Dayıoğlu GünlüğüBurada süper bir slogan vardı, sildim.
|
 |
| OWASP‘tan anımsıyabileceğiniz Mark Curphey yeni projesi ile karşımızda: ISM Community. Bilgi güvenliği yönetimi alanında çalışan uzmanları bir araya getirerek pratik metodolojiler ve yöntemler geliştirmeyi hedefleyen bir proje. Fikir çok güzel, OWASP’ta web uygulamaları için yaptıklarının bir benzerini bilgi güvenliği yönetimi alanına uygulayacaklar. Bu portal’ın ve projelerinin yakından takip edilmesi lazım… |
 |
Federal Computer Week (FCW) ‘deki bu makaleyi görünce ne zamandır yazmak istediğim penetrasyon testi değerlendirmesini yazayım istedim. Bu makale yazmak istediklerim için harika bir zemin hazırlıyor. Uzun zamandır penetrasyon testleri yapıyorum, Pro-G olarak da yapıyoruz. Türkiye’nin en büyük bilgi işlem yapılarının pek çoğu için bu türden testler yaptık. Hemen hemen her sektörden sektörün lideri kuruluşlar ile çalıştık. Ne yazık ki pek çoğu ile penetrasyon testlerinin ideal bir değerlendirici olmadığı konusunda mutabık kalamıyoruz.Biraz sektörün doldurması, biraz da kulaktan dolma bilgilerle kuruluşlar BT güvenlik denetimleri için bu test tekniğini neredeyse tek ve alternatifsiz bir teknik olarak kullanıyorlar. Fakat altyapı büyüdükçe, altyapı üzerinde işletilen uygulamaların karmaşıklıkları arttıkça geleneksel penetrasyon testi, teknik açıdan ciddi biçimde yetersiz kalıyor.
Temel problem, bu test tekniğinin kapalı kutu (ing. black box) türde bir test olması. Hedef sistemler, sistemler ve sistemler üzerinde çalışan bileşenler arası ilişkileri bilmeden saldırmaya çalışıyorsunuz. Çok sayıda hipotez geliştirip bunları doğrulamaya çalışıyorsunuz. Sonucunda sızmayı başarsanız da, çok sayıda zafiyet bulsanız da aslında kaç problemi de tespit edemediğinizi kesinlikle bilemiyorsunuz. Bu durum Dijstra’nın meşhur Programları test ederek hataları olduğunu ispatlayabilirsiniz ama hiç bir problemin var olmadığını ispatlayamazsınız sözünü anımsatıyor. Garantili sonuç vereceğini söylemek güç ama biz (Pro-G ailesi olarak) sistem konfigürasyon incelemesinin daha etkin bir teknik olduğunu düşünüyoruz. Bilgi işlem altyapısına ilişkin tüm şemaları, bileşenler arasındaki ilişkileri masaya yatırıp inceliyoruz; ilişkiler düzeyinde sorguluyoruz. Ardından bileşenlerin tümünün konfigürasyonunu, kurgusunu tek tek gözden geçiriyoruz. Uygulama yazılımları söz konusu olduğunda önce yazılımın mimarisini gözden geçiriyor, ardından da kritik bileşenleri için bileşen bazında penetrasyon testleri ya da kaynak kod incelemeleri gerçekleştiriyoruz. Aslına bakarsanız penetrasyon testi ile kıyaslandığında daha da kısa sürüyor ve daha derinlemesine bir analize de imkan sağlıyor. Bu teknik ile sadece güvenlik zafiyeti oluşturan noktaları değil, dışarıdan (ağ üzerinden) gözlenemeyecek olası diğer iyileştirme alanlarını da tespit etmek ve bu noktalara ilişkin önerilerde bulunmak da mümkün oluyor. Sözün özü, penetrasyon testleri teknik güvenlik denetimleri gerçekleştirmenin tek yolu değil. Çoğu zaman en etkin yolu da değil. Arada klişelerden kafayı kaldırıp sağa sola bakmak lazım… |
 |
Symantec, bir yılı aşkın bir sürede çalışarak hazırladığı ve 500′den fazla bilgi işlem yöneticisinin görüşleri doğrultusunda oluşturulan BT Risk Yönetimi Raporu’nu yayınladı. Buradan erişilebilecek raporda ilginç sayılabilecek bulgular var.
Kuruluşların teknolojik kontrollerini süreç kontrollerinden çok daha etkin işletebildiği beni hiç şaşırtmadı. Teknolojik kontrolleri (parasını verdikten sonra) uygulamak kontrolü doğru seçtiğinizde göreli olarak kolayca. Diğer taraftan süreç kontrollerini gerçekleştirmek kültürel değişime odaklanıyor ve teknolojik kontroller kadar pratik değil. Bu rapor sayesinde bu konuda bir dayanağımız daha oldu. |
|
İkinci oğlum Umut bugün dünyaya merhaba dedi. Bülent’in doğumundan bu yana neredeyse beş sene geçmiş olmasına rağmen oldukça rahattık. Hiç bir sıkıntı olmadan sezaryen ile kolay bir doğum oldu. Bülent hafifçe zayıf bir halde 2.8kg doğmuşken Umut hepimizi şaşırtarak 3.6kg doğdu; Berna’dan bu performansı hiç birimiz beklemiyorduk.
