B�LG� G�VENL��

FBI ba�kan�

2009-10-18T23:15:00.002+03:00

Arkada�lar merhaba,

Uzun bir sessizlikten sonra, a�a��daki haberin ilginizi �ekebilece�ini d��nd�m.

FBI ba�kan�na online bankac�l�k yasak!

Kolay gelsin.

Google Chrome kullananlar. Dikkat!!

2009-07-31T11:52:00.006+03:00

Arkada�lar merhaba,

Biraz teknik ama uyarmak istedim.

A�a��daki scripti Google Chrome �zerinde tarih�e b�l�m�ndeki kutuda
�al��t�r�p, sonucunu g�rebilirsiniz.

Var�n gerisini siz tahmin edin. :)
(Scripti edit�r direk yans�t�yor olabilir, ancak anlad�n�z san�r�m)

"'>

Denemedir

veya adres k�sm�na link olarak

chrome://history/#q=%22'%3E%3Cmarquee%3E%3Ch2%3EDenemedir%3C%2Fh2%3E%3C%2Fmarquee%3E

yaz�n�z.

Hay�rl� olsun.....

Bilginize

O�uzhan �EREFL��AN

�zg�r Yaz�l�mlar ile VOIP Denetimi (Seminer)

2009-04-17T01:58:00.003+03:00

Linux �enli�imizin 8.si �stanbul Bilgi �niversitesi'nde yap�lacak. 17 Nisan 2009 Cuma g�n� (bug�n) saat 15:30 itibariyle "�zg�r Yaz�l�mlar ile VOIP Denetimi" seminerim ile etkinli�e katk� sa�lamaya �al��aca��m. Daha �nce duyurma imkan�m olmad�, ancak �enli�in sitesinde uzunca bir s�redir duyuru yer al�yor.

Seminerde VOIP denetiminin nas�l yap�labilece�i ve �zg�r yaz�l�mlar�n denetim s�recindeki rollerini tart��aca��z. Sadece ara�lar� tan�tmaktan bir ad�m �teye giderek VoIP denetim s�recini anlatmay�, ara�lar�n ise hangi ama�larla s�recin i�inde yer ald��n� anlatmaya �al��aca��m. Seminer sunumunu da ilk m�sait oldu�umda yine burada payla�aca��m.

Fatih �zavc�
IT Security Consultant

Ubuntu vs Gentoo (Apache A��klar�)

2009-03-11T13:08:00.001+02:00

Ubuntu Linux da��t�m� d�n "Full Disclosure" listesine bir e-posta g�nderdi. "[USN-731-1] Apache vulnerabilities" ba�l�kl� bir g�venlik duyurusu ile Apache paketlerini g�ncelledi�ini belirtti ve sistem y�neticilerinin g�ncelleme yapmas�n� �nerdi.

Biz diyoruz ki (1,2) Microsoft'a ve Oracle'a g�venlik a�� bildirin ve unutun, nas�l olsa onlar da unutacak. Lakin Linux da��t�mlar�n�n durumunun da -maalesef- pek parlak olmad�� ortada. G�venlik a�� bulundu�unda �retici/geli�tirici uyar�l�r (Yukar�daki �rnekte Apache Vakf�) , g�venlik duyurusu yay�nlanmas� ve a��n kapat�lmas� beklenir. Bu s�recin farkl� ad�mlar� vard�r, daha �nce bu konularda da bir�eyler (1,2) karalam��t�m. G�venlik a�� bir ortak yaz�l�mda bulunmu� ise o zaman i�ler kar��r, a��n duyurulmas� s�ras�nda di�er da��t�mlar�n durumu, a��n �nceli�i ve kapat�lma y�ntemi gibi �ok �ey devreye girer (1).

Gelelim konumuza Ubuntu Linux'un g�nderdi�i e-posta da at�fta bulundu�u a��klar : CVE-2007-6203, CVE-2007-6420, CVE-2008-1678, CVE-2008-2168, CVE-2008-2364, CVE-2008-2939. Apache bir g�venlik duyurusu sayfas�na sahip ve orada bu a��klar ile ilgili duyurular�n� da yay�nlam��. Gentoo Linux ise "6 Temmuz 2008"de ilgili a��klar� bir g�venlik duyurusu ile duyurup kapatm��. Ubuntu Linux ise 8 ay beklemi� g�r�n�yor -2007 y�l�n�n a��na hi� girmiyorum-, bu s�re zarf�nda durumu farkeden ka� sistem y�neticisi Apache da��t�m�n� elle g�nceller ki ? A��klar�n �nem seviyesi, saptanan bile�en ve kurumlara etki t�r� �u anda konun d��nda; ��nk� illa ki bu durum birilerini ilgilendiriyor, yoksa niye duyurulsun.

�zetle, Linux sunucu kullanmak ta g�venlik duyurular�n� takip etmeyi, yama g�ncelleme kalitesini sorgulamay� ve hatta gerekiyorsa elle g�ncelleme yapmay� gerektiriyor. Bu konuda da��t�m se�iminin de bir kriter oldu�u ve g�venlik �nceliklerine uygun da��t�m kullanman�n gereklili�i de, alt� �izilmesi gereken �nemli bir noktad�r.

Fatih Ozavci
IT Security Consultant

Microsoft Duyurular� (MS09-00[6-7-8]) ve Te�ekk�rler

2009-03-11T12:24:00.001+02:00

Microsoft d�n itibariyle Microsoft DNS sunucusu, WINS sunucusu, SChannel ve GDI bile�enlerini ilgilendiren 3 adet g�venlik duyurusu yay�nlad�. Tabiki g�venlik duyurular�nda detayl� a��klama yok, klasik "specially crafted XXX package" veya "specially crafted XXX file" ile istismar edilen a��klar.

Microsoft Duyurular� (10 Mart 2009) :
MS09-006 ? Critical: Vulnerabilities in Windows Kernel Could Allow Remote Code Execution (958690)
MS09-007 - Important: Vulnerability in SChannel Could Allow Spoofing (960225)
MS09-008 ? Important: Vulnerabilities in DNS and WINS Server Could Allow Spoofing (962238)

Duyurular�n detay�nda ayr�nt� belirtilmese de 8 adet a��n duyuruldu�u ve yamaland�� anla��l�yor.

MS09-008'de te�ekk�r edilen ki�inin "Kevin Day" olmas�, �nemli bir ayr�nt� olarak dikkat �ekiyor. "Kevin Day"i ge�en haftadan DjbDNS'in DNSCache bile�enine yap�lan Tampon Bellek Zehirlemesi sald�r�s�ndan hat�rlayacaks�n�z diye umuyorum.

Microsoft ne kadar detay�n� gizlese de, DjbDNS i�in a��klanan sald�r�n�n Microsoft DNS sunucusu i�in de ge�erli oldu�u g�r�n�yor. Bu do�rultuda Internet kullan�m�na a��k olan Microsoft DNS sunucular�n�n ivedilikle g�ncellenmesi gerekmektedir. G�venlik a��n�n yayg�n bir kullan�m y�ntemi ortaya ��kmad�k�a gerekli yamay� y�klemeyen sistem y�neticilerine duyurulur.

Fatih �zavc�
IT Security Consultant

Ge�en Haftaya Bak��

2009-03-10T01:01:00.002+02:00

Ge�ti�imiz hafta bir�ok ilgin� geli�me vard�, vaktiyle yazamad�m ama k�sa k�sa notlar�m� payla�mak istedim.

Warvox - Wardialing'in Yeniden Do�u�u
Metasploit'in geli�tiricisi HD Moore taraf�ndan Warvox isimli bir ara� duyuruldu. S�zkonusu duyuru wardialing y�nteminin yeniden do�u�u olarakta yorumlanabilir. Telefon hatlar� kullan�larak �a�r� yapmak suretiyle cevap veren telefon numaralar� ve cihazlar�n t�rlerini saptamak Wardialing olarak bilinmektedir. Ge�mi�te arka kap� giri�lerini saptamak, y�nlendiricilerin y�netim aray�zlerine eri�imleri saptamak ve uzak eri�im sunucular�n� saptamak i�in kullan�lmaktayd�. Wardialing yaz�l�mlar� bir veya daha fazla modemi kullanarak aramalar yapmakta, al�nan sinyallerin t�r�ne g�re cihazlar� kay�t etmekteydi. Warvox ise Wardialing y�ntemini VoIP altyap�s�n� kullanarak yeniden canland�rd�. Warvox, IAX uyumlu VoIP servis sa�lay�c�lar� �zerinden �al��abilmekte ve �a�r�lar�n cevaplanmas� durumunda al�nan sinyalleri veritaban�ndan kar��la�t�rarak analizler �retmektedir. VoIP altyap�s�n� kulland�� i�in modemlerden �ok daha h�zl� sonu�lar �retilmesini sa�l�yor. VoIP analizlerinde, cihaz y�netiminde ve sistem s�zma testlerinde bir�ok a�amada kullan�m� m�mk�n g�r�n�yor; ancak lisans�n�n gayri-ticari oldu�unu belirtmekte fayda var.

DjbDNS'te G�venlik A��
DjbDNS, D.J. Bernstein taraf�ndan geli�tirilmi� ve g�venlik garantisi verilmi� olan bir DNS sunucusudur. G�venlik garantisi nedeniyle �ok say�da sistem y�neticisi taraf�ndan tercih edilmekte ve kullan�lmaktad�r. Ge�ti�imiz hafta DjbDNS'te 2 adet g�venlik a�� bulundu�u, a��klar�n DNSCache bile�eninden kaynakland�� ve tampon bellek zehirlemesinin m�mk�n oldu�u duyuruldu. Daha �nce Kaminsky taraf�ndan duyurulan zehirleme sald�r�s�ndan DjbDNS yakla��k 40-45 saat civar�nda bir s�re sonunda etkileniyor iken yay�nlanan g�venlik a�� ile bu s�re 2-18 dk. aral��na kadar d��yor. D.J. Bernstein ve Jeff King taraf�ndan g�venlik a��klar�n� kapatmak �zere yamalar (1, 2) yay�nland�. D.J. Bernstein 1.000$'l�k �d�l�n� de Matthew Dempsky'nin kazand��n� duyurdu, lakin web sitesinde bu konuya ili�kin bir�eyler g�remedim. Bu noktada DjbDNS'i DNSCache ile beraber kullanan ki�ilerin yamalar� y�klemesi ve g�ncellemeleri �nerilmektedir. Belirtmeden ge�memek laz�m, DNS sunucusu kullan�lacak ise sunulacak alan kay�tlar� ile ge�ici sorgular�n farkl� sunucularda konumland�r�lmas�, g�rev ayr��t�rmas�n�n yap�lmas�n�n gereklili�i bir kez daha ortaya ��k�yor. Ki�isel h�rslar/tatmin neticesinde geli�tirilmi� ve deste�i olmayan bir yaz�l�m kullan�m�n�n, kurumsal g�venlik ile ne kadar �rt��t�� zerine de bir�eyler yazmak gerekiyor; ancak bu ayr� bir yaz�n�n konusu olacak kadar geni� bir tart��ma.

Dradis - Sistem S�zma Denetmenleri Bilgi Payla��m Arac�
Dradis ilk s�r�m�yle �ok ilgimi �ekmi� ve kendi projelerime nas�l entegre ederim diye uzun uzun d��nm��t�m. D��nceler s�ras�nda bir�ok eksiklik g�rm�� ve eklenmesi gereken �eylerin �oklu�u beni bir s�re daha ad�m atmamaya itmi�ti. Ge�ti�imiz hafta Dradis'in de yeni s�r�m� duyuruldu, tamamen yenilenmi� ve geli�tirilmi� bir ara� olarak kar��m�za ��kt�. Konsept korunmas�na ra�men ciddi de�i�iklikler var, bence daha kullan��l� olmu�. Hedef kitle biraz k�s�tl� oldu�u i�in inceledikten sonra nerede kullan�laca��na karar vermek daha do�ru olacakt�r.

L0phtCrack'in Dirili�i
L0pthCrack, Windows �ifre k�rma yaz�l�mlar�n�n ilk geli�mi� arac� ve efsanesiydi. Symantec atStake'i sat�n al�nca L0pthCrack'in fi�ini �ekmi�ti. Bizler de Ophcrack , RainbowCrack ve Cain&Abel ile yolumuza devam ediyorduk. Unutmadan hat�rlatal�m RainbowCrack'in de 13 �ubatta yeni s�r�m� duyuruldu. L0pthCrack'in geli�tiricilerinin (Mudge ve Weld Pond) arac�n haklar�n� geri ald��, yeniden geli�tirme �al��malar�na ba�lad�� ve "SOURCE Boston" konferans�na yeti�tirece�i duyuruldu. Yeni �zellikleri aras�nda 64 bit mimaride �al��mak ta yer al�yor. Ancak biz zaten bu imkanlara sahip iken yeni ne vaad edece�ini tam olarak anlayamad�m, yine de 12 Mart'ta yapacaklar� sunuma dikkat etmekte fayda var.

PS: Bu yaz�m Gezegen'e ilk ini�im olacak -umar�m kal�c� olur-, O�uz Yar�mtepe'ye de �imdiden te�ekk�rler. Genelde kendimce yazard�m, birilerinin okuyacak olmas� biraz endi�e de katt� hayat�ma.

Fatih �zavc�
IT Security Consultant

TR-CERT/TR-BOME Hakk�nda Karalamalar...

2009-02-22T15:19:00.002+02:00

T�bitak bir s�re �nce TR-CERT / TR-BOME (Bilgisayar Olaylar�na M�dahale Ekibi) olu�turulmas� konusunda yetkilendirildi ve TR-BOME kuruldu. Kurulma a�amas�nda ve hemen sonras�nda www.bilgiguvenligi.gov.tr adresinden Bilgi G�venli�i Kap�s� ya�ama ge�irildi. Kurulma a�amas� ile beraber TR-BOME i�in Bilgi G�venli�i Kap�s� alt�nda bir b�l�m (T�rk�e, �ngilizce) a��ld� ve baz� bilgileri payla��ld�.

TR-BOME kuruldu�u andan itibaren �retilen i�erik olarak sadece www.bilgiguvenligi.gov.tr'den haberdar�m, yaz�n�n bundan sonraki k�sm�n� da ilgili site �zerinden ve e-posta listelerine g�nderilen e-postalardan yola ��karak haz�rl�yorum. Yani bir ba�ka kaynak var ise benim bilgim dahilinde de�ildir, dolay�s�yla bilmeden yazm��md�r ve bu durum benim ara�t�rma yapmamaktan kaynaklanan hatamd�r.

TR-BOME i�in rekabet s�k�nt�s�, T�bitak'�n rekabet oyuncusu olmas�ndan kaynaklanan sorunlar ve ba��ms�z ki�ilerin bu i�eri�e destek vermesinin �n�ndeki engelleri ba�ka bir yaz�mda anlatm��t�m. Bu nedenle ayn� konuyu tekrar anlatmaya �al��mayaca��m. Bu yaz�da TR-BOME'nin yapt�klar�n� ve yapmad�klar�n� tart��mak istedim.

TR-BOME'nin web sayfas�n� inceledi�imde "Hakk�m�zda" b�l�m�n�n, "Olay Bildirim Formu"nun ve Duyuru/Bildiri b�l�mlerinin i�erik bar�nd�rd��n� g�rd�m. Akl�ma tak�lan a�a��daki sorular�n cevaplar�n� site �zerinde bulamad�m, yan�l�yorsam yorumlarda ba�lant� verebilirseniz sevinirim. S�k�a sorulan sorular b�l�m�nde ise hi�bir soru/cevap g�r�nm�yor, dolay�s�yla orada da bir cevap bulamad�m.

TR-BOME'nin hakk�m�zda b�l�m�nde g�n�ll�l�k esas�na g�re �al��t�� belirtiliyor. TR-BOME'nin kendi ekibinin varl��, g�rev da��l�m� ve ana g�revlerde yer alan personel bilgisi a��klanmam��; ki�i isimleri gizli ise sitenin i�indeki yaz�larda payla��ld��n� hat�rlat�r�m.
TR-BOME'nin g�n�ll�l�k esas�nda bekledi�i katk�n�n ne oldu�u ve bu konuda katk� sa�layanlara hangi imkanlar� sunabilece�i belirtilmemi�. Konular�n neler oldu�u belirtilmeyince insanlar�n nas�l g�n�ll� olmas� beklenir ? Konular k�sm�nda ise siteye makale yazmak de�il de ara�t�rma yapmak, g�venlik standart belgeleri haz�rlamak, etkinliklerde veya organizasyonda aktif kat�l�m akl�ma geliyor. E�er bu konu a��a kavu�turulursa ikinci soru da kat�l�m sa�lanacak etkinliklerde yol-konaklama giderlerinin ve di�er masraflar�n kar��lan�p kar��lanmayaca��d�r, bir�ok dernek bu t�r katk�lar� sa�layarak g�n�ll�l�k esas�ndaki �al��malara h�z verebiliyor.
TR-BOME'nin hakk�m�zda b�l�m�nde belirtti�i e�itim ve dan��manl�k hizmetlerinin �cretsiz/�cretli oldu�u belirtilmemi�. San�r�m soru sormadan bu konuda da cevap almak pek m�mk�n de�il, kald� ki kurum y�neticilerinin bu t�r bilgilere dayanarak atacaklar� ad�mlar olacakt�r ve bir�o�u sadece sorular ile b�yle bir bilgiyi al�rken dahi vazge�eceklerdir. TR-BOME, bilgi g�venli�i konusunda hevesli ve �al��maya haz�r, sadece kendilerine rehber bekleyen bir m��teri/hedef kitle bekliyor ise �ok yan�l�yor. O insanlara bir�eyler verebilmek i�in dahi �ok fazla emek sarfetmek gerekir, zaman�nda �aba sarfettik tecr�be ile s�yl�yoruz.
E�itim ve dan��manl�k hizmetlerinin ko�ullar�, e�itmen/dan��man bilgileri ve kurum taraf�ndan sunulacak hizmetlerin ek �artlar� da belirtilmemi�.
TR-BOME "Olay Bildirim Formu" haz�rlam��, bir�ok a��dan �ok g�zel g�r�nebilir ancak ortada "OLAY" tan�m� dahi bulunmuyor. TR-BOME'ye g�re "OLAY" tan�m� nedir (Evet Incident yerine kullan�lm�� ama i�inde ne var, mesela MSN �al�nmas� kapsamda yer al�yor mu) ? Bildirim sonras�nda at�lacak ad�mlar nelerdir, insanlar neden b�yle bir bildirimde bulunacaklar ?
TR-BOME "OLAY" kavram� i�ine giren durumlar�n sadece bildirim formu ile gelmesini mi beklemektedir ? Ulusal ve Uluslararas� e-posta listeleri, g�venlik siteleri, g�nl�kler ve bas�n gibi kaynaklarda takip ediliyor ve g�rev/ihbar kabul ediliyor mu ? Sonras�nda ataca�� ad�mlar ve a�amalar�n neler oldu�u listelenmemi�.
Kurulma i�lemi sonras�nda yap�lan �al��malar ile ilgili bir bilgilendirme raporu veya bildiri g�remedim. Siteyi inceledi�imde g�rd��m ise g�venlik sitelerinde oldu�u gibi belge, makale ve klavuz haz�rlamakla k�s�tl� �al��malar oldu�u. Baz� �al��malar�n oldu�unu ise �st� kapal� bildirimler ile ��rendim, ancak g�rd��m kadar�yla �effafl�ktan s�n�fta kal�yorlar.
Olaya m�dahale s�ras�nda ve sonras�nda elde edilen bilgileri ne t�r bir gizlilik ile koruyorlar. Gizlilik prensipleri b�l�m�nde "Bilgiler G�venlik Politikas�na Uygun Korunmaktad�r" denmi�, lakin ortada bir g�venlik politikas� varm� ? ilgilendiren b�l�m� payla��lm�� m� ?
T�bitak'�n a� g�venli�i hizmeti satan/sunan b�l�mlerinin TR-BOME verilerine eri�im imkan� bulunmaktam�d�r ? Gizlilik prensipleri kurum i�i gizlili�i mi b�l�m i�i gizlili�i mi kastetmektedir ?

Daha pek �ok soru akl�ma geliyor, eminim sizlerinde akl�na �ok �eyler gelmi�tir. TR-BOME bizim �ok �ey bekledi�imiz bir organizasyondur, bu nedenle yap�lan �al��malar�n sadece bir g�venlik sitesi a�mak olmas� yeterli de�ildir. G�venlik sitesine i�erik beklerken dahi "Site yapt�k, o zaman yazmamalar� onlar�n su�u" yakla��m� da ayr� sa�mad�r, davet t�r� ve beklenen deste�in gelmesinin �n�ndeki sorunlar�n azalt�lmas� gibi konular umursanmamakta m�d�r ?

TR-BOME ile ilgili en �nemli ele�tirim ise devlet koruma kalkan�na sahip t�m kurumlar gibi sorgulamaya ve �effafl��a sonuna kadar kapal� olmalar�d�r. Sitede yap�lan �al��malar, projeler veya ara�t�rma raporlar�na dair hi�bir �ey bulunmuyor. Yukar�da ki sorular konusunda dahi ("Bilgi Edinme" b�l�m� var oradan girerseniz cevaplar�z) yakla��m�n� benimsemeleri bu durumun en somut g�stergesi. Benzer bir organizasyon "�ZEL" bir kuruma verilseydi �u ana kadar nas�l bir e-posta bombard�man�, ara�t�rma raporlar�, �al��malar ve i�erik g�r�rd�k hayal edin.

TR-BOME ile ilgili g�rd��m tek bas�n ba�lant�s�n� da a�a��da payla��yorum. TR-BOME'nin kuruldu�u, ara�t�rmalar� ve di�er �al��malar�n�n de�il; sadece bir anti-vir�s firmas�ndan farks�z olarak Vir�s uyar�s� g�ndermesi nas�l kar��lanmal�d�r ? San�r�m hepimiz bu t�r duyurular�n kendilerinin g�revi oldu�u konusunda hem fikiriz, bence garip olan TR-BOME'nin ba�ka bir haberinin olmamas�d�r.

T�B�TAK'tan Vir�s Uyar�s�
http://www.hurriyet.com.tr/teknoloji/10882829.asp

Fatih �zavc�
IT Security Consultant

TUBITAK, REKABET ve TR/Cert

2009-02-06T13:22:00.000+02:00

�nceki hafta "Bilgi G�venli�i" posta listesine att��m bir e-posta ve sonras�nda geli�en yaz��malar sonucu T�bitak konusunda bir�ok tart��ma oldu. T�bitak konusunda ve TR/Cert'�n yerle�imi konusunda duydu�um �ok say�da rahats�zl�� ilgili e-postada belirtmi�tim. Bu rahats�zl�klar� payla�mak ve T�bitak'�n davran��lar� hakk�ndaki endi�elerimin neler oldu�unu net olarak ifade etmek istedim. Daha sonra bir ba�ka yaz� da TR/Cert ile ilgili d��nce, �neri ve endi�elerim i�in yazaca��m.

T�bitak'�n Bilgi G�venli�i alan�ndaki �al��malar� konusunda bir�ok rahats�z oldu�um nokta var; ancak bu durum T�bitak'�n yapt�� di�er olumlu i�leri (Geli�tirilen ulusal kriptolama altyap�s�, ara�t�rma/geli�tirme �al��malar�, kamusal bilgi g�venli�i �al��malar�, di�er projeler {pardus vb.}) be�enmedi�im anlam�na gelmiyor. �u unutulmamal�; bir kurumu/davran�� ele�tirirken taraf�n g�zel/be�enilen hareketlerini de listelemek gereksiz ve yersizdir. Evet g�zel �al��malar yapm�� olabilir, bir k�sm�n� takdir de etmekteyim; ama bu durum benim rahats�z oldu�um noktalar ile ilintili de�ildir.

Ger�ekler ;

T�bitak, �zel �irketlere bilgi g�venli�i alan�nda denetim ve dan��manl�k hizmetleri satmaktad�r; yani bilgi g�venli�i hizmet pazar�n�n "REKABET EDEN B�R OYUNCUSUDUR".
T�bitak bir kamu kurulu�udur, kamusal g�revleri ve sorumluluklar� bulunmaktad�r.
TR/Cert, T�rkiye'nin ihtiya� duydu�u ve bilgi g�venli�i konusunda ya�ad��m�z bir�ok eksikli�i giderebilecek organizasyondur.
TR/Cert bir kamusal g�rev olarak de�erlendirilmi� ve T�bitak bu do�rultuda yetkilendirilmi�tir.
T�bitak, T�rkiye'nin t�m bilgi g�venli�i uzmanlar�n� b�nyesinde toplamam��t�r; T�rkiye'de �zel �irketler i�in �al��an ve T�bitak'�n sahip oldu�undan �ok daha fazla bilgi g�venli�i uzman� bulunmaktad�r.

Kamusal g�rev olan TR/Cert, bir rekabet unsuru olarak kullan�lmasa dahi haks�z rekabeti do�uracak bir olgudur. TR/Cert g�revleri do�rultusunda kurulu�lara "g�venlik ihlali m�dahale", "g�venlik bilinci artt�r�lmas�" ve "g�venlik organizasyonu yap�land�r�lmas�" konular�nda bedelsiz/kamusal hizmetler sunacakt�r. S�z konusu hizmeti alan kurulu� �al��malar�n� devam ettirmek, teknoloji ve hizmet yat�r�m� yapmak istedi�inde ise izleyece�i bir yol olacakt�r. Pazar oyuncular�n� (hizmet sa�lay�c�lar�) davet edecek ve ��z�m �nerilerini, fiyat� i�eren bir teklif dahilinde isteyecektir. TR/Cert'�n de i�inde bir b�l�m oldu�u T�bitak'�n bir ba�ka b�l�m� ise �al��malar�n� ve fiyat teklifini bu kapsamda iletecektir. Bu durum d�nyan�n neresinde olursa olsun "HAKSIZ REBAKET" olarak de�erlendirilir ve cezaland�r�l�r.

Bu durum sadece rekabet rahats�zl�� yaratmayacakt�r; TR/Cert'e destek vermek isteyen ve �al��ma hayat�n� belirtilen "RAK�P" kurumlarda �al��an insanlar�n geri ad�m atmas�na neden olacakt�r. Pazar rekabeti i�inde bulunulan bir kuruma �al��malar�nda "�CRETS�Z" yard�m edilmesini beklemek ve b�yle �nemli organizasyonlar�n desteklenmesini istemek ise en iyimser ifade ile "SAFLIK" olacakt�r. TR/Cert'e belirtilen sebeple yard�mc� olamayan/olmayan ki�ilerin, kar amac� g�tmeyen ba��ms�z dernek ve kurulu�larda yapt�� al��malar ise TR/Cert'e aktar�lamayacakt�r.

Yukar�da ki tan�ma uyan, kamusal g�rev ve ticari rekabeti beraber devam ettiren �ok say�da kamu kurulu�u bulunmaktad�r. Ge�ti�imiz y�llarda belirtilen �artlardaki kamu kurulu�lar�ndan baz�lar� �zel �artlarla sat�lm��t�r. T�rk Telekom �rne�i d��nd�r�c� ve �arp�c� �rneklerden sadece biridir. Kamu g�revleri icra eden, gelir elde eden ve alan�nda tekel olan T�rk Telekom �zelle�tirildi. �zelle�tirme s�reci �ncesinde PTT ve T�rksat �irketlerine belirtilen kurumun g�revlerinden baz�lar� aktar�ld�; �zelle�tirmeye konu olan Internet altyap�s� ve �leti�im altyap�s� halen ilgili kurumun hizmet verdi�i alanda tekel olmas�n� sa�lamaktad�r. Kamusal g�revler aras�nda yer alan "ileti�im g�venli�i" konusunda ise Askeri �nlemler (�zel bir ileti�im altyap�s�) ve kamusal �nlemler geli�tirildi.

Anlat�lan ko�ullar �er�evesinde;

TR/Cert'e sadece T�bitak (yeni/eski)�al��anlar�n�n veya hizmet alan kurum b�nyesindeki ki�iler destek verecek; �nemli bir dan��man/denetmen/e�itmen kitlesi icraat esnas�nda (s�zde olmasa bile) d��lanacakt�r.
TR/Cert ile T�bitak kendisine "Bilgi G�venli�i" �al��ma alan� i�in "REKABET BOZAN" bir �zellik kazand�rm��t�r.
T�bitak'�n tamamen veya k�smen �zelle�tirilmesi s�z konusu oldu�unda (b�yle bir�ey hayalidir, hatta kabusidir) ise zaten bozulmu� olan "REKABET", "ULUSAL B�LG� G�VENL�� POL�T�KASI", "H�ZMETTE ELDE ED�LEN B�LG�LER�N G�ZL�L��" ve bir�ok prensip rahats�zl�k uyand�racakt�r.

TR/Cert'�n �nemli zarar g�rmesi, ticari faaliyette bulunan T�bitak'�n gelece�i, kamusal hizmet ile ticari faaliyetin kar��t�r�lmas� d��nda zararlarda vard�r.

�zel �irketlerin hizmet ald�klar� T�bitak; hizmet zarar�n� g�ze alabilmekte, �al��anlar�n� farkl� b�t�eler alt�nda e�itebilmekte ve �ok say�da �al��an� b�nyesinde bar�nd�rabilmektedir. Bu durum maliyetlerin azalmas�, hizmet bedellerinin ve kalitenin zamanla d��mesi sonucuna da gidecektir. Belirtilen d��k maliyet ve zarar ise sadece sermayesi g��l� olan kurumlar taraf�ndan kald�r�l�r; belirtilen �rnekteki "B�LG� G�VENL�� H�ZMET/�R�N P�YASASI" i�in sermaye rahatl�� i�indeki tek kurum TUBITAK't�r. Zaman i�inde k��k hizmet �irketleri, �zel bir alanda hizmet sunmak i�in kurulan �irketler veya b�y�k oyuncular piyasadan silinecektir. Bu durumu g�rmek i�in pazar analizi yap�lmas�na gerek yoktur; olu�an T�rkiye Internet altyap�s� ve hizmet sunan kurumlar�n durumu da incelenebilir. M��teriler i�in ba�lang��ta "UCUZ" olan hizmet bir s�re sonra kalitesiz, otomatize ve yetersiz olacak; zamanla oyuncular silindik�e ve tekel olu�tuk�a "PAHALI" olacakt�r. Pazardaki hizmet sunan k��k kurumlar�n yok edilmesi ve hizmet kalitesinin yetersizli�i sonras�nda ise YABANCI kurumlar�n T�rkiye temsilciliklerinden hizmet al�nacak; hatta "BU KONUDA �ALI�AN B�R T�RK F�RMASI DAH� YOK, HEPS�N�N KAL�TES� YERLERDE" denilebilecektir.

�zetle; TR/Cert kanaatimce sorunlu do�mu�tur. TR/Cert gibi y�llarca kurulmas� i�in �aba g�sterdi�imiz kurum, i�eri�ine sa�lanacak katk�lara engeller ile olu�turulmu�tur. TR/Cert'�n T�bitak taraf�ndan kullan�l�� tarz�na ba�l� olarak "REKABET BOZAN" yap�s� ileride �ok ciddi tehlikeler olu�turacakt�r. TR/Cert'�n b�nyesinden ayr�lmas� durumunda dahi T�bitak'�n "REKABET �HLAL�" yapt�� noktalar bulunmakta ve kamusal fayda ile uyu�mamaktad�r. T�rkiye'nin bilgi g�venli�i �al��ma alan�ndaki "Ara�t�rma/Geli�tirme" yapan �zel �irketlerin say�s�n�n azl��, hizmete (yabanc� k�kenli �r�nlere de�il) yat�r�m yapan hizmet/�r�n sunan �irketlerin azl�� ve piyasada bulunan hizmet bedelleri incelendi�inde, gelecekteki tehlike daha net g�r�lebilir. Halen bir�ok kurum bilgi g�venli�i hizmetlerini -daha iyi olduklar� gerek�esi ile- �ok y�ksek mebla�lar ile yurtd�� k�kenli -b�nyesinde t�rk m�hendislerini kullanan- firmalardan almaktad�r.

Fatih �zavc�
IT Security Consultant

Etik! Etik! Diyeni Me�e Odunuyla D�vmek

2009-02-01T00:31:00.001+02:00

Bir su tesisat��s�n�n etik olmas� s�z konusu mudur ? Gelir, muslu�u de�i�tirir ve gider. Muslu�un bozuk olmas�, damlatmas� veya montaj� sorunlu ise i�ini do�ru yapm�yordur. Ama genel olarak musluk�uyu etik olmamakla su�layamazs�n�z; sadece paras�n� verdi�iniz i�i yap�p yapmamas� ile yarg�lars�n�z. Ba�ka yerlerde musluklar�n veriminden, yeni modellerden ve kendisinin tercihlerinden bahsetti�inde "etik olarak yanl��, bir daha bu adama musluklar�m� de�i�tirmeyece�im" denmez, diyenini g�rmedim. Oysa doktorun yazd�� ila�lar, se�ti�i tedavi y�ntemi, dene(k/y)leri ve �tanaziye bak�� nemlidir; kendinizi ona g�re emanet edersiniz. Sadece musluk�u yoktur; tamirci, lastik�i, kap�c� ve manav vard�r. Doktor da yanl�z de�ildir, avukat, polis ve hatta �ilingir de ayn� kategoriye girebilir.

Meslek se�imini yaparken uyulmas� gereken kurallar� veya genel kriterleri de bilmelisiniz. Bilgi g�venli�i i�i �ok hassas dengeler �zerinde y�r�mektedir, ataca��n�z ad�mlar�n g�ven/etik gibi kavramlar ile sorguland��n� g�r�rs�n�z. Bilgi g�venli�i, �ok say�da ki�inin �al��mak i�in se�ti�i bir aland�r ve kendine �zel kriterleri vard�r. Bu kriterler farkl� alanlarda farkl� isimler ile an�l�r; sonu�ta sizin yapt��n�z t�m hareketler ile beraber yarg�land��n�z� farkedersiniz. Yazd��n�z makaleler,yapt��n�z yorumlar, ara�lar, dahil oldu�unuz gruplar, arkada�lar�n�z ve panellerdeki kat�l�m�n�z ba�l�ca incelenecek i�lemlerdir. B�ylece m��teriler en hassas bilgilerini size emanet edip etmemeye karar vereceklerdir.

Bilgi g�venli�indeki �al��ma alanlar�ndan birinde ise etik doruklarda gezer; sistem s�zma denetimleri.Sistem s�zma kavram�n� bilmeyenler i�in Penetration, Hacking, Ethical Hacking gibi kavramlar�n yerine kulland��m� hat�rlatay�m. E�er sistem s�zma denetimi yap�yor iseniz ahlaki sorgulamalara daha �ok maruz kal�rs�n�z, kald� ki Ethical Hacking dikkatinizi �ekmi�tir. Bu sorgulaman�n nedeni ise denetmenlerin, hedef sistemde bir g�venlik a��n� ara�t�rmas� ve bu ara�t�rma sonras�nda bulgular� m��teriye raporlamas�d�r. K�t� olas�l�klar ise a��n kullan�m� ile bundan ��kar elde etmesi, bu a��k ile �v�nmesi veya a�� kullan�m i�eride bir arka kap� b�rakara sonras� i�in yat�r�m karar� almas�.

Sistem s�zma ve genel g�venlik ile ilgili i�lerde, m��teriler taraf�ndan yetkinli�i alg�lamak ad�na sertifika sorgulamas� yap�l�r. CISSP (Certified Information Systems Security Professional) ve CEH (Certified Ethical Hacker) sertifikalar� beraberinde yukar�daki bahsedilen etik kavram�n� asgari ko�ullar� i�inde anarlar. A�a��da "Code of Ethics"ten yap�lm�� bir al�nt� var.

---- ALINTI-----
Code of Ethics Canons:

Protect society, the commonwealth, and the infrastructure.
Act honorably, honestly, justly, responsibly, and legally.
Provide diligent and competent service to principals.
Advance and protect the profession.

---- ALINTI-----

�lkemizde ise ilgili sertifikalara sahip oldu�unu her f�rsatta belirtmek isteyen, yaz�lar�n�n alt�na ekleyen, hatta e�itmeni olan arkada�lar�m�z s�z konusu etik konusunda kafamda soru i�areti olu�turan �ok say�da hareket yap�yorlar. Bir g�venlik a��n� bulmak ve yay�nlamak konusunda izlenebilecek yollar vard�r; ancak bir kurumun kaynaklar�n�n �zerindeki zaafiyetleri konu�urken -e�er yukar�da yazan ger�eklerin fark�ndaysan�z- uyman�z gereken kurallar vard�r. �zlenebilecek olan yollar ile uyulmas� gereken kurallar aras�ndaki fark "etik zorunluluktur". Beni rahats�z eden hareketler ise tam bu konuda ortaya ��k�yor.

Etik olaca��n�, yapt�� hareketlerin onurlu olaca��n� "vaad eden" ki�iler, �zellikle bir kurumun kaynaklar�ndaki a�� kamuyla payla�ma l�ks�ne sahip de�ildir; a�ar ald�� sertifikan�n referanslar�n� ve do�ru yollardan birini se�erek ��z�me kavu�turur. Yani �z�nde ama� g�venlik a��n� bar�nd�ran kurumun zarar g�rmemesini sa�lamakt�r, ayr�ca g�venlik a��n�n kapatt�r�lmas� da ama� ise ortas� bulunur. Genel kullan�m� olan bir �r�n�n -�rnek Microsoft IIS- a��n� tart��mak farkl�d�r, bir kurumun web sitesindeki sorunu tart��mak - �rnek Microsoft'un web sayfas�nda halen devam eden SQL sorgular� de�i�tirme a��- farkl�d�r. �kisini kar��t�r�yor iseniz, bir kurumun y�klenmemi� yamalar�ndan bahsetmeye devam eder iseniz, kurumdaki yetkililerin bu konuda sahip olduklar� bir�ok i� kural� nedeniyle ya�ad�klar� sorunlar� g�rmezden geliyor iseniz; ET�K DE��LS�N�ZD�R, ba�ka bir�eysinizdir. Kurumun ilgili a�� duyurman�zdan veya alenen tart��man�zdan g�rece�i zarar sizi ilgilendirmiyor yan�lg�s�nda olabilirsiniz; ancak yar�n g�venli�ini sa�lamak/denetlemek zorunda kalaca��n�z kurum size bunlar�n kar��l��n� sorabilir.

Etik olmak demek bir g�venlik a��n� duyurmamak, has�r alt� etmek, d�nyay� toz pembe saymak de�ildir; -konu�tu�umuz konu s�n�rlar�nda- g�venlik a��n� kapatmak ve kurumun a��n� gidermek noktas�nda, kurumun ve kamunun zarar g�rmemesini sa�lamakt�r. A�� kapatt�rmak istiyor iseniz bunun nas�l yap�laca�� zerinde yaz�lm�� ok �ey bulunmaktad�r; bir ��k�� noktas� olmas� ad�na sadece bir yolu i�eren ki�isel tecr�bemi a�a��da payla��yorum. Bir�ok farkl� yol, y�ntem ve do�ru olabilir; ama hedef kurumlar�n ve kamunun zarar g�rmesini engellemektir. Bazen kamu ve kurum zarar� �ak��abilir, b�yle bir durumda orta yolu bulmakta o ki�inin asli g�revlerinden biridir; kimse size bu i�in kolay oldu�unu s�ylemedi.

