Etiket arşivi: caner filibelioğlu

Makale & Analiz

Caner Filibelioğlu OSCP sürecini anlattı: İmkansız değil ama oldukça zor

Yorum yapın

Son zamanlarda gittikçe popülerleşen “Offensive Security Certified Professional” (OSCP) sertifikası, sınav yönetmeliğindeki değişiklikleriyle tartışılan, tamamen uygulamaya dayalı, insanı araştırmaya ve çalışmaya iten, süreç olarak da oldukça faydalı bir sertifika programı olarak biliniyor.

Sertifikayı almamın temel nedeni, kendimle çıktığım düellodan galip gelip gelemeyeceğimin cevabını verebilmekti. Yani, yola çıktığımda amacım sertifikayı almak değil, kendimi daha fazlası için motive edebilmekti. Ne mutlu bana ki bunu başarmanın hazzını yaşıyorum.

Sertifika sınavının hazırlığı, sanılanın aksine çok zorlayıcı değil, özellikle işin içinden gelen biri için zor olduğunu söyleyemem. Beni en çok zorlayan ev ve iş hayatı arasına bir de sertifika çalışma sürecini eklemem oldu. Hazırlık sürecinde eğitim materyallerini boş olduğum her an okuyup, izleyerek ve de sertifika programının bana sağladığı laboratuvar ortamına yeterince vakit ayıramayarak kendime özgü bir sistem ile devam ettim. Özetle cahil cesareti ile sınava girdim.

Herhangi bir temeli olmadan, sıfır bilgi birikimi ile sertifikayı almak imkânsız değil ancak oldukça zor diyebilirim. Zira sınav, temel network, işletim sistemi bilgisi, temel Linux , temel Windows gibi konulara hakimiyet olmadan geçmesi, hâkim olunması gerçekten zor bir sınav diyebilirim.

OSCP öncesi başka sertifikalar alınmalı mı? Bence hayır. Ancak böyle bir yola, kariyere başlanıldığında iki şeye dikkat etmekte son derece büyük yarar var. Birincisi egonuzu asla beslememelisiniz. İkincisi de sabırla öğrenmelisiniz. Zamanınızın çoğunu öğrenme sürecinize ayırmalısınız. Bu süreçte mümkün olduğunca farklı disiplinlere yönelmelisiniz.

Kısaca örnek vermek gerekirse; benim sistemci kökenim ve güvenlik teknolojisine hakimiyetim olmasaydı asla sertifikayı alamazdım. Dolayısı ile genç arkadaşlarıma Linkedin profillerindeki titleları ve özgeçmişlerindeki alakalı alakasız birçok sertifika, ya da kendi egolarını şişirdikleri bug bountylerden ziyade işin temelini öğrenmelerini tavsiye ederim. Bu şekilde bir kariyere başlar ve devam ederlerse profesyonel iş hayatları en başından başarılarla dolu olacaktır.

Bu sertifika, benim için kendimle olan bir yarıştı ve şimdi daha büyük yarışlar için kendimi hazırlayacak cesareti toplamamı sağladı. Bana yurt dışı hayallerimi daha kuvvetli kurmamın yolunu açtı diyebilirim. Onun dışında daha disiplinli ve azimli olarak çalışma konusunda beni eğittiğini de eklemeliyim.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Lostar, Şirket Haberleri

Meltdown ve Spectre’nin farklı kişilerce aynı zamanlarda bulunması tesadüf olabilir

Yorum yapın

2018 siber güvenlik açısından hareketli başladı. Dünyanın farklı yerlerinden güvenlik araştırmacıları, 90’lı yılların ortalarında üretilen bilgisayar çiplerinde bulunan kritik güvenlik açıklıklarını üretici şirkete bildirdi. Meltdown ve Spectre adı verilen güvenlik zafiyetleri istismar edildiğinde bilgisayarlarımızda güvenli şekilde saklandığını düşündüğümüz kripto anahtarlarına, parolalara ve kişisel dosyalara izinsiz erişim sağlanabiliyor.

Meltdown zafiyeti kullanıcı uygulamaları ve işletim sistemi arasına girip zararlı bir uygulamanın, belleğe ulaşmasına ve hafızada işlenen hassas veriye erişim imkanına sahip olmasına yol açıyor. Araştırmacılar bu zafiyeti barındıran, yamalanmamış bir sistemden veri sızdırılmaması gibi bir olasılığın bulunmadığını belirtiyor. Durumu daha vahim hale getiren ise, bu açıklığın cebimizdeki telefonlardan, bulut bilişim sistemlerine kadar birçok sistemi etkiliyor olması.

Daha çok uygulama katmanında çalışan Spectre ise, farklı uygulamalar arasındaki kapalı yapının kırılarak uygulamalardan veri sızdırmanın önünü açıyor. Meltdown zafiyeti yama işlemi ile önlenebilirken, Spectre zafiyeti işlemci mimarisindeki hatalardan kaynaklandığından giderilmesi için donanımsal değişiklikler gerekebiliyor.

