Bilişim ve Hukuk!

22 Eyl 2013

ISCTURKEY '13 ANKARA Değerlendirmesi



Merhabalar,

Bu sene 6.sı düzenlenen Uluslararası Bilgi Güvenliği ve Kriptoloji Konferansı'nın Ankara'daki programına katıldım. Bilişim Güvenliği ve Bilişim Suçlarına Karşı Mücadele derneği adına edindiğim izlenimleri, aldığım notları ve çektiğim fotoğrafları sizlerle paylaşmak istedim.




20 Eylül 2013


Her Türk'ün düşündüğü gibi kayıtta sıra olur düşüncesiyle sabah 7'de kalkıp ODTÜ dolmuşlarına bindim. ODTÜ'ye daha önce gitmemiş olmamdan ötürü bir kaç durak sonrasında inip taksi tutmak zorunda kaldım. Ancak ODTÜ'ye girdiğimde buna değdiğini gördüm. Şehrin uzağında ayrı bir şehir gibi yerleşmiş olan üniversitede okuyanlara özendiğim doğrudur. Konferans salonuna girdiğimde ise İzmir'den gelen, bir üniversitenin ağ analizi uzmanlığı yapan Fatih beyden başka kimsenin benim gibi düşünmediğini anladım. Bir süre ODTÜ KKM'yi gezdikten sonra nihayetinde yaka kartlarımızı aldık. Derneğin ismi uzun olduğundan sadece ismimi yazmışlardı o ayrı mesele :) Neyse konferansa geçelim.


 

1.Gün 1.Panel

Katılımcıların salonda yerini almasının ardından "Bulut Bilişim Güvenliği" ana temalı ISCTURKEY '13 'ün 1. Paneli başlamış oldu. İlk panelin konusu, Bilgi Güvenliği Derneği'nden Prof. Dr. Şeref SAĞIROĞLU'nun başkanlığında ve TÜBİTAK, UDHB, ASELSAN, BTK gibi kurumların katılımıyla "Türkiye'nin Siber Güvenlik Strateji Belgesi ve Eylem Planı" oldu.

İlk konuşmacı olan TÜBİTAK Siber Güvenlik Enstitü Müdürü Dr. Hayretdin BAHŞİ; Türkiye'de siber güvenlik altyapısı, siber güvenlikte kurumlar arası koordinasyonun önemi ve askeri, istihbarat ve siber diplomasi amaçlı siber saldırı türleri ve benzeri konuları anlattı. Panel sonlarına doğru gelen sorulara cevaben de TÜBİTAK'ın geliştirme aşamasında olan yerli Antivirüs projesinden ve Kasım'da düzenlenecek olan Üniversitelerarası Siber Güvenlik Yarışması'ndan bahsetti. Tahminimce bu yarışmada derece yapan arkadaşlar biraz sonra bahsedeceğim USOM Merkezlerine alınacak, tabi sadece bir tahmin :)

Bunun devamında, Ulaştırma Denizcilik Haberleşme Bakanı Binali YILDIRIM, skype bağlantısıyla konferansa katılarak kısa ve öz bir konuşma yaptı. Gelememesinin sebebini ise İstanbul'daki NETAŞ konferansı olarak açıkladı. (swh) Konuşmayı aşağıdaki videodan izleyebilirsiniz:

 

TOMA'dan sonra şimdi de USOM! :)

Ardından, UDHB Daire Başkanı Gündüz ŞENGÜL; hazırladığı slayt sunumuna ek olarak Türkiye'de geçtiğimiz aylarda Resmi Gazete'de yayınlanarak kurumların alt birimleri olarak kurulan ve kurulacak olan Ulusal Siber Olaylara Müdahale Merkezi yani USOM'lardan bahsetti. Bu merkezlerin 7/24 sistemine göre çalıştığını belirten ŞENGÜL, bu merkezlerde görev alacak ekiplerin oluşturulma aşamalarının devam ettiğini de belirtti.


Bunun yanında ŞENGÜL, bir ülkede siber güvenlik sağlanacaksa bunun en önemli noktasının ülkedeki AR-GE ve Yerli Üretim çalışmalarına öncelik verilmesi olduğunu söyledi.

