Siyah Şapka

Oracle Sun'ı Satın Aldı...

2009-04-20T15:21:00.002+03:00

ve sonunda oldu, Sun Microsystems'ı IBM'in almasını beklerken, ters köşe ile Oracle satın aldı. Haberi BBC'de gördüm, Oracle da web sayfasında doğruladı.

Merak edilenler arasında Solaris, Open Office, Open Solaris, Java, Mysql vb. birçok ürün yerini aldı. Gelecekte bu ürünlerin durumunun ne olacağı konusunda bir açıklama bekliyoruz.

Fatih Özavcı
IT Security Consultant

Özgür Yazılımlar ile VOIP Denetimi (Sunum)

2009-04-17T19:06:00.003+03:00

8. Linux şenliğinde vermiş olduğum seminere ait sunum aşağıdaki bağlantıda yer almaktadır. Sunumda sadece özgür yazılımlara (GPL) ve SIP ortamında denetim sürecine değindim; bu nedenle değinmediğim diğer araçların listesine (warvox vb.) sunumda da yer alan VoIPSA'nın araç listesinden temin edilebilir. Bir ara günlüğümde VOIP konusuna detaylıca da değinmek istiyorum, umarım vakit bulurum.

Özgür Yazılımlar ile VOIP Denetimi (Sunum)

Fatih Özavcı
IT Security Consultant

Özgür Yazılımlar ile VOIP Denetimi (Seminer)

2009-04-17T01:50:00.003+03:00

Linux şenliğimizin 8.si İstanbul Bilgi Üniversitesi'nde yapılacak. 17 Nisan 2009 Cuma günü (bugün) saat 15:30 itibariyle "Özgür Yazılımlar ile VOIP Denetimi" seminerim ile etkinliğe katkı sağlamaya çalışacağım. Daha önce duyurma imkanım olmadı, ancak şenliğin sitesinde uzunca bir süredir duyuru yer alıyor.

Seminerde VOIP denetiminin nasıl yapılabileceği ve özgür yazılımların denetim sürecindeki rollerini tartışacağız. Sadece araçları tanıtmaktan bir adım öteye giderek VoIP denetim sürecini anlatmayı, araçların ise hangi amaçlarla sürecin içinde yer aldığını anlatmaya çalışacağım. Seminer sunumunu da ilk müsait olduğumda yine burada paylaşacağım.

Fatih Özavcı
IT Security Consultant

Microsoft IIS'te Kritik Sıfır Gün Güvenlik Açığı

2009-04-01T10:30:00.003+03:00

Microsoft IIS web sunucusunda, sistemde komut çalıştırılmasına izin veren yeni bir "Sıfır Gün" güvenlik açığı yayınlandı. Henüz Microsoft tarafından güvenlik açığı doğrulanmadı ve bu nedenle henüz yayınlanmış bir yama bulunmuyor. Açığın kullanımı için hazırlanmış olan "Exploit" kodu ise Metasploit Framework paketine eklendiği doğrulandı.

Açığın oluşmasına neden olan sorun, sistem çekirdeğindeki güvenlik uzantılarının HTTP/1.1 ile gelen HEAD isteklerindeki Cookie başlık bilgisini hatalı yorumlamasından kaynaklanıyor. Özel üretilmiş bir paket kullanılarak sistem çekirdeğinin döngüye sokulması ve donanım seviyesinde sisteme erişim sağlanması mümkün görünmektedir. Güvenlik açığı Windows 2000, 2003, 2008 ve Vista üzerinde çalışmakta olan IIS sürümlerini etkilemektedir.

Saldırı tespit ve önleme sistemi geliştiricilerinin de konu ile ilgili araştırma yaptıkları, ancak henüz önleyici bir kural seti güncellemesi yayınlanmadığını da hatırlatalım.

Henüz açıklamalar netleşmese de kurumların Microsoft IIS kullanılan web sunucularını kapatması gerektiği birçok uzman tarafından ifade edilmiştir. Ayrıca 1 Nisan itibariyle hazırlanan ve duyurulan üçüncü parti bir yama ile Microsoft IIS'in güvenlik açığının giderilmesi mümkün görünmektedir. Yamanın sistem çekirdeğinin 2.6 serisi için hazırlandığı dikkate alınmalıdır.

Fatih Ozavci
IT Security Consultant

Ubuntu vs Gentoo (Apache Açıkları)

2009-03-11T12:48:00.003+02:00

Ubuntu Linux dağıtımı dün "Full Disclosure" listesine bir e-posta gönderdi. "[USN-731-1] Apache vulnerabilities" başlıklı bir güvenlik duyurusu ile Apache paketlerini güncellediğini belirtti ve sistem yöneticilerinin güncelleme yapmasını önerdi.

Biz diyoruz ki (1,2) Microsoft'a ve Oracle'a güvenlik açığı bildirin ve unutun, nasıl olsa onlar da unutacak. Lakin Linux dağıtımlarının durumunun da -maalesef- pek parlak olmadığı ortada. Güvenlik açığı bulunduğunda üretici/geliştirici uyarılır (Yukarıdaki örnekte Apache Vakfı) , güvenlik duyurusu yayınlanması ve açığın kapatılması beklenir. Bu sürecin farklı adımları vardır, daha önce bu konularda da birşeyler (1,2) karalamıştım. Güvenlik açığı bir ortak yazılımda bulunmuş ise o zaman işler karışır, açığın duyurulması sırasında diğer dağıtımların durumu, açığın önceliği ve kapatılma yöntemi gibi çok şey devreye girer (1).

Gelelim konumuza Ubuntu Linux'un gönderdiği e-posta da atıfta bulunduğu açıklar : CVE-2007-6203, CVE-2007-6420, CVE-2008-1678, CVE-2008-2168, CVE-2008-2364, CVE-2008-2939. Apache bir güvenlik duyurusu sayfasına sahip ve orada bu açıklar ile ilgili duyurularını da yayınlamış. Gentoo Linux ise "6 Temmuz 2008"de ilgili açıkları bir güvenlik duyurusu ile duyurup kapatmış. Ubuntu Linux ise 8 ay beklemiş görünüyor -2007 yılının açığına hiç girmiyorum-, bu süre zarfında durumu farkeden kaç sistem yöneticisi Apache dağıtımını elle günceller ki ? Açıkların önem seviyesi, saptanan bileşen ve kurumlara etki türü şu anda konun dışında; çünkü illa ki bu durum birilerini ilgilendiriyor, yoksa niye duyurulsun.

Özetle, Linux sunucu kullanmak ta güvenlik duyurularını takip etmeyi, yama güncelleme kalitesini sorgulamayı ve hatta gerekiyorsa elle güncelleme yapmayı gerektiriyor. Bu konuda dağıtım seçiminin de bir kriter olduğu ve güvenlik önceliklerine uygun dağıtım kullanmanın gerekliliği de, altı çizilmesi gereken önemli bir noktadır.

Fatih Ozavci
IT Security Consultant

Microsoft Duyuruları (MS09-00[6-7-8]) ve Teşekkürler

2009-03-11T12:10:00.003+02:00

Microsoft dün itibariyle Microsoft DNS sunucusu, WINS sunucusu, SChannel ve GDI bileşenlerini ilgilendiren 3 adet güvenlik duyurusu yayınladı. Tabiki güvenlik duyurularında detaylı açıklama yok, klasik "specially crafted XXX package" veya "specially crafted XXX file" ile istismar edilen açıklar.

Microsoft Duyuruları (10 Mart 2009) :
MS09-006 – Critical: Vulnerabilities in Windows Kernel Could Allow Remote Code Execution (958690)
MS09-007 - Important: Vulnerability in SChannel Could Allow Spoofing (960225)
MS09-008 – Important: Vulnerabilities in DNS and WINS Server Could Allow Spoofing (962238)

Duyuruların detayında ayrıntı belirtilmese de 8 adet açığın duyurulduğu ve yamalandığı anlaşılıyor.

MS09-008'de teşekkür edilen kişinin "Kevin Day" olması, önemli bir ayrıntı olarak dikkat çekiyor. "Kevin Day"i geçen haftadan DjbDNS'in DNSCache bileşenine yapılan Tampon Bellek Zehirlemesi saldırısından hatırlayacaksınız diye umuyorum.

Microsoft ne kadar detayını gizlese de, DjbDNS için açıklanan saldırının Microsoft DNS sunucusu için de geçerli olduğu görünüyor. Bu doğrultuda Internet kullanımına açık olan Microsoft DNS sunucularının ivedilikle güncellenmesi gerekmektedir. Güvenlik açığının yaygın bir kullanım yöntemi ortaya çıkmadıkça gerekli yamayı yüklemeyen sistem yöneticilerine duyurulur.

Fatih Özavcı
IT Security Consultant

Geçen Haftaya Bakış

2009-03-09T23:36:00.005+02:00

Geçtiğimiz hafta birçok ilginç gelişme vardı, vaktiyle yazamadım ama kısa kısa notlarımı paylaşmak istedim.

Warvox - Wardialing'in Yeniden Doğuşu
Metasploit'in geliştiricisi HD Moore tarafından Warvox isimli bir araç duyuruldu. Sözkonusu duyuru wardialing yönteminin yeniden doğuşu olarakta yorumlanabilir. Telefon hatları kullanılarak çağrı yapmak suretiyle cevap veren telefon numaraları ve cihazların türlerini saptamak Wardialing olarak bilinmektedir. Geçmişte arka kapı girişlerini saptamak, yönlendiricilerin yönetim arayüzlerine erişimleri saptamak ve uzak erişim sunucularını saptamak için kullanılmaktaydı. Wardialing yazılımları bir veya daha fazla modemi kullanarak aramalar yapmakta, alınan sinyallerin türüne göre cihazları kayıt etmekteydi. Warvox ise Wardialing yöntemini VoIP altyapısını kullanarak yeniden canlandırdı. Warvox, IAX uyumlu VoIP servis sağlayıcıları üzerinden çalışabilmekte ve çağrıların cevaplanması durumunda alınan sinyalleri veritabanından karşılaştırarak analizler üretmektedir. VoIP altyapısını kullandığı için modemlerden çok daha hızlı sonuçlar üretilmesini sağlıyor. VoIP analizlerinde, cihaz yönetiminde ve sistem sızma testlerinde birçok aşamada kullanımı mümkün görünüyor; ancak lisansının gayri-ticari olduğunu belirtmekte fayda var.

DjbDNS'te Güvenlik Açığı
DjbDNS, D.J. Bernstein tarafından geliştirilmiş ve güvenlik garantisi verilmiş olan bir DNS sunucusudur. Güvenlik garantisi nedeniyle çok sayıda sistem yöneticisi tarafından tercih edilmekte ve kullanılmaktadır. Geçtiğimiz hafta DjbDNS'te 2 adet güvenlik açığı bulunduğu, açıkların DNSCache bileşeninden kaynaklandığı ve tampon bellek zehirlemesinin mümkün olduğu duyuruldu. Daha önce Kaminsky tarafından duyurulan zehirleme saldırısından DjbDNS yaklaşık 40-45 saat civarında bir süre sonunda etkileniyor iken yayınlanan güvenlik açığı ile bu süre 2-18 dk. aralığına kadar düşüyor. D.J. Bernstein ve Jeff King tarafından güvenlik açıklarını kapatmak üzere yamalar (1, 2) yayınlandı. D.J. Bernstein 1.000$'lık ödülünü de Matthew Dempsky'nin kazandığını duyurdu, lakin web sitesinde bu konuya ilişkin birşeyler göremedim. Bu noktada DjbDNS'i DNSCache ile beraber kullanan kişilerin yamaları yüklemesi ve güncellemeleri önerilmektedir. Belirtmeden geçmemek lazım, DNS sunucusu kullanılacak ise sunulacak alan kayıtları ile geçici sorguların farklı sunucularda konumlandırılması, görev ayrıştırmasının yapılmasının gerekliliği bir kez daha ortaya çıkıyor. Kişisel hırslar/tatmin neticesinde geliştirilmiş ve desteği olmayan bir yazılım kullanımının, kurumsal güvenlik ile ne kadar örtüştüğü üzerine de birşeyler yazmak gerekiyor; ancak bu ayrı bir yazının konusu olacak kadar geniş bir tartışma.

