Complexity Is the Enemy of Security

Qmail’in bu kadar populer kullanımında onemli rol sahibi olan Inter7′in(www.inter7.com) sayfasinda dolasirken  vqalive yazılımını gordum. Tam da sorumlu oldugum mail sunuculardan birisini aktif -pasif calisacak sekilde nasil ayarlayacagimi dusunurken onume cikmasi oldukca sevindirdi.  Henuz denemedim ama grubun yazidigi diger tum yazilimlari tecrube ettigimdem gozu kapali kullanılabilir tavsiyesi verebilirim.

Calisma mantigi klasik bir aktif-pasif HA sisteme benziyor. Iki sistem ortak bir ip uzerinden dis dunyaya anons ediliyor ve arkaplanda calisan bir daemon araciligi ile hangi sistemin Master oldugu belirleniyor. Master olan Virtual ip adresini sahiplenerek mailleri isliyor, bir problem esnasinda Secondary sistem virtual ip adresini uzeine alarak islemleri kaldigi yerden devam ettiriyor. Detaylar icin

Read more…

Turkiye’nin ilk uzun soluklu Bilgi guvenligi dergisi Beyaz Sapka kullanıcıları icin e-posta listesi ve blog hizmeti sunmaya başladı.

Kurumsalhaberler.com’dan

İsmini bilgi güvenliği tecrübesini sistemleri korumak amaçlı kullanan uzmanlara verilen White Hat terimini Türkçeleştirerek almış olan Beyaz Şapka’nın Ağustos sayısı hazırlandı.

Beyaz Şapka’nın yol haritasındaki en önemli değişiklik blog sitesi ve e-posta listesi. Üç ayda bir yayınlanarak kurumlara ücretsiz dağıtılan dergi, sayfa sayısı kısıtlaması ve zaman aralığı nedenleri ile abonelerine güncel haberleri ulaştırmakta ve kapsamını genişletmekte zorlanıyordu. Beyaz Şapka’nın Blog sitesinde dergide yayınlanan makalelerin uzantıları ile birlikte dergide yer bulamamış makaleler de yayınlanacak.

http://blog.beyazsapka.org

Türkiye’de yeterince kurumsallaşmış ve gelişmiş bir bilgi güvenliği tartışma listesi bulunmuyordu. Beyaz Şapka bu konudaki açığı kapatacak bir e-posta listesi hazırladı. Beyaz Şapka’nın e-posta tartışma listelerine blog sayfalarını kullanarak abone olmak mümkün.

Ultrasurf ve benzeri mantikla calisan yazilimlari klasik yoldan engellemek imkansiz.Cunku trafik SSL uzerinden akiyor ve icerigine bakma sansiniz yok(?) ve  hedef baglanti noktalari sabit degil. Durum boyle olunca daha yaratici cozumler gerekiyor basetmek icin. Ben de onceki gun tanistigim bu programi engellemek icin oturdum bilgisayar basina. Bir adet Windows XP+Ultrasurf ve bir adet FreeBSD makine ile ise giristim(Tek bir makine uzerinde Vmware ile). FreeBSD uzerinde Squid ve Packet Filter kurulu.

Once programin mantigini anlamak icin tcpdump ile trafik analizi yaptim ve acikcasi birsey anlamadim:). Program calistirildiginda bir suru farkli adrese dns sorgulari gonderiyordu ve ardindan o adreslere 443. porttan baglanip veri aktarimina geciyordu. Acaba dns sorgulari icerisinde veri mi tasiyor diye inceleyince  anormal bir durumun olmadigini gordum. Biraz daha bekleyince bu sorgulari ya sasirtma ya da baglanilacak hedef noktalarin durumunu anlamak icin kullandigini dusundum.

Ve ilk is olarak makineden disari cikan dns isteklerini blokladim ve programi tekrar calistirdim. Birkac saniye gecikme ile problemsiz baglandi.  DNs sorgularini birakip 443. porttan giden isteklere yogunlastim. Programi onlarca kere calistirarak hedef olarak baglandigi tum ipleri toplamaya calistim. Hatta bir ara topladigimi dusundum:).  Yaklasik 30-40 ip adresine giden TCP/443 isteklerini bloklayinca program calismadi…

Yanildigimi anlamam cok uzun surmedi ve bu isi Firewall ile yapamayacagima karar verip biraz daha ustduzey bir cozume yoneldim. Burada devreye Squid girdi.

