Windows XP, Vista ve 7 işletim sistemlerinde kullanılabilen Microsoft’un ücretsiz antimalware yazılımı Microsoft Security Essentials (MSE) kullanıcılara duyuruldu. Yazılım virus, spyware, rootkit, trojan vb zararlı kodlar için gerçek zamanlı koruma sağlıyor.
Read the rest of this entry »
Dosyaları tamamen silme: Eski harddisk’e veda ederken…
Daha önce yazdığım Disk üzerinde veriyi tamamen silmek: 1 defa üzerine yazmak yeterli mi? yazısında, veriyi disk üzerinden tamamen silen yazılımlardan ve bu konudaki tartışmalardan bahsetmiştim.
Şahsi görüşüm kişisel kullanım için single-pass adı verilen yöntemle, sadece 1 defa tüm disk üzerindeki sektörlere 0 (sıfır) yazarak verinin silinmesinin yeterli olacağı yönünde. En azından standart veri kurtarma yöntemleri ile verinin kurtarılamayacağını ve disk wipe işleminin zamanını da düşündüğümüzde hızlı bir yol.
Read the rest of this entry »
Cisco, IPS ürününe IP reputation özelliği ekledi
Cisco, IPS(intrusion prevention system) ürününün 7.0 sürümüne IP reputation özelliği ekledi.
IP reputation veritabanları, Internet üzerinde zararlı aktivitede rol aldığı tespit edilen IP adreslerinden oluşuyor. Genelde anti-spam ürünlerinde spam engelleme amaçlı kullanan IP reputation özelliği, mail sunucusuna daha bağlantı gerçekleşmeden bağlantı isteklerini reddetmekte kullanılıyor. Bu sayede, örneğin spam mail gönderdiği belirli bir şekilde kanıtlanmış IP adreslerinin bağlantıları direk engellendiği için, bant genişliği kazancının yanında spam oranında da gözle görülebilir düşüşler gözlemleniyor.
Cisco’nun anti-spam ürünlerindekine benzer bir IP reputation veritabanını, saldırı tespiti ve engelleme amaçlı oluşturarak IPS ürününe gömmesi, Internet üzerinde belirli IP adreslerinden gelen otomatik saldırıların henüz IPS’e girmeden drop edileceği anlamını taşıyor.
Yine bu özellik, IPS’lerde oluşan alarmların risklerini derecelendirmede kullanılabilir.
Cisco’nun bu uygulaması ne kadar başarılı olur bilmiyorum ama benzer bir özellik diğer üreticiler tarafından da ürünlere entegre edilebilir.
Web güvenliği e-dergi yayın hayatına başladı
Web Güvenlik Topluluğu, Internet üzerinden ücretsiz olarak yayınlanacak bir e-dergi projesine başladı.
Türkçe kaynak konusundaki sıkıntıları gidermeye çalışan derginin, web güvenliğine ilgi duyan kişiler için merakla beklenecek önemli bir kaynak olacağını düşünüyorum.
Şu an 2 ayda bir yayınlanması düşünülen e-derginin ilk sayısı, içerik bakımından gayet doyurucu olmuş. Dergiye http://dergi.webguvenligi.org adresinden erişilebilir.
ISO 27001 Seminer Sunumları
Kalitest’in 18 Haziran’da düzenlediği İstanbul – ISO 27001 Bilgi Güvenliği Yönetim Sistemi Semineri sunumlarına buradan ulaşılabilir.
Doğası gereği biraz Kalitest reklamı içeren seminerde, en çok, özellikle gerçek yaşam tecrübelerinin aktarıldığı BKM’den Ercüment beyin sunumunu beğendim. Diğer faydalı sunumlar SPK Gökhan Özbilgin ve Akbank Necdet Almaç’ın sunumları oldu.
Sunumlar konuyla ilgilenenler için kaynak içerebilir.
Firefox icin web uygulama guvenlik denetimi eklentileri
Web uygulamalari guvenlik denetimlerinde faydali olabilecek Firefox eklentileri, burada bir araya toplanmis.
