Sosyal Mühendislik'te İğneyi Kendine Batırabilmek

Bilgi güvenliğinin en zayıf halkası olan insan'daki zaafiyetlerin istismar edildiği Sosyal mühendislik saldırıları hemen her sızma testine dahil edilir ve testin en eğlenceli bölümlerindendir. Hatta telefon kayıtları dinlenirken,yazışmalar okunurken ya da kullanıcı adı/parolaların oltalandığı veritabanları kayıtlarına bakılırken epey kakara kikiri yapılır çoğu zaman iyi niyetli,saf,ufo gören masum kurum çalışanı hakkında.

Ama testi yaptıranlar,kurumların bilgi güvenliği ekiplerinin başındaki sorumlular çoğu zaman kendilerine "farkındalık eğitimlerini artırmalıyız,sıklaştırmalıyız,duvarlara bilgi güvenliği ile alakalı posterler asmalıyız" dan fazla pay çıkarmazlar ne yazık ki.

Hedefi Olmadığınız Saldırılardan Ders Çıkarmak,Faydalanmak - Nass oluyor da oluyor?

2012 senesi Amerikan bankaları için zor geçti. Finans sektöründeyseniz hele,konuyla ilgili haberleri mutlaka takip etmişsinizdir. Konuya uzak olanlar için kısaca bahsetmek gerekirse ve saldırının arkasındaki grubun iddia ettiğine göre gerekçe Youtube'un İslam karşıtı filmin görüntülerini yayınlamaya devam etmesi.Saldırının arkasında başka nedenler de vardır mutlaka,günümüzde bu tip saldırıların sadece ideolojik ya da manevi değerler nedeniyle yapılmadığını artık hepimiz biliyoruz. Son olarak 2. fazı yürütülen saldırıların ilk fazı güvenlik uzmanlarınca "ilkel" olarak tanımlansa da oldukça etkili oldu ve ses getirdi. Sinyalleri saldırıdan birkaç gün önce pastebin'den verilen saldırının zaman zaman 60Gbps şiddetine çıktığı söylenen saldırının ikinci fazı bazı otoritelere göre başarısız oldu. Hedefteki bazı bankalar çareyi ülke bazında erişimi kısıtlamakta buldu (Resim 1).Özellikle hedefteki bankaların bazıları bu saldırılardan çok şey öğrendi.

Resim 1

http://host-tracker.com/

HTTP DoS'a Karşı Javascript'le Mücadele - Nass oluyor da oluyor?

Uygulama katmanında TCP protokolüne dayalı sunulan hizmetleri hedef alan saldırılar çoğunlukla gerçekleştirilmesi ve engellenmesi en zor olanlardır. Gerçekleştirilmesi zordur çünkü genellikle 3WHS ( 3-way-handshake ) gerektirir yani sahte IP adresleri kullanamazsınız, bu durumda saldırıyı ya kendi bilgisayarınızdan ya da zararlı ( hedeftekilere göre :) ) yazılımınızı bir şekilde bulaştırdığınız,yüklediğiniz ve bot sürünüze dahil ettiğiniz zombie bilgisayarlar aracılığıyla yapmalısınız kardeşlerim. Saldırı kaynağı gerçek,kanlı canlı olunca zararlıyı zararsızdan ayırd etmesi ve bu nedenle engellenmesi de zorlaşır.

Bu yazıda özellikle son birkaç yılın durdurulması en zor saldırı yöntemlerinden HTTP DoS ( ya da HTTP Flood ya da HTTP GET Flood ya da HTTP DDoS ) ile mücadelede javascript'ten nasıl faydalanabileceğinizi anlatmaya çalışacağım,bu yazı sadece yol gösterici ve fikir verici olacak çok büyük beklentiler içine girmeyin. Ele alacağımız senaryoda saldırının bant genişliğini doldurmak değil, web sunucusu kaynaklarını meşgul etmek suretiyle hizmet veremez hale getirmek amaçlı olduğunu da peşin peşin belirteyim. Bant genişliğini doldurma hedefli dağıtık bir saldırıyı artık ISP'de alınabilecek önlemler de engelleyemiyor. Anycast routing,visitor reputation gibi yöntemler kullanan farklı coğrafi konumlardaki veri merkezleri ile bu konuda profesyonel hizmet firmalardan destek almalısınız.

BT Güvenlik Operasyon Merkezi ( IT Security Operations Center - SOC ) - Nass oluyor da oluyor?

Bu yazıda bahsedeceğim konu elini sallasan güvenlik uzmanına çarpan memleketimde bırakın kullanılmayı,henüz bir çok sözüm ona bilgi ve bilişim güvenliği yöneticisinin varlığının farkında dahi olmadığı BT Güvenlik Operasyon Merkezleri / BT-GOM ( Security Operations Center / SOC ) olacak. Yazı boyunca SOC ya da GOM kısaltmalarını kullanabilirim,kafanız karışmasın ikisi de aynı anlamı ifade edecek.

Ağ Operasyon Merkezleri ( Network Operations Center - NOC ) iletişim altyapıları hayati önem kazandığından beri varlar.BT Güvenlik Operasyon Merkezlerinin ise bilgisayar ve bilişim teknolojilerinin suç aracı olarak kullanılmaya başlamasıyla eksikliği fark edildi,hatta günümüzde SOC 2.0 kavramları üzerinde konuşuluyor. Güvenlik görevlileri,bekçiler,bekçi köpekleri,devriyeler ve güvenlik kameralarıyla 7x24 fiziksel güvenlik tesis etme gayretindeki işletmelerde BT ve bilgi güvenliği anlayışı arttıkça ve olgunlaştıkça,aynı gayreti ve ciddiyeti bilişim teknolojileri altyapılarında gösterme ihtiyacı hissedildi. Üniversiteler,bankalar,askeri kurumlar gibi öğrencisinin,personelinin,müşterisinin kişisel ve/veya finansal verisinin gizli olduğunu ve korunması gerektiğini düşünenler,bilişim teknolojileri kullanılarak yürütülen suçların da günden güne şiddetini artırarak çoğaldığını farkedenler bu yapıları yıllar önce kurup işletme gayretine girdiler. Bazıları ise "bunun için para lazım,personel lazım,oda lazım bina lazım" gibi bahaneler arkasına saklanarak 7x24 yerine 5x8 güvenlik anlayışını tercih etti. Ne de olsa kritik alarmlardan cep telefonlarına gönderilen mesajlar ya da mailboxlarına düşen e-postalarla haberdar oluyorlardı. Hoş,çoğu işletme mesai saatleri içinde dahi güvenlik operasyonu yürütecek kabiliyette değil.

Sızma Testi Nasıl Yapılmaz?

Sızma Testi (Penetration Test) nasıl yapılır,hangi araçlar kullanılabilir,kimler sızma testi yapabilir bunları her yerde okursunuz. Bu yazıda komik duruma düşmemeniz için sızma testi sırasında yapmamanız gerekenlerden bazılarını listeleyeceğim.Eksik olduğunu düşündüğünüz maddeler varsa yorum olarak ekleyebilirsiniz.

• Kapsam dışına çıkmayın,test kapsamında olmayan tek bir ip adresine tek bir paket bile göndermeyin.
• Servis ve hizmet kesintisine sebep olmayın. Yapılmaya çalışılan işin adı üstünde sızma,farkettirmeden bir takım sistemlere,bilgilere erişme testi, servis kesintisine neden olma, cihaz yamultma testi değil. Bu nedenle bence sızma testi sırasında ortaya çıkan kesintiler testin ve firmanın başarısız olduğunu göstermeye yeter.
• Müşterinin belirlediği kapsamda yapılacak test için testi bitiremeyeceğiniz süreler taahhüt etmeyin. Belirteceğiniz süre çok kısa ya da çok uzun olursa çoğu zaman işi alamazsınız bile. Kendinizi tanıtırken "Dünyaca tanınmış hacker" gibi komik ifadelerden kaçının.
• Sadece hazır araçların raporlarını sızma testi raporu diye sunmayın.
• Özellikle otomatik tarama bulgularını doğrulamadan raporlarınıza yazmayın.
• Yeni bir rapor hazırlamaya üşenip önceki raporlardan birini değiştirip kullanacaksanız, değiştirdiğiniz eski raporda eski müşterinize ait bilgi bırakmayın.
• X işletim sistemi ya da ürünü için geliştirilen istismar araç ya da yöntemini Y işletim sistemine ya da ürününe karşı kullanmayın. Windows işletim sisteminde "passwd" dosyası aramayın mesela.

Windows Performans Ölçütlerinin SQL Veritabanına Yazdırılması Konusunda Anlatılmayanlar

Windows işletim sistemlerinin uzun zamandır performans verilerini SQL veritabanına yazabildiğini bilmeyen yoktur sanırım ve uygulaması çok kolay görünür, ama kullanan sayısı da çok azdır. Bu yazıda sadece domain ortamındaki sunucularınızın performans verilerini bir başka - tercihen merkezi - veritabanı sunucusuna yazdırırken dikkat etmeniz gereken - her zaman olduğu gibi heryerde bulamayacağınız türde -noktalardan bahsedeceğim.Saatlerinizi ortaya çıkacak sorunlarla geçirmek istemiyorsanız dikkatli okuyun.

Ekran görüntülerini kullandığım ve performans ölçütlerini (metrik) toplayacağımız kaynak sunucu Windows 2008 Enterprise Edition, verileri yazacağımız veritabanı sunucusu ise aynı domainde SQL Server 2008 çalıştıran ayrı bir sunucu.

Windows Sunucularda Gerçek Zamanlı SYN-Flood Tipi Saldırı Tespiti - Nass oluyor da oluyor?

