PCI DSS hakkinda ucretsiz goruntulu kaynak
By Huzeyfe ONAL | July 17, 2008
PCI DSS(Veri guvenligi standarti) konusunda kaynak sıkıntısı cekiyorsaniz Master Card tarafindan uygulanan ucretsiz ve birinci elden yetkin kisilerin anlatimi ile “The PCI Merchant Education Program” i takip edebilirsiniz.
Bilgi guvenligi ve ilgili konularda calisan arkadaslarla gorusmelerimde PCI konusunda firmalarin bu standarti yeteri kadar ciddiye almadiklarini, otesinde konu hakkinda yeterli bilgilerinin de olmadigini goruyorum. Yaklasik 5-6 ay oncesine kadar benim icin de muaamma olan bu standart hakkinda uzun suredir okuyorum ve kendi sirketim icin ilgili projelere katkida bulunuyorum. Zamanla burada eksik gordugum konularla ilgi yazmaya baslayacagim.
Unutmamak gerekir ki standar, kanun ve duzenlemeler bilgi guvenligi konusunun sirketlerdeki en iyi destekcileridir. Bunlara uyalim, uymayanlari uyaralim:)
Topics: PCI DSS | No Comments »
Gmail’e ek guvenlik:E-postalarinizi sizden baska kim okuyor?
By Huzeyfe ONAL | July 15, 2008
Mail iletisimi hayatimizin bir parcasi haline geleli uzun zaman oluyor. Son donemlerde moda haline gelen BlackBerry cihazlarla birlikte hayatimizin ayrilmaz bir parcasi haline geldigi de soylenebilir. (En azindan benim icin oyle.)Cep telefonu ile konusamayacak oldugumuz durumlarda bile birkac tus darbesi ile maillerimizi okuyup cevapliyabiliyoruz.
Kullanim orani arttikca buna bagli risklerde artiyor. Tum islerin mail uzerinden yapilmasi maillerin sirket acisindan onemini arttiriyor. Oyle ya tum projelerinizi yoneten ve bu isi mailler araciligi ile yapan bir calisanin isten ayrilmasi ile birlikte yapilan islerin tum detaylari da kayboluyor. Ya da disardan kolaylikla erisilebilen bir mail sunucu uzerinden sirketin en yetkili kisilerinin mailleri okunabilir.(Patronlar genelde kolay bulunabilecek parola kullanirlar:)
Hal boyle olunca ve mail uzerinden islenen suclar artinca bu konuyu gundemine alan kanunlar ve standartlar artmaya basladi. SOX kanunu bunlarin basinda geliyor. Kisaca tum sirket calisanlarinin maillerinin belli yil saklanmasini gerekli kiliyor.
Kanun ve standartların yonlendirmesi ile birlikte cogu firma artik calisanlarinin maillerini arsivleme yoluna gidiyor.
Gelelim guncel hayata: orda da kisisel olarak cogu isimiz mailler uzerinden donuyor ve yine cok buyuk bir oranimiz Gmail, Yahoo, hotmail gibi ucretsiz mail hizmeti veren yerleri kullaniyor. Ben de ciktigi gunden beri Gmail’i aktif olarak kullaniyorum.
Bir ara tum maillerimi Gmail uzerinden yonetmeye bile yeltenmistim ki bu aksiyonum cok kisa surdu(kendime ait sebeplerim var). Dikkatimi ceken bir konu Gmail’in cikardigi ek yenilikler hep kullanim kolayligi ve ozellik arttirimina yonelik. Guvenlik konusuna o kadar dikkat edilmiyor[1].
Nihayet Google Gmail’in guvenlik yonune de el atmaya basladi. Benim buyuk eksikligini cektigim audit mekanizmasi devreye alinacak gibi. Gmailblog’da yazilanlara gore kisa sure icerisinde gmail’e eklenecek ozellik sayesinde Gmail’i kimin nereden kullandigi bilgilerini anlik ve gecmise yonelik tutacak.Hani su banka hespalariniza girdiginizde son baglanti adresi ve zamanini gosteren uyarilar olur ya tipki onun gibi Gmail’imize kimin hangi yontemi(web, mobile, POP vs) kullanarak ne zaman hangi ip adresinden ulastigini ogrenebilecegiz.
