|
Haftalık yayınlanan NetSec Güvenlik Bülteni’nin yeni
sayısı ile karşınızdayız.
Bülten Web Adresi:
http://www.lifeoverip.net/newsletter/sayi14
“Haftalık Güvenlik Bülteni Ağ Güvenliği
Listesi Netsec'in
üyeleri tarafından hazırlanmakta olup herkesin katkısına açıktır. Amacımız
değişken güvenlik dünyasının farklı alanlarını yakından takip eden
arkadaşların geçtiğimiz hafta içerisinde dikkatini çeken güvenlikle ilgili
haberler, yazılar, araçların paylaşımıdır.”
“Güvenlik Bülteni’nin 15. sayısına
ekleme yapmak isteyen arkadaşlar buradan
çalışabilirler.”
GÜVENLİK DÜNYASINDAN HABERLER. 2
KRİTİK SEVİYE
GÜVENLİK AÇIKLIKLARI. 3
YENİ ÇIKAN/GÜNCELLENEN GÜVENLİK YAZILIMLARI. 3
HAFTANIN GÜVENLİK YAZILIMI. 4
HAFTANIN MİSAFİRİ. 5
ETKİNLİKLER. 7
DİKKAT ÇEKEN YAZILAR. 8
İŞ İLANLARI. 9
GÜVENLİK BÜLTENİ HAKKINDA. 9
 GÜVENLİK
DÜNYASINDAN HABERLER
-Siber askerler geliyor. 3. Dünya
Savaşı İnternet’te mi çıkacak?
http://www.bilisimhukuk.com/2009/11/siber-askerler-geliyor-3-dunya-savasi
-Logyonetimi.com yayın hayatına
başladı
www.logyonetimi.com
-McAfee'den yeni bir rapor:
Mapping the Mal Web
http://www.beyazsapka.org/haberler/mcafeeden-yeni-bir-rapor-mapping-mal-web
- Spamin buyuk babasi Alan Ralsky
spam yollamaktan 51 ay cezaevinde:
http://voices.washingtonpost.com/securityfix/2009/11/spam_godfather_alan_ralsky_get.html
-Facebook'a Clickjacking Tehdidi
http://turk.internet.com/haber/yazigoster.php3?yaziid=25703
-IBM veritabanı güvenlik şirketi
Guardium'u alıyor
http://www.computerworld.com.tr/ibm-veritabani-guvenlik-sirketi-guardiumu-aliyor-detay_4213.html
 KRİTİK SEVİYE
GÜVENLİK AÇIKLIKLARI
-Root
exploit for FreeBSD
http://www.h-online.com/open/news/item/Root-exploit-for-FreeBSD-873352.html
 YENİ
ÇIKAN/GÜNCELLENEN GÜVENLİK YAZILIMLARI
-
Nmap 5.10 BETA1
http://seclists.org/nmap-dev/2009/q4/476
-Güvenlik
Testleri İçin 5 Firefox Eklentisi
http://www.net-security.org/article.php?id=1350
-Nessus
4.2 sürümü yayınlandı
http://www.net-security.org/secworld.php?id=8550
-Wordpress
için kullanışlı 5 güvenlik eklentisi
http://www.net-security.org/article.php?id=1352
-Freeware
version of GFI EndPointSecurity
http://www.net-security.org/secworld.php?id=8562
 HAFTANIN GÜVENLİK YAZILIMI
Yazılım adı :Ncat
İndirme adresi :http://nmap.org/ncat/
Kategori
:Network paket işleme
Ortam
:Linux/Windows
İşlevi
:Ağ ortamları için isviçre
çakısı
Ncat -( Concatenate and redirect sockets )
Ncat, Nmap projesi sahibi Fyodor tarafından geliştirilmiş bir
araçtır. Amacı, güvenlik dünyasında haklı bir yere sahip olan ve
artık geliştirilmeyen netcat'in yerini almak ve yeni özellikler ekleyerek
kullanıma sunmaktır.
