The post Wget Kullanımını Engelleyen Sistemlerde User-Agent Kullanımı first appeared on Complexity is the enemy of Security.
]]>Klasik Wget Kullanımını Engelleyen Yapılandırma
[root@seclabs tmp]# wget http://www.example.com/201112031813.cap
–2011-12-04 13:42:23– http://www.example.com/201112031813.cap
Resolving www.example.com… 1.2.3.4
Connecting to www.example.com|1.2.3.4|:80… connected.
HTTP request sent, awaiting response… 403 Forbidden
2011-12-04 13:42:24 ERROR 403: Forbidden.
Bu basit engeli aşmak için Wget’e geçerli bir user-agent parametresi verilmelidir.
Wget’e User-Agent Parametresi Vererek Engeli Aşma
[root@seclabs tmp]# wget http://www.example.com/201112031813.cap –user-agent=”Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6″
–2011-12-04 13:43:00– http://www.example.com/201112031813.cap
Resolving www.example.com… 1.2.3.4
Connecting to www.example.com|1.2.3.4|:80… connected.
HTTP request sent, awaiting response… 200 OK
Length: 25595319 (24M) [text/plain]
Saving to: `201112031813.cap’
100%[=============================================================>] 25,595,319 990K/s in 26s
2011-12-04 13:43:26 (971 KB/s) – `201112031813.cap’ saved [25595319/25595319]
The post Wget Kullanımını Engelleyen Sistemlerde User-Agent Kullanımı first appeared on Complexity is the enemy of Security.
]]>The post Linux Ağ Ve Sistem Güvenliği Değerlendirme Sınavı first appeared on Complexity is the enemy of Security.
]]>LASG(Linux Ağ Ve Sistem Güvenliği Testi) temel seviyede Linux ağ ve sistem güvenliği bilgisini ölçme amaçlı hazırlanmış olup 30 sorudan oluşmaktadır.
Sorularda işletim sistemi olarak Red Hat Linux dağıtımı baz alınmış olmakla birlikte diğer dağıtımlara uyumluluk oranı %90’dır.
Sınav hakkında yorumlarınız için [email protected] adresine e-posta gönderebilirsiniz.
Sınava giriş için tıklayınız.
The post Linux Ağ Ve Sistem Güvenliği Değerlendirme Sınavı first appeared on Complexity is the enemy of Security.
]]>The post John The Ripper Kullanarak Yeni Nesil Linux Parolalarını Kırma first appeared on Complexity is the enemy of Security.
]]>Linux dağıtımlarında sistemdeki kullanıcıların parolaları /etc/shadow dosyasında hash+salt şeklinde saklanır. Salt(tuz) her seferinde değişken olarak atanan bir değerdir, bundan dolayı aynı parolayı iki kere girildiğinde hash değerleri farklı çıkacaktır.
Linux sistemlerin parola formatı incelendiğinde ilk iki $ arasındaki değer hangi şifreleme/hash algoritmasının kullanıldığını belirtir. Linux parola güvenliğiyle ilgili detay bilgi için
3-4 sene öncesine kadar çoğu Linux dağıtımında parolaları hashli saklamak için MD5 kullanılırdı. Günümüzdeki Linux dağıtımları ise SHA512 ($6$) tercih etmektedir. MD5 kullanılmış hashli parolaları JohnTheRipper aracıyla kırmak mümkünken SHA512 kullanılarak hashlenmis parolaları son sürüm JTR ile kırmak mümkün değil.
JTR kullanarak Linux parolalarının güvenliği denendiğinde aşağıdakine benzer hata alınacaktır.
“No password hashes loaded”
Aşağıdaki adımlar günümüz Linuz dağıtımlarının parolalarını JTR ile kırmak için yapılması gerekenleri içermektedir:
root@seclab:~/test# wget http://www.openwall.com/john/g/john-1.7.5.tar.gz
root@seclab:~/test# tar zxvf john-1.7.5.tar.gz
root@seclab:~/test# cd john-1.7.5
PATCH dosyası http://www.openwall.com/lists/john-users/2009/09/02/3 adresinden indirilerek yeni sürüme uyarlanmalıdır.
root@seclab:~/test/john-1.7.5# patch -p1 -i patch
patching file src/Makefile
patching file src/crypt_fmt.c
patching file src/john.c
Hunk #2 succeeded at 67 (offset 2 lines).
root@seclab:~/test/john-1.7.5/src# make linux-x86-any
# cd ../run/
root@seclab:~/test/john-1.7.5/run# ls
all.chr alnum.chr alpha.chr digits.chr john john.conf lanman.chr mailer password.lst unafs unique unshadow
root@seclab:~/test/john-1.7.5/run# ./john /etc/shadow
Loaded 3 password hashes with 3 different salts (generic crypt(3) [?/32])
toor (root)
The post John The Ripper Kullanarak Yeni Nesil Linux Parolalarını Kırma first appeared on Complexity is the enemy of Security.
