Android Kilit Patern yöntemini İnternet için Adapte Etme

Android Lock Pattern, Android telefon kilitini kaldırmak için PIN yerine kullanılan oldukça başarılı bir grafik parola yöntemi.

Android Kilit Paterni (Android Lock Pattern)

 

Fakat İnternet’te kullanmak için uygun değil. Bu alanda yaptıuğımız en son çalışmada bu yöntemi İnternet için adapte ettik. charPattern ismini verdiğimiz çalışmamız PASSWORD konferansında (evet sadece parolalar için bir konferans var!) yayınlandı.

charPattern

Makalemize aşağıdaki linkten ulaşabilirsiniz:

charPattern: Rethinking Android Lock Pattern to Adapt to Remote Authentication, 

Presented at PASSWORDS 2014, December 8-10, Trondheim, Norway.

Preproceedings_Passwords14.pdf erişimi için tıklayın

Genç Araştırmacılara Tavsiyeler (2): Niye “Güvenlik” Konusunda Çalışmalısınız?

Yaklaşık iki yıl önce genç araştırmacılara tavsiye içeren bir blog yazısı kaleme almıştım. Bu yazı ile ilgili bu blogda olmasa da başka kanallardan çok olumlu geri bildirimler oldu. Benzer şekilde bu sefer “niye güvenlik konusunda çalışmalısınız?” konusu hakkında birkaç söz söylemek istiyorum.

Duyanlar duymuştur. İçlerinde bir Türk akademisyenin de olduğu bir grup VW tarafından da kullanılan araba kilitlerini nasıl kırdıklarını Usenix Security sempozyumunda tam sunacaklardı ki İngiltere mahkemeleri tarafından yayınlarına ve konuşma yapmalarına yasak konuldu.

Sorumlu Açığa Çıkarma (Responsiple disclosure) güvenlikte çok tartışılan bir konu. İyi niyetli Türk hackeri haberini hatırlayalım. Ben oralara girmeyeceğim şimdilik. Ama şöyle bir düşünüyorum da (hatam varsa düzeltin) en azından bilgisayar bilimleri alanında güvenlik dışındaki bir  konudaki bir konuşmanın mahkeme kararı ile durdurulması çok akla yakın gözükmüyor. Bu öncelik sadece güvenlik araştırmacılarına verilmiş gibi! Daha Türkçe ifade ile, güvenlik alanında çalışırsanız yapmış olduğunuz araştırmaların sosyal etkileri ve yankıları çok geniş olabiliyor. Bir arkadaşın kulakları çınlasın, “şöyle ses getirecek bir çalışma yapmak istiyorum” diyen genç arkadaşlara güvenlik konusunu hararetle tavsiye ediyorum. 

Parolaları dokunmatik ekranlardan daha kolay girmek

Gün geçtikçe İnternet’e dokunmatik ekranlara sahip olan tablet, akıllı telefon, vb. cihazlardan daha çok giriyoruz. Bu cihazların metin girmek için  çoğu zaman tek seçeneği olan ekran klavyeleri (soft-keyboard) ile parolaların (bilhassa özel karakter, Türkçe karakter vs. içermesi durumunda) girilmesi fiziksel klavyeden girilmesine oranla daha zor. Öte yandan çoğumuz aynı sitelere bazen mobil cihazlardan bazen de masaüstü bilgisayarlardan giriyoruz. Dolayısıyla hem masaüstü bilgisayarlardan hem de dokunmatik ekranlı cihazlar ile girişi daha kullanışlı bir parola yöntemine ihtiyaç var.

İşte bu yeni ortaya çıkan ihtiyacı karşılama adına önerdiğimiz gridWordX yöntemine ilişkin yazmış olduğumuz makale IEEE MoST 2013 çalıştayına kabul edildi. Bu çalışmayı yüksek lisans öğrencisi Uğur Çil ile beraber yürüttük. Önerimizin daha önceki versiyonu ile ilgili çalışmamıza şuradan ulaşılabilir. Aşağıda yeni versiyona ilişkin bir ekran görüntüsü yer alıyor.

ISCTURKEY 2012

ISCTURKEY 2012 konferansı yarın ve cuma günü (17-18 Mayıs 2012)  ODTÜ’de yapılacak. Katılım ücretsiz.

