Devlet Sistemlerinin Güvenliği - Yorumlar

farukk

farukk — Cum, 16 May 2008 18:43:02 +0200

Arkadaslar merhaba;

Gezinirken sayfaniza rastladim. Konu ve yazismalar ilgimi çekti, gurubunuzda duyarli insanlar var.
Bilisim Güvenligi Dernegi' ni kurduk,http://www.bilisimguvenligi.org.tr adresini ziyaret edin lütfen, iletisim kuralim, Dernek çatisi altinda toplanalim.

Faruk Kekevi

Cengiz ermak

Cengiz ermak — Cum, 16 May 2008 14:13:14 +0200

simdi devlet sitelerini koruyan bir çok yer var hatta ve hatta hack gruplari bile var ama hiç biri nedense koruma degilde gösteris yapiyor ben bu siteyi patlttim nasil ama gibi yazilar falan bumu devlet sitesi korumak bumudur yani.Ben ceh egitimi aldim bülent tigin den ve bazi konularda huzeyfe onal gibi üstadlarin ferruh gibi üstadlarin tutumlarina bakiyorum sessizce koruyorlarsa koruyorlar onlara kalmis ama bizim gençlerimiz biraz gövde gösterisine kaçiyor.Ben system engineer egitimini aldim ve cehde almak istedim ve onda aldim bir çok kisi ile tanistim sistem ve web güvenligi ile ugrasan kisileri çok duydum ama hepsi gösteris üzerine site patlatiyorlar çünkü öle yani bana gördünmü nasil patlattim gibi konusuyorlardi.Mesela ilk yargilanan hacker tamer sahinde var piyasada bu adamda ne is yaptigi belli degil gri hacker diyor kendine ,birde emir avci var buda beyaz hacker sertifikasini kapmis simdi bir çok firmada güvenlik danismanligi yapiyor ama geçmisine bakinca kendisi akici fm ve benzeri holdinglere zarar veren bir hacker yani simdi insanlar ilkden hacker olup kötü sekilde sonrada iyi sekilde güvenlik uzmanligimi yapiyor ben anlamis degilim.Ferruh bey mesela alaninda iyi biri peki bu kisilerde bilisim güvenlik uzmani bunlarin neden geçmisi karanlik degil.

Ferruh Mavituna

Ferruh Mavituna — Cmt, 10 May 2008 23:26:03 +0200

Kanunlara gelince iyiniyetten dolayi birsey olmaz görüsündeyim. Tabi bunu hukukçular daha iyi bilir.

Boyle olmadigini kesin olarak soyleyebilirim, kanunen bu durumda kesin olarak suclusun.

ParadoXe

ParadoXe — Cmt, 10 May 2008 15:20:26 +0200

@TEAkolik

Ilk önce böyle bir durumun olmasi sonra ise bizimkilerin tedbir almalari gerekir. Ilk önce tedbir alinirsa olmaz yüzyillardir gelen gelenegimizi öldürmüs oluruz.

Karsidaki insanin kisiligi ön plana çikiyor senin yasadigin olayda. Eger insan herkezin hatasi olabilir bende hata yapmis olabilirim gibisinden bakiyorsa sana tesekkür eder ve yapamiyorsa bile bunu nasil yapabilirim diye sorar ama Ferruh'un da bahsettigi gibi kisier karsina çikarsa ki zaten çikmis anlasiliyor sana birde firça çekerler... Insanimiz böyle...

Kanunlara gelince iyiniyetten dolayi birsey olmaz görüsündeyim. Tabi bunu hukukçular daha iyi bilir.

TEAkolik

TEAkolik — Çar, 07 May 2008 15:16:53 +0200

Valla Ferruh'un söyledigi gibi ilk basta gönderme dedi ama gönderdim ne yapayim ya birisi bulurda sisteme dalarsa ? Hem hakkimda dava açarlarsa ben birsey yapmadim gibi seyleride kale almayacaklar.. Velhasil kelam açigi söylersen suç söylemezsen zaten sistem birileri tarafindan indirilecek büyük bir zarar sessiz kalirsan da elvermiyor bir tarafin...

