Dayıoğlu Günlüğü

Amerikan Savunma Bakanlığı’na bağlı bir birim olan Bilgi Güvencesi Teknoloji Analiz Merkezi (IATAC) geçtiğimiz yılın ortasında yazılımlarda güvenlik güvencesi (software security assurance) ile ilgili bir Ulaşılan Son Durum Raporu (State of the Art Report) yayınlamış. Benim rapordan iki ay önce haberim oldu, heyecanla bastırıp masama koymama rağmen daha yeni okumayı tamamlayabildim. Raporun bir kopyasına buradan ulaşabilirsiniz.

Rapor yazılım geliştirme süreçlerinin/ortamlarının sağladığı güvence, bunun Amerikan kamu ve savunma sektörleri için önemi ve teknoloji ve süreçler açısından bugün ulaşılan durumu harika özetlemiş. Konuya Amerika’daki tarihsel gelişimi çerçevesinde de bakabildiği için konunun nasıl yıllar içerisinde yükselip bu günün en önemli güvenlik konularından biri haline geldiği de çok net görülebiliyor. Yazılım güvenliği konusuna meraklıysanız, teknolojinin derinliklerine de gömülmeden, konuya geniş bir perspektiften bakabilen bu rapora göz atmanızı öneririm.

Kartlı ödeme altyapılarında kullanılan uygulamalar için geliştirilen Payment Applications Data Security Standard (PA-DSS) artık resmiyet kazandı. Raftan alınıp satılacak ödeme uygulamalarının bundan böyle PA-DSS standardına uygun olması gerekecek

Standart, denetim prosedürü ve diğer destekleyici belgelere https://www.pcisecuritystandards.org/tech/pa-dss.htm adresinden erişebilirsiniz.

Bu hafta duyduğum en önemli teknoloji haberlerinden birisi Türk Telekom’un Maliye Bakanlığı ile anlaşarak faturalarını bundan sonra kağıdın yanında elektronik ortamda da işleyeceğiydi. Türk Telekom’un kendi duyurusuna buradan erişebilirsiniz.

Faturaların elektronik ortama taşınabilmesi için yasal zemin daha önce hazırlanmıştı ama bildiğim kadarı ile uygulamaya geçen kuruluş henüz yoktu. Türk Telekom bu hamle ile 20M+ abonesi için bastığı faturaların (yasal zorunluluk olan) kendisinde saklayacağı kopyasını elektronik ortama taşıyacak, dileyen müşterilerine de kağıtta değil ama elektronik ortamda fatura gönderecek. Doğal olarak hepimizin en kısa zamanda Telekom faturalarımızı elektronik hale dönüştürmemizde çevre koruma açısından fayda var.

Bu konunun bence en ilginç noktalarından birisi yazımın başlığına da taşıdığım gibi PTT’nin bu konuda ne tür açılımlar sağlayacağı. Bildiğim kadarı ile fatura dağıtımı PTT’nin şu andaki en büyük işi, bu işin bir biçimde ortadan kalkması (ya da ciddi biçimde daralması durumunda) PTT’nin çok hızlı bir dönüşüm göstermesi gerekecek. İnşallah PTT yönetimi bu konunun kuruluşlarının varlık gerekçesini ciddi zorlayacak bir gelişme olduğunun farkındadır; dönüşüm ve açılımlarının ne yönde olacağını merakla bekliyorum.

Türkiye temsilciliğini yürüttüğümüz Fortify Software yazılım kalite güvence testlerini kolayca güvenlik testlerini de kapsayacak şekilde geliştiren yeni bir çözümü ürün haline getirdi.

Patent vs. süreçleri tamamlansın diye bir süredir beklediğimiz bu teknoloji sayesinde yazılım ürünlerinin geliştirme sürecindeki kalite güvence testlerine kolaylıkla güvenlik testlerinin eklenmesi mümkün olacak. Yazılım binary’lerinin (java ve .net için) içine gömülen bu teknoloji ile kodun içerisindeki tüm akışlar test süreçleri boyunca takip edilebiliyor ve güvenlik problemlerinin ortaya çıkartılması sağlanabiliyor. Ayrıntılı bilgilere buradan göz atabilirsiniz. Gerçekten yaklaşım olarak oldukça ilginç, bildiğim kadarı ile bir benzeri de (en azından şimdilik) yok.

Bu logoyu ve ardındaki firmayı hatırlayanlarınız mutlaka olacaktır. 1990′ların sonunda kurulan @stake yıllarca bilişim güvenliği sektörünün danışmanlık alanındaki lider firması olarak hizmet verdikten sonra 2005′te Symantec tarafından satın alınmıştı.

Hizmet verdiği dönemde bilişim güvenliği sektörünün bugün herkesin çok yakından tanıdığı pek çok ismini bünyesinde barındıran @stake’in öyküsünü okurken çok keyif aldım. SearchSecurity eski @stake’cilerden Chris Wysopal, Christien Rioux ve Chris Eng ile çok keyifli bir sohbet yapmış. Okumanızı öneririm, metin burada.

ABD’nin bir tür yasak kararı için “darısı başımıza” diyeceğim hiç aklıma gelmezdi, bu da oldu. 1 Şubat’ta geçerli olacak yeni bir düzenlemeye ilişkin haberi az önce DarkReading‘de gördüm. Habere göre Federal Hükümet Çekirdek PC Konfigürasyon Standardı belgesi sıradan kullanıcıların Windows XP ve Vista’larını Administrator olarak kullanmalarını yasaklamış, böylece yalnızca sistem yöneticileri Administrator yetkisi ile giriş yapabilecekler.

Bu düzenlemenin bir benzerinin Türkiye’de kamu için acilen çıkartılmasını talep ediyorum. Biz de en az bilgi işlemciler kadar biliyoruz bu işi diyen kamu personeli ve onların kamu bilgi işlemcilerine çektirdikleri azabı gören herkesin aynı şeyi düşüneceğini tahmin ediyorum. Dediğim gibi, darısı başımıza…

Fransa’nın en büyük bankalarından SG büyük bir dolandırıcılık sonrasında ciddi biçimde güç durumda kaldı. Bankanın hisselerinin %6′nın üzerinde değer kaybetmesi bir yana bankanın kaybettiği prestijin de uzun süre toparlanamayacağı öngörülüyor. Olayla ilgili habere buradan erişilebilir.

Her zamanki gibi güvenlik ihlalinin büyüğü kuruluşun içinden geldi. Kuruluşun risk yönetimini son derece başarısız yaptığı, en temel güvenlik prensiplerini (ikili kontrol prensibi, minimum yetki prensibi vs.) bile uygulanmıyor olduğu görüldü. Bu büyüklükte bir örgütte risk yönetimi ekibi yok mudur?

Yorumlamadan doğrudan soruyorum (yorumlasam bildiğim kadarıyla bankalar kanununa muhalefet ediyor olacağım): Acaba benzer durum bir Türk bankasında yaşanabilir mi? Yaşanmaması için gerekli önlemleri iç motivasyon ile ya da dışarıdan dürtüklemeler ile (BDDK vs.) gerçekleştiremeyen bankamız var mıdır?