Yüksek Lisans öğrencilerimden Murat Akpulat aşağıda özetini verdiğim çalışmayı yarın (17 Mayıs 2012) saat 16:30’da başlayacak 3. oturumda sunacak. Katılmak isteyenlere duyurulur.

Başlık: Metin ve Grafiksel Öğeleri Birleştiren Yeni bir Parola Tabanlı Kimlik Doğrulama Yöntemi

Özet: Günümüzde en yaygın kullanılan kimlik doğrulama yöntemi şifre (parola) tabanlı olanlardır. Son yıllarda pek çok grafiksel parola yöntemleri geliştirilmiş fakat bu yöntemler pratikte henüz klasik metin parolaların yerini alamamıştır. Bu çalışmada hem metin hem grafiksel öğeler içeren melez bir parola tabanlı kimlik doğrulama yöntemi önermekteyiz. Yaptığımız deneysel çalışma Yaz&Tıkla ismini verdiğimiz yeni yöntemin hem uzun dönem hatırlanabilirlik hem de kullanıcı memnuniyeti açısından sadece metin ve sadece grafik tabanlı parola yöntemlerine oranla daha başarılı olduğunu göstermektedir.

Kaç tane cüzdan bir tane doğru Pin Kodu eder?

Cüzdanınızda kaç tane banka kartı var? Ya kredi kartı sayısı? Peki cüzdanınızı hırsıza kaptırırsanız hırsızın pin kodunu doğru tahmin edip ATM’den para çekmesi veya kredi kartınızı bir yerde kullanması ihtimali nedir? Hiç düşündünüz mü? (cüzdanınızdaki bir küçük kağıtta pin’inizin yazmadığı varsayımı ile ki aksi halde bu ihtimal % 100 olur haliyle)

Öncelikle cüzdanızda nufüs cüzdanı veya başka bir kimliğin olduğunu ve bu sayede doğum tarihinizin kolayca öğrenilebileceğini kabul edelim. İkinci varsayımımız banka ve kredi kartlarını kullanırken 3 kez yanlış pin girilmesi durumunda kartınızın bloklandığı. Bu şartlar altında eğer 4 tane kartınız varsa (hem kredi kartı hem banka kartı olarak kullanılan kartlar ile ayrı ayrı 3 kez pin tahmini yapılabildiği için bu kartları iki sayalım), hırsızın doğru pin tahmini yapma olasılığı % 10,9’dur (teorideki olasılıktan çok daha yüksek bir oran). Bir diğer ifadeyle bir hırsızın 9 cüzdan çalması doğru Pin tahmini yapması için yeterlidir.

Peki ne yapmalısınız? Cevap doğum tarihinize bağlı. Örneğin doğum tarihinizin 3 Haziran 1983 olduğunu varsayalım. Bu durumda ilk etapta kaçınmanız gereken pin’ler şöyledir: 1983, 6383, 0306, 0603, 1234 ve 0683 (Bu pin’ler aynı zamanda saldırgan için optimal olan pin denemeleridir).

Peki bankalar ne yapmalı? Diyelim ki genel (her kullanıcı için ayrı ayrı olmayan) bir pin kara listesi oluşturulacağını varsayalım. 100 elemanlı kara liste şu PİN’lerden oluşturulmalı:

0000, 0101-0103, 0110, 0111, 0123, 0202, 0303, 0404, 0505, 0606, 0707, 0808, 0909, 1010, 1101-1103, 1110, 1112, 1123, 1201-1203, 1210-1212, 1234, 1956-2015, 2222,2229, 2580, 3333, 4444, 5252, 6666, 7465, 7667.

Peki bu liste hırsızlığa karşı ne kadar etkin? Doğum tarihinin hırsız tarafından bilinemediği durumda bir hayli etkin. Fakat hırsız doğum tarihinizi biliyorsa bu kara listenin etkisi çok az maalesef. Kullanıcıya özgü kara listeler kullanılamıyorsa iş biraz kullanıcıya kalıyor dolayısıyla.

Özenle duyurulur.

Kaynak: A birthday presents every eleven wallets? The security of customer-chosen banking PINs, Joseph Bonneau, Sören Preibusch, Ross Anderson, Financial Cryptography 2012.

Matematik Nasıl Sevdirilir?

Akademik Güvenlik başlığına sahip bir blogda matematikten bahsetmenin sebepleri ile girizgah yapmaya gerek yok sanırım. Ben bu yazıda matematiğin sevdirilmesi konusunda bir kaç not paylaşacağım.

