tag:blogger.com,1999:blog-18699870424546841462024-03-19T10:34:32.915+03:00SekürüUnknownnoreply@blogger.comBlogger82125tag:blogger.com,1999:blog-1869987042454684146.post-70195915848732003922022-12-25T16:55:00.038+03:002022-12-25T20:29:09.644+03:002023 Çok güzel bir yıl olacak<table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: left;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjUHxMVjTNuhT9_KNNdmytEvwB7i5Jn_19zvQFiKBZqp8JjRUJbVHWnit7o2lkJU5weFgj_HtwrnkQHtueRZfjiRPCFcCI0YnKM4Zgd0nq7ItEQbKS2wJeyBhvODnbWbGK6mOZfnEbQb-qNWl7YXGAJKAdVDuf79TtW2NKDv-0L0RSheLVGLCLJzIFBLA/s682/yandas.png" style="clear: left; margin-bottom: 1em; margin-left: auto; margin-right: auto;"><img border="0" data-original-height="523" data-original-width="682" height="153" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjUHxMVjTNuhT9_KNNdmytEvwB7i5Jn_19zvQFiKBZqp8JjRUJbVHWnit7o2lkJU5weFgj_HtwrnkQHtueRZfjiRPCFcCI0YnKM4Zgd0nq7ItEQbKS2wJeyBhvODnbWbGK6mOZfnEbQb-qNWl7YXGAJKAdVDuf79TtW2NKDv-0L0RSheLVGLCLJzIFBLA/w200-h153/yandas.png" width="200" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;"><span style="font-size: xx-small;"><b>Mevcut iktidar döneminde yıldızı parlayan<br />liyakatsiz yönetici/girişimci modeli.</b></span></td></tr></tbody></table>Memleketten ayrıldığımdan beri bloğa yazmamışım, buna rağmen eski yazılar hatırı sayılır miktarda ziyaretçi almaya devam etmiş. Kıymetli zamanını yazılarımı okuyarak geçirenlere teşekkür etmeli miyim? Aslında teşekkür edecek bir durum yok, bloğun bana bir getirisi yok çünkü. İşinize yarayacak ufkunuzu genişletecek bir şeyler öğrendiyseniz yazılar için harcadığım zamanın boşa harcanmadığına sevinebilirim ancak.<div><br /><div>Bu blog yazısı biraz samimi ve sert olacak. Herkesin bildiği üzere son 20 yıldır ülkede ılımlı bir otoriter rejim mevcut. Özgürlük az da olsa var yok değil, ama daha çok suç makinelerine ve çetelere var. BT sektörü için değerlendirme yapmak gerekirse son 5,10 yıl içinde-çok özel nedenleri olanlar hariç- ülkedeki kalifiye iş gücünün büyük çoğunluğu başka ülkelere gitmek zorunda bırakıldı. Üreten geliştiren insanların terketmesi, bir ülkeye yapılabilecek en büyük kötülüklerden biri... Gitme olanağı olmayanlar veya gitmeyi tercih etmeyenler ise çoğunlukla bilgisiz,tecrübesiz,siyasi torpil olmasa bulundukları makamı ancak rüyalarında görebilecek vasıfsız yöneticilere bağlı olarak ve korkudan seslerini çıkartamayarak - beni daha fazla şaşırtan ise ülkeyi bu sebeplerle terketmiş olduğunu bildiğim sektör çalışanlarının hala aynı korkunun esiri olmaları -kariyerini devam ettiriyor. Ekseriyetle sakallı ya da badem bıyıklı,ekose takım elbiseli ve yelekli bu yeni tip yöneticileri farketmek pek zor değil.</div><div><br /></div>
<a name='more'></a></div><div><br /></div><div>İfşa olan kişisel veriler, sızılan ve ele geçirilen kurum altyapıları, servis kalitesindeki düşüş, saatler boyu ve hatta günlerce hizmet veremeyen bankacılık ya da GSM servisleri ise yaşanan beyin göçünün en bariz sonuçları. Ulusal güvenlik penceresinden bakacak olursak durum daha da vahim. Liyakat esasına değil de siyasi parti ya da tarikat bağlantıları gözetilerek ülkenin kritik güvenlik altyapılarında ya da kurumlarında görevlendirilen personel, akla 5-6 yıl öncesine kadar güvenlik konusunda otorite kabul edilen hatta röportaj ve youtube yayını yapabilmek için peşlerinde koşulan ancak şimdilerde kaçak hayatı yaşayan tarikat müritlerini akla getiriyor. Bu sene gerçekleşecek olası iktidar değişikliğinden sonra ister istemez bu defa kimler ceplerinde gizli/çok gizli bilgilerle ülkeden kaçacak diye düşünüyorum.</div><div><br /></div><div>Ancak yazının başlığında belirttiğim gibi 2023'ün güzel bir yıl olacağına inanıyorum. Acı olan, halkın bir avuç müteahite ve siyasi partiliye akıtılan kamu kaynaklarına tepki göstermeyip açlıkla ve hayat pahalılığıyla terbiye edilmiş olması. Gelecek yeni iktidarın önünde 20 yıldır eğitim sistemi ve politikaları yoluyla cahil bırakılan bir ulusun eğitilmesi, adaletin tesis edilmesi, hukuk kurallarının uygulanması, en önemlisi de kamu kadrolarındaki yozlaşmanın ortadan kaldırılması gibi zorlu görevler olacak. Ülke dışına gitmeye zorlanan on binlerce nitelikli insanın çoğu muhtemelen kısa-orta vadede geri dönmeyecek. Kesin olan bir şey varsa, tamamının ülkedeki iyiye gidişi hafif bir tebessümle takip etmeye devam edeceği. </div><div><br /></div><div>2023'de daha özgür,daha adil,daha güvenli,daha medeni,daha eşit bir Türkiye'de buluşmak üzere,herkese iyi seneler...</div><div><br /></div><div><span style="font-size: x-small;"><i>Fotoğraf hakkında not: Bu yazıyla uyumlu bir fotoğraf ararken, bir zamanlar yolumun da kesiştiği ve sahip olmadığı sertifikaların reklamıyla sektörde güvenlik hizmetleri sunduğunu bildiğim bir şahsın tam da istediğim gibi bir fotoğrafına rastladım. Şimdilerde -israil bağlantısı olduğunu da bildiğim- bu şahsın siyasi parti ilişkileri sayesinde bir çok ak teşkilatla ve kamu kurumuyla ortak iş yaptığını görünce ülkede güvenlik sektörünün içinde bulunduğu duruma daha da üzüldüm. Herneyse, bu fotoğraf da vermek istediğim - vasıfsız ama ekose ceketli, ağzından dini söylemleri eksik etmeyen ama aynı zamanda dinen yasaklı ne kadar halt varsa yiyen, kendisine akıtılan kamu kaynaklarını pahalı giyim kuşam ve aksesuarlara harcamayı seven - zamanın yöneticisi ve genç iş adamı modelini yansıtıyor.</i></span></div>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-1869987042454684146.post-63627596314687747242015-01-10T20:02:00.000+02:002015-01-10T23:07:10.673+02:00Her ak sakallı dede,her uzun ve karışık parola da yeterince güvenli değil - Karışıklığın sıralaması<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjIJoXhaGL_OXLYfY6B5K7QGLzAjqAz4KOaUemxpgkuoJdZwr8GsQVHPMhGn71DcPOIb_1AZ0_mNf-KCcm_63Cf54FbEsaxIS4FynVIGxZFl0pY-131JJSX6vb0KEic4d-zpb6dfHtk5cNa/s1600/password-security.png" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjIJoXhaGL_OXLYfY6B5K7QGLzAjqAz4KOaUemxpgkuoJdZwr8GsQVHPMhGn71DcPOIb_1AZ0_mNf-KCcm_63Cf54FbEsaxIS4FynVIGxZFl0pY-131JJSX6vb0KEic4d-zpb6dfHtk5cNa/s1600/password-security.png" height="200" width="200" /></a></div>
Excel'den oldum olası nefret ederim. Excel'e bu kadar bel bağlayan,Excel olmasa ne yapacağını, işlerini-projelerini nasıl yürüteceğini şaşıran organizasyonlar/kişiler gördükçe de bir o kadar üzülürüm.Bu yazıyı yazmamın nedeni etrafımda işini Excel,Word gibi ofis dokümanları üzerinden yürüten inanılmaz sayıda insanın olması, "karışıklığın sıralaması"ile kastettiğimin de yazının sonlarına doğru anlaşılmasını umuyorum. Bu olmazsa olmaz ofis uygulaması bu derece kritik olunca, ister istemez önemli ve gizli bilgiler de bu dokümanlarda saklanıyor ve Ofis'in parola/şifreleme mekanizması ile korunuyor. Ofis 2003 ve öncesi sürümleri ile parola koruması konan dokümanların parolaları kolaylıkla bulunabilecek küçük araçlarla saniyeler içinde öğrenilebiliyordu. 2007 ve sonraki versiyonlarda ise Microsoft ofis dokümanlarındaki şifreleme algoritmasını AES kullanacak şekilde değiştirdi. Bu konuda detaya girmeyeceğim, detaylı bilgi için <a href="http://www.google.fr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=6&cad=rja&uact=8&ved=0CEkQFjAF&url=http%3A%2F%2Fdownload.microsoft.com%2Fdownload%2F6%2F7%2Ff%2F67f1ff44-f1c9-4fae-a451-4e803f7b727e%2F2007_Office_DocEncryption.docx&ei=QjedVPnCEJCtaa-rgpAO&usg=AFQjCNHj_BnOYsWEShpnq1sQQ02saHXY9w&bvm=bv.82001339,d.d2s">2007 Microsoft Office System Document Encryption</a> isimli belgeyi okuyabilirsiniz. AES oldukça kuvvetli bir algoritma ve bu algoritmayla şifrelenen bir ofis dokümanının parolasını tespit etmek çok çok çok çok zor,ama brute force saldırı yöntemiyle bir şans var. Artık hepimizin bildiği gibi parola ne kadar uzun ve karmaşık olursa, ele geçirilmesi ve tespit edilmesi o kadar zorlaşıyor, daha doğrusu uzun zaman alıyor. Saldırı için kullanılan donanımın özelliklerine bağlı olarak bu süre günler hatta yıllar mertebesine kadar uzayabiliyor.<br />
<br />
<a name='more'></a><br />
Donanım özelliklerinden sonra bu sürenin ne kadar uzayabileceğini belirleyen ikinci önemli kriter ise parolanın karmaşıklığı.Benim dikkat çekmek istediğim nokta ise parolayı oluşturan karakterlerin sıralamasının ve yerinin önemi. Deneme sürümü de olsa herhangi bir bruteforce aracını edinip kurcaladıysanız (Rus Elcomsoft firmasının Advanced Office Password Recovery ürünü en popüler olanlardan) size basit birkaç opsiyon sunduğunu görürsünüz; başlangıç karakter sayısı,bitiş karakter sayısı,hangi karakter kümelerinin kullanılacağı (alfabetik,numerik,özel karakter vb). Örnek olarak vermek gerekirse elinizde parola korumalı bir dosya varsa ve bahsettiğim türde bir bruteforce aracı kullanarak bu parolayı öğrenmeye çalışıyorsanız, başlangıç karakter sayısını 4-5, bitiş karakter sayısını 8 vererek başlayabilirsiniz.Saldırıda kullanılacak karakter kümesi olarak da küçük büyük harf+numerik karakterler kullanmak başlangıç için iyi olacaktır.Artık kimse 3-4 karakter uzunluğunda parola kullanmıyor emin olabilirsiniz,!+% gibi özel karakter kullanan da çok nadir :). Neyse konumuza dönelim saldırıda kullanılacak parolaların üretileceği başlangıç ve bitiş sayısını belirledikten sonra araç alfabenin ilk harfinden başlayarak ürettiği kelimelerin -yada muhtemel parolaların - dosyayı açıp açamadığını test eder . Aşağıda AOPR aracının debug logundan aldığım bir kaç satırı görebilirsiniz. Bu debug log kayıtları, Excel 2013 ile hazırladığım parola korumalı bir test dokümanına ekran görüntüsündeki ayarlarla ( 8 karakter uzunluğunda, büyük-küçük harf ve rakamlardan üretilecek parolalar), bruteforce saldırısı uyguladığımda oluşan kayıtlar.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgNmzBLHbyQUdr4mLIuNukDiikkrxMBEcf0soBLD_NcjYATv4eXGs-zokrRLC_ReAmkwlgp135vvduN_mQOjQisNvrqN4YCrnl1JJDpNr4bLYcxRiJ718sjSdL0kEM8yDbjvvBPVouKruAi/s1600/aopr.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgNmzBLHbyQUdr4mLIuNukDiikkrxMBEcf0soBLD_NcjYATv4eXGs-zokrRLC_ReAmkwlgp135vvduN_mQOjQisNvrqN4YCrnl1JJDpNr4bLYcxRiJ718sjSdL0kEM8yDbjvvBPVouKruAi/s1600/aopr.png" height="248" width="320" /></a></div>
<br />
<br />
esprBruteForce() call: Start password: AAAAAAAA, 32 passwords<br />
<br />
esprBruteForce() call: Start password: AAAAAAAg, 32 passwords<br />
<br />
esprBruteForce() call: Start password: AAAAAABC, 32 passwords<br />
<br />
esprBruteForce() call: Start password: AAAAAABi, 49152 passwords<br />
<br />
esprBruteForce() results: End password: AAAAAABB, speed 37 passwords/sec, return: 8<br />
<br />
esprBruteForce() call: Start password: AAAAAMyU, 32 passwords<br />
<br />
esprBruteForce() results: End password: AAAAAAAf, speed 35 passwords/sec, return: 8<br />
<br />
esprBruteForce() call: Start password: AAAAAMy0, 32 passwords<br />
<br />
esprBruteForce() results: End password: AAAAAABh, speed 35 passwords/sec, return: 8<br />
<br />
esprBruteForce() call: Start password: AAAAAMzW, 32 passwords<br />
<br />
esprBruteForce() results: End password: AAAAAMzV, speed 38 passwords/sec, return: 8<br />
<br />
esprBruteForce() call: Start password: AAAAAMz2, 32 passwords<br />
<br />
esprBruteForce() results: End password: AAAAAMyz, speed 37 passwords/sec, return: 8<br />
<br />
esprBruteForce() call: Start password: AAAAAM0Y, 32 passwords<br />
<br />
esprBruteForce() results: End password: AAAAAMz1, speed 38 passwords/sec, return: 8<br />
<br />
esprBruteForce() call: Start password: AAAAAM04, 32 passwords<br />
<br />
esprBruteForce() results: End password: AAAAAM0X, speed 33 passwords/sec, return: 8<br />
<br />
esprBruteForce() call: Start password: AAAAAM1a, 32 passwords<br />
<br />
esprBruteForce() results: End password: AAAAAM03, speed 33 passwords/sec, return: 8<br />
<br />
esprBruteForce() call: Start password: AAAAAM16, 32 passwords<br />
<br />
esprBruteForce() results: End password: AAAAAM1Z, speed 33 passwords/sec, return: 8<br />
<br />
esprBruteForce() call: Start password: AAAAAM2c, 32 passwords<br />
<br />
esprBruteForce() results: End password: AAAAAM2b, speed 42 passwords/sec, return: 8<br />
<br />
esprBruteForce() call: Start password: AAAAAM28, 32 passwords<br />
<br />
esprBruteForce() results: End password: AAAAAM15, speed 41 passwords/sec, return: 8<br />
<br />
esprBruteForce() call: Start password: AAAAAM3e, 32 passwords<br />
<br />
esprBruteForce() results: End password: AAAAAM27, speed 41 passwords/sec, return: 8<br />
<br />
esprBruteForce() call: Start password: AAAAAM4A, 32 passwords<br />
<br />
esprBruteForce() results: End password: AAAAAM3d, speed 40 passwords/sec, return: 8<br />
<br />
esprBruteForce() call: Start password: AAAAAM4g, 32 passwords<br />
<br />
esprBruteForce() results: End password: AAAAAM4f, speed 40 passwords/sec, return: 8<br />
<br />
esprBruteForce() call: Start password: AAAAAM5C, 32 passwords<br />
<br />
esprBruteForce() results: End password: AAAAAM39, speed 40 passwords/sec, return: 8<br />
<br />
esprBruteForce() call: Start password: AAAAAM5i, 32 passwords<br />
<br />
esprBruteForce() results: End password: AAAAAM5B, speed 40 passwords/sec, return: 8<br />
<br />
esprBruteForce() call: Start password: AAAAAM6E, 32 passwords<br />
<br />
esprBruteForce() results: End password: AAAAAM5h, speed 40 passwords/sec, return: 8<br />
<br />
Anlatmak istediğim şu kardeşlerim, her nekadar saldırıda izlenecek yöntem yada algoritma ufak tefek farklılıklar gösterse de, saldırıda test edilecek parolalar belli bir sıraya göre üretilmek durumunda, aksi halde gelişigüzel (random) parolalarla bu tip bir saldırı asla başarılı olamaz. AOPR örneğinde ise, yukardaki kayıtlardan görülebileceği gibi, saldırı AAAAAAAA karakter dizisi, diğer bir deyişle test parolası ile başlıyor. Ve aşağıdakine benzer bir sıra ile devam ediyor<br />
<br />
AAAAAAAA<br />
AAAAAAAB<br />
AAAAAAAC<br />
......................<br />
......................<br />
......................<br />
AAAAAAAZ<br />
AAAAAAAa<br />
AAAAAAAb<br />
AAAAAAAc<br />
......................<br />
......................<br />
......................<br />
AAAAAAAz<br />
AAAAAAA0<br />
AAAAAAA1<br />
......................<br />
......................<br />
AAAAAAA9<br />
AAAAAABA<br />
AAAAAABB<br />
AAAAAABC<br />
......................<br />
......................<br />
......................<br />
AAAAAABZ<br />
AAAAAABa<br />
AAAAAABb<br />
AAAAAABc<br />
......................<br />
......................<br />
......................<br />
AAAAAABz<br />
AAAAAAB0<br />
AAAAAAB1<br />
......................<br />
......................<br />
AAAAAAB9<br />
<br />
Yukarıdaki dizilerden de kolaylıkla anlayabileceğiniz gibi Ofis dokümanlarınızı korumada kullandığınız parolanız -her ne kadar 8 karakterden oluşuyor olsa da- AAAAAAB0 gibi bir parola ise klasik bir son kullanıcı bilgisayarında bruteforce saldırısı ile birkaç dakika içinde tespit edilebilir. Parolanız MAAAAAB0 (Sadece ilk harfin farklı) ise bu süre belki bir kaç gün uzayacaktır.<br />
<br />
Ya da <b>aB9KoOy3Er</b> gibi karışık görünen bir parolanın tespit edilme süresi ile <b>tB9KoOy3Er</b> parolasının tespit edilme süresi arasında yine günlerce yada haftalarca fark olacaktır. Tabi her yiğidin yoğurt yeme şekli farklı olabileceğinden bir başka bruteforce saldırı aracı test parolalarını üretmeye alfabenin son harfinden de başlayabilir. Tamamen aracı yazan kişinin fantazi şinaz kişiliği ile açıklanabilecek bir durum,pek karşılaşmadım ama olur mu olur :D . Birkaç paragraf önce yazdığım gibi parolaların alfabenin başından mı yoksa sonundan mı başlayarak üretileceğini kestiremeyebiliriz ama kesin olan bir şey var, parolalar belirli bir sıraya göre üretilecek, en azından kafası biraz çalışan her uygulama geliştiricinin takip edeceği yöntem budur.<br />
<br />
Yukarıda anlatmaya çalıştığım nedenlerle uzun sözün kısası, genel olarak bruteforce saldırısına maruz kalabilecek hesaplarınız (web uygulaları vb) ve de özellikle ofis dökümanları gibi dökümanlar için parola belirlerken parolanın sadece uzun ve karışık olması yanılgısına düşmeyin. Mümkün olduğunca parolalarınızda alfabenin (küçük ya da büyük) ortası ve sonrasındaki harflerini (benzer şekilde rakamları da) kullanarak üretmeye gayret gösterin (NoPro9l@m gibi). Bruteforce saldırılarına karşı yüzde yüz koruma sağlayamayabilirsiniz ama en azından saldırganın başarı süresini hatırı sayılır miktarda uzatmış belki de yıldırmış olursunuz.<br />
<br />
Fikir vermesi açısından aşağıda parola güvenliğine vurgu yapan birkaç site paylaşıyorum,www.passwordday.org sitesindeki parola avlama oyununu mutlaka oynayın :) aşağıdaki iki cümle de yine bu siteden alınma<br />
<br />
"<span style="background-color: white; color: #4d4d4d; font-family: IntelClearRegular; font-size: 14px; line-height: 20px;">You should change your important passwords as often as you change the oil in your car. Upgrading your password takes five minutes and can save you hours of trouble down the line."</span><br />
<br />
https://www.passwordday.org<br />
https://howsecureismypassword.net/<br />
http://calc.opensecurityresearch.com/<br />
<br />
Eğer unutmazsam bir başka yazıda, dökümanları şifrelerken ya da çeşitli uygulamalara/sitelere kayıt olurken kullandığım parolaları üretmede takip ettiğim yöntemlerden bahsetmeye çalışacağım.Unknownnoreply@blogger.com2tag:blogger.com,1999:blog-1869987042454684146.post-2167743881955142302013-09-24T22:23:00.001+03:002014-06-23T23:22:51.164+03:00Türkiye'deki hacktivist gruplar üzerine<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiTma4VyJPXzMCMzwG8AXy95QfpAz4JI6HiPOIc6A2uth4rruRSxnDmbYMrNdTygUudhodRhyphenhyphenO0UbFVw0i5SXxz5Pq4233IGnSPcPT8Qh4UgbRS4aP976l2GflXiyFuDYCN8RzcG0HF3YrD/s1600/hacktivist-316x342.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiTma4VyJPXzMCMzwG8AXy95QfpAz4JI6HiPOIc6A2uth4rruRSxnDmbYMrNdTygUudhodRhyphenhyphenO0UbFVw0i5SXxz5Pq4233IGnSPcPT8Qh4UgbRS4aP976l2GflXiyFuDYCN8RzcG0HF3YrD/s200/hacktivist-316x342.jpg" height="200" width="184" /></a></div>
Bu yazıya uygun bir resim bulabilmek için çok uğraştım,en uygun resmin, dünyanın en büyük ve tanınmış hacktivist grubu Anonymous'u simgeleyen resim olabileceğini düşündüm. Tam yazıya ekleyecektim ki, memleketin hacktivist gruplarının Anonymous'a pek benzemediğini fark ederek bu fikirden vazgeçtim.<br />
Wikipedia'ya göre "Genel anlamda eylemcilik veya aktivizm, toplumsal değişme ya da politik değişiklik meydana getirmek için kasıtlı bir biçimde yapılan eylem olarak tanımlanabilir. Bu eylem çelişmeli tartışmalarda taraflardan birini desteklemek ya da muhalefet etmektir."<br />
Türkiye'de ise durum biraz farklı, aktivizm hemen herşey de olduğu gibi siyasi görüşlerle paralellik gösteriyor. Sosyalist'ler, Milliyetçiler, Atatürkçü'ler, Ülkücü'ler, Cemaatçi'lerin varlığı Cumhuriyet tarihi kadar eski. Bu kadarla da sınırlı değil, bir de bu ideolojilerin kombinasyonları var. Bilgisayar dünyasındaki hacktivist'ler de aktivist gruplarla benzerlik gösteriyor.Ben bu gruplardan popüler olanları birkaç kriter altında kıyaslamaya çalışacağım.<br />
<a name='more'></a><br />
<b>RedHack</b><br />
1997 yılında kurulduğunu iddia eden bu grup, bu yazının hazırlandığı tarih itibariyle en popüler olanı.İdeolojileri Marksizim ve Sosyalizm. Diğer hacktivist gruplarca bölücü terör örgütünü desteklemekle ve üyesi olmakla suçlanıyorlar. Daha çok,2012 yılındaki Ankara Emniyet Müdürlüğü'ne ait çok sayıda belge/ihbarı yayınladıktan sonra tanındılar ve kamuoyunda sempati kazandılar. Pek inandırıcı olmasa da,üyelerinin birbirini tanımadığını ve yurtdışında bulunduklarını iddia ediyorlar. Canlı yayın konuşmaları ve yazıları,diğer gruplara nazaran eğtim ve kültür seviyelerinin daha yüksek olduğunu gösteriyor.Hedefleri genellikle kamu web sitelerinden seçtiler. Diğer grupların aksine hedeflerini toplumsal olaylar,hükümetin ya da kamu kurumlarının yanlış uygulamaları ve söylemlerine uygun olarak belirliyorlar. Ego tatmini için sıkça kullanılan "giriş sayfası değiştirme" yerine, ele geçirdikleri verileri ifşa ederek sempatizan sayılarını artırma yolunu tercih ediyorlar. Anonymous ile zaman zaman işbirliği yapıyor, DDoS saldırılarında yardım alıyorlar. Halkı galeyana getirme konusunda başarılılar.<br />
<br />
<b>Ay Yıldız Tim</b><br />
2002 ylında kurulduğu söylenen grubun üyelerinin çoğunluklu olarak yurtdışında ikamet ettiği söyleniyor. Atatürkçü-milliyetçi olduklarını iddia etseler de, şuan ki hükümetin bölücü örgüte verdiği tavizleri görmezden gelmeleri ideolojilerinin devletçilik ve İslamcılıktan ibaret olduğunu gösteriyor. Yönetim kadrosundakilerin ve sözcülerinin canlı yayınlarda verdikleri demeçler, iki kelimeyi bir araya getirmekte zorlanan insanlar oldukları imajını çiziyor. Hele sözcülerinin "fesbuk ve server" demesi eminim birçok kişiyi gülümsetmiştir. En yaygın eylemleri, diplomatik sorun yaşanan devletlerin kamu kurumlarına ve özel şirketlerine ait web sitelerin giriş sayfalarını ideolojik görüşlerine uygun mesajlarla değiştirmek şeklinde. Son zamanlarda saati 50 dolara kiralanabilen botnetlerle yaptıklarını düşündüğüm DDoS saldırıları da gerçekleştirmeye başladılar. Skiddy demek de istemiyorum ama bilgisayar/bilişim güvenliği konusunda çok derin teknik bilgiye sahip olmadıkları,counter strike oynamaktan bu konulara çok kafa yormadıkları kolayca anlaşılıyor. Takipçi sayısı, kendileriyle uzaktan yakından alakası olmayan İş Bankası servis kesintisinden sonra bu kesintinin nedeni kendileri imiş gibi nemalanmalarıyla artış gösterdi. Askeriyede görmeye alışık olduğumuz bir hiyerarşileri var,üyeleri bilgi becerilerine göre rütbelendiriliyor ve farklı hedefi-becerileri olan küçük gruplarda faailyet gösteriyor. Moraliniz bozuksa twitterdaki mesajlarını okuyun, 1 tane ne üdüğü belli olmayan web sitesinin giriş sayfasını değiştirme haberini "Ermenistan Hacked" başlığıyla verirler,sanırsın bu site o ülkenin bel kemiği ya da bu ülkenin tüm web sitelerinin giriş sayfası değiştirildi, ülke www'den silindi :)<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgZQGRxiG4H8o657pk5pAgnFhyudgZswl8CRZSeBgMdWvRHVWoy2aOtzHRb8i0tJSnddym184vFMnIjF9BVxecw9GEir9zu3aZSthn2kTC4GY6MRqeKaqW3luWV8E36wxLsBwNpT6iZDwJC/s1600/ay.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgZQGRxiG4H8o657pk5pAgnFhyudgZswl8CRZSeBgMdWvRHVWoy2aOtzHRb8i0tJSnddym184vFMnIjF9BVxecw9GEir9zu3aZSthn2kTC4GY6MRqeKaqW3luWV8E36wxLsBwNpT6iZDwJC/s320/ay.png" height="66" width="320" /></a></div>
