Dayıoğlu Günlüğü

Epeylerdir hiç bir yerde yazmıyorum, “hayatta mısın?” mesajlarının sayısı arttı. Bir süredir yazmadığımın farkındaydım ama az önce baktım, 19 Şubat’tan bu yana ne bloguma ne Friendfeed’e hiç bir şey yazmamışım. Hakikaten epey olmuş, ben iki hafta ancak olmuştur diye tahmin ediyordum.

Yaşıyorum, kanlı canlıyım ve hayat telaşesine hiç ara vermeden devam ediyorum. Umut iki yaşına girdi, Bülent’in de doğum gününe bir haftadan az kaldı. Berna da fena sayılmaz.

İş konusunda da tam gaz devam. Sentrigo‘yu Türkiye’de temsil etmeye başladık; 1-2 enteresan yeni konu ve firma da yolda. Geçtiğimiz pazartesi günü Bankalararası Kart Merkezi’nin düzenlediği bir etkinlikte PCI ve ISO-27001′in benzerlikleri, farklılıkları ve bir arada uygulanmaları konusunda, perşembe ise IBM’in düzenlediği bir etkinlikte web servislerinin güvenliği ile ilgili sunumlar yaptım.

Daha sonra yine yazarım. Özlemişim yazmayı…

2007 yılından bu yana birlikte çalıştığımız Fortify Software firmasının yazılım testi çözümleri Gartner‘ın statik analiz ile ilgili ilk raporunda hem teknolojik üstünlüğü hem de ticari başarısı itibarı ile açık ara pazar lideri olarak gösterildi.

Türkiye’de konunun pazarı dahi yokken başladığımız Fortify işbirliğimiz de zaman içerisinde olgunlaştı. Çok sayıda mutlu Fortify kullanıcımız ile Türkiye’de de yazılımların güvenli, kaliteli ve sağlam olmasına katkı sağlamaya devam ediyoruz. Bizden kaynak kod inceleme hizmeti alan kuruluşların genel memnuniyet düzeyleri bizim beklentilerimizi bile aştı.

2009′da farklı konuların “Fortify”larını Türkiye’ye getirmeye devam edeceğiz; bekleyiniz…

Test firması MuDynamics‘in pcapr sitesini daha önce görmediğime üzüldüm. Sitede bugün itibarı ile 1.333 farklı pcap formatlı paket kaydı yer alıyor. Ağ trafik örneklerine gereksinim duyan bir işiniz varsa pcapr çok işinize yarayabilir.

Site yalnızca farklı ağ trafiği örneklerini barındırdığı için değil bu trafiği oluşturan paketleri değiştirebilmenize imkan verdiği için de ilginç ve önemli. Sadece bir web tarayıcısı kullanarak paketlerin sırasını ve içeriğini değiştirebiliyor, paketleri birleştirebiliyor ve sonuç pcap’ini çekip kullanabiliyorsunuz. Bayıldım…

ISECOM‘un Açık Kaynaklı Güvenlik Testi Metodolojisi (Open Source Security Testing Methodology)’si güvenlik uzmanlarının sıkça başvurduğu önemli bir teknik denetim metodolojisidir.

Bu metodolojinin denetim çalışmalarında uygulanması ve etik hacker’lık ile ilgili iddialı bir eğitim ve sertifikasyon programı olan OPST’yi (OSSTM Professional Security Tester) Türkiye’de ilk defa 6-10 Nisan arasında İstanbul’a getiriyoruz. ISECOM’un Eğitim Takvimi‘ne girdi bile.

Beş gün sürecek ağırlıklı uygulamalı bu eğitimin ardından OPST sertifika sınavı da düzenlenecek ve sınavı başarı ile tamamlayanlar OPST sertifikalarını da ISECOM’dan alabilecekler. Eğitimi ISECOM’un Avrupa’daki en beğenilen eğitmeni olan Fabrizio Sensibile verecek.

Eğitim programı ile ilgili bilgi almak isteyenler benimle temasa geçebilirler. Güvenlik denetimi ve penetrasyon testi teknikleri ile ilgilenenlerin katılımını bekliyoruz.

PCI Veri Güvenliği Standardı‘nın (PCI-DSS) ödeme kartları ile işlem yapan tüm üye işyerlerinin ve alıcı bankaların uymaları gereken zorunlu bir standart olduğunu bildiğinizi düşünüyorum. PCI Veri Güvenliği Standardı’nın 1.2 sürümlü standardı yayınlandıktan kısa bir süre sonra hızlı referans kılavuzu da yenilenmişti. Biraz gecikmiş de olsa kılavuzu sizlere de önermek istedim. Hem çok yalın hem de çok iyi görselleştirilmiş, rahat okunuyor ve izleniyor.

Terbiyesiz reklam: PCI uyum hizmetleri konusunda Trustwave ile çalışmayı sürdürüyoruz. PCI uyumluluğu konusunda danışmanlık, denetim ve eğitim hizmetleri ile ilgilenenlere anımsatırım.

