Dayıoğlu Günlüğü

Symantec sonunda adam akıllı bir antivirüs yapmayı başardı. Pro-G’yi kurduğumuzdan bu yana antivirüs konusunda Symantec’ten hep uzak durduk. Bilgisayarı sürüm sürüm süründüren Symantec antivirüs sonunda Symantec’in Sygate’ten aldığı teknolojiler ile birleşerek Symantec Endpoint Protection (SEP) adı ile piyasaya sunuldu.

Bu aletin içerisinde bir antivirüsten oldukça fazlası var. Güvenlik duvarı, IPS, çevre birim kontrolü (USB, bluetooth, CD/DVD vb.) ve uygulama kontrolü özellikleri eklenmiş bir antivirüs var. Bu özelliklerin tümü çalışıyorken bile eski Symantec antivirüslerden çok daha az yer kaplıyor ve bilgisayarı ciddi biçimde daha az yoruyor. Eğer siz de benim gibi bu konuda Symantec’ten hep uzak durduysanız bilin ki durum değişti. Pek çok müşterimiz SEP kullanmaya başladı ve hepsi çok memnunlar.

Gecikmiş bir şekilde yazabiliyorum ama en azından hiç yazmamaktan iyidir diye düşündüm. 17 Temmuz’da İstanbul’da OWASP Türkiye’nin bir buluşması gerçekleşti. Organizasyonunu iyi yapamadığımız için oldukça küçük bir salonda yapabildiğimiz bu etkinlik özellikle konu ile ilgili insanlarla etkileşimimizi geliştirmemiz açısından çok faydalı oldu.

Duyurusuna kaçıranların buradan ulaşabildiği etkinliğe yaklaşık 50 kişi katıldı. Pro-G olarak biz de 8 kişilik bir katılım gerçekleştirdik, çok da eğlendik. OWASP Türkiye ekibini şu anda yönlendiren arkadaşlarım (isim harf sırası ile) Bedirhan, Bünyamin ve Ferruh’a organizasyon için çok teşekkür ediyoruz. Katılan hemen herkes çok neşeliydi ve ortama inanılmaz bir amatör ruh hakimdi. Orada olmaktan, ayaküstü güvenlik geyikleri yapmaktan ve katılanlar ile tanışmaktan çok keyif aldım. İnşallah Eylül başında yeni bir organizasyon yapacağız ve ben yine orada olacağım. Beklerim…

Şirkette kullandığımız SugarCRM’i uzun zamandır güncellememiştik. İki gün önce Selami’nin güncellemesi ile Sugar5′e geçtik. İyi ki de geçmişiz.

Anlatmaya neresinden başlasam bilmiyorum ama yenisi süper olmuş. Ana sayfada ilk dikkat çekenler dashlet’ler oldu. Portlet gibi küçük pencereler ama DHTML ve AJAX’ın şık kombinasyonu ile ana sayfayı kafanıza göre yeniden düzenleyebilmeniz pek şekilli ve kullanışlı. Yeni tab’lar, hemen her veri giriş kutusunda AJAX ile yapılan otomatik tamamlama gibi özellikler 4.x’teki ile karşılaştırılmayacak kadar başarılı ve etkin. AJAX’ın bir CRM uygulamasında daha başarılı kullanılabileceğini tahmin etmiyorum. Ne diyeyim, yapanların ellerine kollarına sağlık. Bize de daha etkin kullanmak düşüyor.

