Daha önceki yazımda kurduğum topluluktan bahsetmiştim. Siber Güvenlik kavramının Bilişim Güvenliği yöntemleri ile ele alınmayacak kadar çok yönlü bir kavram olduğunu düşünerek yola çıktığımız bu topluluk, genel anlamda elini hemen her kritik alanın siber dünyadaki implementasyonlarına bulaştırmaya çalışıyor. Artık güncel hayatımızın bir parçası olan, kendimize ait bir kimliğimizin yaşam şeklimizin olduğu siber dünyada, gerçek dünyamızda yaşanan bir takım gelişmelerin, yapılan çalışmaların nasıl gerçekleştiğini analiz etmeye çalışıyoruz.

Araştırma alanımız dünyada oldukça yeni ve açıkçası bu alanda çalışmayı düşüneni bırakın, konunun farkındalığını taşıyan arkadaşlarımızı bile bulmakta zorlanıyoruz (dünya çapında araştırmalarımız devam ediyor =p). Ama benim ön görüm o ki -şu ana kadar bu anlamda doğrulandığını söylebilirim- 4-5 yıl içerisinde ciddi araştırmaların yapıldığı, krizlerin çıktığı, adından oldukça söz ettiren bir çalışma alanı haline gelecek.

Özetle bu çerçevede, bilişim güvenliğinden penetrasyon testleri ve siber suçlara, kriminolojiden sosyolojiye, algı yönetimi, kimlik inşası gibi konulardan terörle mücadeleye kadar pek çok problemin yahut sürecin siber dünyadaki yansımalarını inceliyor ve ilgili teorilerin siber dünyadaki yeterliğini araştırıyoruz.

22 Aralıkta gerçekleşecek bu konferansta, “Siber Dünyada Algı Yönetimi Faaliyetleri, Siber Terör, Dolaylı tutum ve 4. Nesil Savaşlar” isimli bir konuşma yapacağım. Bu Arquanum olarak gerçekleştireceğimiz 3. seminer olacak. Umarım daha önce olduğu gibi kazasız belasız atlatırız.

Siber Güvenlik Konferansı hakkında daha detaylı bilgiye ve konferans programına buradan ulaşabilirsiniz.

Arquanum çatısı altında araştırma geliştirme faaliyetlerimizi yakından tanımak yada bize katılmak için info at arquanum.com mail adresini ve www.arquanum.com adresini kullanabilir, mail listelerimize üye olabilirsiniz.

Ancak hayatımı daha büyük yüzeyde etkileyen değişikliklerin başında arap saçına dönmüş olan üniversite hayatım adına tünelin sonundaki ışığın görülebilir olması geliyor. Bu yıl içerisinde bu işin olumlu bir şekilde sonuçlanmasını bekliyorum. Söz param olursa kurban kesip dağıtacağım. =)

Üniversite yaşamımdaki rezalete rağmen sanırım iş hayatım oldukça mutluluk verici bir şekilde ilerliyor. Hayatımın her anında iki ayrı uçta olma durumum bu yıllarda da yakamı bırakmış değil. Yaklaşım 3.5 ay önce iş değiştirdim. Benim için oldukça kafa karıştırıcı ve düşündürücü bir karar aşamasıydı. Enteresan bir deneyim oldu iş değiştirme kararını alabilmek.

Daha önceden penetrasyon testleri ve güvenlik danışmanlığı verdiğim firmam olan Biznet’den, enteresan bir duygusallık içerisinde (=P), Sony Electronics’e geçtim. Burada genel anlamda Avrupa ve Asya bölgesi içerisinde yer alan web uygulamalarının güvenliğinden, güvenli yazılım geliştirme sürecinden, WAF ve incident management hadisesinden ve daha güvenlik politikaları prosedürleri geliştirilmesinden sorumluyum. Ek olarak, güvenlik farkındalığının artırılması, web uygulama pentestleri gibi ek işler de olabiliyor. Brüksel’e bağlı olarak çalışıyorum. Keyifli bir çalışma ortamı oluştuğu için de memnunum.

Ne yalan söyliyeyim ilk geldiğimde şirketin büyüklüğü karşısında bir afalladım. Ama şimdi sanıyorum her şey yolunda =)

Teknik anlamda kişisel gelişim sürecim ve bulunduğum ortamlara olabildiğince katkıda bulunma çabamın yanı sıra, bir süredir takip edenler bilirler, uluslarası düzeyde faaliyet yürütmeye çalışan bir araştırma topluluğu kurdum. Şu anda 5-6 farklı üyeden katılımcılar var ve hali hazırda iki proje yürümekte. Arquanum hakkında daha detaylı bilgiyi buradan alabilirsiniz. Gerekli iletişim bilgileri, mail listeleri topluluğun resmi sitesinde yer almakta.

Tabi bu yaklaşımdan yola çıkarak, söz gelimi terörle mücadele çok başarılı bir subayın terör uzmanı olduğunu söyleyemeyeceğimiz gibi, derin teknik bilgiye sahip bir bilişim güvenliği uzmanı arkadaş için de, siber güvenlik konusunda uzman olduğunu söylemek anlamlı olmayacaktır.

Siber Güvenlik pratik anlamda siber dünyanın güvenliği demektir. Buradaki siber kelimesi için de geleneksel tanımlamalar yeterli değildir zira reel ve sanal gerçeklerin nereden başlayıp nerede sonlandığını felsefik anlamda netleştirmek oldukça zor ve dinamik bir süreç. Bu çerçeveden bakıldığında, pek çok farklı disiplinden yaklaşımları, ortak bir kavramda birleştirerek, çıkarımlar yapan, çözümler üreten, sorular üreten insanlar temelde siber güvenlik uzmanı olma yolunda çok daha hızlı ve doğru adımlar atıyor demek yanlış olmaz.

Biz de bir kaç kişi, lise yıllarınızdan oldukça tanıdık gelecek “sayısalcılar zekidir sözelciler salaktır” önermesi ve bu önermeyi referans alabilecek her türlü yaklaşımı bir kenara bırakarak, farklı perspektifleri ele alarak siber güvenliği bütün bir süreç olarak değerlendiren çalışmalar ve görüş alışverişleri yapabilmek adına, çalışma topluluğumuzu kurduk.

Kabaca aşağıdaki alanları çevreleyen çalışmalar ve fikir paylaşımlarının olacağı topluluğumuza, belirtilen ilgi alanlarından en az birine sahip iseniz katılabilirsiniz.

• Bilişim Güvenliği
• Elektronik Harp
• Psikoloji
• Sosyoloji
• Uluslarası İlişkiler
• Algı Yönetimi
• Çatışma Yönetimi
• Psikolojik Harekat
• Algı ve Kimlik İnşası
• Pazarlama
• Bilişsel Bilimler
• Terör ve Terörle Mücadele
• Krimonoloji

Facebook Sayfası:

http://www.facebook.com/pages/Arquanum-Multidisciplinary-Cyber-Security-Studies

Facebook Grubu:

Email Grubu:

http://groups.google.com/group/arquanum-multidisciplinary-cyber-security-studies

Geçtiğimiz hafta Danimarka’daydım. Kopenhag IT Üniversitesi’nde System Security and Design dersinde “Guest Lecturer” olarak bir ders verdim. İnanılmaz tedirgin başladığım ders beklentilerimin üzerinde keyifli geçti. Noel tatili önceki bu son derse, dersin öğrencilerinin yanı sıra bir iki de master öğrencisi vardı. Derste;

• Siber Dünya Kavramı
• Siber Güvenlik İhtiyacı
• Organize Suçlar ve Siber Güvenlik
• Terörizm
• Siber Terörizm
• Siber Güvenlik ile Gayrinizami Mücadele
• Siber Operasyonların Uluslarası ilişkilerde Yumuşak Güç Olarak Kullanımı
• Siber Terörle Mücadeleye Fonksiyonel Yaklaşım
• Siber Dünya ve Algı Operasyonları

gibi konulara değindik. Tabi, zaman-mekan ikilisi gereği, konular üzerinde fazla derinleşemedik. Genel anlamda ilgili insanlar vardı karşımda ve olumluydu.