Geçtiğimiz hafta ODTÜ’nin Bilkent girişindeki kavşakta çektim bu fotoğrafı. Hem geç, hem kal diyor. Kavşak o kadar yoğun çalışan bir kavşak ki hata ile yeşili görüp devam etmeye kalksanız büyük bir kazaya sebep olmanız işten bile değil. Anlaşılan trafik ışıklarını yöneten yazılım yeterince dikkatli test edilmemiş.

Daha önce 2009′un İlk Kitapları olarak aldığımdan söz ettiğim Guy Kawasaki‘nin The Art of The Start‘ını okumayı geçtiğimiz pazar okumayı tamamladım ama yol hazırlığı telaşından yazamamıştım. Uzun zamandır okuduğum en temiz (kısa, net ve yalın) iş kitabıydı. Keşke bu kitabı 2004′te yayınlandığında okuyup gereğini yapabilseymişim.

Kitabı okurken her 30-40 sayfada bir bunu yapmayın, yaparsanız kötü olur, sonrasında da şunu yapmak zorunda kalırsınız cümlelerini acı acı gülümseyerek okudum. Kitapta resmen kendimi buldum. O kadar çok hatamı net şekilde tariflenir gördüm ki çok ama çok hayıflandım. Keşke daha erken okusaymışım da deneme-yanılmayla öğrenmek zorunda kalmasaymışım. Alınız, okuyunuz, okumadan şirket kurmayınız.

Geçtiğimiz pazar gününden bu yana bir güvenlik denetimi projesi için evimden uzaklardaydım; dün akşam geç saatte şiddetli griple ve yorgun argın geldim. Eve dönmek güzeldi ama baba olmanın güzelliği ile birleştiğinde tarifsizdi.

Döner dönmez Bülent (büyük oğlum) aldığımız oyunlar için (teşekkürler Kubilay, hayatımı kurtardın) beni PlayStation başına oturttu. Uzun süre direksiyon da salladıktan sonra gözlerim kapanarak oyun oynadım; yine de onun bana gol attıkça sevinçle çığlık atması görülmeye değerdi. Daha keyiflisi Umut’un (küçük oğlum) biz oyun oynarken durmadan yanağımdan makas alıp öpücükler kondurmasıydı. Baba olmak kolay değil ama onların bu ilgisi de eşsiz…

TÜBİTAK BT Sektörü İçin Bir Tehdit Midir başlıklı mesajımdan/yazımdan sonra çok sayıda geri dönüş aldım. Yazılı ve sözlü geri bildirimde bulunan herkese çok teşekkür ediyorum. Kısaca geri dönüşlerle ilgili bilgiyi buradan da paylaşmak istedim:

Yazıyı okuyanların pek çoğu özünde TÜBİTAK’ın özel sektör ile rekabetinin sağlıksız olduğunda birleşiyor. Bu görüşe TÜBİTAK çalışanlarından da telefonla arayarak ve fiziksel karşılaşmalarda görüş belirterek katılanlar olması bence dikkate değerdir.

Bu özün dışında, TÜBİTAK’ın (ve özelde UEKAE’nin) aslında ülke için çok sayıda anlamlı ve çok önemli hizmet sağladığından dem vuranlar oldu. Yazımda da bahsetmiştim; TÜBİTAK’ın ve UEKAE’nin özellikle savunma sanayi için katkısının görebildiğim kadarı ile sorgulanabilir bir yanı da yoktur. Ben TÜBİTAK’ı başarısız olduğu için eleştirmiyorum; içinde yer almasının makul olmadığı alanlarda yer aldığı için eleştiriyorum.

Geri bildirimlerden birisi TR-CERT’in çok önemli bir kamusal TÜBİTAK projesi olduğundan söz ediyordu; bu görüşe kısmen katılmıyorum. Bana göre TR-CERT, TÜBİTAK’ın bilgi/bilişim güvenliği sektörünün kontrolünü eline geçirmesi, konu ile ilgili her konudan haberinin olmasının sağlanmasının anahtarıdır. En az kamu yararı kadar TÜBİTAK yararını da gözeten bir projedir. Ben de sektörün direksiyonunu nasıl elime alacağımı irdelesem, TR-CERT kurmak en öncelikli eylemlerimden birisi olurdu.

Pardus projesi ile ilgili bir değerlendirme soran bir ağabeyim de oldu. Kısaca yazayım; belki daha sonra tekrar ve daha uzun yazarım: Bana göre TÜBİTAK’ın ticarileşen vizyonunun oldukça dışındaki Pardus projesi kahramanca çalışan proje ekibi olmasa ayakta duramayacak bir projedir. Bence TÜBİTAK yönetimi bu projeyi ticarileşebilir bir proje olarak görerek yatırım yaptı ama geldiği yerde çok da para kazandırmadığı görüldü. TÜBİTAK bu projeden ticari fayda elde etmediği (ve kısa vadede edemeyeceği için) proje sırtında yüktür. Mahalle baskısından korkmasa  bir günde Pardus’u gömerdi ama bunu da yapamıyor. Başka bir şemsiye altında Pardus çok daha kısa sürede çok daha büyük bir kullanıcı bazına ulaşırdı bence. Pardus’tan bir şey olmaz demiyorum, aksine bir ürün olarak çok önemli kazanımlar var ama şemsiye çok kısıtlayıcı diye düşünüyorum.