FreeBSD uzerinde Squid’i ayarlayarak tum SSL baglantilarini loglattirdim(CONNECT methodu ile baglanilan adresler) sonra programin ayarlarinda bulunan Proxy sekmesinden proxy olarak Freebsd’yi gosterdim ve squid loglarina baktim. Loglarda gordugum ip adresleri aslinda Firewall ile gorduklerimle benzerdi fakat ben o adresleri blokladikca adresler degismeye basladi:). Tam bir kefi fare oyunu gibi birkac saat ugrastim…

Ugraslarim sonucsuz kalinca biraz temiz hava alarak mantikli dusunmeye calistim ve daha once Skype bloklamak icin kullandigim  bir yontemi denemeye karar verdim.

Bu karari almada Squid loglari cok etkili oldu.

1216392570.130      1 192.168.2.23 TCP_MISS/200 979 CONNECT https://121.100.83.188:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 -
1216392570.134      1 192.168.2.23 TCP_MISS/200 979 CONNECT https://71.202.103.111:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 -
1216392570.139      0 192.168.2.23 TCP_MISS/200 979 CONNECT https://99.244.154.125:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 -
1216392570.145      1 192.168.2.23 TCP_MISS/200 979 CONNECT https://98.207.118.112:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 -
1216392570.154      1 192.168.2.23 TCP_MISS/200 977 CONNECT https://71.198.74.252:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 -
1216392570.158      0 192.168.2.23 TCP_MISS/200 977 CONNECT https://71.195.174.97:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 -
1216392571.565  21393 192.168.2.23 TCP_MISS/200 9207 CONNECT https://login.dtcc.com:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 -
1216392585.090      0 192.168.2.23 TCP_MISS/200 975 CONNECT https://64.62.138.25:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 -
1216392585.096      0 192.168.2.23 TCP_MISS/200 975 CONNECT https://64.62.138.22:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 -
1216392585.103      1 192.168.2.23 TCP_MISS/200 975 CONNECT https://64.62.138.20:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 -
1216392606.547  56371 192.168.2.23 TCP_MISS/200 8565 CONNECT https://docs.google.com:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 -
1216392606.548  56373 192.168.2.23 TCP_MISS/200 40604 CONNECT https://store.willcom-inc.com:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 -
1216392606.549  56377 192.168.2.23 TCP_MISS/200 3237 CONNECT https://www.commerceonlinebanking.com:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 -
1216392622.633      1 192.168.2.23 TCP_MISS/200 979 CONNECT https://59.115.196.224:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 -
1216392625.220      1 192.168.2.23 TCP_MISS/200 979 CONNECT https://59.115.171.204:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 -
1216392626.523      1 192.168.2.23 TCP_MISS/200 977 CONNECT https://125.225.43.66:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 -
1216392626.532      1 192.168.2.23 TCP_MISS/200 979 CONNECT https://220.142.201.77:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 -
1216392634.777    674 192.168.2.23 TCP_MISS/200 1305 CONNECT https://www.virusbtn.com:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 -
1216392634.991    885 192.168.2.23 TCP_MISS/200 14882 CONNECT https://www.uktradeinvest.gov.uk:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 -
1216392640.129   6024 192.168.2.23 TCP_MISS/200 9207 CONNECT https://login.dtcc.com:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 -
1216392643.744   9638 192.168.2.23 TCP_MISS/200 1450 CONNECT https://ipfax.cttbj.com:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 -
1216392645.217   1473 192.168.2.23 TCP_MISS/200 138 CONNECT https://ipfax.cttbj.com:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 -

Loglardan anlasilan su idi: Bu program 443. port uzerinden cikmak icin cesitli ip adreslerini kullaniyordu oysa saglikli bir https sitesi ip adresi uzerinden calismaz(nadir ornekleri olsa da tercih  ve tavsiye edilmeyen bir yontem ) ben eger Squid -ya da herhangi bir icerik filtreleme araci- ile 443. port uzerinden CONNECT methodu ile baglanan ve hedef olarak ip adresi secen istekleri yasaklarsam bu program calismaz. Birkac deneme sonrasi gercekten bu fikrin ise ayradigini gordum. Ayni dertten muzdarip bir arkadas da test edip onaylayinca rahat bir nefes alarak uykuya gecebildim.

