©NetSec Güvenlik Bülteni – XXIII

NetSec Güvenlik Bülteni

MERHABA

16/03/2010

Ayda iki kere yayınlanan NetSec Güvenlik Bülteni’ nin yeni sayısı ile karşınızdayız.

Bülten Web Adresi: http://www.lifeoverip.net/newsletter/sayi23

Bülten ile ilgili olarak görüş ve düşüncelerinizi lütfen bizimle paylaşın. Linkte hem istatistiklerimiz hem de yorum ve düşüncelerinizi paylaşabileceğiniz bir yazı bulunmaktadır. http://blog.lifeoverip.net/2010/01/05/netsec-guvenlik-bulteni-2009-istatistikleri/

 “NetSec Güvenlik Bülteni Ağ Güvenliği Listesi Netsec 'in üyeleri tarafından hazırlanmakta olup herkesin katkısına açıktır. Amacımız değişken olan güvenlik dünyasının farklı alanlarını yakından takip eden arkadaşların geçtiğimiz haftalar içerisinde dikkatini çeken güvenlikle ilgili haberlerin, yazıların, araçların paylaşımıdır.”

-F1 Tuşuna basmayın!!! 
http://blog.zemana.com/2010/03/javascript-msgbox-hlp-0-day.html

-"Botnet” sunucuları kapanıyor

http://www.pctime.com.tr/index.php/botnet-sunuculari-kapaniyor-3904

-GoDaddy store your passwords in clear-text and may try to SSH to your VPS without permission
http://blog.sucuri.net/2010/02/godaddy-store-your-passwords-in-clear.html

-İleri düzey şifrelemede devrim niteliğinde buluş
http://www.computerworld.com.tr/ileri-duzey-sifrelemede-devrim-niteliginde-bulus-detay_4530.html

-Virüsler taşınabilir disklerle geliyor

http://www.socialnewsturkey.com/virusler-tasinabilir-disklerle-geliyor/

-ABD'nin, Çok Gizli İnternet Güvenliği Planları

http://www.turk.internet.com/portal/yazigoster.php?yaziid=26776

-ABD siber caydırıcılık peşinde

http://www.ntvmsnbc.com/id/25065608/

-İngiltere'de Sahtekarlar Kurumsal Portalları Kullanıyor

http://www.turk.internet.com/portal/yazigoster.php?yaziid=26788

-RSA 2010 - Wireless security monitoring results
http://www.net-security.org/secworld.php?id=8974

-Botnetlerin Yeni Hedefi Smartphonelar Olabilir

http://www.turk.internet.com/portal/yazigoster.php?yaziid=26817

-Microsoft'tan virüslere karşı yeni tartışılacak bir öneri: Daha fazla vergi alalım ve...

http://www.veteknoloji.com/internete-yeni-vergi-mi-geliyor-29001--0.html

-Web Application Security Trends Report
http://blog.cenzic.com/public/item/251943

-SC Magazine 2010 Awards Winners
http://www.scmagazineus.com/sc-magazine-awards-2010/section/1049/

-Microsoft Windows "MsgBox()" HLP Uzaktan Dosya Çalıştırma Açıklığı 

http://www.bilgiguvenligi.gov.tr/guvenlik-bildirileri-kategorisi/microsoft-windows-msgbox-hlp-uzaktan-dosya-calistirma-acikligi.html

-Vulnerability in Internet Explorer Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/981374.mspx
http://securityreason.com/exploitalert/7866

-Sudo Local Root Exploit
http://securityreason.com/exploitalert/7876

-Apache 2.2.14 mod_isapi Dangling Pointer
Windows sistemlerde yüklü Apache için geçerli
http://www.senseofsecurity.com.au/advisories/SOS-10-002

-Web Security Dojo v1.0 release
Web uygulama güvenlik açıklıklarını öğrenme amaçlı geliştirilmiş Vmware imajı
http://dojo.mavensecurity.com/

-Wordpress 2.9.1 wp-admin Cross-Site Scripting Vulnerability

http://securityreason.com/exploitalert/7866

-Flint - güvenlik duvarı kural analizi 
http://runplaybook.com/p/11

-Snorby (VmWare appliance version 1.1)
Snort için yönetim arabirimi Snortby'nin Vmware hazır versiyonu
http://www.cryptolife.org/index.php/Snorby

