Perşembe, Ocak 29, 2009

Servis Engellemenin Reddi Ritueli

Sistem sizma denetimlerinde hep uzun istekler listesi goruruz, istenmeyen listesi ise tek bir maddeden olusur, servis engelleme saldirilari. Bu yazi servis engelleme saldirilarinin istenmemesi ve yan etkilerini tartismak icin hazirlanmistir. Normal bir denetim asamasinda dahi bu karara ne kadar bagli kalinabildigi ve kararin etkilerine olabildigince deginmeye calistim. Servis engelleme denetimleri uzerine yaptigim bazi calismalar, denetim asamalari ve ozellikle servis engelleme yapilmasi gereken durumlari -vakit buldukca- daha sonraki yazilarda aktarmaya calisacagim.

Bir sistem, ag veya uygulamanin, gecici veya kalici olarak devre disi kalmasini saglayan saldiri cesitleri servis engelleme saldirilari (DOS) olarak anilmaktadir. Servis engelleme saldirilari cok sayida sistem tarafindan yapiliyorsa -genellikle otomatize olarak ele gecirilmis sistemler- dagitik servis engelleme saldirilari (DDOS) olarak anilmaktadir.

Sistem sizma denetimi surecinde servis engelleme belki de en hassas konulardan biridir. Denetim sonucunda buldugunuz veya bulamadiginiz guvenlik aciklari, durmasina sebep oldugunuz bir servis kadar dikkat cekmeyecektir. Soz konusu dikkat cekme islemi -sozlesmede yer alan maddelere bagli olarak- maddi kayiplari veya yukumlulukleri de beraberinde getirebilir.

Denetim surecinin talep ve kabul asamalarinda gelen ilk talep genellikle "kesinlikle servis engelleme saldirilari istemiyoruz" olmaktadir. Denetmen olarak otomatize bir cevabinizda her zaman vardir, "talebiniz uzerine bilerek servis engelleme saldirilari duzenlenmeyecektir; ancak bircok guvenlik acigi bu tur bir etkiye sahiptir, bu nedenle bilmeyerek boyle bir durumun olusmasina neden olabilir". Karsi tarafta "bilerek olmasin, bilmeyerek oluyorsa da karsilikli haberlesir ve sorunu cozeriz" der. Boylece belirtilen ifadeler sozlesmeye eklenir, cezai sartlar belirtilir ve "servis engellemenin reddi ritueli"ni tamamlariz.

Servis engelleme saldirilarinin gerceklenmesi, ozellikle kritik sistemlerde istenmemektedir. Sifir devre dışı kalma toleransi ile calisan sistemlerin, bir denetim surecinde devre disi kalmasi cok hos karsilanmayacaktir. Bu nedenle otomatize araclarda "DOS" kategorisi isaretlenmez, hesap kilitleme ozellikleri kapatilir, port tarama esnasinda zaman limitleri eklenir ve arkaya yaslanarak denetim surecinin guvenle bitmesi beklenir. Ic buhranlar, karari sorgulamalar ve acabalar dipsiz kuyuya atilir.

Eger sistem sizma denetimi yapiyorsaniz ve bu isi hakkiyla yapmak isterseniz su ana kadar anlatilan seylerden bir veya daha fazlasindan rahatsizsinizdir. Otomatize yazilim, servis engellemenin istenmemesi, sorgulama olmamasi gibi kavramlar genellikle karsi oldugunuz seylerdir. Siz bir guvenlik acigini dogrulamadan raporlamanin hatali oldugunu dusunurken, sizden acigin denenmesinin dahi istenmemesi kabul edilebilir gorunmemektedir. Ancak durumun bu kadar basit parametreler ile dusunulmesi ve degerlendirilmesinin de yan etkileri vardir.

