Perşembe, Ekim 26, 2006

Zombiler kalabalığa karışmaya çalışıyor!

Son bir yıl içinde InfoSec alanında en sık duymaya başladığımız kavramlardan biri de zombiler ve botnetler. Çoğu ev kullanıcılarına, ya da üniversite laboratuvarlarına ait olan bu bilgisayarlar, bir şekilde kötü niyetli kişiler tarafından ele geçirilip daha sonra çeşitli dağıtık servis dışı bırakma saldırılarında kullanılmakta ya da para karşılığında kullanım haklarısatılmaktadır.

Bu türden ele geçmiş sistemler otomatik olarak belli bir IRC kanalına gidip orada Botmaster diye tanımlanan efendilerinin komutlarını beklemektedirler. Girişi şifreli olan bu kanallarda bir Botmaster dünyanın herhangi bir yerinden bağlanıp, geride hemen hemen hiçbir iz bırakmadan binlerce bilgisayara aynı anda saldırı emri verebilir.

Yakın zamana kadar bu tür sistemlere karşı başta ISP'ler olmak üzere çeşitli yöntemler geliştirilmişti. Örnek olarak çok da popüler olmayan IRC trafiğinin dinlenmesi ya da botnetlere evsahipliği yaptığından şüphelenilen bazı IRC sunucularına erişimin engellenmesi gibi.

Fakat son bulgular gösteriyor ki, Botmaster'lar da buna karşılık emir vermek için IRC'i kullanmayı bırakıp artık sıradan bir kullanıcı gibi web sitelerini dolaşan, davranışları normal bir kullanıcıdan pek de ayırt edilemeyen bot yazılımları kullanmaya başlamışlar.

Kısaca aramızda zombiler var artık.

Etiketler:

Devamı

posted by kivilcimh @ 11:07 AM Yorumlar: 0  

Pazartesi, Ekim 16, 2006

Penetrasyon Testlerinin Eksiklikleri

Günümüzde bilgi güvenliği konusunda hassasiyeti olan ve gerekli bütçeyi ayırabilen kurumlar bilgi güvenliği danışmanlığı yapan firmalarla çalışmalar yapmaktadırlar. Bu çalışmalar, penetrasyon testleri (penetration test), bilgi sistemlerinin güvenlik denetimi (security audit), geliştirilen programların kaynak kodlarının güvenlik açısından incelenmesi ve bilgi güvenliği yönetim standardlarının(ISO27001, COBIT vs) kurumda uygulanması gibi konuları içermektedir. Ülkemizde ise bu çalışmaların çoğunluğunu penetrasyon testleri oluşturmaktadır. Diğer taraftan son zamanlarda bilgi güvenliği yönetim sistemi standardlarının kurumda uygulanması konusunda da geliştirilen projelerin sayısı artmaktadır.

Bu yazıda ele almak istenilen konu bilgi sistemlerinin güvenlik açıklıklarının tespit edilmesine yönelik projelerde tercih edilen yöntem olan penetrasyon testlerinin eksiklikleri ve bu testleri de içerisinde barındıran "detaylı güvenlik denetim"lerinin (security audit) tercih edilmesi gerekliliğidir.

Bir çok penetrasyon testi çoğu kişinin bildiği gibi değerlendiricilere sadece IP bilgisi verilerek (ki bazen bu bilgi de verilmeyebiliyor) İnternet?e açık bilgi sistemlerindeki açıklıkların İnternet üzerinden sınırlı bir zaman aralığında test edilmesi şeklinde gerçekleştirilmektedir. Bu çalışmalarda temel mantık ?Acaba İnternet üzerinden bir saldırgan veya saldırganlar sistemlerimize neler yapabilir?? sorusuna cevap aramaktır. Bazen iç tehditlerin de tespit edilmesi amacıyla kurum içerisinde herhangi bir hakkı olmayan, sadece değerlendiricilere bağlanabilecekleri bir IP numarasının verildiği penetrasyon testleri de gerçekleştirilmektedir. Yukarıda ifade edilen "detaylı güvenlik denetimi"nden kasıt ise değerlendiricilerin hem sistemleri uzaktan test etme yetkisine sahip olarak çalışabilmesi (mesela, gerekli kullanıcı profillerinin sağlanması), hem de sistemlerin konfigürasyonlarını inceleyebilecekleri bir ortamın oluşturulmasıdır.

Kurumlarca penetrasyon testlerinin tercih edilmesinin bir kaç sebebi vardır. İlk sebep, kurumların öğrenmek istedikleri noktanın "Acaba İnternet üzerinden bir saldırgan veya saldırganlar bizim sistemimize ne yapabilir?" sorusuna cevap aramakla sınırlı olmasıdır. Bu soru bilgi güvenliği ile ilgili duyarlılığın ilk seviyesini oluşturmaktadır. Bu seviyede iç tehditler, ki değişik çalışmalar iç tehditlerden dolayı ortaya çıkan güvenlik olaylarının önemli bir yer tuttuğunu göstermektedir [1, 2], göz ardı edilmektedir. İç tehditler kapsamında, sistem üzerinde değişik seviyede yetkisi olan kişilerin bilinçli ya da bilinçsiz olarak gerçekleştirebilecekleri davranışların etkileri incelenir. Özellikle bilinçsiz davranışların etkilerinin gerçekten çok fazla olduğu gözlenmekte ama bu etkilerin kayıt altına alınmaması ve bilinçli davranışlar kadar çok yankı uyandırmaması nedeniyle çoğunlukla göz ardı edilmektedir. Penetrasyon testleri, ifade edilen kapsamdaki iç tehditleri tespit etmezler. Değerlendiricilere kurum içinden bağlanma hakları verilmesi durumunda bile penetrasyon testleri yetersiz kalmaktadır. Aslında yapılan penetrasyon testleri sonuçları "Acaba İnternet üzerinden bir saldırgan veya saldırganlar bizim sistemimize ne yapabilir?" sorusuna da tam cevap veremeyebilirler. Çoğunlukla değerlendiriciler, sınırlı zamanda bir çok IP numarasını kara kutu (black box) mantığıyla ele alarak test ederler. Oysa bir saldırganın (çoğunlukla) zamanı sınırlı değildir ve hedefinde bir çok IP numarası olmayabilir. Hedefini tam belirlemek için bir çok IP arasından seçme işlemi yapabilir ama nitelikli bir saldırganın bu işlemin sonunda odaklandığı bir ya da bir kaç IP olacaktır. Dolayısıyla penetrasyon testleri söz konusu kısıtlar altında beklentilerin ancak belli bir bölümünü karşılayabilirler.
Penetrasyon testlerinin tercih edilmesindeki sebeplerden birisi test eden firmaya tam olarak güvenememektir. Kurumlar arası güvenin az olduğu ülkemizde kurumlar karşı tarafa mümkün olan en az bilgiyi (sadece IP bilgileri ki zaten bu bilgiler de rahatlıkla bulunabilir) vererek bir güvenlik testi yaptırmak istemektedirler ki bu amaç için penetrasyon testleri uygundur. Ama gerçekten kurumlar kendi güvenlik eksikliklerini tam tespit ettirmek istiyorlarsa güvenebilecekleri bir kuruma sistemlerin konfigürasyonlarının da inceletebilecekleri bir güvenlik denetimi yaptırmalıdırlar. Söz konusu denetimde bazı kurallar konarak ek tedbirler alınabilir. Örneğin değerlendiricilere sistem yöneticisi hakkıyla değil sadece okuma hakkıyla sistemlere bağlanma hakkı verilebilir. Bazı kritik konfigürasyon bilgileri anonim hale getirilerek değerlendiricilere farklı ortamlarda (kağıt ortamında, konfigürasyonların enstantane resimleri (snapshot) halinde vs..) verilebilir. Hatta söz konusu kayıtların incelenmesinin sadece kurum ortamında yapılması ve incelemeden sonra değerlendiricilere herhangi bir bulgunun verilmemesi sağlanabilir.

