Sucuri, ağ tabanlı bütünlük doğrulama/kontrol servisi

Sucuri, internet üzerinden çeşitli hizmetler veren bir servis. Bu servislerin arasında Sucuri NBIM(Network-based Integrity Monitoring) günümüz internet dünyasında biz güvenlikcilerin çok işine yarayacak bir servis.

Sucuri NBIM  ile ne  yapabilirsiniz?

Sahibi olduğunuz domainleri ekleyerek bu domainlere ait DNS, whois, site içeriği, karalistelere girme durumu, SSL sertifika durumu gibi bilgilerin değişip değişmediğini 7X24 kontrol ettirebilir ve değişiklik anında size haber vermesini sağlayabilirsiniz

Read more »

10 Soruda Pentest(Penetrasyon Testleri)

Penetrasyon testleri(Sızma testleri) günümüz bilgi güvenliği dünyasının en popüler konularından biri. Bu konuda verdiğim eğitimlerde sık sık karşılaştığım belirli sorular oluyor, bunlara toptan cevap olması adına 10 soruda pentest konulu bir yazı hazırladım. Pentest nedir, neden yaptırmalıyım, kime nasıl yaptırmalıyım gibi sorulara cevap arıyoruz. Sizin de bu konu hakkında fikirleriniz varsa yorumlarınızla zenginleştirebilirsiniz.

Öncelikle pentest kavramından ne anladığınızı  ve ne beklediğinizi bilmek size bu süreçte yardımcı olacaktır. Zira ne olduğunu bilmediğiniz bir servisi alarak sonradan bu muydu yani? Bu kadar parayı bu iş için mi verdim ya da bu sistemlere neden baktırmadım  gibi sorular sormayın kendinize.

Read more »

5651 Sayılı Kanun ve Şirketlerin Sorumlulukları

Turk.internet.com’dan Fusun S.Nebil TIB’den yetkililerle 5651 sayılı kanununu gereksinimleri üzerine uzun bir roportaj yapmış. Roportajlar özellikle konuyu bilmeyen, bilip de tam olarak neyi hangi yazılımlarla yapacağı konusunda şüpheleri olanlar için aydınlatıcı bilgiler içeriyor.

Roportajda dikkatimi en çok çeken satırlar aşağıdakiler.

Şunu da belirtmekte fayda var ki, sektörde yer sağlayıcı ve İnternet toplu kullanım sağlayıcıların tutmaları gereken loglara ilişkin çeşitli programların hazırlanıp satıldığı görülmektedir. Bu programların bir kısmı mevzuattan doğan yükümlülüklerin çok üstünde, anayasal hak ve özgürlükleri ihlal edecek derecede loglama yapmaktadır. Dolayısıyla ilgililerin bu hususta daha dikkatli olması ve yalnızca ilgili mevzuatca kendilerinden beklenen yükümlülükleri yerine getirmesinin uygun olacağı değerlendirilmektedir.

Ben de çevremden fazlasıyla kanunun isteğinden çok fazla loglama yapmak isteyenlerin garip talepleriyle karşılaşıyorum.Sanirim birileri urunlerini farkli gostermek ve sattirmak icin bu tip yollara basvuruyor.

Aşağıdaki linklerden bu roportajlara ulaşılabilir.

5651sayili kanun hakkinda belgeleme calismasi

5651 sayılı kanun yürürlüğe gireli yaklasik iki sene oluyor. Bu süre zarfında kurum/şirketlerin büyük çoğunluğu kanunda belirtilen maddeleri uygulamadı. Bunun temel sebepleri kanundan haberdar olmama, kanunu çok önemsememe, kanunun teknik olarka yeteri kadar açık olmaması vs sayılabilir.

Uzun suredir bu konuda ticari is yapan firmalardan kanunun teknik olarak açıklanması ile ilgili bir çalışma bekliyordum(Bir tek koc.net basit bir sayfa ile katilmis durumda). Zira kanun bu kriz ortamında bilişim sektörü için çok güzel fırsatlar sunuyor.

Danışmanlık yaptığım bir firma için hazırladığım mini raporun sonucuna göre eğer değerlendirilebilirse bu konudan 2009 yılı içerisinde 4-5 milyon dolar kar edilebilir. Fiyat abartili gelebilir  belki ama yaptığım çalışma tamamen  sayısal bilgilere dayanıyor ve bunun 1/10′u kadar yatırımı sadece yakinen tanıdığım arkadaşlar yapmış durumda.

