-Fedora Security Update Fixes Kernel Security Bypass and DoS Issues
[Yeni çıkan/güncellenen güvenlik yazılımları]
-Code Crawler v2.4 Beta - OWASP Code Review Tool
Code Crawler, kodları yeniden gözden geçirmeye yardımcı olmak için
geliştirilmiştir. Bu araç sitatik .NET ve J2EE/JAVA kodlarınız yeniden gözden
geçirebilirsiniz.
-VAST(VIPER Assessment Security Tools) beta 2.70 çıktı
VIPEr tarafından geliştirilen voip güvenlik ürünlerinin ve pentest araçlarının yer aldığı Livecd yayınlandı. Dağıtımla birlikte aşağıdaki araçlar gelmektedir. UCsniff, VideoSnarf, Videojak, Metasploit, SecurLogix Tools, Hydra, Nmap, tshark, Sipvicious, SIPp, Netcat, Warvox, Hping2,
http://vipervast.sourceforge.net/ http://btguvenliktest.com/wordpress/?p=92
-Hyenae 0.35-1 çıktı
Windows işletim sistemi üzerinde çalışan ağ paket üreticisi Hyenae yazılımının yeni sürümü çıktı. Bu sürümde çişitli buglar ve yeni özellikler eklenmiş. Detay bilgi için yazılımın sayfası ziyaret edilebilir.
http://hyenae.sourceforge.net/
-10 add-ons for Firefox: Privacy and security
Firefox dünyasında güvenlik ve gizlilik üzerine derlenmiş 10 adet Güvenlik ve Gizlilik eklentisi.
-wsScanner – Web Services Footprinting, Discovery, Enumeration, Scanning and Fuzzing tool
WsScanner, Web servisleri tarama ve açıkları tespit araç kitidir.
-JBroFuzz v1.6 released
HTTP ve/veya HTTPS üzerine yapılan istekler için geliştirilmiş bir web uygulama fuzzer’dır.
-PDFinjector – PDF içerisine JavaScript Enjekte Etme
PDF dosyaları içerisine JavaScript enjekte edebilen bir python script’tir.
-Metasploit v3.3-Dev - Pre-stable version
Metasploit v3.3 Pre-Stable versiyonu duyuruldu. Kasım sonuna doğru stable versiyonu çıkacak. Metasploit Framework, Bilindiği üzere metasploit oldukça başarılı ve ücretsiz olarak dağıtılan, açık kaynak kodlu bir exploit platformudur.
[Haftanın güvenlik yazılımı]
Yazılım adı :Theharvester
İndirme adresi :
http://www.edge-security.com/theHarvester.phpKategori : Bilgi toplama
Ortam :Linux/Windows
İşlevi : Google, msn, pgp, linkedin gibi ortamlardan belirli domainlere ait e-postaları bulmak için kullanılan küçük ama faydalı bir scriptdir.
Günümüz siber güvenlik tehditlerinin büyük bir çoğunluğu son kullanıcıları hedef almaktadır. Sunucu sistemler ve ağ sistemlerinde alınan önlemler saldırganları büyük oranda durdurabildiği için hackerlar istemcileri avlayarak onların üzerinden şirket ağlarına sızmayı denemektedirler.
Kullanıcıları avlamanın en kolay yolu da onların e-postalarına çeşitli yem mailler göndererek belirli linklere tıklamalarını sağlamak ya da gönderilen dosyaları açmalarını sağlamak(PDF, Ppt, doc vs)tır. Bundan sonrası hackerin becerilerine ve kullandığı yazılımlara bağlı olarak değişecektir.
Sadece şunu söylemekle yetinelim, tıkladığınız bir link ya da müdürünüzden geliyormuş gibi gözüken bir pdf, ofis dosyasını açmaya çalışmanız bilgisayarınızı bir zombi haline getirebilir, iç ağınıza sızılmasına sebep olabilir. Kullanıcı bilgisayarlarında yüklü olan antivirüs programları bu tip zararlı kodları engellemekte malesef çok yetersiz kalmaktadır.
