Peki nasıl oluyor da bilgisayarlar zombiye dönüşüp spam aracı ya da DDOS aracı olarak kullanılıyor?

Kullanıcıların bilgisayarlarında yüklü olan programlarda çıkan açıklıkları değerlendirip belirli sitelere bu açıklıkların exploitlerini yerleştiren hackerlar kullanıcıları belirli sitelere yönlendirip malware(zararlı yazılım) bulaştırmaya çalışıyorlar. Burada kullanılan siteler genellikle sık kullanılmayan bazen sadece bir kereliğine kullanılan domainler. Ara ara da herkes tarafından kullanılan haber sitelerini hackleyerek site içerisine görünmeyecek şekilde ufak kodlar ekleyerek siteye giren kullanıcılara malware bulaştırılabiliyor. Burada son kullanıcı güncel antivirüs ve güvenlik yamaları geçili bilgisayar da kullansa çeşitli yöntemlerle kullanıcılara malware yüklenebilir(bkz:Metasploit Java applet)
Malware bulaştıran domainleri kurumsal şirketlerde kullanılan içerik filtreleme yazılımları rahatlıkla engelleyebilmekte fakat açık kaynak kodlu içerik filtreleme sistemlerini kullananlar için merkezi olarak bu tip sabıkalı siteleri/domainleri barındıran siteler yok denecek kadar az.

Malwaredomains.com bu noktada yardıma koşarak büyük bir eksikliği gideriyor.  Yukarda bahsettiğim yolla malware bulaştırmaya çalışan sitelerin listesini tutup bunları DNS(Bind ya da Windows DNS sunucu)servisi kullanarak engellemeye yardımcı olacak bir site. Günlük olarak çeşitli kaynaklardan malware dağıtan siteleri araştırıp tek bir dosya halinde(DNS için zone dosyası) ticari içerik filtreleme yazılımı olmayanlara sunuyor.  http://malwaredomains.com/

Tek başına tüm dünyadaki malware dağıtan siteleri merkezi olarak toplama kolay olmasa da sık kullanılan ve çeşitli tuzak sistemler tarafından yakalanmış bu domainleri DNS seviyesinde engelleme kullanıcılara bir nebze daha güvenli internet imkanı sağlayacaktır.

The post Domain tabanlı Malware engelleme first appeared on Complexity is the enemy of Security.

Uzuun süre önce buralarda aylık olarak kitap değerlendirmeleri yer alırdı. Eğitimlerde başımı kaldıramadığım için pek fazla kitap okuma şansım olmuyor. Biraz da artık teknik kitaplardan ilgi alanlarıma yönelik yeni birşeyler öğrenemediğimden okumuyorum. Kitaplar yerine daha güncel olan kaliteli bloglardan faydalanıyorum.

Geçen seneden kalmış bir kitap analizi:UNIX and Linux Forensic Analysis DVD Toolkit

Bazı kitapları adına kanarak , hiç araştırma yapmadan okurum. “UNIX and Linux Forensic Analysis DVD Toolkit” kitabi da bunlardan biri oldu. Çok uzun süre(?) önce okumama rağmen  yorumlayacak birşey bulamadığım için yazamadım. 

Üzerini çizdiğim ve kimseye tavsiye edemeyeceğim kitaplar listesinde yerini aldı.  Hayalim, Linux ve UNIX sistemler uzerinde forensic analiz konularının işlenmiş olmasıydı. Yani Linux ortamında ne nerdedir, hangi dosya dizinler ne tip bilgi verebilir, hangi komutlar nerede kullanılır gibi bilgiler ararken akalı alakasız konularla içeriği doldurulmuş bir kitapla karşı karşıya kaldım.

Yine de sadece Windows üzerinde forensic analiz  ile ugrasmis kisiler icin ilginc olabilir. Ama benim tavsiyem hic okunmamasi yonunde:)

Ek yorumlar ve kitapla ilgili detay bilgi için

The post Kitap Okumaları – UNIX and Linux Forensic Analysis DVD Toolkit first appeared on Complexity is the enemy of Security.

MCP Türk üyeleri buluşuyor!

2000’den fazla üyesi olan MCP Türk grubunun üyeleri “tanışma” toplantısı, Microsoft Türkiye’nin yeni binasında gerçekleştiriliyor. Bilgi güvenliği, Microsoft çözümleri ve BT alanında İK trendlerinin de tartışılacağı toplantı yarım gün sürecek.

21 Mart 2009, Cumartesi günü Microsoft Türkiye yeni ofisinde gerçekleştirilecek etkinliğe, MCP Türk üyeleri ve MS teknolojilerine hakimprofesyoneller davetli. Lütfen katılım için LCV yaptırınız.

Saygılarımızla, MCP Türk

LCV: Arzu Aydemir Atlas Organizasyon [email protected]

Tarih: 21 Mart 2009 Cumartesi

Saat: 12:00 – 17:00

Yer: Microsoft Türkiye Ofisi Adres: Bellevue Residence, Levent Mahallesi, Aydın Sokak, No:7, Levent, İstanbul

Program:

* Kayıt ve İkram * Yeni ve eski desktop, exchange ve server ürünlerin karşılaştırılması Yıldırımoğlu Danışmanlık- Murat Yıldırımoğlu

* Bilişim Güvenliği Tehditleri, Ethical Hacking Adeo Kurucu Ortak Halil Öztürkçi &Turkcell Bilgi Güvenliği Uzmanı Huzeyfe Önal

* Bilgi ve Telekomünikasyon Teknolojileri Sektöründe İK Trendleri, yeni iş alanları ve unvanlar HiperaktİK Danışmanlık – Tuğba Avcı * Windows 7 Beta Microsoft Türkiye

Ana Sponsor: Microsoft Basın Sponsoru: CIO-Club Bilişim Dergisi Etkinlik Sponsoru: Atlas Organizasyon

The post {Etkinlik}MCP turk uyeleri Microsoft Turkiye’de bulusuyor first appeared on Complexity is the enemy of Security.