Jerry P. King, Matematik Sanatı adlı kitabında öğrencilere matematiğin sevdirilmesi için kullanılabilen iki ana yöntemden bahsediyor. Bu yöntemlerden birincisi ve daha çok tercih edileni matematiğin  ne kadar yararlı olduğunu belirtmek. Mesela mühendislik öğrencilerinin ileride bu matematiği ne kadar yoğun bir şekilde kullanacağından bahsetmek vs. King bu birinci yöntemin matematiğin sevdirilmesi ve öğrenilmesi için etkili olamadığını söylüyor. Öğrencilerin şu anki matematik bilgisi ve görgüsü düşünüldüğünde çok da haksız sayılmaz.

İkinci yöntem ise matematiğin estetik ve sanatsal yönüne vurgu yapmak. King kitabında bazen takip edilmesi zor felsefi tartışmalara girse de herhangi bir matematiksel düşüncenin estetik niteliğini ölçmek için kullanılmasını önerdiği “minimal tamlık” ve “maksimal uygulanabilirlik” ilkeleri anlaşılabilir nitelikte. Kök 2’nin irrasyonal olduğunun ve sonsuz sayıda asal sayı bulunduğunun ispatları ve e^iπ+1=0 eşitliği gibi örnekler yazarın bu ilkelerle ne demek istediğini net olarak ortaya koyuyor.

Fakat kitabın satır aralarında matematiğin sevdirilmesi için kullanılabilecek üçüncü bir yöntem daha gizli. Bu üçüncü yöntemin ne olduğu hakkında bir ipucu vermesi amacıyla yazarın başından geçmiş bir anısını mümkün mertebe kısaltarak aşağıya alıntılıyorum:

Bir spiker araya girdi ve heyecanını belli etmemeye çalışarak günün önemli olayına ait son haberleri vermeye, Three Mile Adasındaki nükleer santralde meydana gelen sızıntı tehlikesi yüzünden bölgeyi boşaltma planlarını anlatmaya başladı.

…

İki hafta sonra fakülte yemek salonunda öğle yemeğine gitmiştim. Yemekte yanıma iki genç asistan profesör oturmuştu: sosyoloji bölümünden genç bir bayan, fizik bölümünden genç bir bay. Three Mile adasından konuştuk.

… Sosyolog bayan konuşmaya başladı. … Geçmişteki nükleer felaketlerden ve gelecekteki potansiyel felaketlerden bahsetti…. Oppenheimer’in ünlü “Artık ben dünyaları yok eden ölüm oldum” sözlerini tekrarladı…  Elektrik enerjisi için duyulan ilginin insanlar için duyulan ilgiden üstün tutulmasına yol açan kapitalist açgözlülükten ve tökezleyen ahlak kurallarından söz etti….

Fizikçi de sessiz ve hareketsiz dinliyordu. Sosyolog konuşmasını bitirdiğinde ona sakin sakin:

-Konuştuklarınız hakkında bir şey bilmiyorsunuz.

dedi.

Sosyolog sinirlendi ve

– …

Fizikçi daha da sakin bir şekilde

– Benim söylemek istediğim o değil.

– Nedir öyleyse?

Ceketinin cebinden ufak bir not defteri ve eski bir dolmakalem çıkardı… Bir şeyler yazdı ve ona verdi. O da göreceğim bir şekilde bana uzattı. Fizikçi tek bir denklem yazmıştı:

dy/dt = ky

– Peki ne var bunda?

Fizikçi, defteri göstererek “Bunun anlamını biliyor musunuz? diye sordu.

– Ben matematikçi değilim.

– Ben de değilim. Bunu anlamak için matematikçi olmak gerekmez. Bunu üniversitenin birinci sınıflarında öğretiyoruz. Dekana sorun isterseniz.

Sosyolog hanım bana baktı, ben yine başımı salladım.

Şimdi fizikçinin sesinde hafiften bir üstünlük seziliyordu:

– Bu nükleer bozulmayı açıklayan bir diferansiyel denklemdir. … Basit işlemler uygulayarak bu ifadeden nükleer maddenin yarı ömrünü saptayabiliriz. Bütün bunları anlamıyorsanız gelecekteki sağlık sorunları hakkında konuşamazsınız. Ve siz de anlamıyorsunuz. Bütün söyledikleriniz boş laf, hepsi hava cıva.

