IoT

Internet of Kids (IoK) before Internet of Things (IoT)

We have been entering the new area on connectivity that is called Internet of Things (IoT). After connecting the computers (i.e. general purpose central processing units) we have been aggregating the ‘physical objects or “things” embedded with electronics, software, sensors, and network connectivity.’

Interestingly, it is the same phenomena occurring in two spaces: expansion of the Universe (i.e. ‘the space that makes up the universe is expanding, over time’) and expansion of the cyberspace.

the expansion of the universe
Artists illustration of the expansion of the Universe. (C) NASA, Goddard Space Flight Center

But, before gravitating towards the temptation of the expansion of cyberspace with IoT, I would like to point a serious subject in scope of cyber security, as I coined its term, Internet of Kids (IoK).

Kids, especially preschool children, have become the wast majority of ‘real’ users of the Internet. How did you come to know this? Well, I have a 3 years old son!

He surfs at YouTube at dizzying speed and watches lots of videos such as cartoons, toys introductions, and baby songs in my tablet, smartphone, and sometimes my laptop.

Below is the screen capture of ‘my’ YouTube account’s recommendation home page.

screencapture-www-youtube-com-20151227-InternetOfKids
Internet of Kids

My youtube account that has been used by me for many years has converted into a completely different characteristic because of my son’s surfing habits in just one year!

We should be aware of this fact and study the security concerns of our kids seriously especially in social media platforms after 8 years from my article named ‘Computer and Internet Security for Children and
Teenagers‘.

Avrupa Komisyonu Logosu

Siber Güvenlik ile İlgili AB Bünyesinde İlk Yasal Düzenleme

 

Avrupa Parlamentosu, Komisyon ve Konseyi müzakerecileri, 8 Aralık 2015 itibariyle Avrupa Birliği’ni çevrimiçi ortamlarda daha güvenli yapmayı hedefleyen bir yasal düzenlemede anlaştı.

Dunya Avrupa TurkiyeKomisyon, üye ülkelerin siber güvenlik çerçevesinde;

  • Yeteneklerini geliştirecek,
  • İşbirliklerini artıracak ve
  • Enerji, ulaşım, bankacılık, mali pazar, sağlık, su ve sayısal altyapı gibi iş kollarındaki temel hizmet veren işleticilerin (‘operatörlerin’) ve çevrimiçi alışveriş, arama motoru ve bulut bilişim gibi anahtar sayısal hizmet sağlayıcıların uygun güvenlik önlemlerini almasını ve gerçekleşen güvenlik olaylarının ulusal yetkili mercilere bildirmesini sağlayacak

kurallarda anlaşmaya vardı.

Komisyon, 2013’de AB’de en üst düzeyde ortak ağ ve bilgi güvenliğini temin edecek bir Yönerge önerisi de sunmuştu.

Sonrasında Atılacak Adımlar

Bu siyasi anlaşmanın ardından metin, resmi olarak Avrupa Parlamentosu ve Konseyi tarafından onaylanacak ve AB Resmi Gazetesinde yayınlanarak yürürlüğe girecektir.

Üye ülkelerin bu Yönergeyi kendi ulusal kanunları içinde uygulamaya alması için 21 ay ve temel hizmet veren işletmecileri belirlemesi için de ilave 6 ayları bulunacak.

Komisyon ayrıca 2016’da, en önemli temeli itimat ve güvenlik olan Sayısal Tek Pazar (‘Digital Single Market’) stratejisinde bildirildiği gibi siber güvenlikte bir kamu ve özel işkolu ortaklığı programı başlatacaktır.

Gürol Canbek tarafından Avrupa Birliği Basın Bülteni’nden derlenmiştir.

VideoByGurolCanbek-NedenBilgiGuvenligiFarkindaligi

Siber Güvenlik Farkındalığı Yarışmasında Kazandığım Ödüller {My Awards on Cyber Security Awareness Competition}

Her yıl Ekim ayı, siber güvenlik farkındalık ayı olarak değerlendirilmeye başladı ve başta ABD, Avrupa ülkeleri olmak üzere Türkiye’de de bu ayda çok çeşitli etkinlikler düzenleniyor.