Sürece dahil olan katılan, destekleyen emek veren herkese çok teşekkür ederim. =)

Aşağıda bir iki kare fotoğraf var, açıkçası bir miktar üşendiğim için koyamadım diğerlerini. =))

Benim açımdan oldukça heyecan verici bir gelişme bu. Zira 2004 yılında arabada seyahat ederken anneme söylediğim öngörülerim bir bir gerçekleşmekte, bu da bana doğru tahminlerde bulunduğumu ve doğru yolda olduğum mesajını veriyor. Bu anlamda huzurluyum, çünkü kendi meraklarım ve araştırmalarım içerisinde boğulduğum zamanlarda, akademik hayatım her aksadığında, kendimi yargılayıp her şeyi yeniden gözden geçirmek zorunda kalıyordum, acaba kendimi mi kandırıyorum diye… İçinde bulunduğum süreç mümkün olduğunca doğru şeyleri yaptığımı gösteriyor bana.

Tabi bazı gelişmeler beraberinde bir takım olumsuzlukları da getirmiyor değil. Örneğin 18 Aralık 2010 için Yeditepe Futurizm Kulübü ve İstanbul Barosu ortaklığında bir etkinlikte Siber Terörizm konuşacaktım, ancak tarihlerin Danimarka seyehatimle çakışması nedeni ile bunu iptal üzülerek iptal etmek zorunda kaldım. Umarım başka bir etkinlikte bir araya gelebiliriz.

Teknik anlamda da bana uzak gelen pek çok şey artık çok daha yakın gelmekte ve daha anlam kazanmakta, bu da benim açımdan oldukça olumlu bir gelişme. Mesut Timur ve Deniz Çevik‘e selamlar Elbette bu sıkışıklık arasında asıl yapmam gerekenleri unutmuş değilim. Çalışmaya devam.

Öte yandan hayatımın problem sarmaşığı haline gelmiş olan okulum ile ilgili olarak da sanıyorum hiç olmadığı kadar olumlu gelişmeler olmakta. Ben de eskisine nazaran daha fazla emek harcadığımı söyleyebilirim, hiç istemesem de… Fakat hala, boynundan kulübeye bağlı bir köpek gibi hissediyorum. Fikri anlamda en verimli olduğum süreci, büyük çoğunluğu saçmalıklarla dolu olan, asla merakımı cezbetmeyen ıvır zıvır işlerle boğuşarak geçirmek oldukça kötü.

Şunu bir kere daha anladım, eğer teknik bir bölüm okuyorsanız, bu bölüm özellikle bilgisayar mühendisliği veya dengi bir alansa, ve bu bölümü bir üçüncü dünya ülkesinde okumaya çalışıyorsanız, en verimli anınızda askere gidip 4 sene askerlik yapmaktan bir farkı yok. Tabi hedefleri belli olan, ne yapmak istediğini bilen, ilgi alanlarını ve meraklarını keşfetmiş insanlar için söylüyorum. Top üniversiteleri bilmem oralarda durum belki farklıdır. Kesinlikle bir zaman kaybı olduğunu düşünüyorum. Burada da Ferruh Mavituna‘ya selam gönderiyorum.

Mesleki aktivitelerin yanı sıra, bağımsız araştırmalarımı da artık daha somutlaştıracak zemine ulaştırmaya iyice yaklaştım. Disiplinler Arası Siber Güvenlik Kavramı çerçevesinde, temellendirdiğim fikirlerimi, yayına çevirme konusunda ciddi ilerleme kaydettiğimi söyleyebilirim.

Mayıs ayına yetiştirebileceğimi umduğum “Gayri Nizami Harp Perspektifi ile Siber Güvenlik Kavramına Bakış” isimli makalem yolda. Akademik bir dergiye göndereceğim. Umuyorum fikirsel anlamda bu makaleyi algılayabilen hakemler tarafından incelenir.

İnsanlar genelde yaptığınız işi sevin çerçevesindeki düşünceleri şu anda sanıyorum benim için daha fazla anlam taşıyamazdı. Yaptığım işi seviyorum, çalıştığım alanı çok seviyorum, araştırma yaptığım konu benim için çocuğum gibi, her an yeni fikirler kafamda oluşuyor, kendimi verimli, ait, işe yarar, pozitif enerji ile yüklü hissediyorum. Bkz. Su Kristalleri Teorisi

Bunların dışında tarif edilmez dinamiklik içerisinde ilerlemekte hayatım, hemen her duyguyu sağolsun yaşatıyor. Belirsizlik gibi iğrenç bir duyguyu, huzuru, bazen dayanılmaz baş ağrılarına götürecek kadar büyük hayal kırıklıklarını, kahkahaları, huzuru, üzüntüyü, sessizliği, gevezeliği hemen her duyguyu dalgalı bir şekilde yaşatacak bir dinamizm ile akıyor…

İçimden kendim için de herkes için de güzel şeyler geçiriyorum. Umuyorum ileride daha fazla yazabileceğim.

Siber Dünya ve Siber Güvenlik kavramları yalnızca bilişim perspektifinden değerlendirilecek kadar sığ bir süreç mi barındırır?İnsan egosunun ve toplumsal çıkarların geri planda kalamadığı her süreç, beraberinde uyuşmazlıkları getirecek; iyi analiz edilemeyen ve yönetilemeyen uyuşmazlıklar ise hızla çatışmalara ve savaşlara dönüşecektir. Bilinen yazılı insanlık tarihi itibari ile savaşın ve çatışmanın olmadığı 367 yıllık bir süreçten söz edilebilinmektedir.

Bununla beraber dünyanın acı ile tecrübe ettiği son dünya savaşı, tarihin gördüğü en yıkıcı savaşlardan biri olmuştur. Gerçek anlamda bir “dünya” savaşı olan bu süreçten etkilenmeyen ülke neredeyse yoktur. Keskin sosyolojik ve politik ayrımlar ile gelen bu savaş sürecinin ardından, barış süreci de bir o kadar sancılı geçmiştir.
Sıcak savaş sonrası süreç, bir nevi bilgi ve algı mücadelesi olarak kıran kırana geçmiştir. Soğuk Savaş olarak adlandırılan ve yeni bir savaşın her an çıkacağı korkusuyla geçen bu dönem yeni dünyanın şekillenmesine ve güç, algı, inşa gibi kavramların altlarının ciddi şekilde doldurulmasına olanak sağlamıştır. Konumuzdan uzaklaşmamak adına Soğuk Savaş yıllarının detaylarına ve dönemlerine bu yazıda değinilmemiştir.

Buna karşın dünya üzerinde süper güç olarak, dünyanın geleceği için söz sahibi olma yarışı, askeri, politik, psikolojik, ekonomik, sportif, kültürel ve entellektüel anlamda hemen her alanda devam etmişse de nihayetinde Sovyetler Birliği’nin dağılması ile sonuca ulaşmıştır.

Soğuk Savaş döneminde öncelikli olarak askeri bir teknoloji sonucu ortaya çıkan internetin, bütün dünya tarafından kullanılmaya başlanması ve İnternet’in kendisine ait yeni teknolojileri üretebilecek bir yeteneğe ulaşması, dünya tarihindeki önemli dönüm noktalarından biri haline gelmiştir.

Bugün Siber Dünya olarak adlandırdığımız bu yeni dünya ve onun getirdikleri, hayatımızı büyük oranda içine almaktadır. Yaşantımızın hemen her varlığının yansımalarını Siber Dünya içerisinde görmek mümkün olmaktadır. Bütün bu yansımalar sadece hayatımızı kolaylaştıran gelişmeler ile kısıtlı kalmamakta, hali hazırda bizi zorlayan, üzerinde henüz kurulu gerçek dünya düzenimizde dahi anlaşmaya varamadığımız pek çok sorun da Siber Dünya’nın bir gerçeği olarak hızla yerini almaktadır.

