Merhaba, Bu fikir alışverişini tetikleyen iş ilanının makul olduğunu düşünüyorum. Genel olarak her bankada var olan cihazlar, marka, model detayı içermeden işaret edilmiş ve ilgilenenlerden özgeçmiş isteniyor. İlan sahibi kurum açısından önemli olan gereksiz/fazla bilgi vermeden derdini anlatmak. (Yakın zamanda yanılmıyorsam BGA'nın bir SlideShare paylaşımında ya da Huzeyfe Önal'ın bir tweet'inde "iş ilanları üzerinden hedef şirketin saldırgan açısından işe yarar bir istihbaratının yapılabilmesi" riskiyle ilgili bilgilendirme vardı.)
İlgilenen aday açısından da, yukarıda sorgulanan 'kişisel bilgi güvenliği' bakımından da CV'nin kime gittiğinin gerçek bir sorun olacağını sanmıyorum. CV içeriği kişinin kendi reklamını yapmaya odaklı oluşturulmuş olmalı zira. (Terim kullanacak olursak zaten "public" veri içermeli.) Gerek bu yazışmada, gerekse grup içerisindeki diğer yazışmalarda, e-mail imzasında, sahibinin "yetki seviyesini" çözümlemeye" yetecek kadar pozisyon/unvan bilgisine, şirket ismine yer verenler, bunu bir de 'cep telefonu numarası' ile taçlandırıp, public bir linkedin profiline sahip olanlar var. Bunlar varken, CV'sini tanımadığı mail adresine gönderenin CV'sini ayırır, kenara koyarım demek çok adil gelmedi bana. Kaldı ki e-mail imzasında bol bilgiye yer verene de yapılmamalı. Tek gerekçe olabilecek kadar güçlü bir parametre yok ortada. İlan içeriği düzgün gelmiştir, ilanı gönderenin linkedin profiline ve gruptaki eski maillerine bakarak teyit etmiştir, aynı ilanı public bir ilan sitesinde görmüştür vs. Biz güvenlik dünyasının içinde olup saçma sapan ihlallerden, ihmallerden ve bilinçsizliklerden haber aldıkça ve tehditlerin yeteneklerindeki artışa şahit oldukça paranoya eşik seviyemiz düşüyor belki biraz. :) On Wed, Nov 23, 2016, 15:58 Murat Gezer <murat.ge...@gmail.com> wrote: > Tekradan merhaba, > > Mustafa bey; "Bilgi güvenliğinde en zayıf nokta her zaman için çalışanlar" > denmektedir. Ancak benim düşündüğüm nokta buradan gönderilen CV sonuçu işe > alınan eleman değil. > Aslında benim dikkatimi çeken nokta şu xyz@public bir e-posta adresinden > halka açık ve herkesin üye olabileceği bir listeye uzmanlık istenen bir > konuda iş ilanı atılması ve özellikle Bilgi güvenliğinde kritik iş > kolllarından biri olan sektörde çalıştığını ima eden bir şahsın ilanına > başvuran olurmu? Başvuran olursa o başvuran kişinin ne kadar uzman olduğunu > düşünebiliriz. > > Burada daha öncede bir çok iş ilanı geldi ancak dikkatimi çeken bu > ilanları veren kişilerin çoğunun CV leri kurumsal postalarına veya kurumsal > iş bulma sitelerine yönelndirmeleriydi. > Eğer konu güvenlik ise ben iş veren olarak buradan benim public epostama > gelecek CV leri yana koyardım. Çünkü cevap veren kişi aslında sahte bir > ilan kurbanı olup CV geönderip sonra yapılacak sözde çevrimiçi görüşmeler > ile tuzağa düşürülme riskine sahiptir. > > Daha önce dediğim gibi bu yazdıklarım sadece böyle gelen bir epostadan > sonra aklıma gelen senaryolar. Belkide bir çok arkadaşın kafasında yeni > soru işaretleri uyandıracak birer nokta. > > Bir yazılımcı/sistemci vs vs arıyorsanız bana göre public epostası > yeterli olur gibi geliyor ama Kritik bir iş olan Bilgi Güvenliğinde > başvuracak adayında tuzaklara karşı dikkatli olması lazım. > > > herkese kolay gelsin > > > not: amaç burada kavga vs değil sadece beyin fırtınası. Dediğim gibi işin > uzmanı vs vs değilim. > > > 2016-11-23 14:49 GMT+03:00 Fevzi Özyurt <fevzi.ozy...