Cuma, Ağustos 25, 2006

"Hacker" Tanımı

Herkes hacker olmak istiyor.
Lüksemburg'da katıldığım Eicar toplantısında açıklanan anketteki ilginç verilere göre, bu "hacker olma hayranlığı" ilkokul seviyesine kadar inmiş durumda.
"Hacker" kelimesi sistemlere saldıran kişi olarak algılanıyor.
Peki "hacker" nedir - "hecker felsefesi" nedir, http://www.belgeler.org 'daki tanımlara bakalım:

"hacker, üstat(gru) demektir. bunlar genellikle kod üstatlarını teknik beceri sahibi, problem çözmeden zevk alan ve sınırları aşan kişiler olarak tanımlarlar.

üstatlık sadece yazılım konusu ile sınırlı değildir. üstat düşünce yapısını elektronik veya müzik gibi diğer şeylere uygulayan insanlar vardır.

kendilerine üstat (“hacker”) diyen ama gerçekte üstat olmayan bir grup daha vardır. bunlar (genellikle genç erkeklerden oluşurlar) bilgisayar sistemlerini bozan ve telefon sistemini izinsiz kullanan insanlardır. gerçek üstatlar bunlara “korsan” ("cracker") der ve onlarla muhatap bile olmak istemezler. gerçek üstatlar, korsanların genellikle tembel, sorumsuz ve güvenilmez olduklarını ve çok da zeki olmadıklarını düşünürler. nasıl arabaları düz kontakt ile çalıştırmak sizi otomotiv mühendisi yapmıyorsa, güvenlik sistemini kırmak da sizi üstat yapmaz. maalesef birçok gazeteci ve yazar, “üstat” (“hacker”) kelimesini korsanları (“cracker”) da içine alacak şekilde kullanıyor ve büyük bir yanılgıya düşüyorlar.

temel fark şudur: üstat birşeyler yapar, korsanlar ise bunları bozar. "

Kaynak:
http://www.belgeler.org/howto/hacker-howto/hacker-howto-whatis.html


"hacker (üstat) felsefesine göre;

üstatlar, problemleri çözer, yeni şeyler yapar, özgürlüğe, paylaşıma ve yardımlaşmaya inanırlar. üstat olarak kabul edilmeniz için bu felsefeye uygun davranmanız gerekir. davranışınızı bu felsefeye tam anlamıyla uygun hale getirebilmek için ise, bu felsefeye gerçekten inanmalısınız.

ama bunu sadece üstat olarak kabul edilmek için gerekli bir şart gibi düşünürseniz, asıl noktayı kaçırmış olursunuz. çünkü, bu felsefeye inanmak sizin açınızdan önemli olacaktır – sizin öğrenmeniz ve motive olmanız için gereklidir. bütün yaratıcı sanatlarda olduğu gibi, ustalaşmak için en etkin yol ustaları taklit etmektir - sadece entellektüel olarak değil, duygusal olarak da.

eğer üstat olmak istiyorsanız şunları, inanana kadar tekrar edin:

- dünya çözülmeyi bekleyen hayranlık verici problemlerle dolu.
- hiçbir problem iki defa çözülmemelidir
- sıkıcı ve tekrar eden işler günahtır.
- özgürlük iyidir
- yaklaşım biçimi, yetkinlik demek değildir."

Kaynak: (ve detaylı bilgi)
http://www.belgeler.org/howto/hacker-howto/hacker-howto-phil.html

Çarşamba, Ağustos 23, 2006

Kevin Mitnick'in Web Saldırıları (Web Deface) Hakkındaki Yorumu

Kevin Mitnick
"It is kind of stupid; they do it for the attention," Mitnick said. "When I was a hacker, I never stooped to defacing sites because that was more like vandalism; that wasn't any fun. It is more about getting in and being stealth and looking around and exploring."

Detaylı bilgi için
http://news.com.com/Kevin+Mitnick+Web+site+hacked/2100-7349_3-6108032.html?part=rss&tag=6108032&subj=news

Pazar, Ağustos 20, 2006

Cross Site Scripting (css - xss) Nedir / Nasıl Engellenir?

Efendim son zamanlarda lamer'lar (yalancı hacker) Ege Üniversitesi'nde XSS / CSS avına çıkmışlar, e bari nedir /nasıl engellenir yazalım.Söz edeceğimiz açık, 2000 senesinden beri bilinen ama nedense hala web programcıları tarafından göz ardı edilen bir açıktır.

XSS, Kullanıcının girdi sağlayacağı sayfalarda, kullanıcı tarafından girdiye script'ler gömülerek yapılan saldırılardır. Bu bazen direkt kullanıcının (lamer) kendisi tarafından, ya da onu başka bir isteye yönlendirmek isteyen bir lamer tarafından yapılıyor olabilir.

