Salı, Eylül 25, 2007

Web uygulamalarda neden girdi kontrolü yeterli değil?

Özellikle XSS saldırılarını engellemek için, web uygulamalarında girdi denetimi yapılması gerekmektedir ama ne yazık ki bu tek başına yeterli değildir. Bu denetimin yetersiz kaldığı durumlar söz konusudur. Asıl önemli olan çıktının kodlanmasıdır (output encoding).

Bu konuda aşağıdaki linklerden daha ayrıntılı bilgi edinebilirsiniz:
http://www.oreillynet.com/onlamp/blog/2005/10/repeat_after_me_lack_of__outpu.html

http://www.cigital.com/justiceleague/2007/08/10/mitigating-xss-why-input-validation-is-bogus/

http://www.cigital.com/justiceleague/2007/08/03/stop-saying-input-validation/

Cuma, Eylül 21, 2007

Php güvenlik durumu - phpsecinfo

php ortamı sunucuda düzgün ayarlanmadığında ciddi güvenlik açıklarına yol açıyor.
bu konuda birçok şey söylemek mümkün. ama bugün, sunucuda kurulabilecek phpsecinfo dan söz etmek istiyorum.

Phpsecinfo, phpinfo gibi bir fonksiyon aslında. php ortamının güvenlik durumunu gösteriyor ve yapılabilecek düzeltmeleri de belirtiyor. İnclemeye değer.
http://phpsec.org/projects/phpsecinfo/

Bu proje Purdue Cerias tarafından destekleniyor.

Php Güvenlik Rehberi projesi ise php kodlarken güvenlik konusunda yapılabilecekler hakkında bazı ipuçları vermekte:
http://phpsec.org/projects/guide/

Perşembe, Eylül 20, 2007

Tor ağları ve kendini saklama

Tor Ağı, http://en.wikipedia.org/wiki/Tor_network adresinde ayrıntılı anlatılmakta.

Ücretsiz olan Tor yazılımını kullanarak Internet'te kimliğinizi saklamanız mümkün.
(tabii ki kurum ağlarında bu tür kullanımı engellemek veya kısıtlamak mümkün)

Ama kimlik sağlamak(anonymity) ile mahremiyet(privacy) aynı şeyler değil.
Tor ağı içerisinde verilerinizin dinlenmediğini veya incelenmediğini nasıl bilebilirsiniz?

Herhangi bir nedenle kimliğinizi saklamak istemeniz, bu durumu ilginç bulan ve sizin verilerinizi dinlemenin değerli olabileceğini düşünen kişilerin ilgisini çekebilecektir.

Schneier'in bu konudaki yazısı gerçekten ilgi çekici:http://www.schneier.com/blog/archives/2007/09/anonymity_and_t_1.html

Çarşamba, Eylül 19, 2007

güvenlik süreçleri için "hacker" işe almak?

(magazinsel terim olarak "hacker" - burada sistemlere saldıran, yasa dışı hareketler yapmış kişiler olarak alınmıştır)

Bazı firmalar, daha önceleri sistemlere saldırılar yapmış kişileri güvenlikçi olarak işe alabiliyorlar.
Peki bu kişilere ne kadar güvenebilirsiniz?
Güvenlik süreçlerinde çalışacak kişilerin güvenilir kişiler olması gerekmez mi?
Saldırganlık bir alışkanlık veya hayat biçimi ise, bırakılabilir mi?

Şu yazıyı okuyun ve bir daha düşünün ....
http://www.secureworks.com/research/blog/index.php/2007/09/13/thinking-about-hiring-a-former-hacker/

Salı, Eylül 18, 2007

Güvenli kodlama

Eğer kullandığımız sistemler güvenlik düşünülerek kodlanmış olsaydı, şu an daha etkinleştirmeye çalıştığımız "ağ tabanlı güvenlik sistemlerine" bu kadar ihtiyacımız olmayacaktı. Tabii ki ideal bir dünya da yok, yazılımlarda her zaman güvenlik sorunu olacak ama bir yerden de düzeltmeye başlamak gerekiyor. Özellikle kurumunuzda yazılım geliştiren kişilerle iletişime geçip onları bu konularda bilgilendirmek ve bazı iyileştirmelerin başlaması gerekiyor.