Dradis - Sistem Sızma Denetmenleri Bilgi Paylaşım Aracı
Dradis ilk sürümüyle çok ilgimi çekmiş ve kendi projelerime nasıl entegre ederim diye uzun uzun düşünmüştüm. Düşünceler sırasında birçok eksiklik görmüş ve eklenmesi gereken şeylerin çokluğu beni bir süre daha adım atmamaya itmişti. Geçtiğimiz hafta Dradis'in de yeni sürümü duyuruldu, tamamen yenilenmiş ve geliştirilmiş bir araç olarak karşımıza çıktı. Konsept korunmasına rağmen ciddi değişiklikler var, bence daha kullanışlı olmuş. Hedef kitle biraz kısıtlı olduğu için inceledikten sonra nerede kullanılacağına karar vermek daha doğru olacaktır.

L0phtCrack'in Dirilişi
L0pthCrack, Windows şifre kırma yazılımlarının ilk gelişmiş aracı ve efsanesiydi. Symantec atStake'i satın alınca L0pthCrack'in fişini çekmişti. Bizler de Ophcrack , RainbowCrack ve Cain&Abel ile yolumuza devam ediyorduk. Unutmadan hatırlatalım RainbowCrack'in de 13 şubatta yeni sürümü duyuruldu. L0pthCrack'in geliştiricilerinin (Mudge ve Weld Pond) aracın haklarını geri aldığı, yeniden geliştirme çalışmalarına başladığı ve "SOURCE Boston" konferansına yetiştireceği duyuruldu. Yeni özellikleri arasında 64 bit mimaride çalışmak ta yer alıyor. Ancak biz zaten bu imkanlara sahip iken yeni ne vaad edeceğini tam olarak anlayamadım, yine de 12 Mart'ta yapacakları sunuma dikkat etmekte fayda var.

PS: Bu yazım Gezegen'e ilk inişim olacak -umarım kalıcı olur-, Oğuz Yarımtepe'ye de şimdiden teşekkürler. Genelde kendimce yazardım, birilerinin okuyacak olması biraz endişe de kattı hayatıma.

Fatih Özavcı
IT Security Consultant

TR-CERT/TR-BOME Hakkında Karalamalar...

2009-02-22T14:08:00.006+02:00

Tübitak bir süre önce TR-CERT / TR-BOME (Bilgisayar Olaylarına Müdahale Ekibi) oluşturulması konusunda yetkilendirildi ve TR-BOME kuruldu. Kurulma aşamasında ve hemen sonrasında www.bilgiguvenligi.gov.tr adresinden Bilgi Güvenliği Kapısı yaşama geçirildi. Kurulma aşaması ile beraber TR-BOME için Bilgi Güvenliği Kapısı altında bir bölüm (Türkçe, İngilizce) açıldı ve bazı bilgileri paylaşıldı.

TR-BOME kurulduğu andan itibaren üretilen içerik olarak sadece www.bilgiguvenligi.gov.tr'den haberdarım, yazının bundan sonraki kısmını da ilgili site üzerinden ve e-posta listelerine gönderilen e-postalardan yola çıkarak hazırlıyorum. Yani bir başka kaynak var ise benim bilgim dahilinde değildir, dolayısıyla bilmeden yazmışımdır ve bu durum benim araştırma yapmamaktan kaynaklanan hatamdır.

TR-BOME için rekabet sıkıntısı, Tübitak'ın rekabet oyuncusu olmasından kaynaklanan sorunlar ve bağımsız kişilerin bu içeriğe destek vermesinin önündeki engelleri başka bir yazımda anlatmıştım. Bu nedenle aynı konuyu tekrar anlatmaya çalışmayacağım. Bu yazıda TR-BOME'nin yaptıklarını ve yapmadıklarını tartışmak istedim.

TR-BOME'nin web sayfasını incelediğimde "Hakkımızda" bölümünün, "Olay Bildirim Formu"nun ve Duyuru/Bildiri bölümlerinin içerik barındırdığını gördüm. Aklıma takılan aşağıdaki soruların cevaplarını site üzerinde bulamadım, yanılıyorsam yorumlarda bağlantı verebilirseniz sevinirim. Sıkça sorulan sorular bölümünde ise hiçbir soru/cevap görünmüyor, dolayısıyla orada da bir cevap bulamadım.

TR-BOME'nin hakkımızda bölümünde gönüllülük esasına göre çalıştığı belirtiliyor. TR-BOME'nin kendi ekibinin varlığı, görev dağılımı ve ana görevlerde yer alan personel bilgisi açıklanmamış; kişi isimleri gizli ise sitenin içindeki yazılarda paylaşıldığını hatırlatırım.
TR-BOME'nin gönüllülük esasında beklediği katkının ne olduğu ve bu konuda katkı sağlayanlara hangi imkanları sunabileceği belirtilmemiş. Konuların neler olduğu belirtilmeyince insanların nasıl gönüllü olması beklenir ? Konular kısmında ise siteye makale yazmak değil de araştırma yapmak, güvenlik standart belgeleri hazırlamak, etkinliklerde veya organizasyonda aktif katılım aklıma geliyor. Eğer bu konu açığa kavuşturulursa ikinci soru da katılım sağlanacak etkinliklerde yol-konaklama giderlerinin ve diğer masrafların karşılanıp karşılanmayacağıdır, birçok dernek bu tür katkıları sağlayarak gönüllülük esasındaki çalışmalara hız verebiliyor.
TR-BOME'nin hakkımızda bölümünde belirttiği eğitim ve danışmanlık hizmetlerinin ücretsiz/ücretli olduğu belirtilmemiş. Sanırım soru sormadan bu konuda da cevap almak pek mümkün değil, kaldı ki kurum yöneticilerinin bu tür bilgilere dayanarak atacakları adımlar olacaktır ve birçoğu sadece sorular ile böyle bir bilgiyi alırken dahi vazgeçeceklerdir. TR-BOME, bilgi güvenliği konusunda hevesli ve çalışmaya hazır, sadece kendilerine rehber bekleyen bir müşteri/hedef kitle bekliyor ise çok yanılıyor. O insanlara birşeyler verebilmek için dahi çok fazla emek sarfetmek gerekir, zamanında çaba sarfettik tecrübe ile söylüyoruz.
Eğitim ve danışmanlık hizmetlerinin koşulları, eğitmen/danışman bilgileri ve kurum tarafından sunulacak hizmetlerin ek şartları da belirtilmemiş.
TR-BOME "Olay Bildirim Formu" hazırlamış, birçok açıdan çok güzel görünebilir ancak ortada "OLAY" tanımı dahi bulunmuyor. TR-BOME'ye göre "OLAY" tanımı nedir (Evet Incident yerine kullanılmış ama içinde ne var, mesela MSN çalınması kapsamda yer alıyor mu) ? Bildirim sonrasında atılacak adımlar nelerdir, insanlar neden böyle bir bildirimde bulunacaklar ?
TR-BOME "OLAY" kavramı içine giren durumların sadece bildirim formu ile gelmesini mi beklemektedir ? Ulusal ve Uluslararası e-posta listeleri, güvenlik siteleri, günlükler ve basın gibi kaynaklarda takip ediliyor ve görev/ihbar kabul ediliyor mu ? Sonrasında atacağı adımlar ve aşamaların neler olduğu listelenmemiş.
Kurulma işlemi sonrasında yapılan çalışmalar ile ilgili bir bilgilendirme raporu veya bildiri göremedim. Siteyi incelediğimde gördüğüm ise güvenlik sitelerinde olduğu gibi belge, makale ve klavuz hazırlamakla kısıtlı çalışmalar olduğu. Bazı çalışmaların olduğunu ise üstü kapalı bildirimler ile öğrendim, ancak gördüğüm kadarıyla şeffaflıktan sınıfta kalıyorlar.
Olaya müdahale sırasında ve sonrasında elde edilen bilgileri ne tür bir gizlilik ile koruyorlar. Gizlilik prensipleri bölümünde "Bilgiler Güvenlik Politikasına Uygun Korunmaktadır" denmiş, lakin ortada bir güvenlik politikası varmı ? ilgilendiren bölümü paylaşılmış mı ?
Tübitak'ın ağ güvenliği hizmeti satan/sunan bölümlerinin TR-BOME verilerine erişim imkanı bulunmaktamıdır ? Gizlilik prensipleri kurum içi gizliliği mi bölüm içi gizliliği mi kastetmektedir ?

Daha pek çok soru aklıma geliyor, eminim sizlerinde aklına çok şeyler gelmiştir. TR-BOME bizim çok şey beklediğimiz bir organizasyondur, bu nedenle yapılan çalışmaların sadece bir güvenlik sitesi açmak olması yeterli değildir. Güvenlik sitesine içerik beklerken dahi "Site yaptık, o zaman yazmamaları onların suçu" yaklaşımı da ayrı saçmadır, davet türü ve beklenen desteğin gelmesinin önündeki sorunların azaltılması gibi konular umursanmamakta mıdır ?

TR-BOME ile ilgili en önemli eleştirim ise devlet koruma kalkanına sahip tüm kurumlar gibi sorgulamaya ve şeffaflığa sonuna kadar kapalı olmalarıdır. Sitede yapılan çalışmalar, projeler veya araştırma raporlarına dair hiçbir şey bulunmuyor. Yukarıda ki sorular konusunda dahi ("Bilgi Edinme" bölümü var oradan girerseniz cevaplarız) yaklaşımını benimsemeleri bu durumun en somut göstergesi. Benzer bir organizasyon "ÖZEL" bir kuruma verilseydi şu ana kadar nasıl bir e-posta bombardımanı, araştırma raporları, çalışmalar ve içerik görürdük hayal edin.

TR-BOME ile ilgili gördüğüm tek basın bağlantısını da aşağıda paylaşıyorum. TR-BOME'nin kurulduğu, araştırmaları ve diğer çalışmalarının değil; sadece bir anti-virüs firmasından farksız olarak Virüs uyarısı göndermesi nasıl karşılanmalıdır ? Sanırım hepimiz bu tür duyuruların kendilerinin görevi olduğu konusunda hem fikiriz, bence garip olan TR-BOME'nin başka bir haberinin olmamasıdır.

TÜBİTAK'tan Virüs Uyarısı
http://www.hurriyet.com.tr/teknoloji/10882829.asp

Fatih Özavcı
IT Security Consultant

TUBITAK, REKABET ve TR/Cert

2009-02-06T12:19:00.008+02:00

Önceki hafta "Bilgi Güvenliği" posta listesine attığım bir e-posta ve sonrasında gelişen yazışmalar sonucu Tübitak konusunda birçok tartışma oldu. Tübitak konusunda ve TR/Cert'ün yerleşimi konusunda duyduğum çok sayıda rahatsızlığı ilgili e-postada belirtmiştim. Bu rahatsızlıkları paylaşmak ve Tübitak'ın davranışları hakkındaki endişelerimin neler olduğunu net olarak ifade etmek istedim. Daha sonra bir başka yazı da TR/Cert ile ilgili düşünce, öneri ve endişelerim için yazacağım.

