-Microsoft .NET Framework Açıklıkları
-Microsoft Local Security Authoriy System
-Microsoft Windows Ortam Oynatıcı Bellek Taşması
[Yeni çıkan/güncellenen güvenlik yazılımları]
-Wireshark v1.2.3, v1.0.10, ve v1.3.1 Çıktı
-AirSnare – Wireless IDS (Kablosuz Ağ Saldırı Tespit Sistemi)
Kablosuz ağ bağlantınızı görüntüleyip, ağınıza gerçekleştirilen saldırıları belirlemenizi sağlayan bir programdır.
-Scrawlr – SQL Injection Arama Aracı
Hem bir web spider’i hemde buldugu URL’leri tarayan bir SQL Injector diyebiliriz.
-Truecrypt 6.3 released
OpenSource dünyasında en çok kullanılan şifreleme yazılımlarından biri olan Truecrypt'in yeni versiyonu yayınladı. Yeni sürümde Windows 7 desteği ve Mac OS X 10.6 Snow Leopard desteği eklendi.
GreenSQL açık kaynak kodlu bir veritabanı güvenlik duvarıdır.
-AutoNessus v1.3.2 Çıktı
AutoNessus düzenli nessus taramalarınızı otomatize edererek delta raporlama sağlamaktadır.
-Snort 2.8.5.1 released
OpenSource dünyasının en gelişmiş ve tercih edilen IDS/IPS sistemi olan Snort un yeni sürümü yayınlandı.
[Haftanın güvenlik yazılımı]
Yazılım adı :Subdomainer
İndirme adresi :
http://www.edge-security.com/subdomainer.php
Kategori : Bilgi toplama
Ortam :Linux/Windows
İşlevi : Google, msn, pgp, linkedin gibi ortamlardan belirli domainlere ait alt domainleri bulmak için kullanılan küçük ama faydalı bir scriptdir.
Güvenlik denetimlerinde en önemli adım kuşkusuz bilgi toplamadır. Bir testin kalitesi testin ilk adımı olan bilgi toplama aşamasındaki bulgulara bağlı olarak değişecektir. Bilgi toplama kısmında hedef sistem hakkında tüm bilgileri toplamak gerekir.
Bilgi toplama yöntemleri çeşit çeşit olmakla birlikte en kolayı bu iş için hazırlanmış araçları kullanmaktır. Subdomainer.py scripti parametre olarak verilen domaine ait tüm altdomainleri Google, Yahoo, MSN aracılığıyla bulur. Böylece hedef sistem hakkında internetten ulaşılabilecek tüm sistemleri test etme şansı yakalanır. Google'da olmayıp da internetten ulaşılabilecek alt domainler alternatif yöntemler(zone transferi, alt domainler icin deneme yanimla yöntemleri vs) denenerek ulaşılabilir.
Subdomainer kullanımı# python subdomainer.py -d sirket.com.tr -l 500 -m google*************************************
*Subdomainer Ver. 1.3b *
*Coded by Christian Martorella *
*Edge-Security Research *
*laramies2k@yahoo.com.ar *
*************************************
Searching for sirket.com.tr in google
=======================================
Total results: 27700000
Limit: 500
Searching results: 0
Searching results: 100
Searching results: 200
Searching results: 300
Searching results: 400
Subdomains founded:====================
www.sirket.com.tr
eczane.sirket.com.tr
kutuphane.sirket.com.tr
www2.sirket.com.tr
3Dwww.sirket.com.tr
...
domain.aspx?...sirket.com.tr
3Dkutuphane.sirket.com.tr
3Awww.sirket.com.tr
253Awww.sirket.com.tr
video?q...sirket.com.tr
20www.sirket.com.tr
2520www.sirket.com.tr
search.php?...sirket.com.trTotal results: 14
Going for extra check:www.sirket.com.tr ====> 11.22.33.5
eczane.sirket.com.tr ====> 11.22.33.4
kutuphane.sirket.com.tr ====> 1.4.6.1
www2.sirket.com.tr ====> 11.22.33.3
[Haftanın Misafiri]
Güvenlik kahvesinin bu haftaki konuğu Deniz ÇEVİK
NGB: Kısaca kendinizden bahsedebilir misiniz?
Deniz ÇEVİK: 1999 yılında Trakya Universitesi Bilgisayar Mühendisliği bölümünden mezun oldum. Sonrasında ise Yeditepe Univeritesinde Elektronik ticaret ağırlıklı bir MBA yüksek lisansı yaptım. Profesyonel çalışma hayatıma 1999 yılı içinde intellect firmasında başladım. Bu firmada güvenlik alanında oldukça farklı konuda çalışma imkanım oldu.