Yazılım adı             : Maltego
İndirme adresi       : http://www.paterva.com/web4/index.php/maltego

Kategori                : Bilgi Güvenliği / Keşif
Ortam                   : Linux / Windows
İşlevi           : İnternet üzerinden sistemler hakkında bilgi toplama

Kullanımı:

Penetrasyon testlerinin en önemli ve ilk adımı bilgi toplamadır. Bilgi toplama adımında hedef sistemle ilgili tüm bilgileri olabildiğince detaylı bir şekilde toplanır ve bu bilgiler kategorik olarak saklanır. Testlerin ileriki safhalarında toplanan bilgiler kullanılarak sistemlere sızma yolları denenir.

Bilgi toplama yöntemleri temelde aktif ve pasif olmak üzere ikiye ayrılır. Pasif bilgi toplamada hedef sistem üzerinden herhangi bir iz bırakmadan tamamen internet kaynakları kullanılır. Aktif bilgi toplama da ise hedef sistem ve bileşenleriyle iletişime geçilir(dns sorgulamaları, port tarama , banner ile versiyon bilgisi alma vs). Aktif ve pasif bilgi toplama yöntemleri de kendi içlerinde çeşitli alt dallara ayrılır. 

Bilgi toplama yöntemlerinin çeşitliliği kadar da araç vardır. Bu araçların çoğu tek bir işlevi yapmak üzere geliştirilmiş ufak betiklerdir. Çok fazla araç olması bu araçların yönetimi ve entegrasyonu işini de zorlaştırmaktadır. 

Bu eksikliği farkden bir grup yazılımcı Maltego adından yeni bir yazılım geliştirdi. Maltego, bildiğimiz tüm klasik bilgi toplama yöntemlerini birleştirerek merkezi bir yerden kontrol ve raporlama imkanı sunar. Bu sebeple yeni nesil (ikinci nesil) bilgi toplama aracı olarak  sınıflandırılır. 

Maltego'yu kullanarak bilgi toplamak istediğimiz hedef(kişi, e-posta adresi, ip adresi, domain,web sayfası, telefon numarası vs) hakkında bulunabilecek tüm bilgileri edinebiliriz. Maltego toplanan bilgiler arasındaki ilişkileri otomatik kurmasını sağlayarak daha sağlıklı sonuçlar çıkmasına yardımcı olur.

Maltego ticari lisanslı bir yazılımdır fakat internet sayfasından edinilebilecek Maltego Community kısıtlı sayıda kullanım hakkına sahip ücretsiz bir araçtır.

Güvenlik kahvesinin bu haftaki konuğu AVEA’ da Güvenlik Dizayn Bölümü Takım Lideri olan Afşin TAŞKIRAN

NGB: Kısaca kendinizden bahsedebilir misiniz?

Afşin TAŞKIRAN: Fen Lisesi’nde okumanın getirdiği bilim aşkı, Elektrik-Elektronik Mühendisi olmama vesile oldu. Lisans sonrasında yarıda bırakmak zorunda kaldığım aynı bölümdeki yüksek lisansımı da tezimi verdiğim taktirde bitireceğim.  

Lisans yıllarımın ilk zamanlarında bölümün getirdiği disiplinlerin yanında bilgisayar bilimlerine yöneldim. Lisans yıllarımın ilk yıllarından itibaren ağ teknolojileri ve linux işletim işletim sistemi üzerimde fazlasıyla heyecan uyandıran konulardı. Buna paralel olarak üniversitenin mühendislik bilgi işlem grubunda yer aldım. Kampüste sabahın ilk ışıklarına kadar çalışmanın hazzını hala özlüyorum.

1. Linux Şenliği’nde LKD’yle tanışmamızla birlikte çeşitli üniversitelerde düzenlenen seminerlerde konuşmacı olarak da yer aldım.

EnderUnix ise benim ömrüm boyunca içinde olmaktan gurur duyacağım bir grup.

Küçük yaştan beri satranç oynuyorum. Gerçi iş güçten artık vakit bulamıyoruz ama zihni çalıştıran bu tarz strateji oyunlarından da zevk alıyorum.