Sonrasında, ASELSAN'dan Sayın Ali YAZICI diğer konuşmacıların aksine daha eleştirel ve olurunu arayan düşüncelerini ortaya koydu. Notlarımda 3 yıldız koyduğum bölümlerden biriydi. Bütün bu anlatılan çalışmaların ve projelerin kısa vadeli planlara göre değil de daha çok uzun vadeli olması gerektiğini belirten YAZICI, aynı zamanda çalışmaların etki-tepki prensibine göre değil de proaktif olması lazım geldiğini açıkladı. Ayrıca ülkemizde "tersine mühendislik" çalışmalarına daha çok destek verilip teşvik edilmesi gerektiğini de ekledi.

1. Panelin son konuşmacısı olarak BTK Daire Başkanı K. Sacid SARIKAYA; USOM Merkezlerinin faaliyetlerinden ve BTK'nın çeşitli projelerinden bahsetti. USOM Merkezlerinin şuana kadar 14 ülke ile işbirliği yaptığını belirten SARIKAYA, bu iş birliğinin "ülkenizden ülkemizdeki şu siteye saldırı geliyor, bilginiz olsun" veya "şu vatandaşımız sizin bu kurumunuza saldırıyor." şeklinde olduğunu açıkladı. Ayrıca 27 ayrı ülkeden de siber suçlar kapsamında ihbarlar aldıklarını söyledi. BTK'nın ülke genelinde yaymayı amaçladığı "anti-zombi" projesinin gerekliliğini "dünya genelinde saldırı kaynağı sıralamasında ilk 30'a giren Türkiye'nin bunu yerli hackerlara değil botnet kaynaklarına borçlu olduğunu" söylerek açıkladı.

Bunlar ve bunlara benzer konularla dolu dolu geçen panel 1'in düşündüğümden daha verimli geçtiğini söyleyebilirim.

1 saatlik öğle arasından sonra devam edelim. Tabi ki ODTÜ'nün çarşısını da gezmenizi tavsiye edeyim bu arada.

1.Gün 2.Panel

2. Panel, panel 1'in aksine daha teknik konularla devam etti. 2. Panelin konusu konferansın ana teması olan "Bulut Bilişim Güvenliği" idi. Bu oturuma ise TÜRKSAT, HAVELSAN, TURKCELL, VODAFONE, AVEA, NETAŞ gibi kurumlar konuşmacı olarak katıldı. Panelin başkanlığını ise TBD'den Prof. Dr. Turhan MENTEŞ üstlendi.


MENTEŞ, Bulut Bilişim'de gizliliğin kanunlaşması, yasalaştırılması hakkında çalışmalar yapılması gerektiğini hatta yakın zamanda hukukçuları yoracak çalışmalar yapılacağını söyledikten sonra sözü TÜRKSAT yetkilisi Ş. Selçuk ŞAHİN'e bıraktı. Selçuk ŞAHİN; Güvenlik zaafiyetlerinin teknik ve psikolojik zaaf olarak ayrıldığına ve bunun yanında bulut bilişimde tek bir sunucunun avantajlarına ve dejavantajlarına da değindi.
Ardından 3 yıldız verdiğim bölümlerden biri olan HAVELSAN yetkilisi Bünyamin KARADENİZ'in sunumunu izledik. Bu bölümün fotoğraflarına aşağıdan ulaşabilirsiniz.



 
 

 


HAVELSAN'ın ardından TURKCELL yetkilisinin (sonradan konuşmacı değiştiği için adını hatırlayamadım) sunumunu izledik. Diğerlerinden farklı olarak TURKCELL'in bulut bilişimde hem sağlayıcı hem de müşteri olduğunu belirtmesi oldukça ilginçti.