Tübitak'ın Bilgi Güvenliği alanındaki çalışmaları konusunda birçok rahatsız olduğum nokta var; ancak bu durum Tübitak'ın yaptığı diğer olumlu işleri (Geliştirilen ulusal kriptolama altyapısı, araştırma/geliştirme çalışmaları, kamusal bilgi güvenliği çalışmaları, diğer projeler {pardus vb.}) beğenmediğim anlamına gelmiyor. Şu unutulmamalı; bir kurumu/davranışı eleştirirken tarafın güzel/beğenilen hareketlerini de listelemek gereksiz ve yersizdir. Evet güzel çalışmalar yapmış olabilir, bir kısmını takdir de etmekteyim; ama bu durum benim rahatsız olduğum noktalar ile ilintili değildir.

Gerçekler ;

Tübitak, özel şirketlere bilgi güvenliği alanında denetim ve danışmanlık hizmetleri satmaktadır; yani bilgi güvenliği hizmet pazarının "REKABET EDEN BİR OYUNCUSUDUR".
Tübitak bir kamu kuruluşudur, kamusal görevleri ve sorumlulukları bulunmaktadır.
TR/Cert, Türkiye'nin ihtiyaç duyduğu ve bilgi güvenliği konusunda yaşadığımız birçok eksikliği giderebilecek organizasyondur.
TR/Cert bir kamusal görev olarak değerlendirilmiş ve Tübitak bu doğrultuda yetkilendirilmiştir.
Tübitak, Türkiye'nin tüm bilgi güvenliği uzmanlarını bünyesinde toplamamıştır; Türkiye'de özel şirketler için çalışan ve Tübitak'ın sahip olduğundan çok daha fazla bilgi güvenliği uzmanı bulunmaktadır.

Kamusal görev olan TR/Cert, bir rekabet unsuru olarak kullanılmasa dahi haksız rekabeti doğuracak bir olgudur. TR/Cert görevleri doğrultusunda kuruluşlara "güvenlik ihlali müdahale", "güvenlik bilinci arttırılması" ve "güvenlik organizasyonu yapılandırılması" konularında bedelsiz/kamusal hizmetler sunacaktır. Söz konusu hizmeti alan kuruluş çalışmalarını devam ettirmek, teknoloji ve hizmet yatırımı yapmak istediğinde ise izleyeceği bir yol olacaktır. Pazar oyuncularını (hizmet sağlayıcıları) davet edecek ve çözüm önerilerini, fiyatı içeren bir teklif dahilinde isteyecektir. TR/Cert'ün de içinde bir bölüm olduğu Tübitak'ın bir başka bölümü ise çalışmalarını ve fiyat teklifini bu kapsamda iletecektir. Bu durum dünyanın neresinde olursa olsun "HAKSIZ REBAKET" olarak değerlendirilir ve cezalandırılır.

Bu durum sadece rekabet rahatsızlığı yaratmayacaktır; TR/Cert'e destek vermek isteyen ve çalışma hayatını belirtilen "RAKİP" kurumlarda çalışan insanların geri adım atmasına neden olacaktır. Pazar rekabeti içinde bulunulan bir kuruma çalışmalarında "ÜCRETSİZ" yardım edilmesini beklemek ve böyle önemli organizasyonların desteklenmesini istemek ise en iyimser ifade ile "SAFLIK" olacaktır. TR/Cert'e belirtilen sebeple yardımcı olamayan/olmayan kişilerin, kar amacı gütmeyen bağımsız dernek ve kuruluşlarda yaptığı çalışmalar ise TR/Cert'e aktarılamayacaktır.

Yukarıda ki tanıma uyan, kamusal görev ve ticari rekabeti beraber devam ettiren çok sayıda kamu kuruluşu bulunmaktadır. Geçtiğimiz yıllarda belirtilen şartlardaki kamu kuruluşlarından bazıları özel şartlarla satılmıştır. Türk Telekom örneği düşündürücü ve çarpıcı örneklerden sadece biridir. Kamu görevleri icra eden, gelir elde eden ve alanında tekel olan Türk Telekom özelleştirildi. Özelleştirme süreci öncesinde PTT ve Türksat şirketlerine belirtilen kurumun görevlerinden bazıları aktarıldı; özelleştirmeye konu olan Internet altyapısı ve İletişim altyapısı halen ilgili kurumun hizmet verdiği alanda tekel olmasını sağlamaktadır. Kamusal görevler arasında yer alan "iletişim güvenliği" konusunda ise Askeri önlemler (özel bir iletişim altyapısı) ve kamusal önlemler geliştirildi.

Anlatılan koşullar çerçevesinde;

TR/Cert'e sadece Tübitak (yeni/eski)çalışanlarının veya hizmet alan kurum bünyesindeki kişiler destek verecek; önemli bir danışman/denetmen/eğitmen kitlesi icraat esnasında (sözde olmasa bile) dışlanacaktır.
TR/Cert ile Tübitak kendisine "Bilgi Güvenliği" çalışma alanı için "REKABET BOZAN" bir özellik kazandırmıştır.
Tübitak'ın tamamen veya kısmen özelleştirilmesi söz konusu olduğunda (böyle birşey hayalidir, hatta kabusidir) ise zaten bozulmuş olan "REKABET", "ULUSAL BİLGİ GÜVENLİĞİ POLİTİKASI", "HİZMETTE ELDE EDİLEN BİLGİLERİN GİZLİLİĞİ" ve birçok prensip rahatsızlık uyandıracaktır.

TR/Cert'ün önemli zarar görmesi, ticari faaliyette bulunan Tübitak'ın geleceği, kamusal hizmet ile ticari faaliyetin karıştırılması dışında zararlarda vardır.

Özel şirketlerin hizmet aldıkları Tübitak; hizmet zararını göze alabilmekte, çalışanlarını farklı bütçeler altında eğitebilmekte ve çok sayıda çalışanı bünyesinde barındırabilmektedir. Bu durum maliyetlerin azalması, hizmet bedellerinin ve kalitenin zamanla düşmesi sonucuna da gidecektir. Belirtilen düşük maliyet ve zarar ise sadece sermayesi güçlü olan kurumlar tarafından kaldırılır; belirtilen örnekteki "BİLGİ GÜVENLİĞİ HİZMET/ÜRÜN PİYASASI" için sermaye rahatlığı içindeki tek kurum TUBITAK'tır. Zaman içinde küçük hizmet şirketleri, özel bir alanda hizmet sunmak için kurulan şirketler veya büyük oyuncular piyasadan silinecektir. Bu durumu görmek için pazar analizi yapılmasına gerek yoktur; oluşan Türkiye Internet altyapısı ve hizmet sunan kurumların durumu da incelenebilir. Müşteriler için başlangıçta "UCUZ" olan hizmet bir süre sonra kalitesiz, otomatize ve yetersiz olacak; zamanla oyuncular silindikçe ve tekel oluştukça "PAHALI" olacaktır. Pazardaki hizmet sunan küçük kurumların yok edilmesi ve hizmet kalitesinin yetersizliği sonrasında ise YABANCI kurumların Türkiye temsilciliklerinden hizmet alınacak; hatta "BU KONUDA ÇALIŞAN BİR TÜRK FİRMASI DAHİ YOK, HEPSİNİN KALİTESİ YERLERDE" denilebilecektir.

Özetle; TR/Cert kanaatimce sorunlu doğmuştur. TR/Cert gibi yıllarca kurulması için çaba gösterdiğimiz kurum, içeriğine sağlanacak katkılara engeller ile oluşturulmuştur. TR/Cert'ün Tübitak tarafından kullanılış tarzına bağlı olarak "REKABET BOZAN" yapısı ileride çok ciddi tehlikeler oluşturacaktır. TR/Cert'ün bünyesinden ayrılması durumunda dahi Tübitak'ın "REKABET İHLALİ" yaptığı noktalar bulunmakta ve kamusal fayda ile uyuşmamaktadır. Türkiye'nin bilgi güvenliği çalışma alanındaki "Araştırma/Geliştirme" yapan özel şirketlerin sayısının azlığı, hizmete (yabancı kökenli ürünlere değil) yatırım yapan hizmet/ürün sunan şirketlerin azlığı ve piyasada bulunan hizmet bedelleri incelendiğinde, gelecekteki tehlike daha net görülebilir. Halen birçok kurum bilgi güvenliği hizmetlerini -daha iyi oldukları gerekçesi ile- çok yüksek meblağlar ile yurtdışı kökenli -bünyesinde türk mühendislerini kullanan- firmalardan almaktadır.

Fatih Özavcı
IT Security Consultant

Etik! Etik! Diyeni Meşe Odunuyla Dövmek

2009-01-31T23:42:00.010+02:00

Bir su tesisatçısının etik olması söz konusu mudur ? Gelir, musluğu değiştirir ve gider. Musluğun bozuk olması, damlatması veya montajı sorunlu ise işini doğru yapmıyordur. Ama genel olarak muslukçuyu etik olmamakla suçlayamazsınız; sadece parasını verdiğiniz işi yapıp yapmaması ile yargılarsınız. Başka yerlerde muslukların veriminden, yeni modellerden ve kendisinin tercihlerinden bahsettiğinde "etik olarak yanlış, bir daha bu adama musluklarımı değiştirmeyeceğim" denmez, diyenini görmedim. Oysa doktorun yazdığı ilaçlar, seçtiği tedavi yöntemi, dene(k/y)leri ve ötanaziye bakışı önemlidir; kendinizi ona göre emanet edersiniz. Sadece muslukçu yoktur; tamirci, lastikçi, kapıcı ve manav vardır. Doktor da yanlız değildir, avukat, polis ve hatta çilingir de aynı kategoriye girebilir.

Meslek seçimini yaparken uyulması gereken kuralları veya genel kriterleri de bilmelisiniz. Bilgi güvenliği işi çok hassas dengeler üzerinde yürümektedir, atacağınız adımların güven/etik gibi kavramlar ile sorgulandığını görürsünüz. Bilgi güvenliği, çok sayıda kişinin çalışmak için seçtiği bir alandır ve kendine özel kriterleri vardır. Bu kriterler farklı alanlarda farklı isimler ile anılır; sonuçta sizin yaptığınız tüm hareketler ile beraber yargılandığınızı farkedersiniz. Yazdığınız makaleler,yaptığınız yorumlar, araçlar, dahil olduğunuz gruplar, arkadaşlarınız ve panellerdeki katılımınız başlıca incelenecek işlemlerdir. Böylece müşteriler en hassas bilgilerini size emanet edip etmemeye karar vereceklerdir.

Bilgi güvenliğindeki çalışma alanlarından birinde ise etik doruklarda gezer; sistem sızma denetimleri.Sistem sızma kavramını bilmeyenler için Penetration, Hacking, Ethical Hacking gibi kavramların yerine kullandığımı hatırlatayım. Eğer sistem sızma denetimi yapıyor iseniz ahlaki sorgulamalara daha çok maruz kalırsınız, kaldı ki Ethical Hacking dikkatinizi çekmiştir. Bu sorgulamanın nedeni ise denetmenlerin, hedef sistemde bir güvenlik açığını araştırması ve bu araştırma sonrasında bulguları müşteriye raporlamasıdır. Kötü olasılıklar ise açığın kullanımı ile bundan çıkar elde etmesi, bu açık ile övünmesi veya açığı kullanım içeride bir arka kapı bırakara sonrası için yatırım kararı alması.

Sistem sızma ve genel güvenlik ile ilgili işlerde, müşteriler tarafından yetkinliği algılamak adına sertifika sorgulaması yapılır. CISSP (Certified Information Systems Security Professional) ve CEH (Certified Ethical Hacker) sertifikaları beraberinde yukarıdaki bahsedilen etik kavramını asgari koşulları içinde anarlar. Aşağıda "Code of Ethics"ten yapılmış bir alıntı var.

---- ALINTI-----
Code of Ethics Canons:

Protect society, the commonwealth, and the infrastructure.
Act honorably, honestly, justly, responsibly, and legally.
Provide diligent and competent service to principals.
Advance and protect the profession.

