bu işten çok anlamadığım için olsa gerek çok aklım almıyor bunu.
günlük olarak muhatap olduğum en teknolojik alet 60 bin küsur çekirdekli, 3 petabyte diskli, 600 gpu'lu, 150 m² taban alanı kaplayan bir süperbilgisayar.
www.idris.fr
koca koca firmalar, içlerinde onlarca yazılımcı, neyi yanlış yapıyorlar da dışarıdan gelen biri databasedeki kullanıcılara ulaşabiliyor?
bu kadar kolay mı yani bu işler?
yalan dolan. inandınız mı? kendileri satıp kendileri cebe indiriyorlar işte.
Ben de yalan olduğunu düşünüyorum. Türkiye'de en büyük sorun en üstten en alta kadar denetimsizlik. Bir tane savcı şunların tepesine çökse, 100 milyon lira ceza ödeseler bir daha böyle bir olay duymazsınız.
twitter.com
burada siber güvenlik işinde çalışan arkadaşlar var, onlar daha iyi bilir durumu ama cidden de kimsenin umursamadığı bir konu. göstermelik önlemler, sızma testleri yetiyor gibi geliyor. sıradan bir şirketsen yeter ama bu kadar çok kullanıcıya ve dataya sahipsen direkt senin üzerine oynarlar; ona göre önlem alman lazım. almıyorlar çünkü yaptırım yok. kvkk'yı gdpr seviyesine çekip cezaları uygulamaya başlarsan o zaman ciddiye alırlar.
hiçbir zaman kesin koruma var denemez tabii, sen her türlü önlemi alsan bile hackerler onu aşmaya çalışır. karşılıklı bir satranç gibi, sen hamle yaparsın onlar karşı hamle yapar. ama bu kadar kolay olmaması için doğru düzgün hamleler yapılması lazım.
Onlarca yazilimci kod yaziyor, bilgileri sakliyorlar. Baska onlarca yazilimci da o saklanan bilgileri bulmaya calisiyor, mevzu bilgisayarlar ortaya ciktigindan beri boyle.
Database'in superbilgisayarda olmasiyla hacklenememesi arasinda bir iliski yok, biri hardware biri software.
Bir de birsey daha ekliyim, hardwareler konsolosluklar kadar iyi korunuyor diyebilirim. Isim dolayisiyla arada bir bu tarz binalara girmem gerekiyor, haftalar oncesinden izin aliyoruz, binanin icinde surekli takip ediyorlar, parmak iziyle giriyorsun, girerken ve cikarken tartiyorlar, vs.
Senelerdir teknoloji sirketlerinde calisiyorum guvenlik falan yok olm :) yani var da yok. Sonucta icerde yuzlerce adama acik bu veriler.
Heklemeye falan gerek yok yani.
Biri verinizi almak istese karsilasacagi en buyuk sorun excelin 1 milyon satir almasi olur. Excel coker alirken.
Zaten kimsenin de umrunda degil.
Yani hem calmak hem de guvenligi umrunda degil.
Yani ben datani calsam isime yaramaz umursamiyorum, herkes de boyle.
Datani cok iyi korusam bana bir kari yok. Cok iyi korudun diye kimse para vermiyor.
Bunun sonucunda koskoca twitter bile admin sifresini 123456 yapiyor.
işte ben de bu bahsettiğim süperbilgisayarda hesap açtırmak için bağlı olduğum enstitü aracılığıyla 4-5 tane form doldurdum. bu bilgisayara bağlanacağım local cluster'ın ip adresinden pasaport bilgilerime, anamın babamın ismine kadar bütün seceremi döktüm. şaka değil, oturum kartımın numarasına kadar hepsini istediler.
gerçi içeriden yapılmıştır diyenlere de hak veriyorum. bizim gruptaki bütün bilgisayarların admin şifreleri aynı ve dışarıdan deneyen birinin tahmin edebileceği kadar kolay. duyuru2021 tarzı bir şeyler.
ssh harici neyle baglanmayi planliyosun abi?
lokal bilgisayari patlatsalar bile brute force harici neyle erisim saglayabilirler ki? public key falan da kabul etmiyor. 10 haneli bir sifre harici herhangi bir erisim sanslari yok.
