konferans - IstSec '09

IstSec '09 - İstanbul Bilgi Güvenliği Konferansı
http://www.istsec.org

İstanbul Bilgi Üniversitesi Bilişim Teknolojisi Hukuku Uygulama ve Araştırma Merkezi, Bilgi Güvenliği ve Adli Bilişim Araştırma Grubu ile İstanbul Barosu Bilişim Hukuku Merkezi ve Bilgi Güvenliği Derneği tarafından ortaklaşa düzenlenen ISTSEC ‘09 Konferansı 12-13 Aralık 2009 tarihlerinde; İstanbul Bilgi Üniversitesi Silahtarağa Kampüsü’nde gerçekleştirilecektir.

Konferansa katılım ücretsiz olup kayıt yaptırılması zorunludur. Kayıt için www.istsec.org web sayfasının kullanılması gerekmektedir. Kayıt yaptıran kullanıcılara konferansa bir hafta kala onay mesajı gönderilecektir.

Microsoft sorunsalı - svchost ve verileriniz kimin elinde?

Gözlemlediğimiz üzere, ağımızdaki bazı makineler svchost.exe kullanarak llw.net sunucularına bağlanıyor ve oldukça büyük miktarda veri gönderiyorlar.
Lime Light Networks bir CDN (content Delivery Network).
http://en.wikipedia.org/wiki/Limelight_Networks
Microsoft'un update sunucusu olarak kullanılan firmalardan biri. Başka firmalar için de CDN olarak kullanılmakta.
http://www.ip-adress.com/whois/208.111.154.0

Svchost, daha önce birçok virüs tarafından kullanılmıştı.

ilgi çekici olan, lokal makinelerden dışarı olan trafik.
Bunun CDN ile ne alakası var?
Bu gerçekten bir güncelleme mi, saldırı mı, yoksa içerik hırsızlığı mı?

Svchost un nasıl çalıştığı aşağıdaki linkte anlatılmış

http://rmfdevelopment.com/WhitePapers/The_Svchost_Conundrum.pdf

Virüs etkilerinden korunmak - Bölüm 4- Antivirus Kurtarma CD'leri

Sistemdeki virüsleri silmek için kullanılabilecek yöntemlerden birisi ise, bir kurtarma CD'si(ki bu bir linux dağıtımı oluyor) ile sistemi açıp diskteki virüsleri taramaktır.

Aşağıdaki linkte çeşitli boot edebilen ücretsiz Antivirüs Kurtarma CD'leri listelenmiştir:
http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list
(link çalışmazsa google'dan arama yapınız :)
FREE Bootable AntiVirus Rescue CD Download)

Birden fazla dağıtımı indirip CD'ye yakmakta fayda var. Çünkü bazı dağıtımlar bazı makinelerde açmayabiliyor.

Bu CD'lerle makineyi açıp antivirüs imzalarını güncelleyebiliyor ve diski tarayıp virüslerden temizleyebiliyorsunuz. Her zaman %100 işe yaramayacaktır ama en sağlam yöntemlerden birisi halen budur.

Virüs etkilerinden korunmak - Bölüm 3 - Antivirüs Secimi

Artık antivirüs yazılımsız bir Windows makinesi düşünmek ne yazık ki mümkün değil.
Peki hangi antivirüsü ve kişisel güvenlik duvarını kullanacaksınız?
Ücretli /ücretsiz ?
Ücretsizler ne kadar yeterli?
Ücretli bir antivirüs alacaksanız da, hangisini alacaksınız?
Seçtiğiniz çözüm, makineyi ciddi bir şekilde yoracak mı?

Bunlar cevap bekleyen sorular- yorumlarınızla bu yazı da geliştirilecek.
Yorumlarınızı bekliyorum.

Antivirüs çözümleri ile ilgili temel bir inceleme için, "Antivirüs Temelleri" yazımı inceleyebilirsiniz:
http://csirt.ulakbim.gov.tr/dokumanlar/AntivirusTemelleri.pdf

Aşağıdaki sitedeki incelemeler seçimde yardımcı olabilir. Antivirüs yazılımlarının incelendiği test sonuçları ve başarılı ürünler de listelenmiş:
http://www.anti-malware-test.com/

Virüs etkilerinden korunmak - Bölüm 2 - USB

USB'den virüs bulaşması yeni birşey değil ama insanların bu konudaki bilgisizliği ve önlem alınmaması da ilginç

USB'nin "Autorun" özelliğini kullanan virüsler sistem için ciddi bir tehlike oluşturmakta.

USB'den virüs bulaşmasını engellemek için aşağıdakiler yapılabilir:
- USB belleğe "sağ tuş - aç" ile erişme

- USB'nin otomatik çalışmasını registry'den kapatma
http://www.bilgiguvenligi.gov.tr/teknik-yazilar-kategorisi/usb-disklerde-autorun-ile-gelen-tehlike.html
http://www.bilgiguvenligi.gov.tr/teknik-yazilar-kategorisi/autorun-ozelliginin-kapatilmasi.html

- RTT gibi bir programla virüslerin erken tespiti
bkz: http://agguvenligi.blogspot.com/2009/04/virus-etkilerinden-korunmak-bolum-1.html

- USB yi kapatma
http://www.bilgiguvenligi.gov.tr/teknik-yazilar-kategorisi/usb-depolama-aygitlarinin-kullanimini-devre-disi-birakma.html

Virüs etkilerinden korunmak - Bölüm 1

Virüs etkilerinden korunmak için çeşitli programlar kullanmak mümkündür.

Bir virüs, yayılmak ve silinmesini engellemek için sistemde bazı değişiklikler yapar.
Örneğin gizli dosyaların görüntülenmesini engeller.


Ücretsiz yazılımlardan "Removable Media Malware Defender" oldukça başarılı.
Bu tür kısıtlamaların sistemde olup olmadığını listeliyor ve kisitlamalari kaldiriyor.

Aynı zamanda, makineye takılan USB'leri kontrol ediyor ve virüs varsa sisteme bulaşmadan uyarıyor. Kullanılması tavsiye edilir.

İndirmek için:
http://www.sergiwa.com/modules/mydownloads/singlefile.php?cid=2&lid=1

Ağ güvenliği konusunda kendinizi yetiştirmek

Ağ güvenliği konusunda kendinizi nasıl yetiştireceksiniz?
Bu konuda kendini yetiştirmek isteyen arkadaşlardan çeşitli e-posta'lar alıyorum. 2006 senesinde bu konuyla ilgili şu belgeyi hazırlamıştım ve bir dergide de basılmıştı. Bu yazıyı hatırlatmakta ve incelemekte fayda var.

http://csirt.ulakbim.gov.tr/dokumanlar/AgGuvenligiKonusundaKendiniziYetistirmek.pdf

Bloklanacak Anahtar kelimeleri bulmak

Kurumunuzun ağındaki kullanıcıların, pornografik içerik gibi kurum politikasına uymayan yerlere erişmesini engellemeniz gerekebilir.

Elinizde bu tür sitelerin listesini güncel bulunduran ticari bir ürün olmadığı sürece, bu iş çok zordur. Ama bu süreci kısmi olarak proxy veya içerik denetimi yapan ağ güvenliği duvarları üzerinde "anahtar kelimeler" girerek engellemek mümkündür. Bu süreci de daha akıllı ve daha az sorunlu hale getirmek mümkündür.
Tek bir kelime ile değil, kelime grupları ile bunu yapmak daha sağlıklı olacaktır.
Hedef, sayfada geçen kelimelere bir ağırlık puanı vererek doğru kararın sağlanması olmalıdır.
Safe Squid ile bunun nasıl yapılabileceğini görmek için:
http://www.howtoforge.com/blocking-webpages-based-on-keywords-or-phrases-with-safesquid-proxy

Kullanılacak anahtar kelimeleri bulmak önemli bir süreçtir.
Bu süreçte, Google'ın "Keyword Tool" unu kullanmak işinizi kolaylaştıracaktır.
https://adwords.google.com/select/KeywordToolExternal

Bu programı kullanarak, aynı anlama gelebilecek kelimelerin listesini bulmanız mümkün

Örneğin "fuck" kelimesini arattığınızda, aynı anlamdaki kelimeler ve alakalı olabilecek diğer kelimeleri bulmanız mümkün.

Aynı zamanda, bir web sitesini gösterek (Örneğin http://www.playboy.com adresini girerek o adresten bazı anahtar kelimeleri de aynı programla bulabilirsiniz.

Microsoft Windows işletim sistemlerinde virüslerle savaşma

Microsoft İşletim sistemlerinde (mümkün olabildiğince) virüslerden uzak çalışabilmek için aşağıdaki önerileri saymak mümkündür (Alt başlıklar ayrı linklerde verilmiştir):


- Güncellemelerin zamanında yapılması:
Microsoft Windows güncellemeleri, özellikle IE ve Mozilla gibi tarayıcıların güncel tutulması

- Yönetici (Admin) özelliklerine sahip olmayan kullanıcı hesabı kullanılması: Kullanıcı hesabının yönetici haklarına sahip olmaması durumunda, sisteme bulaşan virüsler kalıcı olamayacak ve makine kapatıldığında sistemden çıkartılacaklardır.

- Antivirüs/Antispyware/Firewall Kullanılması
Ayrıntılar için bkz.
http://agguvenligi.blogspot.com/2009/04/virus-etkilerinden-korunmak-bolum-3.html


-USB güvenliği: USB'den virüs bulaşmasını engellemek için önlemler alınmalıdır.
Ayrıntılar:
http://agguvenligi.blogspot.com/2009/04/virus-etkilerinden-korunmak-bolum-2-usb.html

Virüs etkilerinden korunmak için çeşitli programlar kullanmak mümkündür.
Bir virüs, yayılmak ve silinmesini engellemek için sistemde bazı değişiklikler yapar.
Bu tür bir hareketi engellemek veya yaşandıysa sistemi eski haline getirmek gerekmektedir.
- Güvenli modda açıp antivirüs taramasının gerçekleştirilmesi
- CD'den açıp antivirüs taramasının gerçekleştirilmesi
http://agguvenligi.blogspot.com/2009/05/virus-etkilerinden-korunmak-bolum-4.html
- RTT veya benzeri bir programla sistem ayarlarınıon eski haline getirilmesi. Ayrıntılar için bkz.
http://agguvenligi.blogspot.com/2009/04/virus-etkilerinden-korunmak-bolum-1.html

Güvenlik konusunda videolar

Güvenlik videolari:
http://securitytube.net/

"Shmoocon 2008" etkinliği videoları
http://www.shmoocon.org/2008/videos/

Linux Dosya Sistemi

Linux dosya sistemi hiyerarşisini güzel bir şekilde özetleyen bi resim (linuxconfig.org)



Kaynak:
http://kodveus.blogspot.com/
http://www.linuxconfig.org

Zararlı yazılımlarla mücadele kılavuzu

ULAK-CSIRT olarak, Akademik Bilişim ve Ulakbim Çalıştayı’nda “Zararlı yazılımlarla (malware) mücadele” konusunu ele alan sunumları yaptık. Bu konuyu ayrıntılı ele alan kılavuzun şu anki sürümüne (sürüm 0.1) aşağıdaki adresten ulaşabilirsiniz:

Kurumsal Ağlarda Zararlı Yazılımlarla (malware) Mücadele Kılavuzu

http://csirt.ulakbim.gov.tr/dokumanlar/RAPOR_KurumsalAglardaZararliYazilimlaSavas_surum01.pdf

Amacımız size kurumsal güvenlik konusunda kapsamlı bir kılavuz sağlamak. Çok katmanlı güvenlik esasları ele alındı ve problemin bütün çözümleri incelendi.