Beklediğim olmayınca ben de birkaç arkadaşla konuyu paylaşarak böyle bir çalışmanın içerisine girmeye karar verdim. Yapacağımız iş temelde 5651 için teknik çözümler üretmek, varolan çözümleri, ürünleri tanıtmak. Kısaca 5651 sayılı kanun hakkında derli toplu bir bilgi havuzu oluşturmak ve bu konuda danışmanlık yapmak.

Bu kapsamda bildiklerimizi, öğrendiklerimizi bir blog sayfasinda ya da bir wiki sayfasinda paylaşacağız.
Çalışmaya yardımcı olmak isteyen arkadaşlardan ricam  kanunu kendi sirketinde, baska sirketlerde uygulamaya baslamislarsa  kisaca firma ismi vs vermeden isi hangi urunlerle nasil yaptiklarina dair yorumlar yorumlarini almak.

Ornek yorum:

Sirketim, kurumum  kanuna gore şu kategorilere(Eri­şim sağ­la­yı­cı, İçe­rik sağ­la­yı­cı:, Yer sağ­la­yı­cı, Top­lu kul­la­nım sağ­la­yı­cı ticari amacli Top­lu kul­la­nım sağ­la­yı­cı) giriyor.

Bunun icin su su ticari/acik kod urunu kullandim.

Su sorunlarla karsilastim vs diye yazmaniz yeterli.

Adres olarak huzeyfe@lifeoverip.net adresini kullanabilirsiniz.

Bilgi Guvenliginin Neresindeyiz?

Gecen gun benim daha cok IT  audit yonu ile tanidigim danismanlik firmasi Ernst & Young 11. ‘Küresel Bilgi Güvenliği Anketi‘ nin sonuclarini yayinladi.

Anketteki sonuclar sektordeki bir guvenlikci tarafindan da tahmin edilebilecek seyler. Yine de bunun bir araştırma ile ortaya dökülmesi güzel. Yazıda başlık olarak kabul ettiğim fakat içerik olarak katılmadğım noktalar var.

Bu yazi ile dikkat cekmek istedigim  konu Turkiye olarak Bilgi guvenliginin neresindeyiz? Ilerliyor muyuz , geriliyor muyuz ya da ilerliyor gorunup aslinda yerimizde mi sayiyoruz.

Öncelikle bu konuya bircok guvenlikcinin aksi yonde baktigimi belirtmek isterim.  Bunun sebebi de aslında piyasadaki “güvenlikci” arkadasların çoğunun temelinin teknik olmaması ya da güvenlik sektörüne sonradan ihtiyac olundugu icin ve/ya heyecan verici oldugu icin katılmıs olmaları .

Genel bakis acisi sudur: firmalara awareness olusturduysak, ilgili guvenlik urunlerini aldirmayi basardiysak bu bizim ilerledigimiz yonunde bir isarettir. Evet bu gorus bazi eksik yonlerine ragmen dogrudur.

Fakat bu gorus sunu aciklayamamaktadir. Neden hala buyuk olcekli ve guvenligi önemli olarak degerlendiren kurumlarda cok ciddi acikliklar cikmaktadir? Bunun cevabına eger klasik mantıkla “Güvenlik bir süreçtir” ya da “tam manası ile Güvenlik” olmaz diyorsanız güvenliğin ne olduğunu en basitinden öğrenmek üzere  Security Engineering kitabini okumanizi tavsiye ederim.

Umulan şudur ki bir firma Firewall’unu alip IPS’ini yerlestirsin, bu da yetmesin onunde-arkasina bir yerlere Web Application Firewall, vs  koysun ve sonra rahatına baksın. *

Malesef teoride kulaga hos gelen bu yaklasim pratikte dönmüyor. Çok uzaklarda örnek aramadan kendi gördüğüm ortamlardan örnek verebilirim. Her üçünün de kurulu olduğu
sistemler orta-ileri düzey bir hacker tarafından “rahatlıkla” hacklenebiliyor. Ve bu hacklenmenin tek mesulu ortamda kurulu olan sistemler değil o sistemleri yöneten
adminler/güvenlikciler.

Bunun sebebi -benim izlenimlerime göre- özde değil sözde bir anlayışla hareket edilmesi. Diğerlerini bilmem ama güvenlik sektörü pek öyle klasik mantıkla ele alınabilecek bir sektör değil. Bazı arkadaşlar ben bu şekilde konuşunca hemen karşı atağa geçip kendi sektörünle ilgili yorum yaptığın için yanılıyorsun vs diyorlar.