Isin içinden çik çikabilirsen ...

Birde su dikkatimi çekti.. Ben açigi satis müdürüne gönderdim oda teknikçilere iletecegini söyledi. Direk teknikçiye göndermedim tabiki olaki ona gönderseydim birde gicik uyuz birisi olsaydi .... vs. vs. vs...

Yani asagisida suç yukarisida biyik ne yapacagiz bu durumda ? Türkiye'deki internet suçlari veya kanunlar acaba bu tip durumlarda insanlarin yaninda mi ?

Yoksa biz hiç sesimizi çikarmayalim itin biri gitsin darma duman etsin

karayip_korsani

karayip_korsani — Sal, 06 May 2008 21:35:00 +0200

devlet sistemlerinin özel sistemlere göre daha güvenli olmasi gerekir içerdigi bilgi ve stratejik öneminden dolayi tabi ama ben bi bankanin admin yolunu sadece 4-5 deneme sonrasinda bulmustum..komik ama gülemiyorum P:

Ferruh Mavituna

Ferruh Mavituna — Sal, 06 May 2008 12:26:41 +0200

Bir kac arkadas ticari/devlet yerlerinin isimlerini vermis bariz nedenlerden dolayi o yorumlari yayinlamiyorum.

Ikinci olarak bu konu son 2-3 senenin konusu degil bu yillardir suren bir donem, dolayisiyla bu iktidar o iktidar olayi degil hatta onunla belki hic alakasi bile yok. Kurumlar kendi islerini gormiyor, genel olarakta bir zorlama veya yaptirim yok. Bu durumda bizde Bilmemkinin telefonu 3 yildir dinleniyormus, vergi sisteminden herkesin mal varligini memurlar sorguluyormus gibi tuhaf durumlara dusuyoruz.

Webmaster mevzusuna gelince durum ondan biraz daha karisik. Kelimenin kendisi rezil bir kelime sahsen ben en az 6-7 senedir kullanmamaya calisiyorum, cunku bugunku web sitelerinde ekip genis yapilara dayali ve herkesin spesifik forevleri var. Webmaster genelde bir site hakkinda her halti yapan kisi olarak kullanilirdi ama sonuc olarak terimin onemi yok,, burada iki sey var :

Bir guvenlik acigi bildirmek teknik olarak suc olabilir. Mesela Teakolik' e de bana o mesaji gonderdiginde belirtmistim texti gonderme, sorun cikabilir diye. %95 cikmaz ama cikarsa teknik olarak adamlarin delili var ve benzeri olaylar daha onceden oldu. Mesela ingilterede bir kisinin basina tam olarak bu olay geldi ve kendisi acigini bildirdigi kurum tarafindan dava edildi ve suclu bulundu.

Ikinci onemli durum ise acigin kime bildirildigi :
Eger acigi teknik kisilere bildiriyorsaniz sorun cok buyuk cunku bu teknik kisinin kafasina patlayacak bir is ve genelde bu kisiler ben yapamazsam kimse yapamaz mantiginda olayi algiliyorlar. Mesela X yerinde SQL Injection var adam bakiyor eee ne olacak diyor, cunku kendi oranin exploit edilemez oldugunu dusunuyor. Dolayisiyla gozardi edebiliyorlar. Sizin de dediginiz gibi adam kendi database sifresini orada gorunce hmm belki de bunu duzelmeliyiz diye dusunmeye basliyor

Her kurumun bu konu icin kendi icerisinde bir politikasinin olmasi gerekiyor. Sadece devlet degil e-ticaret vb. sitelerin de. Artik Microsoft, Yahoo, Google vs. bunlarin hepsi bu tarz guvenlik konulari icin ozel e-mail adresi sunmakta ve gonderilen her bilgiyi degerlendirmekteler.

