|
NetSec
Güvenlik Bülteni’ nin
28.Sayısı ile karşınızdayız.
Bülten Web Adresi: http://www.lifeoverip.net/newsletter/sayi28
Bülten ile ilgili olarak görüş ve düşüncelerinizi
lütfen bizimle paylaşın.
“NetSec Güvenlik Bülteni Ağ Güvenliği Listesi Netsec ‘in üyeleri
tarafından hazırlanmakta olup herkesin katkısına açıktır. Amacımız değişken olan güvenlik dünyasının farklı alanlarını yakından takip eden arkadaşların
geçtiğimiz haftalar içerisinde dikkatini çeken güvenlikle ilgili haberlerin, yazıların, araçların paylaşımıdır.”
GÜVENLİK DÜNYASINDAN HABERLER.
KRİTİK
SEVİYE GÜVENLİK AÇIKLIKLARI.
YENİ ÇIKAN/GÜNCELLENEN GÜVENLİK YAZILIMLARI.
HAFTANIN GÜVENLİK YAZILIMI.
HAFTANIN GÜVENLİK
İPUCU
HAFTANIN MİSAFİRİ.
ETKİNLİKLER.
DİKKAT ÇEKEN YAZILAR.
İŞ İLANLARI.
GÜVENLİK BÜLTENİ HAKKINDA.
 GÜVENLİK DÜNYASINDAN
HABERLER
-TippingPoint TP110 ve TP330
modellerine ICSA sertifikası
http://altugyavas.blogspot.com/2010/05/tippingpoint-tp110-ve-tp330-modellerine.html
-Bilgilerinizi çaldık, özür dileriz!
http://cnetturkiye.com/haberler/112-Aktuel/4229-bilgilerinizi-caldik-ozur-dileriz
-Bu 6 kullanıcı güvenlik açığına dikkat edin!
http://www.chip.com.tr/konu/kullanicilarin-6-guvenlik-acigi_20063.html
-Sadece 300 milyon IP kaldı
http://www.chip.com.tr/konu/web-de-ip-adresi-bilmecesi_20023.html
-Otomobil Sürüş Sistemleri Hack Etmeye Açık
http://www.turk.internet.com/portal/yazigoster.php?yaziid=27747
-VeriSign Raporu: DDoS Saldırıları için Alınabilecek Tedbirler
http://www.turk.internet.com/portal/yazigoster.php?yaziid=27763
-IBM Güvenlik Konferansında Virüslü USB Dağıtmış
http://www.turk.internet.com/portal/yazigoster.php?yaziid=27805
-Fotokopinin ardındaki sır!
http://www.chip.com.tr/konu/fotokopinin-ardindaki-sir_20153.html
-Pentagon siber savaş birimi
kurdu
http://www.hurriyet.com.tr/dunya/14819239.asp?gid=373
-Cep telefonlarını bekleyen tehlike
http://www.chip.com.tr/konu/cep-telefonlarindaki-yeni-tehlike_20228.html
-Centrify SSO ve Audit Çözümleri Endersys ile Türkiye’de
http://www.turk.internet.com/portal/yazigoster.php?yaziid=27863
-21 milyon bilgisayarı bekleyen büyük tuzak
http://www.hurriyet.com.tr/teknoloji/14829356.asp
-Hacker’lar da Google’a minnettar
http://www.chip.com.tr/konu/hacker-lar-da-google-a-minnettar_20239.html
-Herkes İçin Güvenlik
Dokümanları Güncellendi
http://www.bilgiguvenligi.gov.tr/duyurular-kategorisi/herkes-icin-guvenlik-dokumanlari-guncellendi.html
-Rik Ferguson: Güvenliğiniz İçin Ziyaret Ettiğiniz Sitelere Dikkat Edin
http://www.turk.internet.com/portal/yazigoster.php?yaziid=27860
-New DoS attack uses Web servers as zombies
http://news.cnet.com/8301-27080_3-20004855-245.html
 KRİTİK SEVİYE
GÜVENLİK AÇIKLIKLARI