Ülkemizde de Ekim 2015’de üniversite öğrencileri arasında bir Siber Güvenlik Farkındalığı Yarışması düzenlendi ve kısa film, slogan/mesaj, afiş ve el ilanı dallarında eserler değerlendirilmeye alındı.

Bendeniz de bir doktora öğrencisi olarak, yarışmaya 4 dalda 10 eser ile katıldım.

Çok daha fazla kişiye hitap etme fırsatı ile siber güvenliği daha fazla katkı yapmasını umduğum eserlerimden iki tanesi ödüle lâyık görüldü.

Slogan dalında klasman lideri

“Siberuzay: ortam sanal, zarar gerçek!”

Bu sloganım yarışma ile ilgili haber yapan pek çok medyada başlıktan verilmiştir.

20151124-OrtamSanalZararGercek-Milliyet

http://www.milliyet.com.tr/siber-guvenlik-yarismasi-nda-birinciler-istanbul-yerelhaber-1081847/

20151124-OrtamSanalZararGercek-BilgiCagi

http://bilgicagi.com/siber-guvenlik-yarismasinda-birinciler-belli-oldu-ortam-sanal-zarar-gercek/

20151124-OrtamSanalZararGercek-ITnetwork

http://bilgicagi.com/siber-guvenlik-yarismasinda-birinciler-belli-oldu-ortam-sanal-zarar-gercek/

Kısa film dalında eserim

‘Neden Bilgi Güvenliği?’ başlıklı RSA canlandırma (RSA animate) tarzı olarak da bilinen şekilde hazırladığım canlandırma eserim de klasman ikincisi olmuştur.

Yarışmaya gönderdiğim diğer eserler de şu şekildedir:

Okumaya devam et “Siber Güvenlik Farkındalığı Yarışmasında Kazandığım Ödüller {My Awards on Cyber Security Awareness Competition}”

Roller Tersine Çevrildi: CIO, CISO’ya Rapor Ediyor

BT’nin Güvenliği, Onu Yönetmeden Daha Hayati Hâle Gelirse

Eric Chabrow tarafından 7 Nisan 2014’de yayınlanan yazı

ÇEVİREN: Gürol CANBEK, 18 Aralık 2014

Thad Allen

Tamamı değilse de, şirketlerin çoğunda; Bilgi Güvenliği Müdürü (CISO, Chief Information Security Officer), Bilgi İşlem Müdürüne (CIO, Chief Information Officer) rapor eder. Nihayetinde şirketler, BT olmadan işlev göremez ve güvenlik, verinin ve sistemlerin korunmasına yönelik bir destek fonksiyonudur!

Acaba gerçekten öyle midir?

Günümüzde şayet siber tehditler oldukça yaygınsa; kritik bilgi varlıklarının güvenliğinin sağlanması, operasyon ve bilişim teknolojisinin yönetiminin önüne konulabilir mi?

“Kendi firmanızı yönetirken sadece söylemden eyleme geçmeniz yetmez; ayrıca riskleri nasıl ele aldığınızda da bir model olmalısınız.”

Booz Allen Hamilton; iş, askeri ve kamu yönetim danışmanlığı, bu şekilde düşünüyor. CIO’su CISO’suna rapor veriyor.

Bu düzenlemeyi, Adalet ve Ulusal Güvenlik Bölümlerini yöneten Booz Allen başkan yardımcısı Thad Allen ile konuşurken öğrendim.

Mevcut siber güvenlik ortamının CISO’nun rolünü nasıl değiştirdiğini görüşürken, “CISO’lar, üst yönetim ve kurul üyeleri arasında siber tehditlere olan alâkayı nasıl kendi lehlerine çevirmelidir?” sorusunu sordum.

