Etiket arşivi: ömer altundal

Makale & Analiz

Bizimkisi bir hack hikayesi

Yorum yapın

Gün geçmiyor ki büyük bir şirketin web sitesinde, mobil uygulamasında, API’larında vs tespit edilen bir açıklık nedeniyle kuruma ilişkin veriler ya da müşterilere ait kişisel veriler sızmasın. Bazen öyle durumlar oluyor ki, sadece müşteri verileri değil, potansiyel müşterilere ait veriler de sızdırılabiliyor.

Potansiyel müşteri mi? Nasıl yani?

Evet yanlış okumadınız, bazen öyle zafiyetler tespit edilebiliyor ki, kurumun sadece mevcut müşterileri değil, bu kurumun kullandığı web servisler aracılığıyla data çektiği 3. taraflardan tüm vatandaşların bilgileri dahi çekilebiliyor. Bu seferki anlatacağım hikayeyi doğrudan kendim gerçekleştirdim. Herhangi bir yasal sonuca sebep olmamak adına firma adını ve sektörü paylaşmayacağım.

Geçtiğimiz haftasonu, kendi ihtiyacım olan bir ürün için farklı firmaların web sitelerini dolaşıyordum. Bir tanesi ilgimi çekti. Verdiği ürünün fiyatından ziyade, bana bu ürünü sunuş şeklinde bir gariplik vardı. Ürün bilgileri için detayları TC Kimlik Numarası ile birlikte girdiğinizde size sadece fiyat gösteriyordu. Fakat o da ne? Belki şuraya küçük şirin bir link koyalım diye düşünmüşler ve potansiyel müşterilerine daha fazla bilgi vermek istemişlerdi.

Baktığınızda çok güzel geliyor. Bana ayrıntılı şekilde ürünü anlatan bir firma. Hemen o heyecanla linke tıklıyorsunuz ve sizin için oluşturulan PDF dokümanını görüyorsunuz. Bu PDF dosyasında ilk gözüme çarpan şey Adım Soyadım olmuştu. Ad-Soyad bilgisinin ne zararı olsundu ki… Ama bir saniye, ben adımı girmedim ki? Hatta TCKN dışında girdiğim tüm bilgiler sahteydi. (Öyle her siteye doğru bilgi girecek halimiz yok tabi, TCKN’nin gerçek olması gerekiyordu). Çok ilginç, ben kimlik numaramı girdim fakat o bilginin bana ait olduğunu teyid edecek 2. hatta 3. bilgi  (ad, soyad, baba adı vs) istemeden:

 

  • Adım
  • Soyadım
  • Türkiye’deki adresim
  • Doğum yılım

 

karşımdaydı. O anda bana bakan birisi beni aşağıdaki şekilde görmüştür sanırım.

Güvenlik alanındaki arkadaşlar, böyle bir durumda neler hissettiğimi tahmin ederler. Tabi ki bir sonraki adım bunun suistimal edilip, edilemeyeceğini anlamak olacaktı.

Zafiyetin varlığını doğrulama aşaması…

Evet bu bir kez benim için çalışmıştı, peki tekrar edilebilir bir şey miydi? Bir zafiyeti raporlayabilmek için tekrar edilebilir, yeniden üretilebilir olması gerekir. Sistem artık güven vermemeye başladığından, kendi ailemin vs kimlik bilgisini girmek istemedim.

Burada en güzel yöntem gerçek kişiler yerine, rastgele TCKN kullanmak olacaktır. Peki TCKN nereden bulacaksınız?

TCKN 11 karakterli uzun bir sayıdır fakat sadece 11 karakterli olması ya da çift sayı olması bizim için yeterli değil. TCKN’nin, kredi kartı numarası algoritmasına benzeyen bir algoritması var. Burada ayrıntılı yazmayacağım, bir arama motorunda ararsanız hemen bulursunuz.

Bu aşamada TCKN algoritmasına uygun sayı üretmem gerekiyordu. Bunun için excelde basitçe random fonksiyonlarını kullanarak ve basamaklar arasındaki işlemi yaparak algoritmaya uygun 20 kadar sayı ürettim. Bunlar ile sisteme fuzzing yaptığımda, bir kısmına ilişkin PDF dokümanı linki oluştuğunu gördüm.

