Dayıoğlu Günlüğü

ABD’nin bir tür yasak kararı için “darısı başımıza” diyeceğim hiç aklıma gelmezdi, bu da oldu. 1 Şubat’ta geçerli olacak yeni bir düzenlemeye ilişkin haberi az önce DarkReading‘de gördüm. Habere göre Federal Hükümet Çekirdek PC Konfigürasyon Standardı belgesi sıradan kullanıcıların Windows XP ve Vista’larını Administrator olarak kullanmalarını yasaklamış, böylece yalnızca sistem yöneticileri Administrator yetkisi ile giriş yapabilecekler.

Bu düzenlemenin bir benzerinin Türkiye’de kamu için acilen çıkartılmasını talep ediyorum. Biz de en az bilgi işlemciler kadar biliyoruz bu işi diyen kamu personeli ve onların kamu bilgi işlemcilerine çektirdikleri azabı gören herkesin aynı şeyi düşüneceğini tahmin ediyorum. Dediğim gibi, darısı başımıza…

Fransa’nın en büyük bankalarından SG büyük bir dolandırıcılık sonrasında ciddi biçimde güç durumda kaldı. Bankanın hisselerinin %6′nın üzerinde değer kaybetmesi bir yana bankanın kaybettiği prestijin de uzun süre toparlanamayacağı öngörülüyor. Olayla ilgili habere buradan erişilebilir.

Her zamanki gibi güvenlik ihlalinin büyüğü kuruluşun içinden geldi. Kuruluşun risk yönetimini son derece başarısız yaptığı, en temel güvenlik prensiplerini (ikili kontrol prensibi, minimum yetki prensibi vs.) bile uygulanmıyor olduğu görüldü. Bu büyüklükte bir örgütte risk yönetimi ekibi yok mudur?

Yorumlamadan doğrudan soruyorum (yorumlasam bildiğim kadarıyla bankalar kanununa muhalefet ediyor olacağım): Acaba benzer durum bir Türk bankasında yaşanabilir mi? Yaşanmaması için gerekli önlemleri iç motivasyon ile ya da dışarıdan dürtüklemeler ile (BDDK vs.) gerçekleştiremeyen bankamız var mıdır?

Uzun zamandır duyuru ile eğitim sınıfı açmıyorduk, 2008 içerisinde bir kaç ayda bir farklı eğitimlerimizi duyurulu açmaya karar verdik. Bu çerçevede ilk eğitimlerimizden birisi 28 Şubat - 1 Mart arasında Antalya Kervansaray Otel’de düzenleyeceğimiz Web Uygulama Güvenliği eğitimi olacak. Güvenli yazılım tasarımı, geliştirilmesi ve testini konu edeceğiz. Eğitimi ben vereceğim.

Eğitim konusu, programı ve katılım koşulları ile ilgili bilgiler için eğitim broşüründen eğitim broşürüne göz atabilirsiniz. Kayıt ve koşullar ile ilgili olarak bizim ekipten Ezgi Yüce (312-4733512) ile görüşebilirsiniz.

Bu arada, 11-15 Subat arasinda Istanbul’da Bilge Adam ile birlikte CHFI (Certified Hacking Forensics Investigator) eğitimi veriyoruz. Eğitimi bizim ekipten Halil Öztürkci arkadaşım verecek. Eğitimin içeriğine buradan erişebilirsiniz. CHFI eğitimine kayıt ve koşullar için Bilge Adam’dan Çiğdem Gülsoy (212-2164242/518) ile görüşebilirsiniz.

Youtube’a erişimi kapatmanın pratik faydasını gerçekten görmüyorum. Hatta Youtube’a erişimin engellenmesine inanamıyorum. Atatürk’ü küçük düşürecek videolar varmış; Türkiye’den erişimi engelleyince problemi çözdük mü? Bence bir kaç ciddi problem var burada, aklıma geldiği gibi (saat gecenin körü oldu) yazıverdim:

• Youtube kocaman bir kütüphane, iki tane problemli kitap var diye tüm bir kütüphane yasaklanabilir mi?
• Haddinden fazlasıyla geniş (amacının çok üzerinde) böyle bir sansür uygulaması bizi milletçe dünya (teknoloji) basınında manşet yapmayacak mı? Elde edilecek fayda bu olumsuz yayımları görmememize neden olacak kadar yüksek midir gerçekten?
• Fayda demişken, bu videolara yurt dışından ve başka milletlerden insanların erişmesi çok daha kötü değil mi?

Genel yaklaşımı anlıyorum ve teyid ediyorum. Genelinde sansür kesinlikle yapılmamalı diyenlerden de değilim ama tutup da problemli içerik var diye Internet’in en popüler sitelerinden birisinin fişi çekilince insanın keyfi de kaçıveriyor.

