icerige gec

Hacklenmediniz mi? O zaman hala sıradasınız…

Aralık 15, 2010 yazan SpyMasterSnake

Çok gezen çok bilir, çok bilen de mutsuz olur derler halk arasında. Çok bilgi ne zamandan beri mutsuzluk vermeye başladı? Çağımız bilgi çağı değil midir? …

Çok bilmek mutsuzluk getirir mi bilemem ama, güvenlik konusunda çok bilmek bazen size huzursuzluğun kapılarını aralayabiliyor. Şöyle dönüp geçmişe baktığımda, 10 sene kadar öncesi, 1999 yılına döndüğümde, o zamanki güvenlik şartlarını değerlendirmekten kendimi alamıyorum. Nice dünya devi saydığımız firmanın; bilgilerimizi o zamanlar tereddütsüz emanet ettiğimiz kurumun, bugün ortaya çıkan güvenlik açıklarından aslında o zamanlar ne denli etkilenebileceğini bilmek insanın kanını donduruyor. Öyle ki; bugün artık herkesin bildiği, bulunmuş açıklar, o zaman da kritik görevlerde kullanılan büyük firmaların sistemlerinde mevcut idi. Ancak bilinmiyorlardı. Belki de bilmemek burada “sahte güven” duygusunun anahtarıydı. Eminim ki, o açıkların orada olduğunu bilen bir sistem yöneticisinin uykuları kaçacaktı, mutsuz olacaktı. Çünkü artık, sıradakinin kendisi olabileceğinin bilincine varmış olacaktı. Galiba haklılar, çok bilmek bazen mutsuzluk da getirebiliyor…

Bir güvenlikçi gözüyle baktığımda benim bu bilincin farkına varmam için, “bilmem” yetiyor.  Bildiğim şey ise, güvenliğin her an bozulmaya müsait, bu yüzden titizlikle korunması gereken önemli bir gereksinim olması. Ya peki bilmeyenler? Bu bilince ulaşmak için sıra bekleyenler? Onlara da bir şekilde ulaşmak lazım, lazım ki; onlar sıralarını beklerken aynı zamanda da, gelebilecek saldırılara karşı hazır olsunlar.

Bugün bilgi teknolojileri hayatın her alanına girmiş durumda. İnternet kullanıcı sayısının dünya genelinde artmasıyla, kişisel bilgi güvenliği artık gündelik hayatın içinde herkesin bilip de çoğu kez bilincine varamadığı bir unsur. Bireysel olarak yayılıp, önem kazanan bir teknolojinin, kurumsal tarafta öneminin artmaması gibi bir ihtimal olamaz elbet. Devlet işlerinden, kobilerin  bilişim ihtiyaçlarına varana kadar, birçok bilgi teknolojilerinin kullanıldığı alanda, bilgiyi, güvenlik unsurundan ayırmak olanaksız.

Hayatında bilgisayar görmemiş, kullanmamış bir vatandaşın bir kurumda ,erişilmez olan, çalışmayan, kilitlenen bir bilgisayar sistemi tarafından mağdur edilmesi, olası bir senaryo değil, gündelik hayattan alınma bir örnektir. Bu durumda, kim diyebilir ki; güvenlik lüks’tür?

Gökhan Muharremoğlu

Yorumlar

Güvenliğin Doğası

Aralık 30, 2010 yazan SpyMasterSnake, 6 yıl 50 hafta önce
Comment: 411

Selamlar,

Seneler mertebesinde kurumsal yaklaşımlarda ve içinde bulunduğum danışmanlık hizmetlerinde gördüğüm bu "yumurta - kapı" algısı zaman içinde azalmakta. Bunu da tabii ciddiye alanlar, belli olgunluğun üzerine çıkmış büyük holdingler ve firmalar.

Danışmanlık hizmeti verdiğimiz bankalar da dahil olmak üzere, birçok yerde mutlaka yüksek seviyede açıkların çıkması, bu işin önemini tekrar gözler önüne seriyor.

Güvenlik öyle bir mantıksal yaklaşım ki; en iyi programcılar ve sistemciler sizin bünyenizde de olsa, bu iyi bir güvenliğinizin olduğu anlamına gelmiyor. Tamamiyle ayrı bir mecra, tamamiyle ayrı bir emek verilmesi gereken alan.