-Birden Fazla Üretici 'rpc.pcnfsd' Tam Sayı Taşması Açıklığı
https://www.bilgiguvenligi.gov.tr/guvenlik-bildirileri-kategorisi/birden-fazla-uretici-rpc.pcnfsd-tam-sayi-tasmasi-acikligi.html
-Google Chrome Bellek Bozulma Ve Güvenlik Atlama
Açıklığı
https://www.bilgiguvenligi.gov.tr/guvenlik-bildirileri-kategorisi/google-chrome-bellek-bozulma-ve-guvenlik-atlama-acikligi.html
-Apple Mac İşletim Sistemi Java Uygulamalarında Uzaktan Çoklu Kod Çalıştırma
Açıklığı
https://www.bilgiguvenligi.gov.tr/guvenlik-bildirileri-kategorisi/apple-mac-isletim-sistemi-java-uygulamalarinda-uzaktan-coklu-kod-calistirma-acikligi.html
 YENİ ÇIKAN/GÜNCELLENEN GÜVENLİK
YAZILIMLARI
-Privatefirewall 7.0.20.40 sürümü yayınlandı
http://www.net-security.org/software.php?id=506
-Linux 2.6.34 çekirdeği yayınlandı
http://kernelnewbies.org/Linux_2_6_34
-Endian Firewall 2.4 sürümü çıktı
http://www.endian.com/en/community/efw-24/
-OpenBSD 4.7 çıktı
http://www.openbsd.org/47.html
-Shorewall 4.4.10 Beta 1
http://www.net-security.org/software.php?id=40
-Slackware 13.1 released
http://www.net-security.org/secworld.php?id=9328
-iptables 1.4.8 released
http://www.net-security.org/secworld.php?id=9320
 HAFTANIN GÜVENLİK
YAZILIMI
Yazılım adı : Network
Miner
İndirme adresi :
http://networkminer.wiki.sourceforge.net/NetworkMiner
Kategori : Network Forensics
Ortam : Windows
İşlevi : Network Miner ağ tabanlı
adli bilişim aracı
Kullanımı:
Network Miner ağ tabanlı
adli bilişim aracıdır. Temel amacı ağ trafiğini yakalayarak (veya daha once
kadedilmiş pcap dosyalarını kullanarak)trafik içerisinde geçen işe yarar
bilgilerin ayıklanmasıdır.
NetworkMiner kullanılarak
HTTP, FTP ve SMB protokolleri üzerinden yapılan tüm dosya
transferlerindeki objeler(resim, muzik, pdf vs) orjinalleri gibi
ayıklanabilir.
NetworkMiner uygulama
seviyesi protokollerini ayıklayabilmek için port numaralarına bakarak işlem
yapmaz(Port no 80 o zaman HTTP’dir gibi) aksine SPID (Statistical Protocol
Identification) yöntemi kullanarak uygulama seviyesi protokollerini port
bağımsız olarak tanımlayabilir.
 HAFTANIN GÜVENLİK İPUCU
Linux sistemlerde SYN Flood DDoS Saldırılarına Karşı Önlem Alma
SynFlood DDoS Saldırıları siber dünyada en sık karşılaşılan DDoS saldırı türlerinden biridir. Amaç hedef sisteme onbinlerce karşılıksız SYN paketi göndererek cevap veremeyecek hale gelmesini sağlamaktır. SynFlood DDoS saldırılarıyla ilgili detay bilgi için SynFlood DDOS Saldırıları ve Korunma Yolları
makalesi incelenebilir.
SynFlood Nasıl Anlaşılır?
Linux komut
satırında aşağıdaki komutu çalıştırıldığında fazla sayıda bağlantı
gözüküyorsa muhtemelen bir SYN Flood DDoS saldırısıyla karşı karşıyasınız
demektir.
[root@hackme labs~]# netstat -n
--tcp -c 3 |grep SYN_RECV
tcp 0
0
91.93.119.77:80
177.87.136.10:1818
SYN_RECV
tcp 0
0 91.93.119.77:80
24.132.5.251:1821
SYN_RECV
tcp 0
0
91.93.119.77:80
30.67.96.230:1827
SYN_RECV
tcp 0
0
91.93.119.77:80
21.130.236.53:1820
SYN_RECV
tcp 0
0 91.93.119.77:80
80.147.16.130:1825
SYN_RECV
tcp 0
0
91.93.119.77:80
21.12.135.87:1826
SYN_RECV
tcp 0
0
91.93.119.77:80
191.131.186.139:1824
SYN_RECV
tcp 0
0 91.93.119.77:80
130.160.57.31:1830
SYN_RECV
tcp 0
0
91.93.119.77:80
211.203.96.26:1828
SYN_RECV
tcp 0
0
91.93.119.77:80
182.191.111.79:1829
SYN_RECV
tcp 0
0
91.93.119.77:80
47.161.173.219:1822
SYN_RECV
tcp 0
0
91.93.119.77:80
20.167.59.147:2253
SYN_RECV
tcp 0
0
91.93.119.77:80
89.79.80.56:2246
SYN_RECV
tcp 0
0
91.93.119.77:80
177.87.136.10:1818
SYN_RECV
tcp 0
0
91.93.119.77:80
24.132.5.251:1821
SYN_RECV
tcp 0
0
91.93.119.77:80
48.23.209.176:2239 SYN_RECV
tcp 0
0
91.93.119.77:80
30.67.96.230:1827
SYN_RECV
tcp 0
0
91.93.119.77:80
21.130.236.53:1820
SYN_RECV
tcp 0
0
91.93.119.77:80
136.27.83.13:2251
SYN_RECV
tcp 0
0
91.93.119.77:80
80.147.16.130:1825
SYN_RECV
tcp 0
0
91.93.119.77:80
179.114.189.153:2240
SYN_RECV
tcp 0
0
91.93.119.77:80
21.12.135.87:1826
SYN_RECV
tcp 0
0
91.93.119.77:80
96.189.112.113:2238
SYN_RECV
tcp 0
0
91.93.119.77:80
191.131.186.139:1824
SYN_RECV
tcp 0
0 91.93.119.77:80
1.231.150.147:2252
SYN_RECV
tcp 0
0
91.93.119.77:80
130.160.57.31:1830
SYN_RECV
tcp 0
0
91.93.119.77:80
211.203.96.26:1828
SYN_RECV
tcp 0
0 91.93.119.77:80
95.21.213.128:2244
SYN_RECV
tcp 0
0
91.93.119.77:80
13.155.65.210:2241
SYN_RECV
tcp 0
0
91.93.119.77:80
182.191.111.79:1829
SYN_RECV
tcp 0
0 91.93.119.77:80
152.169.163.105:2245
SYN_RECV
tcp 0
0
91.93.119.77:80
47.161.173.219:1822
SYN_RECV
tcp 0
0
91.93.119.77:80
155.149.243.57:2242
SYN_RECV
tcp 0
0
91.93.119.77:80
77.113.73.5:2249
SYN_RECV
tcp 0
0
91.93.119.77:80
100.226.199.142:2243
SYN_RECV
tcp 0
0
91.93.119.77:80
223.186.209.162:2248
SYN_RECV
tcp 0
0
91.93.119.77:80
183.128.176.227:2250
SYN_RECV
tcp 0
0
91.93.119.77:80
152.249.34.155:2278
SYN_RECV
tcp 0
0
91.93.119.77:80
183.112.183.153:2257 SYN_RECV
tcp 0
0
91.93.119.77:80
217.214.197.173:2273
SYN_RECV
tcp 0
0
91.93.119.77:80
20.167.59.147:2253
SYN_RECV
tcp 0
0
91.93.119.77:80
89.79.80.56:2246
SYN_RECV
tcp 0
0
91.93.119.77:80
150.226.59.44:2274
SYN_RECV
tcp 0
0
91.93.119.77:80
177.87.136.10:1818
SYN_RECV
tcp 0
0
91.93.119.77:80
24.132.5.251:1821
SYN_RECV
tcp 0
0
91.93.119.77:80
48.23.209.176:2239
SYN_RECV
Saldırıda Hangi IP
Adresleri Kullanılıyor
Aşağıdaki komut
saldırı anında çalıştırılırsa SynFlood saldırısının hangi IP adreslerinden yapıldığı
izlenebilir.
(sol taraftaki
rakam IP adresinden kaç adet SYN paketi gönderildiğini gösterir)
[root@hackmelabs
~]# netstat -n --tcp |grep SYN_RECV | awk '{print $5}' | cut -d
":" -f1 | sort | uniq -c | sort -n
1 103.90.150.61
1 105.141.151.129
1 106.100.49.44
1 108.215.191.160
1 109.194.71.71
1 113.26.137.48
1 114.119.59.61
1 11.44.218.9
1 117.199.156.59
1 120.176.121.137
1 121.93.102.75
1 122.114.180.176
1 122.186.135.73
1 124.28.245.103
1 126.194.135.147
1 126.53.58.71
1 128.119.254.113
1 129.89.249.168
1 135.80.216.254
1 136.52.109.217
1 140.104.162.62
1 140.128.32.164
1 14.249.20.26
1 143.129.186.13
Eğer çıktıda her IP
adresi birer tane bağlantı kuruyor gözüküyorsa büyük ihtimalle
gerçekleştirilen SynFlood saldırısı spoofed IP adreslerinden geliyor
demektir.
Önlem Alma
SynFlood DDoS
saldırılarına karşı en etkili çözüm syncookie/synproxy mekanizması
kullanımıdır. Piyasadaki tüm güvenlik ürünleri SYN Flood engellemek için ya
syncookie ya da synproxy(stateless syncooki kullanan da var)kullanır.
Linux dağıtımları
halihazırda syncookie özelliğiyle birlikte gelir, tek yapılması gereken bu
özelliğin aktif hale getirilmesidir.
Aşağıdaki komutla
Linux sistemlerde SYNCOOKIE özelliği aktif hale getirilebilir.
echo 1 >
/proc/sys/net/ipv4/tcp_syncookies
yapılan bu işlemin
kalıcı olması için /etc/sysctl.conf dosyasına aşağıdaki formatta yazılmış
olmalıdır.
net.ipv4.tcp_syncookies
= 1
tcp_max_syn_backlog
değerinin arttırılması
tcp_max_syn_backlog
değeri bellekte ne kadar yarım bağlantı (SYN ACK gönderilmiş ACK bekleniyor)
tutulacağını belirtir. Bu değerin dolması demek yeni bağlantı kabul edilmemesi
demektir. Bu sebepten dolayı tcp_max_syn_backlog değerini yükseltmek gerekir.
Bu değer aynı
zamanda syncookie özelliğinin devreye girmesini tetikleyen eşik değeridir.
Eşik değeri aşıldığında sysloga aşağıdaki gibi bir mesaj düşecektir.
Jun 3 02:15:11
hackme kernel: possible SYN flooding on port 80. Sending cookies.
#echo 4096 >
/proc/sys/net/ipv4/tcp_max_syn_backlog
ek olarak her gelen
SYN paketi için son ACK paketi dönene kadar 5 kere SYN/ACK gönderilir. Bu
değer de 2'e indirilebilir.
#echo 2 >
/proc/sys/net/ipv4/tcp_synack_retries
Timeout değerlerini
düşürme
Linux sisteme SYN
paketi geldiğinde bu pakete SYN/ACK cevabı dönecek ve ACK cevabını beklemeye
başlayacak. Eğer sistemden ACK cevabı gelmezse SYN/ACK paketlerini belirli
aralıklarla tekrar gönderilecektir bu gönderim esnasında ilgili session
backlog queue de yer kapladığı için sistem kaynağı tüketir. Buradaki bekleme
süreleri düşürülerek sistemin daha dayanıklı olması sağlanabilir.
