• Buradasın

    Radyo Corona 2: Siber Güvenlik ve SSL Eğitimi

    youtube.com/watch?v=XlgG-Aw2nos

    Yapay zekadan makale özeti

    • Bu video, Twitch kanalında yayınlanan "Radyo Corona 2" adlı bir sohbet yayınıdır. Sunucu, siber güvenlik eğitimleri veren bir eğitimci ve Invictus firmasında çalışan bir yazılım geliştirme ekip lideridir.
    • Video, siber güvenlik ve internet güvenliği konularını ele almaktadır. Özellikle SSL (Secure Sockets Layer) sertifikaları, HTTPS trafiği, HTST (HTTP Strict Transport Security) başlığı ve man-in-the-middle saldırılarına karşı koruma yöntemleri detaylı olarak anlatılmaktadır. Yayının büyük bir kısmı, izleyicilerle etkileşimli bir şekilde soru-cevap formatında ilerlemektedir.
    • Videoda ayrıca, internet trafiğinin nasıl çalıştığı, SSL sertifikalarının nasıl güvenli olduğunu, sertifika otoritelerinin rolü ve Let's Encrypt gibi ücretsiz sertifika hizmetleri hakkında bilgiler verilmektedir. Sunucu, kendi Twitch ve YouTube kanallarında sunduğu ücretsiz siber güvenlik eğitimleri hakkında da bilgi paylaşmakta ve izleyicilere bu alanda ilerlemek için tavsiyelerde bulunmaktadır.
    00:01Planlama ve Takvim Değişikliği
    • Konuşmacılar yarınki planı ve takvimi görüşüyorlar.
    • Bir saatlik gecikme önerisi yapılarak plan uygunluğuna karar veriliyor.
    • Formula bir pistinin yakınındaki bir yerde buluşma planlanıyor.
    01:06Twitch ve Teknik Eğitimler
    • Konuşmacı, Tepkikolik ekibinin Twitch'te de içerik ürettiğini belirtiyor.
    • Konuşmacı, siber güvenlik alanında çalıştığını ve bu alandan ayrılmayacağını vurguluyor.
    • Konuşmacı, beş virüs programı tarafından detaylı bir tweet attığını anlatıyor.
    02:46Kanal Hakkında Bilgiler
    • Konuşmacı, kanalın teknik, taktik ve hardcore siber güvenlik eğitimlerinin yapıldığı bir kanal olduğunu açıklıyor.
    • Kanal, COVID döneminde açılmış ve beş aydır faaliyet gösteriyor.
    • Konuşmacı, Udemy'de kurs satmak yerine topluluğa ücretsiz içerik paylaştığını belirtiyor.
    03:45Eğitimler ve Kaynaklar
    • Konuşmacı, en temel konuları bile farklı bakış açılarıyla işlediklerini vurguluyor.
    • Web security eğitim serisinin hem İngilizce hem de Türkçe kaynaklarında benzerinin olmadığını düşünüyor.
    • Konuşmacı, matematik bilgisi olmadan bile siber güvenlik alanında başarılı olunabileceğini belirtiyor.
    06:10Motivasyon ve Gelecek Planlar
    • Konuşmacı, bir bin explotation eğitim serisine başladığını ancak OSCA sınavı için motivasyonunu kaybettiğini söylüyor.
    • Konuşmacı, kitap okumak yerine online içeriklere yönelmenin faydalı olduğunu düşünüyor.
    • Konuşmacı, web güvenlik ve bug bounty konularında eksiklikler olabileceğini belirtiyor.
    09:14Kitap Okuma ve Programlama Dilleri
    • Konuşmacı, kitap okumak için dışarıdan bilgi edinmenin önemini vurguluyor ve teknik kitapların çoğunun screenshotlardan ve kodlardan oluştuğunu belirtiyor.
