ve sonunda oldu, Sun Microsystems'ı IBM'in almasını beklerken, ters köşe ile Oracle satın aldı. Haberi BBC'de gördüm, Oracle da web sayfasında doğruladı.
Merak edilenler arasında Solaris, Open Office, Open Solaris, Java, Mysql vb. birçok ürün yerini aldı. Gelecekte bu ürünlerin durumunun ne olacağı konusunda bir açıklama bekliyoruz.
Fatih Özavcı
IT Security Consultant
8. Linux şenliğinde vermiş olduğum seminere ait sunum aşağıdaki bağlantıda yer almaktadır. Sunumda sadece özgür yazılımlara (GPL) ve SIP ortamında denetim sürecine değindim; bu nedenle değinmediğim diğer araçların listesine (warvox vb.) sunumda da yer alan VoIPSA'nın araç listesinden temin edilebilir. Bir ara günlüğümde VOIP konusuna detaylıca da değinmek istiyorum, umarım vakit bulurum.
Özgür Yazılımlar ile VOIP Denetimi (Sunum)
Fatih Özavcı
IT Security Consultant
Linux şenliğimizin 8.si İstanbul Bilgi Üniversitesi'nde yapılacak. 17 Nisan 2009 Cuma günü (bugün) saat 15:30 itibariyle "Özgür Yazılımlar ile VOIP Denetimi" seminerim ile etkinliğe katkı sağlamaya çalışacağım. Daha önce duyurma imkanım olmadı, ancak şenliğin sitesinde uzunca bir süredir duyuru yer alıyor.
Seminerde VOIP denetiminin nasıl yapılabileceği ve özgür yazılımların denetim sürecindeki rollerini tartışacağız. Sadece araçları tanıtmaktan bir adım öteye giderek VoIP denetim sürecini anlatmayı, araçların ise hangi amaçlarla sürecin içinde yer aldığını anlatmaya çalışacağım. Seminer sunumunu da ilk müsait olduğumda yine burada paylaşacağım.
Fatih Özavcı
IT Security Consultant
Microsoft IIS web sunucusunda, sistemde komut çalıştırılmasına izin veren yeni bir "Sıfır Gün" güvenlik açığı yayınlandı. Henüz Microsoft tarafından güvenlik açığı doğrulanmadı ve bu nedenle henüz yayınlanmış bir yama bulunmuyor. Açığın kullanımı için hazırlanmış olan "Exploit" kodu ise Metasploit Framework paketine eklendiği doğrulandı.
Açığın oluşmasına neden olan sorun, sistem çekirdeğindeki güvenlik uzantılarının HTTP/1.1 ile gelen HEAD isteklerindeki Cookie başlık bilgisini hatalı yorumlamasından kaynaklanıyor. Özel üretilmiş bir paket kullanılarak sistem çekirdeğinin döngüye sokulması ve donanım seviyesinde sisteme erişim sağlanması mümkün görünmektedir. Güvenlik açığı Windows 2000, 2003, 2008 ve Vista üzerinde çalışmakta olan IIS sürümlerini etkilemektedir.
Saldırı tespit ve önleme sistemi geliştiricilerinin de konu ile ilgili araştırma yaptıkları, ancak henüz önleyici bir kural seti güncellemesi yayınlanmadığını da hatırlatalım.
Henüz açıklamalar netleşmese de kurumların Microsoft IIS kullanılan web sunucularını kapatması gerektiği birçok uzman tarafından ifade edilmiştir. Ayrıca 1 Nisan itibariyle hazırlanan ve duyurulan üçüncü parti bir yama ile Microsoft IIS'in güvenlik açığının giderilmesi mümkün görünmektedir. Yamanın sistem çekirdeğinin 2.6 serisi için hazırlandığı dikkate alınmalıdır.
Fatih Ozavci
IT Security Consultant
Ubuntu Linux dağıtımı dün "Full Disclosure" listesine bir e-posta gönderdi. "[USN-731-1] Apache vulnerabilities" başlıklı bir güvenlik duyurusu ile Apache paketlerini güncellediğini belirtti ve sistem yöneticilerinin güncelleme yapmasını önerdi.