Bu yazıda network ya da güvenlik ekibinden gereken ilgi ve alakayı bulamayan ve kendi göbeğini kendisi kesmek isteyen Windows sistem yöneticileri için özellikle SYN-Flood tipindeki saldırıları gerçek zamanlı nasıl tespit edebileceklerini anlatacağım.Daha önce ziyaret etmemiş olanlar için hatırlatayım, blogun düstur'u mümkün olduğunca "az bilineni anlatmak",bu nedenle Syn Flood nasıl bir saldırı tipidir,felsefesi nedir, hangi araçlarla yapılır gibi kolay erişilebilir bilgiler için bu linki tıklayabilirsiniz. :)

İlk paragrafta belirttiğim gibi saldırıyı gerçek zamanlı tespit etmek amacımız.Dolayısıyla

netstat -ano | find "SYN_RECEIVED"

gibi komutlar pek işinize yaramaz (bu komut ve türevlerine SYN saldırı tespit etme komutu diyenler bile var ),ağır bir saldırı anında komut satırını bile açmakta zorlanırsınız, netstat komut çıktısını almak dakikalar bile sürebilir.Bu nedenle başka bir yol izleyeceğiz, performans ölçütleri ( counters ).

Siber Güvenlik Kurulu Üzerine

Bir kulağınız BT güvenlik sektöründeki haberlerdeyse eğer, yakın zamanda Ulaştırma Denizcilik ve Haberleşme Bakanlığı başkanlığında "Siber Güvenlik Kurulu" isimli bir kurulun kuruluşundan da haberdarsınızdır. Uzun süredir yokluğu hissedilen ve dillendirilen böyle bir yapının bu sene içerisinde hayat bulmasında çeşitli hacktivist grupların özellikle kamu kurumları bilgi sistemleri üzerindeki başarılı sızma,ele geçirme,servis dışı bırakma saldırılarının etkisi olmuştur mutlaka. Eksiklik o derece hissediliyordu ki, haberin duyulmasıyla "oh be nihayet" sesleri yükseldi. Böyle bir yapının/otoritenin gerekliliği tartışılmaz ve kesindir ama "Çamurdan da olsa bir kurul olsun" düşüncesiyle resmi gazetede yayınlanan 2 sayfalık karar bile yeterli geldi sanıyorum birçoğuna.
İlişkili kararda insanı gülümseten ve "kurulun güvenlik belgesi verecek olması" gibi güldürürken düşündüren, aynı zamanda yerli güvenlik pazarını teşvik edici ve destekleyici maddeler var. Ulaştırma Denizcilik ve Haberleşme bakanımızın bulut bilişimle ilgili söylemlerinden sonra (bkz youtube) kurulun kamu kurumları bilgi sistemleri güvenliğine kazandıracağı değeri merakla bekliyorum.

IIS 7,7.5'de Maximum Query String değeri ve önemi - Nass oluyor da oluyor?

IIS 7 (Windows 2008) ve 7.5 (Windows 2008 R2) ile birlikte gelen "Request Filtering" isimli güzel bir ek özellik daha doğrusu Role Service var daha önceki yazıları takip edenler hatırlayacaktır. Windows 2008 ve 2008 R2 işletim sistemlerine IIS rolü kurmaya çalıştığınızda bu rol hizmeti de varsayılan olarak yüklenecekler listesine eklenir tabi siz özellikle kutucuktaki "tick" işaretini kaldırmazsanız.Bu rol hizmeti temel olarak daha önceki IIS versiyonlarına uygulanabilen URLScan aracındaki fonksiyonları ve daha fazlasını kullanılabilir hale getirir. Bu fonksiyonlardan biri de dinamik web sayfalarınıza gönderilen query stringleri sınırlama özelliğidir.
Request Filtering rol hizmetini yükleseniz de yüklemeseniz de IIS sunucunun loglarında "cs-uri-query" sütununda dinamik sayfalar için görebileceğiniz "Query String" uzunluğu 4096 karakterdir.Dinamik sayfalarınıza gelen query string uzunluğu 4096 karakterden uzunsa IIS "cs-uri-query" sütununa karşılık gelen alana Resim 1'de gösterildiği gibi  3 nokta ( "..." ) karakteri ekler.

Resim 1

Low Orbit Ion Cannon ( LOIC ) ve Http Redirection Yanılsaması - Nass oluyor da oluyor?

Türkçe

Başlığı okuyup da şaşırmayın/umutlanmayın, HTTP protokolünü hedef alan DoS-DDoS-Get Flood (ya da ne derseniz deyin) saldırılara kurum imkanlarıyla karşı koymada, kansere olduğumuz kadar aciz ve çaresiziz. Bana bir zamanlar çokça vakit geçirdiğim O-Game'i hatırlatan arayüzüyle Low Orbit Ion Cannon aracı da bu çaresizliği yüze vuran,Praetox firmasınca stres test aracı olarak tasarlanmış,açık kaynak kodlu ve C# ile geliştirilmiş,yurdum yeni yetme kımıllarınca uzaktan yakından alakası olmamasına rağmen Hacking aracı olarak algılanan bir uygulama.2010 yıllarında Anons tarafından Wikileaks'e rest çeken kredi kartı dağıtıcılarına yapılan saldırılarda kullanılmışlığı ve üne kavuşmuşluğu var.
Ekran görüntülerinden ( Resim 1) görülebileceği gibi araç UDP ve TCP portlarına flood tipi saldırı yapabiliyor ama bizi ilgilendiren HTTP portuna yapılan saldırının karakteristiği ve önlenip önlenemeyeceği. Araç hala geliştirme desteği bulduğu için bu yazıda anlatılanlar bundan x gün sonraki y sürümünde geçerli olmayabilir. Test ve inceleme için kullandığım versiyon 1.0.7.42. Test ortamı da aşağıdaki gibi;

Ağ ve Sunucu Güvenliğinde Yapılan Yanlışlar & Hurafeler

Bir süredir anlatmaya değer ve az bilinir teknik bir konu bulamıyorum.Bu sebeple bu yazıda kurumlarda ağ,sistem ve altyapı güvenliği konusunda sıkça yapılan yanlışlardan ve yanlış inanışlardan bahsedeceğim.Parola uzunluğunun kısa olması,güncelleme yapılmaması,servislerin portların kapatılmaması gibi basit yanlışlardan ziyade mümkün olduğunca üzerinde çok durulmayan,unutulmuş ve kafa yorulmamış ama ciddi risk oluşturan yanlışlar ve yanlış inanışlar yazıda ele alınacak.Unuttuklarım,gözümden kaçanlar mutlaka olacaktır.Hatırladıkça bu yazıyı güncelleyeceğim, siz de eklemek istediklerinizi yorum olarak yazabilirsiniz zaman zaman bu blogu ziyaret ederek yeni hurafelerden ve yanlışlardan haberdar olabilirsiniz.

Yanlışlar

• Asla ve asla DMZ segmentini, iç ağ segmentiyle aynı domaine dahil etmeyin.Exchange sunucu gibi çeşitli Microsoft ürünleri nedeniyle sistem yöneticiniz bunu yapmaya yanaşmayabilir.Ama siz DMZ segmentinde ayrı bir domain kurulması, DMZ ile iç ağ domainleri arasındaki iletişimin sağlıklı yürümesi için sadece domain controller'lar arasında port açmanızın yeterli olacağı konusunda ikna edebilirsiniz.
• DMZ segmentinizdeki uygulamalarınızın kullandığı veritabanlarını iç ağınızda bulundurmayın,bu veritabanlarını da DMZ segmentinde konuşlandırın.
• DMZ segmenti ile iç ağınız arasındaki trafik için sadece gerekli portları açın.DMZ kurum dışından yapılan saldırılara ilk maruz kalınan yerdir.Bu nedenle bu segmentte ele geçirilen herhangi bir servis ya da sunucunun diğer ağ segmentlerine sınırsız erişimi olması,saldırganın iç ağda olması anlamına gelir.
• Backplane kapasitesi düşük cihazı ( güvenlik cihazı dahi olsa ), backplane kapasitesi yüksek cihazın önüne koymayın.Aksi halde darboğaz ( bottleneck ) oluşturur,kendinizi düşük kapasiteli cihazın kapasitesiyle sınırlandırmış olursunuz.
• Rulebase terimiyle ifade edilen, güvenlik duvarının kurallar tablosunu mümkün olduğunca kısa tutun.Gereksiz kurallar tanımlamayın, tek bir kuralda birleştirilebilecek kurallarınız varsa bu kuralları birleştirin,kural sayısını azaltın.Daha da önemlisi sık erişime izin veren kuralları ilk sıralara yerleştirin. Örneğin; DMZ'deki web sunucunuza firma dışından erişim için illa ki 80 portundan erişimin verildiği kuralınız vardır.İşte bu kuralı DMZ güvenlik duvarınızda mümkün olduğunca ilk sıralara yerleştirin.Engelleyen ya da izin veren olup olmadığı farketmez, en fazla hit alan kurallar ilk sıralara.Bu hem güvenlik duvarında yapacağınız denetimleri kolaylaştırır hem de güvenlik duvarının performansını artırır.

Windows 2008 R2 Firewall Derin Dalış ve Sorun Giderme - Nass oluyor da oluyor?

