7 Kasım 2012 Çarşamba

Merhaba,

Netsec topluluğu olarak 2013 yılında yapmayı planladığımız etkinlikleri  sizin fikirlerinizide alarak oluşturmak istiyoruz.  Bu kapsamda aşağıdaki linkte bulunan anketi doldurabilirseniz seviniriz.

NetSec Topluluğu


23 Ekim 2012 Salı


20 Ekim 2012 Cumartesi günü Microsoft Türkiye’nin sponsorluğunda gerçekleştirdiğimiz NetSec Topluluk Buluşması - Bilgi Güvenliğinde Sızma Testlerinin Yeri ve Önemi etkinliğine ait sunum ve fotoğraflarına aşağıdaki adreslerden erişebilirsiniz.

Katılan herkese teşekkür ederiz.


Sunumlar:
Nasıl Sızma Test Uzmanı(Pentester) Olunur?, Mert SARICA (IBTECH)
Hedef Odaklı Sızma Testleri, Huzeyfe ÖNAL (BGA)
Bankacılıkta Admin Riskleri ve Bellekte Avcılık, N. Şenol YILMAZ(SECROVE)
Uygulama Güvenlik Testlerinde WAF Sistemlerini Atlatma, Mehmet D. İnce (BGA)
VoIP Sistemlere Yönelik  Sızma Testleri , Ozan UÇAR (BGA) 


Fotoğraflar:
https://www.facebook.com/media/set/?set=oa.461500177234414&type=1

10 Eylül 2012 Pazartesi

Bilişim güvenliğinin en önemli konularından biri sızma testleri olmaktadır. Kimi zaman bir zorunluluk kimi zaman güvenliğe olan gerçek ihtiyaç irmaları sızma testleri yapmaya zorlamaktadır.

NetSec Ağ ve Bilgi Güvenliği Topluluğu düzenli olarak gerçekleştirdiği etkinliklerden 5.sini gün geçtikce önemi artan bir konu olan Sızma Testleri(opentst) ayırmıştır.  Etkinlik sızma testleri konusunda hem teknik hem de idari olarak kafalarda kalan soru işaretlerine çözüm sunmayı hedeflemektedir.

Kayıtlar ücretsizdir,  etkinlik salonundaki kontenjan nedeniyle katılım için öncelik kurumsal firma çalışanlarına ayrılmıştır.
Etkinlik ile ilgili geri bildirimler için [email protected] adresine e-posta gönderebilirsiniz.

Konuşmacılar:
Huzeyfe ÖNAL:Bilgisayar mühendisliği eğitiminin ardından 2002 yılından itibaren Ford, AVEA, Vodafone, Turkcell gibi Türkiye’nin en önemli firmalarında  Linux/UNIX sistem uzmanı, ağ güvenliği yöneticisi, bilgi güvenliği denetim uzmanı, adli bilişim analiz uzmanı, sızma testleri uzmanı olarak  görev alan Huzeyfe ÖNAL 2008 yılından itibaren Bilgi Güvenliği AKADEMİSİ bünyesinde bilgi güvenliği konusunda eğitim ve danışmanlık hizmetleri sunmaktadır.
Huzeyfe ÖNAL'ın başlıca uzmanlık alanları uygulama güvenliği, sızma testleri, APT(Advanced Persistent Threat), saldırı tespit ve ağ anormallik tespit sistemleri, ağ tabanlı adli bilişim analizi, bulut bilişim güvenliği, ddos saldırıları ve korunma yolları gibi konulardan oluşmaktadır.



Mehmet D.İNCE:2006 yılından beri uygulama güvenliği üzerine araştırmalar yapmaktadır. Bir çok  açık kaynak kodu yazılıma ait güvenlik zafiyeti keşfetmiş ve bunları halka açık siteler üzerinden yayınlamıştır.

Halen BGA Bilgi Güvenliği Eğitim ve Danışmanlık şirketinde sızma testleri  uzmanı olarak profesyonel iş hayatına devam etmekte olan  Mehmet İNCE’nin ilgi alanlarını uygulama güvenliği, açık kaynak kodlu sistemler ve zararlı yazılım analizi oluşturmaktadır.