IstSec 2009 ve CTF
Daha onceden cesitli kanallarla duyurulari yapilan Istanbul Bilgi Guvenligi Konferansi, 10 Haziran Carsamba gunu yapildi.
Bu tarz urun/uretici bagimsiz etkinlikleri coktan hakkettigimizi ve hatta gec bile kalindigini dusunuyorum. Bir cok arkadas etkinlik Microsoft’un binasinda yapildigi icin, etkinligi Microsoft duzenliyormus gibi bir hava sezdi diye dusunuyorum. Bu etkinlik ise, yurt disindaki meshur blackhat, defcon benzeri seminerler cizgisinde bir etkinlikti. Microsoft sadece seminer icin yer sagladi, su verdi, cay verdi vs.
Sen suyunu, cayini ic, mekanina gel, yazilimlarini lisanssiz kullan, sonra da “Microsoft’tan boyle bir etkinlik beklemezdim” de… Olmaz.
Ben etkinligin cok guzel gectigini ve katilimin bekledigimden fazla oldugunu belirtmeliyim. Ismen bildigimiz, bir sekilde konustugumuz bir cok arkadasla tanisma/kaynasma firsati bulduk. Umarim etkinlik geliserek duzeyli bir sekilde devam eder.
Is geregi uretici ve distributorlerin hem bayi, hem musteri etkinliklerine de katildigim icin ben aslinda farkli bir ziyaretci profili bekliyordum diyebilirim. Acikcasi o kalabalik yerine, daha cok -hobbyist- guvenlikle ilgilenen ve merak duyan genc bir kitle gordum. Sanki bir LKD senligi kitlesi gibiydi. Bu da oldukca hosuma gitti.
Sunumlar cok guzeldi ve bir cogu pazarlama kokmuyordu. Acikcasi CTF juri uyesi oldugum icin sunumlari bastan sona dinleme firsatim olmadi. Ileride konular biraz daha derin, daha da detay teknik olabilir.
Katilimcilarin basindan sonuna kadar sunumlarda kalacaklarini dusunmemistim. Hatta neredeyse herkes seminerin sonuna kadar kaldi.
Gelelim CTF yarismasina
Capture the flag senaryo hazirlanmasi hakkinda sundance’in yorumlarina katiliyorum. Olmamasi gereken aksilikler de oldu.
Ama ben yarisma katilimcilarini daha farkli bekliyordum. Sayiyi net bilmiyorum ama 20-30 kisi son gune kadar katilacagini belirtmis ve gelmemisti. Bu nasil bir orandir inanamiyorum. Tamam bazi sorunlar, aksilikler olur ama ogrendigim kadariyla son dakikaya kadar teyid edilmis bir katilimci grubundan nasil olur da sadece 1 kisi katilmak icin oraya gelir.
Ankara’dan gelen bir lise ogrencisi. Kendisini cesaretinden, on hazirliklarindan ve hevesinden dolayi tebrik ediyorum. Keske yarismayi kazanabilseydi.
Ek olarak gelen katilimcilar ve gruplarla toplam sayi 6’yi buldu.
Ilk adim olarak istsec2009 gizli SSID’li bir wireless access point vardi ortamda. Backtrack CD’si ile boot etmis bir kullanici, kismet ile bunu gorup, sadece bunu kendisine tanimlamasi layer2 olarak baglanmasina yeterliydi.
Ortamda bir DHCP sunucusu olmadigi icin network’u sniff edip, IP blogunu gormesi ve kendisine o IP blogundan bir IP adresi vermesi gerekiyordu.
Ardindan artik layer3 seviyesinde baglandigi acik wireless network’te live sunuculari bulmaya calisacakti. 1 adet Linux sistem vardi bu agda.