NGB: Güvenlik işine nasıl bulaştınız?

Afşin TAŞKIRAN: 10 sene önce Türkiye’de sistem yöneticisi ile ağ yöneticisinin ayrımı bile yokken günümüzde Linux ve Solaris sistem yöneticisi  görevleri bile farklı pozisyonlanıyor. 

Uzun yıllar Linux/BSD  ve ağ sistemleriyle uğraştım. Çalışmalarım sırasında da güvenlik bakış açısı benim için bir kalite kriteri haline geldi.  Örneğin her sistemin nmap, nessus la testlerini yapip gördüğüm sıkılaştırmalarını da yapardım. 

Lisans sonrasında göreve başladığım Turcom Teknoloji’de Cuma Kurt ile birlikte açık kodlu sistemler üzerinde  güvenlik çözümleri desteği veriyorduk. Burada sayısını hatırlamadığım kuruma Linux/BSD firewall, IDS, proxy altyapısı kurup desteğini verme fırsatı buldum.

EnderUnix ekibindeki arkadaşlarımın ve Barış Şimşek’in dostluğu benim için her zaman çok kıymetli oldu.

NGB: Türkiye'de bilgi güvenliği konusunu değerlendirebilir misiniz?

Afşin TAŞKIRAN: Güvenlik belki sadece Türkiye’de değil dünyada da bütçesi kısılmak istenen bir bölüm. En büyük nedeni de pozitif yönde gelir kaydetme durumunun olmaması.

Türkiye’deki çoğu karar vericinin ise güvenlik konusuna yabancı olması bizim en büyük eksikliklerimiz arasında.

Burada biz teknik adamların üzerine düşen en büyük görevin “öcü var, kaçın!!” gibi korkutma politikaları sunmak yerine riski ve çözümlerini net bir şekilde gösteren “güven veren” bir tutum sergilemek olduğu da aşikardır.

Yine de Türkiye’de büyük kurumların bile ayrı güvenlik birimlerinin varoluş nedeninin zorunlu güvenlik politiları olduğu, buralarda yapılan çalışmalardan çıkarabildiğim bir sonuç.

NGB: Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?

Afşin TAŞKIRAN:  Treni kaçırmak deyimi kullanmak istemiyorum ama güvenlik alanındaki bazı hazır çözümlerde durum böyle. Maalesef doksanlı yıllarda henüz 5-10 kişilik ekiplerle geliştirilen firewall/IPS vb ürünlerin dağıtıcılığını almak yerine bunları kendi içimizde geliştirme yolunu seçseydik her şey çok farklı olurdu. 

Firewall administrator arkadaslarimiz firewall a kural yazmak yerine firewall yazılımındaki kodlarda geliştirme yapıyor olurlardı.

Dolayısıyla çok mesefe kaydedilmiş Firewall/IPS gibi teknolojileri yeniden keşfetmek yerine ihtiyaç çalışması yapıp buralara yoğunlaşmamız gerekiyor. Bundan iki sene önce DLP gibi bir trend başladı, belki bu da kaçıyor. Bilgisayar mühendisi arkadaşlarımızın elverdiği ölçüde yenilikleri görmesi gerekiyor.

NGB: Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?

Afşin TAŞKIRAN: 

Güvenlik konusunda da müşteri olmak yerine üreten taraf olmayı ümit ediyorum. Bu nedenle bilişim sektöründe konuya hakim gençlerimizin hazır bilgiyi kullanmaları yerine, üretmelerine; sektöre yön veren patronlarımızın da üretimi teşvik etmelerine ihtiyacımız var. Bu konuda bizlere düşen en büyük ve gerçekçi görev de gençlerimize yol göstericilik yapmak.

NGB: Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?

Afşin TAŞKIRAN:

Teorikte inanıyorum ancak pratikte bunun gerçekleştirilebileceğini göremedim, keşke olsa.