Bir G�venlik A��n� Yay�nlamak
http://www.bilgiguvenligi.org/2007/05/bir-gvenlik-yaynlamak.html

Fatih Ozavci
IT Security Consultant

Servis Engellemenin Reddi Ritueli

2009-01-29T00:33:00.001+02:00

Sistem sizma denetimlerinde hep uzun istekler listesi goruruz, istenmeyen listesi ise tek bir maddeden olusur, servis engelleme saldirilari. Bu yazi servis engelleme saldirilarinin istenmemesi ve yan etkilerini tartismak icin hazirlanmistir. Normal bir denetim asamasinda dahi bu karara ne kadar bagli kalinabildigi ve kararin etkilerine olabildigince deginmeye calistim. Servis engelleme denetimleri uzerine yaptigim bazi calismalar, denetim asamalari ve ozellikle servis engelleme yapilmasi gereken durumlari -vakit buldukca- daha sonraki yazilarda aktarmaya calisacagim.

Bir sistem, ag veya uygulamanin, gecici veya kalici olarak devre disi kalmasini saglayan saldiri cesitleri servis engelleme saldirilari (DOS) olarak anilmaktadir. Servis engelleme saldirilari cok sayida sistem tarafindan yapiliyorsa -genellikle otomatize olarak ele gecirilmis sistemler- dagitik servis engelleme saldirilari (DDOS) olarak anilmaktadir.

Sistem sizma denetimi surecinde servis engelleme belki de en hassas konulardan biridir. Denetim sonucunda buldugunuz veya bulamadiginiz guvenlik aciklari, durmasina sebep oldugunuz bir servis kadar dikkat cekmeyecektir. Soz konusu dikkat cekme islemi -sozlesmede yer alan maddelere bagli olarak- maddi kayiplari veya yukumlulukleri de beraberinde getirebilir.

Denetim surecinin talep ve kabul asamalarinda gelen ilk talep genellikle "kesinlikle servis engelleme saldirilari istemiyoruz" olmaktadir. Denetmen olarak otomatize bir cevabinizda her zaman vardir, "talebiniz uzerine bilerek servis engelleme saldirilari duzenlenmeyecektir; ancak bircok guvenlik acigi bu tur bir etkiye sahiptir, bu nedenle bilmeyerek boyle bir durumun olusmasina neden olabilir". Karsi tarafta "bilerek olmasin, bilmeyerek oluyorsa da karsilikli haberlesir ve sorunu cozeriz" der. Boylece belirtilen ifadeler sozlesmeye eklenir, cezai sartlar belirtilir ve "servis engellemenin reddi ritueli"ni tamamlariz.

Servis engelleme saldirilarinin gerceklenmesi, ozellikle kritik sistemlerde istenmemektedir. Sifir devre d�� kalma toleransi ile calisan sistemlerin, bir denetim surecinde devre disi kalmasi cok hos karsilanmayacaktir. Bu nedenle otomatize araclarda "DOS" kategorisi isaretlenmez, hesap kilitleme ozellikleri kapatilir, port tarama esnasinda zaman limitleri eklenir ve arkaya yaslanarak denetim surecinin guvenle bitmesi beklenir. Ic buhranlar, karari sorgulamalar ve acabalar dipsiz kuyuya atilir.

Eger sistem sizma denetimi yapiyorsaniz ve bu isi hakkiyla yapmak isterseniz su ana kadar anlatilan seylerden bir veya daha fazlasindan rahatsizsinizdir. Otomatize yazilim, servis engellemenin istenmemesi, sorgulama olmamasi gibi kavramlar genellikle karsi oldugunuz seylerdir. Siz bir guvenlik acigini dogrulamadan raporlamanin hatali oldugunu dusunurken, sizden acigin denenmesinin dahi istenmemesi kabul edilebilir gorunmemektedir. Ancak durumun bu kadar basit parametreler ile dusunulmesi ve degerlendirilmesinin de yan etkileri vardir.

Detay 1, Servis Engelleme Neden Olusur :

Servis engelleme durumu, programlama sorunlari soz konusu ise birkac belirgin kosulda olusur ;

Servis yazilimi kendisine ait olmayan bir tampon bellek alanina yazmak isterse,
Servis yazilimi kendisine ait olmayan bir sistem kaynagina erismek isterse,
Isletim sisteminin ana bilesenlerinden biri bellek veya islemci gibi temel kaynaklari dengesiz bicimde kullanirsa,
Servis yaziliminin planlanan istek/sorgu/islem sayisi gercek hayatta kaldiramamasi ve erisilen bilesenlerin (alt surec, bellek vb.) yeterli olmamasi,
Yazilim tarafindan gerceklenmesi uzun sureli islemlerin, es zamanli ve cok kez tekrarlanmasi.

Programlamadan kaynaklanan servis engelleme saldirilari sadece yukaridakilerden ibaret degildir. Servis engelleme saldirilari sadece programlamadan degil yapilandirma, tasarim ve ag yerlesimi gibi sorunlardan da olusabilir. Hedefe bagli olarak (kablosuz ag, web uygulamasi, VoIP, ag altyapisi vb.) cok daha farkli ornekler ile karsilasmak mumkundur.

Bir saldirinin kontrol�ne ornek vermek adina yukarida listelenen durumlar simdilik yeterli gorunuyor, daha sonraki gonderimlerimde servis engelleme sureci ve denetimi ile ilgili hazirladigim bazi calismalari da paylasmayi planliyorum. Bu konuda bazi planlar, araclar ve ek kontroller olusturma; bir kismini da hayata gecirme imkani buldum. Dogru bicimde yonetilirse faydali bir surec olduguna inaniyorum.

Detay 2, Is Karari Olarak Servis Engellemenin Reddi :

Is sureklilik yukumlulukleri olan sistemlerin anlik durmalari dahi kabul edilebilir olmamaktadir. Bu nedenle kumeleme yontemleri, yuk dagiticilar, sistem ikizleme veya istek yonetimi gibi yollar tercih edilir. Sistemin kritikligi dogrultusunda denetimler yapilmasi istenir. Ancak bircok sistem yoneticisi hangi sistemlerin tam olarak kritik olduguna karar vermek ve devre disi kalabilmesi olasiligini belirli bir kontrolde gerceklemek yerine kolay yolu secer, servis engelleme yapilmamasi. Bu secim, Gizlilik/Butunluk/Erisilebilirlik kavramlarindan olusan bilgi guvenligi felsefesinin Erisilebilirlik kismini goz ardi etmek demektir. Gizli bir bilginin ifsa edilmesi veya kritik bilgilerin ele gecirilmesi telafi edilebilir olmayacaktir, sistem surekliliginin aksamasi ise olusabilecek bir istisna olarak yorumlanabilir. Her kurum icin Gizlilik/Butunluk/Erisilebilirlik es deger onemde degildir, sonucta bu bir is karari olarak karsimiza cikar. Is karari olmasi bir sistem yoneticisinin de bu karara uymasini gerektirir.

Detay 3, Denetimde Servis Engelleme Etkisi :

Servis engelleme istenmiyor ise denetiminizi de bu dogrultuda degistirmeniz gerekecektir. Bilerek ve bilmeyerek bu durumun olusabileceginden bahsetmistik, kavramlari acalim ;
Bilerek -> sadece servis engelleme sonucu doguran aciklari test edilmeyecektir
Bilmeyerek -> servis engelleme sonucu dogurmayan, komut calistirma veya bilgi sizmasi etkileri doguran aciklar test edilecektir.

Peki servis engellemesi ve komut calistirma cok farkli aciklar midir ? Genellikle komut calistirabilmek icin cesitli turlerde tampon bellek tasmasi aciklari (Buffer/Integer/Heap/Stack Overflow) veya karakter sekli (Format String) kullanilir. Uygulamanin kullanicidan gelen girdileri kisitlama veya kontrol olmaksizin bellege kopyalamasindan kaynaklanan bu aciklar; tampon bellege izinsiz yazmak ve yazilan kodu cagirarak calistirmak suretiyle istismar edilir. Eger bu tampon bellek hesaplamalari bir seferde dogru bicimde yapilirsa sikinti yoktur, ancak bu her zaman mumkun olmayacaktir.

En az sorunla komut calistirabilmek icin asagidaki unsurlara -aklima ilk gelenler- dikkat etmek gerekmektedir ;

Uygulamanin kullandigi ve yazilmasi mumkun olan bellek alaninin BASI, SONU, KULLANILMAMASI GEREKEN KARAKTERLER
Uygulamanin her kosulda cagirdigi bir ifadenin/karakterin/cagrinin ustune yazmamak
Komut calistirilan alt surec veya ana surecten cikisa neden olabilecek sonlandirma yapilmamasir
Eger dahili bir saldiri onleme sistemi varsa, tetiklemek ve yan etkileri
Kullanilacak bir encoder var ise (Shikata Ga Nai, XOR vb.) uygunlugu ve uyumlulugu
Isletim sisteminin dahili komut calistirma veya bellek yazma korumalarinin varligi
Islemci turu (Little Endian vs Big Endian)
Isletim sistemi yama seviyesi, dil secimi vb.

Eger bir alt surecin istismari soz konusu ise deneme/yanilma yontemini dikkatle kullanmak mumkundur; neticede olen surecin yerine yenisi gelmis veya gelecektir. Ancak ana surecin okudugu bir verinin degisimi; hatta ana surecin dogrudan istismari soz konusu ise servisin sonlanmasi soz konusudur. Haliyle servis duracak, bir komut calistirma acigi servis engellem etkisi doguracaktir.

Komut calistirma aciginin, servis engelleme etkisi dogurmasi nadir rastlanan bir durum degildir; aksine siklikla rastlanan bir durumdur. Ozellikle Microsoft DCE/RPC aciklarinin birkac kez art arta istismari RPC servisi bilesenlerinde sorunlara yol aciyor. Bu durum haliyle Netbios/Cifs icin temel bircok ozelligin calisamamasi anlamina geliyor. Netbios/Cifs'in sorunlu hale gelmesi ise ozellikle Active Directory ortaminda farkedilmesi zor ama etkileri cok buyuk sorunlar doguracaktir; oturum acamama veya zaman asimlari en onde gelen etkilerdir.

Exploit, yani acigin kullanim yontemi, her zaman detayli bicimde aciklanmayabilir veya sadece bir kisinin cok ustune dusmeden hazirlamis oldugu "calisabilirligi gosterme ve ispat" amacli olabilir. Boyle bir kullanimi urun ortaminda denemek ise servisi gercekten durduracaktir. En guvenli yol ise guvenilirligi arttirilmis ve cok sayida sistemde denenerek kararliligi test edilmis exploit'lerin tercih edilmesi veya yazilmasidir.

Acigin farkedilmesi icin otomatize yazilimlarin farkli davranislari ortaya cikar ; bazilari sadece servisin surumunu yeterli gorur iken (ki yanilticiligi ortadadir, baslik bilgisi farkli/gizli ise acik yoktur) bazilari dogrudan acigin istismarini (komut calistirma) tercih eder. Guvenilir sonuclara onem veriyor iseniz sizin acigi arastirmaniz gerekmektedir, hatali bir kullanim sonucu servisin olmesi en istenmeyen durumdur. Kaldi ki komutun basari ile calismasi da her zaman servisin ayakta kalmasina isaret etmeyecektir.

Acik test edilecek ise servisin devre disi kalmasi soz konusudur, test edilemeyen acigin varligindan soz edilemez. Kontrolu gereken acik sayisi binlerle ifade edilebilir, bu nedenle her acigin dogrudan kullanim ile testi mumkun degildir.

Iste boyle bir noktada servis engellemenin istenmedigi gelir akliniza, testin kritik olarak degerlendirilecek bircok bolumu elle kontrol edilir. Tek tek ve bolca sure harcanarak, dikkatsizlik sonucu bir acik kacar veya hatali bir kabuk kodu secimi sonucu servis sonlanir. Active Directory sunucusunun RPC sorunu nedeniyle yeniden baslatilmasi kulaga cekici gelebiliyor mu ?

Sonucta Ne Olacak ?

"Servis engellemenin reddi ritueli" demek iste bu durumun ozetidir. Acik ve ozet hali ise ; "Bir acigi istismar edeceksen habersiz ve kontrolsuz yapma, sadece servis engelleme sonucu doguran aciklari kontrol etme, otomatize bir yazilim kullanacaksan iki kere dusun".

Aslinda red yoktur, az inisiyatif vardir.

"Bak ama dokunma, dokun ama tatma, tat ama yutma. Sen bu kurallarla sasirmisken, o seni izleyip guler"

Fatih Ozavci
IT Security Consultant

�A�RI MERKEZLER�NDE B�LG� G�VENL��

2009-01-28T14:28:00.044+02:00

G�R��

�a�r� Merkezi k�saca m��terinin telefon, e-mail, web, faks, IVR (Sesli Yan�t Sistemi) ve benzeri y�ntemlerle yapt�� a�r�s�n�n bir merkez taraf�ndan ele al�nmas�d�r.

�a�r� merkezleri i�in Incoming Call Management Institute (ICMI) taraf�ndan yap�lan tan�m ise ��yledir; "�a�r� merkezi m��teriye ve �irkete de�er yaratmak amac� ile �irketin kaynaklar�n�n ve farkl� ileti�im kanallar�n�n etkili bir �ekilde entegre edildi�i, insanlardan, s�re�lerden, teknolojilerden ve stratejilerden olu�an koordineli bir sistemdir."

�a�r� Merkezinin Yararlar� Nelerdir?

Organizasyon ile m��teriler aras�nda k�pr� g�revi g�r�r,
M��teri sadakatinin artmas�na etkide bulunur,
�leti�im kontroll� ve kaliteli bir bi�imde sa�lan�r,
D�zenli ve s�rekli veri ak��na olanak tan�r,
Pazarlama faaliyetlerinin etkinle�mesine imkan tan�r,
�r�n ve hizmet iyile�tirmeleri i�in geri besleme sa�lar,
Maliyetlere olumlu etki eder, verimlilik sa�lar,
Self servis hizmetlerin kullan�lmas�na destek olur,
Gelir yaratmak i�in kullan�l�r, gelir art��na etki eder,
M��teri memnuniyetini artt�r�r,
�irket imaj�na olumlu katk�da bulunur

�a�r� Merkezlerine Tarihsel Bak��

�lk olarak 1960 lar�n sonlar�nda istek ve �ikayet iletme arac� olarak ortaya ��km��t�r.
ABD'de�"�cretsiz hatlar"�bir�ok �irket taraf�ndan devreye al�nmaya ba�lanm�� ve bir hizmet stat�s� olarak sunulmu�tur.
1970'lerin ba��nda Continental Havayollar� ilk ACD (Automatic Call Distributor - Otomatik �a�r� Da��t�mc�s�) kullanm��t�r.
30 sene �nce m��terilerle bir temas noktas� yaratm�� irketler rekabette �ne ��karken, bug�n bir zorunluluk haline gelmi�tir.
G�n�m�zde b�y�k ve uluslararas� bir sekt�r haline gelmi�tir.

G�VENL�K BAKI� A�ISI
�a�r� Merkezleri, hizmet verdikleri i� alanlar�na g�re farkl� kanuni gerekliliklere ve g�venlik standartlar�na ihitiya� duyarlar. G�venlik politikalar�n�, standartlar�n�, prosed�rlerini, talimatlar�n� vb. di�er d�k�manlar�n� i� gereksinimlerinin getirdi�i g�venlik ihtiya�lar�na g�re d�zenlemelidirler. �rnek olarak bankac�l�k sekt�r�nde i� yapan �a�r� merkezleri PCI(Payment Card Industry standard), COBIT vb. framework lere uygun i�lem yapmal�d�r. [3]

G�venlik ihtiya�lar�, i� yap�lan sekt�rlere ve i� ihtiya�lar�na g�re �er�evelendirilmelidir. Burada tek bir ve/veya �e�itli framework'lerin sentezinden olu�an yap�lar model olarak se�ilebilir. �rnek olarak ISO 27002, ITIL ve PCI'dan olu�an bir karma yap� kullan�labilece�i gibi bunlardan tek tek de faydalan�labilir. �nemli olan nokta, hizmet verilen sekt�r�n g�venlik ihtiya�lar�na gereken cevab� vermek, �irket i�i ve/veya d�� fraud?lar� engellemek, k�sacas� sekt�r�n getirdi�i zay�fl�klar� en aza indirgemektir.

Fiziksel Olarak G�venlik
Fiziksel g�venli�in sa�lanamad�� bir ortamda bilgi g�venli�i y�netim sisyeminin uygulanmas� m�mk�n de�ildir. Bu nedenle �evresel g�venli�i sa�lamas� anlam�nda bentler, bariyerler, �itler, duvarlar, tel �rg�ler vb. engeller, binan�n do�ru yerlerine konumland�r�lmal�d�r. Hi� bir engel ge�ilmez de�ildir. Engeller g�zetim alt�nda tutulmal�d�r.[1][2]

�a�r� Merkezleri, hizmet verdikleri sekt�r�n ve/veya sekt�rlerin ihtiya�lar�na g�re birden fazla m��teriye ve bununla birlikte birden fazla operasyon salonuna sahip olabilir. Bu anlamda operasyon salonlar�n�n g�venli�ini sa�lamak i�in giri�/��k��'lar kontrol alt�na al�nmal� yetkilendirmeler i� ihtiya�lar� do�rultusunda verilmelidir.

Ziyaret�ilerin uymas� gereken kurallar, �al��anlar�n fiziksel ortamlar� kullanmalar�na y�nelik kurallar, yetkilendirmeler vb. gibi konular politika, prosed�r, talimat d�zeyinde tariflenmelidir.

�zellikle vardiya saatleri geceyar�s� olan ve arabas�yla gelmek isteyen personelin arabalar�n� �ektikleri otopark�n g�venli�inin sa�lanmas� da �nemli bir konudur. Otopark�n ana bina i�inde konumland�r�lmas�, bu m�mk�n de�ilse olabildi�ince yak�n bir yerde konumland�r�lmas�, ��kland�rman�n yeterli d�zeyde olmas�, �evresel koruman�n al�nm�� olmas�, kameralarla g�zetlemenin yap�ld�� ve g�venlik g�revlilerin etki sahalar�n�n i�inde olaca�� nlemlerin al�nmas�, personel g�venli�i i�in gereklidir.

�dari Olarak G�venlik
�a�r� merkezlerinde �al��an personelin genelde ya� ortalamas� d��k ve ilk i� deneyimleri oldu�u i�in �al��an sirk�lasyonu fazlad�r. Sekt�rel yeniliklere ayak uydurmak ad�na s�rekli de�i�en organizasyon yap�lar�nda i�ten ��k��lar, i�e giri�ler, yatay ve dikey rotasyonlar �ok fazla olmaktad�r. Bu durumun getirdi�i en b�y�k zay�fl�klardan biri ise yetkilerin ve eri�im haklar�n�n belirli periyotlarda g�zden ge�irilmemesidir. Yatay rotasyonda, �al��an�n �nceki g�revi ile sonraki g�revi aras�ndaki farklar�n g�zden ge�irilmesi, i�e giren personelin yetkilerinin hangi kriterlere g�re belirlenece�i ve de i�ten ayr�lan personelin yetkilerinin(�zellikle uzaktan ba�lant�) pasif hale getirilmesi �nem arz etmektedir. ��lemlerde otomatizasyonun sa�lanmas�, hatalar�n minimal d�zeye indirgenmesi ad�na Kimlik Y�netimi uygulamalar� benimsenmelidir.

Bununla birlikte i�e giren personele, �irketin Bilgi G�venli�i Y�netim Sistemi Politikas�n�n anlat�lmas� ve fark�ndal��n�n �st seviyeye �ekilmesi �nemli bir gerekliliktir. [1][2] Organizasyonun Bilgi G�venli�ine verdi�i �nem, e�itim yoluyla belirli periyotlarda t�m personele verilmelidir. Bilgi G�venli�i, �rg�t k�lt�r� haline getirilmeli, organizasyonel haf�zaya kazand�r�lmal�d�r.

�a�r� merkezleri, m��terilerle birebir temas�n sa�land�� bir platformdur. M��teri memnuniyeti ad�na hemen hemen her t�rl� i�lemin yap�ld�� bu ortamlar, g�venlik anlam�nda b�y�k riskler ta��maktad�r. �a�r� merkezlerinde hizmet veren M��teri Temsilcileri, g�rev ve sorumluluklar� gere�i her t�rl� m��teri bilgisine ula�abilir durumdad�rlar. Bu bilgiler �a�r� Merkezleri'nin hizmet sahas�na g�re de�i�iklik g�sterir ve genel olarak bak�ld��nda; M��teri Ad-Soyad, T.C. Kimlik Numaras�, Adres, Telefon, Anne K�zl�k Soyad�, Banka Hesap Bilgileri, Kredi Kart� Numaras�, Sa�l�k Bilgileri, Adli Bilgiler vb. bilgiler olarak d��n�lebilir.

M��teri temsilcilerinin, m��terileri bilgilerinin oldu�u ekranlara eri�im yetkilerinin olmalar�, bu bilgilerin tamam�n� g�rmeleri anlam�na gelmemelidir. Bilgiler kritiklik derecelerine g�re g�lgelendirilmelidir. �rnek olarak: M��teri Temsilcileri, kendilerini arayan m��terilerin ger�ekten do�u ki�i mi oldu�ununun teyidini, bu verilerin bir k�sm� ile sa�lamaktad�rlar. Gerek bu i�lem, gerekse di�er i�lemlerde, ilgili veri setinin tamam� yerine bir k�sm�n�n(Anne k�zl�k soyad�n�n, do�um tarihinin vb. bilgilerin sadece belirli karakterlerinin) g�z�kmesi hem ki�isel bilgilerin koruma alt�na al�nmas�n� hem de ki�iye gere�inden fazla yetkinin verilmesini �nleyecektir. Bu anlamda M��teri Temsilcilerinin se�iminde ve i�e al�m�nda referans kontrolleri ve temel g�venlik soru�turmalar�n�n yap�lmas� ve ki�inin yetkinli�inin pozisyona g�re do�ru tan�mlanmas� b�y�k �nem ta��maktad�r. Bununla birlikte verilecek hizmetin t�r�ne ve niteli�ine g�re bilgi detaylar� s�n�rland�r�lmal�d�r.

Teknik Olarak G�venlik
M��teri Temsilcilerinin kulland�klar� donan�mlar ve yaz�l�mlar �zerinde risk anlizleri yap�larak, risk ve tehditleri indirgemeye y�nelik kontroller sa�lanmal�d�r. �al��anlar�n PC?lerinde ihtiyaca g�re yetkilendirmeler yap�lmal�d�r. Gizlilik i�eri�i y�ksek olan bilgilerin �irket d��na ��kart�lmamas� i�in bilgisayar donan�mlar�nda k�s�tlamalara gidilmeli, verilen hizmetin kritikli�ine g�re �a�r� merkezi salonlar�na ekran g�r�nt�lerinin, ses kay�tlar�n�n, ortam d�zenlerinin d��ar�ya s�zd�r�lmamas� i�in cep telefonlar�, kamera, foto�raf makinas� vb. medya cihazlar�n�n sokulmas� engellenmelidir.

Risklerin azalt�lmas�na y�nelik al�nacak BT kontrollerinden baz�lar� ise sanal makinalar�n(virtual machines) ve ThinClient(Dummy Terminal) lar�n kullan�lmas�d�r. Ayr�ca internet ve di�er sistemlere eri�im haklar�n�n pozisyonlara g�re d�zenlenmesini sa�layacak, dosya indirme ve protokol bazl� k�s�tlar getirebilecek uygulamalar�n kullan�lmas� da fayda sa�layacakt�r.

�a�r� merkezlerinde kullan�lan donan�m ve yaz�l�mlarda bahsetti�imiz baz� kontrollerin al�nmas�, �al��anlar taraf�ndan kas�tl� olarak yap�lacak giri�imleri %100 engellemeyecektir. Sistemlere yetkisiz olarak yap�lacak eri�imlerin, �al��anlara verilen sistemler �zerindeki yetkilerin k�t�ye kullan�m�na y�nelik giri�imlerin ve t�m bu giri�imler sonucu sa�lanacak maddi menfaatlerin tespit edilmesine y�nelik bir i� kontrol mekanizmas�n�n kurulmas� fayda sa�layacakt�r.

�a�r� Merkezlerinin en kritik sistemleri olarak d��n�lebilecek Santral ve IVR sistemlerinin g�venli�i, hem �a�r� kesintisinin olmamas� a��s�ndan hem de �irket �retimi ve m��teri g�venli�i a��s�ndan �ok fazla �nem arz etmektedir. G�n�m�zde �a�r� merkezlerinin kendilerini co�rafi olarak yedeklemek ve �a�r�lar� internet �zerinden aktarmak i�in kulland�klar� VoIP(Voice over IP) teknolojisi, baz� a��klar� da beraberinde getirmi�tir. Bu ve benzeri a��klar�n engellenmesi, santral sistemlerinin g�venli�inin sa�lanmas� i�in do�ru konfig�rasyonlar�n yap�lmas� ve sistemlerin yamalar�n�n yap�lmas�, al�nmas� gereken kontroller olarak g�ze �arpmaktad�r.

Kurum i�inde g�venlik zay�f�klar�n�n, ihmallerinin ve ihlallerinin bildirilece�i, kay�t alt�na al�naca�� vaka y�netim uygulamalar�n�n kullan�lmas�; genellikle vardiya usul� �al��ma prensibine sahip olan �a�r� merkezleri �al��anlar�n�n g�n�n her saatinde ula�abilecekleri bu yap�lar�n kurgulanmas�, g�venlik olaylar�n�n y�netilebilmesinde ve de bu olaylar�n bir daha olmamas� i�in k�k nedenin belirlenmesi, akabinde ortadan kald�r�lmas� konusunda etkin bir metod olacakt�r. [1][2]

�a�r� merkezleri, genellikle 7/24 esas�na g�re �al��rlar. Bu ko�ullar� yerine getirmek, i�lerin durmamas� ve aksamamas� anlam�na gelmektedir. Bunun i�in operasyonlar�n yedeklenmesi(co�rafi olarak, operasyonlar�n �e�itli lokasyonlara da��t�lmas� �eklinde vb), acil ve felaket durumlar� i�in eylem planlar�n�n olu�turulmas�, yaz�l� hale getirilmesi ve d�zenli aral�klarla test edilmesi gerekmektedir. [1][2]

Sonu�
Farkl� sekt�rlerde faaliyet g�steren �a�r� Merkezleri, �ok k�ritik bilgileri ellerinde bulundurmaktad�rlar. �ncelikle m��teriye de�en her noktada b�y�k �nem ta��yan M��teri Temsilcilerinin g�venli�i sa�lanmal�, eldeki m��teri bilgilerine ihtiyaca g�re ve gerekti�i kadar eri�im sa�latacak g�venlik metodolojileri geli�tirmelidir. M��teriler taraf�ndan �a�r� Merkezi her arand��nda ula��labilmesi i�in eri�ilebilirli�in(availability), m��teri ile ilgili i�lemlerin do�ru bir �ekilde yap�lmas� ve arayan ki�iyle ilgili bilgilerin do�ru olmas� i�in b�t�nl��n(integrity) ve de m��terilerle ilgili ki�isel bilgilerin yetkisiz ki�iler taraf�ndan ula��lamamas� i�in gizlili�in(confidentiality) sa�lanmas� gerekmektedir.