Squid uzerinde yaptigim ayarlar;

acl CONNECT method CONNECT
acl ultra_block  url_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
http_access deny CONNECT ultra_block  all

kisaca icerisinde ip adresi gececek urlleri bloklayacak bir acl yazdim ve bunu blokladim.

Bu islem sonrasinda loglara bakilirsa hangi adreslere baglanmaya calistigi gorulecektir ve Ultrasurf calismayacaktir.

Ek olarak eger aginizda NTLM authentication kullaniyorsaniz bu tip programlar calismaz(proxy destegi var fakat ntlm auth destegi genelde yok)

Guncelleme: Bazi IPSler bu tip kacak programlar  icin imzalarini cikarmaya basladilar. Siz de o sansli kullanicilardansaniz ek islem yapmaniza gerek kalmayacaktir.

Yine bazi client security urunleri(Mcafee vs) de uzun zamandir bu ve benzeri programciklari network katmaninda degil de direkt isletim sisteminde calistirilirken yakalayip engelleyebiliyor(mus). Tabi burada izlenen yontem onemli, zira bu clientlara ait tum ozellikler degistirilebilir.

Güncelleme-2: Zemana’cılar programı daha detaylı inceleyip ufak bir engelleme yazılımı hazırlamıslar. Onların uyarısı ile ben de tekrar test edip gördüm ki Ultrasurf gercek bir SSL baglantisi kullanmiyor. Bazı adreslere yaptığı gercek SSL bağlantılarına bakarak kanmısım oysa tekrar detaylı inceleyince SSL’de mutlaka olması gereken sertifika gönderimi Ultrasurf trafiğinde yok.  Bunun yerinayni porttan, protokol bilgileri cok benzer cakma bir sifreli protokol kullanıyor.

Zemana’ın blog girdisi : http://blog.zemana.com/2009/01/ultrasurf-proxy-analizi.html

Bazi sitelerin kanunlar tarafindan erisiminin engellenmesi ve yine sirketlerde kullanilan bazi icerik filtreleme yazilimlarinin gereksiz bir sekilde cesitli siteleri engellemesi biz internet kullanicilarini rahatsiz eder.

Internetin dogasinda bulunan ve teorik olarak engellenemeyecek tek seyin ozgurluk olduguna inananlardanım. Aynı zamanda ozgurlugun de bir siniri oldugunu kabul eder  fakat bu sınırı baskalarının benim adıma belirlemesi ve dayatmasından da rahatsız olurum.

Bu sebeple internet uzerinde yapilan engellemelere genelde guler gecerim. Zira her engelleme sonrasi kullanicilar baska bir yontem bularak yasagi delmeyi basarirlar. Security adminler -ya da bunlarin yerine kullandiklari urun firmalari- de bu acilan deligi kapatmak icin cabalar durur. Tipki virusun cikmasi ve ardindan antivirus urunlerinin guncellenmesi gibi…

Ben de zaman zaman hem calisma yapisini anlamak hem de guvenilir olmayan ortamlarda korunmak icin bu tip yazilimlari kullanirim. Gecen gun Erhan’in maili ile baska bir antisansur yazilimi olan Ultrasurf ile tanistim ve ilk dakikada hayran oldum:).

Kendisi benim icin yuzyilin antisansur yazilimi unvanini hakedecek kadar basarili cikti.

Neden? Cunku: kurulum gerektirmiyor, ayar gerektirmiyor,  piyasadaki cogu Firewall, IPS, Content Filtering cozumunu hicbir ek tecrube, caba gerektirmeden atlatabiliyor, baglanti hizini dusurmuyor(tor vs ile karsilastirildiginda) ve tum baglantilarinizi sifrelenmis bir sekilde merakli gozlerden sakliyor.

Kaynak kodu acik olmadigi ve hakkinda yeteri kadar bilgi o lmadigi icin engellemenin belirli ve mantiki bir yontemi de yok. Yaptigim denemeler sonucu Skype benzeri bir yapida calistigi konusunda izlenim edindim .

***

Bu tip anti-sansur programlarini hem desteklerim hem de sorumlu bir yonetici olarak kendi agimda kullanilmasini istemem. Bu sebeple oturdum birkac saatimi verip programin calisma mantigini inceledim(kurdugu baglantilari izleyerek). Ve sonunda bloklamanin yolunu buldum. Bir baska konuda onu yazacagim.