Şu anki sürümde, özellikle ağ cihazları üzerinde alınabilecek önlemlerin kapsamlı açıklamaları yapıldı. Sürüm 0.2′nin çalışmaları devam ediyor. Özellikle botnet problemi ve açık kaynak kodlu çözümler konularında eklemeler üzerinde çalışılıyor.

Bu rapor sürekli yenilenecek, her türlü yorum/katkınızı bekliyoruz. Hiçbir katkı, küçük değildir.

Ava Giden Avlanır

Saldırganların kullandıkları araçların birçoğundaki zayıflıklar ve arka kapılar, saldıranın makinasının ele geçirilmesine yol açabilir.

Eriksson (şahıs, firma adı değil ;-) ), RSA konferansında bu tür bir durumun demosunu yapmış.
Bu konuda ayrıntılar için:
http://www.darknet.org.uk/2008/04/hackers-could-become-the-hacked

"Ulusal Bilgi Güvenliği Kapısı" açıldı.

Ulusal Bilgi Güvenliği Kapısı (http://www.bilgiguvenligi.gov.tr/) sonunda açıldı.

T.C Başbakanlık Devlet Planlama Teşkilatı (DPT) tarafından yayınlanan “Bilgi Toplumu Stratejisi” adlı çalışmanın 88inci maddesi kapsamında hazırlanan bir web sitesi.

Güncel açıklar, teknik yazılar, UEKAE tarafından hazırlanan çeşitli kılavuzlar gibi birçok bilgiye buradan ulaşabilmek mümkün.

Neyi bilmediğinizin farkında mısınız?

"Bilinen bilinenler vardır.
Bunlar bildiğimizin farkında olduğumuz şeylerdir.
Bilinen bilinmeyenler vardır.
Şöyle de denebilir; bilmediğimizi bildiğimiz şeyler de vardır.
Ancak, bir de bilmediğimiz bilinmeyenler vardır.
Bunları bilmediğimizin bile farkında olmayız."

Donald Rumsfeld


There are known knowns. These are things we know that we know. There are known unknowns. That is to say, there are things that we know we don't know. But there are also unknown unknowns. There are things we don't know we don't know.
Donald Rumsfeld

freebsd'ci + 1

Ubuntu Server'in beni çıldırtması sonucunda
Bundan sonra denemelerimde freebsd kullanmaya karar verdim.

Aslında bu değişimden ilk başta çekinmedim değil,
ama birbirimize alışıyoruz sanırım

Bu konuda desteklerinden dolayı Onur Bektaş'a teşekkürlerimle ...

Freebsd hakkında birkaç güzel link ekleyeceğim ....
Bir başlangıç olarak - Freebsd Sunucu Optimizasyonu ve Güvenlik Ayarları:
http://csirt.ulakbim.gov.tr/dokumanlar/freebsdopguvenlik.pdf

FreeBSD belgeleri ve daha fazlası ...
http://www.enderunix.org/?lng=tr&page=papers

RTFM yetmediyse FGI verelim size ;-)

RTFM (Read The F* Manual) yetmez,
FGI (F* Google It) çıkmış

Yönlendirebilirsiniz ;-)
http://www.fuckinggoogleit.com/

RTFM kavramının önemli ve matematik fonksiyonlarını belgenize eklemek

RTFM (Read The F* Manual)

Kimseye küfrettiğimiz yok, kendimizden başka :).
Teknik belge okumaktan kaçan bir insan değilimdir, ama bazı anlar oluyor insan inad ediyor. Belgeyi okumadan da halledebilirim diye düşünüyor. Geçen saatlerin ardından inadın kırılıyor ve o kelimenin önemini anlıyorsun.
RTFM be adam, boşuna zaman kaybettin o kadar.

MAtematik fonksiyonlarını open office belgesine eklemek hiç de zor değil.
Yeter ki manual'i okuyun. Yani teknik adam tabiriyle
Read The Fucking Manual (RTFM)

OpenOffice 'de matematik fonksiyonlarını yazmak hiç de zor değil - RTFM yaptıktan sonra
http://documentation.openoffice.org/manuals/oooauthors2/0111GS-GettingStartedWithMath.pdf


Bir alternatif olarak:
http://www.thrysoee.dk/laeqed/

Kurumsal Ağlarda Zararlı Yazılımlarla (malware) Mücadele Yöntemleri

Akademik Bilişim 2008'de “Kurumsal Ağlarda Zararlı Yazılımlarla (malware) Mücadele Yöntemleri” bildirisini sunduk. Bu belge; Enis Karaarslan, Gökhan Akın ve Hüsnü Demir tarafından hazırlandı.

Bu döküman, konunun ana hatlarını gösteren bir özettir ve yakında kapsamlı bir rapora dönüşmesi hedeflenmektedir. Çok güzel bir çalışma olduğunu düşünüyoruz, umarım birçoğunuzun işine yarayacaktır. Bu konuda her türlü öneri, yorum ve düzeltmeye açık olduğumuzu da belirtmek istiyorum.

Bildirinin son haline şu adresten ulaşabilirsiniz:

http://csirt.ulakbim.gov.tr/dokumanlar/ulakcsirt_KurumsalAglardaZararliYazilimlaSavas2008.pdf

ÖZET

Zararlı yazılımlar (trojan, virus, worm vb), makinelerde sorun yaratmaları dışında, kampüs ağlarında yarattıkları trafik ile ağ sistemlerinin yavaşlamasına ve hatta devre dışı kalmasına yol açabilmektedir. Bu bildiride, bu güvenlik sorunu ile savaşmak için gerekli yöntemler anlatılacaktır. Böylece deneyimlerimiz ışığında, diğer kurumlarda benzer önlemler alınarak bilgi sistemlerimiz daha sağlam bir şekilde çalışabilecektir.

Anahtar Kelimeler: Ağ yönetimi, kampüs ağları, güvenlik, zararlı yazılım, çok katmanlı güvenlik.

Top Secret - "Çok Gizli" Bilgi

Resmin daha büyük halini görmek için, resmin üzerine tıklayınız.

Youtube yine yasaklandı ....

Linux işletim sisteminde disk denetimi

Evet güvenlik blog'undan daha çok linux blog'u olmaya doğru gidiyoruz galiba. ;-)
Güvenlik olabilmesi için öncelikle makinanızın düzgün çalışması lazım diyerek kurtarmaya çalışalım durumu.

Geçtiğimiz ay içerisinde taşınabilir diskimde yaşadığım sorunlar, diskleri daha sık kontrol etmem gerektiğini hatırlattı bana. Bu sefer şanslıydım, gerçi sürekli yedek aldığım için sorun yaşama olsalığım düşük ama yine de tedbirleri artırmakta yarar var.

Self-Monitoring, Analysis and Reporting Technology (SMART), birçok diskte bulunmakta. Bu teknolojiyi kullanarak diskleri kontrol etmek mümkün. Bunun için "smartmontools" u denemeye karar verdim.

apt-get install smartmontools

Önce diskin SMART özelliği olup olmadığı kontrol edilmeli:

sudo smartctl -i /dev/sda1
smartctl version 5.37 [i686-pc-linux-gnu] Copyright (C) 2002-6 Bruce Allen
Home page is http://smartmontools.sourceforge.net/

-- kesildi ---
SMART support is: Available - device has SMART capability.
SMART support is: Enabled


Diski kontrol etmek:

sudo smartctl --all /dev/sda3

smartctl version 5.37 [i686-pc-linux-gnu] Copyright (C) 2002-6 Bruce Allen
Home page is http://smartmontools.sourceforge.net/
-- kesildi ---
=== START OF READ SMART DATA SECTION ===
SMART overall-health self-assessment test result: PASSED
-- kesildi --
SMART Error Log Version: 1
No Errors Logged



Detaylı bilgi için "nixCraft Linux Sys Admin Blog" unu öneririm. Bu blogu sürekli izlemenizde yarar var.
http://www.cyberciti.biz/tips/monitoring-hard-disk-health-with-smartd-under-linux-or-unix-operating-systems.html


Disk image'i almayi da planlamakta yarar var:
http://www.cyberciti.biz/tips/download-linux-clonezilla-to-clone-system.html

Linux ve kablosuz ağ sorunları

Laptop'da linux ortamında wireless kullanmam gerekti.
Evet güvenli değil biliyorum - sonuçta bunun için aldığım minimum önlemler şunlar:
- Cihazda mac adres kısıtlaması yapmak
- SSID duyurmamak
- Şifre gerektiren işlemler yapmamak
- Wireless'i sadece ev ortamında kullanmak

Sonuçta WEP, WPA da kırılamayan şeyler değil. Bir VPN sunucusuna bağlanıp onun üzerinden çıkmak gerekiyor. Kurumsal çözümlerde wireless güvenliği hakkında belki sonra başka birşeyler yazarım.

Sadece evde, arada google'dan birkaç python kodu ve belge indirmek için kullanmaktayım sonuçta.
Önlemler yeterli değil biliyorum ama asıl konu o değil.
Konu, linux'da wireless'in sorunlu çalışması.

Intel'in wireless kartı ve Kubuntu'nun son sürümünü kullandığımdan, aslında sorun yaşamamam gerekiyordu ama durum öyle değildi. Hat bir gidip bir geliyordu.
http://ipw2200.sourceforge.net/
de belirtilen yazılımları ve firmware'i güncelledim ama sorun devam etti.
Acaba Ndiswrapper ile tanıtmaya mı çalışsam diye düşündüm ama aslında Linux donanımı doğru görüyordu.

Aslında sorun çok basitti. Syslog'daki kayıtlar "firmware" sorunu var diyordu ama asıl sorun komşumdu. Cihazı benim cihazımla aynı frekansta çalışıyor ve çakışıyordu.
İşin ilginç tarafı, XP'de bu konuda herhangi bir sorun yaşamıyordum (iyi mi kötü mü bilemiyorum).
ADSL wireless cihazımın channel'ini değiştirdim ve sorun bitti.