Propaganda aracı, suç unsuru ve silah olarak İnternet ve Siber Dünya’nın kullanımı da bu çerçevede değerlendirilebilir. Bu süreçteki bir diğer olumsuz durum ise, bu yeni oluşan dünyanın kontrolsüz ve yüksek ivmeyle büyümesidir.

Tablo 1:

Yukarıdaki tablo İnternet’in ortaya çıkışı ile 2009 yılına kadar geçirdiği evrimi ve yakaladığı ivmeyi özetlemek adına oldukça çarpıcıdır.

Böylesine yüksek bir hızla büyüyen bir yapı içerisinde, gerçek hayatımızda kontrol altına alamadığımız olguları kontrol altında tutmak yahut modellemek ise, sanıldığından çok daha güç bir iş olarak karşımıza çıkmaktadır. Suç, ahlak, terör, vb. gibi kavramlar henüz gerçek hayatımızda dahi felsefik anlamda üzerinde uzlaşılmış kavramlar olmaktan çok uzaktadır.

Bu gelişim sürecine biraz daha yakından baktığımızda, esasında kendi sosyal gelişim sürecimizden çok da farklı bir süreç göremememiz, yaşadığımız dünya ile oluşan Siber Dünya’nın pek çok anlamda paralellik arz ettiğinin önemli bir göstergesi olarak göze çarpmaktadır. Tıpkı yaşadığımız gerçek yaşamın gelişiminde olduğu gibi, İnternet’in ilk yıllarında da, herkesin bir birey olarak bu yeni dünyada var olma çabalarının yerini, sosyal yapılar almış ve birey olarak var olma ihtiyacını gidermiş insanların kitle iletişimi için zemin hazırlamış, bu sayede sosyal komüniteler oluşmaya başlamıştır.

Her sosyal topluluk kendi iç dinamiklerini, iç işleyişini, kendi jargonunu ve kurallarını geliştirmiş ve kimi zaman diğer sosyal topluluklarla uyuşmazlıklar yaşamaya başlamıştır. Bireysel yaşam ile beraber sosyal toplulukların da Siber Dünya içinde yer almaları, bu tanımlanan ve hızla büyüyen dünyaya daha dinamik bir devinim katmıştır.

Bugün internet üzerinden para kazanmak ve gerçek yaşamınıza katkı sağlamak mümkündür. Internet üzerinden gerçek kimliğinizi zedelemek, itibarınızı sarsmak da mümkündür. Yahut yeni arkadaşlıklar edinmek, yeni bilgiler elde etmek, kendinizi eğitmek, başkasına eğitiminde yardım etmek, kısaca gerçek hayatımızda sosyalleşmek adına yaptığımız temel birçok eylem, siber dünyada karşılık bulmaktadır.

Bununla birlikte, sosyal oluşumların siber dünyada da politik ve siyasi görüşlerini savunmaları, benimsedikleri inançlar ile oluşturdukları topluluklarla o ilkeler doğrultusunda yaşamaları, ilkelerini yaymaya çalışmaları, başka topluluklara müdahalede bulunmaları da tıpkı gerçek dünya içerisinde, tarihin başlangıcından beri karşılaştığımız süreç kadar benzer eylemler silsilesidir.

Bu konudaki ilk ve en çarpıcı örneklerden biri “SecondLife” adlı oyun içerisinde gerçekleşen terör saldırılarıdır.   SecondLife yapı itibari ile başından beri savunduğumuz paralel yaşam olgusunun en önemli örneklerinden biridir. Oyuncuların, kendi yaşamları dışında, neredeyse ikinci bir hayat yaşamalarına olanak tanıyan oyunun milyonlarca kullanıcısı bulunmaktadır. Oyun içerisinde, sınıf mücadeleleri, yeni iş kurma, para kazanma, yeni arsa alma, ev yapma, hatta oyunda kazandığınız paranızı gerçek hayatta tahsil edebilme gibi sıra dışı fonksiyonlar bulunmaktadır. Baştan bir karakteri ikinci bir hayat olarak her anlamda yaşamanıza olanak tanır. ( 1 ABD Doları = 270 Linden Doları )

Oyunun sahibi olan Linden şirketi, oyun üzerinde yapılan ticaretlerden ve üyeliklerden günde 1 milyon dolar civarında bir ciro yapmaktadır. SSLA (İkinci Hayata Özgürlük Ordusu) adlı terör örgütünün bombalı eylemlerine maruz kalan şirket, bazı imtiyazlar vermek zorunda kalmıştır. Oyundaki bir açığı kullanan örgüt militanlarının sis bombaları oluşturarak patlatmaları ile kullanıcıların bilgisayarlarının kitlendiği kayıt altın alınmıştır. Örgüt manifestosunda ise, Linden şirketinin otoriter bir rejim olduğunu ve SecondLife içerisinde demokratik bir rejimin hüküm sürmesi gerektiği inancını vurgulamaktadır.

2007 yılında gerçekleşen bu terör saldırısı, dikkatleri bir an için bu yöne çektiyse de, bu anlamda disiplinlerarası bir farkındalığı beraberinde getirememiştir.

Yine Siber Dünya’nın hızlı gelişim süreci ele alındığında, 90’ lı yılların daha önce belirtilen bireysel var olma çabalarını, 2000’ li yılların ise toplu ve organize eylemleri temsil ettiğini kolaylıkla söyleyebiliriz. Bu benzerlikle ileriyi ön görmeye çalıştığımızda, Siber Dünya ve beraberinde gelen ileri düzey teknolojilerin yeni silahlanma yarışında önemli bir rol oynayacağını, bu yeni soğuk savaşın beraberinde sıcak savaş riski taşıyacağını tespit etmek zor olmayacaktır.

Tablo 2:

For 2008	Financial	Business	Education	Gvt/Military	Medical
Insider Theft	2.4%	5.6%	1.8%	3.4%	2.4%
Hacking	3.5%	6.1%	2.7%	0.8%	0.8%
Data on the Move	1.7%	7.3%	3%	4.3%	4.4%
Accidental Exposure	0.8%	3.0%	6.1%	3.0%	1.5%
Subcontractor	0.8%	3.5%	1.5%	2.3%	2.3%

Tablo 2’ den de görülebileceği üzere, özellikle iç tehditler devlet kurumları ve iş dünyası üzerine yoğunlaşmakta. Özellikle çarpıcı olan bu rapor bize, devlet ve sanayi casusluğunu vurgulamaktadır. Bir diğer dikkate değer veri ise, finans ve sağlık ile ilgili siber suçların birbirine yakınlığıdır. Finansal kazançların yanı sıra, genetik yapının belirlenmesinde önemli olabilecek sağlık verileri üzerine gidilmesi önemlidir.

Bütün bu verilere rağmen, bugüne kadar harp çeşitleri arasında adına rastladığımız “nokta operasyonu” kavramına hiç rastlamamıştık. Organize dolandırıcılık, bireysel hacktivist hareketler, politik mesajlar, propaganda aracı olarak siber suç öykülerini sıkça duyar olduk. Ancak, Stuxnet ile nokta operasyonu kavramı da bir ölçüde Siber Savaş belki Gayrinizami Siber Harekat kavramı içine girmiştir.

Siber Dünya özellikle örtülü operasyonlar için oldukça elverişli bir mecradır. Gerek etki yüzeyi, gerek risk düzeyi, gerek operasyonun saklanması yahut geriye yönelik karşı faaliyet yürütmenin zorluğu açısından, gerçek dünyada gerçekleştirilecek bir operasyona göre oldukça büyük avantajlar barındırmaktadır.
Stuxnet’in ise, yapısı, zamanlaması, etki yüzeyi itibari ile böyle bir operasyon kategorisine giren “bilinen” ilk saldırı niteliği taşıdığını söylemek yanlış olmayacaktır.

