8 Nisan 2016 Cuma

Siber Güvenlik Etkinliklerine Başvuru Tecrübelerim

Yaklaşık bir sene önce yaptığım özgün çalışmalarla Türkiye’deki siber güvenlik etkinliklerine istisnasız sunum önerisi gönderme kararı aldım. Bu kararı aldığımda amacım böyle bir yazı yazmak değildi. Ancak işleyişin benim ve konuştuğum birçok kişinin düşündüğünden daha farklı olduğunu fark ettiğimden olaya şeffaflık getirmek adına kendi tecrübelerimi paylaşmak istedim. Yazdıklarım tamamen benim tecrübe ettiğim olaylar olup aynı süreçler başkaları için farklı şekilde sonuçlanmış olabilir.


İlk olarak en yakın tarihteki Cypsec 2015’e şu başvuruyu gönderdim.

Ulusal Siber Güvenlikte Kitle Saldırıları
“Uluslararası siber savaşlarda kullanılacak en önemli bileşenlerden biri de son kullanıcıların internet bağlantıları için kullandıkları soho modemlerdir. Bu sistemler genellikle aynı özellikleri taşıdığından tespit edilecek bir açıklık tüm ülkeyi etkileyecektir. Sunum süresince böyle bir kitle saldırısının nasıl gerçekleştirileceği, ev kullanıcılarının modemlerini hedef alan bir ar-ge çalışmasının adımları ve sonuçları üzerinden ele alınacaktır.

Çalışmanın içeriğindeki ana başlıklar, belli özelliklerdeki hedeflerin belirlenmesi, etkili bir zafiyetin bulunması, gömülü sistemler (MIPS) gibi farklı zorlukları olan platformlar için istismar kodunun yazılması, toplu istismarı gerçekleştirecek betiklerin yazılması, büyük ölçekli taramalar için performans optimizasyonlarının yapılması olarak sayılabilir.”


Bu başvuru kabul edildi fakat sunum günü sektörden tanınan bir ismin de sunumun en azından bir bölümünde konuşması koşuluyla kabul edilmiş olduğunu öğrendim. (Bu konuda daha önceden bilgilendirme yapılmış ancak bana ulaşmadı.) Yaklaşık bir yıl boyunca mesai saatleri dışında kendi vaktimden ayırarak yaptığım bu çalışmanın kendisinden çok sunumu yapacak isme önem verildiğini görmüş oldum. Bu durumdan daha önceden haberim olsaydı sunumu yapmazdım ancak son anda etkinliğin akışını bozmamak için sunumu gerçekleştirdik.


Daha sonra Hacktrick 2015’e de hemen hemen aynı içeriğe sahip aşağıdaki başvuruyu gönderdim.

Hacking The Gateway
“Toplu siber saldırılarda kritik etkisi olabilecek en önemli hedeflerden birisi de son kullanıcıların internet bağlantıları için kullandıkları soho modemlerdir. Bu sistemler genellikle aynı özellikleri taşıdığından tespit edilen bir açıklık çok sayıda kullanıcıyı doğrudan etkilemektedir. Internetten doğrudan erişilebilen bu cihazlar belli ülke ve bölgelere karşı etkili kitle saldırıları düzenlemeye imkan verebilir. Sunum süresince böyle bir kitle saldırısının nasıl gerçekleştirileceği, ev kullanıcılarının modemlerini hedef alan bir ar-ge çalışmasının adımları ve sonuçları üzerinden ele alınacaktır.”

Bu başvuru kabul edildi, bir tek sunum adında değişiklik yapmam istendi (Başka bir başvurunun ismiyle çok benzediği için değişiklik talep edildiği bilgisi geldi.), kabul gören ismi “Hacking The Gateway” oldu. Değerlendirme kriterleriyle ilgi bir bilgim yok, başvurusu reddedilenlere hangi kriterlere göre reddedildikleri hakkında bilgi verdiklerini umuyorum.


2015 Sonbaharında IstSec 2015’e başvurdum. Başvuru şu şekildeydi.

Ters Kod Mühendisliğinde Modern Yaklaşımlar
“Eskinin zararlı yazılımları, hacking araçları, güvenlik zafiyetleri günümüzde devlet destekli casus yazılımlara, siber silah statüsündeki istismar kodlarına, donanım yazılımı zafiyetlerine evrilmiş durumdadır. Siber güvenlik camiasında bu tür yeni nesil tehditlerin gelişimleri yakından takip edilirken gerek geliştirilmelerinde gerekse analizlerinde kullanılan en temel yöntem olan ters kod mühendisliğindeki gelişmeler göz ardı edilmektedir. Halbuki yeni nesil zararlıların ve siber silahların iç yapısını anlayabilmek için ters kod mühendisliğinin evrimini ve modern yöntemlerini anlamak gerekir. Bu bağlamda sunum boyunca binary instrumentation, taint analysis, concolic execution, SMT solvers kavramları örneklerle açıklanıp, modern uygulamaları gösterilecektir.”