Umut’a (şimdilik) en çok Bülent sevindi, kardeşini yere göğe sığdıramıyor; izin versek hep kucağında gezdirecek. Renan abinin (Sunay) dediği gibi Bülent henüz Umut’un bir oyuncak olmadığını anlamadı, kıyamet anladığında kopacak.
Umut’çuğun, abisinin ve annesinin ilk fotoğraflarından bir sayfa yaptım, sağda Sayfalar başlığı altında yer alıyor. |
Bilgi Güvenliği Yönetim Sistemleri (BGYS’ler) son dönemin popüler güvenlik konularından birisi oldu. BGYS’lerin kurulması ve işletilmesi güvenliğin etkin yönetimi açısından son derece anlamlı ve uygulamayı hedefleyen kuruluşlar açısından takdire layık bir hareket. Ne yazık ki konudan tamamen kopuk biçimde işin cılkını çıkartanlar da artıyor. Sizlerin de şahit olduğu sevimsiz hikayeler olabilir ama ben son iki haftaki hikayeleri paylaşmak istedim.
Son iki hafta içerisinde dört farklı kuruluşa davet edildik, onların BGYS kuruluşlarında ne türden danışmanlık hizmetleri sağlayabileceğimizi değerlendirmek üzere. Kuruluşların üçü kamu kuruluşu, birisi özel sektör.
İlk kamu kuruluşuna bizden önce üç farklı danışmanlık firması gitmiş ve konuya yaklaşımlarını paylaşmışlardı. Masaya oturur oturmaz önümüze ağ diyagramını koyup bilgi işlem teknik altyapısını anlatmaya giriştiler, donup kaldık. Konuyu doğru biçimde eksenine oturtmak bir saat kadar vaktimizi aldı, biz anlattıkça ama bize böyle anlatmamışlardı nidaları yükseldi. Allah’tan ki yanımızda standart kopyaları vardı ve standarttan bir kaç bölümü kendilerine okutarak hedeflemeye çalıştıklarının ne olduğunu anlatabildik. Bu örnekte BGYS’nin ne olduğunu bilmeden kurmaya teşebbüs eden kuruluş örneği var, başarı şansı ne yazık ki hiç yok. 
İkinci kamu kuruluşunda bizi oldukça yetkin bir ekip karşıladı. Standarda şaşırtıcı şekilde hakim, ne yapılması gerektiğini son derece iyi bilen ancak bizim yönetimle bu olmaz ama verdiler görevi yapacağız artık… teslimiyetçiliği içerisinde bir ekipti. Bu kuruluşta da başarı şansı hiç yok, yönetim desteği olmadan örgüt içerisinde bir sistem kurulumunun gerçekleştirilmesi söz konusu bile olamaz.
Özel sektör kuruluşumuzun tek sorusu sizinle çalışırsam 27001/17799 sertifikamı ne zaman alabilirim?‘di. Çok kibarca kuruluşun tepe yöneticisi projeyi en kısa sürede sertifika aldırmayı garanti eden danışmanlık firmasına vereceklerini söyledi, defalarca da tekrarladı. Bu kuruluşun başarı şansı var mı? Yok. Biz ya da bir başka danışmanlık firması size sistem kuramaz, ancak sizin sistem kurmanızda kılavuzluk yapabiliriz dedim ama anlamadı; zaten anlayacak durumda olsa bunları da söylemezdi.
Dördüncü kuruluşumuz yine bir kamu kuruluşu. Bilgi işlem yöneticisini kurum çapında bir BGYS kurulumu ile görevlendirmişler. Kapsam bilgi işlem ile sınırlı değilken işin sorumluluğunun bilgi işlem yönetimine verilmesi bana göre bilgi işlemcilerin kaşınmasının bir sonucudur. Bir şekilde (ki bu ayrı bir yazı konusudur) BGYS’ye ilk ilgi gösterenler bilgi işlemciler oldu ve doğal sonuç olarak iş üstlerine kaldı. Yönetimin de desteklemesi durumunda bilgi işlem yöneticisinin önderliğinde de bir BGYS kuruluşu gerçekleştirilebilir, başarı şansı da var. Diğer taraftan işin doğal sahibinin bilgi işlem olmadığını da teslim etmek lazım. Söz konusu kuruluşta bilgi işlem yöneticisi BGYS kurulumu ile görevlendirilmiş olmasına rağmen gerekli yetkilerden eser yoktu, gene projenin oluru yoktu. 