Mert SARICA: Kariyer hayatım, 2003 yılında üniversitenin elektronik ders seçme uygulaması üzerinde keşfetmiş olduğum kritik güvenlik zafiyetini üniversite yönetimi ile paylaşmam ile başladı. Bu paylaşım üzerine üniversite yönetimi tarafından başarı bursu ile ödüllendirildim ve Ethical Hacker olarak işe alındım. 2006 yılında Yeditepe Üniversitesi, Bilişim Sistemleri ve Teknolojileri bölümünden mezun oldum. 2009 yılında ise Yeditepe Üniversitesi, İngilizce İşletme (MBA) programını tamamladım.
2007 yılından bu yana Finansbank’ın Bilgi Teknolojileri firması olan IBTech firmasında Senior Penetration Tester / Ethical Hacker olarak çalışmaktayım. Penetrasyon testinin yanı sıra zararlı yazılım analizi, tersine mühendislik ve adli bilişim analizi gibi bir çok alanda uzmanlaşmaktayım.


Nebi Şenol YILMAZ:Selçuk Üniversitesi Bilgisayar Mühendisliği Bölümü'nden mezun olduktan 2003 yılında ODTÜ
Bilgisayar Mühendisliği Bölümü'nde Yüksek Lisans öğretimine başladı. Aynı zamanda ODTÜ Bilgi İşlem Dairesi Başkanlığı'nda Yazılım Mühendisliği, Sistem Yöneticiliği ve Proje Yöneticiliği yaptı.
Yüksek öğretiminde açık kaynak kodlu yazılımlar ve sistemler üzerine çalışmalar yürüterek,
güvenlik duvarı geliştirilmesi konusunda Ar-Ge çalışmaları yapmıştır. 2006 yılında TÜBİTAK
Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü'nde Bilgi Güvenliği Uzmanı olarak çalışmaya başlamış ve güvenli yazılım geliştirme, zafiyet tarama, ağ güvenliği, uygulama güvenliği ve ISO 27001 konularında çalışmalar yürütmüş, kamu ve savunma sanayiine danışmanlık yapmıştır. 2008-2010 yılları arasında Gitti Gidiyor Bilgi Teknolojileri A.Ş. (E-Bay Türkiye)'nde Bilgi Güvenliği Yöneticiliği yapmış, PCI DSS ve ISO 27001 üzerine çalışmalar yürütmüştür. 2012 Mayıs ayı itibarı ile bilgi güvenliği alanında Ar-Ge çalışmaları yapmak üzere Secrove Bilgi Güvenliği Danışmanlık ve Teknoloji Hizmetleri'ni kurmuştur. Ar-Ge çalışması olarak DDoS Saldırı Engelleme Sistemi projesini yürütmekte ve Bilgi Güvenliği Danışmanlık Hizmetleri vermektedir.


Ozan UÇAR: 2006 yılından beri profesyonel iş hayatında sızma testleri, Linux sistemlerin güvenliği ve bilişim güvenliği eğitimleriyle ilgilenmektedir.

2010 yılı itibariyle BGA Bilgi Güvenliği  Eğitim ve Danışmanlık firmasında bilişim güvenliği üzerine eğitimler vemekte ve pentest ekibine liderlik yapmaktadır.

Ozan UÇAR’ın ilgi alanları, sızma testleri, ağ sistemlerinde adli bilişim analizi, derinlemesine Metasploit,  siber savunma sistemlerini atlama ve  DDoS saldırıları gibi konulardan oluşmaktadır. Sızma testleri ve bilişim güvenliği üzerine hazırladığı yazıları blog.bga.com.tr adresinden paylaşmaktadır.

Türkiye, Azerbeycan ve Kuzey KIBRIS’da çok sayıda eğitim ve konferansa katılmış, bilgi güvenliği konularında sunumlar gerçekleştirmiştir. Çeşitli yıllarda gerçekleştirdiği konferans ve seminerlere http://www.cehturkiye.com/index.php/ozan-ucar adresinden ulaşılabilir.