Kaynak�a

[1] ISO/IEC FDIS 27001:2005 (International Standart)
[2] ISO/IEC FDIS 17799:2005 (International Standart)

[3] Managing Security Risks in the Contact Center Business (Bruce Wignal)

Kerem ASLANDA�
Information Security Specialist

Sans Top 25 ve Yazilim Guvenligi

2009-01-28T00:07:00.002+02:00

Sans bu yil yine bir degisiklik ile bizi sasirtti, yazilim guvenliginde programlama sorunlari icin bir rapor hazirlatti. 30'dan fazla uzmanin katkisi ile olusturulan icerik oldukca tatmin edici gorunuyor. Aslina hepimizin bildigi seylerin tekrari gibi gorunsede resmin tamamini tek seferde gorebilmek adina guzel bir calisma olmus.

Calismanin nasil kullanilabilecegi, kimlerin ihtiyac duyacagi ve sikca sorulan sorular gibi bolumler de saptamalari daha guclu hale getirmis. Calisma CWE (Common Weakness Enumeration) uyumlu olarak hazirlanmis, boylece siklikla karsilasilan guvenlik aciklarina verilen dogrudan baglantilar ile detayli bilgiye erismek mumkun. OWASP'in her yil hazirladigi ve guncelledigi listesi ile bolca paralellik iceriyor, ancak aciklar 3 ana bolumde aktarilmis; "Bilesenler Arasi Guvensiz Etkilesim", "Riskli Kaynak Yonetimi" ve "Yetersiz Savunma".

Ne icin kullanilir bolumu ise oldukca hos olmus ;

Daha guvenli yazilim satin alinmasi
Yazilim gelistirme, testler ve denetimlerin kalitesinin arttirilmasi
Universitelere yazilim kalitesi konusunda icerik saglanmasi
Isverenlerin guvenli programlama yapabilen personel aldigindan emin olabilmesi

Cok klasik saptamalar var, yeni seyleri isitip onumuze getirmis gibiler. Ancak bence en onemli nokta, artik yoneticiler ve programlama bilmeyen ama guvenlige onem veren kitleye hitap edebilir hale getirmisler. Boylece siklikla yapilan programlama hatalarini her yerde tekrar etmek, anlatmak ve hatta sormak suretiyle gelistiricilere otonom yetenekler kazandirmak iyi bir dusunce gibi duruyor. Evimizden cikarken kapiyi kilitlerken cok dusunmuyor, boyle olmasi gerekiyor diyor ve kilitliyoruz; biri sorarsa neden kilitledin diye her zamanki sebebimizi ezbere soyluyoruz.

Yazilim gelistiricilerin, yazilim gelistirme sirketlerindeki yoneticilerin ve yazilim gelistirme danismanlarinin sunumlarinda guvenlige ayirdiklari yeri bir nebze olsun arttirir diye umuyorum. Ozellikle universitede boyle bir konuya deginmek, ise alimda sorgulamak ve hatta yazilim kalitesinde guvenligi sorgulamak gercekten cok buyuk ve su an atmakta cok zorlandigimiz adimlar. Kisaca hedef guzel, yol iyi tarif edilmis; hazirlanan girdiler de cok basarili ve kullanilabilir durumda. Hem bir denetmen, danisman ve programci icin hemde teknik yeterliligi olmasa dahi sorumluluklari olan yoneticiler icin.

Sans Top 25
http://www.sans.org/top25errors/

Fatih Ozavci
IT Security Consultant

Bir Acigin Dogru Anlatimi ve Sonuclari

2009-01-27T19:56:00.003+02:00

Bir guvenlik acigi bulundugunda sonucun her zaman o acigi kapatmak olmadigini cok farkli orneklerle yasadim ve gordum. Acigin onceligi, dogru ifadesi, arkasindaki riskin gerceklenmesi ve hatta ureticinin yaklasimi gibi harici konular sureci ciddi bicimde etkiler. Dahili olarak ise sistemin onemi ve gorevi, uzerindeki yazilim/donanimlarin uyumu ve personel yeterliligi gibi sebepler one cikar.

Dun "Full Disclosure" listesine "Kingcope" tarafindan atilan bir e-posta ile Solaris'e ait TCP/IP surum 6'dan kaynaklanan bir acigin oldugunu ogrendik. "Kingcope" tanidik bir isim, Solaris telnet atlatma acigini bulan kisidir. Acik bir duyuru ile degil dogrudan exploit ile atildi, haliyle exploit'in icerigi incelenmesine bagli olarak duyuruya donusturuldu.

Security Tracker duyurusunda "Solaris Bug in Processing IPv6 Packets Lets Remote Users Execute Arbitrary Code", Secunia duyurusunda ise "Sun Solaris IPv6 Denial of Service Vulnerability" ismiyle yerini aldi. Birine gore kabuk kodu calismasina izin veriyor, digerine gore ise servis engelleme saldirisi. Donelim exploit kaynak koduna, gorunen o ki servis engelleme kesin ancak kabuk kodu calistirma ihtimali de mevcut gorunuyor. Security Tracker'da emin olamamis, acigin etkilerinde kod calistirma yerine servis engelleme secilmis durumda.

Acigin tipine bagli olarak sadece zorunlu olduklari yamalari yukleyen sistem yoneticileri icin komut calistirma ve servis engelleme arasinda daglar kadar fark var. Guvenlik denetimlerimde raporladigim komut calistirma aciklarinin bile komut calistirilmadikca kapatilmadigini goruyorum, hatta calistirilmis olmasinin bile duruma yardimci olmadigi cok anim var.

Kisaca servis engelleme turundeki aciklarin yamasini yuklemek icin alinan risk mantikli gelmiyor; kabuk kodu calistirma ise cok daha tehlikeli gorunuyor ve sistemi guvenli hale getirmek icin o yama yukleniyor.

Bu aciga ozel dusununce, guvenlik denetiminde kullandiginiz baglanti veya sonucunda sisteme girmeniz o kadar farkli etkilere sahip ki, sizinle yamayi yukleme konusunda pazarlik eden yoneticiler hemen gozumun onune geliyor. Denetim surecinde bile "Asla ve Katta Servis Engelleme Yapilmayacaktir" denilip sozlesmeye de eklenince siz dusunun hangi ikilemde kaliniyor.

Servis engelleme konusuna ayrica egilmek isterim, mumkunse baska bir yazi da bunun icin yazacagim.

Simdi bu acik onemli bir acikmidir ? Degildir, hergun benzer bir suru acik yayinlaniyor, ama bu acidan bakinca turnasol etkisi yaratti benim icin. Sadece saptanmasi (malum denenmesi asamasinda bile sistem cakilabilir) bile dert iken ustune komut calistirmadikca kapatilmasinin tercih edilmeyecegi gozumun onune geliyor.

Security Tracker - Solaris Bug in Processing IPv6 Packets Lets Remote Users Execute Arbitrary Code
http://www.securitytracker.com/alerts/2009/Jan/1021635.html

Secunia - Sun Solaris IPv6 Denial of Service Vulnerability
http://secunia.com/Advisories/33605/

Orjinal Gonderi
http://lists.grok.org.uk/pipermail/full-disclosure/2009-January/067709.html

Exploit
http://packetstormsecurity.org/0901-exploits/SunOSipv6.c

Fatih Ozavci
IT Security Consultant

Microsoft SQL Server, Uzaktan Komut �al��t�rma A��

2008-12-24T09:58:00.004+02:00

Microsoft 22 Aral�k itibariyle SQL Server s�r�mlerini etkileyen bir g�venlik a�� raporlad�. A��n uzaktan kullan�m� ile sistemde komut �al��t�rmak m�mk�n g�r�n�yor; ancak hen�z yay�nlanm�� bir exploit veya a��n kullan�m y�ntemi mevcut de�il. Bu t�r kritik a��klar i�in exploit haz�rlanma s�reci dikkate al�n�rsa en fazla 1-2 hafta i�inde �al��abilir bir exploit ortaya ��kacakt�r. SQL Server 7 + SP4, SQL Server 2005 + SP3 ve SQL Server 2008 a��ktan etkilenmiyor, di�er s�r�mlerin tamam� a��ktan etkileniyor.

Bu t�r a��klar, veritaban� sunucular�n�n Internet �zerinden eri�ilebilir olmamas� nedeniyle �ok ciddiye al�nm�yor. Ancak �zellikle yerel a�a eri�im sa�layabilir ki�iler taraf�ndan, sunuculara �ok rahat eri�im sa�lanmas� kabul edilebilir olmayacakt�r. �zellikle otomatize yama g�ncellemesinin veritaban� sunucular� i�in kapal� olaca�� dikkate al�nd��nda sorunun ciddiyeti daha rahat anla��labilir. SQL slammer vakas�n� ve etkilerini hat�rlayanlar ne demek istedi�imi daha rahat anlayacakt�r.

D�ZELTME :
�ncelikle �z�r dilerim, exploit g�z�mden ka�m��, a��k ve exploit �nce yay�nlanm��; duyuru arkadan yeti�mi�. A�a��da ba�lant�s� da yer al�yor.

D�ZELTME 2 :
Co�tuk�a co�uyoruz, a��k SQL Injection �zerinden de kullan�labilir durumda. Sunucuya eri�im sa�layarak yetki y�kseltme, VNC DLL Injection, t�nelleme gibi kelimeleri bir arada kullanmak gerekiyor san�r�m.

Microsoft Security Advisory (961040)
Vulnerability in SQL Server Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/961040.mspx

Microsoft SQL Server "sp_replwritetovarbin()" Heap Overflow
http://www.milw0rm.com/exploits/7501

Fatih �zavc�
IT Security Consultant

B�LG� G�VENL�� OLGUNLUK SEV�YES�

2008-12-19T21:46:00.035+02:00

G�R��

Bilgi G�venli�i olgunluk seviyesi, bir firman�n b�t�n �al��anlar�, i�leyi�leri ve varl�klar�yla beraber bilgi g�venli�i konusundaki bilgi ve durumunu belirten seviyedir. Bilgi G�venli�i olgunluk seviyesinin belirlenmesi, �u anki durumu g�z �n�ne alarak ileride ne gibi de�i�iklikler yap�lmas� gerekti�ini planlamam�za yard�mc� olur.

Bilgi G�venli�i Olgunluk Modeli

Bilgi G�venli�i Y�netim Sistemi risk temelli bir y�netim sistemidir. Sistemin temelinde varl�klar�n belirlenmesi, varl�klara y�nelik tehditlerin ve risklerin tespit edilmesi, tespit edilen bu risk ve tehditlerin bertaraf�na y�nelik kontrollerin atanmas� ve nihayet bu kontrollerin �st y�netim taraf�ndan belirlenmi� politikalarla desteklenmesi yatmaktad�r. Belirtilen bu �zet s�re�, daima canl� tutulmal�d�r. ��nk� Bilgi G�venli�i Y�netim Sistemi, bir kere kurulup b�rak�lacak bir sistem de�ildir. PUK� d�ng�s�n� devam ettirecek faaliyetleri firmalar�n ger�ekle�tirmesi gerekmektedir. Bu da firmalar�n kendi seviyelerini tan�mlamas� i�in belirli kriterlere sahip modelleri kullanmas� ve bu seviyelerini periyodik olarak �l�meleri ile m�mk�n olacakt�r.

�ekil 1 [3]

�ekil 1?de BGYS?nin risk komponentinin d�ng�s� g�r�lmektedir. Burada riski artt�ran unsurlar varl��n de�eri, varl��a ait zay�fl�klar ve varl��a y�nelik tehditlerdir. Tehditler, varl��n zay�fl��n� kullan�r. �lgili riski azaltmak i�in kontroller uygulan�lmal�d�r. Bununla beraber uygulanan kontrol/koruman�n etkinli�inin �l��lmesi de gerekmektedir. B�ylece tehdit �nlenmi� ve risk azalt�lm�� olacakt�r. [3][4][5]

Olgunluk modeli bir firman�n bilgi g�venli�i konusunda gelebilece�i olgunluk seviyelerinin derecelendirilmesi ile olu�ur ve firman�n bir alt ad�ma d��memek aksine bir �st ad�ma ��kmak i�in neler yapmas� gerekti�ini g�sterir.