Türkçe

Lokal bilgisayar ya da Grup politikasının "Advanced Audit Policy Configuration" kısmında "Object Access" altında "Audit Filtering Platform Packet Drop" özelliğini denetim kaydı tutacak şekilde ayarladıysanız şayet bir süre sonra Güvenlik olay kayıt dosyanızın ( Security Event Log ) sizi çıldırma noktasına getiren 5152 Olay numaralı ( Event ID ) "Filtering Platform Packet Drop" kategorisindeki olaylarla dolup taştığını görürsünüz. Kimi zaman engellenen trafikle ilgili olay kaydı detayında verilen bilgiler yani hedef-kaynak IP adresleri,port numaraları engellenmemesi gereken bir iletişimin parçasıdır.
Anlatmak istediğim konu için oluşturduğum test ortamının kahramanları şöyle;
10.10.10.1 : istemci
10.10.10.4 : sunucu ( Windows 2008 R2 Ent. Server)
Sunucu üzerinde SSH portu ya da servisi kullanımda değil ama ben güvenlik duvarı etkin sunucunun 22 numaralı portuna erişmeye çalıştığımda almam gereken RST bayraklı cevap paketi almıyorum,aslına bakarsanız sunucudan hiç bir cevap almıyorum.( Resim 1 )

WinHTTP Proxy Ayarı - Nass oluyor da oluyor?

Bu yazı güvenlik konusuyla alakalı değil, beni çileden çıkarmak üzere olan bir sorunun çözümü ile ilgili. Eminim birçok sistem yöneticisi de benzer sorunla karşılaşmıştır. Sunuculardan bir tanesinde uygulama aracılığıyla üreticinin sağladığı bir takım scriptleri çalıştırma ihtiyacı doğdu. Scriptler dijital olarak imzalandığı (signed script) için Windows Script Host scripti çalıştırmadan önce imzanın geçerliğini doğrulamak için verisign sunucularına http protokolüyle bağlanmak istiyordu. Ama dediğim gibi scripti GUI aracılığıyla çalıştırmaya kalktığımda Windows Script Host'un (cscript.exe) "System" kullanıcı hesabıyla çalıştırılıyor olması internet explorer ayarlarıyla yaptığım proxy tanımını geçersiz kıldı (yaptığım ayar oturum açtığım kullanıcı hesabıyla ilişkili olduğundan), WSH internet erişimi sağlayamadı ve bunun sonucu olarak 1-2 saniyede çalışması gereken scriptin çalışması yaklaşık bir dakikayı buldu. Sorunu Microsoft HTTP servisin (WinHTTP) proxy ayarını

Yeni Başlayanlar ve Bilmeyenler için Bilgi Güvenliği ve Bilişim Güvenliği

Uzun zamandır yazdığım teknik yazılara sadece yurdumun değil dünyanın kanayan yaralarından birine parmak basmak için ara veriyorum :) Bu yazı bilgi güvenliği uzmanı ile bilişim güvenliği uzmanı arasındaki farkı bilmeyenler ya da ayırd edemeyenler için. Başımdan geçen ve daha önce bahsettiğim bir mülakatı tekrar hatırlatarak başlamak istiyorum yazıya; memleketimin GSM operatörlerinden biriyle "Bilgi Güvenliği Uzmanı" başlıklı bir pozisyon için görüşmeye gittim. Görüşme Checkpoint Firewall üzerine kuruluydu ne yazık ki. Hatırladığım son şey de görüştüğüm kişinin "Bize Checpoint'te her yıl en az 2-3 bug bulacak biri lazım" demesi, ondan sonra bende deyim yerindeyse film koptu o saniye mülakat benim için bitti.
Bilgi güvenliği adından anlaşılabileceği gibi her nerede olursa olsun - yazılı,basılı,dijital ve hatta insanın kafasındaki - bilginin korunmasını kendine düstur edinmiş bir disiplin. Fiziksel güvenlik ( evet evet bildiğiniz güvenlik kameraları, projektörler, yangın söndürme sistemleri vb), Personel Güvenliği, Risk Yönetimi, Erişim Kontrolü, Kriptografi, İş Sürekliliği ve Felaketten Kurtarma, İletişim ve Ağ Güvenliği, Uygulama Güvenliği, Hukuki Yaptırımlar ve Mevzuatlara Uyum, Denetim ve yazmayı unutmuş olabileceğim birkaç alan daha bilgi güvenliği şemsiyesi ya da çatısı altında toplanan ve ele alınması gereken konulardır.

IIS 7 ve 7.5'i Slow Loris DOS Saldırısına Karşı Koruma - Nass oluyor da oluyor?

Türkçe

OSI modelinin yedinci seviyesine yönelik saldırılarla ilgilendiyseniz Slow Loris saldırı aracını da duymuşsunuz ya da kullanmışsınızdır mutlaka. Blogun düsturu "az bilineni,anlatılmayanı anlatmak" olduğu için bu yazıda aracın nasıl kullanılacağı ile ilgili çok az bilgi bulacaksınız. Benim anlatacaklarım aracın çalışma prensibi ve IIS 7-7.5 web sunucularda savunmayı artırıcı yöntemler olacak. Bu yazıda okuyacaklarınızın bir bölümü nette hiç bir yerde bulamayacağınız türden.

RFC 2616'da tanımlanan HTTP 1.1 protokolüne göre HTTP Request headerlar birbirinden CR ( Carriage Return ) ve LF (Linefeed) karakterleriyle ayrılır (kafanız karışmasın satır sonlarında alt satıra geçişi gösteren karakterler). Headerlar ile asıl verinin iletildiği Body kısmını ise boş bir satır birbirinden ayırır. Hernekadar GET Requestlerin body kısmı boş olsa da isteğin web sunucu tarafından alınması ve değerlendirilmesi için yine de headerların bitişini simgeleyen boş satıra ( CR + LF ) ihtiyaç duyulur. Sunucu bu karakterleri görmezse rahat edemez ve Request headerların tamamlanmadığını düşünür ,istemciden Request headerların tamamı gelene kadar beklemeye devam eder, bağlantıyı da işletim sistemine ve web sunucusuna göre farklılık gösteren zamanaşımı süresi (timeout) dolana kadar açık tutar. Olması gereken, iyi niyetli insanların tasarladığı şekliyle protokol bu şekilde çalışıyor. 

HTTP DDos - HTTP Get Flood saldırıları ve NGINX ile savunma

Nginx dünya genelinde popülerliği gittikçe artan ama güzel ülkemde hakettiği ilgiliyi pek görememiş açık kaynak kodlu bir web sunucu platformu.

Yazının devamı yakında...

İlgili Yazılarım
HTTP DoS'a Karşı Javascript'le Mücadele - Nass oluyor da oluyor?
Low Orbit Ion Cannon ( LOIC ) ve Http Redirection Yanılsaması - Nass oluyor da oluyor?

Windows 2008'de Servis Başlatma/Durdurma Denetimi - Nass oluyor da oluyor?

Windows 7 ve sonrası işletim sistemlerinde,Microsoft sağolsun, bir servisi hangi kullanıcı hesabının durdurduğu ya da başlattığı bilgisini vermemek için elinden geleni yapmış.Varsayılan kurulumda herhangi bir Windows servisini durdurduğunuzda ya da başlattığınızda event log'da görüp görebileceğiniz kayıt aşağıdaki ekran görüntüsündeki gibi;

Event log kaydından görüleceği gibi servisi kimin,hangi kullanıcı hesabının başlattığı ya da durdurduğu bilgisi yok.Bu bilgiyi kayıtlara düşürebilmek için servisin güvenlik tanımında (Security Descriptor) ve yine Windows 7 ve sonrası işletim sistemleriyle gelen Advanced Audit Policy Configuration ayarlarında bir takım değişiklikler yapmalısınız. Ne yazık ki işletim sisteminin tüm servisleri için denetim kayıtlarını etkinleştirmeye imkan sağlayan bir sihirbaz vs yok. Hangi servislerin audit kayıtlarını görmek istiyorsanız tek tek o servislerin güvenlik tanımlarını değiştirmelisiniz.

Syn Proxy'nin bilinmeyenleri - Nass oluyor da oluyor?

Bu blog yazısında Syn Flood saldırılarına karşı kullanılan savunma mekanizmalarından Syn Proxy'yi anlatacağım. İnternet servis sağlayıcılarından Superonline'da katıldığım görüşmede açıldı bu konu,soruyu soran garibanın da detayları bilmediği anlaşılıyordu. Blogun teması az bilineni anlatmak olduğu için ana fikirden kısaca aşağıdaki grafikle bahsedeceğim.Bizi ilgilendiren,syn-proxy bahsinin geçtiği her yerde gördüğünüz bu grafikte anlatılmayanlar;

Resim 1. Güvenlik çözümü ( FW / IPS ) hedef sunucu imiş gibi istemciden gelen iletişim isteklerini karşılar. İletişim isteği spoofed yani sahte bir kaynaktan gelmiyorsa şayet ve güvenlik çözümü istemciyle 3 yollu el sıkışmayı (3-way-handshake) tamamlayabildiyse bu isteği bu defa istemci imiş gibi sunucuya iletir, bir başka deyişle 3-way-handshake i tekrar eder (replay). Daha sonra istemci ve sunucu arasındaki veri iletişmi, kurulan bu bağlantı üzerinden devam eder.İstek spoofed Ip adresinden geliyorsa güvenlik çözümünün SYN-ACK bayraklı paketi ACK bayraklı paketle cevaplanmayacaktır,dolayısıyla istek sunucuya iletilmeyecektir. Sunucu da olan bitenden habersiz mutlu mesut çalışmaya devam eder.

Windows 2008 ve Syn Flood saldırıları - Nass oluyor da oluyor?

Türkçe

DDOS saldırılarını önleyebildiğini iddia eden firmalardan Prolexic'in 2012 ikinci çeyrek raporuna baktığımızda infrastructure denen OSI modelinin 3. ve 4. seviyelerini hedef alan SYN saldırılarının popülaritesini koruduğunu görüyoruz.