Henüz ilk sürümleri olmasına rağmen Ncat projesi netcat'de bulunan tüm
özellikleri ve dahasını barındırmaktadır.
Ncat'de dikkat çeken bazı ek özellikler;
- Ipv4 ve Ipv6 desteği
- SSL desteği
- Açılan sockete için ACL yazımı
Ncat kullanım örnekleri
TCP portuna bağlanıp veri okuma
[root@labs ~]# ncat www.lifeoverip.net 80 -v
Ncat version 5.00 ( http://nmap.org/ncat )
Connected to 91.93.119.80:80.
GET / HTTP/1.1
HTTP/1.1 400 Bad Request
Date: Wed, 02 Dec 2009 17:21:46 GMT
Server: Apache/2.2.9 (FreeBSD)
Content-Length: 226
Connection: close
Content-Type: text/html; charset=iso-8859-1
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>400 Bad Request</title>
</head><body>
<h1>Bad Request</h1>
<p>Your browser sent a request that this server could not
understand.<br />
</p>
</body></html>
9000.portu dinlemeye al ve gelen verileri ekrana bas
# ncat -l 9000
...Selam
Aynı komutu TCP değil de UDP üzerinden çalıştırmak istersek -u parametresini
eklemek yeterli olacaktır.
# ncat -l 9000 -u
8080. portu dinle ve gelen bağlantıları bash kabuğuna yönlendirme
#ncat --exec “/usr/local/bin/bash” -l 8080
8080 portunu dinlemeye al ve sadece 10.120.90.0/24 subnetinden gelen
istekleri karşıla
ncat --exec “/usr/local/bin/bash” --allow 10.120.90.0/24 -l 8080
Detaylı bilgi ve kullanım için man ncat komutu işinizi görecektir.
 HAFTANIN MİSAFİRİ
Güvenlik bülteninin bu
haftaki misafiri Mert SARICA
NGB: Kısaca kendinizden bahsedebilir misiniz?
Mert SARICA: 2006 yılında özel bir üniversitenin bilişim sistemleri bölümünden
mezun oldum. İş hayatına atılana kadar hayatımın çok büyük bir bölümü
bilgisayar başında hacking üzerine kitaplar, makaleler ve dergiler okuyarak,
videolar izleyerek ve programlama ile geçiyordu, orta okul yıllarından
üniversite yıllarına kadar olan süre boyunca hackinge olan merakım sonunda
işimin bir parçası oldu.
Artık eskisi kadar boş vaktim olmaması nedeniyle elimden geldiği kadarıyla
boş vakitlerimi bilişim güvenliği üzerine kitaplar okuyarak ve videolar
izleyerek geçiriyorum, geri kalan kısmında da pratik yapıyor ve yeni kurduğum
bloguma (merak edenler için http://www.mertsarica.com) birşeyler karalıyorum.
Yaptığım işe gelecek olursak, şuanda bir finans kuruluşunda müşterilere daha
güvenli hizmetlerin sunulabilmesi için kaynak kodu analizinden, ters
mühendisliğe, penetrasyon testinden, forensic analizine kadar olabildiğince
teknik işler yapıyorum. Sahip olduğum sertifikalardan da bahsetmek gerekirse
CISSP, SSCP, OSCP ve OPST.
NGB: Güvenlik işine nasıl bulaştınız?
Mert SARICA: Yaklaşık 6 sene önce, üniversite yıllarındayken
ders seçmek için kullanılan elektronik sistemin güvenlik seviyesini ölçmek
amacıyla incelerken (yeni nesle kötü örnek olmasın, suç olduğunu hatırlatmak
isterim) sistem üzerinde parametre manipülasyonuna imkan tanıyan bir güvenlik
zafiyeti olduğunu keşfetmiştim ve bu sayede diğer öğrencilerin bilgilerini
görüntüleyen bir program hazırlamıştım ancak kötü bir niyetim yoktu sadece
merakımın kurbanı olmuştum ve bu zafiyeti okul yönetimine bildirmeninde
okuldan atılmama sebep olacağı korkusu yüzünden ilgili zafiyet ve program
tozlu klasörler arasında yerini almıştı.
