NetSec Güvenlik Bülteni

©NetSec Güvenlik Bülteni XVII
Haftalık NetSec Güvenlik Bülteni
MERHABA	23/12/2009
Haftalık yayınlanan NetSec Güvenlik Bülteni’nin yeni sayısı ile karşınızdayız. Bülten Web Adresi: http://www.lifeoverip.net/newsletter/sayi17 “Haftalık Güvenlik Bülteni Ağ Güvenliği Listesi Netsec 'in üyeleri tarafından hazırlanmakta olup herkesin katkısına açıktır. Amacımız değişken güvenlik dünyasının farklı alanlarını yakından takip eden arkadaşların geçtiğimiz hafta içerisinde dikkatini çeken güvenlikle ilgili haberler, yazılar, araçların paylaşımıdır.” Bülten İçeriği GÜVENLİK DÜNYASINDAN HABERLER. 2 KRİTİK SEVİYE GÜVENLİK AÇIKLIKLARI. 3 YENİ ÇIKAN/GÜNCELLENEN GÜVENLİK YAZILIMLARI. 3 HAFTANIN GÜVENLİK YAZILIMI. 4 HAFTANIN MİSAFİRİ. 5 ETKİNLİKLER. 7 DİKKAT ÇEKEN YAZILAR. 8 İŞ İLANLARI. 9 GÜVENLİK BÜLTENİ HAKKINDA. 9 GÜVENLİK DÜNYASINDAN HABERLER -Twitter Hacklendi! http://www.webrazzi.com/2009/12/18/twitter-hacklendi/ -2.5 saniyede bir sanal tehdit! http://www.veteknoloji.com/25-saniyede-bir-sanal-tehdit-25829-1.html -WPA Şifrelerini Kırmak İçin Servis http://www.guvenli.org/icerik/3-12-09/wpa-sifrelerini-kirmak-icin-servis -Türkler, tehlikeli oyunlardan vazgeçmiyor! http://cnetturkiye.com/haberler/104-Eglence-oyun/3674-turkler-tehlikeli-oyunlardan-vazgecmiyor -Yılbaşı kartlarındaki büyük tehlike http://cnetturkiye.com/haberler/67-web-servisleri/3663-yilbasi-kartlarindaki-buyuk-tehlike -Spam mesajlarının odağı Domuz Gribi http://www.btnet.com.tr/wps/portal/bilisim/guvenlik/kurumsal-guvenlik/detay?wcm.haberId=btnethaber_1261490217668 KRİTİK SEVİYE GÜVENLİK AÇIKLIKLARI -Remote Buffer Overflow Exploit (TFTP Daemon Version 1.9) http://seclists.org/bugtraq/2009/Dec/278 -Intel vPro işlemcilerinde ciddi güvenlik açığı http://www.olympos.org/haberler/guvenlik-acigi/intel-vpro-islemcilerinde-ciddi-guvenlik-acigi-5971.html YENİ ÇIKAN/GÜNCELLENEN GÜVENLİK YAZILIMLARI -DEFT Linux v5x released Adli bilişim analizlerinde kullanlılan hazır cd Deft Linux'un yeni sürümü çıktı. http://www.deftlinux.net/2009/12/15/deft-linux-v5-with-xplico-ready-for-download/ -Focus On Airoscript NG V 1.0 http://www.security-database.com/toolswatch/Focus-on-Airoscript-NG-version-1.html -KISMAC V0.3 RELEASED : THE OSX WIRELESS SNIFFER http://www.security-database.com/toolswatch/Kismac-v0-3-released-The-OSX.html -Wireshark 1.2.5 çıktı. http://www.net-security.org/software.php?id=735 -GnuPG 2.0.14 released Opensource dünyanın şifreleme çözümü olan GnuPG nin yeni sürümü çıktı http://www.net-security.org/secworld.php?id=8653 -METASPLOIT FRAMEWORK UPDATED TO V3.3.3 http://www.security-database.com/toolswatch/Metasploit-Framework-updated-to-v3.html HAFTANIN GÜVENLİK YAZILIMI Yazılım adı :Zebedee İndirme adresi : http://www.winton.org.uk/zebedee/ Kategori :Network Bağlantı Şifreleme Ortam :Network İşlevi : Zebedee, TCP/IP ya da udp protokolleri icin istemci sunucu mantığında çalışan “basit” bir guvenli tünelleme aracıdır Gunumuzde sifresiz baglanti kullanmak zorunlu hale geldi. Fakat cogu protokol hala sifreli baglanti imkani sunmamakta. Bu durumda SSL Wrapper adi verdigimiz uygulamalari kullanarak gercekte sifreli baglanti imkani bulunmayan protokolleri sifreli kullanabiliriz. Transport katmaninda TCP kullanan protokoller icin stunnel ve benzeri uygulamalari kullanarak http, ftp, smtp vs gibi acik protokolleri sifreli hale getirebiliyoruz fakat cogu SSL wrapper programinin udp secenegi yok ya da duzgun calismiyor. Paranoya moduna gecip udp baglantilarini sifrelemem gerektiginde Zebedee[1] adli uygulamayi tercih ediyorum. Zebedee, TCP/IP ya da udp protokolleri icin istemci sunucu mantiginda calisabilen “basit” bir guvenli tunelleme araci. FreeBSD icin Zebedee Kurulumu Asagidaki komutlari sirasi ile calistirarak FreeBSD’e Zebedee aracini kurabilirsiniz. [root@freebsd7 ~]# cd /usr/ports/security/zebedee/ [root@freebsd7 /usr/ports/security/zebedee]# make install Zebedee’yi sunucu modda calistirmak icin -s parametresi yeterli olacaktir. Fakat default olarak sadece TCP baglantilarini tunelleyecek sekilde calisir. Bunu netstat -ant\|grep LISTEN komutu ile de gorebilirsiniz. # netstat -ant\|grep LISTEN tcp4 0 0 .11965 .* LISTEN tcp4 0 0 127.0.0.1.783 . LISTEN … 11965. portu dinleyen zebedee uygulamasidir. Eger UDP baglantilari guvenli tunnellemek istiyorsaniz -U parametresini tercih etmelisiniz. -U parametresi hem tcp hem de udp baglantilari icin kullanilir, sadece udp baglantilarini tunellemek isterseniz -u parametresi kullanilabilir. Sunucu Tarafi: #zebedee -s -u -T 1000 -T parametresi ile zebedee’nin hangi porttan dinleme yapacagini bildiriyoruz. Istemci tarafi: $zebedee -u -T 1000 uzak_sistem:514 zebedee(1493/90144): Listening on local port 64473 Listenning on local port xx dedigi bizim localhostta kullanacagimiz portu gosteriyor. Artik bundan sonra Localhost’un 64473(her seferinde degisecektir) portuna gonderdigimiz her paket uzak sistemin 514. portuna sifreli ve tunel araciligi ile ulasmis olacaktir. Daha gercekci bir ornek:Merkezi syslog sunucuya loglari sifrelenmis gondermek icin Zebedee kullanimi. Merkezi syslog sunucu(10.10.10.1): #zebedee -b 10.10.10.1 -s 127.0.0.1:514 -u -T 1000 Sonra bu sisteme syslog gonderecek makinede(IStemci(10.10.10.2)) syslog.conf dosyasina .all @10.10.10.2 #zebedee -u -T 1000 -b 10.10.10.2 514:10.10.10.1:514* komutlari verilir. Boylece localde calisan syslog kendi uzerindeki zebedee’ye loglari gonderiyor, Zebedee’de onlari guvenli tunel(sifreli iletisim) uzerinden merkezi syslog sunucuya aktariyor. Zebedee’nin calismadigini dusunuyorsaniz debug parametresini aktif ederek calistirmayi deneyin. #zebedee -dD -v 5 -s boylece giden gelen paketleri detaylica izleyip hatanin nerden kaynaklandigini bulabilirsiniz. Zebedee’yi sadece udp baglantilari icin degil TCP baglantilari icin de efektif bir sekilde kullanabilirsiniz. Netcat ve benzeri araclarin sagladigi tum ozellikleri guvenli bir sekilde saglar ve tunelleme esnasinda verileri sıkıstırarak iletim yaptıgından diger alternatiflerine gore hattinizi daha performansli kullanilmasina yardimci olur. HAFTANIN MİSAFİRİ *Güvenlik kahvesinin bu hafta konuğu Abdurrahman BEYAZASLAN (WebSense).* NGB :Kısaca kendinizden bahsedebilir misiniz? Abdurrahman Beyazaslan:1993 Bursa Cumhuriyet Lisesi, 1997 İstanbul Üniversitesi Bilgisayar Mühendisliği, 2002 İstanbul Üniversitesi MBA mezunuyum. İş hayatım boyunca Ford Otosan, Bank Kapital, Rumeli Telekom ve Intellect firmalarında çalıştım. Şu anda da Websense Türkiye ofisinde Sales Engineer olarak çalışıyorum. 32 Yaşında 2 çocuklu bir aile babası kısmını da ekleyelim J NGB :Güvenlik işine nasıl bulaştınız? Abdurrahman Beyazaslan:Okuldaki çoğu arkadaşım gibi genellikle ERP veya yazılım geliştirme alanlarından ziyade, network/sistem/güvenlik alanlarına eğilmem tamamen üniversitenin son senesinde (1996 ) iş aramam ve Ford Otosa’da çalışmam ile başladı. Aslında eğitimim gereği herkes gibi ben de yazılım ağırlıklı bir dal seçebilirdim ama, sabit olarak oturup, tüm gün kod yazmaya dayanamayacağımı anladığımdan o tarafa çok fazla eğilemedim. Ford Otosan’da network üzerine kazanmaya başladığım tecrübe, beni ağ ve bilgi güvenliği alanlarına kadar getirdi. Sırasıyla; Bank Kapital’de firewallar ile tanıştım, sonrasında Rumeli Telekom^daki Security Admin’lik görevim. Orada çalışıyorken Intellect ekibi ile tanıştım (ki başı Deniz Çevik çeker) ve o kadroya dahil oldum. Daha önceki işyerlerinde daha çok servis alan ve danışmanları dinleyen rolde iken, Intellect’de danışmanlık ve eğitmenlik görevlerini üstlenmeye başladım. Burada firewall, authentication, SIEM, web security konularında uzmanlık kazandim. NGB :Türkiye'de bilgi güvenliği konusunu değerlendirebilir misiniz? Abdurrahman Beyazaslan:Türkiye’de bilgi güvenliği, işin içindeki teknik ve orta kademe yöneticiler tarafından anlaşılmış olmakla birlikte bunun daha üzerine maalesef yeterince çıkamamış bir konu. Çok basit olarak, bugün BBC kanalında OTP token/biometrik authentication gibi konular için haber/program yapılabiliyorken, bizim kanallarımızda hala işin magazin kısmı dönüyor. Bu da tüm Türkiye’de bilgi güvenliği konusunun ne kadar ciddi olduğunu gösteriyor aslında. Bu konuya gereken önemin verilebilmesi işin, "Kisisel verilerin korunmasi" yasasının bir an önce çıkması ve bu konuda mahkemelerimizin yasaya aykırı hareket edenlere cezalar vermeye başlaması lazım. Aksi taktirde maalesef Türkiye’de cezası olmayan bir konunun –konu ne kadar ciddi olursa olsun- yeterince ciddiye alınması mümkün değil. NGB :Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir? Abdurrahman Beyazaslan:Ben bu konuyu “Türkiye neden kendi arabasını üretmiyor” sorusuna ve Devrim arabaları hikayesine benzetiyorum. Yerli güvenlik yazılımları denince genellikle open source ürünler üzerine yazılan bir Türkçe yönetim panelinden öteye gidemiyoruz maalesef. Bu da aslında gayet normal. Çünkü tamamen sizin yazdığınız benzeri bir program için gereken bütçe ve süre, Türkiye’nin tek başına pazar büyüklüğü düşünüldüğünde, projeyi umutsuz kılıyor.Türkiye’deki güvenli sektörünün mali büyüklüğü belli. Çok çok iyi bir güvenlik ürünü geliştirseniz bile, bu ürün ile ilk yıllarda Türkiye’de satışa başlayıp ayakta kalabilmeniz mümkün değil ki daha sonraki yıllarda yurdışına açılabilesiniz. Artık fw, ips, loglama sistemleri yazmak insanlara para kazandırmayacaktır, şirketleri uzun süreler ayakta tutmayacaktır. Ama bilgi güvenliğinin çok nish bir konusunda ygeliştirme yapıp firmalar bu fikri satarak ayakta kalabilirler. Burada sadece bilgi güvenliği ile ilgili değil ama genel IT sektöründe geliştirilen yazılımların kalite ve ticari başarısının artması için, üniversitelerimizde çok ciddi çalışmaların olması gerektiğine inanıyorum. Tabii herşeyin başında bu alanda mezun veren üniversitelerin tüm mezunlarının su gibi İngilizcelerinin olması gerektiğini hatırlatmak gerek. NGB :Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir? Abdurrahman Beyazaslan:Öncelikle bilgi güvenliğinin ne demek olduğunu toplumun her kesimize doğru bir şekilde aktarmamız gerekiyor. Kendi aramızda ISO, PCI gibi standardizasyoları çok konuşuyoruz ancak biz derdimizi Va’daki evine yeni ADSL bağlatmış teyzemize anlatamadığımız sürece bizim konuyu ne kadar bilgidiğimizin bir anlamı yok. Bunun için de öncelikle medyanın regüle edilmesi gerekiyor. Sansasyon dolu “meşhur hacker haberleri”nden kurtulmamız gerekiyor. Bunun için de bu haberleri yapan basın organlarına bu sektör çalışanları olarak tepkimizi göstermeliyiz. Bunun yanında şu meşhur yasa tasarısının bir an önce yasalaşması gerekiyor artık. Burada siyasilerimize ve bu siyasilere danışmanlık yapan Üniverite hocalarımıza çok iş düşüyor. Ben bundan sonrasının çok daha kolay olacağını düşünüyorum. Çünkü yasal düzenlemenin olmadığı bir noktada , bizler hep akıntıya karşı kürek çekiyoruz. NGB :Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz? Abdurrahman Beyazaslan:Kesinlike inanıyorum, ama bunun tamamen bağımsız, ticari faaliyeti olmayan!, çalışanlarını sınavla seçtiği ve sıkı bir denetimden geçirerek aldığı, konusunda gerçekten uzman kişilerin oluşturduğu bir kadroya sahip bir kurum tarafından yapılması gerektiğine de inanıyorum. NGB :Bu işe yeni başlayanlara neler önerirsiniz? Abdurrahman Beyazaslan:Bu işe yeni başlayacak arkadaşlarımın öncelikle işin altyapısını öğrenmelerini tavsiye ederim. Network bileşenleri (router, TCP/IP, vs..) ve tehditlerin neler olduğunu bilmeden bu işi anlamak mümkün değil (Eğer amaç sadece bilgi güvenliği danışmanı veya denetçisi olmak ise o zaman iş başka) En başta bu konulardaki temel kitapları okumaları gerekiyor. Sonrasında yine aynı konularda iş tecrübesi. İşi IT Security servisi vermek olan bir entegratör firmada çalışmaları, deneyim kazanma süresinde avantaj sağlayacatır. NGB :Sizce 2015 yılında bilgi güvenliği dünyasi hangi konulari konuşuyor olacak? Abdurrahman Beyazaslan:Kritik bilgilerin korunması için kullanılan sistemlerin artık bugünün firewall’ları gibi vazgeçilmez güvenlik ürünleri haline geldiğini göreceğiz. Ayrıca arabamızın çalışması için gerekli donanımın üzerindeki işletim sistemine giren virüslerden bahsediyor olacağız. NGB :Güvenlik sertifikaları