    • Programlama dili öğrenmenin önemli olduğunu, özellikle backend bir teknoloji dilinin öğrenilmesinin gerekli olduğunu ifade ediyor.
    • Python dersleri.com domainini bir stajyer grubu için aldığını ve onların makalelerini paylaştığını anlatıyor.
    11:17Siber Güvenlik ve Eğitimin Önemi
    • İnsanların güvenlik araştırması yerine bug bulantıya yönelmesinin para kazanmak için kolay bir yol olarak görülmesi nedeniyle olduğunu belirtiyor.
    • Topluluk projesi yaparak herkesin bir konuda makale hazırlayıp sunum yapmasını öneriyor.
    • Konuşmacı, siber güvenlik alanında üç-dört yıl kendini geliştirmeye çalıştığını ancak yazılım alanında o kadar iyi olamadığını itiraf ediyor.
    13:57Sosyal Medya ve Eğitici İçerikler
    • Bilişim dünyasında merakla siber güvenliğe uğramayan kişinin olmadığını vurguluyor.
    • Partnerlik konusunda ilgilenmediğini ve artık izlenme sayısından çok farklı amaçlarla çalıştığını belirtiyor.
    • Teorik bilgiyi pratik bilgi ile birleştirmenin çok önemli olduğunu, sadece teori veya sadece pratiği göstermenin yetersiz kalacağını ifade ediyor.
    16:44Eğitim Serileri ve Sertifikalar
    • Barkın ile birlikte network eğitim serisinin ilerlediğini ancak şu anda yoğunluk nedeniyle ara verdiğini açıklıyor.
    • Kör nokta eğitim serisinin devamı geleceğini belirtiyor.
    • Sertifika sınavları konusunda dört ay sonra bir sınav için hazırlanacağını ve bir sertifika sınavında şehit sertifikasını aldığını söylüyor.
    18:15SSL ve Güvenlik Konuları
    • Lokal ortamda SSL ile ilgili bazı teknik sorulara yanıt veriyor.
    • SSL'nin nasıl çalıştığı ve sertifika dünyasındaki sorunlar hakkında bilgi veriyor.
    • Man-in-the-middle saldırıları ve SSL/TLS protokolleri hakkında bilgi veriyor.
    29:45İnternet Güvenliği ve SSL Konsepti
    • Konuşmacı, internet trafiğinin nasıl çalıştığını anlatmak için bir hikaye sunuyor: Bir kullanıcı (vatandaş) bir web sitesine (x.com) erişmek istiyor.
    • Ortadaki "vatandaş" tüm internet trafiğini görebiliyor ve kullanıcı ile web sitesi arasındaki iletişimi kontrol edebiliyor.
    • Eğer kullanıcı HTTP ile talep gönderirse, ortadaki "vatandaş" bu talebi görebilir ve değiştirebilir, ancak HTTPS ile gönderirse trafiğin içeriği şifrelenir ve ortadaki "vatandaş" erişemeyecektir.
    35:37SSL Mekanizması
    • SSL mekanizması, kullanıcı ve sunucu arasında güvenli bir iletişim kurmak için kullanılır.
    • SSL süreci, browser tarafından gerçekleştirilir ve işletim sistemi dahil hiçbir şekilde SSL trafiğinin içeriğine erişilemez.
    • HTTPS ile iletişim kurulduğunda, ortadaki "vatandaş" x.com'un sertifikasını sunması gerekir ve browser bu sertifikanın doğruluğunu kontrol eder.
    37:59SSL Sertifikalarının Güvenliği
    • Herkesin bir domain için sertifika üretmesi mümkün olsa SSL mekanizması çalışmazdı.
    • Tarayıcılar (Firefox, Chrome, Opera vb.) gelen sertifikaları doğrulamak için sertifika otoritelerinin listesine bakar.
    • Sertifika otoriteleri, güvenilir bir grup veya cemiyet olarak tarayıcılarda listelenir ve sertifikaları imzalar.
