Re: [NetSec] Sunucuların ülke içinde barındırılması Hk.

2016-06-06 Başlik Osman Samutoglu 
Bu konuda, özellikle paranın hareketini yakından ilgilendiren bir alanda,
kayıtların yargının yetkisi alanında olmasını sağlamak bile tek başına bir
devlet için geçerli ve yeterli gerekçedir diye düşünüyorum.

Bunun arkasında ikincil gerekçeler de vardır mutlaka. Örneğin bu alanlarda
yurt dışı altyapısına izin verilmesi halinde  teknoloji transferi, bilgi
birikimi, insan kaynağı gelişimi mümkün olmayacak ya da sınırlı olacaktır.
Bir devlet için bu çok önemli bir gerekçedir sanırım.

Başka bir açıdan bakılırsa, Türkiye yargısının yetki alanında olması ne
kadar önemli ise, başka ülke yargısının yetki alanına sokulması o kadar
risklidir bence. Ülke yönetimleri arası gerilimlerde konvansiyonel savaş
noktasına gelinmeden önce tüm yaptırımlar tüketiliyor. Bu tür durumlarda
finans / telekom / savunma sektörü gibi stratejik sektörlerin yurtdışında
barındırılan bir sisteme bağımlı olması önemli bir risktir kanaatimce.

On Sun, Jun 5, 2016, 09:38 Sinan ŞAHİN  wrote:

> Merhabalar, özellikle paypal durumdan sonra gündeme gelen ve benzer bir
> kaç örneğini gördüğüm; hizmet verecekseniz sunuculariniz ülke sınırları
> içersinde olmalı isteginin ne gibi avantajları var merak ediyorum. Hizmet
> verecekse internete bağlı olacak o durumda da tüm dünyadan erişilebilir
> olacaktır. X firması y mekanında da olsa z mekanında da olsa o bilgileri
> paylasabilir kötüye kullanabilir. Adli bir durum oluştuğunda evet avantajlı
> sunucu ülke içinde olduğu için. Başka bir avantajı var mıdır bildiğiniz ?
>
> Sinan Şahin
> Omü Siber Güvenlik Topluluğu
> ---
> Siber Güvenlik Yaz Kampı
>
> 24 - 31 Temmuz 2016 tarihlerinde İzmir Yüksek Teknoloji Enstitüsü
>
> http://www.siberkamp.org/
> ---
---
Siber Güvenlik Yaz Kampı

24 - 31 Temmuz 2016 tarihlerinde İzmir Yüksek Teknoloji Enstitüsü

http://www.siberkamp.org/
---

Re: [NetsecTR] İş İlanı

2016-11-23 Başlik Osman Samutoglu 
Merhaba,

Bu fikir alışverişini tetikleyen iş ilanının makul olduğunu düşünüyorum.
Genel olarak her bankada var olan cihazlar, marka, model detayı içermeden
işaret edilmiş ve ilgilenenlerden özgeçmiş isteniyor. İlan sahibi kurum
açısından önemli olan gereksiz/fazla bilgi vermeden derdini anlatmak.
(Yakın zamanda yanılmıyorsam BGA'nın bir SlideShare paylaşımında ya da
Huzeyfe Önal'ın bir tweet'inde "iş ilanları üzerinden hedef şirketin
saldırgan açısından işe yarar bir istihbaratının yapılabilmesi" riskiyle
ilgili bilgilendirme vardı.)

İlgilenen aday açısından da, yukarıda sorgulanan 'kişisel bilgi güvenliği'
bakımından da CV'nin kime gittiğinin gerçek bir sorun olacağını sanmıyorum.
CV içeriği kişinin kendi reklamını yapmaya odaklı oluşturulmuş olmalı zira.
(Terim kullanacak olursak zaten "public" veri içermeli.)