<br />
<b>Cyber Warrior</b><br />
Şüphesiz memleketin en komik topluluklarından bir tanesi (<a href="http://www.youtube.com/watch?v=N5MG4dCjGnU">bkz</a>). Web sitelerinde back track (yeni adıyla kali) toollarının kullanımını birbirlerine öğretmeye çalışıyorlar.Askerlerimizin başına çuval geçirilmesi hadisesinden sonra amerikan menşeeli web sitelerine yaptıkları spray saldırılarla isimlerini duyurdular.Ne zaman kuruldukları hakkında bilgi yok,ASP tabanlı web sitelerinin en altındaki akıllara zarar ibare ("Cyber-Warrior TIM All Legal and illegal Rights Reserved") kanuni ve kanuna aykırı bir takım haklarının saklı :))) ve 2001 yıllarına dayanan geçmişleri olduğunu gösteriyor. İdeolojileri yok, anlamakta ve anlatmakta zorlandıkları bir misyonları var. İnanç ve ahlaki değerlerine saldırı yapan herkesi düşman olarak görüyorlar. Hemen her grupta olduğu gibi bu grupta da eskiden çok iyi hackerlar olduğu iddia edilmiş. Yazının yayınlandığı tarih itibariyle takipçi sayısı 3000 civarında. Güvenlik literatüründeki "Script Kiddie" tanımı için gösterilebilecek en iyi örnek desem yalan olmaz. Forumlarındaki birkaç başlığı ve bu başlıklardaki yorumları okuyunca,bu çocukların nasıl bir hayal dünyasında yaşadıklarını görünce ister istemez üzülüyorsunuz. Teknik ve entellektüel birikim seviyesi düşük.Hazırladıkları videoların hakkını vermek gerek, resim ve video düzenleme konusunda önleri daha açık.<br />
<br />
<b>Siber Ergenekon Tim</b><br />
Yakın zamanda kurulmuş oluşumlardan birtanesi. CW kadar olmasa da kurucularından biri olduğunu iddia eden delikanlının hazırladığı ekran görüntüsü videoları eğlenceli,arka planda türküler,ankara havaları çalıyor. Tekno/rap müzikli yabancı özentisi videolardan iyi bence. Bende antipati oluşturan "Team ya da TİM" uzantılı diğer gruplar gibi vakit ve enerjilerini Video düzenlemeden, alevlerin harflerin logoların havalarda uçuştuğu videolar hazırlamaktan ziyade biraz programlama/betik dillerini öğrenmede kullanırlarsa kendileri için daha faydalı olur. Aksi halde afişe olmuş açıklarla Facebook / Twitter hesaplarını ele geçirmekten öte yol alamazlar. Bu grubun popülaritesi Alper Terzioğlu takma ismini kullanan iktidar yalakası,Türklük düşmanı,şeref yoksunu ve dingilin önde gideni sapığın facebook hesabını ele geçirmeleriyle arttı. Kendileri gibi iktidar karşıtı olmalarına rağmen,aynı zamanda bölücü örgüt sempatizanı olan diğer örgütleri tam anlamıyla desteklemeye içi elvermeyen, kendine yediremeyen insanlar bu grubun ortaya çıkmasıyla eksikliğini duydukları Milliyetçi,Atatürkçü aynı zamanda ve en önemlisi Vatansever hacktivist bir gruba kavuşmuş oldular. Milliyetçi olduğunu iddia ederken dini değerleri ayaklar altına alan siyasi partilerin eylemlerine ve söylemlerine itirazı olmayan diğer grupların aksine Siber Ergenekon Tim bu tip eylem ve söylemlere de tepki gösterebilmekte. Grubun an itibariyle 4200 twitter takipçisi var. Teknik ve entellektüel bilgi birikim seviyesi düşük.<br />
Düzenleme (23 Haziran 2014) Grup dün Alper Terzioğlu takma isimli soysuzun ve şimdiye kadar hakkında güzel tek bir çift laf edeni duymadığım ve ismi lazım olmayan bir büyükşehir belediye başkanının twitter hesabını ele geçirerek adından söz ettirmiştir.<br />
<br />
<b>Anonymous Turkey</b><br />
Anonymous oluşumu dünya çapında tanındıktan,destek bulduktan sonra hemen her ülkede düzene karşı sesini yükseltmek isteyen hacktivistler bu isim altında,şube zihniyetiyle çeşitli gruplar oluşturdular. Anonymous Turkey de bunlardan biri. Bu grubu ideolojik kalıplara sokmak biraz zor,biraz özgürlükçü,biraz Atatürk'çü,biraz milliyetçi,biraz sosyalist,biraz devletçi,biraz savaş karşıtı...hepsinden biraz biraz. Zaman zaman twitterda yayınladıkları mesajlarda ve eylemlerinde çelişkiler bulunuyor. Anonymous ismini kullanıyorlar ama Türk kamu sitelerine yapılan saldırılar gibi bazı operasyonlara dahil olmuyorlar. Yazının yayınlandığı tarih itibariyle twitterdaki en popüler 3 yerli hacktivist grubundan biri. Belirgin,hafızalara kazınmış eylemleri yok. Zaman zaman kamu sitelerini hedef alabiliyorlar.<br />
<br />
Yazılanlar,konuşulanlar,anlatılanlar ışığında benim gözlemlerim böyle. Aynı fikirde olmayabilirsiniz, saygı çerçevesinden çıkmayan yorumlarınızı her zaman yayınlarım sıkıntı yapmayın.<br />
Güzel bir deyim vardır "at izi it izine karıştı", yukarıdaki grupların inançları,ideolojileri, söyledikleri ile yaptıkları bazen o kadar tutarsız oluyor ki insanlar kime inanacağını,güveneceğini şaşırıyor. Türk bayrağını logolarından,profil resimlerinden eksik etmeyenlerin sadece Cemaatçi ve Cumhuriyet karşıtı lamerler olduğu gerçeğini göremiyorlar kimi zaman.Ya da inandıkları grupların iki kelimeyi bir araya getirmekte zorlanan,neye inandığını kendisi dahi bilmeyen ergenlerden oluştuğunu fark edemiyorlar. Yukarıdaki grupların çoğu hazır portal paketleriyle site işletiyor, çoğu da genele açık. Biraz zaman ayırın açın bakın,konuları yorumları okuyun,youtube'daki videoları izleyin,siz de şaşıracaksınız.<br />
<br />Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-1869987042454684146.post-82211663350371870242013-08-31T12:34:00.002+03:002013-08-31T12:34:39.104+03:00AraUzun zamandır bloğa birşeyler yazamadım,yakın zamana kadar da yazamayacağım gibi görünüyor. Ayrıntılı yazmak istediğim konu başlıklarını bile belirlemiştim halbuki.<br />
Ama siz yine de ara ara kontrol edin,yeni birşeyler olabilir :)Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-1869987042454684146.post-64010856420381485902013-05-16T21:30:00.000+03:002013-05-29T17:09:54.044+03:00Yeni Nesil Bilgisayar Zararlılarıyla Mücadelede Windows Firewall'dan Yararlanma - Nass oluyor da oluyor?<style type="text/css">
.tab-content {
border: 1px solid #ffffff;
background: white; /*#FFF3B3;*/
color: black;
padding: 0.5em;
}
.tab-header {
position: relative;
height: 3em;
width: 50em; /* a width is required for Opera, older Mozilla browsers, and Konqueror browsers */
margin-bottom: 0px;
padding-bottom: 0px;
}
.tab-header ul.tab-list {
margin: 0;
padding: 0;
position: absolute;
bottom: -1px;
width: 50em; /* a width is required for Opera, older Mozilla browsers, and Konqueror browsers */
}
.tab-header ul.tab-list li {
display: inline;
list-style: none;
margin: 0;
}
.tab-header ul.tab-list a,.tab-header ul.tab-list span,.tab-header ul.tab-list a.tab-active {
width: 8em;
display: block;
float: left;
padding: 4px 0;
margin: 1px 2px 0 0;
text-align: center;
font-family: tahoma, verdana, sans-serif;
font-size: 85%;
text-decoration: none;
color: #333;
}
.tab-header ul.tab-list span,.tab-header ul.tab-list a.tab-active,.tab-header ul.tab-list a.tab-active:hover {
border-top: 1px solid #666;
border-left: 1px solid #666;
border-right: 1px solid #666;
border-bottom: none;
background: #ffffff;
color: black;
padding-bottom: 6px;
margin-top: 0;
}
/* a link in a background tab */
.tab-header ul.tab-list a {
background: #ddd;
border-top: 1px solid #AAA;
border-left: 1px solid #AAA;
border-right: 1px solid #AAA;
border-bottom: none;
}
/* hover on a background tab */
.tab-header ul.tab-list a:hover {
margin-top: 0;
border-color: #666;
background: #bbb;
color: black;
padding-bottom: 5px;
}
.tab /* the heading that became the li */
{
display: none;
}
</style>
<br />
<div id="tab-container">
<div class="tab-content">
<h1 class="tab" title="title for page 1">
Türkçe</h1>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg9siUge0ZhlJDeQZ1fy-xoF6EP1XvUoxVWY4jveeGhaVNrb3JY4INPc1uJ84oOvAKSGrIWzKSmiw10Z1X7Ujt09qrsevpIxvrkTgMAOCkatjD01AxVuYtaDrPpHeMza72OtCGgfNW4iIsr/s1600/malware_use.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="156" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg9siUge0ZhlJDeQZ1fy-xoF6EP1XvUoxVWY4jveeGhaVNrb3JY4INPc1uJ84oOvAKSGrIWzKSmiw10Z1X7Ujt09qrsevpIxvrkTgMAOCkatjD01AxVuYtaDrPpHeMza72OtCGgfNW4iIsr/s200/malware_use.jpg" width="200" /></a></div>
Malware (Malicious Software),1970'li yıllardan bu yana varlıklarını sürdüren, bilgisayarınıza bilginiz dışında bulaşan,kurulan ve çalışan virus,solucan,truva atı,adware,bot gibi kötü amaçlı yazılımlar için kullanılan genel bir terim. Başlangıçta sadece zarar verme,bozma,eğlenme amacıyla hazırlanıp yayılan bu uygulamalar uzunca bir süredir fayda elde etme,çoğunlukla parasal çıkar sağlama dürtüleriyle yazılıyor ve çeşitli yollarla kullanıcı bilgisayarlarına bulaştırılıyor. Gelişen bilgisayar teknolojisiyle birlikte neredeyse her dilde ve platformada bilgisayar zararlısı yazmak mümkün. Ve yine bilgisayarın yaygın kullanımıyla birlikte,zararlı yazma yaşı sigara kullanma yaşı gibi düştü, 0 programlama diliyle bile bilgisayar zararlısı hazırlamak (google "virus creation kit"),isteğe bağlı zararlılar hazırlatabilirsiniz,siz yeter ki paradan haber verin.Bu yazıda zararlıların bilgisayarınıza bulaşmasını nasıl engelleyebileceğiniz anlatılmayacak,beklentiniz buysa daha fazla okuyup zaman kaybetmeyin.<br />
<a name='more'></a><br />
Mevzu çok derin olduğu için boğulmadan,kaybolmadan biraz da yeni nesil zararlılardan bahsederek yazının özüne dönmek istiyorum. Yeni nesil bilgisayar zararlıları da artık büyük yazılım projeleri gibi ekipler halinde-zaman zaman devlet desteği ile- modüler bir yapıda hazırlanıyor,değişiklik yönetimi gibi yazılım geliştirme yöntemleri kullanılıyor. Bilgisayarınızın etinden sütünden faydalanmak için ne gerekiyorsa yapılıyor (<a href="http://krebsonsecurity.com/2012/10/the-scrap-value-of-a-hacked-pc-revisited/">bakınız</a>), parolalarınız çalınıyor,lisanslı programlarınızın anahtarları kopyalanıyor,dokunduğunuz her tuşu kaydediyorlar,web cam'inizden izleniyorsunuz,bilgisayarınız başka bilgisayarlara saldırı yapmak için kullanılıyor,bunlardan hiçbiri yapılmadığında bile boş duran bilgisayarınız dijital dünyanın para birimini (bitcoin) üretmek için çalışıyor. Kendilerini güncelleyebiliyor,yamalayabiliyorlar. Anti-zararlı (antivirus,antitrojan vb) yazılımların zararlı ile mücadelede her geçen gün biraz daha geride kaldığını hepimiz farkediyoruz. Kullandığımız yazılımları güncel tutmak da yeterli olmuyor. Ne yaparsak yapalım zararlılar bir şekilde,bilgisayarımızda kurulu 10'larca uygulamanın herhangi birindeki ifşa olmamış (0day) açığı kullanarak bilgisayarlarımıza bulaşıyorlar. Her ne kadar fonksiyonalite farklılık gösterse de hemen hemen tüm zararlılar artık Komuta&Kontrol (C&C) merkezi denen sunuculardan gönderilen ya da edinilen emirler ile merkezi olarak yönetiliyor. Zararlı ve Komuta Merkezi arasındaki haberleşme ise genellikle,hemen her bilgisayarda dış dünyaya açık ve filtrelenmediği için, -kimi zaman sertifikalarla ya da şifreleme yöntemleri ile - http/https portu üzerinden sağlanıyor. Bir zamanlar iletişim için kullanılan IRC portları eskisi kadar rağbet görmüyor.<br />
<br />
Bu yazıda bizi ilgilendiren kısım da kurban ve saldırgan arasındaki bu iletişim,felsefemiz ise "<b>madem zararlının bilgisayarımıza bulaşmasının önüne geçemiyoruz ve anti-zararlı üreticileri mücadelede yeterince etkin ve hızlı değil,o halde ağlamak sızlanmak yerine saldırganın amacına ulaşmasını engelleyelim</b>". Bunu da yeni nesil zararlıların bilgisayarımızda ele geçirebileceği verilerinizi,bilgilerinizi saldırgana ulaştırmasını engelleyerek yapabiliriz. İhtiyacımız olan binlerce dolarlık ya da açık kaynak kodlu ürünler değil, elimizin altında,çoğumuzun adamdan saymadığı, ağız yüz buruşturduğu Windows Firewall'u sunucularda ve özellikle istemci bilgisayarlarda aktif kullanma cesareti.<br />
<br />
Windows Firewall (WF) Windows 7 ve Windows 2008'den bu yana "Windows Firewall with Advanced Security" ismiyle küçük bir evrim yaşadı ve inbound-outbound trafiği kontrol altına almak, komut satırından ve grup politikalarıyla yönetmek daha kolay bir hal aldı. Her ne kadar XP'den beri işletim sistemiyle kurulu halde gelse de -özellikle kurumlarda- aktif olarak kullanılmadı. Bunun en önemli nedeni de WF'in kolay sorun giderme yöntemleri sunmamış olması, kullanıcı bilgisayarlarında karşılaşılan sorunların büyük kısmının WF'den kaynaklanması (bkz <a href="http://umut-simsek.blogspot.com/2012/09/windows-2008-r2-firewall-derin-dalis-ve.html">Windows 2008 R2 Firewall Derin Dalış ve Sorun Giderme - Nass oluyor da oluyor?</a>). Öyle ki, artık "Check that windows firewall is off" gibi uyarı cümleleri çoğu uygulamanın sorun giderme ve kurulum klavuzlarının ilk sıralardaki yerini aldı, WF sorun yaşandığında kontrol edilen ilk şeylerden biri olmaya başladı. Sistem yöneticileri WF'a ince ayar yapmaktansa kökten kapatmayı tercih ettiler.WF'e olan inancını kaybetmeyenlerin çoğu ise "On" kutucuğunu seçmiş olmanın verdiği huzur ve rahatlıkla işlerine devam ettiler.<br />
<br />
Windows Firewall aktif hale getirilmiş ("On") olsa bile varsayılan (default) haliyle sadece dışarıdan içeriye (inbound) izin verilmemiş trafiği engeller. Yani bilgisayarınızdaki bir uygulama,servis,proses dış dünya ile x portundan iletişime geçmeyi talep etmedikçe, dış dünyadan gelen ve bilgisayarınızın x portunu hedef alan her paket engellenir. Statefull firewall en kötü haliyle bu şekilde tarif edilebilir :D Ama varsayılan ayarıyla WF içerden dışarıya (outbound) hiç bir erişimi engellemez. Bu da şu demek oluyor; bilgisayarınıza ya da kullanıcı bilgisayarına bulaşan her zararlı -network firewall,router,switch- engellemediği sürece dış dünya ( komuta&kontrol merkezi,saldırgan,DDoS hedefi vb) ile özgürce iletişim kurabilir. Bu nedenle WF kullanacak cesareti topladıysanız varsayılan bu ayarı değiştirin ve WF kurallarıyla izin verilmeyen her türlü trafiği/iletişimi engelleyin,bunu yapmadığınız sürece "Outbound Rules" başlığı altındaki <b>erişime izin veren</b> kuralların hiçbir önemi olmaz,siz engelleneceğini özellikle belirtmezseniz erişime zaten izin verilecektir. ( Resim 1)<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh0ktQ0uugRTHlc0lu5C6j-qPN9D6vkYUidkbD854tsENJZ8pEt7rI-VXT-t8rBiITEoEvptg_a9H8DB4eAugOL0XXJNcPJZpk6bxgI1bmDdLw_Om3W0XUmO9d1xSKQHb_AcYHZxJ84ZQqV/s1600/Default_Outbound_Connections_Block.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh0ktQ0uugRTHlc0lu5C6j-qPN9D6vkYUidkbD854tsENJZ8pEt7rI-VXT-t8rBiITEoEvptg_a9H8DB4eAugOL0XXJNcPJZpk6bxgI1bmDdLw_Om3W0XUmO9d1xSKQHb_AcYHZxJ84ZQqV/s320/Default_Outbound_Connections_Block.png" width="288" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<span style="font-size: x-small;"><i>Resim 1</i></span></div>
<div class="separator" style="clear: both; text-align: center;">
<span style="font-size: x-small;"><i><br /></i></span></div>
Tebrikler, artık tanımlı kurallarla izin verilenler hariç ( ön tanımlı kurallar Resim 2'de) dışarı doğru tüm erişimi engellediniz,web erişiminizi de :) ,bu yüzden tarayıcılarınızla gezinti yapamazsanız paniklemeyin. Proxy kullanıyorsanız proxy'nizin ilgili portuna, proxy kullanmıyorsanız 80,443 portlarından outbound erişime izin veren kurallar tanımlamalısınız. Bunu yaparken "Program" ismini belirtmek çok önemli. Program ismi belirtmezseniz Windows izin verdiğiniz port üzerinden her uygulamanın (ve olası her zararlının) erişimine izin verecektir. Tarayıcınız Internet Explorer ise Resim 3'deki gibi tanımlayacağınız bir kural 80 portuna sadece internet explorer'ın erişimine izin verecek,bilgisayarınıza bulaşması olası ya da bulaşmış zararlıların 80 portunu kullanarak komuta&kontrol merkezleriyle ya da saldırganlarla iletişim kurmasını,yeni saldırı komutları almasını ya da kişisel bilgilerinizin gönderilmesini engelleyecektir.Çünkü zararlılar dış dünyayla iletişim için TCP/IP stack'i gibi mimari bileşenleri,kütüphane ve fonksiyonları kullanır ama bilgisayarınızda kurulu ve kullanılan meşru uygulamaları <u>genellikle</u> kullanmazlar,en azından şimdilik. Dolayısıyla "iexplore.exe" sahte isimli bir zararlı veya zararlı bileşeni Görev Yöneticinizde dikkatinizi çekmeyebilir ama WF yukarıda tarif edildiği şekilde tanımlı bir kural ile zararlının önemli bir fonksiyonunu engellemiş olacaktır.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiytV-SccduswcHu9kk7n5GehdJdSAPadsE-N3A4zJ_kl5WfWdncFmFhVjUzlPsDWeUc2hBUA0_fo0J2bZAsQMgN4y0yF_R1HDk55Y2qIhNpyuzv2uw_ToUz7q62IhKcoSxZbk5Wb8geXhX/s1600/Default_Outbound_Connection_Rules.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="240" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiytV-SccduswcHu9kk7n5GehdJdSAPadsE-N3A4zJ_kl5WfWdncFmFhVjUzlPsDWeUc2hBUA0_fo0J2bZAsQMgN4y0yF_R1HDk55Y2qIhNpyuzv2uw_ToUz7q62IhKcoSxZbk5Wb8geXhX/s320/Default_Outbound_Connection_Rules.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;">Resim 2</span></i></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgRxPZX2CB7ubL3msMOhcY5DPEJW_BHuP5lCdi3thTT9RgO7AEU2SQ5jxcJxc9FDnw_bongWjT0kzETsTnIi1tsQLjsCDhDDrRqtcnl6g1c5c3zMsBzS_pKu_oq_t7JnhfVb08zzt6vs58_/s1600/Outbound_Firewall_Rule_IE_Only.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="130" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgRxPZX2CB7ubL3msMOhcY5DPEJW_BHuP5lCdi3thTT9RgO7AEU2SQ5jxcJxc9FDnw_bongWjT0kzETsTnIi1tsQLjsCDhDDrRqtcnl6g1c5c3zMsBzS_pKu_oq_t7JnhfVb08zzt6vs58_/s320/Outbound_Firewall_Rule_IE_Only.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;">Resim 3</span></i></div>
<br />
Zararlıların topladığı,ele geçirdiği verilerinizi merkezi depolama sunucularına göndermek için ftp gibi protokolleri de kullandığını aklınızdan çıkarmayın ve aynı hareketi bu ve benzeri protokoller için de tekrarlayın.Protokolü veya portu kullanacak programın ismini belirtmeyi unutmayın.Şunu da belirtmeden yazıyı sonlandırmamayım,chrome gibi bazı uygulamalar çalıştırılabilir dosyalarını (executable) "Program Files" gibi belirli bir klasör yerine, "UserProfile" ismiyle ifade edilen ve bilgisayarda oturum açmış kullanıcı hesabına ait dosya ve klasörlerin bulunduğu dizinlere ( C:\Users\user_name<username>\ şeklinde) kopyalayabiliyor. WF değişkenlik gösteren bu dizinlerin belirtilmesi için, Resim 4'deki gibi %USERPROFILE% çevre değişkeninin kullanılmasına izin verse de pratikte bu değişken kullanılarak tanımlanan uygulamaya izin vermiyor, diğer bir deyişle Resim 3'deki gibi erişim izni verilen chrome tarayıcısı kendisi için tanımlanan bu kuraldan faydalanamıyor, WF'in bir bug'ı. Bu da çalıştığınız kurumda bu tip uygulamalar kullanılıyorsa sizi WF kuralları tanımlarken zor günler bekliyor demek :)</username><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiW-tV0QdD0r2G5UWCwag9DihAU_awP2XlYKoUoQnWQoANUntj4Pl9vciC_lPmvjLfPHk7z8-MlJJBRQTD_qgKbBbtbJPZd_ZXFi9n4b_7Q3pyFsfBjhyphenhyphenJpTC3556mfmiRByV9HBpCEVzjm/s1600/Outbound_Firewall_Rule_Chrome_Only.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="18" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiW-tV0QdD0r2G5UWCwag9DihAU_awP2XlYKoUoQnWQoANUntj4Pl9vciC_lPmvjLfPHk7z8-MlJJBRQTD_qgKbBbtbJPZd_ZXFi9n4b_7Q3pyFsfBjhyphenhyphenJpTC3556mfmiRByV9HBpCEVzjm/s320/Outbound_Firewall_Rule_Chrome_Only.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;">Resim 4</span></i></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Her zaman olduğu gibi, görüşlerinizi yorum olarak ekleyebilirsiniz..</div>
<br />
<i><span style="font-size: x-small;">İlgili Yazılarım</span></i><br />
<a href="http://umut-simsek.blogspot.com/2012/09/windows-2008-r2-firewall-derin-dalis-ve.html">Windows 2008 R2 Firewall Derin Dalış ve Sorun Giderme - Nass oluyor da oluyor?</a>
</div>
<div class="tab-content">
<h1 class="tab" title="title for page 2">
English</h1>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg9siUge0ZhlJDeQZ1fy-xoF6EP1XvUoxVWY4jveeGhaVNrb3JY4INPc1uJ84oOvAKSGrIWzKSmiw10Z1X7Ujt09qrsevpIxvrkTgMAOCkatjD01AxVuYtaDrPpHeMza72OtCGgfNW4iIsr/s1600/malware_use.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="156" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg9siUge0ZhlJDeQZ1fy-xoF6EP1XvUoxVWY4jveeGhaVNrb3JY4INPc1uJ84oOvAKSGrIWzKSmiw10Z1X7Ujt09qrsevpIxvrkTgMAOCkatjD01AxVuYtaDrPpHeMza72OtCGgfNW4iIsr/s200/malware_use.jpg" width="200" /></a></div>
The term "Malware" is used for malicious software like viruses,worms,trojans,adware,bots which are existent since 1970's. Although they were being made and spread for malicious intents like harm,distruct,damage and fun in the beginning,recently monetary reasons and making profit of personal information is the reason. Together with tremendous progress in computer science and technology,it's nearly possible to write malicious code for and all platforms and languages. Widespread use of personal computers also led to decrease in malicious coding age as smoking and even with zero knowledge of programming it's possible to make malicious programs using "virus creation kits" (just google it) or having custom malicious programs made in return of money. The subject of this blog post is not "Preventing malware from infecting your computers",so you better not read any longer and lose time if it's what you expected.<br />
<br />
I'd like to write a little about rising generation of malware before diving deep into the subject.Recent malware in the wild -like many enterprise software projects- are developed by teams,from time to time state/agency sponsored,have modular form and software development methodologies like change management and versioning is widely used.Whatever needed is done,added as a functionality to make use of your computer and data it holds (<a href="http://krebsonsecurity.com/2012/10/the-scrap-value-of-a-hacked-pc-revisited/">ref</a>), your passwords are stolen,license keys of your legit software are copied,your key strokes are logged,webcams are controlled,your computer is used as a zombie to attack other computer systems,bitcoins are mined when your computer is idle at best. Malware are capable of updating,patching,upgrading themselves. We are aware that anti-malware products are lagging behind in the fight against and distance in between is steched out day by day. Keeping the software we use up to date is not enough. Malware infects our computers using 0-day exploits in one of tens or hundereds of software we install and use,no matter what precautions we take.Albeit functionality differs, majority of recent malware are centrally controlled by commands polled or pushed from central locations called Command&Control (C&C) Servers. Encrypted or not,communication between malware and C&C servers flows through -generally open and unfiltered- ports like http/https. IRC channels which were once popular are not preferred anymore.<br />