“Genelde cross site scripting açıkları, saldırganın sistemi deneme-yanılma yaparak bulması ile ortaya çıkar. Açığın bulunması ile saldırgan, başka bir domainden, açığın bulunduğu domain ve sayfanın bilgilerini, session bilgilerini ve diğer obje değerlerini çalmasına olağan sağlar.” [1]. Detaylar için bkz [1].

"Cross-site scripting (XSS) güvenlik açıkları, e-posta listelerinde en çok rastlanan güvenlik açıkları arasında yer almaktadır. Bunun başlıca nedeni ise bu açığa bir çok web uygulamasında rastlanması ve ücretsiz güvenlik açığı tarama yazılımları ile kolayca keşfedilmesidir..." [7].

Çözüm:

Aslında çözüm yazılan kodlamanın düzeltilmesindedir.

Programın kullanıcıdan aldığı girdiler, her zaman kontrolden geçirilmelidir. Bu aynı zamanda "Sql injection", "Buffer Overflow" gibi saldırıları da engelleyecektir.

Eğer belirli bir tür veri (numerik, alfanümerik) bekleniyorsa ve belirli bir boyutta ( 8 karakter, maksimum 20 karakter gibi) olması bekleniyorsa, girilen verinin bu şartlara uyduğunun sağlanması gerekmektedir. Girdilerden metakarakter'ler mutlaka filtrelenmelidir. Bu birçok saldırıyı engelleyecektir. Örneğin

< > " ' % ; ) ( & + -

karakterleri kullanıcı girdisinden temizlenmelidir. Aslında ne tür verinin beklendiği belirtildiği durumlarda, bu tür filtreleme de otomatikman gerçekleşecektir.Bu tür karakterlerin gerektiği ortamlarda, girilen verinin encode edilmesi gerekebilir.ASP'de bunun nasıl yapılabileceği için bkz [4]. Girdideki metkarakterlerde "<" karakterini "<" a dönüştürmek gibi süreçler gerçekleştirilebilir [2].

Bu önlemler birçok XSS saldırısını engelleyecektir. Daha detaylı bilgi için [5] ve [6] incelenmelidir. Web üzerinden yazılım geliştirenlerin Cert'in [6] referansında yazılı olanlara dikkat etmesi ve kodlamalarında dökümanda belirtilen kurallara uyması gerekmektedir.

Ağda kurulacak bir sistemle bu saldırıların engellenmesinin sağlanması ise ancak sunucuları bir "proxy" veya IPS arkasına koyup her türlü data verisinin kontrolü ve düzeltilmesi ile sağlanabilir. Bu süreçte ise idari ve teknik çeşitli problemler yaşanabilecektir.

En etkin yol, dökümanda belirtildiği üzere sunuculardaki kodun tekrar elden geçirilmesidir. Eğer kodu yazan ortalıklarda gözükmüyorsa, ya o kod kaldırılmalı ya da ağ tabanlı bir çözüme gidilmelidir.

Referanslar

[1] Cross site scripting, http://tr.wikipedia.org/wiki/Cross_site_scripting

[2] http://www.cgisecurity.com/articles/xss-faq.shtml

[3] http://www.devshed.com/c/a/Security/A-Quick-Look-at-Cross-Site-Scripting

[4] http://support.microsoft.com/default.aspx?scid=kb;en-us;252985

[5] CERT® Advisory CA-2000-02 Malicious HTML Tags Embedded in Client Web Requests

http://www.cert.org/advisories/CA-2000-02.html

[6] Understanding Malicious Content Mitigation for Web Developers

http://www.cert.org/tech_tips/malicious_code_mitigation.html

[7] http://grisapka.org/index.php?itemid=7&catid=5

Neden Web Sitesi Güvenliği

Tele.com.tr Eylül sayısında, neden web sitesi güvenliğinin gerektiğini inceliyoruz. Her ne kadar yazı yayınlanmak için yollanmış da olsa, yorum olarak bu konuyla ilgili fikirlerinizi iletirseniz sevinirim. Yazının özeti aşağıda:

Günümüzde World Wide Web (WWW), güncel ve doğru bilgiyi insanlara ulaştırmak için en kolay ve en etkin yöntem olarak karşımıza çıkmakta. Kurulan bir web sunucusu ve içine hazırlanan site içeriği üzerinden, kurumunuz hakkında bilgiyi sunabilir ve ticaret yapabilirsiniz. Bu kolaylık sonunda, birçok ağ cihazı, 3G cep telefonları, UPS, kamera ve hatta çok ilginç birçok cihazın da üzerlerinde web sunucusu gelmeye başlamıştır.