konusuna ne düşünüyorsunuz? Abdurrahman Beyazaslan:Checkpoint ve Cisco sertifikalarna sahip birisi olarak aldığım sertifikaların, ezberden öteye gitmeyen sınav sistemlerini görünce sertifikasyona inancım tamamen bitmiş durumda. Sadece şu günlerde yavaş yavaş üzerinde çalışmaya başladığım CISSP hariç (çok güzel yorumlar var bu sertifikasyon ile ilgili). Zaman zaman bana gelen CV’lerde; 3-4 senelik iş tecrübesine karşın, toplamda 30 sınava girilerek alınabilecek kadar çok sertifikaya sahip CV’leri direk elediğimi söyleyebilrim. NGB :Karşılaştığınız en ciddi/kritik güvenlik problemi nedir? Abdurrahman Beyazaslan:Birkaç örnek aklıma geldi ama genellikle müşterilerimizde karşılaştığımız problemler olduğundan yazdıklarımı sildim J. Problem değil ama belki çözümü paylaşabilirim: yazdığımız politika ve proseürleri kontrol edebilecğeimiz ve ölçebileceğimiz bir yapıyı oturtabiliyor olmamız lazım, aksi taktirde hepsi havada kalıyor ve günün birinde bir şekilde kontrol edebilir hale geldiğimizde dehşete düşebiliyoruz. NGB :Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitapların okunmasını tavsiye edersiniz? Abdurrahman Beyazaslan:Belki bahane ama zaman yetersizliğinden çok sık kitap okuyabildiğimi söyleyemeyeceğim. En son geçen yaz okuduğum Cisco CCNA Official Certification Guide CND1-2 oldukça güzel içerikli bir kitaptı. CCNA sınavından bağımsız olarak bile okunması gereken bir kipta. Eminim CCNA sertifikası olan bir çok arkadaşın dahi bilmediği konular çıkacaktır. Bir de uzun zaman önce arkadaşımın önerdiği Code Book var. Yazarı Simon Singh. Krpitolojinin günümüze kadar nasıl geldiğini anlatıyor. Mutlaka okunmalı, roman gibi elinizden bırakamayacaksınız. Türkçesi ideefixe’de satılıyor. NGB :Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı? Abdurrahman Beyazaslan:Ben tam olarak Network ve Bilgi güvenliği konularına Intellect’de balıklama daldım diyebiliim. O nedenle o ekipteki her arkadaşımın benim için ayrı ayrı yeri ve değeri vardır. Bir de stajer kadrosunda göreve başladığım Ford Otosan’daki Kurtuluş Öztürk’ün bende çok emeği vardır. Kuralları olan, disiplinli ve planlı çalışması bana her zaman örnek olmuştur. NGB :Güvenlik dünyasında en fazla kullandığınız yazılım hangi? Abdurrahman Beyazaslan:Herhalde şu andaki işim gereği olsa en fazla kullandığım yazılım şu anda Websense Security Gateway ve Data Security Suite yazılımları. Bunların yanında, tabii güvenlik yazılımı demek ne kadar doğru bilmiyorum ama tabii ki Wireshark/tcpdump. Windows Log Parser. Herhalde yaptığım iş dolayısı ile çok fazla open source ürün kullanmıyorum. NGB :Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz? Abdurrahman Beyazaslan: securiteam.com securitylabs.websense.com ultimatewindowssecurity.com NGB :Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz? Abdurrahman Beyazaslan:Her nekadar bazen daralıp köyde domates biber ekmeği planlasamda, tekrar aynı mesleği ve bu dalı seçerdim. İnsan yaptığı işten zevk alarak yapıyor. Yoksa 2 cocuğu uyuttuktan sonra gecenin bir saatinde oturup çalışmak