---- ALINTI-----

Ülkemizde ise ilgili sertifikalara sahip olduğunu her fırsatta belirtmek isteyen, yazılarının altına ekleyen, hatta eğitmeni olan arkadaşlarımız söz konusu etik konusunda kafamda soru işareti oluşturan çok sayıda hareket yapıyorlar. Bir güvenlik açığını bulmak ve yayınlamak konusunda izlenebilecek yollar vardır; ancak bir kurumun kaynaklarının üzerindeki zaafiyetleri konuşurken -eğer yukarıda yazan gerçeklerin farkındaysanız- uymanız gereken kurallar vardır. İzlenebilecek olan yollar ile uyulması gereken kurallar arasındaki fark "etik zorunluluktur". Beni rahatsız eden hareketler ise tam bu konuda ortaya çıkıyor.

Etik olacağını, yaptığı hareketlerin onurlu olacağını "vaad eden" kişiler, özellikle bir kurumun kaynaklarındaki açığı kamuyla paylaşma lüksüne sahip değildir; açar aldığı sertifikanın referanslarını ve doğru yollardan birini seçerek çözüme kavuşturur. Yani özünde amaç güvenlik açığını barındıran kurumun zarar görmemesini sağlamaktır, ayrıca güvenlik açığının kapattırılması da amaç ise ortası bulunur. Genel kullanımı olan bir ürünün -Örnek Microsoft IIS- açığını tartışmak farklıdır, bir kurumun web sitesindeki sorunu tartışmak - Örnek Microsoft'un web sayfasında halen devam eden SQL sorguları değiştirme açığı- farklıdır. İkisini karıştırıyor iseniz, bir kurumun yüklenmemiş yamalarından bahsetmeye devam eder iseniz, kurumdaki yetkililerin bu konuda sahip oldukları birçok iş kuralı nedeniyle yaşadıkları sorunları görmezden geliyor iseniz; ETİK DEĞİLSİNİZDİR, başka birşeysinizdir. Kurumun ilgili açığı duyurmanızdan veya alenen tartışmanızdan göreceği zarar sizi ilgilendirmiyor yanılgısında olabilirsiniz; ancak yarın güvenliğini sağlamak/denetlemek zorunda kalacağınız kurum size bunların karşılığını sorabilir.

Etik olmak demek bir güvenlik açığını duyurmamak, hasır altı etmek, dünyayı toz pembe saymak değildir; -konuştuğumuz konu sınırlarında- güvenlik açığını kapatmak ve kurumun açığını gidermek noktasında, kurumun ve kamunun zarar görmemesini sağlamaktır. Açığı kapattırmak istiyor iseniz bunun nasıl yapılacağı üzerinde yazılmış çok şey bulunmaktadır; bir çıkış noktası olması adına sadece bir yolu içeren kişisel tecrübemi aşağıda paylaşıyorum. Birçok farklı yol, yöntem ve doğru olabilir; ama hedef kurumların ve kamunun zarar görmesini engellemektir. Bazen kamu ve kurum zararı çakışabilir, böyle bir durumda orta yolu bulmakta o kişinin asli görevlerinden biridir; kimse size bu işin kolay olduğunu söylemedi.

Bir Güvenlik Açığını Yayınlamak
http://www.bilgiguvenligi.org/2007/05/bir-gvenlik-yaynlamak.html

Fatih Ozavci
IT Security Consultant

Servis Engellemenin Reddi Ritueli

2009-01-28T22:59:00.013+02:00

Sistem sizma denetimlerinde hep uzun istekler listesi goruruz, istenmeyen listesi ise tek bir maddeden olusur, servis engelleme saldirilari. Bu yazi servis engelleme saldirilarinin istenmemesi ve yan etkilerini tartismak icin hazirlanmistir. Normal bir denetim asamasinda dahi bu karara ne kadar bagli kalinabildigi ve kararin etkilerine olabildigince deginmeye calistim. Servis engelleme denetimleri uzerine yaptigim bazi calismalar, denetim asamalari ve ozellikle servis engelleme yapilmasi gereken durumlari -vakit buldukca- daha sonraki yazilarda aktarmaya calisacagim.

Bir sistem, ag veya uygulamanin, gecici veya kalici olarak devre disi kalmasini saglayan saldiri cesitleri servis engelleme saldirilari (DOS) olarak anilmaktadir. Servis engelleme saldirilari cok sayida sistem tarafindan yapiliyorsa -genellikle otomatize olarak ele gecirilmis sistemler- dagitik servis engelleme saldirilari (DDOS) olarak anilmaktadir.

Sistem sizma denetimi surecinde servis engelleme belki de en hassas konulardan biridir. Denetim sonucunda buldugunuz veya bulamadiginiz guvenlik aciklari, durmasina sebep oldugunuz bir servis kadar dikkat cekmeyecektir. Soz konusu dikkat cekme islemi -sozlesmede yer alan maddelere bagli olarak- maddi kayiplari veya yukumlulukleri de beraberinde getirebilir.

Denetim surecinin talep ve kabul asamalarinda gelen ilk talep genellikle "kesinlikle servis engelleme saldirilari istemiyoruz" olmaktadir. Denetmen olarak otomatize bir cevabinizda her zaman vardir, "talebiniz uzerine bilerek servis engelleme saldirilari duzenlenmeyecektir; ancak bircok guvenlik acigi bu tur bir etkiye sahiptir, bu nedenle bilmeyerek boyle bir durumun olusmasina neden olabilir". Karsi tarafta "bilerek olmasin, bilmeyerek oluyorsa da karsilikli haberlesir ve sorunu cozeriz" der. Boylece belirtilen ifadeler sozlesmeye eklenir, cezai sartlar belirtilir ve "servis engellemenin reddi ritueli"ni tamamlariz.

Servis engelleme saldirilarinin gerceklenmesi, ozellikle kritik sistemlerde istenmemektedir. Sifir devre dışı kalma toleransi ile calisan sistemlerin, bir denetim surecinde devre disi kalmasi cok hos karsilanmayacaktir. Bu nedenle otomatize araclarda "DOS" kategorisi isaretlenmez, hesap kilitleme ozellikleri kapatilir, port tarama esnasinda zaman limitleri eklenir ve arkaya yaslanarak denetim surecinin guvenle bitmesi beklenir. Ic buhranlar, karari sorgulamalar ve acabalar dipsiz kuyuya atilir.

Eger sistem sizma denetimi yapiyorsaniz ve bu isi hakkiyla yapmak isterseniz su ana kadar anlatilan seylerden bir veya daha fazlasindan rahatsizsinizdir. Otomatize yazilim, servis engellemenin istenmemesi, sorgulama olmamasi gibi kavramlar genellikle karsi oldugunuz seylerdir. Siz bir guvenlik acigini dogrulamadan raporlamanin hatali oldugunu dusunurken, sizden acigin denenmesinin dahi istenmemesi kabul edilebilir gorunmemektedir. Ancak durumun bu kadar basit parametreler ile dusunulmesi ve degerlendirilmesinin de yan etkileri vardir.

Detay 1, Servis Engelleme Neden Olusur :

Servis engelleme durumu, programlama sorunlari soz konusu ise birkac belirgin kosulda olusur ;

Servis yazilimi kendisine ait olmayan bir tampon bellek alanina yazmak isterse,
Servis yazilimi kendisine ait olmayan bir sistem kaynagina erismek isterse,
Isletim sisteminin ana bilesenlerinden biri bellek veya islemci gibi temel kaynaklari dengesiz bicimde kullanirsa,
Servis yaziliminin planlanan istek/sorgu/islem sayisi gercek hayatta kaldiramamasi ve erisilen bilesenlerin (alt surec, bellek vb.) yeterli olmamasi,
Yazilim tarafindan gerceklenmesi uzun sureli islemlerin, es zamanli ve cok kez tekrarlanmasi.

Programlamadan kaynaklanan servis engelleme saldirilari sadece yukaridakilerden ibaret degildir. Servis engelleme saldirilari sadece programlamadan degil yapilandirma, tasarim ve ag yerlesimi gibi sorunlardan da olusabilir. Hedefe bagli olarak (kablosuz ag, web uygulamasi, VoIP, ag altyapisi vb.) cok daha farkli ornekler ile karsilasmak mumkundur.

Bir saldirinin kontrolüne ornek vermek adina yukarida listelenen durumlar simdilik yeterli gorunuyor, daha sonraki gonderimlerimde servis engelleme sureci ve denetimi ile ilgili hazirladigim bazi calismalari da paylasmayi planliyorum. Bu konuda bazi planlar, araclar ve ek kontroller olusturma; bir kismini da hayata gecirme imkani buldum. Dogru bicimde yonetilirse faydali bir surec olduguna inaniyorum.

Detay 2, Is Karari Olarak Servis Engellemenin Reddi :

Is sureklilik yukumlulukleri olan sistemlerin anlik durmalari dahi kabul edilebilir olmamaktadir. Bu nedenle kumeleme yontemleri, yuk dagiticilar, sistem ikizleme veya istek yonetimi gibi yollar tercih edilir. Sistemin kritikligi dogrultusunda denetimler yapilmasi istenir. Ancak bircok sistem yoneticisi hangi sistemlerin tam olarak kritik olduguna karar vermek ve devre disi kalabilmesi olasiligini belirli bir kontrolde gerceklemek yerine kolay yolu secer, servis engelleme yapilmamasi. Bu secim, Gizlilik/Butunluk/Erisilebilirlik kavramlarindan olusan bilgi guvenligi felsefesinin Erisilebilirlik kismini goz ardi etmek demektir. Gizli bir bilginin ifsa edilmesi veya kritik bilgilerin ele gecirilmesi telafi edilebilir olmayacaktir, sistem surekliliginin aksamasi ise olusabilecek bir istisna olarak yorumlanabilir. Her kurum icin Gizlilik/Butunluk/Erisilebilirlik es deger onemde degildir, sonucta bu bir is karari olarak karsimiza cikar. Is karari olmasi bir sistem yoneticisinin de bu karara uymasini gerektirir.

Detay 3, Denetimde Servis Engelleme Etkisi :

Servis engelleme istenmiyor ise denetiminizi de bu dogrultuda degistirmeniz gerekecektir. Bilerek ve bilmeyerek bu durumun olusabileceginden bahsetmistik, kavramlari acalim ;
Bilerek -> sadece servis engelleme sonucu doguran aciklari test edilmeyecektir
Bilmeyerek -> servis engelleme sonucu dogurmayan, komut calistirma veya bilgi sizmasi etkileri doguran aciklar test edilecektir.

Peki servis engellemesi ve komut calistirma cok farkli aciklar midir ? Genellikle komut calistirabilmek icin cesitli turlerde tampon bellek tasmasi aciklari (Buffer/Integer/Heap/Stack Overflow) veya karakter sekli (Format String) kullanilir. Uygulamanin kullanicidan gelen girdileri kisitlama veya kontrol olmaksizin bellege kopyalamasindan kaynaklanan bu aciklar; tampon bellege izinsiz yazmak ve yazilan kodu cagirarak calistirmak suretiyle istismar edilir. Eger bu tampon bellek hesaplamalari bir seferde dogru bicimde yapilirsa sikinti yoktur, ancak bu her zaman mumkun olmayacaktir.

En az sorunla komut calistirabilmek icin asagidaki unsurlara -aklima ilk gelenler- dikkat etmek gerekmektedir ;

Uygulamanin kullandigi ve yazilmasi mumkun olan bellek alaninin BASI, SONU, KULLANILMAMASI GEREKEN KARAKTERLER
Uygulamanin her kosulda cagirdigi bir ifadenin/karakterin/cagrinin ustune yazmamak
Komut calistirilan alt surec veya ana surecten cikisa neden olabilecek sonlandirma yapilmamasir
Eger dahili bir saldiri onleme sistemi varsa, tetiklemek ve yan etkileri
Kullanilacak bir encoder var ise (Shikata Ga Nai, XOR vb.) uygunlugu ve uyumlulugu
Isletim sisteminin dahili komut calistirma veya bellek yazma korumalarinin varligi
Islemci turu (Little Endian vs Big Endian)
Isletim sistemi yama seviyesi, dil secimi vb.