]]>The post Bilişim suçlarında e-posta inceleme first appeared on Complexity is the enemy of Security.
]]>İçerisinde e-postanın geçtiği her suç bizim medyada da yankı buluyor ve nereden, kime danışıyorlarsa teknik olarak değerlendirildiğinde %100 yanlış haberler yazıyorlar. En son yine sahte bir mail adresiyle yapılan bomba yüklü kamyon ihbarı meşgul etti gündemimizi… Bu haberde de yine tüm büyük medya kuruluşları okuyucularına “yanlış/eksik” haber verdi. Sanırım bu konuda medyaya danışmanlık yapan arkadaşlar sağdan soldan edindiği ezber bilgileri yıllardır sayıklamaya devam ediyor. Bir aralar ciddi olarak nitelendirdiğim bir köşe yazarı şunu yazmıştı da şok olmuştum:”yan yana iki bilgisayar arasına gönderilen mailler bile Amerika’daki 13 tane sunucu üzerinden geçiyor …”. Eğer tüm yazdıkları bilgiler bilişim konularındaki gibiyse vay halimize…
Daha önce bu konuda detaylı bir yazı hazırlamıştım ama gelen yorumlara göre yazının dili fazla teknik kaçtığını anladım. Şimdi daha yalın bir dille konuya son noktayı koyacak bir döküman(kitapçık desek daha doğru olur) üzerinde çalışıyorum. Çalışma biterse(sağlam motivasyon lazım:) yine buralardan duyururum.
The post Bilişim suçlarında e-posta inceleme first appeared on Complexity is the enemy of Security.
]]>The post [CISSP-TR] Türkçe CISSP E-posta Listesi first appeared on Complexity is the enemy of Security.
]]>Bu soruyu Güvenlik bülteninin her sayısında çeşitli uzman arkadaşlara soruyoruz ve oldukca çeşitli cevaplar geliyor, merak edenler sertifika programları hakkındaki sektörün ileri gelenleri tarafından verilen cevaplara röportajlar kısmından ulaşabilir.
Hayatın bir gerçek yüzü bir de yaşanan yüzü vardır, sertifikalara çeşitli açılardan eleştiri getirebilir, hatta gereksiz denilebilir ama sektörün büyük bir kısmında sertifikaların ciddi şekilde değerlendirmeye alındığı gerçeğini değiştiremeyiz. Özellikle herkesin ben herşeyi biliyorum dediği günümüzde sertifikalar bilgi ölçme aracı olarak kullanılıyor.
Güvenlik sektöründe uzun yıllardır varlığını geliştirerek sürdürmüş çeşitli sertifikalar vardır. Bunların arasında en karizmatik, en fazla para yapanı hiç şüphesiz ISC2 tarafından verilen CISSP sertifikası. Türkiye’de de bu sertifikaya olan ihtiyaç ve talep gün geçtikce artıyor. Çeşitli arkadaşlarla konuşurken her birinin Cissp ile ilgili çeşitli forum/listelere üye olduğunu gördüm. Değişik ortamlardan edindikleri bilgileri Türkçe olarak tartışmak, paylaşma adına CISSP-TR listesini kurmaya karar verdim.
Liste kısaca Türkiye’de Cissp sınavına hazırlananlar için aşağıdaki işlevleri yerine getirme amacı taşımaktadır:
Liste arşivi sadece üyelere açık olacaktır.
Üye olmak için:
[email protected] adresine boş bir e-posta gönderebilir
ya da
http://groups.google.com/group/cissp-tr adresine giderek Google hesabınızla listeye kayıt olabilirsiniz.
Liste yönetimi adına <Huzeyfe ÖNAL>
The post [CISSP-TR] Türkçe CISSP E-posta Listesi first appeared on Complexity is the enemy of Security.
]]>The post PCI Uyumluluğu için SSL Kontrolleri first appeared on Complexity is the enemy of Security.
]]>1)PCI tarama sonuçlarının FAIL çıkmasına sebep olan SSL hatalarından ilki sunucu sistemlerin düşük seviyeli SSL protokol desteğidir.
PCI taramalarında SUCCESS almak için sunucu sistemlerin SSLv2 desteğini kaldırmak gerekir.
