Merhaba,
Geçtiğimiz aylardan birinde Emir Karşıyakalı’nın daveti üzerine Istanbul PHP Meetup etkinliğinde bir sunum gerçekleştirmiştim. 40-50 kişiden oluşan bir topluluktu ve ana konu WordPress & Security idi. Benim açımdan eğlenceli geçen bir sunum olmuştu ve PHP topluluğunun içerisinden insanlar ile de yüz yüze görüşmek zevkliydi.
Şimdiler de ise PHPKonf etkinliğinin hazırlıkları son sürat ilerliyor. Bende özellikle CFP’e başvurdum. Neden PHPKonf gibi ana teması güvenlik olmayan bir etkinliğe hevesle başvuru yaptığımı bir kaç alt başlıkta açıklayayım;
Türkiye’de Güvenlik Etkinlikleri ve Gidişatı
Sektörde ki güvenlik odaklı etkinlikleri, bu etkinliklerde olan bitenleri yakından takip ediyorum. En son Istsec etkinliğine konuşmacı olarak katılım gösterdim.
Sağolsun Ozan Uçar başta olmak üzere etkinliğin ana organizatörü olan BGA sunum başvurumu kabul etmişti. Sunum olarakta geçtiğimiz zaman diliminde yaptığım bir güvenlik araştırmasını konu almıştım. Teknik bir sunumdu, kodlar, saldırı vektörleri, yapılan araştırmanın gerçek hayattaları etkileri vb şeyleri dilim döndüğünce anlattım. Lakin sunuma gelen katılımcıların %70’inin normal düzeyde teknik olan bir sunum için yeterli altyapıya sahip olmadığını gördüm. Koskoca 45 dakikalık bir konuşma sonrası ne sorular kısmında nede etkinlik alanında kimseden soru, görüş, katkı görmedim maalesef. Zira diğer oturumlar teknik sunumlardan ( her zaman ki gibi Mert Sarıca hariç ) öte ürün/şirket odaklı olduğunu da fark etmemek mümkün değil.
Bu demek değil ki, Istsec yada benzeri etkinlikle gereksiz. Aksine önemli, hala daha orta düzey teknik sunumu katılımcıların %70’inin kavrayamadığı bir toplulukta son derece önemli..!
Ülkemizde teknik siber güvenlik sunumlarına adeta Kızılay gibi yetişen bir etkinlik varsa oda Nopcon’dur. Gidip gönül rahatlığı ile dinliyor, bir şeyler öğreniyoruz.
Bu bağlam da, ben genellikle “teknik” araştırmalar yapan ve sunumlara “ne versen yerler!” yaklaşımı ile değil, gerçekten yeni şeyleri konuşmak üzere hazırlanan biriyim ve sunum yaptığım topluluğun, konuya hakim olmasa bile en azından sunum içerisinde ki kodları anlayan düzeyde olmasını çok değerli buluyorum. Aksi halde ağzınızla kuş tutmuş olsanız ve bunu anlatıyor olsanız bile kimseye faydası olmuyor. Bu sorunu yaşamayacağım, ölü ozanlar derneğin’e seminer vermeye gitmiş gibi hissetmeyeceğim ortamlar ise PHPKonf veya Devfest gibi etkinlikler. Bu nedenle CFP başvurumu yaparken son derece heyecanlıydım(!)
Son olarak bir diğer konu ise konuşmacı olmak, yeni şeyler öğrenmeye vesiledir. Yani aleni şekilde olmasa da temeli ürün odaklı olan sunumları dinlemek yerine güvenlik ile hiçbir alakası olmayan yeni teknolojileri veya programlama dilleri ile ilgil yaklaşımları öğrenmek çok daha katkı sağlamakta. Çünkü yarın bir gün öğrenilen bu bilgileri güvenlik testlerinde karşılaşılmakta ve yeni saldırı vektörleri için temel bilgi edinilmiş olmakta.
PHPKonf 2016
PHPKonf bu sene 21-22 Mayıs 2016 tarihlerinde Bahçeşehir Üniversite’sinde. Biletler ile 25$ gibi çok cüzi bir miktar. Konuşmacı olarak yurt dışından bir kamyon dolusu insan gelmediğini göz önüne alırsak, bence son derece uygun rakamlar. Hatta gitmeseniz bir etkinliğe destekçi olmak için bilet alınmalı.
Konu : Breaking the Framework’s Core
Web framework’leri yani web uygulama çatıları günümüz web teknolojisinin en önemli yapı taşlarından bir tanesidir. Yapısında bir çok farklı özelliği barındıran ve web uygulamalarının temeli olan framework’lerin güvenliği son derece önem teşkil eder. Drupal, WordPress, Symfony veya Codeigniter gibi çok kullanılan açık kaynak sistemlerde tespit edilecek bir güvenlik açığı, bir birinden bağımsız onlarca projeyi, kurumu ve sistemi etki alanı içine alır. Bu sunum içeriğinde popüler framework’ler de oluşan zafiyetlerin detaylı analizi ve en sık karşılaşılan yanlış kullanımlar uygulamalı örnekler ile anlatılacaktır.
Etkinlikle görüşmek üzere.