B�LG� G�VENL��

Beyaz �apka blog ve e-posta listesi

noreply@blogger.com (Serkan AKCAN) — Mon, 21 Jul 2008 11:37:00 +0000

Bilgi g�venli�i platformu Beyaz �apka'y� sadece bir dergi ve web sitesi olmaktan ��kartmaya �al��yoruz. Ge�ti�imiz aylarda Facebook grubu kurarak abonelerimizin ileti�imini artt�rmaya �al��m��t�k.

Beyaz �apka'n�n blog sitesini ve e-posta listesini haz�rlay�p kullan�ma a�t�k.
http://blog.beyazsapka.org
http://groups.google.com/group/beyazsapka-bilgiguvenligi

Bilgi g�venli�i grubuna oranla blog ve e-posta listesini daha teknik tutmaya �al��aca��z. Bize gelen taleplerin tamam� hizmetlerimizde daha teknik konulara a��rl�k vermemiz y�n�nde. Kat�l�m�n�z� rica ederiz.

Nebula Bili�im �� lan�

noreply@blogger.com (Serkan AKCAN) — Wed, 09 Jul 2008 11:04:00 +0000

Sat�� ekibimizde g�revlendirmek �zere Nebula'n�n yenilik�i ruhuna uyum sa�layabilecek tak�m arkada�� ar�yoruz.

Sat�� Uzman�
- Bilgi g�venli�i konseptine hakim ve bilgi g�venli�i �r�n sat��nda 3 y�l deneyimli
- �yi derecede �ngilizce bilen
- Nebula'n�n yenilik�i ve giri�imci ruhunu sahiplenebilecek
- S�r�c� belgesine sahip
- Askerlik hizmetini tamamlam�� (Erkek adaylar i�in)
- Pazarlama/PR Faaliyetlerine katk�da bulunabilecek
- Yarat�c� fikirlere sahip

�lgilenenlerin �zge�mi�lerini 18 Temmuz 2008 tarihine kadar taraf�m�za g�ndermelerini rica ederiz.
http://www.nebulabilisim.com.tr/tr/iletisim.aspx

Cisco IOS Rootkit Geli�tiricisi ile R�portaj

noreply@blogger.com (Fatih Ozavci) — Tue, 20 May 2008 14:55:00 +0000

Cisco IOS konusunda ge�mi�te �ok �ey yazd�m ve bir�ok ba�lant�y� aktarmaya �al��t�m. Cisco IOS'un da normal bir i�letim sistemi oldu�u, g�venlik a��klar� oldu�u, kabuk kodu �al��t�rmak ve arka kap� yazman�n m�mk�n oldu�u noktas�nda bir�ok �ey karalad�m. Genellikle bir y�nlendirici veya switch al�nd��nda unutulur, kendi halinde b�rak�l�r ve g�ncelleme yap�lmaz. �� bu g�ncelleme olmamas�n�n yan etkileri bazen tahminlerin �tesine ge�er ve cihaz�n ele ge�irilmesine neden olur.

Ge�ti�imiz g�nlerde DA IOS Rootkit duyurusu yap�ld�, CORE Security'den Sebastian Muniz'un Cisco IOS i�in geli�tirdi�i bir truva at�. A�a��da kendisi ile yap�lan bir r�portaj var, ters m�hendislik ile ilgilenen arkada�lar�n okumas�n� �neririm.

http://eusecwest.com/sebastian-muniz-da-ios-rootkit.html

Kariyer: Labris �nsan Kaynaklar� - SGYG01 / YGT01

noreply@blogger.com (Fatih Ozavci) — Fri, 18 Apr 2008 14:31:00 +0000

Sistem ve G�venlik Yaz�l�m� Geli�tirme M�hendisi (SGYG01), Yaz�l�m Geli�tirme/Test M�hendisi (YGT01)

�lan Tarihi: 14.04.2008
Yer: Ankara
Personel Say�s�: 3
Ba�vuru: ik2008@labristeknoloji.com

Ankara ODT� Teknokent, Yaz�l�m ARGE ekibi i�inde bulunmak �zere, iki farkl� pozisyon i�in �al��ma arkada�lar� aramaktay�z. Ba�vurular�n ik2008@labristeknoloji.com adresine g�nderilmesini rica ederiz.
(14.04.2008)

Yaz�l�m Geli�tirme/Test M�hendisi (YGT01)

Yaz�l�m Geli�tirme/Test M�hendisi, yaz�l�m geli�tirme, dogrulama ve kalite kontrol alanlar�nda �al��acakt�r. Test planlamas�, otomasyonu, uygulamas� ve bu i�lemler i�in gereken ara�lar�n geli�tirilmesi Yaz�l�m Geli�tirme/Test M�hendisi'nin g�revleri aras�ndad�r.
- C, C++ veya Java dillerinden birine hakim,
- Python, perl, betik dillerinden birine hakim,
- Shell programlama ara�lar�na hakim
- Linux i�letim sistemleri ve GNU programlama ara�lar� ile �al��m��
- Test metodolojileri ve test otomasyonu ilgili ara� ve altyap�lar konusunda bilgili
- TCP/IP ve a� teknolojileri �zerine bilgi sahibi
- Tercihen Yaz�l�m test ve kalite kontrol� konusundaki standartlara hakim
- Tercihen, g�venlik alan�nda birden fazla �r�n� aktif olarak kullanm��
- Teknik �ngilizce'ye hakim
- Yaz�l�m M�hendisili�i metodolojileri ve standartlar� konusunda bilgi sahibi
- H�zl� adapte olabilen, h�zl� ��renebilen
- Tak�m �al��mas�na yatk�n

Sistem ve G�venlik Yaz�l�m� Geli�tirme M�hendisi (SGYG01)

Sistem ve G�venlik Yaz�l�m� Geli�tirme M�hendisi, Labris Teknoloji �r�nlerinin altyap�s�n� olu�turan sistem yaz�l�mlar�n�n tasar�m, geli�tirme ve di�er yazl�mlarla entegrasyonu �zerine �al��acakt�r.

- C, C++ veya Java dillerinden birine ust duzeyde hakim
- UNIX sistem programlama konusunda deneyimli
- UNIX ve t�revi i�letim sistemleri �zerinde sistem y�neticisi seviyesinde uzmanla�m��
- Linux i�letim sistemleri ve GNU programlama ara�lar� ile �al��m��
- Shell programlama ara�lar�na hakim
- Bili�im g�venli�i kavramlar�ni ve temel �r�n tiplerini bilen
- TCP/IP ve a� teknolojileri �zerinde derinlemesine bilgi sahibi
- Tercihen, g�venlik alan�nda birden fazla �r�n� aktif olarak kullanm��
- Tercihen Python, Perl betik dillerine hakim
- Teknik �ngilizce'ye hakim
- Yaz�l�m M�hendisli�i metodolojileri ve standartlar� konusunda bilgi sahibi
- H�zl� adapte olabilen, h�zl� ��renebilen
- Tak�m �al��mas�na yatk�n

Labris Teknoloji Hakk�nda:
Labris Teknoloji kuruldu�u g�nden bu yana, Ar-Ge temelli �retim yapmay� birincil i� �art� olarak belirlemi� bir teknoloji �retim �irketidir.
Temel hedefi, bug�ne kadar ithal edilmek zorunda kal�nan bili�im g�venli�i ve internet sunucu yaz�l�mlar� sekt�r�nde yurtd��na ba��ml�l�� azaltan, kalitesiyle ihra� edilen, tercih edilen �r�nler ortaya ��karmakt�r.