SİBER BÜLTEN OKURLARINA ÖZEL İNDİRİM: BU EĞİTİMİ KAÇIRMAYIN

Bu PDF dokümanlarını açtığımda tam tahmin ettiğim gibi, isimler, adresler, doğum yılları…

Bu zafiyetin 1. kısmıydı. Yani gönderdiğim TCKN’lere karşılık sahibine ilişkin ayrıntıları elde ettim. 2. Kısımda ise, hiçbir TCKN vermeden, oluşan linkteki sıralı numarayı fuzz ederek geçmişte oluşturulmuş tüm dokümanların da ulaşılabilir olduğunu gördüm. Eğer normal şartlarda bir authentication olan bir süreç olsaydı, bu zafiyetin adı IDOR olabilirdi: Insecure Direct Object Reference

Yani özetle sitede 2 tane büyük açıklık vardı. Tabi ki ilkinde tüm vatandaşların bilgilerini alabildiğiniz için çok daha büyük bir risk.

Buradan şunu da görmüş olduk, sadece sabah akşam Acunetix çalıştırıp XSS, SQLi arayarak böyle zafiyetleri bulamazsınız. Bu tip zafiyetler tamamen el yordamıyla çıkacak zafiyetlerdir.

Bu arada kurumun sayfasında gayet güzel yazılmış, çok ayrıntılı bir “KVKK Aydınlatma Metni” var. Siz usandınız duymaktan ama ben söylemeye devam edeceğim, Aydınlatma Metni, Açık Rıza vs ile şirketin, verilerinizi işleme ve paylaşması konusunda sadece belli bir disipline girmesine ufak katkınız olur ama bunlarla kişisel verileri koruyamazsınız. Görüldüğü üzere korumadı.

ÖMER ALTUNDAL YAZDI: 

KVKK her kurumda süreci kimin yönettiğine göre şekil alıyor

Nerede durmalıyız?

Burada durmalıyız, tam olarak burada. Örnek birkaç numara soguladık, bilgilerin her seferinde geldiğini gördük (tabi ki algoritmaya uygun her sayı TCKN değildir), raporlayabilecek kadar ekran görüntüsü aldık. Artık durma vaktidir. Eğer ethical hacker şapkasıyla birşeyler yapıyorsanız burada durmalısınız.

Sistemleri sömürmek, burada bulunan zafiyeti suistimal ederek data çekmek, uzun sürecek olsa da (11 haneli olması 100 milyar ihtimal demek değil, algoritmayı unutmayın) tüm TC vatandaşlarının bilgilerini çekmek (ölü ya da diri) çok büyük bir suçtur. Bunları yaptıktan sonra firmayı bilgilendirseniz dahi yapılan şey sahte kahramanlık olur. Yapılan işlem bilişim suçları kategorisinde değerlendirilir ve ciddi yaptırımları olur, olmalıdır da. Olsun lütfen!

Peki ne yapmalıyız?

Bu aşamada eğer zafiyeti tespit ettiğiniz şirketin Bug Bounty programı varsa şanslısınız. Bunu uygun kanaldan ilettiğiniz takdirde, size parasal bir ödül, kuruma ait eşantiyon ya da Hall of Fame’de adınızın yazılması olarak geri dönecektir. Tabi ki Türkiye’deki şirketlerin bu konuda oldukça çekingen olduğunu biliyoruz. Ben eski şirketlerimden birinde bunu uygulatmaya çalışmıştım fakat çok destek alamadım.

Ben de herhangi bir beklenti olmadan, aldığım ekran görüntüleriyle destekleyerek bir rapor hazırladım ve önce şirketin CEO’suna ulaşmaya çalıştım. Neden CEO diyebilirsiniz. Kişisel Veriler konusunda bir kurumda tepe yönetim sorumludur. En yüksek farkındalık orada olması gerekir. Çabalarım sonuç vermedi, IT direktörü pozisyonunda olduğunu gördüğüm kişinin kurumsal adresine (tabi adresi bilmiyorum) email ile bilgi verdim. Emaili bilmediğimden ad.soyad@kurum, asoyad@kurum, adsoyad@kurum gibi en olası formatlarda oluşturduğum adreslere ilettim. Yine cevap gelmedi. 1 ya da 2 gün sonra ilgili yönetici de, kendisine bağlı başka bir ekip üyesi email ile dönüş yaptı. Kendisine raporu ilettim. Telefonla da görüştük, aksiyon alacaklarını iletti ve teşekkür etti.

