[Owasp-turkey] "Security lessons still lacking for computer science grads"

ibrahim saruhan ibrahimsaruhan at gmail.com
Tue Apr 26 14:20:38 EDT 2011


Teknolojiler cok hizli degisiyor. Sen ogrenciye teknolojinin temellerini
anlatmak durumundasin. Temelleri de Akademisyenler iyi anlatiyor....

DHCP ayarinin nasil yapmasi gerektigini ya da nerede loglandigini
bilemeyebilir bir ogrenci ama DHCP paketinin nasil gonderildigini, icinde ne
oldugunu vs ogrenir... Universiteler biz teknoloji gelistirebilelim diye
varlar. Biz bu konsepte arkamizi donup gelistirilmis teknolojileri
kullanmaya yoneliyorsak bunda suc biraz da bizde....

Security ise teknoloji artik var ve bunu nasil daha iyi yapariz noktasidir.
Bu bozulur mu, bozulmamasi icin nasil yapilmaliydi noktasidir. Bu nokta da
ekstra ilgi ve egitimle gerceklesir. Sen daha teknolojiyi nasil
gelistirebilecegini ogrenciye gostermeden teknolojiyi kullanmasini
ogretirsen o ogrenci zaten onu isyerinde de ogrenecegi icin ogrenciye
haksizlik etmis olursun.

Bu bahsettiklerim ornegin bir bilgisayar muhendisligi ogrencisinin operating
systems, computer networks derslerini almasi hakkindadir. Lisans da Fizik,
Matematik dersleri gerekli midir? Oraya hic girmek istemiyorum acikcasi,
orada kaybedilen ciddi bir zaman var ne yazikki.

Sonucta tamamen zaman kaybi yaklasimina katilmiyorum.

Eger ben Compiler dersi almis ve kendim oturup bir Compiler yazmissam ve
bugun is hayatimda bunu kullanmiyorsam ben bu dersi niye aldim zaman
kaybettim diye dusunmuyorum. O da bir "challenge" idi benim hayatimda
ugrastim yaptim mutlu oldum, bugun de baska isler ile ugrasiyorum ve baska
baska "challenge" lar ile mutlu oluyorum. Compiler yazarken ogrendiklerime
benzer bir takim durumlar da cikabiliyor karsima. Benim yorum yapma yetkim
zamanla o dersler ile gelismis oluyor.

Universitenin de kendine has bir tadi var:) Ben sahsen ozluyorum o gunleri.
Surekli degisik konular ile ilgilenip projeler yapip projeler tam calismasa
da iyi not almayi:) Gercek hayatta oyle yuzde 95 calisir bu program var mi:)
Cok iyi bir program yazdin satamayinca iyi not var mi?:)

Cok hirsli olmamak lazim bence bu hayatta. Yeterince zamani vardir herkesin
onunde... Her birimiz su anda ben 2-3 sene oturup infosec de herkesin
kullanabilecegi open source soyle ufak bir program yazacagim derse yazabilir
bir tane. Boyle bir katkinin 23 yasinda olmus olmasi ya da 35 yasinda olmus
olmasi farketmiyor. Sonucta varsa bir katki bilisim guvenligi camiasina onun
verdigi haz ayri bir hazdir bence... Ama Unide teknoloji nasil gelistirilmis
yillarca temelleri ne bu isin ogrenmeden katki yapmak kolay olmuyor genelde.
Kisi kendi kendini gelistirme yetkinligine sahiptir ona birsey diyemem...

