1.                                                

Bilişim Uzmanları ile Röportaj Serisi 1 - Mehmet Dursun İnce

'Hack Haberleri' forumunda Hattab tarafından 20 Haziran 2016 tarihinde açılan konu

  1. Hattab

    Hattab New Member

    Katılım:
    22 Ekim 2015
    Mesaj:
    550
    Beğeniler:
    4
    Ödül Puanları:
    0

    Bilişim Uzmanları ile Röportaj Serisi ilk bölümünde web uygulama güvenliği alanında yaptığı çalışmalarla bilgisini kanıtlamış Mehmet Dursun İnce’yi ağırladık.

    [​IMG]

    Kendisi ile yaptığımız röportajın detaylarına aşağıdan erişebilirsiniz. Ayrıca kendisinin blogunu https://www.mehmetince.net/ adresinden inceleyebilir, dilerseniz https://twitter.com/mdisec hesabını da takip edebilirsiniz.

    1. Kısaca kendinizden bahseder misiniz?

    İş hayatına INVICTUS / PRODAFT firmasında Senior Penetration Tester olarak devam ederken bir yandan da siber güvenlik alanında çalışmalarıma 2004 yılından beri devam etmekteyim. Özellikle, açık kaynak kodlu uygulamalar üzerinde güvenlik araştırmaları yapıyorum. Ayrıca birçok açık kaynak kodlu projede yazılım geliştirici/güvenlik danışmanı olarak bulundum. Bugüne kadar tespit ettiğim 150’den fazla güvenlik açığını halka açık siteler üzerinden yayınladım.

    2. Web uygulama güvenliği işine nasıl giriş yaptınız?

    Aslında siber güvenlik alanına giriş yapmam biraz ilginç bir hikâye. Bende her çocuk gibi bilgisayar oyunlarına tutkulu birisiydim. Okul işlerine sadece yeterli olacak kadar zaman ayırıp, kalan tüm vaktimi bilgisayar başında geçirmekteydim. Bu durum babam tarafından fark edilmiş olsa ki, bana bir gün geldi ve şunu dedi. "Bana bir web sitesi yapar mısın? Fotoğraf vs. yayınlarım". Kendisi doğa fotoğrafçısı olduğu için isteğide gayet mantıklıydı. Bende oturdum başladım araştırmaya.

    Yıl 2004, internette ki kaynakların ne kadar az olduğunu tahmin edebilirsiniz. Nasıl buldum, ettim bilemiyorum ama Windows Front-page 95 diye bir uygulama ile HTML bir site yaptım. Hatırımda kalan bir diğer olay ise, sayfanın ortasına bir yazı yazmak için, ortaya gelene kadar space tuşuna basıyordum. Durum o denli vahimdi benim için. Gittik hosting aldık, siteyi Windows Front-Page’in FTP ara yüzünden yükledik. Yayına başladık.

    5 gün sonra siteye girdiğimde, siyah bir arka fon. Ortada garip garip yazılar. Başta anlam veremedim. Web sitemiz saldırganlar tarafından ele geçirilmişti. İşte benim siber güvenlik ile tanışmamda böyle oldu.

    Aklım almıyordu? Nasıl olabilir ki diye soruyordum kendime. Meğer Front-page’in FTP arayüzü mevcut FTP parolasını şifreleyip sunucuya basit bir dosya isminde yüklüyormuş. Durumu öğrendikten sonra, tüm vaktimi bu konu üzerine harcamaya başlamıştım. Kimden nasıl duydum bilemiyorum ama 11 Kasım 2005 yılında bir şekilde Cyber-Warrior forumuna üye oldum. Kefalet sistemi vardı. Benim üyelik başvuruma kim kefil olduysa, çok büyük bir iyilik yapmış oldu bana.

    Tüm vaktimi bu konu üzerine vermeye başlamıştım. milw0rm’da yayınlanan zafiyetleri analiz ediyor, zafiyetin olduğu yere bakmadan kendim aynı zafiyeti bulmaya çalışıyordum. Hem Türkçe kaynak sıkıntısı, hem de İngilizceyi devlet okulunda öğretilen kadar bildiğim için her şey çok yavaş ilerliyordu. Bir dönem PHP programlama dilini hiç bilmeden, Joomla’nın tüm kaynak kodlarını tek tek okuduğumu hatırlıyorum. Hiçbir anlam ifade etmiyordu, ama nedense genelde okuyordum. Aradan 6-7 ay geçtikten sonra o okuduğum yüz binlerce satırdan aslında ne kadar çok şey öğrendiğimi fark ettim. Çünkü ilk zafiyetimi 2006-07-27 tarihinde bulmuştum. ( https://www.exploit-db.com/exploits/2081/ ) Bir yandan da irc.milw0rm.com kanalında insanlar ile konuşmaya çalışıyordum. Bir gün mesaj geldi, selam? , yazıyordu birisi. Konuştuk, muhabbet ettik. Şu anda ne mailini nede ismini maalesef hatırlayamadığım o kişi, kalkıp yaşadığım şehire beni ziyarete geldi. Gelirken de hediye olarak "Herkes için PHP" isimli Türkçe bir kitap getirmişti. 2-3 saat muhabbet ettik. Bir daha da hiç görüşemedik. Hakkını helal etsin, o kitap ve motivasyon beni çok ileriye götürdü.