Biz diyoruz ki (1,2) Microsoft'a ve Oracle'a güvenlik açığı bildirin ve unutun, nasıl olsa onlar da unutacak. Lakin Linux dağıtımlarının durumunun da -maalesef- pek parlak olmadığı ortada. Güvenlik açığı bulunduğunda üretici/geliştirici uyarılır (Yukarıdaki örnekte Apache Vakfı) , güvenlik duyurusu yayınlanması ve açığın kapatılması beklenir. Bu sürecin farklı adımları vardır, daha önce bu konularda da birşeyler (1,2) karalamıştım. Güvenlik açığı bir ortak yazılımda bulunmuş ise o zaman işler karışır, açığın duyurulması sırasında diğer dağıtımların durumu, açığın önceliği ve kapatılma yöntemi gibi çok şey devreye girer (1).
Gelelim konumuza Ubuntu Linux'un gönderdiği e-posta da atıfta bulunduğu açıklar : CVE-2007-6203, CVE-2007-6420, CVE-2008-1678, CVE-2008-2168, CVE-2008-2364, CVE-2008-2939. Apache bir güvenlik duyurusu sayfasına sahip ve orada bu açıklar ile ilgili duyurularını da yayınlamış. Gentoo Linux ise "6 Temmuz 2008"de ilgili açıkları bir güvenlik duyurusu ile duyurup kapatmış. Ubuntu Linux ise 8 ay beklemiş görünüyor -2007 yılının açığına hiç girmiyorum-, bu süre zarfında durumu farkeden kaç sistem yöneticisi Apache dağıtımını elle günceller ki ? Açıkların önem seviyesi, saptanan bileşen ve kurumlara etki türü şu anda konun dışında; çünkü illa ki bu durum birilerini ilgilendiriyor, yoksa niye duyurulsun.
Özetle, Linux sunucu kullanmak ta güvenlik duyurularını takip etmeyi, yama güncelleme kalitesini sorgulamayı ve hatta gerekiyorsa elle güncelleme yapmayı gerektiriyor. Bu konuda dağıtım seçiminin de bir kriter olduğu ve güvenlik önceliklerine uygun dağıtım kullanmanın gerekliliği de, altı çizilmesi gereken önemli bir noktadır.
Fatih Ozavci
IT Security Consultant
Microsoft dün itibariyle Microsoft DNS sunucusu, WINS sunucusu, SChannel ve GDI bileşenlerini ilgilendiren 3 adet güvenlik duyurusu yayınladı. Tabiki güvenlik duyurularında detaylı açıklama yok, klasik "specially crafted XXX package" veya "specially crafted XXX file" ile istismar edilen açıklar.
Microsoft Duyuruları (10 Mart 2009) :
MS09-006 – Critical: Vulnerabilities in Windows Kernel Could Allow Remote Code Execution (958690)
MS09-007 - Important: Vulnerability in SChannel Could Allow Spoofing (960225)
MS09-008 – Important: Vulnerabilities in DNS and WINS Server Could Allow Spoofing (962238)
Duyuruların detayında ayrıntı belirtilmese de 8 adet açığın duyurulduğu ve yamalandığı anlaşılıyor.
Geçtiğimiz hafta birçok ilginç gelişme vardı, vaktiyle yazamadım ama kısa kısa notlarımı paylaşmak istedim.
Warvox - Wardialing'in Yeniden Doğuşu
Metasploit'in geliştiricisi HD Moore tarafından Warvox isimli bir araç duyuruldu. Sözkonusu duyuru wardialing yönteminin yeniden doğuşu olarakta yorumlanabilir. Telefon hatları kullanılarak çağrı yapmak suretiyle cevap veren telefon numaraları ve cihazların türlerini saptamak Wardialing olarak bilinmektedir. Geçmişte arka kapı girişlerini saptamak, yönlendiricilerin yönetim arayüzlerine erişimleri saptamak ve uzak erişim sunucularını saptamak için kullanılmaktaydı. Wardialing yazılımları bir veya daha fazla modemi kullanarak aramalar yapmakta, alınan sinyallerin türüne göre cihazları kayıt etmekteydi. Warvox ise Wardialing yöntemini VoIP altyapısını kullanarak yeniden canlandırdı. Warvox, IAX uyumlu VoIP servis sağlayıcıları üzerinden çalışabilmekte ve çağrıların cevaplanması durumunda alınan sinyalleri veritabanından karşılaştırarak analizler üretmektedir. VoIP altyapısını kullandığı için modemlerden çok daha hızlı sonuçlar üretilmesini sağlıyor. VoIP analizlerinde, cihaz yönetiminde ve sistem sızma testlerinde birçok aşamada kullanımı mümkün görünüyor; ancak lisansının gayri-ticari olduğunu belirtmekte fayda var.