    42:23Sertifika Otoritelerinin İşleyişi
    • Sertifika otoriteleri, domain bazlı validasyonu sağlamak zorundadır.
    • Sertifika otoriteleri farklı servis ve hizmetler için 15-20 dolardan 1000 dolara kadar farklı ücretler alır.
    • Sertifika otoriteleri doğrulama için e-posta kontrolü, HTTP GET talebi atma veya tamamen otomatik yöntemler kullanabilir.
    45:34Güvenlik Açıkları ve Örnekler
    • Konuşmacı, bir SSL sertifikası imzalayan web sitesindeki bir güvenlik açığıyla başka bir web sitesine ait sertifikayı imzalattırıp kendi adresine e-posta attırmayı başarmış.
    • Sertifika veren web sitesinde domain ve SSL sertifikası yüklendiğinde, sistem domaini çözerek doğrulama yapar.
    • Konuşmacı, URL parçalama fonksiyonundaki bir zaafiyeti bulmuş ve Google.com için sertifika imzalattırabilmiş.
    48:40TürkTrust Örneği
    • TürkTrust, 2013 yılında Google.com için kök sertifika imzalamaya karar vermiş.
    • Google bunu fark edip tüm tarayıcı üreticilerine TürkTrust'ı listeden çıkarmasını söylemiş.
    • Bu durumda TürkTrust'tan hizmet alan müşteriler SSL güvenliğini kaybetmiş ve mağdurlaşmış.
    50:38SSL Strip ve HSTS Kavramları
    • Konuşmacı, SSL Strip teknolojisinin artık çalışmadığını ve modern web sitelerinde HSTS (HTTP Strict Transport Security) başlığının neden önemli olduğunu anlatıyor.
    • HSTS başlığı, bir web sitesinin sadece HTTPS üzerinden erişilebilir olmasını sağlayan bir güvenlik önlemdir.
    • Eski yöntemlerde ilk istekte HTTP isteği gelince SSL Strip ile bağlantı HTTPS'ten HTTP'ye çevrilebiliyordu, ancak HSTS başlığı bu durumu engellemektedir.
    54:23HSTS'nin Çalışma Prensibi
    • Bir web sitesi HSTS başlığı gönderdiğinde, tarayıcı bu bilgiyi kaydeder ve sonraki tüm istekleri HTTPS üzerinden gönderir.
    • İlk istekte HTTP ile yapılan bir istekte, tarayıcı 307 Internal Redirect ile HTTPS'e yönlendirir ve sonraki tüm HTTP bağlantıları 307 Internal Redirect ile HTTPS'e yönlendirilir.
    • Tarayıcı, HSTS başlığı gönderen bir web sitesine HTTPS sertifikası sunulduğunda, bu sertifikanın Trust Authority tarafından imzalanmadığı için kullanıcıya "Riskli Sayfa" hatası gösterir ve "Riski kabul et" seçeneği sunmaz.
    59:05HSTS Preload Listesi
    • HSTS preload listesi, tarayıcı üreticileri tarafından ortak kullanılan ve tarayıcılar tarafından kontrol edilen bir veritabanıdır.
    • Bir web sitesi preload listesine eklendiğinde, henüz ziyaret edilmemiş kullanıcılar bile bu siteye HTTP ile erişmeye çalıştığında 307 Internal Redirect ile HTTPS'e yönlendirilir.
    • Preload listesine eklenmek için web sitesinin HSTS başlığı göndermesi gerekir ve bu kontrol edilir; başlığı göndermeyen siteler listeye eklenemez.
    1:04:36Sertifika Otoriteleri ve Ücretsiz Sertifikalar
    • Eskiden sertifika otoriteleri tarafından verilen sertifikalar ücretliydi.
    • Let's Encrypt, sertifikaları otomatik ve ücretsiz hale getirdi, üç aylık sertifikalar veriyor.