Gelelim 3 yıldız verdiğim diğer bir konuşmacı olan VODAFONE yetkilisi Ömer KÖKER'e. Diğer konuşmacılar ve operatörlerden farklı olarak sunum hazırlamamış olan Ömer Bey, kısa ve öz konuşmasıyla salonu etkiledi. Ayrıca diğer operatörler gibi firmaları üzerinden değil de direk konu üzerinden ele alarak bir farklılık yarattı. Bulut bilişimi “kiloyla bilgisayar” olarak tanımlayan KÖKER, “buradaki diğer operatör arkadaşlar ya da diğer kurumlar %100 güvenlikten bahsedemez” cümlesini de konuşmasına ekledi. Güvenlikte önceliğin, saldırgan profilinin belirlenmesi olması gerektiğini öne sürerek hedef kitlenin de bilinçlenmesi gerektiğini “Özellikle Bulut Bilişim sektöründe ABD’deki istatistiklere göre hack edilenin %62’sinin hacklendiğini başkasından öğrendiği” verisini kaydetti. Bulut Bilişimde güvenliğin en önemli noktasının ise mağdur olunmaması için SLA sözleşmelerine özür yerine ceza maddelerinin eklenmesi gerektiğini belirtti.

AVEA güvenlik uzmanı Dinçer ÖNEL de hazırladığı slayt sunumu üzerinden daha çok bulut bilişimde esnekliğin avantajlarına değinerek bulut bilişim güvenliğinden bahsetti. Süreyi ayarlayamama sıkıntısı yaşaması da büyük bir eksiklikti.

Özel sektörlerden sonra tekrar kamuya dönecek olursak, panel 2’nin son konuşma süresi de NETAŞ yetkilisi Necmi ÖN’e verildi. Sayın ÖN’ de esprili girişi ve Bulut Bilişim’in tercih ve çekince nedenleri dışında genel olarak diğer konuşmacıların sunumlarına benzer bir sunumla panelin son konuşmasını yaptı.

1.Gün 3.Panel

Kısa bir çay/kahve arasından sonra terimsel konulardan sıyrılıp daha yüzeysel olan Sosyal Medya paneline giriş yaptık.

Günün son panelinin başkanlığını ise ODTÜ’de görev yapan Prof. Dr. Nazife BAYKAL yaptı. Güleryüzüyle ortamı neşelendiren BAYKAL kısaca sosyal medya’dan bahsettikten sonra sözü BTK TİB Başkan Vekili Osman Nihat ŞEN’e verdi. ŞEN, 2009 yılına kadar ülkemizdeki internet kullanımını “uyuyan internet”, 2009’dan sonra ise “uyanan internet” olarak nitelendirdiğini söyledi. Bunun yanında Sosyal Medya ve Sosyal Ağ kavramlarının karıştırıldığı ve yaygın olarak yanlış anlamda kullanıldığını belirtti. Topluca çay içmenin bile bir sosyal ağ olduğunu söyleyen ŞEN, bunun yanında facebook, twitter gibi platformların da sosyal ağ olduğunu kaydetti. Sayın ŞEN bu konuşmalarıyla notlarımdaki kısmına 1 yıldız eklememi sağladı. Ayrıca “kamu spotu şeklinde çalışmanız olacak mı?” sorusuna karşılık insanları güvenlik açısından bilinçlendirmek amacıyla broşür, banner, video şeklinde görsel anlamda çalışmaları olduğunu ancak “kamu spotu” çalışmasının henüz düşünülmediğini söyledi.




Güvenlik konusu açılmışken BAYKAL, sözü BOA Teknoloji’den Burak ÇİFTER’e vermek istedi. ÇİFTER, önceden hazırladığı sunumunda grafik haline getirdikleri twitter ve sosyal medya analizlerini anlattı. Geçtiğimiz aylarda yaşanan gezi parkı olayları sırasında atılan twit sayısıyla kamu kuruluşlarına gerçekleştirilen saldırılarının doğru orantılı olduğunu gözler önüne seren ÇİFTER, genel anlamda sosyal medyadaki bilindik saldırılardan ve korunma yollarından bahsetti.

Ek olarak panel sonunda gelen bir soruya karşılık ÇİFTER, CIA’in yaptığı bir açıklamada “kullandığımız akıllı telefonlardaki sensörler ve çeşitli teknolojiler sayesinde CIA’in bizim yolda yürürken yalnız mı olduğumuzu, kiminle ne konuştuğumuzu bildiğini, yaptığımız veya yapmadığımız check-inler sayesinde nerelerde check-in yapma isteği duyduğumuzu veya hangi yiyeceklere ilgimiz olduğunu ve benzeri bilgileri elde ettiğini” belirttiğini iddia etti. Bu bilgileriyle 3 yıldız alan sunumlar arasına girdi.