Iptables ile SYN
Flood Koruması
Linux sistemlerin dezavantajı
sadece kendi ip adreslerine yönelik syncookie özelliğini devreye
alınabilmesidir. Linux sistemleri güvenlik duvarı olarak kullanılıyorsa
firewall arkasındaki sistemlere yönelik SYN flood ataklarına bir koruma
sağlamayacaktır.
Iptables'in rate limiting
özellikleri ise Syn flood saldırılarına karşı bir önlem gibi gözükse de işini
bilen bir saldırgan bu özellikleri tersine çevirebilir(self DoS).
Ek öneriler
Linux sistemlerin
ağ işlemlerindeki performansını arttırmak için http://lists.varnish-cache.org/pipermail/varnish-misc/2008-April/001763.html adresindeki öneriler
incelebilir.
 HAFTANIN MİSAFİRİ
-----
 ETKİNLİKLER
[Güvenlik
Eğitimleri ]
--Web Application Pentest Eğitimi 26 Haziran 2010
http://www.bga.com.tr/?p=1321
[Yarışma]
-Challenge 3 of the Forensic Challenge
2010 - Banking Troubles
http://honeynet.org/challenges/2010_3_banking_troubles
[Anket]
Türkiye’de açık kaynak kodlu
güvenlik yazılımlarının ne oranda ve
ne kadar efektif kullanıldığına dair bir araştırma anketi.
-Açık kaynak
kodlu güvenlik yazılımı kullanıyor musunuz?
 DİKKAT ÇEKEN YAZILAR
-Ortak Kritterler
(ISO/IEC 15408) Standardı ve
Ülkemizdeki Uygulaması
http://www.bilgiguvenligi.gov.tr/bt-guv.-standartlari/ortak-kritterler-iso-iec-15408-standardi-ve-ulkemizdeki-uygulamasi.html
-Şifrelenmiş Zararlı
Yazılımlar
http://www.mertsarica.com/?p=1017
-Ülkemiz Saldırılara
Karşı Ne Kadar Güvenli?
http://shiftdelete.net/ulkemiz-saldirilara-karsi-ne-kadar-guvenli-20641.html
-ISO 27001 Bilgi Güvenliği
Yönetim Sistemi Standardı Temelleri ve Ana Kontrol Alanları
http://www.cozumpark.com/blogs/gvenlik/archive/2010/05/16/_3101_so-27001-bilgi-g-venli-i-y-netim-sistemi-standard-temelleri-ve-ana-kontrol-alanlar.aspx
-Kurumsal ve Operasyonel Güvenlik
http://www.cozumpark.com/blogs/cobit-itil/archive/2010/05/15/kurumsal-ve-operasyonel-g-venlik.aspx
-Zeus-friendly ISP taken down
http://www.net-security.org/malware_news.php?id=1343
-Layer2 Güvenlik Yöntemleri(Bölüm1)
http://www.agciyiz.net/index.php/temel/layer-2-guvenlik-yontemleri-bolum-1/
-Veri Kaçağını Önleme ve Kurumlar
İçin Önemi
http://www.bilgiguvenligi.gov.tr/veri-kacagi-onleme/veri-kacagini-onleme-ve-kurumlar-icin-onemi.html
-Symantec to acquire VeriSign's security business
http://www.net-security.org/secworld.php?id=9316
-Iptables'ın Basit Kullanımı
http://www.belgeler.org/howto/iptables-usage.html
-Bilgi Güvenliği ve Casusluk - 1
http://www.turk.internet.com/portal/yazigoster.php?yaziid=27796
-Are Virtualized Systems More Or Less Secure?
http://www.chrisbrenton.org/2010/05/are-virtualized-systems-more-or-less-secure/
-Botwars: the fight against criminal cyber
networks
http://www.symantec.com/connect/ja/blogs/botwars-fight-against-criminal-cyber-networks
-Tactical Web Application Security
http://tacticalwebappsec.blogspot.com/2010/05/botnet-herders-targeting-web-servers.html
-Safe3 SQL Injector: Automatically Detect & Exploit SQL Injection!