Bloğun teması az bilinenden bahsetmek olduğu için SYN saldırısı hangi prensiplere dayanır, nasıl gerçekleştirilir gibi kolayca ulaşabileceğiniz bilgilere pek fazla girmeyeceğim. Bu yazının konusu Windows 2008 ( Aslına bakarsanız Windows Vista'dan itibaren Windows 7, Windows 2008, Windows 2008 R2 ) işletim sistemlerinde SYN  ( flood ya da attack ) saldırısına karşı savunma mekanizmasının nasıl işlediği.

Hping ile Syn saldırısı yapmak veya yapamamak

Türkçe

Saldırı araçlarını kullanmayı pek sevmem ama Windows 2008'in Syn Flood ( ya da Syn Attack ) saldırısına ne derece dayanıklı olduğunu test etmek için bu aracı kullanmayı uygun buldum. Port tarama, firewall kurallarının testi gibi farklı amaçlar için de kullanılabilen aracın an itibariyle en güncel 3. versiyonu bulunuyor -ki Backtrack 5 ile birlikte gelen versiyon da bu.Yazının konusu Syn saldırısının temelleri,saldırı nasıl yapılır nasıl engellenir değil.Bu yazıda syn saldırısı yapmaya niyetli dimağlar için hpingin nasıl kullanılacağından ziyade nasıl kullanılmaması gerektiğinden bahsedeceğim.

Google ve benzeri arama motorlarında hping'in Syn saldırısı için kullanımıyla ilgili kaynak aradığınızda hep benzer tek satırlık komutları görürsünüz.

hping3 -p <hedef_port_numaras> -S <hedef_ip_adresi>

PCI DSS - Nass oluyor da oluyor? A'dan Z'ye PCI-DSS

Yandaki tablo VerizonBusiness'ın 2011 raporundan alınma,ödeme kartları bilgileri rapora konu olan olayların %78'inde çalınmış, toplam çalılan veri sayısının %96'sını oluşturuyor, daha önceki raporlarda da durum çok farklı değil, yalnız firmanın 2012 raporu gösteriyor ki kişisel verilere rağbet bu sene artmış ama ödeme kartları bilgileri yine revaçta. PCI DSS (Payment Card Industry Data Security Standard) hakkında yazacaklarımı okumaya başlamadan önce incelemeniz için bu tabloyu en başa koydum.
Bu konuyu tek blog yazısında ele alacağım,bu yüzden uzuun bir yazı olacak (tamamlanması da uzun sürebilir,fırsat buldukça yazabiliyorum) ama yazının sonuna gelip de başınızı kaldırdığınızda PCI DSS nedir,ne değildir,kimi bağlar,uyumlu olmak için yapılması gerekenler nelerdir gibi sorularınızın yanıt bulduğunu göreceksiniz.
PCI (Payment Card Industry) aslında Ödeme Kartları Endüstrisi demek ama bu terim genellikle PCI Security Standards Council (PCI SSC) denen ve sektördeki 5 dünya devinin (Visa, MasterCard, American Express, Discover,JCB) üyeliğiyle - "yaw kart sahtekarlıkları aldı başını gidiyor,önüne gelen kredi kartıyla ödeme kabul ediyor sonra canımız ciğerimiz müşterilerimizin bilgileri çalınıyor kartları kopyalanıyor.Böyle giderse kimse kart kullanmaz, müşterilerimizden ve paracıklarımızdan oluruz" gibi kaygılarla - 2006 yılında oluşturulmuş konseyi ifade ediyor.

IIS 7 - 7.5 Request Filtering - Nass oluyor da oluyor ? Rules & Headers

IIS 7 ve 7.5 ile birlikte gelen (rol servisi olarak yüklerseniz tabi) Request Filtering güvenlik özelliği ile yapılabileceklere devam edelim.

"Rules" sekmesi web sunucunuza gönderilen HTTP isteklerinde URL,Header,Query string gibi metinlerde kelime bazlı filtreleme yapmaya imkan verir. Örnek olması bakımından "User-Agent" Header değeri "Attack" ( piyasada kolaylıkla bulunabilecek acunetix gibi güvenlik tarayıcıları varsayılan olarak User-Agent header'ına belli değerler atarlar,benzer şekilde http saldırı araçları da öyle, bu tip basit saldırıları bu özelliği kullanarak engelleyebilirsiniz) ise web sunucumuzun erişilmek istenen sayfayı engellemesi için kullanılacak kural ekran görüntüsündeki gibi olmalı;

Kural tanımında "Scan URL","Scan Query String" işaretlenmediği için request-filtering modülü URL ve Query Stringi taramayacak.Benzer şekilde "Applies To" hanesinde "html,htm,asp,aspx" gibi dosya uzantısı da belirtmediğimiz için kural tüm dosya uzantılarına erişim isteklerine etki edecek.

"Header" hanesinde kontrol edilmesini istediğimiz header değerini yani "User-Agent" satırını ekledikten sonra, bu header değerinde reddedilecek kelimeyi "Deny Strings" alanında satır olarak ekliyoruz. Özetle kural, kendisine gelen isteklerin Header değerlerini kontrol edecek, "User-Agent: Attack" header'ı ile gelen istekleri reddedecek yani isteği 404 kodu ile cevaplayacak, daha kesin konuşmak gerekirse bu istek ve akabinde gönderilen cevap kayıt dosyasına 404.19 koduyla kaydedilecek. Daha önceki yazıdan hatırlarsanız 404.19 "Denied by filtering rule" anlamına geliyor.

IIS 7 - 7.5 Request Filtering - Nass oluyor da oluyor ? File Name Extension & HTTP Verb filtreleme

URLScan eklentisini bilirsiniz, IIS 6 ve öncesi versiyonlarda bir eklenti olarak kurulur kullanılırdı. Microsoft IIS 7 ile birlikte bu fonksiyonu "Request Filtering" rol servisi ile web sunucusuna entegre etmeye başladı. Request filtering bir güvenlik servisi ve kurulduğunda IIS'e dosya uzantısına,URL'e,HTTP request metoduna, içerik uzunluğuna,URL uzunluğuna,query string uzunluğuna göre filtreleme, double-escaping önleme gibi yetenekler kazandırır. Bu özellikleri kullanarak web sunucunuza yapılan bir çok saldırıyı engelleyebilirsiniz. Request Filtering IIS rolüne ait bir servis.

Ve kurulduktan sonra IIS Manager arayüzünden konfigüre edilebileceği gibi 

Bilgisayar Olaylarına Müdahale - Masal

Daha akılda kalıcı olması bakımından "etkin müdahale yöntemi" başlıklı yazıdan sonra yazmak istediğim masal bugüne kısmet oldu.

Bir varmış bir yokmuş, çok uzak ülkelerin birinde "ben CISO'yum ben CISO'yum,bir cümlede 10 kez EsEsElVipiEn kelimesini kullanabilirim,Entielem otantıkeyşın demeyi de çok severim" deyip duran BT güvenlik yöneticisi ve 2 ayda bir her geleni kaçırmasına rağmen bu güvenlik yöneticisini seven kollayan,öpüp okşayan, "ne yapıyorsun personele,neden her işe başlayan 2 ay sonra arkasına dönüp bakmadan kaçıyor" diye soramayan ya da sormaya kıyamayan CIO'su ve yüzbinlerce müşterisi olan bir banka varmış. Bilgi ve BT güvenliği konusu banka üst yönetimince yeterince ciddiye alınan bir konuymuş ve CISO yanlış yatırımlarla yüzbinlerce dolarlık cihaz alıp kullanmasa da yapılan harcamalar için yönetim yine de kesenin ağzını açık tutarmış. Gel zaman git zaman derken, bir gün bankanın şubelerinden birinin müdürü "Sanırım benim internet şube hesabım ele geçirilmiş, internet şube'ye girdiğimde hatalı giriş denemeleri olduğunu görüyorum,yoksa şubede virüs mü var?" diye soracak olmuş. Haber çabuk yayılmış ve CIO'nun kulağına kadar gitmiş, CIO "tiz araştırıla" diyerek talimat vermiş. İngilizce kısaltmaları okumaktan öte güvenlik bilgisi bulunmayan CISO anlamadan dinlemeden,düşünmeden taşınmadan göndermiş "fedailerinden" birini şubeye,şube'de güvenlik taraması yapsın, şube müdürünün gazını alsın diye. Fedai şubede 2 gün incelemede bulunmuş,aramış taramış trafiği dinlemiş,şüpheli bir olayla karılaşmadan dönmüş bankaya. Daha sonra anlaşılmış ki şube müdürünün kullanıcı adıyla benzerlik taşıyan bir müşteri kullanıcı adını yanlış yazarak şubeye giriş yapmaya çalışmış. Fedainin boşu boşuna 2 gün şubede zaman kaybetmesine, harcanan iş gücüne aldırmadan, bilgisayar olayına nasıl müdahale edilmesi gerektiğinden bir haber, CIO ve CISO neşe içinde yaşamaya ve bankanın adını güvenlik sektöründe karalamaya devam etmişler.

(Masalda bahsi geçen olay ve kişilerin gerçekle ilişkisi yoktur, ama olabilir de)





İlgili Yazılarım
Bilgisayar Olaylarına Müdahale - Bilgisayar Olayı nedir? Etkin müdahalenin önemi ve gereği
Bilgisayar Olaylarına Müdahale - Etkin Müdahale Yöntemi
Bilgisayar Olaylarına Müdahale - Müdahale Ekibi

BT Güvenlik Operasyon Merkezi ( IT Security Operations Center - SOC ) - Nass oluyor da oluyor?