DjbDNS'te Güvenlik Açığı
DjbDNS, D.J. Bernstein tarafından geliştirilmiş ve güvenlik garantisi verilmiş olan bir DNS sunucusudur. Güvenlik garantisi nedeniyle çok sayıda sistem yöneticisi tarafından tercih edilmekte ve kullanılmaktadır. Geçtiğimiz hafta DjbDNS'te 2 adet güvenlik açığı bulunduğu, açıkların DNSCache bileşeninden kaynaklandığı ve tampon bellek zehirlemesinin mümkün olduğu duyuruldu. Daha önce Kaminsky tarafından duyurulan zehirleme saldırısından DjbDNS yaklaşık 40-45 saat civarında bir süre sonunda etkileniyor iken yayınlanan güvenlik açığı ile bu süre 2-18 dk. aralığına kadar düşüyor. D.J. Bernstein ve Jeff King tarafından güvenlik açıklarını kapatmak üzere yamalar (1, 2) yayınlandı. D.J. Bernstein 1.000$'lık ödülünü de Matthew Dempsky'nin kazandığını duyurdu, lakin web sitesinde bu konuya ilişkin birşeyler göremedim. Bu noktada DjbDNS'i DNSCache ile beraber kullanan kişilerin yamaları yüklemesi ve güncellemeleri önerilmektedir. Belirtmeden geçmemek lazım, DNS sunucusu kullanılacak ise sunulacak alan kayıtları ile geçici sorguların farklı sunucularda konumlandırılması, görev ayrıştırmasının yapılmasının gerekliliği bir kez daha ortaya çıkıyor. Kişisel hırslar/tatmin neticesinde geliştirilmiş ve desteği olmayan bir yazılım kullanımının, kurumsal güvenlik ile ne kadar örtüştüğü üzerine de birşeyler yazmak gerekiyor; ancak bu ayrı bir yazının konusu olacak kadar geniş bir tartışma.
Dradis - Sistem Sızma Denetmenleri Bilgi Paylaşım Aracı
Dradis ilk sürümüyle çok ilgimi çekmiş ve kendi projelerime nasıl entegre ederim diye uzun uzun düşünmüştüm. Düşünceler sırasında birçok eksiklik görmüş ve eklenmesi gereken şeylerin çokluğu beni bir süre daha adım atmamaya itmişti. Geçtiğimiz hafta Dradis'in de yeni sürümü duyuruldu, tamamen yenilenmiş ve geliştirilmiş bir araç olarak karşımıza çıktı. Konsept korunmasına rağmen ciddi değişiklikler var, bence daha kullanışlı olmuş. Hedef kitle biraz kısıtlı olduğu için inceledikten sonra nerede kullanılacağına karar vermek daha doğru olacaktır.
L0phtCrack'in Dirilişi
L0pthCrack, Windows şifre kırma yazılımlarının ilk gelişmiş aracı ve efsanesiydi. Symantec atStake'i satın alınca L0pthCrack'in fişini çekmişti. Bizler de Ophcrack , RainbowCrack ve Cain&Abel ile yolumuza devam ediyorduk. Unutmadan hatırlatalım RainbowCrack'in de 13 şubatta yeni sürümü duyuruldu. L0pthCrack'in geliştiricilerinin (Mudge ve Weld Pond) aracın haklarını geri aldığı, yeniden geliştirme çalışmalarına başladığı ve "SOURCE Boston" konferansına yetiştireceği duyuruldu. Yeni özellikleri arasında 64 bit mimaride çalışmak ta yer alıyor. Ancak biz zaten bu imkanlara sahip iken yeni ne vaad edeceğini tam olarak anlayamadım, yine de 12 Mart'ta yapacakları sunuma dikkat etmekte fayda var.