<br />
In this particular blog post we are interested in this communication channel between victim and attacker,that is malware and C&C,and our philosophy is "<b>since we can not prevent malware infection and anti-malware vendors are not agile and effective enough,than we should prevent the attacker from reaching his goal</b>". And we shall accomplish this by blocking the communication path malware that is trying to send our personal and/or financial data out to the attacker is using. We do not need neither thousand dollar nor hard to implement and manage open source products.Only thing we will need is the courage to use Windows Firewall -a feature that never earned the respect it deserved- at hand effectively on servers and specially on clients.<br />
<br />
Windows Firewall (WF) is evolved a bit with the name "Windows Firewall with Advanced Security" since Windows 7 and Windows 2008, and made it easier for us to control inbound-outbound traffic,manage via command line and group policies. Although it's been installed default together with OS since XP,it's not used effectively. According to me, the most important reason is the lack of troubleshooting tools (ref <a href="http://umut-simsek.blogspot.com/2012/09/windows-2008-r2-firewall-derin-dalis-ve.html">Windows 2008 R2 Firewall Derin Dalış ve Sorun Giderme - Nass oluyor da oluyor?</a>) for WF and the fact that a majority of client pc problems stem from turning WF "On". So that, many proprietary or third party software contained phrases like "Check that windows firewall is off" on the top of the list in their manuals,troubleshooting steps.WF became number one suspect and first thing to check for any and all of the problems. As a result,systems administrators prefered to turn WF "Off" instead of fine tuning it. Those who did not lose faith in WF, left the checkbox "On" ticked, without knowing it did not provide complete security and filtering as a whole.<br />
<br />
Even when Windows Firewall is activated (turned "On"),by default it will only block inbound traffic which is not explicitly allowed. That is to say, ibound packets destined for port X on your computer are blocked as long as an application,service or process did not request communication. This is probably the worst definition of stateful firewall :D On the other hand by default WF does not prevent,block or deny outbound traffic. Malware infecting your computer is also free to communicate outbound with default WF settings (C&C servers,attacker or DoS target) as long as network firewall,router or switch does not filter. That's why you need to change default setting of allowing outbound traffic and prevent outbound communication of all processes,applications which are not explicitly permitted.Firewall rules defined in "Outbound Rules" node will not have any effect and will ve meaningless unless you block outbound traffic by default. (Figure 1)<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh0ktQ0uugRTHlc0lu5C6j-qPN9D6vkYUidkbD854tsENJZ8pEt7rI-VXT-t8rBiITEoEvptg_a9H8DB4eAugOL0XXJNcPJZpk6bxgI1bmDdLw_Om3W0XUmO9d1xSKQHb_AcYHZxJ84ZQqV/s1600/Default_Outbound_Connections_Block.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh0ktQ0uugRTHlc0lu5C6j-qPN9D6vkYUidkbD854tsENJZ8pEt7rI-VXT-t8rBiITEoEvptg_a9H8DB4eAugOL0XXJNcPJZpk6bxgI1bmDdLw_Om3W0XUmO9d1xSKQHb_AcYHZxJ84ZQqV/s320/Default_Outbound_Connections_Block.png" width="288" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<span style="font-size: x-small;"><i>Figure 1</i></span></div>
<div class="separator" style="clear: both; text-align: center;">
<span style="font-size: x-small;"><i><br /></i></span></div>
Congrats,you now have all the outbound traffic other than the ones explicitly allowed ( default rules are shown in Figure 2) blocked,including web access :), so do not panic if you are not able to surf the internet using your browser. You need to define outbound rules allowing access to your proxy port if you are using any,or ports like 80,443 if you are not using proxy.The important point in defining outboung rules is to specify "Program" name together with the rule. If you do not specify any program name,Windows will allow traffic destined for the port in the rule from all sources of applications,processes including potential malware.In case you are using Internet Explorer as browser,an outbound rule as shown in Figure 3 will allow only the reach of Internet Explorer to http port 80 and block whatever (malware trying to get to C&C,attacker or trying to leak your personal or financial info) trying to connect outbound using port 80.That's because malware use components like TCP/IP stack,libraries,functions to function and not legitimate applications,at least until now.So,although a malware executable named "iexplore.exe" would not attract your attention in your Task Manager, WF would block its outbound connection as far as you have or defined a rule like one told above and shown in Figure 3.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiytV-SccduswcHu9kk7n5GehdJdSAPadsE-N3A4zJ_kl5WfWdncFmFhVjUzlPsDWeUc2hBUA0_fo0J2bZAsQMgN4y0yF_R1HDk55Y2qIhNpyuzv2uw_ToUz7q62IhKcoSxZbk5Wb8geXhX/s1600/Default_Outbound_Connection_Rules.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="240" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiytV-SccduswcHu9kk7n5GehdJdSAPadsE-N3A4zJ_kl5WfWdncFmFhVjUzlPsDWeUc2hBUA0_fo0J2bZAsQMgN4y0yF_R1HDk55Y2qIhNpyuzv2uw_ToUz7q62IhKcoSxZbk5Wb8geXhX/s320/Default_Outbound_Connection_Rules.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;">Figure 2</span></i></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgRxPZX2CB7ubL3msMOhcY5DPEJW_BHuP5lCdi3thTT9RgO7AEU2SQ5jxcJxc9FDnw_bongWjT0kzETsTnIi1tsQLjsCDhDDrRqtcnl6g1c5c3zMsBzS_pKu_oq_t7JnhfVb08zzt6vs58_/s1600/Outbound_Firewall_Rule_IE_Only.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="130" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgRxPZX2CB7ubL3msMOhcY5DPEJW_BHuP5lCdi3thTT9RgO7AEU2SQ5jxcJxc9FDnw_bongWjT0kzETsTnIi1tsQLjsCDhDDrRqtcnl6g1c5c3zMsBzS_pKu_oq_t7JnhfVb08zzt6vs58_/s320/Outbound_Firewall_Rule_IE_Only.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;">Figure 3</span></i></div>
<br />
Bearing also in mind that malware also uses similar wide use and unfiltered protocols like ftp to transfer the data it collected on your computer or to poll new commands from the central management server, define similar outbound rules for each and every suspect port specifying the program/application name.Nearing to the end of the post, i would also like to mention a bug in WF. Google chrome like applications may place executables under user specific folders (C:\Users\user_name\) which are referred to as "UserProfile",instead of "Program Files" folder. Even though WF permits the use of environment variable names like %USERPROFILE% in rule definitions (Figure 4) to specify application directories,practically it does not act on the rule as expected.In other words, Windows does not permit outbound connection of chrome browser even if there is a rule defined as in Figure 3. This will probably make you sad defining firewall rules if you have such kind of applications in your environment.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiW-tV0QdD0r2G5UWCwag9DihAU_awP2XlYKoUoQnWQoANUntj4Pl9vciC_lPmvjLfPHk7z8-MlJJBRQTD_qgKbBbtbJPZd_ZXFi9n4b_7Q3pyFsfBjhyphenhyphenJpTC3556mfmiRByV9HBpCEVzjm/s1600/Outbound_Firewall_Rule_Chrome_Only.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="18" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiW-tV0QdD0r2G5UWCwag9DihAU_awP2XlYKoUoQnWQoANUntj4Pl9vciC_lPmvjLfPHk7z8-MlJJBRQTD_qgKbBbtbJPZd_ZXFi9n4b_7Q3pyFsfBjhyphenhyphenJpTC3556mfmiRByV9HBpCEVzjm/s320/Outbound_Firewall_Rule_Chrome_Only.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;">Figure 4</span></i></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<br />
<i><span style="font-size: x-small;">Related Posts</span></i><br />
<a href="http://umut-simsek.blogspot.com/2012/09/windows-2008-r2-firewall-derin-dalis-ve.html">Windows 2008 R2 Firewall Derin Dalış ve Sorun Giderme - Nass oluyor da oluyor?</a>
<br /></div>
</div>
<script type="text/javascript">
function getChildElementsByClassName(parentElement, className)
{
var i, childElements, pattern, result;
result = new Array();
pattern = new RegExp("\\b"+className+"\\b");
childElements = parentElement.getElementsByTagName('*');
for(i = 0; i < childElements.length; i++)
{
if(childElements[i].className.search(pattern) != -1)
{
result[result.length] = childElements[i];
}
}
return result;
}
function BuildTabs(containerId)
{
var i, tabContainer, tabContents, tabHeading, title, tabElement;
var divElement, ulElement, liElement, tabLink, linkText;
// assume that if document.getElementById exists, then this will work...
if(! eval('document.getElementById') ) return;
tabContainer = document.getElementById(containerId);
if(tabContainer == null)
return;
tabContents = getChildElementsByClassName(tabContainer, 'tab-content');
if(tabContents.length == 0)
return;
divElement = document.createElement("div");
divElement.className = 'tab-header'
divElement.id = containerId + '-header';
ulElement = document.createElement("ul");
ulElement.className = 'tab-list'
tabContainer.insertBefore(divElement, tabContents[0]);
divElement.appendChild(ulElement);
for(i = 0; i < tabContents.length; i++)
{
tabHeading = getChildElementsByClassName(tabContents[i], 'tab');
title = tabHeading[0].childNodes[0].nodeValue;
// create the tabs as an unsigned list
liElement = document.createElement("li");
liElement.id = containerId + '-tab-' + i;
tabLink = document.createElement("a");
linkText = document.createTextNode(title);
tabLink.className = "tab-item";
tabLink.setAttribute("href","javascript://");
tabLink.setAttribute( "title", tabHeading[0].getAttribute("title"));
tabLink.onclick = new Function ("ActivateTab('" + containerId + "', " + i + ")");
ulElement.appendChild(liElement);
liElement.appendChild(tabLink);
tabLink.appendChild(linkText);
// remove the H1
tabContents[i].removeChild
}
}
function ActivateTab(containerId, activeTabIndex)
{
var i, tabContainer, tabContents;
tabContainer = document.getElementById(containerId);
if(tabContainer == null)
return;
tabContents = getChildElementsByClassName(tabContainer, 'tab-content');
if(tabContents.length > 0)
{
for(i = 0; i < tabContents.length; i++)
{
//tabContents[i].className = "tab-content";
tabContents[i].style.display = "none";
}
tabContents[activeTabIndex].style.display = "block";
tabList = document.getElementById(containerId + '-list');
tabs = getChildElementsByClassName(tabContainer, 'tab-item');
if(tabs.length > 0)
{
for(i = 0; i < tabs.length; i++)
{
tabs[i].className = "tab-item";
}
tabs[activeTabIndex].className = "tab-item tab-active";
tabs[activeTabIndex].blur();
}
}
}
BuildTabs('tab-container');
ActivateTab('tab-container', 0);
BuildTabs('tab-container-2');
ActivateTab('tab-container-2', 0);
</script>Unknownnoreply@blogger.com0Nijerya9.081999 8.675277000000051-6.7730055 -11.979019999999949 24.9370035 29.329574000000051tag:blogger.com,1999:blog-1869987042454684146.post-57334870984133713602013-04-22T15:13:00.001+03:002013-05-09T10:31:20.216+03:00Ramiz - denetçi<style>
blockquote {
font-family: Georgia, serif;
font-size: 12px;
font-style: italic;
width: 500px;
margin: 0.25em 0;
padding: 0.25em 40px;
line-height: 1.45;
position: relative;
color: #383838;
}
blockquote:before {
display: block;
content: "\201C";
font-size: 80px;
position: absolute;
left: 85px;
top: -20px;
color: #7a7a7a;
}
blockquote cite {
color: #999999;
font-size: 14px;
display: block;
margin-top: 5px;
margin-left: 50px;
margin-right: 10px;
}
blockquote cite:before {
content: "\2014 \2009";
}
</style>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg_qPqie13M03GcVv-QxXuAuUrlynFVpdnj3QooaJ0kjsTx_FbIqrF2NDhxkkRIZtueDrxycwFJM4_fw7qBmN6D1RPQBcwtzMFdYzuanPm0xhJS15WXBc1_hC9NUGFK7T5YvSLYXAUEsiLM/s1600/Ramiz.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg_qPqie13M03GcVv-QxXuAuUrlynFVpdnj3QooaJ0kjsTx_FbIqrF2NDhxkkRIZtueDrxycwFJM4_fw7qBmN6D1RPQBcwtzMFdYzuanPm0xhJS15WXBc1_hC9NUGFK7T5YvSLYXAUEsiLM/s1600/Ramiz.png" /></a></div>
<blockquote>
<cite>
Neyi nasıl denetleyeceğini bilmek,neyi nasıl güvenli hale getireceğini bilmekten daha kolaydır yeğen.Tek derdin denetimlerden yırtmaksa güvenliğin başına denetim geçmişi olan birini getir;gerçekten güvende olmaksa derdin,o zaman bu işin mutfağından gelmiş,güvenli hale getirmeye çalışılan şeyleri yönetmiş birini bul</cite></blockquote>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-1869987042454684146.post-43290263434317927182013-04-17T21:46:00.000+03:002013-04-22T08:57:53.873+03:00Hash'ini Seven Kovboy Heykır'lara Karsi - Nass oluyor da oluyor?<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgtKMAN8tJmfnngZp8IhOea2wrbHdSjGGMUqYsoqWrjN6vih0ZGVe8a2tlfa2aooch9YZ8ijtdPyut3zzxN-bWfGd9F87eH3PwFDaycDaxyFKrVmTaA6n3oKiYSlF-pz-XVN8qSCMuPWCCB/s1600/atiniseven_kovboy.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgtKMAN8tJmfnngZp8IhOea2wrbHdSjGGMUqYsoqWrjN6vih0ZGVe8a2tlfa2aooch9YZ8ijtdPyut3zzxN-bWfGd9F87eH3PwFDaycDaxyFKrVmTaA6n3oKiYSlF-pz-XVN8qSCMuPWCCB/s200/atiniseven_kovboy.jpg" width="141" /></a></div>
"<a href="http://umut-simsek.blogspot.com/2013/03/windows-credential-editor-ve-pass-hash.html" target="_blank">Windows Credential Editor ile Hash Passing - Nass oluyor da oluyor?</a>" başlıklı yazımda hash ele geçirme ve kullanma için geliştirilmiş araçların en tehlikelilerinden biri olan Windows Credential Editor (WCE)'dan bahsetmiş, parolalar ne kadar uzun ve karmaşık olursa olsun çalınmalarının,kullanılmalarının ne kadar kolay hale geldiğini anlatmıştım. Pass-The-Hash ilk defa 1997'de Paul Ashton tarafından ortaya atılan bir fikir aslında, yeni değil. Ama biraz işletim sistemi'nin yapısı gereği biraz da kullanıcı kolaylığından feragat edememe kaygısı ile şu ana kadar engellenememiş,ortadan kaldırılamamış bir risk. Aynı zamanda bu yöntem özellikle sızma testlerinde orataya çıkan "domain admin parolasının ele geçirilmesi" gibi hurafelerin de kaynağı ve zaman içinde hash elde etme yöntemleri gelişti,artık işletim sistemi hafızasında saklanan hashler ve şifrelenmiş parolalar da kolaylıkla elde edilebiliyor. Yazının başlığı başka çağrışımlar yapmasın, Hash sevgisine vurgu yapmak ve biraz da eğlenceli olması için üstad Sadri Alışık'ın bu meşhur filmine gönderme yaptım :)<br />
<a name='more'></a><br />
Windows işletim sistemi özelinde konuşacak olursak Microsoft, NT zamanından beri kullanıcı kimliğini doğrulamak için (authentication) çeşitli protokoller kullanıyor. Bu protokollerin en güveniliri Windows 2000 ile kullanılmaya başlanan Kerberos olsa da, Kerberos desteği olmayan uygulamaların,protokollerin ve 2000 öncesi işletim sistemlerin sorunsuz çalışabilmesi için NTLM,Digest gibi eski kimlik doğrulama protokolleri de bir yandan kullanılmaya devam ediyor. Microsoft'un SSP (Security Support Provider) de dediği bu doğrulama protokolleri de biz tembel ve nazik parmaklı kullanıcıları daha çok memnun edebilmek, her erişmek istediğimiz kaynak için kullanıcı adı/parola yazdırmamak adına credential dediğimiz kullanıcı adı ve parolalarımızı kimi zaman bilgisayarın registry kayıtlarında,kimi zaman SAM veritabanında,kimi zaman da LSASS (Local Security Authority SubSystem) process'inde olduğu gibi işletim sistemi hafızasında (memory) saklıyor ve kimlik doğrulama gerektiğinde ya da token yenileme zamanı geldiğinde kayıtlı credentialları arka planda bize çaktırmadan gerekli servislere iletiyor. Çeşitli algoritmalarla hashlanan,şifrelenen parolaların saklandığı yerler de sır değil. Lokal kullanıcı hesapları için kayıtlı parolalar "<b>%systemroot%\system32\config</b>" altındaki SAM dosyasında ve "<b>HKLM\SAM\SAM\Domains\Account\Users</b>" registry yığınında (Resim 1) saklanırken, domaine dahil bilgisayarlarda interaktif oturum açan kullanıcı hesabı bilgileri "<b>HKLM\SECURITY\Cache</b>" registry yığını (hive)'nda (Resim 2) tutuluyor. "İnteraktif oturum" terimini aklınızda tutun çünkü yazının devamında ele geçirilen işletim sistemine nasıl erişmek gerektiğini anlatırken bol bol kullanacağım. SAM registry kayıtlarına yönetici yetkisiyle erişmekte pek sorun yok.Normal şartlar altında görünmeyen alt dizinler, SAM dizininde hesabınıza yetki verdikten sonra listeleniyor. Ama SAM dosyasına erişim bu kadar kolay değil. Lsas procesine dll enjekte etme gibi yöntemlerle işletim sistemi açıkken de bu dosyaya erişebiliyorsunuz ama genellikle tercih edilen yöntem bootable bir linux işletim sistemiyle bilgisayarı açtıktan sonra bu dosyayı kopyalamak ve bu offline kopya üzerinde tırmalamak.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjmgLGkBu7LJkZ2P8nGoPFNE72HANobXFac0pJSev-0LoTwSpxtDNuyCHHsq_x1ZWlu3h_tzOW2P9ah8aev1zKfjcR6TIb_gctMCuIhv-ndxIyALp4NtPsXZ5Fshm63QlJtzOc-EFsNYLyA/s1600/Registry_SAM_Users.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="221" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjmgLGkBu7LJkZ2P8nGoPFNE72HANobXFac0pJSev-0LoTwSpxtDNuyCHHsq_x1ZWlu3h_tzOW2P9ah8aev1zKfjcR6TIb_gctMCuIhv-ndxIyALp4NtPsXZ5Fshm63QlJtzOc-EFsNYLyA/s320/Registry_SAM_Users.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;">Resim 1</span></i></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;"><br /></span></i></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEin4t7lWPyOLjiKQjt_uPzAjm-4p2ZsZ5J9DCMAhRM_FRD0GoFsZP_BeBYvSmMWo0WOt1QpfWieTl-qsDi8S0NQQsZd1J8_judlcOX2412NvNO111QZoAR_hRA8jHTudCAtPboeEW_AjEw-/s1600/Registry_Security_Cache.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="221" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEin4t7lWPyOLjiKQjt_uPzAjm-4p2ZsZ5J9DCMAhRM_FRD0GoFsZP_BeBYvSmMWo0WOt1QpfWieTl-qsDi8S0NQQsZd1J8_judlcOX2412NvNO111QZoAR_hRA8jHTudCAtPboeEW_AjEw-/s320/Registry_Security_Cache.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;">Resim 2</span></i></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;"><br /></span></i></div>
Resim 1'deki ekran görüntüsünde "Users" boğumu altındaki dizinlerin isimleri kullanıcı hesaplarına atanan SID (Security Identifier) numaralarındaki RID (Relative ID) numaralarını içeriyor. Yani "0000040B" isimli dizinde "test" lokal kullanıcı hesabına ait kullanıcı bilgileri tutuluyor."40B",1035 RID numarasının hexadesimal düzendeki karşılığı. ( Resim 3) "F" ismiyle gösterilen registry kaydında kullanıcı hesabının son oturum açma anı, parolanın geçerlilik süresinin ne zaman dolacağı gibi bilgiler tutulurken,"V" ismiyle gösterilen kayıtta kullanıcı adı, parolanın şifrelenmiş LM,NTLM hashleri,-parola geçmişi güvenlik amaçlı aktif hale getirildiyse- önceki parolaların hashleri gibi bilgiler tutuluyor.0x0C konumundaki değer kullanıcı adının ofset değerini,0x10 konumundaki değer ise kullanıcı adının uzunluğunu gösteriyor mesela,0x0C konumundaki değere 0xCC eklediğinizde elde edeceğiniz yeni konumda kullanıcı adı bilgisi tutuluyor.Resim 4'deki örnekte V binary verisinin 0x0C inci birbaşka deyişle onikinci byte'ı olan 0xBC değerine 0xCC eklediğinizde elde ettiğiniz değer 0x188 dir,aynı binary veri bloğunda 0x188'inci bytedan başlayan 8 byte boyunca kullanıcı adı değeri saklanır (Resim 5).Benzer şekilde hash bilgilerinin de tutulduğu yerler registry'nin bu alanlarındaki offset değerlerinden yararlanılarak hesaplanabilir.Creddump,hashdump,pwdump ve benzer bilumum dump yazılımlarının da yalan yanlış parola hash'leri elde edip pentester'ları hüsrana uğrattığı ve <a href="https://media.defcon.org/dc-20/presentations/Reynolds/DEFCON-20-Reynolds-Stamp-Out-Hash-Extraction.pdf" target="_blank">Ryan Reynolds ile Jonathan Claudius</a>'un parmak bastığı nokta da tam burası. Bilgisayar ya da domain yöneticisinin parola geçmişi tutma/tutmama,LM hashi tutma/tutmama tercihine bağlı olarak bu alan değişkenlik gösteriyor ve bu noktayı dikkate almayan dumper araçları kullanıcısına tutarsız hashler gösteriyor. Dolayısıyla pentester dostlarımız çalışmaları sırasında bu tip araçlarla elde ettikleri hashleri kullanamazlarsa sebebi hashlerin yukarıda bahsettiğim şekilde düzgün hesaplanamamasıdır.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgWzS3QTPB8Nm4tOWi9fYM8_sZaq7HzcVamtbxGkF-na7QOyGjszR88fW1DdPppz7LytHc6tjrpvXrrfRbIK07GL1nlIlV8JNyo5mIUnk3HcYCtot2a4PuH5vypLvsOfpaOvsKKaDlkemHr/s1600/psgetsid_test.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="158" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgWzS3QTPB8Nm4tOWi9fYM8_sZaq7HzcVamtbxGkF-na7QOyGjszR88fW1DdPppz7LytHc6tjrpvXrrfRbIK07GL1nlIlV8JNyo5mIUnk3HcYCtot2a4PuH5vypLvsOfpaOvsKKaDlkemHr/s320/psgetsid_test.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;">Resim 3</span></i></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;"><br /></span></i></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgXnPA9aAPjiF6Q2bzR90NddDpQC31HZx8NvMVCtVycS5o1SyVeA9rafOWBU0bfOVVRrPZ7YqoN4dIRHMg78-SfH8mZjeC0rH18lyznVGo3fMg5EQgs9KvwIzwbfl_8Wc1CJvhqHhrLhLLw/s1600/Registry_VBlock_Username_Offset.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="221" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgXnPA9aAPjiF6Q2bzR90NddDpQC31HZx8NvMVCtVycS5o1SyVeA9rafOWBU0bfOVVRrPZ7YqoN4dIRHMg78-SfH8mZjeC0rH18lyznVGo3fMg5EQgs9KvwIzwbfl_8Wc1CJvhqHhrLhLLw/s320/Registry_VBlock_Username_Offset.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;">Resim 4</span></i></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;"><br /></span></i></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhoaHNLEJ_pzAJNicXCtkL2VPafaIYuDxUPsz1FzcJVssoq7p1S3pR_Csj0xRSd6dgCZ44X3e6DdnC3Y-X5fDNUjCKP2InEnK2cFwH23OwY1YvqVtpG2hHyNEjnxL2m3sHflIQinas0iiyK/s1600/Registry_UserName.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="221" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhoaHNLEJ_pzAJNicXCtkL2VPafaIYuDxUPsz1FzcJVssoq7p1S3pR_Csj0xRSd6dgCZ44X3e6DdnC3Y-X5fDNUjCKP2InEnK2cFwH23OwY1YvqVtpG2hHyNEjnxL2m3sHflIQinas0iiyK/s320/Registry_UserName.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;">Resim 5</span></i></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;"><br /></span></i></div>
LM hashleri Windows Vista ve sonrasında gelen Windows işletim sistemlerinde varsayılan olarak tutulmuyor bir rivayete göre. Windows 2000 SP2 ve sonrası işletim sistemlerinde ise işletim sisteminin LM hash'i tutma özelliğini "<b>HKLM\SYSTEM\CurrentControlSet\Control\Lsa</b>" yığınında "<b>NoLMHash</b>" isimli bir anahtar oluşturarak da aktif/pasif yapabiliyorsunuz. Bu şekilde LM hash'lerin tutulmasını engelleseniz dahi NT hashlerin saklanmasını engelleyemiyorsunuz,yine de artık ortlamlarımızda Windows 95-98 istemci işletim sistemleri bulunmadığına göre işletim sistemlerinde LM hashleri saklatmanın bir anlamı yok. Şunu da belirtmek isterim, yukarıda tarif edildiği şekilde "NoLMHash" anahtarı eklemiş olsanız da varlolan lokal kullanıcı hesapları,parolalarını değiştirmedikçe LM hash saklamaya devam eder. Yani bu registry değişikliğinden sonra lokal kullanıcı hesaplarının parolasını değiştirmelisiniz ki yeni parolanın sadece NT hash'i saklansın.SAM ve registry'de tutulduğunu bahsettiğim hash'ler ise aslında parolanın hash'inin şifrelenmiş halinin hash'i. Bu da şu demek oluyor; Registry veya SAM'den elde edilen hashlerden parolanın açık-seçik halini elde etmek için biraz yürek ve GB'larca gökkuşağı tablosu (rainbow table - türkçe karşılık komik oldu ) gerek. Zira yine Windows 2000 ve sonrası işletim sistemlerinde SAM veritabanı SYSKEY aracı ile birlikte bootkey denen bir anahtarla ve RC4 algoritmasıyla da şifreleniyor.Bu da sadece SAM veritabanını deşifre edebilmek için bu anahtarı da edinmek gerek anlamına geliyor.<br />
Resim 2'de gösterilen ve bilgisayarda interaktif oturum açmış domain kullanıcı hesaplarına ait,tuzlanmış ( salted ) ve 2 kere MD4 algoritmasıyla hash'lenmiş parola'nın "password verifier" denen bilgisinin tutulmasını ise Güvenlik Politikası ile ya da "<b>HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon</b>" yığını altındaki "CachedLogonsCount" anahtarının değerini düzenleyerek kontrol edebilirsiniz. Yine Windows 2000 ile gelen bu özellik, domain'e dahil bilgisayarın bir DC ile irtibat kuramaması halinde daha önce kaydettiği ( cached domain credentials ) kullanıcı hesaplarına, oturum açma hakkı tanır. Her ne kadar "password verifier" denen bu bilgi sadece kayıtlı olduğu işletim sistemi üzerinde kullanılabilse de bu tip bir ihtiyacınız yoksa bu sayıyı 0 ya da 1 yapın.<br />
Diskte ve registry'de saklanan hash değerlerini kısıtlayarak ya da azaltarak sadece riski azalttık,yazının başında belirttiğim gibi bu riski ortadan kaldırmanın uygulanabilir bir yolu yöntemi yok ne yazık ki.Bunun nedeni de parola hash bilgilerinin ve bazen şifrelenmiş parolaların yine bazı kimlik doğrulama protokollerince ve kimlik doğrulama mekanizması bileşenlerince <u>işletim sistemi hafızasında da</u> tutulması. Hedef işletim sisteminde interaktif oturum açmış aktif kullanıcı hesabına ait parola mimikatz,wce gibi araçlar yönetici yetkisi ile kullanıldıklarında kolaylıkla öğrenilebiliyor. (bakınız <a href="http://umut-simsek.blogspot.com/2013/03/windows-credential-editor-ve-pass-hash.html">Windows Credential Editor ile Hash Passing - Nass oluyor da oluyor?</a> ) Özellikle Digest Authentication tarafından saklanan parola bilgisi deşifre edilerek açık haliyle görüntülenebiliyor. WCE'yi yazan firmanın önerdiği -fakat tavsiye edilmeyen- yöntemlerden biri olan Digest Authentication paketini işletim sisteminin kullanabileceği güvenlik paketleri listesinden çıkararak en azından Digest Authentication ile saklanan parolanın deşifre edilmesini engelleyebilirsiniz ama bu bile diğer kimlik doğrulama paketlerince ( SSP ) NTLM hashlerin hafızada tutulmasını engellemiyor.<br />
Anahtar kelime "interaktif oturum açma" (interactive logon) ,yani fiziksel olarak bilgisayarın başına geçerek ya da RDP ve benzeri uzak terminal yönetim protokol ve yazılımlarıyla işletim sisteminde oturum açmak ya da "Run As" yöntemi kullanarak hedef bilgisayarda farklı kullanıcı hesap bilgileri kullanarak komut/uygulama çalıştırmak. Uzak bilgisayardan açılan oturumlara da "uzak interaktif oturum" (remoteinteractive), kimlik doğrulama için lokalde kayıtlı hash bilgileri kullanılıyorsa "CachedInteractive", kimlik doğrulama için lokalde kayıtlı hash bilgileri kullanılıyorsa ama oturum uzaktan açılıyorsa "RemoteCachedInteractive" gibi <a href="http://www.windowsecurity.com/articles-tutorials/misc_network_security/Logon-Types.html" target="_blank">12-13 adet oturum açma tipi var</a> (Resim 6) özellikle yeni işletim sistemlerinde.Ama anahtar kelime "Interaktif", açtığınız oturum tipi interaktifse -ki bunu da Güvenlik olay kayıtlarından (Security Event Log) rahatlıkla anlayabilirsiniz - parolanızın ya da en kötü ihtimalle parolanızın hash'inin ele geçirilmesi an meselesi olabilir. Resim 7, DC'ye erişimi kopmuş domaindeki bir sunucuya RDP protokolü ve domain kullanıcı hesabı ile oturum açıldığında oluşturulan güvenlik olay kaydını gösteriyor. Oturum açma tipi "Logon Type" satırından anlaşılıyor. Interaktif oturum ile hafızaya alınan hash bilgileri oturum süresince saklanmaya devam ediyor.Bu nedenle özellikle RDP oturumlarını "Disconnect" ile değil de "Logoff" ile sonlandırmak önemli.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhwjGmIum8Y7p1Ego6gf8N8dOxZ7LYjPXEqpFWcgGjgDJs1hVMb5cRV_S-RDu1ki79IP2NULCWY_JLhBBSF1tcD0a3qi8NLpnZoQZTKdIZTkHQ-W9o_lwRP7TMBPkpWOKeQRZtbGuRLXN0e/s1600/Logon_Types.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhwjGmIum8Y7p1Ego6gf8N8dOxZ7LYjPXEqpFWcgGjgDJs1hVMb5cRV_S-RDu1ki79IP2NULCWY_JLhBBSF1tcD0a3qi8NLpnZoQZTKdIZTkHQ-W9o_lwRP7TMBPkpWOKeQRZtbGuRLXN0e/s320/Logon_Types.png" width="258" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;">Resim 6</span></i></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi1azOfrrbWqdrQDjWyjSX0X7fta6HOnDRMq3BGSLtbgZuv3c4Ywhur7UtJqo3e25NPkZUM9yQeFiE1MxrvtEreiySxzZvTi9Y7RKbxAvnXlPRJcq40pWUxJwe9RI2Bp2jqfcB89Kbdp_Tl/s1600/EventLog_RemoteCachedInteractive.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="251" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi1azOfrrbWqdrQDjWyjSX0X7fta6HOnDRMq3BGSLtbgZuv3c4Ywhur7UtJqo3e25NPkZUM9yQeFiE1MxrvtEreiySxzZvTi9Y7RKbxAvnXlPRJcq40pWUxJwe9RI2Bp2jqfcB89Kbdp_Tl/s320/EventLog_RemoteCachedInteractive.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;">Resim 7</span></i></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;"><br /></span></i></div>
Interaktif oturum açma ile birlikte karşılaşılan riski, WMIC,psexec (-u anahtarı ile alternatif kullanıcı hesabı bilgisi kullanmadan),powershell (ps-remoting),MMC snap-in'ler gibi uzaktan yönetim için kullanılabilecek araçlar ile network oturum açarak (network logon) bertaraf edebiliyorsunuz,önerilen yöntem de bu. Bu nedenle DMZ gibi dış dünyaya daha fazla açık sunucularınızın yönetimi için bu araçları kullanmanız tavsiye ediliyor.Özellikle ele geçirildiğini,sızıldığını düşündüğünüz bir bilgisayara işletim sistemi açıkken ve izole etmeden müdahele edecekseniz bu noktayı aklınızdan çıkarmayın. Sorunu anlayım,çözeyim derken kullanıcı hesabınızın parolasını ya da hashlerini saldırganlara kaptırabilirsiniz.<br />
Windows işletim sisteminin yapısı gereği bu saldırı yöntemini tamamen engellemenin mümkün olmadığını aklımızdan çıkarmayarak,yazı boyunca yeri geldiğinde değindiğim önlemleri Microsoft'un önerdiği yöntemlerle birlikte toparlayacak olursak;<br />
<ul>
<li>İstemci ve sunucu işletim sistemlerine fiziksel erişimi kısıtlayın. İstemci bilgisayarların CD-ROM,USB gibi arayüzlerden boot edilmesini engelleyecek önlemler alın. Bu arayüzleri fiziksel olarak kapatamıyor ya da kaldıramıyorsanız BIOS'a erişimi de kısıtlamayı ihmal etmeyin.</li>
<li>Kullanıcılarınıza yönetici yetkisinde hesaplar kullandırmayın</li>
<li>Servis hesaplarınıza ve planlanmış işleri ( scheduled tasks) çalıştırmak için kullandığınız hesaplara gereğinden fazla yetki vermeyin.</li>
<li>Active Directory'de geniş yetkili kullanıcı hesapları için "Account is sensitive and cannot be delegated" seçeneğini işaretleyin.Bu özellik parola hash'leri gibi çalınabilen Kerberos token'larının başka bilgisayarlara erişim için kullanılmasını engeller.</li>
<li>Sunucu ve istemci bilgisayarların lokal yönetici hesaplarına farklı parolalar vermeyi alışkanlık edinin.</li>
<li>Risk altındaki sunucularınızda domain administrator gibi geniş yetkili kullanıcı hesaplarının oturum açmasını engelleyin</li>
<li>Sunucularınızda interaktif oturumlar için timeout süreleri kullanın,bu sürelerin sonunda oturumların sonlandırılmasını zorlayın.</li>
<li>Sunucularınızda ve istemci bilgisayarlarınızda LM hashlerin saklanmasını engelleyin, cache'lenen domain kullanıcı hesapları sayısını azaltın.</li>
<li>Proxy sunucularınızda ya da firewall'larınızda yetkili hesapların internete erişimini engelleyin.</li>
<li>Windows firewall'larınızda inbound trafiği engelleyin.</li>
<li>Domain yöneticisi yetkisine sahip hesaplarınızda bir seferlik parolalar kullanın.</li>
<li>Kritik sunucularınıza yönetim amaçlı erişimler için izole ve ayrı bilgisayarlar (jump servers) kullanın ve yönetim için network tipi oturumlar (network logon) kullanmaya özen gösterin. Aklınızın bir köşesinde her zaman "mı acaba?" sorusu olsun :) (Bakınız <a href="http://www.microsoft.com/en-us/download/details.aspx?id=36036" target="_blank">Mitigating Pass The Hash Attacks and Other Credential Theft Techniques</a> sf 41-Tablo 7)</li>
<li>Ve en önemlisi, işletim sistemi ve kurulu uygulamaların güvenlik güncellemelerini aksatmayın.</li>
</ul>
Kimlik doğrulama protokolleri,mekanizmaları işletim sistemlerinin en kapalı kutu bileşenleri ve yetkilendirme mekanizmalarıyla birlikte güvenliğin temelini oluşturuyor. Üreticiler ayrıntıları ne kadar gizlemeye ve korumaya çalışsa da tersine mühendislik uygulamalarıyla bu mekanizmaların çalışma prensipleri de zaman zaman gün ışığına çıkıyor. Bu ve ilgili önceki yazımda post-exploitation (çeşitli zaafiyetler kullanılarak sisteme sızıldıktan sonraki eylemler) yöntemlerinden biri olarak gösterilen ve uzun zamandır varlığından haberdar olduğumuz "hash passing" i, parola hash'lerinin hangi hallerde nerelerde saklandığını, daha yetkili hesaplar elde etme ve oluşturmada nasıl kullanılabildiğini,hash'lenmiş parolayı kullanabilme imkanı varken parola'nın kırılma,deşifre edilmesi gibi yöntemleri kullanmanın zaman kaybı olduğunu ve daha önemlisi hash'lerin yanlış ellere geçmesini engellemek için alınabilecek önlemleri anlatmaya çalıştım. Biraz karambole geldi ama,bu bilgiler ışığında ele geçirilmiş,ya da ele geçirildiğinden şüphelenilmiş bilgisayara müdahele için kullanılması gereken erişim yöntemlerini de unutmamanızı öneriyorum.<br />
Hash'inizi sevin,koruyun çünkü saldırganlar seviyor :)
<br />
<br />
<i><span style="font-size: x-small;">İlgili Yazılarım</span></i><br />
<a href="http://umut-simsek.blogspot.com/2013/03/windows-credential-editor-ve-pass-hash.html">Windows Credential Editor ile Hash Passing - Nass oluyor da oluyor?</a>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-1869987042454684146.post-82268113110676991912013-04-07T17:30:00.000+03:002013-04-09T11:04:10.282+03:00Bro IDS 101 - Nass oluyor da oluyor?<style type="text/css">
table.sample {
border-width: 1px;
border-spacing: 0px;
border-style: solid;
border-color: gray;
border-collapse: collapse;
}
table.sample th {
border-width: 1px;
padding: 4px;
border-style: inset;
border-color: gray;
-moz-border-radius: ;
}
table.sample td {
border-width: 1px;
padding: 4px;
border-style: inset;
border-color: gray;
-moz-border-radius: ;
}
</style>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj1TN82xwMfT5D1fi2TZs3UBEBV5vPnHtGgGyGhWuSBJ24lRWPiDdvkYfq2UTuiDduxub4aVH8uoBoregd6MdBGphfyh19nGynLxRnejjcmM66NDYR54aKlGR78tipedrbtM2MUOtgv4w4f/s1600/bro-eyes.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="95" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj1TN82xwMfT5D1fi2TZs3UBEBV5vPnHtGgGyGhWuSBJ24lRWPiDdvkYfq2UTuiDduxub4aVH8uoBoregd6MdBGphfyh19nGynLxRnejjcmM66NDYR54aKlGR78tipedrbtM2MUOtgv4w4f/s200/bro-eyes.png" width="100" /></a></div>
IDS denince akla gelen 2-3 isimden biri,Bro IDS'i anlatacağım bu yazı dizisi açık kaynak kodlu güvenlik çözümlerini sevenlerin ilgisini çekecektir. Açık konuşmak gerekirse adını daha önce çok sık duymuş olmama rağmen Bro ile haşır neşir olma merakı ürünü geliştiren ekibin,Mandiant'ın Çin hükümeti destekli bilgisayar saldırı takımı APT1 raporu ardından bu takım ile ilişkilendirilebilecek ağ trafiğinin tespit edilmesini sağlayan scriptleri yayınlamasından sonra kabardı. Ürünü araştırdıkça, bir yandan ne kadar esnek ve kullanışlı olduğunu diğer yandan hakkında ne kadar az İngilizce kaynak olduğunu farkettim. Türkçe kaynak ise yok,bulamadım. Blog'un "az bilineni,az konuşulanı anlatmak" motto'su ile böyle bir yazı dizisi hazırlamaya karar verdim.<br />
<a name='more'></a><br />
İsmi logosundan anlaşıldığı gibi gözetleyen,gözleyen "Big Brother" teriminin kısaltmasından gelen bu ürünün mazisi Vern Paxson tarafından geliştirilmeye başladığı 90'lı yılların ortalarına kadar gidiyor,hemen hemen Snort'la yaşıt. Bro'yu Snort'dan ayıran en önemli nokta daha yüksek throughput,bir başka deyişle ağ trafiğinin Gb seviyesinde olduğu ortamlar ( tecrübe ve test etmedim ama Snort'un bu büyüklükte paket kaçırdığı yani paket kaybı yaşadığı söyleniyor) için tasarlanmış ve geliştirilmiş olması.Bunun da en büyük nedeni -Bro'yu geliştiren ekibin de sık sık üzerine basa basa belirttiği gibi- ürünün ciddi bilgisayar mühendisliği temeli ve akademik birikimle geliştirilmesi. Diğer bir nokta ise Snort paket dayalı iken,Bro'nun bağlantı dayalı bir ürün olması,bu da Bro IDS bağlantı bilgisini tutar ve bir bağlantıyı daha öncekilerle ilişkilendirebilir demek.<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgg3Vvqbu4K_nnfGyVF0Jzh2rYo9y6kjJN522rqgDDoN6FREimCCr6WrsCm0cNcBGK2p25RNIfycBIoAoPAoFl2rYvxhLY7aLWMnkeR6or0WnMiSh1c0l_wW3jFp2xQkizocgYvA3DorapJ/s1600/Bro_Pyramid.png" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" height="149" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgg3Vvqbu4K_nnfGyVF0Jzh2rYo9y6kjJN522rqgDDoN6FREimCCr6WrsCm0cNcBGK2p25RNIfycBIoAoPAoFl2rYvxhLY7aLWMnkeR6or0WnMiSh1c0l_wW3jFp2xQkizocgYvA3DorapJ/s200/Bro_Pyramid.png" width="200" /></a>Bro IDS'in temelinde ekibin geliştirdiği bir model ve bu modelin kullanıldığı -bro programming language de denen- betik ortamı var.<br />
Bro'nun esnekliği ve cazibesinin de asıl kaynağı bu programalam dili zaten. Diğer bir çok programlama dilinde olduğu gibi temelde C ve C++ olmasına rağmen öğrenmesi biraz zor bir dil. Bro'nun çok sahiplenilmemesi, yaygın kullanılmamasının en büyük nedenlerinden biri de bu bence. Ha bir de gui sever güvenlik uzmanları için bir arayüz sunmayışı :) En büyük eksiklerinden biri ise inline mod'da çalışmaması. Bir IDS'den inline mod'da çalışmasını beklemeyebilirsiniz,bağlantı sonlandırma,kesme gibi işlemler yapılmadığı için saçma gelebilir ama izlemek,analiz etmek istediğiniz trafiği fiziksel hub ve benzeri cihazlarla ya da port spanning gibi yöntemlerle Bro kurulu bilgisayar ya da sunucunuzun ilgili ethernet portuna yönlendirmek ağ cihazının performansın düşmesine ya da yükün artmasına neden olur,bu kaçınılmaz. Her ne kadar Bro IDS'i asıl kullanmaktaki amaç ağ trafiğini analiz etmek,anormal trafiği,saldırı izlerini tespit etmek olsa da,router/switch ACL'lerine tanım eklemek gibi yöntemler kullanılarak, Bro ile ağ trafiğine müdahele etmek de mümkün. Bro'nun geleceğinin çok parlak ve daha yaygın olarak kullanılacağını tahmin ediyorum.<br />
Bu kadar tarih bilgisi ve tanıtımdan sonra biraz pratik yapalım.<br />
Bro IDS, <a href="http://securityonion.blogspot.com/" target="_blank">Security Onion</a> dağıtımı ile birlikte birkaç adımlık konfigürasyon sihirbazından sonra çalışabilir ve kullanılabilir halde de geliyor ama blog yazıları için hazırladığım sanal ortamda Bro'yu en keyifli Linux dağıtımlarından Ubuntu 12.10 versiyonu üzerine kurarak anlatacağım.<br />
Bro IDS kaynak kodlarını indirip kuruluma başlamadan önce, Bro'nun ihtiyaç duyduğu paketleri<br />
<br />
<table class="sample" style="width: 100%px;">
<tbody>
<tr style="background-color: #f2f2f2; color: black; font-weight: bold;">
<td>apt-get install libncurses5-dev g++ bison flex libmagic-dev libgeoip-dev libssl-dev build-essential python-dev libpcap-dev cmake swig2.0 libssl0.9.8
</td>
</tr>
</tbody></table>
<br />
komutu ile kurduktan sonra Bro IDS kaynak kodları,<a href="http://www.bro.org/download/index.html" target="_blank">projenin web sitesinden</a> indirin.<br />
<br />
<table class="sample" style="width: 100%;">
<tbody>
<tr style="background-color: #f2f2f2; color: black; font-weight: bold;">
<td>./configure<br />
make<br />
make install</td>
</tr>
</tbody></table>
<br />
komutları ile kurun. ./configure betiğinde "<b>--prefix</b>" parametresi ile kurulumun yapılacağı başka bir dizin belirtmediyseniz Bro IDS "<b>usr/local/bro</b>" dizini altına kurulacaktır. Bu dizine "BRODİZİNİ" diyecek olursak, Bro IDS'i varsayılan ayarlarıyla kullanmaya başlamadan önce tek yapmamız gereken "BRODİZİNİ/etc" dizini altındaki "<b>networks.cfg</b>" ve "<b>node.cfg</b>" konfigürasyon dosyalarında gerekli değişiklikleri yapmak olacak. Networks.cfg konfigürasyon dosyası, "home network" diye tabir edilen kurum yerel ağınızın kullandığı Subnet'in tanımlandığı dosyadır (Resim 1) Burada belirtilen ağ adreslerine göre iç ve dış dünya analiz edilen trafikte birbirinden ayırdedilir.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj0wGScHSrhj8o0fKbO4Zp4G8pd4w8rqAupkhwtyPJJoxQXaNkGquAExiQORUgESf9TVMMc-XU520buP70qIh34-t7IlMnWZCqJu6vqfvRVAkmbaidErv0b7NyYStn7TE1m3LlrKseCWjxU/s1600/8_network_config.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="240" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj0wGScHSrhj8o0fKbO4Zp4G8pd4w8rqAupkhwtyPJJoxQXaNkGquAExiQORUgESf9TVMMc-XU520buP70qIh34-t7IlMnWZCqJu6vqfvRVAkmbaidErv0b7NyYStn7TE1m3LlrKseCWjxU/s320/8_network_config.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;">Resim 1</span></i></div>
Node.cfg ise trafik izlemesi,dinlemesi yapılacak ağ adaptörü ile birlikte Bro'nun tek başına ya da cluster mimarisinde çalışıp çalışmayacağının belirtildiği konfigürasyon dosyasıdır.( Resim 2 )<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEioPXrP5GBQQZbxV9Giw-UZbRn2Svh4jicT7YFQEXh760EOwAHjzWi7kLsF0An2m3kXUO7QeGAVcp4pv2vkJ99803W_hJdMoDib_nd20MsoEl1WI2Deyh47VuVZaWYUxAvxld_QKTi8ZpCD/s1600/8_node_config.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="240" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEioPXrP5GBQQZbxV9Giw-UZbRn2Svh4jicT7YFQEXh760EOwAHjzWi7kLsF0An2m3kXUO7QeGAVcp4pv2vkJ99803W_hJdMoDib_nd20MsoEl1WI2Deyh47VuVZaWYUxAvxld_QKTi8ZpCD/s320/8_node_config.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;">Resim 2</span></i></div>
<br />
Bu değişiklikleri yaptıktan sonra "<b>broctl</b>" komutuyla "Bro Kontrol" komut satırına geçin (Resim 3) ve bu yeni bir kurulum olduğundan ilk olarak "<b>install</b>" komutu ile varsayılan politikaları oluşturun (Resim 4). Daha sonra "<b>start</b>" komutunu verdiğinizde Bro IDS'in çalışmasını başlatmış olacaksınız (Resim 5). Bu haliyle,yani hiç bir politika tanımı yapmadan dahi,kurulumla birlikte gelen varsayılan politikalar kullanılarak belirttiğiniz ağ arayüzü ( network interface ) nden dinlenen/izlenen trafik analiz edilir erişim kayıtları,anormallikler bir takım log dosyalarına ASCII formatında yazılmaya başlar. Bro IDS şimdilik trafik ve olay kayıtlarını veritabanına yazmıyor. Log dosyalarında saklanan kayıtlar günlük olarak arşivleniyor. Geçmişe dönük GUI arayüzü ile sorgulama yapmayı düşünüyorsanız Bro IDS ile birlikte <a href="https://code.google.com/p/enterprise-log-search-and-archive/" target="_blank">ELSA</a> kullanabilirsiniz.<br />
Dizinin bu ilk yazısında Bro IDS'i tanımış oldunuz ve kurulumun ne kadar kolay olduğunu gördünüz. Devam edecek yazılarda Bro'nun log dosyalarından,log yapısından,konfigürasyon değişikliklerinden ve en önemlisi Bro betik dili ( Bro Scripting Language) ve Bro betiklerinden ( scripts ) bahsedeceğim.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhqcsHJjcOUHHXXPykO4T-t0OFGAoelb3VBjdY3QUIEApwLGY-x68a3TteNi9HPtZn_qtAvnF_8Po_ofLTJ7-3eJxnvwhTQUjWWcBMYiDExc9HCKbsVc5qO0hlEtyB3I4xqetkqUGIlIJsK/s1600/9_broctl.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="240" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhqcsHJjcOUHHXXPykO4T-t0OFGAoelb3VBjdY3QUIEApwLGY-x68a3TteNi9HPtZn_qtAvnF_8Po_ofLTJ7-3eJxnvwhTQUjWWcBMYiDExc9HCKbsVc5qO0hlEtyB3I4xqetkqUGIlIJsK/s320/9_broctl.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<span style="font-size: x-small;"><i>Resim 3</i></span></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhWyykSR97XuFyHGTGnTHwxFHpug-ounNY4DWOCChZmxWUWixiQT5_0uGhSka5r4UG9ae8udbO6GtNt98Kqw1A9FiysQL68dGq0Uqmui7QUL8BDR5KGJN-OiqKFeK9ZFZ_JnhoQJqptHSTH/s1600/9_broctl_install.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="240" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhWyykSR97XuFyHGTGnTHwxFHpug-ounNY4DWOCChZmxWUWixiQT5_0uGhSka5r4UG9ae8udbO6GtNt98Kqw1A9FiysQL68dGq0Uqmui7QUL8BDR5KGJN-OiqKFeK9ZFZ_JnhoQJqptHSTH/s320/9_broctl_install.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;">Resim 4</span></i></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjF7DlsLlTHxMM-RLQ4SlEMV-aHy1-hCFrQ6diao6VXPoU1_i6do4Vwkx9ude9AHfNA381c08HEbgJUUyiHO9N7mV6mtmmv8XXSqlgPPK0VNq22zCD5fcOzyFKUhKQfGKe0Zq9V00mdCYMu/s1600/9_broctl_start.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="240" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjF7DlsLlTHxMM-RLQ4SlEMV-aHy1-hCFrQ6diao6VXPoU1_i6do4Vwkx9ude9AHfNA381c08HEbgJUUyiHO9N7mV6mtmmv8XXSqlgPPK0VNq22zCD5fcOzyFKUhKQfGKe0Zq9V00mdCYMu/s320/9_broctl_start.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<span style="font-size: x-small;"><i>Resim 5</i></span></div>
<br />Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-1869987042454684146.post-3986352921420233842013-03-26T23:00:00.000+02:002013-03-27T13:56:46.469+02:00Chrome'da Kayıtlı Form verilerini temizleme<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhQCRaVv2nVoTpYrfs8ZJdJG3hhwopM5tMCY53WGSV8wNyvoWVlyH1PuYyJ9QFjJhhfjbEro4r5qPjRY3TNSUjlvvqfu-Otv0KAO4Z_M7ZDs9PZFtntHBX10dYWC81yk7M25I_KN4IzS5wC/s1600/Tips.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="198" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhQCRaVv2nVoTpYrfs8ZJdJG3hhwopM5tMCY53WGSV8wNyvoWVlyH1PuYyJ9QFjJhhfjbEro4r5qPjRY3TNSUjlvvqfu-Otv0KAO4Z_M7ZDs9PZFtntHBX10dYWC81yk7M25I_KN4IzS5wC/s200/Tips.jpg" width="200" /></a></div>