Eğer wireless'iniz eth1 ise:
iwlist eth1 scan
(Wireless extension tools kurmanız gerekiyor - bu pakette çok işinize yarayacak tool'lar var - http://www.hpl.hp.com/personal/Jean_Tourrilhes/Linux/Tools.html)
Eğer etrafta aynı frekansta başka cihazlar varsa kendi cihazınızın frekansını değiştirin.
Çözüm bu kadar basit.

Kurumsal Web Güvenliği Yapısı

Özet:
Web altyapısına artan sayıda saldırı girişimi yaşanmaktadır, bu nedenle web ve web uygulaması güvenliği her geçen gün daha hayati hale gelmektedir. Nüfuz veya saldırı yaşanmadan saldırıları saptayacak ve saldırıya açıklıkları engelleyecek güvenlik düzeneklerine ihtiyaç duyulmaktadır. Bu çalışmada, güvenliği daha iyi sağlamak için değişik tekniklerin birlikte çalıştığı bir Kurumsal Web Güvenlik Altyapısı modeli tanımlanmıştır. Bu modelde, ağ farkındalığı ve eğitim konularına yoğunlaşılmıştır.

Anahtar Kelimeler: web güvenliği, web uygulama güvenliği, ağ farkındalığı, web sistem farkındalığı, çok katmanlı güvenlik.


"Kurumsal Web Güvenliği Yapısı" bildirisinin en son sürümüne aşağıdaki adresten ulaşabilirsiniz:
http://csirt.ulakbim.gov.tr/dokumanlar/Karaarslan_KurumsalWebGuvenligi2008.pdf

Cep telefonları üzerinden dolandırıcılık

Ağ güvenliği olmasa da, bu da ciddi bir güvenlik ihlali:
http://enisden.blogspot.com/2008/01/dikkat-cep-telefonu-dolandrcl.html

Haydi web sitesi hacklemeye

Biraz eğlenmeye ne dersiniz?

http://www.netdisaster.com a gidin ve hack'lemek istediğiniz siteyi yazın.
Merak etmeyin gerçekte hack'lemiyor - eğleniyorsunuz ...
Sitenin içeriğini alıp üzerinde flash çalıştırıyor
Biraz beklemeyi unutmayın.

Yazıların kaybolması, ayaklanma, ne isterseniz ....

misal kendi blog'umu hack'leyeyim:
http://www.netdisaster.com/go.php?mode=manif&sound=on&url=http://agguvenligi.blogspot.com

Akademik Bilişim 2008

Akademik Bilişim 2008'e 2 adet bildiri ile katılıyorum. Özet ve bildiri ekleri yakında

* Kurumsal Web Güvenliği Yapısı

* Kurumsal Ağlarda Zararlı Yazılımlarla Mücadele Yöntemleri

Akademik Bilişim 2008'de, bu sene Çanakkale'de (30 Ocak- 1 Şubat) görüşmek üzere.
Ben doktora tezi çalışmamdan dolayı, muhtemelen günibirlik katılabileceğim.
http://ab2008.comu.edu.tr/

Daha iyi betikler (script) ve program yazma yolunda emekleme süreci

Durum özetle şu, kısa sürede bir arayüz geliştirmem ve komut bazlı çalıştırdığım süreçleri bu arayüzden toparlamam gerekiyor. Oğuz, programlama dili olarak "Python", "PyQt" ve GUI için "Qt Designer" kullanmamı önerdi.

Python gerçekten de kolay öğrenilen ve güzel bir dil. Özellikle de ağ yöneticisi olduğumu ve programlama ile çok uğraşmadığımı düşünürseniz, gerçekten de kolay bir dil çok cazip gözükmekte.

Neden bu dile ihtiyacım var? Özellikle komut satırından çalıştırdığım komutlarımı daha akıllı hale getirmek istiyorum. Ayrıca bazı süreçlerde GUI kullanıp, özellikle paket analizi süreçlerinde yararlanmak istiyorum.

Bu blog girdisinde, denemelerimi iletmeye çalışacağım - yani sürekli eklemeler olacak ....

Daha akıllı script'ler yazma yolunda denemeler:
- Grafik dizaynı "Qt Designer" ile oluşturdum.
- Qt Designer ile oluşturduğumuz grafik dizayn .ui dosyalarını, direkt ptyhon kodu içerisinden include etmek mümkün veya uic ile python koduna da döndürülebiliyor.
- Editör/debugger olarak Eric kullanıyorum
- Aynı zamanda ufak denemeler icin ve kütüphane'ler hakkında bilgiler için ipython kullanıyorum.

Dikkat!
- Qt4 Designer'da "proje" dosyası oluşturma ve "source code" edit etme özellikleri yok. Bu tür bir sürece ihtiyacınız varsa "Qt3 Designer" veya "Kdeveloper Designer" kullanmanız gerekiyor. Bu ikisi aynı gibi, farklarını bilen varsa yorumlara eklesin lütfen.



Linkler:
Qt Designer Manual
http://doc.trolltech.com/4.3/designer-manual.html
PyQt Reference Manual
http://www.riverbankcomputing.com/Docs/PyQt4/pyqt4ref.html
PyQt Classes
http://www.riverbankcomputing.com/Docs/PyQt4/html/classes.html

Ağ Güvenlik Takibi(Network Security Monitoring) Süreçleri

Ağ Güvenlik Takibi (Network Security Monitoring – NSM) kavramı, nüfuz (intrusion) saptanması ve ona göre önlemler alınması için aşağıdaki süreçleri tanımlar [1]:
* Gerekli verilerin toplaması,
* Belirti ve uyarıların artışının çözümlenmesidir.

NSM, ağ farkındalığı yaratmak için aşağıdakilere gereksinim duyar [1]:
* Uyarı (alert) verisi
* Oturum(session) verisi
* Tam içerik (full content) verisi
* İstatistiksel veri

NSM ile hedeflenen; bir nüfuzun kapsamının ve etkisinin değerlendirilmesi için gerekli kanıtların toplanması, etkin ve etkili önlem iyileştirme aşamalarının gerçekleştirilmesidir [1]

NSM bir kavramdır ve özellikle ağ farkındalığı için akış (flow) takibi önemlidir.

Devamı için:
http://blog.csirt.ulakbim.gov.tr/?p=38

"stow" ile sisteme kurulan yazılımların yönetimi

Güncel ve deneme amaçlı olarak yazılımların yeni sürümlerini kurmamız gerekiyor. Bu durumda kaynak kodundan derleyip (configure-make-make install) süreci ile kurmak, gerektiğinde uninstall etmek veya güncellemek gerekiyor. Bu durumda kurulum dosyalarının takibini yapmak gerekmekte.
Bu süreç için "stow" kullanmaya başladım.

Stow (sysutils/stow), described as "a program for managing the installation of software packages, keeping them separate (/usr/local/stow/argus /usr/local/stow/perl, for example) while making them appear to be installed in the same place (/usr/local)."

Örnekte, sisteme argusun yeni versiyonunu (3.0), /usr/local/stow altına kurma sürecim gösterilmektedir.

Yazılımı kaynak koddan "configure" ederken kurulacağı dizin gösterilir.

./configure --prefix=/usr/local/stow/argus3
make
make install
/usr/local/stow dizinine gidilip stow sistemine dahil edilir

cd /usr/local/stow
$ sudo stow argus3

Bu komut ile bütün symlink'ler otomatik olarak uygun dizinlere yerleştirilecek ve bu da bir sonraki güncelleme sürecinde işimizi kolaylaştıracaktır.

Argus'u nereye kurduğuna bakmak:

$ which argus
/usr/local/sbin/argus

/usr/local/sbin$ ls -la
total 8
drwxr-xr-x 2 root root 4096 2007-12-17 15:15 .
drwxr-xr-x 12 root root 4096 2007-12-17 15:10 ..
lrwxrwxrwx 1 root root 25 2007-12-17 15:09 argus -> ../stow/argus3/sbin/argus

Kurduğumuz argus'u silmek de kolaydır:

$ sudo stow -D argus3/

Yazılımı tekrar kurmak da çok kolaydır

$ stow -R argus3


Kaynak:
http://taosecurity.blogspot.com/2006/01/trying-stow-today-transzorp-in-snort.html

Stow hakkında ayrıntılı bir yazı için:
http://linuxgazette.net/issue75/peda.html

Linux mu yoksa Microsoft işletim sistemleri mi güvenli?

Linux ve Microsoft Windows işletim sistemlerini güvenlik düşünerek kıyaslamak istersek ...

Bence Linux/Unix, Microsoft Windows'dan daha güvenilirdir.
Bunun en önemli nedeni, açık kaynak kodlu olmasıdır.
Yama (Patch) ve inceleme sürecinin dünya çapında birçok kişi tarafından yapılabilmesidir.

"Daha çok göz daha az güvenlik açığı demektir. Linux açık kaynaklı bir yazılımdır, bu da dünyadaki her programcının kodlara (programın "tarifine") bakmasına ve yardımcı olmasına, ya da geliştiricilere "... Bu bir güvenlik açığı değil midir?" diyebilmesine olanak sağlar." (http://www.whylinuxisbetter.net/items/viruses/index_tr.php)

Yaşadıklarımızı hatırlayalım. Yılbaşı öncesinde duyulan Microsoft açıklarında, patch'lerin gelmesi için bütün Christmas tatilinin gecmesini beklemistik. Zaten firma disinda duyurulan patch'e de güvenememiştik. Yanlış hatırlamıyorsam, bu Sasser worm'u idi. Sasser worm'una ait zaman bilgisi aşağıdaki gibidir:



Bir yamanın çıkma süresi Linux/Unix sistemlerinde çok daha hızlı olmaktadır.

"Linux sistemlerine yapılan saldırılar azdır" saptamasını yapanlar oluyor.
Tabii ki Linux sistemlerine saldırılar, Microsoft Windows sistemlerine yapılanlar kadar fazla değil ama her geçen gün artan sayıda saldırılar var. İstatistikler de bunu gösteriyor.

Microsoft tarafında güvenlik konusunda ciddi yatırımlar, ciddi personel alımları yapılıyor.
Bu gerçekten de çok önemli gelişmeler. Yamaların çıkma sürelerinin daha kısaldığını ve yazılımlar geliştirilirken güvenli kodlama süreçlerinin kullanıldığını biliyoruz.

Burada da konu, biraz daha maliyet konusuna yoğunlaşmalı. Microsoft işletim sistemi, üzerine kurulacak güvenlik duvarından antivirüsüne kadar birçok güvenlik önlemi için farklı şirketlere verilmesi gereken bir ücret söz konusu. (Antivirüs yazılımlarının makineyi ve internet erişimini yavaşlatması konusuna hiç girmiyorum.)