Zor ulaşsam da yaklaşım şekillerinden dolayı kendilerine teşekkür ediyorum ben de. Her zaman böyle yaklaşım göremeyebilirsiniz. Bir devlet hastanesinde bulduğum zafiyeti bildirğim için dayak yemediğim kalmıştı. Bir daha da bulaşmamaya söz verdim.

 

 

Bug Bounty Programları

Yukarıda kısaca değindiğim gibi, bazı şirketler Bug Bounty programları ile kendilerine zafiyet bildirimi yapan kişilere çeşitli ödüller veriyor. Özellikle Google, Facebook, Twitter, Apple vb şirketler bu konuda oldukça cömert olabiliyorlar.

Bulduğunuz zafiyetleri bildirmenin çeşitli yolları bulunuyor. Bazı şirketlere doğrudan bildirim yapabileceğiniz gibi, bazılarına ise farklı platformlardan ulaşabiliyorsunuz. Örneğin Hackerone, Synack, BugCrowd bunlardan birkaçı.

Buralarda alacağınız ödüller 1 milyon dolara kadar (rakamla 1.000.000) çıkabiliyor. Örneğin Apple, iOS’un kernelını, kullanıcı hiçbir şeye tıklamadan hackleyebilirseniz bu parayı size vermeyi vaad ediyor. Açıkçası böyle bir şey bulursanız gizli servislere daha yüksek fiyata satabilirsiniz bence.

https://developer.apple.com/security-bounty/

Son olarak tekrar hatırlatayım. Ofansif güvenlik çok eğlenceli gelebilir fakat sadece saldırarak bir kurumda güvenlik sağlayamazsınız. 360 Derece Bilgi Güvenliği konusunda yazdığım yazıyı okumanızı tavsiye ederim.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Makale & Analiz

Ömer Altundal’a cevaben: “KVKK verileri değil, bireyleri korumayı hedefliyor”

1 Yorum

Kişisel Verilerin Korunması Kanununun (KVKK) yürürlüğe girmesinin üzerinden 3 yıl geçmesine rağmen, KVKK uyum süreçlerinin kimlerce daha iyi yürütüleceği bugünün en sıcak tartışmalarından biri. Bu konuya ilişkin olarak Ömer Altundal’ın 19 Kasım 2019 tarihinde “KVKK her kurumda süreci kimin yönettiğine göre şekil alıyor” başlıklı yazısına cevaben birkaç hususa değinmek istiyorum.

Konuya ilişkin olarak, öncelikle ve temelde şuna odaklanmak gerekir diye düşünüyorum: “KVKK verileri değil bireyleri korumayı hedefliyor.” Bu, verinin kişilerden ilk elde edildiği andan Şirketler bünyesinde kullanılması, saklanması, aktarılması vb. süreçlere kadar büyük bir aralığı kapsıyor. Bu süreçlerde ise KVKK’nın veri sorumluları için öngördüğü yükümlülüklerin yerine getirilmesi gerekiyor. Bu yükümlülükleri ise birbirinden ayrık düşünmemek ve/veya birini diğerinden üstün tutmamak gerektiği kanaatindeyim.

Ömer Altundal’ın yazısına birçok hususa değinerek cevap vermek istiyorum:

Örneğin bir aydınlatma metninin yazılması için tekrar tekrar toplantılar yapılıp, “virgülü nereye koysak, enter’a 2 defa basıp paragrafın arasını açsak mı” gibi kanunun amacından çok çok uzak konularda patinaj çekilebiliyor.”Ö.A.

 Aydınlatma metni hazırlanmasını sadece veri sorumlusunun bir yükümlülüğü olarak düşünmemek lazım. Bu aynı zamanda veri sahiplerinin hakkı olarak da karşımıza çıkıyor. Ayrıca veri sahiplerinin kendi verileri ile ilgili denetim ve kontrol sahibi olmasında da büyük rol oynuyor. Kanunun 10. maddesine bakıldığında, kişisel verilerin elde edilmesi sırasında veri sorumlusu bizzat veya yetkilendirdiği kişi aracılığıyla aşağıdaki bilgileri ilgili kişiye sağlamakla yükümlü:

-Veri sorumlusunun ve varsa temsilcisinin kimliği,

-Kişisel verilerin hangi amaçla işleneceği,

-Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

-Kişisel veri toplamanın yöntemi ve hukuki sebebi,

-11. maddede sayılan diğer hakları.

