Hüzeyfe Önal

Site`nin ilk konuğu için EnderUnix ekibinden arkadaşım olan ve kendini geliştirmeyi hiç bırakmayıp bir taraftan da kişiliğinden hiç ödün vermeden, hani şu “Bulunduğu yere alninin teriyle geldi” sözünün tam karşılığını görebileceğimiz Huzeyfe Önal`ı konuk etmek istedim.

Açıkkod:Bize kendinizden bahsedermisiniz

H.Ö:Hmm zor bir soruyla roportaja başlıyoruz. Kisaca ben: doğduğum yer İzmir, doyduğum yer İstanbul…

Bilişim konularına merakım beni Bilgisayar mühendisi olmaya zorladı. Bilgisayar mühendisliği okumaya başlayınca da merakım güvenlik üzerine yoğunlaştı ve bugün  hala bu konu üzerinde bitmek bilmeyen bir merakla çalışıyorum.
Merak, özgürlük, samimiyet kelimeleri favori üçlüm.

Sizin gelisiminizi EnderUnix  grubundaki gunlerden hatirliyoruz. Guvenlik sektorune gecisiniz nasil oldu?

Evet Enderunix ekibi –bence- Türkiye’de ekip olarak iş yapabilmenin nadide göstergelerinden biriydi. Enderunix’e girmeden once de çok çalışırdım ama çalışmalarımın birilerine faydalı olacağı düşüncesinde değildim. İlk olarak sağolsun İsmail Yenigül bir ziyaretinde bilgisayarımda yazdığım dökümanları görüp bunları başkalarıyla da paylaşsana diye sitem edince ben de çalışmalarımı paylaşmaya başladım.

Sonraları Linux’den FreeBSD/OpenBSD’e geçiş  süreçlerimde edindiğim tecrübeleri vs paylaştım. Türkiye’de paylaşım ruhu çok olmadığından bazı konularda ismim geçmeye başladı. Tabi benim asıl amacım güvenlik üzerine uzmanlaşmaktı ve kullandığım tüm sistemleri amaç değil araç olarak görüyordum.
Enderunix’den artık unix/Linux sistemlerle çok ilgilenemeyeceğim için ekibin motivasyonunu bozmama adına ayrıldım ve lifeoverip.net üzerinden kişisel çalışmalarımı yürütmeye başladım.

Turkiye deki guvenlik sektoru ve guvenlik konusuna verilen onem hakkinda dusuncelerinizi paylasir misiniz?

2007 yılına kadar şöyle düşünürdüm: Türkiye’de güvenlik sektörü belli bir doygunluğa ulaştı  artık çok yapacak birşey yok. Bu düşüncemin oluşmasında benim çalıştığım uluslararası firmaların güvenliğe gerçekten önem vermesi geliyordu. Öyle ki 2004 yılında çift katmanlı  Firewall/IPS, NAC/802.1x, Web Application Security gibi kavramlar gündelik hayatımızı oluşturuyordu. Hal böyle olunca ben herkesin aynı  güvenlikte olduğunu düşünüp artık yapacak birşey yok derdim. Istanbul’a yerleştikten sonra burada çeşitli firmalara danışmanlık yaptım ve o zaman gerçek Türkiye’nin güvenlik yüzünü gördüm. Türkiye’de güvenlik bilişim içerisinde en geriden gelen sektördü  yapacak çok iş vardı.

Yabancı ortaklı firmalar kendi standartlarına uyum sağlama adına güvenliğe önem veriyorlar. Bankalar, GSM firmaları gibi büyük firmalar  da büyük ölçüde güvenliği ciddiye alıyorlar. Ama orta ölçekli firmalarda güvenlik = masraf gibi görünüyor ve genelde ciddi biro lay yaşamadan önlem alınmıyor.

Küçük ölçekli  firmalara hiç değinmiyorumJ

Türkiye’de güvenlik anlayışında gördüğüm en temel sıkıntılar: standartlara bağlı olmadan işletilmeye çalışılan güvenlik operasyonu, teknik bilgi birikimi olmadan yapılmaya çalışan güvenlik işleri ve yurtdışına sıkı bağlılık.