Bu ama�la, T�rkiye'nin �ok b�y�k maddi kaynaklar�n�n yurt d��na ��kmas�na neden olan yaz�l�mlar �ncelikli ARGE alanlar� olarak belirlendi. T�bitak Tideb, Teknoloji Geli�tirme Vakf� ve ODT� Teknokent taraf�ndan desteklenen projelerle 4 y�ld�r yo�un bir ARGE program� i�inde �al��malar�n� s�rd�rmektedir.

2005 y�l� ikinci yar�s�ndan bu yana aktif olarak pazara s�r�lmeye ba�lanan �r�nler, b�t�nle�ik Labris donan�mlar� �zerinde veya yaz�l�m olarak edinilebiliyor. �ok k�sa bir zamanda �nemli referans projelere ve T�rkiye'nin d�rt bir yan�ndan m��terilere sahip olan �r�nler, sekt�rde bulunan onlarca ithal rakipleri aras�nda �zellikleri, performans� ve y�ksek kullan�c� dostu kullan�m� ile �ne ��k�yor.

Bilgi G�venli�i Kap�s� A��ld�

noreply@blogger.com (Fatih Ozavci) — Mon, 31 Mar 2008 08:10:00 +0000

Bilgi G�venli�i Kap�s� (www.bilgiguvenligi.gov.tr) a��ld�. �u an �ok TUBITAK merkezli g�r�n�yor; ancak en az�ndan bir ba�lang�� yap�ld��n� s�yleyebiliriz. Umuyorum zaman i�inde ba��ms�z ara�t�rmac� ve yazarlara da kap�lar�n� a�arlar (SSS b�l�m�nde kat�l�m�n a��k oldu�u yaz�yor, ancak ne kadar a��k oldu�u g�nderilen yaz�lar�n i�eri�i ile daha belirgin olacakt�r).

MS08-001, Yeni Y�l �akas�

noreply@blogger.com (Fatih Ozavci) — Fri, 11 Jan 2008 09:55:00 +0000

Microsoft MS08-001 g�venlik duyurusu ile 2008'e g�zel bir giri� yapt�, �ok detay verip heyecan� ka��rmamak gerekiyor. �nce g�venlik duyurusunu ve �zet bilginin yeterlili�ini; daha sonra ise Microsoft �al��anlar�n�n g�nl�klerine yazd�klar�n� detayl�ca okuman�z� �neririm.

Microsoft Security Bulletin MS08-001 ? Critical (Yeni Y�l �akas�, Ne Programc�lar G�rd�m Zaten Yoktular...)
MS08-001 - The case of the Moderate, Important, and Critical network vulnerabilities
MS08-001 (part 2) ? The case of the Moderate ICMP mitigations
MS08-001 (part 3) ? The case of the IGMP network critical

Bu da filmi.....

http://www.zynamics.com/files/ms08001.swf

Fatih Ozavci
IT Security Consultant

Group Policy A��l�rsa, Geriye Ne Kal�r ?

noreply@blogger.com (Fatih Ozavci) — Mon, 03 Dec 2007 08:43:00 +0000

Bir�ok yerel a� denetiminde �ok say�da g�venlik a��na rastlar�z ve sistem y�neticilerinin genel savunmas� ise biz bunlar� Active Directory �zerinden Group Policy uygulayarak kapat�yoruz olur. Biz her ne kadar d�� dan��manlar, misafirler ve di�er yetkisiz ki�ilerden �rnekler versek de genelde yar� tatmin olurlar. At�fta bulundu�umuz bir�ok �rnek i�in g�zel bir ara� geli�tirilmi�, Group Policy'nin baz� k�s�tlamalar�n�n ge�ersiz olmas�n� sa�l�yor. B�ylece Group Policy uygulanm�� istemciler k�s�tlamalar� a�mak isterlerse bunu kolayca yapabiliyor. Daha �nce bir makalede zaten anlat�lm�� ancak hayata ge�mesinde sorunlar bulunan i�lemi, kolay ve g�sterim ama�l� bir uygulama ile ger�ekle�tirmi�ler. Sistem y�neticilerinin ise ald�klar� g�venlik �nlemlerini yeniden g�zden ge�irmesi, Group Policy'ye g�venerek �nemsemedikleri g�venlik kontrollerinin ne kadar �nemli oldu�unu farketmesi gerekiyor.

Bypassing Group Policy with GPCul8r

Cisco IOS �zerinde TCL Kullan�larak Arka Kap� Olu�turulmas�

noreply@blogger.com (Fatih Ozavci) — Wed, 28 Nov 2007 08:24:00 +0000

IRM (Information Risk Management) daha �nce Cisco �zerine yapt�� kabuk kodu kullan�m� �al��malar� ile ad�n� duyurmu�tu. �e�itli a� cihazlar�n�n kullanmakta oldu�u g�m�l� i�letim sistemlerinde bulduklar� zaafiyetler ve kullan�m y�ntemleri �zerine makeleler ve ara�t�rmalar yay�nl�yorlar. D�n, Cisco IOS �zerine yapt�klar� yeni bir ara�t�rma i�inde makale yay�nlad�lar. Makalede TCL (Tool Command Language) ile Cisco IOS �zerine Level 15 seviyesinde arka kap� olu�turmak ve do�rulama olmaks�z�n arka kap�ya eri�im sa�lama y�ntemi anlat�l�yor. Ara�t�rmada haz�rlanan TCL beti�inin TFP sunucusu �zerinden y�nlendiriciye aktar�lmas� ve port atamas� yap�larak arka kap� olu�turulmas� TCL betik kodu verilerek detayl� olarak anlat�l�yor. A� y�neticilerinin incelemesi gerekli olan belgeler s�n�f�nda yer ald��n� d��n�yorum.

IRM - Creating Backdoors in Cisco IOS using TCL

�lgili G�nderiler :
Cisco IOS i�in Kabuk Kodlar� Sonunda Haz�rland�
Cisco IOS, Exploitation, Michael Lynn

Sans Top 20 - 2007 Yay�nland�

noreply@blogger.com (Fatih Ozavci) — Wed, 28 Nov 2007 08:04:00 +0000

Sans taraf�ndan her y�l yay�nlanan Top 20 (ilk y�llarda Top 10 idi, ah eski g�nler) g�ncellendi. 2007 y�l� i�in haz�rlanan Top 20 - 2007 �nemli de�i�iklikler i�eriyor. Gelenek oldu�u �zere bu y�l da kategorilerde ciddi de�i�imler g�ze �arp�yor, en ciddi fark Sunucu/�stemci ayr�m�na gidilmesi gibi g�r�n�yor. Son y�llarda pop�ler oldu�u �zere g�venlik politikas� ve uygulamalar�n�n eksikli�inden kaynaklanan zaafiyetlerde listede yerini alm��. 2006 y�l�ndan itibaren gelen VoIP'nin 2007 g�ncellemesinde tek ba��na duruyor olmas� bile bir�ok ki�inin g�zard� etti�i VoIP g�venli�inin asl�nda ne kadar �nemli oldu�unu ortaya koyuyor. Web uygulamalar�n�n ba�l�ca bir kategoriye �ekilmi� olmas� da �nemli bir de�i�iklik, daha �nce PHP uygulamalar�ndaki zaafiyetlere odakl� bir yakla��m bulunuyordu. G�n�m�zde �ok say�da dil ile haz�rlanm�� web uygulamas�nda birbirinden farkl� t�rlerde zaafiyetler ortaya ��kmaya ba�lad�. Son durumu g�rmek ad�na incelemenizde fayda var, T�rkiye'deki durum ile k�yaslama yapman�z� ise hi� �nermem. T�rkiye'deki resmi yak�ndan g�ren biri olarak durumun pekte b�yle olmad��n� d��n�yorum, bo� bir vaktimde bu konuda da yazmay� planl�yorum.

GS07-02 RSA Keon Siteleraras� Komut �al��t�rma A��klar�

noreply@blogger.com (Fatih Ozavci) — Wed, 24 Oct 2007 13:20:00 +0000

RSA KEON Registration Authority Web aray�z� �ok say�da siteleraras� komut �al��t�rma t�r�nde g�venlik a�� i�ermektedir. RSA KEON'un Request-spk.xuda ve Add-msie-request.xuda bile�enleri siteleraras� komut �al��t�rma a��klar�ndan etkilenmektedir. Bir sald�rgan, kay�t bilgilerinin yan�lt�lmas�, oltalama ve di�er istemci taraf� sald�r�lar i�in bu g�venlik a��klar�n� kullanabilir.

Risk Seviyesi : Orta

Etki T�r� : Eri�im Sa�lanmas�

Etkilenen Sistemler :

RSA KEON Registration Authority Software

��z�m :

��z�m i�in RSA ile ileti�im kurulmal� ve https://knowledge.rsasecurity.com adresi ziyaret edilmelidir.

G�venlik A��n� Ke�fedenler :

Fatih �zavc� (GamaTEAM �yesi)
�a�lar �ak�c� (GamaTEAM �yesi)
GamaSEC Exploit Framework kullan�larak saptanm��t�r.
GamaSEC.net Bilgi G�venli�i Denetim ve Dan��manl�k Servisleri
(www.gamasec.net)

G�venlik A��n�n Ba�lant�s� :

http://www.gamasec.net/gs07-02.html

Referanslar : CERT - Vulnerability Note VU#342793

Cisco IOS i�in Kabuk Kodlar� Sonunda Haz�rland�...

noreply@blogger.com (Fatih Ozavci) — Mon, 15 Oct 2007 15:09:00 +0000

Daha �nce sizlere Cisco IOS A�� ve Sonucunda Ortaya ��kan Geli�meleri aktarm��t�m. 10 Ekim itibariyle IRM (Information Risk Management) �irketi taraf�ndan, g�venlik ara�t�rmac�lar�n�n 3 adet Cisco kabuk kodu haz�rlad�� a��klamas� geldi ve 3 adet video haz�rlan�p yay�nland�. 1 Bind Shell, 1 Reverse Shell ve 1 Tiny Shell olarak haz�rlanan kabuk kodlar i�in video'lar izlenebilir.

Heyecan� ka��rmamak i�in detay vermek istemiyorum, ama belirtmeden ge�memek laz�m "cisco y�nlendiricinizi en son ne zaman g�ncellediniz ?"

IRM Cisco IOS G�venlik Ara�t�rmas�

Siyah �apka �zerine....

noreply@blogger.com (Fatih Ozavci) — Thu, 04 Oct 2007 10:31:00 +0000

Ge�mi�te www.siyahsapka.com �zerinde �ok say�da belge, sunum ve haber payla��m� sunmaya �al��yordum. Zaman de�i�ti, i�ler de�i�ti ve ben vakit ay�ramad��mdan (biraz da baz� �eylere i�erledi�imden) siteyi kapatt�m. Ancak halen baz� sitelerde bu d�k�manlar�n yay�nlanmakta, sunumlar �e�itli etkinliklerin sayfalar�nda yer almakta ve bazen insanlar benden eski bir belgeyi istemekteler.

Bilgiguvenligi.org g�nl��m�zde g�venlik �zerine karalama yapabiliyorum; ancak takdir edersiniz ki buran�n bir havas� var ve bozmamak laz�m. Di�er yandan benim g�venli�in �zel alanlar�nda yapt�klar�m�, g�venlik d��nda yapt�klar�m� ve baz� ki�isel yorumlar�m� ta��yabilecek bir ki�isel g�nl�k ihtiyac� artt�. Siyah �apka'n�n d�k�manlar�n�n koyulaca�� bir yer ile birle�ince ge�ici ikametgah� http://siyahsapka.blogspot.com olan ki�isel g�nl��m� hayata ge�irdim. G�venlik �zerine halen burada yazaca��m, Mac OS X, a��k kaynakl� yaz�l�mlar, ki�isel yorumlar ve �zel g�venlik i�eriklerini ise ki�isel g�nl��mde payla�aca��m. Baz� d�k�man ve sunumlar�m� �imdiden aktard�m, eski olmalar�na ra�men umar�m birilerinin i�ine yarar.

Fatih Ozavci
IT Security Consultant

Kariyer: Bilgi G�venli�i Dan��man Yrd. ve Denetmen Yrd. @ GamaSEC

noreply@blogger.com (Fatih Ozavci) — Mon, 20 Aug 2007 14:43:00 +0000

Bilgi G�venli�i Dan��man Yard�mc�s�

Bilgi G�venli�i Denetim ve Dan��manl�k Projelerinde Rol Alacak,
4 y�ll�k bir �niversite b�l�m�nden mezun,
Bilgi G�venli�i konusunda en az 2 y�l tecr�beli,
Askerli�ini tamamlam��,
Profesyonel sunum becerilerine sahip,
�leti�im ve insan ili�kilerinde g��l�,
�leri derecede �ngilizce yazma, okuma, konu�ma bilgisine sahip,
Sorumluluk alabilecek ve tak�m �al��mas�na yatk�n,
Esnek �al��ma saatlerine uyum sa�layabilecek,
A�a��daki teknik yeterliliklere sahip bir �al��ma arkada�� ar�yoruz.

Bilgi G�venli�i Standartlar� Konusunda Bilgi Sahibi
*BSD/Linux/Solaris ��letim Sistemleri ve A� Servisleri Uzmanl��
Windows ��letim Sistemi Ailesi ve A� Servisleri Uzmanl��
TCP/IP, A� Altyap�lar�, A� Cihazlar� ve A� Protokolleri Uzmanl��
G�venlik Teknolojileri Uzmanl��

Bilgi G�venli�i Denetmen Yard�mc�s�

Bilgi G�venli�i Denetim Projelerinde Rol Alacak,
Bilgi G�venli�i konusunda kariyer hedefleyen,
Askerlik ile en az 24 ay ili�kisi olmayan,
Profesyonel sunum becerilerine sahip,
�leti�im ve insan ili�kilerinde g��l�,
�leri derecede �ngilizce yazma, okuma, konu�ma bilgisine sahip,
Sorumluluk alabilecek ve tak�m �al��mas�na yatk�n,
Esnek �al��ma saatlerine uyum sa�layabilecek,
A�a��daki teknik yeterliliklere sahip bir �al��ma arkada�� ar�yoruz.

*BSD/Linux/Solaris ��letim Sistemleri ve A� Servisleri Uzmanl��
Windows ��letim Sistemi Ailesi ve A� Servisleri Uzmanl��
TCP/IP, A� Altyap�lar�, A� Cihazlar� ve A� Protokolleri Uzmanl��
G�venlik Teknolojileri Uzmanl��
Java/Ruby/Python/Perl/(PHP/ASP) dillerinden en az 2 tanesi ile aktif yaz�l�m geli�tirme

�lgili pozisyonlara ba�vurmak isteyen adaylar, kariyer (at) gamasec (nokta) net adresine �zge�mi�lerini g�nderebilirler.

Bilgi G�venli�inde Yeni Bir Yakla��m, G�venilir Bili�im (Trusted Computing) -1

noreply@blogger.com (Baran Erdo�an) — Tue, 07 Aug 2007 13:29:00 +0000

G�nl�k hayatta say�sal veri platformlar�n�n kullan�m yerleri ve say�lar� artt�k�a bu platformlarda ta��nan de�erli verilerin g�venli�ini sa�lamak da �nemli bir sorun haline geldi. Artan teknoloji ve kullan�m yo�unlu�u ile birlikte g�nl�k hayat�n her yerinde bilgi i�leme kabiliyetine sahip say�sal platformlar yer almaya ba�lad�(Bunlara genel olarak Bili�im Platformu ad�n� vererek bu yaz�da de�inece�im). Bili�im platformlar� ki�isel bilgisayarlardan kurumsal sunumculara, cep telefonlar�ndan MP3 �alarlara, ATM makinalar�ndan kiosklara kadar �ok geni� kapsamda d��n�lebilir.

Bili�im platformlar�nda G�venli olma kavram� bir �r�n�n size g�venli�i sa�lay�p sa�lamamas� ile ilgili olan bir "�zellik" olarak d��n�lebilir. "G�venlik" �r�n�n niteli�i ile ilgilidir, �r�n�n kalitesi hakk�nda herhangibir taahh�tte bulunmaz. Sat�n ald��n�z g�venlik yaz�l�m� veya donan�m� size belirli bir g�venli�i sa�lar.

G�n�m�ze kadar olan yakla��mlar�n tamam� bili�im platformlar�n� "G�venli", ba�ka bir deyi�le "Secure" hale getirmek ile ilgiliydi. �rne�in ki�isel bilgisayar�n�zda g�venerek kulland��n�z herhangibir yaz�l�m k�t� niyetli bir sald�r�dan ya da yaz�l�m�n �al��r kodlar�nda zaman i�inde olabilecek bozulmalardan dolay� yapmas� beklenen i�levi ger�ekle�tirmeyebilir. Veya yapmas� gerekti�i i�e devam ederken yapmas�n� ama�lad��n�z i�ten ba�ka, zararl� i�levler ger�ekle�tirecek �ekilde de�i�tirilebilir. Bu durumu nas�l anlayabilirsiniz ve engelleyebilirsiniz? Bir�ok ki�inin ilk akl�na gelen bu durumda g�venli�i sa�layan i�levsel kod par�alar�n de�i�ime kar�� korunmas� i�in b�t�nl�k kontrol�n�n yap�lmas�d�r. Bu durumda b�t�nl�k kontrol� yapan mekanizman�n do�rulu�unu kim denetlemeli? Bu kadar ��phecilikten sonra sonra akla Juvenal in �nl� s�z� geliyor ,"Quis custodiet ipsos custodes", bek�ileri kim bekleyecek?

��te bu sorunlar�n tamam�n�n ��z�m� G�venilir Sistemler(Trusted Sytems) teorisine g�re yakla��m de�i�iminden ge�iyor. G�venilir Bili�im(Trusted Computing) birsonraki nesil g�venlik altyap�s� ile bu yakla��m de�i�iminin �r�n� olan teknolojinin ger�eklenmesini sa�l�yor. Bu altyap�n�n amac� bili�im platformlar�n�, �nce, G�venilir Bili�im altyap�s�n� kullanarak "G�venilir"(Trusted) hale getirmek, sonra da g�venlik yaz�l�m veya donan�mlar�n� kullanarak "G�venli"(Secure) hale getirmek.

Bili�im platformlar�nda "G�venilirlik" �u �ekilde tan�mlanmakta:
E�er bir yaz�l�m veya donan�m sadece tasarland�� ama�la ve �al��mas� gerekti�i gibi �al��yorsa g�venilirdir.

Ama� g�venlik olursa bunu sa�lamak ayr� ayr� bile�enleri g�venli hale getirerek ba�ar�lmaya �al��l�yor. Ama� g�venilirlik olursa, bili�im platformunun her katman�nda �al��an yaz�l�m ve/veya donan�m�n g�venilirli�i s�z konusu.

G�venilir Bili�im in �ng�rd�� "G�venilirlik" katmanlar halinde ger�ekleniyor. Bunun sebebi ise sistemin tamam�n�n ayn� anda g�venilir yap�lmas�ndan ise katmanlar halinde g�venilirli�in sa�lanmas�n�n daha kolay ve ucuz bir y�ntem olmas�.

B�t�n bu kavramsal karga�an�n bilgi teknolojilerinde ger�eklenmesi IBM, HP, Microsoft, Intel, AMD ve SUN Microsystems in �nc�ll��n� yaparak olu�turdu�u ve �u anda 150 ye yak�n �yesi bulunan G�venilir Bili�im Grubu(Trusted Computing Group) un �al��malar�yla g�n�m�zde ger�ekle�ti. �lk ba�ta Trusted Computing Platform Alliance ismiyle �al��maya ba�layan bu gurup daha sonra ad�n� de�i�tirerek ve geni�leyerek yeni nesil bili�im bilgi g�venli�i standartlar�n� belirlemek �zere �al��ma alan�n� da mobil platformlar, sunucular, veri depolama cihazlar�, a� eri�im kontrolleri olarak �zelle�tirdi.

G�venilir Bili�im teknolojisinin kalbindeki ��e ise G�venilir Bili�im Mod�l�(Trusted Platform Module) ad� verilen kriptografik bir entegre. G�venilir Bili�im Mod�l�(Trusted Platform Module,TPM) �st�nde b�t�nl�k kontrol�(SHA-1) , asimetrik �ifreleme(RSA) gibi temel kriptografik i�lemler yapabilen donan�msal k�s�mlar bulunmakta. B�t�nl�k �l��m sonu�lar� 24 adet(TCG V1.2 Spec) Platform Konfig�rasyon Register(PCR) �na depolanmakta. B�t�n TPM i�lemleri ise entegrenin i�ine g�m�l� olan TPM Firmware i ile d��ar�daki yaz�l�mlar�n TPM e komut yollayarak anla�mas� ile sa�lan�yor. TPM kar��t�rmaya kar�� dayan�kl�(Tamper Proof) olarak tasarland� B�ylece TPM e kar�� yap�lacak fiziksel sald�r�lara ka�� da belirli seviyede bir g�venlik seviyesine eri�ildi. Bu entgrenin en �nemli �zelli�i ise olduk�a ucuz ve eri�ilebilir olmas�. B�ylece kurumsal kullan�c�lara ek olarak pahal� kripto co-processor lara eri�me imkan� bulunmayan ev kullan�c�lar� da donan�m tabanl� g�venilirlik ve g�venli�i elde edebilir hale geldi.

G�venilir Bili�im platformlar�nda "G�venilirlik" iki temel ��e ile sa�lanmakta; G�ven K�keni(Root of Trust) ve Ge�i�ken G�ven Prensibi(Transitive Trust). G�ven K�keni, G�venilir Platform Mod�l�(Trusted Platform Module,TPM) taraf�ndan olu�turuluyor. TPM, gerekli b�t�nl�k �l��mlerini yap�p, depolay�p, istendi�inde g�venilir bi�imde raporlamakla sorumlu. Ge�i�ken g�ven prensibinin uygulanmas� ise ��yle a��klan�yor. E�er PC mimarisini d��n�rsek ilk olarak TPM, BIOS kodunun b�t�nl��n� kontrol eder ve sonucu PCR lara yazar. Daha sonra ise kontrol� BIOS koduna ge�irir. BIOS kodu kendinden birsonraki katmanda �al��acak olan Boot Loader kodunun b�t�nl��n� kontrol eder ve sonucu PCR lara yazar. Bu i�lem, i�letim sistemine kadar t�m katmanlarda devam eder. Sonu� olarak PC de �al��an t�m yaz�l�m katmanlar� TPM taraf�ndan �l��lm�� ve �l��m sonu�lar� PCR lara kaydedilmi� olur.Her katman birsonraki katman� �l�erek ve do�rulayarak t�m platformun g�venilirli�inden emin olur. Bu �l��mler gerekti�inde TPM den istenerek bili�im platformunun g�venilirlik durumunu de�erlendirmek i�in kullan�l�r.

G�venilir Bili�im altyap�s�n� d��n�rsek ilk �nce �u ayr�m� yapmal�y�z. G�venilir bili�im elemanlar� "G�venlik"i sa�lamaz. Sadece g�venilir olmas� gereken yaz�l�m�n sizin g�vendi�iniz konfig�rasyonda olup olmad��n� TPM tabanl� G�venilir Bili�im altyap�s�n� kullanarak size bildirir. Bunun sonucu olarak yaz�l�m� kullan�p kullanmamaya devam edip etmemek kullan�c�n�n veya g�venlik yaz�l�m�n�n sorumlulu�undad�r. Emin olaca��n�z �ey �udur, TPM in size bildirdi�i �l��mler do�ru ve g�venilirdir.

TPM in di�er bir �zelli�i ise platform konfig�rasyonuna(PCR de�erlerine) ba�l� olarak g�venli ve g�venilir veri saklama yap�labilmesi. E�er platform daha �nceden belirlenmi� g�venilir bir konfig�rasyonda ise TPM taraf�ndan korunan veriye ula�mak m�mk�n. B�ylece firmalar veya ki�iler hassas bilgilerini platformda bulunan yaz�l�m konfig�rasyonlar�na ba�l� hale getirerek herhangibir tehlike(kaybetme, �al�nma vs.) halinde TPM taraf�ndan korunan verilerinin a��lmamas�n� donan�msal olarak sa�layabiliyorlar. Sadece zaman ve para a��s�ndan olduk�a maliyetli ve her yerde ger�ekle�tirilemeyecek olan fiziksel analiz y�ntemleri kullan�larak TPM k�r�labilirse kullan�c�n�n verisine eri�ilmesi olas�.

Olduk�a d��k maliyetli fakat etkili olan G�venilir Bili�im altyap�s� kullan�c�lar ve firmalar a��s�ndan y�ksek g�venlik seviyesini herkesin eri�ebilece�i bir fiyata sunmay� ama�lamakta. Bu ��z�mlerin yayg�nla�mas� bu alandaki altyap� geli�tirmelerinin tamamlanmas� ve uygulamalar�n artmas� ile daha da h�zlanacak gibi g�r�n�yor. �u anda elinizdeki PC veya laptopta bile etkinle�tirilmemi� bir TPM olabilir. �leride bu TPM i kullanmak i�in gerekli yaz�l�mlar veya g�ncellemeler geldik�e bir�ok ki�inin bu teknolojiden faydalanmas� m�mk�n.

Burada sadece buzda��n�n g�r�nen y�z�ne de�indim. �leride buzda��n�n geri kalan k�sm�n�, G�venilir Bili�im in hayat�m�zda alabilece�i yerleri ve etkilerini a��klayaca��m.

Referanslar:

http://www.trustedcomputing.org/

BDDK : Basel II Uyumlulu�u 2009 Ba��na Ertelendi

noreply@blogger.com (Fatih Ozavci) — Tue, 24 Jul 2007 11:41:00 +0000

BDDK, Basel II uyumluluk �al��malar�n�, AB uyumluluk s�re�leri ve AB �lkelerinden bir�o�unda ilgili s�re�lerin tamamlanmamas� nedeniyle 2009 ba��na erteledi.

BDDK : Basel II ile ilgili Bas�n A��klamas�

Belge Sahtecili�ine Kar�� Floresan Yazi Teknolojisi - 19.07.2007 H�rriyet

noreply@blogger.com (Altu� Yava�) — Sat, 21 Jul 2007 11:26:00 +0000

Yeni gelistirilen ?floresan yaz�? teknolojisi, banknotlar �zerinde kalpazanlara kar�� al�nan g�venlik �nlemlerinin benzerlerinin, belge sahtecili�ini �nlemek �zere her t�rl� evrak ve dok�man �zerinde kolayca uygulanabilmesini sa�layacak.Yap�lan yaz�l� a��klamaya g�re firma, belge ve dok�man sahtecili�ine kar�� cayd�r�c� nitelikte yeni bir teknoloji geli�tirdi.Firma, banknot, �ek gibi de�erli ka��tlar�n bask�s�nda ihtiya� duyulan floresan m�rekkebini kullanmadan, gene ultraviyole ��k alt�nda g�r�nebilecek gizli harf, rakam ve simgelerin bas�lmas�n� sa�layan ?floresan yaz�? ad� verilen bir bulu� ger�ekle�tirdi.Bu bulu�la art�k diploma, rapor, banka �eki, kimlik kartlar� gibi belgeler, ka��t paralarda bulunan y�ksek g�venlik standartlar�yla, dijital yaz�c�larda bas�labilecek.

G�ZLE G�R�LMEYEN G�VENL�K KODLAMALARI

Firmanin patentini ald�� teknoloji, firmanin Ke�if ve Teknoloji Grubu'ndan Reiner Eschbach taraf�ndan geli�tirildi. ?Floresan yaz�? teknolojisi, �nemli belge ve dok�manlar�n g�zle g�r�lemeyen yaz�, i�aret veya kodlamalarla bas�lmas�n� sa�larken, b�ylece, ultraviyole ��kta g�r�lebilen �nceden belirlenen ki�i veya kuruma �zel simge ve kodlamalara bak�larak, o belgenin sahte olup olmad�� kolayl�kla tespit edilebildi�i kaydedildi.Firmada calisan bilim adamlar�, mevcut tonerlerle ka��t �zerinde g�zle g�r�lemeyen kodlamalar yap�l�p yap�lamayaca��n� ortaya ��karmak i�in bu ara�t�rmaya ba�lad� ve ara�t�rmalar� esnas�nda, ka��t �reticilerinin ka��d�n daha beyaz g�r�nmesi i�in �zerine parlat�c� floresan bile�ikler yerle�tirdiklerini ��rendiler.Reiner Eschbach ve �al��ma arkada�lar�, ka��t �zerinde bulunan floresan par�alar�n�n i�ine gizli g�venlik simgeleri yerle�tirebileceklerini d��nerek, ultraviyole ��a tutuldu�unda ka��d�n floresan k�s�mlar�n�n ortaya ��kmas�n� sa�layan kuru toner kombinasyonlar� ke�fetti. Ke�fedilen bu �zel toner kombinasyonu ile, floresan harfler ve rakamlar yazmak i�in kontrastl�� kullanan ve sadece ultraviyole ��kta g�r�lebilen bir yaz� teknolojisi geli�tirilmi� oldu.Halihaz�rda para ve banka �eki gibi g�venlik �nlemli ka��tlar, floresan m�rekkep kullan�larak, pahal� ve mevcut bask�n�n �zerine ekstra bir ka� i�lem yapmay� gerektiren, zahmetli bir operasyonla bas�labiliyor. Firmanin floresan yaz� bulu�u, �zel bir m�rekkep veya toner kullanmadan, ekstra i�lemler yapmadan, �nemli belge ve dok�manlar�n g�zle g�r�lemeyen g�venlik kodlamalar�yla birlikte bas�lmas�n� sa�l�yor.

BULU�, SAHTE BELGELER�N BASILMASINI ZORLA�TIRACAK

A��klamada, bulu�u ile ilgili de�erlendirmede bulunan Reiner Eschbach, ?Geli�tirdi�imiz teknolojide insanlar� �a�k�nl��a u�ratan en �nemli �eyin floresan m�rekkep kullanmadan, dijital bir yaz�c�n�n floresan yaz� basmas�n� ger�ekle�tirmek oldu. Bunun anlam� d�rt renkli dijital yaz�c�larla, dok�manlar�n ki�iye ve kuruma �zel floresan tan�mlamalarla e� zamanl� bas�labilecek olmas�d�r? dedi. Firmanin bu bulu�u, �zellikle �irket rapor ve belgelerinin, finans kurulu�lar�, kamu kurumlar�, okullar ve �niversiteler taraf�ndan verilen de�erli ka��t ve belgelerin sahtelerinin bas�lmas�n� daha da zorla�t�rmas� a��s�ndan �nem ta��yor.Firmanin geli�tirmi� oldu�u floresan bask� teknolojisi, �ncelikle kurumsal kullan�ma y�nelik y�ksek kapasiteli renkli dijital bask� sistemleri �zerinde �al��acak ve teknoloji firmanin urettigi renkli bask� cihazlar�nda da kullan�labilecek.

Bilgi G�venli�inde Vizyon

noreply@blogger.com (Serkan AKCAN) — Wed, 18 Jul 2007 16:41:00 +0000

��phesiz vizyon sahibi ki�iler ve kurumlar�n ba�alar�ya ula�ma ihtimalleri di�erlerine g�re daha y�ksektir. Ancak vizyon tan�m� farkl� mecralarda farkl� anlamlar ta��yabiliyor. �rne�in �niversitelerin i�letme derslerinin �o�unda vizyonun bireysel bir g�r�� b�t�n� oldu�u, �irketlerin ya da organizasyonlar�n vizyonu olamayaca�� s�ylenir. Oysa i� dan��manlar� Kurumsal Vizyon geli�tirme hizmetleri vermektedir. Kurumsal dan��manlar vizyonu genelde ikiye ay�r�r: �imdiki vizyon ve gelecek vizyonu.

Ben en iyisi vizyon sahibi kavram� �zerinde duray�m, kavram�n da T�rk Dil Kurumu s�zl��nde nas�l ge�ti�ini yazay�m.

Vizyon Sahibi: Geni� g�r��l�, ileri g�r��l�, ufku geni� kimse.

Vizyon ile bilgi g�venli�i aras�ndaki ba�lant�y� 3 temel ad�mda ortaya koyabiliriz.
........

Yaz�n�n tamam�n� pdf dosyas�nda bulabilirsiniz.
Beyaz �apka dergisi, �ubat 2007 say�s�ndan al�nt�d�r (http://www.beyazsapka.org)
BilgiGuvenligindeVizyon.pdf

Kariyer Noktas� �nsan Kaynaklar� ve Dan��manl�k - Network ve g�venlik M�hendisi(Ref:KN-NY-02)

noreply@blogger.com (Altu� Yava�) — Mon, 16 Jul 2007 10:00:00 +0000

www.kariyer.net

�lan Tarihi: 10.07.2007
�ehir/�lke: �stanbul
Personel Say�s�: 1

Genel Nitelikler:

�niversitelerin ilgili b�l�mlerinden mezun,
IP Networking konusunda minimum 2 y�l deneyimli, Firewall, IDS/IPS sistemlerinde konusunda minimum 2 y�l deneyimli,Switch, router ve load balancing sistemler konusunda minimum 2 y�l deneyimli,Linux, Windows 2000/2003 isletim sistemi �zerinde y�netici seviyesinde deneyimli, Tercihen bir Internet Servis Sa�lay�c�'da �al��m��,
Planl� �al��ma ve analiz yetene�ine sahip, Kendini geli�tirmeye ve yeniliklere a��k,Erkek adaylar i�in askerli�ini tamamlam��

�� Tan�m�:
Dan��manl��n� yapmakta oldu�umuz �nternet Teknolojileri firmas� b�nyesinde *Bilgi G�venli�i Uzman�* olarak g�revlendirilmek �zere

Veripark - A� ve S�STEM Y�NET�C�S� (Ref:SY-01)

noreply@blogger.com (Altu� Yava�) — Mon, 16 Jul 2007 09:56:00 +0000

www.kariyer.net
�lan Tarihi: 13.07.2007
�ehir/�lke: �stanbul
Personel Say�s�: 1

Genel Nitelikler:

TCP/IP-DHCP,DNS, FTP, TELNET, SMTP, HTTP, PROXY ve benzeri protokoller hakk�nda bilgili,
Windows ve Linux i�letim sistemleri konusunda deneyimli,
A� Y�netim kavramlar� konusunda bilgili(Firewall, Antivirus, NAT, VPN, IDS, Certificate, Filtering vb),
�e�itli veri tabanlar� (Oracle, SQL, DB2) kurulumu ve operasyonu konular�nda bilgili,
Uygulama sunucu (IBM Websphere, BEA, vb) kurulumlar� ve konfig�rasyonlar� konusunda bilgili,
Konfig�rasyon, y�netim, bak�m, yaz�l�m g�ncellemeleri, service pack/patch vb. g�ncellemelerinin yap�lmas� konusunda 3 y�l�n �zerinde deneyim sahibi,
Cluster, web teknolojileri ve entegrasyon teknolojileri ile daha �nce �al��m��,
Ekip olu�turmu� ve en az 4 ki�ilik bir ekibi y�netmi�,
3 y�ll�k y�neticilik deneyimi olan,
ITIL ve COBIT standartlar� konusunda bilgili,
G�venlik politikalar� ve standartlar� konusunda y�netmelikler haz�rlam�� ve uygulam��
�yi derecede ingilizce bilen,
�niversitelerin Bilgisayar M�hendisli�i, Elektronik ve di�er m�hendislik fak�ltelerini Lisans veya Lisans �st� seviyesinde tamamlam��,
Delegasyon ve organizasyon yetene�i kuvvetli,
Askerlik ile ilgili sorunu bulunmayan (Erkek adaylar i�in)

�� Tan�m�:
Hem VeriPark, hem de m��terileri i�in sistem projelerini ve ekibini y�netecek bir tak�m arkada�� ar�yoruz.

Mynet - Network ve g�venlik M�hendisi(Ref:NET01)

noreply@blogger.com (Altu� Yava�) — Mon, 16 Jul 2007 09:54:00 +0000

www.kariyer.net
�lan Tarihi: 16.07.2007
�ehir/�lke: �stanbul
Personel Say�s�: 1

Genel Nitelikler:
IP Networking konusunda minimum 2 y�l deneyimli, Firewall, IDS/IPS sistemlerinde konusunda minimum 2 y�l deneyimli,Switch, router ve load balancing sistemler konusunda minimum 2 y�l deneyimli,Linux, Windows 2000/2003 isletim sistemi �zerinde y�netici seviyesinde deneyimli, Tercihen bir Internet Servis Sa�lay�c�'da �al��m��,Erkek adaylar i�in askerli�ini tamamlam��.

Bili�im su�lar� y�zde 600 artt� - Milliyet

noreply@blogger.com (Altu� Yava�) — Mon, 16 Jul 2007 09:37:00 +0000

Avukat Vildan Yirmibe�o�lu, sadece �stanbul'da son 1.5 y�lda bine yak�n daval�k bili�im su�u i�lendi�ini bildirdi. Yirmibe�o�lu, "�stanbul Valisi G�ler de internet ma�duru" dedi
G�LAY FIRAT �stanbul�stanbul Valili�i �nsan Haklar� Masas� Ba�kan� Avukat Vildan Yirmibe�o�lu, bili�im su�lar�yla ilgili olarak "Asayi� �ube M�d�rl�� AR-GE Bilgi ��lem B�ro Amirli�i �nternet ve Bili�im Su�lar�" birimine yans�yan 2006 - 2007 y�l� vakalar�n� ara�t�rd�.Sadece �stanbul'da son 1.5 y�lda bine yak�n daval�k bili�im su�u kayd�na ula�an Yirmibe�o�lu, "Bu buzda��n�n g�r�nen k�sm�. Durum ciddi. 2007'nin sadece ilk 5 ay�nda bile bir �nceki y�la g�re y�zde 600 art�� var" dedi."�nternet ve Bili�im Su�lar�" birimine kuruldu�u 2006'n�n �ubat ay�ndan 2007 y�l�na kadar dava konusu da olan 341 vaka yans�d�. Yirmibe�o�lu �unlar� s�yledi:"1 Ocak-25 May�s 2007 aras�nda ise 452 daval�k bili�im su�u i�lenmi�. Son 2 ayda 155 bili�im su�u daha ya�anm��. 2007'nin ilk yedi ay�nda 607 bili�im su�u i�lenip daval�k olmu�. Ge�en y�l�n rakamlar�yla bu 948 bili�im su�u demek."
Valiye tehdit e-postas�T�rk Ceza Kanunu'nda bili�im su�lar�n�n 1-7.5 y�l aras�nda hapis cezas� oldu�unu hat�rlatan Yirmibe�o�lu, "Her kesimden internet ma�duru var. Mesela, bir albay�n kar�s�, foto�raf�n�n izinsiz olarak arkada�l�k sitesine g�nderildi�ini, bunun hem kendisini hem de e�ini zor duruma d��rd��n� belirtmi�. Ya da 15 kadar kad�nla chat yaparak g�venini kazand�ktan sonra, bulu�up i�kisine ila� atarak onlar� soyan bir h�rs�z var. �nternette kimi zaman valili�imiz de hedef oluyor. Mesela bir futbol tak�m�n�n taraftarlar�ndan, Vali Muammer G�ler'e �l Spor Kurulu'nun baz� kararlar� nedeniyle, 29 adet e-mail yoluyla hakaret geldi, dava a��ld�" diye konu�tu.

Bir Yama Ne Kadar S�rede Geli�tirilir ?

noreply@blogger.com (Fatih Ozavci) — Fri, 13 Jul 2007 13:54:00 +0000

Daha �nce bulmu� oldu�umuz sald�r� tespit ve �nleme sistemlerinin atlat�lmas�na imkan veren g�venlik a�� hakk�nda "Bir G�venlik A��n�n Yay�nlanmas�" ba�l�kl� bir makale yazm��t�m. Yama geli�tirme s�recinin zorluklar�na da biraz de�inmi� ve halen a��m�z�n baz� �r�nler i�in yamalanmam�� oldu�una dikkat �ekmi�tim.

Bug�n 3Com TippingPoint IPS �zerinde bulunan ve yamalanan 2 g�venlik a�� hakk�nda bir blog girdisi okudum. Securiteam blog'u �yelerinden Juha-Matti taraf�ndan yaz�lm�� "Patching an IPS - 16 months !" ba�l�kl� yaz�da, yay�nlanan a��klar�n yama geli�tirme bilgileri incelendi�inde 3Com TippingPoint IPS i�in bulunan a��n 16 ayda yamaland��na dikkat �ekmi�. Yakla��k 30 g�n sonra a��n teknik detaylar� yay�nlanacak bilgisini de eklemi�.

Bana yazm�� oldu�um birka� yaz�y� hat�rlatt�, san�r�m s�ylediklerimde epeyce haks�zl�k etti�im nokta varm��. A��n teknik detaylar�n� g�rd��m�zde, 3Com'un yava�l��ndan dolay� m�, a��n t�r�nden dolay� m� gecikme oldu�u anla��lacak. T�m TCP/IP altyap�s� ve paket normalle�tirme motorunu de�i�tirmeyi gerektirebilecek a��klar bulundu�u zaman, �reticilerin ne kadar �aresiz duruma d��ebilece�ini g�steren g�zel bir �rnek oldu.