Dünyayı sarsan gelişmeyi Siber Bülten’e değerlendiren Lostar güvenlik uzmanı Caner Filibelioğlu böylesine kritik iki zafiyetin bu zamana kadar bulunamamasına işaret ederek, siber güvenliğin gelişmesini bilimsel ilerlemeye benzetti. “Aslında bilgi güvenliği dünyası da bilim dünyası gibi birikerek ve bu birikimlerden ders alarak, gelişerek ilerlemekte. Dolayısıyla tıpkı bilim dünyası gibi siber güvenlik dünyasına da yön veren, trendi belirleyen topluluklar var. Benzer tesadüfler eminim olmuştur; olacaktır da. Bu kullanım sıklığı ile doğru orantılı bir durum. Ne kadar sık kullanılırsa o kadar hedef olur sistemler.”

 

 

Filibelioğlu’nun benzetmesini doğrulayan örnekleri bilim tarihinde bulmak mümkün. Örneğin 17 yüzyılın sonunda Değişkenler Hesabını (Calculus) birbirine yakın zamanlarda bulan Newton ve Leibniz gibi, 1920’lerde birbirinden habersiz 5 mühendisin televizyona benzer gereçler icat etmeleri de bu duruma verilen örnekler arasında sıralanabilir.

Meltdown ve Spectre örneklerinde de, dünyanın farklı yerlerinde birbirinden bağımsız güvenlik araştırmacıları Intel’e çiplerdeki açıklıkları birbiri ardına haber verdiler. Graz Üniversite’sinden çalışan Daniel Grüss, Moritz Lipp ve Michael Schwarz şirkete buldukları açıklığı bildirdiklerinde kendilerinin ilk olmadığını öğreniyorlar.

 

 

 

 

Açıklığı ilk bulan kişi şu anda Google’da güvenlik araştırmacısı olarak çalışan Jann Horn. 22 yaşındaki gencin, 2013 yılında Alman hükümetinin açtığı yarışmada kazandığı başarıdan dolayı Şansölye Merkel tarafından ödüllendirildiğini de not etmekte fayda var.

 

 

 

 

20 yaşında zafiyet olur mu?

Meltdown ve Spectre’nin 20 yıldan uzun bir süre boyunca ortaya çıkartılmaması sorumlu ifşa (responsible disclosure) tartışmalarını da beraberinde getirdi. Bu derecede kritik zafiyetlerin daha önceden keşfedildiğini fakat kamuoyu ile paylaşılmadığını düşünen uzmanların sayısı az değil. Caner Filibelioğlu da konuyla ilgili olarak bazı devletlerin istihbarat ajanslarının ismi geçen zafiyetleri önceden bulup istismar ettiğine inananlardan.

 

Zafiyetlerden korunmak için neler yapılmalı?

Zafiyetleri dijital hayatın vazgeçilmez bir unsuru olarak değerlendiren Caner Filibelioğlu, “Nasıl depremle yaşamaya alışmalıyız diyorsak, siber dünyada da zafiyetle yaşamaya alışmalıyız. Yüzde yüz güvenlik yoktur noktasından hareket edersek, atmamız gereken ilk adım mümkün olduğu kadar bu zafiyetlere karşı önlem almak olmalıdır.” ifadelerini kullandı.

Meltdown ve Spectre için alınacak tedbirleri sıralayan Filibelioğlu “ İnternet tarayıcılar için belli parametre ayarları var bunlar yapılmalı ve yamalar takip edilmelidir. Çıkan yamalar zaman kaybetmeksizin yüklenmeli ve bir sonraki zafiyet beklenmelidir.” dedi.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

 

Lostar, Şirket Haberleri

“Asıl kamp şimdi başlıyor: Lostar’ın ışıkları bir süre daha sönmeyecek”

Yorum yapın

Yetişmiş eleman ve uzman açığı siber güvenlik sektörünün çözülmeyi bekleyen sorunları arasında yer alıyor. 2020 yılında 170 milyar dolarlık hacme ulaşması tahmin edilen siber güvenlik pazarının eleman ihtiyacı ise tüm dünyada 1 milyonu aşması bekleniyor. Siber güvenlik gibi ulusal güvenliği yakından ilgilendiren böyle bir konuda ülkemizde uzman yetiştirmeyi öncelikli hedefleri arasına alan Lostar sorunun çözümüne yönelik, sürdürülebilir ve sonuç odaklı projeler yaratmaya devam ediyor. Bilgi Üniversitesi’yle ortak geliştirdiği eğtim programı ile sektöre yetişmiş eleman sağlamaya çalışan şirket, geçtiğimiz günlerde Sakarya Üniversite’sinde Siber Güvenlik Yaz Kampı düzenledi.

Caner Filibelioğlu

Temmuz ayının ilk haftasında düzenlenen Lostar kampına ilgi oldukça yüksekti. Kampa katılmak için başvuran binden fazla öğrenci arasından sadece 23 kişiyi seçmek için günlerini sarf eden Lostar çalışanları, önce katılımcıların başvuru sırasında cevaplayacağı tek bir teknik soru olan bir form hazırladı.