Gerek bu yazışmada, gerekse grup içerisindeki diğer yazışmalarda, e-mail
imzasında, sahibinin "yetki seviyesini" çözümlemeye" yetecek kadar
pozisyon/unvan bilgisine, şirket ismine yer verenler, bunu bir de 'cep
telefonu numarası' ile taçlandırıp, public bir linkedin profiline sahip
olanlar var. Bunlar varken, CV'sini tanımadığı mail adresine gönderenin
CV'sini ayırır, kenara koyarım demek çok adil gelmedi bana. Kaldı ki e-mail
imzasında bol bilgiye yer verene de yapılmamalı. Tek gerekçe olabilecek
kadar güçlü bir parametre yok ortada. İlan içeriği düzgün gelmiştir, ilanı
gönderenin linkedin profiline ve gruptaki eski maillerine bakarak teyit
etmiştir, aynı ilanı public bir ilan sitesinde görmüştür vs.

Biz güvenlik dünyasının içinde olup saçma sapan ihlallerden, ihmallerden ve
bilinçsizliklerden haber aldıkça ve tehditlerin yeteneklerindeki artışa
şahit oldukça paranoya eşik seviyemiz düşüyor belki biraz. :)

On Wed, Nov 23, 2016, 15:58 Murat Gezer  wrote:

> Tekradan merhaba,
>
> Mustafa bey; "Bilgi güvenliğinde en zayıf nokta her zaman için çalışanlar"
> denmektedir. Ancak benim düşündüğüm nokta buradan gönderilen CV sonuçu işe
> alınan eleman değil.
> Aslında benim dikkatimi çeken nokta şu xyz@public  bir e-posta adresinden
> halka açık ve herkesin üye olabileceği bir listeye uzmanlık istenen bir
> konuda iş ilanı atılması ve özellikle Bilgi güvenliğinde kritik iş
> kolllarından biri olan sektörde  çalıştığını ima eden bir şahsın  ilanına
> başvuran olurmu? Başvuran olursa o başvuran kişinin ne kadar uzman olduğunu
> düşünebiliriz.
>
> Burada daha öncede bir çok iş ilanı geldi ancak dikkatimi çeken bu
> ilanları veren kişilerin çoğunun CV leri kurumsal postalarına veya kurumsal
> iş bulma sitelerine yönelndirmeleriydi.
> Eğer konu güvenlik ise ben iş veren olarak buradan benim public epostama
> gelecek CV leri yana koyardım. Çünkü cevap veren kişi aslında sahte bir
> ilan kurbanı olup CV geönderip sonra yapılacak sözde çevrimiçi görüşmeler
> ile tuzağa düşürülme riskine sahiptir.
>
> Daha önce dediğim gibi bu yazdıklarım sadece böyle gelen bir epostadan
> sonra aklıma gelen senaryolar. Belkide bir çok arkadaşın kafasında yeni
> soru işaretleri uyandıracak birer nokta.
>
> Bir yazılımcı/sistemci vs vs  arıyorsanız bana göre public epostası
> yeterli olur gibi geliyor ama Kritik bir iş olan Bilgi Güvenliğinde
> başvuracak adayında tuzaklara karşı dikkatli olması lazım.
>
>
> herkese kolay gelsin
>
>
> not: amaç burada kavga vs değil sadece beyin fırtınası. Dediğim gibi işin
> uzmanı vs vs değilim.
>
>
> 2016-11-23 14:49 GMT+03:00 Fevzi Özyurt :
>
> Merhabalar,
>
>
>
> Keşke bu konuya dönüş Mustafa Bey’ den önce uzman bir
> arkadaş tarafından sosyal mühendislik kavramları içerisinde olsaydı da ...
> Bizde tatbikat izler gibi heyecanla karşılıklı mail’ leri izleseydik... Ahh
> ahh J
>
>
>
> *Not: Mail’ i ilk gördüğümde içimden geçirdiklerimi
> paylaşmak istedim.
>
>
>
> *Saygılarımla / Best Regards*
>
>
>
> *Fevzi ÖZYURT*
>
> İletişim Ağları ve BT Güvenlik Uzmanı / Network and IT Security Specialist
>
> İletişim Ağları ve BT Güvenlik Çözüm ve Hizmetleri / Network and Security
> Solutions and Services Unit
>
>
>
> *Bilgi Gizlilik Sınıflandırması* : *Genel Paylaşım*
> *Information Confidentiality* : *Public Use*
>
>
>
> *From:* Liste [mailto:liste-boun...@netsectr.org] *On Behalf Of *Mustafa
> Ekim
> *Sent:* Wednesday, November 23, 2016 2:25 PM
> *To:* liste@netsectr.org
> *Subject:* Re: [NetsecTR] İş İlanı
>
>
>
> Murat Bey'in yazdıkları ilginç bir bakış açısı bence de.
>
>
>
> Benim aklıma ise şu geliyor, eğer birisi bir bankaya saldırmak isterse en
> güzel yöntem herhalde önce içeri girmek olurdu. Zira Obama döneminde
> güvenlik artık içerde (firewall içi) veya dışarda her noktaya bu yüzden
> taşındı diye düşünüyorum.
>
>
>
> Bu bağlamda, acaba Yurtdışında da bankalar güvenlik uzmanlarını bu tür
> açık ilanlar ile mi işe alıyor? Sanki bir aracı olması gerekiyor gibi
> düşünüyorum. X bankası güvenlik elemanı işe alacak diye ilan çıkılması
> kulağa garip geliyor.
>
>
>
> Teşekkürler,
>
>
> --
>
> Mustafa Ekim
>