SSL v2 desteği olup olmadığı aşağıdaki komutla anlaşılabilir.
openssl s_client -ssl2 -connect mail.lifeoverip.net:443
Eğer destekliyorsa aşağıdaki gibi bir çıktı alırsınız
# openssl s_client -ssl2 -connect mail.lifeoverip.net:443
CONNECTED(00000003)
depth=0 /C=TR/ST=IStanbul/O=Lifeoverip Consultant Services/OU=Security/CN=*.lifeoverip.net/[email protected]
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /C=TR/ST=IStanbul/O=Lifeoverip Consultant Services/OU=Security/CN=*.lifeoverip.net/[email protected]
verify error:num=27:certificate not trusted
verify return:1
depth=0 /C=TR/ST=IStanbul/O=Lifeoverip Consultant Services/OU=Security/CN=*.lifeoverip.net/[email protected]
verify error:num=21:unable to verify the first certificate
verify return:1
—
Server certificate
—–BEGIN CERTIFICATE—–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—–END CERTIFICATE—–
subject=/C=TR/ST=IStanbul/O=Lifeoverip Consultant Services/OU=Security/CN=*.lifeoverip.net/[email protected]
issuer=/C=TR/ST=IStanbul/O=Lifeoverip Consultant Services
—
No client certificate CA names sent
—
Ciphers common between both SSL endpoints:
RC4-MD5 EXP-RC4-MD5 RC2-CBC-MD5
EXP-RC2-CBC-MD5 DES-CBC-MD5 DES-CBC3-MD5
—
SSL handshake has read 867 bytes and written 236 bytes
—
New, SSLv2, Cipher is DES-CBC3-MD5
Server public key is 1024 bit
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : SSLv2
Cipher : DES-CBC3-MD5
Session-ID: 5651A7532DB332322B3548828C9AF587
Session-ID-ctx:
Master-Key: CAA483ED155699A74A1CB589D93E5BC46AE96AB55B1C5134
Key-Arg : F5C117634219AE91
Start Time: 1268818051
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
SSLv2 desteklemiyorsa aşağıdaki gibi çıktı alırsınız.
# openssl s_client -ssl2 -connect www.citibank.com:443
CONNECTED(00000003)
9853:error:1406D0CB:SSL routines:GET_SERVER_HELLO:peer error no cipher:s2_pkt.c:675:
9853:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428:
Apache’de SSLv2 desteğini çıkarma
httpd.conf ya da ssl ayarları hangi dosyada tutuluyorsa(genelde ssl.conf) ilgili dosyaya aşağıdaki satırları ekleyip Apache’yi restart etmek yeterli olacaktır.
SSLProtocol -ALL +SSLv3 +TLSv1
Bu komutla sunucunun sadece SSLv3 ve TLSv1 desteklemesini söylüyoruz.
2)PCI Taramalarında FAIL çıkaran SSL’le ilgili diğer konu da zayıf şifreleme algoritmalarının kullanımıdır
Zayıf şifreleme algoritmalarının kullanımı aşağıdaki komutla öğrenilebilir
openssl s_client -connect www.visa.com:443 -cipher LOW:EXP
Eğer sistem zayıf şifreleme algoritmalarını destekliyorsa sonuç aşağıdaki gibi çıkacaktır.
~# openssl s_client -connect www.visa.com:443 -cipher LOW:EXP
CONNECTED(00000003)
depth=0 /C=US/O=Akamai Technologies, Inc./CN=a248.e.akamai.net
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /C=US/O=Akamai Technologies, Inc./CN=a248.e.akamai.net
verify error:num=27:certificate not trusted
verify return:1
depth=0 /C=US/O=Akamai Technologies, Inc./CN=a248.e.akamai.net
verify error:num=21:unable to verify the first certificate
verify return:1
—
Certificate chain
0 s:/C=US/O=Akamai Technologies, Inc./CN=a248.e.akamai.net
i:/C=US/O=GTE Corporation/OU=GTE CyberTrust Solutions, Inc./CN=GTE CyberTrust Global Root
—
Server certificate
—–BEGIN CERTIFICATE—–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==
—–END CERTIFICATE—–
subject=/C=US/O=Akamai Technologies, Inc./CN=a248.e.akamai.net
issuer=/C=US/O=GTE Corporation/OU=GTE CyberTrust Solutions, Inc./CN=GTE CyberTrust Global Root
—
No client certificate CA names sent
—
SSL handshake has read 1016 bytes and written 275 bytes
—
New, TLSv1/SSLv3, Cipher is DES-CBC-SHA
Server public key is 1024 bit
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : DES-CBC-SHA
Session-ID: D9F96C901688BEFAD153B09E11F8592B71957EE67F7DFF192EDAB2121CDD2205
Session-ID-ctx:
Master-Key: E2020445BE3D6F2D72953B88077A6E1CA495FA40E62D2DFA214E367D01D828BBB8F93FA20B874EB37834A80ED41D3C1E
Key-Arg : None
Start Time: 1268818538
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
Zayıf şifreleme algoritmalarını desteklemeyen bir sunucu aşağıdaki gibi çıktı verecektir.
~# openssl s_client -connect abc.sirket.com.tr:443 -cipher LOW:EXP
CONNECTED(00000003)
9857:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:188:
Apache’de zayıf şifreleme algoritmalarını kapatmak için
httpd.conf ya da ilgili ssl dosyasına aşağıdaki satırlar eklenerek Apache restart edilmelidir.