Bunun yanı sıra, giriş seviyesindeki şu web sayfası "neden linux" konusu için özetleyici olacaktır:
http://www.whylinuxisbetter.net/index_tr.php

Güvenlik Denemeleri
Linux'u, özellikle güvenlik konusunda çok konuşmamızın en önemli nedeni üzerinde çalışan açık kaynak kodlu güvenlik yazılımların çeşitliliği ve denenmeye hazır olmaları. Döküman biraz eski olabilir ama Hüzeyfe'nin yazdigi şu döküman sana biraz daha fikir verebilecektir:
http://csirt.ulakbim.gov.tr/dokumanlar/acikkod_guvenlik.pdf
(bu arada ufak bi update ve düzenleme de Hüzeyfe'den bekleyelim :) )

Üzerinde rahatlıkla oynayabileceğin, açık kaynak kodlu bir sistem açıkçası her zaman cazip gelmekte ...

Kullanıcı başına dünyanın parasını vermek yerine bir Linux/Unix tabanlı bir sistem daha cazip. Böylece sisteme değil ama desteğe yatırım yapılıyor. Türkiye'de bunun önemi anlaşıldıkça Linux bilenler çok daha iyi ücretlerle çalışmaya başladılar.

Tabii ki projeye göre Microsoft sistemlerin de kullanılmasının mantıklı olacağı yerler de olacaktır ama Linux/Unix sistemlerin "free" olmasının getirdiği özgürlük çoğunlukla tercih nedeni olacaktır düşüncesindeyim.

Web Sayfalarındaki Reklamları Bloklamak

Bugün kişisel makine güvenliğinden söz ediyorduk, Gerçi bu konunun güvenlikle çok alakası yok ama söyleyeceğim Firefox eklentisi aynı zmaanda spyware'leri de engellemekte.

Bugün web sayfalarındaki reklamların ne kadar yavaşlattığını ve görüntü kirliğinden söz ediyorduk.

Aslında Firefox'un güzel eklentileri var, bu eklentileri kurarsanız web sayfalarındaki reklamlardan kurtulabilirsiniz. Otomatik filtreler olduğu gibi, sık bağlandığınız sayfalardaki bloklanmayan yerleri de sizin sağ tuşla bloklamanız da mümkün olabilmekte.

Önerilerim:
Adblock Plus - https://addons.mozilla.org/en-US/firefox/addon/1865

Adblock Filterset.G Updater - https://addons.mozilla.org/en-US/firefox/addon/1136

(EasyElement, EasyList filtrelerini aktif kullanıyorum)

Linux PC Temel Güvenlik

Kişisel makine olarak kullandığımız Linux makinesini nasıl daha güvenli hale getirebiliriz:

- Kişisel Güvenlik duvarı: Bunun için tercihim firestarter. firestarter'in kolay GUI'si aracılığı ile makinenize kimlerin hangi protokol ile ulaşacağını çok kolaylıkla yapabilirsiniz. Kurması ise

apt-get install firestarter

- Static ARP: - Arp saldırılarından korunmanın en kolay yolu, default gateway'inizin MAC adresini "arp -a" ile öğrendikten sonra, static olarak tanımlamanızdır. Böylece arp saldırısı ile yapılabilecek internet/msn dinleme gibi saldırılardan korunmuş olursunuz. Arp'i static tanimlamak:

arp -s Gateway_IP Gateway'in mac adresi

Yönlendiriciniz değişmediği sürece bir sorun yaşamayacaksınız.

Ör:
$ arp -a
? (192.168.1.10) at aa:bb:cc:dd:ee:ff [ether] on eth0

$ arp -s 192.168.1.10 aa:bb:cc:dd:ee:ff

$ arp -a
? (192.168.1.10) at aa:bb:cc:dd:ee:ff [ether] PERM on eth0

Arp Saldırıları hakkında bilgi için:
http://www.governmentsecurity.org/articles/TheIngredientstoARPPoison.php

- Güncellemeler: Kubuntu gibi otomatik güncelleme yapan yeni nesil Linux dağılımlarını kullanmak.
Mümkün olduğunca yeni dağıtımları kullanmak.

- VPN: Özellikle kablosuz ağ kullanıldığı durumlarda, VPN ile kurumunuzun ağına bağlanmak ve oradaki bir proxy üzerinden internete erişmeniz önerilir. (eğer kurumunuz böyle bir hizmet veriyorsa)

- Rootkit /antivirüs: Chkrootkit, rkhunter gibi toollari kullanarak makinenize bir rootkit bulaşıp bulaşmadığını anlayabilirsiniz. Virüsler Linux makinelerinde pek gözükmemekle beraber, bunun için de çözüm kullanmak mümkündür.

chkrootkit - Checks for signs of rootkits on the local system
rkhunter - rootkit, backdoor, sniffer and exploit scanner

sudo apt-get install chkrootkit rkhunter

# rkhunter --update
[ Rootkit Hunter version 1.3.0 ]
...
Checking file i18n/en [ Updated ]

# rkhunter --check
...




- Sistem Dosya Değişikliklerinin Takibi: Biraz daha deneyimli kullanıcılar, sistem dosyalarının herhangi bir süreç tarafından değiştirilip değiştirilmediğini takip etmek isteyebilirler.

Bunun için kullanılabilecek çeşitli programlar var. "Tripwire" programını birçok Unix/Linux sistem yöneticisi bilir. Kubuntu'da Advanced Intrusion Detection Environment (AIDE) de kullanılabilir
https://help.ubuntu.com/community/FileIntegrityAIDE

sudo apt-get install aide
(aide.db yaratmadı - bir sorun var, sanırım manual kurulması gerekiyor)



Zaman buldukça eklemeler yapacağım - yorumlarınızı beklerim ...

Yazılımların Güvenlik Açıklarının Duyurulması

Bu özet kullanılabilir değil. Yayını görüntülemek için lütfen burayı tıklayın.

trojan/virus/worm gibi sorunlara karşı savunma yöntemleri

Zararlı kod parçacıkları (trojan/virus/worm) makinelerde sorun yaratmaları dışında, kampüs ağlarında yarattıkları trafik ile ağ sistemlerinin yavaşlamasına ve hatta devre dışı kalmasına yol açabilmektedir.

Ortada bir zayıflık yoksa, trojan/virus/worm kendi kendine bulaşamaz.
Makinelerimizin güvenlik güncellemelerinin yapılmış olmasını sağlamamız gerekiyor.
Kullanıcının bir şekilde virüslü dosyayı sistemde çalıştırmış veya virüsü bulaştıracağı web adresine girmiş olması gerekir.

Bruce Schneier’in dediği gibi “Güvenlik bir ürün değil, bir süreçtir.”.

Kampüs ağlarında, bu konuda ne tür önlemler alınabileceğini iki ana başlıkta incelememiz mümkündür:

- Makinelerde alınabilecek temel önlemler

- Ağda alınabilecek temel önlemler

Devamı yeni ULAK-CSIRT Blog'unda
http://blog.csirt.ulakbim.gov.tr/?p=28

Mizah: Honeynet i farklı amaç için kullanmak

"Web Güvenliği Günleri - izmir" ardından

Web Güvenliği Günleri - izmir, başarılı bir şekilde geçen pazartesi gerçekleştirildi.

ULAK-CSIRT Ege Bölgesi toplantısını aynı günün akşamında gerçekleştirmemiz ve üniversite bilgi işlemlerine de yaptığımız sıkı duyurular sayesinde Üniversite BİM kadrolarından yoğun katılım yaşandı.

Öğrenciler bu etkinliğe yoğun ilgi gösterdi. Sunumu yapan bizlerin ortak zamanımız olan bu pazartesinin, sınav haftasının başlangıcına denk gelmesi büyük talihsizlikti ama yine de yoğun bir katılım oldu. Öğrencilerin açık kaynak kodlu sistemlere ve web güvenliğine yoğun ilgisi olduğunu gözlemledik. Katkımız olduysa ne mutlu bize.



Sunumlar: http://www.webguvenligi.org/?p=98
Mini CD: http://www.webguvenligi.org/?p=92

http://www.karaarslan.net/guvenlik.html adresinden temel güvenlik kavramlarını ve önlemleri anlattığım "Kurumsal Web Güvenliği Altyapısı" sunumum ve güvenlik linklerine ulaşılabilir.

Bu organizasyonu Web Güvenlik Topluluğu'ndan Bedirhan Urgun'la aylar öncesinden planladık ve özellikle organizasyonu gerçekleştirmek için İzmir'de yoğun çalışmam gerekti. Ege Üniversitesi Network Yönetim Grubu'ndan Vedat Fetah arkadaşıma da desteklerinden dolayı teşekkür etmek istiyorum.

Sunumlar aşağıdaki kişiler tarafından gerçekleştirildi:
Bünyamin Demir - Web Güvenlik Topluluğu
Bedirhan Urgun - Web Güvenlik Topluluğu
Oğuzhan Yalçın - ULAK-CSIRT
Enis Karaarslan - ULAK-CSIRT
Tahsin Türköz - UEKAE-TÜBİTAK



Sunumları yapan arkadaşlar büyük özverilerle İzmir'e geldiler ve bilgi paylaşmak için büyük emek harcadılar. Onlarla tanışmak ve ortak bir paylaşım sürecinde bulunmaktan çok mutlu oldum. Umarım benzer projelerde yine beraber görev alabiliriz. Hepsine teşekürlerimi bir daha iletmek istiyorum.

Sponsorlara da teşekkürler. Onlar sayesinde dinleyicilerimize aralarda kahve ve kurabiye ikram edebildik. Konuşmacılarımızın konaklamalarını karşılayabildik. Teşekkürler:
- Ege Üniversitesi Uluslararası Bilgisayar Enstitüsü - ev sahipliği
- UNIPA
- BİMEL
- NESCAFE

Güvenlik yöneticisi böyle yaparsa ...

internette bıraktığımız elektronik izler ve mahremiyet

Kişisel bilgilerimizi internet ortamına koyuyor ve sanal dünyada izlerimizi bırakıyoruz. Peki bunları silmenin o kadar kolay olmadığının ve hatta bazı durumlarda imkansız olduğunun farkında mıyız?

Internet ortamına izlenecek en temel esaslardan biri detaylı bilgi vermemek ve şu cümleyi unutmamak: "10 yıl sonra da orada olmasını istemediğiniz şeyleri internete koymayın"

http://www.ico.gov.uk/youngpeople
adresinde gençlerin blog veya facebook gibi ortamlarda nelere dikkat etmeleri gerektiği anlatılmış, incelemeye değer ...