    Güvenlik alanına başlangıcım bu şekilde oldu. Üniversite yıllarımda bu işi güvenlik danışmanlığı / penetration tester gibi konseptler altında yapmaya karar verdim. Bugün dönüp baktığımda, göz açıp kapayana kadar geçmiş tam 11 yıl var.

    3. Bu alanda uzmanlaşmak isteyenlere önerileriniz nelerdir?

    İngilizce. Linux. Programlama dili.

    Bu üçü olmaz ise olmazlar arasında. Benim için herhangi bir programlama dili bilmeyen, kendi istediği bir aracı geliştiremeyen insanın işi çok zordur. Yurt dışı örneklerine bakın, benim gözlemlerim hep bu noktaya çıkan durumlar oldu. Bildiğiniz gibi siber güvenlik kendi içerisinde birçok alanı barındırır. Ama "penetration tester" olmak istiyorsanız, bu 3’lü çok önemli. Diğer disiplinler için konuşmak benim haddime değil.

    4. Türkiye’de web uygulama güvenliği konusunu değerlendirir misiniz?

    Türkiye’de ki hackerlar web hacking konusunda gerçekten iyi. Bunu kimse inkâr etmemeli bence. Ama hala kendi sınırları içerisinde kalıyorlar. Mesela, bir olay müdahile çalışmasında şu saldırı adımlarını tespit ettik; saldırgan bulunması son derece zor bir SQLi bulunmuş, INTO OUTFILE tekniği ile backdoor yerleştirmiş, sunucu ile arasında reverse shell iletişimi kurmuş, 0-day bir local root zafiyetini kullanarak root hakları elde edilmiş. Bu yazıyı okuyan herkes "ee kolaymış.." diyebilir. Lakin daha ileriye gidebilecek çok nokta varken, saldırı burada son bulmuş. Biz kontrol testlerinde, o noktadan sonra hosting firmasına çok ciddi zararlar verebilecek bazı konfigürasyon hataları tespit etmiştik. Yani demek istediğim şu ki, büyük bir kesim konuya sadece "web hacking" olarak bakıyor. Oysaki siber güvenlikte ayrım yapmak mümkün değildir. İşin her alanına hâkim olmak gerekir.

    Bu durum hem siyah hem beyaz taraf için aynı. Bunu gösterebilmek için DKHOCTF adıyla düzenlediğimiz yarışmayı araç olarak kullandığımı itiraf edebilirim. Tüm kategoriler arasında en az çözülen soru grubu Web kategorisiydi. Yarışma boyunca herkes çok şikâyet etti. Aslında soruları zor yapan, soruların bilinen yöntemlerden farklı olmasıydı. Bugüne kadar alışıla gelmiş "hacking" tekniklerini ölçmüyordu sorular. SQLi sorsaydık, katılımcıların %99’u çözebilirdi. Onun yerine, Single-sing-on mekanizmalarında ki problemleri öğretmek amacıyla başka bir soru hazırladık. Sonuçlara baktığımızda görüyorum ki, web güvenliği alanına meraklı çok! İnsanımız var. Tek ihtiyaçları doğru bir yönlendirme.

    5. Sizce 2016-2017 yılında web uygulama güvenliği nereye doğru gidiyor olacak?

    Güvenlik, her zaman araştırılmamış niş alanlara doğru ilerleyiş gösterir.

    Örneğin; daha önceleri hiç kimse SSRF diye bir zafiyet tipi yoktu. Birileri çıktı, web uygulamalarının external resource’lara erişim sağlamak için kullandığı yapıları analiz etti. Problemleri fark etti ve böylece yeni bir zafiyet tipimiz oldu.

    Öte yandan, yıllardır var olan ve herkes tarafından bilinen XML yapısı var. Web kütüphaneleri bu yapıları parse ederken neler olabilir? sorusu şunun şurasında 2-3 yıl önce soruldu. Sonuç olarak XXE zafiyetlerini görür olduk.

    Şu anda en çok üzerine çalışılan alanlardan bir tanesi Sandbox Bypass. AngularJS vb. client-site kütüphanelerin koruma mekanizmalarını aşmaya yönelik çalışmalar var. Bence en çok emek gene client-side teknolojilerin güvenlik çalışmalarına veriliyor olacak. En nihayetinde kullanıcıları sizin uygulamanıza getiren yapı; internet tarayıcılarıdır.