Penetrasyon testlerinin tercih edilmesindeki başka bir sebep kurumun kendi sistemlerine tam güvenememesidir. Eğer söz konusu güvenlik test projesi üst yöneticilerin zorlaması ile yapılıyorsa bilgi sistemini yöneten kişiler ya da bilgi sistemlerin güvenliğinden sorumlu kişiler güvenlik projesinin kapsamını mümkün olduğunca daraltmaya çalışabilmektedirler. Penetrasyon testi de bu durumda tercih sebebi olabilmektedir. Güvenlik test projesi fikrinin üst yönetimden gelmediği bizzat bilgi güvenliğinden sorumlu kişilerin teklifi ile oluştuğu durumlarda da ilgili kişiler kendi sistemlerine güvenmeme ama aynı zamanda eksikliklerini de tespit ettirme ikileminde kalarak nispeten dar kapsamlı olan penetrasyon testlerini tercih etmektedirler. Aslında bu durum bilgi sistem organizasyon yapısından kaynaklanan bir problemdir. Ülkemizde kurumlardaki bilgi güvenliği departmanları çoğu zaman operasyonel hizmetler de (güvenlik duvarları, IPS yönetimi, kayıt alma mekanizmalarının kurulması) görebilmektedirler. Bu durumda güvenlik testi projesini yaptıran birimler aynı zamanda kendi eksikliklerinin de bulunmasını talep etmiş bulunmaktadırlar. Her birimin kendi eksikliklerinin bulunmasını talep etme özgüvenine sahip olması beklenmemelidir. "Görevler ayrılığı" ilkesi bu durumları ortadan kaldırmak için vardır. Söz konusu operasyonel hizmetler diğer operasyonel birimlerinin işi olmalı ve bilgi güvenliği departmanları sadece izleme ve denetleme fonksiyonunu icra etmelidir. Danışmanlık firmalarından alınan güvenlik testi projesini de yöneten söz konusu bilgi güvenliği departmanları olmalıdır. Ayrıca bilgi güvenliği departmanlarının "denetleme" konusunda bağımsızlığı sağlanmış olmalıdır. Böyle bir ortamda bilgi güvenliği departmanı bilgi güvenliği testini mümkün olan en geniş kapsamda ele almaya çalışacaktır.

Yukarıda penetrasyon testlerinin tercih sebeplerine ve bu sebeplere kaynaklık eden problemlerin nasıl çözümlenebileceğine değinmeye çalıştım. Şimdi de penetrasyon testlerinin genel eksikliklerine değinmek istiyorum.

Güvenlik testlerinde hedeflenen temel üç nokta sistemde herhangi bir açıklığın tespit edilmesi, bu açıklığın tam olarak var olduğunun belirlenmesi ve söz konusu açıklığın sisteme etkisinin gözlenmesidir. Güvenlik testlerinin temel çıktıları ise açıklıklar ve açıklıkların kritiklik dereceleridir. Yapılan çalışmanın bir açıklık değerlendirilmesi (vulnerability analysis) olduğu varsayılırsa bu çalışmalarda kritiklik derecesi, açıklığın sisteme olan etkisine göre belirlenir. Güvenlik testlerinin başarısı, gerçekte açıklık olmadığı halde açıklık olarak tespit edilen bulguların azlığı (hatalı pozitif - false positive) ve gerçekte var olan ama değerlendirici tarafından tespit edilemeyen açıklıkların azlığı (hatalı negatif-false negative) ile ölçülebilir. Ayrıca bulunan açıklıkların kritiklik derecesini sağlıklı olarak tahmin edebilmek de testlerin başarısındaki diğer önemli etkendir.

Penetrasyon testlerinin açıklık tespit edilmesi aşamasında baştan tam kapsayamadığı ana açıklık grubu lokal açıklıklardır. Değerlendiriciler, test ettikleri servislerin ya da işletim sistemlerinin ne olduklarını ve versiyonlarını tespit ettiler ise bazı lokal açıklıkların olabileceğini tahmin edebilirler. Fakat bu açıklıkların tam olarak var olduğunu ve sisteme olan etkisini tespit edemezler. Ancak uzaktan sistemde kısıtlı bir hak elde etmişler ise söz konusu lokal açıklıkları teyit etme ve etkilerini inceleme imkanına sahiptirler. Bu imkana ulaşamadılarsa ki ulaşamama ihtimali yüksektir, olabileceğini düşündükleri lokal açıklıklar sadece tahmin aşamasında kalmaktadır. Tahmin edilen bir bulgunun da test raporuna yazılması konusunda değerlendiriciler ikileme düşerler. Eğer söz konusu bulgu rapora yazılırsa karşı tarafa hatalı pozitif (false positive) bir bulgu verme olasılığı çok yüksektir. Eğer yazmazlar ise test çalışmasının hatalı negatif (false negative) oranının artma ihtimali söz konusudur. Gerçekten söz konusu açıklık sistemde varsa ve değerlendiriciler bu açıklığı rapora yazacaklar ise bu sefer açıklığın etkisini tam ölçemediklerinden açıklığa yanlış kritiklik derecesi verme olasılıkları çok yüksektir.