Arman ACAR

Arman ACAR — Sal, 06 May 2008 12:03:22 +0200

Webmaster terimine en güzel açiklama ek$i den geldi zamaninda (05.06.2000)http://sozluk.sourtimes.org/show.asp?id=185018
Bana sorarsaniz bizim hükümetimiz bu sekilde sadece türbana v.s ye taktigi zaman (ki takmasinda demiyorum. Halk için en yisi neyse o olsun) diger konular hep geride kaliyor. Basa gelen sahs-i zihniyetlerin bilisim konusunda hiç bir halttan anlamadiklarindan dolayi güzel ülkemizde bilisim ilerlemiyor. Ilerlemeyecekte. bu senin benim abamla olmaz. Basa siteye girmeyi bilenden daha ileri seviyede insan lazim. Aç Bilisim Bakanligini çagir Ferruh Mavituna'yi nahnuyu finarfin i tunayi bak nasil bilisim olayinda kisa sürede +10 yil ilerliyoruz. ama olmaz iste. O zamanda halk bilinçlenir.

TEAkolik

TEAkolik — Sal, 06 May 2008 11:52:06 +0200

Sadece devlet siteleri mi ?
Geçenlerde Ferruh'a bir text gönderdim. Bir firmanin login ekranindan copy paste sadece link üzerinde bir tane karakteri degistirdim ve ortaya çikan sonuç

DB ismi
DB kullanici
DB pasword

Ayrica diger serverleri ile baglanti bilgisi..

Adamlara gönderdim böyle böyle diye ama yine dinleyen yok. Taaki txt olarak dosyayi gönderinceye kadar... Tabi bu sefer isi ciddiye aldilar..

Anlatmak istedigim

ben seni hackledim demek ayridir ki kimse takmaz
ben seni hackledim al bu dbname al bu pass al bu connect ip al bu db içerinden bir bilgi..

Sanirim bizimkiler yani T.C dekiler delil olmadan kale almiyorlar.. Tabi deliline görede degisir..

google_spy

google_spy — Pzt, 05 May 2008 21:25:20 +0200

Evet geçen bende bikaç siteyi uyardim ama tinlayan yok buna bi çözüm bulmaliyiz artik!
Dernek fikri güzel benimde aklima geldi ama bize destek olacak birileri olmali..

ByGuard

ByGuard — Pzt, 05 May 2008 19:57:29 +0200

Mrb @ParadoXe Kardesim

Evt Sözlerine Katiliyorum Her Önüne Gelen Webmaster Oluyor.
Bir Sitenin Admin, Mod vs.. Olunca Hemen Webmaster Oluveriyorsun Hemen.
Halbuki; Webmaster Denilen Kavram Gerçekten Çok Genis Ve Kapsamli Bir Kavramdir.
Webmaster : Php,Asp,Asp.net,Java,Javascript,C,Vb,Mssql,Mysql Vb.. Aklima Gelmeye Bir Çok Programlama Dilinde Uzmanlik Derecesinde Bilgi Sahibi Olan Insandir.
Tabi bunu Anlat Anlatabilirsen (Türk Webmaster'a)

Selametle...

Rumuzsuz insan

Rumuzsuz insan — Pzt, 05 May 2008 16:36:43 +0200

Yaklasik 7-8 sene kadardir web üzerinde uygulama gelistiriyorum. Su zamana kadar bir çok projede yer aldim. Inanin sitelerde okadar çok açiklar buluyorumki. Hatta basimdan geçen bisey var söyle anlatayim. Sql injection ile admin kullanici adi ve sifresini aldim. Sonra sitenin webmasterina mail attim. ( Inanin belki yolladigim 10. mailde cevap alabildim ) Dedim sitenizde söyle bir açiginiz var. Webmaster ne yapti dersiniz. Sadece Kullanici adi ve Sifresini Degistirmis.

Ben sahsen hack olayina merakli gençlerin web sitelerini tahrib etmelerini seviyorum. Çünkü her önüne gelen webmaster olmamali. Yada hazir bir script kuran ve iki üç ayarini ezberleyen biri webmasterim diye ortada gezinmemeli.