Browser'ların Autofill özelliği tekrar tekrar kutucuklara aynı harfleri,kelimeleri yazma zahmetinden kurtaran bir nimettir aslında. Hele benim gibi aynı mailbox'ı günde onlarca kez erişmek için kullandığınız kullanıcı adı/parolayı gözü kapalı yazacak kadar parmaklarınız refleks kazandıysa. Çoğu zaman aceleyle yazılan harfler,yanlışlıkla basılan Enter tuşu bazen kullanıcı adını tam olarak yazamamanıza, ya da dikkatsizlik sonucu kullanıcı adı kutucuğuna parolanızı yazmanıza neden olmuştur. İstenmeden yazılan bu harfler ve kelimeler aynı giriş formunun kutucuğunda her zaman karşınıza çıkar. Ya da belki - hani çok mecbur kaldınız - kişisel bilgisayarınızın haricinde bir takım bilgisayarları kullanmak zorunda kaldınız. Bu durumda sizinle birlikte aynı bilgisayarı kullanan farklı kişiler gerekli tedbirleri almazsanız en azından kullanıcı adınızı kolaylıkla öğrenebilirler. Tek yapmaları gereken imleci kutucuğun üzerine getirmek. Neyse çok uzatmayayım,anlatmak istediğimi anladığınızı umuyorum. Uzun zamandır canımı sıkan bu konuyu bugün kökten çözmeye karar verdim. Yazının başında belirttiğim gibi bu özellik çoğu zaman işimi kolaylaştırıyor,dolayısıyla kayıtlı tüm form verilerini silmek istemiyorum. Benim istediğim,Resim 1'de gösterildiği gibi belirli sayfalarda kendi kullanıcı adımın dışında abuk subuk kullanıcı isimlerinin görünmemesi.<br />
<a name='more'></a><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg9gOmT6JaUR1Q0uycgOr7mQzIhc39s1Z88F9fVBME2FZ2HqOanVBy8asB-WGpqky4NUyiprHwfV-nsiP796c4f39TYGJTf1sLV4Vgtk-K6GFCZy18FzP73DunZikZQJq1Ex54FI9t05YYS/s1600/2013-03-27_103204.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="269" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg9gOmT6JaUR1Q0uycgOr7mQzIhc39s1Z88F9fVBME2FZ2HqOanVBy8asB-WGpqky4NUyiprHwfV-nsiP796c4f39TYGJTf1sLV4Vgtk-K6GFCZy18FzP73DunZikZQJq1Ex54FI9t05YYS/s320/2013-03-27_103204.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;">Resim 1</span></i></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Chrome tarayıcısında bu tip istenmeyen kayıtlı verilerden kurtulmanın en kestirme yolu Liste kutusunda silinecek değeri seçtikten sonra klavyenin "Delete" tuşuna basmak. Bu kadar kolay :) Ama yok ben heyecan ararım,zoru severim derseniz önce <a href="http://sourceforge.net/projects/sqlitebrowser/" target="_blank">SQLite Database Browser</a>'ı indirin. Kurulum gerektirmeyen küçük bir uygulama. Çalıştırmadan önce Chrome'u kapatın,ki kullanım sırasında kilitlenen dosyalara ulaşabilesiniz. SQLite Database Browser'ı çalıştırdıktan sonra </div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
<b>%userprofile%\Local Settings\Application Data\Google\Chrome\User Data\Default\</b></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
konumundaki "Web Data" dosyasını açın ( Resim 2 )</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjGiLbM4vOf-BEpesJhzHHJBlHL4iZ5SvUzcNN10QSCl-qPID1K8UUdikN-MzYdPFJe6TDajf-XwWS91gVQvbcSYnRRuwQoDOZsVWNq3iZokHVu1ruLnBQxom-vQ7OQDa7HXdr9FdTJ5DQr/s1600/2013-03-27_132934.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="180" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjGiLbM4vOf-BEpesJhzHHJBlHL4iZ5SvUzcNN10QSCl-qPID1K8UUdikN-MzYdPFJe6TDajf-XwWS91gVQvbcSYnRRuwQoDOZsVWNq3iZokHVu1ruLnBQxom-vQ7OQDa7HXdr9FdTJ5DQr/s320/2013-03-27_132934.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;">Resim 2</span></i></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Aracın "Browse Data" sekmesinde "autofill" tablosunu seçtiğinizde, tarayıcının Autofill özelliği ile kaydedilmiş form verileri listelenir. Filtreleyerek ya da silinmesi istenen verinin bulunduğu satır seçilerek sildikten sonra dosyayı kaydederseniz bu verilere veda etmiş olursunuz. (Resim 3)</div>
<div class="separator" style="clear: both; text-align: left;">
Farkında olmadan Browser Forensics konusuna da girmiş oldunuz :)</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEitz_xasr8XZkXoibNDAFyTD-FG8HFm27ySbj_rl-zRjSz2nKQ8OhuJNJ7nueH3K3Oop-fHH6usIIvNmpDIrlC2NrEu1s8Oz-26ffRrCs4B1rBZmALqEMehsaazii7bg__TSPSBvKEkt5Bg/s1600/sqllite_delete.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="227" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEitz_xasr8XZkXoibNDAFyTD-FG8HFm27ySbj_rl-zRjSz2nKQ8OhuJNJ7nueH3K3Oop-fHH6usIIvNmpDIrlC2NrEu1s8Oz-26ffRrCs4B1rBZmALqEMehsaazii7bg__TSPSBvKEkt5Bg/s320/sqllite_delete.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;">Resim 3</span></i></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<br />Unknownnoreply@blogger.com1tag:blogger.com,1999:blog-1869987042454684146.post-42500700752768761472013-03-25T22:30:00.000+02:002013-03-31T17:03:27.829+03:00Ramiz - AssHat<style>
blockquote {
font-family: Georgia, serif;
font-size: 12px;
font-style: italic;
width: 500px;
margin: 0.25em 0;
padding: 0.25em 40px;
line-height: 1.45;
position: relative;
color: #383838;
}
blockquote:before {
display: block;
content: "\201C";
font-size: 80px;
position: absolute;
left: 85px;
top: -20px;
color: #7a7a7a;
}
blockquote cite {
color: #999999;
font-size: 14px;
display: block;
margin-top: 5px;
margin-left: 50px;
margin-right: 10px;
}
blockquote cite:before {
content: "\2014 \2009";
}
</style>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg_qPqie13M03GcVv-QxXuAuUrlynFVpdnj3QooaJ0kjsTx_FbIqrF2NDhxkkRIZtueDrxycwFJM4_fw7qBmN6D1RPQBcwtzMFdYzuanPm0xhJS15WXBc1_hC9NUGFK7T5YvSLYXAUEsiLM/s1600/Ramiz.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg_qPqie13M03GcVv-QxXuAuUrlynFVpdnj3QooaJ0kjsTx_FbIqrF2NDhxkkRIZtueDrxycwFJM4_fw7qBmN6D1RPQBcwtzMFdYzuanPm0xhJS15WXBc1_hC9NUGFK7T5YvSLYXAUEsiLM/s1600/Ramiz.png" /></a></div>
<blockquote>
<cite>
BlackHat,WhiteHat,GrayHat...yeterli teknik bilgiye sahip insanlardır, ama iyi ama kötü.Bir de AssHat vardır yeğen, bir şey bilmez ama biliyor görünür,çoğunlukla tercümeden fazlasını yapamaz.</cite></blockquote>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-1869987042454684146.post-14844944844197955422013-03-18T22:20:00.000+02:002013-04-18T16:56:47.074+03:00Windows Credential Editor ile Hash Passing - Nass oluyor da oluyor?Bu yazıyı okuduktan sonra uykularınız kaçabilir,çünkü Amplia Security firmasının ücretsiz Windows Credential Editor aracından bahsedeceğim. Bu araç incognito,lsadump2,gsecdump,fgdump ve benzeri diğer araçlar gibi windows işletim sistemi kullanan bilgisayarlardaki NTLM ( NT + LM ) hashlerini listeleyebiliyor, security token'ları çalabiliyor, hatta depolanmış credential'ları açık şekilde ( clear text ) gösterebiliyor. Tool çalışmak için yönetici yetkilerine ihtiyaç duyuyor. Bu son cümle hevesinizi kırmasın, "bilgisayarda yönetici isem ne diye bu tip araçlar kullanayım ki?" diye düşünmeyin.<br />
Kurumsal olsun olmasın, hemen hemen tüm firmalarda domain yöneticisi hakkına sahip sistem yöneticileri, yardım masası çalışanları sık sık kullanıcı bilgisayarlarına uzaktan erişir, "Run As" benzeri yöntemlerle ve daha yetkili kullanıcı hesaplarıyla bir takım işlemler yapar. Çoğu zaman sorunu çözmek için bu tip kestirme ve pratik yöntemler kullanılır. Ya da bir takım prosesler veya servisler ( antivirüs uygulaması vb ) kullanıcı bilgisayarlarında ya da sunucularda yine genellikle domain çapında yüksek yetkili kullanıcı hesaplarıyla çalıştırılır. Sistem yöneticisi kardeşlerimiz kendilerinden "domain admin" yetkisinde bir hesabın parolası girilmesi istendiğinde kasıla kasıla gelirler parolayı yazacakları kutucuğun başına.<br />
<a name='more'></a><br />
Daha fazla uzatmayayım, eğer bir bilgisayarda ( windows tabanlı bilgisayarlar özelinde konuşuyorum ) bir kullanıcı hesabına ait bilgiler bir yerlerde kullanıyorsa ya da kullanıldıysa WCE aracı size ilgili hesabın parolasını,hash'ini,tokenını ıvırını zıvırını gösterebiliyor. Parola ne kadar uzun,ne kadar karmaşık olursa olsun.<br />
WCE bir post-exploitation aracı,yani çalıştıracağınız bilgisayarda yönetici haklarına sahip değilseniz önce söke söke almanız, bilgisayardaki zaafiyetleri kullanarak bu aracı çalıştırabilir duruma gelmeniz gerekiyor. Önemli bir özelliği ise hesaba ilişkin parola bilgilerini işletim sistemi hafızasından ediniyor olması.Bu nedenle "-e" parametresi ile araca sürekli yeni bilgileri gösterme özelliği eklenmiş ama yine de hızlı olmakta, bilgiler hafızadan uçup gitmeden edinmekte fayda var.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhKjgr8vG9hzqIMr6okkgglIda11ELXu8vnSmpAbZELnEhRtfhivxMDJGGCeIjt3SiWIIyW0poYcrXM5sXQzmSbtYQkyRm1t11xqjDREL0fM17wnSZ5nSrlgxHTiYgsUMHnKMvMqbJjhpZi/s1600/wce_l.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="187" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhKjgr8vG9hzqIMr6okkgglIda11ELXu8vnSmpAbZELnEhRtfhivxMDJGGCeIjt3SiWIIyW0poYcrXM5sXQzmSbtYQkyRm1t11xqjDREL0fM17wnSZ5nSrlgxHTiYgsUMHnKMvMqbJjhpZi/s320/wce_l.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;">Resim 1</span></i></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;"><br /></span></i></div>
Resim 1'deki parola hash'leri "LAB" Wins isimli 2008 R2 domainine dahil 2008 Enterprise sunucuya "Domain Users" grubuna üye "pooruser" isimli bir kullanıcı hesabıyla oturum açıldıktan sonra, Administrator hesap bilgileri kullanılarak çalıştırılan bir uygulama ( notepad ) sonrasında alındı. Domain yöneticisi "Administrator" hesabına ait NTLM hashinin, domain controller ( DC ) sunucusuna PTH ( pass the hash ) yöntemi ile erişimde nasıl kullanıldığını yazının sonlarına doğru göstereceğim. Yine çok kullanıcılı firmalarda klonlama gibi yöntemler kullanıldığı için bilgisayarların,sunucuların lokal yönetici hesaplarının parolalarının da firma genelinde aynı olduğu unutulmamalı.<br />
-w parametresi ise işletim sistemine oturum açmada kullanılan hesapların parolalarını açık bir şekilde gösterir. (Resim 2)<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgjwIQ4dByVsYdc7FsDFHZM_UbWV_WO6TkMcRN6aS0F8jFogoCHks9n7ZwcV21rBOknH4-L3C-0MQ-JfBs31ImSFE7ZSUS9sZZAPfyjHz0BRWSPBojQl62lQ1IVYMFrSgCdk3cuRs-4C1sS/s1600/dump.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="187" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgjwIQ4dByVsYdc7FsDFHZM_UbWV_WO6TkMcRN6aS0F8jFogoCHks9n7ZwcV21rBOknH4-L3C-0MQ-JfBs31ImSFE7ZSUS9sZZAPfyjHz0BRWSPBojQl62lQ1IVYMFrSgCdk3cuRs-4C1sS/s320/dump.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;">Resim 2</span></i></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;"><br /></span></i></div>
Yukarıdaki ekran görüntüsü "wsadmin" isimli Domain Yöneticisi hesapla herhangi bir windows servisi çalıştırılan bir sunucudan alındı.<br />
"Ben yine de hash kullanayım, adrenalin olsun derseniz eğer, "-s" parametresiyle mevcut oturumun hesap bilgilerini değiştirebilir ( Resim 3-1), "-s" parametresini "-c" parametresiyle birlikte kullanarak yeni bir oturumda komut çalıştırabilir, yeni oturum bilgileriyle altyapıdaki diğer sunuculara özgürce,sınırsızca erişebilirsiniz. Resim 3'te 2 numara ile gösterilen komutla, domain admin hesabına ait parola hash'i, domain controller sunucusuna (10.10.10.4 IP adresli sunucu) erişmek için kullanılıyor. Bu yönteme de Passing The Hash deniyor ve sızma testleri sırasında kullanılan en kestirme yöntemlerden biri.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg4-F5xnIPqWWcN4Kc-kEyOQS_ArE6vdhVWhQ_dj-Nr9izi72kdF1ortDjir_CJj7OqA6E2V9_6hvqnSPiNn2HYQL8BWhSueDqfWLY1UV-PyTgpV6m454UGGv-UOdvv4F173CR_TjS_p0pj/s1600/wce_pth.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="158" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg4-F5xnIPqWWcN4Kc-kEyOQS_ArE6vdhVWhQ_dj-Nr9izi72kdF1ortDjir_CJj7OqA6E2V9_6hvqnSPiNn2HYQL8BWhSueDqfWLY1UV-PyTgpV6m454UGGv-UOdvv4F173CR_TjS_p0pj/s320/wce_pth.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;">Resim 3</span></i></div>
<br />
Kullanıcı hesap bilgilerinin bu şekilde kullanımını tamamen önlemese de, kısmen engelleyebilecek bazı fiziksel ve mantıksal önlemler var. Bir başka yazıda da uygulanabilecek yöntemlerden bahsedeceğim.<br />
<br />
<br />
<i><span style="font-size: x-small;">İlgili Yazılarım</span></i><br />
<a href="http://umut-simsek.blogspot.com/2013/04/hashini-seven-kovboy-heykrlara-karsi.html">Hash'ini Seven Kovboy Heykır'lara Karsi - Nass oluyor da oluyor?</a><br />Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-1869987042454684146.post-33533299615474213592013-02-27T17:24:00.000+02:002013-04-08T14:30:46.693+03:00Ubuntu'yu C&C++ Kodlama için Kullanmak - Nass oluyor da oluyor?<style type="text/css">
table.sample {
border-width: 1px;
border-spacing: 0px;
border-style: solid;
border-color: gray;
border-collapse: collapse;
}
table.sample th {
border-width: 1px;
padding: 4px;
border-style: inset;
border-color: gray;
-moz-border-radius: ;
}
table.sample td {
border-width: 1px;
padding: 4px;
border-style: inset;
border-color: gray;
-moz-border-radius: ;
}
</style>
Bu post güvenlikle çok yakından alakalı olmamakla birlikte Linux'de C ve/veya C++ kodlama yapmak isteyenlerin işine yarayabilir. Ben de zaman zaman ihtiyaç duyduğum ve her seferinde sanal makinede cebelleştiğim ve cevabı birbirinden farklı sitelerde bulabildiğim için yazıyorum. Varsayılan kurulumda yapılması gerekenler çok basit;<br />
<br />
<br />
<table class="sample" style="width: 100%;">
<tbody>
<tr style="background-color: #f2f2f2; color: black; font-weight: bold;">
<td>sudo apt-get update ( paket listesini günceller)<br />
sudo apt-get upgrade (makinede <u>kurulu</u> tüm paketleri günceller)<br />
sudo apt-get install build-essential ( GNU C ve C++ compilerlar için gerekli paketleri kurar )</td>
</tr>
</tbody></table>
<br />
<a name='more'></a><br />
Linux makineniz benimki gibi sanalsa ve ortamda internet erişimi için HTTP proxy kullanılıyorsa, apt'nin proxy 'yi kullanabilmesi için terminal penceresinden<br />
<br />
<table class="sample" style="width: 100%;">
<tbody>
<tr style="background-color: #f2f2f2; color: black; font-weight: bold;">
<td>export http_proxy=http://proxy_adresi:proxy_portu
</td>
</tr>
</tbody></table>
<br />
<br />
ile değişkeni açtığınız terminal oturumu için geçici olarak uygulayabilirsiniz,ya da değişikliğin kalıcı olmasını istiyorsanız<br />
<br />
<table class="sample" style="width: 100%;">
<tbody>
<tr style="background-color: #f2f2f2; color: black; font-weight: bold;">
<td>gksudo gedit /etc/apt/apt.conf
</td>
</tr>
</tbody></table>
<br />
dosyasına aşağıdaki satırı eklemeniz gerekli. Konfigürasyon dosyası yoksa oluşturmalısınız.<br />
<br />
<table class="sample" style="width: 100%;">
<tbody>
<tr style="background-color: #f2f2f2; color: black; font-weight: bold;">
<td>Acquire::http::Proxy "http://proxy_adresi:proxy_portu";
</td>
</tr>
</tbody></table>
<br />
Kod yazarken "Code::Blocks" veya "Anjuta" IDE'lerini kullanmanızı öneririm. Bu IDE'leri de Ubuntu Software Center'dan bir tıkla kurabilirsiniz.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgzQFy0CU4wyW2nPOHPonz_P9rj879g4vtmx3NEJDHtwAZkj-M9P2tPlsGp_7F_h_k7B0bCYo48aQtKEh_iXf1cuXbtDYMzYXi54GBhYZgWLj1qB_cYzQsXN1IuZK8g4HnJq6wUIjysvnDj/s1600/ide.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="240" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgzQFy0CU4wyW2nPOHPonz_P9rj879g4vtmx3NEJDHtwAZkj-M9P2tPlsGp_7F_h_k7B0bCYo48aQtKEh_iXf1cuXbtDYMzYXi54GBhYZgWLj1qB_cYzQsXN1IuZK8g4HnJq6wUIjysvnDj/s320/ide.png" width="320" /></a></div>
<br />
<br />Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-1869987042454684146.post-49481002109002262642013-02-12T14:06:00.000+02:002013-02-27T17:25:27.149+02:00Ramiz - güvenlik uzmanı arayaşı<style>
blockquote {
font-family: Georgia, serif;
font-size: 12px;
font-style: italic;
width: 500px;
margin: 0.25em 0;
padding: 0.25em 40px;
line-height: 1.45;
position: relative;
color: #383838;
}
blockquote:before {
display: block;
content: "\201C";
font-size: 80px;
position: absolute;
left: 85px;
top: -20px;
color: #7a7a7a;
}
blockquote cite {
color: #999999;
font-size: 14px;
display: block;
margin-top: 5px;
margin-left: 50px;
margin-right: 10px;
}
blockquote cite:before {
content: "\2014 \2009";
}
</style>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg_qPqie13M03GcVv-QxXuAuUrlynFVpdnj3QooaJ0kjsTx_FbIqrF2NDhxkkRIZtueDrxycwFJM4_fw7qBmN6D1RPQBcwtzMFdYzuanPm0xhJS15WXBc1_hC9NUGFK7T5YvSLYXAUEsiLM/s1600/Ramiz.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg_qPqie13M03GcVv-QxXuAuUrlynFVpdnj3QooaJ0kjsTx_FbIqrF2NDhxkkRIZtueDrxycwFJM4_fw7qBmN6D1RPQBcwtzMFdYzuanPm0xhJS15WXBc1_hC9NUGFK7T5YvSLYXAUEsiLM/s1600/Ramiz.png" /></a></div>
<blockquote>
<cite>
Güvenlik deyince sslvpn'den başka kelime bilmezken neden CISSP sertifikası sahibi;bünyende bir tane bile unix ve/veya türevi işletim sistemi barındırmazken neden ileri derecede linux bilgisi sahibi güvenlik uzmanı ararsın; COBIT'i standart sanarsın,simitçi'den hallice ingilizce bilginle "ingilizce biliyor musun?" diye sorarken hiç mi yüzün kızarmaz kardeş?</cite></blockquote>
Unknownnoreply@blogger.com1tag:blogger.com,1999:blog-1869987042454684146.post-83619932236943583952013-02-11T22:00:00.000+02:002013-02-13T15:41:10.982+02:00300 ve Bilişim Güvenliği Analojisi - Nass oluyor da oluyor?<div class="separator" style="clear: both; text-align: left;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjPo8s74NEqw3GuZ84jsUIHei02fKG8GsVOQmMN8tRShakk5aeGIlBzg6JD0xIWR_2vuQOv-JEhWAbHzvWHTUmVil_4fRGKarZ_NxFi7hTXRLFkadvXVTSPj34IKfrKFMLNzYnaeL0lGhbV/s1600/300_2.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="106" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjPo8s74NEqw3GuZ84jsUIHei02fKG8GsVOQmMN8tRShakk5aeGIlBzg6JD0xIWR_2vuQOv-JEhWAbHzvWHTUmVil_4fRGKarZ_NxFi7hTXRLFkadvXVTSPj34IKfrKFMLNzYnaeL0lGhbV/s200/300_2.jpg" width="200" /></a>2006 yapımı "300" filmi pers ordusuna karşı kral Leonidas liderliğinde topraklarının bağımsızlığı için mücadele eden 300 spartalının öyküsünü ve Termopylae savaşını anlatır. Beni en fazla etkileyen savaş sahnelerinden bazıları bu filmdedir. Yakın zamanda bir tv kanalında tekrarını izlerken spartalıların mücadelesi oldukça tanıdık geldi, bundan sonra yapacağım sunumlarda da filmden çeşitli kareleri kullanmayı düşünüyorum.</div>
<a name='more'></a><br />
<div class="" style="clear: both; text-align: left;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhYEHpXw5aYhs0JQDVxeMXbE1OcQ4mTDNqTnY-xwAaQtvocCInwvP8q6TaAKtoxIW1N1a4G9gk7Bodf7hJCNtkwkPZIi4N_mvKhwFezuaxYqD1RgLE_DEgBdHYq524bIAKzjFJnAqe9Ypnl/s1600/300_1.jpg" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" height="179" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhYEHpXw5aYhs0JQDVxeMXbE1OcQ4mTDNqTnY-xwAaQtvocCInwvP8q6TaAKtoxIW1N1a4G9gk7Bodf7hJCNtkwkPZIi4N_mvKhwFezuaxYqD1RgLE_DEgBdHYq524bIAKzjFJnAqe9Ypnl/s320/300_1.jpg" width="320" /></a>Bilişim güvenliği uzmanlık dalında çalışanları,özellikle de kurumların bilişim güvenliği ekiplerini 300 kişilik sparta ordusuna benzetirim.Dış dünyaya açık olmanın doğurduğu riskler,muhtemel tehditler,saldırı ve saldırganların sayısı o kadar fazladır ki, bazen kendinizi yetersiz,sayıca az hisseder umutsuzluğa kapılırsınız. Çoğu zaman tek başınıza uzman olmadığınız onlarca ürünün güvenliğinden sorumlu olursunuz. Oysa kendisini bu ürünlerden herhangi birindeki zaafiyetleri tespit etmeye adamış binlerce,milyonlarca saldırgan vardır.Nereden geldiği belli olmayan port taramaları filmde gökten yağan oklara benzer. DDoS saldırılarının boyutu fil savaşçıları kadar büyük olabilir. Saldırgan profilini,kimi zaman ne bulduysa eline alıp saldırmaya kalkışan piyadeler gibi "script kiddie" terimiyle ifade edilen yeterli teknik bilgiden yoksun ve yaş ortalaması düşük zararlılardan veya, Pers kralı XerXes'in seçkin askerlerinden oluşan "ölümsüzler"i gibi tecrübeli ve nasıl saldırması gerektiğini bilen,işinin ehli hatta bir başka devletin desteklediği uzmanlardan da oluşabilir. Ephialtes'ın ihaneti kadar olmasa da,bilerek ya da bilmeyerek kurumun güvenliği için gereken hassasiyeti göstermeyen iç tehditlerle de mücadele edersiniz. Savaşma konusunda ne kadar yetkin olunursa olunsun, kralın dahi arkasında kararlarını destekleyecek bir meclis olması,yönetimin desteğine benzer.</div>
<div class="" style="clear: both; text-align: left;">
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi57KKbnB23Yd_Px4Df7pnRZS90PEEieaDRNRH5uxP-ieGBS-XaZccjuej0yCc_xJzbBBjlwflLex0GozhsiXXls5Gpj9vD0NTkgPXagZUMg8HyinZTuRWLx-8zxpPMv0YbVAROPHp2_pj0/s1600/300_4.jpg" imageanchor="1" style="clear: left; display: inline !important; float: left; margin-bottom: 1em; margin-right: 1em; text-align: center;"><img border="0" height="179" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi57KKbnB23Yd_Px4Df7pnRZS90PEEieaDRNRH5uxP-ieGBS-XaZccjuej0yCc_xJzbBBjlwflLex0GozhsiXXls5Gpj9vD0NTkgPXagZUMg8HyinZTuRWLx-8zxpPMv0YbVAROPHp2_pj0/s320/300_4.jpg" width="320" /></a></div>
Bütçe ve RTO gibi mazeretlerle çalışan sayısı bir elin parmaklarını geçemeyen güvenlik ekipleri bu ve sayamadığım daha fazla ve türlü saldırıyla baş edebilmek,başarılı olabilmek için spartalı askerler gibi kendi içinde ve diğer birimlerle uyum içinde hareket etmelidir. Ekip üyelerinin savunma becerileri kadar saldırı kabiliyetleri de önem kazanır. Sparta'lılar gibi ordunuzu genç yaşta vahşi doğada kendilerini ıspatlamış savaşçılardan oluşturamayabilirsiniz, ama "çok yetkin ve tecrübeli olmasın,az maaş istesin" zihniyetiyle seçtiğiniz savaşçılarla vereceğiniz mücadelelerde hezimete uğrarsınız. Penetrasyon becerileri,kılıç,kalkan ya da mızrak gibi elinizdeki güvenlik araçlarının kabiliyetlerini bilmek ve en iyi şekilde kullanmak,savunma hattınızın mümkün olduğu kadar ilerde, ISP saflarında başlaması sizi zafere götürecektir.<br />
<br />
Saldırılara karşı kazanacağınız zaferlerin tarihe geçeceğini ya da dilden dile dolaşacağını sanmayın. Saldırı başarılı olmadıkça sizin dışınızda kimse olanın bitenin farkında olmayacak :) Bir fırsatını bulursanız 300 filmini bir de bu bakış açısıyla seyredin.</div>
<div class="" style="clear: both; text-align: left;">
<br /></div>
<div class="" style="clear: both; text-align: left;">
</div>
<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjvnHrZjYaIgZRXh5oLjYTVKK7UfBT7wfwTqwklb_HrI9ir6Zzew9dPmJbuuRoV9bS02HssXcOQr2b0xJM5VZ4sbQ2f17I_W_qtD8r5sUfrWLIkYmsOsmb0KfP1gkNWtb7IKfpdEdcM4rsj/s1600/300_1.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><br /></a>
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-1869987042454684146.post-18001849237615776282013-01-29T22:00:00.000+02:002013-01-31T16:09:17.208+02:00Ramiz - yerli ürün<style>
blockquote {