PS: Bu yazım Gezegen'e ilk inişim olacak -umarım kalıcı olur-, Oğuz Yarımtepe'ye de şimdiden teşekkürler. Genelde kendimce yazardım, birilerinin okuyacak olması biraz endişe de kattı hayatıma.
Fatih Özavcı
IT Security Consultant
Tübitak bir süre önce TR-CERT / TR-BOME (Bilgisayar Olaylarına Müdahale Ekibi) oluşturulması konusunda yetkilendirildi ve TR-BOME kuruldu. Kurulma aşamasında ve hemen sonrasında www.bilgiguvenligi.gov.tr adresinden Bilgi Güvenliği Kapısı yaşama geçirildi. Kurulma aşaması ile beraber TR-BOME için Bilgi Güvenliği Kapısı altında bir bölüm (Türkçe, İngilizce) açıldı ve bazı bilgileri paylaşıldı.
TR-BOME kurulduğu andan itibaren üretilen içerik olarak sadece www.bilgiguvenligi.gov.tr'den haberdarım, yazının bundan sonraki kısmını da ilgili site üzerinden ve e-posta listelerine gönderilen e-postalardan yola çıkarak hazırlıyorum. Yani bir başka kaynak var ise benim bilgim dahilinde değildir, dolayısıyla bilmeden yazmışımdır ve bu durum benim araştırma yapmamaktan kaynaklanan hatamdır.
TR-BOME için rekabet sıkıntısı, Tübitak'ın rekabet oyuncusu olmasından kaynaklanan sorunlar ve bağımsız kişilerin bu içeriğe destek vermesinin önündeki engelleri başka bir yazımda anlatmıştım. Bu nedenle aynı konuyu tekrar anlatmaya çalışmayacağım. Bu yazıda TR-BOME'nin yaptıklarını ve yapmadıklarını tartışmak istedim.
TR-BOME'nin web sayfasını incelediğimde "Hakkımızda" bölümünün, "Olay Bildirim Formu"nun ve Duyuru/Bildiri bölümlerinin içerik barındırdığını gördüm. Aklıma takılan aşağıdaki soruların cevaplarını site üzerinde bulamadım, yanılıyorsam yorumlarda bağlantı verebilirseniz sevinirim. Sıkça sorulan sorular bölümünde ise hiçbir soru/cevap görünmüyor, dolayısıyla orada da bir cevap bulamadım.
Önceki hafta "Bilgi Güvenliği" posta listesine attığım bir e-posta ve sonrasında gelişen yazışmalar sonucu Tübitak konusunda birçok tartışma oldu. Tübitak konusunda ve TR/Cert'ün yerleşimi konusunda duyduğum çok sayıda rahatsızlığı ilgili e-postada belirtmiştim. Bu rahatsızlıkları paylaşmak ve Tübitak'ın davranışları hakkındaki endişelerimin neler olduğunu net olarak ifade etmek istedim. Daha sonra bir başka yazı da TR/Cert ile ilgili düşünce, öneri ve endişelerim için yazacağım.
Tübitak'ın Bilgi Güvenliği alanındaki çalışmaları konusunda birçok rahatsız olduğum nokta var; ancak bu durum Tübitak'ın yaptığı diğer olumlu işleri (Geliştirilen ulusal kriptolama altyapısı, araştırma/geliştirme çalışmaları, kamusal bilgi güvenliği çalışmaları, diğer projeler {pardus vb.}) beğenmediğim anlamına gelmiyor. Şu unutulmamalı; bir kurumu/davranışı eleştirirken tarafın güzel/beğenilen hareketlerini de listelemek gereksiz ve yersizdir. Evet güzel çalışmalar yapmış olabilir, bir kısmını takdir de etmekteyim; ama bu durum benim rahatsız olduğum noktalar ile ilintili değildir.
Gerçekler ;