Bilişim güvenliğinin en önemli konularından biri sızma testleri olmaktadır. Kimi zaman bir zorunluluk kimi zaman güvenliğe olan gerçek ihtiyaç irmaları sızma testleri yapmaya zorlamaktadır.

NetSec Ağ ve Bilgi Güvenliği Topluluğu
düzenli olarak gerçekleştirdiği etkinliklerden 5.sini gün geçtikce önemi artan bir konu olan Sızma Testleri(pentest) ayırmıştır.

Etkinlik sızma testleri konusunda hem teknik hem de idari olarak kafalarda kalan soru işaretlerine çözüm sunmayı hedeflemektedir.

Kayıtlar ücretsizdir,  etkinlik salonundaki kontenjan nedeniyle katılım için öncelik kurumsal firma çalışanlarına ayrılmıştır.


Etkinlik ile ilgili geri bildirimler için [email protected] adresine e-posta gönderebilirsiniz.
 

Kayıt:
 
Kayıt sayfasında hotmail, gmail, yahoo, mynet gibi kurumsal olmayan e-posta adreslerinden yapılan kayıtlar onaylanmamaktadır. Sponsor firma güvenlik kuralları gereği kayıt olmadan etkinliğe katılım sağlanamaycaktır. Katılımla ilgili onay maili etkinlikten bir hafta önce gönderilecektir.

Kayıt Adresi

Sponsor: Microsoft Türkiye

Taslak Program

11:00-11:15 Bilgi Güvenliğinde Sızma Testleri, Ömer ALBAYRAK, NetSec Topluluk Lideri
11:15-12:00 Nasıl Sızma Test Uzmanı(Pentester) Olunur?, Mert SARICA
12:00-12:45 Hedef Odaklı Sızma Testleri, Huzeyfe ÖNAL
12:45-14:00 Öğle Arası
14:00-14:45 Bankacılıkta Admin Riskleri ve Bellekte Avcılık, N. Şenol YILMAZ
14:45-15:00 Kahve Arası
15:00-15:45 Uygulama Güvenlik Testlerinde WAF Sistemlerini Atlatma, Mehmet D. İnce
15:45-16:00 Kahve Arası
16:00-16:45 VoIP Sistemlere Yönelik  Sızma Testleri , Ozan UÇAR




Sızma Testleri Etkinliği Konu Detayları

[Pentest 2.0] Hedef Odaklı Sızma Testleri, Huzeyfe ÖNAL (BGA)

Günümüz kurumsal şirketleri hedef alan siber saldırılar gün geçtikce artmakta ve sonuçları eskiye oranla daha somut ve ticari açıdan can yakıcı olmaktadır. Kurumsal firmaların büyük çoğunluğu bilgi güvenliğini sağlama amaçlı sızma testlerini bu işin uzmanlarından hizmet olarak almaktadır.
Sızma testleri sıradan bir IT işinden oldukça farklıdır ve klasik yöntemlerle yapıldığında zaman ve mekandan bağımsız hareket kabiliyeti olan hacker dünyası kadar başarılı olamamaktadır.

Hedef odaklı sızma testleri-yeni nesil sızma testleri olarak da adlandırılmaktadır- sadece güvenlik zafiyetlerini raporlamak yerine kurumun izni dahilinde bu zafiyetleri bir bütün olarak değerlendirip hedef sistemde nereye kadar gidilebileceğinin gösterilmesi olarak tanımlanmaktadır.  Örnek olarak sosyal mühendislik ve web açıklığı üzerinden kurumsal bir firmaya ait tüm ağın ele geçirilmesi(domain admin hakları) ve şirkete ait kritik altyapıların yönetilmesi.

Sunum boyunca BGA tarafından gerçekleştirilen hedef odaklı sızma testlerinden uygulamalı örnekler verilerek klasik sızma testlerinin neden yetersiz kalacağı konusu üzerinde durulacaktır.



