Dayıoğlu Günlüğü

Uzun zamandır duyuru ile eğitim sınıfı açmıyorduk, 2008 içerisinde bir kaç ayda bir farklı eğitimlerimizi duyurulu açmaya karar verdik. Bu çerçevede ilk eğitimlerimizden birisi 28 Şubat - 1 Mart arasında Antalya Kervansaray Otel’de düzenleyeceğimiz Web Uygulama Güvenliği eğitimi olacak. Güvenli yazılım tasarımı, geliştirilmesi ve testini konu edeceğiz. Eğitimi ben vereceğim.

Eğitim konusu, programı ve katılım koşulları ile ilgili bilgiler için eğitim broşüründen eğitim broşürüne göz atabilirsiniz. Kayıt ve koşullar ile ilgili olarak bizim ekipten Ezgi Yüce (312-4733512) ile görüşebilirsiniz.

Bu arada, 11-15 Subat arasinda Istanbul’da Bilge Adam ile birlikte CHFI (Certified Hacking Forensics Investigator) eğitimi veriyoruz. Eğitimi bizim ekipten Halil Öztürkci arkadaşım verecek. Eğitimin içeriğine buradan erişebilirsiniz. CHFI eğitimine kayıt ve koşullar için Bilge Adam’dan Çiğdem Gülsoy (212-2164242/518) ile görüşebilirsiniz.

Youtube’a erişimi kapatmanın pratik faydasını gerçekten görmüyorum. Hatta Youtube’a erişimin engellenmesine inanamıyorum. Atatürk’ü küçük düşürecek videolar varmış; Türkiye’den erişimi engelleyince problemi çözdük mü? Bence bir kaç ciddi problem var burada, aklıma geldiği gibi (saat gecenin körü oldu) yazıverdim:

• Youtube kocaman bir kütüphane, iki tane problemli kitap var diye tüm bir kütüphane yasaklanabilir mi?
• Haddinden fazlasıyla geniş (amacının çok üzerinde) böyle bir sansür uygulaması bizi milletçe dünya (teknoloji) basınında manşet yapmayacak mı? Elde edilecek fayda bu olumsuz yayımları görmememize neden olacak kadar yüksek midir gerçekten?
• Fayda demişken, bu videolara yurt dışından ve başka milletlerden insanların erişmesi çok daha kötü değil mi?

Genel yaklaşımı anlıyorum ve teyid ediyorum. Genelinde sansür kesinlikle yapılmamalı diyenlerden de değilim ama tutup da problemli içerik var diye Internet’in en popüler sitelerinden birisinin fişi çekilince insanın keyfi de kaçıveriyor.

Onlar ermiş muradına, biz çıkalım kerevetine. Oracle uzun süredir uğraştığı BEA alımını nihayet sonuçlandırdı. Az değil, tam 8.5 milyar dolar ödedi. Bu alım yılın ortası gibi tamamlandığında Oracle orta katman yazılımları alanında açık ara lider haline gelecek ve IBM ile farkı ciddi şekilde açacak gibi görünüyor.

Oracle hem üst uc projelerde BEA’e kaptırdığı ara katman yazılımı işleri nedeniyle hem de Peoplesoft’un BEA yazılımları üzerinde çalışıyor olması nedeniyle teknolojik avantajlar elde etti. Firmayı satın alarak kazandığı yeni müşterilerden söz bile etmiyorum…

IDC’nin yıllık Security Roadshow etkinliği de olmasa güvenlik sektörünün babalarını dünya gözüyle Türkiye sınırları içerisinde görmek de mümkün olamayacak vallahi. Bu seneki IDC Security Roadshow 19 Şubat’ta İstanbul Swissotel’de yapılacak ve Marcus Ranum da konuşmacı olarak geliyor.

Etkinlikle ilgili bilgilere buradan erişebilirsiniz. Ranum, siber savaş ve siber terör üzerine konuşacakmış; Information Security dergisinin bu seneki sayılarından birisinde Bruce Schneier ile siber savaş ne kadar gerçek bir tehdit sorusu çevresinde çok sıkı kapışmışlardı. E-posta üzerinden çalışan TCP yazmış, ilk proxy firewall’u kodlamış ve bizim Türkiye temsilcisi olduğumuz Fortify’in teknik danışma kurulu üyesi olan Ranum’u izlemeyi merakla bekliyorum. İnşallah aksilik olmaz da etkinliğe katılabilirim.

Bir süredir PCI standardının son güncellemeleri ile ilgili bir konuyu netleştirmeye çalışıyorum ama bir türlü netleştirmeyi beceremedim. Konuyu sorduğum hemen herkesin de kafasını ciddi şekilde karıştırdım, kimse net bir cevapla çıkamadı. Bir de günlüğüme yazayım dedim, bakalım yorumlar ile bir açılım sağlayabilecek miyiz…

PCI veri güvenliği standardının güncel (1.1) sürümünün parçası belgelerin birisi Technical and Operational Requirements for ASVs. Bu belgede akredite tarama sağlayıcılarının uymaları gereken kurallar ve çalışma biçimi ile ilgili standartlar tarifleniyor. Belgenin 2-3 numaralı sayfasında Obsolete Software (Obsolete geçersiz / eskimiş / köhnemiş / terk edilmiş anlamları ile Türkçe’ye çevrilebiliyor) ile ilgili bir tarif var:

ASV’ler terk edilmiş ve üreticileri tarafından artık desteklenmeyen yazılımları (örneğin uygulama yazılımları ya da işletim sistemleri) belirlemeli ve bunları uyumlu değil (non-compliant) biçiminde raporlamalıdır. Terk edilmiş yazılımlar kuruluşların altyapısını güvenlik zafiyetlerine açık hale getirebilir.