Atolye egitimi olacagından kontenjani 15 ile sınırlı tutmak zorunda kaldık.  Katılamayanlar için büyük ihtimalle kisa sure sonra aynı eğitimin tekrarı açılacak…
Eğitim ile ilgili arkadaşlardan, katılmak isteyenlerden çeşitli sorular, eleştiriler alıyoruz. Bunlardan bazılarını kısaca buradan cevaplamak istedim.

1)Eğitim neden hep Istanbul’da oluyor?

Ben ve diğer eğitmen arkadaşlar Istanbul’da yaşadığı için eğitimler Istanbul’da oluyor ama onumuzdeki donemlerde sartları olusturabilirsek Bursa, Ankara ve Izmir’i de düşünüyoruz.

2)Egitimlerin icerigini nerden alıyorsunuz?

Egitimlerin icerigi tamamen sıfırdan kendi tecrübelerimize göre olusturuluyor ve zamanla icerik degisebiliyor. Icerik olustururken piyasadaki bilinen güvenlik egitimlerinin hepsi inceleniyor ve katkısı olacağı  düsünülen tarafları kendi egitimimize uyarlanıyor.

3) Bu kadar cok icerigi o kadar kısa sürede nasıl anlatacaksınız?

Kendi özel formülümüz var:). Saka bir yana gercekten icerik oldukca dolu ve zamanında tamamlanması zor gozukuyor ama bu egitim hızlandırılmıs paket eğitim olduğundan işin teorisine girilmeyecek. Önceden hazırlanmış ve test edilmiş lab çalışmaları şeklinde olacak. Dolayısı ile katılımcılarda belli bir seviye arandı.

4)Katılımcılara neden ön sorular soruyorsunuz?

Egitime katılmak isteyenlere egitim icerigi ile ilgili 5-6 soru soruluyor ve bu soruların cevaplarına  göre egitimin kendileri icin uygun olup olmadıgı iletiliyor.

Egitim sıradan konuları icermiyor ve herkese yönelik degil. Zamanında fazlası ile konuyu iyi bilmeden bu tip egitimlere katılmak istyen ve egitimin ikinci haftası “bu egitim bana agır ben cıkayım ” diyen arkadaslarla karsılastık.

Hem egitmenler, hem de katılımcılar acısından sınıfın bellibir seviyede olması kaliteyi arttıracaktır.

5) Baska ne tur egitimleriniz var?

Cok yakinda tum egitimler ve icerikleri detayli bir sekilde www.guvenlikegitimleri.com’da yer alacak.

The post Network Penetrasyon Testleri Eğitimi Ek Bilgiler first appeared on Complexity is the enemy of Security.

Bu eğitim güvenlik dünyasında ismi duyulmuş çeşitli açık kaynak kodlu yazılımların en etkin şekilde kullanılarak efektif güvenlik testlerinin yapılabilmesini amaçlamaktadır.

Eğitimde kullanılan araçların isimleri çok bilinmesine rağmen detay özellikleri ve etkin kullanımı genelde bilinmemektedir.

Eğitim sonrası katılımcılar herbiri kendi alanında en iyisi sayılabilecek bu araçları tüm detayları ile birlikte nerede nasıl kullanılacağını öğrenmiş olacaktır.

Diğer detaylar ve eğitim içeriğine bu adresten ulaşabilirsiniz.

Egitim icerigi: http://open.bilgi.edu.tr/freedays/?p=npt

Egitim icerigi ile ilgili teknik detaylar icin [email protected] adresine e-posta gonderebilirsiniz.

Zamani olanlar icin kacirilmayacak bir egitim:)

The post Network Penetrasyon Testleri Eğitimi / 17-18 Nisan first appeared on Complexity is the enemy of Security.

Hat yedeklemede en önemli konu yedekleme isini routing protokolleri ile mi yoksa manuel mi yapılacağıdır. Eğer hizmet alınan ISP ve kullanılan bağlantı teknolojisi destekliyorsa en sağlıklısı routing protokollerini kullanarak hat yedekleme işlemini yapmaktır ama ADSL vs gibi bağlantı tipleri kullanılıyorsa bu durumdarouting protokollerini kullanmak pek mümkün olmayacaktır.

Eğer routing protokolleri üzerinden hat yedekleme yapılamıyorsa bu isi elle yapmak gerekir yani belirli aralıklarda hatların durumunu kontrol eden ve gerektiğinde tüm bağlantıları birinden diğerine aktaran scripler yazılabilir. Bu ilk akla gelen yöntemdir ama bağlantı sayısı 3’ü aştığında biraz zora girmektedir. Her eklenen bağlantı sayısında scripte eklemeler yapılması hata durumunu kaçınılmaz kılar.

Bu gibi durumlar  için OpenBSD işletim sisteminde ifstated yazılımı bulunmaktadır.(FreeBSD’e de port edildi). Ifstated verilen parametrelere göre hatların durumunu kontrol eder ve hatlarda bir değişiklik olduğunda istenilen komutu/scripti otomatik çalıştırır. ifstated aslında bizim her seferinde eklemelerle genişleteceğimiz scrit yazma işlemini kendi üzerine alarak bize sadece hatlarla ilgili durum senaryolarını oluşturmayı bırakır.

Örnek:Iki farklı internet hattımız olsun ve biz bu hatların her ikisi de aktif iken trafiği bu hatlar arasında paylaştırdığımızı, hatlardan biri gittiğinde ise tüm trafiği diğer hatta aktaran ve ilk hat geldiğinde tekrar iki hatta paylaştıran bir yapı istediğimizi düşünelim.

Burada olasılıklar şu şekildedir.

Iki tane hat var ;

hat1=ADSL
hat2=Kablo

Her iki hat aktif olabilir		 -->Trafik bu iki hat arasında Packet Filter kullanılarak paylaştırılır,default GW hat1 =pf_ortak.conf

Hat1 aktif, hat 2 gitmiş olabilir	 -->Tüm trafik hat1 üzerinden üzerinden gider, uygun PAcket Filter kuralları yüklenir=pf_hat1.conf

Hat2 aktif, hat1 gitmiş olabilir	 -->Tüm trafik hat2 üzerinden üzerinden gider, uygun PAcket Filter kuralları yüklenir, default GW2 olur=pf_hat2.conf

Her iki hat gidebilir		    	 --> Tüm hatlar gitti diye mail attırılır.