font-family: Georgia, serif;
font-size: 12px;
font-style: italic;
width: 500px;
margin: 0.25em 0;
padding: 0.25em 40px;
line-height: 1.45;
position: relative;
color: #383838;
}
blockquote:before {
display: block;
content: "\201C";
font-size: 80px;
position: absolute;
left: 85px;
top: -20px;
color: #7a7a7a;
}
blockquote cite {
color: #999999;
font-size: 14px;
display: block;
margin-top: 5px;
margin-left: 50px;
margin-right: 10px;
}
blockquote cite:before {
content: "\2014 \2009";
}
</style>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhXEGglq0lXVLD3Z467LtqzNPOfbc2sjYu7jTgqbVKyoxOihhIo-dvwihdfhKbozYhoJSFez1kLYQrQjsNBUIT90Gs-rqkB9PmaAnyvQgySh9nPucH9Mop_vzdoc4WdoTCCV7bdlCe1N7sT/s1600/Ramiz.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhXEGglq0lXVLD3Z467LtqzNPOfbc2sjYu7jTgqbVKyoxOihhIo-dvwihdfhKbozYhoJSFez1kLYQrQjsNBUIT90Gs-rqkB9PmaAnyvQgySh9nPucH9Mop_vzdoc4WdoTCCV7bdlCe1N7sT/s1600/Ramiz.png" /></a></div>
<blockquote><cite>
Kullanan yabancısı olduktan sonra işletim sisteminin yerli olup olmaması neyi değiştirir. Mail sunucunu,Veritabanı sunucunu,Antivirüs Uygulamanı,IPS'ini,Firewall'unu,Printer'ını, telefon santralini ... bunları da yerlileştirmeden rahat edebilecek,güvendeyim diyebilecek misin?</cite></blockquote>Unknownnoreply@blogger.com1tag:blogger.com,1999:blog-1869987042454684146.post-71768950925529626352013-01-28T21:00:00.000+02:002013-01-31T16:09:31.465+02:00Ramiz - güvenlik uzmanı<style>
blockquote {
font-family: Georgia, serif;
font-size: 12px;
font-style: italic;
width: 500px;
margin: 0.25em 0;
padding: 0.25em 40px;
line-height: 1.45;
position: relative;
color: #383838;
}
blockquote:before {
display: block;
content: "\201C";
font-size: 80px;
position: absolute;
left: 85px;
top: -20px;
color: #7a7a7a;
}
blockquote cite {
color: #999999;
font-size: 14px;
display: block;
margin-top: 5px;
margin-left: 50px;
margin-right: 10px;
}
blockquote cite:before {
content: "\2014 \2009";
}
</style>
Blog'a biraz renk katacağını umarak Tuncel Kurtiz'in canlandırdığı Ramiz dayı karakterinin ağzından çoğu zaman güncel olayların ve tecrübelerin neden olduğu sinir bozukluğu ve can sıkıntısı ürünü kısa,uzatmaya değmeyecek ama mesaj kaygısı olan cümleler kuracağım :) Fazla ciddiye almayabilirsiniz<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEidaEST8jsAM4hdOjuxKH5S2avQWgepCBv7j_OfF6aP5oNEE6Xt_-lcxrBOzQkUTskm1CfBAq3ntmcF2UxsA7Nu6IcZrrAvWRja6wJ9alExuFfoq52Rtz4nlk5C1Ek8MQD71Wwp5u0k2Ljv/s1600/Ramiz.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEidaEST8jsAM4hdOjuxKH5S2avQWgepCBv7j_OfF6aP5oNEE6Xt_-lcxrBOzQkUTskm1CfBAq3ntmcF2UxsA7Nu6IcZrrAvWRja6wJ9alExuFfoq52Rtz4nlk5C1Ek8MQD71Wwp5u0k2Ljv/s1600/Ramiz.png" /></a></div>
<div>
<blockquote><cite>
Firewall'da kural tanımlamak seni güvenlik uzmanı yapmaz yeğen,firewall operatörü yapar</cite></blockquote></div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-1869987042454684146.post-38078421823613728332013-01-23T22:00:00.000+02:002013-01-30T13:23:11.247+02:00Infografik Özgeçmiş'im<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi45AQ8uVXe5i0FvYsoesHibjZMFt94OKz2ZuIrvjgzKw6RIDUOEr_e5e_aZPErSAmUCZroWFg3HJoRlh9b01ytEYh2-T2jNnKvByLL05HXfJkXmrN3_Q_OVdfNhco_Dbup_UsRB1HBBD4d/s1600/UMUT+Infographic+Resume_Censored.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi45AQ8uVXe5i0FvYsoesHibjZMFt94OKz2ZuIrvjgzKw6RIDUOEr_e5e_aZPErSAmUCZroWFg3HJoRlh9b01ytEYh2-T2jNnKvByLL05HXfJkXmrN3_Q_OVdfNhco_Dbup_UsRB1HBBD4d/s200/UMUT+Infographic+Resume_Censored.png" width="141" /></a></div>
İnfografik,bilgi ve verinin görsel olarak gösterildiği,sergilendiği grafik, ya da verinin bu tip grafiklerle gösterilmesi zanaati. Reklam kampanyalarında,afişlerde,broşürlerde uzun zamandır kullanılıyor. Ben de BT güvenliğini konu alan birkaç infografik gördükten sonra ilgilenmeye başladım bu konuyla ve kendime infografik özgeçmiş hazırladım,fikir ve ilham vermesini umarak ve geneli ilgilendirmeyen ayrıntıları gizleyerek paylaşıyorum. Grafik tasarım,dizayn işiyle uğraşanların ki kadar renkli olmasa da klasik özgeçmişe nazaran daha ilgi çekici ve akılda kalıcı. Tavsiye ediyorum,kullanın.Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-1869987042454684146.post-74049680599573966312013-01-10T15:11:00.000+02:002013-01-10T15:13:48.385+02:00Windows 2008 R2'de Tavsiye Ettiğim Denetim Ayarları - Nass oluyor da oluyor ?Microsoft Windows 2008'in R2 sürümüyle birlikte Denetim politikalarına (Audit Policy) alt kategoriler ekledi. Böylece daha önce 9 kategoride düzenlenebilen denetim ayarı sayısı 53'e çıkarılmış oldu. İleri güvenlik denetim politikaları (Advanced Security Audit Policy) hakkında bundan fazla açıklama yapmadan hızlıca olay kayıtlarını çöplüğe çevirmeden sunucularınızda uygulayabileceğiniz ayarları tablo halinde vermek istiyorum,tek tek neden alt kategorilerde bu ayarları yaptığımı da anlatmayacağım merak eden açsın okusun kardeşim (<a href="http://technet.microsoft.com/en-us/library/dd772712(v=ws.10).aspx" target="_blank">bkz</a>) . Sunucularınızın verdiği hizmetlere,yüklendiği rollere göre değişiklik yapmanız gerekebilir. Dosya sunucunuzda Dosya Paylaşım denetimlerini sadece başarısız erişimleri kayıt altına alacak şekilde değiştirmek isteyeceksinizdir mesela.<br />
Tablodaki ayarları "Local Group Policy Editor","Local Security Policy" MMC'leri grafik arayüzünü kullanarak ya da işletim sistemiyle birlikte gelen "Auditpol" aracıyla uygulayabilirsiniz. Dikkat etmeniz ve unutmamanız gereken nokta Auditpol aracıyla yaptığınız değişiklikleri MMC Snapin'lerde göremeyecek olmanız.Microsoft bu noktada Sistem ve Güvenlik yöneticilerini hayal kırıklığına uğratmış.<br />
<a name='more'></a><br />
<br />
<style type="text/css">
table.sample {
border-width: 1px;
border-spacing: 0px;
border-style: solid;
border-color: black;
border-collapse: collapse;
}
table.sample th {
border-width: 1px;
padding: 4px;
border-style: inset;
border-color: gray;
-moz-border-radius: ;
}
table.sample td {
border-width: 1px;
padding: 4px;
border-style: inset;
border-color: gray;
-moz-border-radius: ;
}
table.command {
border-width: 1px;
border-spacing: 0px;
border-style: solid;
border-color: black;
border-collapse: collapse;
font-family:Courier;
color: #CCCCCC;
background: #000000;
padding: 10px;
}
</style>
<br />
<table class="sample">
<tbody>
<tr style="background-color: #848484; color: black;">
<td>Kategori</td><td>Alt Kategori</td><td>Ayar</td>
</tr>
<tr>
<td rowspan="4">System</td><td>Audit Security State Change</td><td>Success:Enable,Failure:Enable</td>
</tr>
<tr>
<td>Audit Other System Events</td><td>Success:Enable,Failure:Enable</td>
</tr>
<tr>
<td>Audit Security System Extension</td><td>Success:Enable,Failure:Enable</td>
</tr>
<tr>
<td>Audit System Integrity</td><td>Success:Disable,Failure:Enable</td>
</tr>
<tr>
<td>Privilege Use</td><td>Audit Sensitive Privilege Use</td><td>Success:Enable,Failure:Enable</td>
</tr>
<tr>
<td rowspan="2">Policy Change</td><td>Audit Audit Policy Change</td><td>Success:Enable,Failure:Enable</td>
</tr>
<tr>
<td>Audit Filtering Platform Policy Change</td><td>Success:Enable,Failure:Enable</td>
</tr>
<tr>
<td rowspan="4">Object Access</td><td>Audit Detailed File Share</td><td>Success:Enable,Failure:Enable</td>
</tr>
<tr>
<td>Audit Filtering Platform Connection</td><td>Success:Enable,Failure:Enable</td>
</tr>
<tr>
<td>Audit Filtering Platform Packet Drop</td><td>Success:Enable,Failure:Enable</td>
</tr>
<tr>
<td>Audit Registry</td><td>Success:Enable,Failure:Enable</td>
</tr>
<tr>
<td rowspan="3">Logon/Logoff</td><td>Audit Logoff</td><td>Success:Enable,Failure:Enable</td>
</tr>
<tr>
<td>Audit Logon</td><td>Success:Enable,Failure:Enable</td>
</tr>
<tr>
<td>Audit Other Logon/Logoff Events</td><td>Success:Enable,Failure:Enable</td>
</tr>
<tr>
<td>Detailed Tracking</td><td>Audit Process Creation</td><td>Success:Enable,Failure:Enable</td>
</tr>
<tr>
<td rowspan="3">Account Management</td><td>Audit User Account Management</td><td>Success:Enable,Failure:Enable</td>
</tr>
<tr>
<td>Audit Security Group Management</td><td>Success:Enable,Failure:Enable</td>
</tr>
<tr>
<td>Audit Distribution Group Management</td><td>Success:Enable,Failure:Enable</td>
</tr>
</tbody></table>
<br />
Auditpol ile tablodaki ayarları aşağıdaki komutlarla etkin hale getirebilirsiniz,ama yukarda belirttiğim gibi auditpol ile yapılan düzenlemeler "Local Group Policy Editor" ya da "Local Security Policy" snapinlerinde görünmez. Komut satırından ya da Snapinle yapılan değişikliklerin tümü<br />
<br />
<table class="command" style="width: 100%px;">
<tbody>
<tr><td><b>auditpol /get /category:*</b>
</td></tr>
</tbody></table>
<br />
komutuyla görülebilir.<br />
<br />
<table class="command" style="width: 100%px;">
<tbody>
<tr><td><b>auditpol /set /subcategory:"Security State Change" /success:enable /failure:enable</b></td></tr>
<tr><td><b>auditpol /set /subcategory:"Other System Events" /success:disable /failure:enable</b></td></tr>
<tr><td><b>auditpol /set /subcategory:"Security System Extension" /success:enable /failure:enable</b></td></tr>
<tr><td><b>auditpol /set /subcategory:"System Integrity" /success:enable /failure:enable</b></td></tr>
<tr><td><b>auditpol /set /subcategory:......</b></td></tr>
</tbody></table>
<br />
Yukardaki denetim ayarları sunucularınızda neler olup bittiği,kimlerin ne tip değişiklikler yaptığı gibi konular hakkında fikir verecektir. Olası bir saldırıda veya kötü niyetli kullanıcılarca alınacak ilk tedbirlerden birinin olay kayıtlarını silmek olduğunu aklınızdan çıkarmayın, olay kayıtlarını ya da en azından kopyalarını izole ve daha güvenli merkezi log sunucularınızda barındırmayı alışkanlık haline getirin.Unknownnoreply@blogger.com1tag:blogger.com,1999:blog-1869987042454684146.post-5399464069398692772013-01-08T22:30:00.000+02:002013-03-06T10:17:33.781+02:00OpSec - Önce İş Güvenliği<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgddMAzA2bSXtl_6-OuLeyDMPwtdBXncm9g4sKjEWICelTaZFeqSN3KGoUM6l3Pw_YXHkts2iwubM0pNfSUyawL5Mc-X5edAgtQDI2k9IWBNOiY5FeneQAh-B_x_xkyrgyEG2VUDb8Bae9m/s1600/is_guvenligi_haber.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="150" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgddMAzA2bSXtl_6-OuLeyDMPwtdBXncm9g4sKjEWICelTaZFeqSN3KGoUM6l3Pw_YXHkts2iwubM0pNfSUyawL5Mc-X5edAgtQDI2k9IWBNOiY5FeneQAh-B_x_xkyrgyEG2VUDb8Bae9m/s200/is_guvenligi_haber.jpg" width="200" /></a></div>
OpSec,daha çok askeri yapılanmaların kullandığı ve çoğunlukla yürütülen görev ya da yapılacak operasyonla ilgili kritik bilginin,bilgiye yönelik tehditlerin belirlenmesi ve kritik bilginin korunması için alınacak önlemleri ifade eden bir kısaltma, türkçeleştirmeye çalıştığımızda ise "Operasyon Güvenliği" gibi bir anlama geliyor. En basit haliyle anlatmak gerekirse amaç kimliği ve konumu gizli tutmak, bu bilgileri ifşa etmemek; hem kendiniz hem de yakınlarınızınkini.Bu yazının konusu olan ve daha çok siyah şapkalı dostlarımızca önerilen,kullanılan tedbirler "occult computing" terimiyle de ifade edilir,bir nevi "İş Güvenliği" tedbirleri.<br />
<a name='more'></a><br />
Son yıllarda ülkemizde ve yurt dışında dijital yer altı dünyasında karşılaştığımız tutuklamalarla ( <a href="http://www.wired.com/threatlevel/2012/03/lulzsec-snitch/" target="_blank">bkz1</a> <a href="http://www.theregister.co.uk/2012/12/14/uk_anon_investigation/" target="_blank">bkz2</a> ) ve dijital dünyada da polisliğe soyunmaya çalışan gizli servilerin uygulamalarıyla ( <a href="http://www.theverge.com/2012/12/28/3807734/senate-votes-to-extend-fisa-amendments-warrantless-wiretap" target="_blank">bkz</a> ) birlikte blackhat topluluklarında da ilgi odağı olmaya başlayan konu başlığı biraz da Anti-Forensics ile ilişkili. Henüz ev kullanıcısı ya da son kullanıcı için tehlikeli olduğu kadar olmasa da artık bit ve byte'ların dünyası bilgisayar korsanları için de güvenilir olmaktan çıktı ve siyah şapkalı dostlarımız da güvenlik güçlerince izlenme,yakalanma hatta grup içindeki muhbirlerce ifşa edilme,karşı güvenlik önlemi olarak kiralanan bilgisayar korsanlarınca tespit edilme kaygılarıyla kendilerince "Opsec Klavuz"ları hazırlamaya başladılar. Bu yazıda anlatılanlar genellikle kötü niyetli "tü kaka" bilgisayar kullanıcılarınca, işlenen suçun kanıtlanmasını zorlaştırmak,yakalanma ve izlenme riskini azaltmak için kullanılsa da ,zaman zaman -özellikle "phorm" tartışmalarının devam ettiği şu günlerde- kişisel bilginin mahremiyeti,internet kullanım özgürlüğüne inanan ve sansüre karşı,internet kullanım profilinin çıkarılmasından rahatsız kişilerce de uygulanabiliyor. Bilgisayar zararlısı olsun ya da olmasın alınan önlemler,kullanılan yöntemler paranoya seviyesine göre değişiyor,biz en paranoyak olanların yöntemlerinden bahsedeceğiz.<br />
<ul>
<li>Veri Güvenliği</li>
</ul>
Bilgisayar zararlısı dostlarımız yaramazlık yaptıkları bilgisayarlar ile gündelik kullanım için yararlandıkları bilgisayarları birbirinden ayırıyorlar. Bu ayrımı fiziksel olarak yapmaya imkanı olmayanlar sanal bilgisayarları kullanıyor. Parçalanma,formatlama gibi işlemlere maruz kalan sabit disklerden veri kurtarmanın artık çok kolay olduğunun farkındaki bilgisayar zararlıları,yaramazlık yapılan bilgisayarın sabit diskini Truecrypt gibi araçlarla tamamen şifreleniyor. İşletim sistemi,tespiti zorlaştırmak için Hidden Volume'larda oluşturulan partitionlara kuruluyor (<a href="http://www.truecrypt.org/docs/?s=hidden-volume" target="_blank">bkz</a>) . Şifreleme yöntemleri her zaman teoride olduğu kadar başarılı olmayabiliyor ( <a href="http://news.cnet.com/8301-13739_3-10069776-46.html" target="_blank">bkz</a>) .Truecrypt tercih edilmesinin nedeni basit; açık kaynak kodlu olması,diğer ticari muadillerindeki olası master key ya da backdoor kaygıları. Adli bilişim uzmanlarını terletmek için yaramazlık yapılan bilgisayarın işletim sisteminde pagefile,swapfile gibi fonksiyonlarun kapatılması gibi Anti-Forensics yöntemler kullanılıyor..<br />
<ul>
<li>Erişim Güvenliği</li>
</ul>
Ücretsiz ya da ücretli HTTP ve SOCKS proxy sağlayıcıların mahkemelerce talep edilmesi halinde trafik kayıtlarını seve seve verdiği biliniyor ( <a href="http://www.theatlanticwire.com/technology/2011/09/lulzsec-hacker-exposed-service-he-thought-would-hide-him/42895/" target="_blank">bkz</a> ), bu nedenle IP adresi bilgisini gizlemek için - "Exit node" terimiyle ifade edilen TOR ağının çıkış noktaları şifrelemenin sona erdiği yerler, dolayısıyla gönüllü olarak bu ağa dahil olan ve bilgisayarlarını çıkış noktası olarak kullandıran kötü niyetli kullanıcıların iletişimi dinleyebilmesi ve izleyebilmesi riskine rağmen - TOR gibi nispeten daha güvenli anonim ağlar kullanılıyor. Bu tip ağları kullanmayı tercih etmeyenler ise yaramazlıkları ya daha önce ele geçirdikleri başka bilgisayarlar üzerinden ya da cafe & restoran & avm gibi ücretsiz ve halka açık kablosuz internet erişimi hizmeti sunan ve genellikle erişim logları tutmayan işletmelerde güvenlik kameralarının kayıt alamadığı kör noktalarından gerçekleştiriyor. Yetkisiz erişimlerden sonra hedef bilgisayarlarda olay kayıt dosyalarını silmek,temizlemek ise takip edilmeyi zorlaştıracak yaygın yöntemlerden.TOR çıkış noktalarında sadece belli başlı port numaralarına izin veriliyor, bu ve yavaşlık gibi nedenlerden özellikle Flood tipi saldırılar TOR ağı üzerinden gerçekleştirilmiyor. Tails ve Whonix gibi hazır dağıtımlar 100%'e yakın gizlilik sağlayabiliyor.<br />
<ul>
<li>Haberleşme Güvenliği</li>
</ul>
<div>
Yaygın ve gönderici IP adresine kadar detaylı bilgi veren e-posta servis sağlayıcıları yerine ( Yahoo,Hotmail vb ) genellikle Rusya ve Çin gibi yeraltı dünyasının kalbi sayılan ve batıdaki davaları,mahkeme kararlarını pek iplemeyen ülkelerde barındırılan ücretsiz mesajlaşma servisleri kullanılırken mesaj içerikleri yine GnuPG gibi açık kaynak kodlu şifreleme uygulamalarıyla şifreleniyor. Gizli bir e-posta hizmeti (hidden service) olarak sunulan TOR Mail de yaygın kullanılan platformlardan (bkz onion.to ). Bilgisayar zararlısı dostlarımız anında mesajlaşma ( Instant Messaging) ihtiyacı için yine TORChat gibi anonim hizmetleri kullanıyor. Şimdinin Skype'ı eskinin MSN'i daha önce güvenlik açıkları nedeniyle nice bilgisayar zararlısı dostumuzu zor durumda bırakmıştı.</div>
<ul>
<li>Kişisel Güvenlik</li>
</ul>
Sosyal paylaşım ağlarında kendilerine ulaşılmayı mümkün kılacak, okul, yaşanılan şehir,semt, arkadaşlar,iş yeri,iş tecrübesi,telefon numarası, yaşanılan yerin veya çevresinin fotoğrafı gibi kişisel bilgiler kesinlikle paylaşılmıyor. Yazı yazma,konuşma sitili bile ipucu olarak kullanılabiliyor ( <a href="http://www.scmagazine.com.au/News/328135,linguistics-identifies-anonymous-users.aspx" target="_blank">bkz1</a> <a href="http://events.ccc.de/congress/2011/Fahrplan/events/4781.en.html" target="_blank">bkz2</a> <a href="http://www.guardian.co.uk/technology/2011/jun/24/inside-lulzsec-chatroom-logs-hackers" target="_blank">bkz3</a> <a href="http://www.t3.com/news/anonymous-hacker-caught-by-fbi-after-titpic-blunder" target="_blank">bkz4</a> <a href="http://www.theregister.co.uk/2012/12/14/uk_anon_investigation/" target="_blank">bkz5</a>) . Yaramazlık kesinlikle övünme,böbürlenme malzemesi olarak kullanılmıyor. Özellikle akıllı telefonlarla çekilen fotoğraflar çoğu zaman coğrafi konum bilgisini de içerdiği ve bu nedenle fotoğrafın çekildiği yer hakkında bilgi verebildiği için ( exif metadata ) herhangi bir sebeple fotoğraf dijital olarak paylaşılmadan,yayınlanmadan önce exif verisi siliniyor.<br />
<br />
Buraya kadar bıkmadan yılmadan sıkılmadan yazıyı okuyanlar eşeğin aklına karpuz kabuğu düşürdüğümü,bilgisayar zararlılarına fikir verdiğimi düşünmesinler.Altını çizerek esas amacın ilham vermek ya da özendirmek değil,sadece bu konuya ilgi duyanları ve dijital dünyada işlenen suçlarla mücadele edenleri bilgilendirmek , blog istatistiklerine göre sayıları artan saldırıya meraklı blog ziyaretçilerinin "Türkiye'nin ilk hacker'ı olmak" ile "Türkiye'nin çuvallayan ve ceza alan ilk pijamalı hacker'ı olmak" arasındaki farkı anlamasını kolaylaştırmak olduğunu hatırlatmak istiyorum.<br />
<br />
Her zaman belirttiğim gibi yazılmadığını ya da eksik olduğunu düşündüğünüz noktaları yorum olarak ekleyebilirsiniz.Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-1869987042454684146.post-37701036280483585892012-12-17T22:30:00.000+02:002012-12-18T17:45:17.663+02:00Sosyal Mühendislik'te İğneyi Kendine Batırabilmek<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiMsyvXgXBXnQXywbvi5J70cX1-Bcy3-YJQOU_VxmjPGkg1Yho5wCE9MBlXfayMbmw6x6KNg3_srPp3s1rjjuc_lQVopqWRPGjeAg0KLuGvisQchB_5MHOQqUtLdwnrH_YsKwX51A0POXYk/s1600/sosyal_muhendislik_social_engineering.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="176" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiMsyvXgXBXnQXywbvi5J70cX1-Bcy3-YJQOU_VxmjPGkg1Yho5wCE9MBlXfayMbmw6x6KNg3_srPp3s1rjjuc_lQVopqWRPGjeAg0KLuGvisQchB_5MHOQqUtLdwnrH_YsKwX51A0POXYk/s200/sosyal_muhendislik_social_engineering.jpg" width="200" /></a></div>
Bilgi güvenliğinin en zayıf halkası olan insan'daki zaafiyetlerin istismar edildiği Sosyal mühendislik saldırıları hemen her sızma testine dahil edilir ve testin en eğlenceli bölümlerindendir. Hatta telefon kayıtları dinlenirken,yazışmalar okunurken ya da kullanıcı adı/parolaların oltalandığı veritabanları kayıtlarına bakılırken epey kakara kikiri yapılır çoğu zaman iyi niyetli,saf,ufo gören masum kurum çalışanı hakkında.<br />
<br />
Ama testi yaptıranlar,kurumların bilgi güvenliği ekiplerinin başındaki sorumlular çoğu zaman kendilerine "farkındalık eğitimlerini artırmalıyız,sıklaştırmalıyız,duvarlara bilgi güvenliği ile alakalı posterler asmalıyız" dan fazla pay çıkarmazlar ne yazık ki.<br />
<br />
<a name='more'></a><br />
Devir merkezileşme,merkezi yönetim devri ve hemen her kurumda altyapı yönetiminde hayat kurtaran Microsoft Aktif Dizin yapısı veya benzeri mimariler kullanılıyor. Ve neredeyse ticari ve açık kaynak kodlu ürünlerin tamamı bu merkezi yapıları destekliyor. Güvenlikten sorumlu kişiler olarak sizin yapmanız gereken kurum içindeki tüm uygulamalarınızı single sign-on prensibiyle merkezi dizin yapılarınıza entegre ve bütünleşik çalıştırmaya zorlamak olmalı. Kullanıcılarınızı İnsan Kaynakları uygulamalarınız için K1 kullanıcı adı ve P1 kullanıcı parolası, Muhasebe uygulamanız için K2 kullanıcı adı ve P2 kullanıcı parolası, Depo yönetimi uygulaması için K3 kullanıcı adı ve P3 kullanıcı parolası kullanmak zorunda bırakırsanız, bu kullanıcılar kendilerine e-posta ile gönderilen ve görünüm olarak kurum uygulamalarınızı anımsatan bir uygulamaya kullanıcı adı ve parolalarını yazdıklarında onları pek suçlamamalısınız. Kullanıcılarınıza kurumunuzdaki tüm uygulamaları kullanıcı adı/parolası yazmadan kullanabilme alışkanlığını kazandırmalısınız ki "kullanıcı adı ve parola" bilgisi istendiğinde garipsesin,amiyane tabirle işkillensin.<br />
<br />
Benzer şekilde yardım masası ekipleriniz kullanıcı problemlerini çözümlemek için sıklıkla kullanıcılara parolalarını soruyorlarsa ya da telefonda da olsa parolalarını başkalarıyla paylaşmamaları konusunda uyarmıyorlarsa, kullanıcı Sosyal Mühendislik testi sırasında iyi niyetle parolasını söylediğinde kusuru yine biraz da olsa kendinizde aramalısınız.<br />
<br />
Kullanıcılar kendilerine gönderilen e-posta içerisindeki bağlantıyı açtıktan sonra test için kullanılan zararsız denebilecek zaafiyetin hedefi oluyorsa,güvenlik çözümlerinizin neden bağlantı (link) barındıran e-postaların kullanıcılara ulaşmasını engellemediğini, hadi onu da geçtim içerik filtreleme çözümünün neden zaafiyeti istismar eden web sitesini ya da zararlı kodu filtrelemediğini/engellemediğini sormalısınız kendinize. Kurum dışından kullanıcılarınıza gönderilen olta e-postalarında, gönderici alan adı olarak kurum alan adınızın nasıl kullanılabildiğini de sorgulamalısınız kabahati kullanıcılarda bulmadan önce. Ya da seçilen 50 veya daha fazla sayıda kullanıcıya gönderilen aynı format ve özellikteki e-posta'nın neden spam olarak algılanmadığını, "kullanıcı göndereni belli olmayan eklentiyi neden açtı!?" demek yerine eklentinin istismar ettiği zaafiyeti barındıran ofis uygulamasının neden güncel olmadığı üzerine kafa yormalısınız.<br />
<br />
Bu tip tehdit ve risklerin tamamını kullanıcı farkındalığıyla bertaraf edemezsiniz, herkes kadar Güvenlik ekipleri olarak siz de üzerinize düşeni yapmalısınız.