http://pentestit.com/2010/05/23/safe3-sql-injector/
-Bilgi Güvenliği ve Casusluğun Hukuksal Yönü - 2
http://www.turk.internet.com/portal/yazigoster.php?yaziid=27797
-Top Five Web Application Vulnerabilities 4/27/10 - 5/9/10
http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2010/05/10/top-five-web-application-vulnerabilities-4-27-10-5-9-10.aspx
-Symantec Global Internet Security Threat Report
http://eval.symantec.com/mktginfo/enterprise/white_papers/b-whitepaper_internet_security_threat_report_xv_04-2010.en-us.pdf
-Pfsense Squid ve SquidGuard Paketlerinin Kurulması
http://www.cozumpark.com/blogs/linux_unix/archive/2010/05/22/pfsense-squid-ve-squidguard-paketlerinin-kurulmas.aspx
-ZAMAN TABANLI SQL INJECTION SALDIRILARI
http://security.adeo.com.tr/Makale/13-zaman-tabanli-sql-injection-saldirilari.adeo
-Siber Savunma için Karar Destek
Sistemi ve İstihbarat Stratejisi
http://www.bilgiguvenligi.gov.tr/siber-savunma/siber-savunma-icin-karar-destek-sistemi-ve-istihbarat-stratejisi.html
-BOT NETWORK II
http://www.olympos.net/belgeler/botnet/bot-network-ii-11029.html
-Kullanıcı Aktivitelerinin
Loglanması
http://www.cozumpark.com/blogs/gvenlik/archive/2010/05/23/kullan-c-aktivitelerinin-loglanmas.aspx
-Check Point Firewall-1 Güvenlik Denetimi
http://ttlexpired.com/blog/?p=87
-Symantec E-Ticaret Güvenliğinin
Lider İsmi VeriSign'ı Satın Aldı
http://www.turk.internet.com/portal/yazigoster.php?yaziid=27900
-JavaScript Injection & Cross-Site Scripting (XSS)
https://docs.google.com/Doc?id=d4w2g9c_23wtxvt6db
-Pure-FTPd Server ClamAV
Entegrasyonu- FreeBSD
http://www.syslogs.org/pure-ftpd-server-clamav-entegrasyonu-freebsd/
-OSSEC - Açık Kaynak
Kodlu Saldırı Tespit Sistemi'nin Yapılandırılması
http://www.bilgiguvenligi.gov.tr/guvenlik-teknolojileri/ossec-acik-kaynak-kodlu-saldiri-tespit-sisteminin-yapilandirilmasi.html
-Linux sistemlerde fiziksel
bellekten veri okuma (memory forensic)
http://blog.lifeoverip.net/2010/05/19/linux-sistemlerde-fiziksel-bellekten-veri-okuma-memory-forensic/
-Kablosuz Ağlarda
EAP Tabanlı Güvenlik Metotları
http://www.agciyiz.net/index.php/genel/kablosuz-aglarda-eap-tabanli-guvenlik-metotlari/
 İNSAN KAYNAKLARI
SİSTEM GÜVENLİK MÜHENDİSİ
http://www.kariyer.net/jobsearch/jobdetail.kariyer?arn=&sid=&ilankodu=528978
SİSTEM (AĞ GÜVENLİĞİ) MÜHENDİSİ
http://www.kariyer.net/jobsearch/jobdetail.kariyer?arn=&sid=&ilankodu=527485
Güvenlik E-bülteni #28’e katkıda bulunanlar: Huzeyfe ÖNAL, Ömer ALBAYRAK
Güvenlik Bülteni Üyeliği
Güvenlik bültenini mail olarak almak isterseniz http://www.lifeoverip.net/newsletter/ adresine e-posta adresinizi bırakmanız yeterlidir.
Ağ Güvenliği( Netsec
) listesine üyeliğiniz varsa tekrar bülten üyeliğine gerek yoktur, bültenler listeye gönderilecektir.
Eski Sayılar
Güvenlik bülteninin eski sayılarına http://www.lifeoverip.net/newsletter/ adresinden erişilebilir.
© Copyright© 2010
Lifeoverip.Net
.
|