Hat2 aktif, hat1 gitmiş iken Hat1 tekrar gelebilir --> Bu durumda Trafik bu iki hat arasında Packet Filter kullanılarak paylaştırılır,default GW hat1 =pf_ortak.conf

..

secenekler bu sekilde arttırılabilir. Hat sayısı üçe çıktığında ise bu seçenekler çok daha fazla artacaktır.

Tekrar kurmak istediğimiz yapıyı hatırlayalım: Yapmak istedigimiz her iki hat da aktif iken default GW hat1 olsun ve trafik iki hatta paylaştırılsın(PF aracılığı ile), hat1 gittiginde hat2 default GW olsun, hat1 tekrar geldiginde tekrar default GW hat1 olsun. Her iki hat da gittiginde mesaj atsin.

FreeBSD/OpenBSD Üzerinde Deneme

FreeBSD için ifstated kurulu olmali

#cd /usr/ports/net/ifstated
#make && make install

/etc/rc.conf dosyasına aşağıdaki satırlar eklenir.

ifstated_enable=”YES”

Sonra /usrl/local/etc/ifstated.conf(OpenBSD’de /etc/ifstated) dosyasinin icerisine asagidaki satirlari yaziyoruz.

loglevel debug
init-state primary
hat1='("ping -q -c 1 -t 3 -S 192.168.2.24 195.175.39.39 > /dev/null" every 10)'
hat2='("ping -q -c 1 -t 3 -S 10.10.10.1 74.125.79.147 > /dev/null" every 10)'
state primary {
init {
run "echo 'hat1  hat2 - ADSL & Kablo Hatti Aktif Durumda...'"
run "route delete default && route add default 192.168.2.1"
run "pfctl -f /etc/pf_ortak.conf"
}
if (! $hat1 && $hat2)
set-state mastera
if ($hat1 && ! $hat2)
set-state masterb
if ( ! $hat1 && ! $hat2)
set-state hatyok

}

state mastera {
init {
run " echo 'hat2- KAblo Internet Hatti Aktif Durumda...'"
run "route delete default"
run "route add default 10.10.10.2"
run "pfctl -f /etc/pf_hat2.conf"
}
if $hat1
set-state masterb
if ! $hat2
set-state hatyok

}

state masterb {
init {
run " echo 'hat1- ADSL Internet Hatti Aktif Durumda...'"
run "route delete default"
run "route add default 192.168.2.1 "
run "pfctl -f /etc/pf_hat1.conf"
}

if ( ! $hat1 && ! $hat2)
set-state hatyok

if ($hat1 &&  $hat2)
set-state primary
}

state hatyok {

init {
run "echo 'Iki HAT da YOK'"
run 'echo "hatlar gidik"|mail -s "Hat Gitti" [email protected]'
run "route delete default"
}

if (! $hat1 && $hat2)
set-state mastera
if ($hat1 &&  $hat2)
set-state primary
if ( $hat1 && !$hat2)
set-state masterb
}

dosyada gecen IP adresleri ve anlamlari;

192.168.2.24 hat1’in IP Adresi

195.175.39.39 hat1’in calisir oldugunu kontrol etmek icin kullanilan IP adresi

10.10.10.1 hat2’in IP Adresi

74.125.79.147 hat2’in calisir oldugunu kontrol etmek icin kullanilan IP adresi

Hat kontrolu icin kullanılan IP adresleri icin uygun arabirimlere routing girilmeli. yani 195.175.39.40’a giderken hep hat2 kullanılacak.

route add 195.175.39.39 192.168.2.1

route add 195.175.39.40 10.10.10.2

NOT: IP Adreslerinin kendi sisteminize gore uyarlanmasi gerekir.(POing ile kontrol edilecek ip adreslerinin her zaman ulasılabilir adresler olmasi onemli)

Bu işlemlerden sonra ifstated -n komutu ile dosyada birşeyler hatalı mı diye kontrol edilir. Hata yoksa ifstated -d -vv komutu ile debug modda çalışıp sistemin çalıştığı izlenir.

Sistemde yapılan testler ve çıktıları.

Her ikli hattın olmadığı durumda

ifstated: running ping -q -c 1 -t 3 -S 10.10.10.1 74.125.79.147 > /dev/null
ifstated: running ping -q -c 1 -t 3 -S 192.168.2.24 195.175.39.39 > /dev/null
ifstated: changing state to hatyok
ifstated: running ping -q -c 1 -t 3 -S 192.168.2.24 195.175.39.39 > /dev/null
ifstated: running ping -q -c 1 -t 3 -S 10.10.10.1 74.125.79.147 > /dev/null
ifstated: running echo 'Iki HAT da YOK'
Iki HAT da YOK
ifstated: running echo "hatlar gidik"|mail -s "Hat Gitti" [email protected]
ifstated: running route delete default
delete net default

Ikinci hat aktif oldugunda

ifstated: running ping -q -c 1 -t 3 -S 192.168.2.24 195.175.39.39 > /dev/null
ifstated: running ping -q -c 1 -t 3 -S 10.10.10.1 74.125.79.147 > /dev/null
ifstated: changing state to mastera
ifstated: running ping -q -c 1 -t 3 -S 10.10.10.1 74.125.79.147 > /dev/null
ifstated: running ping -q -c 1 -t 3 -S 192.168.2.24 195.175.39.39 > /dev/null
ifstated: running  echo 'VELIBABAAA'
VELIBABAAA
ifstated: running route delete default
route: writing to routing socket: No such process
delete net default: not in table
ifstated: running route add default 10.10.10.2
add net default: gateway 10.10.10.2

Ardindan I.hat tekrar aktif oluyor .

ifstated: running ping -q -c 1 -t 3 -S 10.10.10.1 74.125.79.147 > /dev/null
ifstated: running ping -q -c 1 -t 3 -S 192.168.2.24 195.175.39.39 > /dev/null
ifstated: changing state to primary
ifstated: running ping -q -c 1 -t 3 -S 10.10.10.1 74.125.79.147 > /dev/null
ifstated: running ping -q -c 1 -t 3 -S 192.168.2.24 195.175.39.39 > /dev/null
ifstated: running echo 'ALIBABA'
ALIBABA
ifstated: running route delete default && route add default 192.168.2.1
delete net default
add net default: gateway 192.168.2.1

Not-1:ifstated sadece hat yedekleme degil Failover firewall kurulumlarinda Firewall’larin birbirini kontrol etmesi icin de kullanılabilir.