<br />
<br />
<br />
<i><span style="font-size: x-small;">İlgili Yazılarım</span></i><br />
<a href="http://umut-simsek.blogspot.com/2012/12/hedefi-olmadgnz-saldrlardan-ders.html">Hedefi Olmadığınız Saldırılardan Ders Çıkarmak,Faydalanmak - Nass oluyor da oluyor?</a><br />
<a href="http://umut-simsek.blogspot.com/2012/10/ag-ve-sunucu-guvenliginde-yapilan.html">Ağ ve Sunucu Güvenliğinde Yapılan Yanlışlar & Hurafeler</a><br />
<a href="http://umut-simsek.blogspot.com/2012/11/sizma-testi-nasil-yapilmaz.html">Sızma Testi Nasıl Yapılmaz?</a>Unknownnoreply@blogger.com2tag:blogger.com,1999:blog-1869987042454684146.post-34881313163469242932012-12-16T20:35:00.000+02:002012-12-18T16:37:07.760+02:00Hedefi Olmadığınız Saldırılardan Ders Çıkarmak,Faydalanmak - Nass oluyor da oluyor?<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgmBMN-hCuVkajiz43DmmsyRbCqPe8KpEqKnlMy_uv4L1xva1q8zb-zLR29OPXURj0muL0-4HBEB73LcA7sk0XKHDyVfi9xVrUa1FGHc88JtDa7KyrSv82OpJ26hhFunpLu4-GW8TfPHHH9/s1600/hedef_yakin.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="118" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgmBMN-hCuVkajiz43DmmsyRbCqPe8KpEqKnlMy_uv4L1xva1q8zb-zLR29OPXURj0muL0-4HBEB73LcA7sk0XKHDyVfi9xVrUa1FGHc88JtDa7KyrSv82OpJ26hhFunpLu4-GW8TfPHHH9/s200/hedef_yakin.jpg" width="200" /></a></div>
2012 senesi Amerikan bankaları için zor geçti. Finans sektöründeyseniz hele,konuyla ilgili haberleri mutlaka takip etmişsinizdir. Konuya uzak olanlar için kısaca bahsetmek gerekirse ve saldırının arkasındaki grubun iddia ettiğine göre gerekçe Youtube'un İslam karşıtı filmin görüntülerini yayınlamaya devam etmesi.Saldırının arkasında başka nedenler de vardır mutlaka,günümüzde bu tip saldırıların sadece ideolojik ya da manevi değerler nedeniyle yapılmadığını artık hepimiz biliyoruz. Son olarak 2. fazı yürütülen saldırıların ilk fazı güvenlik uzmanlarınca "ilkel" olarak tanımlansa da oldukça etkili oldu ve ses getirdi. Sinyalleri saldırıdan birkaç gün önce pastebin'den verilen saldırının zaman zaman 60Gbps şiddetine çıktığı söylenen saldırının ikinci fazı bazı otoritelere göre başarısız oldu. Hedefteki bazı bankalar çareyi ülke bazında erişimi kısıtlamakta buldu (Resim 1).Özellikle hedefteki bankaların bazıları bu saldırılardan çok şey öğrendi.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEinaISlLiDJMBi8-oGJ-VIes4sWPWd7zipfJpFBiHQqcrBrTq0HhrgT9UBYPpIn0YS3-Jo1lROPmS_TAGEwTJzPAm2hpecz3NzlnUnhZBhuzOin-5do_7lDmxZIV9LjVWcxcxiXQpX_DS4s/s1600/hosttracker.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="193" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEinaISlLiDJMBi8-oGJ-VIes4sWPWd7zipfJpFBiHQqcrBrTq0HhrgT9UBYPpIn0YS3-Jo1lROPmS_TAGEwTJzPAm2hpecz3NzlnUnhZBhuzOin-5do_7lDmxZIV9LjVWcxcxiXQpX_DS4s/s320/hosttracker.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;">Resim 1</span></i></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;"></span></i></div>
<div style="text-align: center;">
<i><span style="font-size: x-small;">http://host-tracker.com/</span></i></div>
<a name='more'></a><br />
Ülkemizde de benzer planlı,organize saldırı ve bilgisayar olaylarını son birkaç senedir sıkça görür ve duyar olduk.Siz de "vah vah,tüh tüh yazık olmuş" demek yerine,hedefi olmadığınız bu saldırılardan dersler çıkarabilirsiniz,çıkarmalısınız.<br />
<br />
İşe sosyal paylaşım ağlarını takip ederek başlayabilirsiniz. Aktivist gruplar eylemlerine dikkat çekmek,katılımcı ve gönüllü bulmak gibi nedenlerle twitter,facebook,pastebin gibi sosyal paylaşım ağlarında yapacakları eylemleri hedefleriyle birlikte önceden duyuruyorlar,duyurmak biraz hafif kalır, bangır bangır bağarıyorlar. Hedefte olmasanız dahi bu bilgiyi kendi lehinize kullanmak için belirtilen tarih ve saatlerde kurum ağınızı gözleyin. Saldırı zaman aralığında özellikle dış bağlantınızın bant genişliğinin kullanım oranını gözlemleyin. Kurumunuzdaki istemci ya da sunucular saldırıya katkı sağlıyor mu, bir başka deyişle kurumunuzda "zombi" ya da "bot" tabir edilen bilgisayarlar mevcut mu öğrenebilirsiniz. Ağ iletişimindeki anormallikleri,zararlı yazılım veya zombi bilgisayarların komuta kontrol ( C&C) merkezleri ile iletişimini tespit etmede kullanılan pahalı çözümleri alacak parası olmayanlar için güzel ve kaçırılmayacak fırsatlardan. Belki siz farkında olmayabilirsiniz ama hedefteki kurum ya da firma, ağınızdaki bir veya birkaç zombi bilgisayarın neden olduğu saldırı trafiği nedeniyle kurumunuzu ( hemen her kurum NAT için bir veya nadiren birkaç IP adresi kullanılır) kara listeye eklemiş olabilir. Bu konuya dikkat etmezseniz "x kurumuna neden erişemiyoruz" sorusunun cevabını bulmanız birkaç saatinizi alabilir.<br />
<br />
Genellikle saldırı sonrasında kullanılan yöntemler, komuta-kontrol merkezi olarak kullanılan alan adları ve sunucular gibi daha detaylı ayrıntılar su yüzüne çıkar. Firewall'larınızda ya da proxy sunucularınızda geriye dönük iletişim kayıtlarını inceleme fırsatınız varsa özellikle komuta-kontrol merkezi olarak belirtilen alan adları ya da sunucularla iletişim olup olmadığını kontrol edin.<br />
<br />
Hedefle aranızda web servis kullanımı gibi bir işbirliği varsa saldırının ucunun size de dokunabileceğini unutmayın. Kamu kurumları ve özel şirketler web servis gibi yapısal olarak çok fazla güvenlik mekanizması bulundurmayan hizmetleri IP adres kısıtlamasıyla güvenli hale getirmeye çalışır. Çok azı bu hizmetlere erişim için port kısıtlaması getirir. Hedefle aranızda bu tip servisler ya da iletişim ağları bulunuyorsa kurumunuzdaki iletişim noktalarını saldırı süresince ve sonrasında gözlemleyin.<br />
<br />
Üst yönetimle iletişime geçebildiğiniz her fırsatta bu saldırıları,sebepleri ve sonuçlarıyla sunumlarınızda, raporlarınızda kullanmaya çalışın. "Benim IPS'im var bana bişey olmaz (*) ,ben süperim,her türlü saldırıyı engelleyebilirim" diyerek kendinizi ve yöneticilerinizi kandırmaktansa biraz da olsa korku salınması ve her an tetikte olunması taraftarıyım. Pahalı ürün ya da çözümler almanız da kolaylaşabilir :).<br />
<br />
Hedef kim ya da ne olursa olsun,yapılan saldırılar hakkında detaylı bilgi sahibi olmaya çalışın. Mümkünse saldırı sonrasında hedefle iletişime geçin, saldırının nasıl bertaraf edildiğini öğrenmeye çalışın, Amerika'yı ikinci kez keşfetmeye gerek yok.Kullanılan araçları ya da kodları edinin. Artık çoğu zararlı kod çalıştırıldığı ortamın sanal olup olmadığını kontrol ediyor ona göre faaliyet gösteriyor ama siz yine de sanal ve/veya izole bir ortamda kullanın. Bu araçların kullanımını nasıl tespit edebileceğinizi,nasıl engelleyebileceğinizi öğrenmeye çalışın ve hazırlıklı olun. Saldırı için kullanılacak araçların kurum bilgisayarlarında çalıştırılmalarını grup politikaları ya da uç kullanıcı güvenlik (endpoint security) çözümleri ile engelleyin . İmkanınız varsa araçları sunduğunuz hizmetler ve/veya sunucularınız üzerinde deneyin, güvenlik çözümlerinizi test edin. Benzer şekilde faydalanılan zaafiyetlerin kurumunuzda var olup olmadığını araştırın.En önemlisi de süreçlerinizi, politikalarınızı (iş sürekliliği,güvenlik vb.),prosedür ve talimatlarınızı bulgularınız doğrultusunda ve gerekiyorsa iyileştirin.Bir sonraki hedef siz olabilirsiniz,hazırlıklı olun.<br />
<br />
Her zaman belirttiğim gibi,tecrübelerinizi yorum olarak ekleyebilirsiniz.<br />
<br />
<i><span style="font-size: x-small;">İlgili Yazılarım</span></i><br />
(*) <a href="http://umut-simsek.blogspot.com/2012/10/ag-ve-sunucu-guvenliginde-yapilan.html">Ağ ve Sunucu Güvenliğinde Yapılan Yanlışlar & Hurafeler</a><br />
<a href="http://umut-simsek.blogspot.com/2012/12/sosyal-muhendislikte-olta-ignesini.html">Sosyal Mühendislik'te Olta İğnesini Kendine Batırabilmek</a><br />
<a href="http://umut-simsek.blogspot.com/2012/11/http-dosa-kars-javascriptle-mucadele.html">HTTP DoS'a Karşı Javascript'le Mücadele - Nass oluyor da oluyor?</a><br />
<a href="http://umut-simsek.blogspot.com/2012/11/sizma-testi-nasil-yapilmaz.html">Sızma Testi Nasıl Yapılmaz?</a><br />
<a href="http://umut-simsek.blogspot.com/2012/10/low-orbit-ion-cannon-loic-ve-http.html">Low Orbit Ion Cannon ( LOIC ) ve Http Redirection Yanılsaması - Nass oluyor da oluyor?</a><br />
<a href="http://umut-simsek.blogspot.com/2012/11/bt-guvenlik-operasyon-merkezi-it.html">BT Güvenlik Operasyon Merkezi ( IT Security Operations Center - SOC ) - Nass oluyor da oluyor?</a><br />
<a href="http://umut-simsek.blogspot.com/2012/06/bilgisayar-olaylarna-mudahele-nass_27.html">Bilgisayar Olaylarına Müdahale - Bilgisayar Olayı nedir? Etkin müdahalenin önemi ve gereği</a>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-1869987042454684146.post-23276771232784950462012-11-24T00:22:00.001+02:002013-04-30T12:04:08.627+03:00HTTP DoS'a Karşı Javascript'le Mücadele - Nass oluyor da oluyor?<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhT486lj0FyUngSqucex0MQWEHQhu9WMtH6lxAjQZOjaaTchbzwzWrLoaiFNrjIARlkF1wRT2Kjw-jouAJlXGN_GLB7fmh4TOAtT0EyIM-9Nha_f5NlU4A3xJSg9gUYMbN3ge40f08Z23rv/s1600/ddosconfig.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="132" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhT486lj0FyUngSqucex0MQWEHQhu9WMtH6lxAjQZOjaaTchbzwzWrLoaiFNrjIARlkF1wRT2Kjw-jouAJlXGN_GLB7fmh4TOAtT0EyIM-9Nha_f5NlU4A3xJSg9gUYMbN3ge40f08Z23rv/s200/ddosconfig.jpg" width="200" /></a></div>
Uygulama katmanında TCP protokolüne dayalı sunulan hizmetleri hedef alan saldırılar çoğunlukla gerçekleştirilmesi ve engellenmesi en zor olanlardır. Gerçekleştirilmesi zordur çünkü genellikle 3WHS ( 3-way-handshake ) gerektirir yani sahte IP adresleri kullanamazsınız, bu durumda saldırıyı ya kendi bilgisayarınızdan ya da zararlı ( hedeftekilere göre :) ) yazılımınızı bir şekilde bulaştırdığınız,yüklediğiniz ve bot sürünüze dahil ettiğiniz zombie bilgisayarlar aracılığıyla yapmalısınız kardeşlerim. Saldırı kaynağı gerçek,kanlı canlı olunca zararlıyı zararsızdan ayırd etmesi ve bu nedenle engellenmesi de zorlaşır.<br />
<br />
Bu yazıda özellikle son birkaç yılın durdurulması en zor saldırı yöntemlerinden HTTP DoS ( ya da HTTP Flood ya da HTTP GET Flood ya da HTTP DDoS ) ile mücadelede javascript'ten nasıl faydalanabileceğinizi anlatmaya çalışacağım,bu yazı sadece yol gösterici ve fikir verici olacak çok büyük beklentiler içine girmeyin. Ele alacağımız senaryoda saldırının bant genişliğini doldurmak değil, web sunucusu kaynaklarını meşgul etmek suretiyle hizmet veremez hale getirmek amaçlı olduğunu da peşin peşin belirteyim. Bant genişliğini doldurma hedefli <b><u>dağıtık</u></b> bir saldırıyı artık ISP'de alınabilecek önlemler de engelleyemiyor. Anycast routing,visitor reputation gibi yöntemler kullanan farklı coğrafi konumlardaki veri merkezleri ile bu konuda profesyonel hizmet firmalardan destek almalısınız.<br />
<br />
<a name='more'></a><br />
Dağıtık yedince katman saldırılarında saldırıyı engelleme başarısı normal istekleri saldırı niyetli isteklerden ayırd etme başarısıyla paralellik gösterir. Bu da hiç kolay bir iş değildir aslında. Eskiden bu tip saldırı ya da tarama araçlarından kaynaklanan erişim trafiğinde kolayca fark edilebilen ve engellemede kullanılan "User Agent header değerinin XX olması", "X header'ın Y header'ından önce gelmesi", istekte "Z header'ının olmaması" gibi özellikler kod yazarlar temel protokolleri öğrendikçe ya da tam tersi, protokol bilgisi olanlar kod yazmayı öğrendikçe ortadan kalkmaya başladı. Bu da saldırı ya da tarama araçları kaynaklı HTTP istekleri normal isteklerden ayırt etmeyi zorlaştırdı.Şöyle ki, günümüzde saldırı araçları ile gönderilen HTTP istekleri,normal bir web tarayıcısıyla (browser) gönderilen isteklerdeki tüm headerları olması beklendiği ve gerektiği gibi standartlara uygun olacak şekilde içerebilmekte. Zararlı ya da kötü niyetli erişim isteklerini normal ( iyi niyetli müşteri ya da ziyaretçi ) isteklerinden ayırt etmek için "captcha" kullanma gibi yöntemler tercih edenler oldu. Ama bu tip saldırılarla mücadele ederken amacınız zararlı olmayan ziyaretleri de karmaşık captcha kodlarıyla işkenceye çevirmek olmamalı. Benzer şekilde bazı web sunucular için geliştirilen güvenlik modüllerinin çoğunun kullandığı "rate-limiting" temelli "bir ip'den saniyede x istek gelirse engelle" benzeri yöntemlerde normal ve zararsız isteklerin engellenmesine,kuruyla birlikte yanmasına,arada kaynamasına neden olabilir.<br />
<br />
Daha akılcı yöntemlere ihtiyaç var ve şu an itibariyle (bir çok ticari güvenlik cihazında ve yukarda bahsettiğim profesyonel firmada da kullanılan) bu akılcı yöntemlerden biri javascript ile cookie kullanımı. Saldırı araçlarının büyük çoğunluğu browser stack'ini kullanmaz,dolayısıyla en yaygın tarayıcı ürünlerin desteklediği javascript gibi script dillerini ya da flashplayer gibi eklentileri desteklemez. Biraz saçma oldu saldırı aracının bir dili ya da eklentiyi desteklemesi ama siz eminim anlatmak istediğimi anlamışsınızdır. Temel prensip gelen her isteği asıl ( hedef ) sunucudan önce karşılamak ( Resim 1) , isteğin kanlı canlı bir insan evladından gelip gelmediğini anlamak olmalı.İnsan evladından gelen istekleri hedefteki sunucuya gönderirken de asıl hizmet dışı bırakılmak istenen sunucunun IP adresini ya da URL'ini belli etmemelisiniz, HTTP Redirection bu yüzden kullanmanızı önermeyeceğim bir yöntem.Saldırı araçlarının çoğunluğu web sunucusunun gönderdiği cevaplarla da ilgilenmez, tek istedikleri web sunucunun normal karşılayacağı bir istek göndermek bir 1-2 dakikalığına da olsa sunucu kaynaklarını bu gereksiz,fuzuli istekle meşgul etmektir. HTTP Redirection ile çoğu zaman ilk saldırı trafiğinden arınmak da bu nedenle mümkün (*).Saldırıyla mücadele ederken şunu da akılda tutmanız lazım, saldırının başındaki kişi ya da kişiler bir yandan komutaları altındaki sürüye (bot-net,zombie-net) "haydi aslanlar yardırın" şeklinde hedef gösterirken diğer yandan da "hedefte herhangi bir yönlendirme var mı? hedef URL ya da IP adresini değiştirmeye gerek var mı?" diye kontrol ederler. Alemin tek akıllısı siz olmayabilirsiniz. (*) .<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjfR4heTpO008VmMEPfviEIpIfCfywMD6bu74PotPORn9ie1UtBVfN1dkn-ObYDvnoBJygggY9jGF0j3SeeU6YrBIVoH6tJ3MGNpXkNh4XeOjMScH7yR3qXeJkb7c9lSkGoeKeXUD9PAHfA/s1600/http_ddos_javascript.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="171" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjfR4heTpO008VmMEPfviEIpIfCfywMD6bu74PotPORn9ie1UtBVfN1dkn-ObYDvnoBJygggY9jGF0j3SeeU6YrBIVoH6tJ3MGNpXkNh4XeOjMScH7yR3qXeJkb7c9lSkGoeKeXUD9PAHfA/s400/http_ddos_javascript.png" width="400" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div style="text-align: center;">
<br /></div>
<div style="text-align: center;">
<i><span style="font-size: x-small;">Resim 1</span></i></div>
<div style="text-align: center;">
<i><span style="font-size: x-small;">(http://habrahabr.ru/post/139931/)</span></i></div>
<br />
Yapılması gereken şey basit, HTTP isteğinin javascript ya da flashplayer destekleyen bir uygulamadan gelip gelmediğini kontrol etmek, ki bu yazıda sadece javascript üzerine duracağım. Resim 1'deki akış bunu yapmanın en basit yollarından birini gösteriyor. HTTP isteğini karşılayan mekanizma istemcide cookie oluşturmaya neden olacak kodu çalıştırarak, istemciden aynı URL'e ikinci bir itekte bulunmasını istiyor. İstemci şayet javascript koduyla cookie'yi oluşturabilir ve ikinci isteğiyle birlikte gönderdiği cookie'yi doğrulatabilirse, isteğin bir insandan geldiği kanaatine varılıyor ve istek hedefteki asıl sunucuya iletiliyor. Eğer HTTP isteği bir bottan,zombi'den ya da otomatik istek gönderen bir araçtan geliyorsa cookie oluşturma,aynı sayfaya tekrar cookie ile erişme gibi adımlara geçemiyor zaten ve gönderdiği tüm istekler ilk karşılayan ve Resim 1'de "Nginx" ile gösterilen bloğu aşamıyor. Böylece asıl hizmetin sunulduğu ve Resim 1'de "Backend" bloğuyla gösterilen sunucu zararlı ya da normal olmayan istekten etkilenmiyor. Nginx'i bilmeyenler olabilir,birçok büyük ve çok ziyaretçili web sitesinde kullanılan, IIS ve Apache ile kıyaslandığında çok daha düşük donanım kaynağıyla çok daha fazla yükü kaldırabilen bir web sunucu platformudur kendisi. Dinamik programlama dili desteği az olduğu için pek tercih edilmiyor ama özellikle bu tip saldırılarla mücade için ideal, url-rewrite / reverse-proxy gibi özellikleri mevcut. Yukarda bahsettiğim gibi normal ve zararsız olsa dahi, bir HTTP isteğini yanıtlarken hedefteki asıl sunucunun IP adresi,URL'i gibi bilgileri afişe etmemeye çalışın (url rewriting ya da reverse proxy yöntemleri kullanın), saldırının başındaki kişi tüm istekleri her an farklı IP'lere yada URL'lere yönlendirebilir. Oluşturulacak cookie'nin değişken olması da önemli. İstek yapan IP ve sunucu tarafında kullanılacak bir anahtar kelime ( secret key) kullanılarak hesaplanacak ve istemcide oluşturulacak cookie,aynı cookie'nin birden fazla bot'ta hatta bütün bot sürüsünde kullanılmasını önleyecektir.<br />
<br />
ASP'ye aşina olduğum ve php kodlamayalı uzun zaman olduğu için örnek olması bakımından aşağıdaki gibi bir sayfa hazırladım,fikir versin şifa olsun; daha da kestirme yoldan gitmeyi düşünenler "nginx roboo" eklentisini inceleyebilirler.<br />
<br />
<i>aspcookie.asp</i>
<br />
<pre class="prettyprint lang-js"><!--#include file="md5.asp"-->
<%
Response.CacheControl = "no-cache"
Response.AddHeader "Pragma", "no-cache"
Response.Expires = -1
%>
<html>
<head>
</head>
<body>
<%
istemci_ip=Request.ServerVariables("REMOTE_ADDR")
secret="cantddosme"
response.write istemci_ip&"<br>"
cookiemd5=md5(istemci_ip&secret)
response.write md5(istemci_ip&secret)&"<br>"
if Request.Cookies("insanbot")<>"" Then
'Beklenen cookie var,cookie değeri kontrol edilecek
if cookiemd5=Request.Cookies("insanbot") then
'Cookie değeri beklenen değer,istek bottan gelmiyor.
'Bundan sonrasi sizin hayal gücünüze kalmış.Asil
'Sunucuyu belli etmeden istekleri cevaplamalısınız
'URL Rewrite veya Reverse Proxy yöntemlerini
'kullanabilirsiniz.
else
response.write "Cookie var ancak doğru değil."
