-671% increase of malicious Web sites
Websense'in yapmış olduğu bir araştırmada zararlı yazılımların yayılmaları hakkında bilgi veriyor.
http://www.net-security.org/malware_news.php?id=1108
 
 -Security software firm to create 120 jobs
Güvenlik firması Mcafee 120 yeni eleman alımı için düğmeye bastı
http://www.irishtimes.com/newspaper/finance/2009/0923/1224255063030.html

-Gartner Mobile Data Protection Magic Quadrant 2009
Gartner'in mobil veri güvenliği konusundaki MQ çalışması yayınlandı. Aşağıdaki adresten rapora erişim sağlanabilir.
http://resources.mcafee.com/content/NAMobileDataMQReport

-Security software market to grow 8% in 2009
Güvenlik dünyasına hitap eden yazılımlar 2009 yılında tüm yazılım sektörü içerisinde toplamda %8 lik bir büyüme yaşadı.
http://www.net-security.org/secworld.php?id=8137

- Google Groups trojan`ı yayılıyor.
Google groups üzerinden yayılan trojan her seferinde escape2sun adlı bir Çin haber grubuna girip burada bulunan sayfadan index numarası, çalıştırılacak komut ve indirilecek dosya ismini alıyor. RC4 stream cipher ve ardından  base64 encoded olarak saklanan komutlar ve sayfa üzerinden trojan sahibi bilgilere ulaşıp komutları yenileyebiliyor.
http://www.theregister.co.uk/2009/09/14/google_groups_control_trojan/


[Kritik seviye güvenlik açıklıkları]

Windows Sistemler


Linux

-Red Hat kernel security update
https://rhn.redhat.com/errata/RHSA-2009-1457.html

-Linux Kernel AppleTalk Driver IP Over DDP Remote Denial of Service Vulnerability
http://www.securityfocus.com/bid/36379

-Check Point Connectra Input Validation Hole in Login Page Permits Script Injection Attacks
http://securitytracker.com/alerts/2009/Sep/1022917.html


[Yeni çıkan/güncellenen güvenlik yazılımları]

-MSSQLScan v0.8.4

-Dictionary based rainbow table password cracker
Belirlenen sözlük içeriğine göre rainbow table oluşturup hash tipinde saklı şifrelerin bulunması için kullanılabilir bir yazılım.
http://reusablesec.googlepages.com/drcrack

-john-1.7.3.4 sürümü çıktı
Parola kırma araçlarının vazgeçilmezi John Th Ripper'in yeni sürümü çıktı. Bu sürümde varolan bazı hatalar giderildi.
http://www.openwall.com/john/


-BeEF 0.4 sürümü yayınlandı
Browserlardaki belirli güvenlik açıklıklarının nelere sebep olabileceğini göstermek için kullanılan Beef(browser exploitation framework) yazılımın yeni sürümü yayınlandı.
http://www.bindshell.net/tools/beef

-Grendel Scan: Web Uygulama Güvenlik Tarayıcısı
Grendel Scan, açık kaynak koda sahip ve ücretsizdir. Aynı zamanda “404 error” tespitinde bulunan bu araç çoklu platformları desteklemektedir.
http://btguvenliktest.com/wordpress/?p=38

http://www.spiceworks.com/ (Win) -MiniFuzz
http://www.microsoft.com/downloads/details.aspx

[Haftanın güvenlik yazılımı]

Yazılım adı         :P0f
İndirme adresi    :http://lcamtuf.coredump.cx/p0f.shtml
İşlevi                : Pasif işletim sistemi  belirleme aracı
Ortamı              : Linux/UNIX/Windows

p0f network üzerinden dinleme yaparak gelip giden paketlerden paketleri gönderen sistemlerin hangi işletim sistemine sahip olduğunu belirlemek için kullanılan bir araçtır. İşletim sistemi yanında hedef sistemin uptime süresi, varsa load balancer firewall gibi ek cihazları da belirleyebilir.

Genellikle işletim sistemi belirleme için Nmap, Nessus, Xprobe gibi araçlar kullanılır, bu araçların ortak özelliği hedef sisteme çeşitli özel paketler göndererek dönen cevaplardan işletim sistemini belirlemektir. Bu tip bir belirleme yönteminde hedef sistem önünde bulunan IDS/IPS gibi sistemlere yakalanma oranı yüksektir. P0f ise hedef sisteme herhangi bir paket göndermeden sadece dinleme modunda işletim sistemi saptama yapar.