Risk bu kadar büyük olunca güvenlik testlerinde(penetrasyon testleri) artık istemci testleri önemli yer tutmaya başladı. İstemci testleri yapmanın en temel adımı onlar hakkında bilgi toplamak olacaktır ve bunun ilk adımı da e-posta adreslerinin bulunmasıdır. Bu haftaki yazılımımız olan theharvester tam bu iş için biçilmiş kaftan diyebiliriz. bizim adımıza bir domaine ait e-postaları arama motorları vasıtasıyla bularak raporlar.
Theharvester Kurulumu
# wget http://www.edge-security.com/soft/theHarvesterv1.4b.tar
# tar xvf theHarvesterv1.4b.tar
# cd theHarvesterv1.4Kullanımtheharvester scriptini kullanmadan önce çalıştırma izni verilmesi gerekmektedir. chmod +x komutuyla çalışma izni verildikten sonra
# chmod +x theHarvester.pyaşağıdaki komutla script çalıştırılabilir.
# ./theHarvester.py
*************************************
*TheHarvester Ver. 1.4b *
*Coded by Christian Martorella *
*Edge-Security Research *
*cmartorella@edge-security.com *
*************************************
Usage: theharvester options
-d: domain to search or company name
-l: limit the number of results to work with(msn goes from 50 to 50 resul ts,
google 100 to 100, and pgp does'nt use this option)
-b: data source (google,msn,pgp,linkedin)
Examples:./theharvester.py -d microsoft.com -l 500 -b google
./theharvester.py -d microsoft.com -b pgp
./theharvester.py -d microsoft -l 200 -b linkedinÇıktıdan da görüleceği gibi theharvester'in kullanımı oldukça basittir. Hangi arama motorunda hangi domaine ait e-postaları bulmak istediğimizi
söylememiz yeterli olacaktır. Burada dikkat edilmesi gereken husus -l parametresi ile belirtilecek limit değeridir. Bu değer arama motorlarından
dönen cevaplardan kaç tanesinde e-posta arama yapılacağını belirler. Bu değeri yüksek tutmak her zaman daha geniş sonuçlar almamız yol açar, aynı
zamanda sonuç alma süresini uzatır.
# ./theHarvester.py -d linux.org.tr -l 1000 -b google*************************************
*TheHarvester Ver. 1.4b *
*Coded by Christian Martorella *
*Edge-Security Research *
*cmartorella@edge-security.com *
*************************************
Searching for linux.org.tr in google :
======================================
Total results: 743000
Limit: 1000
Searching results: 0
Searching results: 100
Searching results: 200
Searching results: 300
Searching results: 400
Searching results: 500
Searching results: 600
Searching results: 700
Searching results: 800
Searching results: 900
Accounts found:
====================
root@gsu.linux.org.tr
linux@liste.linux.org.tr
tolun.ardahanli@linux.org.tr
berke@gsu.linux.org.tr
...
...
...
392FEB2E.10996FFD@gsu.linux.org.tr
degere@linux.org.tr
ad.soyad@linux.org.tr
@linux.org.tr
ftp@linux.org.tr
linux@linux.org.tr
kitap@linux.org.tr
eker@linux.org.tr
mustafa.akgul@linux.org.tr
seminer@linux.org.tr
====================
Total results: 35
[Haftanın Misafiri]
Güvenlik kahvesinin bu haftaki konuğu web uygulama güvenliği üzerine çalışmalarından tanıdığımız OWASP-TR'den Ferruh MAVİTUNA.
Satır aralarında hem kendisiyle hem de güvenliğe bakış açısıyla ilgili önemli bilgiler yer almakta.
NGB: Kısaca kendinizden bahsedebilir misiniz?Ferruh MAVİTUNA: Lise mezunuyum, Uzun süredir web uygulaması güvenliği konusunda çalışıyorum, özellikle otomatik olarak güvenlik açıklarının tespiti ve exploit edilmesi ilgimi çok çeken konulardan. Bir dönem Türkiye' de çalıştıktan sonra İngiltere' de bir güvenlik firmasında çalışmaya başladım. Bir kaç ay kadar önce çalıştığım firmadan ayrılıp kendi firmamı kurdum, bu firmada benim 3 senedir üzerinde çalıştığım bir web uygulaması güvenlik tarayacısının geliştirilmesine devam edip, satışa hazır hale getiriyoruz.