Durdu, çayından bir yudum aldı. Sosyolog yine bana baktı. Şaşırmış ve çaresizdi.

Fizikçi:

-Size denklemin çözümünü de yazabilirim, ama onu da anlayamazsınız.

Sosyolog bir şey söylemeden kalktı, masayı ve odayı terk etti.

Anı burada bitiyor. Ne dersiniz “hayatınızda bir kez bile olsun kendinizi Fizikçi yerinde düşünün” demek  matematik konusunda öğrencileri motive edici olur mu?

Yine kitaptan bir alıntı ile bitireyim.

N tipi (örneğin yukarıdaki sosyolog) insanlar  M tipi (matematikten yararlanma kolaylığına sahip) insanlar ile bilim ve teknoloji konularında tartışamazlar. Çünkü her zaman kaybederler… Evet, haklı olduklarında  bile kaybederler.

Bilgiye Ulaşmak Hiç Bu Kadar Kolay Olmadı

Bu bloğu takip edenlerden “hocam uzun zamandır yazmıyorsunuz” türü yorumlar duymak güzel oluyor. Ben de bugün uzun süren blog sessizliğini bozmaya yeltenmiş bulunuyorum.

Tam anlamıyla ihata edemediğimizi düşündüğüm bir bilgi çağının içinde bulunuyoruz. Bilgiye ulaşmak, öğrenmek ve özümsemek için binlerce seçenek önümüzde dağ gibi yığılmış. Ne demek istediğimi konumuz olan güvenlik alanında iki örnekle açıklayayım. Birinci örnek Stanford Üniversitesi profesörlerinden ve kripto camiasının meşhurlarından Dan Boneh’in vereceği Ocak 2012’de başlayacak ve herkesin ücretsiz takip edebileceği çevrimiçi Kriptografi dersi.  Konuyla ilgiliyseniz (ki bu bloğu takip etmenizden ilgili olduğunuz anlaşılıyor) bu derse en azından bir göz atmanızı şiddetle tavsiye ederim. Bu dersin yanında onlarca diğer çevrimiçi dersten hangisini seçmek isterseniz artık.

İkinci örnek USENIX Security Symposium. Güvenlik alanındaki en önemli 4 konferanstan biri kabul edilen (diğerleri ACM CCS, IEEE S&P ve NDSS) bu aktivitenin tüm makalelerine (isterseniz E-book formatında) ulaşabildiğiniz gibi isterseniz sunumların videolarına, isterseniz MP3 ses dosyalarına yine ücretsiz, kayıtsız ulaşmanız mümkün. “Network Security in the Medium Term: 2061–2561 AD” gibi enteresan başlıklı konuşmalardan seçim yapmak çok kolay değil.

Burada bir öğrenci arkadaş ben bilgi güvenliğinden çok bilgi paylaşımı konusunda çalışmak istiyorum, bilgiyi kısıtlamak yerine bilgiyi erişebilir ve kullanılabilir hale getirmek çok daha önemli bir konu demişti. Gerçekten de bahsettiği konu çok önemli ama bu konunun bilgi güvenliği alanına giren cihetleri de yok değil. Bilgi güvenliğini gizlilik, bütünlük ve erişilebilirlik boyutlarıyla beraber düşünmek gerekli. Erişilebilirlik hakkında yukarıda bahsettiğim Usenix sempozyumunda sunulan ve bir süre önce zevkle okuduğum bir makaleden kısaca bahsederek bu yazımı sonlandırmak istiyorum.

Kablosuz ağların servis engelleyici saldırılarılara son derece açık olduğu bilinen bir gerçek. Wi-Fi’da veya başka ağlarda bu saldırılarla ilgili yoğun bir şekilde çalışılıyor. Why (Special Agent) Johnny (Still) Can’t Encrypt: A Security Analysis of the APCO Project 25 Two-Way Radio System makalesinde ise bu konu daha farklı bir uygulama için araştırılmış. Günümüzde kullanılan en yaygın iki telsiz haberleşme standardından biri olan APCO P25 bağlamında. 15 dolarlık bir oyuncak kullanılarak nasıl telsiz konuşmalarının engellenebildiğini makaleden öğrenebiliyorsunuz.