İnternetten yayınlanan bu soruya doğru yanıt verebilen 300 civarındaki öğrenci 40 soruluk olan ikinci sınava alındı. İki aşamayı da geçen 60 kişiyle yapılan mülakatlar sonucunda 23 kişi kampa katılmaya hak kazandı. Kampı başarıyla tamamlayan 6 katılımcı geçen hafta şirkette yarı zamanlı olarak çalışmaya başladı.

Kamp sürecinin en başından beri içerisinde bulunan Lostar Siber Güvenlik Uzmanı Caner Filibelioğlu genç isimleri sektöre kazandırmanın mutluluğunu yaşadıklarını ifade ederek eğitim sürecinin devam edeceğini söyledi.

“Kamptan aramıza katılan arkadaşları zor bir süreç bekliyor. Ben Lostar’ı bir ‘Sızma Testi Okulu’ olarak görüyorum. Bu arkadaşlarımızı siber güvenliğin her boyutuyla ilgili gece gündüz yetiştirmeye çalışacağız. Önlerine makina koyup sızmalarını isteyeceğiz, kendi zafiyetli makinalarını kurmalarını isteyeceğiz. Kısacası bizim ofisin ışıkları bir süre daha sönmeyecek.”

Kamp sürecinde katılımcıların bilgi birikiminden ziyade araştırma kabiliyetlerine daha fazla dikkat ettiklerini söyleyen Filibelioğlu, ilk sınavda yer alan sorunun Google’da yapılacak bir arama ile bulunabilen bir cevabı olduğunu sözlerine ekledi. “Araştırma merakının yanında bir de tabi istek olmalı. Mesela o soruya yanlış cevap veren birini kampa aldık. Üstelik sorunun doğru cevabını bize sosyal medya üzerinden ulaştırdı. Biz kendisine kapıyı kapatmıştık. Ama kapıyı kırıp kampa girmeyi başardı.”

Filibelioğlu, sınav sorularına verilen cevaplar kadar adayların ‘Bilmediği konuya karşı geliştirdiği yaklaşım tarzlarının’ da seçmelerde etkili olduğunu ifade etti. “Kutunun dışında düşünmeye yatkın olması hem siber güvenlikte hem genel olarak iş hayatında çok önemli bir nokta. Mesela katılımcılardan biri zafiyet tarama aracını yüklemesini istediğimizde başarısız oldu. Fakat  herhangi bir yardıma başvurmadan kendisi araştırarak aracı kurmayı başardı. İşte aradığımız bu.”

Siber güvenlik kampıyla kariyerlerinde yeni bir sayfa açan Lostar’ın genç çalışanlarının stajyer olarak değil yarı zamanlı eleman olarak işe başlayacaklarını not etmekte fayda var. Türkiye’deki uzman açığının kapanmasına yardımcı olmak için eğitim programları düzenleyen tek şirket Lostar değil. Özellikle son yıllarda bir çok firma eğitim kampı düzenliyor. Bu konudaki yorumu sorulan Filibelioğlu kampların hem şirketler hem de katılımcılar açısından bir kazan-kazan modeli oluşturduğunu belirtti:

“Keşke çok daha fazla eğitim kampı olsa. Şirketlerin eleman yetiştirme konusunda rekabet etmesi gerektiğini düşünüyorum. Bu sayede sektörü ileri götürebiliriz. Bizim eğitim verdiğimiz insanların birkaç sene sonra eğitimci olması çok güzel olur. Biz şimdiden tohumunu atarsak, ilerde torunlarımız daha güçlü bir Türkiye’ye uyanabilir.”

Siber güvenlik alanında kariyer yapmak isteyen öğrencilere tavsiyelerde bulunan Filibelioğlu 3 nokta üzerinde ısrarla duruyor:

“Linux eğitimi bir zorunluluk. Bilmeden olmaz. Önce ondan başlamak iyi fikir. Daha sonra sistem bilgisi lazım. Altyapıda neler olduğunu anlamak için mutlaka üzerinde çalışılması gereken bir konu. Üçüncü olarak da güvenlik teknolojilerine hakim olmak gerekiyor. Eğer bir sızma testi uzmanı olmak istiyorlarsa, kullanılan ürünleri atlatmaları gerekecek, bu da ürünün nasıl çalıştığı konusunda en azından bir fikir sahibi olmayı gerekli kılıyor. Gerçek hayat yarışmalardaki CTF’lere benzemiyor. Ancak tabi ki CTF’lerin kişilerin gelişimi üzerindeki etkisi de yadsınamaz.”

Kamplar sadece tek taraflı bir etkileşim süreci olmuyor. Eğitim alanlar kadar eğitimcilere de katkısı oluyor. Filibelioğlu da böyle düşünenlerden: ” Onca iş yoğunluğu arasında zaman ayırmak bir miktar zorlayabiliyor,  ama sınıfta parlayan gözleriyle size bakan gençleri görünce siz de motive oluyorsunuz.”

Dünyada ve Türkiye’de siber güvenlik uzmanı açığının kısa zamanda kapanması beklenmiyor. Hem defans hem ofans tarafında eleman açığının bulunduğunu belirten Filibelioğlu ‘Keşke sektör tarafından düzenlenen siber güvenlik kamplarının sayısı artsa’ temennisiyle röportajı tamamlıyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz