©NetSec Güvenlik Bülteni XVI

Haftalık NetSec Güvenlik Bülteni

MERHABA

16/12/2009

Haftalık yayınlanan NetSec Güvenlik Bülteni’nin yeni sayısı ile karşınızdayız.

Bülten Web Adresi: http://www.lifeoverip.net/newsletter/sayi16

 “Haftalık Güvenlik Bülteni Ağ Güvenliği Listesi Netsec'in üyeleri tarafından hazırlanmakta olup herkesin katkısına açıktır. Amacımız değişken güvenlik dünyasının farklı alanlarını yakından takip eden arkadaşların geçtiğimiz hafta içerisinde dikkatini çeken güvenlikle ilgili haberler, yazılar, araçların paylaşımıdır.”

-New Adobe Acrobat [Reader] 0-Day
Adobe Acrobat yazılımında çıkan 0 day açıklığı internet kullanıcılarını tehdit etmeye devam ediyor.
http://www.shadowserver.org/wiki/pmwiki.php/Calendar/20091214

-Microsoft açığı biliyordu

http://www.veteknoloji.com/microsoft-acigi-biliyordu-25674-3.html

-Facebook ve Güvenlik Sorunu

http://shiftdelete.net/facebook-ve-guvenlik-sorunu-16652.html

-Microsoft bu açığı yamamayacak!

http://www.chip.com.tr/konu/microsoft-bu-acigi-yamamayacak_17025.html

-Malware Tehditi Sandığınızdan Daha Büyük

http://shiftdelete.net/malware-tehditi-sandiginizdan-daha-buyuk-16686.html

-Microsoft Internet Explorer Çoklu Açıklık (MS09-072)

http://www.bilgiguvenligi.gov.tr/guvenlik-bildirileri-kategorisi/microsoft-internet-explorer-coklu-aciklik-ms09-072.html

-Microsoft WordPad Ve Office Metin Çevirici Bellek Kesintisi Açıklığı (MS09-073)

http://www.bilgiguvenligi.gov.tr/guvenlik-bildirileri-kategorisi/microsoft-wordpad-ve-office-metin-cevirici-bellek-kesintisi-acikligi-ms09-073.html

-Microsoft Office Project Bellek Onama Açıklığı

http://www.bilgiguvenligi.gov.tr/guvenlik-bildirileri-kategorisi/adobe-flash-player-ve-adobe-air-acikligi.html

-Adobe 0-day in the wild - again

http://isc.sans.org/diary.html?storyid=7747&rss

-Open source forensic framework 

Adli bilişim dünyasında açık kaynaklı olarak kullanılan bir yazılım

http://www.net-security.org/secworld.php?id=8607

-Network protocol sniffer SniffPass 1.07

Networkteki hareketleri sniff etmeye yarayan aracın yeni versiyonu çıktı

http://www.net-security.org/software.php?id=716

-Windows sistemler için ücretsiz Wifi tarayıcısı
http://www.metageek.net/products/inssider

-WAFW00F beta yayınlandı
Web uygulama güvenlik duvarı tarayıcısı WAFW00F'un beta sürümü çıktı
http://code.google.com/p/waffit/source/checkout

-Nebula Intrusion Signature Generator 0.2.3

http://www.net-security.org/software.php?id=251

Yazılım adı              :Sax2

İndirme adresi        :http://www.ids-sax2.com/TrialDownloads.htm

Kategori                 :İzleme/gözleme

Ortam                    :Web/Internet

İşlevi                     :Web siteleri ve host isimlerinde yapılan anormal değişiklikleri raporlama

Sax2, Windows işletim sistemlerinde çalışan bir saldırı tespit ve engelleme sistemidir. Alternatiflerine göre çok fazla özellik içermese de ağ trafiğindeki anormallikleri raporlama, gerektiğinde esnek kural yazabilme kapasitesi Sax2'i tercih edilebilir kılmaktadır.

Güvenlik kahvesinin bu hafta konuğu Emre SAĞLAM.

NGB: Kısaca kendinizden bahsedebilir misiniz?

Emre SAĞLAM:  Herkese Merhaba. 93 yili Istanbul Saint Joseph Lisesi'nden ve 2000 yilinda da uzun bir maratondan sonra ':)' Galatasaray Universitesinin Bilgisayar Muhendisligi bolumunden mezun oldum. Daha sonrasinda ABD'de George Washington Universitesinde Bilgisayar ve Ag guvenligi uzerine Master'imi tamamladim. Su anda ise Ag guvenligi uzerine Dunya Bankasinda calismaktayim. 

Hayatim boyunca birseyleri kurcalamaktan hoslandim, hatta cocukken ailem benden cok cekti. Radyo/teyp/saat kurcalayip bozmaktan ilallah dediklerini hatirliyorum. (Onceden soyleyeyim, tamir basari yuzdem bayagi dusuktu) Sanirim bu yuzden bana Lego setleri alarak bu merakimi sokulup takilabilecek seylere dogru kanalize etmeye calistilar. Eger sizin de geek cocuklariniz olmasini istiyorsaniz Lego'yu siddetle tavsiye ediyorum ;) Muhendislige sanirim ilk boyle bulastim.

Ilk bilgisayarla tanismam ise Commodore 64 ve onunla birlikte gelen 100+ floppy ile oldu. Bol bol oyun oynadiktan sonra, tabii ki C64'umu de kurcalamam gerektiginden bir cok bilgisayar kavramini orada ogrendim. Daha sonra universitede Galatasaray Universitesi Linux Kullanicilari kulubunu kurduk. Linux ile de ilk tanismam 94/95 yillarinda bu kulup sayesinde oldu. Guvenlikle de yine bu sayede bol bol hack edilerek tanistim. :)Is disinda hayatimin geri kalaninda havalar guzel oldugunda motosiklete binerek, motosiklet tamir ederek, bilgisayar programlayarak, kitap okuyarak ya da World of Warcraft oynayarak geciriyorum. 

NGB: Güvenlik işine nasıl bulaştınız?

Emre SAĞLAM: Güvenlik işine tamamen kendi isteğimle adeta balıklama daldim. Bir tartışma olsun, mekanik bir şey olsun, hep bir şeylerin açığını bulmak ilgimi çekmiştir. Sanırım güvenlik mesleği için iyi bir özellik bu. Masterimi bu konu üzerine özellikle seçtim. Meslek arayışında özellikle güvenlikle ilgili çalışmak istedim. Bu konudaki tercihim sanırım bundan daha fazla bilinçli olamazdı. Bu konuda gerçekten kendimi çok şanslı hissediyorum. Her insana bu kadar sevdiği konuda çalışabilmek nasip olmuyor ne yazık ki. 

NGB: Türkiye'de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

Emre SAĞLAM: Türkiye'de ya da dünyada güvenlik konusunu daha ileriye taşımak için öncelikle güvenlik kavramının firewall/IPS koyup, vulnerability scannerları haftada bir çalıştırmaktan ibaret olmadığını birbirimize anlatmalıyız. Güvenliği bir süreç olarak algılamayı amaç edinmeliyiz.

Güvenlik zaten hergün içinde yaşadığımız bir şey ve inanın ki bilgisayar güvenliği ile hava trafiği kontrol güvenliği veya en basitinden evinizin güvenliği arasındaki tek fark kullandığınız araçlar. Eminim evinizden çıkarken kapınızı kilitlemek ne kadar normal geliyorsa, web serverinizi dünyaya 80/443 numaralı portlar dışında acmamak da o kadar normal geliyordur. Önemli olan iste bu güvenlik sürecini bilgi teknolojilerinde de benimsemek, korumasını üstlendiğiniz şirketlerin başındakilere de benimsetmek. Güvenlik tepeden destek görmediği ve özellikle tepeden bilinçle tabana yayılmadığı sürece daima eksik kalacaktir.

Bunun dışında araştırma/öğrenme/öğretme/geliştirme dörtlüsününün en azından ilk üçünü bulunduğunuz ortamda yaşatmaya çalışın. Gerisi zaten daima ileriye gidecektir. 

NGB: Türkiye'de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?

Emre SAĞLAM: Bu konuda pek bir bilgim yok ne yazik ki.

NGB: Bu ise yeni baslayanlara neler onerirsiniz?

Emre SAĞLAM: Merak. Merak. Merak. En önemlisi bu ise ilgi duyun. (Her konuda olduğu gibi) Okuyun, öğrenin, kurcalayın. RFC okuyun, protokol öğrenin, bir protokolü hayata geçirin. :) İmkan varsa yabancı dillerde yazılmış makaleleri ve kitapları takip edin ve kendi dilinizde birşeyler üretin.

Bildiklerinizi başkalarına aktarmayı felsefe edinin. Yeni fikirlere açık olun. Rekabetçi olmayın, bunun yerine ortak çalışın.

Mutlaka bir programlama dilini araç olarak kullanacaksınız, en azından bir ya da iki dile hakim olun. (perl/python ikilisi, bash scripting tavsiyelerim)

Özgür yazılıma önem verin. Linux öğrenin, öğretin. Ama cidden öğrenin. En az bir kernel modülü yazmadan gözüme gözükmeyin ;) Yeni başlayanlara ubuntu, debian, kendini zorlayıp geliştirmek isteyenlere kesinlikle gentoo tavsiye ediyorum.

Kitaplar:
Bruce Schneier - Applied Cryptography mutlaka okunmasi gereken bir kitap.

O'Reilly yayınevinin çok kaliteli kitapları var. DNS, TCP/IP, kısacası internet yapıtaşlarının nasıl çalıştığını anlatan bütün kitaplarından faydalabilirsiniz.

e-posta listeleri:

netsec oldukca basarili bir liste, hala uye degilseniz kizarim :)

[http://blog.lifeoverip.net/netsec-listesi/]
bugtraq, securityfocus, insecure.org listeleri de kesinlikle tavsiye edilir.

NGB: Sizce 2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor olacak?

Emre SAĞLAM: 2015 yılına kadar güvenliğin bir servis ve hizmet sektörüne dönüşme ihtimali çok yüksek. Gazetelerde, halk arasında konu olarak bu mu konuşulur bilemem :) Ama şirketsel geleceği bu gözüküyor. Onun dışında kesinlikle hala visual baic scriptleri ve üç boyutlu kullanıcı arabirimleriyle internetten banka soyan film karakterleri olacak, hala virüslerle özel bilgiler çalınacak, zayıf statik şifreler daha da hızlı kırılacak.

Pozitif yönden ise şu anda emekleme devresinde olan web application firewall gibi teknolojilerinin daha da olgunlaşması, aynı zamanda da güvenlik araçlarının merkezi/güvenilir yönetimi konusunda da adım atmasını bekliyorum. Virtualization konusunun da güvenlikle uğraşan insanların başını bayağı ağrıtabileceğini sanıyorum. Belki de 2015 yılı sanallaştırma güvenliğinin çözüldüğü yıl olur. :)

Son olarak Kriptografi çiplerinin yaygınlaşmasıyla bilgi şifreleme konusunda da bir atılım yaşanacağını umuyorum. Ama tabii ki bu atılım dijital anahtar yönetimi sorunlarını da beraberinde getirecektir. 15 seneden fazla bir süredir çözülemeyen bu sorunun çözümünün de bize 2050 yılında uzaylılar tarafından ışık hızı üstü seyahat bilgisi ile birlikte verileceğini düşünüyorum! :)

NGB: Güvenlik sertifikaları konusuna ne düşünüyorsunuz?

Emre SAĞLAM: Guvenlik sertifikalarinin yararliligi konusunda gercekten ortadan ikiye ayrilmis durumdayim. :) Benim dusuncem, eger imkaniniz varsa, alabiliyorsaniz alin. Ornegin Cisco-PIX kullandigimiz bir projede PIX'e hakim bir insani 6 ayligina bir proje icin ise almam gerekiyorsa ve elimde 10 tane ozgecmis varsa, PIX sertifikasi olanlara oncelik veririm. 

Ama guvenlik muhendisi tarzinda kalici bir is acilmissa ve karsima PIX sertifikali bi insan gelirse o kadar da onemli bir arti olmadigini dusunuyorum. 

NGB: Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

Emre SAĞLAM: Tahmin edersiniz ki yasadiginiz gercekten ciddi guvenlik problemlerini anlatmaniz her zaman yasak olacaktir ;) O yuzden cok klasik olacak ama: Karsilastigim en ciddi guvenlik acigi insan. Cozumu ise surec, egitim, derinligine savunma, ve insanin yine kendisi. Gercek hayattan ornek vermek gerekirse: Sistem yoneticisi bir web server hazirliyor, DMZ'ye koyuyor. Uygulama yoneticisi kimseye haber vermeden FTP aciyor. 3 ay sonra internet kullaniminizda artis goruyorsunuz. Nedeni ise basit. FTP hesaplari sifresiz ve sunucunuz illegal program degis tokusunun en buyuk parcasi olmus.

Surec olarak DMZ'de bulunan her sunucuyu sıkı kontrolden gecirmeyi edinseniz, egitim olarak uygulama yoneticisine uygulamasinin kritik bir yerde yasadigini ve surece uymasi gerektigini verseniz, derinligine savunma olarak da ornegin firewall ile sadece http portunu dunyaya acsaniz, bir ya da birden fazla kisinin hata yapmasinin onune buyuk olcude gecebilirsiniz.

NGB: Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitapların okunmasını tavsiye edersiniz?

Emre SAĞLAM: Bruce Schneier - Applied Cryptography mutlaka okunmasi gereken bir kitap.

O'Reilly yayınevinin çok kaliteli kitapları var. DNS, TCP/IP, kısacası internet yapıtaşlarının nasıl çalıştığını anlatan bütün kitaplarından faydalabilirsiniz.

NGB: Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı?

Emre SAĞLAM: Kahraman demek ne kadar dogru olur ama Bruce Schneier'i cok seviyorum :) Ozellikle guvenligi korku baskisi altinda satmaya calismayan bir insan. Durumu guzel bir sekilde analiz etmeyi  ve analizinden dogru, yararli ve uygulanabilir sonuclar cikarmayi biliyor.

Bir baska sevdigimi insan da Gordon Lyon. Eminim bir cogunuz onu nmap'in yaraticisi Fyodor olarak biliyorsunuz :) Karakter kompleksinden uzak, caliskan ve bildiklerini paylasan bir insan  oldugu ve tabii ki de insecure.org ve nmap'in babasi oldugu icin kendisini begenerek izliyorum.

 NGB: Güvenlik dünyasında en fazla kullandığınız yazılım hangi?

Emre SAĞLAM: nmap ve hping. Bunlar olmasaydi ne yapardim bilemiyorum. nmap kullanimi konusunda fazlamesai irc kanalinda bir seminer vermistim. (http://bit.ly/5SK3mY) hping konusunda da hala bir borcum var ;)

NGB: Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?

Emre SAĞLAM: Ozellikle blog ve site takip etmeyi sevmiyorum. Zamanim oldukca asagidaki sitelere goz gezdiriyorum. 

Huzeyfe'nin blogu aktif ve bilgi dolu. Sanirim hepimiz adresini zaten biliyoruz :)

Bruce Schneier: http://bit.ly/GG0S

Reddit netsec: http://bit.ly/89NcGp

NGB: Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?

Emre SAĞLAM: Sanirim ciftciligi deneyebilirdim. Biraz da topragi hack edeyim diye ;) Saka bir yana, ingilizcede en sevdigim ozdeyislerden birisi su: "The grass is greener on the other side" Bizdeki karsiligi da komsunun tavugu komsuya kaz gorunur. Her zaman baska bir is, baska bir alan insana daha cazip gorunur. Bu insani doyumsuzlugumu bir kenara biraktigimda, bir saniye bile dusunmeden yine bilgi guvenligi alanini secerdim. :)

NGB: Zaman ayırarak röportajımıza katıldığınız için  teşekkür ederiz.