Eger bir alt surecin istismari soz konusu ise deneme/yanilma yontemini dikkatle kullanmak mumkundur; neticede olen surecin yerine yenisi gelmis veya gelecektir. Ancak ana surecin okudugu bir verinin degisimi; hatta ana surecin dogrudan istismari soz konusu ise servisin sonlanmasi soz konusudur. Haliyle servis duracak, bir komut calistirma acigi servis engellem etkisi doguracaktir.

Komut calistirma aciginin, servis engelleme etkisi dogurmasi nadir rastlanan bir durum degildir; aksine siklikla rastlanan bir durumdur. Ozellikle Microsoft DCE/RPC aciklarinin birkac kez art arta istismari RPC servisi bilesenlerinde sorunlara yol aciyor. Bu durum haliyle Netbios/Cifs icin temel bircok ozelligin calisamamasi anlamina geliyor. Netbios/Cifs'in sorunlu hale gelmesi ise ozellikle Active Directory ortaminda farkedilmesi zor ama etkileri cok buyuk sorunlar doguracaktir; oturum acamama veya zaman asimlari en onde gelen etkilerdir.

Exploit, yani acigin kullanim yontemi, her zaman detayli bicimde aciklanmayabilir veya sadece bir kisinin cok ustune dusmeden hazirlamis oldugu "calisabilirligi gosterme ve ispat" amacli olabilir. Boyle bir kullanimi urun ortaminda denemek ise servisi gercekten durduracaktir. En guvenli yol ise guvenilirligi arttirilmis ve cok sayida sistemde denenerek kararliligi test edilmis exploit'lerin tercih edilmesi veya yazilmasidir.

Acigin farkedilmesi icin otomatize yazilimlarin farkli davranislari ortaya cikar ; bazilari sadece servisin surumunu yeterli gorur iken (ki yanilticiligi ortadadir, baslik bilgisi farkli/gizli ise acik yoktur) bazilari dogrudan acigin istismarini (komut calistirma) tercih eder. Guvenilir sonuclara onem veriyor iseniz sizin acigi arastirmaniz gerekmektedir, hatali bir kullanim sonucu servisin olmesi en istenmeyen durumdur. Kaldi ki komutun basari ile calismasi da her zaman servisin ayakta kalmasina isaret etmeyecektir.

Acik test edilecek ise servisin devre disi kalmasi soz konusudur, test edilemeyen acigin varligindan soz edilemez. Kontrolu gereken acik sayisi binlerle ifade edilebilir, bu nedenle her acigin dogrudan kullanim ile testi mumkun degildir.

Iste boyle bir noktada servis engellemenin istenmedigi gelir akliniza, testin kritik olarak degerlendirilecek bircok bolumu elle kontrol edilir. Tek tek ve bolca sure harcanarak, dikkatsizlik sonucu bir acik kacar veya hatali bir kabuk kodu secimi sonucu servis sonlanir. Active Directory sunucusunun RPC sorunu nedeniyle yeniden baslatilmasi kulaga cekici gelebiliyor mu ?

Sonucta Ne Olacak ?

"Servis engellemenin reddi ritueli" demek iste bu durumun ozetidir. Acik ve ozet hali ise ; "Bir acigi istismar edeceksen habersiz ve kontrolsuz yapma, sadece servis engelleme sonucu doguran aciklari kontrol etme, otomatize bir yazilim kullanacaksan iki kere dusun".

Aslinda red yoktur, az inisiyatif vardir.

"Bak ama dokunma, dokun ama tatma, tat ama yutma. Sen bu kurallarla sasirmisken, o seni izleyip guler"

Fatih Ozavci
IT Security Consultant

Sans Top25 ve Yazilim Guvenligi

2009-01-27T23:41:00.008+02:00

Sans bu yil yine bir degisiklik ile bizi sasirtti, yazilim guvenliginde programlama sorunlari icin bir rapor hazirlatti. 30'dan fazla uzmanin katkisi ile olusturulan icerik oldukca tatmin edici gorunuyor. Aslina hepimizin bildigi seylerin tekrari gibi gorunsede resmin tamamini tek seferde gorebilmek adina guzel bir calisma olmus.

Calismanin nasil kullanilabilecegi, kimlerin ihtiyac duyacagi ve sikca sorulan sorular gibi bolumler de saptamalari daha guclu hale getirmis. Calisma CWE (Common Weakness Enumeration) uyumlu olarak hazirlanmis, boylece siklikla karsilasilan guvenlik aciklarina verilen dogrudan baglantilar ile detayli bilgiye erismek mumkun. OWASP'in her yil hazirladigi ve guncelledigi listesi ile bolca paralellik iceriyor, ancak aciklar 3 ana bolumde aktarilmis; "Bilesenler Arasi Guvensiz Etkilesim", "Riskli Kaynak Yonetimi" ve "Yetersiz Savunma".

Ne icin kullanilir bolumu ise oldukca hos olmus ;

Daha guvenli yazilim satin alinmasi
Yazilim gelistirme, testler ve denetimlerin kalitesinin arttirilmasi
Universitelere yazilim kalitesi konusunda icerik saglanmasi
Isverenlerin guvenli programlama yapabilen personel aldigindan emin olabilmesi

Cok klasik saptamalar var, yeni seyleri isitip onumuze getirmis gibiler. Ancak bence en onemli nokta, artik yoneticiler ve programlama bilmeyen ama guvenlige onem veren kitleye hitap edebilir hale getirmisler. Boylece siklikla yapilan programlama hatalarini her yerde tekrar etmek, anlatmak ve hatta sormak suretiyle gelistiricilere otonom yetenekler kazandirmak iyi bir dusunce gibi duruyor. Evimizden cikarken kapiyi kilitlerken cok dusunmuyor, boyle olmasi gerekiyor diyor ve kilitliyoruz; biri sorarsa neden kilitledin diye her zamanki sebebimizi ezbere soyluyoruz.

Yazilim gelistiricilerin, yazilim gelistirme sirketlerindeki yoneticilerin ve yazilim gelistirme danismanlarinin sunumlarinda guvenlige ayirdiklari yeri bir nebze olsun arttirir diye umuyorum. Ozellikle universitede boyle bir konuya deginmek, ise alimda sorgulamak ve hatta yazilim kalitesinde guvenligi sorgulamak gercekten cok buyuk ve su an atmakta cok zorlandigimiz adimlar. Kisaca hedef guzel, yol iyi tarif edilmis; hazirlanan girdiler de cok basarili ve kullanilabilir durumda. Hem bir denetmen, danisman ve programci icin hemde teknik yeterliligi olmasa dahi sorumluluklari olan yoneticiler icin.

Sans Top 25
http://www.sans.org/top25errors/

Fatih Ozavci
IT Security Consultant

Bir Acigin Dogru Anlatimi ve Sonuclari

2009-01-27T20:28:00.001+02:00

Bir guvenlik acigi bulundugunda sonucun her zaman o acigi kapatmak olmadigini cok farkli orneklerle yasadim ve gordum. Acigin onceligi, dogru ifadesi, arkasindaki riskin gerceklenmesi ve hatta ureticinin yaklasimi gibi harici konular sureci ciddi bicimde etkiler. Dahili olarak ise sistemin onemi ve gorevi, uzerindeki yazilim/donanimlarin uyumu ve personel yeterliligi gibi sebepler one cikar.

Dun "Full Disclosure" listesine "Kingcope" tarafindan atilan bir e-posta ile Solaris'e ait TCP/IP surum 6'dan kaynaklanan bir acigin oldugunu ogrendik. "Kingcope" tanidik bir isim, Solaris telnet atlatma acigini bulan kisidir. Acik bir duyuru ile degil dogrudan exploit ile atildi, haliyle exploit'in icerigi incelenmesine bagli olarak duyuruya donusturuldu.

Security Tracker duyurusunda "Solaris Bug in Processing IPv6 Packets Lets Remote Users Execute Arbitrary Code", Secunia duyurusunda ise "Sun Solaris IPv6 Denial of Service Vulnerability" ismiyle yerini aldi. Birine gore kabuk kodu calismasina izin veriyor, digerine gore ise servis engelleme saldirisi. Donelim exploit kaynak koduna, gorunen o ki servis engelleme kesin ancak kabuk kodu calistirma ihtimali de mevcut gorunuyor. Security Tracker'da emin olamamis, acigin etkilerinde kod calistirma yerine servis engelleme secilmis durumda.

Acigin tipine bagli olarak sadece zorunlu olduklari yamalari yukleyen sistem yoneticileri icin komut calistirma ve servis engelleme arasinda daglar kadar fark var. Guvenlik denetimlerimde raporladigim komut calistirma aciklarinin bile komut calistirilmadikca kapatilmadigini goruyorum, hatta calistirilmis olmasinin bile duruma yardimci olmadigi cok anim var.

Kisaca servis engelleme turundeki aciklarin yamasini yuklemek icin alinan risk mantikli gelmiyor; kabuk kodu calistirma ise cok daha tehlikeli gorunuyor ve sistemi guvenli hale getirmek icin o yama yukleniyor.

Bu aciga ozel dusununce, guvenlik denetiminde kullandiginiz baglanti veya sonucunda sisteme girmeniz o kadar farkli etkilere sahip ki, sizinle yamayi yukleme konusunda pazarlik eden yoneticiler hemen gozumun onune geliyor. Denetim surecinde bile "Asla ve Katta Servis Engelleme Yapilmayacaktir" denilip sozlesmeye de eklenince siz dusunun hangi ikilemde kaliniyor.

Servis engelleme konusuna ayrica egilmek isterim, mumkunse baska bir yazi da bunun icin yazacagim.

Simdi bu acik onemli bir acikmidir ? Degildir, hergun benzer bir suru acik yayinlaniyor, ama bu acidan bakinca turnasol etkisi yaratti benim icin. Sadece saptanmasi (malum denenmesi asamasinda bile sistem cakilabilir) bile dert iken ustune komut calistirmadikca kapatilmasinin tercih edilmeyecegi gozumun onune geliyor.

Security Tracker - Solaris Bug in Processing IPv6 Packets Lets Remote Users Execute Arbitrary Code
http://www.securitytracker.com/alerts/2009/Jan/1021635.html

Secunia - Sun Solaris IPv6 Denial of Service Vulnerability
http://secunia.com/Advisories/33605/

Orjinal Gonderi
http://lists.grok.org.uk/pipermail/full-disclosure/2009-January/067709.html

Exploit
http://packetstormsecurity.org/0901-exploits/SunOSipv6.c

Fatih Ozavci
IT Security Consultant

Microsoft SQL Server, Uzaktan Komut Çalıştırma Açığı

2008-12-24T10:06:00.004+02:00

Microsoft 22 Aralık itibariyle SQL Server sürümlerini etkileyen bir güvenlik açığı raporladı. Açığın uzaktan kullanımı ile sistemde komut çalıştırmak mümkün görünüyor; ancak henüz yayınlanmış bir exploit veya açığın kullanım yöntemi mevcut değil. Bu tür kritik açıklar için exploit hazırlanma süreci dikkate alınırsa en fazla 1-2 hafta içinde çalışabilir bir exploit ortaya çıkacaktır. SQL Server 7 + SP4, SQL Server 2005 + SP3 ve SQL Server 2008 açıktan etkilenmiyor, diğer sürümlerin tamamı açıktan etkileniyor.