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
Bilgisayarınızda openssl yüklü değilse burada anlatılan işlemleri clez.net sayfası üzerinden kolaylıkla deneyebilirsiniz.
Ya da Linux sistemlere sslscan yazılımı kurarak hedef sunucuda hangi zayıf şifreleme algoritmaları kullanılmış belirleyebilirsiniz.
~# sslscan www.citibank.com:443
_
___ ___| |___ ___ __ _ _ __
/ __/ __| / __|/ __/ _` | ‘_ \
\__ \__ \ \__ \ (_| (_| | | | |
|___/___/_|___/\___\__,_|_| |_|
Version 1.6
http://www.titania.co.uk
Copyright (C) 2007-2008 Ian Ventura-Whiting
Testing SSL server www.citibank.com on port 443
Supported Server Cipher(s):
Rejected SSLv2 168 bits DES-CBC3-MD5
Rejected SSLv2 56 bits DES-CBC-MD5
Rejected SSLv2 40 bits EXP-RC2-CBC-MD5
Rejected SSLv2 128 bits RC2-CBC-MD5
Rejected SSLv2 40 bits EXP-RC4-MD5
Rejected SSLv2 128 bits RC4-MD5
Failed SSLv3 256 bits ADH-AES256-SHA
Failed SSLv3 256 bits DHE-RSA-AES256-SHA
Failed SSLv3 256 bits DHE-DSS-AES256-SHA
Failed SSLv3 256 bits AES256-SHA
Failed SSLv3 128 bits ADH-AES128-SHA
Failed SSLv3 128 bits DHE-RSA-AES128-SHA
Failed SSLv3 128 bits DHE-DSS-AES128-SHA
Failed SSLv3 128 bits AES128-SHA
Failed SSLv3 168 bits ADH-DES-CBC3-SHA
Failed SSLv3 56 bits ADH-DES-CBC-SHA
Failed SSLv3 40 bits EXP-ADH-DES-CBC-SHA
Failed SSLv3 128 bits ADH-RC4-MD5
Failed SSLv3 40 bits EXP-ADH-RC4-MD5
Failed SSLv3 168 bits EDH-RSA-DES-CBC3-SHA
Failed SSLv3 56 bits EDH-RSA-DES-CBC-SHA
Failed SSLv3 40 bits EXP-EDH-RSA-DES-CBC-SHA
Failed SSLv3 168 bits EDH-DSS-DES-CBC3-SHA
Failed SSLv3 56 bits EDH-DSS-DES-CBC-SHA
Failed SSLv3 40 bits EXP-EDH-DSS-DES-CBC-SHA
Accepted SSLv3 168 bits DES-CBC3-SHA
Accepted SSLv3 56 bits DES-CBC-SHA
Failed SSLv3 40 bits EXP-DES-CBC-SHA
Failed SSLv3 40 bits EXP-RC2-CBC-MD5
Failed SSLv3 128 bits RC4-SHA
Accepted SSLv3 128 bits RC4-MD5
Failed SSLv3 40 bits EXP-RC4-MD5
Failed SSLv3 0 bits NULL-SHA
Failed SSLv3 0 bits NULL-MD5
Rejected TLSv1 256 bits ADH-AES256-SHA
Rejected TLSv1 256 bits DHE-RSA-AES256-SHA
Rejected TLSv1 256 bits DHE-DSS-AES256-SHA
Rejected TLSv1 256 bits AES256-SHA
Rejected TLSv1 128 bits ADH-AES128-SHA
Rejected TLSv1 128 bits DHE-RSA-AES128-SHA
Rejected TLSv1 128 bits DHE-DSS-AES128-SHA
Rejected TLSv1 128 bits AES128-SHA
Rejected TLSv1 168 bits ADH-DES-CBC3-SHA
Rejected TLSv1 56 bits ADH-DES-CBC-SHA
Rejected TLSv1 40 bits EXP-ADH-DES-CBC-SHA
Rejected TLSv1 128 bits ADH-RC4-MD5
Rejected TLSv1 40 bits EXP-ADH-RC4-MD5
Rejected TLSv1 168 bits EDH-RSA-DES-CBC3-SHA
Rejected TLSv1 56 bits EDH-RSA-DES-CBC-SHA
Rejected TLSv1 40 bits EXP-EDH-RSA-DES-CBC-SHA
Rejected TLSv1 168 bits EDH-DSS-DES-CBC3-SHA
Rejected TLSv1 56 bits EDH-DSS-DES-CBC-SHA
Rejected TLSv1 40 bits EXP-EDH-DSS-DES-CBC-SHA
Accepted TLSv1 168 bits DES-CBC3-SHA
Accepted TLSv1 56 bits DES-CBC-SHA
Rejected TLSv1 40 bits EXP-DES-CBC-SHA
Rejected TLSv1 40 bits EXP-RC2-CBC-MD5
Rejected TLSv1 128 bits RC4-SHA
Accepted TLSv1 128 bits RC4-MD5
