|
Merhaba, Celil'in yöntemi kullanayım cevaplarken, Alper hocam, elbette anons edilen sürümü test etmiş meraklı arkadaşlarımız çalışıyor mu diye. Exploit, zaten çalışmayan sürümleri belirtmiş. MİT konusuyla ilgili olarak; dünyada her firma benzeri durumlarla karşı karşıya kalabilir. Ancak biz böyle bir durumla muhatap olmadık. Bu biraz da ülkemizin emperyal amaçları olmamasından kaynaklanabilir. Biz Polonya'ya gittiğimizde bu konuda hassas yerlerde, çok rahatlıkla "siz ne Amerika ne İsrail'siniz, bizim ağımızda bir amacınız olamaz" söylemi ile kabulü duyuyoruz. Bu durumun korunmasını önemli görüyorum. Zira Türk güvenlik ürünlerinin yurtdışına (batı) gitmelerinde yardımcı olacak hızlandırma yöntemi ( örneğin ırk kardeşlikleri gibi ) olmadığı için "güvenilir" kalmak önemli. Tüm güvenlik firmaları benzer konumda tutmalılar kendilerini. Süreçlerle ilgili olarak; CC süreçlerini ve döngüsel hata yönetimlerini uyguluyoruz. Bu noktada bu seneden itibaren düzenli harici pentest hedefimiz var. Labris ile ilgili olarak güvenlik olaylarını müşteriler, müşteri destek merkezinden ve herkes, genel [email protected] adresinden bildirebiliyorlar. Celil, hardcoded parola kabul edilebilir değil dediğin gibi. Bizim taraftan örnek vermek gerekirse, Labris MNG ürün ailesi uçlardaki Labris UTM'lerin tamamının provizyon, yönetim ve log toplama görevlerini üstlenen ürün ailesi. Bunu yaparken güvenli erişimler kuruyor. Bunlar her kuruluma özel, ilk provizyonda tesis edilir ve hardcoded bir altyapı içermez. Bugün burada sysadmin'lere bir yöntem önerin desek, hardcoded pass dışında birden fazla yöntem akla gelir. Bu zayıflığın onca zayıflık arasında önem arz etmesinin sebebi bu. Juniper'de de benzerini görünce ilgi çekiyor. Test ve sertifikasyon süreçlerinin yönetimi ile ilgili olarak ise dediğin tehlike var. Geçmiş deneyimlerimize baktığımızda senin dediğin gibi olma olasılığı, düzgün yürüme olasılığından daha yüksek. 2 kısımda testten bahsetmiştim. Bunun masumiyet testi dediğim kısmının firmware'e ulaşmadan yapılması bence zor. O yüzden piyasadan bağımsız örnek alarak, gerçekten uygun reverse teknikleri kullanılarak da analiz eden, ayrıca iyi bir kutulama ile tüm erişimleri denetleyen bir model oluşmalı. Ayrıca detaylı güvenlik inceleme işleri için Türkiye denetiminde olmayan yurtdışı veri merkezlerine veri gönderen yöntemlere de asla izin verilmemeli bu şemada. Güvenlik testleri alanında ise ben CC'yi baz alan yerli bir sertifikasyonun (şartname) daha önemli olduğuna inanıyorum. TSE bu konuda, soruna ve çözüme hakim. Sanayi Bakanlığı da aktif. Bildiğim kadarıyla regülasyon yetkisinin dağılması nedeniyle yavaş ilerleme var. Buna rağmen bu başlıkta umutlu olmamak için bir sebep yok. Bu şekilde bir sertifikasyon şemasının, bu yatırımları yapacak firmalar için yabancı rakiplere karşı korumacı bir ortam ve dolayısıyla yatırım imkanı sağlayacağını da düşünüyorum. Böyle bir şemanın CC gibi bir ISO sürümü üzerine tesis edilmesi de üreticilerin benzer şemada yurtdışında yeniden değerlendirmeyi kolayca yapmalarını ve uluslararası pazara ilerlemelerini sağlar. Zira dediğim gibi Amerika ve büyük pazarlar artık kendileri test etmek istiyor. Bu bize özel bir pratik değil. Ekonomik olarak güçlü ülkeler bu alanda kendi kitaplarını yazıp, yayabiliyorlar ve diretebiliyorlar. (ör: FIPS, TCSEC, CC, GOST) . Teşvikler uluslararası pazara açılma koşuluna bağlanırsa da korumacı ortamın diğer yan etkileri ortadan kaldırılabilir. Son söz olarak; ilerlemek, ilerlememekten iyidir. Elde bir şey olması, hiçbir şey olmamasından iyidir. Selamlar, On 13.01.2016 16:08, Celil ÜNÜVER
wrote:
|
------------------- DDOS Saldırıları ve Korunma Yolları Eğitimi İstanbul: 27-28 Şubat 2016 Ankara: 03-04 Mart 2016 -------------------