[root@vps-fw ~]# p0f
p0f - passive os fingerprinting utility, version 2.0.8
(C) M. Zalewski <lcamtuf@dione.cc>, W. Stearns <wstearns@pobox.com>
p0f: listening (SYN) on 'rl0', 262 sigs (14 generic, cksum 0F1F5CA2), rule: 'all'.
216.9.253.87:33269 - Linux 2.6, seldom 2.4 (older, 4) (NAT!) (up: 1762 hrs)
  -> 10.10.10.2:110 (distance 18, link: GPRS, T1, FreeS/WAN)
189.74.181.188:18221 - Windows 2000 SP2+, XP SP1+ (seldom 98)
  -> 91.93.119.80:25 (distance 13, link: pppoe (DSL))
200.164.86.74:61665 - Windows 2000 SP4, XP SP1+
  -> 91.93.119.80:25 (distance 14, link: ethernet/modem)
122.161.82.83:2453 - Windows 2000 SP4, XP SP1+
  -> 91.93.119.80:25 (distance 15, link: pppoe (DSL))
77.121.0.19:3336 - Windows 2000 SP4, XP SP1+
  -> 91.93.119.80:25 (distance 10, link: ethernet/modem)
115.161.223.153:3058 - Windows XP/2000 (RFC1323+, w+, tstamp+) [GENERIC]
  Signature: [65535:110:1:64:M1460,N,W3,N,N,T0,N,N,S:.:Windows:?]
  -> 91.93.119.80:25 (distance 18, link: ethernet/modem)
91.93.119.80:54291 - UNKNOWN [65535:63:1:48:M1460,S,E:P:?:?]
  -> 208.184.224.88:25 (link: ethernet/modem)
59.184.152.171:3761 - Windows 2000 SP2+, XP SP1+ (seldom 98)
  -> 91.93.119.80:25 (distance 15, link: (Google/AOL))
189.243.35.233:3821 - Windows 2000 SP2+, XP SP1+ (seldom 98)
  -> 91.93.119.80:25 (distance 10, link: pppoe (DSL))
65.55.34.208:45597 - Windows 2000 SP4, XP SP1+
  -> 91.93.119.80:25 (distance 10, link: ethernet/modem)
91.93.119.80:62738 - UNKNOWN [65535:63:1:48:M1460,S,E:P:?:?]
  -> 207.246.196.124:25 (link: ethernet/modem)
91.93.119.80:62928 - UNKNOWN [65535:63:1:60:M1460,N,W3,S,T:.:?:?] (up: 5500 hrs)
  -> 155.223.64.165:25 (link: ethernet/modem)
65.55.90.112:20018 - Windows 2000 SP4, XP SP1+
  -> 91.93.119.80:25 (distance 11, link: ethernet/modem)

^C+++ Exiting on signal 2 +++
[+] Average packet ratio: 190.91 per minute.

#p0f -V  'tcp  port 80'

istenirse '' arasında bpf sentaksına  uygun filtreler yazılarak da kullanılabilir.

İşletim sistemine göre firewall kuralı yazma

Packet Filter güvenlik duvarında işletim sistemine göre kural yazma esnekliği vardır. Bu özellik p0f'dan esinlenerek yazılmıştır. İşletim sistemine göre kural yazarak ağınızda bulunan eski tip işletim sistemlerinin internete çıkışını engelleyebilirsiniz.

Güvenlik duvarıyla birlikte kullanılırken dikkat edilmesi gereken en önemli husus p0f çıktılarının doğruluğudur. Yani Windows 2000 sistemleri yasaklayacağım derken Windows 2003 sistemleri engellemek işimize gelmez. Bu konuda p0f'un güveenilirliği %99 üzerinde olsa da kritik sistemlerde engelleme değil sadece loglama amaçlı kullanılmalıdır.

Aşağıdaki firewalll kuralı işletim sistemi Windows 2000 olan ve SMTP bağlantısı yapmaya çalışan sistemleri bloklamaktadır.

block in on $ext_if proto tcp from any os "Windows 2000" to $ext_if port 25

Alternatif araçlar: Ettercap, Network Miner


[Haftanın Misafiri]

Türkiye'de bilgi güvenliğinin çeşitli dallarında çalışan uzmanları tanıtıyoruz. Bu haftaki konuğumuz OWASP-TR kapsamında Web Uygulama Güvenliği üzerine çalışmalarıyla tanınan Bedirhan URGUN.