Web servisleri, doğaları gereği kendilerine gelen http isteklerini karşılamak zorundadır. Web sunucularına gelen http istekleri, geleneksel ağ güvenlik duvarları (firewall) tarafından incelenmemektedir. Bu istekler içerisinde olabilecek saldırı kodları, http istekleri içinde gömülmüş olacaklarından geleneksel yöntemlerle tespit edilemezler.

Web sitesi saldırıları (web defacement) her geçen gün artıyor. Bu artışın asıl nedeninin, web sitesi güvenliğinin yeterince ciddiye alınmaması olduğunu düşünüyorum. Öncelikle web siteleri hızlı bir şekilde hazırlanıp sunulmaktadır. Özellikle forum, hazır web portal yazılımları; dinamik içerik sağlamak için veritabanı desteği sağlayan uygulama kodları (php, asp, jsp, cgi … vb) web sitesinin en zayıf halkalarını oluşturuyorlar. Tabii ki bu siteler hazırlanırken hiçbir güvenlik kontrolünün yapılmadığını, kodlarda kullanıcıdan girdi alınan kısımlarda, alınan verinin hiç kontrol edilmediğini gözlemliyoruz. Saldırgan tarafından kodlara kasıtlı verilen değişik girdiler sonucunda hata sonuçlarının da direkt sayfaya basılması, saldırgana bilgi sağlamaktadır.

Büyük kurumsal ağlarda, sunucuların ve üzerlerinde çalışan uygulamaların sayısının artması ile sorunun arttığı gözlemlenmektedir. Bu tür sistemlerde en büyük sorunun, bu büyük ağlardaki hangi sistemin üzerinde ne çalıştığının tam olarak bilinmemesi olduğunu düşünüyorum. Bu büyük ağlarda, sunucuların hepsinin zamanında patch’lenmesi, log’ların takip edilmesi, uygulamaların kontrol edilmesi her zaman mümkün olamamaktadır. Bu sunucuların farklı kişiler tarafından yönetildiği durumlarda, idari sorunlar da olabilmektedir.

Yazıda http://www.zone-h.org ve http://www.grisapka.org siteleri hakkında da bilgiler verilmekte.

Sonuçta web saldırısı bir suç, dünyanın birçok yerinde cezası da bulunmakta. Adalet bakanlığının bilgisayar korsanlığı konusunda yeni çalışmaları var.

Adminler ve kurumlar, yeterince önlem almadıkları için bu durumda yönetim zafiyeti içerisindeler.

Kurumlar, bu tür web siteleri saldırıları sonucunda ciddi itibar kaybına uğramaktadır.



Cumartesi, Ağustos 05, 2006

Güvenlik(destek) anlaşması yapılacak firmadan neler beklemelisiniz?

Güvenlik hizmetleri için kurumunuzda kendi ekibinizi oluşturabileceğiniz gibi bu konularda danışmanlık ve destek hizmetleri de alabilirsiniz. Peki hangi ürünler için ne tür destek almalısınız ve alırken nelere dikkat etmelisiniz? Güvenlik anlaşması, ürün destek anlaşması konusunda Intellect’den güvenlik uzmanı Can Alptekin’e sorularımızı yönelttik.

* Güvenlik anlaşması, ürün destek anlaşması nedir, sizden bir tanım alabilir miyiz?

Günümüze kadar ağırlıklı olarak güvenlik anlaşmalarından ziyade ürün destek anlaşmaları ön planda yer almaktadır. Bu yöntemde kurumun Bilgi Güvenliği yönetimi ve sorumluluğu, kurumun kendi Bilgi Güvenliği Personelinde olup kullanılan ürünlerle ilgili olarak yetkili firmalarla destek anlaşmaları yapılmaktadır.

Günümüzde ise sektörde dış kaynak kullanıma göre yükselen bir eğilim olduğu görülmektedir. Bu yöntemde ise firma bütün IT yapısını veya duruma göre sadece Güvenlik altyapısını bu konuda uzman danışman bir firmaya aktarmaktadır. Gerekli hukuki anlaşmaları ve risk analizi yapıldığı sürece bir sakıncası olmayan bir yöntem mali açıdan kuruma pek çok fayda getirmektedir.

* Sizce her güvenlik ürünü için destek anlaşması yapılmalı mıdır? (Ya da sistemler eğitimli bir kişi tarafindan destek anlaşmasız da ayakta tutulabilir mi? - açık sistemler - ticari sistemler? )

Açık kaynak kodu kullanılan yazılımlarda eğitimli bir personel ile ürünlere gerekli destek sağlanacak olsa da destek anlaşması yapmaktaki amaç riski paylaşarak çalışan tarafındaki riski azaltmaktır.