Özellikle 11. madde kapsamında tanınmış haklar vasıtasıyla kişiler, verileri üzerinde denetim ve kontrolü sağlayabiliyor. Bu haklar ise Kanunda şöyle sıralanmış:

-Kişisel verilerinin işlenip işlenmediğini öğrenme,

-Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

-Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

-Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

-Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

-Kişisel verilerin silinmesini veya yok edilmesini isteme,

-Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

-İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

-Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

Bu yüzden “Aydınlatma metni, veri sahibinin itiraz süreci vb konular daha çok “şeffaflaşma” ile ilgili konular.” olmaktan bir adım daha öteye gidiyor. Bununla birlikte aydınlatma metni hazırlanması sürecini kopyala-yapıştır şeklinde basite indirgememek gerekiyor. Değişen koşullar üzerine güncellenmesi ve varsa hata ve eksiklerin giderilmesi de KVKK’daki ilkelere uygun hareket etme bakımından önemli. Ayrıca kişilerin anlayacağı sadelikte, kullanıcı dostu, katmanlı aydınlatmaların yapılmasına önem veriyoruz. Kurum’un da belirtiği üzere aydınlatma metinlerinde “açık, anlaşılabilir ve sade bir dil kullanılması” gerekir.

Öte yandan kişisel verilerin korunmasıyla veri güvenliği arasındaki ilişkiye farklı bir bakış açısı getirilmesinin yararlı olacağı düşüncesindeyim. Veri güvenliği, doğrudan verilerin güvenliğini hedeflemektedir. Ancak bu veriler, kişilerle ilgili olduğu ölçüde veri güvenliği, kişisel verilerin korunmasına hizmet edecektir. Bu yüzdendir ki veri güvenliği değil “kişisel verilerin korunması” denmiştir().

Bu noktada, kişisel verilerin güvenliğinin sağlanması bakımından, elbette IT uzmanlarıyla birlikte hareket edilmesi gerekli. Ancak bunu kişisel verilerin korunmasının esası olmaktan ziyade bir parçası olarak görmek doğru olacaktır. Çünkü amaç bireyleri ve onların mahremiyetini korumaktır. Bunu yapmanın yollarından biri de Şirket bünyesinde kişisel veri de barındıran sistemlerin güvenliğine ilişkin teknik tedbirlerin alınmasıdır. Ancak teknik tedbirlerin yanında çalışanlara kişisel verilerin güvenliğine ilişkin düzenli eğitimlerin verilmesi ya da Şirketin imzalayacağı sözleşmelerde gizlilik ve kişisel verilerin korunmasına yönelik hükümlere yer verilmesi de diğer bazı önemli hususları oluşturuyor.

Kurum, uyum sürecinde yardımcı birçok rehber, kılavuz ve doküman hazırlanmış hatta “ALO 198”i kurmuş olsa da kabul edelim ki uyum sürecinin sağlıklı bir şekilde tamamlanabilmesi hukukçuların da bu süreçte yer almasına bağlıdır. Yapılan işin 1136 Sayılı Avukatlık Kanunu kapsamında olması bir yana, söz konusu düzenlemenin yorumlanması, uygulanması ve yaşanabilecek hak ihlallerinin önüne geçilmesi bakımından hukukçuların bu sürecin dışında tutulmasının sağlıklı sonuçlar doğurmayacağını ifade etmek gerekiyor.

Kurum’un konuyla ilgili yaptığı açıklamada da altını çizdiği gibi “bu yükümlülüklerin ancak disiplinler arası ortak bir çalışmanın neticesinde yerine getirilebilir olduğu”dur. Disiplinler arası çalışmak önemli olduğu kadar da zor bir öğrenme süreci gerektirmektedir. Farklı altyapılarda ve değişik akademik çalışma alanlarından gelen insanlar arasında bir ortak dil oluşturulması çalışmalardan verimli sonuç alınması için bir zorunluluk haline gelmiştir.