Stuxnet in bulaştığı sistem üzerindeki nihai amacı, endüstriyel kontrol sistemleri olarak kullanılan SCADA (Supervisory Control and Data Acquisition) yapısına erişmek. Bu gibi kontrol yapıları askeri üsler, enerji santrallerin, petrol boru hatların ve havaalanları gibi risk seviyesi yüksek, kritik sistemlerde kullanılmaktadır.
Uzmanlar tarafından Stuxnet üzerinde yapılan çalışmaların sonuçları da bir hayli ilginçtir. Elde edilen bulgular arasında, dört farklı 0day açıklık barındırdığı, çok karmaşık bir yapıya sahip olduğu, alanında uzman çok sayıda kişinin ortak bir ürünü olabileceği, SCADA teknolojisine ait önemli bilgilerin  kullanımı, sahip olduğu düşünülen finansal destek gibi dikkat çekici bilgiler yer almaktadır.

Tablo 3:

Stuxnet’in, barındırdığı bu marjinal yapısı, hedefi ve ortaya çıktığı bölge açısından sıradan bir saldırı olmadığı fikri ağırlık kazanmakta.  Tablo 3 üzerinden görüldüğü üzere açık ara en çok etkilenen sistemler İran üzerinde yoğunlaşmakta ve uluslarası konjonktür göz önüne alındığında bu tablo ve arkasında barındırdıkları oldukça anlamlı olmaktadır.

Öte yandan Kaspersky Labs. Çalışanlarının yaptığı araştırma sonucunda virüsün ilk hedefinin casusluk değil sabotaj olduğu belirginlik kazanmıştır.

Stuxnet resminin tamamına bütün bu süreç ele alınarak bakılıp üzerinde gerçekleştirilen çalışmalar da dikkate alındığında, yeni bir silah olarak örtülü operasyonun bir parçası olarak denendiği görüşü azımsanamayacak düzeyde hakim bir görüş halini almaktadır.

Nasıl ki günümüzün gayri nizami harp taktikleri ve unsurları, geçmişin konvansiyonel harp taktiklerinden farklı bir yapıya büründüyse, yakın gelecekte siber dünya ve onun teknolojileri de yeni örtülü operasyonların ve soğuk savaşın başlangıcını işaret etmektedir.

Rusya Putin dönemi ile birlikte Siber Dünya faaliyetlerini yumuşak güç olarak uluslarası ilişkilerde en belirgin kullanan ülkelerden biri olma hüviyetindedir. Estonya, Ukrayna ve Gürcistan ile ilişkilerinde İnternet üzerinden müdahalelerde çekimser kalmamıştır. 2008 yılında Rusya ile Gürcistan arasında yaşanan gerginlik Siber Dünya’ya da sıçramış ve Gürcistan devlet kurumları ve bankalar bir süre çalışamaz duruma gelmiştir.

Rusya etkisinin en çok hissedildiği Siber mücadele Estonya üzerinde gerçekleşmiştir. Öyle ki, 2007 yılında gerçekleştirilen saldırılar sonucunda NATO, Tallinn şehrinde Siber Savaş Merkezi kurmak durumunda kalmıştır.  Ve bu süreci Estonya başkanlık sitesi “Yeni Global Savaş Alanı” başlığı ile duyurmuştur.   Yaraların sarılmasının ve geriye dönük incelemelerin yapılmasının hemen akabinde, Estonya “Siber Güvenlik Strateji Belgesi” Savunma Bakanlığı tarafından yayınlanmıştır.

Özellikle Rusya-Estonya siber çatışmasına NATO’nun bir fiil dahil olması ve Estonya’nın başkentinde Siber Güvenlik merkezini kurmuş olması, bizlere soğuk savaş döneminde, Sovyet tehdidine karşı Doğu Bloğu ülkelerinin lojistik ve askeri olarak desteklendiği dönemi hatırlatmaktadır. Bu iki süreç arasında ciddi bir benzerlik bulunmaktadır.

Bununla birlikte, üretilen siber güvenlik ve saldırı planlarının hemen hemen hiç birinde, bilişim ve elektronik teknolojiler dışında bir yaklaşım görülmemektedir. Bu eksik perspektif, güvenlik sürecinin önemli bir kısmını her zaman eksik bırakmaktadır.

Sosyal yaşamımızın her anlamda iz düşümünü barındıran, ulusal güvenlik çerçevemizin içerisinde doğrudan giren bir yapının, disiplinler arası çalışmalardan uzak olarak tek boyutlu bir şekilde ele alınması, ciddi bir eksiklik oluşturmaktadır.

Dünyanın önde gelen bazı güvenlik uzmanlarının özellikle Stuxnet’in yapısını halihazırda yukarıda anlatılan çerçeveden uzak bir şekilde değerlendirmeleri, anlamlı bir tespit olmaktan uzak olmakla birlikte, pek çok açıdan da soru işaretini beraberinde getirmektedir.

Siber Dünya çerçevesinde gerçekleşen operasyonların üzerlerinin örtülmesi oldukça kolaydır. NATO’nun dahi devreye girdiği ve zararın oldukça büyük olduğu Estonya siber çatışmasında dahi, Rusya olayı üstlenmemiş ve bir hacker grubunun bağımsız hareketi olarak değerlendirmiştir.

Gayri Nizami Harp mücadelesi için, “pis savaş” terimi kullanılır, çünkü konvansiyonel harbe göre, oldukça farklı ve içerisinde her türlü yöntemi barındıran bir mücadele şeklidir. Siber Savaş için bu terim dahi yeterince tanımlayıcı olmaktan uzaktır.

Bu yapı içerisinde, doktrinlerin, uluslarası ilişkiler ve sosyoloji teorilerinin, toplumsal düzeyde kuralların, politikaların, prosedürlerin üretilmesi zaruri bir ihtiyaç olarak göze çarpmaktadır.

Referanslar bölümünden kullanılan kaynaklara ulaşabilirsiniz.

Download: http://www.webguvenligi.org/docs/web_uygulama_guvenligi_kontrol_listesi_2010.pdf

OWASP-Türkiye olarak uzun süredir aramızda tartıştığımız ve çevremizden gelen talepler sonucu, güvenlik kontrol listelerinin yapılış bakış açısıyla bir kontrol listesi de web uygulama güvenliği alanında çıkarmaya karar verdik.

Web uygulama güvenliği kontrol listesi 2010, OWASP-Türkiye ve Web Güvenliği Topluluğu tarafından güvenli web uygulamalarında aktif olması gereken denetim adımlarını içeren bir dokümantasyon projesidir. Bu proje her yıl yenilerek aktif yaşamına devam edecektir. Web uygulama güvenliği konusunda çalışan ve ilgi duyan arkadaşların tecrübeleriyle hazırlanmış olan bu döküman, uygulama geliştiricilerden, yöneticilere kadar web uygulama güvenliğinde nelere dikkat edilmesi ve nelerin kontrol edilmesi gerekliliği hakkında özet bilgi içerecektir.

Proje çalışmasını detaylandıracak olursak. Projedeki her kontrole dört nitelik atanmıştır. Bunlar; kategoriler, sorumlular, etkiler ve seviye olarak adlandırılmıştır.

Kategoriler yardımıyla ilgili söz konusu zafiyetler sınıflandırılmış olmaktadır.

Sorumlular yardımıyla ilgili zafiyetin hangi birim veya kişiler tarafından ele alınması gerektiği konusuna açıklık getirilmeye çalışılmıştır.

Etkiler yardımıyla, ilgili zafiyetin ne tür bir etkisi olduğu blirtilmiştir.

Seviye yardımıyla zafiyetlere kritiklik değeri atanmış olup, listede bu kritiklik seviyesine göre sıralandırılmıştır.