Bu makalede ayrıca kullanışlılık konusuna da girilmiş. Telsiz ara-yüzündeki bazı zayıflıklardan dolayı pek çok gizli telsiz haberleşmesinin dinlenebildiğini de yine bu makaleden şaşırarak öğreniyorsunuz.  Şu alıntıyı aynen yapmama müsaade edin:

“While we will not identify here the agencies, locations, or particular operations involved, we note that the traffic we monitored routinely disclosed some of the most sensitive law enforcement information that the government holds, including: Names and locations of criminal investigative targets, including those involved in organized crime. Names and other identifying features of confidential informants. Descriptions and other characterizing features of undercover agents. Locations and description of surveillance operatives and their vehicles. Details about surveillance infrastructure being employed against particular targets (hidden cameras, aircraft, etc.). Information relayed by Title III wiretap plants. Plans for forthcoming arrests, raids and other confidential operations.”

Ee, boşuna bu makale ödüle layık görülmemiş. Matt Blaze ve arkadaşlarını biz de tebrik ediyoruz.

Johnny İnternet Kafede: Web Tarayıcılarının Şifre Otomatik Tamamlama Özelliği Üzerine Kullanıcı Çalışması ve Araştırma

Güvenlik alanında Alice ve Bob kadar olmasa da meşhur başka bir isim de Johnny. Johnny daha öncesinde PGP şifreleme gibi boyunu aşar işlere girmiş ve çok da başarılı olamamıştı. Biz de Johnny acaba web tarayıcılarının hepsinde var olan ve yaygın olarak kullanılan şifre otomatik tamamlama özelliği ile arası nasıl konusunu inceledik. Aşağıda çalışmamızın Türkçe bir özetini sunuyoruz:

Özet: Şifre (parola) kullanımı kaynaklı sıkıntıları azaltan araçlardan biri de tarayıcıların şifre otomatik tamamlama özelliğidir. Kullanıcı adını ve şifresini kullanıcının izni ile kaydetmek ve daha sonrasında otomatik tamamlama için kullanmak tüm tarayıcılarda var olan bir özelliktir ama iznin sorulduğu kullanıcı ile olan iletişim farklı şekillerde gerçekleştirilmiştir. Bu çalışmada bloke eden diyalog kutuları kullanan aktif iletişim ile araya girmeyen edilgen (pasif) iletişimi karşılaştıran kullanıcı çalışmalarını rapor ediyoruz. Çalışmalarımızda diyalog kutularının kullanıcıları herkese açık umumi bilgisayarlarda şifrelerini yanlışlıkla kaydetmeye yönlendirdiğini fakat edilgen iletişimde benzer bir güvenlik probleminin oluşmadığını tespit ettik. Araştırmamız şifre otomatik tamamlama ve benzer etkileşimler için aktif iletişimin riskleri için deneysel kanıtlar sağlamakta ve şifre otomatik tamamlama özelliğinin diğer pek çok yönüne ışık tutmaktadır.

Grafik (Resim) Şifreler Pratikte Kullanılmıyor (Mu?)

Önceki yıllarda grafik şifreler konusundaki makalelerimizi değerlendiren bazı hakemlerin şöyle bir yorumu oluyordu: Grafik şifreler akademik dünyada üzerinde epey çalışılmış ama pratikte uygulama şansı bulamamış bir tekniktir.

Bu yoruma karşın akademik bir yayını pratikte o an uygulanma/uygulanmama  ile ilintilendirmek ne derece doğrudur? Araştırma lablarında ortaya konulmuş en parlak fikirlerin bile günlük hayata yansımaları ortalama 15-20 sene sürmez mi? vb. argümanlar getirilebilir ama bu konu bu yazının konusu değil. Bu yazıda daha somut bazı bilgileri kısaca paylaşmak istiyorum.

Önce Android Pattern Lock ile tanıştık günlük hayatta grafik şifrelerle. Şimdi de Windows’un en yeni sürümü olacak Windows 8’de grafik şifrelerin kullanılacağı söyleniyor.

Fakat bu iki örnekte de İnternette kullanmaya uygun yöntemler değil mevzu bahis olan. Çünkü parola uzayı (password space) bu iki yöntemde de oldukça düşük. Acaba grafik şifreleri İnternette de kullanmaya ne zaman başlayacağız? İnternet kullanımını amaçlayan bir öneri için şu çalışmamıza bakmak isteyebilirsiniz.

Genç Araştırmacılara Tavsiyeler: Niye “Güvenlik” Konusunda Çalışmamalısınız?