Onlar ermiş muradına, biz çıkalım kerevetine. Oracle uzun süredir uğraştığı BEA alımını nihayet sonuçlandırdı. Az değil, tam 8.5 milyar dolar ödedi. Bu alım yılın ortası gibi tamamlandığında Oracle orta katman yazılımları alanında açık ara lider haline gelecek ve IBM ile farkı ciddi şekilde açacak gibi görünüyor.

Oracle hem üst uc projelerde BEA’e kaptırdığı ara katman yazılımı işleri nedeniyle hem de Peoplesoft’un BEA yazılımları üzerinde çalışıyor olması nedeniyle teknolojik avantajlar elde etti. Firmayı satın alarak kazandığı yeni müşterilerden söz bile etmiyorum…

IDC’nin yıllık Security Roadshow etkinliği de olmasa güvenlik sektörünün babalarını dünya gözüyle Türkiye sınırları içerisinde görmek de mümkün olamayacak vallahi. Bu seneki IDC Security Roadshow 19 Şubat’ta İstanbul Swissotel’de yapılacak ve Marcus Ranum da konuşmacı olarak geliyor.

Etkinlikle ilgili bilgilere buradan erişebilirsiniz. Ranum, siber savaş ve siber terör üzerine konuşacakmış; Information Security dergisinin bu seneki sayılarından birisinde Bruce Schneier ile siber savaş ne kadar gerçek bir tehdit sorusu çevresinde çok sıkı kapışmışlardı. E-posta üzerinden çalışan TCP yazmış, ilk proxy firewall’u kodlamış ve bizim Türkiye temsilcisi olduğumuz Fortify’in teknik danışma kurulu üyesi olan Ranum’u izlemeyi merakla bekliyorum. İnşallah aksilik olmaz da etkinliğe katılabilirim.

Bir süredir PCI standardının son güncellemeleri ile ilgili bir konuyu netleştirmeye çalışıyorum ama bir türlü netleştirmeyi beceremedim. Konuyu sorduğum hemen herkesin de kafasını ciddi şekilde karıştırdım, kimse net bir cevapla çıkamadı. Bir de günlüğüme yazayım dedim, bakalım yorumlar ile bir açılım sağlayabilecek miyiz…

PCI veri güvenliği standardının güncel (1.1) sürümünün parçası belgelerin birisi Technical and Operational Requirements for ASVs. Bu belgede akredite tarama sağlayıcılarının uymaları gereken kurallar ve çalışma biçimi ile ilgili standartlar tarifleniyor. Belgenin 2-3 numaralı sayfasında Obsolete Software (Obsolete geçersiz / eskimiş / köhnemiş / terk edilmiş anlamları ile Türkçe’ye çevrilebiliyor) ile ilgili bir tarif var:

ASV’ler terk edilmiş ve üreticileri tarafından artık desteklenmeyen yazılımları (örneğin uygulama yazılımları ya da işletim sistemleri) belirlemeli ve bunları uyumlu değil (non-compliant) biçiminde raporlamalıdır. Terk edilmiş yazılımlar kuruluşların altyapısını güvenlik zafiyetlerine açık hale getirebilir.

Bunu okuyunca özgür yazılımların durumunun ne olacağını anlayabilen beri gelsin. Örneğin kuruluş Apache 2.2.0 kullanıyor, Apache’nin en yenisi de 2.2.6. Sizce eski sürüm Apache kullandığım için standarda uyumsuz sayılabilir miyim? Standart böyle anlaşılmaz olacak kadar yusyuvarlak mı yazılır Allah aşkına?

Koşturmaktan uzun zamandır yazamamıştım, taze bilmillah deyip bugün tekrar başlayayım dedim. 2007′nin son ayları çok yorucu ve kaotikti. Hiç bu kadar çok konu ile aynı anda uğraştığımı anımsamıyorum ama sanırım artık her şey yoluna girmeye başladı.

2007′de Dayıoğlu ailesine Umut adam katıldı, yılın önemli bir bölümünü herif ile güreşerek geçirdik. Bülent abi başta epey kıskançlık yapsa da sanırım artık kardeşine alışmaya da başladı.

Pro-G açısından yılın geneline bakıldığında gene iyi bir yıldı. Yılın son çeyreğinde kamu alımlarının dalgalanması bizi üzse de yine bir önceki seneye göre iş hacmimiz önemli bir büyüme gösterdi. 2007′nin sonunda iki yeni üretici ile birlikte çalışmak üzere anlaştık, bir kaç haftaya duyurularını yapmaya da başlarız.

Başladık bir kere, yazarım bundan sonra sık sık…