Yanılma payım olsa da güvenlik sektörü diğerlerine göre farklıdır ve daha fazla ilgi ister. Bugün silah kullanmayı kılavuzunda okuyarak  öğrenebilirsiniz ama heran yanlışlıkla ayağınıza sıkma riskiniz vardır. Güvenlik ürünleri de böyledir, sadece kullanma kılavuzuna bakarak yönetilecek ürünler olarak görülürse cok ciddi tehlikeleri es geçmiş olursunuz.

Bugun Türkiye ortamı da buna benziyor. Google üzerinden yapılacak kısa bir araştırma ile 2000-2005 yılları arasında e-posta listelerinde sorulan  sorularla 2006 yılından sonra sorulan soruları karşılaştırabilirsiniz. Göreceğiniz garip bir şekilde 2000-2005 arassı sorulan soruların daha teknik, daha işin nasıl çalıştığını anlamaya yönelik olduğunu görürsünüz. Bu ne demek oluyor? Kısaca artık insanların işin teknik kısmına pek önem vermediğini alınan güvenlik ürünlerinin tak-çalıştır mantığında kullanıldığı manasına gelir.

Kendimizi, çalışanlarımızı teknik olarak ilerletmedikçe bilgi güvenliği konusunda ilerleyemeyiz. Öyle standartlara uyma adına politika, prosedür yayınlayarak güvenlik malesef olmuyor. Zira o politikalarda yazılanları uygulayacak ya da test edecek kapasitede eleman bulmak ne yazik ki zor. Hic unutmam bir firmanın bilgi güvenliği politikasında şöyle yazıyordu “X firmasında trafik izleme/sniffing işlemleri sadece Y makinesinden ve izne bağlı olarak yapılabilir” ve bu firmada sniffing kavramını detaylı bilen arkadaş yoktu. Detaydan kastım ortamda bir snifferin çalıştığını kontrol edebilecek kapasitede teknik bilgiye sahip olmak. Öyle ya politika, proseedur yazdıysak bunların bir şekilde kontrolü de lazım yoksa yazılı olduğu yerde kalır.
Kısacası bilgi güvenliği konusunda gerçekten ilerlemek istiyorsak bazı şeylerin kağıt üzerinden kalkıp zihnimize yerleşmesi lazım. Para harcamak, birilerine güvenlik bilinirligi saglamak kolay ama gerçek güvenliği sağlayacak teknik elemanların yetişmesini sağlamak, buna ön ayak olmak zor.Zora talip olmak lazim.  Yoksa hep birileri yapar biz de onların yaptığını haberleştirir, eş dost muhabbetinde “adamlar yapıyor ya” şeklinde repliklerle çenemizi yorarız.
…’
* Orneklemeyi sinir guvenligi uzerinden verdim. Zira sınır guvenligi hala en onemli konulardan birisi.

Linux Audit Altyapisi-I

Günümüzde sağlam bir audit altyapısı olmayan işletim sisteminin ticari ortamlarda kullanımı oldukça zorlaşıyor. Gerek güvenlik gerek yine güvenliğe dayanan çeşitli kanunlar,  düzenlemeler ve standartlar kullanılacak tüm sistemlerin sağlıklı audit altyapısına sahip olmasını şart koşuyor.

Audit altyapisindan kastım kullanılan sistemin kim tarafından ne zaman ve  nasıl kullanıldığının kayıt altına alınması. Bu altyapı işletim sistemi için belki çalıştırılan bir komut ya da bir dosya üzerinde yapılan değişikliklerin incelenmesi, veritabanı için  belirli bir tablodaki hareketliliğin gözlenmesi olabilir.

Audit altyapisini pasif olarak calisan IDS’lere benzetmek mümkündür. Her ikisi de kendisine verilen çeşitli parametrelere uygun bir şekilde trafiği/hareketleri izle ve loglar.

Auditd basitce kernela yapılan sistem çağrılarını izler. Sistem çağrıları kullanıcı seviyesi programların kernel fonksiyonlarına erişip kullanmasıdır.

