Dayıoğlu Günlüğü

Fransa’nın en büyük bankalarından SG büyük bir dolandırıcılık sonrasında ciddi biçimde güç durumda kaldı. Bankanın hisselerinin %6′nın üzerinde değer kaybetmesi bir yana bankanın kaybettiği prestijin de uzun süre toparlanamayacağı öngörülüyor. Olayla ilgili habere buradan erişilebilir.

Her zamanki gibi güvenlik ihlalinin büyüğü kuruluşun içinden geldi. Kuruluşun risk yönetimini son derece başarısız yaptığı, en temel güvenlik prensiplerini (ikili kontrol prensibi, minimum yetki prensibi vs.) bile uygulanmıyor olduğu görüldü. Bu büyüklükte bir örgütte risk yönetimi ekibi yok mudur?

Yorumlamadan doğrudan soruyorum (yorumlasam bildiğim kadarıyla bankalar kanununa muhalefet ediyor olacağım): Acaba benzer durum bir Türk bankasında yaşanabilir mi? Yaşanmaması için gerekli önlemleri iç motivasyon ile ya da dışarıdan dürtüklemeler ile (BDDK vs.) gerçekleştiremeyen bankamız var mıdır?

Uzun zamandır duyuru ile eğitim sınıfı açmıyorduk, 2008 içerisinde bir kaç ayda bir farklı eğitimlerimizi duyurulu açmaya karar verdik. Bu çerçevede ilk eğitimlerimizden birisi 28 Şubat - 1 Mart arasında Antalya Kervansaray Otel’de düzenleyeceğimiz Web Uygulama Güvenliği eğitimi olacak. Güvenli yazılım tasarımı, geliştirilmesi ve testini konu edeceğiz. Eğitimi ben vereceğim.

Eğitim konusu, programı ve katılım koşulları ile ilgili bilgiler için eğitim broşüründen eğitim broşürüne göz atabilirsiniz. Kayıt ve koşullar ile ilgili olarak bizim ekipten Ezgi Yüce (312-4733512) ile görüşebilirsiniz.

Bu arada, 11-15 Subat arasinda Istanbul’da Bilge Adam ile birlikte CHFI (Certified Hacking Forensics Investigator) eğitimi veriyoruz. Eğitimi bizim ekipten Halil Öztürkci arkadaşım verecek. Eğitimin içeriğine buradan erişebilirsiniz. CHFI eğitimine kayıt ve koşullar için Bilge Adam’dan Çiğdem Gülsoy (212-2164242/518) ile görüşebilirsiniz.

Youtube’a erişimi kapatmanın pratik faydasını gerçekten görmüyorum. Hatta Youtube’a erişimin engellenmesine inanamıyorum. Atatürk’ü küçük düşürecek videolar varmış; Türkiye’den erişimi engelleyince problemi çözdük mü? Bence bir kaç ciddi problem var burada, aklıma geldiği gibi (saat gecenin körü oldu) yazıverdim:

• Youtube kocaman bir kütüphane, iki tane problemli kitap var diye tüm bir kütüphane yasaklanabilir mi?
• Haddinden fazlasıyla geniş (amacının çok üzerinde) böyle bir sansür uygulaması bizi milletçe dünya (teknoloji) basınında manşet yapmayacak mı? Elde edilecek fayda bu olumsuz yayımları görmememize neden olacak kadar yüksek midir gerçekten?
• Fayda demişken, bu videolara yurt dışından ve başka milletlerden insanların erişmesi çok daha kötü değil mi?

Genel yaklaşımı anlıyorum ve teyid ediyorum. Genelinde sansür kesinlikle yapılmamalı diyenlerden de değilim ama tutup da problemli içerik var diye Internet’in en popüler sitelerinden birisinin fişi çekilince insanın keyfi de kaçıveriyor.

Bir süredir PCI standardının son güncellemeleri ile ilgili bir konuyu netleştirmeye çalışıyorum ama bir türlü netleştirmeyi beceremedim. Konuyu sorduğum hemen herkesin de kafasını ciddi şekilde karıştırdım, kimse net bir cevapla çıkamadı. Bir de günlüğüme yazayım dedim, bakalım yorumlar ile bir açılım sağlayabilecek miyiz…

PCI veri güvenliği standardının güncel (1.1) sürümünün parçası belgelerin birisi Technical and Operational Requirements for ASVs. Bu belgede akredite tarama sağlayıcılarının uymaları gereken kurallar ve çalışma biçimi ile ilgili standartlar tarifleniyor. Belgenin 2-3 numaralı sayfasında Obsolete Software (Obsolete geçersiz / eskimiş / köhnemiş / terk edilmiş anlamları ile Türkçe’ye çevrilebiliyor) ile ilgili bir tarif var:

ASV’ler terk edilmiş ve üreticileri tarafından artık desteklenmeyen yazılımları (örneğin uygulama yazılımları ya da işletim sistemleri) belirlemeli ve bunları uyumlu değil (non-compliant) biçiminde raporlamalıdır. Terk edilmiş yazılımlar kuruluşların altyapısını güvenlik zafiyetlerine açık hale getirebilir.