Facebook'da yapılabilecek mahremiyet (privacy) ayarları ile ilgili iyi bir başlangıç için şu yazım incelenebilir:
http://enisden.blogspot.com/2007/10/facebookda-mahremiyet.html


Bu arada facebook'un kullanıcı bilgilerini başka firmalara satma kararını aldığını ve mahremiyet konusunda ne kadar hassas (?!) olduğunu da belirtmeden geçemeyeceğim.

Kimlik denetimi

Böyle değil tabii ki :).

Güvenlik ve/veya Kullanışlılık

Tabii ki böyle değil :)

Web Güvenliği Günleri – İzmir

26 Kasım’da Web Güvenliği Günleri - İzmir etkinliğini gerçekleştiriyoruz.

ULAK-CSIRT ile Web Güvenlik Topluluğu'nun ortaklaşa düzenleyeceği bu etkinliğin detaylarına ve kayıt formuna aşağıdaki adresten ulaşabilirsiniz.
http://www.webguvenligi.org/?page_id=86

Hack ve hacker sınıflandırması

Ferruh Mavituna, hack ve hacker'ları sınıflandırmış. İncelemeye değer:
http://ferruh.mavituna.com/makale/hack-ve-hacker-modelleri/

Başkasının ağı / sistemi üzerinde güvenlik açıkları aramak

Bir başkasının ağı ve sistemi üzerinde güvenlik açıkları aramak için tarama ve denemeleri yapmak?
Bu süreç ne kadar yasal, ne kadar etik (ethic)?
Bu konuyu ULAK-CSIRT olarak aramızda tartıştık.
Benim fikrim, böyle bir eylem gerçekleştirilecekse öncelikle ilgili kurumdan izin alınması ve bilgilendirilmesi gerektiğidir.
ULAK-CSIRT'den Gökhan Eryol 'un bu konudaki yorumlarını iletmek istiyorum.

"Başkasının ağı/sistemi üzerinde güvenlik açıkları aramak" konusunda Turkiye'de netlik kazanmış bir durum bildiğim kadarıyla yok.
Ama, TF-CSIRT eğitimde öğrendiğim kadarıyla bu durum ülkeler arasında farklılık gösteriyor. Genel yaklaşım bu tarz hareketlerin yasadışı olması gerektiği yönünde olmakla beraber, kanunlarında net olarak bunun yasak oldugunu yazan ülke sayısı az. Ama tersini yazan ülkeler var, örneüin Ingiltere kanunlarına göre, bırakın port taramayı DOS yapmak dahi serbest, DDOS ise açıkça yasaklanmış. Tartışılan bir diğer konu ise, şifre koyulmamış sistemi kıran kişinin suçlu sayılıp sayılmaması. Hatırladığım kadarıyla Almanya'da da suçlu sayılmamakta.

Sonuç ise, böyle bir aktivite içerisine girecekseniz, karşı tarafin sistemine zarar verip vermediğinize göre durum değişiyor. Eger zarar verilmiyorsa, yasal anlamda sıkıntı olmaması ihtimali yüksek. Ama zarar veriliyorsa, verilen zararın büyüklüğüne göre zaten mevcut TCK'ya göre yargılanmanız söz konusu. Öyle bir yargı ile karşılaşıldığında, kapısı açık bırakılan eve girip bir sorun var mi diye kontrol eden güvenlik görevlisi (veya kapıcı) ile, girip de birşey çalan hırsız arasında değisen analojinizi, düzgün bir şekilde mahkemede anlatabilmeniz gerekiyor. Her durumda, yapacağınız işi tanımladıktan sonra ikinci yapacağınız iş, avukatınızla, hukuk müşavirliğinizle görüşmeniz ve onların görüşü doğrultusunda hareket etmeniz gerektiği. Zira yargılanmanız soz konusu olursa sizi savunacak kişiler onlar ve işin başında onların görüşünü olumluya çeviremiyorsanız bu işe hiç başlamamanızda fayda var.

Gökhan Eryol / ULAK-CSIRT

Güvenlik önlemlerini abartmak

Güvenlik Danışmanı

OWASP ilk 10 - En Kritik 10 Web Uygulaması Güvenlik Zayıflıkları – 2007

Ulak-CSIRT Web Güvenliği Çalışma Grubu olarak, OWASP’ın yaygınlaşmasında/tanınmasında anahtar rolü oynayan en önemli dokümanlardan bir tanesi olan OWASP TOP TEN - 2007 belgesini Türkçe’ye çevirdik.

“OWASP ilk 10 - En Kritik 10 Web Uygulaması Güvenlik Zayıflıkları - 2007″ adı altındaki bu dokümana direk buradan veya buradan ulaşabilirsiniz.

ATLAS - ISC

ATLAS (http://atlas.arbor.net/), izlediği ağ üzerinden çeşitli istatistikleri veren bir site.
Özellikle anormal trafikler hakkında bilgi edinmek için kullanılabilir.
Summary - Botnet ve DOS Attacks kısmında güzel bilgiler bulunmakta.

Bilmeyenler için ISC 'yi de hatırlatalım
http://isc.sans.org/index.html

Kod Tarayıcıları (Code Scanners)

Uygulamalardaki, özellikle web uygulamalarındaki açıklar sistemlerimiz için en büyük açıkları oluşturuyorlar. Peki bunların saptanması o kadar kolay mı? Bu saptama süreci için hazırlanan programlar ne kadar başarılı?

Justin Schuh tarafından hazırlanan "Code Scanners False Sense Of Security?" belgesi incelemeye değer.
http://www.networkcomputing.com/showArticle.jhtml?articleID=199000936&pgno=5

Apache Güvenliği

Apache web sunucularının güvenliğini sağlamak için yapılabilecekleri yazan bir sürü döküman bulmak mümkün. Bir yerlerden başlamalı diyenlerdenseniz
http://articles.techrepublic.com.com/2415-7343_11-159903.html
ile başlayabilirsiniz. Yapılacakları özetlersek:

• İşletim sistemi güçlendirmesi ve güncellemeleri
• Sadece ihtiyaç duyulan servislerin kurulması
• Sunucu hakkında bilgi toplama girişimlerinin zorlaştırılması
• Web güvenlik duvarı (mod security) kurulması
• apache'yi root yetkisinde olmayan bir kullanıcı hakkı ile çalıştırmak
• Varsayılan ayarları apache.conf da değiştirmek

Web uygulamalarda neden girdi kontrolü yeterli değil?

Özellikle XSS saldırılarını engellemek için, web uygulamalarında girdi denetimi yapılması gerekmektedir ama ne yazık ki bu tek başına yeterli değildir. Bu denetimin yetersiz kaldığı durumlar söz konusudur. Asıl önemli olan çıktının kodlanmasıdır (output encoding).

Bu konuda aşağıdaki linklerden daha ayrıntılı bilgi edinebilirsiniz:
http://www.oreillynet.com/onlamp/blog/2005/10/repeat_after_me_lack_of__outpu.html

http://www.cigital.com/justiceleague/2007/08/10/mitigating-xss-why-input-validation-is-bogus/

http://www.cigital.com/justiceleague/2007/08/03/stop-saying-input-validation/

Php güvenlik durumu - phpsecinfo

php ortamı sunucuda düzgün ayarlanmadığında ciddi güvenlik açıklarına yol açıyor.
bu konuda birçok şey söylemek mümkün. ama bugün, sunucuda kurulabilecek phpsecinfo dan söz etmek istiyorum.

Phpsecinfo, phpinfo gibi bir fonksiyon aslında. php ortamının güvenlik durumunu gösteriyor ve yapılabilecek düzeltmeleri de belirtiyor. İnclemeye değer.
http://phpsec.org/projects/phpsecinfo/

Bu proje Purdue Cerias tarafından destekleniyor.

Php Güvenlik Rehberi projesi ise php kodlarken güvenlik konusunda yapılabilecekler hakkında bazı ipuçları vermekte:
http://phpsec.org/projects/guide/

Tor ağları ve kendini saklama

Tor Ağı, http://en.wikipedia.org/wiki/Tor_network adresinde ayrıntılı anlatılmakta.

Ücretsiz olan Tor yazılımını kullanarak Internet'te kimliğinizi saklamanız mümkün.
(tabii ki kurum ağlarında bu tür kullanımı engellemek veya kısıtlamak mümkün)

Ama kimlik sağlamak(anonymity) ile mahremiyet(privacy) aynı şeyler değil.
Tor ağı içerisinde verilerinizin dinlenmediğini veya incelenmediğini nasıl bilebilirsiniz?

Herhangi bir nedenle kimliğinizi saklamak istemeniz, bu durumu ilginç bulan ve sizin verilerinizi dinlemenin değerli olabileceğini düşünen kişilerin ilgisini çekebilecektir.

Schneier'in bu konudaki yazısı gerçekten ilgi çekici:http://www.schneier.com/blog/archives/2007/09/anonymity_and_t_1.html

güvenlik süreçleri için "hacker" işe almak?

(magazinsel terim olarak "hacker" - burada sistemlere saldıran, yasa dışı hareketler yapmış kişiler olarak alınmıştır)

Bazı firmalar, daha önceleri sistemlere saldırılar yapmış kişileri güvenlikçi olarak işe alabiliyorlar.
Peki bu kişilere ne kadar güvenebilirsiniz?
Güvenlik süreçlerinde çalışacak kişilerin güvenilir kişiler olması gerekmez mi?
Saldırganlık bir alışkanlık veya hayat biçimi ise, bırakılabilir mi?

Şu yazıyı okuyun ve bir daha düşünün ....
http://www.secureworks.com/research/blog/index.php/2007/09/13/thinking-about-hiring-a-former-hacker/

Güvenli kodlama

Eğer kullandığımız sistemler güvenlik düşünülerek kodlanmış olsaydı, şu an daha etkinleştirmeye çalıştığımız "ağ tabanlı güvenlik sistemlerine" bu kadar ihtiyacımız olmayacaktı. Tabii ki ideal bir dünya da yok, yazılımlarda her zaman güvenlik sorunu olacak ama bir yerden de düzeltmeye başlamak gerekiyor. Özellikle kurumunuzda yazılım geliştiren kişilerle iletişime geçip onları bu konularda bilgilendirmek ve bazı iyileştirmelerin başlaması gerekiyor.

Gunnar Peterson'un yazısı bu konuda güzel bir noktaya değinmiş.
http://1raindrop.typepad.com/1_raindrop/2007/09/secure-coding--.html

Yazılım geliştirme yaşam döngüsüne(SDLC) güvenlik ekleme ile ilgili
http://1raindrop.typepad.com/1_raindrop/2007/06/cost_effective_.html

Bütün yazılımcıları kısa sürede değiştirmenin mümkün olmadığını biliyoruz. Ama o yazılım ekiplerinde kilit rol oynayan kişilerle daha iyi iletişim kurup bir fark yaratabiliriz. Gerçi yazıda denildiği şekilde bir bütçemiz olmayabilir ama her zaman da iletişim için bütçeye de gerek olmayabilir ...

2007 senesinin en iyi açık kaynak güvenlik çözümleri

Infoworld, 2007 senesinin en iyi açık kaynak güvenlik çözümlerini listelemiş.
İncelemeye değer:
http://www.infoworld.com/slideshow/2007/01/30-2007_technology-1.html

Güvenlikte gözde canlandırmak (visualize)

Log'lar içerisinde gömülüyoruz ve bazen saldırı girişimlerini kaçırdığımız da oluyor.
Oysa bir grafik veya görsel bir ortam olsa, herhangi bir farklılığı bize gösterecek bir ortam olsa ...
Var bazı ortamlar ama gerçekten de yeterli mi?
Ya da saldırgan bu ortamlardan yararlanmamızı engellemek için DOS saldırısı yaparsa?
Aslında bu konuda üzerinde çalışılması gereken birçok nokta var.

Bu konuda Dancho Danchev'in blog'undaki bir yazıyı paylaşmak istiyorum sizinle
http://ddanchev.blogspot.com/2006/03/visualization-in-security-and-new.html

Bu konuda Conti'nin Blackhat 2006'daki sunumu:
http://www.blackhat.com/presentations/bh-europe-06/bh-eu-06-Conti/bh-eu-06-conti.pdf

Yararlı adresler:
Security visualization - http://secviz.org/

İncelenecek yazılımlar:
Rumint - http://www.rumint.org/

Mahremiyet Hakkı - Privacy Rights

Her geçen gün yeni teknolojilerle tanışıyoruz ve muhtemelen sorgulamadan da kullanıyoruz.
Iphone, Blackberry gibi cihazlar gerçekten de teknolojik olarak birçok kolaylıklar getiriyor. Aynı zamanda kişisel bilgilerimizin, çok ciddi denetimler yapmadığımız sürece, kolaylıkla başkalarının eline geçmesi söz konusu.

Bu olay facebook ve bunun gibi üye olduğumuz sistemler için de geçerli. (Privacy menülerini iyice incelemek ve gerekli önlemleri almak şart.)

"Gizleyecek bir şeyim yok zaten." diyebilirsiniz, ama hepimizin de bilinmesini istemediğimiz sırlarımız veya herkese duyurmak istemediğimiz bilgilerimiz vardır muhtemelen.

Kişisel bilgilerimiz firmaların ve gizli servislerin eline geçtikçe, 1984 kitabına ve Büyük Birader kavramına daha da yaklaşıyoruz.

Privacy Rights organizasyonu, bu konuda bir inceleme için bir başlangıç:
http://www.privacyrights.org/

Konu çok ayrıntılı ve sonraki yazılarımda da değinmeye devam edeceğim.

Recaptcha

Captcha, özellikle web form'larını spammer'lara karşı korumak için geliştirilmiş bir teknik
Aslında amaç bilgisayar(otomize bir sistem) ile insanı ayırt etmek.

completely
automated
public
Turing test to tell
computers and
humans
apart.



Captcha öldü, yaşasın Recaptcha
http://recaptcha.net/

Captcha'nın kırılabileceği birçok güvenlik blog'unda tartışılıyor.
Gerçi hazır bir kod yok ama OCR tabanlı yazılımların geliştirilebileceği söyleniyor.

Bu durumda çıkan Recaptcha, sunucuda değil, istemcide çalışan yeni bir yaklaşım.
İncelemeye değer. Hatta ücretsiz bir uygulamayı http://recaptcha.net/ dan alabiliyorsunuz.

sanal makine denemeleri - ubuntu üzerinde "vmware server"

Sanal makineye ne zaman ihtiyacınız olur? Birkaç örnek:

- Kullandığınızdan farklı işletim sistemlerine ihtiyaç duyan programları denemeniz gerektiğinde

- Kişisel makinenizde güvenlik sorunlarına yol açmamasını istediğiniz bir programı denemek istediğinizde

- Geliştirdiğiniz sistemi farklı işletim sistemlerinde denemek istediğinizde

- Makinenizde gereksiz kirliliğe yol açmamasını istediğiniz programları denemek istediğinizde

En güzel tarafı da, kurduğunuz sistemleri dvd veya taşınabilir disk ile taşıyabilmeniz ve başka makinelerde devam edebilmeniz.

Sanal makine yazılımı olarak tercihim "vmware server". Sitesinden ücretsiz olarak kayıtlanıp lisans numaraları alabiliyorsunuz. Bunun yanı sıra, "virtual box" kullanan ve memnun olan arkadaşlar da var, ticari bir ürün olmadığı için tercih ettiklerini söylüyorlar. Henüz denemediğim için yorum yapamayacağım. Farklarını söylemek isteyenler sayfaya yorum bırakabilirler.

Farklı linux versiyonlarına kurmak için http://www.vmware.com adresinden binary'sini alıp kurmayı deneyebilirler. Son versiyonu (1.0.3), yeni kernel'larda sorun çıkartıyor ve çeşitli ayarlar yapmanız gerkecektir. şimdiden kolay gelsin

Ubuntu Feisty üzerinde bu programı kurmak çocuk oyuncağı.

1. Sources.list'e ticari "commercial" öğeleri eklemeyi unutmayalım

sudo vi /etc/apt/sources.list

deb http://archive.canonical.com/ubuntu feisty-commercial main

2. Güncellemeleri gerçekleştirelim

sudo apt-get update

3. vmware- server kurmak aşağıdaki komutu yazmak kadar kolay

sudo apt-get install vmware-server vmware-tools-kernel-modules

Kurulum detayları için:
http://www.ubuntugeek.com/how-to-install-vmware-server-from-canonical-commercial-repository-in-ubuntu-feisty.html

Örneğin Linux üzerinde "Microsoft Windows 2003 Server" kurup denemelerinizi yapabilirsiniz.


Bir de üzerinde "vmware tools" paketini kurarak, kurduğunuz windows işletim sistemindeki mouse, ekran ayarı gibi özelliklerin daha etkin olmasını sağlayabilirsiniz.

Bir de şu komutları (vmware command line tools) incelemekte yarar var:
http://chitchat.at.infoseek.co.jp/vmware/vmtools.html

Social Engineering - Sosyal Mühendislik ile Bilgi Toplama

Bildiğiniz üzere, bilgisayar dışında yöntemleri kullanarak bir kurum veya bir kişi hakkında bilgi toplamaya sosyal mühendislik yöntemleri denmekte. İnternet üzerinde, bunun nasıl yapılabileceği hakkında çok ilginç ve ayrıntılı belgeler bulmak mümkün. En son incelediğim belgede, nasıl yapılabildiği fotoğraflarla ayrıntılı olarak anlatılmaktaydı. Ortada "hacker" geçinen ve bu tür yöntemleri denemeye hevesli çok kişi olduğundan, bu belgelerin adreslerini vermeyi düşünmüyorum. Aramaya inanırsanız, zaten kendiniz de bulabilirsiniz :)

Bu teknik ile toplanabilecek bilgiler gerçekten de ilginç olduğu kadar biraz da ürkütücü.
Aslında bu örnekler, güvenliğin bir ürün değil, bir süreç olduğunun kanıtı.
Kurumlar, bu konuda kullanıcılarını bilgilendirmeli ve mümkün olduğunca çok önlem almalılar.

Black Hat 2007

Black Hat 2007 konuşmacıları ve konularina aşağıdaki adresten ulaşabilirsiniz
http://www.blackhat.com/html/bh-usa-07/bh-usa-07-speakers.html

Sunumları aşağıdaki adresten edinebilirsiniz.
http://164.106.251.250/docs/netsec/bh2007/
(Sunum adresi için Hüzeyfe'ye teşekkürler)

(In)Secure Dergisi

İlk sayısından itibaren takip ettiğim güzel bir ücretsiz online dergi.
http://insecuremag.com/
adresinden pdf'ini cekebilirsiniz.

12. sayisinda Jeremiah Grossman ile bir röportaj var, web (uygulama) güvenliği ile ilgilenenlerin ilgisini çekecektir.

olta saldırılarına espirili bir yaklaşım

botnet saptama ve engelleme

Botnet, ele geçirilmiş çok sayıda "zombie" bilgisayarın, saldırı amaçlı olarak ortak bir denetim altında olması ve worm, trojan ve back door uygulamalarını çalıştırması durumunu tanımlıyor.

Öncelikle botnet saldırısını tanımlamak gerekiyor. Worm ve benzeri aktiviteleri, port taramalarını, spam trafiğini saptamak için "black hole" diye tanımladığımız, kurum içerisinde kullanılmayan alt subnetler veya internete çıkmaması gereken private IP adreslerini vb yönlendirdiğiniz bir IDS, bir honeypot veya honeynet sistemi kullanılabilir.

Tanımlanan saldırı teşebbüsü için firewall'da gerekli bloklamaları yapmak (her zaman geçerli değil) veya bu saldırıyı geçersiz kılacak bazı patch işlemlerini kullanmak bir çözüm başlangıcı olabilir.

http://www.cc.metu.edu.tr/filesTR/ng/AB2007-Ag_Guvenligi_Yonetimi.pdf
de de belirtildiği üzere, P2P de önemli bir botnet kaynağı olabilir.

Bildiğim kadarıyla, Botnet'lerin bir kısmı irc kanalları aracılığı ile haberleşir ama onların bağlantıkları irc sunucuları değiştiği gibi, portlar da değişmektedir.

http://en.wikipedia.org/wiki/Botnet
da "preventive measures" da ilginç birkaç öneri de bulunmakta.
Özellikle iletişimi sağlayan irc sunucusuna dinamik DNS adreslemesi ile ulaşmalarını engellemek bu botnet'lerin etkinliğini engellemek için kullanılacak yöntemlerden birisi olarak karşımıza çıkmakta.
Tabii ki bu önlemler de, muhtemelen bir sonraki nesil botnet'lerde geçersiz kalacaktır.

Aşağıdakileri de okumak bazı fikirler verebilir:
http://isc.sans.org/diary.html?storyid=621
http://www.cs.ucsb.edu/~kemm/courses/cs595G/FHW05.pdf
http://www.secureworks.com/research/threats/botnet/

Konu çok ayrıntılı, belki bu konuda gelecekte daha ayrıntılı bir inceleme yapmak gerekecek. Yapılacaklara ekleyelim (+1)

Web 'in Geleceği .... Web 3.0 - anlamsal web

Aşağıda web fikrini ortaya atan ve standartların gelişmesinde büyük rol oynayan Tim Berners-Lee ile yapılan bir röportaj var.
Burada web'in nereye doğru gittiği, açıkçası anlamsal web
yani "semantic web" in nereye gidebileceği ele alınmış, okumaya değer ....