Bu tür açıklar, veritabanı sunucularının Internet üzerinden erişilebilir olmaması nedeniyle çok ciddiye alınmıyor. Ancak özellikle yerel ağa erişim sağlayabilir kişiler tarafından, sunuculara çok rahat erişim sağlanması kabul edilebilir olmayacaktır. Özellikle otomatize yama güncellemesinin veritabanı sunucuları için kapalı olacağı dikkate alındığında sorunun ciddiyeti daha rahat anlaşılabilir. SQL slammer vakasını ve etkilerini hatırlayanlar ne demek istediğimi daha rahat anlayacaktır.

DÜZELTME :
Öncelikle özür dilerim, exploit gözümden kaçmış, açık ve exploit önce yayınlanmış; duyuru arkadan yetişmiş. Aşağıda bağlantısı da yer alıyor.

DÜZELTME 2 :
Coştukça coşuyoruz, açık SQL Injection üzerinden de kullanılabilir durumda. Sunucuya erişim sağlayarak yetki yükseltme, VNC DLL Injection, tünelleme gibi kelimeleri bir arada kullanmak gerekiyor sanırım.

Microsoft Security Advisory (961040)
Vulnerability in SQL Server Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/961040.mspx

Microsoft SQL Server "sp_replwritetovarbin()" Heap Overflow
http://www.milw0rm.com/exploits/7501

Fatih Özavcı
IT Security Consultant

Checkpoint Hakkında Bir E-Posta, Söylentiler ve "Root" Exploit

2008-12-12T19:41:00.001+02:00

Dün itibariyle "Full Disclosure" listesine atılan bir e-posta ile Checkpoint VPN-1'e ait kaynak kodların ele geçirildiği, kaynak kod içinde çok sayıda zaafiyet bulunduğu, çalışan bir "Root" exploit'inin hazırlandığı ve tüm bunların satılık olduğu duyuruldu. Exploit'in 18190 TCP portu üzerinden smartcenter'a ulaştığı ve SSH için bir hesap yarattığı e-posta içindeki örnekte görülüyor.

Checkpoint Firewall'un eğer VPN-1 aktifse güvenilmeyen ağlara (örn Internet) 18264 (sertifika otoritesi), 264/256 (harita el sıkışması) ve 500 (IKE) dışında bir portu genellikle açılmıyor. Bu nedenle 18190. porta erişim büyük ihtimal kapalı durumdadır ve ilk exploiti Internetten kullanmak biraz daha zor olacaktır, ancak güvenilen bir ağdan açığın kullanımı mümkün olacaktır. Ancak iddia ciddiye alınırsa, kaynak kodun önemli sorunlar içerdiği doğruysa, Checkpoint'in VPN-1 kararlılığı için zorunlu olarak çalıştırdığı çok sayıda servis açıklardan etkileniyor olabilir; bu durumda birçok Checkpoint Firewall'u potansiyel hedef haline getirecektir.

Söylentiyi ciddiye alırsak (CVS ağacının yayınlanması biraz gövde gösterisi gibi) Checkpoint Firewall erişimlerini gözden geçirmek ve yama beklemek doğru olacaktır.

İlgili Duyuru
Checkpoint Sources plus SPLAT Remote Root Exploit.
http://seclists.org/fulldisclosure/2008/Dec/0344.html

WPA Nasıl Kırıldı ?

2008-11-08T09:10:00.002+02:00

Uzun zamandir ozel birkac durum yuzunden yazmaya firsat bulamiyordum, hazir guzel bir konuda gozume carpmis iken paylasayim istedim. Birkac gundur ortalikta WPA/TKIP kablosuz ag dogrulama/kriptolama yontemi icin "kirilmis" ifadeleri geziniyor. Detaylarin PacSec 2008 etkinliginde aciklanacagi belirtilmisti, bugun ise taslak saldiri yontemi yayinlandi. Saldiri yontemi hakkinda kisa bir bilgi aktarimi yapilmis durumda, tahminen bir hafta icinde aircrack-ng'nin web sitesinde olay ile ilgili detayli dokumanlar ve aircrack-ng'ye saldirinin eklenmis halini gorecegiz. Merak edenler icin asagidaki baglantidan yeni kriptografik saldirinin ozeti incelenebilir. Simdilik cozum onerileri ise AES kullaniminin tercih edilmesi ile kisitli durumda, ancak bircok yazilimin (orn. mobil cihazlar) ve erisim noktalarinin boyle bir desteklerinin olmamasi olayin gelecegini daha netlestiriyor. Yeni bir WEP konusu ile karsi karsiya kalmamiz cok yuksek olasilik, bircok kurumun agi rahatca erisilebilir hale gelebilir.

Saldiri Ozet Analizi
http://radajo.blogspot.com/2008/11/wpatkip-chopchop-attack.html

Fatih Ozavci
IT Security Consultant

Cisco IOS Rootkit Geliştiricisi ile Röportaj

2008-05-20T18:01:00.006+03:00

Cisco IOS konusunda geçmişte çok şey yazdım ve birçok bağlantıyı aktarmaya çalıştım. Cisco IOS' un da normal bir işletim sistemi olduğu, güvenlik açıkları olduğu, kabuk kodu çalıştırmak ve arka kapı yazmanın mümkün olduğu noktasında birçok şey karaladım. Genellikle bir yönlendirici veya switch alındığında unutulur, kendi halinde bırakılır ve güncelleme yapılmaz. İş bu güncelleme olmamasının yan etkileri bazen tahminlerin ötesine geçer ve cihazın ele geçirilmesine neden olur.

Geçtiğimiz günlerde DA IOS Rootkit duyurusu yapıldı, CORE Security'den Sebastian Muniz'un Cisco IOS için geliştirdiği bir truva atı. Aşağıda kendisi ile yapılan bir röportaj var, ters mühendislik ile ilgilenen arkadaşların okumasını öneririm.

-Bağlantı Kaldırılmış-
http://eusecwest.com/sebastian-muniz-da-ios-rootkit.html

-Google Cache'ten İlgili Röportaj

-Bir Başka Bağlantı
Information Week - Cisco IOS Rootkit Demonstrated

Bilgi Güvenliği Kapısı Açıldı

2008-03-31T11:03:00.003+03:00

Bilgi Güvenliği Kapısı (www.bilgiguvenligi.gov.tr) açıldı. Şu an çok TUBITAK merkezli görünüyor; ancak en azından bir başlangıç yapıldığını söyleyebiliriz. Umuyorum zaman içinde bağımsız araştırmacı ve yazarlara da kapılarını açarlar (SSS bölümünde katılımın açık olduğu yazıyor, ancak ne kadar açık olduğu gönderilen yazıların içeriği ile daha belirgin olacaktır).

MS08-001, Yeni Yıl Şakası

2008-01-11T12:04:00.000+02:00

Microsoft MS08-001 güvenlik duyurusu ile 2008'e güzel bir giriş yaptı, çok detay verip heyecanı kaçırmamak gerekiyor. Önce güvenlik duyurusunu ve özet bilginin yeterliliğini; daha sonra ise Microsoft çalışanlarının günlüklerine yazdıklarını detaylıca okumanızı öneririm.

Microsoft Security Bulletin MS08-001 – Critical (Yeni Yıl Şakası, Ne Programcılar Gördüm Zaten Yoktular...)
MS08-001 - The case of the Moderate, Important, and Critical network vulnerabilities
MS08-001 (part 2) – The case of the Moderate ICMP mitigations
MS08-001 (part 3) – The case of the IGMP network critical

Bu da filmi.....

http://www.zynamics.com/files/ms08001.swf

Fatih Ozavci
IT Security Consultant

Group Policy Aşılırsa, Geriye Ne Kalır ?

2007-12-03T10:50:00.000+02:00

Birçok yerel ağ denetiminde çok sayıda güvenlik açığına rastlarız ve sistem yöneticilerinin genel savunması ise biz bunları Active Directory üzerinden Group Policy uygulayarak kapatıyoruz olur. Biz her ne kadar dış danışmanlar, misafirler ve diğer yetkisiz kişilerden örnekler versek de genelde yarı tatmin olurlar. Atıfta bulunduğumuz birçok örnek için güzel bir araç geliştirilmiş, Group Policy'nin bazı kısıtlamalarının geçersiz olmasını sağlıyor. Böylece Group Policy uygulanmış istemciler kısıtlamaları aşmak isterlerse bunu kolayca yapabiliyor. Daha önce bir makalede zaten anlatılmış ancak hayata geçmesinde sorunlar bulunan işlemi, kolay ve gösterim amaçlı bir uygulama ile gerçekleştirmişler. Sistem yöneticilerinin ise aldıkları güvenlik önlemlerini yeniden gözden geçirmesi, Group Policy'ye güvenerek önemsemedikleri güvenlik kontrollerinin ne kadar önemli olduğunu farketmesi gerekiyor.

Bypassing Group Policy with GPCul8r

Cisco IOS Üzerinde TCL Kullanılarak Arka Kapı Oluşturulması

2007-11-28T10:35:00.000+02:00

IRM (Information Risk Management) daha önce Cisco üzerine yaptığı kabuk kodu kullanımı çalışmaları ile adını duyurmuştu. Çeşitli ağ cihazlarının kullanmakta olduğu gömülü işletim sistemlerinde buldukları zaafiyetler ve kullanım yöntemleri üzerine makeleler ve araştırmalar yayınlıyorlar. Dün, Cisco IOS üzerine yaptıkları yeni bir araştırma içinde makale yayınladılar. Makalede TCL (Tool Command Language) ile Cisco IOS üzerine Level 15 seviyesinde arka kapı oluşturmak ve doğrulama olmaksızın arka kapıya erişim sağlama yöntemi anlatılıyor. Araştırmada hazırlanan TCL betiğinin TFP sunucusu üzerinden yönlendiriciye aktarılması ve port ataması yapılarak arka kapı oluşturulması TCL betik kodu verilerek detaylı olarak anlatılıyor. Ağ yöneticilerinin incelemesi gerekli olan belgeler sınıfında yer aldığını düşünüyorum.

IRM - Creating Backdoors in Cisco IOS using TCL

İlgili Gönderiler :
Bilgi Güvenliği - Cisco IOS için Kabuk Kodları Sonunda Hazırlandı
Bilgi Güvenliği - Cisco IOS, Exploitation, Michael Lynn

Sans Top 20 - 2007 Yayınlandı

2007-11-28T10:13:00.001+02:00

Sans tarafından her yıl yayınlanan Top 20 (ilk yıllarda Top 10 idi, ah eski günler) güncellendi. 2007 yılı için hazırlanan Top 20 - 2007 önemli değişiklikler içeriyor. Gelenek olduğu üzere bu yıl da kategorilerde ciddi değişimler göze çarpıyor, en ciddi fark Sunucu/İstemci ayrımına gidilmesi gibi görünüyor. Son yıllarda popüler olduğu üzere güvenlik politikası ve uygulamalarının eksikliğinden kaynaklanan zaafiyetlerde listede yerini almış. 2006 yılından itibaren gelen VoIP'nin 2007 güncellemesinde tek başına duruyor olması bile birçok kişinin gözardı ettiği VoIP güvenliğinin aslında ne kadar önemli olduğunu ortaya koyuyor. Web uygulamalarının başlıca bir kategoriye çekilmiş olması da önemli bir değişiklik, daha önce PHP uygulamalarındaki zaafiyetlere odaklı bir yaklaşım bulunuyordu. Günümüzde çok sayıda dil ile hazırlanmış web uygulamasında birbirinden farklı türlerde zaafiyetler ortaya çıkmaya başladı. Son durumu görmek adına incelemenizde fayda var, Türkiye'deki durum ile kıyaslama yapmanızı ise hiç önermem. Türkiye'deki resmi yakından gören biri olarak durumun pekte böyle olmadığını düşünüyorum, boş bir vaktimde bu konuda da yazmayı planlıyorum.