Tuomas Aura tarafından yazılmış ve 2006 yılında IEEE S&P magazininde çıkmış bir yazı güvenlik konusu ile ilgili bazı düşüncelerime tercüman oldu. Yazının kısa bir özetini yapmak ve konu paralelinde kendi düşüncelerimi yine kısaca yazmak istiyorum.

 Tuomas’ın bir arkadaşının oğlu bir doktora programına yeni kayıt yaptırmış ve tez konusu olarak güvenliği düşünüyormuş. Tuomas, “Hayır, yapma” demiş. “Dünyada daha ilginç pek çok başka şey var.”

 Güvenlik konusunda çalışmaktan (güvenlikçi olmaktan) memnun olmasına ve güvenliğin de çok sıcak bir konu olmasına rağmen niye böyle bir tavsiyede bulunduğunun uzunca izahı söz konusu yazıda. Özetlemek gerekirse:

1. Mühendisler ve çalışma arkadaşları güvenlikçileri hiç sevmezler. Güvenlikçiler avukatlara benzerler ve genelde söyledikleri ilk şey “bunu yapmaktan kaçınamaz mısın?” olur. O yüzden kimse zorda kalmadıkça avukatlarla ve güvenlikçilerle konuşmak istemez.
2. Güvenlikçiler çözüm değil problem üretirler. Bilhassa “yayın sayaç”ının çalıştığı durumlarda başkalarının güvenlik açığını bulmak çözüm üretmekten çok daha verimli ve akılcı bir yol olur.
3. İşe yarar güvenlik ürünü çok azdır. “Güvenlik sonradan eklenmemeli, baştan düşünmeli” prensibini bilirsiniz. Tuomas diyor ki bu prensip aynı zamanda “güvenlik ürünlerinin çoğu işe yaramaz” anlamına gelir. Çünkü bu güvenlik ürünü ister bir izinsiz giriş algılayıcı sistem (intrusion detection system), ister bir biyometrik tanıma sistemi, ister başka bir şey olsun hep var olan bir sisteme sonradan eklenmesi için tasarlanan sistemlerdir.
4. Geleneksel güvenlik konuları ile pratik güvenlik problemleri arasında uçurum vardır: Evet bu en sonuncu konu benim de üzerinde durmak istediğım kısım, diğerleri ile ilgili düşüncelerimi bir başka yazıya havale edip, bu son konu üzerinde durmak istiyorum.

 Son zamanların sıcak güvenlik konuları veya endüstrinin gerçekten sıkıntısını çektiği konular neler derseniz 3 örnek verelim: 1) Zararlı yazılımlar 2) Çöp postalar ve olta (phishing) saldırıları 3) Donanım güvenliği.

 Bu üç problem de yeni problemler ve şu ana kadarki mevcut standart güvenlik literatürü konuları (ispatlanabilir güvenlik, kripto savaşları, vs.) ile çok az örtüşmekte. Üç yeni konu da daha farklı alanlarda uzmanlık gerektiriyor. Birincisi için yazılım mühendisliği, ikincisi için makine öğrenme ve veri madenciliği veya yasal konularda uzmanlık, üçüncüsü için ise donanım mühendisliği konularında uzmanlık.

 O zaman Tuomas diyor ki bu konularda gerçekten başarılı olmak ve çözüm için katkı sağlamak için bu farklı konulardan birinde uzman olmaya çalışmak ile işe başlanması çok daha doğru bir yol olur. Çünkü bir güvenlikçinin bu konuların hepsinde uzman olması nerdeyse imkansız. Bir diğer ifadeyle güvenlik alanında başarılı olmak için başka bir alandan başlamak tavsiye ediliyor.

 Bu tavsiyeye katılıyor musunuz derseniz biraz yumuşatarak “evet” diyorum. Yani, güvenlik konusunda çalışmak isteyen genç arkadaşlara güvenlik konusunun yanına en az bir başka alanı belirlemesini ve bu konuda kendisini geliştirmesini hararetle tavsiye ediyorum. Bu alan ne olabilir diye de sorarsanız, yukarıda bahsedilenlere ek olarak benim de şu an bilgi dağarcığımı geliştirmeye çalıştığım kullanışlılık, insan-bilgisayar etkileşimi konularını ve çok daha farklı bir konu olan yöneylem araştırmaları, optimizasyon alanlarını düşünmelerini öneririm. Daha ayrıntılı sormak veya tartışmak istediğiniz bir şey olursa bana yazabilirsiniz.