Bunu okuyunca özgür yazılımların durumunun ne olacağını anlayabilen beri gelsin. Örneğin kuruluş Apache 2.2.0 kullanıyor, Apache’nin en yenisi de 2.2.6. Sizce eski sürüm Apache kullandığım için standarda uyumsuz sayılabilir miyim? Standart böyle anlaşılmaz olacak kadar yusyuvarlak mı yazılır Allah aşkına?

Koşturmaktan uzun zamandır yazamamıştım, taze bilmillah deyip bugün tekrar başlayayım dedim. 2007′nin son ayları çok yorucu ve kaotikti. Hiç bu kadar çok konu ile aynı anda uğraştığımı anımsamıyorum ama sanırım artık her şey yoluna girmeye başladı.

2007′de Dayıoğlu ailesine Umut adam katıldı, yılın önemli bir bölümünü herif ile güreşerek geçirdik. Bülent abi başta epey kıskançlık yapsa da sanırım artık kardeşine alışmaya da başladı.

Pro-G açısından yılın geneline bakıldığında gene iyi bir yıldı. Yılın son çeyreğinde kamu alımlarının dalgalanması bizi üzse de yine bir önceki seneye göre iş hacmimiz önemli bir büyüme gösterdi. 2007′nin sonunda iki yeni üretici ile birlikte çalışmak üzere anlaştık, bir kaç haftaya duyurularını yapmaya da başlarız.

Başladık bir kere, yazarım bundan sonra sık sık…

Umut (ikinci oğlumuz) doğduğundan beri evde telaşe hiç eksik olmadı. Sanki Bülent’in ilk yılında bu kadar yorulmamıştık (ya da Bülent ilk diye biz daha rahattık). Son bir haftaya kadar Umut benim ve Berna’nın evde olduğu tüm zamanı kucakta ya da birlikte oyunla geçirmek için ısrarcı oldu, canımızı çıkardı. Sonunda, daha yeni yeni, kendi başına oynamaya ve mızıldamamaya başladı. Bu günlerde yürüme antremanlarına başladı, sanırım doğum gününe kadar yürüyor olacak.

Son iki akşamdır Bülent’in yerli malı haftası için ezberlemesi gereken şiir için çalışıyoruz. Şiir tek kelimeyle çok şapşal. Şiirin adı Ayva ve tahmin edeceğiniz gibi meyve olan Ayva ile ilgili:

Sarı sarı rengim var
Ne güzel de kokarım
İstersen reçel yap ye
İstersem kompostomu

İşte bu şiirin son sözcüğü benim oğlanın bittiği yerdir. 15-20 sefer idman yaptıktan sonra ancak kompostumu diyebildi. Aralarda mompospomu, kompompomu, pompompomu da dahil olmak üzere bir sürü saydı döktü; söylemeyi beceremeyince de ağladı kuzucuk. Neyse ki yatana kadar gönlünü yapabildik ve şiirini ezberledi. Umarım artık yarın unutmadan okulda da okuyabilir.

OWASP Türkiye, Çankaya Üniversitesi ile birlikte Web Güvenliği Günleri, Ankara başlığı ile bir etkinlik düzenliyor. Kurulduğu günden bu yana hem bireysel hem de Pro-G olarak desteklediğimiz OWASP-TR ile bu etkinlikte de birlikteyiz. Pro-G olarak etkinliğe sponsor olduk ve ben etkinlikte yazılım geliştirme sürecinde güvenlik testleri ile ilgili bir sunum yapacağım.

Geliştirme sürecinde testin anlam ve öneminden, kapalı kod ve açık kod inceleme/test imkanlarından ve araçlarından söz etmeye çalışacağım. Etkinliğe ilişkin programa buradan erişebilirsiniz.

Otomatikleştirilmiş kaynak kod güvenlik denetimi projeleri hız kazanıyor. Fortify ile Temmuz ayında başlattığımız işbirliği sonrasında yazılım güvenliği ile ilgili Pro-G hizmetlerine yeni bir tanesini ekledik; yazılım kaynak kodlarının statik analizi yoluyla güvenlik problemlerinin tespit edilmesi.

Görev kritik yazılımları olan, içeride ya da dış kaynaklı yazılım geliştiren hemen her kuruluş kendilerine bir kaç dakika içerisinde yazılımları içerisindeki güvenlik problemlerini belgeleyen ve iyileştirme önerileri sağlayan otomatikleştirilmiş kaynak kod güvenlik denetimi hizmetlerimize büyük bir sempati ile yaklaşıyor. Yalnızca bir kaç saat içerisinde kuruluşlara ait kaynak kodları inceleyip sonuçlarını değerlendirmeye başladığımızda hemen her kuruluş sonuçları hayretle karşılıyor. Çok kabaca, Java ve .Net uygulamaları için her 1000 satırda 20-25 problemli nokta bulunuyor. Bu araç yokken elle-gözle yaptığımız kaynak kod güvenlik incelemelerini düşündükçe gülümsüyorum, eskiden çok verimsiz ve maliyetli süreç bugün ne hale geldi…