Web uygulama güvenliği kontrol listesi 2010`un hazırlanış aşamasında katkıda bulunanlar;

Bedirhan Urgun [bedirhan.urgun(AT)gmail.com]
Bünyamin Demir [bunyamindemir(AT)gmail.com]
Onur Yılmaz [contact(AT)onuryilmaz.info]
Kubilay Onur Güngör [ko.gungor(AT)gmail.com]
A.Kadir Altan [kadiraltan(AT)hotmail.com]
Volkan Altan [volkanaltan(AT)gmail.com]
Muharrem Aydın [thsunamy(AT)gmail.com]
Canberk Bolat [canberk.bolat(AT)gmail.com]

Işık Üniversitesi Bilişim Günleri ilk kez gerçekleştirilen bir aktivite olarak göze çarptı. İlk kez gerçekleştirilen bir organizasyon olmasına rağmen bence oldukça yol alınmış, gerek iç kaynakların kullanımı gerekse dışarıdan gelen katılımcılar oldukça değerli sunumlar gerçekleştirdiler.

8 Mart 2010 Pazartesi günü yaptığım sunuma katılım 45 kişi civarındaydı. Oldukça ilgili bir izleyici kitlesi vardı ve sunum yaklaşık 2 saat 10 dakika civarında sürdü. Benden sonra sunuma girecek olan NETRON ekibine birazcık haksızlık etmiş oldum 10 dakikalarını çalarak. Bunun için de buradan özür dilerim kendilerinden tekrardan.

10 Mart 2010 Çarşamba günü ise Bahçeşehir Üniversitesi Yazılım ve Bilişim Kulübü davetlisi olarak Bahçeşehir Üniversitesi’ndeydim. Trafikten korktuğum için biraz erken gittim ama karşılaştığım güvenlik bana ODTU Güvenlik Sıkıntısı üzerine yazdığım yazıyı hatırlattı tebessüm ettim. Giriş sorunu çözüldükten sonra okulu gezdik ve gerçekten Bahçeşehir Üniversitesinin iyi bir iş çıkardığını düşüüyorum. Özellikle laboratuvar ve çalışma ortamları oldukça başarılı. Bundan daha sevindirici olan şey ise, bu labotuvarların ve yatırımların gerçekten de kullanılıyor oluşu öğrenciler tarafından.

Bahçeşehir Üniversitesi sunumunda gerçekten harika bir ortam vardı. Bu ortam çok yorgun olmama rağmen beni daha da canlandırdı ve daha şevkle konuşmama neden oldu. Bize ayrılan salon sanıyorum tamamen doluydu. Yine gerçekten çok ilgili ve algıları açık bir izleyici grubu vardı. Çok iyi ilişkiler kurduğumuzu ve ortak bir frekans tutturduğumuzu düşünüyorum. Yeni insanlar tanıdım ve arkadaşlıklar kurdum.

Bu sunum hayatımda vermiş olduğum en uzun süreli sunum oldu. 18.30 da başladığım konuşma bittiğinde saat 21.30 civarlarıydı. Ne kadar yorulduğumu eve gidip yatağıma uzandığımda anladım. Fakat gerçekten faydalı ve eğlenceli bir seminer olduğunu düşünüyorum. Sürenin uzun olması bazı arkadaşlarımızı sıktı mı bilmiyorum henüz o yönde bir feedback almadım.

İki üniversitede verdiğim seminerin yol haritası şu şekilde gerçeklendi;

• Başımdan geçen mistik bir hikaye
• Dijital Investigation ile Suikast planları düşündük
• Basit bir demo olarak marka model sızması ve bu sızmaları nasıl kullanılabileceğini gördük
• OWASP ve webguvenliği.org u duyduk gördük bildik ve ilgilendik
• Sonrasında siber dünya kavramını tanımladık
• Oluşturduğumuz yeni dünya düzeninde güvenlik kavramına hibrid teorilerle yaklaştık
• Bilişim Güvenliği kavramından, psikolojiye, sosyolojiden felsefeye, ve hatta hukuka kadar pek çok alanda fikir paylaşımında bulunduk
• Terör, siber terör ve siber savaş kavramlarına daha yakından baktık.
• Teröre fonksiyonel bakış açısıyla yeniden baktık ve daha yakından anlamaya çalıştık
• Siber svaş örneklerinden, botnetlerden
• Uygulama güvenliğinin öneminden, servis aksatma saldırıları ve buffer overflow zafiyetlerinin önemini vurguladık
• Geniş hattlı interdisipliner bir güvenlik konsepti oluşturduk
• Bu geniş çerçeve içerisinde geleceğe nasıl hazırlanabiliriz ? sorusuna hep beraber yanıt aramaya çalıştık

Işık Üniversitesi seminerinde başta Güngör Koçak ve tüm çalışan ekibine, Bahçeşehir Üniversitesi seminerinde başta Ali Şükrü Göksu olmak üzere emeği geçen herkese çok teşekkür ederim.

Yer: İstanbul Kültür Üniversitesi Ataköy Kampusu, Önder Öztunalı Konferans Salonu
Tarih: 29 Aralık 2009 Salı
Saat: 12:00

# Yeni dünya düzeni
# Oluşan güvenlik ihtiyacı
# Hackerlar Cracklerlar
# Organize siber suçlar
# Siber savaşlar
# Tehditlerin oluşumu
# Siber terör
# Yeni düzende ayakta kalabilmek

Temel anlamda yukarıdaki konulara değinecek olduğum sunumda, Siber Güvenlik kavramının bilişim güvenliği kavramından farklı olarak ele alınması, bu kavram üzerindeki hibrid yaklaşımların önemi gibi konularda da fikirlerimi sunmayı hedefliyorum. Vakit kalması durumunda dijital ortamda nasıl kolayca bilgi toplanabileceği ve bu bilgilerle neler yapılabileceği konusunda ufak bir demo da yapmak istiyorum.

http://www.webguvenligi.org/etkinlik/sunum-istanbul-kultur-universitesi.html
http://www.owasp.org/index.php/Turkey#tab=Meetings.2FConferences
http://www.owasp.org/index.php/Turkey#tab=Local_News.2FBrochure

Şu an içinde bulunduğumuz noktada ise, artık bu yeni alandaki varlığımıza ilişkin güvenlik ihtiyacının ve yatırımlarının -ne kadar geri plana atıp kaçmaya çalışsak da -  farkındalığı artmaya başlamış bulunmakta. Fakat işin kötüsü bu farkındalık yeni yeni artmaya başlamışken, sofistike saldırı vektörleri hayatımızın bir parçası haline gelişmiş ve ara bir anlamda açılmıştır.

Güç, iktidar başta olmak üzere pek çok eski kavramın tanımı sorgulanmalıdır. Pek çok ideolojik, askeri doktrin yeniden ele alınmalıdır. Çünkü bu öyle bir alandır ki, gerçek dünyamızdan bu kadar bağımsız olabilip, bu kadar gerçek dünyamızı etkisi altına alan başka bir teknoloji, bakış açısı, felsefe, davranış modeli vs yoktur.

Gerçek hayatın politik ve milli yansımaları olan ülkelerin sınırlarının çizilmesinden, bu ülkeler arasında oluşabilecek örtülü operasyonlara, yumuşak güç olarak internetin kullanılmasından, doğrudan bir caydırıcılık unsuru olarak kullanılmasına kadar, sadece teknik açıdan değil, siyasal bilimler, uluslarası ilişkiler, psikoloji, sosyoloji, tarih, vb gibi pek çok alan için de önemli bir etken halini almaya başlamıştır.

Buna bağlı olarak ise, henüz gerçek anlamda pek az topluluk bu gidişatın farkında olup kontrollü olarak tavır sergileyebilmeye çalışmaktadır. Bu anlamda saldırıların yada agresyonların kaynağı olan bireyler yahut bu bireylerin oluşturduğu topluluklar, bu güne kadar kural koyucu ve uygulayıcı olan ve literatürlerde çeşitli tnaımları olan organizasyonlardan biraz daha önde yer almaktadır.