Antisansur konularinda daha detayli bilgi almak ve bu konuda yapilan calismalari (teorik ve pratik) incelemek icin http://www.internetfreedom.org/ adresi incelenebilir.

	UltraSurf	FreeGate	GTunnel
	FirePhoenix	GPass	Ranking

Son zamanlarin en populer mobile cihazlarindan BlackBerry’i etkileyen ciddi bir guvenlik acigi  yayinlandi.  Aciklik BlackBerry Attachment servisininin pdf uzantili dosyalari islerken cakilmasindan kaynaklaniyor.

Common Vulnerability Scoring System (CVSS)  9.0 olmasi da acikligin ciddiyetini gosterir nitelikte.

Cozum olarak guncelleme ya da BlackBerry Attachment Service’in pdf dosyalarini isletmeyecek sekilde ayarlanmasi oneriliyor.

Detaylar icin:

http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB15766

Mobile security onumuzdeki gunlerde cok daha onem kazanacak  diye buraya yazalim , sonra da sakal birakiriz:)

PCI DSS(Veri guvenligi standarti) konusunda kaynak sıkıntısı cekiyorsaniz Master Card tarafindan uygulanan ucretsiz ve birinci elden yetkin kisilerin anlatimi ile “The PCI Merchant Education Program” i takip edebilirsiniz.

Bilgi guvenligi ve ilgili konularda calisan arkadaslarla gorusmelerimde PCI konusunda firmalarin bu standarti yeteri kadar ciddiye almadiklarini, otesinde konu hakkinda yeterli bilgilerinin de olmadigini goruyorum. Yaklasik 5-6 ay oncesine kadar benim icin de muaamma olan bu standart hakkinda uzun suredir okuyorum ve kendi sirketim icin ilgili projelere katkida bulunuyorum. Zamanla burada eksik gordugum konularla ilgi yazmaya baslayacagim.

Unutmamak gerekir ki standar, kanun ve duzenlemeler bilgi guvenligi konusunun sirketlerdeki en iyi destekcileridir. Bunlara uyalim, uymayanlari uyaralim:)

Read more…

Mail iletisimi hayatimizin bir parcasi haline geleli uzun zaman oluyor. Son donemlerde moda haline gelen BlackBerry cihazlarla birlikte hayatimizin ayrilmaz bir parcasi haline geldigi de soylenebilir. (En azindan benim icin oyle.)Cep telefonu ile konusamayacak oldugumuz durumlarda bile birkac tus darbesi ile maillerimizi okuyup cevapliyabiliyoruz.

Kullanim orani arttikca buna bagli risklerde artiyor. Tum islerin mail uzerinden yapilmasi maillerin sirket acisindan onemini arttiriyor. Oyle ya tum projelerinizi yoneten ve bu isi mailler araciligi ile yapan bir calisanin isten ayrilmasi ile birlikte yapilan islerin tum detaylari da kayboluyor. Ya da disardan kolaylikla erisilebilen bir mail sunucu uzerinden sirketin en yetkili kisilerinin mailleri okunabilir.(Patronlar genelde kolay bulunabilecek parola kullanirlar:)

Hal boyle olunca ve mail uzerinden islenen suclar artinca bu konuyu gundemine alan kanunlar ve standartlar artmaya basladi. SOX kanunu bunlarin basinda geliyor. Kisaca tum sirket calisanlarinin maillerinin belli yil saklanmasini gerekli kiliyor.

Kanun ve standartların yonlendirmesi ile birlikte cogu firma artik calisanlarinin maillerini arsivleme yoluna gidiyor.

Gelelim guncel hayata: orda da kisisel olarak cogu isimiz mailler uzerinden donuyor ve yine cok buyuk bir oranimiz Gmail, Yahoo, hotmail gibi ucretsiz mail hizmeti veren yerleri kullaniyor. Ben de ciktigi gunden beri Gmail’i aktif olarak kullaniyorum.

Bir ara tum maillerimi Gmail uzerinden yonetmeye bile yeltenmistim ki bu aksiyonum cok kisa surdu(kendime ait sebeplerim var). Dikkatimi ceken bir konu Gmail’in cikardigi ek yenilikler hep kullanim kolayligi ve ozellik arttirimina yonelik. Guvenlik konusuna o kadar dikkat edilmiyor[1].