Yukarıda bahsettiğim lokal açıklıklar için geçerli olan açıklığın tam olarak varolduğunun onaylanamaması ve etkisinin belirlenememesi aslında çoğu uzaktan kullanılan açıklıklar için de geçerlidir. Dolayısıyla penetrasyon testi yapan kişiler ne kadar uğraşırlarsa uğraşsınlar, çalışmalarındaki hatalı pozitif bulgu bulma, hatalı negatifleri tespit edememe ve hatalı kritiklik seviyesi belirleme problemlerini aşamayacaklardır. Bu problemler de çalışmanın kalitesini düşürecektir. Oysa sistemlere ve sistem bilgilerine erişilerek yapılan güvenlik denetimlerinde ifade edilen problemlerin minimum hale getirilebilme şansı vardır.

Bilgi güvenliği sağlamada aslında iç içe geçen korunma mekanizmalarından faydalanılmaktadır. Örneğin, güvenlik duvarları sistemler üzerinde erişilebilecek portları kısıtlayarak saldırganların kullanabilecekleri saldırı yüzeyini azaltırlar. Saldırı önleme sistemleri, güvenlik duvarı tarafından izin verilen ağ trafiği içerisinde bulunabilecek saldırıları engellemeye çalışırlar. Host tabanlı saldırı tespit sistemleri lokalden veya uzaktan üzerinde yüklenmiş oldukları sistemlere olan saldırıları tespit ederler. Öbür taraftan sistemlerin yamaları güncellenerek güvenlik duvarını ve saldırı önleme sistemlerini atlayabilen saldırılara karşı korunma sağlanır. Sistem konfigürasyonlarında yapılan ayarlarla saldırgan sisteme kısıtlı bir hakla erişse bile sistem üzerinde tam yetkili bir kullanıcı olması engellenir. Bu tür bir konfigürasyona örnek web sunucu servislerinin sınırlı yetkiye sahip (sadece html dosyalarını okuyan, çalıştırılabilir dosyaları sadece çalıştırma hakkına sahip olan) bir kullanıcı hesabıyla çalıştırılmasıdır. Penetrasyon testlerinde test edilen nokta, tüm bu mekanizmaların hepsinin birden çökertilip çökertilemeyeceğidir. Oysa güvenlik testlerinde her bir mekanizmanın kuvvetliliği ayrı ayrı test edilebilmelidir. Bu da ancak sistem bilgilerine de erişilebilen, istenilen güvenlik mekanizmasına erişme hakkı verilen detaylı bir güvenlik denetimi ile mümkündür.

Penetrasyon testi gerçekleştirenlerin karşılaştığı problemlerden birisi de karşı sistemlere önemli zararlar verme olasılığıdır. Çoğunlukla danışman firmalar ile yapılan sözleşmelerde danışman firmalardan penetrasyon testi yapılması fakat sistemlere zarar verilmemesi istenmektedir. Değerlendiriciler bu durumda yine büyük bir ikilemde kalmaktadırlar. Var olduğu konusunda şüphelendikleri ama sisteme zarar verme ihtimali olan saldırıları deneyip denememe konusunda karar verememekte ve çoğunlukla risk almayıp ya söz konusu açıklığı raporlarına yazmamakta ya da hatalı pozitif olma ihtimali olan bu açıklığa raporlarında yer vermektedirler. Sistem konfigürasyon bilgilerine ulaşılarak yapılan testlerde açıklıkların var olma bilgisinin garanti edilmesi daha kolay gerçekleştirilebilmekte ve etkilerinin tahmin edilebilirliği daha fazla olmaktadır.

Penetrasyon testlerinin sistem güvenliğinin kontrol edilmesinde önemli bir yeri vardır ama yukarıda ifade edilen eksiklikleri nedeniyle detaylı güvenlik denetimleri tercih edilmelidir. Hatta son yıllarda gelişmiş ülkelerde detaylı güvenlik denetimlerinin daha da ilerisinde açıkların çoğunun geliştirilen uygulamalarda (özellikle web uygulamalarında) olduğu gerçeğine dayanılarak uygulamaların kaynak kodlarının güvenlik açısından değerlendirilmesi de önemli bir unsur haline gelmiştir. Kredi kartı bilgisi işleyen kuruluşlar için oluşturulan PCI (Payment Card Industry) standardının yeni versiyonunda (versiyon 1.1) web uygulama yazılımlarının kaynak kodunun incelenmesinin gerekliliği ile ilgili madde konmuştur. Dünyada trend kaynak kodlarının incelenmesine kayarken yapılan güvenlik testleri penetrasyon testleri ile sınırlandırılmamalıdır.

[1] http://www.schneier.com/blog/archives/2005/12/insider_threat.html,
[2] http://www.cert.org/insider_threat/insidercross.html
[3] https://www.pcisecuritystandards.org/pdfs/pci_dss_v1-1.pdf



Hayrettin Bahşi

Uzman Araştırmacı
TÜBİTAK-UEKAE

Etiketler:

Devamı

posted by Hayrettin Bahşi @ 4:17 PM Yorumlar: 2  

Çarşamba, Ekim 04, 2006

Ey yönetim, duy sesimizi....

Geçen haftaki bilgigüvenliği grubunun toplantısındaki dostlardan bir çoğu ile karşılaştığımda şu replikler aramızda defalarca geçmiştir :
- İşler nasıl abi?
- Noolsun ya, uğraşıp duruyoruz. Yapacak o kadar çok iş var ama adam yok, dinleyen yok. Yönetime derdimizi anlatamıyoruz
- Aynen...

Securityfocus'taki mail listelerinden birinde, bu günlerde şu başlık tartışılıyor : "How to create security awareness in top management". Esas hedef yönetimde bir farkındalık yaratmak ise, güvenliği şirketteki işlerin ayrılmaz bir parçası haline getirmek ise, ve güvenliğin CXO seviyesinde bir konu olmasını sağlamak ise ne yapmalı ne etmeli...