Rejected TLSv1 40 bits EXP-RC4-MD5
Rejected TLSv1 0 bits NULL-SHA
Rejected TLSv1 0 bits NULL-MD5
Prefered Server Cipher(s):
SSLv3 128 bits RC4-MD5
TLSv1 128 bits RC4-MD5
SSL Certificate:
Version: 2
Serial Number: -4294967295
Signature Algorithm: sha1WithRSAEncryption
Issuer: /C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)06/CN=VeriSign Class 3 Extended Validation SSL SGC CA
Not valid before: Jun 17 00:00:00 2009 GMT
Not valid after: Jun 17 23:59:59 2011 GMT
Subject: /1.3.6.1.4.1.311.60.2.1.3=US/1.3.6.1.4.1.311.60.2.1.2=Delaware/2.5.4.15=V1.0, Clause 5.(b)/serialNumber=2154254/C=US/postalCode=10043/ST=New York/L=New York/streetAddress=399 Park Avenue/O=Citigroup Inc./OU=swcbweb5-www/CN=www.citibank.com
Public Key Algorithm: rsaEncryption
RSA Public Key: (2048 bit)
Modulus (2048 bit):
00:c8:4a:cf:15:2e:60:3b:07:ca:02:7b:6a:dc:4d:
de:1c:6d:10:8b:23:99:3e:e5:91:06:17:16:1e:2b:
1d:7e:28:ab:30:3c:be:67:50:2f:4e:78:c8:6c:f3:
bf:36:5b:a9:41:43:5e:cc:e1:4a:c4:40:2f:6e:4e:
a8:d9:8d:1f:10:bd:f0:28:ef:49:b2:b8:db:8c:90:
f5:08:49:b6:f8:9c:53:5b:69:cf:78:bf:de:e3:e1:
8f:2d:2b:9a:0c:e6:8b:d2:61:8f:55:ab:15:04:c5:
fa:35:66:22:3b:cd:bf:f6:f0:51:2c:6f:b4:6f:ab:
03:6c:10:ca:18:53:da:e8:b8:ec:b0:49:85:73:79:
48:a9:a6:f3:44:db:28:62:aa:b7:f0:cd:67:2a:eb:
d3:53:f3:83:55:b3:85:5d:52:71:5d:a2:96:b2:7e:
88:f5:c1:ef:40:07:4e:4d:91:2b:8c:14:3e:dd:76:
91:fe:a9:97:fa:52:01:5a:43:10:c2:27:c5:75:fe:
6a:03:53:d8:42:f5:67:f1:82:99:3e:48:a2:e1:da:
45:c4:1b:7e:f4:71:b6:5c:4e:d7:b0:5c:86:60:2e:
e4:07:83:a4:99:8f:68:f5:e6:8c:6d:d2:37:ba:fb:
db:a5:ea:28:07:d9:eb:ce:43:10:1b:35:34:01:0d:
b8:9f
Exponent: 65537 (0x10001)
X509v3 Extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Subject Key Identifier:
D3:DD:0C:1D:B5:42:E5:83:2A:2C:67:60:EE:C9:21:C8:19:D5:64:6D
X509v3 Key Usage:
Digital Signature, Key Encipherment
X509v3 CRL Distribution Points:
URI:http://EVIntl-crl.verisign.com/EVIntl2006.crl
X509v3 Certificate Policies:
Policy: 2.16.840.1.113733.1.7.23.6
CPS: https://www.verisign.com/rpa
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication, Netscape Server Gated Crypto
X509v3 Authority Key Identifier:
keyid:4E:43:C8:1D:76:EF:37:53:7A:4F:F2:58:6F:94:F3:38:E2:D5:BD:DF
Authority Information Access:
OCSP – URI:http://EVIntl-ocsp.verisign.com
CA Issuers – URI:http://EVIntl-aia.verisign.com/EVIntl2006.cer
1.3.6.1.5.5.7.1.12:
0`.^.\0Z0X0V..image/gif0!0.0…+……Kk.(…..R8.).K..!..0&.$http://logo.verisign.com/vslogo1.gif
Verify Certificate:
self signed certificate in certificate chain
[PCI-DSS] 4.1 Use strong cryptography and security protocols such as SSL/TLS or IPSEC to safeguard sensitive cardholder data during transmission over open, public networks.
Examples of open, public networks that are in scope of the PCI DSS are:
* The Internet,
* Wireless technologies,
* Global System for Mobile communications (GSM), and
* General Packet Radio Service (GPRS).