Detay 1, Servis Engelleme Neden Olusur :

Servis engelleme durumu, programlama sorunlari soz konusu ise birkac belirgin kosulda olusur ;
  • Servis yazilimi kendisine ait olmayan bir tampon bellek alanina yazmak isterse,
  • Servis yazilimi kendisine ait olmayan bir sistem kaynagina erismek isterse,
  • Isletim sisteminin ana bilesenlerinden biri bellek veya islemci gibi temel kaynaklari dengesiz bicimde kullanirsa,
  • Servis yaziliminin planlanan istek/sorgu/islem sayisi gercek hayatta kaldiramamasi ve erisilen bilesenlerin (alt surec, bellek vb.) yeterli olmamasi,
  • Yazilim tarafindan gerceklenmesi uzun sureli islemlerin, es zamanli ve cok kez tekrarlanmasi.
Programlamadan kaynaklanan servis engelleme saldirilari sadece yukaridakilerden ibaret degildir. Servis engelleme saldirilari sadece programlamadan degil yapilandirma, tasarim ve ag yerlesimi gibi sorunlardan da olusabilir. Hedefe bagli olarak (kablosuz ag, web uygulamasi, VoIP, ag altyapisi vb.) cok daha farkli ornekler ile karsilasmak mumkundur.

Bir saldirinin kontrolüne ornek vermek adina yukarida listelenen durumlar simdilik yeterli gorunuyor, daha sonraki gonderimlerimde servis engelleme sureci ve denetimi ile ilgili hazirladigim bazi calismalari da paylasmayi planliyorum. Bu konuda bazi planlar, araclar ve ek kontroller olusturma; bir kismini da hayata gecirme imkani buldum. Dogru bicimde yonetilirse faydali bir surec olduguna inaniyorum.


Detay 2, Is Karari Olarak Servis Engellemenin Reddi :

Is sureklilik yukumlulukleri olan sistemlerin anlik durmalari dahi kabul edilebilir olmamaktadir. Bu nedenle kumeleme yontemleri, yuk dagiticilar, sistem ikizleme veya istek yonetimi gibi yollar tercih edilir. Sistemin kritikligi dogrultusunda denetimler yapilmasi istenir. Ancak bircok sistem yoneticisi hangi sistemlerin tam olarak kritik olduguna karar vermek ve devre disi kalabilmesi olasiligini belirli bir kontrolde gerceklemek yerine kolay yolu secer, servis engelleme yapilmamasi. Bu secim, Gizlilik/Butunluk/Erisilebilirlik kavramlarindan olusan bilgi guvenligi felsefesinin Erisilebilirlik kismini goz ardi etmek demektir. Gizli bir bilginin ifsa edilmesi veya kritik bilgilerin ele gecirilmesi telafi edilebilir olmayacaktir, sistem surekliliginin aksamasi ise olusabilecek bir istisna olarak yorumlanabilir. Her kurum icin Gizlilik/Butunluk/Erisilebilirlik es deger onemde degildir, sonucta bu bir is karari olarak karsimiza cikar. Is karari olmasi bir sistem yoneticisinin de bu karara uymasini gerektirir.


Detay 3, Denetimde Servis Engelleme Etkisi :

Servis engelleme istenmiyor ise denetiminizi de bu dogrultuda degistirmeniz gerekecektir. Bilerek ve bilmeyerek bu durumun olusabileceginden bahsetmistik, kavramlari acalim ;
Bilerek -> sadece servis engelleme sonucu doguran aciklari test edilmeyecektir
Bilmeyerek -> servis engelleme sonucu dogurmayan, komut calistirma veya bilgi sizmasi etkileri doguran aciklar test edilecektir.

Peki servis engellemesi ve komut calistirma cok farkli aciklar midir ? Genellikle komut calistirabilmek icin cesitli turlerde tampon bellek tasmasi aciklari (Buffer/Integer/Heap/Stack Overflow) veya karakter sekli (Format String) kullanilir. Uygulamanin kullanicidan gelen girdileri kisitlama veya kontrol olmaksizin bellege kopyalamasindan kaynaklanan bu aciklar; tampon bellege izinsiz yazmak ve yazilan kodu cagirarak calistirmak suretiyle istismar edilir. Eger bu tampon bellek hesaplamalari bir seferde dogru bicimde yapilirsa sikinti yoktur, ancak bu her zaman mumkun olmayacaktir.