Yaramıza tuz bastıklarını düşündüğüm için önerilen yöntemleri sizlerle paylaşayım istedim. Hem özet olur, hem de yorumlarımı sizin görüşlerinize açmış olurum diye düşündüm. Konu hakkında yeni öneriler yazarsanız eminim gruba da faydası olacaktır, bizdeki durum da ortaya çıkacaktır...

Bir yöntem korkutmak. "Aman ha öcü gelir, veri alır gider" diye anlatmaya çalıştığınızda ilk başta 'kısmi' fayda sağlasanız da, korku ve telaş içindeki bir insanın doğası gereği "niye bu haldeyiz, ne biçim güvenlik bu?" tepkilerinin size geri dönmesi ve böylelikle de yine derdinizi anlatamamanız büyük olasılıktı. Üstelik kaş yapayım derken göz çıkarmak misali, o zaman şunu şöyşe yapan bunu da burdan kontrol eden bir teknoloji bulup koyalım diye, pek 'feasible' olmayan proje ve taleplerin önünüze gelmesi, elinizde kalması da ihtimaldir.

Diğer önerilen yöntem, aman dikkat!!!, tabiri caizse 'eşek şakası yapmak'. Sitenizde, CXO'nun bilgisayarlarındaki bir açığı 'kullanmak' ya da 'göstermek'. Bunun sizin güvenilirliğinize halel getirmesi riski yüksektir. Her ne kadar pozisyonunuz gereği size güvenmeleri bir de-facto durum olsa da, hatta bunu benimsemiş olsalar da kişilerin ya da şirketin 'özel'ine girmek pek sağlıklı olmaz kanımca. Kendinizi kapının önünde bulma riskini bir yana bırakın, derdinizi anlatamadığınız yeni değerlendirmeler ve konuların içinde bulabilirsiniz kendinizi. Bu eksiklikleri 'şaka' yoluyla değik, 'ciddi' ele alınması bence daha doğru olur. En absürd tepki de 'sen zaten içeriyi biliyorsun, bunları yapabilmen normal ki!!!' olurdu herhalde.

Zamanında denediğim, ve sunumlarda gerçekten işe yarayan bir yöntem ise 'read the books & tell the story'. Schneier'ın Mitnick'in kitaplarını okumak; güvenlik tehditlerinin eğilimine ait raporları didiklemek, hatta medyaya yansıyan bilgileri harmanlamak ve bunları anlatmak sunumunuzu (ister kullanıcılara, ister yönetime) tatından yenmez bir hale getirir; doğrudur da. Ancak elde kalıcı bir mesaj verir mi veya yönetimin güvenlik konusuna ilgisini çeker mi, burada emin değilim. Çünkü netice de La Fontaine olmasa da, anlattığınız bir 'story'dir.

Türkiye'ye maalesef uygulayamadığımız, daha doğrusu çok yeni emeklemeye başladığımız kanunlar ve yaptırımlar ise bir diğer etken olabilir bu konuda. PCI DSS, PIN Security Review gibi kart süreçlerine bağlı bazı zorunluluklar olsa da, bunların kapsamlarının kısıtlı kalması ve yeterince güçlü yaptırımları olmaması, beklediğimiz faydalarını da kısıtlı tutmaktadır. ABD ya da AB'deki kanunların muadillerinin TR'ye gelmesi en azından önce dosyanın masaya konulmasını sağlayacaktır. Sonrasında, biraz vakit alsa da, getirilecek yaptırımlarla bu işler daha ciddi ele alınmaya başlanabilecektir. Ancak şu an itibariyle biraz daha beklenmesi gereken bir yöntem maalesef.

En hoşuma giden ancak somutlaştırması biraz zor olan öneri ise, güvenliğin iş tarafından karar verilmesi gereken ve işin maliyetine (risklerin neden olacağı kayıplara) yansıyan bir etken olduğuna yönetimi inandırabilmek. ISMS'in ilk şartını bilirsiniz, önce kaynakların maruz kaldığı riskleri belirleyip bunları öncelendirmekle başlar. Burada da temel katkı işin sahibinden beklenir. Aynı şekilde veri güvenliğinin başı da, verinin sahibini belirlemek ve 'bu ne kadar kritik bir veridir' sorusunu cevaplamaktır. Ancak pratikte bu yöntemlerin varlığı ya da kullanılması bile yönetimin ilgisini çekmekte yeterli olmayabiliyor. Bunu nasıl aşmalı??? İzninizle burada durmak istiyorum. 2 nedeni var :
1 - burada söyleyecek çok şey olması ama kafamda henüz yapılandırmamış olmam.
2 - vaktim doldu...

Sağlıcakla kalın, hepinize saygılar...

Etiketler:

Devamı

posted by M.Feridun AKTAŞ @ 8:55 AM Yorumlar: 2  

Salı, Ekim 03, 2006

Kariyer: Bilgi Güvenlik Uzmanı / Uzman Yardımcısı @ Fintek

Bilgi Güvenlik Uzmanı / Uzman Yarıdmcısı(Ref:BG-01)

İlan Tarihi: 03.10.2006
Yer: Ankara, İstanbul
Personel Sayısı: -


Genel Nitelikler

  • Üniversitelerin, tercihen ODTÜ, Bilkent, Hacettepe, Boğaziçi, İTÜ, Yıldız Teknik Üniversitesi Bilgisayar Mühendisliği Bölümü mezunu,
  • Uzman pozisyonu için en az 5 yıl IT ve bankacılık sektörü deneyimi olan (minimum 3 yılı Bilgi Güvenlik/ Risk Yönetimi alanında),
  • Uzman Yardımcısı pozisyonu için tercihen 1 yıl IT ve bankacılık sektörü deneyimi olan (tercihen Bilgi Güvenlik/ Risk Yönetimi alanında),
  • İyi düzeyde İngilizce bilen, askerliğini tamamlamış, seyahat engeli bulunmayan,
  • Problem çözme kabiliyeti yüksek, analitik düşünen, takım çalışmasına yatkın, farklı detay seviyelerinde raporlama (dökümantasyon) yapabilen, işlem/iş akışları, kontroller ve bilgisayar ortamındaki dokümantasyon gereksinimleri konusunda bilgi ve deneyim sahibi,
  • Sistem güvenlik mekanizmaları, erişim kontrol sistem ve metodolojileri, güvenlik yazılım ve donanım (firewall, IDS/IDPS, içerik denetleme, anti-virüs yazılımları, atak ve açık tespit etme vb.), güvenlik denetleme, risk analizi, zayıflık analizi, telekomünikasyon ve network güvenliği, PKI teknolojileri ve şifreleme mekanizmaları, iş/BT devamlılık konularında bilgi sahibi, tercihen veritabanı güvenliği ve bankacılık uygulamaları konularında bilgi sahibi,
  • Tercihen bilgi güvenlik standartları konusunda bilgi sahibi,
  • Tercihen bilgi güvenlik ve denetim alanında uluslararası geçerliliği olan sertifika sahibi (CISSP, CISA, BS7799/27001 Lead Auditor vb.).