Bu gün, dünyanın herhangi bir yerinden internete adım attığınızda, kim olduğunuzun, bankadaki paranızın, sahip olduğunuz maddi ve manevi zenginliklerin ötesinde diğer tüm insanlarla aynı şekilde adım atarsınız. Internet kullanıcısısınızdır. Bu durum olduğu şekliyle devam eder mi? Yeni ekonomik, politik, sosyolojik, dengeler kurulur mu? Bu anlamda siyasal ideolojiler nasıl değişir, bu değişimler gerçek dünyamızı ne oranda etkiler ? Bunlar üzerlerinde kafa yorulması gereken ve akla ilk gelen sorular…

Neyse nihayetinde, siber alan görmezlikten gelmeye çalıştığımız bir teknolojik gelişmenin ötesinde bir oluşum olmakla beraber bize güvenlik ihtiyacımızı hissettirecek kadar da bizim içimizdedir. Bu anlamda yapılacak her türlü aktivitenin sürekliliği sağlanmalı ve katkı verilmelidir.

Geçen sene, zaman sorunu yüzünden çok isteyip de katılamadığım, IstSec etkinliğine, bu yıl yine zaman sorunum yüzünden sadece ilk gün katılabileceğim. Uzun zamandır görmediğim arkadaşlarımı görmek, yeni şeyler öğrenmek, zaten bildiklerimi pekiştirmek, yeni insanlar tanımak ve arkadaşlıklar kurmak çok güzel olacak düşüncesindeyim. Anadolu yakasından gidecek arkadaşlar var ise, bana haber etsinler, beraber gidelim

Aşağıda resmi IstSec’09 duyurusunu paylaşıyorum. Belki benim söylediklerim yeterince anlamlı gelmemiştir.

IstSec ’09 – İstanbul Bilgi Güvenliği Konferansı

2009 yılında dünyaya damgası vuran ve siber tehditlere karşı önemini daha çok hissettiren siber güvenlik, siber casus yetiştirme politikaları, siber savaşlar ve bu alana yönelik olarak ülkelerin bütçelerinden ayırdıkları hatırı sayılır oranlara ulaşan rakamlar, bilgi güvenliğini bireysel, kurumsal ve ülke güvenliği açısından kritik öneme kavuşturmuştur. ISTSEC ‘09 konferansı bu eksendeki soru ve sorunlara çözüm ve çözüm önerileri sunmayı hedeflemektedir.

Türkiye’de bilgi güvenliği ve açılımları konusunda kamuoyunda farkındalık yaratmayı, bilgi ve bilinç düzeyini yükseltmeyi hedefleyen ve bu amaçla yılda iki defa yapılan bir konferans olan ISTSEC ’09’un açılışı bu yıl Ulaştırma Bakanı Sayın Binali YILDIRIM tarafından gerçekleştirilecektir.

Bu yıl iki günlük bir program olarak dizayn edilmiş ISTSEC ‘09 konferansının ilk gününde; web güvenliği, Iphone ve telefon dinlemeleri, Hackerlar’ın bilgi güvenliğine bakış açısı, kurum / şirket personelinden kaynaklanan ihlaller gibi bilgi güvenliği konularında spesifik sunumlar ve tartışmalar yapılacaktır.

Bilgi güvenliğinin açılımları niteliğinde olan konular ise panel formatında alanında uzman teknik uzmanlar, emniyetçiler ve hukukçular tarafından irdelenecektir.  Devletlere ve bireylere yönelen Siber Tehditlere karşı, diğer ülkelerde ve Türkiye’deki uygulama örnekleri ele alınacaktır. 2009 yılında dünyaya damgası vuran ve önemini daha çok hissettiren siber güvenlik, siber casus yetiştirme politikaları, siber savaşlar ve bu alana yönelik olarak ülkelerin bütçelerinden ayırdıkları hatırı sayılır oranlara ulaşan rakamlar bilgi güvenliğini bireysel, kurumsal ve ülke güvenli açısından kritik öneme kavuşturmuştur. ISTSEC ‘09 konferansı bu eksendeki soru ve sorunlara çözüm ve çözüm önerileri sunmayı hedeflemektedir.

Konferansın ikinci gününde, bilgi güvenliğinin hukuk alanında karşılığını teşkil eden veri koruması konusu, bilgi güvenliği ile olan ilişkisi ve tıbbi istihbarat, cloud computing, yeni nesil iletişim teknolojileri, uluslararası düzenlemeler ve uygulamalar ışığında değerlendirilecektir. Diğer panellerde, kayıtlı elektronik posta, bilişim suçları, 5651 Sayılı Kanun ve bilgi güvenliği açısından durum tespiti yapılarak çözüm önerileri sunulacaktır.  Ayrıca tüm beyaz şapkalı hacker’ların davetli olduğu “Capture The Flag” yarışması konferansın ikinci gününde meraklılarına açık olacaktır.

ISTSEC 2009, bilgi güvenliği uzmanlarının, hacker’ların, bilgi güvenliğine meraklı olan herkesin, bilişim teknolojisi hukukçuları başta olmak üzere tüm hukukçuların, güvenlik güçlerinin ve bireylerin katılması gereken bir etkinliktir.

İstanbul Bilgi Üniversitesi Bilişim Teknolojisi Hukuku Uygulama ve Araştırma Merkezi, Bilgi Güvenliği ve Adli Bilişim Araştırma Grubu ile İstanbul Barosu Bilişim Hukuku Merkezi ve Bilgi Güvenliği Derneği tarafından ortaklaşa düzenlenen ISTSEC ‘09 Konferansı 12-13 Aralık 2009 tarihlerinde;  İstanbul Bilgi Üniversitesi Silahtarağa Kampüsü’nde gerçekleştirilecektir.

Konferansa katılım  ücretsiz olup kayıt yaptırılması zorunludur. Kayıt için www.istsec.org <http://www.istsec.org>  web sayfasının kullanılması gerekmektedir. Kayıt yaptıran kullanıcılara konferansa bir hafta kala onay mesajı gönderilecektir.

Yaklaşık iki yıl kadar önce bir kriptoloji projesinde bir süre çalışma imkanı yakalamıştım. Konu kaotik sistemlerde görüntü şifrelemelerinin kripto analizini içeriyordu. Proje gerçekten çok heyecanlandırmıştı beni, çünkü tam da güvenlik üzerine  yoğunlaşmaya karar verdiğim zamanlardı. Yahut aceba mı dediğim anlara denk geldi.

Her ne ise, bir kaç ay sonra projede çalıştığım arkadaşım Cahit’le şöyle bir konuşma geçti aramızda;

C: Ne düşünüyorsun Kubilay ?
B: Abi biz burda çalışıyoruz. Bir şeyler yapmaya çalışıyoruz peki biz neyiz?
C: Nasıl yani?
B: Ben diyorum ki madem üniversitede bu tarz çaalışmalar başladı, o zaman biz ve bu alanla ilgilenen insanları bir araya getirip bir topluluk kurup, bu tarz çalışmaları daha sistematik hale getirelim.
C: Nasıl olacak o iş ?
B: Şimdi, gerekli idari prosedürleri öğrenip, bir bakayım bakalım nasıl bir süreç işletebiliriz ?

Her şey bu dialogla başladı. Bir süre sonra projeden ayrıldım, Cahit de mezun oldu, fakat bu düşüncem hız kesmedi.

Öncelikle idari prosedürü iyice hatmettikten sonra, tüzük hazırlama işlemine başladım. Tüzük hazır olduktan sonra, etraftan eş dostu kurucu kurul içerisinde göstererek, Bilgi Güvenliği Kulübü adı ile resmi kurulum işlemlerini başlattım. Bir kaç haftalık sürenin ardından kulübümüz resmi olarak kurulmuş oldu.