Bunun ciddiyetini başı ağrıyana kadar anlamayan kurumlar, başı ağrırken ağrı kesicilerin bile dertlerine deva olmadıklarını anlayacaklar.

Yorumlarınız için çok teşekkürler. :)

Berbaer el ele verip, ülkemiz bilişimine katkıda bulunmamız, gvenliğin lüks olmadığını duyurmamız ve bilgilerimizi emanet ettiğimiz yerleri daha güvenilir kılmamız gerekli.

E-Devlet yapısına geçilirken, bir güvenlik uzmanı olarak tüylerim ürperiyor. Çünkü biliyorum.

Yazılım güvenliği mi? Güvenlik mi? O da ne?

Aralık 23, 2010 yazan homeros, 6 yıl 51 hafta önce
Comment: 409

homeros kullanıcısının resmi

Ellerine sağlık yazın için, bende bir kaç şey söylemek istedim yazdıklarını okuyunca...

 

1996 yılından bu yana IT sektörünün içerisindeyim, pek çok proje deneyimi yaşadım ( umarım dah da çok yaşarım) ve özetle gördüğüm kimsenin güvenlik işini pek önemsemediği...

Öyleki 100 lerce bayisi olan bir firmaya danışmanlık için gittiğimde kullanılan sistemde tek bir antivirüs yazılımı dahi olmadığını görmek (var olanlar crackli ve süresi dolmuş oluyor genellikle), herhangi bir IT altyapısı olmadan binlerce insanın bilgilerini tuttuğuna şahit oldum ve olmaya ne yazık ki devam ediyorum. ( Örn: 120 bayisi olan bir firmanın erişim şifreleri aynı ve ana sunucu erişimi de bu şifre ile sağlanıyor ek olarak bu şifre programın içine gömülmüş  ve yetmiyor gibi DB şifresi de bu şifre :)) )

3 yıl önce büyük bir ilaç firması program yazdırmak için başka bir firmayla anlaşmış ( İlaç firması yabancı) ve bizden yazılım yazacak firmanın süreçlerini ve güvenlik prosedürlerini denetlmemizi istedi. Gördüğümüz durum içler acısıydı diyebilirim, yazılım firmasının bırakın yazılım süreç analiz ve prosedürlerini kendisi ile ilgili bir sürü güvenlik riski taımakta idi ( kodları usb belleklerde bir oraya bir buraya taşımaları, veritabanlarını evden çalışmak için dışarıya açmaları vb )....

Anlayacağınız özetle ben daha bugüne kadar bu işi ciddiye alıpta ( Bunlara büyük holdingler dahil, büyük kurumlar dahil) önemseyenine pek rastlamadım...Firmalara her gün açıkları ile ilgili mail atmama rağmen geri dönen 10 kişide bir kişi oda sanane gibi cevaplar oluyor genellikle yada biz biliyoruz zaten açık olduğunu diyorlar :)))

Dediğin gibi bir gün %100 haklanacağız eminim işini düzün yapmayanlar, işini düzgün yapanlara saygı duymayanlar ve emeğe değer vermeyenler yüzünden hepimiz bir gün HAKLANDIN yazısını bir şekilde göreceğiz..

 

Merhabalar Gökhan

Aralık 20, 2010 yazan ibrahimakgul, 6 yıl 51 hafta önce
Comment: 408

Merhabalar Gökhan bey, 

Spymastersnake forumlarından eski bir dostunuz ve sektörde aynı pozisyonu paylaşan bir meslektaşınız olarak belirttiğiniz hususlara kesinlikle katıldığımı belirtmeliyim. Yaklaşık 2 sene önce kendi blogumun ilk post'unada sizin gibi bu derin yaranın başka bir boyutuna parmak basarak değinmeye çalışmıştım: http://kernelturk.blogspot.com/2009_05_01_archive.html

Şahsi görüşüm bu derin güvenlik boşluğuna sebep olan ana sebep; Sistem Yöneticiliği ve Yazılımcılığı arasında ki sınırların gittikçe birbirinden uzaklaşmasıdır.