İş Tanımı

Yönetilen bilgi sistemleri üzerindeki güvenlik kontrollerine ilişkin planlama, uygulama, işletim ve yönetim çalışmalarını gerçekleştirmek, bilgi güvenlik yönetim sisteminin geliştirilmesinde görev almak. Sistem güvenlik prosedürlerinin oluşturulması ve iyileştirilmesini, bilgi güvenlik loglarının izlenmesi ve analizi, güvenlik denetimi, zayıflık ve risk analizinin yapılmasını sağlamak, bilgi güvenlik alanında dökümantasyon yapmak. Bilgi sistemleri denetim strateji ve tekniklerini ve bunlara uygun denetim planlarını geliştirmek, uygulamak/uygulanmasını sağlamak, bilgi sistemleri ve uygulamalarının risk analizlerini yapmak, denetimler sonucu oluşan bulguları raporlamak, ilgili bölümlerle birlikte riskleri giderici önlemlerin alınması için aksiyon planlarının hazırlanmasını sağlamak, planların uygulanmasını izlemek.

Bu ilan Kariyer.Net sitesinde verilmiştir.

Etiketler:

Devamı

posted by Deniz Tuncalp @ 11:33 PM Yorumlar: 0  

Pazartesi, Ekim 02, 2006

Yazılımdan Veritabanına, ya da Veritabanından Yazılıma...

Önceden birbirinden farklı görünen birçok konu vardı. Yazılım şirketleri veri tabanı üretme işine veri tabanı üreten şirketler de uygulama geliştirme işine girmezler idi.Ancak şirketlerin stratejileri, bu ayrımı ve sınırlarını zorlamaya başladı. Örneğin; Microsoft hep O/S ve buna yönelik uygulamalar üreten bir şirket iken şimdi ise SQL Server 2005 ürünü ile DB listelerinde bir üst seviyeye oynadığını belirtmektedir. Bu örneğin tersini ise Oracle açısından verebilmekteyiz. En iyi DB listelerinde her zaman ilk 3 içinde bulunan şirket, O/S hariç tüm yazılım sektörüne girmiş durumdadır ki O/S açısından da en önemli kozui Microsoft un baş belası sayılabilecek olan Linux dur.

Bunlarla birlikte E-iş uygulamaları açısından da durumda bir değişme olmadığı gibi rekabetin büyük bir ivme ile arttığı görülmüştür. Microsoft Axapta ile belirli bir zümreye hitap ederken SAP ın bu konuda kan kaybettiği ve pazardaki payından bir kısmını, bir zamanlar kendi yan sanayisi konumunda olan Oracle kaptırdığı görülmektedir.

Oracle son 5 yıl içindeki uygulama çözümündeki büyümenin eseri olarak diğer ünlü e-iş çözümlerinden JDEdwards ve PeopleSoft u da satın almıştır. Bu iki uygulamanın tecrübelerini de Oracle E-iş çözümlerine katarak , pazardaki payını SAP karşısında arttırmaya çalışması Oracle için bir avantajmış gibi görünse de, bu e-iş çözümlerini geliştirme işini tümü ile Hindistan' da gerçekleştirmeyi planlaması ve kısmi olarak bunu gerçekleştirmesi ise uygulamanın kalitesi açısından bir sorun teşkil edebilir. Kullanıcı gözü ile bakıldığında ise hala SAP ın fanatiklerinin ağırlıklı olarak piyasada olması, Oracle ' ın daha çooookk yol katetmesi gerektiğini ve bu yolları katederken çok büyümenin yükünü kaldırma sorumluluğunu taşımayı öğrenmesi gerektiğini veya bunu yapıp yapamayacağını bize gösterecektir.
Devamı

posted by OguzhanS @ 4:16 PM Yorumlar: 2  

Ortak [Kütüphane, Zaafiyet, Çekirdek, Yaklaşım] Nereye Kadar ?

Ağ veya sistem güvenliği şirketleri de dahil olmak üzere çok sayıda yazılım şirketi, yazılım geliştirme sürecinde, çoğu açık kaynak kodlu ve BSD yada eşdeğer lisanslı ortak programlama kütüphanelerinden faydalanmaktadır. Amaç dünyayı yeniden keşfetmek yerine, rekabetin yaygınlaştığı dünyada verimli ve güvenli sistemleri hızlıca üretmektir. Aslında oldukça doğru ve faydalı görünen bu yöntem, yazılım geliştirici kurumların güvenlik yaklaşımı neticesinde tehlikeli bir noktaya gitmektedir. Çok sayıda kurum, programlama kütüphanelerini kullanırken kendi kodlarının içine dahil etmekte ve güncellemelerini kendi kodları üzerinden yapmaktadır.

Bahsi geçen kütüphanelerde ortaya çıkan güvenlik açıkları, kütüphane geliştiricisi ekip tarafından hızlıca düzeltilip yazılım yamaları yayınlanmaktadır. Oysa birçok yazılım geliştirici kurum söz konusu yamaları yapmış oldukları değişimlerden ötürü kendi koduna uyarlayamamakta, umursamamakta veya farklı bir platforma taşımış olduğu uygulamada ilgili zaafiyetin bulunmadığını düşünmektedir.

Başlıca ortak kullanım kütüphaneleri arasında güvenlik yazılımlarının çokça faydalandığı OpenSSL kriptolama kütüphanesi, sıkıştırma için kullanılan ZLib kütüphanesi ve resim işleme kütüphaneleri (libpng, libtiff, libjpeg vb.) yer almaktadır. Bu kütüphanelerde zaman içinde bulunan zaafiyetler özellikle kütüphaneyi kullandığını açıklamış kurumlar tarafından kabul edilmekte ve ürettikler ürünler için yamalar yayınlanmaktadır. Çoğunlukla yamalar açığın tek bir türünü kapsamakta veya ilgili kod ile birleştiğinde oluşabilecek bir başka zaafiyeti göz ardı etmektedir. Bahsi geçen kurumların büyük çoğunluğu ise BSD lisansının avantajını kullanıp, böyle bir kütüphaneyi kullanmadığını belirtmekte, farkettikleri açık veya yamalar ile ilgili kendi yazılım güncellemelerini sessiz sedasız yapmaktadır. Bazıları ise açıkları tamamen umursamamakta veya yamalarının işlevsiz olduğunu görememektedir.