Sanırım en büyük hobim bilgisayar, onun harici iyi bir kitap okuyucusu ve çok daha iyi bir Call of Duty oyuncusuyum :)
NGB: Güvenlik işine nasil bulaştınız?Ferruh MAVİTUNA:Aslında güvenlik işine girmem biraz komik, programcı olarak çalıştığım zamanlarda sevdiğim bir arkadaşım askerden aradı ve "ya Ferruh şu siteleri hackliyorlarmış falan, sen bu bilgisayar işini biliyorsun bir baksana güzel bir olaya benziyor" dedi. Ben de baktım :) Ondan sonra bu iş ben de büyük bir hobi olmaya başlayınca ve yurt dışındaki bir finans kurumu ile de ticari olarak anlaşınca programcılıktan güvenlik sektörüne kaydım ve orada kaldım.
NGB: Turkiye'de bilgi guvenligi konusunu degerlendirebilir misinizFerruh MAVİTUNA:Açıkçası son 3 senedir Türkiye güvenlik sektörünü ticari açıdan çok yakından izleyemiyorum ama ciddi sorunlarımız olduğu kesin. Sorunun çözülmesi için iki şeyin gelişmesi gerekiyor. Regülasyon, bu finansal sektörde hızla ve başarılı şekilde ilerlerken ticari sektörde PCI gibi yetersiz standartlardan başka bir şey yok. İkincisi ise data kaybı gibi sorunlarda kanuni sorumluluk. Yani bir sistemden birilerinin kişisel bilgileri, kredi kartı gibi bilgileri çalındığında ilgili kurumun bu zarardan sorumlu tutulması gerekiyor. Bu konuda çalışmalar vardı ama henüz aktif şekilde yürürlükte değiller diye biliyorum.
Benim gözlemlediğim kadarıyla henüz ticari saldırılar da Türkiye' de o kadar doruk noktasına ulaşmış durumda değil. Ticari saldırılar büyüdükçe ve medyada daha çok yer aldıkça, kurumlar da güvenliği daha dikkate almaya başlayacaktır. Işin devlet bazındaki durumu da çok kötü gözüküyor ama o bambaşka bir konu...
NGB: Bu ise yeni baslayanlara neler onerirsiniz?Ferruh MAVİTUNA:Once Ingilizce, sonra okumak, denemek, daha fazla okumak, daha fazla denemek. Bu döngüyü ne kadar çok takip ederseniz o kadar iyi olacaktır. Bir de bilmediğini bilmek. Bu sonuncusu sadece yeni başlayanlara özel değil öğrenmeye devam etmek isteyen herkes için.
NGB: Sizce 2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor olacak?Ferruh MAVİTUNA: Bilişim sektöründe bir gün sonrasını bile tahmin etmek zor ama web açısından nacizane aklıma gelen bir kaç noktayı söyleyeyim. SaaS' ın popülerleşmesi yükselerek devam edecek gibi bu da cloud-computing ve SaaS güvenliğini çok daha önemli bir hale getirecektir. Gene bunun etrafında dönen web servisi güvenliği ve web uygulamlarının API güvenliği exploit ediliyor olacak ve siteler arası paylaşılan component' lar (widget vs.) başa çok bela açacak gibi. Tüm bunların etkisi de istemci tarafında daha çok güvenlikle ilgili "cross-domain policy" gibi standartların implemente edilmesini getirecektir.
Teşekkürler,
NGB: Zaman ayırarak röportajımıza katıldığnız için teşekkür ederiz.
[Etkinlikler]
-DOS, DDOS Atakları ve Korunma Yöntemleri
15 Ekim 2009 Perşembe, 14:00 - 17:00
Microsoft İstanbul Ofisi
Konuşmacı: Huzeyfe ÖNAL
Kayıt adresi
-ISSA ISTANBUL+2009 IT Security Seminar
15 Ekim 2009 - Doğuş Üniversitesi
http://www.issatr.org
-IBM Yazılım Zirvesi 2009
15 Ekim 2009, Sheraton Otel, Ankara
22 Ekim 2009, Swissotel the Bosphorus, İstanbul