Etkinlik sayfasında belirtilen formatta ve belirtilen adrese, kurumsal mail ile yaptığım bu başvuruya hiçbir şekilde geri dönüş olmadı. Daha sonra sunum yapanların da sunum önerisi göndererek etkinlikte yer almadığını, konuşmacıların davet usulü seçildiğini öğrendim. IstSec ekibi tabii ki konuşmacıları istediği şekilde seçmekte özgürdür ancak sunum çağrısı açıp bunları değerlendirmeyerek başvuranların vakitlerini boşa harcamak yerine bu adımı atlamaları daha doğru olur diye düşünüyorum.

IstSec için edindiğim tecrübeden sonra Netsec’e başvuru yaparak boşa vakit harcamadım.

Nopcon 2016 başvurum şu şekildeydi.

The Postmodern Binary Analysis
“Malware, hacking tools and vulnerabilities of the past have evolved to government grade spyware, cyber weapons and state of the art exploits. While the cyber security community is closely watching these next generation threats, they miss the real source of the evolvement. Reverse engineering is the thing which makes developing or analysing these threats possible. Having a deep understanding of next-generation threats requires next-generation reverse engineering methods beside classical ones. In these context, binary instrumentation, taint analysis, symbolic/concolic execution, SMT solvers concepts and their practices will be explained and demonstrated.”


Bu başvuru da kabul edildi. Değerlendirme kriterleriyle ilgili bir bilgim yok.

Devamında Özgür Yazılım ve Linux Günlerine (OYLG) şu sunum önerisini gönderdim.

Açık Kaynaklı Araçlarla Tersine Mühendislik
“Konu özeti: Zararlı yazılım analizi veya zafiyet araştırması çalışmalarındaki temel yöntem olan tersine mühendisliğin çeşitli uygulamalarının açık kaynak araçlarla nasıl gerçekleştirilebileceği, çeşitli amaçlar için hangi araçların tercih edilebileceği güncel örneklerle açıklanacak.

Konuşmanın ana hatları:
Tersine mühendislikte açık kaynaklı araçların gelişimi
Genel tersine mühendislik problemlerinden örnekler ve çözümleri
Shellcode analizi
Karmaşıklaştırılmış Javascript analizi
Java / C# analiz yöntemleri
Tersine mühendislik yazılım çatıları ve modern tersine mühendislik yöntemleri
(Tüm çözümlerde açık kaynak kodlu araçlar kullanılacaktır.) “


Başvurum kabul edilmese de en azından okuduklarından eminim çünkü dönüş yapıp kullanacağım araçların tam listesini istediler, ben de gönderdim. Başvurunun kabul edilmediğine dair 75 başvurudan 46 sunum seçtikleri, seçerken zorlandıkları gibi toplu bir mail geldi. Her ne kadar sunumun seçilmeme sebebinin de örneğin “ ilgi çekici değil, konu alakasız, içerik yetersiz, çok fazla benzer sunum var” gibi belirtilmesi gerektiğini düşünsem de en azından başvuruyu inceleyip dönüş yaptılar.


Son olarak Hacktrick 2016’ya aşağıdaki başvuruyu gönderdim.

Binary Hacking Hakkında Herşey
“Sunum boyunca herkes tarafından merak edilen konular olan yazılımların lisans korumalarının nasıl aşıldığı, kaynak kodu olmayan programlara nasıl arka kapı yerleştirildiği, işletim sistemleri, web tarayıcıları, ağ servisleri gibi uygulamalardaki zafiyetlerin nasıl oluştuğu, mimikatz gibi araçların hangi prensiple çalıştığı genel dinleyici kitlesinin takip edebileceği şekilde anlatılacaktır. Bunlara ek olarak binary analizinin saldırı için olduğu kadar savunma için de önemli ve gerekli olduğu olay müdahale ve zararlı yazılım analizi örnekleriyle açıklanacaktır.”

Bu başvuru da kabul edildi. Türkiye’deki diğer tüm güvenlik etkinlikleri gibi değerlendirme kriterleri hakkında bir bilgim olma sa da Hacktrick ekibinin başvuruları değerlendirdiğinden emin olabilirsiniz.

Yazıda sadece başvuru yaparak katıldığım/katılamadığım güvenlik etkinliklerine değindim. Konuşmacılarını davet usulü seçen etkinlikler konu dışında kaldığı için listede yer almıyorlar.