İlk yıllarımda daha çok network güvenliği, firewallar, IPS gibi sistemler ile uğraşırken son 4-5 yıldır daha çok güvenlik eğitimleri, denetim ve danışmanlık hizmetleri alanına kaydım. Ağların güvenli hale getirilmesini amaçlayan çok sayıda proje tasarımında ve kurulumunda çalıştım. Şu sıralar BizNET firmasında güvenlik denetim, danışmanlık ve eğitim hizmetleri üzerine çalışıyorum.
NGB:Güvenlik isine nasil bulastiniz?
Deniz ÇEVİK: Güvenlik konusu ile ilgilenmeye ciddi olarak üniversite yıllarında başladım. Kurumların henüz güvenlik konusunda yeni yeni yatırım yaptığı, syn attack ile sistemlerin göçtüğü, sendmail sayesinde root olunabilen, lquerpv komutları ile shadow dosyalarının rahatlıkla açılabildiği, winnuke ile ağda C&C oynayanların mavi ekranla tanıştığı güzel günlerdi.
Hep bu işlerin nasıl yapıldığını ve engellenebileceğini öğrenmeye yönelik ilgim oldu. Amacım mezun olunca yine bu alanda çalışmaktı ve arayışlarımı ona göre gerçekleştirdim. İşin ilginç yanı ilk iş görüşmemi de böyle bir firma ile yapmamdı. Pek çok kişinin bulamadığı bir fırsatı yakalayarak yapmak istediğim işe, iyi ve tecrübeli bir kadroya sahip firmada başlamış oldum.
NGB: Turkiye'de bilgi guvenligi konusunu degerlendirebilir misiniz
Deniz ÇEVİK:Türkiyede bilgi güvenliği konusuna verilen önem gün geçtikçe artıyor ama yapılan yatırımlar daha çok günü kurtarmaya yönelik oluyor. Bilgi güvenliği denilince algılanan kavram aslında bilgi güvenliğinin çok daha küçük bir bölümünü oluşturuyor. İnsanların önemli bir kısmı bilgi güvenliğini hala firewall, anti virus, 5651'den ibaret sanıyor. Bu insanların büyük çoğunluğu güvenlik işini "ne gerekiyorsa alıp kuralım güvenli olalım" mantığında sadece ürün satın almak ve kullanmaktan ibaret sanıyor. Testlerin, danışmanlığın, kurumsal bir politika geliştirilip buna ciddiyetle ve üst yönetimin tam desteği ile uygulanmasının gerekli olduğu henüz yeterince anlaşılamamış durumda.
Güvenlik ürün kadar hizmet ve beyin gücü gerektiren bir iştir. Bu iş sonucu üretilen ürün ise genellikle elle tutulamayan ve daha çabuk eskiyen bir üründür. Dolayısı ile kısa bir süre sonra eskiyecek veya yapılan işin değerini gösterme fırsatını genellikle bulamayacağınız bir yere büyük paralar saçmak istenmiyor. Bunun yerine asansörleri en lüks granitler ile döşemek için bütçe ayırmak daha doğru bir yaklaşım olarak ele alınıyor (gibi geliyor :)). Sonuçta bir sektörün gelişimi ona yapılan yatırımla doğru oranda artacaktır. Güvenlik alanına yapılan yatırımların artması, bu konuda hizmet veren ve ürün üreten kurumların sayısının artmasını sağlayacaktır. Yine kurumların kaliteli hizmet alabilmesi için, belirli miktarların üzerinde danışmanlık ücretlerini gözden çıkarmaları gerekmekteki, hizmet sunanlar o tecrübede insanları elde tutabilsinler.
Yurtdışında güvenlik gereksinimlerini tanımlayan ve zorlayan regülasyonlar Türkiye'de çok eksik veya olsa bile uygulanmasında lakayt davranılıyor. BDDK'nın tebliği en ciddi uygulananlar arasında. PCI hala kaçamak şekilde uygulanıyor. Sarbannes Oaxley benzeri borsaya kote şirketleri zorlayacak bir kanun/yönetmelik SPK tarafından zorlanmıyor. ISO 27001 konusunda yeteri kadar teşvik/zorlama yok. BTK'nın yaptığı bazı düzenlemeler ve yeni planlanan e-devlet ve bilgi toplumu kanun tasarısı bu konuda yakın zamanda bazı ilerlemeler sağlayabilir gibi duruyor. Sanırım bunların etkin uygulanabilmesi için yurtdışında olduğu gibi medyaya yansıyan önemli güvenlik ihlallerinin türkiyede de olmasını bekleyeceğiz
Güvenlik hizmeti veren firmalar için bir akreditasyon mekanizması yok. İş kalitesi için zorunlu tutulan kriterler yok. Firmalar ya elemanlarına aldırdıkları sertifikalar ile ya da reputasyonlarını kullanarak satış yapmaya çalışıyorlar. Böyle bir kriter hazırlayabilecek, firmaları eğitebilecek ve hatta akredite edebilecek nitelikteki kuruluşlar ise bunları yapmak yerine hem kamu hem de özel sekörde, güvenlik hizmetleri veren firmalara karşı ihalesiz iş alabilmek, bütçe sorunu olmamak gibi avantajları kullanarak ciddi bir şekilde haksız rekabet ediyor, bana göre sektöre zarar veriyor.