[WAF Bypass] Uygulama Güvenlik Testlerinde WAF Sistemlerini Atlatma, Mehmet D. İnce (BGA)

Web uygulama zafiyetleri günümüz siber tehditlerinin en önemli kısmını oluşturmaktadır. Çoğu kurumsal firma web uygulamalarına gelecek olası web saldırılarını önlemek için ağ tabanlı IPS(Intrusion Prevention System) ve  WAF(Web Application Firewall)  kullanmaktadır. Bu koruma sistemleri internet üzerinden otomatiza araraçlar kullanılarak gerçekleştirilen bir çok saldırı vektörüne karşı güvenliği sağlayabilmektedir. Buna karşın gerçek hayattan gelecek saldırılar, her zaman beklenildiği gibi değildir. Bu nedenle WAF sistemlerinin, saldırı engelleme başarıları çok önemlidir.

Sunum süresince WAF, IPS  koruması altınaki uygulamalara yönelik BGA tarafından yapılan testler ve sonuçlarına değinilerek, WAF, IPS  sistemlerinin güncel ve başarılı atlatma yöntem ve teknikleri üzerinde durulacaktır.



[Pentest Howto] Neden Sızma Testleri? Nasıl Sızma Test Uzmanı(Pentester) Olunur?, Mert SARICA (IBTECH)

Günümüzde gerek siber saldırılar  gerek regülasyonlar olsun detaylı güvenlik testlerinin yapılması kurumlar için zaruri ihtiyaçlardan biri haline gelmiştir. Özellikle tüm güvenlik teknolojilerinin atlatılabildiği bu günlerde yılda bir defa gerçekleştirilen penetrasyon testleri ve sadece otomatik araçlar ile taranıp geçilen sistemlerin art niyetli bilgisayar korsanları tarafından istismar edilmesi kurumlar için büyük bir risk haline gelmektedir.

Bu riski minimuma indirgemek isteyen kurumlar ise "En iyi savunma saldırıdır" sözünden yola çıkarak çözümü sistemlerini sürekli denetleyecek ahlaklı bilgisayar korsanlarından, pentesterlar'dan oluşan ekipler kurmaya başlamışlardır.

Bu sunumda kurumlar için penetrasyon testlerinin öneminden iyi bir pentester olmak için izlenmesi gereken yollara kadar bir çok konuya değinilecektir.



[App Memory Hunting] Bankacılıkta Admin Riskleri ve Bellekte Avcılık, N. Şenol YILMAZ, SECROVE

Bankacılık sektörü, yaşanan kötü olaylar sebebi ile oldukça ağır bir regülasyona tabi kalmış durumdadır. BDDK'nın uygulamaya koyduğu kanunların bir çoğunda amaç, bilgi sistemleri üzerinde yapılan tüm işlemlerin ve işlenen tüm verilerin, kim tarafından, nerede, nasıl yapıldığının şeffaflığını ve sorgulanabilirliğini sağlamaktır. Böylelikle, olası usulsüzlüklerin tanımlanması ve önüne geçilmesi hedeflenmektedir.

Sunum süresince, regülasyon doğrultusunda sistemler üzerinde yönetsel yetkiye sahip olan rollere ait kayıtların yeterliliği sorgulanacak ve bu roldeki bir kullanıcının hiç bir yere kayıt bırakmadan, SSL trafiğindeki bilgiye veya hash olarak tutulan parola bilgilerine açık olarak nasıl erişeceği canlı örneklerle ortaya konulacaktır.

[Voip Pentest] VoIP Sistemlere Yönelik  Sızma Testleri , Ozan UÇAR (BGA)

Telefon sistemlerinin internetteki herhangi bir sunucu gibi IP tabanlı çalıştığı zamanları yaşıyoruz. TCP/IP çalıştıran her cihazda bulunabilecek temel güvenlik zafiyetleri ve VOIP sistemlerin kendi protokollerinde ortaya çıkan güvenlik zafiyetlerinin istismarı klasik IT sistemlerinin ele geçirilmesi sonucu ortaya çıkan sonuçlardan çok farklı olmaktadır.