The future of the Web, as seen by its creator
By: Peter Moon, IDG Now (Brazil)
* (2007-07-10)


*

The Internet of the future is being built on symbols: what they represent and the relationships between them. Tim Berners-Lee, the man who invented the World Wide Web in 1989 at CERN, the European Particle Physics Laboratory in Geneva, is developing the Semantic Web, otherwise known as Web 3.0.

Born in London in 1955, Berners-Lee is currently director of the World Wide Web Consortium, in Cambridge, Mass. He was knighted by Queen Elizabeth II in 2004. In this exclusive interview, he explains his vision of the future Semantic Web, which he says will be much more powerful than anything we have seen before.

*First of all, shall I call you Sir Timothy, Professor Timothy or Mr. Berners-Lee?*

*Berners-Lee:* You can call me Tim.

*Well, Tim, my first question is the most obvious one: Can you explain in simple terms what the Semantic Web is?*

*Berners-Lee:* I have often been asked about that. And the simple thing to point out is: in your computer you have your files, your documents that you can read, and there are data files which are used in applications, data files like calendars, bank systems, spreadsheets. These contain data which is used in documents that are out of the Web. They can't be put on the Web.

So, for example, if you are looking at a Web page, you find a talk that you want to take, an event that you want to go to. The event has a place and has a time and it has some people associated with it. But you have to read the Web page and separately open your calendar to put the information on it. And if you want to find the page on the Web you have to type the address again until the page turns back. If you want the corporate details about people, you have to cut and paste the information from a Web page into your address book, because your address book file and your original data files are not integrated together. And they are not integrated with the data on the Web. So the Semantic Web is about data integration.

When you use an application, you should be able to put data there so that you could configure that data. I should be able to inform my computer: "I'm going to that event." And when I say that, the machine will understand the data. The Semantic Web is about putting data files on the Web. It's not just a Web of documents but also of data. The Semantic Web of data would have many applications to connect together. For the first time there is a common data format for all applications, for databases and Web pages.

*Did you come up with the term "Semantic Web?" Is this the so-called Web 3.0? What's the difference between the Webs 2.0 and 3.0?*

*Berners-Lee:* Yes, I did. It was in 1999, in my book Weaving the Web. Web 2.0 is a name to describe how the files using the Web work. You have user-generated content, and you have people logging on Web sites and tagging things, uploading a photograph, making community sites. So Web 2.0 is about the community-based Web sites. That is not a term that I invented. Tim O'Reilly invented that term in 2003.

About Web 3.0, some people had used that term to mean a coming architecture. Some people use it to think about the regulation of Web technology. But think about the future of Web technology. A well-known problem which is typical to a 2.0 file is that the data which appears is not on the site, it's in the database. It's not on the Web. So people can't reuse that data. You might take a professional Web site with information about some of your colleagues and the people you work with, and another Web site with information about your friends, and other Web sites about different communities. With Web 2.0 you can't see the whole picture; nobody could see the whole picture. So some people said, well, Web 3.0 will happen when your site provides data that you can navigate. For example, if one of several sites which use Web technology finds useful data about my friends on my journal, then I can set up an icon to inform the computer "Get back data out and look at it and add it to the data which I got from other sites and then look at them all together."

*So what's the difference between a Web of documents and a Web of data?*

*Berners-Lee:* There are many differences between documents and data. Take, for example, your bank data. There's two ways you could look at it. If you just look at a plain Web page, then it looks like a sheet of paper. All you could really do is read it. Now if you look at it on a Web 3.0 site, you could maybe use a Java search to change the order of the data, and you could reach much better access to data. Today, before you prepare to do something like paying your taxes, you need to use software like Quicken or Microsoft Money or your favourite financial program. When you do that, you don't load it as a Web page, you load it as a data file. That's the difference between data and documents. When you look at your bank data for documents, you can just read it. When you look at data, you can find how much tax you owe, you can see how much your bills are, there are all kinds of things you can do with data.

We don't have the ability to do this with data on the Web. If you could do that with data, the characters you gather with bank data would become a standard that would only work with banks. It's a financial standard for bank data. There will be completely separate standards for calendars, for example. What you can't do today is, say, to ask the computer: "When did I write that check? When did I have that meeting?" You can't connect items in different data files, unless you use the Semantic Web. The Semantic Web is much more powerful, because you can connect the people, connect data, which is about the same person, which is about the same place, which is about the same time.

*But with this full connection between personal data, companies' data and government data, don't you think the first concern people will have is around the issue of privacy?*

*Berners-Lee:* Yes. And I have that concern, too! An important aspect of Semantic Web technology is called provenance -- where the data comes from and what it can be used for. Our research group at MIT is developing systems to show what allowed uses the information is for, so you can keep check on where it comes from, what it stands for, and make sure that it won't be used in any different way. We call this capability "information accountability."

*In order to define preferences on how personal data can be used, an individual has to have some technology skills; but that's not the case of the largest part of the world's population, is it?*

*Berners-Lee:* First of all, when you use the Semantic Web for personal data, you're not putting it out on the Web. You have a personal Web for your data about your life on your computer, and you use it to navigate locally. You are not putting it on the open Internet. There are a lot of tools like Quicken or Microsoft Money where the bank systems come down the Net in a secure channel and they are supposed to work locally. You're not using Web technology; you're not going over the Internet. You don't put your personal data files on the Internet. We're talking about allowing you to combine -- on your desktop - personal information to which you have rights -- enterprise information to which you also have rights, and public information in a very rich view of the world.

Well, you said that for people to be able to handle data they need a lot of skill. Sometimes this is true but, for example, to use a calendar, you are creating data, right? When you create an address book, you are creating data. So these things have user interfaces which allow you to make things and never have a data problem, unless you are using an incompatible program. We are working at the moment to make this technology available to those who want it to do enterprise documents. We do not yet have Semantic Web technology available which is that easily usable by grandparents and children. That is true. That is something which we are developing at MIT. We have a team working exactly on that, making programs to allow people, normal people, to read and write and process their data.

*When the Semantic Web achieves its full potential, will it start a second Internet boom?*

*Berners-Lee:* Well, in a way it's already starting, but I don't think the Web has reached its full potential yet, and it's been around for almost sixteen years now. The Semantic Web is going to take off particularly when we see people using it for data processing, when we see people using it in more and more things, adding personal data, adding files to government data. But I think it will take many years, because so much will be done on top of it.

*What is Net neutrality? What's your position on it?*

*Berners-Lee:* Net neutrality is the fact that when I pay money to connect to the Internet and you pay money to connect to the Internet, then we can communicate, no matter who we are. What's very exciting at the moment is that video is happening on the Web. YouTube gets a lot of attention, because they are delivering video over the Web.

Now suppose I'm in Massachusetts and I want to find a Brazilian movie. I go to the Internet to find my favourite independent movie and filmmaker. But then the cable company in Massachusetts blocks the transmission and says, "No, we won't let you do this, because we sell movies. So, yes, we do the Internet but on the other hand we will stop you from seeing Internet movies. We want to be able to control which movies you buy."

We've seen cable companies trying to prevent using the Internet for Internet phones. I am concerned about this, and am working, with many other committed people, to keep it from happening. I think it's very important to keep an open Internet for whoever you are. This is called Net neutrality. It's very important to preserve Net neutrality for the future.

*In 2003, several governments proposed an international administration of the Internet, mirroring the set-up of the likes of the United Nations or the European Union. Do you think that Washington will ever allow that to happen?
*
*Berners-Lee:* I think that slowly the Internet will get more bureaucracy. I think it's inevitable. It's important to allow people in different countries, developing countries, to develop their use of the Internet as quickly as possible. But the administration of something so big will never be controlled by a unique bureaucracy. I don't know what form that bureaucracy will take, since there is a lot of politics involved. But I would say it's very important that it should be government free and without censoring the people who use it.

*You once said the Web was created to solve a frustration you had at CERN. What was that and how did it happen?*

*Berners-Lee:* CERN is a wonderful diversity of cultures, because people come there from all over the world to do physics. In 1989, at the time before the Web, I wrote a memo [proposal for information management] explaining what it would be like to have the Web. I mentioned the hypertext system, the World Wide Web if you like, as a method to add and edit data. My perception was that I wanted all the information in CERN's network to be available easily. I wanted to develop the tools to allow people to collaboratively build and use information. I wanted people to be able to design software and specific experiments, by using something together in different aspects.

So the Web originally was supposed to be for collaboratively designing things. The first tool was a Web browser and editor as well, allowing people at CERN to use a document, edit it, change it and then send it, making links between Web pages and scientific documents.

The frustration was that I wanted to be able to work with people very easily in different countries, where they were using different machines, working with different database systems and sorting data in different formats.

*Lots of researchers made millions on the Web, but you preferred to keep developing standards. Don't you feel you missed the chance of a lifetime by not creating a proprietary Web?*

*Berners-Lee:* No, I don't, because if it was proprietary, people would not have used it, they would not have contributed to it. It would not have taken off and we would not be talking about it right now.

*Some people like Nova Spivak and Microsoft's cofounder Paul Allen work with a timeline that envisions the arriving of Web 3.0 by 2010 and a future Web 4.0 by 2020. Can you imagine what this Web 4.0 is supposed to be?*

*Berners-Lee:* (laughs) No, I don't do that. I think about real technology. I didn't invent the term "Web 3.0." The Web is constantly developing. If you want to see what's happening that I am interested in now, there are several technologies laced together. In Web 2.0 there are some technologies like JavaScript and others that are all standards that came out of allowing people to do things. Most standards are coming out now that will have a good push towards the mobile Web initiative, which is the use of the Web on lots of different devices.

In the future we will have the Semantic Web that will allow a whole lot of other things. One of the powerful things about networking technology like the Internet or the Web or the Semantic Web, one of the characteristics of such a technology is that the things we've just done with it far surpass the imagination of the people who invented them. Take for example the inventors of TCP/IP, the original protocols for communication between computers over the Internet, created by Vinton Cerf and Robert Kahn in 1974.

When I invented the Web, I thought of it as an infrastructure; I designed the Web as a foundation for many things. With Web 2.0, social networks and all kinds of things happen on top of it. When the Semantic Web arrives in the next few years, things will be using it in a way we cannot know yet. So, in a way, it's foolish to try to imagine what Web 4.0 will be like when we still don't know what will be done with 3.0. For Web 3.0 to succeed, the people who are studying it at this moment will have ideas which will enable the new technology. They will design fantastic things just like people with Web 2.0 are designing fantastic things right now. People working with the Semantic Web will make much more powerful things. We can't imagine what they will do. But we have to build the Web to be an infrastructure. It shall never be used for particularized purposes but just to be a foundation for future developments.

web 2.0 nedir?