Ben bu dongu de sadece universite sonrasi is hayatina atilanlarin bilisim
guvenligi gibi cok genis bir alanda bir sorumluluk almadan evvel ben yaparim
ederim ruh hali ile kendilerini isi yaparken gelistirmelerini anlayamiyorum.
Bunun icin donup Uniye gitmek tabiki de mumkun degil ama kisi isverenine ben
bu isi yapacaksam beni su egitime gonder temellerini ogreneyim sonra cok
daha verimli calisirim vs diyebilmeli ya da bir sekilde kendini de egitmeli.
Ben bu noktada cok buyuk bir eksiklik goruyorum ama zamanla olusuyor bazi
olgular sanirim... Bir cok organizasyon bir urun hizmeti aldiklari zaman o
urunun egitimini de(urun icerisine dahil olup ekstra masraf olusturmadigi
icin sanirim) hemen aliyorlar. Bu cok iyi bence. Ama urun bazli olmayip da
konsept bazli projeler ile ugrasan bilisim guvenlikciler islerini nasil daha
iyi yapacaklar? Iste bu noktada egitim almak ya da kisinin kendini egitmesi
sart diye dusunuyorum.

Ibrahim



2011/4/26 Kubilay Onur Güngör <ko.gungor at gmail.com>

> ben o şekilde düşünmüyorum açıkçası.
>
> danimarkada konuk olarak ders verdiğim üniversitede, benim dersimden sonra
> öğrencilerin proje sunumlarına da kaldım görmek için.
> software projesi vardı gruplar halinde yazıyorlardı. dil özgür platform
> özgür isteyen istediği dille istediği platformda yazıyordu. Ancak
> zorunluluklar şunlar, SVN kullanma zorunluluğu var, ve her grup diğer grubun
> yazdığı web uygulamasına bilenen saldırı yöntemlerini deneyerek kendi proje
> sunumunda kime hangi saldırıyı denediğini ve ne dsonuç aldığını da
> anlatıyordu.
>
> öyle ki elemanın biri captcha yı implement edemeyip, resim olarak koymuştu
> ve sunumda bunu implement edemedim ama burada bunun olması gerekiyor
> dediğinde tam puan almıştı.
>
> bu yüzde yüz güvenlik derinliği vermese bile bir perspektif veriyor. bizim
> eğitim sistemimizin rezalet olduğu bir gerçek. bunu görmezden gelmeye gerek
> yok. insanlar sektörle akademik hayatları arasında kalıyorlar. dışarıda
> çalışmak isteyen bir öğrenciye 4. seneinde hala C gösteriliyor. Adam entwork
> dersini A ile geçiyor DHCP nedir bilmiyor. Network dersinde hala djikstra
> implement ediliyor. akademisyenler zaen burunlarından kıl aldırmıyor.
>
> sonra niversite okuyan bir adam ne diye gidip dışarıdaki eğitimlere
> katılsın ki? ne olacaksa ona göre eğitim alsın o zaman ne diye üniversite
> okunuyor? tamamen zaman kaybı. sınavlarda abuk subuk sorular, öğrenme değil
> notlandırma odaklı.
>
> bence çok da haksız değil insanlar eleştirilerinde.
>
>
>
> 2011/4/26 Bunyamin Demir <bunyamindemir at gmail.com>
>
>> Merhabalar,
>>
>> Ben temel sorunun; iş verenin, işin güvenliğinden ziyade, erken bitmesine
>> önem vermesinden kaynaklandığına inanıyorum. Yoksa yeterli vakit verildiği
>> sürece her yazılımcının güvenli kod yazma teknikleri hakkında donanıma sahip
>> olabileceği aşikar. Sadece kodu güvenli yazıp deadline'i 3 gün uzatalim mi?
>> Yoksa bodoslama yazip, 2 gün öncesinde bitirip, müşteriden paramızı mı
>> alalım? sorularına yanıt vermek gerekiyor.
>>
>> Syg.
>>
>>
>>
>> 26 Nisan 2011 14:04 tarihinde Enis Karaarslan <enis.karaarslan at gmail.com>yazdı:
>>
>> Bilinmeyen bir şeyi yazmadığı gibi, o yazıda belirten markanın reklamı
>>> şeklinde olmuş bu yazı.