Daha sonra mezun olmaya yakın tez konusu seçmek
için danışmanın odasına gittiğimde konular arasında "Hacking
Methodologies" konusu tabiiki gözüme çarpan ilk konu olmuştu ve bu
konuyu seçmiştim.
Danışmana tezimde keşfettiğim zafiyeti ve hazırladığım programı kullanmak
istediğimi söylediğimde konu bölüm başkanına, bölüm başkanından dekana,
dekandan genel sekretere, genel sekreterden bilgi işlem koordinatörüne taşınmıştı
ve sonunda yönetim takdir edilesi bir karar alarak beni işe almak
istediklerini ve üniversitedeki sistem ve uygulamalardaki güvenlik açıklarını
bularak kendilerine yardımcı olmamı istemişlerdi, her ne kadar iş hayatının o
zamanlar bana uzak olduğunu düşünsemde sonunda üniversiteme faydamın
dokunacağını düşünerek kabul etmiştim, benim hikayemde bundan ibaret, biraz
merak, biraz şans...
NGB:Turkiye'de bilgi guvenligi konusunu degerlendirebilir misiniz?
Mert SARICA: Açıkçası farklı sektörlerde çalışmadığım için, şuan
içinde bulunduğum sektörde önem verildiğini söyleyebilirim. Önem verilmesinin
sebebine gelecek olursakta her ne kadar regülasyonların bilgi güvenliğini
sağlama adına koca bir balon (Google keyword: Hannaford Breach & PCI
Compliance) olduğunu düşünsemde önem verilmesini sağlayan en büyük
etkenlerden biri olduğuda inkar edilemez bir gerçek.
Regülasyonlar firmaları iç ve dış penetrasyon testi yaptırmaya zorlamasalardı
şuan kaç firma kesenin ağzını açıp müşterilerinin güvenliği için bunu gerçekleştirirdi
açıkçası bir elin parmaklarını geçer miydi bilemiyorum. Ünlü soygunculardan
Willie Sutton'a sorulan soru ve yanıtı regülasyonların şart koşmadığı
durumlarda dahi her zaman finansal işlemlerin gerçekleştiği tüm sektörlerde
güvenliğe önem verilmesi gerektiğinin önemini vurguluyor.
When asked why he robbed banks, Sutton simply replied, "Because that's
where the money is."
NGB: Türkiye'de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz
nelerdir?
Mert SARICA: Karşılaştığım kurumsal yazılım geliştiren yerli
firmalar kolay yolu seçerek var olan açık kaynak kodlu yazılımları bir kutu
içerisine koyarak, ufak çapta değişiklikler/geliştirmeler yaparak yeni bir
ürünmüş edasıyla piyasaya sürdükleri için şuan için tercih edilecek düzeyde pek
bir güvenlik yazılımı olmadığını görüyorum ve yenilik yanlısı ürünler ortaya
çıkartılmadıkça dev firmalar ve yazılımları karşısında şuan için pek şansları
olmadığını düşünüyorum öte yandan henüz rakipleri karşısında geride olsada
Netsparker gibi yerli güvenlik araçlarının geliştirildiğini ve dünya pazarına
sunulduğunu görmek gerçekten takdir edilmeye değer...
NGB: Türkiye'de bilgi güvenliği konusunu daha
ileri seviyeye taşımak için önerileriniz nelerdir?