4.1.a Verify the use of encryption (for example, SSL/TLS or IPSEC) wherever cardholder data is transmitted or received over open, public networks
* Verify that strong encryption is used during data transmission
* For SSL implementations:
o Verify that the server supports the latest patched versions.
o Verify that HTTPS appears as a part of the browser Universal Record Locator (URL).
o Verify that no cardholder data is required when HTTPS does not appear in the URL.
* Select a sample of transactions as they are received and observe transactions as they occur to verify that cardholder data is encrypted during transit.
* Verify that only trusted SSL/TLS keys/certificates are
* Verify that the proper encryption strength is implemented for the encryption methodology in use. (Check vendor recommendations/best practices.)
The post PCI Uyumluluğu için SSL Kontrolleri first appeared on Complexity is the enemy of Security.
]]>The post İşletim Sistemlerinde Güvenlik Tartışması first appeared on Complexity is the enemy of Security.
]]>The post İşletim Sistemlerinde Güvenlik Tartışması first appeared on Complexity is the enemy of Security.
]]>The post Sisteminizde güvenlik açığı buldum, bu da kanıtım! first appeared on Complexity is the enemy of Security.
]]>Daha önce bu konuyu hararetli bir şekilde NetSec’de tartışmıştık ve genel itibariyle bulanın niyetine bakılmaksızın yaptığı işin kötü olduğunu bildirir gerekirse adli mercilere başvururum gibi bir sonuç çıkmıştı.
Ben hem kendim hem de şirketim için benzeri durumda kalsam(ara ara kalıyorum) önce arkadaşa sorumlu davranışından ötürü teşekkür eder, sonra arkadaşın işlem yaptığı saatlerdeki loglarına bakıp sisteminde neleri kurcalamış detaylı çıkarır ve eğer gerçekten sistemimi kurcalamışsa teşekkürden sonra yaptığının suç olduğunu referanslarıyla birlikte iletirim.
Geçtiğimiz hafta bir arkadaş bankaların birinin captcha korumasını aştığını ve bunu bankaya bildirdiğini iletmişti. Ben genel yaklaşımı az çok bildiğim için umutlanma cevap dönmezler, ya da başına iş alırsın bildirme demiştim ama bankadan gelen cevap beni utandıracak cinstendi.
Merhaba,
Sayfamızda kullanılan captcha üzerine bir çalışma yaptığınızı öğrendik.
Bu konu üzerinde araştırmalarımızı yapıyoruz. Size birkaç soru sormak isteriz .
Çalışmanızı yaparken hangi OCR kütüphanelerini kullandınız?
Herhangi bir sakıncası yoksa yazdığınız programınızı bizimle paylaşabilir misiniz?
Hassasiyetiniz ve bilgilendirmeniz için teşekkür ederiz.
İyi çalışmalar
Evet takdir edilesi bir yaklaşım ama burada dikkat edilmesi gereken husus açığı bildiren arkadaşın üslübu ve olaya yaklaşımıdır. Aynı açıklığı şu şekilde bildirseydi herhalde dönecek cevap da çok farklı olurdu “Hey X bankasının kendisini güvenlikci zanneden adminleri ne bicim koruma sistemleriniz var daha musterilerinizi basit açıklıklardan koruyamiyorsunuz vs vs vs ”
Bir de dikkat edilmesi gereken diger husus bu captcha zaafiyetinin karşı sistem üzerinde herhangi bir deneme gerektirmemesi. Yani hedef sistem üzerinde normal kullanıcıdan farklı ek kurcalama yapılmıyor. Eğer açıklık bir captcha zaafiyeti değil de SQLi olsaydı bence bu kadar kibar davranılmaması gerekirdi.
Bir yandan da güvenliği hiçe sayan şirketlerin anca bu şekilde bildirimlerle konuyu gündemlerine aldığını düşünürsek resmi dille kınasam da içimden kızamıyorum:). Benzeri bir örneği hizmet aldığım bir firmada yaşıyorum, sayfada login olurken yanlış bir karekter girmemle birlikte dönen hatadan sistemde sqli olabileceğini düşünmüştüm.
Şimdi uzun zamandır bu açıklığı dikkate almayan firma benim tüm bilgilerimi tehlikeye atmakla sorumlu mu davranmış oluyor? Ya da Türkiye’nin en büyük domain satım firmalarından birinin hala kullanıcı hesaplarını şifrelemeden saklamasını nasıl bir sorumlulukla açıklayabiliriz ki?
The post Sisteminizde güvenlik açığı buldum, bu da kanıtım! first appeared on Complexity is the enemy of Security.
]]>The post Uygulamalı TCP/IP Güvenliği Eğitimi- 14 Kasım 2009 first appeared on Complexity is the enemy of Security.
]]>Günümüz network ve güvenlik problemlerinin temelinde hep aynı sorun yatar: temel bilgi eksikliği.