Bence buraya kadar cok kolaydi ve “ben bu islerle ilgileniyorum” diyen adamin -aksilik cikmazsa- az zamanini almaliydi.
istsec2009 gizli SSID’si Huzeyfe tarafindan basta soylenmesine ragmen bu asama bekledigimden cok uzun surdu.
Ardindan, buldugu Linux sisteme SSH uzerinden girmesi gerekiyordu saldirganin. Username root , sifre 1234567890’di. Basit gibi gozukse de, brute-force’la cok uzun surecek bir sifre. Ancak dictionary attack veya tahmin yoluyla bulunabilirdi. Ben bunun, cok zor olmasa da, cok da kolay olmadigini dusunuyorum. (Ama heralde wordlist’lerinizde bu sifre vardir)
Sisteme ilk giren uyanik ve hizli bir arkadas root sifresini degistirmis :) Geri almasini ve dokunulmamasini rica ettik.
Linux sisteme root ile giren saldirgan, sistem uzerindeki istsec2009 dosyasini bulmaliydi. /tmp/.istsec2009 dosyasini yine beklenenden uzun bir sure kimse bulamadi.
Hatta boyle olunca, ben “acaba dosya disk uzerinde mount edilmemis bir bolumde mi bulunuyor” diye dusunmeye basladim.
Malesef denetimcilerin bazilarinin Linux bilgileri cok cok cok kotu. find komutunun nasil kullanildigini bilmeyenler vardi. (Uyanik yarismaci, baskalarini engellemek icin find komutu ile oynayabilir)
Burada da bir arkadas 2. bir istsec2009 dosyasi olusturarak icerisine “tebrikler kazandiniz” yazmis :)
3-5. asamalar bu linux sistemin 2. ethernet bacaginda bulunan 3 adet sistemi kapsiyordu. Bir web uygulama (WordPress Cookie Authentication Vulnerability), bir Windows sunucu(ms08-067) ve bir FreeBSD sisteme sizmalari gerekiyordu. FreeBSD adimi bastan iptal edildi.
Bu arada, 2. ethernet bacaginda bulunan IP bloguna erismek icin saldirganin hedef network icin makinasina bir route eklemesi gerekiyordu. Yine networking bilgi sorunu yasayan arkadaslar bu asamada takildi.
WordPress acigindan faydalanmaya en cok yaklasmis arkadasi gordugumuzde, zaman bittiginden dolayi, yarismanin da artik sonuna gelinmisti.
WordPress acigi hakkindaki zorluk yorumu:
– Oyuncu kendi kullandigi wordpress yazilimini aciklar ciktikca hem guncelliyor, hem de cikan aciklari inceliyorsa kolay.
– Bu aciklardan yararlanip, “orayi burayi hackledim” diye dolasanlara kolay.
– Internet erisimi varsa kolay.
– Oyuncu cikan aciklari takip ediyorsa nispeten kolay.
Bunun disinda zor olabilirdi.
Diger asamalara gecilemedi.
Orada kaybetmek ve bulunmak bile bence katilimcilara cok sey katti. Eminim bundan sonra ogrenme ve lab ortaminda calisma cizgilerini iyilestirecektir. Bir sonraki yarisma icin yeni cikan aciklari bile daha dikkatli takip edeceklerine eminim. Yarismacilarin, seminer aralarinda baslarina cok fazla insan toplandigi icin de baski altinda olduklarini belirtmek lazim.
Buradaki CTF yarismasi tecrubesi bir sonrakinin hem senaryo hem de kural olarak hazirlanmasinda etkili olacaktir. Bence bir sonraki daha da zevkli ve profesyonelce olacak.
Zevkli ve dolu bir gun gecirdik, organizasyonda emegi bulunan tum arkadaslara tekrar tesekkurler.
Comodo’dan ücretsiz disk şifreleme yazılımı
Comodo firmasının son kullanıcılar için ücretsiz anti-virus, firewall vb. ürünleri bulunuyor.
Comodo şimdi de ücretsiz disk şifreleme ürünü olan Comodo Disk Encryption yazılımını duyurmuş. TrueCrypt‘i sevemedim diyenler ürünü deneyebilirler.
