İşin mutfağından birilerinin eğitim vermesi çok önemlidir. Ferruh da bu konuda herhalde mutfağın baş aktörlerinden biridir.
Teorik kurgularin, eğitim notlarinin otesine geçip gerçek dünya örnekleri ile çalışmak için bu eğitim kaçırılmayacak bir fırsat.
Konuya ilgi duyan arkadaşların şimdiden yerlerini ayırtmalarını tavsiye ederim.
Detaylar ve eğitim içeriği için
Kablosuz ağ güvenliği üzerine çalışmaları/ürünleriyle bilinen Airdefense(Motorola) firması 2009 RSA konferansından çeşitli sensörlerle kablosuz ağ güvenliğini değerlendiren bir çalışma yapmış. Sonuçlarına bakınca RSA gibi katılımcı kitlesinin güvenlik konusunda bilinçli olduğu düşünülen bir konferans için pek iç açıcı gözükmüyor.
Benzeri bir çalışmayı adha basitinden 2006 yılında yerli bir konferansta yapıp daha vahim sonuçlar almıştım. Önümüzdeki bir iki yerli konferansta da bu tip bir çalışma için yetkililerden izin almaya çalışıyorum, başarabilirsem sonuçlarını yayınlayacağım.
Bazı İstatistikler:
Kendi tecrübelerimden ve çevremde çalışan arkadaşlardan edindiğim izlenimlere göre bilişim sektöründe büyük firmalarda yöneticiler genelde teknik kapasitesi yüksek çalışanlardan hoşlanmıyor.
Bunun bir sürü sebebi olabilir, ilk bakışta benim aklıma gelenler;
Bu tip yöneticiler düşük teknik kapasiteleri çalışanlar gibidir. Bir kumandan ancak askerleri kadar güçlüdür derler ya bir yönetici de ancak altında çalışanlar kadar güçlüdür.
Teknik kapasitesi düşük olan çalışan sadece önüne verileni yapar, daha iyisini nasıl yaparım diye kafa yormaz. Bir yönetici için bundan daha iyi eleman yoktur:). Aynı zamanda bir sorun esnasında saatlerce çalışarak iş yapmış gibi gözükecekleri için performans dönemlerinde bu tip çalışan profili daha yüksek puan alır.
Bazı yöneticiler de kendi çalışanlarının hep bu seviyede(düşük teknik kapasite)kalmasını isterler. Bunun için gerektiğinde kendisini ilerletmek isteyen elemanı eğitime göndermez, gün içerisinde sadece işle boğuşması için ek yük verir.
Bir tarafta da komplekslerinden bağımsız kaliteli yöneticiler vardır. Bunlar kendi çabaları ile yönetici olmuşlardır ve altında çalışanların hep daha iyi olmalarını ister. Bunun için gerektiğinde eğitimlere, seminerlere gönderir ve onu motive eder.
Bir çalışanının teknik olarak iyi olması onu rahatsız etmez, zira o yöneticiliğin teknik kapasite ile pek ilgisi olmadığını bilir. Pratik çözümlere önem verir, çalışanlarını sadece kötü iş yaptıklarında hatırlamaz. Her işlerinde onlara teşekkür eder, motive eder.
Siz hangi tip yöneticiye sahipsiniz?
Microsoft Windows ailesi işletim sistemlerinde yüklenen sayısal sertifikaları korumak için çeşitli yöntemler uygulanıyor. Bunlardan biri de sertifikayı yüklerken “export edilemez” şeklinde yüklemektir. Böylece sisteme giren/sızan birileri ilgili sertifikaya ait priv. key(gizli anahtar) ve sertifikanın kendisini ele geçiremez olmakta. (Gizli anahtar olmaksızın sertifika bir işe yaramayacaktır)
Yukardaki çıktı “export edilemez” olarak işaretlenmiş bir sertifikayı export etmek isterken alınmış bir ekran görüntüsüdür. Açıkça görüleceği gibi sertifikanın priv. keyini export etmeye izin vermiyor.
Geçenlerde bir nedenden dolayı export edilemez bu gizli keye ihtiyacım oldu. Windows’un derinliklerinden hic anlamadığım için nasıl yapılır bir fikir yürütemiyordum ki Fatih‘in gönderdiği Hakin9 dergisini okurken tam da istediğimi şeyi anlatan bir makale ile karşılaştım. Makalenin başlığı “Exporting Non-exportable Windows certificates” gibi bir şeydi. Hemen iştahla yazıyı okudum ve uygulamaya çalıştım. Makalenin ana teması eğer “Windows bu gizli anahtara bir şekilde ulaşabiliyorsa biz de ulaşabiliriz” idi…
Neyse yazıyı okudum mantığını iyice anladım ama windows derinliklerini iyi bilmediğim için pek gerçekleştiremedim. Ben de her tembel güvenlikci gibi uğraşmak yerine hazırını aramaya devam ettim. Çok sürmeden istediğimi tam Windows ortamlarına uygun şekilde(tek fare tıklamasıyla) yapan başka bir yazılımla karşılaştım ve mutlu sona ulaştım.
Alttaki çıktı Jailbreak yazılımını kullanarak export edilemez gizli anahtarı herhangi bir sıkıntı yaşamadan export edebildiğimin ekran görüntüsü.
Backtrack 4 Beta çıkalı yaklaşık iki ay oluyor. Bu zaman zarfında Beta ismini hakedecek bazı eksiklikler olduğunu kullananlar farketmişlerdir. Ben de eğitim için Backtrack CDleri hazırlarken bazı hatalarla karşılaşıyorum.
Anlık uyguladığım çözümler yeterli olsa da aynı sorunlarla tekrar karşılaştığımda ne yaptığımı unutmuş oluyorum. Bu yazı da tekrar tekrar aynı şeyleri yapmamak için alınan notları barındırıyor.
Eğer siz de benzeri hatalar yaşıyorsanız ve burada yer almıyorsa yorumlarınızla zenginleştirebilirsiniz.
Not: Burada yazılanların tümü Vmware sürümü için geçerlidir.
1) apt-get update komutu sonrası çıkan hataları düzeltmek
#apt-get update komutu çalıştırıldıktan sonra bazı depoların pubkeylerinin eksik olması sebebiyle aşağıdaki hata alınabilir.
Fetched 704B in 2s (328B/s)
Reading package lists… Done
W: GPG error: http://ppa.launchpad.net intrepid Release: The following signatures couldn’t be verified because the public key is not available: NO_PUBKEY CB2F6C86F77B1CA9
W: GPG error: http://apt.wicd.net gutsy Release: The following signatures couldn’t be verified because the public key is not available: NO_PUBKEY FEC820F4B8C0755A
W: GPG error: http://apt.wicd.net intrepid Release: The following signatures couldn’t be verified because the public key is not available: NO_PUBKEY FEC820F4B8C0755A
W: You may want to run apt-get update to correct these problems
Bu sorunu çözebilmek için
root@home-labs:~# gpg –keyserver keyserver.ubuntu.com –recv CB2F6C86F77B1CA9
gpg: directory `/root/.gnupg’ created
gpg: new configuration file `/root/.gnupg/gpg.conf’ created
gpg: WARNING: options in `/root/.gnupg/gpg.conf’ are not yet active during this run
gpg: keyring `/root/.gnupg/secring.gpg’ created
gpg: keyring `/root/.gnupg/pubring.gpg’ created
gpg: requesting key F77B1CA9 from hkp server keyserver.ubuntu.com
gpg: /root/.gnupg/trustdb.gpg: trustdb created
gpg: key F77B1CA9: public key “Launchpad PPA for Timothy Pearson” imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
root@home-labs:~# gpg –keyserver keyserver.ubuntu.com –recv FEC820F4B8C0755A
gpg: requesting key B8C0755A from hkp server keyserver.ubuntu.com
gpg: key B8C0755A: public key “Adam Blackburn <compwiz18@gmail.com>” imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
root@home-labs:~# gpg –export –armor CB2F6C86F77B1CA9|apt-key add -
OK
root@home-labs:~# gpg –export –armor FEC820F4B8C0755A|apt-key add -
OK
Yukardaki komutlar çalıştırıldıktan sonra tekrar apt-get update komutu çalıştırılırsa herhangi bir hata almadan işlem tamamlanacaktır.
#apt-get update
…
..Hit http://apt.wicd.net intrepid/extras Packages
Fetched 704B in 2s (324B/s)
Reading package lists… Done
2)apt-get upgrade komutu sonrası KDE’nin açılmaması problemi
apt-get upgrade komutu ile sistemi güncellemek isterseniz bu işlem sonrasında konsoldan çalıştıracağınız startx komutu aşağıdakine benzer bir arabirim açacaktır.
Arabirimde tekrar KDE’nin açılmasını isterseniz aşağıdaki komutları çalıştırıp X’i restart etmeniz yeterli olacaktır.
# wget www.offensive-security.com/fix-kde.sh
–2009-04-25 09:09:55– http://www.offensive-security.com/fix-kde.sh
Resolving www.offensive-security.com… 208.88.120.8
Connecting to www.offensive-security.com|208.88.120.8|:80… connected.
HTTP request sent, awaiting response… 200 OK
Length: 741 [application/x-sh]
Saving to: `fix-kde.sh’100%[=========================================================================================>] 741 –.-K/s in 0s
2009-04-25 09:09:56 (50.1 MB/s) – `fix-kde.sh’ saved [741/741]
root@home-labs:~# bash fix-kde.sh
[*] Please restart X
3) Mysql’e bağlanamama sorunu
Mysql servisini başlattıktan sonra root olarak bağlanamıyorsanız
root@home-labs:~# /etc/init.d/mysql start
* Starting MySQL database server mysqld [ OK ]
* Checking for corrupt, not cleanly closed and upgrade needing tables.
root@home-labs:~# mysql
ERROR 1045 (28000): Access denied for user ‘root’@'localhost’ (using password: NO)
toor parolası ile deneyin.
root@home-labs:~# mysql -u root -p
Enter password: toor
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 27
Server version: 5.0.67-0ubuntu6 (Ubuntu)Type ‘help;’ or ‘\h’ for help. Type ‘\c’ to clear the buffer.
mysql>
4)Linux KernelkKaynak kodları
Linux kernel kaynak kodlarına ihtiyac duyan bir uygulama icin gösterilecek yol bilgisi: /usr/src/linux
Bir başka yazıda Backtrack 4 ile birlikte gelmeyen fakat bir güvenlikcinin alet çantasında bulunması gereken yazılımları aktarmayı planlıyorum.
5)KDE Çözünürlük hatası
KDE ile ilgili çözünürlük problemi yaşıyorsanız bunu çözmek için startx komutundan önce fixvmware komutunu çalışırmanız gerekiyor(Ben bu problemi yaşamadım, forumlarda yaşayanlar olduğunu görünce buraya almak istedim)
Tags: Backtrack
Yaklasik bir aydir destek verdigim birkac sunucu uzerinde SPAM mesajlarla ilgili calismalar yapiyorum. Spam yakalama yazılımım(Spamassassin) çok iyi çalışıyor fakat bazen o kadar çok spam geliyor ki bunları yakalamak için sistem kaynaklarını fazlası ile tüketiyor. Ben de bu işi network seviyesinde halletmek için kolları sıvadım ve cesitli yöntemler denemeye başladım.
Calismalarimin bir ayaginda Spamlerin hangi ulkelerden geldigini belirlemek var. Bunun için spam yakalama yazılımlarının loglarından kaynak ip adreslerini alarak basit bir script(ıp-Ülke bulma islemi icin Gokhan Alkan sagolsun GeoIP ile birseyler yazdı) ile hangi ulkelere ait oldugunu bulduruyor ve her ülkenin ne kadar spam gönderdiğini hesaplıyorum.
Sonrasında spam gönderen ülkelerin ne kadar gerçek mail gönderdiğini hesaplayıp bu ülkelerin ip aralıklarına Grey listing uygulayacağım(Dogrudan grey listing çalıştırmıyorum ziragerçek maillerde yavaşlığa sebep oluyor). Böylece ilgili ülkeden gelen spam oranlarını düşürmeyi planlıyorum.
Aşağıdaki istatistikler günde ortalama 600.000 spam alan ve üzerinde sadece Türk firmalarına hizmet veren domainlerin olduğu spam yakalama yazılımlarından aldığım verileri içeriyor.
