Netsec Güvenlik Bülteni

netsec güvenlik bülteni

Güvenlik kahvesinin bu haftaki konuğu Bilgi Güvenliği AKADEMİSİ’ nden Huzeyfe ÖNAL.

 NGB: Kısaca kendinizden bahsedebilir misiniz?

Huzeyfe ÖNAL: İzmir’in şirin ilçelerinden birinde hayata gözlerimi açıp delikanlılık çağlarıma kadar yine orada yaşadım. Üniversite tercihlerimde çevremdekilerin ısrarla endüstri ve tıp yazdırma isteklerini elimin tersiyle iterek bilgisayar mühendisliğini tercih ettim. Tabi bunda küçüklükten bilgisayara(çalışma mantığı)na olan hayranlığımın etkisi büyüktür. Lise yıllarındaki engellenemez haylazlığım sayesinde sınavdan tam istediğim sonucu alamadım fakat hayalimdeki bölüm olan bilgisayar mühendisliğini kazandım.

Okula başladığımın ilk ayı bilgisayar mühendisliğiyle ilgili hayallerim yıkılmıştı… Sonra Linux öğrenmeye başladım ve hayatımın ilk aşkını keşfetmiş oldum:). Bundan sonrası zaten hızlı aktı, amacım bilgi güvenliği üzerine uzmanlaşmaktı(o zamanlarki moda adıyla internet güvenliği) ve bu konuda Linux sistemler bana çok yardımcı oldu.

İş hayatına atılıp okulu bir kenara bıraktığımda kısa sürede Türkiye’nin en büyük şirketlerinden birinde gerçek ağ ve güvenlik tecrübesi edinme şansı yakaldım. Sonra her faninin bir gün karşılaşacağı gerçekle tanışıp İstanbul’a taşındım ve hala bu şehrin yükünü çekiyorum.

İş harici zamanlarında yine işle uğraşacak kadar çalışmayı seven, klasik konular(futbol, siyaset vs) açıldığında süt dökmüş kedi olan, bilişim (özellikle ağ, güvenlik) konuları açıldığında susturulamayan biriyim.

NGB: Güvenlik işine nasıl bulaştınız?

Huzeyfe ÖNAL: Internet’in çalışma mantığını çok merak ederdim, bu merak beni çok kısa sürede güvenlik konusuna yönlendirdi ve bu konudaki çok az sayıdaki insana nasip olacak şekilde çekirdekten yetişme bir güvenlikci olma şansı verdi.

Hala bu konudan ekmek(pasta) yiyorum:)

NGB: Türkiye’de bilgi güvenliği konusunu değerlendirebilir misiniz?
Huzeyfe ÖNAL: Her ölçekten onlarca kuruma eğitim/danışmanlık işi yapmış biri olarak rahatlıkla söyleyebilirim ki Türkiye’de bilgi güvenliği konusu henüz emekleme aşamasında. Buradan hızla yürümeye başlayabilir ya da ömür boyu bu şekilde sürünebilir. Bu tamamen yeni yetişen nesile bağlı.

Çoğu kurum güvenliği bir iki cihaz alıp bunları yönetmek olarak algılıyor. Oysa bu sadece bir operasyonel işlem! Önünde Excel kullanan bir ofis sekreteri ile güvenlik elemanı arasında yapısal olarak çok fark yok.

Bu konuda itiraz edecek olanlara ofis sekreterini incelemelerini öneririm. Nasıl Excel’in en ince detaylarını öğrenip yaptığı işlem konusunda detay bilgisi yoksa bizim güvenlikcilerin de kullandığı güvenlik araçlarını yönetmenin ötesinde konunun kendisine ait pek bilgileri olmuyor.