Alın size dört taze örnek ışığında Türkiye’den BGYS’ne hücüm manzaraları. BGYS’nin bir sistem kurma çabası olduğunu, konunun bir BT konusu olmadığını, yönetimin yalnızca hadi kurun, yapın demesi ile bu işlerin oldurulamayacağını, işin büyük oranda bir kültürel dönüşüm konusu olduğunu görene (çuvaldızı da kendimize: gösterene) değin adam akıllı BGYS kurabilen örgüt sayısını hızlıca yükseltmek mümkün olmayacak gibi görünüyor.
 |
Cigital’ın CTO’su Gary McGraw (onu yazılım güvenliği ile ilgili kitaplarından tanıyor olabilirsiniz) iki yılı aşkin bir süredir IEEE’in Security & Privacy Magazine dergisinin sponsorluğunda bir güvenlik sohbetleri podcast dizisi yayınlıyor. Bu dizide bilişim güvenliğinin en popüler isimlerinden önemli bir grubu da misafir etti. Eğer daha önce dinlemediyseniz şiddetle öneririm, buradan podcast’leri indirip dinleyebilirsiniz.Son bölümde konuğu Profesör Dorothy Denning, sohbet çok kıvamlı.
Öncesinde Bruce Schneier, John Stewart, Marcus Ranum, Michael Howard, Edward Felten ve Dana Epp gibi konukları oldu. Bu arada podcast’lere sponsor olan IEEE Security & Privacy Magazine de başka bir şaheserdir; en yakın üniversite kütüphanesi aracılığı ile hemen temin edip göz atmanızı öneririm. Yayınlanmaya başladığından beri okuyorum, akademik olmayan en iyi bilişim güvenliği dergisi olduğunu düşünüyorum. |
 |
Toggmeister kardeşim yememiş içmemiş Penetration Testing Framework’ün yenisini hazırlamış. Bu sürümde Oracle ve zafiyet tarayıcıları bölümü genişletilmiş, WHOIS bölümü genişletilmiş ve zafiyet/patlatma sitelerine referanslar genişletilmiş. Toggmeister’ın önerdiği prosedür hem oldukça geniş, hem de sırası oldukça başarılı bir biçimde düzenlenmiş. Çerçeve Programa göz atmanızı öneririm. Genelinde oldukça başarılı olduğunu düşünüyorum ama belge şablonları oldukça zayıf. Buradaki şablonlar ile uyumlu raporlar verdiğimizi düşünemiyorum bile. |
 |
OWASP’ın web uygulamalarının testine ilişkin OWASP Testing Guideline’ının yeni sürümü yayınlandı. Buradan erişilebilecek yeni sürüm 240+ sayfa ve eski sürüme göre oldukça genişletilmiş durumda. Uygulama düzeyinde güvenlik testi yapmayı planlayanlar için oldukça kapsamlı bir test prosedürünü de içeriyor
OWASP çok hızlı olmasa da yol katetmeye devam ediyor, vakit bulduğum ilk fırsatta Testing Guidelines’a ben de katkı vermek istiyorum; inşallah başarabilirim. |
 |
Arbor Networks bu kadar sıkı adamı (Dug Song, Jose Nazario, Jeff Nathan ve Danny McPherson) bir araya topladıktan, geliştirdikleri Peakflow’u çok ciddi sayıda ISP’ye kurup çalıştırdıktan sonra bu kez ATLAS ile karşımızda. ATLAS, temel olarak daha önce SecurityFocus’un Deepsight’ı (şimdiki adıyla Symantec Deepsight) gibi bir küresel tehdit izleme ve raporlama sistemi. Deepsight’tan daha iyi bir veri kaynağı kümesine sahip olduklarını tahmin ediyorum, izlemeye değer… |
  |
TSE ve TBD’nin ortaklaşa düzenlediği Bilişim Güvenliği ve Yazılım Kalitesi Sempozyumu 6-7 Mart 2007′de Ankara’da gerçekleştiriliyor. Sempozyum şimdiden TSE ve TBD’nin öngördüğünün çok üzerinde ilgi görmüş durumda. 300 kişilik salona 600 kişilik kayıt gelince sempozyuma yeni bir salon aramaya bile başlamışlar.
Sempozyum ile ilgili bilgilere buradan erişebilirsiniz. Sempozyumda ben de Yazılım Güvenliği konusunda bir seminer vereceğim. Yazılım güvenliğinin bilişim güvenliğinin en sıkıntılı konularından birisi olduğunu düşünüyorum. Bu konuda endüstri olarak almamız gereken çok yol var, yakınlarda düze çıkacak gibi görünmüyoruz. Seminerimin odağında geliştirme süreçlerinin güvenlik boyutunda nasıl iyileştirilebileceği yer alıyor olacak, umarım denizde bir damla olur. |