    • Cloudflare de sertifikaları üretiyor ancak her domain için ayrı sertifika kullanıyor, milyonlarca ücretsiz kullanıcı olduğu için her birinin ayrı hizmeti vermenin yükünden kaçınıyor.
    1:05:36Eğitim İçeriği ve İzleme Tavsiyesi
    • İlk yayın izleyen kişinin her şeyi anlamaması normaldir, bu karmaşık bir konudur.
    • Yayının tekrarını izlemek mümkün, canlı yayın izleyenlerin iki katı kadar kişi tekrar izlemektedir.
    • Ctrl+Z tuş kombinasyonunu icat eden kişinin dünyanın en büyük buluşlarından birini yaptığını belirtiyorlar.
    1:08:04Web Güvenliği Konuşması
    • Konuşmacı, web güvenlik konusunu ele alıyor ve yayının adını "Web Security" olarak değiştiriyor.
    • Konuşmacı, sayısal teknoloji konusunda konuşmak istediğini belirtiyor.
    • Konuşmacı, siber güvenlik konusunda eğitim veriyor ve izleyicilere bu alanda ilerlemelerini öneriyor.
    1:10:35Sibernetik Güvenlik Soruları
    • Konuşmacı, siber güvenlik alanında ilerlemek isteyen bir izleyiciye "front-end" alanının en güzel alan olduğunu söylüyor.
    • Konuşmacı, siber güvenlik konusunda "back to basic" adlı bir yayın yaptığını belirtiyor.
    • Konuşmacı, siber güvenlik konusunu "soft" olarak nitelendiriyor ve daha önce yaptığı yayınların daha teknik olduğunu söylüyor.
    1:12:19Eğitim ve Teknoloji
    • Konuşmacı, siber güvenlik için kitap öneriyor ve "istediğini oku" diyerek izleyicilere tavsiye ediyor.
    • Konuşmacı, Can Yıldızlı, Koruyak ve kendisiyle birlikte "Kör Nokta" adlı podcast yaptıklarını belirtiyor.
    • Konuşmacı, Apple'un donanım ve işletim sistemi kompatibilitesi açısından mükemmel olduğunu söylüyor.
    1:15:29Orkun ve Invictus
    • Konuşmacı, Orkun'un kanalındaki bir videoyu beğenmiş ve bu videoyu izleyenlerin sayısı hakkında konuşuyor.
    • Konuşmacı, Orkun ile tanışma hikayesini anlatıyor ve "Tepkikolik" kanalından başladığını belirtiyor.
    • Konuşmacı, Invictus'un bir influencer ve PR şirketi olduğunu, ancak daha çok rol model ve yol gösterici olarak iş yapan bir firmayı temsil ettiğini söylüyor.
    1:20:34Kişisel Hayat ve Hobi
    • Konuşmacı, boş zamanlarında Muay Thai sporunu yaptığını ve gitar çaldığını belirtiyor.
    • Konuşmacı, COVID döneminde eve kapanınca kitap dinlemeyi bıraktığını söylüyor.
    • Konuşmacı, kendisini sürekli öğrenmeye ve bilmediği konulara kafa yormaya çalıştığını ifade ediyor.
    1:23:05Sohbet ve Sorular
    • Konuşmacılar arasında CS:GO oynamak için sunucu konusu ele alınıyor.
    • Invictus'a davetsiz misafir giremeyeceğini belirtiyorlar.
    • Staj konusu açılıyor ve staja girdiği yerin iş başvurularında ve hayatın her yerinde belirtilmesi gerektiği vurgulanıyor.
    1:24:01Reklam Arası
    • Altmış saniyelik reklam arası çalışıp çalışmadığı soruluyor.
    • Bir kişi reklam butonunu kullanacağını belirtiyor.
    • Reklam arası çıkınca olumlu bir tepki veriliyor.

    Yanıtı değerlendir

  • Yazeka sinir ağı makaleleri veya videoları özetliyor