Hemen hemen tüm UNIX/Linux sistemlerde gelismis audit altyapısı bulunmaktadır. (Linux sistemlerde 2.6 kernel ile birlikte gelmektedir) Read more »

5651 Sayılı Kanun Gereksinimlerini Anlama

2007 yılında önce dedikodularını duyduğumuz açıklanması ile birlikte de gerçekle yüzleştiğimiz bir kanun çıkarıldı: 5651 sayılı “Internet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun” .

Aynı yıl içerisinde kanunun maddelerini daha anlaşılır hale getiren çeşitli yönetmelikler yayınlanarak yürürlüğe girdi.

Kanun, bugüne kadar internet ortamında sınırsız özgürlüğe sahip olan internet kullanıcıları tarafından sansür ve ” big brother” ekseninde düşünüldü.

Gerek kanun ve yönetmelik maddelerinin bir bilişimci için yeteri kadar açık olmaması gerek bilişim dünyası için kanun yazmanın zorlukları sebebi ile kanun Türkiye’de yeteri kadar anlaşılamadı ve uygulanamadı.

Bunda kanunun yaptırımlarının bilinmemesi ya da klasik bir anlayış olan “kabak patlayana kadar bekle”nin kanunun yeteri kadar yaygınlaşamamasında önemli olduğunu düşünüyorum. Mesela araç kullanırken ehliyeti yanınızda bulundurmak zorunludur fakat bir polis sizi kontrol edene kadar bu zorunluluk cezai bir isleme tabi tutulmaz.

Benzer şekilde 5651 uygulamayabilirsiniz fakat kanun ya da yönetmelik maddelerinden biri ile ilgili bir durum olduğunda basınız ciddi ağrıyabilir.

Bende hem kendi şirketim hem de dışarıda bu işi uygulamak isteyen fakat eksik kaynak ya da bilgiden dolayı uygulayamayan şirketler için kısa bir araştırma yaptım ve kesin olmasa da kanun/yönetmeliğin neyi nasıl istediğini çıkarmaya çalıştım. Kanun maddeleri arasındaki italik satırlar kişisel yorumlarımdır. Onun haricindeki tüm tekstler kanunla ilgili sorumlu kurum olan TİB’in sitesinden alınmıştır ve kaynaklar kısmından aynı bilgiler edinilebilir. Read more »

5651 sayili kanun gereksinimleri icin loglari imzalamak

2008 yilinda adini sıkca duydugumuz ve uzun bir sure daha tartismali bir sekilde duyacagimiz 5651 sayili kanun(internet aktivitelerini izleme ve zararlilarini engelleme vs..) gereksinimlerine gore kurum/firmalar internet kullanimi ile ilgili  cesitli duzeyde loglama yapmakla yukumluler. Yukumlulukleri sadece loglama degil bu loglarin dogrulugunun saglanmasini da kapsiyor. Kanun maddeleri bu dogrulugu saglama isleminin nasil yapilacagi konusunda bize  ipuclari veriyor. Mesela diyorki bu is icin   Elektronik zaman damgası , kullanacaksiniz.

Elektronik Zaman Damgasi ne derseniz ; kisaca üzerine vurulan verinin o tarihte alındığı ve değiştirilmediğini kanıtlamak için kullanılan bir sayisal damga. Yani  bir dosyanin x tarihinde sayisal imzasinin alindigi ve bu tarihten sonra bir degisiklige ugramadigini kanitlayan sistem .

Normal hash almaktan  farki dosyanin x tarihinde alindigi bilgisinin saklanmasi. Mesela bir beyan vermek istiyorsunuz ve bu beyani sayisal imza kullanarak vereceksiniz ve verdiginiz beyanin tarihi onemli. Bu durumda sayisal zaman damgasi kullanarak hem beyan verdiginiz tarihi hem de beyanin iceriginin degistirilmedigini kanitlayabilirsiniz.

Sayisal Zaman Damgasi Nasil Olusturabilirim?

Bu soru icin kullandiginiz isletim sistemine gore iki farkli cevap cikacaktir. Eger Windows kullaniyorsaniz TIB’in bu islemler icin yazdigi bir yazilim var onu kullanabilirsiniz. Linux/UNIX kullaniyorsaniz OpenSSL’e bir patch gecerek benzeri islemleri yapabilirsiniz.(Piyasada bunu hizmet olarak veren cesitli firmalar da var. Ben burada bu isi ucretsiz nasil yapabilecegimizi anlatmaya calistim.)