Mayıs ayı içerisinde TSE, British Standards Institute (BSI) tarafından yayınlanmış üç kılavuzu Türkçeye çevirerek yayınlamış. Belgeler kılavuz ama standart jargonu ve dili ile yazıldıkları için okunmaları çok da keyifli değil ama ilgilenirseniz üç belgeyi birden TSE’den toplam 100M lira gibi bir fiyata satın alabiliyorsunuz. Belgelerin listesi şöyle:

• TSE Guide 13268-1: TS ISO/IEC 27001′e Göre Bilgi Güvenliği Yönetim Sistemi (BGYS) Belgelendirmesi için Gereksinimler ve Hazırlık Kılavuzu
• TSE Guide 13268-2: TS ISO/IEC 27001′e Göre Bilgi Güvenliği Yönetim Sistemi (BGYS) Gerçekleştirmelerinin Etkinliğinin Ölçülmesi Kılavuzu
• TSE Guide 13268-3: TS ISO/IEC 27001′e Göre Bilgi Güvenliği Yönetim Sistemi (BGYS) Denetimine Hazırlık Kılavuzu

13 ve 15 Haziran’da sırası ile İstanbul ve Ankara’da düzenlediğimiz iki etkinlik ile Fortify ile iş ortaklığımızı duyurduk, çözümleri anlattık. Fortify’ın doğru üretici, ürünlerin doğru ürünler olduğunu ve ilgi göreceğimizi bekliyordum ama doğrusu beklediğimden de çok ilgi gördük. Mutluluğumu tahmin bile edemezsiniz.

İstanbul’daki etkinlik daha bitmeden bir sonraki gün için dört PoC toplantısı ayarlamıştık bile. İstanbul toplantısının ardından gittiğimiz dört büyük kuruluşta kısa süreli PoC’ler ile kaynak kod incelemesinin onlara sağlayacağı katma değeri somut olarak göstermeye çalıştık.

İki büyük bankada internet bankacılığı uygulamaları üzerinde Fortify SCA’yı çalıştırdık ve inanılmaz sonuçlara ulaştık. SCA yüzlerce kritik güvenlik problemi buldu ve raporladı. Kabaca 15-20dk’lık çalışma süresinde bu kadar çok problem bulmasını gerçekten ben de beklemiyordum, sonuçlar inanılmazdı. Fortify’ın en yakın rakibinden neden açık ara önde olduğunu da canlı olarak görmüş olduk.

Yazılım güvenliği problemlerini daha yazılım geliştirme aşamasında bulabilmek ve iyileştirebilmek muhteşem bir fikir ve Fortify bunu gerçekten süper yapıyor.

Bir süredir Pro-G web sitesini yenilemek üzere çalışıyorum, yoğunluktan çok da başarılı olduğum söylenemez. Görsel tasarımını değiştirmek, renkli-resimli bir şeyler yapmaktan çok siteyi bir içerik yönetim sisteminin üzerine taşımayı planlıyoruz.

Siteyi bir içerik yönetim sistemi üzerine taşımayı ilk teklif ettiğimde ekipten hemen herkes zafiyeti çıktığı zaman ne yapacağız? diyerek itiraz etmişti. Çok sürmeden Can ve Sezai ile birlikte güvenlik problemlerinin de olmayacağı bir kurgu hazırlamıştık. İki sistemden oluşan bir konfigürasyon planlıyoruz. İçeride, yalnızca Pro-G uzmanlarının erişebileceği bir CMS işletiyor olacağız. Wordpress ve Drupal alternatifleri üzerinde çalışıyoruz. İnternet’ten erişilebilen ve DMZ’de yer alan web sunucumuzun üzerinde periyodik olarak yansılama süreci çalıştırmayı ve CMS üzerindeki tüm içeriği wget vb. bir yansılama programı ile kopyalayarak statik içeriğe dönüştürmeyi planlıyoruz.

Bu yolla İnternet’ten kötüye kullanılma ihtimali olan bir yazılım söz konusu olmaksızın bizim içeriğini rahat yönettiğimiz bir web sitesine sahip olabileceğimizi düşünüyoruz. Site içerisinde arama, yorum gönderme vb. özelliklerimiz olamayacak ama her şey planladığımız gibi giderse sonunda oldukça güvenli ve pratik biçimde yönetilebilen bir web sitesine sahip olacağız.