Re: [NetsecTR] İş İlanı

[Volkan Evrin]

Merhaba,


Bu konuda 3-4 yıl önce (Türkiye/İstanbul'da) yapılan bir sosyal mühendislik 
deneyinin sonuçlarını bir konferansta dinlemiştim, o sunum aklıma geldi. Aynı 
şekilde Linkedin üzerinden hedef şirketin çalışanına kurumsal iş/elaman 
pazarlama şirketi ya da yöneticisi olarak kendini tanıtıp, yüksek maaş-kariyer 
önerisi ile gelip, sosyal bir ortamda (rahat ve konforlu bir kafe, vb.) "iş 
görüşmesi" yapılarak hedef şirketin kurumsal ve gizli bilgilerinin nasıl 
toplanacağı anlatılmıştı.

MEsajın konusunu, atanı ve iş ilanını tenzih ederek, bu tür bir yaklaşımın da 
iyi bir SM örneği olabileceğini aktarmak istedim...


Saygılar

Volkan Evrin


-------- Özgün ileti --------
Konu: Re: [NetsecTR] İş İlanı
Kimden: Murat Gezer <murat.ge...@gmail.com><mailto:murat.ge...@gmail.com>
Kime: liste@netsectr.org<mailto:liste@netsectr.org> 
<liste@netsectr.org><mailto:liste@netsectr.org>
Tarih: 23-11-2016 16:58
Tekradan merhaba,

Mustafa bey; "Bilgi güvenliğinde en zayıf nokta her zaman için çalışanlar" 
denmektedir. Ancak benim düşündüğüm nokta buradan gönderilen CV sonuçu işe 
alınan eleman değil.
Aslında benim dikkatimi çeken nokta şu xyz@public  bir e-posta adresinden halka 
açık ve herkesin üye olabileceği bir listeye uzmanlık istenen bir konuda iş 
ilanı atılması ve özellikle Bilgi güvenliğinde kritik iş kolllarından biri olan 
sektörde  çalıştığını ima eden bir şahsın  ilanına başvuran olurmu? Başvuran 
olursa o başvuran kişinin ne kadar uzman olduğunu düşünebiliriz.


Volkan Evrin
Kurumsal Uygulamalar ve Bilgi Güvenliği Müdürü

[cid:signaturelogocad277]

Ar-Ge Merkezi
D +90 850 251 6012
F +90 312 267 0244
www.karel.com.tr<http://www.karel.com.tr>

Bu e-posta işbu bağlantıyı kullanarak erişebileceğiniz koşullara tabidir:
http://www.karel.com.tr/eposta-hukuki-sartlari
<http://www.karel.com.tr/eposta-hukuki-sartlari>
[cid:gorsellogo2fb5b9f]<http://www.karel.com.tr/sirket-profili>

Burada daha öncede bir çok iş ilanı geldi ancak dikkatimi çeken bu ilanları 
veren kişilerin çoğunun CV leri kurumsal postalarına veya kurumsal iş bulma 
sitelerine yönelndirmeleriydi.
Eğer konu güvenlik ise ben iş veren olarak buradan benim public epostama 
gelecek CV leri yana koyardım. Çünkü cevap veren kişi aslında sahte bir ilan 
kurbanı olup CV geönderip sonra yapılacak sözde çevrimiçi görüşmeler ile tuzağa 
düşürülme riskine sahiptir.

Daha önce dediğim gibi bu yazdıklarım sadece böyle gelen bir epostadan sonra 
aklıma gelen senaryolar. Belkide bir çok arkadaşın kafasında yeni soru 
işaretleri uyandıracak birer nokta.

Bir yazılımcı/sistemci vs vs  arıyorsanız bana göre public epostası yeterli 
olur gibi geliyor ama Kritik bir iş olan Bilgi Güvenliğinde başvuracak adayında 
tuzaklara karşı dikkatli olması lazım.


herkese kolay gelsin


not: amaç burada kavga vs değil sadece beyin fırtınası. Dediğim gibi işin 
uzmanı vs vs değilim.