Mert SARICA: Anahtar kelime: Farkındalık. Ne zamanki Defcon,
Blackhat konseptine sahip ürün reklamlarından uzak, tamamen teknik
anlatımların yapıldığı konferanslar düzenlenir ve hatta yurt içinde ve
dışında ses getirebilecek çapta araştırmalar gözler önüne serilir o zaman
ileri seviyeye taşınması adına büyük bir adım atılmış olur tabii bu
konferansların yapılması için bilişim güvenliği üzerine uğraş veren herkesin
teknik anlamda içi dolu, tatminkar araştırmalar ve çalışmalar yapması
gerekiyor, kısaca bunun için hepimize iş düşüyor...
NGB: Türkiye'de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor
musunuz?
Mert SARICA: Sanal suçların her geçen gün arttığı bir dünyada yaşarken
Türkiye'de böyle bir kurumun olmamasını düşünemiyorum. TR-CERT'in Ar-Ge
çalışmalarının bir parçasıda zararlı kodların incelenmesi ancak bildiğim
kadarıyla Cert'in Vulnerability Analysis Blogu gibi bir bloga sahip değiller
ve çalışmalarını bu şekilde paylaşmıyorlar bu nedenle Cert ile
karşılaştırdığımda henüz arzuladığımız noktaya gelebilmiş değiller.
NGB: Bu ise yeni baslayanlara neler onerirsiniz?
Mert SARICA: Bol bol kitap okuyun, bol bol video izleyin, kısaca
kendinizi sürekli geliştirin ve güncel tutun, tıp alanında yenilikleri ve
gelişmeleri takip etmeyen bir doktor nasıl ise güvenlik alanındaki
yenilikleri ve gelişmeleri takip etmeyen bir güvenlik uzmanı pas tutmuş bir
demirden farksızdır.
Bilişim güvenliği gerçek anlamda teknik yetkinlik isteyen bir alan ve bu
nedenle işin teknik tarafından haz almayan bu nedenle bu tarafta yer almak
istemeyen kişilerin fazla olması nedeniyle çok fazla tercih edilmiyor ancak
sanal tehditlerin gün geçtikçe artmasıda bu uzmanlara olan talebin artmasına
sebep oluyor...
NGB: Sizce 2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor
olacak?
Mert SARICA: Şüphesiz RFID & Mobile Security
NGB: Güvenlik sertifikaları konusuna ne düşünüyorsunuz?
Mert SARICA: Sertifika = İş = Aş
Örneğin CISSP gibi saygınlığı yüksek bir
sertifikaya sahip olmak her zaman işinizi kolaylaştırır, nedenlerini
sıralayacak olursam;
Hiçte ucuz olmayan 549$ - 599$ arasındaki CISSP sınav ücretini ödeyen herkes
tekrar bu ücreti ödememek için vaktinin büyük bir bölümünü 10 domaini
çalışarak geçirmekte ve bu sayede Access Control Systems and Methodology,
Telecommunications and Network Security, Business Continuity Planning and
Disaster Recovery Planning, Security Management Practices, Security
Architecture and Models, Law, Investigation, and Ethics, Application and
Systems Development Security, Cryptography , Computer Operations Security
Physical Security domainleri hakkında temel düzeyde istemesede bilgi sahibi
olmaktadır bu sayede iş veren sizin bu domainler konusunda bilgi sahibi
olduğunuzu teyit edebilmektedir.
Bunun dışında eğer danışmanlık hizmeti verecekseniz veya danışmanlık hizmeti
veren bir kurumun danışman kadrosunda yer alacaksanız, bu sertifikalardan
birine sahip olmanız size veya iş vereninize danışmanlık hizmetini pazarlama
adına büyük avantaj sağlayacaktır çünkü çoğunlukla bu hizmetlerin satın
alınması aşamasında danışmanların sahip olduğu sertifikalar önemli bir
oynamaktadır.
Ayrıca bu sertifikaya sahip olan kişiler sertifikalarının geçerliliğini devam
ettirebilmek için her sene eğitimlere ve seminerlere katılarak, kitap
okuyarak kendilerini geliştirmek zorundadırlar aksi halde sertifikalarının
dondurulması ve iptal edilmesi söz konusu olabilir. İş veren açısından
baktığımız zaman her daim kendini geliştirmek zorunda olan bir çalışana sahip
olması oldukça mutluluk vericidir.
