Veritabani güvenlik denetimine ‘Scuba’ dalışı

Scuba, Imperva’nın geliştirmiş olduğu ücretsiz bir veritabanı güvenlik denetim/analiz yazılımı.

Ürünün Oracle, Microsoft SQL, IBM DB2 ve Sybase veritabanı destekleri bulunuyor.

Buradan kayıt olarak indirebildiğiniz Java tabanlı bu yazılım, JRE 1.5+ gerektiriyor.

Çalıştırmak için bir klasöre açmanız yeterli. İlk çalıştırdığınızda lisans kabulu ve tekrar kayıt yaptırmanızı istiyor.

Ürünün yaptığı testler bir XML dosyasında tutuluyor ve dosyayı Imperva’dan güncelleme yapma imkanınız bulunuyor. Çok sık güncellendiğini düşünmüyorum ama XML tabanlı olduğu için belki kendi testlerinizi ekleyebilirsiniz.

Ürünü hızlıca bir Microsoft SQL 2000 veritabanı ile test ettim. Yetkili bir kullanıcı adı ve şifre verildiğinde veritabanında bulunan varsayılan veya sonradan oluşturulmuş zayıf yapılandırmaları ortaya çıkartabiliyor.

Alternatif bir denetim yazılımı olarak denenebilir. Özellikle varsayılan veritabanı kurulumları ile oluşan zayıflıkların önüne geçmede veritabanı yöneticilerinin ihtiyacını karşılayabilir. Yine diğer veritabanlarında da denemeye değer bir yazılım olduğunu düşünüyorum.

Aşağıda Scuba_Assessment_Report.xsl taslağı ile oluşturulmuş bir rapor görüntüsü var.

Dradis 2 – Güvenlik denetimlerinde bilgi paylaşımı

Güvenlik denetimi bir grup tarafından yapılıyor ve özellikle kişiler farklı yerlerde bulunuyorsa bilgi paylaşımı zorlaşabilir.

Dradis adlı yazılım, kişiler arası bilgi paylaşımı ve bulguların merkezi bir yerde toplanmasını sağlıyor.
Dradis’in 2.0 sürümü duyuruldu. Bu sürümde web arabirimi yenilenmiş ve bilgi paylaşımı mantığı biraz değiştirilmiş.

Ürünün anasayfasına buradan ulaşabilirsiniz. Ekran görüntüleri ve buradaki demo video ile de ürüne hızlıca göz atılabilir.

CVSS – Genel Açık Derecelendirme Sistemi


CVSS Nedir?

Genel Açık Derecelendirme Sistemi (CVSS, Common Vulnerability Scoring System), güvenlik açıklarının önem ve önceliklerinin belirlenmesi açısından risk seviyelerinin belirlenebilmesinde kullanılabilecek açık bir standarttır. Birbirleri ile uyumsuz, farklı seviye belirleme sistemlerinin yerine kullanılması amaçlanmıştır. CERT, Mitre, Cisco, Symantec, Microsoft, Qualys gibi güvenlik organizasyonları ve üreticiler tarafından kullanılmaya başlanan CVSS’in kullanımı, gittikçe daha yaygın hale gelmektedir.

CVSS Risk Seviyeleri
CVSS’in kullanımıyla, son kullanıcıya da bir güvenlik açığının önem ve risk seviyesinin sunulması amaçlanmaktadır. Risk seviyeleri üç ayrı kategori olarak hesaplanmaktadır. Bunlar; Temel Risk Seviyesi (Base Metric Scoring), Geçici Risk Seviyesi (Temporal Metric Scoring) ve Yapısal Risk Seviyesi (Environmental Score Metrics)’dir.

Temel risk seviyesi, güvenlik açığına özgü, zaman içerisinde veya yapıya göre değişmeyen, temel risk seviyesidir. Geçici risk seviyesi, güvenlik açığının zaman içerisinde değişebilecek risk seviyesidir. Yapısal risk seviyesi ise, güvenlik açığının organizasyon/firma yapısına olan etkisidir. Yapısal risk seviyesinin her organizasyon/firma için tekrardan hesaplanması gerekmektedir.