Gunnar Peterson'un yazısı bu konuda güzel bir noktaya değinmiş.
http://1raindrop.typepad.com/1_raindrop/2007/09/secure-coding--.html

Yazılım geliştirme yaşam döngüsüne(SDLC) güvenlik ekleme ile ilgili
http://1raindrop.typepad.com/1_raindrop/2007/06/cost_effective_.html

Bütün yazılımcıları kısa sürede değiştirmenin mümkün olmadığını biliyoruz. Ama o yazılım ekiplerinde kilit rol oynayan kişilerle daha iyi iletişim kurup bir fark yaratabiliriz. Gerçi yazıda denildiği şekilde bir bütçemiz olmayabilir ama her zaman da iletişim için bütçeye de gerek olmayabilir ...

Pazartesi, Eylül 17, 2007

Pazar, Eylül 16, 2007

Güvenlikte gözde canlandırmak (visualize)

Log'lar içerisinde gömülüyoruz ve bazen saldırı girişimlerini kaçırdığımız da oluyor.
Oysa bir grafik veya görsel bir ortam olsa, herhangi bir farklılığı bize gösterecek bir ortam olsa ...
Var bazı ortamlar ama gerçekten de yeterli mi?
Ya da saldırgan bu ortamlardan yararlanmamızı engellemek için DOS saldırısı yaparsa?
Aslında bu konuda üzerinde çalışılması gereken birçok nokta var.

Bu konuda Dancho Danchev'in blog'undaki bir yazıyı paylaşmak istiyorum sizinle
http://ddanchev.blogspot.com/2006/03/visualization-in-security-and-new.html

Bu konuda Conti'nin Blackhat 2006'daki sunumu:
http://www.blackhat.com/presentations/bh-europe-06/bh-eu-06-Conti/bh-eu-06-conti.pdf

Yararlı adresler:
Security visualization - http://secviz.org/

İncelenecek yazılımlar:
Rumint - http://www.rumint.org/

Cuma, Eylül 14, 2007

Mahremiyet Hakkı - Privacy Rights

Her geçen gün yeni teknolojilerle tanışıyoruz ve muhtemelen sorgulamadan da kullanıyoruz.
Iphone, Blackberry gibi cihazlar gerçekten de teknolojik olarak birçok kolaylıklar getiriyor. Aynı zamanda kişisel bilgilerimizin, çok ciddi denetimler yapmadığımız sürece, kolaylıkla başkalarının eline geçmesi söz konusu.

Bu olay facebook ve bunun gibi üye olduğumuz sistemler için de geçerli. (Privacy menülerini iyice incelemek ve gerekli önlemleri almak şart.)

"Gizleyecek bir şeyim yok zaten." diyebilirsiniz, ama hepimizin de bilinmesini istemediğimiz sırlarımız veya herkese duyurmak istemediğimiz bilgilerimiz vardır muhtemelen.

Kişisel bilgilerimiz firmaların ve gizli servislerin eline geçtikçe, 1984 kitabına ve Büyük Birader kavramına daha da yaklaşıyoruz.

Privacy Rights organizasyonu, bu konuda bir inceleme için bir başlangıç:
http://www.privacyrights.org/

Konu çok ayrıntılı ve sonraki yazılarımda da değinmeye devam edeceğim.

Perşembe, Eylül 13, 2007

Recaptcha

Captcha, özellikle web form'larını spammer'lara karşı korumak için geliştirilmiş bir teknik
Aslında amaç bilgisayar(otomize bir sistem) ile insanı ayırt etmek.

completely
automated
public
Turing test to tell
computers and
humans
apart.



Captcha öldü, yaşasın Recaptcha
http://recaptcha.net/

Captcha'nın kırılabileceği birçok güvenlik blog'unda tartışılıyor.
Gerçi hazır bir kod yok ama OCR tabanlı yazılımların geliştirilebileceği söyleniyor.

Bu durumda çıkan Recaptcha, sunucuda değil, istemcide çalışan yeni bir yaklaşım.
İncelemeye değer. Hatta ücretsiz bir uygulamayı http://recaptcha.net/ dan alabiliyorsunuz.