ParadoXe

ParadoXe — Pzt, 05 May 2008 00:51:55 +0200

Artik internette özel biryer kaldigini zannetmiyorum. Örnek bir forum a kayit oluyorsun bir bakiyorsun o forum'un datebase ile baska bir forum kurulmus. Bu hack olayina gelince pek anlamam bu islerden ama 2002 veya 2003'de bir yazi okumustum herhalde chip dergisindeydi. Almanya, sistemlerinin çogunun bu tür saldirilara magruz kaldigi ve bilgi casusuluk nedeniyle linux sisteme geçmisti. Belki hatirlayan vardir.Topluluk olarakta önceden ferruh'un blog da degindigihttp://www.webguvenligi.org/ var benim bildigim.

Tuna Toksoz

Tuna Toksoz — Paz, 04 May 2008 16:51:06 +0200

Peki bu konuda atilan herhangi bir adim var mi? Dernek vs tarzinda?

BORDO

BORDO — Paz, 04 May 2008 16:12:34 +0200

Devletin sabit bir bilisim politikasi yok, bundan dolayi siz ne yaparsaniz açiklar gene olacaktir gerçi simdilerde bazi bakanliklarda yeni sistemler geliyor oracle tabanli ve artik win ürünlerinin kullanilmamasi gerektigi biraz anlasildi gibi. basbakanlik site degil tübitak sitesinin ana giris paneli bile açikta bu panele büyük bir bilgisayarin(bunu yapmak çokta zor degil) brute force saldirisi ne kadar dayanir o bile tartisilir. kirilmayacak kod kaynagi yoktur önemli olan bir politikanin bir yolun veya hedefin olmasidir bugun Abd bu ise okadar para veriyo ama FBI bile zamani gelince sistemelrinde açik bulan hackerlari yakalayamiyor. Not:zamaninda Karanet bile bundan nasibini aldi (askere gidenler bilir / BORDO

Ferruh Mavituna

Ferruh Mavituna — Paz, 04 May 2008 15:09:59 +0200

A.S. @ByGuard,

Kesinlikle haklisin bu konuda zaten daha onceden de yazmistim, bu da temel sorunlardan biri. Bir prosedur olmayinca ve guvenlik isi ciddiye alinmayinca boyle olaylar olur tabii ki. Takmayani oldugu gibi bunlarin cimkirani bile var.

ByGuard

ByGuard — Paz, 04 May 2008 14:41:21 +0200

S.a Ferruh Hocam

Ben Cyber-Security TIM'den ByGuard

Bir Çok Timlerimiz Ile Türk Sitelerinde Bulugumuz Açiklari Webmasterlara Bildiriyoruz Fakat Tinlayan Yok!!
Daha Sonra Siteleri Hacklenincede Sitemizi Sizmi Hacklediniz Diye Çikisiyorlar Yani Türk Webmaster veya Yöneticiler Çok Duyarsiz Davraniyorlar Ondan Sonra Hacklendimi Hacklendi Diyorlar Aslinda Hackleyenlerde Hakli be Kardesim Biz Ugrasip Sizi Uyaralim Siz Tinlamayin Olurmu Öyle Sey Tinlamayan Tabiki Cezasini Buluyor
Selametle...

Cyber-Security TIM // ByGuard

kodOZANI

kodOZANI — Paz, 04 May 2008 13:08:09 +0200

Bu kadrolasma sürerken, devlet internet sitelerimizi geçtim, intranette bile ciddi güvenlik açiklari devam edicektir. Yanlis hatirlamiyorsam ciddi paralar ile yabanci devletler tarafindan kurulan vatandaslik numara sistemimizde bile tekrarlanan veriler olusmustu.

Umarim yakin zamanda "bilisim güvenligi dernegi" tadinda özel girisimlerle güvenlik konusunda çalisan insanlarin birlik olmasi saglanir ve degisen dünyanin yeni soguk savas yöntemleri ile mücadele edilebilir.

Saygilarimla