INAX
Merhaba,
gereksiz bilgi diye birsey yoktur. Bugün hermen hemen her programcinin bir karakter dizisi tanimladigi bir String tipli degiskeni tanimlar ama kontrol etmez. Yani bir karakter dizisinin nerede baslayip nerede bitecegini kontrol etmez demek istedim. Ve bunu siz bir standart programciya sordugunuzda alacaginiz yanit manidardir. Sizi bunu anlamamakla bile degerlendirebilir ve gereksiz der. Ancak yine ne manidar ki günümüzün en tehlikeli ataklarindan biriside yine Exploit'tir. Ve exploitler genel anlamiyla bu gereksiz gibi görünen karakter dizilerine genellikle saklanir. Iste bu gereksiz gibi görünen bir bilgi bir firmanin, calisanlarinin ya da yazilimcinin sonunu getirir ya da getirmistir.
Kendinizi gereksiz bir bilgi dediginiz yerde buldugunuzda asla sasirmayin ve bunu gereksiz degerlendirmeyin lütfen. Her bilgi önemlidir. Neredeyse bu gereksiz bilgi olarak tabir edilen yerden basliyor hersey. Hatta bu gereksiz gibi gözüken ya da önemsenmeyen yerlerden baslayarak güvenlik aciklari degerlendirilip saldirilar yapiliyor.
Calisma düzeni olarak tavsiye isterseniz. Ingilizce mutlaka sart. Ayrica siber güvenligin sadece yüzeysel olarak anlatildigi kitaplari degil ileri düzey olanlarina yönelmenizi tavsiye ederim. Bu isin icerisinde yazilimciysaniz sorun yok ama degilseniz mutlaka bu ise biraz bulasmaniz gerekmektedir ya da ekip arkadasinizin yazilimci olmasi size büyük destek saglayacaktir.
Yüzeysel olarak, yani cok fazla bu isin derinine inmeden bazi siteleri takip edebilirsiniz. Örnek olarak bugcrowd, hackerone gibi sitelerdeki bulunan aciklari takip edebilirsiniz. Bu eko sisteminin genel adi BugBounty programlaridir. Neredeyse her önemli firmanin BugBounty programi mevcuttur. Tabii ki bazilari kati sartlariyla. Örnek olarak Microsoft'un BugBounty programina katilmak icin kesin ve kati olarak bu konudaki sartlarini yerine getirmelisiniz. Mesela bir isyerinde calisiyorsaniz mutlaka bunu bildirmeniz gerekmektedir gibi bir yazisini hatirliyorum. Ve dahasi..
Ayrica buradaki ya da buradaki baska bir sitede yine örnekli ve aciklamalariyla ciddiye alinacak bilgileri bulabilirsiniz. Tedbir almaniz gereken aciklarin yayinlandigi bir yer.
Diger yandan bu ise karsi cok ciddi anlamda karsi koyan ve son derece basarili, güclü ve stabil olarak ilerleyen NIST, NCCoE framework ve karsi tekniklerini izlemeniz gerekmekstedir. Yayinlarin tümü ingilizcedir ve cok ciddi sekilde ya da ciddiye almaniz gereken bilgiler yer almaktadir.
Örnek döküman olarak "Cryptographic Algorithms and Key Sizes for Personal Identity Verification" bilgilerinin bulundugu pdf dökümani da buradadir. Okduduktan sonra ne demek istedigimi anlayacaksinizdir. Ayrica buradaki cizelgeler ile de genel bilgi sahibi olabilirsiniz.
Diger bir güclü secenek ise BSI'dir. Acilimi "Bundesamt für Sicherheit in der Informationstechnik" 'tir. Genel olarak almanca ve ingilizce yayinlari vardir. Onuda buradan takip edebilirsiniz.
Farkli olarak buradaki siteyede bakabilirsiniz.
Ayrica IETF'in RFC dökümanlarini günlük gazete okur gibi okuyup üzerinde calistiginiz seyin ne oldugunu ve tabanini ögrenmeniz gerekmektedir. Örnek bir döküman var burda mesela demek istedigim.
Ayrica yine formumuzun buradaki makalesinde teknik olarak genel bilgileri vermeye calistim bildigim kadariyla.
Yok eger bir güvenlik acigi bulma ve büyük paralar kazanma konusunda ilerlemek istiyorsaniz o zaman bilindigi gibi neredeyse tek adres burasidir.
Ve tabii ki dünyaya yön veren bilgilerin onaylandigi ayrica onaylandiktan sonra cok dikkat edilmesi gereken ve üzerinde durulup ardindan hemen tedbirlerin getirilmesi mecbur olunan bilgiler mevcuttur. Buradaki sitede eger bir güvenlik aciginin yayinlandigi ve halka acik sekilde verilmesi halinde hemen takip edilip ona göre tedbir alinmasi sarttir diye sahsi fikrimi de söylemek istiyorum.
Daha bircok konular, siteler ve bilgiler eklenebilir. Ama en azindan giris asamasi icin saniyorum yeterli olur.
Saygilarimla