2016-11-23 14:49 GMT+03:00 Fevzi Özyurt 
<fevzi.ozy...@kocsistem.com.tr<mailto:fevzi.ozy...@kocsistem.com.tr>>:
Merhabalar,

                Keşke bu konuya dönüş Mustafa Bey’ den önce uzman bir arkadaş 
tarafından sosyal mühendislik kavramları içerisinde olsaydı da ... Bizde 
tatbikat izler gibi heyecanla karşılıklı mail’ leri izleseydik... Ahh ahh :)

                *Not: Mail’ i ilk gördüğümde içimden geçirdiklerimi paylaşmak 
istedim.

Saygılarımla / Best Regards

Fevzi ÖZYURT
İletişim Ağları ve BT Güvenlik Uzmanı / Network and IT Security Specialist
İletişim Ağları ve BT Güvenlik Çözüm ve Hizmetleri / Network and Security 
Solutions and Services Unit


Bilgi Gizlilik Sınıflandırması : Genel Paylaşım
Information Confidentiality : Public Use

From: Liste 
[mailto:liste-boun...@netsectr.org<mailto:liste-boun...@netsectr.org>] On 
Behalf Of Mustafa Ekim
Sent: Wednesday, November 23, 2016 2:25 PM
To: liste@netsectr.org<mailto:liste@netsectr.org>
Subject: Re: [NetsecTR] İş İlanı

Murat Bey'in yazdıkları ilginç bir bakış açısı bence de.

Benim aklıma ise şu geliyor, eğer birisi bir bankaya saldırmak isterse en güzel 
yöntem herhalde önce içeri girmek olurdu. Zira Obama döneminde güvenlik artık 
içerde (firewall içi) veya dışarda her noktaya bu yüzden taşındı diye 
düşünüyorum.

Bu bağlamda, acaba Yurtdışında da bankalar güvenlik uzmanlarını bu tür açık 
ilanlar ile mi işe alıyor? Sanki bir aracı olması gerekiyor gibi düşünüyorum. X 
bankası güvenlik elemanı işe alacak diye ilan çıkılması kulağa garip geliyor.

Teşekkürler,


--

Mustafa Ekim

--

2016-11-23 12:40 GMT+03:00 Murat Gezer 
<murat.ge...@gmail.com<mailto:murat.ge...@gmail.com>>:
Merhaba,

her ne kadar sadece dinleyici olarak netSecTR ye katıldıysamda. Aklıma gelen 
bir soru nedeniyle yazdım Devrim bey bu sizinle ilgili bir konu değil sadece 
beyin fırtınası o yüzden yazdıklarımdan üstünüze alınmayın.

Problem:

Bir banka çalışma arkadaşı arıyor hemde konu Güvenlik

Ben bir vatandaş a olarak böyle bir kurumda tabiki çalışmak isterim.

Ancak zaten X kuruluşunda çalışıyorum ve bu ilan ilgimi çekiyor CV mi bir 
gruptan mail yolu ile bana özelden gönderin demekte olan sadece adını soyadını 
öğrendiğim b isimli kişiye göndermem ne kadar Risk taşır.
Bu tarz bir sosyal mühendislik yapılamazmı?

Cünkü Adını Soyadı ve e -posta adresi  kurum olmayan bu b  kişisine neden 
göndermeliyim.
Ayrıca ben b kişisi olsam ve gerçekten bu bankanın Bilgi Güvenliğinin başındaki 
kişi olsam bana sırf bir listeye (bu liste herkese açık herkes üye olabilir ve 
posta gönderebiliyor moderasyonu yok) e-posta attım ve CV gönderdi diye 
güvenlik te çalışacak eleman alırmıyım.



Dediğim gibi uzun uzun maddeler ekleyebilirim ama be sadece pratik yapmak için 
yazdım. Ben sadece Bilgi Güvenliği konusunda sizleri izleyen ve makale okuyup 
nacizane dersimde anlatan bir kişiyim.

