Dayıoğlu Günlüğü

Otomatikleştirilmiş kaynak kod güvenlik denetimi projeleri hız kazanıyor. Fortify ile Temmuz ayında başlattığımız işbirliği sonrasında yazılım güvenliği ile ilgili Pro-G hizmetlerine yeni bir tanesini ekledik; yazılım kaynak kodlarının statik analizi yoluyla güvenlik problemlerinin tespit edilmesi.

Görev kritik yazılımları olan, içeride ya da dış kaynaklı yazılım geliştiren hemen her kuruluş kendilerine bir kaç dakika içerisinde yazılımları içerisindeki güvenlik problemlerini belgeleyen ve iyileştirme önerileri sağlayan otomatikleştirilmiş kaynak kod güvenlik denetimi hizmetlerimize büyük bir sempati ile yaklaşıyor. Yalnızca bir kaç saat içerisinde kuruluşlara ait kaynak kodları inceleyip sonuçlarını değerlendirmeye başladığımızda hemen her kuruluş sonuçları hayretle karşılıyor. Çok kabaca, Java ve .Net uygulamaları için her 1000 satırda 20-25 problemli nokta bulunuyor. Bu araç yokken elle-gözle yaptığımız kaynak kod güvenlik incelemelerini düşündükçe gülümsüyorum, eskiden çok verimsiz ve maliyetli süreç bugün ne hale geldi…

Biraz geç kaldığımın farkındayım ama yine de etkinliğe katılma ihtimali olan Ankara’lılar için haber vereyim istedim. Bir son dakika ayarlaması sonucunda yarın IBM’in Ankara’da gerçekleştireceği Yazılım Güvenliği Zirvesi’ne konuşmacı olarak katılacağım.

Web Servisleri Güvenliği ve Datapower ürün ailesi ile ilgili bir sunumum olacak. Web servislerinin performans, güvenlik ve yönetilebilirlik problemlerinden ve Datapower ürün grubunun bunu nasıl adreslediğinden söz edeceğim sunumun özellikle yazılım uzmanlarının ilgisini çekeceğini düşünüyorum. Etkinliğe katılacaklardan blogumu okuyanlar varsa görüşmek de isterim.

Bu etkinlikle birlikte haftanın ilk iki gününde iki sunumum oldu; pazartesi IBM etkinliğinde web servisleri güvenliği ve Datapower ürün grubu, salı ise McAfee ile düzenlediğimiz etkinlikte Zafiyet Yönetimi ve Foundstone ürün grubu üzerine konuşacağım.

Bundan bir yıl kadar önce kritik bilgilerin kuruluş sınırları dışına sızmasının kontrol altına alınmasını sağlayan teknolojileri incelemeye almış ve bu konuda çalışan lider firmalar ile haberleşerek onlar ile Türkiye pazarında neler yapabileceğimizi değerlendirmeye çalışmıştım. Her zamanki gibi (bkz. Burak ve Sygate, Burak ve PointSec, Burak ve Bharosa) burada da konsolidasyon tam gaz devam ediyor, zemin gene değişti.

McAfee bu alanın niş oyuncularından birisi olan Onigma’yı alarak kapıyı açtı, Websense PortAuthority’i satın alarak devam etti. Kısa bir süre önce RSA (EMC) gidip Tablus’u aldı ve bugün gecikmiş şekilde öğrendim ki Raytheon da OakleyNetworks’ü almış. Diğerleri değil ama Raytheon’un Oakley’i alması beni çok şaşırttı; onların bu alana gireceklerini biriis söylese inanmazdım. Türkiye’de kimler var bu alanda derseniz McAfee ve Websense’in olduğunu, azıcık ittirir ve uyandırırsanız EMC’nin de olduğunu (ya da olacağını) söylemek mümkün.

Symantec sonunda adam akıllı bir antivirüs yapmayı başardı. Pro-G’yi kurduğumuzdan bu yana antivirüs konusunda Symantec’ten hep uzak durduk. Bilgisayarı sürüm sürüm süründüren Symantec antivirüs sonunda Symantec’in Sygate’ten aldığı teknolojiler ile birleşerek Symantec Endpoint Protection (SEP) adı ile piyasaya sunuldu.

Bu aletin içerisinde bir antivirüsten oldukça fazlası var. Güvenlik duvarı, IPS, çevre birim kontrolü (USB, bluetooth, CD/DVD vb.) ve uygulama kontrolü özellikleri eklenmiş bir antivirüs var. Bu özelliklerin tümü çalışıyorken bile eski Symantec antivirüslerden çok daha az yer kaplıyor ve bilgisayarı ciddi biçimde daha az yoruyor. Eğer siz de benim gibi bu konuda Symantec’ten hep uzak durduysanız bilin ki durum değişti. Pek çok müşterimiz SEP kullanmaya başladı ve hepsi çok memnunlar.

Geçtiğimiz pazar bizim ekibin yazılım geliştirme yöneticisi Sezai Yılmaz ile Fortify eğitimi için İspanya’ya gittik, perşembe akşamı da döndük. Vakit bulursam (bu ara pek sıkıntılıyım) İspanya ile ilgili de yazmak isterim ama unutmadan THY ile ilgili anılarımı kaydetmek istedim, unutmak istemiyorum.

Hem gidiş hem de dönüşte birlikte seyahat ettiğimiz THY kabin ekibinin ciddi İngilizce problemleri vardı, uluslararası uçuşlarda bunu gördüğüme çok şaşırdım. Gidişte İspanyol yolculara chicken or pasta diyeceğine chicken your pasta deyip cevap almayı bekleyen hostes içimi cız ettirdi. Düzeltmek için müdahale etsem ukala damgası yiyeceğim diye müdahale de edemedim ama chicken your pasta? sorusuna aval aval bakan yabancıların durumu da tahmin edemeyeceğiniz kadar komikti.

Gidişte kabin ekibinden bir beyefendi ile ahbap oldum, yeni laptop almış. Laptop’ının ses kartı problemlerini giderdim, karşılığında bizi business class boş, sizi oraya alayım rahat edersiniz dedi ama kendime yediremedim; gitmedik. Onun yerine bize çok sayıda korsan film kopyaladı. Yolda ve İspanya’da kaçırdığım filmlere vakit ayırma imkanı buldum. Casino Royale ve The Detonator’ı seyrettim, her ikisi de çok iyiydi; diğerleri sırasını bekleyecek.

Dönüşte Madrid’de hava alanında tek sürünen yolcu grubu THY yolcularıydı. Sadece check-in sırasında 45 dakika beklemek zorunda kaldık, hiç bu kadar beklememiştik. Dönüş yolunda da hosteslerin ingilizcesi ciddi şekilde zayıftı, yolcuları ile güç bela anlaştılar.

Yolculuğun en rezil tarafı ve THY’nin ingilizce bilmeyen kabin ekibinden çok ama çok daha beter ayıbı İstanbul’dan Ankara’ya dönüşte hava alanında beklememizdi. 21:00 uçağı için salona 20:40′ta gittik. Saat 21:00′a kadar tehir anonsu yapılmadı, saat 21:05′te bir hanımefendi lütfetti geldi ve 21:20′de uçağa binebildik. THY tehir duyurusu yapmadığı için resmi olarak zamanında kalkış performansını da (sanırım) bozmamış oldu, olan bize oldu.

Parası ile bilet satıyorlar, alıyoruz, kalkış gecikiyor ve bize hiç bir açıklama yapılmıyor, sonunda THY kağıt üzerinde gecikmiyor ve performansı üst düzeyde kalıyor. Yaşasın THY, yaşasın bize çektirdiği rezillik.