En az sorunla komut calistirabilmek icin asagidaki unsurlara -aklima ilk gelenler- dikkat etmek gerekmektedir ;
  • Uygulamanin kullandigi ve yazilmasi mumkun olan bellek alaninin BASI, SONU, KULLANILMAMASI GEREKEN KARAKTERLER
  • Uygulamanin her kosulda cagirdigi bir ifadenin/karakterin/cagrinin ustune yazmamak
  • Komut calistirilan alt surec veya ana surecten cikisa neden olabilecek sonlandirma yapilmamasir
  • Eger dahili bir saldiri onleme sistemi varsa, tetiklemek ve yan etkileri
  • Kullanilacak bir encoder var ise (Shikata Ga Nai, XOR vb.) uygunlugu ve uyumlulugu
  • Isletim sisteminin dahili komut calistirma veya bellek yazma korumalarinin varligi
  • Islemci turu (Little Endian vs Big Endian)
  • Isletim sistemi yama seviyesi, dil secimi vb.
Eger bir alt surecin istismari soz konusu ise deneme/yanilma yontemini dikkatle kullanmak mumkundur; neticede olen surecin yerine yenisi gelmis veya gelecektir. Ancak ana surecin okudugu bir verinin degisimi; hatta ana surecin dogrudan istismari soz konusu ise servisin sonlanmasi soz konusudur. Haliyle servis duracak, bir komut calistirma acigi servis engellem etkisi doguracaktir.

Komut calistirma aciginin, servis engelleme etkisi dogurmasi nadir rastlanan bir durum degildir; aksine siklikla rastlanan bir durumdur. Ozellikle Microsoft DCE/RPC aciklarinin birkac kez art arta istismari RPC servisi bilesenlerinde sorunlara yol aciyor. Bu durum haliyle Netbios/Cifs icin temel bircok ozelligin calisamamasi anlamina geliyor. Netbios/Cifs'in sorunlu hale gelmesi ise ozellikle Active Directory ortaminda farkedilmesi zor ama etkileri cok buyuk sorunlar doguracaktir; oturum acamama veya zaman asimlari en onde gelen etkilerdir.

Exploit, yani acigin kullanim yontemi, her zaman detayli bicimde aciklanmayabilir veya sadece bir kisinin cok ustune dusmeden hazirlamis oldugu "calisabilirligi gosterme ve ispat" amacli olabilir. Boyle bir kullanimi urun ortaminda denemek ise servisi gercekten durduracaktir. En guvenli yol ise guvenilirligi arttirilmis ve cok sayida sistemde denenerek kararliligi test edilmis exploit'lerin tercih edilmesi veya yazilmasidir.

Acigin farkedilmesi icin otomatize yazilimlarin farkli davranislari ortaya cikar ; bazilari sadece servisin surumunu yeterli gorur iken (ki yanilticiligi ortadadir, baslik bilgisi farkli/gizli ise acik yoktur) bazilari dogrudan acigin istismarini (komut calistirma) tercih eder. Guvenilir sonuclara onem veriyor iseniz sizin acigi arastirmaniz gerekmektedir, hatali bir kullanim sonucu servisin olmesi en istenmeyen durumdur. Kaldi ki komutun basari ile calismasi da her zaman servisin ayakta kalmasina isaret etmeyecektir.

Acik test edilecek ise servisin devre disi kalmasi soz konusudur, test edilemeyen acigin varligindan soz edilemez. Kontrolu gereken acik sayisi binlerle ifade edilebilir, bu nedenle her acigin dogrudan kullanim ile testi mumkun degildir.

Iste boyle bir noktada servis engellemenin istenmedigi gelir akliniza, testin kritik olarak degerlendirilecek bircok bolumu elle kontrol edilir. Tek tek ve bolca sure harcanarak, dikkatsizlik sonucu bir acik kacar veya hatali bir kabuk kodu secimi sonucu servis sonlanir. Active Directory sunucusunun RPC sorunu nedeniyle yeniden baslatilmasi kulaga cekici gelebiliyor mu ?

Sonucta Ne Olacak ?

"Servis engellemenin reddi ritueli" demek iste bu durumun ozetidir. Acik ve ozet hali ise ; "Bir acigi istismar edeceksen habersiz ve kontrolsuz yapma, sadece servis engelleme sonucu doguran aciklari kontrol etme, otomatize bir yazilim kullanacaksan iki kere dusun".

Aslinda red yoktur, az inisiyatif vardir.

