Kullanışlı Güvenlik Konferansı

Uzun zamandır geçen ay katıldığım SOUPS 2009 konferansı ile ilgili bir şeyler yazmak istiyordum. Kısmet bugüne imiş.
Güvenlik teknolojisinin hızla ilerlemesine rağmen güvenlik problemleri azalmıyor aksine artıyor. Bunun önemli bir sebebi varolan güvenlik teknolojilerinin kullanışlılığının düşük olması. Başka bir ifadeyle teknoloji geliştirilirken insan unsurunun ihmal edilmesi. Bu konuda çok şeyler yazılabilir hatta daha önce birkaç yazımızda bu konuya değindik. Fakat bugün ben yukarıdaki tespit ile başlamış ve bu sene beşinci düzenlenen konferans ile ilgili yazacağım.
Konferans Google sponsorluğunda ve evsahipliğinde yapıldı. O yüzden hem konferans ücreti düşüktü hem de bize iyi baktılar orda 🙂 Google kafeteryalarında her saat  açık büfe yiyecek içecek bulunuyor. Seneye Microsoft evsahipliğinde Redmond, WA’da olacak SOUPS 2010. Makale (veya poster) göndermeyi şiddetle öneririm konuyla ilgili olanlara.
Konferansın açılış konuşmasını Google’da yönetici olarak çalışan Eric Sachs yaptı. Endüstrinin bu konuya olan yoğun ilgisinin bir başka kanıtı idi sanki konuşması. OpenID (tüm İnternette tek bir sayısal kimlik kullanımı)projesinin büyük şirketlerce sürüklenmeye çalışıldığını ve böyle bir sistemin kullanışlı olması için yapılan çalışmalar vs. konularının gündemde olduğunu öğrendik sayesinde.
Poster oturumunda daha önce IFIPTM konferansında sunduğumuz çalışmayı anlattık. Çok güzel yorumlar aldık. Paul Van Oorschot bilhassa ilgilendi çalışmamızla.
Programdaki konuşmaların hepsinden bahsedemeyeceğim. Fakat iki sunumdan kısaca bahsetmek istiyorum. 
Carnegie Mellon üniversitesinden SOUPS konferanslarının da genel başkanı Lorrie Cranor‘un grubunun bir çalışması phishing (olta saldırıları) üzerine idi.  Tabii bu konu eski, ne yapmışlar diye burun kıvırdığınızı tahmin ediyorum. Ama bu saldırılar hala yapılıyor (bana gelen maillerden öyle tahmin ediyorum). Makaledeki ana fikir yani insanların tam ihtiyaç duyduğu anda (gelen olta saldırısı e-postasındaki linke tıkladığı anda) eğitilmesi fikri bana oldukça orjinal geldi. Ayrıntılar makalede.
Bir diğer çalışmada Video CAPTCHA fikri sunuldu. Kullanışlı güvenlik konferansında böyle kullanışsız çözümlerin kabul edilmiş olması beni bu konuda daha çok şeyler yapılması gerektiği konusunda heyecanlandırdı açıkçası.
Bu konuda şu an mümkün mertebe fazla okuma yapmaya çalışıyorum. Ülkemiz içinde oldukça yeni bir konu. Bu konuda bir ders vermek çok faydalı olabilir. Bu fikri hayata geçirmek üzere öncelikle şu dökümanı inceledim. Okunması gereken daha onlarca makale var pek tabii ki.
(Bir de usable security’ye karşılık olarak kullanışlı güvenlik mi kullanılabilir güvenlik mi demeliyiz karar veremiyorum. Sözlükten tekrar baktım iki anlama da geliyor)

Leave a Comment

Your email address will not be published. Required fields are marked *

*
*