HTTP DoS'a Karşı Javascript'le Mücadele - Nass oluyor da oluyor?

Uygulama katmanında TCP protokolüne dayalı sunulan hizmetleri hedef alan saldırılar çoğunlukla gerçekleştirilmesi ve engellenmesi en zor olanlardır. Gerçekleştirilmesi zordur çünkü genellikle 3WHS ( 3-way-handshake ) gerektirir yani sahte IP adresleri kullanamazsınız, bu durumda saldırıyı ya kendi bilgisayarınızdan ya da zararlı ( hedeftekilere göre :) ) yazılımınızı bir şekilde bulaştırdığınız,yüklediğiniz ve bot sürünüze dahil ettiğiniz zombie bilgisayarlar aracılığıyla yapmalısınız kardeşlerim. Saldırı kaynağı gerçek,kanlı canlı olunca zararlıyı zararsızdan ayırd etmesi ve bu nedenle engellenmesi de zorlaşır.

Bu yazıda özellikle son birkaç yılın durdurulması en zor saldırı yöntemlerinden HTTP DoS ( ya da HTTP Flood ya da HTTP GET Flood ya da HTTP DDoS ) ile mücadelede javascript'ten nasıl faydalanabileceğinizi anlatmaya çalışacağım,bu yazı sadece yol gösterici ve fikir verici olacak çok büyük beklentiler içine girmeyin. Ele alacağımız senaryoda saldırının bant genişliğini doldurmak değil, web sunucusu kaynaklarını meşgul etmek suretiyle hizmet veremez hale getirmek amaçlı olduğunu da peşin peşin belirteyim. Bant genişliğini doldurma hedefli dağıtık bir saldırıyı artık ISP'de alınabilecek önlemler de engelleyemiyor. Anycast routing,visitor reputation gibi yöntemler kullanan farklı coğrafi konumlardaki veri merkezleri ile bu konuda profesyonel hizmet firmalardan destek almalısınız.

BT Güvenlik Operasyon Merkezi ( IT Security Operations Center - SOC ) - Nass oluyor da oluyor?

Bu yazıda bahsedeceğim konu elini sallasan güvenlik uzmanına çarpan memleketimde bırakın kullanılmayı,henüz bir çok sözüm ona bilgi ve bilişim güvenliği yöneticisinin varlığının farkında dahi olmadığı BT Güvenlik Operasyon Merkezleri / BT-GOM ( Security Operations Center / SOC ) olacak. Yazı boyunca SOC ya da GOM kısaltmalarını kullanabilirim,kafanız karışmasın ikisi de aynı anlamı ifade edecek.

Ağ Operasyon Merkezleri ( Network Operations Center - NOC ) iletişim altyapıları hayati önem kazandığından beri varlar.BT Güvenlik Operasyon Merkezlerinin ise bilgisayar ve bilişim teknolojilerinin suç aracı olarak kullanılmaya başlamasıyla eksikliği fark edildi,hatta günümüzde SOC 2.0 kavramları üzerinde konuşuluyor. Güvenlik görevlileri,bekçiler,bekçi köpekleri,devriyeler ve güvenlik kameralarıyla 7x24 fiziksel güvenlik tesis etme gayretindeki işletmelerde BT ve bilgi güvenliği anlayışı arttıkça ve olgunlaştıkça,aynı gayreti ve ciddiyeti bilişim teknolojileri altyapılarında gösterme ihtiyacı hissedildi. Üniversiteler,bankalar,askeri kurumlar gibi öğrencisinin,personelinin,müşterisinin kişisel ve/veya finansal verisinin gizli olduğunu ve korunması gerektiğini düşünenler,bilişim teknolojileri kullanılarak yürütülen suçların da günden güne şiddetini artırarak çoğaldığını farkedenler bu yapıları yıllar önce kurup işletme gayretine girdiler. Bazıları ise "bunun için para lazım,personel lazım,oda lazım bina lazım" gibi bahaneler arkasına saklanarak 7x24 yerine 5x8 güvenlik anlayışını tercih etti. Ne de olsa kritik alarmlardan cep telefonlarına gönderilen mesajlar ya da mailboxlarına düşen e-postalarla haberdar oluyorlardı. Hoş,çoğu işletme mesai saatleri içinde dahi güvenlik operasyonu yürütecek kabiliyette değil.

Sızma Testi Nasıl Yapılmaz?

Sızma Testi (Penetration Test) nasıl yapılır,hangi araçlar kullanılabilir,kimler sızma testi yapabilir bunları her yerde okursunuz. Bu yazıda komik duruma düşmemeniz için sızma testi sırasında yapmamanız gerekenlerden bazılarını listeleyeceğim.Eksik olduğunu düşündüğünüz maddeler varsa yorum olarak ekleyebilirsiniz.

• Kapsam dışına çıkmayın,test kapsamında olmayan tek bir ip adresine tek bir paket bile göndermeyin.
• Servis ve hizmet kesintisine sebep olmayın. Yapılmaya çalışılan işin adı üstünde sızma,farkettirmeden bir takım sistemlere,bilgilere erişme testi, servis kesintisine neden olma, cihaz yamultma testi değil. Bu nedenle bence sızma testi sırasında ortaya çıkan kesintiler testin ve firmanın başarısız olduğunu göstermeye yeter.
• Müşterinin belirlediği kapsamda yapılacak test için testi bitiremeyeceğiniz süreler taahhüt etmeyin. Belirteceğiniz süre çok kısa ya da çok uzun olursa çoğu zaman işi alamazsınız bile. Kendinizi tanıtırken "Dünyaca tanınmış hacker" gibi komik ifadelerden kaçının.
• Sadece hazır araçların raporlarını sızma testi raporu diye sunmayın.
• Özellikle otomatik tarama bulgularını doğrulamadan raporlarınıza yazmayın.
• Yeni bir rapor hazırlamaya üşenip önceki raporlardan birini değiştirip kullanacaksanız, değiştirdiğiniz eski raporda eski müşterinize ait bilgi bırakmayın.
• X işletim sistemi ya da ürünü için geliştirilen istismar araç ya da yöntemini Y işletim sistemine ya da ürününe karşı kullanmayın. Windows işletim sisteminde "passwd" dosyası aramayın mesela.

Windows Performans Ölçütlerinin SQL Veritabanına Yazdırılması Konusunda Anlatılmayanlar

Windows işletim sistemlerinin uzun zamandır performans verilerini SQL veritabanına yazabildiğini bilmeyen yoktur sanırım ve uygulaması çok kolay görünür, ama kullanan sayısı da çok azdır. Bu yazıda sadece domain ortamındaki sunucularınızın performans verilerini bir başka - tercihen merkezi - veritabanı sunucusuna yazdırırken dikkat etmeniz gereken - her zaman olduğu gibi heryerde bulamayacağınız türde -noktalardan bahsedeceğim.Saatlerinizi ortaya çıkacak sorunlarla geçirmek istemiyorsanız dikkatli okuyun.

Ekran görüntülerini kullandığım ve performans ölçütlerini (metrik) toplayacağımız kaynak sunucu Windows 2008 Enterprise Edition, verileri yazacağımız veritabanı sunucusu ise aynı domainde SQL Server 2008 çalıştıran ayrı bir sunucu.