Not-1: Yukarıdaki ornek calisan bir sistemden alınıp uzerine eklemeler yapılmıstır. Dolayısı ile bu hali ile dogrudan calismayabilir.

The post Coklu Internet Baglantilarinda Hat Yedekleme first appeared on Complexity is the enemy of Security.

Adres: Gülsuyu Mah. Fevzi Çakmak Cad Ömer bey plaza No:1 Kat :3 E-5 Gülsuyu Köprüsü Yanı
Yer: Genç Girişimciler Kulubü Ulaşım-Kroki
Tarih: 08 Mart 2009 Pazar, 13:00-15:00
E-Posta: bilgi{at}webguvenligi.org

The post OWASP-TR Bulusmasi first appeared on Complexity is the enemy of Security.

Hemen her gün çeşitli işlerim için openssl’i kullanıyorum. Ara ara da arkadaşlardan bunu openssl’le nasil yaparim, openssl’in şu komutu ne işe yarardı gibisinden sorular aliyorum. Uzun zaman once bu konuda birseyler yazmistim ama usb diskimi Izmir’de kaybetmem sonrasi yayınlayamadım. Sonra tekrar hazırladım ve tekrar usb diskimi kaybettim. Pazar gunu biraz vakit bulunca hem egitim notlarina ekleyeceklerimi gozden gecirdim hem de bu konuda sık karşılaştığım soruları içeren openssl mini howto’sunu yazmaya oturdum. Eger yazı yayınlanırsa bilin ki bu sefer usb diskimi kaybetmedim:)

Yazı hazırlarken benim için  en zor bölümü giriş kısmıdır. Üzerine yazdığım konu ile ilgili temel ifadeleri yazmakta o kadar zorlanırım ki bazen sırf bunu aşamadığım için yazıyı bırakırım. Masaüstümde adı konulmuş içeriği doldurulmuş ama giriş bölümü hazırlanmamış onca belge var. bu sefer de aynı akibete ugramamak icin dogrudan icerige giriyorum. Temel seyleri merak edenler konu hakkında daha fazla bilgi bulabilecekleri arama motorlarına danışmalı.

Ilk Not: Openssl kullanarak aklınza gelebilecek her tür şifreleme/encoding(turkcesi ne ola ki?) ve tersi işlemler yapılabilir.

OpenSSL Yardım Menüsü

Openssl kullanımı aslında oldukça kolaydır fakat sunduğu seçenek sayısı fazla olduğu için genelde hangi paramnetrenin hangi sırada kullanılacağı şaşırılır. Bunun için openssl’in help özelliği kullanıabilir.

# openssl -h

openssl:Error: '-h' is an invalid command.

Standard commands

asn1parse      ca             ciphers        crl            crl2pkcs7

dgst           dh             dhparam        dsa            dsaparam

ec             ecparam        enc            engine         errstr

gendh          gendsa         genrsa         nseq           ocsp

passwd         pkcs12         pkcs7          pkcs8          prime

rand           req            rsa            rsautl         s_client

s_server       s_time         sess_id        smime          speed

spkac          verify         version        x509

Message Digest commands (see the `dgst' command for more details)

md2            md4            md5            rmd160         sha

sha1

Cipher commands (see the `enc' command for more details)

aes-128-cbc    aes-128-ecb    aes-192-cbc    aes-192-ecb    aes-256-cbc

aes-256-ecb    base64         bf             bf-cbc         bf-cfb

bf-ecb         bf-ofb         cast           cast-cbc       cast5-cbc

cast5-cfb      cast5-ecb      cast5-ofb      des            des-cbc

des-cfb        des-ecb        des-ede        des-ede-cbc    des-ede-cfb

des-ede-ofb    des-ede3       des-ede3-cbc   des-ede3-cfb   des-ede3-ofb

des-ofb        des3           desx           rc2            rc2-40-cbc

rc2-64-cbc     rc2-cbc        rc2-cfb        rc2-ecb        rc2-ofb

rc4            rc4-40

Buradan alt komutlara ait kullanım bilgisi için de openssl alt_komt -h parametresi kullanılır.

Mesela Openssl’in passwd altkomutunun kullanımı ile ilgili bilgi almak için

# openssl passwd -h

Usage: passwd [options] [passwords]

where options are

-crypt             standard Unix password algorithm (default)

-1                 MD5-based password algorithm

-apr1              MD5-based password algorithm, Apache variant

-salt string       use provided salt

-in file           read passwords from file

-stdin             read passwords from stdin

-noverify          never verify when reading password from terminal

-quiet             no warnings

-table             format output as table

-reverse           switch table columns

Base64 Encode/Decode İşlemleri

İçerisinde HuzeyfeOnal yazılı bir dosyanın base64 ile encoding yapılması sonucu oluşan çıktı.

root@home-labs:~# openssl enc -base64 -in test -out test1

SHV6ZXlmZU9uYWwK

decoding için

openssl enc -d -base64 …

komutu kullanılır.

SSL üzerinden çalışan bir servise bağlanma

SSL/TLS üzerinden çalışmayan servislere kontrol amaçlı bağlanırken dogrudan telnet ip port ya da nc ip port komutlarını kullanırız fakat servis ssl çalıştırıyorsa bu iki bilinen  komut istediğimiz sonucu vermeyecektir. Bunun yerine Openssl ile birlitke gelen s_client parametresini kullanabiliriz.

# telnet vpn.lifeoverip.net 443

Trying 80.93.212.86...

Connected to vpn.lifeoverip.net.