@kocsistem.com.tr>: > > Merhabalar, > > > > Keşke bu konuya dönüş Mustafa Bey’ den önce uzman bir > arkadaş tarafından sosyal mühendislik kavramları içerisinde olsaydı da ... > Bizde tatbikat izler gibi heyecanla karşılıklı mail’ leri izleseydik... Ahh > ahh J > > > > *Not: Mail’ i ilk gördüğümde içimden geçirdiklerimi > paylaşmak istedim. > > > > *Saygılarımla / Best Regards* > > > > *Fevzi ÖZYURT* > > İletişim Ağları ve BT Güvenlik Uzmanı / Network and IT Security Specialist > > İletişim Ağları ve BT Güvenlik Çözüm ve Hizmetleri / Network and Security > Solutions and Services Unit > > > > *Bilgi Gizlilik Sınıflandırması* : *Genel Paylaşım* > *Information Confidentiality* : *Public Use* > > > > *From:* Liste [mailto:liste-boun...@netsectr.org] *On Behalf Of *Mustafa > Ekim > *Sent:* Wednesday, November 23, 2016 2:25 PM > *To:* liste@netsectr.org > *Subject:* Re: [NetsecTR] İş İlanı > > > > Murat Bey'in yazdıkları ilginç bir bakış açısı bence de. > > > > Benim aklıma ise şu geliyor, eğer birisi bir bankaya saldırmak isterse en > güzel yöntem herhalde önce içeri girmek olurdu. Zira Obama döneminde > güvenlik artık içerde (firewall içi) veya dışarda her noktaya bu yüzden > taşındı diye düşünüyorum. > > > > Bu bağlamda, acaba Yurtdışında da bankalar güvenlik uzmanlarını bu tür > açık ilanlar ile mi işe alıyor? Sanki bir aracı olması gerekiyor gibi > düşünüyorum. X bankası güvenlik elemanı işe alacak diye ilan çıkılması > kulağa garip geliyor. > > > > Teşekkürler, > > > -- > > Mustafa Ekim > > -- > > > > 2016-11-23 12:40 GMT+03:00 Murat Gezer <murat.ge...@gmail.com>: > > Merhaba, > > > > her ne kadar sadece dinleyici olarak netSecTR ye katıldıysamda. Aklıma > gelen bir soru nedeniyle yazdım Devrim bey bu sizinle ilgili bir konu değil > sadece beyin fırtınası o yüzden yazdıklarımdan üstünüze alınmayın. > > > > Problem: > > > > Bir banka çalışma arkadaşı arıyor hemde konu Güvenlik > > > > Ben bir vatandaş a olarak böyle bir kurumda tabiki çalışmak isterim. > > > > Ancak zaten X kuruluşunda çalışıyorum ve bu ilan ilgimi çekiyor CV mi bir > gruptan mail yolu ile bana özelden gönderin demekte olan sadece adını > soyadını öğrendiğim b isimli kişiye göndermem ne kadar Risk taşır. > > Bu tarz bir sosyal mühendislik yapılamazmı? > > > > Cünkü Adını Soyadı ve e -posta adresi kurum olmayan bu b kişisine neden > göndermeliyim. > > Ayrıca ben b kişisi olsam ve gerçekten bu bankanın Bilgi Güvenliğinin > başındaki kişi olsam bana sırf bir listeye (bu liste herkese açık herkes > üye olabilir ve posta gönderebiliyor moderasyonu yok) e-posta attım ve CV > gönderdi diye güvenlik te çalışacak eleman alırmıyım. > > > > > > > > Dediğim gibi uzun uzun maddeler ekleyebilirim ama be sadece pratik yapmak > için yazdım. Ben sadece Bilgi Güvenliği konusunda sizleri izleyen ve makale > okuyup nacizane dersimde anlatan bir kişiyim. > > > > Saygılarımla > > > > > > Murat Gezer > > > > not: Bilgi güvenliği uzmanıyım anlarım vs vs demiyorum sadece ilgimi çekti > konu > > > > > > > > > > 2016-11-23 10:38 GMT+03:00 Devrim Kalmaz <devrimkal...