    6. Web uygulama güvenliğinde uzmanlaşmak isteyenlere önerdiğiniz kitaplar var mıdır?

    Web Application Hacker’s Handbook. Benim web güvenliği ile ilgili yararını gördüğüm tek kitap bu olmuştur. Daha çok programlama dilleri ile ilgili kitaplara göz gezdirmekteyim. "Yarın bir gün karşıma, o teknolojiyi kullanan uygulamalar gelir. Detaylı güvenlik testlerini yapmak için hazır olmalıyım" derim hep. Her zamanda haklı çıkmışımdır.

    7. En sık kullandığınız ve sevdiğiniz yazılım hangisidir?

    Firefox, Burp Suite ve PyCharm( Python IDE). Aslında çoğu zaman network testleri de gerçekleştiriyorum. Bu yüzden birçok araç/yazılım var beni mutlu eden.

    Mehmet Dursun İnce’ye bizi kırmayıp sorularımızı cevapladığı için teşekkür ederiz.
    CW
     
  2. Hattab

    Hattab New Member

    Katılım:
    22 Ekim 2015
    Mesaj:
    550
    Beğeniler:
    4
    Ödül Puanları:
    0
    İşte size Hacker 11 yıl.....
     
  3. DUMBAS

    DUMBAS Yarbay

    Katılım:
    12 Ocak 2016
    Mesaj:
    181
    Beğeniler:
    0
    Ödül Puanları:
    16
    Şehir:
    Belirtilmemiş
    Bizim yaz hekirlari okusun bunları
     
  4. dp.yhs.SAS

    dp.yhs.SAS Member

    Katılım:
    8 Nisan 2016
    Mesaj:
    122
    Beğeniler:
    3
    Ödül Puanları:
    18
    elinize emeğinize sağlık çok başarılı bir çalışma takdire şayen..
     
  5. Al-Farabi

    Al-Farabi Albay

    Katılım:
    16 Ocak 2016
    Mesaj:
    1,380
    Beğeniler:
    164
    Ödül Puanları:
    63
    Benzer konular beklemekteyim.Elinize Emeğinize Sağlık
     
  6. tababa86

    tababa86 Albay

    Katılım:
    12 Mart 2016
    Mesaj:
    977
    Beğeniler:
    167
    Ödül Puanları:
    43
    Cinsiyet:
    Erkek
    Şehir:
    Kore
    php,sunucular ve veritabanları konusunda uzmanlaşmış belli oluyor.
     
  7. Hattab

    Hattab New Member

    Katılım:
    22 Ekim 2015
    Mesaj:
    550
    Beğeniler:
    4
    Ödül Puanları:
    0
    Çalışma Cyber Warrior Ailesine Ait Allah onlardan razı olsun.

    Mehmet Dursun abiyi bir seminerde konuşurken hatırlıyorum orada onu Hacker olarak çağırdıklarında o "Ben hacker değilim sadece 8 yılımı falan PHP'ye verdim" dediyerek Hackerlığı reddetti. Bana sorarsan gerçek bir Etik Hacker.
     
  8. tababa86

    tababa86 Albay

    Katılım:
    12 Mart 2016
    Mesaj:
    977
    Beğeniler:
    167
    Ödül Puanları:
    43
    Cinsiyet:
    Erkek
    Şehir:
    Kore
    su kısma açıklık getiriyim penetrasyon testlerinde beklenti olabilecek saldırıları tespit etmektir.mesela adam metasploit ile nexpose birlikte iyi kullanırsa çogu saldırıyı ögrenmiş açıkları görmüş olur.pentestcilerde aranan özellik kod geliştirmesi degil güvenlik açıklarını bulup raporlaması yani kendi geliştirdiiği veya daha çok piyasadaki araclarla tarama yapıp olabilecek saldırıları tespit etmektir.Fakat zaafiyet tarama ve bu zaafiyetler için kod geliştirme işi pentest ten uzun surer yani pentestçinin iyi bir programlamacı olması aranan şart degil belli düzeyde sistemler hakkında bilgi sahibi olması ve hızlı çözün üretmesi gerekir.Kodla uğraşırsa zaman alacağı için kurumlar için iyi degildir.Sadece açıkları bulur sisteme girer orada bırakır rapor verir kuruma bu yuzden kısıtlı zaman oluyor.Zaafiyet arama da ise kişiden iyi bir programcı olması sürekli kod geliştirmesi isteniyor...yani mehmet bey daha çok vulnerability assesment daha çok yaklaşıyor.Bu da onu etik hacker yapar...zaafiyet tarama ve kod geliştime yapan bulan kişi aynı zamanda iyi bir pentestci de olmaya adaydır...
     

Bu Sayfayı Paylaş

Share