"Bak ama dokunma, dokun ama tatma, tat ama yutma. Sen bu kurallarla sasirmisken, o seni izleyip guler"


Fatih Ozavci
IT Security Consultant
Devamı

posted by Fatih Ozavci @ 12:33 AM Yorumlar: 0

Çarşamba, Ocak 28, 2009

ÇAĞRI MERKEZLERİNDE BİLGİ GÜVENLİĞİ

GİRİŞ

Çağrı Merkezi kısaca müşterinin telefon, e-mail, web, faks, IVR (Sesli Yanıt Sistemi) ve benzeri yöntemlerle yaptığı çağrısının bir merkez tarafından ele alınmasıdır.

Çağrı merkezleri için Incoming Call Management Institute (ICMI) tarafından yapılan tanım ise şöyledir; "çağrı merkezi müşteriye ve şirkete değer yaratmak amacı ile şirketin kaynaklarının ve farklı iletişim kanallarının etkili bir şekilde entegre edildiği, insanlardan, süreçlerden, teknolojilerden ve stratejilerden oluşan koordineli bir sistemdir."

Çağrı Merkezinin Yararları Nelerdir?

  • Organizasyon ile müşteriler arasında köprü görevi görür,
  • Müşteri sadakatinin artmasına etkide bulunur,
  • İletişim kontrollü ve kaliteli bir biçimde sağlanır,
  • Düzenli ve sürekli veri akışına olanak tanır,
  • Pazarlama faaliyetlerinin etkinleşmesine imkan tanır,
  • Ürün ve hizmet iyileştirmeleri için geri besleme sağlar,
  • Maliyetlere olumlu etki eder, verimlilik sağlar,
  • Self servis hizmetlerin kullanılmasına destek olur,
  • Gelir yaratmak için kullanılır, gelir artışına etki eder,
  • Müşteri memnuniyetini arttırır,
  • Şirket imajına olumlu katkıda bulunur

Çağrı Merkezlerine Tarihsel Bakış

  • İlk olarak 1960 ların sonlarında istek ve şikayet iletme aracı olarak ortaya çıkmıştır.
  • ABD'de "ücretsiz hatlar" birçok şirket tarafından devreye alınmaya başlanmış ve bir hizmet statüsü olarak sunulmuştur.
  • 1970'lerin başında Continental Havayolları ilk ACD (Automatic Call Distributor - Otomatik Çağrı Dağıtımcısı) kullanmıştır.
  • 30 sene önce müşterilerle bir temas noktası yaratmış şirketler rekabette öne çıkarken, bugün bir zorunluluk haline gelmiştir.
  • Günümüzde büyük ve uluslararası bir sektör haline gelmiştir.


GÜVENLİK BAKIŞ AÇISI
Çağrı Merkezleri, hizmet verdikleri iş alanlarına göre farklı kanuni gerekliliklere ve güvenlik standartlarına ihitiyaç duyarlar. Güvenlik politikalarını, standartlarını, prosedürlerini, talimatlarını vb. diğer dökümanlarını iş gereksinimlerinin getirdiği güvenlik ihtiyaçlarına göre düzenlemelidirler. Örnek olarak bankacılık sektöründe iş yapan çağrı merkezleri PCI(Payment Card Industry standard), COBIT vb. framework lere uygun işlem yapmalıdır. [3]

Güvenlik ihtiyaçları, iş yapılan sektörlere ve iş ihtiyaçlarına göre çerçevelendirilmelidir. Burada tek bir ve/veya çeşitli framework'lerin sentezinden oluşan yapılar model olarak seçilebilir. Örnek olarak ISO 27002, ITIL ve PCI'dan oluşan bir karma yapı kullanılabileceği gibi bunlardan tek tek de faydalanılabilir. Önemli olan nokta, hizmet verilen sektörün güvenlik ihtiyaçlarına gereken cevabı vermek, şirket içi ve/veya dışı fraud?ları engellemek, kısacası sektörün getirdiği zayıflıkları en aza indirgemektir.

Fiziksel Olarak Güvenlik
Fiziksel güvenliğin sağlanamadığı bir ortamda bilgi güvenliği yönetim sisyeminin uygulanması mümkün değildir. Bu nedenle çevresel güvenliği sağlaması anlamında bentler, bariyerler, çitler, duvarlar, tel örgüler vb. engeller, binanın doğru yerlerine konumlandırılmalıdır. Hiç bir engel geçilmez değildir. Engeller gözetim altında tutulmalıdır.[1][2]

Çağrı Merkezleri, hizmet verdikleri sektörün ve/veya sektörlerin ihtiyaçlarına göre birden fazla müşteriye ve bununla birlikte birden fazla operasyon salonuna sahip olabilir. Bu anlamda operasyon salonlarının güvenliğini sağlamak için giriş/çıkış'lar kontrol altına alınmalı yetkilendirmeler iş ihtiyaçları doğrultusunda verilmelidir.