Sunum süresince voip güvenliği konusunda araç tanıtımından öte yerel ağlarda voip trafiğinin izlenmesi, dinlenmesi, voip kullanıcıları bilgilerinin ele geçirilmesi ve hizmet erişimini durdurmaya sebebiyet verecek saldırı tipleri ve VoIP sistemler aracılığı ile sosyal mühendislik çalışmaları, dolandırıcılık gibi konulara gerçek hayttan tecrübeler ışığında uygulamalı olarak gerçekleştirilecektir.

KONUŞMACILAR

[Huzeyfe ÖNAL, BGA Bilgi Güvenliği]
Bilgisayar mühendisliği eğitiminin ardından 2002 yılından itibaren Ford, AVEA, Vodafone, Turkcell gibi Türkiye’nin en önemli firmalarında  Linux/UNIX sistem uzmanı, ağ güvenliği yöneticisi, bilgi güvenliği denetim uzmanı, adli bilişim analiz uzmanı, sızma testleri uzmanı olarak  görev alan Huzeyfe ÖNAL 2008 yılından itibaren Bilgi Güvenliği AKADEMİSİ bünyesinde bilgi güvenliği konusunda eğitim ve danışmanlık hizmetleri sunmaktadır.

Bilgi güvenliği ve alt dallarını ilgilendiren konularda 50'den fazla özgün Türkçe belge hazırlamış, Snort Saldırı Tespit ve Engelleme Sistemi üzerine yaptığı çalışmalar SourceFire(sourcefire.com) firması tarafından ödüle layık görülmüştür.

2011 yılı itibariyle profesyonel iş hayatına BGA Bilgi Güvenliği Eğitim ve Danışmanlık firmasında Kurumsal Güvenlik Hizmetleri Bölüm Yöneticisi olarak devam etmektedir.

Huzeyfe ÖNAL'ın başlıca uzmanlık alanları uygulama güvenliği, sızma testleri, APT(Advanced Persistent Threat), saldırı tespit ve ağ anormallik tespit sistemleri, ağ tabanlı adli bilişim analizi, bulut bilişim güvenliği, ddos saldırıları ve korunma yolları gibi konulardan oluşmaktadır.

Uzmanlık alanlarıyla ilgili Türkiye, Azerbaycan, Kazakistan, KKTC gibi ülkelerde 200'ün üzerinde teknik eğitimi ve 100'ün üzerinde bilgi güvenliği projesini başarıyla tamamlamıştır.

Profesyonel iş yaşamından özenle ayırdığı zamanlarda Türkiye ve Azerbaycan'daki bilgi güvenliği sektörünün gelişmesi için katkıda bulunmaktadır.
Çok sayıda konferansta siber ağ ve bilgi güvenliği konularında sunumlar gerçekleştirmiştir. Gerçekleştirdiği çalışmalar hakkında detay bilgi almak için http://www.lifeoverip.net/hakkimda adresi ziyaret edilebilir.


[Ozan UÇAR, BGA Bilgi Güvenliği]
2006 yılından beri profesyonel iş hayatında sızma testleri, Linux sistemlerin güvenliği ve bilişim güvenliği eğitimleriyle ilgilenmektedir.

2010 yılı itibariyle BGA Bilgi Güvenliği  Eğitim ve Danışmanlık firmasında bilişim güvenliği üzerine eğitimler vemekte ve pentest ekibine liderlik yapmaktadır.

Ozan UÇAR’ın ilgi alanları, sızma testleri, ağ sistemlerinde adli bilişim analizi, derinlemesine Metasploit,  siber savunma sistemlerini atlama ve  DDoS saldırıları gibi konulardan oluşmaktadır. Sızma testleri ve bilişim güvenliği üzerine hazırladığı yazıları blog.bga.com.tr adresinden paylaşmaktadır.

Türkiye, Azerbeycan ve Kuzey KIBRIS’da çok sayıda eğitim ve konferansa katılmış, bilgi güvenliği konularında sunumlar gerçekleştirmiştir. Çeşitli yıllarda gerçekleştirdiği konferans ve seminerlere http://www.cehturkiye.com/index.php/ozan-ucar adresinden ulaşılabilir.