Yazının başında da belirttiğim gibi, uyum süreçlerinde düzenlemenin öngördüğü yükümlülükleri birbirinden ayrık düşünmemek lazım. Bu yükümlülüklerin yerine getirilmesi teknik bazı çalışmaları da içereceğinden, IT uzmanları ve hukukçuların birlikte hareket etmesi de bu sürecin doğal bir sonucu olacaktır. Bu yüzden en iyi kim yapar değil de, “birlikte en iyi nasıl yaparıza” odaklanalım derim.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Konuk Yazar, Makale & Analiz

Siber güvenlikte hangi alan için hangi sertifika alınmalı?

Yorum yapın

İş hayatında, icra ettiğimiz mesleğin türüne göre bizim yetkinliğimizi gösteren çeşitli belgeler vardır. Bu bazen diploma, bazen zanaatkarlık belgesi, bazen sertifika olabiliyor. Her meslekte az çok bu durum bulunmakta. Peki IT alanında bizim yetkinliğimizi gösterebilmemiz için ne gerekiyor?

Eğer üniversite mezunuysanız (ya da meslek lisesi), mezun olduğunuz bölüme ilişkin diploma ilk iş arama sırasında gösterebildiğimiz tek şey oluyor eğer ekstra bir çaba sarf edip proje vs. gösteremiyorsak. Bu durumda da bizi diğer adaylardan ayıran şey üniversitenin adı oluyor. Yıllar geçti, üniversiteden mezun oldunuz ve 3-5 senelik deneyime sahipsiniz artık. Bu saatten sonra açıkçası üniversitenin adıyla ilgilenen kişi sayısı azalıyor. Daha çok nerede çalıştınız, neler yaptınız vs gibi sorular gündeme geliyor. Açıkçası olması gereken bu, müstakbel yöneticiniz aynı okuldan mezun birine kol kanat germe ihtiyacı duymadığı sürece… Hemşehriliği karıştırmıyorum bile.

127.0.0.1’e ping atmış insanın alabileceği sertifikalar

Şimdi daha da özele inersek, siber güvenlik alanında çalışıyorsunuz ya da çalışmak istiyorsunuz, bu alanda bölüm sayısı da az ya da hiç yok. Diploma gösteremezsiniz. Bilgisayar Mühendisliği diploması güvenlik bildiğinizi kanıtlamaz. Güvenlikçiler de genelde alaylı olur zaten (ben Elektronik Haberleşme Mühendisliği mezunuyum mesela) Bu durumda ne yapacaksınız? İşte tam bu noktada sertifika konusu devreye giriyor. Hepsi için söylemiyorum fakat bazı kuruluşlardan aldığınız sertifikalar, sizin o konuda belli seviyede bilgiye sahip olduğunuzu gösteriyor. Sertifikanın türüne göre de teorik ya da pratik (hands-on experience) tecrübeye sahip olduğunuz kanıtlanabilir.

Peki neden bazı kuruluşlarca verilen sertifikalar dedim? Bunun en temel sebebi şu: bazı sertifikaların sınav soruları ‘dump’ şeklinde piyasada bulunmakta ve yeterli İngilizceye sahip birisi, hayatında en fazla komut satırını açıp 127.0.0.1’e ping atmış olsa bile bu soru havuzunu ezberleyip, ilgili sertifikayı alabilir. Hatta bu ping’e cevap alamamışsa dahi sertifikayı alabilir 🙂

Bununla beraber, sertifikayı veren kuruluş eğer size deneyim soruyor ve bunu kanıtlamanızı bekliyorsa, bu da yine ilgili sertifikayı mûteber yapar. Bu yüzden ISC2 ve ISACA’nın sertifikaları sektör tarafından kabul görüyor. Çünkü ortalama 5 sene deneyim isteniyor bu sertifikaları almanız için. Yani sınavı geçmeniz yetmiyor.

Peki hangi sertifika?

Bu sorunun cevabı biraz yoğunlaştığınız alana bağlı olarak değişebiliyor. Ben bunları birkaç parçaya bölmek istiyorum. Böylece hangi alanda ilerliyorsanız, o tarafta kabul gören sertifikalara yönelmek daha doğru olacaktır.

