Bugun Istanbul Bilgi universitesinde duzenlenen Istanbul Bilgi Guvenligi Konferansina katildim. Oncelikle nasil gidebilirsiniz onu soyleyeyim , Santral kampusune Taksim’de Ataturk Kultur Merkezi onunden Bilgi Universitesi’nin servisleri gitmekte, 20 dakikada bir var .

Bugune kadar boyle cok seminere katildim ama IstSec ‘ in en buyuk farki hukukcular , guvenlik uzmanlari ve hackerlari bir araya getirmis olmasiydi, Kisaca multidisipliner yaklasim (bazen bilgi kelimesinin felsefesi bile tartisildi) olayi cok daha iyi anlamamizi sagladi. Bende her zamanki gibi elimde kalem faydali buldugum herseyi not aldim, bunlari sizinle bir yazi serisi ile paylasacagim.

Ferruh Mavituna ile baslamak istiyorum, kendisi cok kisa bir sunum yapti ve aramizda cok sayida hukukcu bulundugu icin  teknik kisimlara cok fazla girmedi , yuzeysel olarak web  guvenligi tarayicilari evriminden bahsetti. Kendisi bu olayi su sekilde modelledi, Sorunlar ;

1.   Mevcut guvenlik tarayicilari cok usengec , bazi guvenlik aciklari kasitli goz ardi ediliyor.

• Gruplu Blind SQL Injection
• Vakit tabanli BlindSql Injection
• Blacklist ile filtrelenmis XSS’ler

2.  False positive sorunu cozulemez olarak goruluyor.

Bu konuya aciklik getirmek istiyorum, false positive Wordpress uzerinde Akismet’in spam olmayan yorumu spam olarak algilamasi gibi yanlis hamleye deniliyor. Bu gune kadar ki butun Web Guvenligi tarayicilari her hangi bir siteyi tarayip olmayan aciklar buluyor , soyle ki program acik oldugunu dusunuyor ve kullaniciya arayuzde bunu bildiriyor , ardindan kullanici exploit etmeye calisiyor fakat bakiyor ki yok boyle bir hata. Belli bir sure o konumdaki tester butun uyarilari bu sekilde algilamaya basliyor.

Ferruh keskin zekasiyla bu soruna cok iyi bir cozum bulmus , herhangi bir acik buldugunda program otomatik olarak o aciktan faydalaniyor , mesela sitemizde veritabani var diyelim , netsparker site’nin veritabani uzerinde tum testleri otomatik  olarak yapiyor , veritabaninda ulasmamasi gereken yerlere ulasinca ordan bir tane de (ornek olarak soyluyorum) select sorgusu gonderiyor, bu sefer netsparker kullanan adam bakiyor ki  onunde select sorgusunun sonucu ,  agzi kulaklarinda  hemen mudahele edip sorunu cozuyor :) . Yani bu hamleyle false positive denen sey ortadan kalkmis oluyor.

Birde Ferruh son bir seye degindi , malum bazi online sirketler kredi kartlari bilgileri  tutmuyoruz diyor . (Kastedilen sey veritabaninda kredi kart bilgilerinin tutulmamasi) , fakat sonucta kullanicinin kredi karti bilgilerini sistem uzerinde ilgili bankaya ulastiran bir modul var , Yani sirket kredi kart bilgilerini tutmasada kendi mimarisi uzerinden yonlendirdigi icin %100 guvenli degildir, sirket hacklense ve o module 2 satirlik kod ilavesi butun bilgileri elden cikarir.

Kendim Ferruh’un urununun Beta tester’larindan birisiyim , ne kadar katkim olmustur bilemiyorum fakat kendisinin cok basarili olacagini ve Milli guvenlik baglaminda Turk Muhendislerine buyuk katkilarda bulunmaya devam edecegini biliyorum. Bir de sunumda sirf soru sordugum icin netsparker yazili bir t-shirt elde ettim :) Butun yil giyip word of mouth yontemiyle reklamin kralini yapicam.

Yazi serisinin ikinci kismina buradan ulasabilirsiniz.

Esen kalin.