Nihayet Google Gmail’in guvenlik yonune de el atmaya basladi. Benim buyuk eksikligini cektigim audit mekanizmasi devreye alinacak gibi. Gmailblog’da yazilanlara gore kisa sure icerisinde gmail’e eklenecek ozellik sayesinde Gmail’i kimin nereden kullandigi bilgilerini anlik ve gecmise yonelik tutacak.Hani su banka hespalariniza girdiginizde son baglanti adresi ve zamanini gosteren uyarilar olur ya tipki onun gibi Gmail’imize kimin hangi yontemi(web, mobile, POP vs) kullanarak ne zaman hangi ip adresinden ulastigini ogrenebilecegiz.

[1] Ozellikle sidejacking yontemi ile https uzerinden kullanilsa bile oturum(session) cookilerinin ara ara şifrelenmeden aktariliyor olmasi birilerinin parolanizi bilmeden bu cookiler araciligi ile maillerinizi okuyabilmesine olanak saglar.

Diger bir eksiklik te arabirimde yapilan degisikliklerin geriye yonelik loglanmamasi(onemli cunki birileri arabirime girip belirli tipteki mailleri baska bir adrese iletmek icin ayarlamis olabilir) ve mail arabirimine kimlerin ne zaman baglandigi bilgisini gostermemesi.(cogu mail saglayicilar Gmail kadar bile olamiyor orasi baska)

Guncelleme-I

27.07.2008 tarihi itibari ile Firefox eklentisi kullanmadan baglantinin devamli https olmasini saglayabiliyoruz. Bunun icin settings kisminda Always use https secenegini isaretlemeniz yeterli.

Kaynaklar:

http://gmailblog.blogspot.com/2008/07/remote-sign-out-and-info-to-help-you.html

http://erratasec.blogspot.com/2008/07/gmail-now-shows-ip-address-log.html

Tabi unutmadan soylemek lazim qmail+Vpopmail ile biz bu tip bilgileri yillar oncesinden alabiliyorduk. Hatta hatirladigim kadari ile Squirrelmail’in boyle bir eklentisi bile vardi.

Malumunuz guvenlik dunyasi bir haftadir Dan Kaminsky’nin buldugu DNS protokolu ve bu protokolu kullanan dns sunucu/istemci yazilimlarinda cikan kritik acigi konusuyor. Oncekilerden farkli olarak bu sefer acikligin detaylari bildirilmedi . Sanirim tum dunyayi etkileyebilecek bir aciklik oldugu icin dns servisi yazilimcilari ile yapilan gorusmeler, degerlendirmeler ve bu zaafiyet icin hazirlanacak yamalar sonrasi detayli bir sunumla aciklanacak.(1 ay sonra Blackhat konferansinda). Read more…

Evet resmi olmasa da bugun dunya yedekleme gunu olarak ilan edildi.

Kimin tarafından? Read more…

SSL VPN sistemler son yillarin en moda uzaktan erisim yontemi olma yolunda hizla ilerliyor. Kullanirken ya da satarken hep esnekliginden, kolay kullanimindan ve nasil uygulamalari guvenli hale getirip sorunsuz bir sekilde uzaktan sirkete ait her islemi guvenli sekilde yapabilecegimizden bahsederiz fakat barindirdigi riskleri hep gozardi ederiz.

Kullanım oranı ve kullanım rahatlıgı gozonunde bulundurulursa dogru yapilandirilmamis SSL VPN sistemlerin  ciddi MITM riskleri ile karsi karsiya oldugunu soyleyebiliriz.

Aslinda MITM(ortadaki adam) saldirisi tum uygulamalar icin basbelasi bir saldiri yontemi fakat is SSL olunca biraz degisiyor. Zira SSL’in insanlari rahatlatan bir yani var. “Ne olacak ki nasil olsa sifreli gidiyor trafigim, istedigim yerden baglanirim sirkete ve gider finans tablosunu update ederim, maillerime bakarim:) …”. Bir de ustune elimize tutusturduklari sifre ureticiler olunca ultra guvenlik hissi ile uzaktan her tur islemi yapar hale geliyoruz. Read more…