Bugün Microsoft Türkiye ofisinde istsec ‘in düzenlediği istanbul güvenlik konferansındaydım. Yalnız değildim tabi ki. Yüz yüze görüşme fırsatı yakaladığım Bünyamin ‘de benimleydi. Güzel, farklı ve bol bilgi dolu bir gün geçirdim. Seminerde hangi konular üzerinde durduk bunları yazımın ilerleyen dakikalarında detaylı olarak sizlerle paylaşacağım.

Seminere geçmeden önce Microsoft ‘un ofisinde dikkatimi çeken bir kaç noktayı sizinle de paylaşmak istiyorum. Orada çalışan hocalarım ve arkadaşlarımında dediği gibi güvenliğin gerçekten üst düzeyde olduğunu gördüm. Girişte ki verdikleri kartla asansörde bile her kata çıkamadık. Çünkü kartımız ziyaretçi kartı olduğu için bazı katlara erişmeye hakkımız yoktu. (kendimi ezik gibi hissettiğim an budur işte : ) İşin daha da ilginç kısmı teras katına çıktığımızda balkona çıkmak için kapının yanında ki exit butonuna basmak gerektiğini fark ettik ama beni daha da şaşırtan balkondan tekrar binaya girerken kapının kart göstermeden açılmaması. Sanırım binaya dışardan birisi girmesin diye alınmış bir güvenlik önlemi. Taktir ettim doğrusu.

Lafı uzatmadan seminer ile ilgili size de faydalı olacak bir kaç not düşmek istiyorum..

IstSec 2009 Etkinlik Programı

(10:15-10:30) CTF Yarışması Tanıtımı ve Kuralların Bildirilmesi

CTF (capture the flag) “guvenlik konferanslarinda/seminerlerinde/etkinliklerinde yapilan yarisma.
en kaba tanimiyla; takimlar, bir digerinin sistemindeki flag’i kapmaya calisir.” diyor ekşi sözlük Ben biraz daha tanımı açarsam yarışmacılar var olan senaryo içerisinde bayrağı kapmaya çalışıyorlar. Bayrak dediğimiz şeyde bir dosya olabilir. Yarışmacılar wireless,  unix ve web uygulamarını kırıp dosyaya ulaşmaya çalıştılar. Detayları son partta anlatacağım.

(10:30-11:15) Uçtan Uca Güvenlik (Microsoft’un Güvenlik Vizyonu) – Mehmet Üner

Mehmet Bey bizlere Microsoft ‘un güvenlik politikasından, güvenliğin Microsoft için ne demek olduğundan, kullanıcıların ve ürünlerin güvenliğinden bahsetti. Yakın zamanda microsoft ‘un ücretsiz anti-virüs programının da çıkacağının haberini verdi bize seminerde.

(11:15-11:30) Çay & Kahve Molası

Ohh kahvelerde mis gibiydi : )

(11:30-12:15) Information Centric Approach to Security – Zion Zatlavi (RSA)

İsrail ‘den Zion Zatlavi bizlere Microsoft için geliştirdikleri ve Microsoft ‘a destek oldukları alanlardan ve Microsoft ‘un sharepoint teknolojisinin güvenlik alt yapısından bahsetti. Güvenlik katmanlarının uygulanmasından ve kullanıcı erişimlerinden de bayağı fikirler edindik tabi ki

(12:20-13:00) İletişim Güvenliğimiz Tehlikede & İstemci Güvenliği! – Huzeyfe ÖNAL

Huzeyfe Bey bizlere iletişim teknolojisinin oysa ne kadar basit bir şekilde dinlenebildiğini ve fark edilmeyen açıklardan bahsetti. Özellikle istemci(kullanıcı) güvenliği konularına değinen Önal biz son kullanıcıların gelişen mobil dünya ‘da çok daha dikkatli olmamız gerektiğini söyledi.

Özellikle mobil dünyanın gelişmesiyle yakın zamanda sorunlar yaşayacağımız mobil virüsler, trojanlar, malware kodlarının yakın zaman içinde hayatımızda yaygınlaşacağının haberini verdi.

(13:00-14:00) Öğle Yemeği

Microsoft bir sandwich ve sprite ile bizi kandırmaya çalıştı : )

(14:00-14:45) Botnet Dünyası ve Günümüz Güvenlik Tehditleri – Halil ÖZTÜRKCİ

Botnet… En çok merak ettiğim konulardan birisiydi botnet. Halil bey bizlere black market yani fiyatları 750 $ – 3000 $ arasında olan zararlı kod ve programların nasıl kolayca satın alınabildiğinden ve alındıktan sonra bu kodlar ve yazılımlarla neler yapıldığından bahsetti.