Ziyaretçilerin uyması gereken kurallar, çalışanların fiziksel ortamları kullanmalarına yönelik kurallar, yetkilendirmeler vb. gibi konular politika, prosedür, talimat düzeyinde tariflenmelidir.

Özellikle vardiya saatleri geceyarısı olan ve arabasıyla gelmek isteyen personelin arabalarını çektikleri otoparkın güvenliğinin sağlanması da önemli bir konudur. Otoparkın ana bina içinde konumlandırılması, bu mümkün değilse olabildiğince yakın bir yerde konumlandırılması, ışıklandırmanın yeterli düzeyde olması, çevresel korumanın alınmış olması, kameralarla gözetlemenin yapıldığı ve güvenlik görevlilerin etki sahalarının içinde olacağı önlemlerin alınması, personel güvenliği için gereklidir.


İdari Olarak Güvenlik
Çağrı merkezlerinde çalışan personelin genelde yaş ortalaması düşük ve ilk iş deneyimleri olduğu için çalışan sirkülasyonu fazladır. Sektörel yeniliklere ayak uydurmak adına sürekli değişen organizasyon yapılarında işten çıkışlar, işe girişler, yatay ve dikey rotasyonlar çok fazla olmaktadır. Bu durumun getirdiği en büyük zayıflıklardan biri ise yetkilerin ve erişim haklarının belirli periyotlarda gözden geçirilmemesidir. Yatay rotasyonda, çalışanın önceki görevi ile sonraki görevi arasındaki farkların gözden geçirilmesi, işe giren personelin yetkilerinin hangi kriterlere göre belirleneceği ve de işten ayrılan personelin yetkilerinin(özellikle uzaktan bağlantı) pasif hale getirilmesi önem arz etmektedir. İşlemlerde otomatizasyonun sağlanması, hataların minimal düzeye indirgenmesi adına Kimlik Yönetimi uygulamaları benimsenmelidir.

Bununla birlikte işe giren personele, şirketin Bilgi Güvenliği Yönetim Sistemi Politikasının anlatılması ve farkındalığının üst seviyeye çekilmesi önemli bir gerekliliktir. [1][2] Organizasyonun Bilgi Güvenliğine verdiği önem, eğitim yoluyla belirli periyotlarda tüm personele verilmelidir. Bilgi Güvenliği, örgüt kültürü haline getirilmeli, organizasyonel hafızaya kazandırılmalıdır.

Çağrı merkezleri, müşterilerle birebir temasın sağlandığı bir platformdur. Müşteri memnuniyeti adına hemen hemen her türlü işlemin yapıldığı bu ortamlar, güvenlik anlamında büyük riskler taşımaktadır. Çağrı merkezlerinde hizmet veren Müşteri Temsilcileri, görev ve sorumlulukları gereği her türlü müşteri bilgisine ulaşabilir durumdadırlar. Bu bilgiler Çağrı Merkezleri'nin hizmet sahasına göre değişiklik gösterir ve genel olarak bakıldığında; Müşteri Ad-Soyad, T.C. Kimlik Numarası, Adres, Telefon, Anne Kızlık Soyadı, Banka Hesap Bilgileri, Kredi Kartı Numarası, Sağlık Bilgileri, Adli Bilgiler vb. bilgiler olarak düşünülebilir.

Müşteri temsilcilerinin, müşterileri bilgilerinin olduğu ekranlara erişim yetkilerinin olmaları, bu bilgilerin tamamını görmeleri anlamına gelmemelidir. Bilgiler kritiklik derecelerine göre gölgelendirilmelidir. Örnek olarak: Müşteri Temsilcileri, kendilerini arayan müşterilerin gerçekten doğu kişi mi olduğununun teyidini, bu verilerin bir kısmı ile sağlamaktadırlar. Gerek bu işlem, gerekse diğer işlemlerde, ilgili veri setinin tamamı yerine bir kısmının(Anne kızlık soyadının, doğum tarihinin vb. bilgilerin sadece belirli karakterlerinin) gözükmesi hem kişisel bilgilerin koruma altına alınmasını hem de kişiye gereğinden fazla yetkinin verilmesini önleyecektir. Bu anlamda Müşteri Temsilcilerinin seçiminde ve işe alımında referans kontrolleri ve temel güvenlik soruşturmalarının yapılması ve kişinin yetkinliğinin pozisyona göre doğru tanımlanması büyük önem taşımaktadır. Bununla birlikte verilecek hizmetin türüne ve niteliğine göre bilgi detayları sınırlandırılmalıdır.