Yine bu konuda itirazı olanlara sistemleri gerçek manada bu işten anlayan birilerine test ettirmelerini öneririm. Güvenlik amaçlı kullanılan çoğu Firewall/IPS ve benzeri sistem(güvenlik sadece Firewall/IPS’den oluşmaz ama Türkiye’de bu ikili akla geliyor)
günümüz şartlarındaki saldırılara karşı ciddi manada yetersiz kalmaktadır. Bu yetersizliğin iki sebebinden biri cihazların yöneticilerinin işi iyi bilmemeleridir, diğeri de statik güvenlik sistemlerinin teknolojisinin yetersiz olmasıdır.

Netsec Güvenlik Bülteni

Aslında Türkiye’de bilgi güvenliğini ilerletmenin en hızlı ve kolay yollarından biri bu konuya meraklı (hacker forumlarında zaman geçiren gençler) gençleri hızlı bir eğitim sürecinden geçirip çeşitli konularda çalıştırmak. İnanıyorum ki kısa sürede dünyada güvenlik konusunda sayılı ülkeler arasına girebiliriz.
NGB: Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?
Huzeyfe ÖNAL: Buraya röportaj veren çoğu arkadaşda hakim olan görüş ben de yok. Neydi o görüş? Tekerleği yeniden keşfettirecek yazılımlarla uğraşmak yerine daha yeni şeylerle uğraşma, sektörün gidişatını takip edip yeniliklere imza atma…

Bana göre bu düşünce bir hayalden ibaret. Bugüne kadar kimse tekerleği tekrar keşfetmeden daha iyisini çıkaramamıştır. Hem tekerleği keşfederken amaç sadece tekerlek yapmak değil, onun yapımında kullanılan ek bileşenleri öğrenmek daha da ötesinde tekerlek yapmayı, birşeyler üretmeyi öğrenmek. Biz daha ekip olarak ciddi işleri yapmayı başaramıyoruz:)

Türkiye’de birkaç firma dışında özgün güvenlik yazılımı geliştiren -malesef- yok. Bunun temel sebeplerinden biri de devlet desteğinin eksikliğidir. Bu tip konularda bireysel insiyatifler çok fazla işe yaramaz, mutlaka tepeden ciddi bir desteğin olması gerekir ki sanırım  bu da ciddi bir tecrübeden sonra gelecektir. Diğer bir sebep de getirisis düşük olmasıdır, aynı ürünü yurtdışından çok daha ucuza alıp satabilecekkenhiçbir firma yerli ürüne şans tanımıyor.

Yerli ürünlerin piyasada az yer bulmasının önemli bir sebebi de Türk’e olan eksik güven. Bazı yerlerde tam tersi bir düşünce geçerliyken çoğu yerde sadece adı Türkçe ya da yazarları Türkiye’li diye bazı ürünlere karşı burun kıvırıldığına şahit oldum. Bu düşüncenin oluşmasında yerli ürün geliştiricilerinin de payı var. Bir heves uğruna geliştirilip desteği verilemeyen, alternatif ürünlerle rekabetten uzak bir ürün çıkarıyorsak kimsenin bunu sadece Türkiye’de geliştirildi diye almasını beklememeliyiz.
NGB: Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

Huzeyfe ÖNAL: Çalışmak, çok çalışmak, tekerleği tekrar tekrar keşfetme pahasına rağmen çalışmak…

Çalışırken üretmek, yazmak ve paylaşmak. Her ne kadar ingilizce olarak hemen her tür konuda tonlarca bilgi olsa da ana dilinde yazmak ayrı bir iştir. Türkiye’de en büyük sıkıntılardan biri de bilenlerin bildiklerini paylaşmada üşenmeleri. Evet bilen bir insana bildiği şeyleri yazmak, tekrar etmek  sıkıcı gelecektir ama bu konu ancak bu şekilde ilerler.

Şimdi gözü kapalı güvenlik portallerini saysam bir elin parmaklarını geçmez! Oysa bunların sayısının onlarca olması gerekir. Bu da bizim güvenlik konusunda tüketen bir toplum olduğumuzu gösterir ki sadece tüketme güvenlik kelimesinin anlamına terstir

NGB: Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?