Tabi ki kulübü kurmak yeterli değil, belirli bir sistem belirli bir gelenek oturtmak amacı ile çalışmalara başladım. Bu sırada okul içerisinde propaganda çalışmaları da hızlandı =) Derken Yiğit Güneli topluluğumuza ilk eş dost dışında üye olan kişilerden oldu ve onunla ilk etkinlik olarak, sevgili Huzeyfe ve Kıvılcım’ın o dönemde bilgi güvenliği eğitimi başlatmıştı ve bu eğitime katıldık. Öğrenilenleri geriden gelen üyelere aktarıp, bilgi çıtasını yükseltmekti amaç.

Bu etkinlikle birlikte bu yola girdiğim dönemde yaptığım iki yıllık yol haritası da iyiden iyiye işler duruma geldi =) İkinci yarı yılda üye sayımızı artırmak ve idari yapılanmamızı güçlendirmek ile geçti. Web sitemiz açıldı ve irili ufaklı etkinliklerimiz de devam etti.

İkinci yıl önemliydi zira iki yıllık planımı tutturmam gerekiyordu. Öncelikle kulübümüzün adını Bilişim Güvenliği ve Araştırma Topluluğu olarak değiştirmek için resmi girişimde bulunduk. İsim değişikliği ardından, Türkiye de ilk kez bir öğrenci kulübü olarak, araştırma-geliştirme laboratuvarı oluşturma çalışmalarına başlayarak sponsor arayışlarına girdik.

Bu arada, topluluğumuzu biraz daha kurumsallaştırmak adına çeşitli departmanlara böldük. Topluluk;

• Araştırma-Geliştirme Koordinatörlüğü
• Web ve Multimedia Kordinatörlüğü
• Basın ve Halkla İlişkiler Kordinatörlüğü
• Belgelendirme ve Dökümantasyon Kordinatörlüğü
• Denetleme Kurulu
• Disiplin Kurulu

olmak üzere ayrı departmanlara bölünmüş oldu. Tabi bir topluluk olarak manifestoya ihtiyacımız vardı. Bu manifestoyu o dönemlerde v1 olarak yayına soktum =))

Bu arada bir iki sponsor bularak çeşitli cihazları temin ettik (switch, router, firewall, server, pc ). Kulüp iç eğitimlerimiz başlamıştı. TCP/IP, Temel Network Kavramları, Python, Pen-Test metodolojileri gibi eğitimlerimizi verdik.

Ayrıca dışarıda pek çok üniversite ortaklığında, akademik yaşam ile sektör arasnda ki boşluğu kapatmak üzere bir araya gelmeyi hedefleyen Bilişim Platformu organizasyonunun kurucu üyelerinden olduk.

Akabinde, İstanbul ve Galatasaray üniversitelerinde TCP/IP seminerleri vererek dış etkinliklerimize de başlamış olduk. Derken üye sayımız 56 lara yükseldi. Üyelerimizi pasif ve aktif üyeler olarak iki parçaya böldük. Çok teknik konuları aktif üyelerimize açtık ve dışarıdan katılımı engelledik. Aktif üyelerimize gizlilik sözleşmesi imzalatarak, çeşitli alanlarda denetimi sağlamış olduk.

Şuanda, kulübün benim yakın zamanda başlayacak olan yokluğumda da kendi kendisiini idare edebilmesi için son rütuşlarımızı yapmaktayız. İç ve dış eğitimlerimiz, etkinliklerimiz ve laboratuvar çalışmalarımız devam etmekte.

Ünviersitemizin networkünün belirli alanlarında güvenlik testlerine başladık, çeşitli kriptolojik yazılımlar da gerçekleştirmiş olduğumuz projeler arasında yer aldı. Kısa sürede sıfırdan bence olumlu bir yere geldik. En büyük isteklerimden biri, büyük emekler harcadığım bu topluluğun iyi üretimler gerçekleştirerek, yoluna devam etmesidir. Şuanda gidişat gayet iyi, öğrenci toplulukları arasında saygın bir yerimiz olduğunu görebiliyorum. Çünkü sadece seminer etkinliği, parti eğlence odaklı toplulukların aksine ciddi şekilde üretimi düşünen ve dışarıya kapalı bir topluluğuz.

Aslında oldukça özet geçtiğim bu süreci buraya not düşürüyorum. Beyenen alır beyenmeyen pısar kaçar =P

Hayatım boyunca insanlardan hep “bu kadar şeyi aynı anda nasıl yapıyorsun?”, “bir koltukta iki karpuz olmaz”, “bir sürü yerde olan hiç bir yerde olamaz” gibi motive edici şeyler duymuşumdur ! Öte yandan hayatım boyunca hep de merak ettiğim şeylerle ilgilenme zamanını yaratabildim. Bunu bir prensip haline getirmiştim. Merak ettiğin bir şey mi var, git peşinden ucunda ne olursa olsun. Tahmin edersiniz ki bu felsefeye sahip birinin anlatacak baya şeyi olabiliyor =P Müzik, spor, bilim, resim, tiyatro, bilişim dünyası, felsefe, uluslarası ilişkiler, nöroloji, psikoloji vs. merak ettiğim hemen hepsi ile uğraştım kimisi ile çeşitli üretim aşamalarında da bulundum.

Bütün bunlar benim için bir arayıştı. Toplumsal egonun insanlara empoze ettiğinden çok, gerçekte neyi sevebileceğim, ne ile yaşayabileceğim, ne ile insanlara ve çevreye faydal ve mutlu olabileceğimi aradım. Sonunda hayatım için kariyer planlaması ve yapılacaklar listesi yapabildim. Tabi bu süreç alışık olduğumun aksine bir konsantrasyon süreci herşeyden çok. Çünkü herzaman yaptığımın aksine, kararlarımın sürekliliği için çalışmak, gelip geçici meraklarımın kokusunun burnumu okşayışlarına sessiz kalmam gerekiyor =).

Dolayısı ile üniversite ve mesleki kariyer hedeflerimin belirginleştiği bu dönem de kişisel meraklarım hiç olmadığı kadar geri planda kalıyor. Hem güzel hem kötü. Ama gerçekçi yaklaşmak lazım.

Bu süreç kişisel gelişimimin spesifik bir parçası olan mesleki gelişimim açısından oldukça faydalı geçiyor. Her gün yeni şeyler öğreniyorum, her an yeni şeyler merak ediyorum filan. Tabi bilgi olsun çöpten olsun toplar öğrenirim gibi bir sıkıntılı tutkusu olan benim için bu yeterince heyecan verici.

Öte yandan eğitim sistemi üzerine atıp tutmalarım mevcut bilenler bilir =) Ama üniversite her geçen gün benim için aşırı çatıştığım ve bir şekilde gurur meselesi yapıp kendimce protesto ettiğim enteresan bir alandı. Bu düşüncelerimi geri plana atmam gerektiğini asi bünyem geç de olsa kabullenmiş durumda -en azından pratik ve pragmatik anlamda. Daha duruldum ve işime bakıyorum. Bu yaklaşımım evreni yöneten ilgili birimler tarafından olumlu karşılanmış olsa gerek ki benim için bir terfi düşünmüşler ve fırsat çıkarmışlar. =P

Uzun süredir takip ettiğim bir ülkenin en büyük iki üniversitesinin ortak bir master programı için hayaller kuruyordum. Bu hayallere, yeterlilik sınavını kazanmam ve akademik başarıdan ziyade geçmişte yer aldığım projelere gösterilen olumlu tepkilerin sonrasında iyiden iyiye yaklaştığımı görüyorum. Bunun üstüne ilgili üniversitenin uluslarası öğrenciler dairesi koordinatörünün “Welcome to ….” şeklinde ki bitirişi beni oldukça ümitlendirdi. Heyecanla buradaki akademik sürecimin tamamlanmasını bekliyorum. Bu gerçekten sorunlu eğitim hayatım içerisinde oldukça güzel bir şans olacak sanırım. Evet büyük şansızlıklar arka arkaya gelip onlar da büyük sorunlara yol açmazsa önümüzde ki yıl ilgili ülkede, karar verdiğim alanda yüksek lisans ve ardından da doktoramı yapmaya başlıyor olacam. Ülke ve üniversite isimleri şimdilik saklı =) Batıl inanç diyelim.