Teknik Olarak Güvenlik
Müşteri Temsilcilerinin kullandıkları donanımlar ve yazılımlar üzerinde risk anlizleri yapılarak, risk ve tehditleri indirgemeye yönelik kontroller sağlanmalıdır. Çalışanların PC?lerinde ihtiyaca göre yetkilendirmeler yapılmalıdır. Gizlilik içeriği yüksek olan bilgilerin şirket dışına çıkartılmaması için bilgisayar donanımlarında kısıtlamalara gidilmeli, verilen hizmetin kritikliğine göre çağrı merkezi salonlarına ekran görüntülerinin, ses kayıtlarının, ortam düzenlerinin dışarıya sızdırılmaması için cep telefonları, kamera, fotoğraf makinası vb. medya cihazlarının sokulması engellenmelidir.

Risklerin azaltılmasına yönelik alınacak BT kontrollerinden bazıları ise sanal makinaların(virtual machines) ve ThinClient(Dummy Terminal) ların kullanılmasıdır. Ayrıca internet ve diğer sistemlere erişim haklarının pozisyonlara göre düzenlenmesini sağlayacak, dosya indirme ve protokol bazlı kısıtlar getirebilecek uygulamaların kullanılması da fayda sağlayacaktır.

Çağrı merkezlerinde kullanılan donanım ve yazılımlarda bahsettiğimiz bazı kontrollerin alınması, çalışanlar tarafından kasıtlı olarak yapılacak girişimleri %100 engellemeyecektir. Sistemlere yetkisiz olarak yapılacak erişimlerin, çalışanlara verilen sistemler üzerindeki yetkilerin kötüye kullanımına yönelik girişimlerin ve tüm bu girişimler sonucu sağlanacak maddi menfaatlerin tespit edilmesine yönelik bir iç kontrol mekanizmasının kurulması fayda sağlayacaktır.

Çağrı Merkezlerinin en kritik sistemleri olarak düşünülebilecek Santral ve IVR sistemlerinin güvenliği, hem çağrı kesintisinin olmaması açısından hem de şirket üretimi ve müşteri güvenliği açısından çok fazla önem arz etmektedir. Günümüzde çağrı merkezlerinin kendilerini coğrafi olarak yedeklemek ve çağrıları internet üzerinden aktarmak için kullandıkları VoIP(Voice over IP) teknolojisi, bazı açıkları da beraberinde getirmiştir. Bu ve benzeri açıkların engellenmesi, santral sistemlerinin güvenliğinin sağlanması için doğru konfigürasyonların yapılması ve sistemlerin yamalarının yapılması, alınması gereken kontroller olarak göze çarpmaktadır.

Kurum içinde güvenlik zayıfıklarının, ihmallerinin ve ihlallerinin bildirileceği, kayıt altına alınacağı vaka yönetim uygulamalarının kullanılması; genellikle vardiya usulü çalışma prensibine sahip olan çağrı merkezleri çalışanlarının günün her saatinde ulaşabilecekleri bu yapıların kurgulanması, güvenlik olaylarının yönetilebilmesinde ve de bu olayların bir daha olmaması için kök nedenin belirlenmesi, akabinde ortadan kaldırılması konusunda etkin bir metod olacaktır. [1][2]

Çağrı merkezleri, genellikle 7/24 esasına göre çalışırlar. Bu koşulları yerine getirmek, işlerin durmaması ve aksamaması anlamına gelmektedir. Bunun için operasyonların yedeklenmesi(coğrafi olarak, operasyonların çeşitli lokasyonlara dağıtılması şeklinde vb), acil ve felaket durumları için eylem planlarının oluşturulması, yazılı hale getirilmesi ve düzenli aralıklarla test edilmesi gerekmektedir. [1][2]