İşte emekli amiralin buna cevabı:

Hayret Eden Açığa Vurma

“Bazen konu, CISO’nun, CIO ve üst yöneticilerle ilgili hangi noktada olduğu ile ilgilidir. Booz Allen Hamilton’da CIO aslında bizim CISO’muz için çalışır.”

“Güvenlik fonksiyonunun bilişim ile alâkalı rolünü, içinde tüm sistem operasyonlarımızı göz önünde tuttuğumuz, her şeyi kapsayan bir şemsiyeye yükseltmiş bulunuyoruz. Tehditleri dile getirmek ve üst yöneticilerle daha sık bir temelde beraber olmak için bu rolün böyle bir erişime ihtiyacı vardır. Temel olarak bu rol, operasyonel tehdit ortamını, arka odalardaki sistem odasından, üst yönetimin bizzat görebileceği noktaya getirir.”

Açıkçası Allen’in bu açığa vuruşundan hayrete düştüm. CISO ve CIO’larının her birini üst yönetime doğrudan rapor ettirtip, bunlara eşit bir şekilde muamele eden organizasyonları duymuştum. Fakat bir CIO’nun bir CISO’ya rapor ettiğini hiç duymamıştım ki Allen’a bu beyanını tekrarlamasını rica ettim:

“Booz Allen Hamilton’da bu gerçek.”

Allen, Booz Allen’in iş dünyasına, askeri ve kamu müşterilerine ulusal ve bilgi güvenliği ile ilgili konularda danışmanlık yapma işinin doğasının, bizzat kendi operasyonlarında güvenliğin önemini göstermesini gerektirdiğini belirtti:

“Devlet kurumları veya özel sektör ile uğraşmak adına yola çıkıyorsak, bilgi güvenliği konuları ile uğraşıyoruzdur,” diyen Allen, “Kendi firmanızı yönetirken sadece söylemden eyleme geçmeniz yetmez; ayrıca riskleri nasıl ele aldığınızda da bir model olmalısınız, bilgisayar ağınızı nasıl savunduğunuzda… ve bu bizim apaçık amacımızdı.”

Tarih Dersi

Bilişim teknolojileri konularını ele almaya 30 yıl önce başladım, güvenliğin çoğu organizasyonun görebildiği noktanın ötesinde olduğu; bugünün BT terimini, çoğu şirkettin finans bölümüne bir destek fonksiyonu şeklinde ‘bilgi işlem’ adında gördüğü bir zamanda…

1980’lerde bazı ileri görüşlü organizasyonlar, bilginin stratejik önemini fark etmeye başladılar ve bilgi işlem yönetmenlerini Bilgi İşlem Müdürlüğü adı verilen daha yüksek bir pozisyona yükselttiler. Üst yöneticiler, teşebbüslerinin BT olmadan işlev göremeyeceğini ve stratejik gayelerine ulaşamayacaklarının farkına vardılar.

Bir kuşağı hızla ileri götürdüğümüzde, kendimizi BT’nin yaptığımız her şeyle bütünleştiği bir toplumda yaşıyor bulduk.

Ancak teknoloji, güvenli olmadıkça işlev göremiyor. “Ağ ve BT fonksiyonlarının yönetimini, güvenlik fonksiyonlarından ayırmak çok zordur. Bu fonksiyonlara güvenlik fonksiyonları gömülü olmalıdır.” diyen Allen, “Organizasyon yapınızı bir araya getirmede bir çok yol vardır. Fakat yapılar aynı düzen ve net görünürlükte olmalıdır – ve üst yönetim dâhil olmalıdır.”

2010 yılında askeriyeden emekli olan Allen’in söylediğine göre, Sahil Güvenlik Komutanlığı’nda iki yıldızlı bir Amiral Siber Komutan yanında CISO ve CIO olarak da işlev vermekteymiş. “Kumandan olduğumda hislerim, ağlarımızın nasıl işletildiği ve nasıl savunulduğu ile ilgili tek bir bakışa ihtiyacımız olduğunu söylüyordu.” diyor Allen.