Huzeyfe ÖNAL: Evet böyle bir kuruma acik ihtiyaç var ama bu devlet eliyle değil en fazla desteğiyle olmalı. Bu konuda Türkiye’de çalışan TR-BOME’nin yetersiz kaldığı herkesin malumu ama TR-BOME’nin amacı da zaten tüm Türkiye için siber güvenlik kurumu olmak değil.

Aslında iş burada bu sektörden ekmek yiyenlere düşüyor ama henüz sektörün büyük bir bölümü dışardan cihaz al-sat mantığıyla çalıştığı için elbirliğiyle birşeyler çıkarmaları zor. Söylemek için henüz erken fakat böyle bir çalışmaya başladık. Çok laf söylemek yerine elini taşın altına koyabileceklerle bu işi yürütmeye çalışacağız.

NGB: Bu işe yeni başlayanlara neler önerirsiniz?

Huzeyfe ÖNAL: İlk önereceğim şey TCP/IP ve temel Linux öğrenmeleridir. Sonra diğer öğrendiklerini bu ikili üzerine bina edebilirler. Internette çok fazla zaman kaybetmemek için ne gerekiyorsa yapmak lazım, şimdi anlaşılmaz ama ilerde en değerli varlıklarının zaman olacağını göreceklerdir.

Yine bu konuda lifeoverip.net’de uzunca birşeyler yazmıştım (http://blog.lifeoverip.net/2010/04/13/bilisim-sektorunde-kendimi-nasil-gelistirebilirim/)

NGB: Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?
Huzeyfe ÖNAL: Bugün konuştuklarımızdan farklı şeyler olmayacağını düşünüyorum. Zira dünyanın her yeri interneti aynı zaman diliminde aynı şartlarla kullanmıyor ve bazı şeylerin doğası hiç (insan) değişmiyor.

Bugün hala 6-7 sene öncesinin wormları internette dolanıyorsa bugünkü bazı wormlarda bir 4-5 sene sonra dolanıyor olacak. Ya da on sene önce kullanıcıları kandırarak sistemlerine trojan vs yükleniyordu bugün hala aynı yöntem en geçerli ve tercih edilen yöntemlerden biri. Yapılış şekli değişse de özünde aynı…

Yine temel bilgi eksikliğinden dolayı güvenlik konusu yakında çıkmaza girecek. Hemen her konuda yeni ürün, yeni katman alan güvenlikciler yakın zamanda artık güvenlik sistemlerinin yönetilemez olduğunu anlamaya başlayıp daha basit sistemlere yönelecekler.

Bunların haricinde nerde hareket orda…. misali mobil sistemlere yönelik saldırılar artacak, DOS saldırıları daha fazla yaşanmaya başlayacak ve web güvenliği artık ağ güvenliği gibi bir standarta oturmaya başlayacak. Hacker’lık ciddi bir meslek haline gelecek:)

NGB: Güvenlik sertifikaları konusunda ne düşünüyorsunuz?

Huzeyfe ÖNAL: Günümüz bilişim dünyasında sertifikaların asıl amacı dışına hizmet ettiğini düşünüyorum. Bir sertifika ilgili konuya hakim olduğunuzu belirleyen belgedir, o belgeyi alabilmek için öncelikle o konu hakkında uzmanlık seviyesinde bilgi sahibi olmalısınız. Oysa günümüzde sertifikalar uzmanlıktan sonra degil, doğrudan alınmaya çalışılıyor.

Yani insanlar o konuda kendini geliştirdikten sonra sertifika almıyor, daha çok sertifika almak için kendini geliştirmeye çalışıyor ama geliştirdikleri alan daha çok o sertifikanın özel konuları oluyor.

Sertifikalar kendinizi ifade etmenin en kolay yoludur. Karekterinize göre sertifika alarak kolay yolu seçebilirsiniz ya da zor olan yolu seçerek sertifikadan daha değerli olacak işlere atılabilirsiniz. İkincisi çok daha zordur fakat daha değerlidir.