pek akla yatmazdı J NGB: Zaman ayırarak röportajımıza katıldığınız için teşekkür ederiz. ETKİNLİKLER -AnkaSec Ankara Güvenlik Konferansı 24 Aralık 2009 http://www.ankasec.org -Ağ ve Bilgi Güvenliği Konferansı 5-6 Şubat 2009 http://www.abgs.org.tr/ -Akademik Bilişim 2010 10-12 Şubat 2010 http://ab.org.tr/ab10/ [Güvenlik Eğitimleri ] -Beyaz Şapkalı Hacker Eğitimi (CEH) http://www.guvenlikegitimleri.com/new/beyaz-sapkali-hacker-egitimi-6-subat-2010 [Yarışma] -HackMe! Online CTF Yarışması http://hackme.lifeoverip.net [Anket] Türkiye’de açık kaynak kodlu güvenlik yazılımlarının ne oranda ve ne kadar efektif kullanıldığına dair bir araştırma anketi. -Açık kaynak kodlu güvenlik yazılımı kullanıyor musunuz? DİKKAT ÇEKEN YAZILAR -2009'un en çok açıklık çıkan yazılımları http://www.net-security.org/secworld.php?id=8628 -Advisory To Exploit Using Metasploit Yayınlanmış bir güvenlik zaafiyetini alıp çalışan bir exploit haline getirme üzerine bilgilendirici bir yazı http://www.metasploit.com/redmine/attachments/download/95 -VoIP vulnerability trends Mcafee tarafından VOIP açıklıklarını incelendiği detaylı bir rapor http://www.mcafee.com/us/local_content/white_papers/7528wp_labs_voipvuln_1109_en_fnl_lores.pdf -Devletin Bilgi Toplama ve Paylaşmada Kişileri Koruyacak Bir Anlayışı Benimsemesi Lazım http://turk.internet.com/haber/yazigoster.php3?yaziid=25865 - Parçalı paketler IDS' e karşı https://infosecisland.com/blogview/2110-Packet-fragmentation-vs-the-Intrusion-Detection-System.html -Windows Server 2008 IIS7 Uzerinde Guvenli PHP Kullanma http://volkanaltan.blogspot.com/2009/12/windows-server-2008-iis-uzerine-guvenli.html -Lynis ile Güvenlik Denetimi http://www.syslogs.org/2009/12/lynis-ile-guvenlik-auditing/ İNSAN KAYNAKLARI -Websense Türkiye İş İlanı http://article.gmane.org/gmane.comp.security.netsec/4717 -Network Mühendisi http://www.yenibiris.com/data_expert_executive_search__recruitment_solutions/network_muhendisi/252645.ilan -Microsoft Sistem ve Network Uzmanı http://www.yenibiris.com/netlojistik_bilisim_ve_tek_hiz_tic_ltd_sti/microsoft_sistem_ve_network_uzmani/253118.ilan -Cisco Network Mühendisi http://www.yenibiris.com/adk_insan_kaynaklari/cisco_network_muhendisi/39415.ilan -NETWORK VE GÜVENLİK MÜHENDİSİ http://www.yenibiris.com/sentim_bilisim/network_ve_guvenlik_muhendisi/245142.ilan -Network ve Güvenlik Uzmanı http://www.kariyer.net/jobsearch/jobdetail.kariyer?arn=&sid=&ilankodu=468929&ilId=144 GÜVENLİK BÜLTENİ HAKKINDA Güvenlik E-bülteni #17'ye katkıda bulunanlar: Huzeyfe ÖNAL, Ömer ALBAYRAK Güvenlik Bülteni Üyeliği Güvenlik bültenini mail olarak almak isterseniz http://www.lifeoverip.net/newsletter/ adresine e-posta adresinizi bırakmanız yeterlidir. Ağ Güvenliği( Netsec ) listesine üyeliğiniz varsa tekrar bülten üyeliğine gerek yoktur, bültenler listeye gönderilecektir. Eski Sayılar Güvenlik bülteninin eski sayılarına http://www.lifeoverip.net/newsletter/ adresinden erişilebilir. Bu sayı Mavituna Security Ltd. tarafindan sponsor edilmistir. © Copyright(c) 2009 Lifeoverip.Net .