-AnkaSec Ankara Güvenlik Konferansı 24 Aralık 2009
http://www.ankasec.org

-Ağ ve Bilgi Güvenliği Konferansı

5-6 Şubat 2009

http://www.abgs.org.tr/

-Akademik Bilişim 2010 

10-12 Şubat 2010 

http://ab.org.tr/ab10/

[Güvenlik Eğitimleri ]

-Beyaz Şapkalı Hacker Eğitimi (CEH)
http://www.guvenlikegitimleri.com/new/beyaz-sapkali-hacker-egitimi-6-subat-2010

[Yarışma]

-HackMe! Online CTF Yarışması
http://hackme.lifeoverip.net

[Anket]
Türkiye’de açık kaynak kodlu güvenlik yazılımlarının ne oranda ve ne kadar efektif kullanıldığına dair bir araştırma anketi.

-Açık kaynak kodlu güvenlik yazılımı kullanıyor musunuz?

-DNS Enumeration with Metasploit
http://pauldotcom.com/2009/12/enumeration-thru-dns-with-meta.html

-DHCP Snooping Atakları
http://www.agciyiz.net/?p=1122

-Meterpreter Pivoting, Web Scanning, Wireless, and More!
http://blog.metasploit.com/2009/12/meterpreter-pivoting-web-scanning.html

-Microsoft Güvenlik İstihbarat Raporu Volume 7 Sunumu
http://www.halilozturkci.com/pdfs/MicrosoftGuvenlikIstihbaratRaporuVolume7-10Aralik2009.pdf
 
-Facebook’un yeni gizlilik ayarları: Profilinizi mutlaka güncelleyin
http://zfrylmz.com/blog/facebookun-yeni-gizlilik-ayarlari-profilinizi-mutlaka-guncelleyin/

-Erişim Denetimi
http://www.beyazsapka.org/makaleler/erisim-denetimi

-Savaş Cephesi Olarak, Sanal Ortamda Savunma ve Saldırı

http://www.bilgiguvenligi.gov.tr/teknik-yazilar-kategorisi/savas-cephesi-olarak-sanal-ortamda-savunma-ve-saldiri.html

-Network Mühendisi

http://www.yenibiris.com/data_expert_executive_search__recruitment_solutions/network_muhendisi/252645.ilan

-Microsoft Sistem ve Network Uzmanı

http://www.yenibiris.com/netlojistik_bilisim_ve_tek_hiz_tic_ltd_sti/microsoft_sistem_ve_network_uzmani/253118.ilan

-Cisco Network Mühendisi

http://www.yenibiris.com/adk_insan_kaynaklari/cisco_network_muhendisi/39415.ilan

-NETWORK VE GÜVENLİK MÜHENDİSİ

http://www.yenibiris.com/sentim_bilisim/network_ve_guvenlik_muhendisi/245142.ilan

-Network ve Güvenlik Uzmanı 

http://www.kariyer.net/jobsearch/jobdetail.kariyer?arn=&sid=&ilankodu=468929&ilId=144

Güvenlik E-bülteni  #16'ye katkıda bulunanlar: Huzeyfe ÖNAL, Ömer ALBAYRAK

Güvenlik Bülteni Üyeliği

Güvenlik bültenini mail olarak almak isterseniz http://www.lifeoverip.net/newsletter/ adresine e-posta adresinizi bırakmanız yeterlidir.

Ağ Güvenliği( Netsec ) listesine üyeliğiniz varsa tekrar bülten üyeliğine gerek yoktur, bültenler listeye gönderilecektir.

Eski Sayılar
Güvenlik bülteninin eski sayılarına  http://www.lifeoverip.net/newsletter/ adresinden erişilebilir.


Bu sayı Mavituna Security Ltd. tarafindan sponsor edilmistir.


© Copyright(c) 2009 Lifeoverip.Net

.