Bugün BT ve güvenliği bir birinden yalıtmanız mümkün değildir. Organizasyonlar geliştikçe BT ve güvenlik arasındaki ayrım bulanıklaşır, bu yüzden bunları yönetme bütünleşik bir gayret gerektirir.

Kitap Tanıtımı: Bilgi ve Bilgisayar Güvenliği, Casus Yazılımlar ve Korunma Yöntemleri

Bilgi güvenliği ile ilgili kapsamlı bir şekilde hazırlanmış bu kitabımızda bilgi güvenliği, en temel unsurları ve pratik noktaları ile akademik ciddiyette ele alınmaktadır.

Zengin görsel içerik ile desteklenen 22 bölüm ve 504 sayfadan oluşan bu kitap özellikle bilgi güvenliği ve siber güvenlik konusunda temel ve ileri düzeyde kapsamlı bir şekilde bilgilenmek isteyen herkesin beğenerek okuyacağı referans bir eserdir.

casus-yazilimlarr-ve-korunma-yontemleri_31102012131703bKitapta ele alınan başlıkların bir kısmı:

  • Dünden bugüne, tarihi ve modern şifreleme yöntemleri
  • Bilginin kapsamı ve önemi
  • Veri, bilgi, özbilgi ve hikmet: Bilgi çağının merdiveni nedir?
  • Bilgi ve bilgisayar güvenliği ve unsurları
  • Bilgi güvenliği risk yönetimi ve güvenlik süreçleri
  • Siber uzayın gelişimi
  • Bilişim korsanlığı (hacker) ve kültürü
  • Beyaz ve kara şapkalı korsanlar, betik kerataları (script kiddy), tıklama kerataları (click kiddy), (sistem) kırıcılar (cracker), web sitesi tahrifatçıları, korsanlık hareketi (hactivizm)
  • Siber terörizm (cyber-terrorism) ve siber savaş (cyberwar) ya da bilgi savaşları
  • Dünya ve Türkiye’den gerçekleşmiş önemli siber uzay olayları
  • Dünya ve Türkiye’den bilişim korsanları
  • Bilgisayar sistemlerine yapılan saldırılar ve türleri
  • Saldırı tehdit karakteristikleri ve saldırgan profili
  • Sosyal Mühendislik ve insan hatası
  • Kişisel gizlilik (mahremiyet, privacy) ve boyutları
  • Bilişim suçları (cybercrime)
  • Ülkemizde bilişim suçlarına yönelik yasal düzenlemeler
  • Kötücül yazılımlar (malware) ve bütün çeşitleri
  • Klavye dinleme sistemleri (keylogger)
  • Casus yazılımların (spyware) ortaya çıkışı ve gelişimi
  • Casus yazılımlara karşı alınabilecek önlemler
  • Casus savar yazılımları (antispyware)
  • En son kötücül ve casus yazılım vakaları
  • Casus yazılımların “müşteri” (kurban) çekme teknikleri
  • Casus yazılımların yumuşak karnı: Otomatik başlatma yöntemleri
  • Çocuk ve gençleri siber uzayda bekleyen tehlikeler ve çocuklarımızın bilgisayar ve İnternet güvenliği
  • İşyerinde verimliliğin ve güvenliğin artırılması
  • İşyerinde elektronik gözetleme

Tanıtım Broşürü

Kitap ile ilgili daha ayrıntılı bilgi veren broşürü mutlaka okuyunuz.

Broşür

Kitabı Satın Al!

Kitabı İnternet’ten sipariş vermek için tıklayınız.

Savunma Sektörü ile Bilişim Sektörü Arasında Yerli Üretim İşbirliği Paneli (2012)

ICT Summit Eurasia – Bilişim Zirvesi’12 etkinliği kapsamında düzenlenen Savunma Sektörü ile Bilişim Sektörü Arasında Yerli Üretim İşbirliği panelini yapıldı.