>>>
>>> Meslek yüksek okullarında bilgi güvenliği eğitimi verilmesi
>>> gerekliliği üzerine bir bildiri yazmıştım ben de (2003 senesi).
>>> Benimki daha ütopik bir yazı olmuş.
>>>
>>> Aslında birçok bilgisayar bilimleri/mühendisliği bölümü, bu şekilde
>>> ders verilmesi gerektiğini biliyor ama bir çoğunda bu dersleri verecek
>>> bilgide hocalar bulunamıyor. Birkaç yerde bazı sunumlara rast
>>> gelmiştim, web güvenliği için ssl yapmanın yeterli olduğunu düşünen
>>> hocalar da var ne yazık ki (bu Türkiye'den değil bir yabancı
>>> üniversiteden).
>>>
>>> Hepinizin de bildiği üzere, ayrı bir ders olmadan da güvenli
>>> kodlamanın temelleri verilebilir.
>>> Yazılım mühendisliği ve benzer derslerde, input ve output validation
>>> gösterilmesi bile büyük bir artı olacaktır.
>>>
>>> Bunun yanı sıra kriptolojinin bilimsel ve matematiksel altyapısını
>>> vermektense uygulamalarda nasıl kullanılabileceğine yoğunlaşmak lazım.
>>> Çok şey söylenebilir ....
>>>
>>>
>>> On 4/26/11, ibrahim saruhan <ibrahimsaruhan at gmail.com> wrote:
>>> > Eminim ki herkes guvenli kod yazacagim diye egitim almaya calissa,
>>> kimse kod
>>> > yazamaz. Kod yazmak yazarken ogrenilen bir durum, yazmayi
>>> zorlastirdikca
>>> > yazilmaz hale gelir.
>>> >
>>> > 10000 tane Graduate Security Professional a ihtiyac var denmis yok oyle
>>> > sey:) Bosuna insanlara bilisim guvenligi uzerine MS yap ihtiyac var
>>> seklinde
>>> > umut veriyorlar... :)
>>> >
>>> > Bu yakinan kimseler sirketlerine guvenli kod yazmayi bilen elemanlar
>>> > alsinlar, bilmeyenleri almasinlar, ya da alip egitip oyle program
>>> > yazdirsinlar, sonra cikip Unilerde neden egitilmiyor bu adamlar
>>> demesinler.
>>> > Guvenli kod yazamiyorum, ya da guvenlikten bi haber oldugumda ise
>>> > giremeyecegim diye dusunen kisiler de self investment yapsin gitsin
>>> egitim
>>> > alsin ya da kendi ogrensin. Ama sen rastgele ise adam al, guvenlik
>>> uzerine
>>> > egitme ve sonra da cik de ki bu adamlar neden guvenlik bilmiyor:) Neden
>>> 1
>>> > tane bile ders almadi bu adamlar lisans ta:)
>>> >
>>> > 2011/4/26 T. Terlemez <tterlemez at gmail.com>
>>> >
>>> >> Merhaba
>>> >>
>>> >> Aşağıda adresi olan yazıda değinilen konu grupla da ilgili diye
>>> >> düşünüp gönderiyorum :
>>> >>
>>> >>
>>> http://www.infoworld.com/t/application-security/security-lessons-still-lacking-computer-science-grads-769
>>> >> _______________________________________________
>>> >> Owasp-turkey mailing list
>>> >> Owasp-turkey at lists.owasp.org
>>> >> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>> >>
>>> >
>>>
>>>
>>> --
>>> ----------------------------------------------------
>>> Dr. Enis Karaarslan
>>> Mugla University
>>> Department of Computer Engineering
>>> _______________________________________________
>>> Owasp-turkey mailing list
>>> Owasp-turkey at lists.owasp.org
>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>
>>
>>
>>
>> --
>> Bünyamin Demir
>> OWASP-Turkey Chapter Lead
>> http://www.webguvenligi.org
>> http://www.owasp.org/index.php/Turkey
>>
>> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>>
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20110426/51873623/attachment.html 


More information about the Owasp-turkey mailing list