Heh iste olay bu iste.
Baglanmayacaksin zaten, baglandigin anda guvenligi delmis oluyorsun.
Sana nasil guvenecek mesela?
Kapiya retina + parmak izi ile giris yanlara demir parmaklik koyup sonra ssh ya da vpn izni veriyorsun. Adam evden cart diye giriyor.
Gecmis olsun.
Mesela ben bir projede calismistim it muduru deliydi biraz.
Canli makineye giris yetkisi olan it'ci yoktu.
Kodu yazip teslim ediyorsun sonrasi yok.
Bu adamdan gel de veri cal.
Adam makineye internete bile baglamiyor :)
Ya normalde yazılım ekibi ile güvenlik ekibi ayrı olur, normal yazılımcının o kadar güvenlik bilmesi zor, o yüzden o işi bilen ayrı bir ekip kurman lazım.
Ama orada da şöyle bir sıkıntı var, güvenlikçinin yetenekli olanı senin vereceğin 3 kuruş maaşla ilgilenmez, onun yerine hack'leyip o bilgileri satar, daha kârlı bir iş. Yine bu "sızma testi" yapan üçüncü parti şirketler için de aynısı geçerli, orada da normal adam çalışıyor, onun bulabileceği şeyler de sınırlı.
O yüzden bounty programları yapıyorlar dünyada. Eleman bir açık olduğunda olayı böyle medyaya duyurmak yerine gelip sana söylüyor, sen de parasını verip açığı öğrenip kapatıyorsun. Normal işleyiş bu. Ama TR'de bu işi yapan hiçbir firma yok bildiğim kadarıyla. Dümdüz vizyonsuzluk.
Geçen sene ben böyle bi açık bulup firmaya mail atmıştım, baya da sağlam bir altyapı firması, "eyvallah cnm" diye cevap attılar. Kötü niyetli birisi olsam oradaki bilgileri satmak benim için daha kârlı yani, niye uğraşayım haber vermekle.
Bir de tabi cezasızlık var, adamlara geçen seferki hack yüzünden 2 milyon lira ceza kesmişler. 1 günlük kârı bile değil muhtemelen. E millet de tepki göstermiyor, uygulamayı kullanmayı bırakan yok bu sebepten vs. niye uğraşsınlar yani.
Mevcut şirketimde kurduğum yapı da şöyle: hiçbir developer'ın (ben hariç) canlı makinelere erişimi yok. Log lazımsa başka yerden bakıyorlar, deploy yapılacaksa başka makine yapıyor, sen kendin yapamıyorsun. Tek bir gateway hariç hiçbir makinenin (database'in vs.) internete erişimi de yok. Gateway'de de whitelist var, yani yapabileceğin işlemler belli, onların haricinde hiçbir şey yapamıyorsun. Bütün şifreler tek kullanımlık veya süreli vs.
Buna rağmen yarın hack'lensek şaşırmam yani, kesin bir yerde bi açık vardır.
siber güvenlik üzerine çalışıyorum.
evet bu kadar kolay. özellikle yazılımcılarımızın güvenlik farkındalığı olmadığı için yazdıkları kodlar açıklarla dolu. güvenlik ekiplerinde de az çok iş bilen herkes ya yurtdışına gidiyor ya da yüksek paralara danışmanlık şirketlerinde çalışıyorlar, bu tarz firmalarda turnover çok yüksek olur. + olarak güvenlik zaten çok zor bir dal, hem para harcamak lazım hem enerji, hem de gündemi takip etmek lazım. zor iş yani genel olarak.
canlı makinalara erişimin olmasına gerek yok. bir tane formda ufak bir injection açığı olur oradan bile içeri girebilirsin. ya da içeriye bir oltalama maili atıp, içindeki zararlı dosya ile içeriden dışarıya tünel açılmasını sağlayabilirsin vs vs. ya da adamların kullandığı cihazların yazılım versiyonlarını vs bulabilirsen sırf o v için yazılmış açıkları tespit edebilirsin, vs vs. yani çoook fazla yöntem var.
Ssh mesajini ben silmedim bu arada.
Bosa dusmus aradaki diyalog.
Ssh dandik falan demsitim