Ortak kütüphaneler dışında bir diğer önemli ortak programlama bileşeni ise sistem çekirdeğidir. Lisansı değiştirilmeye ve kodunu kapatmaya izin veren sistem çekirdekleri, diğer işletim sistemi veya gömülü ürünlerde kullanılmaktadır. Özellikle güvenlik sektöründe son yıllarda 'kutu içinde herşey var' yaklaşımı sonucunda özel işletim sistemi olarak bu sistemlerin çekirdekleri ve mimarileri kullanılmaktadır. Bazı kurumlar ise yıllardır TCP/IP ve süreç yönetimi gibi kritik özellikleri, açık kaynaklı çekirdeklerden kendi işletim sistemlerine kopyalamış, detaylı bilgiyi ise açıklamamaktadır. Ürün geliştiricileri *BSD ailesinin ve GNU/Linux işletim sisteminin çekirdeklerini kullanırken, geliştirme aşamasında olan bu çekirdeklerin eşdeğer zaafiyetleri barındırmış olduklarını unutabilmekte veya ürün itibarı zarar görmesin diyerek göz ardı etmektedir.

Özetle çok sayıda kütüphane ve çekirdek kullanmakta olduğumuz, işletim sistemi, güvenlik ürünü veya yazılımı içinde yerini almıştır. Bahsi geçen kütüphanelerde ortaya çıkabilecek her tür zaafiyet veya farklı uygulama biçimleri tüm ürünlerde geçerli olacaktır. Sadece açığın kullanımı esnasında platform veya mimari farklılıkları için küçük değişiklikler yapılması gerekecektir. Bu tür açıklar sıklıkla yayınlanmakta ancak etkilenen yazılımlar veya mimariler doğrudan belirtilmemektedir. Genellikle kütüphane ekibinin güvenlik duyurusu, birkaç Linux/BSD geliştiricisinin duyurusu göz çarpmakta fazla detaya girilmemektedir. Bu nedenle hala birçok insan kullanmakta oldukları Intrusion Prevention System/Firwall/Web Application Firewall ürünlerinde önlemeleri gereken bu zaafiyetlerin olduğunu bilememektedir.

Güvenlik ürün geliştiricilerinin çok daha hassas olması, söz konusu ortak kütüphane zaafiyetlerini ivedilikle gidermesi ve bunu açık şekilde yapması gerekmektedir. Bu durum sonucu ilgili kurumun itibarı zarar görmez, aksine yazılım geliştirme sürecine verdiği önem ortaya çıkar. Ancak zihniyetin değişmediği ve uzun sürede değişmeyeceği görünüyorken, kapalı kapılar arkasında neler yapıldığı çok bilinmediği için bir süre daha onların verdikleri bilgiler ile yetinecekmişiz gibi görünüyor.

Fatih Ozavci
IT Security Consultant

Referanslar :

OpenSSL Security Advisory [28th September 2006]
http://www.openssl.org/news/secadv_20060928.txt

zlib Compression Library Corrupts malloc Data Structures via Double Free
http://www.zlib.net/advisory-2002-03-11.txt

LibTIFF Integer Overflows Let Remote Users Crash the Application
http://securitytracker.com/alerts/2004/Oct/1011674.html
Devamı

posted by Fatih Ozavci @ 1:29 PM Yorumlar: 0  

Müşteri Bilgileri Referans Olarak Kullanılmalı Mı?

IT hizmeti sunan pek çok firma, iş tecrübelerini veya yaptıkları işin kalitesini göstermek amacıyla, hizmet verdikleri firmaların isimlerini web sitelerinde referans olarak yayınlayabiliyorlar. Gerçekleştirdiğimiz güvenlik analiz testleri ise kimi zaman bu durumun ciddi güvenlik sorunlarına yol açabildiğini göstermiştir. Bu sebeple benim için bir firmanın isminin referans olarak belirtilmesinin bir güvenlik açığı olarak değerlendirilip değerlendirilemeyeceği hep bir soru olmuştur. Aynı soru firmanın kendi bilgilerini yayınlaması konusunda da sorulabilir.

Internet üzerinden testlere başlarken yaptığım ilk kontrollerden biri o şirketin hangi IT hizmeti sunan firmadan destek aldığını tespit etmek oluyor. Google gibi bir arama motoru olunca bunu yapmakta hiç zor olmuyor.(googling) Hizmet sunanlar genellikle sattıkları sistemleri (router, switch, firewall vb) bir an önce devreye almak için güvenlik konularını ikinci plana atabiliyorlar. Bu durumla özellikle erişim şifrelerinde karşılaşılıyor. Test yaptığınız şirket tarafından kullanılan sistemin parolasını bir güvenlik açığı sebebi ile ele geçirdikten sonra, o şirketin destek aldığı IT firmasının diğer müşterilerinde de aynı parolayı hiç denediniz mi?

Pek çok şirket özellikle IT güvenliği konusunda yatırım yapmayı gerekli görmeyenler, çoğu zaman sorun çıkmaması veya sistem hakkında yeterli bilgiye sahip olmadıkları için cihaz üzerindeki yapılandırmaya dokunmak istememektedirler. Yaptığımız testler pek çok şirketin router, firewall gibi internet erişiminde kritik noktalarda bulunan sistemlerin parolalarını hiç değiştirmediklerini göstermiştir. Tüm müşteri routerlarına aynı şifreyi veren servis sağlayıcılar ve bu şifreleri değiştirmeden kullanan müşteriler aynı IT firmasından destek alan diğer firmaları da güvenlik riski altında bırakmaz mı?