Ardından olaya farklı bir açıdan bakan Yaşar Üniversitesi’nden Doç. Dr. Ferah ONAT, konuyu yaz tatilinde çektiği bir fotoğraf üzerinden sosyal medyanın ve sosyal ağların kişisel gelişim ve iletişim boyutundan ele aldı.



Sayın ONAT’ın konuşmasının ardından, UDHB İnternet Gel. Kur. Başkanı Serhat ÖZEREN İngiltere’de bir kahinin müşterilerine onlarla ilgili “geçen hafta köpeğin ölmüş, en büyük hayalin kırmızı motor almak, kredi kartının numarası ***34 ile bitiyor” gibi özel bilgilerinin vermesinin arkasında sadece facebook paylaşımlarının incelenmesi olduğu bir video ile konuşmasına başladı. Daha çok kişisel bilgilerin gizliliği konusu üzerinden konuşmasına devam eden ÖZEREN, gelen bir soruya karşılık fake hesaplara ve spamlere karşı sosyal medya hakkında bakanlığın yaptığı yasal düzenleme çalışması olmadığını, bunun yerine kullanıcıların zamanla kendilerini oto-kontrol mekanizması içinde bulacakları cevabını verdi.

Böylece 1. günün son paneli olan panel 3 de tamamlanmış oldu ve saat 18:00 gibi 1. gün konferansı sona erdi.




21 Eylül 2013

Dünkü yorgunluğun ardından tekrar sabah 7 de ODTÜ yollarına düştüm. İneceğim yeri öğrendiğim için bu sefer taksi tutmama gerek kalmadı. Hatta ODTÜ girişinden Kongre Kültür Merkezi’ne yürümeme bile gerek kalmadı, Kayseri’de bir üniversitede öğretim görevlisine yol tarif etmem sayesinde araba da bulmuş oldum. KKM’ye giriş yaptığımda ise dünkü sayıda bir artış olduğunu farkettim, çünkü bugün eğitim sonunda sertifika verilecekti, dursun elbet lazım olur tabi :) Benim gibi kahvaltı yapmamış olanlar için çay/kahve ve pasta/börek servisi de çok iyi geldi hani.




Bu günkü program tek bir oturumda eğitim ve sertifika dağıtımı olarak sona erecekti ve bugünkü programın yapımcılığını büyük ölçüde Gazi Üniversitesi ve GUTIC üstlenmişti. Eğitim konuları broşürde yazdığı kadarıyla çok cazip görünmesine rağmen, eğitim sonunda beklentilerim karşılanmamış olarak ve konunun içeriğinin doldurulamamasını görmüş olarak eve döndüm. Neyse sonuçta ben de bir Gaziliyim fazla yüklenmeyelim :) Ayrıca program kapalı oturum şeklinde gerçekleştirildi, 10 dakikadan fazla program dışında olanlar sertifika alma hakkını kaybetti.



Katılımcılar ve konuşmacılar salonda yerlerini aldıktan sonra program koordinatörü Gazi’den Uraz YAVANOĞLU konuşmacıları kısaca(!) tanıttıktan sonra genel anlamda siber güvenlik ve savunma yollarının dışında parmak izi güvenliğinden güncel bir örnek vererek ilk konuşmacı olan Ondokuz Mayıs Üniversitesi’nden Yrd. Doç. Dr. Sedat AKLEYLEK’e söz hakkı vererek programı başlatmış oldu.

AKLEYLEK; bilgi güvenliği ile ilgili birçok konuya değinmesine rağmen konulara yüzeysel olarak yaklaşması böylesi bir sertifika programı için yetersiz kaldı. Ancak bunu farkındalık eğitimi olmasına dayandıranlar da oldu tabi ki daha sonraki konuşmacılar arasında.