Bu süreçte şuanki akademik sürecimin hır gür işlerini yapıp bir an önce kurtulmaya çalışmak için yeterince motivasyonumun olduğunu hissediyorum.

Yakınlarda bir zaman içerisinde, SNMP, kriptoloji, sezgi, farkındalık, eğitim teorisi gibi konularda bir şeyler not düşeceğim. Bunun dışında, yine önceden planlamış ve sıfırdan başlayıp belirli bir sonuca ulaştırdığım 2 yıllık bir projenin hikayesini anlatacağım. Bu belki, üniversite hayatında benim kafamda insanlardan olup, bir şeyler tasarlayanlar için bir başarı öyküsü yahut bir ilham hikayesi gibi bir şey olabilir. Ya da hiç bir şey olmaz, ben ilerde hatırlarım =)) Büyük ihtimalle ilk önce bu konuda yazarak, kendimi yeniden yazmaya ısındırabilirim.

Organizasyon Kulüp Başkanı’nın Galatasaray Üniversitesi ruhunu ve kulübünü anlatan kısa ve öz konuşması ile başladı. Ardından sunucu adımı anons ederek açılış sunumu için davet etti. Salonda kalabalık ve erken saatte olmasına rağmen ilgi açıkçası beni biraz daha fazla motive etti. Sanıyorum 150 civarında bir katılım sözkonusuydu.

Bütün gün sunumlarla dolu olduğundan, sonraki sunum yapacak arkadaşlar için bir zemin oluşturmak adına, Network Nedir? başlıklı sunumumu ve anlatım şeklimi biraz daha değiştirdim. Dünyadan örneklemeler ve güvenlik ilişkileri ile bir arada harmanlamaya çalışarak bir perspektif sundum. Takdir edileceği gibi konuların 1 saate sığdırılması zor olduğundan, derinlik-perspektif-sonraki sunumlar için dolgunluk üçlemesi arasında mümkün olduğunca optimizasyon yapmaya çalışarak anlatımımı gerçekleştirdim.

Eğlenceli, espirili, neşeli bir sunum olduğu kanısındayım. Nitekim benden sonra ki konuşmacılar biraz daha rahat teknik terimler kullanma imkanı yaşadılar. Benim ardımdan gerçekleşen tüm sunumlara katılmaya ve her birinden yeni şeyler öğrenmeye çalıştığımı da eklemeliyim. Özellikle Garanti Bankası’ndan Ali Suha Ter sunumu ile bankacılık işleyişleri prosesdürleri hakkında bilgimi artırdığımı söylemeliyim. Bu arada IRC de nuke atma yıllarında, kendisi ve kuzeninin yazdıkları tool u kullanıyor olmam da bizi biraz daha kaynaştırdı kendisi ile. Eğlenceli ve hoşsohbet biriydi tanıştığıma çok memnun oldum.

Benden hemen sonra Probil’den Data Center Sanal Güvenliği, Deloitte’den Bankalarda Bilgi İşlem Denetimi, akabinde az önce belirttiğim Ali Bey’in sunumu ve son olarak da enteresan karşıladığım, Bilge Adam’dan Ethical Hacker lık sunumları gerçekleşti. Sanıyorum en yüzeysel bulduğum Bilge Adam sunumuydu. O sunum bana, sabırsızlıklarım, konuları derinlemesine öğrenmeden bir şeyler yapmak için kullanılan araçlar ve bu tarz insanların varabilecekleri noktalar üzerine yeniden düşünme fırsatı sundu.

Bunların dışında organizasyon hakikaten emek verilmiş bir çalışma olmuş. Aralarda yemek, kahvaltı, çayi kahve, soda, enerji içeceği dağıtımı, kapanış kokteylinde biralarımızı yudumlayarak sohbet etmemiz filan, uzun zamandır iyi organize edilmiş öğrenci etkinliklerine hasret kalmış biri olarak beni mutlu etti. Bu açıdan onlara tekrar teşekkür ederim.

Özetle, beklediğimden iyi geçen, neşeli, olumlu, ve paylaşım dolu güzel bir organizasyon oldu. Orada olmaktan dolayı çok mutlu oldum. Umarım tekrarı gerçekleşir =)

Bu kararsızlığı geçen hafta nihayetine erdirerek ( bu nihai sonda, Taksim de Oracle Security eğitimi sonrası harika bir yemekte yakından tanıma fırsatı yakaladığım, süper kafa S. Çağlar Onur un da etkisini es geçemeyeceğim) Iphone aldım.

İlk günüm onu tanımaya çalışarak geçti. Fakat kendimi böyle boynundan bağlı köpekler gibi hissetmeye başladığımda kararımı da artık vermiştim. Firmware kırıp zincirlerimi kopartacaktım. Nitekim öyle de oldu. Kırdıktan sonra haddinden fazla bir rahatlama hissettim. Bir sürü ücretsiz yazılımın barındığı paket depoları vs kocaman bir kapı aralandı ve orda ışığı gördüm diyebilirim.

Evet yazılıp çizildiği gibi enteresan eksiklikleri mevcut aletin. SMS gönderdikten sonra gönderildi iletiniz gelmiyor mesela ki benim daha önce kullanmadığım bir özellikdi, o nedenle bir şey değişmedi hayatımda. Öte yandan başka sinir bozucu eksiklikleri de yok değildi. Bu detaylara girmek istemiyorum yeteri kadar okumuşsunuzdur zaten. Fakat bazı ciddi eksikliklerin çözümleri de bir anlamda açık kaynak kodcular tarafından çözülmüş durumda.

Örneğin, bilgisayarınızı itunes dışında cihazınızla haberleştirip her türlü veri transferini gerçekleştirebiliyorsunuz. MP3 lerinizi meldo haline getirebiliyorsunuz vs. Bunların dışında paket yöneticisi olarak APT yi görmüş olmam daha önce detaylarını incelemediğim için şaşırttı beni açıkçası. Ben Apple bu noktada da garip bir davranış sergileyebilir şeklinde bir beklenti içerisindeydim. vi, nano gibi editörlerin derleyicilerin vs kullanılabilmesi de ayrı bir hoşluk.

Her ne ise, konuya dönmek istiyorum; asıl olay şu ki, aleti kişisel anlamda hayatları için bir çözüm olarak görüp alanlar ve almak için alanlar şeklinde iki grup oluşturabiliriz. Almak için alan grubun neredeyse tamamı, diğer anlamda kullanan grubun da bir bölümü, Bilgisayar – Iphone iletişimi için ek çözümleri kullanmaktalar ki bunların hemen hepsi geride SSH kullanımını sağlayan çözümler. İki gruptaki kullanıcılar, özellikle de XP ve türevi işletim sistemlerini kullanıp pc-iphone iletişimini sağlayacağı söylenen programları yükleyen sıradan kullanıcılar SSH hakkında detay bilmediklerinden,  aslında engelleyebilecekleri bir güvenlik tehlikesi ile yüzyüzeler.

Bildiğiniz gibi aletimiz BSD. default root parolası mevcut. Eğer bu şekilde bir çözümden faydalanıyor iseniz, öncelikle root şifrenizi değiştirmeniz ve bilgisayarla ileitşiminiz olmadığı durumlarda SSH ı etkisiz hale getirmeniz sizin için faydalı olacaktır. Çünkü bulunduğum mekanda wireless ile internete erişen bir iphone üzerine öntanımlı root şifresi ile SSH bağlantısı çekerek root olabildim. Sonradan farkettim ki (mekanımda nedense bir iphone bolluğu var) cihazını bu şekilde kullanan pek çok insan var.