Görüleceği üzere Turkiye ikinci sırada. Bunun en temel sebebi zombi konumuna düşmüş ADSL aboneleri. TTNet’in bugünlerde duyurduğu çalışma sonrası bakalım bu oran değicek mi?
Vakit buldukça bu istatistikleri güncelleyeceğim ve spam üzerine yaptığım çalışmaların etkisini izleyeceğim.
5651 sayılı kanun yürürlüğe gireli yaklasik iki sene oluyor. Bu süre zarfında kurum/şirketlerin büyük çoğunluğu kanunda belirtilen maddeleri uygulamadı. Bunun temel sebepleri kanundan haberdar olmama, kanunu çok önemsememe, kanunun teknik olarka yeteri kadar açık olmaması vs sayılabilir.
Uzun suredir bu konuda ticari is yapan firmalardan kanunun teknik olarak açıklanması ile ilgili bir çalışma bekliyordum(Bir tek koc.net basit bir sayfa ile katilmis durumda). Zira kanun bu kriz ortamında bilişim sektörü için çok güzel fırsatlar sunuyor.
Danışmanlık yaptığım bir firma için hazırladığım mini raporun sonucuna göre eğer değerlendirilebilirse bu konudan 2009 yılı içerisinde 4-5 milyon dolar kar edilebilir. Fiyat abartili gelebilir belki ama yaptığım çalışma tamamen sayısal bilgilere dayanıyor ve bunun 1/10′u kadar yatırımı sadece yakinen tanıdığım arkadaşlar yapmış durumda.
Beklediğim olmayınca ben de birkaç arkadaşla konuyu paylaşarak böyle bir çalışmanın içerisine girmeye karar verdim. Yapacağımız iş temelde 5651 için teknik çözümler üretmek, varolan çözümleri, ürünleri tanıtmak. Kısaca 5651 sayılı kanun hakkında derli toplu bir bilgi havuzu oluşturmak ve bu konuda danışmanlık yapmak.
Bu kapsamda bildiklerimizi, öğrendiklerimizi bir blog sayfasinda ya da bir wiki sayfasinda paylaşacağız.
Çalışmaya yardımcı olmak isteyen arkadaşlardan ricam kanunu kendi sirketinde, baska sirketlerde uygulamaya baslamislarsa kisaca firma ismi vs vermeden isi hangi urunlerle nasil yaptiklarina dair yorumlar yorumlarini almak.
Ornek yorum:
Sirketim, kurumum kanuna gore şu kategorilere(Erişim sağlayıcı, İçerik sağlayıcı:, Yer sağlayıcı, Toplu kullanım sağlayıcı ticari amacli Toplu kullanım sağlayıcı) giriyor.
Bunun icin su su ticari/acik kod urunu kullandim.
Su sorunlarla karsilastim vs diye yazmaniz yeterli.
Adres olarak huzeyfe@lifeoverip.net adresini kullanabilirsiniz.
Birkac gün once OpenBSD Packet Filter güvenlik duvarını etkileyen ciddi bir açıklık yayınlandı. Açıklık Packet Filter’in kendi üzerinden yönlendiği ip protokollerini düzgün işleyememesinden kaynaklanıyor.
Açıklığı değerlendiren kötü niyetli birileri birkaç paketle güvenlik duvarını çalışamaz hale getirebilir.
Açıklığı bulan arkadaş testlerini Nmap ile göstermiş. Biz de aynı örneği kullanarak güvenlik duvarımızı(Packet Filter) test edelim.
Test için nmap’in -sO(IP Protokol tarama) özelliğini kullanıyoruz.
-sO: IP protocol scan
root@home-labs:~# nmap -sO 192.168.2.39
Starting Nmap 4.85BETA7 ( http://nmap.org ) at 2009-04-15 11:00 EDT
Interesting protocols on 192.168.2.39:
Not shown: 243 closed protocols
PROTOCOL STATE SERVICE
1 open icmp
2 open|filtered igmp
4 open|filtered ip
6 open tcp
17 filtered udp
41 open|filtered ipv6
47 open|filtered gre
50 open|filtered esp
51 open|filtered ah
55 open|filtered mobile
97 open|filtered etherip
112 open|filtered vrrp
240 open|filtered unknown
MAC Address: 00:0C:29:D4:8C:76 (VMware)Nmap done: 1 IP address (1 host up) scanned in 16.34 seconds
Bu komutun hedef olarak çalıştırıldığı sistemde herhangi bir IP paketi nat/binat/rdr yapılmışsa OpenBSD aşağıdaki gibi çakılacaktır.
OpenBSD takımı tarafından yayınlanan bildiri
013: RELIABILITY FIX: April 11, 2009 All architectures
When pf attempts to perform translation on a specially crafted IP datagram, a null pointer dereference will occur, resulting in a kernel panic. In certain configurations this may be triggered by a remote attacker.
Restricting translation rules to protocols that are specific to the IP version in use, is an effective workaround until the patch can be installed. As an example, for IPv4 nat/binat/rdr rules you can use:nat/rdr ... inet proto { tcp udp icmp } ...Or for IPv6 nat/binat/rdr rules you can use:
nat/rdr ... inet6 proto { tcp udp icmp6 } ...
Açıklıktan korunmak için yukardaki yama yüklenebilir ya da nat/binat/rdr kurallarını yazarken protokol belirtimi yapılabilir.
Yaptığım testlere göre FreeBSD 7 üzerinde çalışan Packet Filter sürümü etkilenmiyor
Bu konuda turk.internet.com için hazırladığım yazıya aşağıdaki adreslerden erişilebilir
TTNet’in ADSL networkünden yayılan spamlere çare olması amacıyla başlattığı “Şimdi E-posta Kutunuz Daha Güvenli! “ projesi malesef ki yeteri kadar anlaşılamadı. Bu yazıda kısaca TTNet’in SMTP portunu kapatarak spame nasıl çözüm bulacağı konusunda değerlendirmelerimi aktaracağım.
Proje kapsamında dinamik IPli ADSL abonelerinin tcp/25(SMTP) portu dış dünyaya kapatılacak. Bunun yerine mail gönderim işleminin 587(submission ) portu üzerinden yapılması istenecek.
SMTP portunun kapatılmasının nedeni TTNet’in dünya spam servisleri listesinde ilk üçten aşağı düşmemesi.
Ilk bakışta akla port değiştirmek neyi çözer ki gibi bir düşünce geliyor. SMTP portu 25 ile Submission portu 587 arasındaki fark bilinirse aslında bu yöntemin spamlerin azaltılması yönündeki gercek etkisi anlaşılır. Aslında keramet port da değil port üzerinde çalışacak olan uygulamada.
SMTP Nasıl Çalışır, Submission SMTP’e ne ek getirir?
SMTP sunucular kendilerine gelen bir mail üzerinde iki tür işlem yapabilirler
1)Gönderilen mail domaini sistemde tanımlı ise kabul ederler.
2)Gönderilen mail domaini sistemde tanımlı değilse hata dönerler
Bir de sistemin relaya açık olma durumu vardır ki onda da mailin nerden nereye gönerildiğine bakılmaksızın işlem yapılır.
Sıkı yapılandırılmış bir mail sunucuda kayıtlı kullanıcılar mail gönderebilmek icin SMTP AUTH(kimlik dogrulama) yöntemini kullanır. Böylece kullanıcı kendisini sisteme tanıtarak istediği yere mail gönderebilir.
SMTP portu üzerinde SMTP auth özelliği isteğe bağlı olarak aktif edilir(helo/ehlo komutlarıyla). Dolayısı ile SMTP portu üzerinden hem normal kullanıcılar mail gönderme işlemi yapar hem de internetteki diğer smtp sunucuları bağlantı kurarak mail bırakır.
Eğer 25 smtp portu üzerinden zorunlu smtp auth yaptırırsak internet üzerindeki mail sunuculardan mail almak imkansız hale gelir.
