Bir iki haftadir eski blog yazilarini siteye aktarmaya calisiyorum.(Veritabanini kaybettigim icin archive.org’dan almaya calistim yazilari) Dolayisi ile ara ara sitede gordugunuz yazilar size nostalji yasatabilir:).
Mod security’de guncelleme yaptik. Ulasilamayan, hata veren sayfalara rastgelirseniz huzeyfe@lifeoverip.net‘e bir mail atmaniz yeterli.
Information Security Risk management, Information Security Governance vs gibi konularla ilgileniyorsaniz SOMAP projesi ilginizi cekecektir.
Detaylar icin http://www.somap.org/default.html
Piyasada kullanilan IPS urunleri ile ilgili bir inceleme yaparken ekteki calismaya rastladim. Ilgili urun hakkinda iyi izlenimler birakmayan bir calisma olmus. Ayni urunun guncel surumlerinde belgedeki acikliklar bulunmuyor.
http://www.sybsecurity.com/resources/static/hack-proventia-1.pdf
OpenDNS tarafindan uzun suredir ucretsiz olarak verilen bir hizmet var: Domain tabanli icerik filtreleme. Kisaca yapi soyle calisiyor;
OpenDNS’e uye oluyorsunuz -> Uyelik sayfasindan ip araliginizi belirtiyorsunuz->Hangi kategorilerdeki iceriklerin bloklanacagini seciyorsunuz(Klasik icerik filtreleme sistemlerindeki gibi)->Sonra aginizda DNS sunucu olarak OpenDNS’în adreslerini veriyorsunuz ve boylece ek bir islem, yatirim yapmadan hizli bir icerik filtreleyiciye sahip oluyorsunuz.
OpenDNS’i kullanan istemci sayisinin 5 milyon oldugu ve bu sayinin hergecen gun arttigi dusunulurse yakin gelecekte piyasada dolasan icerik filtreleme sistemlerine ciddi bir rakip geliyor demektir.
Icerik filtreleme sistemlerde en onemli iki husus performans ve bloklanacak site veritabanidir.(Buna bir de loglama ve raporlama ekleyebiliriz). Performans konusunda OpenDNS’i gececek bir uygulama olmayacaktir zira daha dns sorgulama esnasinda istekler filtrelenecektir. Bu sistemi Spam engelleme icin kullandigimiz RBL Listelerine benzetebiliriz.
OpenDNS’în site veritabani henuz cok gelismis degil ama gonullu kullanicilar tarafindan her gecen gun siteler kategorilendiriliyor ve veritabani buyuyor.
Genel olarak dusunuldugunde hem ucretsiz olmasi hem de kurulum, bakim gibi kaynak gerektirecek islemleri olmamasi benim gozumde OpenDNS’i gelecegin icerik filtreleme sistemi olarakust siralara yerlestiriyor. Buyuk sirketler icin degil fakat orta olcekli ve kucuk olcekli sirketler icin denenesi bir cozum.
Tabi burada gozden kacirilmamasi gereken durum OpenDNS’in sizin tum DNS trafiginize hakim olmasi ki bu da sizin trafiginiz uzerinde istenilen islemin OpenDNS tarafindan yapilabilecegi manasina geliyor.
Gecen haftanin en onemli olaylarindan (Bilisim dunyasi icin)Debian Linux sistemlerde cikan “openssl — predictable random number generator“zaafiyeti idi. Problem OpenSSL’in debiana aktarilirken hata ureten bir fonksiyondaki bazi satirlarin cikarilmasindan kaynaklaniyor ki o satirlarin onemi yillar once OpenSSL tarafindan onemle belirtilmis.
md_rand.c dosyasindaki ilgili satirlar kaldirildiginda OpenSSL’in PRNG si random olmaktan cikip kolaylikla uretilebilir bir hale donuyor.(Randomize olarak o anki proses id’sine bakiliyor, Linux sistemlerde on tanimli proses id’si ~32000 oldugu dusunulurse cok rahatlikla bu kadar sayi denenerek uretilen keyler tekrarlanabilir).
Uzmanlar Debian ve Debian tabaninin kullanan sistemlerin acilen 2006(Eylul ayi) yili ile 2008 yili arasinda urettikleri sertifika, SSH key ve benzeri OpenSSL kullanan uygulama ciktilarinin tekrar uretilmesi gerektigini belirtiyor.
Simdiden internette bu zaafiyetin nasil kotuye kullanilacagini anlatan dokumanlar, hazir scriptler ve bruteforce da kullanilabilecek keyler dolasmaya basladi. Debian Linux kullananlarin dikkatine.
Read more…
Kullandigim en iyi sozluk programi Babylon’a alternatif ucretsiz ya da daha dusuk ucretli bir sozluk programi araken Lingoes ile karsilastim. Lingoes; sitesinden arabirimine, calisma yapisindan sozluk kullanimina tam bir Babylon kopyasi(evet simgeleri haric herseyi ayni:). ama kotu bir kopya degil aksine gelecek vadeden, boynuzun kulagi gececegi bir kopya. Henuz sozluk sayisi Babylon kadar yeterli degil ama ucretsiz olmasi ve Babylon benzeri kullanimi sayesinde kisa surede Babylon’un tahtini sallayabilir.
