12-13 Aralık tarihlerinde İstanbul Bilgi Üniversitesi santral kampüsünde düzenlenen İstSec09 Bilgi Güvenliği Konferansı‘na katıldım. Son dönemde web uygulamalarındaki güvenlik ihtiyaçları konusunda bilişim dünyasında gözle görülür bir hareketlenme var. Artık yazılım talep eden kurum ve kuruluşlar, geliştirilen uygulamaların bir takım güvenlik kriterlerini yerine getirmelerini şartnamelerinde daha açık ve ayrıntılı biçimde talep ediyorlar. Kabul süreçlerinde çeşitli araçlar vasıtası ile uygulamalardaki güvenlik açıklarının tespit edilmesi ve giderilmesine yönelik çalışma ve testler de gün geçtikçe yaygınlaşıyor. Bu nedenlerle kurumsal uygulama geliştirme alanında çalışan bizlerin, güvenlik konularına artık daha yoğun biçimde eğilmesi ve gelişmeleri daha yakından takip etmesi gerekecek.
Bilgi güvenliği alanında çalışanları, uzmanları ve bu konulara ilgi duyanları bir araya getirmeyi, bilgi paylaşımını amaçlayan konferansı içerik ve konuşmalar açısından oldukça doyurucu buldum. Özellikle cumartesi günkü konuşmaları, sunumları ve panelleri yakından takip etme fırsatım oldu. Konferans boyunca dikkatimi çeken olumlu ve olumsuz noktaları kısa kısa sizlerle paylaşmak istiyorum.
Konferans’ın yeri, ulaşım ve salon, standlar
Konferansın düzenlendiği Santralİstanbul kampüsüne ulaşım gayet kolaydı, Bilgi Üniversitesi’nin Taksim’den 20 dakikada bir kalkan servislerinden birisi ile 15-20 dk da kampüse ulaştım. Ancak kampüs içerisinde konferansın yapıldığı salonu bulmak tamemen el yordamı ile oldu. Ne bir yerleşke haritası, ne de bir yönlendirme tabelası mevcuttu konferansla ilgili olarak. Sanırım etkinlik içerisinde düzenlenen “Capture The Flag” Hacker’lık Yarışması’na katılımlarında da olduğu gibi, etkinliğe katılmak isteyenlerin konferans salonunu bulmaları için az bir efor daha sarfetmeleri istenmişti. Yaygın biçimde duyurulan, son dakika da gelemediği anlaşılan Ulaştırma Bakanı’nın da konuşmacılar arasında yer aldığı bir etkinlik için seçilen salonun küçüklüğü de bir diğer olumsuz noktaydı. Bilgi Üniversitesi’nin sahip olduğu en büyük ve konforlu salonun bu olduğunu zannetmiyorum. Salon dışındaki değişik firmaları ve dernek ve toplulukları tanıtan standlarda oldukça dar bir alana sıkışmıştı. Malesef hemen her etkinlikte olduğu gibi buradaki standlarda da firmaların çalışmalarını, ne tür hizmetler verdiklerini öğrenmek için her biri ile özel olarak ilgilenmek gerekiyordu. Oysa bu tür etkinliklerde, standlardaki demo’lar, dokümanlar, slaytlar ve banner’lar ziyaretçilere orada ne pazarlandığı hakkında hızlı ve kolay biçimde bilgi verici nitelikte olmalı diye düşünüyorum. Tanıtılan ürün ve çalışmaların demosu, canlı kullanımı veya deneme sürüşleri de genelde bizim standlarımızda ihmal edilen faaliyetlerden…
Açılış konuşmaları