Sonuç
Farklı sektörlerde faaliyet gösteren Çağrı Merkezleri, çok kıritik bilgileri ellerinde bulundurmaktadırlar. Öncelikle müşteriye değen her noktada büyük önem taşıyan Müşteri Temsilcilerinin güvenliği sağlanmalı, eldeki müşteri bilgilerine ihtiyaca göre ve gerektiği kadar erişim sağlatacak güvenlik metodolojileri geliştirmelidir. Müşteriler tarafından Çağrı Merkezi her arandığında ulaşılabilmesi için erişilebilirliğin(availability), müşteri ile ilgili işlemlerin doğru bir şekilde yapılması ve arayan kişiyle ilgili bilgilerin doğru olması için bütünlüğün(integrity) ve de müşterilerle ilgili kişisel bilgilerin yetkisiz kişiler tarafından ulaşılamaması için gizliliğin(confidentiality) sağlanması gerekmektedir.

Kaynakça

[1] ISO/IEC FDIS 27001:2005 (International Standart)
[2] ISO/IEC FDIS 17799:2005 (International Standart)
[3] Managing Security Risks in the Contact Center Business (Bruce Wignal)

Kerem ASLANDAĞ
Information Security Specialist


Devamı

posted by Kerem ASLANDAĞ @ 2:28 PM Yorumlar: 1

Sans Top 25 ve Yazilim Guvenligi

Sans bu yil yine bir degisiklik ile bizi sasirtti, yazilim guvenliginde programlama sorunlari icin bir rapor hazirlatti. 30'dan fazla uzmanin katkisi ile olusturulan icerik oldukca tatmin edici gorunuyor. Aslina hepimizin bildigi seylerin tekrari gibi gorunsede resmin tamamini tek seferde gorebilmek adina guzel bir calisma olmus.

Calismanin nasil kullanilabilecegi, kimlerin ihtiyac duyacagi ve sikca sorulan sorular gibi bolumler de saptamalari daha guclu hale getirmis. Calisma CWE (Common Weakness Enumeration) uyumlu olarak hazirlanmis, boylece siklikla karsilasilan guvenlik aciklarina verilen dogrudan baglantilar ile detayli bilgiye erismek mumkun. OWASP'in her yil hazirladigi ve guncelledigi listesi ile bolca paralellik iceriyor, ancak aciklar 3 ana bolumde aktarilmis; "Bilesenler Arasi Guvensiz Etkilesim", "Riskli Kaynak Yonetimi" ve "Yetersiz Savunma".

Ne icin kullanilir bolumu ise oldukca hos olmus ;
  • Daha guvenli yazilim satin alinmasi
  • Yazilim gelistirme, testler ve denetimlerin kalitesinin arttirilmasi
  • Universitelere yazilim kalitesi konusunda icerik saglanmasi
  • Isverenlerin guvenli programlama yapabilen personel aldigindan emin olabilmesi
Cok klasik saptamalar var, yeni seyleri isitip onumuze getirmis gibiler. Ancak bence en onemli nokta, artik yoneticiler ve programlama bilmeyen ama guvenlige onem veren kitleye hitap edebilir hale getirmisler. Boylece siklikla yapilan programlama hatalarini her yerde tekrar etmek, anlatmak ve hatta sormak suretiyle gelistiricilere otonom yetenekler kazandirmak iyi bir dusunce gibi duruyor. Evimizden cikarken kapiyi kilitlerken cok dusunmuyor, boyle olmasi gerekiyor diyor ve kilitliyoruz; biri sorarsa neden kilitledin diye her zamanki sebebimizi ezbere soyluyoruz.

Yazilim gelistiricilerin, yazilim gelistirme sirketlerindeki yoneticilerin ve yazilim gelistirme danismanlarinin sunumlarinda guvenlige ayirdiklari yeri bir nebze olsun arttirir diye umuyorum. Ozellikle universitede boyle bir konuya deginmek, ise alimda sorgulamak ve hatta yazilim kalitesinde guvenligi sorgulamak gercekten cok buyuk ve su an atmakta cok zorlandigimiz adimlar. Kisaca hedef guzel, yol iyi tarif edilmis; hazirlanan girdiler de cok basarili ve kullanilabilir durumda. Hem bir denetmen, danisman ve programci icin hemde teknik yeterliligi olmasa dahi sorumluluklari olan yoneticiler icin.