IIS 7.5 Konfigürasyon Denetim Kaydı Özelliğini Etkin Hale Getirme

Yönetici hakkına sahip birden fazla kullanıcının kontrolündeki sunucularda,özellikle IIS web sunucularında kontrolsüz yapılan değişiklikler sistem yöneticilerinin kabusudur.Kayıtsız,habersiz yapılan değişikliğin sebep olduğu hatayı ya da olumsuzluğu gidermek için saatler belki günler harcanır.Değişikliğin üzerinden birkaç gün geçtiyse hele, değişikliği yapan da unuttuysa yapılan değişikliği tadından yenmez.Samanlıkta iğne aramaya benzer çoğu zaman hatanın ya da sorunun kaynağını tespit etmek.Microsoft nihayet IIS 7.5 ve 2008 R2 ile birlikte işletim sistemine IIS konfigürasyonu denetim özelliği getirmiş.Bu özellik sayesinde operasyon ekipleri ile denetim ve kontrol mekanizmaları arasında "bunun denetim kaydı var mı?kimin ne zaman ne değişiklik yaptığını görebiliyor muyuz?" şeklinde süregelen diyaloglarında süresi kısalmış olacak. IIS konfigürasyonunda yapılan değişikliklerin kayıt altına alınması için "Server Manager" yönetim arayüzünün Event Viewer->Application and Service Logs->Microsoft->Windows->IIS-Configuration ağaç menüsü altında,aşağıdaki ekran görüntüsünde gösterildiği gibi etkin hale getirmek gerekir (Enable Log).

Bilgisayar Olaylarına Müdahale - Müdahale Ekibi

Bilgisayar olaylarına müdahalenin gerekliliğinden yazının ilk bölümünde bahsettik,sanırım herkesin kafasına yattı ve herkes olayları belirli metodlarla ele almanın gereğini kavradı.Sıra geldi müdahale mimarisinin olmazsa olmazı; Bilgisayar Olaylarına Müdahale Ekibi. CERT (Computer Emergency Response Team), CIRT ( Computer Incident Response Team), CSIRT (Computer Security Incident Response Team) gibi kısaltmalarla anılırlar, ülke genelindeki bilgisayar olaylarına müdahale için kurulabileceği gibi, kuruma özel müdahale ekipleri de oluşturulabilir (XBANK-CERT gibi). Türkiye'deki UEKAE bünyesinde faaliyet gösteren oluşumun adı TR-BOME (Bilgisayar Olaylarına Müdahale Ekibi) olacak şekilde biraz türkçeleştirilmiş. BOME'nin ne kadar faal olduğu hakkında pek bilgi sahibi olamadım, internet yoluyla erişilebilen en son faaliyet raporu 2007-2008 verilerinden hazırlanmış.
Müdahale ekipleri,kurumların mümkün olduğunca az personel istihdam etme, güvenlik gibi elle tutulmayan gözle görülmeyen konular için mümkün olan en az harcamayı yapma gibi politikalarından dolayı oluşturulması en zor organizasyon yapılarından. Yönetimin gözünde itfaiye neyse, müdahale ekibi de o ne yazık ki. Kırk yılda bir ciddi bir olay çıkacak da ekip müdahale edecek, geri kalan 39 yıl boyunca da yönetim bu ekip için yatırım ve masraf yapacak. Bu yazıda anlatılanlar çoğu kurum ve firma için hayal dünyasından ibaret olacak.
Küçük ya da büyük her müdahale ekibinin sahip olması gereken özellikler var, bu özellikleri isterseniz insani v e teknik özellikler başlıkları altında da toplayabilirsiniz;

Bilgisayar Olaylarına Müdahale - Etkin Müdahale Yöntemi

Sektörde genel kabul görmüş yöntem 6 safhadan oluşuyor;
Hazırlık=>Tespit=>Sınırlama=>Ortadan Kaldırma=>Kurtarma=>Değerlendirme (Hasar Raporu)

• Hazırlık safhasında bilgisayar olayı meydana gelmeden önce önleyici mekanizmalar oluşturulur, talimatlar hazırlanır (bakınız University of Florida), gerekli kaynak ve personel planlaması yapılır ve müdahale mimarisi kurulur,rol ve sorumluluklar belirlenir, ihtiyaç halinde temas kurulacak personel listesi,kontak bilgileri politikalarla belirlenir.
• Tespit safhası bana göre en önemli safha, çünkü tespit edilmediği sürece bilgisayar olayının varlığından söz etmek, olayın etkilerini azaltacak ya da ortadan kaldıracak eylemlerde bulunmak yani müdahale etmek mümkün değil. Müdahale sürecini tetikleyen safhadır tespit,kimi zaman kullanıcının bildirimiyle başlar.Günümüz çalışma ortamlarında kullanılan ve işlenen verinin devasalığı,çalışan sayısının ve buna bağlı olarak artan işlem sayısı ve ağ trafiğinin artışı, güvenlik düşünülmeden iyi niyetle hazırlanan protokollerin kötüye kullanımı gibi etkenler düşünüldüğünde bilgisayar olaylarını tespit etmenin aslında ne kadar zor olduğunu tahmin edebilirsiniz.Neyse ki bu kritik safhada kullanılabilecek yazılım ve donanım ürünleri mevcut, aslına bakarsanız BT altyapısında kullanılan tüm ürünler bilgisayar (güvenlik) olaylarını tespitinde kullanılabilir. Size düşen bu ürünler varsayılan konfigürasyonların dışında ihtiyacınıza göre yapılandırmak,ihtiyacınız olduğu kadar daha doğrusu inceleyebileceğiniz kadar log toplamak, güvenlik ölçütleri belirlemek.Bu safhada dikkat edilmesi gereken bir diğer önemli konu da olay tespiti sonrası paniklememek,çevredekileri de panikletmemek.Soğukkanlılıkla bilgisayar olayının kapsamını belirmeye çalışmalısınız,bu hem ekibin işini hem de olay için öncelik belirlemeyi kolaylaştırır.Son olarak tespit safhasında yapılması gereken ilgili otoriteleri ve personeli bilgilendirmektir.CISO da denen bilgi güvenliğinin başındaki kişi,ekip üyeleri,varsa halkla ilişkiler bölümü ve bazen de hukuk departmanları olayla ilgili bilgilendirilmeli.Bilgilendirmenin nasıl ve ne şekilde yapılacağı (güvenli iletişim kanalları kullanılarak vb) bilgi güvenliği politikasında ya da bilgisayar olaylarına müdahale politikasında açıkça belirtilmelidir.Tavsiyem kurum intranet portalinde süreci başından sonuna kadar takip ve kayıt altında tutmanıza yardımcı olacak yazılımlar geliştirmeniz ya da geliştirtmeniz.Kullanıcıdan artık kağıt form doldurmasını beklemeyin,kullanıcı üşenir,bıkar. Örnek olay bildirim formu için tıklayın.

Bilgisayar Olaylarına Müdahale - Bilgisayar Olayı nedir? Etkin müdahalenin önemi ve gereği

Konu çok kapsamlı olduğu için birkaç yazıyla ele almak ve bu ilk yazıya "Olay (Incident)" kavramına netlik kazandırarak başlamak iyi olacak. BT dünyası için "olay" ya da "bilgisayar olayı", bilgisayar ve ağ altyapısını ( "ağ olayı" gibi farklı bir kavram yok ne yazık ki :) ama siz çalıştığınız kurumda olayları kendi içinde sınıflandırabilirzini sizi tutan bir şey yok ) olumsuz etkileyen,yani bu altyapılarda kullanılan donanım,yazılım varlıkları çalışmaz,bu varlıkları ve varlıklar üzerinde işlenen veriyi kullanılmaz-erişilemez hale getiren hadiselerdir. Su,yangın gibi altyapıyı etkileyebilecek doğal felaketler, güç kesintileri,sistem çökmesi,ağ altyapısının saldırılarla işlemez hale getirilmesi, zararlı kod yayılımı (virüs/solucan),web sitesinin ele geçirilmesi,hizmet dışı bırakma (DOS) saldırıları,bir çalışanın kişisel bilgisayarını yerel ağa dahil etmesi ve benzeri hayal gücünüzle sınırlı olaylar "bilgisayar olay"larına örnektir.Klasik CIA (Confidentiality-Integrity-Availability) özelliklerini dikkate alarak? verinin güvenliğini yani gizliğini-bütünlüğünü-erişilebilirliğini tehdit eden olaylar da "bilgisayar güvenlik olayları" şeklinde adlandırılır.

BDDK - Bilgi Sistemlerine İlişkin Sızma Testleri Genelgesi üzerine

BDDK sızma testlerini zorunlu kıldıktan,hele hele bu testleri TUBITAK'ın yapacağını duyurduktan sonra uzun uzun tartışıldı bu karar.TUBITAK'ın kısıtlı personeli ve kaynaklarıyla 50'ye yakın bankanın sızma testlerini zamanında yapıp yapamaycağı düşünülmeden verilmiş,tepki çeken bir karardı. Tepki çekti çünkü güvenlik sektöründe sızma testi,eğitim,danışmanlık gibi hizmetler en fazla kazanç getiren hizmetler,ve bunu bir zorunluluk haline getirmek sızma testi için bütçe ayırmada pinti davranan bankalara bu kazançlı hizmeti satmayı kolaylaştıracaktı ancak BDDK bu testleri TUBITAK'ın yapacağını duyurarak sulanan ağızlara biber sürdü.Daha sonra yapılan değişiklikle sızma testi hizmetinin sektördeki diğer firmalardan da alınmasının önü açıldı zaten. Tüm bu harala-gürele arasında bankalar testlerini tamamladılar,düzeltici faaliyet süreçleri bile tamamlandı neredeyse, BDDK nedense 1 yıl kadar sonra - 2 gün önce- bu konuda (buradan ulaşabileceğiniz ) bir genelge yayınlamaya karar verdi.
Biraz geç kalınmasının yanında,kısa ve aceleye getirilmiş bir havası var genelgenin.Okumadan önce, sızma testi yapabilecek firmalar için bir tanım-kriter-gereksinim (ne bileyim bir ISO 27001 sertifikası gereksinim olarak belirlenebilir,bu testi yaptıracağınız firma sizinle alakalı en kritik bilgilere sahip olacak, bu bilgileri nasıl saklaması gerektiğini bilmeli ve bunu göstermeli) var mı acaba diye merak ediyordum,olmadığını görünce de pek şaşırmadım. Şuan için sızma testi yaptığını iddia eden 10-15 firma var bunları da akredite etmeye kalkarlarsa listede hangi firmalar kalır acaba?

