Sıfır Gün Aciklari Kimin Umrunda ? (Bolum 1)

Birkac gundur yine Microsoft Internet Explorer'da saptanan ve "createTextRang"/"checkbox" vulnerability (ref 1) olarak anilan bir aciktan etkileniyoruz. Acik 0 (yaziyla sifir ! - burasi cok onemli, anladiginizdan emin olun) gün acigi, yani ortada sozkonusu bir yama yok ama herkesin elinde bir exploit (ref 2) gununu gun ediyor. Hatta Microsoft ile iyi gecinen kurumlardan Eeye Digital bile durumla ilgili unofficial bir cozum onerdi (ref 3).

Haber bu mudur ? bence degil, cunku sifir gun aciklari ile daha once de ugrasmistik, elbette herkesin kendince cozum onerileri bulunuyor. Esas nokta ,ki bence cok daha onemli, buyuk yazilim firmalarinin (Temsilen taslarimizi Microsoft'a atacagiz) guvenlik acigina karsi yama gelistirme sureci olmali diye dusunuyorum.

Buyuk firmalarin sahip olduklari yazilimin genel kullaniminin fazla olmasi, cok sayida farkli surumun olmasi ve uzerinde yapilacak degisikligin her platformda farklilik olusturmasi ayaklarina takilan en buyuk engel.

Ancak unutulmamali ki bu engel, yazilimin parasini odeyen ve bu yazilim araciligiyla sisteminde guvenlik gedikleri olusan bizlerin umrunda olmamali. Bizi ilgilendiren esas nokta, soz konusu guvenlik aciginin duyurusunu takiben sorumlu kurumun kac gunde harekete gecip cozum urettigidir.

Tamam zorluklar nedeniyle 5-6 gün hos gorulebilir, en azindan ben goruyorum. Cunku yazilim buyuk olabilir, etkiler farkli olabilir veya isletim sistemi platform farkliliklari cozumun gercekci olmasini engelleyebilir. Ancak muhtemel guvenlik aciginin etkilerini (en azindan herkesce yayilmaya baslamis exploit'leri) devre disi birakmak icin gereken hareketin 3-5 kod degisiminden ote yazilim icin yeni bir servis paketine donusmesi kabul edilebilir degildir. Cunku 2. durumda surec devasa olacak ve bu surede bizler riski --- zorunlu olarak --- tasimis veya alternatif cozumlerle (guvenilirligi tartisilir) basbasa olacagiz.

Gelin tum bunlarin isiginda en carpici ornegimize bakalim, guvenlik aciginin Microsoft'a bildirilmesini takiben yamanin ve duyurunun hazirlandigi tarih arasindaki surelere birkac ornek ;

ms06-005 (120 gün)
ms06-002 (163 gün)
ms05-055 (204 gün)
ms05-053 (224 gün)
ms03-053 (68 gün)
ms05-051 (95 gün)
Detayli bilgi : Referans 5 ve sonrasi

Soz konusu rakamlari nereden bulduk ? Eeye Digital (ki kendisi Microsoft'un cozum ortaklarindan) tarafindan Microsoft'a iletilen guvenlik aciklarinin gelisim bolumlerinden.

Bir diger durum ise 0 gun aciklari ile ilgili Aralik ayinda ortaya cikan WMF acigi (ref 4) 28 aralik 2005'te duyuruldu, yama ise acilen 5 Ocak 2006'da (bir yil gecmis yahu diyenlere de elestiri dozunu ayarlayalim, insaf diyorum) yayinlanmisti.

Yani guvenlik acigini bulan firma yayinlamiyorsa riskin tasinmasi ve acigin kapatilmasi icin gelistirilen yamanin duyurulmasi bekleyebilir. Nasil olsa sadece Eeye Digital sozkonusu acigi biliyor ve onlar guvenilirler, degil mi ? Ayrica baskalari bilse ne olur, netice de en onemli konu bunun aciklanmasi oyle degil mi ? Birileri duyurulardaki guvenlik gediklerinin detayli aciklamasinin neden yapilmadigini mi soruyor ? Bu konularin hepsine yazmaya usenmezsem ikinci yazimda deginmek istiyorum.