Bu durum güvenlik açığı bulunan sistemden elde edilen bilgiler ile tek sorunu kullandığı sistemin parolasını değiştirmemiş olan, uygulama bazında herhangi bir güvenlik açığı bulunmayan diğer sistemlerinde rahatlıkla saldırganlar tarafından ele geçirilmesine neden olacaktır. Örneğin Cisco routerlar üzerinde http servisinin açık bırakılmasının ne kadar çok soruna yol açtığı bu konuda çalışma yapmış her güvenlik uzmanı tarafından rahatlıkla söylenebilir. Http üzerinden yapılacak özel istekler ile cisco router?in yetkilendirme mekanizması rahatlıkla devre dışı bırakılıp cihaz konfigürasyonu elde edilebilir. Dolayısı ile sistem parolası gibi kritik bilgilere rahatlıkla ulaşılabilir. Elde edilen parola ile aynı IT firmasının diğer müşterilerinin routerlarına girme ihtimali nedir? Hemen söyleyeyim benim hesaplamalarım %30 diyor. (Bu hesabı nasıl mı yaptım, aynı IT firmasından hizmet alan ve referans listesinden seçtiğim 10 müşterinin 3 tanesinde, daha önceden tespit etmiş olduğum parola ile bağlanabildim)

Burada akla pek çok soru geliyor. En önemlisi suçlu kim gerekli güvenlik güncellemelerini yapmamış olup, IT servisi veren firma tarafından tanımlanmış şifrenin ele geçirilmesine neden olan mı, tüm müşterilerine aynı parolayı veren veya müşterilerini referans olarak gösteren IT servisi veren firma mı yoksa servis aldığı firma tarafından verilen parolayı değiştirmeden kullanan veya kendisinin referans olarak gösterilmesine izin veren firma mı? Her hangi erişim filtresine takılmadan bu sistemleri zahmetsizce ele geçiren saldırgan da suçlu olabilir. Diğer soru servis veren firma veya güvenlik açığı tespit edilen firma ortaya çıkabilecek bir zarar sebebi ile sorumlu tutulabilir mi? En favori soru ise bu tip saldırıları firewall veya IPS üzerinde nasıl engellerim? Son soru hariç cevap bulmak zor.

Diğer bir sorun iletişim bilgileri kullanılarak social engineering yöntemleri ile bu bilgilerin ele geçirilmesi olabilir. Özellikle sistem yönetimini dış kaynak aktarımı yaparak gerçekleştirilen firmalar risk altında olabilir. Sistem banner?larına eklenen sistemden sorumlu kişiye ait telefon, isim, adres gibi bilgiler rahatlıkla social engineering amacıyla kullanılabilir. Bu bilgiler referanslardan elde edilebileceği gibi, firmanın kendisi tarafından yayınlanacak iletişim bilgilerinden de elde edilebilir. Türk insanın ne kadar yardım sever olduğu şüphe götürmez olduğu içinde, iyilik zaaf olarak kullanılabilir.

Devamı

posted by Deniz Cevik @ 8:29 AM Yorumlar: 3  

Pazar, Ekim 01, 2006

Bilgi Güvenliği'nin Dünya Genelinde Durumu

CIO dergisi ve PricewaterhouseCoopers tarafından gerçekleştirilen "Bilgi Güvenliğinin Durumu 2006" isimli dünya çapındaki araştırmasının sonuçları yayınlandı. Buna göre, kuruluşlar bilgi güvenliği ve bilgi mahremiyetlerini korumak için eskisine göre daha iyi çalışıyorlar ancak yine de gelişmeye açık pek çok yön bulunuyor. 5 Nisan - 22 Mayıs 2006 tarihleri arasında düzenlenen ankete CIO ve CSO dergilerinin 50 ülkeden 7,791 okuyucusu katılmış.

Araştırmaya göre, bilgi güvenliğinin rolü giderek olgunlaşıyor. Günümüzde, bilgi güvenliği fonksiyonu önceki dönemlere göre en yerleşmiş dönemini yaşıyor. Araştırmaya katılanların %38'i bulundukları görevde 5 yıl veya daha fazla süreden beri bulunuyorlar ve güvenlik yöneticilerinin daha büyük bir kısımı CEO, CFO veya Yönetim Kurulu'na rapor ediyor (%62). Güvenlik ayrıca kuruluşlar içerisinde bağımsızlık da kazanıyor. Bu yıl katılımcıların daha geniş bir kısmı IT Güvenliği bütçelerinin IT bütçesinden ayrı olarak düzenlendiğini belirtmiş (%16'dan %21'e artış). Ayrıca, bilgi güvenliği, fiziksel güvenlik konusu ile entegre oluyor. Fiziksel ve bilgi güvenliği yöneticilerinin aynı üst yöneticiye rapor ettiğini belirtenlerin oranında ciddi bir artış ulunuyor (2003'te %11'den bu yıl %40'a). Bu durum da, konunun iki yöni arasında daha iyi kordinasyon sağlanmasını getirecektir.

Ancak anket cevapları kritik bazı zaaflara da işaret ediyor. Katılımcıların sadece %37'si genel bir güvenlik stratejilerinin olduğunu söylüyor ki bu oran, geçen yıl yapılan anket ile aynı seviyede. Şirket bünyesinde bir CSO veya bir CISO barındıran şirketlerin oranında da bir değişiklik yok. (%66 - %65).
CIO dergisinin 15 Eylül 2006 tarihli sayısında yayınlanan bu rapora bu bağlantıdan ulaşabilirsiniz:


Çalışmaya ait sektör spesifik sonuçlara da bu bağlantılardan ulaşabilirsiniz:
Devamı

posted by Deniz Tuncalp @ 6:19 PM Yorumlar: 0  

2011'de Dünya'da 250 Milyon Cep Telefonunda Güvenlik Ürünleri Olacak

Juniper Research firmasının yayınladığı bir raporda, anti-virus, VPN, veri ve dosya kriptolama ve momil kimlik yönetimi uygulamalarını da içeren mobil güvenlik ürünleri pazarının, 2011 yılında yaklaşık $5 milyar boyutuna geleceği ve o tarih itibariyle 247 milyon mobil telefonda yüklü durumda olacağı tahmin ediliyor.