end if
else
' cookie yok,javascriptle cookie set et
%>
<script type="text/javascript">
var exdate=new Date();
exdate.setDate(exdate.getDate() + 365);
var c_value=escape("<%=cookiemd5%>") + "; expires="+exdate.toUTCString();
document.cookie="insanbot=" + c_value;
window.location = "aspcookie.asp?try=2"
</script>
<%
end if
%>
</body>
</html>
</pre>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://docs.google.com/open?id=0B1osJ01zMynRbXRFLUt1RGtCM00" target="_blank"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg-G1eINNxQmfLioUWwJwKUE1Rmpt9JuzktXACYNOa_NC9rRzVtMz89_hC_6G5U01ccofchPTUPRvRczjHWRN4TNmHe1NCrBNQiUPIw0oFj5lbtcmH0zKe-24EDdXeIskz4G4rpYCeyd_XD/s1600/1352728085_gnome-mime-application-x-archive.png" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
Şimdiye kadar birkaç paranoyak dışında browserlarında javascript çalıştırma özelliğini devre dışı bırakan,cookie oluşturma özelliğini kapatan görmedim. Dolayısıyla yapılacak kontrollerde javascriptin kullanılmasının en kötü ihtimalle en fazla 1-2 saniyelik bir gecikme dışında problem çıkaracağını hiç düşünmüyorum. Zararlı trafiği filtrelemek için güzel bir yöntem,en azından saldırganlar sunucudan dönecek cevapları yorumlayan, cookie kullanabilen saldırı araçları geliştirene kadar.<br />
<br />
<i><span style="font-size: x-small;">İlgili Yazılarım</span></i><br />
(*) <a href="http://umut-simsek.blogspot.com/2012/10/low-orbit-ion-cannon-loic-ve-http.html">Low Orbit Ion Cannon ( LOIC ) ve Http Redirection Yanılsaması - Nass oluyor da oluyor?</a>Unknownnoreply@blogger.com2tag:blogger.com,1999:blog-1869987042454684146.post-42826201517457751492012-11-18T15:35:00.000+02:002012-11-23T08:28:37.090+02:00BT Güvenlik Operasyon Merkezi ( IT Security Operations Center - SOC ) - Nass oluyor da oluyor?<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg9ODbRDw-uEDLDjb9GJ9XYkBCfeddZx8hMVZDIqt7-nZ0IR10XcEktGR2e5dCf5AB3ogG3stYMgARJ6uXGAIY4UyJQBlXB4nPy-E9sOxd_PCvXypfyb-wT1hud5rv0yf9zEWadXo-lQdpn/s1600/symantec_soc.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="189" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg9ODbRDw-uEDLDjb9GJ9XYkBCfeddZx8hMVZDIqt7-nZ0IR10XcEktGR2e5dCf5AB3ogG3stYMgARJ6uXGAIY4UyJQBlXB4nPy-E9sOxd_PCvXypfyb-wT1hud5rv0yf9zEWadXo-lQdpn/s320/symantec_soc.jpg" width="320" /></a></div>
Bu yazıda bahsedeceğim konu elini sallasan güvenlik uzmanına çarpan memleketimde bırakın kullanılmayı,henüz bir çok sözüm ona bilgi ve bilişim güvenliği yöneticisinin varlığının farkında dahi olmadığı BT Güvenlik Operasyon Merkezleri / BT-GOM ( Security Operations Center / SOC ) olacak. Yazı boyunca SOC ya da GOM kısaltmalarını kullanabilirim,kafanız karışmasın ikisi de aynı anlamı ifade edecek.<br />
<br />
Ağ Operasyon Merkezleri ( Network Operations Center - NOC ) iletişim altyapıları hayati önem kazandığından beri varlar.BT Güvenlik Operasyon Merkezlerinin ise bilgisayar ve bilişim teknolojilerinin suç aracı olarak kullanılmaya başlamasıyla eksikliği fark edildi,hatta günümüzde SOC 2.0 kavramları üzerinde konuşuluyor. Güvenlik görevlileri,bekçiler,bekçi köpekleri,devriyeler ve güvenlik kameralarıyla 7x24 fiziksel güvenlik tesis etme gayretindeki işletmelerde BT ve bilgi güvenliği anlayışı arttıkça ve olgunlaştıkça,aynı gayreti ve ciddiyeti bilişim teknolojileri altyapılarında gösterme ihtiyacı hissedildi. Üniversiteler,bankalar,askeri kurumlar gibi öğrencisinin,personelinin,müşterisinin kişisel ve/veya finansal verisinin gizli olduğunu ve korunması gerektiğini düşünenler,bilişim teknolojileri kullanılarak yürütülen suçların da günden güne şiddetini artırarak çoğaldığını farkedenler bu yapıları yıllar önce kurup işletme gayretine girdiler. Bazıları ise "bunun için para lazım,personel lazım,oda lazım bina lazım" gibi bahaneler arkasına saklanarak 7x24 yerine 5x8 güvenlik anlayışını tercih etti. Ne de olsa kritik alarmlardan cep telefonlarına gönderilen mesajlar ya da mailboxlarına düşen e-postalarla haberdar oluyorlardı. Hoş,çoğu işletme mesai saatleri içinde dahi güvenlik operasyonu yürütecek kabiliyette değil.<br />
<br />
<a name='more'></a><div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEisvaJOJr9-jusb2jFaGHMkl5kPpX7jeT1Xv-tOwnmW_83DSbDjAOQlGjRf5kPFYf5oRbXGyBOBSM1uL9yQGypXbGzJvIiwBiDA1MrrGZ7SdmYTuuPgdNoXxP4zPDYR8u28BYoqTSE-EsKx/s1600/symantecsoc.jpg" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" height="150" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEisvaJOJr9-jusb2jFaGHMkl5kPpX7jeT1Xv-tOwnmW_83DSbDjAOQlGjRf5kPFYf5oRbXGyBOBSM1uL9yQGypXbGzJvIiwBiDA1MrrGZ7SdmYTuuPgdNoXxP4zPDYR8u28BYoqTSE-EsKx/s200/symantecsoc.jpg" width="200" /></a></div>
Güvenlik operasyon merkezleri,bilgisayar ve iletişim altyapısının oluşabilecek güvenlik olaylarına karşı 7 gün 24 saat izlendiği ve gözlendiği, olası olayların önceden değerlendirilip önlenmeye çalışıldığı,olay meydana gelmesi ya da tespit edilmesi halinde ise olayın nedenini tespit etmeye ve olumsuz sonuçları en aza indirgemeye yönelik operasyonların yürütüldüğü ve yönetildiği yapılardır. Dolayısıyla bu yapının network,sistem,uygulama güvenliği,trafik ve log analizi,adli bilişim ve olay müdahele, sızma ve zaafiyet testleri gibi temel konularda yeterli bilgi ve tecrübeye sahip olması beklenir. NOC'dan farklı yanlarından bazıları onlarca,yüzlerce cihazdan gelen hatta deyim yerindeyse oluk oluk akan olay ve denetim kayıtlarının korele ve analiz edilmesi,ağ altyapısını da kapsayan bilişim sistemleri altyapısının düzgün ve güvenli biçimde işlediğinden emin olunması ihtiyacıdır.<br />
<br />
Yukarıdaki resim grafiklerin,analiz sonuçlarının, alarm mesajlarının gösterildiği ekranlar, ve bu ekranları sürekli gözleyen operasyon ekibinin bulunduğu fiziksel olarak diğer organizasyon yapılarından ayrı ve sadece yetkili personelin giriş çıkışına izin verilmiş İdeal Güvenlik Operasyon Merkezini gösteriyor. Savunma sanayii,finans,ISP sektörlerindeki deneyimime dayanarak şimdiye kadar böyle bir yapı görmediğimi rahatlıkla ve üzülerek söyleyebilirim.<br />
<br />
Profesyonel Güvenlik Operasyon Merkezleri Resim 1'deki gibi 4 ya da 5 mantıksal katmandan oluşur kardeşlerim. İlk katmanda merkezin var olma nedenleri veri kaynakları bulunur. Var olma nedeni diyorum çünkü veri kaynakları olmazsa işleyecek,korele edecek ve işlerin yolunda ya da ters gittiğini gösterecek veriler de olmaz. Günümüzde BT altyapınızın işleyiş ve güvenliğini tesis etmede kullandığınız tüm donanım ve yazılım ürünleri kendilerine has formatta ve detayda mesajlar,olay kayıtları,alarmlar üretir.Üretilen bu verilere erişim için kullanılan yöntemler ve protokoller (snmp,syslog,telnet,ssh,html vb) standart olsa da farklı üreticilerin farklı ürünleri farklı tipte,farklı yapıda,farklı uzunlukta veriler üretir. Farklı özelliklere sahip veri ve mesaj tiplerinin birbiri ile ilişkilendirilebilmesi için, ham veri Veri Toplama katmanındaki yapılarda işlenir ve ortak veritabanında saklanabilecek standart bir hale/formata getirilir. Veri toplayıcı denebilecek bu yapılar veri kaynaklarını sorgulayabilir ( polling ) ya da veri kaynaklarından gönderilen veriyi kabul edebilir.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhx7qIFeLlTZvY54DP_bwwlywyxxvQV9S4RatxjiWFn4bVbvjrBdQfByHEER0nL6MOgih9QAGVCQ9Tbdp3cWXRjrMkajmNlfHPAgHfenCwMvEkh344FvTyevE_BtpD4A2B4jWPaEGZtP6gr/s1600/Soc_Logical.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="270" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhx7qIFeLlTZvY54DP_bwwlywyxxvQV9S4RatxjiWFn4bVbvjrBdQfByHEER0nL6MOgih9QAGVCQ9Tbdp3cWXRjrMkajmNlfHPAgHfenCwMvEkh344FvTyevE_BtpD4A2B4jWPaEGZtP6gr/s400/Soc_Logical.png" width="400" /></a></div>
<div style="text-align: center;">
<i><span style="font-size: x-small;">Resim 1 - GOM katmanları</span></i></div>
<br />
Analiz ve Depolama katmanı Merkezin kalbi,bel kemiği,en kritik katmanıdır. Merkezin başarısını gösteren,önemsiz ve önemli olayları ayırt etme,filtreleme,birden fazla veri kaynağından gelen birbirinden bağımsız olay verileri arasında ilişki kurma kabiliyeti kazandıran korelasyon ve analiz motoru ya da ürünü ( son zamanların meşhur SIEM ürünleri ) bu katmanda bulunur. Diğer bir deyişle merkezin olay yakalama başarısı korelasyon ve analiz motorunun ya da ürününün başarısıyla doğru orantılıdır. Şarıl şarıl akan veriler istenen standart formata çevrildikten sonra bu katmanda depolanır. Operasyon ve Yönetim katmanı bir önceki katmanda analiz edilen veriler sonucu üretilen olay kayıtlarının incelendiği, bolca grafikten bir takım anlamlar ve sebep-sonuç ilişkisinin çıkarılmaya çalışıldığı, ortada bir bilgisayar olayı var ise müdahale ve gerektiğinde adli bilişim operasyonlarının başlatıldığı ve yönetildiği katmandır.<br />
<br />
Veri kaynaklarından gönderilen ya da çekilen veri Resim 2'de gösterildiği gibi izole ve güvenli ağ altyapısı ile GOM'a iletilmeli ve işlenmeli. Out-of-band yönetim portlarını bu amaçla kullanabilirsiniz.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiU8vTkzGrWlp7Qy4vKcvvE1cXQjmGobm2vVG1bgIpIqtgRFpTnxgqrOsECE0rA7XMVPty6I1pe4xOpubel9kgo6yEBKqeASb6f2cbsksTYhQj_rSuUSAz0znDJlvcJThPP3CHWjLqHIIuN/s1600/Soc_Infrastructure.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="272" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiU8vTkzGrWlp7Qy4vKcvvE1cXQjmGobm2vVG1bgIpIqtgRFpTnxgqrOsECE0rA7XMVPty6I1pe4xOpubel9kgo6yEBKqeASb6f2cbsksTYhQj_rSuUSAz0znDJlvcJThPP3CHWjLqHIIuN/s400/Soc_Infrastructure.png" width="400" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<span style="font-size: x-small;"><i>Resim 2 - Mantıksal GOM altyapısı</i></span></div>
<br />
GOM'da bulunması gereken fiziksel ve altyapı özellikleri<br />
<ul>
<li>Kullanılan ürün,ekipman ve teçhizat işletme ürün,ekipman ve altyapısından mümkün olduğunca izole edilmeli. GOM çalışma alanı ve ekipmanlarına erişim kısıtlı ve kontrollü olmalı, güvenlik kameralarıyla devamlı gözlenmeli.</li>
<li>Bağlı bulunulan ya da hizmet verilen işletmenin servis sağlayıcısından farklı bir servis sağlayıcıdan edinilen farklı bir veri hattı.</li>
<li>İzleme araçlarının ürettiği ya da altyapı bileşenlerinin sağlık/güvenlik durumlarını gösteren grafiklerin,alarmların GOM'un her noktasından rahatça görünebilmesine imkan sağlayacak monitörler,projektörler ve sesli uyarı ekipmanları.</li>
<li>Özellikle zararlı kod analizi için,GOM yerel ağından tamamen izole bir ağa sahip laboratuvar.</li>
<li>En az 2 telefon hattı.</li>
<li>Fax hattı ve cihazı.</li>
<li>Beyaz tahta.</li>
<li>Güncel haber ve gelişmelerin takibi için TV.</li>
</ul>
GOM'da görev alacak personelin aşağıdaki temel konular hakkında bilgi ve tecrübe sahibi olması gerekir;<br />
<ul>
<li>Trafik, log ve zararlı kod analizi</li>
<li>Adli bilişim</li>
<li>Sızma testi,güvenlik ve zaafiyet taraması</li>
<li>Ağ,sunucu ve uygulama güvenliği</li>
</ul>
Yapılması gerekenler ya da yapılabilecekler atla deve değil aslında. Fonksiyonel,güvenilir,hata payı az GOM yapısı oluşturma süresi,ürünlerin ince ayarları ve ortamınıza uygun hale getirilmesi çalışmalarıyla birlikte 1 yıla kadar çıkabilir,sabırlı olmalısınız. Süreç biraz bilgisayar olaylarına müdahale ekipleri kurmaya benzer. İdeal olmasa da ihtiyacınızı karşılayacak bir yapı işletmek ve mesai saatleri sonrasında güvenliği ilahi güçlere emanet etmemek istiyorsanız işe GOM'un görev tanımıyla başlamalısınız. Sorumluluk alanlarını belirlemelisiniz. Üst düzey yöneticilerden biri "facebook hesabımı ele geçirmişler" diyerek GOM çalışanlarını meşgul etmemeli mesela. BT güvenlik ekiplerine sahip azınlıktaysanız ekip üyelerine güvenlik ürünlerini yönetmek ve konfigüre etmenin dışında izleme ve gözleme alışkanlığı da kazandırın.Güvenlik politika ve prosedürlerinizi GOM'u dahil edecek şekilde elden geçirmelisiniz.Ekibin bulunduğu alan,kullandığı cihaz ve ürünlere erişim kısıtlı ve kontrollü olmalı. "Baba naber?" diyen elini kolunu sallaya sallaya bu yapı içerisinde dolaşamamalı. Ekip yukarda belirtilen konularda uzman olmalı. GOM yöneticisi ihtiyaç duyulan uzmanlığı edinmede ekibi desteklemeli. Bunun için ekibi maddi ve manevi olarak motive etmelisiniz. Çalıştığınız kurumda 7x24 altyapı ya da servis izleme yapan birimler mevcut ise, bu birimlerin önüne fazladan bir monitör ya da pencere koyup güvenlik olaylarının izlenmesini de sağlayın. Özellikle mesai saatleri sonrasında izleme yapan kişileri ekranlar,gelebilecek mesajlar,temas kurulacak nöbetçi personel, alınacak aksiyonlar konusunda eğitin.<br />
<br />
Bu hizmeti veren uzman firmalar da var üzülmeyin. Bir güvenlik olayı tespit edildiğinde sağ olsunlar bir kere telefonla arıyorlar ama oldu ki hat kesildi ya da yanlışlıkla telefonu kapadınız bir kere daha arama gayretine pek girmiyorlar. Sonrasında bir email gönderip topu size atıyorlar. Boşuna dememişler "el elin eşeğini türkü söyleyerek arar", siz de bilişim altyapınızın güvenliğini yabana atmayın,7x24 güvenlik prensibine alışmaya ve mümkün olduğunca kendi yağınızda kavrulmaya çalışın.<br />
<br />
<div>
<br />
<i><span style="font-size: x-small;">İlgili Yazılarım</span></i><br />
<a href="http://umut-simsek.blogspot.com/2012/06/bilgisayar-olaylarna-mudahele-nass_27.html">Bilgisayar Olaylarına Müdahale - Bilgisayar Olayı nedir? Etkin müdahalenin önemi ve gereği</a><br />
<a href="http://umut-simsek.blogspot.com/2012/08/bilgisayar-olaylarna-mudahele-etkin.html">Bilgisayar Olaylarına Müdahale - Etkin Müdahale Yöntemi</a><br />
<a href="http://umut-simsek.blogspot.com/2012/08/bilgisayar-olaylarna-mudahele-mudahele.html">Bilgisayar Olaylarına Müdahale - Müdahale Ekibi</a><br />
<a href="http://umut-simsek.blogspot.com/2012/08/bilgisayar-olaylarna-mudahele-masal.html">Bilgisayar Olaylarına Müdahale - Masal</a></div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-1869987042454684146.post-10129708580209397942012-11-16T22:00:00.000+02:002013-06-13T14:27:25.604+03:00Sızma Testi Nasıl Yapılmaz?<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiqgqxOQGl9nNMyBcSBcU8xDYnCWB3AlHuUmm7sfknACjuybmrPOhlNVwPq-CrX1orYEgsX0FblnjJCf-LWd5t524g_W-JERwpsMDz8s69tTujNy0Hu1ecF1iErlYJNavFLsHwGXAm02N5c/s1600/code2.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="153" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiqgqxOQGl9nNMyBcSBcU8xDYnCWB3AlHuUmm7sfknACjuybmrPOhlNVwPq-CrX1orYEgsX0FblnjJCf-LWd5t524g_W-JERwpsMDz8s69tTujNy0Hu1ecF1iErlYJNavFLsHwGXAm02N5c/s200/code2.png" width="200" /></a></div>
Sızma Testi (Penetration Test) nasıl yapılır,hangi araçlar kullanılabilir,kimler sızma testi yapabilir bunları her yerde okursunuz. Bu yazıda komik duruma düşmemeniz için sızma testi sırasında yapmamanız gerekenlerden bazılarını listeleyeceğim.Eksik olduğunu düşündüğünüz maddeler varsa yorum olarak ekleyebilirsiniz.<br />
<ul>
<li>Kapsam dışına çıkmayın,test kapsamında olmayan tek bir ip adresine tek bir paket bile göndermeyin.</li>
<li>Servis ve hizmet kesintisine sebep olmayın. Yapılmaya çalışılan işin adı üstünde sızma,farkettirmeden bir takım sistemlere,bilgilere erişme testi, servis kesintisine neden olma, cihaz yamultma testi değil. Bu nedenle bence sızma testi sırasında ortaya çıkan kesintiler testin ve firmanın başarısız olduğunu göstermeye yeter.</li>
<li>Müşterinin belirlediği kapsamda yapılacak test için testi bitiremeyeceğiniz süreler taahhüt etmeyin. Belirteceğiniz süre çok kısa ya da çok uzun olursa çoğu zaman işi alamazsınız bile. Kendinizi tanıtırken "Dünyaca tanınmış hacker" gibi komik ifadelerden kaçının.</li>
<li>Sadece hazır araçların raporlarını sızma testi raporu diye sunmayın.</li>
<li>Özellikle otomatik tarama bulgularını doğrulamadan raporlarınıza yazmayın.</li>
<li>Yeni bir rapor hazırlamaya üşenip önceki raporlardan birini değiştirip kullanacaksanız, değiştirdiğiniz eski raporda eski müşterinize ait bilgi bırakmayın.</li>
<li>X işletim sistemi ya da ürünü için geliştirilen istismar araç ya da yöntemini Y işletim sistemine ya da ürününe karşı kullanmayın. Windows işletim sisteminde "passwd" dosyası aramayın mesela.<a name='more'></a></li>
<li>Daha önce kullanmadığınız,test ortamınızda test etmediğiniz istismar araçlarını müşterinizde kullanmayın.Sebep olabileceği olumsuz sonuçları bilemezsiniz. </li>
<li>Envanterinizde "0-day" tabir edilen henüz ifşa edilmemiş zaafiyetleri istismar edebilecek araçlar,scriptler olabilir. Sadece sizin bildiğinizi iddia ettiğiniz zaafiyetleri, zaafiyetleri giderecek yöntemleri bilmiyorsanız ya da oturup zaafiyeti giderici yama/güncelleme vs yazmadıysanız kullanmayın. Sızma testinde müşteriye zaafiyetleri en aza indirme ya da ortadan kaldırma önerleri sunmak, onları tespit etmek kadar önemlidir,Türkiye'nin ilk lameri olup olmadığınız önemli değildir.</li>
<li>Ne idüğü,kaynağı belli olmayan araçları testlerinizde kullanmayın,müşterinizi ve kendinizi riske atmayın. Bazı "exploit" tabir edilen istismar aracı ya da kodları truva atı (trojan),arka kapı (backdoor) gibi saldırı bileşenleri içerebilir.</li>
<li>Müşterideki muhattabınız olan birim ya da bölümdekilerin bilgisi ve onayı olmadan müşterinizin çalışanlarıyla etkileşim içine girmeyin. Kafanıza göre sosyal mühendislik saldırıları yapmaya kalkmayın.</li>
<li>Test raporunu veya testle ilgili en ufak ayrıntıyı teste konu olan müşteri dışında kimseyle paylaşmayın. Çoğu zaman sızma testi yapan firma çalışanı önceki ve diğer müşterilerindeki deneyimlerini,bulunan açıklıkları biraz da böbürlenerek anlatmayı sever.</li>
<li>Müşterinizden daha önceki sızma testi raporları, ağ topolojisi gibi bilgileri isteme hatasına düşmeyin.</li>
<li>Müşteriyle elektronik ortamda kurulan iletişimde güvensiz protokoller ya da uygulamalar kullanmayın. Maillerinizi,raporlarınızı "clear text" denen şifresiz formatlarla göndermeyin. Mail sunucunularınızı yöneten sistem yöneticinizin,mail sunucunuzun yedeklenmesinden sorumlu yedekleme yöneticisinin ya da ISP'nizin yazışmalarınızı izlemediğinden asla emin olamazsınız.</li>
<li>Sızma testi sırasında zaafiyet barındıran uygulamalar kullanmayın. Mesela sosyal mühendislik saldırısında kullanıcı adı/parola bilgisi toplamak için kullanacağınız basit web uygulamasındaki açıklar bu bilgileri sakladığınız veritabanının silinmesine neden olmasın.</li>
<li>Port açma gibi ayrıcalık taleplerinde bulunduktan sonra, tanınan bu ayrıcalıkları belirtmeden bu ayrıcalıklardan faydalınarak tespit edilen zaafiyetleri rapor etmeyin. Örneğin; normal şartlarda kullanıcılara sadece 1433 portundan erişim izni verilmiş bir veritabanı sunucusunu taramak istediğinizi söyleyip taramayı yapacak pc ile veritabanı sunucusu arasındaki tüm portları açtırdıktan sonra tespit ettiğiniz zaafiyetleri rapor ederken "vay efendim veritabanında şu açıklıklar var" yazmak yerine "veritabanı sunucusuna erişim kısıtlıdır,ama test için tüm portlar açıldıktan sonra yapılan tarama ve testlerde şu açıklıklar tespit edilmiştir" yazmak daha anlamlıdır.</li>
</ul>
<div>
Daha önce sızma testi yapmamış ama güvenlik ve zaafiyet taramaları yapmış biri olarak şimdiye kadar çalıştığım kurumlarda yapılan ya da diğer kurumlarda yapıldığını duyduğum testlerde karşılaştığım, duyduğum,dikkatimi çeken hatalar,kimi zaman güldüren "yok artık!" dedirten yanlışları listeledim. Yazının başında belirttiğim gibi siz de katkıda bulunabilirsiniz. Öğrenmenin ve madara olmanın yaşı yok,seçiminizi yapın :)</div>
<br />
<br />
<br />
<i><span style="font-size: x-small;">İlgili Yazılarım</span></i><br />
<a href="http://umut-simsek.blogspot.com/2012/10/ag-ve-sunucu-guvenliginde-yapilan.html">Ağ ve Sunucu Güvenliğinde Yapılan Yanlışlar & Hurafeler</a><br />
<a href="http://umut-simsek.blogspot.com/2012/12/hedefi-olmadgnz-saldrlardan-ders.html">Hedefi Olmadığınız Saldırılardan Ders Çıkarmak,Faydalanmak - Nass oluyor da oluyor?</a><br />
<a href="http://umut-simsek.blogspot.com/2012/12/sosyal-muhendislikte-olta-ignesini.html">Sosyal Mühendislik'te İğneyi Kendine Batırabilmek</a><br />
<a href="http://umut-simsek.blogspot.com/2012/07/bankaclk-duzenleme-ve-denetleme-kurumu.html">BDDK - Bilgi Sistemlerine İlişkin Sızma Testleri Genelgesi üzerine</a><br />
<a href="http://umut-simsek.blogspot.com/2013/02/300-ve-bilisim-guvenligi-analojisi-nass.html">300 ve Bilişim Güvenliği Analojisi - Nass oluyor da oluyor?</a><br />
<br />Unknownnoreply@blogger.com1tag:blogger.com,1999:blog-1869987042454684146.post-45408056270162912762012-11-01T00:30:00.000+02:002012-11-12T15:48:59.618+02:00Windows Performans Ölçütlerinin SQL Veritabanına Yazdırılması Konusunda Anlatılmayanlar<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh9bG20p-DkWiKHTOGWDrv_V81jEB2qhtk5Hc3RqbfbFBuPW80UcHpoKCAM99orTB1do_Rnp8v37IiaXjaiDWZh0nW89LBRXXE1pREC-zCpRcMJwyJ-vb0hQ09g2pLG6C84SO4CiWzH9nEz/s1600/performans.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="198" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh9bG20p-DkWiKHTOGWDrv_V81jEB2qhtk5Hc3RqbfbFBuPW80UcHpoKCAM99orTB1do_Rnp8v37IiaXjaiDWZh0nW89LBRXXE1pREC-zCpRcMJwyJ-vb0hQ09g2pLG6C84SO4CiWzH9nEz/s200/performans.jpg" width="200" /></a></div>
Windows işletim sistemlerinin uzun zamandır performans verilerini SQL veritabanına yazabildiğini bilmeyen yoktur sanırım ve uygulaması çok kolay görünür, ama kullanan sayısı da çok azdır. Bu yazıda sadece domain ortamındaki sunucularınızın performans verilerini bir başka - tercihen merkezi - veritabanı sunucusuna yazdırırken dikkat etmeniz gereken - her zaman olduğu gibi heryerde bulamayacağınız türde -noktalardan bahsedeceğim.Saatlerinizi ortaya çıkacak sorunlarla geçirmek istemiyorsanız dikkatli okuyun.<br />
<br />
Ekran görüntülerini kullandığım ve performans ölçütlerini (metrik) toplayacağımız kaynak sunucu Windows 2008 Enterprise Edition, verileri yazacağımız veritabanı sunucusu ise aynı domainde SQL Server 2008 çalıştıran ayrı bir sunucu.<br />
<a name='more'></a><br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<ol>
<li>İlk dikkat edilecek konu kullanacağınız DSN ( Data Source Name ) in System DSN olması, ne yazık ki Performans monitor User DSN'leri kullanamıyor. Oluşturacağınız System DSN'de veritabanına bağlantı için Windows Authentication kullanmalısınız.System DSN'i tanımlarken kullandığınız hesabın veritabanına erişim yetkisi olmayabilir,sorun değil siz yine de DSN'i oluşturun.</li>
<li>İkinci dikkat edilecek nokta oluşturduğunuz Data Collector Set'i veritabanında yetkili (db_owner yeterli) bir domain kullanıcı hesabıyla çalıştırmanız.( Resim 1) . Bu domain kullanıcı hesabı yukarda bahsettiğimiz System DSN'i kullanacak hesap olacak. </li>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgmTmPYl6WSvevGmWGTtoAnYwXaAlhANxTmn5ZsEFMrFcBeUdC5l2dBXcecv_FsYIkWtOHrAvE00ZTYRmc-YWNTr2PvX5LZI7AuCigNg7VEwets1ab1daMVtjPWFRXokwG1qcFpm8JOfFyE/s1600/Perfmon_Data_Collector_Set.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="240" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgmTmPYl6WSvevGmWGTtoAnYwXaAlhANxTmn5ZsEFMrFcBeUdC5l2dBXcecv_FsYIkWtOHrAvE00ZTYRmc-YWNTr2PvX5LZI7AuCigNg7VEwets1ab1daMVtjPWFRXokwG1qcFpm8JOfFyE/s320/Perfmon_Data_Collector_Set.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;">Resim 1</span></i></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;"><br /></span></i></div>
<li>Üçüncü dikkat etmeniz gereken nokta, kullandığınız domain kullanıcı hesabı ( servis hesabı olabilir )'nın performans verisi toplayacağınız sunucunun "Performans Log Users" ve "Performans Monitor Users" lokal gruplarına dahil olması. (Resim 2)</li>
</ol>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhE290Yy_68b9_rwz6n-GdmFJTEyo9i11sNKt5AHWICTs4TyW_pQ1M2T0ZfE9iMMCsDqrKnXVIN4wfy-x467AEpAepL1EU5BA8_8Ot0qk30iUIDaiDDqWaXNciN_7BcgfCEjgpZzDagslvq/s1600/2012-11-01_133912.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="187" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhE290Yy_68b9_rwz6n-GdmFJTEyo9i11sNKt5AHWICTs4TyW_pQ1M2T0ZfE9iMMCsDqrKnXVIN4wfy-x467AEpAepL1EU5BA8_8Ot0qk30iUIDaiDDqWaXNciN_7BcgfCEjgpZzDagslvq/s320/2012-11-01_133912.png" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<i><span style="font-size: x-small;">Resim 2</span></i></div>
<br />
System DSN nasıl oluşturulur, Performans Monitor'de Data Collector'a nasıl tanımlanır,Veritabanına erişim için hangi portların açık olması gereklidir gibi kolay edinilebilir bilgiler için google'a başvurabilirsiniz.<br />
<br />
Siz de performans ölçütlerini veritabanında saklamak isterseniz, verileri grafiğe dökmek için kendi geliştirdiğim ve siz sevgili okuyucularımın beğenisine sunduğum ve asp ile geliştirdiğim uygulamayı tepe tepe kullanabilirsiniz. conn.asp dosyasındaki bağlantı bilgilerini kendi ortamınıza göre düzeltmeniz yeterli.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://docs.google.com/open?id=0B1osJ01zMynRQUFpb2xzQm5aZTg"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgDGyPFDaSELzvfgCRarW3lNubQYknHC-IbSSVn2ouRKBHoG0E7dGNAEDmZWkPWtYMvRdBVcvg1AkN3W6fCy9Kr3k1Y5PGlzxpibGmkDFBRMWWdXVtD_C6D509VWr2oi0WFhgFrOYbNtyUi/s1600/1352728085_gnome-mime-application-x-archive.png" /></a></div>
<br />Unknownnoreply@blogger.com0