Web 2.0, aslında web'e yeni bir bakış açısı.
Web'i html olarak gören ve eski kalmış standartların aksine, web uygulamaları seviyesinde bir bakış getiriyor. Aslında yeni bir standarttan söz etmiyoruz, anlamsal web (semantic web), web'i daha etkin - içindeki verilerin kolaylıkla analiz edilebileceği yeni çeşitli teknolojilerin, ortamların kullanıldığı bir web'den ve tabii ki yeni güvenlik sorunlarından söz ediyoruz.

Bu konuda ayrıntılı bilgi için:
http://en.wikipedia.org/wiki/Web_2
http://www.gnucitizen.org/blog/projections
http://arstechnica.com/news.ars/post/20060901-7650.html

Web İstatistikleri ne kadar doğru?

Web istatistiklerini almak için genelde AWstats yazılımını kullanıyoruz.
Ufak sistemler, mesela bu blog için Google Analytics' i güzel bir çözüm olarak karşımıza çıkıyor.

Web istatistiklerinin ne kadar gerçeği gösterdiği hakkında birkaç güzel yazı:
http://www.theideadude.com/2007/04/why-blog-statistics-dont-tell-full.html

http://markevanstech.com/2007/04/03/blog-stats-oranges-vs-apples-vs-plums-vs-pears/

Google Analytics hakkında
http://searchengineland.com/070508-133000.php

Web Güvenliği Günleri

Owasp Türkiye ve Web Güvenliği topluluğu bir süredir etkinliklerini yoğunlaştırdı.
Gelecek ay İstanbul'da yeni toplantılarını gerçekleştirecekler.
Bu toplantı hakkında ayrıntılı bilgiye ve kayıt işlemlerine http://www.webguvenligi.org/ adresinden ulaşabilirsiniz.

mizah - heykirblog

Hack olayı ile ilgili mizahsal bir site. Gülümseyerek takip ediyoruz
http://heykirblog.wordpress.com/

Msn şifresi çalanları tespit etmek

http://www.milliyet.com.tr/2007/06/10/son/sonyas05.asp

MSN şifrelerinizi çalanları nasıl tespi edeceksiniz?
Kişisel haberleşme ve sohbet programı MSN şifresi çalınanlara iyi haber. Ankara Adliyesi, MSN şifresinin çalındığı iddiasıyla kendilerine yapılan başvurularda olumlu sonuçlar aldıklarını belirtti.
Teknolojinin yaygınlaşmasıyla internet üzerinden yapılan haberleşmelerde büyük oranda bir artış meydana geldi. İnternet üzerinden yapılan haberleşmelerin büyük bir bölümünü de kullanıcıların karşılıklı kullandığı MSN programı oluşturuyor. Ankara Adliyesi Cumhuriyet savcıları, son dönemlerde kendilerine ’MSN şifremi çaldılar’ şeklinde başvuruların yapıldığına dikkat çekerek, "MSN şifresini kimin çaldığını ve kullandığını kısa sürede tespit edebiliyoruz" haberini verdi.
MSN şifre hırsızları hakkında bilişim suçlusu işlemleri yaptıklarını belirten yetkililer, MSN şifresini çalanları nasıl yakaladıklarını da şöyle anlattı:
"Microsoft Corporation’un Türkiye Temsilciliği İstanbul’da. Bu şirkete yazı yazarak, şifresi çalınan kişinin adresini kullanan kişilerin IP numaralarının tarih, ve saat detayları ile birlikte savcılığımıza gönderilmesini rica ediyoruz. Yaptığımız başvuru üzerine şirket, IP noların, tarih ve saatlerin olduğu dökümü bize gönderiyor. Daha sonra IP noları, karşısındaki tarih ve saatleri İl Telekom Müdürlüklerine göndererek kullanıcıları tespit ediyoruz"

ANKA

"Kurumsal Web Güvenliği Altyapısı" sunumu için Kopenhag yolundayım ...

Şu anda İstanbul hava alanında Milenium Lounge'da keyif çatıyorum. Aksi takdirde 3,5 saatlik bekleme sürem bu kadar keyifli geçmeyecekti. Eh bu kredi kartı sonunda bi işe yaradı hani :)

Terena Network konferansında Çarşamba günü 12:30 sularında (danimarka saatine göre 11:30, GMT+1) "Kurumsal Web Güvenliği Altyapısı" bildirisini sunuyor olacağım.

Bildiriye ve sunuma aşağıdaki adresten ulaşabilirsiniz:
http://tnc2007.terena.org/programme/presentations/show.php?pres_id=69

Eğer yanlış görmediysem, oturumları netten de yayınlayacaklar
http://tnc2007.terena.org
adresinden ulaşabilirsiniz sanırım

Web standartları

Web nereye gidiyor?
Web yayıncılığından daha etkin olarak nasıl yararlanabiliriz?
Web standartları aslında bu işleri daha kolaylaştırıyor.
Bu konuda başarılı bir sunum için:

http://boagworld.com/standards/

HTML - İçerik
CSS - Dizayn
Dom Scripting - Davranış (Behaviour)

Vaktiniz fazla yoksa, pdf'i de inceleyebilirsiniz:
http://media.libsyn.com/media/boagworld/BenefitsOfStandards.pdf

Daha teknik bir sunum için:
http://www.hotdesign.com/seybold/

Saldırgan davranışlarını incelersek ...

Bruce Schneier'in "Hackers are coming" http://www.schneier.com/essay-097.html
yazısını incelemenizi öneririm. Kendisi saldırganları ikiye ayırmış:
- Hobi olarak yapanlar
- Suçlular (para ..vb elde etmek için)

Her ikisinin de davranışları farklılıklar içeriyor.

Gidişat şudur ki, artık saldırganlar kişisel bilgilerin ve bilgisayarların peşinde. Kurumlara yapılan saldırılar sonucunda şifreler ve kişisel bilgiler çalınıyor. Kurumlar çoğunlukla bu tür olayları duyurmuyorlar ve pek kayıpları olmuyor. Kişisel bilgilerin çalınması sonucunda, olan yine kullanıcılara oluyor.

web uygulama güvenliği anketi

Jeremiah Grossman 'ın web uygulama uzmanları arasında düzenlediği anketi aşağıdaki linkte bulabilirsiniz:

http://jeremiahgrossman.blogspot.com/2007/01/web-application-security-professionals.html

web açığı bulunca ne yapacaksınız?

Bir web sitesinde bir açık bulduğunuzda bunu raporlamak iyi bir fikir mi?
Ya sonra başka bir açıktan o web sitesi, web uygulaması kırılırsa,
ilk akıllarına gelen siz mi olursunuz? (ki olursunuz kesin :) )

Bu konuyla ilgili ilginç birkaç yazı:
http://www.csoonline.com/read/010107/fea_vuln.html
http://chuvakin.blogspot.com/2007/02/saas-web-hacking-suing-and-stuff.html

Özetle çok riskli bir durum bu.
Bu tür süreçlerin, yapılacaksa CERT/CSIRT 'e iletilmesi
ve CERT/CSIRT 'ün bu konularda etkin olması gerekiyor.

Lakin bu konuda Amerika'da bile yasal bazı sorunlar yaşanırken,
ülkemizde nasıl bir yaklaşım olur ?

güvenlikte en büyük sorunlar

Bruce Schneier der ki
"sometimes your biggest security problems are ones that you have no control over."

Sonuçta güvenlik konusunda kontrol edemediğimiz durumlar var ve çözümleri pek efektif değil.
Her çözüm, sistemlerin kullanılabilirliğini azaltığı gibi
şu anki saldırıları engelleyen çözümler,
ne yazık ki gelecekte başımıza gelecek yeni saldırıları engellemeyecek.

Yeni saldırılar daha karmaşık ve çözümü daha zor olacak ...

Penetration Test

Penetrasyon Testlerinin Eksiklikleri http://www.bilgiguvenligi.org/2006/10/penetrasyon-testlerinin-eksiklikleri.html
yazısında, bu testlerin bazı eksiklikleri dile getirilmis.

Yazıda da değinildiği üzere, kısa sürede yapılan bu testlerin çok verimli olabilmesi de beklenmemeli

"False sense of security" durumuna da dikkat etmek gerekir.
Yani nasılsa testi geçti - güvendeyiz hissi yanlıştır.
Bulunamayan zafiyetler veya gelecekteki zafiyetler ne olacaktır?

Tabii ki hiç yoktan iyidir, saldırgan'lar bulmadan temel zafiyetleri kapatmaya,
zafiyet alanını daraltmaya yararlar.

Zafiyet testi, öncelikle anlık bir testtir,
Yani gelecekte var olabilecek, ya da bulamadığı zafiyetleri içeremez.
Düzenli olarak uygulanması gerekecektir.

Ranum'un güvenlikte 6 yanlış fikiri içerisinde de penetration da geçiyor
http://www.ranum.com/security/computer_security/editorials/dumb/

Ranum'un Her dediğine katılamasam da, katıldığım ciddi noktalar da var.
Schneier'in sayfasındaki tartışmalar ilginizi çekebilir.
http://www.schneier.com/blog/archives/2005/09/marcus_ranums_t.html

Bu testlerin daha başarılı olabilmesi için, ağ farkındalığı "network awareness" da gerekecektir. Bu yüzden, ağı iyi bilen bir ekiple birlikte çalışılması ve destek alınması zaman kazandıracak ve daha iyi sonuçlara yol açacaktır.

Ar.Gör. Enis Karaarslan
ULAK-CSIRT

XSS artmakta

21 Eylül tarihli incelemede, XSS saldırılarının arttığı
ama saldırıların ciddiyeti olmadığı belirtilmiş - bu açığa sahip siteler
http://sla.ckers.org/forum/read.php?3,44,632 forumlarında anlatılıyormuş.

Hackers Reveal Vulnerable Websites
http://www.darkreading.com/document.asp?doc_id=104313

Aslında yapılan sikript çalıştırarak bir pencere açmak.(blogger asıl kodu sildi demin ;-) )
Ama daha ciddi saldırılar da bu yöntemle yapmak, özellikle de son kullanıcıyı aldatmak mümkün.

İşin ilginci geliyor. Bu haber bir iki saat içerisinde XSS'a maruz kalmış. Detayları da yazarı, "dediğimiz başımıza geldi" haberi ile vermekte.

I Shadow - XSS Crossover
http://www.darkreading.com/blog.asp?blog_sectionid=342&WT.svl=blogger1_1

Her gelen maile inanmak?