NGB)Kısaca kendinizden bahsedebilir misiniz?

Bedirhan URGUN:Lisans ve yüksek lisans eğitimini bilgisiyar mühendisliği alanında tamamladım. Profesyonel çalışma alanım güvenli yazılım geliştirme süreçleri ve web uygulama güvenliği. Özellikle güvenli geliştirme süreçleri bir çok alt konudan oluşuyor ve büyük kurumsal şirketlerde uygulanması tam bir hendek-deve vakası. Meraklarım ise daha çok yeşil bir saha ve beyaz bir top etrafında oynanıyor...

NGB)Güvenlik işine nasil bulaştınız?

Bedirhan URGUN: Güvenlik işine duyduğum ilgi yüksek lisans sırasında aldığım bir ders (William Stallings, Cryptography and Network Security) ile başladı. İlk başlarda yazılım ve güvenliği birleştirebileceğim bir alan arıyordum. 2005 senesinde Tubitak-UEKAE'de çalıştığım sırada bir çalışma arkadaşım web güvenliğine yönlendirdi beni. Daha sonra her akşam iş çıkışı yazıcı çıktıları ile eve gittiğimi hatırlıyorum.

NGB)Turkiye'de bilgi guvenligi konusunu degerlendirebilir misiniz

Bedirhan URGUN:Bir çok zorluk ve eksiklik olduğu aşikar ama bu bir istisna değil. Hem kurumsal hem de kamusal alanlarda bilinçlendirme konusunda elimizden geleni yapmamız şart. Bu alanlara, özel şirketler olduğu kadar üniversiteler (hatta liseler) ve diğer kamu kurumları da dahil.

NGB)Bu ise yeni baslayanlara neler onerirsiniz?

Bedirhan URGUN:Bilgi güvenliği alanının her konusunda yeni işe başlayanlara kendini yetiştirmek isteyenlere önerim, araştırmacı ruhlarını ön plana koymalarıdır. Her zaman sistematik çalışma yapmamız mümkün olmayabilir ama temel konuların iyi öğrenilmesi çok önemli (network protokolleri, yazılım temelleri, temel ingilizce, v.b.). Bu süreç bazıları tarafından karate öğrenme sırasında yapılan "cilala parlat" tekniği olarak da bilinir. Ayrıca arkadaşlarımızın her ne kadar ilk bakışta heyecanlı gelse de gücün karanlık tarafına geçmemelerini öneriyorum.

NGB)Sizce 2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor olacak?

Bedirhan URGUN:Bilgi güvenliğinin ana konuları değerini yitirmeyecektir; risk/açıklık yönetimi, açıklıklar, standardlar. Yakınsama süreci gerçekleştikçe mobil güvenliğin önemi bir o kadar artacaktır. Her ne kadar eski yapılan hatalardan dersler çıkarılıp, uygulansa da kullanıcı/cihaz sayısının ve bağımlılığın artması beraberinde bilgi güvenliğinin çok daha ciddiye alınmasını getirecektir.

NGB) Zaman ayırarak sorularımıza cevap verdiğiniz için teşekkür ederiz.


[Etkinlikler]


-Web Güvenlik Topluluğu(OWASP-TR) buluşuyor
26 Eylül Cumartesi saat 14:00′de Taksim/İstanbul’da buluşuyor.
http://www.webguvenligi.org/etkinlik/bulusma-26-eylul.html

Oracle Developer Day: 15 Ekim 2009

-Internal Security Awareness
http://www.shibumidojo.org/index.php/2009/08/17/internal-security-awareness/

-SNMP and Security
http://www.shibumidojo.org/index.php/2009/07/25/snmp-and-security/

-Firewall management today and tomorrow
Firewall yönetiminin bugünü ve geleceği üzerine...
http://www.net-security.org/article.php?id=1300

Ücretsiz online metasploit kursu notları

[Türk medyasında güvenlik]

-Saldırılarda Uygulamalar Hedefleniyor
http://turk.internet.com/haber/yazigoster.php3?yaziid=25022

-Müyap'tan Bayram Hediyesi, 100 Kadar Site Engellendi
http://turk.internet.com/haber/yazigoster.php3?yaziid=25051



[Duyurular]