Escape character is '^]'.

root@home-labs:~# openssl s_client -connect www.lifeoverip.net:443

CONNECTED(00000003)

depth=0 /C=TR/ST=Istanbul/L=Basaksehir/O=Lifeoverip/CN=mail.lifeoverip.net/[email protected]

verify error:num=18:self signed certificate

verify return:1

depth=0 /C=TR/ST=Istanbul/L=Basaksehir/O=Lifeoverip/CN=mail.lifeoverip.net/[email protected]

verify return:1

---

Certificate chain

 0 s:/C=TR/ST=Istanbul/L=Basaksehir/O=Lifeoverip/CN=mail.lifeoverip.net/[email protected]

   i:/C=TR/ST=Istanbul/L=Basaksehir/O=Lifeoverip/CN=mail.lifeoverip.net/[email protected]

---

Server certificate

-----BEGIN CERTIFICATE-----

MIIDljCCAv+gAwIBAgIJAOZtLpQBRe+5MA0GCSqGSIb3DQEBBAUAMIGPMQswCQYD

VQQGEwJUUjERMA8GA1UECBMISXN0YW5idWwxEzARBgNVBAcTCkJhc2Frc2VoaXIx

EzARBgNVBAoTCkxpZmVvdmVyaXAxHDAaBgNVBAMTE21haWwubGlmZW92ZXJpcC5u

ZXQxJTAjBgkqhkiG9w0BCQEWFmh1emV5ZmVAbGlmZW92ZXJpcC5uZXQwHhcNMDgw

NDIwMTgzNzMxWhcNMTEwMTE1MTgzNzMxWjCBjzELMAkGA1UEBhMCVFIxETAPBgNV

BAgTCElzdGFuYnVsMRMwEQYDVQQHEwpCYXNha3NlaGlyMRMwEQYDVQQKEwpMaWZl

b3ZlcmlwMRwwGgYDVQQDExNtYWlsLmxpZmVvdmVyaXAubmV0MSUwIwYJKoZIhvcN

AQkBFhZodXpleWZlQGxpZmVvdmVyaXAubmV0MIGfMA0GCSqGSIb3DQEBAQUAA4GN

ADCBiQKBgQCqqYPSzpC1ldtTc4o1/iQqN18C89lZg4jHqRplppkwHRhyCW/6ua3S

ssUFPxm6rYVxjY+1hG13CHgJXhX22Agnr2PBicJrv1xvjWP571YZhVoof6UNpPDG

WUe/3J4mVOXD7J2KvsOcW4zoTOCZauE5z0oeUu+77glvqOiF2pu3LQIDAQABo4H3

MIH0MB0GA1UdDgQWBBSEhZEvLn4PMLo+UravLekmt+RL7zCBxAYDVR0jBIG8MIG5

gBSEhZEvLn4PMLo+UravLekmt+RL76GBlaSBkjCBjzELMAkGA1UEBhMCVFIxETAP

BgNVBAgTCElzdGFuYnVsMRMwEQYDVQQHEwpCYXNha3NlaGlyMRMwEQYDVQQKEwpM

aWZlb3ZlcmlwMRwwGgYDVQQDExNtYWlsLmxpZmVvdmVyaXAubmV0MSUwIwYJKoZI

hvcNAQkBFhZodXpleWZlQGxpZmVvdmVyaXAubmV0ggkA5m0ulAFF77kwDAYDVR0T

BAUwAwEB/zANBgkqhkiG9w0BAQQFAAOBgQBttymnjSI8Q1WcwuJH6bpz0OyWEU6w

QCACvidVTbmtg9kWebXWolE9JDgp6n1tuU571qIu+HzkL8btsvBV2jl0JOmYmcFN

bH0nyElWOU9+je92O1JnGeARcB2n6OLnRFO4KrgeNeVZLtPX3uyu68BEWl4ub/tg

yMIXGPUwgSYnag==

-----END CERTIFICATE-----

subject=/C=TR/ST=Istanbul/L=Basaksehir/O=Lifeoverip/CN=mail.lifeoverip.net/[email protected]

issuer=/C=TR/ST=Istanbul/L=Basaksehir/O=Lifeoverip/CN=mail.lifeoverip.net/[email protected]

---

No client certificate CA names sent

---

SSL handshake has read 1486 bytes and written 316 bytes

---

New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA

Server public key is 1024 bit

Compression: NONE

Expansion: NONE

SSL-Session:

    Protocol  : TLSv1

    Cipher    : DHE-RSA-AES256-SHA

    Session-ID: DA3CB24F96F6843BD4C66E23F8862EFB3EFF61CC706C379A5ED75753C8D6B4DE

    Session-ID-ctx:

    Master-Key: BD2985CDA790CDDE2D2BA27C66EC8C0210F1BEAA31906A6760A1B2560C7F318BCF3039EF0894CB0198759968DFFEAF39

    Key-Arg   : None

    Start Time: 1235905711

    Timeout   : 300 (sec)

    Verify return code: 18 (self signed certificate)

---

GET / HTTP/1.1

Host:www.lifeoverip.net

HTTP/1.1 302 Found

Date: Sun, 01 Mar 2009 10:59:01 GMT

Server: Apache/5.2.0 (Fedora)

Location: src/login.php

Content-Length: 0

Content-Type: text/html

SSL Destekli Web Sunucu Simulasyonu

Openssl kullanarak SSL destekli bir web sunucu simulasyonu gerçekleştirebiliriz. Kullanıcılar belirttiğimiz adrese bağlanarak normal bir ssl sitesine bağlanmış gibi işlem yapabilirler. Openssl’le yapılacak bu tip bir çalışmada web sunucu dogrudan çalıştırıldığı dizini gösterecektir.

# openssl s_server -accept 444 -cert mycert.pem -WWW

Using default temp DH parameters

Using default temp ECDH parameters

ACCEPT

bad gethostbyaddr

ACCEPT

bad gethostbyaddr

ACCEPT

bad gethostbyaddr

FILE:log/messages

ACCEPT

<ekran görüntüsü>

Hash Fonksiyonlarını Kullanma

Openssl’inhangi hash fonksiyonlarını desteklediğini bulmak için openssl dgst -h komutu kullanılabilir.

...