Saygılarımla


Murat Gezer

not: Bilgi güvenliği uzmanıyım anlarım vs vs demiyorum sadece ilgimi çekti konu




2016-11-23 10:38 GMT+03:00 Devrim Kalmaz 
<devrimkal...@gmail.com<mailto:devrimkal...@gmail.com>>:
Merhaba

QNB Finansbank/IBTECH altyapı güvenlik birimi için çalışma arkadaşı arıyoruz.

İş tanımında hem tasarım hem operasyon/nöbet bulunmaktadır.

Minimum 5 yıl deneyim gereklidir.

Ana başlıklar:
Firewall
IPS/IDS
EMail Security
Uzaktan Erişimler/VPN
DNS
Web Security
Endpoint Security
DDOS

CV nizi özelden benimle paylaşabilirsiniz.

İyi çalışmalar

---------------------------------------

Siber Güvenlik Kış Kampı Başvuruları Açıldı!

http://siberkamp.eventbrite.com/



--
Öğr. Gör. Dr. Murat Gezer
İstanbul Üniversitesi
Enformatik Bölümü

16 Mart Sehitleri Cad. No 22/24 Vezneciler 34134 ISTANBUL/TURKEY
Tel(Ofis): 44000000/12335
E-mail: murat.ge...@gmail.com<mailto:murat.ge...@gmail.com> 
murat.ge...@istanbul.edu.tr<mailto:murat.ge...@istanbul.edu.tr>
Web   : http://www.muratgezer.com
            https://www.researchgate.net/profile/Murat_Gezer

---------------------------------------

Siber Güvenlik Kış Kampı Başvuruları Açıldı!

http://siberkamp.eventbrite.com/

Bu e-posta mesaji kisiye özel olup, gizli bilgiler iceriyor olabilir. Eger bu 
e-posta mesaji size yanlislikla ulasmissa,  icerigini hic bir sekilde 
kullanmayiniz ve ekli dosyalari acmayiniz. Bu durumda lutfen e-posta mesajini 
kullaniciya hemen geri gonderiniz  ve  tum kopyalarini mesaj kutunuzdan 
siliniz. Bu e-posta mesaji, hic bir sekilde, herhangi bir amac icin 
cogaltilamaz, yayinlanamaz ve para karsiligi satilamaz.  Bu e-posta mesaji 
viruslere karsi anti-virus sistemleri tarafindan taranmistir. Ancak yollayici, 
bu e-posta mesajinin - virus koruma sistemleri ile kontrol ediliyor olsa bile - 
virus icermedigini garanti etmez ve meydana gelebilecek zararlardan dogacak 
hicbir sorumlulugu kabul etmez.
This message is intended solely for the use of the individual or entity to whom 
it is addressed , and may contain confidential  information. If you are not the 
intended recipient of this message or you receive this mail in error, you 
should refrain from making any use of the contents and from opening any 
attachment. In that case, please notify the sender immediately and return the 
message to the sender, then, delete and destroy all copies. This e-mail 
message, can not be copied, published or sold for any reason. This e-mail 
message has been swept by anti-virus systems for the presence of computer 
viruses. In doing so, however,  sender  cannot warrant that virus or other 
forms of data corruption may not be present and do not take any responsibility 
in any occurrence.

---------------------------------------

Siber Güvenlik Kış Kampı Başvuruları Açıldı!

http://siberkamp.eventbrite.com/



--
Öğr. Gör. Dr. Murat Gezer
İstanbul Üniversitesi
Enformatik Bölümü

16 Mart Sehitleri Cad. No 22/24 Vezneciler 34134 ISTANBUL/TURKEY
Tel(Cep): 05062764026
Tel(Ofis): 44000000/12335
E-mail: murat.ge...@gmail.com<mailto:murat.ge...@gmail.com> 
murat.ge...@istanbul.edu.tr<mailto:murat.ge...@istanbul.edu.tr>
Web   : http://www.muratgezer.com
            https://www.researchgate.net/profile/Murat_Gezer


---------------------------------------

Siber Güvenlik Kış Kampı Başvuruları Açıldı!

http://siberkamp.eventbrite.com/