Savunma Sanayi Müsteşarlığı (SSM) MEBS Daire Başkanı Mete Arslan‘ın başkanlığında gerçekleştirilen panelin katılımcıları Aselsan Kripto ve Bilgi Güvenliği Müdürü Ali Yazıcı, Yazılım Sanayicileri Derneği (YASAD) Yönetim Kurulu Başkanı Doğan Ufuk Güneş, HAVELSAN Bilgi Güvenliği Koordinatörü, Bilgisayar Yüksek Mühendisi Gürol Canbek ve STM Savunma Projeleri Direktörü Murat İkinci.

Panel videosu

Soru-Cevap Kısımlarımın Dökümü

Mete Arslan:
Gürol Bey’e, iki arkadaşımızda Bilgi Güvenliği Derneği’nin üyesi olarak, Taslak Ulusal Siber Güvenlik Stratejisi Belgesini hazırladınız… Orada pek çok önerileriniz var… Bu öneriler içinde kamuyu da temsil eden birisi olarak, kamunun bu iki sektörü bir araya getirme konusundaki gayretleri, teşvikleri ne olabilir? Bir de standartlar önemli, bu bilgi güvenliği standartlarını da göz önüne alarak bize neler tavsiye edebilirsiniz?

Gürol Canbek:

Değindiğim konular:

  • Ulusal Siber Güvenlik Stratejisi
  • Kritik Alt Yapıların Stratejik Önemi
  • Ulusal Siber Güvenlik Stratejisi Çalıştayı
  • Özel Sektörün Teşvik Talebi
  • Gerçekleştirilen Siber Güvenlik Çalışmaları
  • Bilişim (Yazılım) ve Savunma Sektörü İş Birliği Seçenekleri

Mete Arslan:
Gürol Bey, sizin (firmanızın), üniversite, sanayi ve bilişim firmaları ile işbirliğiniz, yaratmaya çalıştığınız eko sistem, bu çerçevede hem yazılım firmalarına hem üniversitelere önerileriniz ne? Siz neler yapıyorsunuz?

Gürol Canbek:

Değindiğim konular:

  • Milli Olmayan Güvenlik Sistemlerinin Neden Olduğu Bağımlılık ve Yanı Sıra Oluşturduğu Uyuşukluk
  • İş Eko Sistemi
  • Yıkıcı Değil Yapıcı Rekabet
  • Sanayi ve Üniversite İşbirliği

BilisimZirvesiPaneli-GCANBEK-2012-Benim

Sonuç olarak özellikle siber güvenlik kapsamında da baktığımız zaman; (durumumuzu) bir denklem olarak düşünürsek, eşitliğin aynı tarafındayız. Burada biri birimizi eksiktecek yönde değil de; biri birimizi artıracak yönde hareket etmemiz gerektiğini düşünüyorum. Ve bu (işbirliği) kapsamında yapılacak her girişimin buna yardım sağlayacağını düşünüyorum.

Derin Paket Teftişi (DPT)

Bilgisayar ağı paketlerinin başlık ve yük kısımları dâhil tamamının çözümlenmesi ve paket ile ilgili uygulamanın belirlenmesi için birden çok paketin çaprazlama bilgilerinin ilintilendirilmesi olarak tanımlanabilecek Derin Paket Teftişi (İngilizce karşılığı ile Deep Packet Inspection) ile ilgili yaptığım özgün bir araştırmanın kısmi sunumuna aşağıdan erişebilirsiniz.

Sunumda, Derin Paket Teftişi (DPT);

  • Nedir?
  • Neye benzetilebilir?
  • Ağ görünürlüğünü nasıl artırır?
  • Menfi ya da müspet ne maksatla kullanılabilir?
  • Uygulanabilecek iş kolları nelerdir?
  • Ağ koklayıcı ve içerik süzmeden farkı nedir?
  • Artan protokoller ve uygulamaların etkisi nedir?
  • Nasıl gerçekleştirilebilir?
  • Başa çıkılması gereken noktalar nelerdir?,
  • DPT milli bir gereksinim midir?

sorularına cevap teşkil edecek açıklamalar bulabilirsiniz.