Aklıma son gelen ise bu sertifikaya sahip olmak için code of ethics'i kabul
etmeniz gerekmektedir. Code of ethics'i kabul etmiş birinin sahip olduğu
bilgiyi kötü emelleri için kullanmayacağı en azından bu ihtimalin oldukça
düşük olduğu (malum kariyeri son bulacaktır) göz önünde bulundurulduğunda,
çalışanın bu değerli sertifikalarını riske atmayacağı bir gerçektir, bu
nedenle iş verene güven vermektedir.
Sonuç olarak sertifika sahibi olmak hem iş veren hem de adaylar için çeşitli
avantajlar sağlamaktadır ancak unutulmaması gereken en önemli kısım bu tür
teknik olmayan sertifikalar sadece temel düzeyde bilgiyi ortaya koymak için
değerlendirme kriteri olarak kullanılmalı, ileri düzey içinse mutlaka
hands-on sertifikalar (örnek: OSCP) değerlendirme kriteri olarak
kullanılmalıdır.
NGB: Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?
Mert SARICA:
Yaklaşık 2.5 sene önce WIFI POSlar üzerinde gerçekleştirdiğim testlerde o gün
için güvenli olmadığını ortaya çıkartmak karşılaştığım ciddi güvenlik
problemlerinden biriydi tabiiki şuanda artık böyle bir durum söz konusu değil
ancak yine de havada uçan paketlere sıcak bakmıyorum...
NGB: Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi
kitap/kitalpların okunmasını tavsiye edersiniz?
Mert SARICA: En son okuduğum iki kitap, The IDA Pro Book ve The
Mac Hacker's Handbook. Şuan da okuduğum ise Hacking Exposed Computer Forensic
2nd Edition. The Shellcoder's Handbook kitabını halen okumamış olan var ise
tabiiki öncelikle bunu okumalarını tavsiye ederim.
NGB: Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi)
kimdir? Hangi özelliğinden dolayı?
Mert SARICA: Böyle bir kahramanım olmadı ancak zamanında
duyurularını takip etmekten oldukça keyif aldığım Gobbles Security grubunu
rahmetle anmak isterim...
NGB: Güvenlik dünyasında en fazla kullandığınız yazılım hangi?
Mert SARICA: Nessus, Paros, Nmap
NGB: Bilgi güvenliğiyle ilgili hangi
blog/sitelerin takibini önerirsiniz?
Mert SARICA: http://www.securityfocus.com/ ,
http://www.securiteam.com/ , http://www.packetstormsecurity.org/ ,
http://www.explo.it
NGB: Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer
miydiniz?
Mert SARICA: Hiç tereddüt etmeden seçerdim.
NGB:
Okuyucularımıza aktarmak istediğiniz yeni yıl mesajı var mı?
Mert SARICA: "Yeni yıl yaklaşırken eminimki çoğumuz
sevdiklerimiz için hediye
arayışı içine girmiştir, malum konumuz güvenlik oluncada, fikir verme
açısından, bıp dıt dut kartların kullanımın yaygınlaşması nedeniyle
sevdiklerinize RFID bloklayan cüzdan hediye etmenizi tavsiye eder,
herkese iyi yıllar dilerim..."
NGB: Zaman ayırarak röportajımıza
katıldığınız için teşekkür ederiz.
 ETKİNLİKLER
-Günümüz
Güvenlik Tehditlerine Genel Bakış ve Microsoft İstihbarat Raporu (SIR)
10 Aralık 2009 Perşembe 14:00-17:00
http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032428118&culture=tr-TR
-IstSec '09 - Istanbul Bilgi Güvenliği Konferansı
12-13
Aralık 2009
http://www.istsec.org
-Sayısal Ortamda Savaş Sempozyumu
10 Aralık 2009
http://www.sasad.org.tr/haberler.asp?id=132
-Ağ
ve Bilgi Güvenliği Konferansı
5-6
Şubat 2009
http://www.abgs.org.tr/
-Akademik
Bilişim 2010
10-12
Şubat 2010
http://ab.org.tr/ab10/
-Cyberspace
at the Cross Roads: The Intersection of Cyber, National and Economic
Security
http://www.afcea.org/events/solutions/09/cyber/intro.asp
-Cyber
Crime Conferance 2010
http://www.technologyforums.com/10CC/overview.asp - http://twitter.com/cybercrime2010
[Güvenlik Eğitimleri
]
-OpenBSD
Packet Filter Güvenlik Duvarı Eğitimi
http://www.guvenlikegitimleri.com/new/packet-filter-guvenlik-duvari-egitimi
[Yarışma]
-IstSec '09 Capture The Flag Yarışması
http://www.istsec.org/?page_id=73
[Anket]
Türkiye’de
açık kaynak kodlu güvenlik yazılımlarının ne oranda ve ne kadar efektif
kullanıldığına dair bir araştırma anketi.
-Açık kaynak kodlu güvenlik yazılımı kullanıyor musunuz?
 DİKKAT ÇEKEN YAZILAR
--Adli
Bilişim İncelemerinde Log Dosyaları
http://www.logyonetimi.com/index.php?option=com_content&view=article&id=40:adli-biliim-suclarnda-log&catid=1:makaleler&Itemid=1
-Scalpel ile Data Recovery
http://www.syslogs.org/2009/12/scalpel-ile-data-recovery/
-Exploit Categories Explained
http://www.immunityinc.com/downloads/Exploit_Categories_Explained.pdf
-SAP Security In-Depth Vol. I: The risks of downwards compatibility
SAP güvenliğini derinlemesine inceleyen yazı dizisi
http://www.onapsis.com/resources/get.php?resid=ssid01
-Şifreler hakkında soru
ve cevapların olduğu ilgi çekici bir yazı
http://www.net-security.org/article.php?id=1349
-Distributed Wordpress
admin account cracking
http://isc.sans.org/diary.html?storyid=7663
-Şirketleri Saldırılara Açık Duruma
Getiren Kriterler [SM]
http://www.bilgisayarpolisi.com/index.php?sayfa=makaleoku&kategori=1&id=278
 İNSAN KAYNAKLARI
-Network ve Güvenlik Uzmanı
http://www.kariyer.net/jobsearch/jobdetail.kariyer?arn=&sid=&ilankodu=468929&ilId=144
-NETWORK VE GÜVENLİK MÜHENDİSİ
http://www.yenibiris.com/sentim_bilisim/network_ve_guvenlik_muhendisi/245142.ilan
Güvenlik
E-bülteni #13'ye katkıda bulunanlar: Huzeyfe ÖNAL,
Ömer ALBAYRAK
Güvenlik Bülteni Üyeliği
Güvenlik bültenini mail olarak almak isterseniz http://www.lifeoverip.net/newsletter/
adresine e-posta adresinizi bırakmanız yeterlidir.
Ağ Güvenliği( Netsec ) listesine
üyeliğiniz varsa tekrar bülten üyeliğine gerek yoktur, bültenler listeye
gönderilecektir.
Katkıda Bulunun
Güvenlik
bülteninin bir sonraki sayısına katkı vermek için bu sayının başındaki
linkten faydalanabilirsiniz. Link GoogleDocs'a uzanmaktadır ve üyelik
gerektirmeksizin herkesin katkısına açıktır. Düzenleme konusunda eski
sayılardan faydalanabilirsiniz.
Eski
Sayılar
Güvenlik bülteninin eski sayılarına http://www.lifeoverip.net/newsletter/
adresinden erişilebilir.
Bu sayı Mavituna Security Ltd. tarafindan sponsor edilmistir.
© Copyright(c)
2009 Lifeoverip.Net
.
|