Sizin hiç haberiniz bile olmadan girmiş olduğunuz herhangi bir site bilgisayarınızı botnet ‘e çevirmesine yetiyor. Güvenmeyin anti-virus programınıza çünkü özel şifreleme algoritması çalıştırılarak exe dosyası şifrelenip bilgisayarınızda aktif hale getirilebiliyor. Sonrasında ise artık bir zombi ordusu ağına siz istemesenizde katılmış oluyorsunuz. Keşke botnet ‘ten korunma yöntemlerinden de bahsetseydi bak sormayı unuttum bunu : (

(14:50-15:30) SQL Injection Üzerinden Sistemleri Ele Geçirme -Ferruh MAVİTUNA

Güvenlik tehditleri arasında %8 yer alan SQL Injection ile neler yapabileceğimizden bahsetti Ferruh Mavituna. Çok masum gibi görünen ama tek bir satır kod ile server’a format bile attırılabilecek kadar tehlikeli olan bu açıktan nasıl korunacağımızı ve neler yapmamız gerektiğini de sözlerine kattı.

SQL Injection ‘tan korunmak için programlamada SQL den alınan parametrelerin store procedure ile database ‘e gönderilmesi SQL Injection ‘tan korunmamız için almamız gereken önlemlerin başında tabi ki.

Yukarıda gördüğünüz resimde ki kodlar ise SQL Injection açığı olan sitelerden o server üzerinde shell oluşturmamıza yarıyor. Evet bu kadar basit bir yöntem. Ama kodların oluşturulması analizi kolay olmadı tabi ki. Durum bu kadar ciddi anlayacağınız.

(15:30-15:45) Çay & Kahve Molası

Şekeri fazla koydum galiba..

(15:45-16:15) Siber Tehditler Karşısında Türkiye – TR-BOME Çalışmaları- Ünal TATAR

TR-BOME Tübitak tarafından geliştirilen bir güvenlik kurumu. Amacı öncelikle pushing sitelerinin Türkiye ‘de ki etkilerinden internet kullanıcılarını korumak. Diğer amaçları ise öncelikle devlet kurumlarına güvenlik alanında bilgi ve eğitim vermek aynı zamanda sistemleri sürekli güvenli halde tutarak kurumları daha güvenli hale getirmek.

Aynı zamanda güvenlik alanında ki açıkları dökümantasyonlar son kullanıcıya anlatarak bu güvenlik açıklarından nasıl korunacaklarını da bilgiguvenligi.gov.tr adresinde bizlerle paylaşıyor. Üye olarak sizde bilgilerinizi paylaşabilirsiniz.

16:20-17:00) CTF Sonuçlarının Değerlendirilmesi & Hediye Dağıtımı & Kapanış

Vee yarışma sonuçlandı. CTF (capture the flag) yarışmasının galibi belli oldu. 4 aşamadan oluşan yarışın zaman yetmediği için sadece 3 aşaması yapılabildi. Kahve aralarında izleme fırsatı bulduğum değerli yarışmacılardan birisi sonuçlar açıklanırken yapmış olduğu kurnazlıkla dikkatimi çekti. Ne yaptı biliyor musunuz?

Yarışmanın her aşamasında bir dosya gizliydi haliyle bu dosyaya ilk ulaşan o dosya da değişiklik yapma hakkına sahip olabiliyordu (sanırım böyleydi). Bizim kurnaz arkadaşımız ise diğer yarışmacılardan önce ulaştığı text dosyasında yazan bir sonraki adımı alıp dosyaya “YARIŞMAYI KAZANDINIZ. TEBRİKLER!” yazarak diğer arkadaşların bu nota ulaştıklarında “yaşasın yarışmayı kazandık!” sevinciyle hoplayıp zıplamaları ve daha sonra bunun bir fake olduğunu anlayana kadar geçen zamanı değerlendirmesi oldu.

Gerçekten kıvrak zeka ürünü bir hamleydi. Kendisini tebrik edip mail adresini aldım. Kendisiyle iletişim halinde olacağım.

Yazımınında sonuna geldim. Yayında ve yapımda emeği geçen herkese çok teşekkür ederim. Umarım belirli periyotlarda bu tür seminerleri düzenlerler. Sitede duyurusunu yapamadığım için üzgünüm. Bundan sonra öğrendiğim her seminerin duyurusunu yapacağımı söyleyerek sizleri çekmiş olduğum fotoğraflardan bazılarıyla baş başa bırakıyorum.

• Yukarı