Fatih Ozavci
IT Security Consultant
fatih.ozavci at gamasec.net


Referanslar :

1)IE crash
http://seclists.org/lists/bugtraq/2006/Mar/0410.html

2) MS Internet Explorer (createTextRang) Remote Exploit (metasploit)
http://www.milw0rm.com/exploits/1620

3)Exploits Circulating for Internet Explorer Unpatched Vulnerability
http://www.eeye.com/html/research/alerts/AL20060324.html

4)MS06-001 Microsoft Windows Graphics Rendering Engine WMF SetAbortProc Code Execution Vulnerability
http://www.microsoft.com/technet/security/Bulletin/MS06-001.mspx
http://www.securityfocus.com/bid/16074
Acik Duyuru Tarihi : 28 Aralik 2005
Microsoft MS06-001 Duyuru Tarihi : 5 Ocak 2006
Fark : 7 Gün


5)
Published Advisories
http://www.eeye.com/html/research/advisories/index.html

Upcoming Advisories
http://www.eeye.com/html/research/upcoming/index.html

Windows Media Player BMP Heap Overflow - ms06-005 (120 gün)
http://www.eeye.com/html/research/advisories/AD20060214.html

Windows Embedded Open Type (EOT) Font Heap Overflow Vulnerability - ms06-002 (163 gün)
http://www.eeye.com/html/research/advisories/AD20060110.html

Windows Kernel APC Data-Free Local Privilege Escalation Vulnerability - ms05-055 (204 gün)
http://www.eeye.com/html/research/advisories/AD20051213.html

Windows Metafile Multiple Heap Overflows - ms05-053 (224 gün)
http://www.eeye.com/html/research/advisories/AD20051108b.html

Windows Metafile SetPalette Entries Heap Overflow Vulnerability (Graphics Rendering Engine Vulnerability) ms03-053 (68 gün)
http://www.eeye.com/html/research/advisories/AD20051108a.html

Microsoft Distributed Transaction Coordinator Memory Modification Vulnerability ms05-051 (95 gün)
http://www.eeye.com/html/research/advisories/AD20051011b.html Devamı

posted by Fatih Ozavci @ 10:29 AM Yorumlar: 3  

Smart card içindeki bilgiler..

Bilindiği üzere birçok şirket dahilindeki kimliklerde artık "smart card" adı verilen küçük çipler kullanılmakta ki kredi kartları da aynı durumdadır.
Devlet kurumları da bu yapıya geçmeye başlamıştır.
Ancak acaba bu geçişler esnasında, kart içinde saklanan bilgilerde herhangi bir ortaklık olması şartı var mıdır?
Nüfus İdaresi' nin (yanlış hatırlamıyorsam), MERNİS adı altında bir projesi vardı. Bu kartları kullanan veya kullanacak şirketlerin MERNİS projesini de göz önüne alarak ortak bilgileri kartlarında saklaması husunda kuşkularım var açıkçası.
Düşüncem, kimlik olarak kullanılan akıllı kartların içinde saklanacak bilgilerin en azından bir kısmına belirli bir standart getirilmesi yönündedir.
Saygılarımla Devamı

posted by OguzhanS @ 9:55 AM Yorumlar: 1  

Bruce Schneier İstanbul'da idi ...