BGYS - Nass oluyor da oluyor ? ISO/IEC 27001:2005

Bu yazıda Bilgi Güvenliği Yönetim Sistemleri (BGYS) oluşturmada referans olarak kullanılan ISO 27001:2005 standardından bahsedeceğim,ister istemez BGYS konusunu da - derinlemesine olmasa da - ele alacağım.
Bilgi güvenliği ile alakalı-alakasız (güzel ülkemde bilgi güvenliği uzmanı ilanı verip görüşmede "bize checkpoint'te yılda 2-3 bug bulabilecek biri lazım" diyen zihniyet de var) hemen her iş ilanında varsayılan (default) gereksinimlerden biridir; ISO 27001 hakkında bilgi sahibi olmak. Bildiniz! bir diğeri de COBIT.Bu konuyla ilgilenen genç okuyucuların şevkini yazının başında kırmak istemiyorum bu nedenle serzenişleri sona bırakayım.
Politika ve prosedürlerle ilgili yazıda yazdığım gibi, bakkal dükkanından farklı ve risklerinizin farkında olmak,riskleri ortadan kaldırmaya ya da azaltmaya çalışmak, kaynaklarınızı verimli kullanmak, faaliyet gösterdiğiniz sektörde rekabet gücü oluşturmak istiyorsanız yönetim sistemleri kullanacaksınız. Ek olarak, bilgi ve bilginin gizliliği, doğruluğu, erişilebilirliği sizin için önemliyse bilgi güvenliği yönetim sistemi kurmalı ve işletmelisiniz.İşte ISO 27001:2005 size elinize yüzünüze bulaştırmadan bu işin altından nasıl kalkabileceğiniz konusunda yol gösteriyor.

BGYS - Nass oluyor da oluyor? Politika,prosedür,klavuz,talimat

Kurumları bakkallardan ayıran birtakım özellikler var, yönetim sistemleri (managemenet systems) bunların en önemlisi. Odak noktamız bilgi ve bilişim güvenliği olduğu için bizi ilgilendiren yönetim sistemi "Bilgi Güvenliği Yönetim Sistemi (BGYS)". BGYS'nin esasları,nasıl olması gerektiği gibi konular ISO 27001 standartları kümesiyle belirlenmiş,açın okuyun demek isterdim ama sağolsun ISO bunu bile parayla satıyor. Çok da önemli değil çünkü bu yazının konusu farklı. Yönetim sistemlerinin yapı taşlarından yönetim dökümanları, daha da spesifik olarak politikalardan,prosedürlerden,talimatlardan bahsedeceğim.
Belli bir yaşa gelene kadar güzel memleketimde bu terimlerden bir kısmını duyarak okuyarak büyüyoruz zaten,özellikle askerlikte ;  tv , musluk vb kullanma talimatları, personel yönetmelikleri,atama yönergeleri  vs vs. Benzer terimler iş hayatında da bolca karşınıza çıkar,hani ağzı olan konuşuyor denir ya, yalan yanlış her dökümanın sonuna " ... politikası, ... talimatı" gibi ekler eklemeye de meraklıyız. Benim diyen kurumlarda bile içeriği talimat içeriği olan döküman politika olarak adlandırılıyor.Her ne kadar pratik hayatta bu terimler birbirine girmiş ve birbiri yerine çokça kullanılır olsa da bu terimleri birbirinden ayıran ince farklar var.
Yaptığınız iş,çalıştığınız pozisyon ne kadar teknik olursa olsun,kağıt işlerinden ne kadar çok nefret ederseniz edin, eğer işlerin düzen içinde yerine getirilmesini, hata payını azaltmayı, iş kalitesini, personel verimliğini artırmak, iş yerinde abi-kardeş ilişkilerini de azaltmak istiyorsanız, profesyonellik ve zaman kaybı sizin için önemliyse -bir yönetim sistemi olmasa bile - bu tip dökümanları ihtiyacınız var.
Peki politika,prosedür,klavuz ve talimat nedir?

Yama Yönetimi - Masal

Masal duymaya,dinlemeye alışık olduğumuz,sevdiğimiz ve bu konu da çoğu insana masal gibi geldiği için örnek bir yanlış uygulamayı yine bu dille anlatmak istiyorum.

Bir varmış,bir yokmuş..evvel zaman içinde kalbur saman içinde Checkpoint konsolunda kural tanımlayabilen ya da Backtrack indirebilen herkesin kendisini güvenlik uzmanı kabul ettiği bir ülkede büyük bir banka ve bu bankanın bilişim altyapısının güvenliğinden sorumlu ancak bilişim güvenliğinden zerre kadar anlamayan bir güvenlik müdürü varmış. O dönemlerde conficker kımılı ortalığı kasıp kavuruyormuş. Herkes conficker'dan korkar,  ne zaman tetikleneceğini merak edermiş. Gel zaman git zaman,Microsoft'un bu kımılın kullandığı zaafiyeti giderici bir güvenlik güncellemesini yayınlayacağı duyulmuş, hem de normal güncelleme yayınlama seyrinin dışında ve acil olarak. Bu haber tek bildiği es-es-el-vi-pi-en,en-ti-el-em otantıkeyşın demek olan güvenlik müdürünün de kulağına gelmiş. Yüksek rakımlı mevkilerdekiler de haberi gazetelerde okuyunca paniye kapılıp güncelleştirmenin tiz uygulanmasını buyurmuşlar güvenlik müdürüne. Ve yayınlandığı günün gecesinde güvenlik yaması banka genelinde uygulanmış, istemci ve sunucu bilgisayarların tümüne,hem de test edilmeden.

Ne kadar acil olursa olsun, özellikle genele ya da kritik sistemlerinize uygulayacağınız güncellemeleri/yamaları mutlaka öncesinde gerçek ortama eş veya yakın test ortamınıza uygulayın ve test edin. Yamanın aciliyetine göre test süresini kısaltabilir ya da hızlandırabilirsiniz ,ama mutlaka test edin. Neden olabileceği olumsuz sonuçlar yüzünden yağmurdan kaçarken doluya tutulmayın.


(Masalda bahsi geçen olay ve kişilerin gerçekle ilişkisi yoktur, ama olabilir de)


İlgili Yazılarım
Yama Yönetimi - Nass oluyor da oluyor? Microsoft Güvenlik Bültenleri
Yama Yönetimi - Nass oluyor da oluyor? İdeal Yama Yönetim Süreci
Yama Yönetimi - Nass oluyor da oluyor? Yama dağıtım merkezini korumak
Yama Yönetimi - Nass oluyor da oluyor? Örnek Yama Yönetimi Politikası Dökümanı
Bilgisayar Olaylarına Müdahale - Masal

Yama Yönetimi - Nass oluyor da oluyor? Örnek Yama Yönetimi Politikası Dökümanı

Bilgi güvenliği yönetim sisteminde (BGYS) politikalar, üst yönetimin rızasını, desteğini ve onayını gösteren ve nasıl yapılacağından ziyade (nasıl yapılacağını gösteren dökümanlar standartlar ve prosedürlerdir) ne yapılması gerektiğini anlatan dökümanlardır. BGYS hakkında da fırsat bulabilirsem yazılar yazarım, o zaman politika nasıl hazırlanır,prosedür talimat nasıl olmalıdır ayrıntılı bilgi veririm.
Bu yazının konusu yama yönetimi için kullanılabilecek örnek "Yama Yönetimi Politikası" hazırlamak. Her süreç dokümanında olması gerekiği gibi Yama Yönetimi Politikası dokümanın da versiyon bilgisi,hazırlayanı, ilk yayın tarihi,varsa gözden geçireni ama olmazsa olmazı "onaylayanı" -burası önemli,onay makamı ne kadar yüksek olursa politka da o derece ciddiye alınır- mutlaka olmalı,doküman tüm personelin kolaylıkla erişebileceği bir yerde kopyası bulunmalıdır. Dediğim gibi, işin nasıl yapılması gerektiği ayrıntılarıyla standartlar ve prosedürlerde anlatılmalı o yüzden politkada çok fazla ayrıntıya girmeyin ve uzatmayın,kullanıcıyı bunaltmayın ki bir solukta okunabilsin ve politikayı okuduktan sonra kullanıcının kafasındaki "neden böyle bir politika var?beni ilgilendiriyor mu? uymazsam ne olur? yaptırımı ne?" gibi sorular cevapsız kalmasın, politikanın -denetimlerde veya ters birşeyler olması durumunda işverenin elini güçlendirmesi dışında -tüm amacı bu. Siz de aşağıdakine benzer bir politikayı mutlaka hazırlayın,bunu standartlarla,prosedürlerle,talimatlarla destekleyin. Halihazırda yürürlükte olan politikalar varsa şablon olarak kullanabilirsiniz

Yama Yönetimi - Nass oluyor da oluyor? Yama dağıtım merkezini korumak

WSUS , Windows Software Update Services, Windows Security Update Server ya da Services gibi açılımı konusunda her kafadan bir sesin çıktığı, Microsoft'un uzuun zamandır müşterilerine ücretsiz olarak sunduğu, raporlama kabiliyeti 0'a yakın merkezi yama dağıtım ürünü. İstemci ve Sunucu platformlarında çalışabilir, çok az donanım kaynağına ihtiyaç duyar, birkaç adımda konfigüre edilip domain yapısında kullanılmaya başlanabilir. Ücretsiz olduğu için çok yaygın kullanılır,artık System Center ailesiyle birlikte SCCM'e de entegre olmuştur. Yani yamaları güncellemeleri yine WSUS microsoft update sitesinden kontrol eder, indirir ama yamaların dağıtımını SCCM yapar. Hemen her merkezi yönetim/denetim/izleme çözümünde olduğu gibi WSUS'un da sağlıklı çalışabilmesi için kendisi ile yamalayacağı sistemler arasındaki iletişimin kesintisiz olmasına ihtiyaç duyar,bu da birden fazla portun açılması demek.Yine her merkezi yönetim/denetim/izleme çözümünde olduğu gibi çözümle istemci ya da sunucu bilgisayarlar arasında açılması gereken bu portlar dikkate alınmaz, karşılıklı tüm portlardan erişim açık hale getirilir.