Social engineering ve Turkiye deki yeri?

Bu konu Türkiye insanı için başlı başına bir sıkıntı. Bugün Türkiye’de sosyal mühendislikla ele geçirilmeyecek bilgi yok gibidir. Hatta bu konu bizim genlerimize işlemiştir, çoğumuz yolculuk esnasında ya da otobüs, taksi beklerken yaptığımız muhabbetlerde soyumuzun detaylarının sorulduğuna şahit olmuştur. Bu sorgu işlemini yapanlar sosyal mühendislik amacıyla yapmazlar fakat bu ilerde sosyal mühendislik amacıyla yapılmayacağı anlamına gelmez.

Ben genelde işim gereği mesleğim sorulduğunda bilgisayarcı derim, ara ara gafil avlanıp güvenlik işi yapıyorum dediğimde ise hemen merak konusu olur, merakın  ötesinde garip isteklerle karşılaşırım.

Kısaca sosyal mühendislik Türkiye için güvenlik açısından en ciddi sıkıntılardan biri fakat güvenlik işi yapanlar/meraklılar bu konuda özel hassassiyetlere sahipler.

Ya O day exploits hakkinda ne dusunuyorsunuz?

0 day kavramı bizim gibi siber güvenliği ciddiye almayan ülkeler için felaket anlamına geliyor. Ortalama bir açıklığın giderilme süresinin 2-3 ay olduğunu düşünürsek 0 day açıklıklar konusunda bizi ayakta tutan şeyin  şans olduğunu düşünüyorum. Güncel bir örnek olarak son çıkan Bind açıklığını örnek verebiliriz. Açıklığın çıkmasından bir hafta sonra yaptığım kısa bir yoklamayla Türkiye’deki en ciddi kurumlarında %80’inin hala güncellemelerini yapmadığını gördüm. Bu kurumların arasında özel şirketler de var. Hatta bu şirketler çoğu zaman karşımıza güvenlik şirketi olarak çıkıyor ve bize yamalarımızı zamanında yüklememizi öneriyorlar.

0 day exploitlere karşı gerçek dünyayında yapacağı pek birşey yok. Piyasada 0 day exploitleri engellediği söylenen ürünlerin çoğu bunu başaramıyor. Dolayısıyla proaktif güvenlik ihtiyaci ortaya çıkıyor. Eğer güvenlik dünyasını  takip ediyorsanız bu tip geneli etkieleycek 0 day açıklıklardan erken haberddar olursunuz ve gerekli önlemleri alırsınız. Örnek olması açısından bu sene 3 tane 0 day’I Netsec listesinde yayınlanmasıyla eş zamanlı duyurdum, bu da listeye üye arkadaşların erken önlem alabilmelerine yardımcı oldu.

Calistiginiz kurumlarda veya kendiniz en fazla hangi tur saldirilarla karsilasiyorsunuz?

Son 5 yılda çalıştığım kurumlar genelde Türkiye’nin en yoğun saldırı alan kurumlarıydı. Bunun sebebi günlik hayatımızda çok yer almaları ve dikkat çekmeleri. Çalıştığım şirketler hariç danışmanlık yaptığım şirketlerde de çok çeşitli tip saldırı tipleriyle karşılaştım.

Saldırı tiplerine gelince; herkes gibi biz de çoğunlukla web üzerinden gelen ataklarla karşılaşıyoruz. Web üzerinden gelen ataklar genelde yazılan proramlardaki kodlama  hatalarından kaynaklanıyor. Bunun sebebi de bu konuda henüz bir standartlaşmanın yaygınlaşmamış olması.

Bunun haricinde zaman zaman ddos türü ataklar da yapılıyor. Bu tip yıkım amaçlı saldırılar –eğer daha önceden tecrübe etmediyseniz- ciddi zararlar verebiliyor. Hosting firmalarında ise daha çok MITM tipi ataklarla karşılaşıyoruz.

Bir de spam saldırıları ve botnet’lere dahil olmuş zombie makinelerden gelen çeşitli saldırılar var.