D�nyadaki yay�nlanm�� g�venlikle ilgili olgunluk modelleri Tablo 1?deki gibi tan�mlanm��t�r:

Tablo 1 [1]

�NER�LEN OLGUNLUK MODEL�

�ekil 2 [1]

Bu olgunluk modeli �ekil 2?de g�r�lebilece�i gibi 9 katmana ayr�lm��t�r. Katmanlar -3?ten 5?e y�k�c�, kibirli, engelleyici, ihmal edici, fonksiyonel, teknik, i�emsel, y�netilmi� ve stratejik olarak ayr�lm��t�r. -3?ten 0 a kadar kendi firmas�na maksimum risk unsuru olu�turmu�, bununla birlikte ayn� zamanda d�� firmalar i�inde risk unsuru ta��maktad�r. 1?den 5?e kadar d�� firmalara zarar vermemekle birlikte kendi firmas� i�in de giderek risk unsurlar�n� azaltmaktad�r. [1]

�imdi bu �nerilen olgunluk modelini biraz tan�yal�m:

SEV�YE 5 : STRATEJ�K (STRATEGIC)

Firma PUK� d�ng�s� i�erisinde kendini s�rekli olarak geli�tirmektedir. Belirli Bilgi G�venli�i protokolleri ve i� devaml�l�� planlar� vard�r ve s�rekli e�itimler, denetimler ve uygulamalarla denetlenmektedir. Bilgi g�venli�i firma �al��anlar� taraf�ndan bir a��rl�k olarak de�il i�in olabilirli�ini sa�layan etken olarak g�r�lmektedir. S�re�lerin gizlili�i, b�t�nl�� ve eri�ilebilirli�i garanti alt�na al�nm��t�r. Verimlilik y�kseltilirken riskler d��r�lm��t�r. [1]

K�saca;
- PUK� D�ng�s� tam olarak �al��maktad�r,
- G�venlik Politikalar� do�ru tan�mlanm�� ve �z�msenmi�tir,
- T�m S�re�ler g�venlik perspektifinde de�erlendirilmi�tir,
- BG Fark�ndal�� organizasyonel haf�zadad�r,
- E�itimler aksamadan d�zenli olarak verilmektedir,
- �irketin t�m BG faaliyetleri izlenebilmektedir,
- Riskler belirlenmi�, kontrol alt�na al�nm�� ve y�netilmektedir,
- �� S�reklili�i planlar� haz�rlanm�� ve test edilmi�tir.

SEV�YE 4 : Y�NET�LM�� (MANAGED)

Firma bilgi g�venli�i y�netim sistemini geli�tirmek i�in yeni y�ntemler aramaktad�r. Gerekli oldu�u �l��de bilgi g�venli�ine yat�r�mlar artt�r�lmaktad�r. �zleme s�re�leri iyi bir �ekilde y�r�t�lmektedir.

Bu t�r firmalar bilgi g�venli�i sistemini ger�ekle�tirmi� ama firma k�lt�r� olarak daha yeni oturtmu� firmalard�r. Bilgi g�venli�i e�itimleri haz�rlanm��t�r ve g�ncelle�tirilmektedir.

�� s�reklili�i planlar� yap�lm�� ama tam olarak denenmemi�tir. �evresel fakt�rler izlenmeye ba�lanm��t�r. [1]

K�saca;
- PUK� D�ng�s� hen�z tam olarak �al��mamaktad�r,
- G�venlik Politikalar�n�n hepsi tamamlanmam��, tamamlanmayanlar i�in ise �rnekler ara�t�r�lmaktad�r,
- BG Fark�ndal�� Organizasyonel haf�zaya yeni yeni al�nmakta daha hen�z bir k�lt�r olarak adland�r�lmamaktad�r,
- E�itimler haz�rlanmakta ve g�ncelle�tirilmeleri yap�lmaktad�r,
- �� S�reklili�i planlar� haz�rlanm�� fakat daha test edilmemi�tir.

SEV�YE 3: OPERASYONEL (OPERATIONAL)

Firma bilgi g�venli�i y�netimi i�in prosed�rleri ve politikalar� incelemeye ba�lam��t�r. Bilgi g�venli�i stratejik plan� yap�lm��t�r. Uygunlu�undan ve g�sterilen �zenden dolay� izleme faliyetleri bire bir yap�lmaktad�r. Bilgi g�venli�i yat�r�m plan� yap�lm��, teknik olarak pozisyonlar belirlenmi�tir.

Bu organizasyonlarda k�lt�r olarak bilgi g�venli�inin ve risklerin y�netildi�i umudu vard�r. Bilgi g�venli�i genel olarak BT?nin g�revi olmu�tur. Bilgi g�venli�i e�itimleri ise bire bir y�ntemlerle anlat�lmaktad�r. [1]
�� s�reklili�i planlar� yap�lm�� ama denenmemi�tir.

K�saca;
- PUK� D�ng�s� tasar�m a�amas�ndad�r,
- G�venlik Politikalar� yaz�lmas� planlanm��t�r,
- BG Fark�ndal��n�n artt�r�lma y�ntemleri planlanm��, di�er y�ntemler ara�t�r�lmaktad�r,
- Bilgi G�venli�i genel olarak BT nin sorumlulu�undad�r. Bir �ok �ey teknik olarak d��n�lmektedir.
- �� S�reklili�i planlar� haz�rlanm�� fakat daha test edilmemi�tir.

SEV�YE 2 : TEKN�K (TECHNICAL)
Firma bilgi g�venli�i y�netim sistemini tam olarak belirlememi�tir. Bilgi g�venli�ini kapsayan politikalar yoktur. Bilgi g�venli�i sistemine yat�r�m d��n�lmektedir. Teknik kontroller ve i� g�venlikler olu�turulmu�tur. Bilgi g�venli�i ile ilgili g�revler belirlenmemi�tir. [1]

Bilgi g�venli�i i�leri BT?nin i�leri olarak g�z�kmektedir. BT ise sadece belirli konularda e�itim alm��t�r.
Firma risklerini bilmektedir ve risk y�netimi uygulamaktad�r. Ayn� zamanda d�� firmalar�n riskleri de g�zetilmektedir.

SEV�YE 1 : FONKS�YONEL (FUNCT�ONAL)

Firma bilgi g�venli�i �zerinde hi�bir politika veya prosed�r belirlememi�tir. Sadece �zel bilgiler antivir�s ve firewallarla g�venlik alt�na al�nm��t�r. Firma k�lt�r� i�inde bilgi g�venli�i k�lt�r� yoktur. Ayn� zamanda firma k�lt�r� bilgi g�venli�i k�lt�r�n�n artmas�n� desteklememektedir. Firma bilgi g�venli�ini tamamen BT?nin sorunu olarak g�rmektedir. [1]

Firma risklerini bilmektedir ve risk y�netimi uygulamaktad�r. Ayn� zamanda d�� firmalar�n riskleri de g�zetilmektedir.

SEV�YE 0 : �HMAL ED�C� (NEGLIGENT)
Firma belli ki�ilerin denemelerini engelleyerek k�smen bir koruma sa�lamaktad�r. Genellikle bu t�r firmalar ki�ilerin yapmak istediklerini engelleyerek bilgi g�venli�ini sa�lamaya �al��r. E�er herhangi bir y�ntem veya y�netim belgesinde de�i�iklik olursa, o bilgileri tekrar elde edemezler. [1]

Bu t�r firmalardaki k�lt�r genellikle kan�tlar�n y�netimine dayan�r. Bilgi g�venli�i BT?nin sorumlulu�u olarak g�r�n�r. Firman�n genellikle bir vizyonu ve hedefi yoktur.

Firma sadece kendi g�venli�ini de�il i� yapt�� d�� firmalar�nda g�venli�ini d��n�yor gibi g�r�n�r.

SEV�YE -1 : ENGELLEY�C� (OBSTRUCTIVE)

Bu t�r firmalarda bilgi g�venli�i y�neticiler taraf�ndan engellenmi�tir. Y�netimdeki b�t�n i�ler fazlas�yla formaldir. Firma k�lt�r� tamamen eylemsizlik �zerine kurulmu�tur. Risk y�netimi uygulamas� ve bilgi varl�klar�n�n de�erlendirilmesi bu �ekilde engellenmi� olur. [1] Firmada hi�bir fark�ndal�k ve bilgi g�venli�i e�itimi yada d�k�man� bulunmamaktad�r. ��lerin nas�l yap�ld��na dair d�k�manlar vard�r ve bunlar bire bir uygulanmal�d�r. Aktif kat�l�m engellenmi�tir.

Bu firmalar sadece kendilerine de�il ba�ka firmalara da risk olu�turmaktad�r.

SEV�YE -2 : K�B�RL� (ARROGANT)

Bu t�r firmalar kendilerinin tek ve bilgi g�venli�i sistemlerinin ise tart��mas�z do�ru olduklar�na inan�r. Hi�bir �ekilde iyile�tirme veya de�i�tirme yap�lmas�na izin vermez. [1]

Bu t�r firmalar kendi b�nyelerinde maksimum seviyede riskler bar�nd�rmakta, bununla birlikte di�er firmalara da ciddi anlamda risk unsuru olu�turmaktad�rlar.

SEV�YE -3 : YIKICI (SUBVERSIVE)

Bu t�r firmalar di�er firmalar�n i�lerini yapamamas� i�in aktif olarak yol arayan firmalard�r ve kendi varl�klar�n� da hi� �nemsemezler. Bu firmalar su� �rg�tleri ya da uluslar aras� �ebekeler olabilir. [1]

SONU�

Bug�n�n belirsiz �artlar�nda bilgi g�venli�i �ok �nemli bir rol oynamaktad�r. S�rekli yeni tehditler ortaya ��karken firma kendini s�rekli olarak geli�tirmelidir. Bu modelin amac� firma k�lt�r�n�n bilgi g�venli�i i�in ne kadar �nemli oldu�unu vurgulamaktad�r. [1]

�al��anlar�n Bilgi G�venli�i Politikalar�n� �nemsemeleri ve bu kurallar�n uygulanmas�nda olabildi�ince aktif rol oynamalar�, konunun organizayonel haf�zaya al�nmas� anlam�na gelmektedir. Bu durum, organizasyonel ��renmeyi de Bilgi G�veli�i perspektifinde yapmalar�n� sa�layacakt�r. [2] [3]

Kaynak�a

[1] An ISMS (Im)-Maturity Capability Model ; Woodhouse, S.; Computer and Information Technology Workshops, 2008. CIT Workshops 2008. IEEE 8th International Conference on; Volume , Issue , 8-11 July 2008 Page(s):242 ? 247

[2] ISMS, security standards and security regulations - information security technical report 11 (2006) 26-31

[3] A study on information security management system evaluation?assets, threat and vulnerability - Received 1 October 2003; received in revised form 11 March 2004; accepted 20 March 2004 Available online 28 April 2004

[4] ISO/IEC FDIS 27001:2005 (International Standart)

[5] ISO/IEC FDIS 17799:2005 (International Standart)

Kerem ASLANDA�
Information Security Specialist

Checkpoint Hakk�nda Bir E-Posta, S�ylentiler ve "Root" Exploit

2008-12-12T19:29:00.005+02:00

D�n itibariyle "Full Disclosure" listesine at�lan bir e-posta ile Checkpoint VPN-1'e ait kaynak kodlar�n ele ge�irildi�i, kaynak kod i�inde �ok say�da zaafiyet bulundu�u, �al��an bir "Root" exploit'inin haz�rland�� ve t�m bunlar�n sat�l�k oldu�u duyuruldu. Exploit'in 18190 TCP portu �zerinden smartcenter'a ula�t�� ve SSH i�in bir hesap yaratt�� e-posta i�indeki �rnekte g�r�l�yor.

Checkpoint Firewall'un e�er VPN-1 aktifse g�venilmeyen a�lara (�rn Internet) 18264 (sertifika otoritesi), 264/256 (harita el s�k��mas�) ve 500 (IKE) d��nda bir portu genellikle a��lm�yor. Bu nedenle 18190. porta eri�im b�y�k ihtimal kapal� durumdad�r ve ilk exploiti Internetten kullanmak biraz daha zor olacakt�r, ancak g�venilen bir a�dan a��n kullan�m� m�mk�n olacakt�r. Ancak iddia ciddiye al�n�rsa, kaynak kodun �nemli sorunlar i�erdi�i do�ruysa, Checkpoint'in VPN-1 kararl�l�� i�in zorunlu olarak �al��t�rd�� ok say�da servis a��klardan etkileniyor olabilir; bu durumda bir�ok Checkpoint Firewall'u potansiyel hedef haline getirecektir.

S�ylentiyi ciddiye al�rsak (CVS a�ac�n�n yay�nlanmas� biraz g�vde g�sterisi gibi) Checkpoint Firewall eri�imlerini g�zden ge�irmek ve yama beklemek do�ru olacakt�r.

�lgili Duyuru
Checkpoint Sources plus SPLAT Remote Root Exploit.
http://seclists.org/fulldisclosure/2008/Dec/0344.html

Fatih �zavc�
IT Security Consultant

WPA Nas�l K�r�ld� ?

2008-11-08T09:02:00.002+02:00

Uzun zamandir ozel birkac durum yuzunden yazmaya firsat bulamiyordum, hazir guzel bir konuda gozume carpmis iken paylasayim istedim. Birkac gundur ortalikta WPA/TKIP kablosuz ag dogrulama/kriptolama yontemi icin "kirilmis" ifadeleri geziniyor. Detaylarin PacSec 2008 etkinliginde aciklanacagi belirtilmisti, bugun ise taslak saldiri yontemi yayinlandi. Saldiri yontemi hakkinda kisa bir bilgi aktarimi yapilmis durumda, tahminen bir hafta icinde aircrack-ng'nin web sitesinde olay ile ilgili detayli dokumanlar ve aircrack-ng'ye saldirinin eklenmis halini gorecegiz. Merak edenler icin asagidaki baglantidan yeni kriptografik saldirinin ozeti incelenebilir. Simdilik cozum onerileri ise AES kullaniminin tercih edilmesi ile kisitli durumda, ancak bircok yazilimin (orn. mobil cihazlar) ve erisim noktalarinin boyle bir desteklerinin olmamasi olayin gelecegini daha netlestiriyor. Yeni bir WEP konusu ile karsi karsiya kalmamiz cok yuksek olasilik, bircok kurumun agi rahatca erisilebilir hale gelebilir.