Gözlerimizi kapatıp düşünelim; öyle bir kurum olsun ki, güvenlik zaafiyetlerini kabul edilebilir yanlış alarmlar olmadan anında duyursun, çözüm yollarını göstersin, güvenliğin gidişatı konusunda bilgilendirsin ki yatırımlarımızı ona göre yapalım. Güvenlik politikalarımıza referans oluştursun. Kurduğumuz mimarilerde bize ışık göstersin.  Gönüllülük esasına da dayanmasın.

Ben henüz aradığımı bulamadım ama olursa yeme de yanında yat olur.

NGB: Bu işe yeni başlayanlara neler önerirsiniz?

Afşin TAŞKIRAN:

Günümüzde bazı çelik kapı üreticilerinin kapılarını ancak firmaya başvurduğunuz vakit açtırabiliyorsunuz. Köşe başlarındaki çilingirler ancak eski kalmış, standart kapıların haricindeki kapıları açamıyor.

Güvenlik konusunu da  bu bilişim disiplinlerinin üstünde bir katman gibi düşünüyorum. Bir router cihazın derinlemesine yönetimini yapmamış bir uzmanın router güvenliği konusunda hazır bakış açıları dışına çıkması mümkün değil.

Dolayısıyla güvenliğe merak duyan arkadaşlarımızın mutlaka birden fazla alanda uzmanlık kazanmasını tavsiye ederim.  Sabırlı olsunlar, zaten bir konuda derinlemesine bilgi sahibi olduğunuz vakit o sistemin arka kapılarını da kendiliğinden görmeye başlarsınız.

NGB: Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?

Afşin TAŞKIRAN:

Bazısı 2010 yılında, bazısı 2015 yılında karşılaşır. Ama firewall larla baslayıp SSL VPN, DLP, NAC a kadar giden bu kadar yeni teknolojinin kurumlara entegrasyonundan sonra çıkabilecek en büyük sorun, bu yapının hakkını vererek işletimini ve optimizasyonu sağlamak olacaktır.  Tabi bunlar büyümenin de getirdiği problemler.  2015 de konuşabilir miyiz bilmiyorum ama cloud ve grid computing in sektör uygulamalarını merakla bekliyorum

NGB: Güvenlik sertifikaları konusunda ne düşünüyorsunuz?

Afşin TAŞKIRAN:

Hepimizin çevresinde ehliyeti olup da araba kullanamayan bir çok insan vardır. Sertifikalar da bunun gibi.

 Sertifikasyonların beni cezbeden en büyük artısı bir konuyu methoduyla öğrenme fırsatıdır. İçerik konusunda bir çok kurum ve kişinin çalıştığı sertifikasyonları görmezden gelmek imkansız.

Ancak tabi ki tecrübe mi sertifika mı deseniz düşünmeden tecrübe derim. Sertifikaları, kişinin tecrübe kazanması yolunda bir araç olarak görmesi  gerekir. Bilgi dağarcığını zenginleştirmek için bence çok da faydalıdır.

Eğer bir kişi iyi bir firewall admin olmak istiyorsa ürün sertifikasyonlarına yönelip metodolojiyi öğrenmesi, danışmanlık için kullanılabilecek, bir çok konunun yüzeysel geçildiği tarafsız kurumların verdiği sertifikalardan daha hayırlıdır.

İş görüşmesi yaptığımız arkadaşlarda da ilk baktığım kısım tecrübe, ardından sertifikalar kısmı oluyor. Tabi yine sonuç itibariyle danışmanlığı sertifika vermiyor, firewall u da sertifika yönetmiyor.

NGB: Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?

Afşin TAŞKIRAN:

Bilgisizlik en büyük problem görünüyor .Detayını çay içerken konuşalım :)

NGB: Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitapların okunmasını tavsiye edersiniz?

Afşin TAŞKIRAN:

Magazin tadında kitapları okuyamıyorum maalesef. Biraz zaman darlığı, biraz da sevmemem belki de.

White paper denen el kitapları en büyük yoldaşım.

Keşke vaktim olsa da ISACA’nın kütüphanesine dalsam diye içimden geçirmiyor değilim.

NGB: Bilgi güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı?

Afşin TAŞKIRAN:

Bilgi güvenliği açısından örnek aldığım bir kişilik yok. Ancak bir çok insanı gözlemler ve onlarda bulunan güzel özellikleri kendimde de geliştirmeye çalışırım. Uzaklara gitmeye gerek yok, yakınımızdaki bir çok arkadaşımız da bizim için birer kahraman.