Ardından Bilgi Güvenliği Derneği’nden Anıl UTKU; BGD Genç Başkanı Burak ÖZÇAKMAK ile önceden hazırladıkları klasik konferans sunumuna giriş yaptıktan sonra sözü bir bilgi güvenliği projesinde dünya 3.lüğü olan ÖZÇAKMAK’a bıraktı. ÖZÇAKMAK aktif ve güncel örneklerle dolu konuşmasıyla notlarıma 1 yıldız eklenmesini sağladı.

Bundan sonraki konuşmacılar konuşma konularının isimleri dolgun olmasına rağmen tipik sunumlarıyla benim kanaatimce izleyici kitlesini sıkmış olsalar da program sonuna kadar ufak tefek notlar almayı başardım. Çoğu yerde ise not yerine slaytları fotoğrafladım. Bu fotoğrafları rapor sonunda bulabilirsiniz.

ÖZÇAKMAK’ın ardından, BGD’den Özgür YÜREKTEN; Güvenli yazılım geliştirme konusunu oldukça teknik hazırladığı bir sunumdan anlatmak istemesine rağmen zaman sıkıntısı nedeniyle kısa kesmek zorunda kaldı. Konuşma sırası yine BGD’den Adem TEKEREK’e geçtiğinde ise TEKEREK; bilinen casus ve kötücül yazılımları güncel örneklerle açıkladı.

Bunun sonrasında benim de özel olarak ilgilendiğim Adli Bilişim konusunu GUTIC’ten Sayın Mehmet KARAMAN sundu. Bu bölümdeki soru-cevaplar sayesinde not defterime bir yıldız daha eklenmiş oldu.

Bunun sonrasında sunumlar genel anlamda şu şekilde devam etti:
Sosyal Ağlarda Adli Takip; Sedef GÜNDÜZ (GUTIC), Büşra ÇAĞLAR (BGD-Genç), Semra ÇAKIR (BGD-Genç)
Bulut ve Web Güvenliği; Duygu SİNANÇ (GUTIC)
Mobil Güvenlik; Eyüp Burak CEYHAN (GUTIC)
Endüstriyel Güvenlik ve SCADA; Dr. Alper ÖZBİLEN (BGD), Hacer ATLI (BGD-Genç), Gizem TANIŞ (BGD-Genç)
Bilgi Güvenliği Standardı (Detaysal olarak sertifikalardan bahsedildi.); Medine ÇOLAK (GUTIC)

Yukarıda listelediklerim, parantez içinde belirttiklerim dışında daha çok yüzeysel olarak anlatılmış sunumlar oldu. Önce de belirttiğim gibi konu isminden beklenilen talebe cevap veremediğini düşünüyorum. Ama tabiki de katılımcılar arasında bu konuları ilk defa duyanlar veya yabancı olanlar için çok büyük verimlilikte geçen bir program olduğu söylenebilir. Bu yüzden tüm konuşmacılara zamanlarını ayırdıkları için tekrar teşekkürlerimi sunuyorum.



Böylece ISCTURKEY ‘13 Ankara programını da tamamlamış olduk. Ancak konuşmacı olarak başvurup da ilgi çekici konularda konuşma yapılan diğer oturumların panellerle eş zamanlı olarak düzenlenmesi çok büyük dağılmalara sebep oldu. Keşke konferans süresi bir kaç gün daha uzatılıp katılımcılara bütün oturumlara girme fırsatı tanınsaydı.

Aklımda ve notlarımda kaldığı kadarıyla izlenimlerimi aktarmaya çalıştım. Diğer katılımcılar ne düşünüyor bilmiyorum ama objektif bir değerlendirme olduğuna inanıyorum. Tekrar ISCTURKEY ‘13’e katkıda bulunan Gazi Uni., ODTÜ, BTK, BDG, UDHB’ye ve emeği geçen herkese teşekkürlerimi iletiyorum.

(Fotoğraflara aşağıdan ulaşabilirsiniz.)


CWEnes's ISCTURKEY 2013 ANKARA album on Photobucket

Enes ARSLAN - ensrsln
Bilişim Güvenliği ve Bil. Suç. Karşı Müc. Derneği

Hiç yorum yok:

Yorum Gönderme