Dün duyurulan, birden fazla üreticinin DNS protokolü uygulamasında bulunan problem, DNS cache poisoning saldırılarının yapılmasını oldukça kolaylaştırıyor.

Bu da demek oluyor ki, veri haberleşmesinin can damarı olan DNS sunucularda oluşturulabilecek sahte kayıtlarla kullanıcıları farklı (ve muhtemelen zararlı) sistemlere yönlendirmek mümkün olabilecektir.

Özellikle recursive sorgulara izin veren DNS sunucularının öncelikli olarak güncellenmesi gerekiyor.

Detaylarını US-CERT sitesindeki bu duyuruda (VU#800113) görebilirsiniz.

Problem araştırmacı Dan Kaminsky tarafından tespit edilmiş. Microsoft, ISC (BIND), Sun Microsystems, Cisco… gibi hem istemci (client), hem de sunucu sistem geliştiren birçok üretici ile irtibata geçilerek ve problemi gideren güvenlik yamasının duyuru ile aynı tarihte herkes tarafından çıkartılması sağlanmış. Bu açıdan hoş bir çalışma olmuş.

Ayrıca bir süre daha problem detayının gizli kalabilmesi için bazı çalışmalar yapılmış.

Bu sayede yana döne DNS güncellemeye gerek kalmamış olsa da, hem istemci hem de sunucu tarafında güncellemeleri ivedi olarak yapmak gerekiyor.

Problemden etkilenip etkilenmediğinizi test edebilmeniz için Dan Kaminsky bu test aracını sunuyor.

Güncellemelere yeterli zaman sağlamak için, konu ile ilgili detaylar bir süre sonra açıklanacak. Gelişmelerle ilgili araştırmacının web sitesi takip edilebilir.
Kaminsky’nin Blackhat 2008‘de yapacağı konuşmanın detayları daha önceden duyurulmamıştı. Sanırım konu belli oldu :)

Salı günü yayınlanan Firefox 3, kayıtlara göre 24 saat içerisinde 8 milyonun üzerinde kişi tarafından indirilmiş ve kurulmuş. Türkiye saatiyle Salı günü akşamı Firefox 3’u indirmeye çalıştığınızda bu manzarayla karşılaşmış olabilirsiniz.

Gel gelelim çok geçmeden, yaklaşık 5 saat sonra, TippingPoint Zero Day Initiative ürünün yeni sürümünde bir güvenlik açığı olduğunu duyurdu!

Güvenlik açığının teknik detayları yayınlanmadı. Konuyla ilgili Mozilla’nın bir güvenlik yaması yayınlamasının ardından detaylar açıklanacak. Problem, kullanıcının email içerisindeki bir link’e tıklaması veya zararlı kod içeren bir web sayfasını ziyaret etmesi ile tetikleniyor.

Bu güvenlik açığının neden Firefox 3.0 yayınlanmadan önceki deneme sürümleri sırasında duyurulmadığı ise merak konusu. TippingPoint’e göre araştırmayı yapan kişiden gelen bilgi Firefox’un yeni sürümünün çıkmasının ardından olmuş. Tabi ki güvenlik açığının önceden bilindiği malum.

Birileri(?) dikkatleri üzerine çekmeye mi çalışıyor, yoksa araştırmacı daha fazla para kazanmak için mi bu yöntemi izledi bilinmez. Şahsi kanaatim, araştırmacının güvenlik problemini TippingPoint’e iletmesi, arada geçen iletişim, problemin doğrulanması ve Mozilla ekibi ile irtibata geçilmesi ve bunun uyarı olarak Zero Day Initiative’de yayınlanmasının çok daha uzun süreceği yönünde. Konu ile ilgili TippingPoint’in açıklamasına buradan ulaşabilirsiniz.


CVSS Nedir?

Genel Açık Derecelendirme Sistemi (CVSS, Common Vulnerability Scoring System), güvenlik açıklarının önem ve önceliklerinin belirlenmesi açısından risk seviyelerinin belirlenebilmesinde kullanılabilecek açık bir standarttır. Birbirleri ile uyumsuz, farklı seviye belirleme sistemlerinin yerine kullanılması amaçlanmıştır. CERT, Mitre, Cisco, Symantec, Microsoft, Qualys gibi güvenlik organizasyonları ve üreticiler tarafından kullanılmaya başlanan CVSS’in kullanımı, gittikçe daha yaygın hale gelmektedir.

CVSS Risk Seviyeleri
CVSS’in kullanımıyla, son kullanıcıya da bir güvenlik açığının önem ve risk seviyesinin sunulması amaçlanmaktadır. Risk seviyeleri üç ayrı kategori olarak hesaplanmaktadır. Bunlar; Temel Risk Seviyesi (Base Metric Scoring), Geçici Risk Seviyesi (Temporal Metric Scoring) ve Yapısal Risk Seviyesi (Environmental Score Metrics)’dir.

Temel risk seviyesi, güvenlik açığına özgü, zaman içerisinde veya yapıya göre değişmeyen, temel risk seviyesidir. Geçici risk seviyesi, güvenlik açığının zaman içerisinde değişebilecek risk seviyesidir. Yapısal risk seviyesi ise, güvenlik açığının organizasyon/firma yapısına olan etkisidir. Yapısal risk seviyesinin her organizasyon/firma için tekrardan hesaplanması gerekmektedir.

Kimler CVSS’i Nasıl Kullanabilir?
Payment Card Industry(PCI) onaylı güvenlik denetim firmaları, bilgi güvenliği organizasyonları, güvenlik denetimi yapan firmalar ve üreticiler CVSS’i kullanabilir.
İleride CVSS’in daha yaygın kullanılması durumunda, daha çok kişi CVSS risk seviyesini bir önkoşul olarak isteyecektir. Dolayısıyla şimdiden CVSS’in hizmet ve ürünlere entegre edilmesi rekabet açısından da faydalı olabilir.

Son kullanıcılar (organizasyonların bilgi güvenliği ekibi, bilgi işlem kadrosu vb.) CVSS’i Yapısal Risk Seviyesini hesaplamada kullanabilirler. Bunu hesaplayabilmek için gereken temel risk seviyesi ve geçici risk seviyesi üreticiler tarafından verilmektedir.

CVSS Risk Seviyesinin Hesaplanması
CVSS risk seviyeleri, CVSS standards guide dokümanına göre hesaplanabilir.
Bu işlem için CVSS Calculator denilen online arabirimler bulunmaktadır.
Türkçe olarak hazırladığım CVSS Risk Seviyesi Hesaplayıcıya buradan ulaşabilirsiniz.