Aslında bu haberin "İstanbul'a geliyor" şeklinde daha önce yayınlanması gerekiyordu ama event sponsoru olmamıza rağmen benim de konuşmacılardan ancak geçen hafta sonunda haberim oldu. Tabii bugün Swissotel'de gördüğüm diğer blog yazarlarından da bu konuda çıt çıkmadı. Bundan sonraki önemli misafirlerimiz için daha paylaşımcı olmamızı (ve en azından bu konularda blog'a bir kaç satır çiziktirmemizi) temenni ederim ;-)

Şahsi görüşüm Bruce Schneier 'in güncel trendler, neden ve nasıl güvenlik konulu yalın ve net bir sunum yaptığı yönünde. Bilinmeyen bir dinleyici kitlesi için gayet uygun bir seçim idi. "Security is a process, not a product" cümlesini sahibinin sunumunda görmek için bile orada olmaya değerdi tabii :-) Devamı

posted by Burak Sadic @ 12:47 AM Yorumlar: 0  

Internet Security Threat Report Volume IX: March 2006

Altı ayda bir yayınlanan Symantec Internet Tehditleri Raporu'nun 1 Temmuz 2005 ile 31 Aralık 2005 tarihleri arasındaki tehditleri kapsayan son sayısı yayınlandı. Raporda network tabanlı saldırılar, bulunan güvenlik açıklarının incelemeleri ile önemli zararlı yazılımlar ve güvenlik riskleri üzerinde detaylı bilgiler bulunmakta.

Bu raporda vurgulanan en önemli tehdit Internet üzerindeki saldırıların amaç ve hedeflerindeki değişiklikler. Her geçen gün siber suçlara zemin hazırlamak üzere tasarlanan saldırıların sayısı artıyor ve bu saldırılar artık kurumların sınırdaki klasik güvenlik önlemleri olan güvenlik duvarları ve yönlendiricileri değil bölge sunucularını, istemcilerini ve web uygulamalarını hedefliyor (Bu yeni bir haber değil ama istatiksel olarak da yoğunluk değişmiş durumda)

Rapordan bazı başlıklar:

- Gizli bilgilerin açığa çıkmasına yönelik virüs ve solucan gibi zararlı yazılımların oranı bir önceki dönemde %74 iken son raporda %80'e çıktı.

- Bot network'ler her geçen gün büyüyor ve saldırıların sayısı artıyor. Ortalama olarak günlük 1402 DOS (denial of service) saldırısı kaydedildi ki bu bir önceki döneme göre %51 artışı gösteriyor.

- Phishing tehditi artık küçük ve bölgesel hedeflere de yönelmiş durumda. Bu dönemde her 119 e-posta'dan bir tanesi phishing denemesi idi. Bu istatistik günde ortalama 7.92 milyon phishing denemesine işaret ediyor.

- Bir güvenlik açığının yayınlanması ve bu açığı kullanan tehdidin çıkması arasında geçen süre ortalama olarak 6.8 gün, açık yayınlanması ile üreticinin bu açığı kapatan yamayı yayınlaması arasında geçen süre ise ortalama 49 gün. Bu istatistik kurumların ve bireylerin ortalama olarak 42 günlük bir zaman diliminde potansiyel ataklara karşı tehdit altında olduğunu gösteriyor.

- Instant messaging (IM) servislerini kullanan tehditlerin sayısı arttı, bu dönemde IM servislerini hedefleyen zararlı programların %91'i solucanlardı.

Güncel Symantec Internet Tehditleri Raporu'nun tamamına aşağıdaki URL'den ulaşabilirsiniz:

https://enterprise.symantec.com/enterprise/whitepaper.cfm?id=2238 Devamı

posted by Burak Sadic @ 11:48 AM Yorumlar: 0  

Internet, Bittorrent, Şifreleme, Casuslar vs.

BBC'de yayınlanan bir habere göre Internet trafiğinin oldukça büyük bir kısmını oluşturan Bittorrent protokolünün şu an sınırlı sayıda istemci tarafından (BitComet, utorrent ve Azuerus) şifreleniyor olması, Internet'i kontrol altında tutmaya çalışan istihbarat teşkilatları açısından ciddi bir problem oluşturmaya başlayacak. Şu an için kullanılan RC4 oldukça zayıf bir algoritma olsa da, sözkonusu verinin (Internet trafiğinin kabaca %30'u) fazlalığı yüzünden başta NSA olmak üzere kurumların bu konuda indirekt olarak ;) tepki vermeleri bekleniyor. Devamı

posted by kivilcimh @ 9:51 AM Yorumlar: 0