Sistem Sızma Denetimlerine ve Denetmenlerine Farklı Bir Bakış

2007-11-24T00:34:00.001+02:00

Biraz önce sistem sızma denetimlerine farklı bir yaklaşım getirmeye çalışan ve ilginç noktaları ortaya koyan bir makale okudum. Okurken oldukça keyif aldım, saptamalar hoş ve katıldığım kadar katılmadığım noktalarda var; ancak bu işe başlamak isteyen arkadaşların aslında neler gerektiğini kavraması için güzel bir yazı olduğunu düşünüyorum.

On The Different Types Of Penetration Tests
http://www.matasano.com/log/714/on-the-different-types-of-penetration-tests

NTFS Diski Kurtarma Üzerine

2007-11-12T23:00:00.001+02:00

Birkaç gün önce bir sunucumuzun donanımında sorun oluştu ve boş vaktimiz oldukça kurtarmak için kolları sıvadık. Sunucunun dosya sisteminin NTFS olması ve içindeki işletim sisteminde yeniden kurmaya üşendiğimiz çok şey olması nedeniyle disklerdeki verileri bir başka diske aktarmamız gerekti. Uzun detayları anlatmak yerine çözümün yine Linux tarafında ortaya çıktığını belirtmek için bunları yazıyorum. Eğer NTFS bir diskin imajını daha büyük bir diske aktaracak iseniz Linux ortamında birkaç alternatifiniz bulunuyor. "dd" klasik ve sürekli kullandığım bir yöntem, ancak dosya sistemi boyutu ile diğer diskin boyutunun tutmaması sorun doğuruyor, ayrıca boş bloklara da yazması nedeniyle oldukça yavaş iş yapıyordu. Bunun yerine söz konusu olan NTFS olunca daha güzel bir çözüm farkettim. Disk ikizleme için çok hızlı olan ve sadece veri yazılmış blokları kopyalayan "ntfsclone", NTFS diski düzeltmek için "ntfsfix" ve yeni diskin boyutunu yeniden ayarlamak için "ntfsresize" oldukça iyi iş gördü. Diske veriler doğru biçimde aktarıldı, disk boyutu düzeltildi ve Windows başarılı biçimde diski gördü. Yine de Windows olması nedeniyle halen nazlandığı noktalar var, kısmetse onları da aşacağız.

GS07-02 RSA Keon Sitelerarası Komut Çalıştırma Açıkları

2007-10-31T11:38:00.000+02:00

Tarih & Sürüm : 07/31/2007 - 1.1

Açıklama :

RSA KEON Registration Authority Web arayüzü çok sayıda sitelerarası komut çalıştırma türünde güvenlik açığı içermektedir. RSA KEON'un Request-spk.xuda ve Add-msie-request.xuda bileşenleri sitelerarası komut çalıştırma açıklarından etkilenmektedir. Bir saldırgan, kayıt bilgilerinin yanıltılması, oltalama ve diğer istemci tarafı saldırılar için bu güvenlik açıklarını kullanabilir.

Risk Seviyesi : Orta

Etki Türü : Erişim Sağlanması

Etkilenen Sistemler :

RSA KEON Registration Authority Software

Çözüm :

Çözüm için RSA ile iletişim kurulmalı ve https://knowledge.rsasecurity.com adresi ziyaret edilmelidir.

Güvenlik Açığını Keşfedenler :

Fatih Özavcı (GamaTEAM Üyesi)
Çağlar Çakıcı (GamaTEAM Üyesi)
GamaSEC Exploit Framework kullanılarak saptanmıştır.
GamaSEC.net Bilgi Güvenliği Denetim ve Danışmanlık Servisleri
(www.gamasec.net)

Güvenlik Açığının Bağlantısı :
http://www.gamasec.net/gs07-02.html

Referanslar :

1. CERT - Vulnerability Note VU#342793

Mac OS X ve Açık Kaynaklı Uygulamalar

2007-10-15T21:49:00.000+03:00

Mac OS X üzerinde bulunan çok sayıda uygulama açık kaynaklı ve özgür yazılım sınıfındadır; ancak pek çok insan bu durumun farkında değildir. Özellikle özgür yazılımların güzel arabirimlerinin olması, sadece sürükle bırak ile kurulması ve kolay kullanım, insanların Windows/Linux platformlarındaki ön yargılarını akıllarına bile getirmemektedir. Bende yeni başlayanlar için birkaç açık kaynaklı uygulamayı tanıtmak yerine doğrudan listenin adresini vereyim dedim, sıklıkla kullanılan ve eliniz ayağınız olabilecek açık kaynaklı yazılımları Open Source Mac'i ziyaret ederek görmeniz mümkün.

Ancak benim gibi Mac OS X için özellikle geliştirilmeyen ve Linux/Unix camiası için geliştirilen uygulamalara alışmış iseniz, gözleriniz "./configure && make && make install" komutunu arıyor. Uygulamayı özelleştirmek, gerekmeyen özellikleri devre dışı bırakmak ve çalışılan platforma özel değişimler yapmak gerçekten güzel oluyor. Mac OS X için de bu tür şeyleri yapma imkanınız bulunuyor; ancak önünüze çıkan en büyük engel X11 olacak. X11 sunucusu olmadan birçok uygulamanın grafik arayüzünü kullanamayacaksınız (eğer biraz inceleme yapmazsanız). X11'i çok gerekli olmadıkça Mac üzerinde kullanmak çok mantıklı görünmüyor, Carbon/Quartz/Cocoa güzelliklerini bırakmak göz zevkini bozduğu gibi işlevsellik kaybı da yaratıyor. X11'i kabullenir iseniz KDE, Gnome ve birçok uygulama bileşenini Mac'e taşıyabilirsiniz, benim gibi kabul etmiyorsanız biraz araştırmalısınız.

Benim alıştığım ve yoğun kullandığım pekçok uygulama GTK+2.x ile yazılmıştır. QT ve wxWidgets ile geliştirilenine pek denk gelmem. GTK+2.x kullananların bazıları ise Gnome kütüphanelerine de ihtiyaç duyar, an itibariyle kullandığım çözüm için Gnome kütüphanelerini istememem nedeniyle sadece GTK+2.x kullanan uygulamaları tercih ediyorum. Firefox, Thunderbird ve bazı açık kaynaklı yazılımlar için gerekli olmasa da Wireshark, Ettercap, Umit, Hydra, Ruby-GTK ve PyGTK için güzel bir çözümümüz var, GTK+ for Mac OS X. Güzel bir derleme süreci sonrasında çoğu Gtk+2.x uygulamasını rahatlıkla kullanabiliyorsunuz, elbette Cocoa gibi olmuyor ama X11 ile de uğraşmıyorsunuz.

Derleme işlemi için açık kaynaklı araçlara ek olarak XCode gibi bir alternatifiniz daha var, XCode zaten bu derleme işlemi için gerekli olan çoğu geliştirme aracını size paket olarak sunacaktır. Bu alternatifi anma sebebim, özellikle Mac OS X için yazılım geliştirmiş iseniz, yazılımınızı Mac OS X'in Cocoa arabirimine entegre etmek isterseniz veya evrensel (ppc/intel) bir uygulama geliştirmek/derlemek isterseniz XCode size çok sayıda araç sunuyor. Aşağıda yardımı olacak bazı bağlantılar verdim, eğer bu işin üzerine düşecek iseniz incelemenizde fayda görüyorum.

Building an Open Source Universal Binary
Building a Universal Framework Binary from Open Source
Technical Note TN2137: Building Universal Binaries from configure-based Open Source Projects

Mac OS X ve Güvenlik Denetimi

2007-10-04T18:50:00.000+03:00

Tanıyanlar bilir, işimin büyük bölümü güvenlik denetimleri ile geçiyor, arada danışmanlıklar oluyor da bünyede bir miktar değişim yaratıyor. Genelde güvenlik denetimleri söz konusu olduğunda herkesin ilk sorduğu hangi araçları kullanıyorsun sorusu oluyor. Öncelikle insan unsuru ile araç kullanımının karıştırılmaması gerektiğinin altını çizerek (hatta bazen kendimden geçip höykürerek) birkaç aracın ismini anıyorum. Mac OS X, Darwin (BSD) temelli olarak geliştirildiği için doğası gereği bir Unix türevidir. Unix türevi olan her işletim sistemi gibi sevilip sayılmalı, çok sayıda açık kaynaklı yazılım ile nimetlerden bolca faydalanılmalıdır.

Bu yazıyı yazarken kısıtlı zamanım olmasından ötürü çok detay veremeyeceğim ama kısaca güvenlik üzerine sitelerde anılan çoğu aracın öyle yada böyle Mac OS X üzerinde çalışabildiğini belirtmeliyim. Öncelikle Xcode Developer Tools yüklenmeli, çok sayıda açık kaynaklı yazılım derlenerek işletim sisteminin parçası haline getirilmelidir. Bilindiği üzere güvenlik üzerine hazırlanan yazılımların bir kısmı da ticari lisans ve kapalı kodlarla sunulmaktadır. Bu ticari yazılımların bir kısmının da (Örn. Nessus) doğal Mac OS X sürümleri bulunmaktadır. Vaktim olduğunda hangi yazılımları nasıl bir ortamda kulandığımı ve tecrübemi aktaracağım, şimdilik okumanızın faydalı olabileceği birkaç bağlantıyı aşağıda listeledim.

Bağlantılar :
OSX as a Pentesting OS - Securiteam Blog
Top 100 Network Security Tools
Investigate Mac OS X as a platform for penetration testing
XCode - Apple Developer Connection

Mac OS X Macerası, sadece başlangıç

2007-10-04T09:53:00.000+03:00

8-9 yıldır Linux dağıtımlarını (bazen kendi hazırladığım dağıtımları) masaüstü ve çalışma ortamı olarak kullanıyordum, Windows ailesine ise bazı güvenlik yazılımlarının ticari sürümleri yüzünden ihtiyaç duyuyordum ve ikinci sistem/sanal sistem çözümlerini tercih ediyordum. Ta ki Mac OS X ile 1.5 sene önce karşılaşıncaya kadar durum böyleydi.

1.5 sene önce, Apple'ın Intel'e geçmesini takiben Mac OS X'i denemeye ve çalışma ortamı olarak kullanmaya karar verdim. Öncelikle kendi taşınabilir bilgisayarıma Hackintosh olarak bilinen normal taşınabilir bilgisayarlarda çalışılabilmesi için değişimler uygulanan Mac OS X Tiger'ı tercih ettim. OSX86Project ve Insanelymac siteleri aracılığıyla indirilip kurulması ile ilgili birçok şeye vakıf oldum. Öncelikle hassas konuları belirtmek lazım; Hackintosh donanım seçiyor ve donanım kriterlerini iyi incelemeden, doğru donanımı bulmadan deneme yapmak sadece hüsran yaratır. Kısaca kurdum denedim, Linux geçmişimizden kaynaklanan açık kaynaklı ve alıştığım yazılımları veya alternatiflerini kullanmaya başladım. Zamanla Mac OS X'e özel hazırlanmış çok sayıda açık kaynaklı/ticari/ücretsiz yazılımında bulunduğunu, birçoğunun elim kolum olabileceğini görünce kullanmaya devam ettim. Sonra bir baktım ki aradan aylar geçmiş ve ben Windows'u açmıyorum, anladım ki artık kendi platformunda koşturmak lazım bu arabayı ve koştum indirim/seri sonu karışımı bir iBook aldım.

iBook ile de bir senemi doldurdum ve Windows'un yüzünü unuttum. Bilmeyenler için hatırlatma iBook PowerPC işlemci kullanır ve üzerine Windows kurulamaz, Macbook serisi ve yeni Intel Mac'lerde bu durumda değişti doğal olarak. 1.25 Ghz işlemci ile aletin neler yapabildigini görseydiniz şaşardınız eminim, hatta hala şaşma olanağımız var çünkü 2 hafta önce kendime aldığım Macbook Pro ile iBook'un sahibi de iş arkaşım Çağlar oldu. Artık Çağlar'da çalışmalarını iBook'a aktardı ve yoluna devam ediyor.