Re: [NetsecTR] Farkındalık bilgisi

2017-01-03 Başlik Osman Samutoglu 
Selamlar.
bilgimikoruyorum.org.tr
gayet güzel.

On Tue, Jan 3, 2017, 08:54 Emre Erkıran  wrote:

> Merhabalar,
>
>
> Şirket içerisinde kullanıcıları bilgi güvenliği konusunda bilinçlendirmek
> istiyorum. bununla ilgili takip edebileceğim günlük bilgilerin olduğu site
> öneriniz var mıdır ?
>
>
> Tşkler
> ---
> Sinara Labs. Ücretsiz Siber Güvenlik Farkındalık Çözümü -
> www.sinaralabs.com
---
Sinara Labs. Ücretsiz Siber Güvenlik Farkındalık Çözümü - www.sinaralabs.com

Re: [NetsecTR] NSA EsteemAudit Exploiti İçin Ücretsiz Yama !

2017-06-05 Başlik Osman Samutoglu 
Gerçekten bazen faydalı ve öğretici olmaktan uzak e-postalar
gönderilebiliyor. Bunlara gerek yok. Yanlışlıkla gönderilen e-postalar
olduğunu düşünüyorum.

Bu tür e-postaları yazmak (şu yazdığım da dahil) birkaç dakika sürer,
kolaydır. Zor olanı emek ve zaman harcayıp, yaması olmayan bir açıklık için
çözüm üretmektir. Daha da zor olanı bunu herkesin kullanımına sunmaktır.
Zor olanı yapamadığımız zaman, yapanlara teşekkür etmeli veya en azından
susmalıyız sanırım.
On Mon, 5 Jun 2017 at 18:46, Caner Köroğlu  wrote:

> Merhabalar,
>
> İsmail Bey'in mailinden sonra dayanamadım yazmak istedim, cevabı esas
> sahibi vermiş ama ben rahatsızlığımı dile getirmek istiyorum yinede. Bu
> maili bambaşka bir şirketten bir ülke vatandaşı olarak yazıyorum. Yani
> Trapmine ile tanışıklık haricinde bir alakam yok :)
> Ülke genelinde bu tür şık hareketleri yapabilen çok az insan var.
> Bunlardan biri de Trapmine ekibi.
> Hal böyleyken gönderilen bu tür maillerin maksadını anlayamıyorum,
> anlayamıyoruz.
>
> "Saygı duymak" zor bir hareket değil.
> Rica ediyorum, yapılan kaliteli işlere saygı duyun.
>
>
> 5 Haziran 2017 14:05 tarihinde Celil ÜNÜVER  yazdı:
>
> İsmail Bey,
>>
>> Her iki firma da aynı zafiyet için yama yayınladı. Bizim (TRAPMINE)
>> yayınladığımız yama ve enSilo ' nun  yayınladığı yama aynı değil. Bunu,
>> yapabilirseniz, iki firmanın yayınladığı patchleri / binaryleri inceleyerek
>> görebilirsiniz. Biz yamanın teknik detaylarını da bir blog yazısıyla
>> paylaşacağız. İki yamadan herhangi biri kullanıcılar tarafından
>> kullanılabilir. enSilo ' nun yaması da , Trapmine ' ın yaması da aynı
>> zafiyeti (EsteemAudit) kapatmaktadır. Bu konuda seçim hakkı özgür
>> kullanıcıya kalmıştır.
>>
>> Şu an bu exploit için yama yayınlayan sadece iki firma varken,
>>  kullandığınız komik/güleç ve imalı üslubunuzun yanlış anlaşılmadan
>> kaynaklandığını umuyorum.
>>
>> Saygılar,
>>
>>
>> 2017-06-05 13:01 GMT+03:00 İsmail Taşdelen :
>>
>>> Yamayı yayınlayan ensilo güvenlik şirketine teşekkürler.
>>>
>>> İndirme linki :
>>> http://pages.ensilo.com/download-the-patch-for-esteemaudit-exploit
>>>
>>> Güvenli günler dilerim :D
>>>
>>> 5 Haziran 2017 12:09 tarihinde Celil ÜNÜVER 
>>> yazdı:
>>>
 Merhabalar,

 NSA ' in kullandığı siber silahlar arasında yer alan ve The Shadow
 Brokers hacker grubu tarafından ifşa edilen, uzaktan kod çalıştırmaya
 olanak sağlayan EsteemAudit RDP exploitinden NetSec üyelerinin haberdar
 olduğunu düşünüyorum.

 Biliyorsunuz EsteemAudit RDP exploitinin kullandığı güvenlik zafiyeti
 için herhangi bir yama bulunmamaktadır. Microsoft, Windows 2003/XP
 sistemlere artık destek vermeyi bıraktığı için önümüzdeki günlerde de
 muhtemelen bir yama yayınlanmayacaktır. EsteemAudit exploitini kullanan
 WannaCry gibi saldırılar beklenmektedir.

 TRAPMINE olarak amacımız daha güvenli bir siber dünyaya, Türk şirketi
 olarak katkıda bulunmak. Bu sebeple EsteemAudit exploitini analiz ederek,
  kullandığı güvenlik zafiyetini kapatan hızlıca bir yama çıkardık. Yama,
 in-memory hotpatching tekniği ile zafiyetli kod bloğunu herhangi bir reboot
 gerektirmeden hafızada değiştirip, zafiyeti fixlemektedir. Yama ücretsiz
 olarak indirilip , Windows Server 2003 (x86) sistemler üzerinde
 kullanılabilir.

 Yamayı indirmek ve detaylı bilgi almak için
 http://trapmine.com/esteemaudit/tr.html sayfasını ziyaret
 edebilirsiniz.