�lgili �ikayet ve S�ylenme Yaz�lar�m :
S�f�r G�n A��klar� Kimin Umrunda ? ( B�l�m 1 , B�l�m 2 )
Oracle ve Yama Geli�tirme S�reci Hk.da

Fatih �zavc�
IT Security Consultant

Zero-Day

noreply@blogger.com (Serkan AKCAN) — Wed, 11 Jul 2007 09:35:00 +0000

Kaynak: Beyaz �apka Dergisi Kas�m 2006 Say�s�
BS-SA-zeroday.pdf

Ta��nabilir Bilgisayarda Parmak �zi Yakla��m�

noreply@blogger.com (Fatih Ozavci) — Tue, 10 Jul 2007 11:07:00 +0000

Ge�en g�n sevdi�imiz bir arkada��m�z ta��nabilir bilgisayar de�i�imi yapt� ve �nemli bilgileri o sistemde olaca�� i�in sistemin g�venli�i konusunda baz� soru i�aretleri oldu�undan bahsetti. Beraber ��z�mlerden konu�tuk, bireysel bir kullan�m s�z konusu oldu�u i�in ��z�mlerde bireysel olacakt�. En �nemli sorunlar sistemin a��l�� ve i�indeki bilgilerin kriptolanmas�yd�. Sistem Mac OS X olunca baz� kolayl�klar sistemle beraber geldi, FileVault �zelli�i sayesinde ki�isel dizini alt�ndaki t�m dosyalar� kriptolu olarak tutabiliyorduk. Ancak FileVault �ifre olarak ilgili kullan�c�n�n �ifresini kullan�yordu ki sistem giri� sorununu ��zd��m�zde bu sorunda ��z�lecekti.

Arkada��m parmak izi cihazlar� ile do�rulama yapmam�z�, parmak izi ve �ifre ile bir g�venlik sa�lamay� �nerdi. Bizde sistem ile uyumlu bir donan�m ara�t�r�rken aniden kafamda baz� soru i�aretleri olu�tu. Parmak izi bir �zel giri� ortam�nda, sistem odas� veya korunmal� bir alana girerken verimli olabilirdi; ancak ta��nabilir bilgisayardaki durum pek o kadar mant�kl� g�r�nmedi. Malum, bir�ok film izlemi�sinizdir bu konu ile alakal�, bir yap��kan cihaz ile bir y�zeyden parmak izi almak ve kullanmak olduk�a kolayd�r. Arkada��m�z neticede ta��nabilir bilgisayar� a�arken, kapat�rken ve klavyeyi kullan�rken bolca parmak izi b�rak�yor. Art niyetli biri bu parmak izini rahat�a kopyalay�p parmak izi cihaz�n�n ilk talebini atlatabilir, geriye �ifre kal�r. Ayn� durum sistem odas� veya di�er korumal� alanlarda yer alan cam kap�, plastik y�zey ve benzer zeminler i�inde ge�erlidir; tek fark� daha korumal� bir alanda bu i�in yap�lmas� gerekir. Oysa bir ta��nabilir cihaz� alan ki�i istedi�i yerde ve istedi�i s�rede bu denemeleri ger�ekle�tirebilir. Parmak izi okuyucusunu dahili olarak bar�nd�ran ta��nabilir bilgisayarlar bu konuda daha yard�mc�, okuyucu ve parmak izi s�rekli yan yana bulunduruyor.

Biz zaten �ifre g�vensiz olmas�n diye bu y�ntemi se�mi�tik, bu nedenle sa�lanan g�venli�in yeterli olmamas� ve maliyeti g�z �n�nde bulundurarak ��z�mden vazge�tik. Sonu�ta ak�ll� kart ve sertifika kullan�m�n�n daha mant�kl� oldu�una kanaat getirdik. Parmak izi cihaz� gibi ta��nmas� zor ve genelde sistemin bulundu�u �antada yerini alacak bir cihaz yerine daha ta��nabilir ak�ll� kart ��z�mleri kullanmaya karar verdik. �ki etmenli do�rulaman�n zorluklar�ndan birini de anlatt��m �ekilde ya�am�� olduk.

Genelde bu konuda en s�k yap�lan hata, "bildi�in �ey", "sahip oldu�un �ey" ve "ki�isel �zellik" bile�enlerinden ikisinin kullan�m� s�z konusu oldu�u i�in kullan�c�da bir rahatlama olu�mas�d�r. Nas�l olsa ile ba�layan "bu cihazdaki numaray� bulamazlar", "cihaz� bulamazlar" veya "bu �zelli�imi taklit edemezler" ifadeleri �ifrelerin se�im kalitesini d��rmektedir. Baz� durumlarda s�z konusu cihazlar da �ifreyi belirli bir karakter uzunlu�unda s�n�rlamakta ve kaliteyi iyice d��rmektedir. �ki etmenli do�rulamada dikkat edilecek en �nemli husus genelde g�zden ka�maktad�r, hat�rlatmakta fayda g�r�yorum. Ge�ilecek yeni do�rulama sistemi, yat�r�m maliyeti ve sa�lad�� ek g�venlik seviyesi dikkate al�narak de�erlendirilmeli, karar bu de�erlendirme sonucuna ba�l� olarak verilmelidir.

Bonus :
http://www.google.com.tr/search?q=biometric+authentication+vulnerabilities

Fatih �zavc�
IT Security Consultant

Cisco IOS, Exploitation, Michael Lynn...

noreply@blogger.com (Fatih Ozavci) — Thu, 28 Jun 2007 07:12:00 +0000

2005 y�l� Blackhat konferans�nda olduk�a �nemli ve karma��k bir olay ya�anm��t�. O g�nlerde bir ISS �al��an� olan Michael Lynn, Blackhat konferans�nda Cisco IOS �zerinde kabuk kodu �al��t�rman�n m�mk�n oldu�unu ve y�ntemlerini anlatmay� planl�yordu. Daha sonra Cisco'nun bask�lar�, ISS'in Micheal'� i�ten ��karmas� ve son olarak Blackhat konferans�ndan ilgili sunuma ait d�k�manlar�n Cisco �al��anlar� taraf�ndan y�rt�larak ��kar�lmas�na varan olaylar olmu�tu. Sonu� olarak ise Michael sunumu k�rp�lm�� olarak yapm��, tam bir exploitation a��klamas� yapmam��, Juniper Networks taraf�ndan i�e al�nm�� ve sunumu ile seminer kay�tlar� Internet'te yay�nlanm��t�. A��n t�m Internet altyap�s�n� tehdit edecek kadar ciddi oldu�u, �ok say�da Cisco cihaz�n bu a��ktan etkilenebilece�i, baz� uzak do�ulu sald�rganlar�n bu y�ntemi halen kulland�klar� gibi bilgiler Internet'te farkl� kaynaklarda dola�maktad�r.

Bug�n IRM (Information Risk Management) �irketinden Gyan Chawdhary taraf�ndan bir d�k�man yay�nland�. D�k�man�n ismi "Cisco IOS Exploitation Techniques", i�eri�inde ise Michael'�n at�fta bulundu�u kabuk kodu �al��t�rma i�lemi ve g�m�l� cihazlarda exploitation i�leminin nas�l yap�laca�� yer al�yor. �rnek bir g�venlik a�� ve g�venlik a��n�n yan etkilerinin de ekinde yer ald�� d�k�man, bahsi ge�en kabuk kodu �al��t�rma i�lemini kavramak ve kullanmak ad�na faydal� bilgiler i�eriyor. G�venlik a��klar� ve exploit geli�tirme ile ilgilenen ki�ilerin okumas�n� faydal� g�r�yorum.

Ba�lant�lar :

Gyan Chawdhary - Cisco IOS Exploitation Techniques
Schneier on Security : Cisco Harasses Security Researcher
Michael Lynn, 2005 Blackhat Sunumu
Wikipedia - Michael Lynn

Fatih �zavc�
IT Security Consultant

B�LG� G�VENL���