[Nebi Şenol YILMAZ, Secrove]
Selçuk Üniversitesi Bilgisayar Mühendisliği Bölümü'nden mezun olduktan 2003 yılında ODTÜ
Bilgisayar Mühendisliği Bölümü'nde Yüksek Lisans öğretimine başladı. Aynı zamanda ODTÜ Bilgi İşlem Dairesi Başkanlığı'nda Yazılım Mühendisliği, Sistem Yöneticiliği ve Proje Yöneticiliği yaptı.
Yüksek öğretiminde açık kaynak kodlu yazılımlar ve sistemler üzerine çalışmalar yürüterek,
güvenlik duvarı geliştirilmesi konusunda Ar-Ge çalışmaları yapmıştır. 2006 yılında TÜBİTAK
Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü'nde Bilgi Güvenliği Uzmanı olarak çalışmaya başlamış ve güvenli yazılım geliştirme, zafiyet tarama, ağ güvenliği, uygulama güvenliği ve ISO 27001 konularında çalışmalar yürütmüş, kamu ve savunma sanayiine danışmanlık yapmıştır. 2008-2010 yılları arasında Gitti Gidiyor Bilgi Teknolojileri A.Ş. (E-Bay Türkiye)'nde Bilgi Güvenliği Yöneticiliği yapmış, PCI DSS ve ISO 27001 üzerine çalışmalar yürütmüştür.
2010-2012 yılları arasında HSBC Bank A.Ş.'de Bilgi Sistemleri Müfettişliği görevinde bulunmuş ve CobIT, PCI DSS, ISO 27001, bilgi sistemleri denetimi konularında çalışmalar yürütmüştür.
CISA, CEH ve ISO 27001 LA sertifikalarına sahiptir.

2012 Mayıs ayı itibarı ile bilgi güvenliği alanında Ar-Ge çalışmaları yapmak üzere Secrove Bilgi Güvenliği Danışmanlık ve Teknoloji Hizmetleri'ni kurmuştur. Ar-Ge çalışması olarak DDoS Saldırı Engelleme Sistemi projesini yürütmekte ve Bilgi Güvenliği Danışmanlık Hizmetleri vermektedir.

[Mert SARICA, IBTECH]
Biyografi: Kariyer hayatım, 2003 yılında üniversitenin elektronik ders seçme uygulaması üzerinde keşfetmiş olduğum kritik güvenlik zafiyetini üniversite yönetimi ile paylaşmam ile başladı. Bu paylaşım üzerine üniversite yönetimi tarafından başarı bursu ile ödüllendirildim ve Ethical Hacker olarak işe alındım. 2006 yılında Yeditepe Üniversitesi, Bilişim Sistemleri ve Teknolojileri bölümünden mezun oldum. 2009 yılında ise Yeditepe Üniversitesi, İngilizce İşletme (MBA) programını tamamladım.
2007 yılından bu yana Finansbank’ın Bilgi Teknolojileri firması olan IBTech firmasında Senior Penetration Tester / Ethical Hacker olarak çalışmaktayım. Penetrasyon testinin yanı sıra zararlı yazılım analizi, tersine mühendislik ve adli bilişim analizi gibi bir çok alanda uzmanlaşmaktayım.
Boş vakitlerimi güvenlik zafiyeti araştırarak, zararlı yazılım analizi gerçekleştirerek, güvenlik araçları geliştirerek ve toplumun bilgi güvenliği farkındalığını arttırmak amacıyla kişisel web sayfamda Bilişim Güvenliği üzerine makaleler yayımlayarak geçirmekteyim.

[Mehmet Dursun Ince, BGA Bilgi Güvenliği]

2006 yılından beri uygulama güvenliği üzerine araştırmalar yapmaktadır. Bir çok  açık kaynak kodu yazılıma ait güvenlik zafiyeti keşfetmiş ve bunları halka açık siteler üzerinden yayınlamıştır.

Halen BGA Bilgi Güvenliği Eğitim ve Danışmanlık şirketinde sızma testleri  uzmanı olarak profesyonel iş hayatına devam etmekte olan  Mehmet İNCE’nin ilgi alanlarını uygulama güvenliği, açık kaynak kodlu sistemler ve zararlı yazılım analizi oluşturmaktadır.