Network Security : İçinde network kelimesi geçiyorsa CCNA ile başlayıp, CCIE Security’ye kadar giden süreç sizi bekliyor. Genel olarak üretici sertifikalarına bağlı kalınmamasını tavsiye etsem de, Cisco’nun sertifikaları (özellikle CCNA) kapsadıkları konular açısından sizin gerçekten de belli seviyede bilgi sahibi olmanızı bekliyor. Tabi ki dump ezberleyip, girmezseniz J Bunun dışında yine üreticilere özel sertifikalar alınabilir

Ofensif Security : Özellikle mavi, kırmızı takım gibi ekiplerde çalışacaksanız buralarda size göre sertifikalar bulunuyor. SANS (GPEN, GWAPT vb) ve Offensive Security (OSCP, OSCE vb) sertifikaları sektörde en çok kabul gören sertifikalar. Bunun yanında EC Council’ın CEH sertifikası da yaygın olarak tercih edilse de, bir kesim tarafından ‘ayağa düşmüş’ olarak da görülmekte. Tercih sizin J

Denetim : Eğer güvenliğin denetim ya da risk yönetimi alanındaysanız ISACA’nın CISA sertifikası, diğer tarafta da ISO 27001 Lead Auditor sertifikaları en çok kabul gören sertifikalar. Risk yönetimi tarafında da yine ISACA’nın CRISC sertifikası kabul görüyor.

Genel Sertifikasyon : Bence (sektörce de) en çok kabul gören sertifika belki de ISC2 tarafından verilen CISSP. Bu sertifika, sizin güvenlik alanındaki pek çok domain hakkında bilgi sahibi olmanızı bekliyor. Bunun yanında yukarıda belirttiğim deneyim şartı da sertifikayı almayı zorlaştırırken, değerini arttırıyor. ISACA tarafından verilen CISM sertifikası da bu şekilde değerlendirilebilir. Fakat genel kanaat yine CISSP tarafında. Benim şahsi güvenlik anlayışımla da, yani 360 derece güvenlikle birebir örtüşüyor.

Peki sertifikaya inanmayan arkadaşlar ne yapacak?

Yerçekimine, dünyanın şekline, elektriğin çarpmasına vs inanıyorsanız, bazı sertifikaların gücüne de inanacaksınız. Türkiye’nin en iyi üniversitesinden mezun oldunuz diyelim. Hangisi olsun, Boğaziçi, ODTÜ??? Güzel, peki yurt dışına gitseniz bunları kim tanıyor? Türkiye’nin en büyük ulusal şirketlerinde çalıştınız diyelim, emin olun onlar da tanınmıyor. E sizin referanslarınızı da kimse aramaz CV’ye bakıp, kusura bakmayın. Orada sertifikalar sizin uluslar arası alandaki denkliğinizi sağlayan tek şey oluyor.

Nasıl hazırlanmalıyım?

Güzel soru. Eğer Ofensif Security tarafındaysanız, kesinlikle hands-on tecrübe yapın. DVWA gibi uygulamaları indirin, sızmaya çalışın. Kali muadili pentest OS’ler ve içerisindeki toolları öğrenin. Bol bol araştırın ama bol bol da pratik yapın, oumak yetmez.

Diğer alanlarda ise sizi başarıya ulaştıracak şey yine okuma ve deneyim. Son aldığım sertifika ISC2’nin cloud sertifikası olan CCSP. Açıkçası çok çok az çalıştım diyebilirim. Deneyimlerinizle doğru cevapları sınav anında bulabiliyorsunuz. Bunun dışında resmi yayınları ya da Sybex gibi yayınevlerinden çıkan yayınları okuyabilirsiniz. Bu arada CISSP hazırlık materyalleri sorulduğunda tek kalemde geçilen Shon Harris’e de Allah’tan rahmet diliyorum.

%100 güvenlik yoktur ve en zayıf halka insandır klişeleriyle bitireyim 🙂

Sertifikasyon ya da siber güvenlikle ilgili aklınıza ne gelirse benimle iletişime geçebilirsiniz. Elimden geldiğince yardımcı olmaya çalışırım. (Twitter: @ofaltundal)

Siber Bülten abone listesine kaydolmak için formu doldurunuz