Salı, Ekim 16, 2007

Başkasının ağı / sistemi üzerinde güvenlik açıkları aramak


Bir başkasının ağı ve sistemi üzerinde güvenlik açıkları aramak için tarama ve denemeleri yapmak?
Bu süreç ne kadar yasal, ne kadar etik (ethic)?
Bu konuyu ULAK-CSIRT olarak aramızda tartıştık.
Benim fikrim, böyle bir eylem gerçekleştirilecekse öncelikle ilgili kurumdan izin alınması ve bilgilendirilmesi gerektiğidir.
ULAK-CSIRT'den Gökhan Eryol 'un bu konudaki yorumlarını iletmek istiyorum.

"Başkasının ağı/sistemi üzerinde güvenlik açıkları aramak" konusunda Turkiye'de netlik kazanmış bir durum bildiğim kadarıyla yok.
Ama, TF-CSIRT eğitimde öğrendiğim kadarıyla bu durum ülkeler arasında farklılık gösteriyor. Genel yaklaşım bu tarz hareketlerin yasadışı olması gerektiği yönünde olmakla beraber, kanunlarında net olarak bunun yasak oldugunu yazan ülke sayısı az. Ama tersini yazan ülkeler var, örneüin Ingiltere kanunlarına göre, bırakın port taramayı DOS yapmak dahi serbest, DDOS ise açıkça yasaklanmış. Tartışılan bir diğer konu ise, şifre koyulmamış sistemi kıran kişinin suçlu sayılıp sayılmaması. Hatırladığım kadarıyla Almanya'da da suçlu sayılmamakta.

Sonuç ise, böyle bir aktivite içerisine girecekseniz, karşı tarafin sistemine zarar verip vermediğinize göre durum değişiyor. Eger zarar verilmiyorsa, yasal anlamda sıkıntı olmaması ihtimali yüksek. Ama zarar veriliyorsa, verilen zararın büyüklüğüne göre zaten mevcut TCK'ya göre yargılanmanız söz konusu. Öyle bir yargı ile karşılaşıldığında, kapısı açık bırakılan eve girip bir sorun var mi diye kontrol eden güvenlik görevlisi (veya kapıcı) ile, girip de birşey çalan hırsız arasında değisen analojinizi, düzgün bir şekilde mahkemede anlatabilmeniz gerekiyor. Her durumda, yapacağınız işi tanımladıktan sonra ikinci yapacağınız iş, avukatınızla, hukuk müşavirliğinizle görüşmeniz ve onların görüşü doğrultusunda hareket etmeniz gerektiği. Zira yargılanmanız soz konusu olursa sizi savunacak kişiler onlar ve işin başında onların görüşünü olumluya çeviremiyorsanız bu işe hiç başlamamanızda fayda var.

Gökhan Eryol / ULAK-CSIRT

Cuma, Ekim 05, 2007

OWASP ilk 10 - En Kritik 10 Web Uygulaması Güvenlik Zayıflıkları – 2007

Ulak-CSIRT Web Güvenliği Çalışma Grubu olarak, OWASP’ın yaygınlaşmasında/tanınmasında anahtar rolü oynayan en önemli dokümanlardan bir tanesi olan OWASP TOP TEN - 2007 belgesini Türkçe’ye çevirdik.

“OWASP ilk 10 - En Kritik 10 Web Uygulaması Güvenlik Zayıflıkları - 2007″ adı altındaki bu dokümana direk buradan veya buradan ulaşabilirsiniz.

Salı, Ekim 02, 2007

ATLAS - ISC

ATLAS (http://atlas.arbor.net/), izlediği ağ üzerinden çeşitli istatistikleri veren bir site.
Özellikle anormal trafikler hakkında bilgi edinmek için kullanılabilir.
Summary - Botnet ve DOS Attacks kısmında güzel bilgiler bulunmakta.

Bilmeyenler için ISC 'yi de hatırlatalım
http://isc.sans.org/index.html

Kod Tarayıcıları (Code Scanners)

Uygulamalardaki, özellikle web uygulamalarındaki açıklar sistemlerimiz için en büyük açıkları oluşturuyorlar. Peki bunların saptanması o kadar kolay mı? Bu saptama süreci için hazırlanan programlar ne kadar başarılı?

Justin Schuh tarafından hazırlanan "Code Scanners False Sense Of Security?" belgesi incelemeye değer.
http://www.networkcomputing.com/showArticle.jhtml?articleID=199000936&pgno=5

Pazartesi, Ekim 01, 2007

Apache Güvenliği

Apache web sunucularının güvenliğini sağlamak için yapılabilecekleri yazan bir sürü döküman bulmak mümkün. Bir yerlerden başlamalı diyenlerdenseniz
http://articles.techrepublic.com.com/2415-7343_11-159903.html
ile başlayabilirsiniz. Yapılacakları özetlersek:
  • İşletim sistemi güçlendirmesi ve güncellemeleri
  • Sadece ihtiyaç duyulan servislerin kurulması
  • Sunucu hakkında bilgi toplama girişimlerinin zorlaştırılması
  • Web güvenlik duvarı (mod security) kurulması
  • apache'yi root yetkisinde olmayan bir kullanıcı hakkı ile çalıştırmak
  • Varsayılan ayarları apache.conf da değiştirmek