Detay bilgi

Openssl ts komutu basitce TSA(zaman damgası otoritesi) işlemleri için kullanilabilir fakat piyasada bulunan Linux/UNIX sistemlerdeki OpenSSL surumlerinde  ts destegi yoktur. www.opentsa.org’da yazdigina gore yeni surum OpenSSL’lerle birlikte gelecek. Isteyenler http://www.opentsa.org/ adresinden ilgili yamaları alarak openssl’e ts destegi ekleyebilir.

Kurulum

# cd
#mkdir openssl
#cd openssl/
#wget http://www.openssl.org/source/openssl-0.9.8c.tar.gz
#tar zxvf openssl-0.9.8c.tar.gz
#cd openssl-0.9.8c
#wget http://www.opentsa.org/ts/ts-20060923-0_9_8c-patch.gz
#gzip -cd ts-20060923-0_9_8c-patch.gz |patch -p1
#./config
# make
# make install

Yeni kurdugumuz openssl’in dosyaları  /usr/local/ssl dizini altındadır.

#ls /usr/local/ssl/

Buradan ts komutları çalıştırılabilir

home-labs openssl-0.9.8c #  /usr/local/ssl/bin/openssl ts
usage:
ts -query [-rand file:file:...] [-config configfile] [-data file_to_hash] [-digest digest_bytes][-md2|-md4|-md5|-sha|-sha1|-mdc2|-ripemd160] [-policy object_id] [-no_nonce] [-cert] [-in request.tsq] [-out request.tsq] [-text]
or
ts -reply [-config configfile] [-section tsa_section] [-queryfile request.tsq] [-passin password] [-signer tsa_cert.pem] [-inkey private_key.pem] [-chain certs_file.pem] [-policy object_id] [-in response.tsr] [-token_in] [-out response.tsr] [-token_out] [-text] [-engine id]
or
ts -verify [-data file_to_hash] [-digest digest_bytes] [-queryfile request.tsq] -in response.tsr [-token_in] -CApath ca_path -CAfile ca_file.pem -untrusted cert_file.pem

Nasıl işler?

TSA istemcisi veri dosyasının tek yönlü hash’ini alır ve TSA’ya gönderir.

TSA (zaman damgası otoritesi) gelen hash’i alır imzalar ve geri gönderir(time stamp token). Böylece TSA kendisine gelen hash’in x zamanındaki durumunu belgelendirir/onaylar.

TSA istemcisi gelen time stamp token’i alır ve dogrular, bu işlem aynı zamanda gelen jetonun hash’ini de kontrol eder.

Read more »

PCI DSS hakkinda ucretsiz goruntulu kaynak

PCI DSS(Veri guvenligi standarti) konusunda kaynak sıkıntısı cekiyorsaniz Master Card tarafindan uygulanan ucretsiz ve birinci elden yetkin kisilerin anlatimi ile “The PCI Merchant Education Program” i takip edebilirsiniz.

Bilgi guvenligi ve ilgili konularda calisan arkadaslarla gorusmelerimde PCI konusunda firmalarin bu standarti yeteri kadar ciddiye almadiklarini, otesinde konu hakkinda yeterli bilgilerinin de olmadigini goruyorum. Yaklasik 5-6 ay oncesine kadar benim icin de muaamma olan bu standart hakkinda uzun suredir okuyorum ve kendi sirketim icin ilgili projelere katkida bulunuyorum. Zamanla burada eksik gordugum konularla ilgi yazmaya baslayacagim.

Unutmamak gerekir ki standar, kanun ve duzenlemeler bilgi guvenligi konusunun sirketlerdeki en iyi destekcileridir. Bunlara uyalim, uymayanlari uyaralim:)

Read more »

TIB tarafindan Onaylanan Icerik Filtreleme Yazilimlari

TIB tarafindan onayli icerik yazilimlarinin listesi yayinlandi. Listeye ilk bakista sadece bir adet kurumsal icerik filtreleyicinin oldugunu goruyoruz. Icerik filtreleme urunu satanlarin urunlerini kaydettirmelerinde fayda var. (Yurt disindan urun getirip satan firmalarin urunlerinin onay alabilmesi icin yapmalari gereken birkac madde var)

Liste icin:

http://www.tib.gov.tr/onayli_filtreleme_yazilimlari.html

TIB’in icerik filtreleme yazilimini onaylamasi icin olmasi gereken kriterler:

www.tib.gov.tr/%5Cdokuman%5CFiltre%20Program%20Kriterleri.doc