Aynı bir binanın sağlamlığının temelinin sağlamlığına bağlı olduğu gibi network ve güvenlik işinde de temel çok önemlidir. Altyapınız ne kadar iyiyse sorunlar karşısında o kadar hızlı ve atik davranabilirsiniz.
Bugün çoğu network ve güvenlik uzmanı temel TCP/IP bilgisinden yoksun olarak iş yapmaya çalışmaktadır. Bu sebeple en iyi bildikleri, kullandıkları ürünlerde bile daha önce yaşamadıkları bir sorunla karşılaştıklarında çaresiz kalırlar, görmedikleri bir konuyla ilgili yorum yapamazlar.
Çeşitli konularda alınan sertifikalar malesef temel bilgi vermemektedir. Her eğitim sizin TCP/IP konusunda yeteri kadar bilgi sahibi olduğunuzu düşünerek verilir. Oysa durum hiç de öyle değil. Hem verdiğim eğitimlerde hem de çevremde tanıdığım network, sistem ve güvenlik işiyle uğraşan arkadaşlarad bu temel bilginin eksikliğini hep görüyorum.
Bu sebeple bundan sonra vereceğimiz her eğitim öncesi alınması zorunlu ek bir TCP/IP güvenliği eğitimi hazırladım. Eğitim 1 günlük workshop tadında ve teori ile pratiğin dengeli bir şekilde birleştirilmesinden oluşuyor. Eğitim içeriği tüm TCP/IP katmanlarını(ARP, IP, ICMP, TCP, UDP, DNS, DHCP, HTTP, SMTP, SSH, SSL) detaylıca inceleyip bu katmanlarda ne tip güvenlik sıkıntıları olabilir uygulamalarıyla gösteriyor.
Kısaca internetin altyapısını oluşturan TCP/IP konusunda bilgilerinizi geliştirmek, teorik bilgilerinizi pratiğe dökmek ve network güvenliği konusunda uzmanlaşmak istiyorsanız kaçırmamanız gereken bir eğitim.
Eğitim içeriği ve detay bilgi için http://www.guvenlikegitimleri.com/new/uygulamali-tcpip-guvenligi-egitimi-14-kasim-2009
Not:Eğitim sıfını max. 10 kişi olacaktır.
Detaylar için [email protected] adresine e-posta gönderebilirsiniz.
The post Uygulamalı TCP/IP Güvenliği Eğitimi- 14 Kasım 2009 first appeared on Complexity is the enemy of Security.
]]>The post 10 Soruda Pentest(Penetrasyon Testleri) first appeared on Complexity is the enemy of Security.
]]>Öncelikle pentest kavramından ne anladığınızı ve ne beklediğinizi bilmek size bu süreçte yardımcı olacaktır. Zira ne olduğunu bilmediğiniz bir servisi alarak sonradan bu muydu yani? Bu kadar parayı bu iş için mi verdim ya da bu sistemlere neden baktırmadım gibi sorular sormayın kendinize.
1)Pentest nedir? Vulnerability assessment ve risk asssessment kavramlarından farkı nedir?
Pentest tanımı: Belirlenen bilişim sistemlerine mümkün olabilcek her yolun denenerek sızılmasıdır. Pentest de amaç güvenlik açıklığını bulmaktan öte bulunan açıklığı değerlendirip sistemlere yetkili erişimler elde etmektir.
Pentest çeşitleri: Whitebox, blackbox, graybox olmak üzere genel kabul görmüş üç çeşidi vardır. Bunlardan blackbox bizim genelde bildiğimiz ve yaptırdığımız pentest yöntemidir. Bu yöntemde testleri gerçekleştiren firmayla herhangi bir bilgi paylaşılmaz. Firma ismi ve firmanın sahip olduğu domainler üzerinden firmaya ait sistemler belirlenerek çalışma yapılır.
Diğer yöntemlerde pentest yapacak firmayla belirli bilgiler paylaşılır.
Vulnerability Assessment(zaafiyet tarama): Belirlenen sistemlerde güvenlik zaafiyetine sebep olabilecek açıklıkların araştırılması. Bu yöntem için genellikle otomatize araçlar kullanılır(Nmap, Nessus, Qualys vs)gibi.
Risk assessment tamamen farklı bir kavram olup pentest ve vuln. assessmenti kapsar. Zzaman zaman technical risk assessment tanımı kullanılarak Vulnerability assessment kastedilir.
2)Neden Pentest yaptırmalıyım?
Sahip olduğunuz bilişim sistemlerindeki güvenlik zaafiyetlerinin üçüncü bir göz tarafından kontrol edilmesi ve raporlanması proaktif güvenliğin ilk adımlarındandır. Siz ne kadar güvenliğe dikkat ederseniz birşeylerin gözünüzden kaçma ihtimali vardır ve internette hackerlarin sayısı ve bilgi becerisi her zaman sizden iyidir. Hackerlara yem olmadan kendi güvenliğinizi Beyaz şapkalı hackerlara test ettirmeniz yararınıza olaacktır.