Trend Micro IMSS ve IWSS’in aynı sunucuda çalıştırılması
Trend Micro’nun IMSS ve IWSS gateway ürünleri aynı sunucu üzerine kurulduğunda problem yaşanabiliyor.
Aşağıdaki adımları izleyerek aynı sunucu üzerinde problemsiz çalışmasını sağlayabilirsiniz:
- Önce IMSS’i problemsiz bir şekilde kurun, ayarlarını yapın ve çalışır hale getirin,
- Ardından IWSS’i kurun (IMSS ile aynı veritabanı sunucusunu kullanabilir, IWSS için yeni bir veritabanı yaratın),
Yazılımların yeni sürümlerinde ek olarak aşağıdaki ayarı yapmak gerekiyor:
- Linux üzerine kurulumlarda /opt/trend/iwss/data/tomcat/conf/server.xml dosyasını, Windows üzerine kurulumlarda ise “C:\Program Files\Trend Micro\InterScan Web Security Suite\tomcat\conf\server.xml” dosyasını bir metin editörü ile açın
bölümündeki port değerini, 8005 dışında servis vermeyen bir değerle değiştirin. Örneğin 8006.
Bu şekilde aynı sunucu üzerinde hem IMSS hem de IWSS yazılımlarınız problemsiz çalışacaktır.
TTNet’in SMTP erişimini kapatması
TTNet’in “Şimdi E-Posta Kutunuz Daha Güvenli” diyerek, dinamik IP adresli ADSL kullanıcılarına dışarıya doğru olan, tcp port 25, SMTP erişimini kapatması konusu gündemde. Türkçe meali “TTNet’in dış imajını, şimdi bu şekilde düzeltmeye çalışıyoruz”.
Huzeyfe Onal konu ile ilgili yorumlarını ve teknik detayını buradaki yazısında aktarmış. Okumanızı öneririm.
Burada benim şahsen rahatsız olduğum konu, 25. port’un dışarıya doğru olan erişiminin kapatılması. Yani erişim kısıtlamaları.
Bu arada bildiğim kadarıyla, bir süredir dinamik IP adresli ADSL’inize doğru dışarıdan 25. port erişimi yapılamıyordu.
Güvenlik denetimlerinde bazı testler için dinamik IP adresli ADSL hattımızı da kullanıyoruz. Bunun gibi port kısıtlamaları ve transparan proxy uygulamaları, güvenlik denetimlerindeki port taramalarını, servis tespiti ve diğer testleri etkiliyor.
Ayrıca IT ekiplerinin de troubleshooting açısından evlerinden bir şekilde 25. port’a baglantı denemeleri yapmaları mutlaka gerekecektir.
Bu durumda ne olacak? Yapılamayacak. Yasak.
Belki bu bahsettigim kısım, dinamik IP adresli ADSL kullanıcılarının %1’ini etkileyecektir. Peki bu azınlık ne yapacak?
TTNet, sözde özelleştirilen, aslında monopol olan bir yapı. 25. port’u kapatıyorum diyor, kapatıyor. Türkiye’de neredeyse herkes bundan etkileniyor. ISP’lerin destek maliyetleri artıyor, saç baş yolduran bir sürü benzer durum oluyor.
Bu engellemeye olan tepkiler, aslında web üzerinde olan kısıtlamaların da insanlarda birikmesi ile oluşuyor. “Ne oluyor, Türkiye Internet’i Çin yolunda mı ilerliyor” diye düşünülüyor.
Aslında belki %70’in üzerinde kullanıcı bunu farketmeyecek bile. Ama tepki veriyor. Buradaki yorum da bu noktayı biraz aydınlatmak için yazılmış.
Kullanıcılarımızı eğitemedikçe sansürlüyoruz, kısıtlıyoruz. Bu arada benim gibi bazı azınlıklar kendilerini küçük Çin’de hissediyorlar.