Saldiri Ozet Analizi
http://radajo.blogspot.com/2008/11/wpatkip-chopchop-attack.html

Fatih Ozavci
IT Security Consultant

Beyaz �apka blog ve e-posta listesi

2008-07-21T14:37:00.002+03:00

Bilgi g�venli�i platformu Beyaz �apka'y� sadece bir dergi ve web sitesi olmaktan ��kartmaya �al��yoruz. Ge�ti�imiz aylarda Facebook grubu kurarak abonelerimizin ileti�imini artt�rmaya �al��m��t�k.

Beyaz �apka'n�n blog sitesini ve e-posta listesini haz�rlay�p kullan�ma a�t�k.
http://blog.beyazsapka.org
http://groups.google.com/group/beyazsapka-bilgiguvenligi

Bilgi g�venli�i grubuna oranla blog ve e-posta listesini daha teknik tutmaya �al��aca��z. Bize gelen taleplerin tamam� hizmetlerimizde daha teknik konulara a��rl�k vermemiz y�n�nde. Kat�l�m�n�z� rica ederiz.

Nebula Bili�im �� lan�

2008-07-09T14:04:00.000+03:00

Sat�� ekibimizde g�revlendirmek �zere Nebula'n�n yenilik�i ruhuna uyum sa�layabilecek tak�m arkada�� ar�yoruz.

Sat�� Uzman�
- Bilgi g�venli�i konseptine hakim ve bilgi g�venli�i �r�n sat��nda 3 y�l deneyimli
- �yi derecede �ngilizce bilen
- Nebula'n�n yenilik�i ve giri�imci ruhunu sahiplenebilecek
- S�r�c� belgesine sahip
- Askerlik hizmetini tamamlam�� (Erkek adaylar i�in)
- Pazarlama/PR Faaliyetlerine katk�da bulunabilecek
- Yarat�c� fikirlere sahip

�lgilenenlerin �zge�mi�lerini 18 Temmuz 2008 tarihine kadar taraf�m�za g�ndermelerini rica ederiz.
http://www.nebulabilisim.com.tr/tr/iletisim.aspx

Cisco IOS Rootkit Geli�tiricisi ile R�portaj

2008-05-20T17:55:00.004+03:00

Cisco IOS konusunda ge�mi�te �ok �ey yazd�m ve bir�ok ba�lant�y� aktarmaya �al��t�m. Cisco IOS'un da normal bir i�letim sistemi oldu�u, g�venlik a��klar� oldu�u, kabuk kodu �al��t�rmak ve arka kap� yazman�n m�mk�n oldu�u noktas�nda bir�ok �ey karalad�m. Genellikle bir y�nlendirici veya switch al�nd��nda unutulur, kendi halinde b�rak�l�r ve g�ncelleme yap�lmaz. �� bu g�ncelleme olmamas�n�n yan etkileri bazen tahminlerin �tesine ge�er ve cihaz�n ele ge�irilmesine neden olur.

Ge�ti�imiz g�nlerde DA IOS Rootkit duyurusu yap�ld�, CORE Security'den Sebastian Muniz'un Cisco IOS i�in geli�tirdi�i bir truva at�. A�a��da kendisi ile yap�lan bir r�portaj var, ters m�hendislik ile ilgilenen arkada�lar�n okumas�n� �neririm.

http://eusecwest.com/sebastian-muniz-da-ios-rootkit.html

Kariyer: Labris �nsan Kaynaklar� - SGYG01 / YGT01

2008-04-18T17:31:00.005+03:00

Sistem ve G�venlik Yaz�l�m� Geli�tirme M�hendisi (SGYG01), Yaz�l�m Geli�tirme/Test M�hendisi (YGT01)

�lan Tarihi: 14.04.2008
Yer: Ankara
Personel Say�s�: 3
Ba�vuru: ik2008@labristeknoloji.com

Ankara ODT� Teknokent, Yaz�l�m ARGE ekibi i�inde bulunmak �zere, iki farkl� pozisyon i�in �al��ma arkada�lar� aramaktay�z. Ba�vurular�n ik2008@labristeknoloji.com adresine g�nderilmesini rica ederiz.
(14.04.2008)

Yaz�l�m Geli�tirme/Test M�hendisi (YGT01)

Yaz�l�m Geli�tirme/Test M�hendisi, yaz�l�m geli�tirme, dogrulama ve kalite kontrol alanlar�nda �al��acakt�r. Test planlamas�, otomasyonu, uygulamas� ve bu i�lemler i�in gereken ara�lar�n geli�tirilmesi Yaz�l�m Geli�tirme/Test M�hendisi'nin g�revleri aras�ndad�r.
- C, C++ veya Java dillerinden birine hakim,
- Python, perl, betik dillerinden birine hakim,
- Shell programlama ara�lar�na hakim
- Linux i�letim sistemleri ve GNU programlama ara�lar� ile �al��m��
- Test metodolojileri ve test otomasyonu ilgili ara� ve altyap�lar konusunda bilgili
- TCP/IP ve a� teknolojileri �zerine bilgi sahibi
- Tercihen Yaz�l�m test ve kalite kontrol� konusundaki standartlara hakim
- Tercihen, g�venlik alan�nda birden fazla �r�n� aktif olarak kullanm��
- Teknik �ngilizce'ye hakim
- Yaz�l�m M�hendisili�i metodolojileri ve standartlar� konusunda bilgi sahibi
- H�zl� adapte olabilen, h�zl� ��renebilen
- Tak�m �al��mas�na yatk�n

Sistem ve G�venlik Yaz�l�m� Geli�tirme M�hendisi (SGYG01)

Sistem ve G�venlik Yaz�l�m� Geli�tirme M�hendisi, Labris Teknoloji �r�nlerinin altyap�s�n� olu�turan sistem yaz�l�mlar�n�n tasar�m, geli�tirme ve di�er yazl�mlarla entegrasyonu �zerine �al��acakt�r.

- C, C++ veya Java dillerinden birine ust duzeyde hakim
- UNIX sistem programlama konusunda deneyimli
- UNIX ve t�revi i�letim sistemleri �zerinde sistem y�neticisi seviyesinde uzmanla�m��
- Linux i�letim sistemleri ve GNU programlama ara�lar� ile �al��m��
- Shell programlama ara�lar�na hakim
- Bili�im g�venli�i kavramlar�ni ve temel �r�n tiplerini bilen
- TCP/IP ve a� teknolojileri �zerinde derinlemesine bilgi sahibi
- Tercihen, g�venlik alan�nda birden fazla �r�n� aktif olarak kullanm��
- Tercihen Python, Perl betik dillerine hakim
- Teknik �ngilizce'ye hakim
- Yaz�l�m M�hendisli�i metodolojileri ve standartlar� konusunda bilgi sahibi
- H�zl� adapte olabilen, h�zl� ��renebilen
- Tak�m �al��mas�na yatk�n

Labris Teknoloji Hakk�nda:
Labris Teknoloji kuruldu�u g�nden bu yana, Ar-Ge temelli �retim yapmay� birincil i� �art� olarak belirlemi� bir teknoloji �retim �irketidir.
Temel hedefi, bug�ne kadar ithal edilmek zorunda kal�nan bili�im g�venli�i ve internet sunucu yaz�l�mlar� sekt�r�nde yurtd��na ba��ml�l�� azaltan, kalitesiyle ihra� edilen, tercih edilen �r�nler ortaya ��karmakt�r.

Bu ama�la, T�rkiye'nin �ok b�y�k maddi kaynaklar�n�n yurt d��na ��kmas�na neden olan yaz�l�mlar �ncelikli ARGE alanlar� olarak belirlendi. T�bitak Tideb, Teknoloji Geli�tirme Vakf� ve ODT� Teknokent taraf�ndan desteklenen projelerle 4 y�ld�r yo�un bir ARGE program� i�inde �al��malar�n� s�rd�rmektedir.

2005 y�l� ikinci yar�s�ndan bu yana aktif olarak pazara s�r�lmeye ba�lanan �r�nler, b�t�nle�ik Labris donan�mlar� �zerinde veya yaz�l�m olarak edinilebiliyor. �ok k�sa bir zamanda �nemli referans projelere ve T�rkiye'nin d�rt bir yan�ndan m��terilere sahip olan �r�nler, sekt�rde bulunan onlarca ithal rakipleri aras�nda �zellikleri, performans� ve y�ksek kullan�c� dostu kullan�m� ile �ne ��k�yor.

Bilgi G�venli�i Kap�s� A��ld�

2008-03-31T11:10:00.001+03:00

Bilgi G�venli�i Kap�s� (www.bilgiguvenligi.gov.tr) a��ld�. �u an �ok TUBITAK merkezli g�r�n�yor; ancak en az�ndan bir ba�lang�� yap�ld��n� s�yleyebiliriz. Umuyorum zaman i�inde ba��ms�z ara�t�rmac� ve yazarlara da kap�lar�n� a�arlar (SSS b�l�m�nde kat�l�m�n a��k oldu�u yaz�yor, ancak ne kadar a��k oldu�u g�nderilen yaz�lar�n i�eri�i ile daha belirgin olacakt�r).

MS08-001, Yeni Y�l �akas�

2008-01-11T11:55:00.000+02:00

Microsoft MS08-001 g�venlik duyurusu ile 2008'e g�zel bir giri� yapt�, �ok detay verip heyecan� ka��rmamak gerekiyor. �nce g�venlik duyurusunu ve �zet bilginin yeterlili�ini; daha sonra ise Microsoft �al��anlar�n�n g�nl�klerine yazd�klar�n� detayl�ca okuman�z� �neririm.

Microsoft Security Bulletin MS08-001 ? Critical (Yeni Y�l �akas�, Ne Programc�lar G�rd�m Zaten Yoktular...)
MS08-001 - The case of the Moderate, Important, and Critical network vulnerabilities
MS08-001 (part 2) ? The case of the Moderate ICMP mitigations
MS08-001 (part 3) ? The case of the IGMP network critical

Bu da filmi.....

http://www.zynamics.com/files/ms08001.swf

Fatih Ozavci
IT Security Consultant

Group Policy A��l�rsa, Geriye Ne Kal�r ?

2007-12-03T10:43:00.000+02:00

Bir�ok yerel a� denetiminde �ok say�da g�venlik a��na rastlar�z ve sistem y�neticilerinin genel savunmas� ise biz bunlar� Active Directory �zerinden Group Policy uygulayarak kapat�yoruz olur. Biz her ne kadar d�� dan��manlar, misafirler ve di�er yetkisiz ki�ilerden �rnekler versek de genelde yar� tatmin olurlar. At�fta bulundu�umuz bir�ok �rnek i�in g�zel bir ara� geli�tirilmi�, Group Policy'nin baz� k�s�tlamalar�n�n ge�ersiz olmas�n� sa�l�yor. B�ylece Group Policy uygulanm�� istemciler k�s�tlamalar� a�mak isterlerse bunu kolayca yapabiliyor. Daha �nce bir makalede zaten anlat�lm�� ancak hayata ge�mesinde sorunlar bulunan i�lemi, kolay ve g�sterim ama�l� bir uygulama ile ger�ekle�tirmi�ler. Sistem y�neticilerinin ise ald�klar� g�venlik �nlemlerini yeniden g�zden ge�irmesi, Group Policy'ye g�venerek �nemsemedikleri g�venlik kontrollerinin ne kadar �nemli oldu�unu farketmesi gerekiyor.

Bypassing Group Policy with GPCul8r

Cisco IOS �zerinde TCL Kullan�larak Arka Kap� Olu�turulmas�

2007-11-28T10:24:00.000+02:00

IRM (Information Risk Management) daha �nce Cisco �zerine yapt�� kabuk kodu kullan�m� �al��malar� ile ad�n� duyurmu�tu. �e�itli a� cihazlar�n�n kullanmakta oldu�u g�m�l� i�letim sistemlerinde bulduklar� zaafiyetler ve kullan�m y�ntemleri �zerine makeleler ve ara�t�rmalar yay�nl�yorlar. D�n, Cisco IOS �zerine yapt�klar� yeni bir ara�t�rma i�inde makale yay�nlad�lar. Makalede TCL (Tool Command Language) ile Cisco IOS �zerine Level 15 seviyesinde arka kap� olu�turmak ve do�rulama olmaks�z�n arka kap�ya eri�im sa�lama y�ntemi anlat�l�yor. Ara�t�rmada haz�rlanan TCL beti�inin TFP sunucusu �zerinden y�nlendiriciye aktar�lmas� ve port atamas� yap�larak arka kap� olu�turulmas� TCL betik kodu verilerek detayl� olarak anlat�l�yor. A� y�neticilerinin incelemesi gerekli olan belgeler s�n�f�nda yer ald��n� d��n�yorum.

IRM - Creating Backdoors in Cisco IOS using TCL

�lgili G�nderiler :
Cisco IOS i�in Kabuk Kodlar� Sonunda Haz�rland�
Cisco IOS, Exploitation, Michael Lynn

B�LG� G�VENL���