@gmail.com>: > > Merhaba > > > > QNB Finansbank/IBTECH altyapı güvenlik birimi için çalışma arkadaşı > arıyoruz. > > > > İş tanımında hem tasarım hem operasyon/nöbet bulunmaktadır. > > > > Minimum 5 yıl deneyim gereklidir. > > > > Ana başlıklar: > > Firewall > > IPS/IDS > > EMail Security > > Uzaktan Erişimler/VPN > > DNS > > Web Security > > Endpoint Security > > DDOS > > > > CV nizi özelden benimle paylaşabilirsiniz. > > > > İyi çalışmalar > > > --------------------------------------- > > Siber Güvenlik Kış Kampı Başvuruları Açıldı! > > http://siberkamp.eventbrite.com/ > > > > > > -- > > Öğr. Gör. Dr. Murat Gezer > İstanbul Üniversitesi > Enformatik Bölümü > > 16 Mart Sehitleri Cad. No 22/24 Vezneciler 34134 ISTANBUL/TURKEY > Tel(Ofis): 44000000/12335 > E-mail: murat.ge...@gmail.com murat.ge...@istanbul.edu.tr > Web : http://www.muratgezer.com > https://www.researchgate.net/profile/Murat_Gezer > > > --------------------------------------- > > Siber Güvenlik Kış Kampı Başvuruları Açıldı! > > http://siberkamp.eventbrite.com/ > > > Bu e-posta mesaji kisiye özel olup, gizli bilgiler iceriyor olabilir. Eger > bu e-posta mesaji size yanlislikla ulasmissa, icerigini hic bir sekilde > kullanmayiniz ve ekli dosyalari acmayiniz. Bu durumda lutfen e-posta > mesajini kullaniciya hemen geri gonderiniz ve tum kopyalarini mesaj > kutunuzdan siliniz. Bu e-posta mesaji, hic bir sekilde, herhangi bir amac > icin cogaltilamaz, yayinlanamaz ve para karsiligi satilamaz. Bu e-posta > mesaji viruslere karsi anti-virus sistemleri tarafindan taranmistir. Ancak > yollayici, bu e-posta mesajinin - virus koruma sistemleri ile kontrol > ediliyor olsa bile - virus icermedigini garanti etmez ve meydana > gelebilecek zararlardan dogacak hicbir sorumlulugu kabul etmez. > This message is intended solely for the use of the individual or entity to > whom it is addressed , and may contain confidential information. If you > are not the intended recipient of this message or you receive this mail in > error, you should refrain from making any use of the contents and from > opening any attachment. In that case, please notify the sender immediately > and return the message to the sender, then, delete and destroy all copies. > This e-mail message, can not be copied, published or sold for any reason. > This e-mail message has been swept by anti-virus systems for the presence > of computer viruses. In doing so, however, sender cannot warrant that > virus or other forms of data corruption may not be present and do not take > any responsibility in any occurrence. > > --------------------------------------- > > Siber Güvenlik Kış Kampı Başvuruları Açıldı! > > http://siberkamp.eventbrite.com/ > > > > > -- > Öğr. Gör. Dr. Murat Gezer > İstanbul Üniversitesi > Enformatik Bölümü > > 16 Mart Sehitleri Cad. No 22/24 Vezneciler 34134 ISTANBUL/TURKEY > Tel(Cep): 05062764026 > > Tel(Ofis): 44000000/12335 > E-mail: murat.ge...@gmail.com murat.ge...@istanbul.edu.tr > Web : http://www.muratgezer.com > https://www.researchgate.net/profile/Murat_Gezer > --------------------------------------- > > Siber Güvenlik Kış Kampı Başvuruları Açıldı! > > http://siberkamp.eventbrite.com/
--------------------------------------- Siber Güvenlik Kış Kampı Başvuruları Açıldı! http://siberkamp.eventbrite.com/