Kimler CVSS’i Nasıl Kullanabilir?
Payment Card Industry(PCI) onaylı güvenlik denetim firmaları, bilgi güvenliği organizasyonları, güvenlik denetimi yapan firmalar ve üreticiler CVSS’i kullanabilir.
İleride CVSS’in daha yaygın kullanılması durumunda, daha çok kişi CVSS risk seviyesini bir önkoşul olarak isteyecektir. Dolayısıyla şimdiden CVSS’in hizmet ve ürünlere entegre edilmesi rekabet açısından da faydalı olabilir.

Son kullanıcılar (organizasyonların bilgi güvenliği ekibi, bilgi işlem kadrosu vb.) CVSS’i Yapısal Risk Seviyesini hesaplamada kullanabilirler. Bunu hesaplayabilmek için gereken temel risk seviyesi ve geçici risk seviyesi üreticiler tarafından verilmektedir.

CVSS Risk Seviyesinin Hesaplanması
CVSS risk seviyeleri, CVSS standards guide dokümanına göre hesaplanabilir.
Bu işlem için CVSS Calculator denilen online arabirimler bulunmaktadır.
Türkçe olarak hazırladığım CVSS Risk Seviyesi Hesaplayıcıya buradan ulaşabilirsiniz.

Symantec Antivirus Reporting – SQL sifresinin degistirilmesi

Symantec AntiVirus Corporate Edition yazilimin 10.1 surumune, web tabanli bir raporlama ozelligi eklenmis.

Uygulama PHP ile yazilmis, verilerini MSSQL’de tutuyor. Kurulum icin IIS ve MSSQL gerektiriyor. PHP ile ilgili ek bir kurulum veya ayar yapmak gerekmiyor. Kendisini kurarken PHP’yi de /Reporting/ klasorunde calisacak sekilde ayarliyor. Varolan bir MSSQL kullanilmazsa veya urunun kurulacagi makina uzerinde MSSQL yoksa MSDE kuruyor olabilir. Ona dikkat etmemisim.

Urunu kurdugunuz makinanin bolgesel ayarlari (regional settings) Ingilizce olmazsa problem cikartiyor. Bunun disinda yaptigim bir kurulumda, veritabaninin collation ayarinin turkce olmasindan dolayi da problem ciktigini gordum. Yani yaratilan veritabaninin da collation ayarlarinin standart olmasi gerekiyor (Sanirim Latin1_General, code page 1252 olarak geciyordu).

Reporting web arabiriminden belirli raporlar alabildiginiz gibi, belirli olaylar karsisinda alarm uretilecek sekilde ayar yapabiliyorsunuz(alerts bolumunden). Bu alarmlar veritabanina yazilabilir, mail ile gelebilir veya alarm uretildiginde alert agent icerisinde ayarlamis oldugunuz bat dosyasi calistirilabilir.

Neyse, aslinda soyleyecegim bu degildi. Reporting’i kurdugum bir yerde, urunun MSSQL ‘e baglandigi sifreyi degistirmem gerekti. Sifreyi 3 farkli yerde degistirmek gerektigi icin, ihtiyaci olanlar aramasin diye dusunerek aktarmak istedim.

  1. ODBC ayarlari: Makinanin ODBC ayarlarinda “Reporting” DSN ayarini degistirmek gerekiyor (Start > Programs > Administrative Tools > Data Sources (ODBC) icerisinde System DSN bolumunde)
  2. “C:\Program Files\Symantec\Reporting Server\Web\Resources” klasoru icerisindeki “Reporter.php” dosyasini acarak, buradaki “dbpasswd” degiskenini degistirmek gerekiyor
  3. “C:\Program Files\Common Files\Symantec Shared\Reporting Agents\Win32” klasoru icerisindeki “Reporter.conf” dosyasinda bulunan “DBPWD” degiskenini degistirmek gerekiyor

Tum bu islemler yapildiktan sonra “Reporting Agents” servisi yeniden baslatilarak, urunun problemsiz calistigi web arabirimi uzerinden kontrol edilebilir.