NGB: Güvenlik dünyasında en fazla kullandığınız yazılım hangisi?

Afşin TAŞKIRAN:

Eskiden nmap şu aralar ethereal. Pasif tarafa mı geçtim ne :)

NGB: Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?

Afşin TAŞKIRAN:

Haber sitelerini maalesef takip edemiyorum. Bunun yerine az olsun öz olsun mantığıyla Sans ın makalelerini takip etmek daha faydalı geliyor.

NGB: Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?

Afşin TAŞKIRAN:

İllaki elektronik/bilgisayar teknolojileri üzerine çalışacaksam evet, mesleğimden memnunum.

Ancak hayat planım üzerine de yoğun düşüncelerim var. Memlekette ufak bir bahçemiz olsa, meyveler sebzeler yetiştirsek, toprağa gönül versek. Çay demlesek.. Düşünceler işte..

NGB: Zaman ayırarak röportajımıza katıldığınız için  teşekkür ederiz.

[Güvenlik Eğitimleri ]

-Beyaz Şapkalı Hacker Eğitimi 3 Nisan 2010
http://www.guvenlikegitimleri.com/new/beyaz-sapkali-hacker-egitimi-3-nisan-2010

[Yarışma]

-The Curious Mr. X
http://forensicscontest.com/2010/02/03/puzzle-4-the-curious-mr-x

[Anket]
Türkiye’de açık kaynak kodlu güvenlik yazılımlarının ne oranda ve ne kadar efektif kullanıldığına dair bir araştırma anketi.

-Açık kaynak kodlu güvenlik yazılımı kullanıyor musunuz?

-Güvenliğin En Zayıf Halkası:İnsan

http://sistemguvenligi.blogspot.com/2010/03/guvenligin-en-zayf-halkasinsan.html

-ShmooCon 2010 presentation

http://www.shmoocon.org/presentations-all.html

-Türkiyede HTTPS/SSL Hırsızlığı (Part1)

http://blog.zemana.com/2010/03/turkiyede-httpsssl-hrszlg-part1.html

-Critical Log Review Checklist for Security Incidents
http://zeltser.com/log-management/security-incident-log-review-checklist.html

-Temporary Internet Files = Gizli, Yapışkan Dosyalar 
http://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/temporary-internet-files-gizli-yapiskan-dosyalar.html

-Key Findings in the 2009 X-Force Trend and Risk Report
http://blogs.iss.net/archive/2009trendhighlights.html

-Top 10 Hacks of 2009 and WAF Mitigations
http://tacticalwebappsec.blogspot.com/2010/03/top-10-hacks-of-2009-and-waf.html

-DNS Cache Poisoning 

http://www.ufuktatlidil.com/index.php/ceh/324-dns-cache-poisoning-.html

-E-Mail Güvenliği Mercek Altında

http://www.turk.internet.com/portal/yazigoster.php?yaziid=26747

BİLGİ GÜVENLİĞİ UZMANI

http://www.kariyer.net/jobsearch/jobdetail.kariyer?arn=&sid=&ilankodu=510036&ilId=144

GÜVENLİK UZMANI(GittiGidiyor.com)

http://www.kariyer.net/jobsearch/jobdetail.kariyer?arn=&sid=&ilankodu=503756&ilId=143

Güvenlik E-bülteni  #23'e katkıda bulunanlar: Huzeyfe ÖNAL, Ömer ALBAYRAK

Güvenlik Bülteni Üyeliği

Güvenlik bültenini mail olarak almak isterseniz http://www.lifeoverip.net/newsletter/ adresine e-posta adresinizi bırakmanız yeterlidir.

Ağ Güvenliği( Netsec ) listesine üyeliğiniz varsa tekrar bülten üyeliğine gerek yoktur, bültenler listeye gönderilecektir.

Eski Sayılar

Güvenlik bülteninin eski sayılarına  http://www.lifeoverip.net/newsletter/ adresinden erişilebilir.

Bu sayıya        Sponsor olmuştur.

© Copyright(c) 2010 Lifeoverip.Net

.