İlk günün sabahı yapılan uzun açılış konuşmaları da bence etkinliğin olumsuz taraflarındandı. Türkiye’deki konferanslarda etkinliğe sponsor olan, organizasyon komitesinde yer alan herkesin, varsa siyasetçi ve bürokratların usulen konuşmalar yapması olmazsa olmaz hale gelmiştir. Ancak bu konuşmacılar genellikle etkinliklere hazırlıksız gelmekte, konu ile alakalı olmayan veya konu ile alakalı olsa bile konuşma için yapılan hazırlıktaki yüzeyselliğin her hali ile belli olduğu konuşmalar yapmaktadırlar. Burada da aynı durum tekrarlandı diyebiliriz. Örneğin, Bilgi Üniversitesi rektörünün yaptığı konuşma tamamen üniversiteyi tanıtan bir içerekteydi. Öncesinde ve sonrasında ne anlattıklarını bir çırpıda unutuverdiğim birkaç konuşmacı daha söz aldılar. Bilgi Teknolojileri ve İletişim Kurumu Başkanı Tayfun Acarer ise konuşmasında son zamanlarda tekrar alevlen youtube yasağına değindi. Yasağın mahkemeler tarafından Atatürk’ü koruma kanunu nedeni ile ortaya çıktığını, kendilerinin ise “emir kulu” (yani yasağın uygulayıcısı) olduklarını tekrarladı. Buna rağmen kendilerinin yasaklayıcı gibi algılanmasına sitem etti. Youtube yasağı konusunda bugünlerde söz söyleyenlerin sık sık bize özgü hassasiyetleri ve değerleri vurgulamalarını bir yere kadar anlıyorum. Ancak bu kişilerin, bireylerin haberleşme ve bilgiye erişme hakkının gaspı konusunda bir çift laf etmemeleri veya edememeleri de gerçekten düşündürücü. Neden sadece suç oluşturan içeriği engellemeye yönelik altyapısal çalışmalar yapılmıyor?, yasak getiren içeriğin youtube’un ana sunucularından da silinmesinin istenmesi global dünyada ne kadar anlamlı? Başkan youtube’u yasaklayan bir değil tam 32 tane daha mahkeme kararının olduğunu, birisinin iptal edilse bile diğerlerinin sırada beklediğini belirtti. Sıra sıra uygulanmayı bekleyen youtube yasakları varsa -YÖK Başkanı’nın kulakları çınlasın-Türkiye’deki İnternet kullanıcılarının da yasağın etrafından dolanmak için A,B,C,D,E… planları da hazır bekliyordur muhtemelen. Kurum Başkanı’nın değindiği diğer ilginç bir konu da Türk arama motoru çalışmaları oldu. “Neden Türk arama motoru çalışmaları yapılıyor ki?” şeklindeki eleştirileri anlamakta zorluk çektiğini belirten başkanın, “tamam google var, ama neden bizim de olmasın, belki google kadar kapsamlı olmayacak, ama olsun, isteyen gitsin yine google’ı kullansın” şeklindeki savunması da ilginçti.
Oturumlar, sunumlar ve paneller
Açılış konuşmalarının ardından nihayet konferansın ana konularına geçilebildi. Ahmet Koltuksuz’un bilgi güvenliğinin kuramsal temellerini sorguladığı sunumu çok başarılıydı. Ahmet hoca bilgi teorisinden, bilginin nasıl formülize edilip edilemeyeceğinden bahsetti. Bilgi güvenliği ifadesinin somut bir takım ölçütler çerçevesinde değerlendirilebilmesinin gerekliliğini vurguladı. Bu alandaki bilimsel metriklerin eksikliğinin sistemlerin ve uygulamaların ne düzeyde güvenli olduğunu tespite yönelik nesnel cevaplar vermeyi engellediğini belirtti. Ahmet Koltuksuz’a göre bilgi sintaktik açıdan deterministik olmasına ve formülize edilebilmesine rağmen, semantik bilginin klasik deterministik yöntemlerle ifade edilmesinde şu an için ciddi sorunlar var. Bir şekilde bilginin matematiksel bir modelinin de oluşturulduğu günler gelecek, ancak nasıl ki daha Leonardo Da Vinci dönemlerinden insanın uçabileceği biliniyorsa da uçmanın formülize edilebilmesi için ortaçağdan sonra yaklaşık 300 yıllık bir zaman geçmesi gerekmiştir, semantik bilginin de matematiksel olarak ifade edilmesi ve ölçülebilir sistemler geliştirilebilmesi için bir insan için uzun ancak dünya için kısa bir asrın geçmesi gerekecek.