-md5            to use the md5 message digest algorithm (default)

-md4            to use the md4 message digest algorithm

-md2            to use the md2 message digest algorithm

-sha1           to use the sha1 message digest algorithm

-sha            to use the sha message digest algorithm

-sha224         to use the sha224 message digest algorithm

-sha256         to use the sha256 message digest algorithm

-sha384         to use the sha384 message digest algorithm

-sha512         to use the sha512 message digest algorithm

-mdc2           to use the mdc2 message digest algorithm

-ripemd160      to use the ripemd160 message digest algorithm

Bir dosyanın hash’ini alma

Md5 için;

root@home-labs:~# openssl dgst -md5 /etc/passwd

MD5(/etc/passwd)= 8edec48e1ba2784977bfd127474ce2c7

SHA512 için;

root@home-labs:~# openssl dgst -sha512 /etc/passwd

SHA512(/etc/passwd)= cf7626685b2a31be1d43338a48740a1297a2837b4b7c3638eab8174300650136907a1961fe8063cd9657cd9c120e3a24cdd979b4ba42c4255fbf3a1d42c59786

Komut satırından herhangi bir stringin hash değerini bulmak için

~# echo "huzeyfe" |openssl dgst -md5

cc33aa30e69ff51055dd3fb12e148f35

Simetrik Şifreleme ile Dosya Güvenliği

Herhangi bir dosyayı des3 ile şifreleme

root@home-labs:~# openssl enc -e -des3 -in /tmp/gizli_bilgi -out gizli_bilgi.des3

enter des-ede3-cbc encryption password:

Verifying - enter des-ede3-cbc encryption password:

yeni oluşturulan gizli_bilgi.des3 dosyasının içeriği okunmak istenirse anlamsız karekterler gözükecektir.

# more gizli_bilgi.des3

Salted__æÛéA´µt(?äÇ°EÆ!

Bu şekilde bir dosyayı şifreleyerek  kullanabilirsiniz.

Oluşturulan dosyanın içeriğinin binary yerine text(Ascii-Armour) olması istenirse -a parametresi kullanılmalıdır.

root@home-labs:~# openssl enc -a -e -des3  -in /etc/hosts -out hosts.des3

enter des-ede3-cbc encryption password:

Verifying - enter des-ede3-cbc encryption password:

root@home-labs:~# cat hosts.des3

U2FsdGVkX19F9/5/iH2jgjWlBCaw80hq2WsQ06KdKlimLdnXmoZLMTf9rtgwxM+L

oN7nqMwFycIiR/2+K0IL/wID8xzkuC/VcrMnf6xumHS8T955yVhkrj80t3lHvKBY

UTz0KsttNsgxN+X84b+VEg8YGwV8hks7nbDS/6c7lTD1XM9PhOTFTV7mEfM4vIaJ

LMVKU4g4jla0igLzCRkF+2K028f4cHixxlIE5ol1C0x9t3butjmztzHnVrMyddZz

SNXUCe/544epItIZtZWsaTBN4q/uRfZHwA/oo9b6tSP3LOwWvhmO7uuKfmMF8q3Q

iL3JeTpEpuZU3bIyFOU2FRJdKvCW+rEHRY/+gfJFSdE=

Şifreli dosyayı açmak için

#openssl enc -d -des3 -in gizli_bilgi.des3 -out gizli_bilgi

komutu kullanılır.

Linux/UNIX Sistemlerin Parola Güvenliği

UNIX/Linux sistemlerde kullanıcıların parola bilgileri /etc/shadow ya da /etc/master.passwd gibi dosyalarda şifrelenmiş olarak saklanır. Şifreleme için genelde kullanılan yöntem Md5 olmakla birlikte bazı dağıtımlar SHA256/512 kullanır. Linux/UNIX sistemlerde parolaların güvenliği sadece şifrelenmekle sağlanmaz, parolanın hash’ini ele geçiren birinin aynı zamanda bu şifrelemeyi karmaşıklaştırmak için kullanılan salt değerini ve tipini de ele geçirmesi gerekir.

Mesela aşağıdaki gibi bir bilgi saldırganın işine yaramaz

huzeyfe: mqTpXxm7ygQ9DD/pVIw7MLE444/PuNnAsRLy96SWJudCjvwQaD/.wPfA/AW7rnsRMkjeuIXFqP0RK0gEc6NFi

Sebebi ise bu hashlenmiş parola bilgisinin bruteforce ya da rainbowtable larla çözülebilmesi için bunu hashlemek için kullanılan algoritmaya ve salt değerine ihtiyaç duyulmasıdır.

Klasik bir UNIX/Linux Parola kontrol işlemi şu şekilde yapılır.

Kullanıcı parola bilgisini girer–>Sistem bu parola bilgisi için otomatik bir salt değeri üretir ve yapılan ayara göre MD5 ya da başka bir algoritma ile hash değerini alır base64 encoding işlemine sokar –>/etc/shadow’a yazar.

Aynı kullanıcı aynı parolayı bir kere daha girse sistemde oluşacak hash değeri farklı olacaktır.

huzeyfe:$6$rqPzY.iD$mqTpXxm7ygQ9DD/pVIw7MLE444/PuNnAsRLy96SWJudCjvwQaD/.wPfA/AW7rnsRMkjeuIXFqP0RK0gEc6NFi.:14304:0:99999:7:::

# passwd huzeyfe

Enter new UNIX password:

Retype new UNIX password:

passwd: password updated successfully

Her ikisi de aynı parola da aynı  olmasına rağmen yeni oluşan parola hash değeri  öncekinden farklı çıkacaktır.

huzeyfe:$6$YKT3ptRg$JJWYIM5XF184QneNMk9qJTaCt.ESMlt2rOYCdJsW1alUBdCbaLAiFl/Zy8tMedjXAfPkuZIoIe4BSHYg7.1Cg/:14304:0:99999:7:::

Bunun sebebi yeni bir şifre oluşturulurken seçilen salt değerlerinin farklı olmasıdır.

Parolanın hash değerindeki önemli alanlar

huzeyfe: kullanıcı ismi

$6$ parolanın SHA512 algoritması kullanılarak hashlendiği

$....$ Rastgele seçilen salt değeri.

JJWYIM5XF184QneNMk9qJTaCt.ESMlt2rOYCdJsW1alUBdCbaLAiFl/Zy8tMedjXAfPkuZIoIe4BSHYg7.1Cg  parolanın salt(tuz?) katılmış halinin hash değeri.