İşte burada Submission yardımımıza koşuyor. SMTP’den ayrı bir porttan yine smtp protokolünü destekleyen fakat zorunlu smtp-auth isteyen bir servis çalıştırıyoruz(qmail, postfix, exim vs) ve bu porttan bağlanan kullanıcı mail göndermeden önce mutlaka kendisini tanıtması gerekiyor. Böylece TTNet 25. portu kapatarak adsl abonelerinden yayılacak spamleri engelliyor. Normal kullanıcılar ayarlarını 587. port üzerinden yapacağı için mail gönderimlerinde problem çıkmıyor.
Kullanılan yöntem Ttnet’in kendi uydurduğu, bulduğu bir yöntem değil.Tüm dünyada spamle başı dertte olan ISP’lerin uzun zamandır(bazıları yeni yeni geçiş yapıyor)kullandığı bir yöntem(bkz. Verizon ).
Toparlamak gerekirse TTNET 25. portu kapatarak dinamik IPli ADSL abonelerinden gönderilen spamleri engelleme istiyor. Bunun icin ADSL abonelerinden 25. port yerine 587. portu kullanmalari istenecek.
Peki submission kullanmaya baslayinca sadece port mu degisecek?
Hayir!
Submission portu SMTP portundan farkli olarak kendisine baglanan her kullacidan zorunlu smtp auth isteyecektir. Boylece 587 uzerinden sadece mail sunucularda tanımlı kullanıcılar mail gönderebilecek. Spam gondermek isteyen kisiler ilgili sistemde tanimli degilse mesaj gonderemeyecekler. Ek olarak worm vs bulasmıs sistemler dışarı doğru SMTP bağlantısı açamayacağından spam gönderemeyecekler.
Yani sistemde iki tane smtp portu acilacak biri disardan mail alimlari icin(yahoo, hotmail ve diger mail sunucular)digeri de ADSL abonelerinin mail gondermesi icin auth gerektirecek bir port.
Peki bu sistem disardan gelecek spamleri kesecek mi?
Hayir, zira disardan gelen spamler yine 25. porttan gelecekler. Ama amac zaten disardan gelen spamleri kesmek degil, TTnetden spam gonderilmesini engellemek.
Firewall’dan 587. portumu 25. porta yönlendirsem çözüm olur mu?
Evet kısa vadede bir çözüm olur fakat spamciler size 25. porttan değil de 587. porttan mail gönderirlerse birşey yapamazsınız. Dolayısıyla 587. portu 25. porta yönlendirmek yerine 25. portta normal smtp servisi 587. portta submission özelliği olan(zorunlu smtp auth gerektiren)mta yazılımı çalıştırmanız gerekir.
Bizden başka bu yöntemi uygulayıp başarılı olan var mı?
Dünyanın sayılı büyük ISP’lerinden Verizon spam servisleri listesinde ilk sırada yer alırdı. Bu çalışma(ve başka ek çalışmalar) sonrasında ilk 10 da gözükmüyor.
TTNET’in de bu çalışma sonrası ilk 10′da gözükmeyeceğine inanıyorum.
Statik IP Adresimde Mail sunucu Çalışıyor Etkilenecek miyim?
Statik IP Adresi kullananlar bu yapılandırmadan etkilenmeyecekler.
Qmail icin submission ayarları.
Qmail kullanıyorsanız Spamdyke yazılımını kullanarak submission özelliğini devreye alabilirsiniz.(Başka yazılımarda mevcut fakat en ağrısız, sızısız olanı Spamdyke)
Submission hakkinda detayli bilgi icin RFC’si incelenebilir http://www.ietf.org/rfc/rfc2476.txt
İstanbul Bilgi Üniversitesi, Bilgisayar Bilimleri bölümünün 2003 yılından beri düzenlediği “Özgür Yazılım ve Açık Kaynak Günleri” ile Linux Kullanıcıları Derneği’nin 2002 yılından beri düzenlediği “Linux ve Özgür Yazılım Şenliği” 17-18 Nisan 2009 tarihlerinde tek çatı altında, İstanbul Bilgi Üniversitesi ev sahipliğinde gerçekleştirilecek. [FM'den]
“Özgür Yazılım ve Açık Kaynak Günleri” web sitesi
“Linux ve Özgür Yazılım Şenliği” web sitesi
Aynı gün aynı yerde iki günlük Network Pentest eğitiminde olacağım, gelebilecek arkadaslarla gorusmek, tanismak isterim.