Öğleden sonraki sunumlardan birisi de Ferruh Mavituna‘ya aitti. Ferruh Mavituna, Web uygulama güvenliği konularında bilgilendirici ve güzel bir sunum gerçekleştirdi. Sunumunda web uygulama güvenlik açıklarını tespit eden araçlarının geçen yıllar boyunca gelişiminden, bunların karşılaştıkları engel ve limitlerden bahsetti. Şu ana kadarki pek çok güvenlik tarama aracının temel problemlerinden birinin “yanlış alarm” , bir diğer deyişle (false positive), durumu olduğunu söyleyen Ferruh, aslında bunun aşılabilecek bir durum olduğunu, pek çok benzer araç geliştiren ekip ve kişilerin güvenlik taramalarının tam olarak otomatize edilmesinin imkanız olduğu gibi yanlış bir kanaati savunmalarının da doğru olmadığını vurguladı. Mavituna Security’nin geliştirdiği web uygulama güvenlik analiz aracının bu tür kısıtları aşan bir çözüm olduğunu belirten konuşmacıya göre, eğer sistemin tespit ettiği bir açık kullanarak hedef uygulamaya sızabiliyorsanız tespit ettiğiniz açık kesinlikle yanlış alarm değildir.
Konferansın organizatörlerinden Huzeyfe Önal ise sunumunda hackerların gözünden bilgi güvenliği konusunu irdelemeye çalıştı. Sunumunda bilgi güvenliği elemanları ile hackerların güvenlik olgusuna yaklaşımları arasındaki farkı ortaya koyan Huzeyfe, sunumun devamında değişik örnekler üzerinden hackerların güvenlik açıklarına yaklaşımlarını, bu açıkları nasıl kullanarak sisteme sızma girişimlerinde bulunulabileceğini anlattı. Zevkle ve dikkatle dinlenen bir sunum olduğunu rahatlıkla söyleyebilirim.
Günün bir diğer sunumu ise iPhone ile hackleme ve hacklenme konusu ile ilgiliydi. ADEO firmasından Halil Öztürkci’nin yaptığı ilginç sunum ile iPhone cihazının hacklenerek nasıl bir ortam ve telefoın dinleme aracı olarak kullanılabileceği, iPhone üzerinde tutulan kişisel bilgilerin nasıl başkaları tarafından elde edilebileceğini öğrenmiş olduk. Doğrusu mobil cihazlar konusunu biraz geriden takip eden ve Apple’ın tamamen güvenli bir platform sunduğunu (kulaktan dolma bilgilerle) düşünen birisi olarak sunumu oldukça ilginç bulduğumu söyleyebilirim. Sanırım salondaki izleyicilerin pekçoğu içinde aynı şey sözkonusuydu. Çoğumuzun bildiği gibi iPhone üzerinde çalışacak uygulamaların Apple üzerinden indirilmesi ve kurulması gerekiyor. Eğer iPhone cihazınız üzerinde Apple tarafından onaylanmamış uygulamaların çalıştırılabilmesi için “jailbreak” işlemi yaparsanız, bundan böyle cihazınız üzerinde herhangi bir kod çalışabilecektir. İnternet ortamından erişilebilen Cydia isimli bir program vasıtası ile iPhone üzerindeki istediğiniz uygulamaya erişebilir, her türlü uygulamayı kurabilirsiniz. Ayrıca iPhone üzerinde default olarak bir ssh çalışıyor ve bunun default root şifresi de “alphine”. Eğer jailbreak yapılmış olan iPhone üzerindeki ssh’ın default root şifresini değiştirmemiş iseniz, cihazınız dış dünyaya tamamen açık demektir. Örneğin, yakın zamanda Hollanda’lı bir hacker jailbreak yapılmış iPhone cihazlarının ssh portlarını taratıp, default ssh şifresi değiştirilmemiş olanlara erişerek dolandırıcılıkta bulunmuş…