Güvenlik firmaları pek çok nedenden dolayı para kazanmak için ürün satışını tercih ediyor, güvenlik için yazılım veya teknoloji üretmeye çabalayan firmalar yeterli desteği göremiyor.
NGB: Bu ise yeni baslayanlara neler onerirsiniz?
Deniz ÇEVİK: Yeni başlayan arkadaşlarda bizim ilk aradığımız şey çalışma azmi ve öğrenme isteğidir.
Sürekli kendilerini geliştirme arayışında olsunlar. Bunun için önlerinde internet gibi inanılmaz bir kaynak bulunuyor. Her kapının başka bir kapıyı açtığı inanılmaz bir kütüphane. İşe başlarken hizmet veren bir firmada çalışmaları daha hızlı tecrübe kazanmalarına ve farklı sistemler, yapılar görme fırsatı sunacaktır. Bu onlara bilgiye daha hızlı sahip olma ve tecrübe açısından çok şey kazandıracaktır.
NGB: Sizce 2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor olacak?
Deniz ÇEVİK: Genel itibari ile risk analiz, güvenlik süreçlerinin takibi, standartlara uyum, zafiyet yönetimi gibi ana konuların konuşulmaya devam edeceğini düşünüyorum. Son yıllarda mobil teknolojilerin kullanımında inanılmaz bir artış söz konusu, dolayısı ile bu yöne eğilimin ve güvenlik ihtiyaçlarının artacağını düşünüyorum.
Ürün satışı yerine kurumların servis satışlarına yönelerek gelir akışını sabit tutmaya yöneldiği göz çarpan bir başka husus. Uygulama problemlerine yönelik güvenlik arayışları devam edecektir, beklide web 3.0 ın sorunlarını konuşuyor olacağız. IPTV ve video-on-demand servislerinin de yaygın kullanılacağı, IP adresine sahip etkileşimli ev aletlerinin artacağı ve buna yönelik güvenlik arayışları ve sorunlarının artacağını da düşünülebilir.
Tüm güvenlik problemlerini istemci tarafında çözmeye çalışarak bu tip ürünlerin işletim sistemi ile entegre geleceğini düşünüyorum. Dolayısı ile Microsoft ile mcafee,symantec gibi firmaların birbirlerine dava açmaya başladıklarını görebiliriz.
NGB: Zaman ayırarak röportajımıza katıldığınız için teşekkür ederiz.
[Güvenlik bülteni hakkında]
Güvenlik E-bülteni #09'a katkıda bulunanlar: Huzeyfe ÖNAL, Ömer ALBAYRAK, Cüneyt BERGEL, Oktay ŞAHİN
Haftalık Güvenlik Bülteni
Ağ güvenliği listesi Netsec'in üyeleri tarafından hazırlanmakta olup herkesin katkısına açıktır. Amacımız değişken güvenlik dünyasının farklı alanlarını yakından takip eden arkadaşların geçtiğimiz hafta içerisinde dikkatini çeken güvenlikle ilgili haberler, yazılar, araçların paylaşımıdır
.
Güvenlik Bülteni Üyeliği
Güvenlik bültenini mail olarak almak isterseniz
http://www.lifeoverip.net/newsletter/ adresine e-posta adresinizi bırakmanız yeterlidir.
Ağ Güvenliği(
Netsec ) listesine üyeliğiniz varsa tekrar bülten üyeliğine gerek yoktur, bültenler listeye gönderilecektir.
Katkıda Bulunun
Güvenlik bülteninin bir sonraki sayısına katkı vermek için bu sayının başındaki linkten faydalanabilirsiniz. Link GoogleDocs'a uzanmaktadır ve üyelik gerektirmeksizin herkesin katkısına açıktır. Düzenleme konusunda eski sayılardan faydalanabilirsiniz.
Eski Sayılar
Güvenlik bülteninin eski sayılarına
http://www.lifeoverip.net/newsletter/ adresinden erişilebilir.
Bu sayı Mavituna Security Ltd. tarafindan sponsor edilmistir.