Openssl ile Linux/UNIX benzeri parolalar oluşturmak

Openssl’in passwd altkomutu ile md5, apr1 tipi algoritmalar kullanılarak oluşturulmuş  ve salt eklenmiş hash değerleri oluşturulabilir.

openssl passwd -1 -salt xyz  parola gibi.

Mesela passwd komutu kullanarak erhan kullanicisinin parolasini test1234 olarak degistirelim.

Sonra bu değişikliği shadow dosyasından okuyalım.

#passwd erhan

...

#grep erhan /etc/shadow

erhan:$1$vJbpReZd$/T7fZLwSquIMe.yLMsd9U/

Aynı değeri openssl passwd -1 komutu ile ede edebiliriz.

# openssl passwd -1 -salt vJbpReZd test1234

$1$vJbpReZd$/T7fZLwSquIMe.yLMsd9U/

Cisco IOS type 5   Parola Güvenliği

Cisco enable  parolası kaydedilirken Linux sistemlerdekine benzer mantık  işler bunun sebebi Cisco IOS’un FreeBSD şifreleme kütüphanesini kullanmasıdır. Aşağıdaki çıktı bize daha fazla fikir verecektir.

Router(config)#enable secret HL_R12

en parolasini HL_R12 yaptık sonra sistemde bunun nasıl gözüktüğüne bakalım.

Router#sh run | include secret

enable secret 5 $1$RK5L$05G045n5XVlENtyo04PBT1

görüleceği üzere Linux/UNIX sistemlerdekine benzer/aynı bir çıktı.

$1$ :Md5 kullanılmış

RK5L :Salt değeri

05G045n5XVlENtyo04PBT1: Hash değeri.

Salt değeri ve parolayı kullanarak aynı çıktıyı Openssl ile elde edebiliriz.

~# openssl passwd -1 -table -salt "RK5L" "HL_R12"

HL_R12  $1$RK5L$05G045n5XVlENtyo04PBT1

OpenSSL ile sertifika işlemleri vs için http://csirt.ulakbim.gov.tr/dokumanlar/ssl_sayisal_sertifikalar.pdf adresindeki yazı işinize yarayacaktır.

The post Pratik OpenSSL Kullanımı first appeared on Complexity is the enemy of Security.

Cok fazla teknik detaya dalmadan güvenlik dünyasında neler oluyor, onumuzdeki yıllarda neler olacak, bilgisayar mühendisliğinden mezun olduktan sonra bu sektore girmek isteyenler icin ne gibi avantaj/dezavantajlar var vs gibi konular etrafinda gecen senekinden daha hos bir oturum olacagini dusunuyorum.

Oturum oncesi ve sonrasi Istanbul ucagina(21:00) kadar bayagi zamanim olacak. Ankara’da olup da gorusemedigim arkadaslarla bulusup gorusmek isterim.

Bilmök Nedir?

Bilgisayar Mühendisliği Öğrencileri Kongresi (BİLMÖK), beş yıldır devam eden ve ülkemizin dört bir yanından bilgisayar mühendisliği öğrencilerinin bir araya gelip, çeşitli oturumlara ve etkinliklere katıldığı bir organizasyondur. Mesleğe ilgili ve üniversitelerinde bu alandaki örgütlenme ve organizasyon konusunda aktif faaliyet gösteren, gelişmeleri yakından takip ederek sadece bir “yazılım işçisi”nden çok, fikir üreten ve çözüm sunan katılımcıların çalışmalarıyla ve geleceğe dair önemli adımların atıldığı, fikir-bilgi paylaşımlarının yapıldığı internet ortamında tartışma forumları ile hayata geçirilir. Bunun yanında, ilerde meslektaş olacak gençlerin bir araya gelmelerini sağlayarak sosyal bir altyapı da hazırlar.

Bilmök organizasyon yapısı ve çalışmaları bir yönetmelik ile belirlenmiş olup, yürütme kurulunun önerileriyle, ev sahibi üniversitenin organizasyon komitesi tarafından hayata geçirilir. Yürütme kurulu, kongre esnasında resmi katılımcılar tarafından seçilir.

Detay bilgi ve programın tamamı icin http://www.bilmok.org.tr

The post [Etkinlik] Bilgisayar Muhendisligi Ögrencileri Kongresi (BİLMÖK) first appeared on Complexity is the enemy of Security.

Tunelleme yontemlerinden sık kullanilanlarini sayacak olursak;

ICMP Tunelleme -Artik disariya icmp paketleri kapali oldugu icin cok ise yaramiyor DNS Port tunelleme – Disariya dns portu aciksa UDP/TCP 53 uzerinden tunelleme. Ayni zamanda OpenVPN icin de kullanilabilir.

DNS Protokol Tunelleme – Klasik dns sorgulari kullanarak yerel agdaki dns sunucu uzerinden Firewall/IPS Atlatma

HTTP In Smtp tunelleme – HTTP isteklerini local mail sunucu uzerinden gondderme. Bu yontem de sadece local erisimi olanlar icin saglam bir bypass yontemi

Son olarak da

HTTP/HTTPS Tunelleme – Cesitli varyasyonlari olmakla birlikte IPS’ler tarafindan yakalanmamak icin HTTP Degil HTTPS kullanmak ve klasik http protokolune uygun istekler gondermek gerekir. Yani disarda biryerde 80. portu acik bekleyen bir sunucu ve uzerinde kendi yazilimimiz olmasina gerek olmadan calisan web sunucu uzerine bir dosya yerlestirerek bu dosya araciligi ile tunelleme yapmak.

Bu yontemle calisan araclar cogunlukla TCP baglantilarini tunelleme icin kullaniliyor. UDP icin henuz saglikli calisan uygulama sayisi oldukca az/yok.

Tunelleme konusu gelince seminerlerimden birinde katilimci bir arkadasin soyledigi su soz aklima geliyor “Bir port acikca tum portlar aciktir, bir protokol aciksa tum protokoller aciktir”.