Yama Yönetimi - Nass oluyor da oluyor? İdeal Yama Yönetim Süreci

Türkiye'de çok az yerde olması gerektiği gibi yönetilen bir süreçtir. Sistem yönetimi, bilgi güvenliği,yazılım geliştirme, yönetim, çalışanlar yani bir kurumdaki neredeyse herkesin bu sürecin parçası olması gerekir. Üzerine basa basa bunun bir süreç olduğundan bahsediyorum çünkü yama yönetimi düzenli ve sürekli bir iş, kurumsal her organizasyonda olması gerektiği gibi politikası,standardı ve prosedürü olmalı, işleyişteki roller belirlenmeli ve yönetim desteği/onayı olmazsa olmaz. Zaten işin zor kısmı da bu bileşenleri hayata geçirebilmek, gerisi birkaç checkbox işaretlemek ve birkaç da buton'a basmaktan ibaret. Bu yazıda ben politikadan bahsetmeyeceğim, bahsedeceğim şey aslına bakarsanız standardı. Yani çook derin ayrıntıya girmeden bu işin kitabına göre nasıl yapılması gerektiği, hangi araçların kullanılması gerektiği vb ayrıntılar bir başka yazıda anlatılacak.
Yama terimi, her ne kadar istatistiki veriler Microsoft platformları ve ürünleriyle kıyaslandığında açık kaynak kodlu platformlarda ve uygulamalarda bir yıl içinde çok daha fazla yama yayınlandığını gösterse de, Microsoft ürünleriyle özdeşleşti. Bu nedenle spesifik olmak gerektiğinde Microsoft ürünlerini örnek göstereceğim ama bu sürecin adımları genel uygulanabilir olacak. Her nekadar çoğunlukla güvenlik açıklarını ve zaafiyetlerini gidermek amacıyla yayınlanıyor olsalar da performans ve işleyişi iyileştirme adına yayınlanan yamalar da mevcut, ben de yama yönetimiyle hem güvenlik hem iyileştirme amacıyla.Tecrübelerimle birlikte yaygın kullanımı nedeniyle de Microsoft'un yama sürecini esas alacağım,akla mantığa uygun ve uygulanabilir olduğunu siz de göreceksiniz, bu süreç yama yönetimini 4 faz altında tanımlıyor kardeşlerim,hazırsanız başlayalım uzun bir yazı olacak;

IIS Sıkılaştırma Klavuzu - Nam-ı diğer Security Hardening Guide

Hardening, sıkılaştırma-sertleştirme gibi cinsel çağrışımlar yapsa da BT dünyasında bir cihazı,bilgisayarı,uygulamayı,sunucuyu zaafiyetlerden arındırma, saldırı yüzeyi ya da vektörü de denen hedefin saldırı alabileceği noktaları azaltma anlamına geliyor kardeşlerim. Eskiden microsoft hemen her ürünüyle bu tip klavuzlar yayınlardı şimdi nedense pek yapmıyor, belki de yayınlanan bütün o klavuzlara rağmen ürünlerin hala kolayca istismar edilmesindendir bilemiyorum. Herneyse bu yazıda bizi ilgilendiren IIS web sunucuların daha güvenli hale getirilmesi. "SSL" terimi gibi "Hardening" terimi de bana hala bilgi ve bilişim güvenliğinden zerre kadar anlamayan ama her nasılsa çok ciddi kurumlardan birinde güvenlik ekibinin başında dikilen, ağzından bu kelimeyi eksik etmeyen, ismi de lazım olmayan birini hatırlatıyor."Hardening yaptıktan sonra productiona alıcaz,hardeningini kontrol edicez" gibi kusturucu cümlelere maruz kalmıştım bir dönem.

IIS 7-7.5'de hangi klasörleri antivirüs exclusion list'e (gerçek zamanlı kontrol edilmeyecekler listesi) eklemeli

• "C:\inetpub\temp\IIS Temporary Compressed Files"
• "%SystemDrive%\inetpub\logs\LogFiles" (varsayılan iis log klasörü)

Web sunucunuz .NET uygulamaları çalıştırıyorsa

• "C:\Windows\Microsoft.NET\Framework\<yüklü_framework_versiyonu>\Temporary ASP.NET Files"

Klasörlerini antivirüs uygulamanızın (web sunucunuzda antivirüs uygulaması kurulu ve çalışıyor değil mi :) ) gerçek zamanlı tarama işleminin dışında tutun. Yukarıdakiler IIS'e özgü klasörler,bunlar dışında web uygulamalarınızın bulunduğu klasörleri, web uygulamalarınızın loglarının tutulduğu klasörleri de hariç tutabilirsiniz. Bu yazıda Windows işletim sistemi versiyonuna özgü hariç tutulması gereken klasörlerden bahsetmedim, isterseniz aşağıdaki bağlantılardan işletim sistemine ya da rol'e özgü klasörleri/dosyaları da hariç tutarsınız başınız ağrımaz
http://support.microsoft.com/kb/822158
http://support.microsoft.com/kb/943556
Şu küçük hatırlatmayı yapmamın da iyi olacağını düşünüyorum, aynı sizler gibi salgırgan kardeşlerimiz de bilgisayarlarınıza,sunucularınıza zararlı kod bulaştırırken bu makaleleri ve Microsoft'un önerilerini dikkate alıyorlar, ve kodlarını uygulamalarını mümkün olduğunca exclude edilmesi önerilen bu klasörlere yerleştirmeyi tercih ediyorlar :D. Bu yüzden exclusion listlerde aşırıya kaçmamak lazım,ne ka az o ka iyi.

Microsoft Baseline Security Analyzer 2.2 - Can not load security cab file

MBSA Microsoft'un çok az fonksiyonalitesi olan bir aracı,bu yüzden de sorun çıktığında çözümü zor oluyor. Bu araçla sunuculardan birindeki ensik güvenlik yamalarını taratmak istediğimde aldım bu hatayı.

Refleks oldu artık, google'da arattım hata mesajını,her kafadan ayrı ses çıkmış bu hata koduyla ilgili,DCOM ayarlarından bahseden mi dersiniz, WU agent'i güncelleyen mi. Umutsuzca sunucunun "Windows Update" servisini kontrol ettiğimde servisin çalışmadığını gördüm. Belki bu küçük ayrıntı ilerde birinin işine yarar düşüncesiyle yazıyorum.

Yama Yönetimi - Nass oluyor da oluyor? Microsoft Güvenlik Bültenleri

Bu nass oluyor da oluyor dizisinin bu ilk yazısında yama, zaafiyet nedir gibi en basit kavramlara girmeden Microsoft biz sevgili müşterilerini belirlenen zaafiyetlere karşı nasıl bilgilendiriyor konusunu irdelemek istiyorum."Tü-kaka Microsoft,yaşasın penguen kardeşliği" gibi düşünceleriniz varsa bu yazıyı es geçebilirsiniz.
Microsoft düzenli olarak her ayın 2. Salı günü (patch Tuesday), istisnai durumlarda ise anlık olarak (ki buna da out of band patch yaması denir) ürünlerindeki zaafiyetleri (vulnerability) giderici ( nadir de olsa " böyle bir açık var ama henüz giderecek bir güncelleme yok,üzgünüz" dediği de olur) yamalar yayınlar. Terminolojide "Security patch","Critical update","Update","Hotfix","Update rollup","Service pack","Integrated service pack" kavramları birbirinden farklı olsa da ben genel olarak bu güncellemelerden yama olarak bahsedeceğim.

HTTP - Nass oluyor da oluyor? HTTPS - HTTP over SSL

Yine kolay kolay bulamayacağınız detayda, kendisini web uygulama güvenliği konusunda geliştirmek isteyenlerin bilmesi gerektiğine inandığım (merak etmeyin bir çok güvenlikçi bile bu kadar detaya inmeye tırsar) bir yazı,kullanılan örnek paket dosyası ve sunucu sertifikasıyla birlikte.HTTP over SSL, adından anlaşılacağı gibi HTTP trafiğin SSL protokolü ile sağlanan kanal üzerinden iletilmesi anlamına geliyor. Bu kanal şifreleme ve kimlik doğrulama seçenekleriyle ya da her ikisi da olacak şekilde oluşturulabilir ama illa ki hem şifreleme hem de karşı tarafın kimliğinin doğrulanması gibi bir şart yok. OSI katmanda SSL "Presentation" katmanında yer alan bir protokol yığını,dolayısıyla "Application" katmanındaki HTTP ve asıl veri iletişimin yapıldığı "Transport" katmanı TCP protokolü arasında konumlanıyor,açılımı "Secure Sockets Layer". TLS'in de atası.
Trafiğin detaylarına girmeden önce basit ve bu yazıda örnek alınacak trafiğin wireshark'la yakalanmış ekran görüntüsünü de ekliyorum. Yukardaki mekanizmayı anlamada yardımcı olacak.