Sonuç olarak 2 ay sonra farkettiğim, 1.5 sene sonra emin olduğum bir gerçek ise benim işletim sistemi kullanma alışkanlarımın çok değiştiği. Eski günlerde Linux üzerinde koşarken sistemi tamamen değiştirirdim, her yeni çekirdek sürümünü kullanır, her yamayı yükler, birçok açık kaynaklı yazılımı derleyip kullanır ve sonunda ya temel kütüphanelerden birinin yükseltilmesi/değiştirilmesi yada sistemin dağılması sonucunda yeniden kuruluma geçerdim. Normal insanlar için Linux bir vaha iken benim için tam bir oyun ortamı oluyordu, haliyle işten çok "hangi yazılımı nasıl kullanırım" mücadelesi ile geçiyordu; iş yapılamaz hale geliyordu sonunda. Windows'u anlatmaya gerek yok, takıyor boynuna bir pranga yürü yürüyebilirsen. Mac OS X ise temel sistem bileşenlerini kurcalamana hoş yaklaşmayan, ancak istediğin Ticari/Açık Kaynaklı birçok yazılımı kolayca kullanabileceğin bir ortam halini alıyor. Kısaca teknoloji şovu yapmadan, bizim zaten Linux ile alasını yaptığımız işleri basitçe ama işe yarar şekilde yapıyor. Kıyasladığım da Linux bir Ferrari/Porche iken Mac OS X Nissan Navara havasında, sanırım en çok bu özelliğini sevdim. Yakın zamanda Mac OS X üzerine birkaç şey daha karalamayı planlıyorum, açık kaynaklı yazılımların kullanımı ve Linux'ta alıştığınız uygulama arayüzlerinin Mac OS X'e entegrasyonu gibi birçok konuya değineceğim. Şimdilik Mac OS X macerası bu kadar, ileri de detaylı şeylerde gelecek.

Siyah Şapka ile Yeniden...

2007-10-03T20:43:00.000+03:00

Bir süredir düzenli olmasa da sıklıkla yazdığım "Bilgi Güvenliği" günlüğüne yazamayacağım yazılar için bir yer düşünüyordum. Özellikle bir buçuk senedir düzenli olarak kullandığım Mac OS X üzerindeki maceralarımı ve kişisel yorumlarımı aktaracağım bir yer düşünüyordum. Uzun bir süredir insanların geçmişte yazdığım belgeleri ve yaptığım sunumları aradığını da öğrenmem ile tüm soruların tek bir cevabı olduğunu farkettim, kişisel bir günlüğü hayata geçirmek.

Geçmişte Linux Kullanıcıları Derneği'nin düzenlediği etkinliklerde, Internet Teknolojileri Derneği'nin düzenlediği etkinliklerde, Internet Haftası'nda ve bazı özel etkinliklerde yaptığım sunumları derledim. Ayrıca Siyah Şapka için yazmış olduğum eski makale ve yazıları da listeye ekledim. Oldukça eski ve güncelliklerini yitirmiş olsalar da halen bazılarının işe yarar yerleri olduğunu düşünüyorum. Eski döküman ve sunumlardaki bilgi eksiklikleri veya yanlışlıklar için lütfen kusura bakmayın, o dönemden sonra birçok bilgi değişti ve maalesef dökümanları güncelleme imkanım olmadı. Umuyorum yakın zamanda daha güncel ve konuya odaklı dökümanları paylaşıyor olacağım.

Şimdilik kısa kesiyorum ama gelecekte burada paylaşmayı istediğim çok şey var, boş vaktim oldukça karalamaya çalışacağım.

GS07-01 Tam/Yarım Genişlikteki Evrensel Dil Kodlaması ile Saldırı Tespit ve Önleme Sistemlerinin Aşılması

2007-10-03T19:30:00.000+03:00

Tarih & Sürüm : 14/04/2007 - 1.4
Açıklama :

Çeşitli HTTP temelli içerik tarama sistemleri (saldırı tespit/önleme sistemleri ve web uygulama güvenlik duvarları) tam veya yarım genişlikteki evrensel dil kodlaması kullanılan istekleri doğru biçimde tarayamamaktadır. Bu durum özel hazırlanmış içerik ile HTTP içerik tarama sistemlerinin atlatılmasına izin vermektedir.

HTTP içerik tarama sistemleri (saldırı tespit/önleme sistemleri ve web uygulama güvenlik duvarları) farklı türlerde kodlanmış HTTP isteklerini çözümlemek için ön işlemcilere sahiptir. Tam ve yarım genişlik kodlama ise evrensel kodlama standartlarının bir türüdür. Tam veya yarım genişlikte evrensel dil kodlaması uygulanmış HTTP istekleri kullanılarak, içerik tarama ve saldırı tespit sistemleri atlatılabilmektedir.

Bazı açık kaynaklı uygulamalar veya Microsoft IIS ve .NET Framework gibi Microsoft uygulamaları tam/yarım genişlikli evrensel dil kodlamasını desteklemektedir. Ancak çoğu saldırı tespit/önleme sistemleri ile web uygulama güvenlik duvarları tam/yarım genişlikli evrensel dil kodlaması (%uff) uygulanmış HTTP isteklerini doğru biçimde çözümleyememekte, küçük/büyük karakter değişimlerini ve karakter eşlemesini doğru biçimde yapamamaktadır. Özel üretilmiş bir HTTP iletişimini, HTTP içerik tarama sistemine göndereren bir saldırgan içerik denetim sistemini atlatabilmektedir.

Risk Seviyesi : Yüksek

Etki Türü : Güvenlik Önlemlerinin Aşılması

Etkilenen Sistemler :

Checkpoint Web Intelligence
Internet Security Systems, Inc.: Proventia A Series
Internet Security Systems, Inc.: Proventia G Series
Internet Security Systems, Inc.: Proventia M Series
Cisco Intrusion Prevention System (IPS) 5.x
Cisco IOS 10.x 11.x 12.x
McAfee IntruShield Sensor Software 3.1
McAfee IntruShield Sensor Software 2.1
3Com TippingPoint X505
3Com TippingPoint X506
3Com TippingPoint 50
3Com TippingPoint 200
3Com TippingPoint 200E
3Com TippingPoint 600E
3Com TippingPoint 1200E
3Com TippingPoint 2400E
3Com TippingPoint 5000E
3Com TippingPoint SMS (Enterprise-Level Management System)
3Com TippingPoint ZPHA (Zero Power High Availability)
Üreticilerin Tam Listesi : (CERT - Vulnerability Note VU#739224) [3]

Çözüm :

Kullanılan ürünlerin üreticisi ile irtibata geçilmeli, gerekli yama, güncelleme veya ileri düzey yapılandırmalar hakkında bilgi alınmalıdır.

Güvenlik Açığını Keşfedenler :

Fatih Özavcı (GamaTEAM Üyesi)
Çağlar Çakıcı (GamaTEAM Üyesi)
GamaSEC Exploit Framework kullanılarak saptanmıştır.
GamaSEC Bilgi Güvenliği Denetim ve Danışmanlık Servisleri
(www.gamasec.net)

Güvenlik Açığının Bağlantısı :
http://www.gamasec.net/gs07-01.html

Referanslar :

CVE ID : CVE-2007-2688 CVE-2007-2689 CVE-2007-2690
Security Focus Bugtraq ID : 23980
http://www.securityfocus.com/bid/23980
CERT - Vulnerability Note VU#739224
http://www.kb.cert.org/vuls/id/739224
Unicode Home Page
http://unicode.org
Unicode.org, Halfwidth and Fullwidth Forms
http://www.unicode.org/charts/PDF/UFF00.pdf
FrSIRT - 3Com TippingPoint IPS Products Unicode Characters Detection Evasion Vulnerability
http://www.frsirt.com/english/advisories/2007/1817
3COM TippingPoint - 3COM-07-001 TippingPoint IPS Unicode Evasion
http://www.3com.com/securityalert/alerts/3COM-07-001.html
FrSIRT - Cisco IPS Full/Half Width Unicode Characters Handling Detection Evasion Vulnerability
http://www.frsirt.com/english/advisories/2007/1803
Secunia - Cisco Products HTTP Unicode Encoding Detection Bypass
http://secunia.com/advisories/25285/
Cisco Security Response: HTTP Full-Width and Half-Width Unicode Encoding Evasion
http://www.cisco.com/warp/public/707/cisco-sr-20070514-unicode.shtml
ISC Sans Diary - Full-Width/Half-Width Unicode Bypasses HTTP Scanning
http://isc.sans.org/diary.html?storyid=2807
Check Point Web Intelligence Lets Remote Users Evade Detection With Certain Character Encodings
http://securitytracker.com/alerts/2007/May/1018067.html
McAfee Security Bulletin - IntruShield signature prevents published full/half width Unicode character obfuscation technique [612970]
UDS-HTTP: Possible full-width and half-width unicode encoding evasion

GamaSEC Çalışmaları

2007-10-03T17:23:00.000+03:00

Halen "Bilgi Güvenliği Danışmanı" olarak görevimi sürdürdüğüm "GamaSEC Bilgi Güvenliği Denetim ve Danışmanlık Servisleri" adına vermiş olduğum seminerlerin sunumları aşağıda yer almaktadır.

Bilgi Güvenliği Denetiminde Özgür Yazılımlar
Bir Güvenlik Açığının Bulunması
IPS Güvenliği ve Zaafiyetleri
Metasploit Framework ile Guvenlik Denetimi
Exploit Geliştirme Altyapıları

Eski Dökümanlar

2007-10-03T17:02:00.000+03:00

Siyah Şapka ve çeşitli siteler için hazırlamış olduğum dökümanları www.scribd.com üzerine yükledim. Açılan sayfada doğrudan izleme ve inceleme yapabileceğiniz gibi, sol üst köşede yer alan "Download" simgesi aracılığıyla belgeyi indirebilirsiniz.

Kişisel Özgür Güvenlik Yazılımları
Nessus 2.x Kitabı
Kişisel Güvenlik Yazılımları
Saldırı Tespit Sistemleri (Giriş)
Honeypot
Hardening
Firewall Pen-test
Güvenlik Duvarları (Giriş)
Firewalking
Ağ Haritalama
İşletim Sistemi Saptama

Eski Sunumlar

2007-10-03T16:25:00.001+03:00

Linux Kullanıcıları Derneği etkinlikleri ve çeşitli özel etkinliklerde yapmış olduğum sunumlara ait görselleri www.scribd.com üzerine yükledim. Açılan sayfada doğrudan izleme ve inceleme yapabileceğiniz gibi, sol üst köşede yer alan "Download" simgesi aracılığıyla belgeyi indirebilirsiniz.

Bilgi Güvenliği Tehditleri ve Korunma Yöntemleri
Bilgi Güvenliği Denetim Prensipleri ve Süreçleri
Bilgi Güvenliği Temel Kavramlar
Bilgi Sistemleri Güvenliğine Giriş
Güvenlik Riskleri ve Saldırı Yöntemleri
Linux Kernel 2.6 Güvenlik Özellikleri
Anti-Virüs Sistemleri
Linux Hardening
Linux'ta PGP/GPG Kullanımı
Linux'ta VPN Çözümleri
Nessus 2.x
Özgür Güvenlik Yazılımları
Temel Ağ Yapıları ve TCP/IP