Linux Admin

Monday, October 08, 2007

trsec konferansi notlarim

gittigim, trsec konferansinda ldigim notlar asagida.

seminer daha cok satir odakli idi ama gene de dunyada guvenlik sektoru ne alemde ve insanlar nasil calisiyorlar ufuk aciyor. oturumlar ve aklimda kalanlari oylece dusenlemeden yazdim.



aviram jenik - Breaking virtual keyboards

virtual keyboard uygulamasinin nasil bi koruma sagladigini anlatti,
bir bakanin uygulamasinin incelemesini ve daha guvenilir olmasi icin
nelerin eksik oldugunu anlatti. garanti banlasinin uygulamasini ornek
olarak gosterdi.

sirketlerinde "fish or not" adli bir oyun oynuyorlarmis, birbirlerine
banka gibi kuruluslardan gelen epsotalari gonderereek bunun bir
fishing mi yoksa gercekten kurumun epostasi mi oldugunu anlamaya
calisiyorlarmis.

guvenlik konusunda yapilan genel hatalari soyle siraladi: relying
client side, obfuscation, complexity





2. Christoph Fischer - Online crime and phishing

gelecege bakis

pachlenmemis windowslar buyuk tehdit ve hala cok sayida varlar. bunlar
bir cok konuda acik kapi olarak hala varlar.

organized crime- cinli bir grup buyuk bir aga sahip (yuzbinlerce
bilgisayar) ve bu bilgidayarlardan elde etitkleri bantgenisligini ve
islemci gucunu satiyorlar.

asus ve windrive siteleri hacklenmis, dogrudan kullanicilarin surucu
indirdikleri siteler. insanlarin buradan aldiklari exe leri
calistiracaklari asikar

dunyada cok yaygin kullanimi olan sitelerde degisiklik yaparak cok
kucuk js kodu eklemisler, XSS icin birebir.

zert, avds, beSTORM, WebHoneyNet --> bunlar hizli yama cikmayi(0-day),
kotulerin calisma yontemlerini anlamaya ve zayiflik testleri yapmayi
hedefleyen girisimler.






Ziya Gokalp, servus - Access Control & Authentication Systems

amca daha cok kurumunun hizmetlerini tanitmaya yonelik bir sunum ile
gelmisti, sso ve otp icin slaytlar ile bir kac uygulama anlatti, biraz
monton idi, katilimcilardan bunalri bilmeyen oldugunu fazla
sanmiyorum. sunumun tumu su noktalara deginiyordu:

erisim yetkilendirme - sso
kimlik yonetimi (im) - tek kullanimlik sifre(OTP), pki, sso, im

bunlarin yonetimini nasil merkezilestirip cok makinadaki hesaplari
yonetmenin maiyetini azaltabiliriz.






netsmart - endpoint security - ozgur midik

sadece pc ve sunuculara yuklenmek yanlis olur, cep telefonlari,
laptoplar, smartdiskler d birere uc nokta.

icerideki pc'leri ve sunuculari cok guzel koruyoruz ama insnlarin
evinden getirip taktiklari tek bir flash disk butun agimizi
cokertiyor.

bazen koruma sadece agin onunde duran firewall'lar ile oluyor, ama
iceriye giren bir laptop her seyi dagitabiliyor. iceride olup
bitenleri denetlemiyorlar. usb diskler, laptolar, cdler buyuk
tehdit. bunlari yasaklayan sirketler biraz daha guvenlik
saglayabiliyorlar. ama ornegin otp token'i icin acik birakilan bir usb
portu her seyi mahvedebilir.

csi/fbi 2006 computer crime and security survey - computer security
institute'den istatistikler goruntuledi ve uzerinde bir cok yorum
yapti


birisi cikip insnlari engellemeye calismak yerine bilinclendirmeye
yatirim yapmanin daha mantikli olup olmadigini, herkesin potansyel
guvenlik uzmani olabilecegini sordu, millet bir tarafiyla guldu. bizim
sirketi dusundum ben de guldum. bizde calsiiyor gibi geldi, tabii daha
30 kisiyiz, ve getirdigi sorunlari tartismak da can sikar.






aviram jenik - Estonia: Information Warfare and Lessons Learned

bu oturumda daha cok siber savaslari anlatti.

tum estonya aginin kilitlenmesinin sorumlularinin hala tam olarak
bilinemiyormus. sirketleri (beyond security) estonya agi cokunce
yardim icin cert-ee ye yardim icin bir "rescue team" gondermis.(bcp38
kullanmislar ve cok yardimi olmus.)

israil-arap siber savaslarini anlatti, o sralarda odagimiz dagilmisti.






beyond security'den baglanan amca

skype ile beyond security'den (almanyadaydi sanirim sanirim) bir amca
baglandi ve bir sunum yapti, onceleri kendilerinin gectikleri yollari
ve basarilarini anlatirken tam bir sirket sunumu yapiyordu ve
fazlasiyla baydi.

biraz daha ilerleyince hackererin kullandiklari araclari ve nasil
calistiklarini, ve hatta ucret tarifeleri ve araclarini ekran
goruntulerini gostererek anlamaya baslayinca nutkum tutuldu. tek
kisinin altindan kalkalmayacagi buyuk oranize isler ve urettikleri
inanilmaz seyler, yaptiklari projeler'in cogunu sanirim siret olarak
gelistirmemiz yillari gecerdi. donen paralarin, islemci gucunun, spam
kapasitesinin, bantgenisligi miktarinin haddi hesabi yok.

bu kotu amcalarin kullandiklari su uygulamalarin neler
yapabildiklerini ekran goruntuleri ile anlatti: goldun ,haxdoor,
metafisher(cz), webattacker.

undergroun olarak adlandirabilecegimiz gruplarin kredi karti
bilgilerini, farkli profillerde eposta adreslerini, islemci gucunu
satarkenki fiyat listeleri, bu isleri yapan grupar sanirim son derece
belirli. konusmasi sirasinda kredi karti bilgileirni 5$ a alip 7$a
piyasada satanlardan falan bahsetti amca.

About Me

My photo

Breakfast rocks, eating is fun, Linux is also fun and all that other good stuff...

At first I was a webmaster who creates pages with FrontPage, but that was not that fun.

Then simply resigned to be able to use Linux in my daily work. After that I worked as a, respectively,
  • desperate customer responsible,
  • software product administrator,
  • not so bad software developer,
  • not so good project manager, and at least
  • system administrator.

Until I found my girl friend, I've always thought everything are as they should be, but apparently they were not. I like my job, love my love, and its getting better day by day.