vb. tüm koruma sistemlerini atlatarak veri sızdırması veya uzakdan bir casus yazılımı iç ağa dahil etmesi.

  5. Mobile bankacılık uygulamalarındaki kritik güvenlik açıklıklarının keşfi ve sömürülmesi senaryoları (pratik olarak tecrübe edinmiş uygulamalar yer alacaktır)

  6. Banka alt yapısınını (bankacılık uygulamaları, internet şubesi vb.)  devre dışı bırakacak DDOS/Botnet saldırı uygulamaları.

  7. Farklı açıklıklarla, yetkili kullanıcı haklarını ele geçirme ve Domain Admin olma.

  8. Tanınmaz casus yazılımlar oluşturma ve şifreli iletişim kanalları yaratmak.

  9. Banka çalışanlarının kurumsal hiyerarşilerini oluşturmak (Operasyonel ekipler, müdür-personel ilişkisi ve statüler vb.)

  10. ATM sistemlerini ele geçirmek için yapılan saldırılar ve ATM’nin kontrolünü internetten gerçekleştirmek.

  11. Bankacılık ağlarında kullanılan Loglama sistemlerinden kaçış ve atlatma uygulamaları.
Posted in Activity | Leave a comment