Sans Top 25
http://www.sans.org/top25errors/

Fatih Ozavci
IT Security Consultant
Devamı

posted by Fatih Ozavci @ 12:07 AM Yorumlar: 0

Salı, Ocak 27, 2009

Bir Acigin Dogru Anlatimi ve Sonuclari

Bir guvenlik acigi bulundugunda sonucun her zaman o acigi kapatmak olmadigini cok farkli orneklerle yasadim ve gordum. Acigin onceligi, dogru ifadesi, arkasindaki riskin gerceklenmesi ve hatta ureticinin yaklasimi gibi harici konular sureci ciddi bicimde etkiler. Dahili olarak ise sistemin onemi ve gorevi, uzerindeki yazilim/donanimlarin uyumu ve personel yeterliligi gibi sebepler one cikar.

Dun "Full Disclosure" listesine "Kingcope" tarafindan atilan bir e-posta ile Solaris'e ait TCP/IP surum 6'dan kaynaklanan bir acigin oldugunu ogrendik. "Kingcope" tanidik bir isim, Solaris telnet atlatma acigini bulan kisidir. Acik bir duyuru ile degil dogrudan exploit ile atildi, haliyle exploit'in icerigi incelenmesine bagli olarak duyuruya donusturuldu.

Security Tracker duyurusunda "Solaris Bug in Processing IPv6 Packets Lets Remote Users Execute Arbitrary Code", Secunia duyurusunda ise "Sun Solaris IPv6 Denial of Service Vulnerability" ismiyle yerini aldi. Birine gore kabuk kodu calismasina izin veriyor, digerine gore ise servis engelleme saldirisi. Donelim exploit kaynak koduna, gorunen o ki servis engelleme kesin ancak kabuk kodu calistirma ihtimali de mevcut gorunuyor. Security Tracker'da emin olamamis, acigin etkilerinde kod calistirma yerine servis engelleme secilmis durumda.

Acigin tipine bagli olarak sadece zorunlu olduklari yamalari yukleyen sistem yoneticileri icin komut calistirma ve servis engelleme arasinda daglar kadar fark var. Guvenlik denetimlerimde raporladigim komut calistirma aciklarinin bile komut calistirilmadikca kapatilmadigini goruyorum, hatta calistirilmis olmasinin bile duruma yardimci olmadigi cok anim var.

Kisaca servis engelleme turundeki aciklarin yamasini yuklemek icin alinan risk mantikli gelmiyor; kabuk kodu calistirma ise cok daha tehlikeli gorunuyor ve sistemi guvenli hale getirmek icin o yama yukleniyor.

Bu aciga ozel dusununce, guvenlik denetiminde kullandiginiz baglanti veya sonucunda sisteme girmeniz o kadar farkli etkilere sahip ki, sizinle yamayi yukleme konusunda pazarlik eden yoneticiler hemen gozumun onune geliyor. Denetim surecinde bile "Asla ve Katta Servis Engelleme Yapilmayacaktir" denilip sozlesmeye de eklenince siz dusunun hangi ikilemde kaliniyor.

Servis engelleme konusuna ayrica egilmek isterim, mumkunse baska bir yazi da bunun icin yazacagim.

Simdi bu acik onemli bir acikmidir ? Degildir, hergun benzer bir suru acik yayinlaniyor, ama bu acidan bakinca turnasol etkisi yaratti benim icin. Sadece saptanmasi (malum denenmesi asamasinda bile sistem cakilabilir) bile dert iken ustune komut calistirmadikca kapatilmasinin tercih edilmeyecegi gozumun onune geliyor.

Security Tracker - Solaris Bug in Processing IPv6 Packets Lets Remote Users Execute Arbitrary Code
http://www.securitytracker.com/alerts/2009/Jan/1021635.html

Secunia - Sun Solaris IPv6 Denial of Service Vulnerability
http://secunia.com/Advisories/33605/

Orjinal Gonderi
http://lists.grok.org.uk/pipermail/full-disclosure/2009-January/067709.html

Exploit
http://packetstormsecurity.org/0901-exploits/SunOSipv6.c

Fatih Ozavci
IT Security Consultant
Devamı

posted by Fatih Ozavci @ 7:56 PM Yorumlar: 0

ISO 27001 Bilgi Güvenliği Sertifikasyonları