Internet Explorer SSL Security Warning - yıldırdın beni

HTTPS hakkında bir yazı yazmaya karar verdim, internet explorer beni çileden çıkardı. Yok sertifika sağlayıcısı güvenilir değil, yok sertifikadaki isimle URL'deki isim birbirini tutmuyor vs daral geldi. Warning popup yüzünden trafiği doğru dürüst izleyemez oldum ve bu uyarıları ortadan kaldırmaya karar verdim. Önce yeni bir sertifika otoritesi kurmakla uğraşmamak için bildik sertifika sağlayıcılarından (verisign,thawte vs) trial ssl sertifikaları alayım dedim, demez olaydım. CSR'ı kabul ediyorlar ama daha sonra verilen bilgiler eksik olduğu için sertifika alma isteğinin tamamlanamadığına dair mailler gönderdiler. Hangi bilginin eksik olduğu bilgisi yok tabi gelen mailde. İş başa düştü, sanal sunucuya Enterprise CA (Ceritificate Authority) rolü ekledim, web sunucu için de bu CA'dan bir SSL sertifikası aldım. Sorunsuz,uyarısız, pop-up'sız HTTPS erişimi için bu CA'in sertifikasının da XP istemcinin "Trusted Root Certification Authorities" deposuna eklenmesi lazım,yoksa aşağıdaki gibi mesaj alırsınız.

HTTP - Nass oluyor da oluyor? HTTP Windows Authentication

Mümkün olduğunca yaygın olarak bahsedilmeyen , bilinmeyen,detay verilmeyen konuları yazmaya çalışıyorum.Gelelim en karmaşık IIS kimlik doğrulama (authentication) yöntemine. Windows Authentication, Integrated Windows Authentication, NTLM Authentication, Kerberos Authentication gibi isimlerle anılır kendisi. IIS'in domain ortamında bulunması ve çalışıyor olmasını gerektirir,burası önemli. IIS web sunucusunun veya istemcinin domainde olup olmaması çok da önemli değil ama kimlik doğrulaması Active Directory'den yapılacağı için zırt pırt ortaya çıkan kullanıcı adı/parola pencereleriyle boğuşmak istemiyorsanız ( bu bilgileri kaydetmek te mümkün ama önerilmez ) hem sunucuyu hem istemciyi paşa paşa domaine dahil ederek kullanın. Avantajı ne bu yöntemin ? Basic ve digest authentication yöntemlerinde olduğu gibi kullanıcıya kullanıcı adı/parola penceresi sunmadan kullanıcı kimlik bilgilerini NTLM ya da Kerberos protokolleriyle alırsınız. Ayrıca bu yöntemle kullanıcı parolası değil de parolanın hash i yine kodlanarak gönderilir, bu da oldukça güvenli, açıkları yok mu var ama şimdilik dijital sertifikalardan sonraki en güvenli kimlik doğrulama yöntemlerinden biri. NTLM bildiğiniz gibi yerini Kerberos'a bıraktı ama Kerberos protokolü desteklenmediği durumlarda hala kullanılıyor. NTLM kısaltmasından bir dönem nefret etmiştim, kendisini güvenlik konusunda çok bilgili sanan ve bir bankanın güvenlik bölümün müdürlüğünü yapan ismi ve cismi lazım olmayan bir şahsın ağzından çıkan her cümlede kullanıldığı için :D ( en-ti-el-em otantıkeyşıın şeklinde)

Acunetix WVS Scripting Tool - ara beni ara yar

Bir yandan Acunetix'i kurcalarken klavuzlarda bahsi geçen Scripting Tool'una göz atayım dedim,demez olaydım. Tool'u bulana kadar yarım saat harcadım. Firma nedense ücretsiz olan bu aracı kolay bulunur/indirilir bir yerlere koymamayı tercih etmiş,google aramaları vs nafile. Sonunda aşağıdaki sayfaya eriştim, hint kumaşı tool da sayfanın içinde
http://www.acunetix.com/blog/docs/creating-custom-vulnerability-checks/

HTTP - Nass oluyor da oluyor? Bruter

Bruter bu alanda ün salmış Brutus'e göre nispeten daha yeni bir uygulama. Adından da anlaşılacağı gibi amaç HTTP,FTP,SMTP gibi çeşitli protokollere yönelik bruteforce saldırılar gerçekleştirmek. BruteForce saldırılar ve karşı koyma yolları konusu da ayrı bir blog yazısı.
http://sourceforge.net/projects/worawita/ adresinden ücretsiz indirdiğim aracı XP Professional sanal pc'de çalıştırmaya kalktığımda ilk olarak aşağıdaki hata mesajını aldım.

HTTP - Nass oluyor da oluyor? HTTP Digest Authentication

Basic Authentication'da kullanıcı adı/parola bilgisinin header'larda Base64 algoritması ile karışık hale getirilerek gönderildiğini görmüştük. Basic Authentication'daki bu zaafiyetin giderilmeye çalışıldığı "Digest Authentication" da ise işleyiş şu şekilde;
İstemci, Digest Authentication gerektiren kaynağa erişmek için istekte bulunur;

HTTP - Nass oluyor da oluyor? HTTP Basic Authentication

Windows domain ya da workgroup (hala kullanan yoktur sanıyorum) ortamında IIS web sunucu seviyesinde uygulama erişimi kontrolü için eskiden sıkça kullanılan bir yöntemdi. Basic Authentication yani temel kimlik doğrulaması aktif hale getirilmiş bir web uygulamasına erişilmeye çalışıldığında trafik şu şekilde işler;
İstemci sunucuya bildik HTTP isteği gönderir (ekran görüntüsünde kök dizinine erişme isteği)

Bu mudur?

isc2 twitter hesabında bugün şu tweet vardı "Say goodbye to paper and pencil and hello to Computer-Based Testing for all credentials worldwide",daha önce duyulmuştu aslında isc'nın da sınavlarını bilgisayarla sınav merkezlerinde yapacağı. Şüphesiz maddi kaygıların bir sonucu. Üşenmedim linkleri takip ederek PearsonVue'ya kayıt yaptım

!!!!!!!!!!!!! Bakıcam !!!!!!!!!!!!!

afYrpjxF5b3hLyRzU8AWX4KhaONNVO1GVWYhUc7FVexQ5ogrPfZNXrnhVcglVOwgaoYWVO1hUbRGL=ph1dwkUoNiBbxQ5ogrPfZNXrnhVzPzPeMJB=Ykay+uaeMuUcrNXn+zPzpG1dwQUcllLbMuU8xQ5ogrPfZNXrnhVzPzPeMFUz1hUunFVO1hUb32

Google Translate

Bu adresi sürekli unuttuğum ve bulmakta zorlandığım için buraya yazıyorum, siz de filtrelemeleri bypass etmek veya rus/çin sitelerinin çevirisi için kullanabilirsiniz
http://translate.google.com/translate?sl=auto&tl=en&u=http%3A%2F%2Fwww.google.com.tr

NetCat

Netcat istenen tcp/udp portundan dinleme veya yazma yapabilen bir araç kabaca. Boyut olarak küçük,kullanım olarak kolay olmasından ötürü alet çantasında bulundurulabilir.Windows versiyonu http://joncraton.org/files/nc111nt.zip adresinden edinilebilir. Araç herhangi bir kurulum gerektirmiyor zaten, arşiv dosyasını açıp kullanılabilir. Açıkçası ben de şimdiye kadar neredeyse hiç kullanmadım ama okuduğum kaynaklarda adı geçince ve basit birkaç örnekte kullanılınca bu kullanışlı araç hakkında bir blog girdisi yazmak istedim. Zaten google'dan da oldukça fazla kaynak örnek kullanım edinebilirsiniz.
Göstermek istediğim örnek banner grabbing, tabi konu web uygulama güvenliği olduğu için bizi ilgilendiren web sunucular.Banner kelime anlamı olarak "afiş" demek, it dünyasındaysa çeşitli hizmetler veren sunucu veya cihazlar (http,ftp,ssh,web vb) hakkında kolayca edinilebilen sürüm,platform vb bilgiler anlamına geliyor, bir nevi hedef sunucu veya cihazın kendisini afişe etmesi. Web için konuşmak gerekirse bir web sayfasını/sitesini barındıran ortam hakkında bilgi edinmenin en kolay yolu HTTP request header'da tek başına "HEAD" metodunu kullanmak. Aslına bakarsanız Web sunucu size cevap olarak göndereceği her response header'ında bu bilgiyi sunacak zaten (tabi bu bilgileri maskelemek de mümkün).Netcat'la bu işi yapmak çok kolay,
nc.exe nin bulunduğu klasörde aşağıdaki komutu çalıştırmak hedef sunucunun 80 portuna tcp bağlantı kurmayı sağlar.
( 192.168.227.132 IP adresi OWASP broken web applications projesi sanal makinesinin ip adresidir)
"nc 192.168.227.132 80"
bağlantı kurulduktan sonra

HTTP - Nass oluyor da oluyor? HTTP 1.0 vs HTTP 1.1

HTTP - Nass oluyor da oluyor? HTTP Headerlar ve HTTP Mesaj Yapısı

HTTP mesajları istemcinin erişim isteğini (Request), sunucunun ise yanıtını (Response) taşıyan basit yapılı mesajlardır ve 3 kısımdan oluşur.

İlk satır istek mesajlarında Request Line, yanıt mesajlarındaysa Status Line adını alır.

İstek mesajlarında 

<metod> <istek-yapilan-url> <versiyon>

Yanıt mesajlarındaysa

<versiyon> <durum> <durum-açiklamasi>

bilgilerini taşır.