Konferanstaki ilginç sunumlardan birisi ise Muhammed Hluchan (sanırım Türkçesi Ulaçhan) tarafından yapıldı. Muhammed Büyük Ortadoğu’da Hacklenme başlıklı sunumunda Libya ve Mısır’dan, Pakistan ve Afganistan’a kadar geniş bir coğrafyada Türkiye, İsrail ve İranı’ da içine alan kapsamlı bir hacker profil analizi yaptı. Bu analize göre ortadoğu da faaliyet gösteren hackerların bilgi ve tecrübe düzeyleri batı ülkelerinde ve Rusya, Çin gibi ülkelerdeki hackerlarınkinden oldukça geride kalıyor. Genellikle hackerların motivasyonunu etkileyen en temel sebepleri ideolojik ve ideolojik olmayan olarak ikiye ayıran Muhammed, ideolojik amaclı faaliyet gösteren hackerların daha çok propaganda yapma, karşıt görüşlü siteleri çökertme veya el geçirme, bazı programların kullanımları hakkında İnternet kullanıcılarını bilgilendirme gibi faaliyetlerde bulunduğunu, ideolojik olmayan hackerların ise eğlenceden, hırsızlık ve dolandırıcılığa kadar pek çok değişik amaçla faaliyet gösterdiklerini belirtti.
Konferans programında özellikle pazar günü çokça yer alan panellerle ilgili olarak da birkaç şeye dikkat çekmek istiyorum. Öncelikle paneller, üzerinde fikir belirtilen konu ile ilgili dinleyiciler arasında belli bir farkındalık yaratma, üstüne eğinilecek konu başlıklarını tespit etme, sektörde bu konu ile ilgili öne çıkan noktaları öğrenme açısından faydalı aktiviteler. Ancak panellerin bu işlevlerini yerine getirebilmeleri için panelistlerin ve moderatörlerin ciddi bir ön hazırlık yapmaları gerekiyor. Ayrıca bu etkinlikte de olduğu gibi bir paneldeki konuşmacı sayısını ne kadar çok tutarsanız panel o kadar uzun olmak zorunda kalıyor ve 1.5-2 saat süren bir panel de oldukça sıkıcı olabiliyor. Ayrıca panelistlere sorulacak sorularında mümkün olduğunca genel akışı etkilememesi ve kesintiye uğratmaması önemli.
Konferansın ikinci günü düzenlenen CTF hacker yarışması ise bence çok güzel düşünülmüş bir aktivite. Ancak öğrendiğim kadarı ile yarışmacılardan hiçkimse belirlenen son aşamaya kadar gelmeyi başaramamış. Huzeyfe Önal sunumunda online bir CTF yarışmasının da hayata geçirileceğinden bahsetmişti. İlgilenen arkadaşlara buradan duyurulur. Yarışma boyunca hackerların mücadelelerini izleyicilere yansıtan ve onların da aşamaları an be an takip etmelerini sağlayacak bir mekanizma, örneğin hackerların aktivitelerini büyük bir monitorden göstermek gibi, yarışmayı daha eğlenceli hale getirebilir.
Bu tür etkinliklerin en faydalı yanlarından birisi de kişilerin sosyalleşmesi ve sektörde çalışanların birbirleri ile tanışma ve daha yakından iletişim kurma fırsatı elde etmeleridir. Hatta normal zamanlarda görüşmeye fırsatınız olmayan arkadaş ve tanıdıklarınız ile bu tür etkinlikler vesilesi ile buluşabilirsiniz. Bu sayede arkadaşlarınızın tanığı diğer pek çok kişi ile de irtibat kurma fırsatını elde edebilirsiniz. Son olarak konferans organizatörlerinin belirttiğine göre benzer bir etkinlik Aralık ayının son haftası Ankara’da da düzenlenecekmiş. Fırsat bulanların katılmalarını tavsiye ederim.