Ben işe alım konusunda sektör içinde olan birinin sertifikalara çok fazla bakmadığını, sektörden uzak kişilerin sertifika konusuna çok dikkat ettiğine şahit oldum.

Güvenlik konusunda sertifikaların gerçek manada güvenliği öğrenme amaçlı olduğunu düşünemeyiz. Zira güvenlikcilerin işi hackerlara ya da saldırganlara karşı sistemleri korumadır. Ben bugüne kadar hiçbir hackerin, ya da saldırganın bu tip sertifikaları almaya çalıştığına şahit olmadım. Eğer amacınız hackerlara karşı sistemleri korumaksa bunu ancak onların yöntemlerini inceleyerek yapabilirsiniz. Yoksa siz/biz(güvenlikciler) Firewall ile uğraşırken(port aç-kapa) onlar siz/bizden iki üç adım ilerde sofistike saldırıları gerçekleştirmeye uğraşıyor olurlar.

Yaklaşık 6 yıldır eğitmenlik hayatında tanıdığım yüzlerce kişiyi düşünürsem rahatlıkla söyleyebilirim ki sertifikalar temel bilgi ve genel geçer bilgi konusunda malesef birşey veremiyor ve temeli olmayan birine ne kadar çok sertifika aldırırsanız aldırın CV’de güzel görüntünün ötesinde işe yaramıyor.

Yine de sertifikalar  genel konularda çok birşey öğretmese de sertifikanın hedefi olan konularda düzenli bilgi verdiğinden ve kişileri en azından eşik değerinin üzerinde bilgi sahibi olmaya zorlamasından dolayı değer veriyorum.

NGB: Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

Huzeyfe ÖNAL: On yıla yaklaşan sektör tecrübemde en sık karşılaştığım problem “temel bilgi eksikliği”, malesef bunu daha çok sektör çalışanlarında görüyoruz. İmkanım olsa güvenlik sektörü çalışanlarının hepsine TCP/IP temelleri ve güvenliği eğitimi almayı zorunlu kılardım.
Bunun dışında genel olarak en problemli konu her zaman “insan”dır. Her zaman en zayıf halka olarak güvenlik zincirini tehlikeye sokar. Bunu da insanları güvenlik konusunda daha fazla bilinçlendirerek aşabiliriz.

NGB: Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitapların okunmasını tavsiye edersiniz?

Huzeyfe ÖNAL: İşim gereği eş zamanlı birden fazla kitap okumaya çalışıyorum. Bitirmeye çalıştığım son kitaplar:

  • Justin Clarke’in “SQL Injection Attacks and Defense”
  • Real Digital Forensics
  • Nmap Network Scanning

Tekrarını okuduğum diğer bir kitap da “Snort 2.1 Intrusion Detection, Second Edition”.

NGB: Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı?

Huzeyfe ÖNAL: Çeşitli kişileri çeşitli yönlerinden dolayı örnek almışlığım vardır. Bunlar arasında Metasploit yazarı HDM, Nmap yazarı Gordon Lyon, OpenBSD projesi baş geliştiricisi Theo De Raadt, Microsoft’un baş patronu Bill Gates.

NGB: Güvenlik dünyasında en fazla kullandığınız yazılım hangisi?

Huzeyfe ÖNAL: İşim gereği en fazla Hping ve tcpdump kullanıyorum. Bunların yanında Nmap, Metasploit, Snort ve OpenBSD Packet Filter yazılımlarını da gün aşırı kullanıyorum.

NGB: Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?

Huzeyfe ÖNAL:Hemen hergün çeşitli konularda onlarca blogu ziyaret ediyorum. Bunları geçen gün lifeoverip.net’de yazmıştım(http://blog.lifeoverip.net/2010/03/25/takip-ettigim-guvenlik-icerikli-bloglar/).

Yeni başlayanlara önerim fazla bloglarda zaman kaybetmemeleri, daha çok teknik altyapılarını geliştirecek bilgileri okumaları yönünde.
NGB: Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?

Huzeyfe ÖNAL: Hayır, seçmezdim.