Ticari sistemlerde ise yukarıdakilere ek olarak üreticinin de desteğini alabilmek gereklidir.

* Güvenlik destek anlaşması yapılacak güvenlik firmasından neler beklenmelidir?

Eğitimli, deneyimli destek personeline sahip olması, güvenilir olması, arkasında üretici firmanın desteği olması.

* Güvenlik ürünü veya destek alırken şartnamede ne tür şartlar ortaya konmalıdır?

Hangi ürünlere destek verileceği, destek kapsamı (telefon, eposta, yerinde), karşılıklı sorumluluklar, müdahale süreleri, cezai şartlar, ek fiyatlandırmalar gerekecekse fiyatları.

* Alınması düşünülen ürünlerin test sonuçları nerelerden edinilebilir?

Üretici firmalar kendi ürünlerini rakip ürünlerle kıyaslayan raporlar hazırlasa da bu raporlar genellikle tek taraflı raporlar olmaktadır. Dünya çapında güvenlirliğini kanıtlamış bağımsız araştırma kuruluşlarının raporları tercih edilebileceği gibi, Internet üzerinde yapılacak araştırmalarla ürünlerin güçlü ve zayıf yanlarına ulaşılabilmektedir.

* Güvenlik taramaları ve sızma testleri nasıl ve hangi şartları sağlayan firmalara yaptırılmalıdır?

Bu testleri yapacak olan firmaların personelinin eğitimli ve deneyimli olması gereklidir. Aynı zamanda hem personel hem de firma sektörde güvenirliğini kanıtlamış olmalıdır. Güvenlik ürünlerinin temin edildiği ve kurlumunun yapıldığı firma tercih edilmemelidir. İki işi yapacak olan personelin farklı olması önemlidir. Güvenlik testleri düzenli olarak yaptırılması gerekse her yıl farklı firmalarla çalışılması tavsiye edilir.

* Hangi standartlar (common criteria) gözetilmelidir?

Common Criteria standartları kullanılacak ürünlerde bir kriter oluşturabilecekken. Bilgi Güvenliğinin sağlanması aşamasında ISO17799, COBIT gibi standartlardan faydalanılabilir.

* Sizce güvenlik firmasinin ağ trafigini dinleyebilecek şekilde sistemlere erişebilmesi kabul edilebilir mi? (veya hangi şartlar altında kabul edilmelidir?)

Kurum olarak ihtiyacınıza göre bu işi dışarıdan bir firmaya yaptırmak zorunda olabilirsiniz. Bu durumda ise yapılması gereken ilgili firma ile gerekli hukuki anlaşmaların yapılmış olması ve oluşan bu risk’in getirebileceği zararların işi yapacak firmaya aktarıldığından emin olmaktır.

* Güvenlik firmalarının, hizmet verdikleri müşteri tarafinda ne tür beklentileri olmaktadır?

Güvenlik ürünlerini kendisi yöneten ve sadece destek alan firmalardan beklentiler, firmanın kullandığı ürünlere hakim ve eğitimlerini almış güvenlik personeline sahip olmasıdır. Müşteri tarafında bir başka beklenti ise en başarı ürünlere sahip olsa bile kritik noktanın elindeki ürünlerin yönetimi olduğunun ve hizmet kavramının belki de aldığı en önemli ürün olduğunun bilincinde olmasıdır.

* Güvenlik firması tarafından müşteriye ne tür mahremiyet (privacy) önlemleri sunulmalıdır?

Güvenlik firması, kendi personeli ile müşteri bilgilerinin dışarı sızmasını engellemek için gizlilik anlaşmaları yapmalıdır. Müşteri bilgilerini içeren her türlü bilgi, bilgi güvenliği politikası çerçevesinde korunmalıdır. Güvenlik analizi yapılan veya özel projeler yapılan müşterilerle güvenlik anlaşmaları imzalanmalıdır. Müşterilerle mevcut bir güvenlik anlaşması bulunmasa dahi, müşterilerin isimleri özel bir izin yoksa referans olarak kullanılmamalıdır.

Intellect’den güvenlik uzmanı Can Alptekin’e sorularımızı yönelKoruduğunuz alt yapı, riskler, var olan personeliniz ve maliyetler göz önüne alınarak destek anlaşmaları yapmanız gerekebilecektir. Bu konuda sizi bir miktar bilgilendirmeye çalıştık. Her türlü öneriniz için bana e-posta ile ulaşabilirsiniz.

Hoş Geldik