Indirip kullanmak icin > http://www.lingoes.net
Hafta sonu macerasi…(eski blogdan)
root | 03 April, 2007 08:04
Hafta sonu bir medya kurumunun güvenlik duvari degisimi islemi ile ugrasirken yasadigim basit bir problem ve cozumune dair ugrasilarim.
Guvenlik duvari degisim islemi icin istedigim sure 2 saat idi fakat yolunda gitmeyen isler yuzunden Cumartesi+Pazar/2 zamanimi aldi…
Yasadigim problem neydi?
OpenBSD PF ile kuruma ait 4 farkli internet cikisini yonetmeye calisirken sistemin habire cakilmasi ve sisteme takili bir monitor olmadigindan uzun bir sure benim sorunu bulamamam… Sorunu bulamamam uzere(bu arada gun kararmis ve benim 2 saatlik calisma 10 saati bulmus durumda:)) canli yayindaki abi/ablalarin feryatlari kafami sisirmeye baslayinca internet baglantisi tek cikis uzerinden verip biraz dinlenmeye karar verdim… Sonra nasilsa aklima geldi de sisteme bir monitor takip sorunu farkettim. Temiz hava ise yariyor. Read more…
IDS/IPS/IDP dunyasinda sIk kullanilan fakat genellikle eksik/yanlis kullanilan bazi terimler var. Bunlardan en sIk rastladiklarim, IDS, Active response(aktif yanit sistemi), Inline vs.. Kisa kisa bu tanimlarin ne olduklarina deginmeye calisacagim.
IDS: Genel mana itibari ile atak/saldiri tespiti yapmak ve kurulan uyari mekanizmasi ile guvenlik yoneticilerini uyarmak gorevindedir. IDS’ler dogal hali ile pasif sistemlerdir ve saldirgana herhangi bir cevap donmezler, hatta saldirgan agda bir IDS oldugunu bile cogu zaman farketmez. IDS’lere ataklari kismi engelleme ozelligi eklemek icin Aktif yanit destegi(active response) eklenmistir.
Active response(Aktif yanıt)’dan kasıt IDS sistemlerinin saldırı anında TCP RST(TCP icin) ve ICMP hata mesajları(UDP icin) paketleri göndermesidir. Eski bir yontemdir ve gunumuzde kompleks saldirilara karsi saglam bir cozum onermemektedir. Burada IDS sistemi ile sunucu ve saldirdan arasinda bir yaris soz konusudur ve ortamdaki bilesenler saldirinin basarili olup olmamasinda onem kazanir(IDS’in cpu gucu, switch kalitesi vs)
Aktif yanıt sistemlerinin diger onemli bir eksigi de tek paketle yapilan(one shot) saldırıları engelleyememeleri. Tıpkı Slammer wormunda olduğu gibi.(UDP portuna tekbir paket ile gerceklestiriliyor) Zira paket hedefe ulaşmış ve saldırı başarılı olmuştur, bu andan itibaren hedefe ya da sunucuya RST, Icmp hata mesaklari gondermek işe yaramayacaktır.
Inline sistem: paketlerin geçiş yolu üzerinde bulunan sistem demektir. Router, Güvenlik duvari, bridge modda çalışan yapılar Inline sistemlerdir. Inline, kesinlikle bridge modda çalışan system demek değildir, Layer2 ya da Layer3 e calisabilir. Önemli olan paketin cihaz/sistem üzerinden geçmesidir.
IDS(Aktif yanıtlama sistemleri) ile IPSler aradındaki en önemli fark IPS sistemlerin inline modda çalışmasıdır.
Inline sistemlerin diğer bir yararı da trafik üzerlerinden geçtiği için uygulama seviyesinde paket içeriğinde değişiklik yapabilmeleridir. Mesela saldırganın paketi içerisinde /bin/sh şeklinde bir ibare varsa bunu /ben/sh olarak değiştirerek saldırının başarılı olmasını engelleyebilir. Burada dikkat edilmesi gereken husus Inline sistemin içeriği değiştirdikten sonra transport katmanında checksum değerinin yeniden hesaplaması gerektiğidir.
Acik kaynak SSL VPN cozumu OpenVPN‘nin onaylama mekanizmasi icin sistem hesaplarini kullanmak PAM altyapisi kullanmayan sistemlerde(OpenBSD gibi) pek mumkun gozukmuyor.
Bunun icin kendiniz bir betik/program yazarak sistem kullanicilarini OpenVPN ile calisacak hale getirebilirsiniz. Bunun icin piyasada kullanabilecek cesitli alternatifler var. Benim test ettigim ve kullandigim openvpn-auth-passwd isini oldukca iyi yapiyor.
Read more…
Son yillarda fiyatlarinin ucuzlamasi ve cesitli sebeplerden dolayi usb disklerin kullanimi oldukca yayginlasti… Birsey yayginlasirda bilgisayar dunyasinin yaramaz cocuklari bos durur mu hic?
USB belleklerle ilgili hemen hemen herkesin aklina gelebilecek cesitli senaryolar vardir;
Yine benzer bir konuda arastirma yaparken teorik olarak duydugum bu konunun pratige dokuldugunu, hatta uzerine cesitli gelistirmeler(takilan usb deki bilgilerin otomatik alinip, ziplenerek ssl bir tunel uzerinden gmail’e gonderilmesi vs) yapildigini gordum… Read more…
Recent Comments