2 Haziran 2010 tarihinde bilişim güvenliğini ilgilendiren çeşitli konularda sunum ve panellerin yapılacağı “Bilişim Güvenliği Günleri” gerçekleştirilecektir.
Detaylar ve içeriğe http://www.bilisimguvenligigunleri.com adresinden ulaşılabilir.
Ben de etkinlik kapsamında “Bilişim Suçlarında Sistem ve Ağ Analizi” konulu bir sunum yapacağım.
Tags: bilişim güvenliği
Internete açık penceremiz olan Web sunucularını tehdit eden risklerin ilk sıralarında DDoS saldırıları gelmektedir. DDoS saldırılarını analiz etmek en az engellemek kadar önemlidir. DDoS saldırı analizinde olmazsa olmaz şart ise TCP/IP bilgisidir. Read more »
Tags: tcp oturum detayları
Ağ güvenliği konusunda temel düzeyde bilgisini sınamak isteyenler için güzel bir fırsat: http://www.guvenlikegitimleri.com/?p=1301
Günümüz bilgi güvenliğinin en önemli konularından biri -hatta bu yıllarda en önemlisi- web uygulama güvenliğidir. Malesef henüz Türkiye’de güvenlik Firewall/IPS seviyesini aşamadığı için uygulama seviyesi güvenlik riskleri tam anlaşılamamaktadır. Oysa düz mantıkla bile baktığımızda birçok firma internete sadece 80 ve 443. portlarını açmakta ve ve tehlikenin büyüğü hep bu portlardan gelmekte. Read more »
Bilişim suçu işlenirken kullanılmış sistemler incelenirken en önemli adımlardan biri sistemin o an çalışan imajının alınmasıdır. Bu imajda en önemli parçayı fiziksel hafıza/belleğin kopyası oluşturmaktadır. Linux sistemlerde fiziksel belleğin bir kopyasını çıkarmak oldukça kolaydır. Fiziksel belleğin bir kopyası dosyaya yazıldıktan sonra hashi alınarak üzerinde çalışılabilir.
Örnek: Linux makinedeki bir kullanıcı(netsec kullanıcısı) 192.168.1.107 IP adresine SSH ile bağlanmış olsun. SSH ile bağlanma esnasında username/pass bilgileri bellekte tutulacağı için bağlantı esnasında birileri memory dump işlemi gerçekleştirirse ilgili hesaba ait erişim bilgilerini edinebilir.
# ssh netsec@192.168.1.107
The authenticity of host ‘192.168.1.107 (192.168.1.107)’ can’t be established.
RSA key fingerprint is 23:10:41:2f:62:c6:a5:30:3d:a6:6d:e9:a6:81:83:1a.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added ‘192.168.1.107′ (RSA) to the list of known hosts.
netsec@192.168.1.107’s password:
BackTrack 4 (PwnSauce) Penetration Testing and Auditing Distribution
Could not chdir to home directory /home/netsec: No such file or directory
netsec@seclab:/$
Aynı sistemde memory dump işlemi gerçekleştirelim:
Linux sistemlerde sistem çalışırken hafızasını bir dosyaya boşaltabiliriz, bunun için çeşitli araçlar kullanılabilir. Bu araçlardan biri de memdump’dır.
#memdump > FDUMP
Memdump ile dosyaya aktardığımız hafıza bilgilerini string komutu ve grep komutunu kullanarak inceleyebiliriz.
#strings FDUMP |grep netsec
netsec@192.168.1.107
netsec
sshd: netsec@pts/6
netsec
USER=netsec
MAIL=/var/mail/netsec
HOME=/home/netsec
LOGNAME=netsec
/var/mail/netsec
netsec@seclab:/$
Bellekte bulunan herhangi bir dosyayı elde etmek için scalpel gibi bir araç kullanabiliriz. Mesela bellekte bulunan PNG ve HTM formatındaki dosyaları tekrar oluşturmak için aşağıdaki komut iş görecektir.
root@seclab:/pentest/test# scalpel FDUMP -c /etc/scalpel/scalpel.conf
Scalpel version 1.60
Written by Golden G. Richard III, based on Foremost 0.69.