Bunu okuyunca özgür yazılımların durumunun ne olacağını anlayabilen beri gelsin. Örneğin kuruluş Apache 2.2.0 kullanıyor, Apache’nin en yenisi de 2.2.6. Sizce eski sürüm Apache kullandığım için standarda uyumsuz sayılabilir miyim? Standart böyle anlaşılmaz olacak kadar yusyuvarlak mı yazılır Allah aşkına?

OWASP Türkiye, Çankaya Üniversitesi ile birlikte Web Güvenliği Günleri, Ankara başlığı ile bir etkinlik düzenliyor. Kurulduğu günden bu yana hem bireysel hem de Pro-G olarak desteklediğimiz OWASP-TR ile bu etkinlikte de birlikteyiz. Pro-G olarak etkinliğe sponsor olduk ve ben etkinlikte yazılım geliştirme sürecinde güvenlik testleri ile ilgili bir sunum yapacağım.

Geliştirme sürecinde testin anlam ve öneminden, kapalı kod ve açık kod inceleme/test imkanlarından ve araçlarından söz etmeye çalışacağım. Etkinliğe ilişkin programa buradan erişebilirsiniz.

Otomatikleştirilmiş kaynak kod güvenlik denetimi projeleri hız kazanıyor. Fortify ile Temmuz ayında başlattığımız işbirliği sonrasında yazılım güvenliği ile ilgili Pro-G hizmetlerine yeni bir tanesini ekledik; yazılım kaynak kodlarının statik analizi yoluyla güvenlik problemlerinin tespit edilmesi.

Görev kritik yazılımları olan, içeride ya da dış kaynaklı yazılım geliştiren hemen her kuruluş kendilerine bir kaç dakika içerisinde yazılımları içerisindeki güvenlik problemlerini belgeleyen ve iyileştirme önerileri sağlayan otomatikleştirilmiş kaynak kod güvenlik denetimi hizmetlerimize büyük bir sempati ile yaklaşıyor. Yalnızca bir kaç saat içerisinde kuruluşlara ait kaynak kodları inceleyip sonuçlarını değerlendirmeye başladığımızda hemen her kuruluş sonuçları hayretle karşılıyor. Çok kabaca, Java ve .Net uygulamaları için her 1000 satırda 20-25 problemli nokta bulunuyor. Bu araç yokken elle-gözle yaptığımız kaynak kod güvenlik incelemelerini düşündükçe gülümsüyorum, eskiden çok verimsiz ve maliyetli süreç bugün ne hale geldi…

Biraz geç kaldığımın farkındayım ama yine de etkinliğe katılma ihtimali olan Ankara’lılar için haber vereyim istedim. Bir son dakika ayarlaması sonucunda yarın IBM’in Ankara’da gerçekleştireceği Yazılım Güvenliği Zirvesi’ne konuşmacı olarak katılacağım.

Web Servisleri Güvenliği ve Datapower ürün ailesi ile ilgili bir sunumum olacak. Web servislerinin performans, güvenlik ve yönetilebilirlik problemlerinden ve Datapower ürün grubunun bunu nasıl adreslediğinden söz edeceğim sunumun özellikle yazılım uzmanlarının ilgisini çekeceğini düşünüyorum. Etkinliğe katılacaklardan blogumu okuyanlar varsa görüşmek de isterim.

Bu etkinlikle birlikte haftanın ilk iki gününde iki sunumum oldu; pazartesi IBM etkinliğinde web servisleri güvenliği ve Datapower ürün grubu, salı ise McAfee ile düzenlediğimiz etkinlikte Zafiyet Yönetimi ve Foundstone ürün grubu üzerine konuşacağım.

Bundan bir yıl kadar önce kritik bilgilerin kuruluş sınırları dışına sızmasının kontrol altına alınmasını sağlayan teknolojileri incelemeye almış ve bu konuda çalışan lider firmalar ile haberleşerek onlar ile Türkiye pazarında neler yapabileceğimizi değerlendirmeye çalışmıştım. Her zamanki gibi (bkz. Burak ve Sygate, Burak ve PointSec, Burak ve Bharosa) burada da konsolidasyon tam gaz devam ediyor, zemin gene değişti.

McAfee bu alanın niş oyuncularından birisi olan Onigma’yı alarak kapıyı açtı, Websense PortAuthority’i satın alarak devam etti. Kısa bir süre önce RSA (EMC) gidip Tablus’u aldı ve bugün gecikmiş şekilde öğrendim ki Raytheon da OakleyNetworks’ü almış. Diğerleri değil ama Raytheon’un Oakley’i alması beni çok şaşırttı; onların bu alana gireceklerini biriis söylese inanmazdım. Türkiye’de kimler var bu alanda derseniz McAfee ve Websense’in olduğunu, azıcık ittirir ve uyandırırsanız EMC’nin de olduğunu (ya da olacağını) söylemek mümkün.