Rapora göre bu yeni pazar segmentini yönlendiren faktörler olarak şu başlıklara yer veriliyor:

  • Kimlik hırsızlığı riski
  • Mobil araçlarla kurumsal ağlara izinsiz erişim
  • Mobil araçlara yönelik virüs ve kötü amaçlı yazılımlar
  • Kurumsal yönetişim ve yasal düzenlemeler
  • Mobil kullanıcıların, kritik veri taşıma ve depolama amaçlı olarak mobil telefonlarını artan kullanımı

Raporda ayrıca şu konulara dikkat çekiliyor:

  • Mobil güvenlik konusunda en büyük fırsat moil içerik bölümünde (anti-virus, anti-spam, anti-spyware ve içerik filtreleme) olacak ve toplam pazarın %40'ını teşkil edecek.
  • Mobil biyometrik çözümler, 2011 yılı itibariyle $268 milyon gelir elde edecek ve toplam mobil kimlik ve erişim yönetimi pazarı $1.36 milyara ulaşacak.
  • 2006 yılındaki $827 milyon olan mobil güvenlik pazar $4 milyar artarak 2011 yılında $4.8 milyara ulaşacak.
  • 2011 yılında dünya çapında 247 milyon mobil kulllanıcı (toplam pazarın %8'i) mobil telefonlarında güvenlik ürünlerini kullanıyor olacaklar.

Raporun yazarı Alan Goode "Başlangıçta e-posta gibi data servislerinin yararını görmüş mobil iş kullanıcıları tarafından yönlendirilen bu pazarın, ana akım kullanıcılara 2008 sonları - 2009 başlarında yayılmaya başladığını ve gelirlerin 2008 - 2010 yılında ikiye katlandığını göreceğiz" diyor.

Referans: http://www.cellular-news.com/story/19574.php

Devamı

posted by Deniz Tuncalp @ 4:22 PM Yorumlar: 0  

IPS Güvenliği ve Aşılması

29 Eylül 2006 tarihinde yapmış olduğumuz Bilgi Güvenliği Grubu Tanışma Toplantısında 'IPS Güvenliği ve Aşılması' isimli bir sunum yapmıştım. Sunum içeriğinde IPS sistemlerinin mimarilerinden veya yapılandırmalarından kaynaklanan zaafiyetler ile atlatılması için kullanılabilecek yöntemleri aktarmıştım. Sunum dosyası aşağıda yer almaktadır.

Sunum :
Devamı

posted by Fatih Ozavci @ 8:03 AM Yorumlar: 0  

İstanbul Buluşması

Grubumuzun İstanbul buluşmalarından ilki, 29 Eylül Cuma günü yapıldı. 38 kişinin katılımı ile yapılan bu ilk grup toplantısı hayli keyifli geçti. Daha önce üye olanların dışında, danışmanları Veysel Erdağ'ın teşviki ile Türk Telekom'dan da yeni bir grup arkadaşın ilk defa bu toplantıya katılarak gruptan haberdar olması da mümkün oldu.

İbrahim Öztürk ve benim yaptığım açılıştan sonra, Rahşan Alaç'ın moderatörlüğünde, bütün katılımcılar kısaca kendilerini tanıttı ve bundan sonraki toplantılarda neler konuşmak isteyeceklerini, gündemlerinde bilgi güvenliği adına bu günlerde neler olduğundan bahsettiler.

Tek tek not alınan bu başlıklara, her ayın son cuma gününde yapmayı planladığımız önümüzdeki toplantılarda ağırlık vermeye çalışacağız. Bu sırada, öyle geniş kapsamlı konular gündeme geldi ki, belki de bazı aylarda toplantıları belirli odak konuları etrafında yapmak, hatta bu konularla ilgili tarafları birer panel kurgusunda bir araya getirmek güzel fikirler olarak ortaya çıktı.

Sevindirici bir şekilde, "kimlik yönetimi" gibi teknik belirli alanlardaki "bilgi güvenliği politikaları" gibi teknik olmayan boyutların yanı sıra, sektör olarak bilgi güvenliğinin kullandığı terimlerin etrafında oluşturulan dil ve sektördeki ortak olan/olmayan anlayışlar gibi felsefi/etimolojik konular da gündeme geldi.

Daha sonra, bir ihtiyaç molasından sonra sunumlar aşamasına geçildi. Bu bölümde de, ben uzunca bir süredir üzerinde çalıştığım Elektronik İmza ve Mobil Elektronik İmza konularını anlattım. Böyle bir servisin güvenlikle ilgili teknik özellikleri, uygulama sağlayıcılar ve kullanıcılara olan faydaları birlikte tartışıldı.

Bunu takiben Okyar Tahaoğlu, bilgi güvenliği alanında çalışan uzmanların giderek kafasını karıştıran bir konu olan marka bağımsız bireysel sertifikalar konusunu, bu alandaki 45 sertifika başlığını dökerek açıklık getirdi :) Bunu takiben, bu tip sertifikasyonların bireye ne sağlayıp, sağlamadığı, halen yabancı örnekleri yakından örnek almaya dayanan Türkiye'deki birkaç denemeye karşın, yabancı girişimler olan bu sertifikasyonların alan ve talep eden için ne anlam taşıdığı tartışıldı. Bu aşamda özellikle bu sertifikaların bazılarının gündeme getirdiği mesleğin ahlak ilkeleri konusunun ne kadar iyi takip edilip edilmediği ve nasıl bir önem taşıdığı konusu etraflıca tartışıldı.

Son sunum olarak da, yıllardır zaafiyet analizleri ve sistem sızma testleri yapan Fatih Özavcı, biraz da ihaleyle kendi üzerine kalan (benim tarafımdan zorla verilen) IPS Güvenliği ve Aşılması başlığını, IPS markalarının "her şeyi bilme ve her saldırıya çözüm olma" iddiasını çürüten, takip edebilenler için hayli keyifli teknik bir sunum ile özetledi. O kadar derin bir konuyu, her boyutuna değinerek öyle güzel özetledi ki, gelecekte birkaç günlük bir güvenlik konferansı yaparsak, paralel eğitim oturumlarından birisi, kesinlikle ilgilisi için IPS güvenliği ve aşılması olmalı hissini bende oluşturdu.

Katılan herkesin de, listede tanımadığı kimselerin, bir eposta adresinin ötesinde, nasıl insanlar olduğuna dair ipuçlarını elde ettiği keyifli bir tanışma, paylaşma, eteğindeki taşları dökme, birbirinden öğrenme imkanı bulduğu bir toplantı oldu. Zaten yola çıkarken de hedefimiz bu olduğu için, iyi bir ilk deneme yaptığımızı söyleyebilirim.
Devamı

posted by Deniz Tuncalp @ 8:00 AM Yorumlar: 0  

ISO 27001 Bilgi Güvenliği Sertifikasyonları