Bu yazinin konusunu da yeni cikan bir tunelleme araci olusturuyor. WebTunnel, tamamen http/https istekleri uzerinden calisan ve herhangi TCP protokolunu ilgili sayfa uzerinden tunellemeye yarayan bir arac. Buna benzer bir araci yakinlarda yayinlanmisti ama jsp versiyonu haric saglikli calismiyordu(reDuh)

WEbTunnel Calisma mantigi

Istemci—-Proxy/Firewall/IPS—-Internet

Istemci’nin sadece Proxy uzerinden HTTP ve HTTPS isteklerine izni var. Fakat istemci SSH ya da RDP gibi protokoller kullanmak istiyor.

Istemci Webtunnel’in bilesenlerinden birini disarda bir sunucuya yerlestiriyor. Bu bilesen perl ile yazilmis bir CGI uygulamasi. (Calismasi icin hedef sunucuda .pl uzantili dosyalarin cgi olarak calistirma izni olmasi gerekir.)

Sonrasinda istemci tarafinda WebTunnel’in istemci yazilimi ile sunucudaki bu  URL’i cagiriyor ve tunnel kurulmus oluyor. Bundan sonrasi kullanilacak diger uygulamalarin portunun tunelin actigi porta yonlendirilmesine kaliyor.

Uygulama

http://www.islandjohn.com/islandjohn.com/Home/Entries/2009/2/1_Webtunnel.html

adresinden webtunnel uygulamasi indirilir. Uygulamanin wts.pl  —>Sunucuya aktarilacak kisim wtc.pl —->istemcide kullanilacak kisim

olmak uzere iki bileseni vardir.  “wts.pl” web sunucuda cgi-bin dizinine yerlestirilir. Sonrasinda tunel kurulumu icin wtc.pl scripti calistirilmali.

#perl wtc.pl 

Usage: wtc.pl [--daemon] [--pid file] [--cert file] [--key file] local remote tunnel [proxy]

local        Tunel kurulduktan sonra yerelde dinlemeye alinacak port(Tunelleme yapilacak diger uygulamalar bu portu kullanacak)

remote        Baglanilmak istenen asil sistem

tunnel        Tunel ucu olarak kullanilacak wts.pl scriptinin http/https yolu

proxy         Uygulamayi Proxy uzerinden kullanmak icin Proxy adresi

Tunel’i aktif etmek icin kullandigim komut:

$ perl wtc.pl tcp://localhost:8080 tcp://vpn.lifeoverip.net:22 http://WEB_SUNUCU/cgi-bin/wts.pl

2009-02-23 10:42:57 webtunnel[9512]: wtc_tunnel_start() code=200 message=OK status=1 reason=Tunnel started C

2009-02-23 10:43:38 webtunnel[9512]: wtc_tunnel_stop() code=200 message=OK status=1 reason=Tunnel stopped

Bu komutla localhost’un 8080 portunu uzaktaki wts.pl araciligi ile vpn.lifeoverip.net’in 22. portuna baglamis olduk. Kurulan tuneli kullanarak SSH baglantisi yapalim

huzeyfe@elmasekeri:~$ ssh localhost  -p 8080

The authenticity of host ‘[localhost]:8080 ([127.0.0.1]:8080)’ can’t be established. DSA key fingerprint is c2:c3:a8:6c:0b:ce:7c:59:7d:e3:38:6c:98:67:4a:46. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added ‘[localhost]:8080’ (DSA) to the list of known hosts. Password: Last login: Sun Feb 22 19:23:16 2009 from XYZ Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994 The Regents of the University of California.  All rights reserved.

$ last|head -1 huzeyfe          ttyp0    WEB_SUNUCU          Mon Feb 23 10:33   still logged in $

Gorulecegi gibi vpn.lifeoverip.net’e istemcinin ip adresinden degil web sunucunun ip adresinden baglanilmis oluyor.

Tunel Guvenligi

Tunel kurulurken bir sniffer araciligi ile gidip gelen veriler incelenirse asagidaki gibi cikti alinacaktir

root@elmasekeri:~# urlsnarf

urlsnarf: listening on eth0 [tcp port 80 or port 8080 or port 3128]

123.alibaba. – – [23/Feb/2009:10:56:06 +0200] “GET http://WEB_SUNUCU/cgi-bin/wts.pl?cmd=start&arg=tcp%3A%2F%2Fvpn.lifeoverip.net%3A22 HTTP/1.1” – – “-” “webtunnel/0.0.3”

123.alibaba. – – [23/Feb/2009:10:56:07 +0200] “GET http://WEB_SUNUCU/cgi-bin/wts.pl?cmd=read HTTP/1.1” – – “-” “webtunnel/0.0.3”

123.alibaba. – – [23/Feb/2009:10:56:07 +0200] “POST http://WEB_SUNUCU/cgi-bin/wts.pl?cmd=write HTTP/1.1” – – “-” “webtunnel/0.0.3”

123.alibaba. – – [23/Feb/2009:10:56:07 +0200] “GET http://WEB_SUNUCU/cgi-bin/wts.pl?cmd=read HTTP/1.1” – – “-” “webtunnel/0.0.3”

123.alibaba. – – [23/Feb/2009:10:56:07 +0200] “GET http://WEB_SUNUCU/cgi-bin/wts.pl?cmd=read HTTP/1.1” – – “-” “webtunnel/0.0.3”

123.alibaba. – – [23/Feb/2009:10:56:07 +0200] “POST http://WEB_SUNUCU/cgi-bin/wts.pl?cmd=write HTTP/1.1” – – “-” “webtunnel/0.0.3”

123.alibaba. – – [23/Feb/2009:10:56:08 +0200] “GET http://WEB_SUNUCU/cgi-bin/wts.pl?cmd=read HTTP/1.1” – – “-” “webtunnel/0.0.3”

…
POST detaylarina bakilirsa arada gidip gelen veriler(sifreler vs)okunabilir. Dolayisi ile tuneli guvenli kurabilmek icin https baglantisi kullanilmalidir.

$ perl wtc.pl tcp://localhost:8080 tcp://vpn.lifeoverip.net:22 https://WEB_SUNUCU/cgi-bin/wts.pl

gibi

ya da istemci tarafi sertifikalari kullanilarak daha guvenli bir baglanti kurulabilir.

The post Alternatif TCP Tunelleme Araci – WebTunnel first appeared on Complexity is the enemy of Security.