Yazılımda Bir Mükerrer “goto” İfadesi Nelere Sebep Olabilir?

Google, Android Güvenlik Takımı tarafından geliştirilen ve adını “Şubat 2014’de iOS ve Mac OS işletim sistemlerinde ortaya çıkan ve belirli koşullar altında bir saldırganın şifrelenmiş bağlantının arasına girerek tüm trafiği okuyabildiği korunmasızlığa” [1] [2] nispet edercesine ‘nogotofail‘ (yani, ‘go to’ hatasına hayır) olarak adlandırılan, açık kaynak kodlu araç ile “kullanılan cihaz ve uygulamaların bilinen TLS/SSL korunmasızlıklara ve hatalı yapılandırmalara karşı emniyette olup olmadığını kolay bir şekilde anlamanızın sağlanacağı” belirtilmektedir [3].

Google tarafından yapılan açıklamada; “Android, iOS, Linux, Windows, Chrome OS ve OS X işletim sistemlerinde çalışabilen nogotofail‘de, ayarlamaları yapılandırmanızı ve Android ve Linux’ten bildirimler almanızı sağlayacak kullanımı kolay bir istemci bulunduğu ve ayrıca saldırı motoronun kendisinin bir yönlendirici (router), VPN sunucu veya vekil (proxy) olarak konuşlandırılabildiği” ifade edilmektedir.

Aracın, açık kaynak kodu ve diğer malzemelere GitHub’dan erişilebiliniyor [5].


1. Goto Fail, https://www.cs.columbia.edu/~smb/blog/2014-02/2014-02-23.html
2. CVE-2014-1266, Korunmasılık Özeti, http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1266
3. Introducing nogotofail—a network traffic security testing tool, http://googleonlinesecurity.blogspot.com.tr/2014/11/introducing-nogotofaila-network-traffic.html

4. google/nogotofail, https://github.com/google/nogotofail

Siber Guvenlik Konu Basliklari

Bilgisayar Ağlarından Yazılıma: Bütüncül Siber Güvenlik Yaklaşımı

⇒ A Holistic Cyber Security Approach: from Computer Networks to Software¹


Adli Bilişim ve Güvenlik Sempozyum’u kapsamında sunduğum çalışmada siber güvenlikte iki ana odak noktası arasındaki farklar ortaya konulmaktadır: bilgisayar ağları ve yazılım veya uygulama güvenliği.

Tehditler uygulama katmanına yönelirken; savunma, genellikle bağlantı, internet ve nakliye katmanlarına doğru yoğunlaşır gözükmektedir. Bu çalışma, en son istatistiklerle doğrulanan söz konusu dengesizliğe işaret etmektedir: dünya çapında etkiye sahip olan son siber saldırılar ve hatta son zamanlarda Türkiye’deki gibi bilgi ve siber güvenlik literatüründe ve konferanslarında kapsanan konularda bu dengesizlik ortaya konulmaya çalışılmıştır.

Elazığ’da gerçekleşen 1. Uluslararası Adli Bilişim ve Güvenlik Sempozyumu‘nda yaptığım bildiriye ait yayınlanan makaleye aşağıdaki bağlantıdan erişebilirsiniz.

Sunum:

Siber Güvenlik Konu Başlıkları1 This study presents the differences of two main focus points on cyber security: computer networks and software or application security. While the threats are heading towards the application layer, the defense seems to mainly concentrate on link, internet and transportation layers. This study addresses the imbalance that is confirmed with the latest statistics: latest cyber attacks having worldwide impact, and even in the topics covered in information and cyber security literature and conferences like the ones in Turkey lately.

Okumaya devam et “Bilgisayar Ağlarından Yazılıma: Bütüncül Siber Güvenlik Yaklaşımı”