 İyi çalışmalar,


 -
 BGA Wiki - Penetration Test Wiki

 http://wiki.bgasecurity.com/Kategori:Pentest

 -

>>>
>>>
>>> -
>>> BGA Wiki - Penetration Test Wiki
>>>
>>> http://wiki.bgasecurity.com/Kategori:Pentest
>>>
>>> -
>>>
>>
>>
>> -
>> BGA Wiki - Penetration Test Wiki
>>
>> http://wiki.bgasecurity.com/Kategori:Pentest
>>
>> -
>>
>
>
>
> --
> * - - - - - - - - - - - - - - - - - - - - - - - - - - -*
> *| Mehmet Caner Köroğlu *
> | *Security Consultant* at *Innovera*
> | *Founder* Canyoupwn.me & Octosec 
> | *Organizer* Hacktrick Cyber Security Conference
> 
>
> | caner.koro...@innoverabt.com
> | cnr.kr...@gmail.com
> | 0530 306 16 29
>  - - - - - - - - - - - - - - - - - - - - - - - - - - -
> -
> BGA Wiki - Penetration Test Wiki
>
> http://wiki.bgasecurity.com/Kategori:Pentest
>
> -
-
BGA Wiki - Penetration Test Wiki

http://wiki.bgasecurity.com/Kategori:Pentest

Re: [NetsecTR] YNT: Siber Güvenlik Alanında Eğirim Önerileriniz Nelerdir?

2018-04-11 Başlik Osman Samutoglu 
Merhaba,

Bu konuda çok güzel bir blog yazısını paylaşmak isterim. Ayrıca Daniel
Meissler’ın periyodik newsletter paylaşımları da içerik olarak çok doyurucu
ve özenilerek yazılmış olduğu için gerçekten kıymetli. Reklam amaçlı
newsletter değil. Newsletter üyesi olmanızı tavsiye ederim.

https://danielmiessler.com/blog/build-successful-infosec-career/
On 6 Apr 2018 Fri at 14:53  wrote:

>
>
> Murat Bey merhabalar,
>
>
>
> Ben de Tuğba Hanım ‘ a katılmaktayım .IRCA Onaylı ISO 27001:2013 Bilgi
> Güvenliği Yönetim Sistemi Baş Denetçi Eğitimlerini ilk basamak olarak
> görebilirsiniz. Sonrasında  ISO 27002 kılavuzu işinizi kolaylaştıracaktır.
>
>
>
> CISA sertifikası (certified inf. Security auditor)   ve CEH sertifikası
> (certified ethical hacker) ile de bu süreci devam ettirebilirsiniz.
>
>
>
> Eğitimler konusunda da sizlere yardımcı olmak isterim.
>
>
>
>
>
> *İyi çalışmalar.*
>
>
>
> *Gizem Adlığ*
>
> *ISO /IEC 27001:2013 Bilgi Güvenliği  Baş Denetçisi*
>
>
> [image: Adsız]
>
>*(+90) 216 327 09 77*
>
> *(+90) 216 546 05 70*
>
> * *gi...@tgsbelgelendirme.com *
>
>
>
> *Kimden:* Liste  *Yerine *MURAT YAYLA
> *Tarih:* 3 Nisan 2018 Salı 17:14
> *Kime:* liste@netsectr.org
> *Konu:* [NetsecTR] Siber Güvenlik Alanında Eğirim Önerileriniz Nelerdir?
>
>
>
> Merhabalar
>
>
>
> Siber Güvenlik alanında hangi eğitimleri önerirsiniz.
>
>
>
> Uluslararası geçerliliği olan sertifikalar hangileridir.?
>
>
>
> Bu konuda değerli görüşleriniz nelerdir.
>
>
>
> Saygılar sunuyor iyi çalışmalar diliyorum.
>
>
>
>
>
> *MURAT YAYLA*
>
> *PROGRAMCI*
>
> *BİLGİ İŞLEM DAİRE BAŞKANLIĞI*
>
> *YAZILIM TEKNOLOJİLERİ GRUBU*
>
>
> -
> Firmanızın Siber Risk Skorunu Öğrenmek İster misiniz?
> https://www.bgasecurity.com/siber-risk-skor-karti-ve-karnesi/
>
> -
-
Firmanızın Siber Risk Skorunu Öğrenmek İster misiniz?
https://www.bgasecurity.com/siber-risk-skor-karti-ve-karnesi/

-