Opening target “/pentest/FDUMP”
Image file pass 1/2.
/pentest/FDUMP: 100.0% |**********************************************************************| 511.9 MB 00:00 ETAAllocating work queues…
Work queues allocation complete. Building carve lists…
Carve lists built. Workload:
png with header “\x50\x4e\x47\x3f” and footer “\xff\xfc\xfd\xfe” –> 7 files
htm with header “\x3c\x68\x74\x6d\x6c” and footer “\x3c\x2f\x68\x74\x6d\x6c\x3e” –> 64 files
Carving files from image.
Image file pass 2/2.
/pentest/FDUMP: 100.0% |***************************************************************************| 511.9 MB 00:00 ETAProcessing of image file complete. Cleaning up…
Done.
Scalpel is done, files carved = 71, elapsed = 13 seconds.
Aynı dizindeki scalpel-output alt dizini incelenirse bellek görüntüsü alındığı anda açık olan(veya daha önce açılmış) PNG, HTM dosyaların bir kopyasının oluştuğu görülecektir.
# ls scalpel-output/png-0-0/
00000000.png 00000001.png 00000002.png 00000003.png 00000004.png 00000005.png 00000006.png
Tags: linux forensics
2006′nın Mayıs’ında duyurduğumuz “Netsec Ağ ve Bilgi Güvenliği Listesi” 4. yaşını bitirip 5′ine bastı.
İlk duyurusunu http://blog.lifeoverip.net/2006/05/18/ag-ve-guvenlik-e-posta-listesi-acildi/ adresinde yapmıştım.
Aradan geçen 4 yılda toplam 1000 kişi üye oldu, bazıları ayrıldı, bazılarını liste kendi kendine üyelikten çıkardı:).
Şuan %99′u sektörden oluşan ~700 kişiyle Türkiye için bilgi güvenliği alanında bir boşluğu doldurduğuna inanıyorum. İlerleyen günlerde sadece sanal bir liste olmaktan çıkıp bir topluluk haline dönüşeceği haberini de paylaşmış olayım.
Siz de güvenlik dünyasında olup bitenlerden herkesten önce birinci kaynaktan haberdar olmak ve konusunun uzmanları arasındaki faydalı tartışmalara katılmak istiyorsanız buradan üye olabilirsiniz.
Tags: Netsec
20 Mayıs 2010′da “Software çözüm ve satış platformu” tarafından Antalya’da gerçekleştirilecek olan “software eğitim günleri” kapsamında yarım günlük sistem güvenliği ve etik hackerlık konulu bir eğitim vereceğim. Aynı gün bilgi güvenliği konulu panelde Türkiye’deki bilgi güvenliği konusunu masaya yatıracağız(muhtemelen masadan kalkamayacak:).
Gelebilecek arkadaşlarla görüşmek isterim.
Tags: etik hacker
Mevsim yaza durdu ve IstSec‘in tarihi geldi… Haziran ayının ortalarında IstSec’i üçüncü kere gerçekleştireceğiz. Şimdilik yer ve konuşmacıların durumunu kesinleştirmeye çalışıyoruz.
Tamamlanınca Türkiye’de ilk defa ileri seviye teknik bir konferansı gerçekleştirmiş olacağız. I. ve II. IstSec konferanslarında aldığımız eleştirilerin çoğu içeriğe yönelikti(İçeriğin daha teknik ve ileri seviye konular içermemesi eleştirildi). Biz de eleştirileri dikkate alarak daha az sponsorla daha teknik içerikli bir konferans olması konusunda karar kıldık.
Tags: istsec
Netsec güvenlik bülteninin 26. sayısı çıktı. Bu sayının konuğu Korhan GÜRLER.
http://www.lifeoverip.net/newsletter/sayi27 adresinden okuyabilirsiniz.
Bilişim sistemleri kullanılarak işlenen suçlardaki en önemli delillerden biri olan IP adresleri ve IP adreslerinin adli bilişim incelemelerinde nasıl kullanılması gerektiği konusunda detaylı bir yazı BGA belge deposuna eklenmiştir.
Bilişim Suçlarında IP Adres Analizi adresinden pdf formatında indirilebilir.
Tags: ip forensics