Ek olarak PCI, HIPAA gibi standartlar da Pentest yaptırmayı zorunlu tutmaktadır.
3)Pentest projesinin planı nasıl olmalıdır?
Yaptırılacak pentestden olabildiğince çok verim alabilmek için her işte olduğu gibi burada da plan yapmak gerekir. Pentest planınıza en azından aşağıdaki soruları cevaplayarak hazırlayın
4)Firma secimi konusunda nelere dikkat etmeliyim?
Pentest yapacak firma ne kadar güvenili olsa da-aranizda muhakkak imzalı ve maddeleri açık bir NDA olmalı- siz yine de kendinizi sağlama alma açısından firmanın yapacağı tüm işlemleri loglamaya çalışın. Bunu nasıl yaparsınız? Firmanın pentest yapacağı ip adres bilgilerini isteyerek bu ip adreslerinden gelecek tum trafiği Snort veya benzeri bir yazılım kullanarak loglayabilirsiniz.
Penetration test firmanın özel işi mi yoksa oylesine yaptığı bir iş mi? Bu sorgu size firmanın konu hakkında yetkinliğine dair ipuçları verecektir.
5)Pentest yapan firmadan sonuç olarak neler beklemeliyim?
6)Pentest sonrası nasıl bir yol izlemeliyim?
Pentest yaptırmak ne kadar önemliyse sonuçlarını değerlendirip aksiyon almak çok daha önemlidir.Malesef ki yaygın olarak yapılan yanlış sadece pentest yapıp raporu incelemek oluyor. Pentest sonrası açıklıkların kapatılmaması ve bir sonraki pentestde aynı açıklıkların tekrar çıkması sık karşılaşılan bir durumdur.
7)Turkiye’de pentest yapan hangi firmalar var?
Benim 2000 yılından beri çeşitli ortamlarda çalıştığım, raporlarını incelediğim ve ortanın üzerinde kabul ettiğim Pentest firmaları :
Güncel liste için http://blog.lifeoverip.net/2010/01/27/turkiyedeki-bilgi-guvenligi-firmalari/ adresini ziyaret edebilirsiniz.
Bunların haricinde bir de bireysel olarak bu işi yapanlar var. Bu konuda eğer pentest yapan kişiyi iyi tanımıyorsanız kişi yerine firmayı tercih etmeniz faydalı olacaktır.
8)Pentest konusunda kendimi geliştirmek için izleme gereken yol nedir?
Pentest konusunda kendinizi geliştirmek için öncelikle bu alana meraklı bir yapınızın olmasın gerekir. İçinizde bilişim konularına karşı ciddi merak hissi , sistemleri bozmaktan korkmadan kurcalayan bir düşünce yapınız yoksa işiniz biraz zor demektir. Zira pentester olmak demek başkalarının düşünemediğini düşünmek, yapamadığını yapmak ve farklı olmak demektir.
Bu işin en kolay öğrenimi bireysel çalışmalardır, kendi kendinize deneyerek öğrenmeye çalışmak, yanılmak sonra tekrar yanılmak ve doğrsunu öğrenmek. Eğitimler bu konuda destekci olabilir. Sizin 5-6 ayda katedeceğiniz yolu bir iki haftada size aktarabilir ama hiçbir zaman sizi tam manasıyla yetiştirmez, yol gösterici olur.
Pentest konularının konuşulduğu güvenlik listelerine üyelik de sizi hazır bilgi kaynaklarına doğrudan ulaştıracak bir yöntemdir.
Linux öğrenmek, pentest konusunda mutlaka elinizi kuvvetlendirecek, rakiplerinize fark attıracak bir bileziktir. Bu işi ciddi düşünüyorsanız mutlaka Linux bilgisine ihtiyaç duyacaksınız.
9)Pentest için hangi yazılımlar kullanılır?
Açıkkod Pentest Yazılımları: Nmap, Nessus, Metasploit, Inguma, hping, Webscarab, jtr, W3af
Açık kodlu bilinen çoğu pentest yazılımı Backtrack güvenlik CDsi ile birlikte gelir. Bu araçları uygulamalı olarak öğrenmek isterseniz https://www.bgasecurity.com/egitim/kali-linux-101-egitimi/ eğitimine kayıt olabilirsiniz.
Ticari Pentest Yazılımları: Immunity Canvas, Core Impact, HP Webinspect, Saint Ssecurity Scanner
Bu araçların yanında araçlar kadar önemli olan pentest metodolojileri vardır. Bunların da araçlar kadar iyi bilinmesi ve kullanılması gerekir.
OWASP guide, NIST, ISSAF, OSTTM
10)Pentest konusunda hangi eğitimler vardır?
The post 10 Soruda Pentest(Penetrasyon Testleri) first appeared on Complexity is the enemy of Security.
]]>