3 G teknolojisinin gelmesi ile artik mobil internet cagi Turkiye yi de yakalamis olacak. Bu teknolojiyi guvenlik gozuyle nasil goruyorsunuz?

ADSL gibi geç gelmiş bir teknoloji 3g, teknolojik olarak 2005 yılında geçebileceğimiz bir altyapı olsa da çeşitli nedenlerden bugüne kaldı.

3g denilince akla iki farklı  senaryo geliyor. Handsetlerinde 3g bağlantısı kullananlar, laptop, netbook gibi sistemlerden 3g bağlantısı kuranlar.

3G ile birlikte artık hepimiz yürüyen IP-Man olacağız. Her yerde TCP/IP bizimle birlikte olacak. Bu da TCP/IP üzerinde yaşanan güvenlik sıkıntılarının tekrar yaşanacağı anlamına geliyor.

Güvenlik açısından dial up bağlantıdan çok farkı yok. Yaşanacak en büyük sıkıntılardan biri Windows makinelerin 3g networküne Firewall’suz bağlanması ve çıkacak ilk açıklıkta zombie ordusunun oluşması. Bu konuda operator firmalara çok iş düüyor. Müşterilerini koruyan bir operator için 3G güvenlik açısından sorun olmayacaktır.

Turkiye nin 10 yil sonraki durumunu nasil goruyorsunuz?

Bunu tahmin etmek aslında çok zor. Özellikle Türkiye gibi henüz bazı konularda merdivenin ilk basamağında olan bir ülkede bir yıl sonrasını bile tahmin etmeye çalışmak zordur. Yine de iyimser bir tahminde bulunmak gerekirse 10 yıl sonra çok daha hızlı internet bağlantılarına sahip olacağız, bu da DDOS saldırılarının daha da artacağına işaret olabilir. Bağlantıların artık mobil cihazlarda da kullanılabilmesiyle özel hayatlarımız daha da zedelenecek. Web güvenliğinden sonra istemci güvenliği altın devrini yaşayacak, açık kaynak kod yazılımlar güvenlik dünyasında daha fazla yer tutacak vs..

Bildigimiz gibi istsec konferansinda yer aldiniz. Bu konferanstan biraz bahsedermisiniz?

Istsec benim uzun zamandır hayalini kurduğum bir etkinlikti. Bunun için çeşitli arkadaşlarla zaman zaman görüşüyordum fakat bir türlü ilk adım atılamıyordu. Sonunda aynı düşünceleri besleyen Halil ÖZTÜRKCİ ile bir konuşmamızda ilk adımın tohumlarını attık ve sonrasında Microsoft & RSA ve ADEO’un sponsorluğunda ilk etkinliği düzenledik.

Aralık ayında ikincisi düzenleyeceğiz ve sanırım Türkiye’de bir ilki gerçekleştireceğiz. Güvenlik konusunda yapılan bir etkinliğin açılış konuşmasını   üst düzey bir devlet görevlisi yapacak ki bu da güvenliğe verilen önemi arttıracak.

Ayrica guvenlikegitimleri.com adresi altinda faaliyet veren kurumunuzda egitimler veriyorsunuz. Bu egitimlere ilgi nasil? Egitimlere gelen arkadaslarimizin genel olarak bir profilini cizebilir misiniz?

Guvenlikegitimleri.com aracılığıyla verdiğimiz eğitimlerde genelde katılımcılar Türkiye seviyesinin üzerinde. Zaten bu eğitimlere meraklıları geliyor, bazı  eğitimlerden once katılımcılara eğitimle ilgili bazı sorular sorup ön eleme yapıyoruz.

Eğitimlerle ilgili dikkatimi çeken önemli bir konu, saldırı içerikli eğitimler savunma içerikli ğieitmlerden daha fazla talep alması. Evet saldırı içerkli ğitimlerinde amacı proaktif güvenliği sağlamak fakat insanlar sadece saldırı yöntemlerini öğrenerek savunma yapamazlar. Önce savunmayı öğrenip sonra saldırı yöntemleriyle pekiştirmek gerekir.