[1] Ozellikle sidejacking yontemi ile https uzerinden kullanilsa bile oturum(session) cookilerinin ara ara şifrelenmeden aktariliyor olmasi birilerinin parolanizi bilmeden bu cookiler araciligi ile maillerinizi okuyabilmesine olanak saglar.
Diger bir eksiklik te arabirimde yapilan degisikliklerin geriye yonelik loglanmamasi(onemli cunki birileri arabirime girip belirli tipteki mailleri baska bir adrese iletmek icin ayarlamis olabilir) ve mail arabirimine kimlerin ne zaman baglandigi bilgisini gostermemesi.(cogu mail saglayicilar Gmail kadar bile olamiyor orasi baska)
Kaynaklar:
http://gmailblog.blogspot.com/2008/07/remote-sign-out-and-info-to-help-you.html
http://erratasec.blogspot.com/2008/07/gmail-now-shows-ip-address-log.html
Tabi unutmadan soylemek lazim qmail+Vpopmail ile biz bu tip bilgileri yillar oncesinden alabiliyorduk. Hatta hatirladigim kadari ile Squirrelmail’in boyle bir eklentisi bile vardi.
Topics: Forensic, Privacy | No Comments »
TR-Cert, Cert-TR ne ise yapar?
By Huzeyfe ONAL | July 14, 2008
Malumunuz guvenlik dunyasi bir haftadir Dan Kaminsky’nin buldugu DNS protokolu ve bu protokolu kullanan dns sunucu/istemci yazilimlarinda cikan kritik acigi konusuyor. Oncekilerden farkli olarak bu sefer acikligin detaylari bildirilmedi . Sanirim tum dunyayi etkileyebilecek bir aciklik oldugu icin dns servisi yazilimcilari ile yapilan gorusmeler, degerlendirmeler ve bu zaafiyet icin hazirlanacak yamalar sonrasi detayli bir sunumla aciklanacak.(1 ay sonra Blackhat konferansinda). Read the rest of this entry »
Topics: Activity, Misc | No Comments »
14 Temmuz dunya yedekleme gunu ilan edildi
By Huzeyfe ONAL | July 14, 2008
Evet resmi olmasa da bugun dunya yedekleme gunu olarak ilan edildi.
Kimin tarafından? Read the rest of this entry »
Topics: Fun, Hayat | 1 Comment »
SSL VPN sistemlerde MITM tehlikesi
By Huzeyfe ONAL | July 10, 2008
SSL VPN sistemler son yillarin en moda uzaktan erisim yontemi olma yolunda hizla ilerliyor. Kullanirken ya da satarken hep esnekliginden, kolay kullanimindan ve nasil uygulamalari guvenli hale getirip sorunsuz bir sekilde uzaktan sirkete ait her islemi guvenli sekilde yapabilecegimizden bahsederiz fakat barindirdigi riskleri hep gozardi ederiz.
Kullanım oranı ve kullanım rahatlıgı gozonunde bulundurulursa dogru yapilandirilmamis SSL VPN sistemlerin ciddi MITM riskleri ile karsi karsiya oldugunu soyleyebiliriz.
Aslinda MITM(ortadaki adam) saldirisi tum uygulamalar icin basbelasi bir saldiri yontemi fakat is SSL olunca biraz degisiyor. Zira SSL’in insanlari rahatlatan bir yani var. “Ne olacak ki nasil olsa sifreli gidiyor trafigim, istedigim yerden baglanirim sirkete ve gider finans tablosunu update ederim, maillerime bakarim:) …”. Bir de ustune elimize tutusturduklari sifre ureticiler olunca ultra guvenlik hissi ile uzaktan her tur islemi yapar hale geliyoruz. Read the rest of this entry »
Topics: Misc, VPN, Wireless Security | 6 Comments »
Son gunlerin dns zaafiyetine Pf(Packet Filter) cozumu
By Huzeyfe ONAL | July 10, 2008
Birkac gun once detaylarina buradan erisebileceginiz bir DNS protokolu zaafiyeti yayinlandi. Zaafiyetin kotuye kullanilmasi sonucu bu acigi barindiran (Internetin %99′u diyebiliriz) dns sunucularin cachelerinin zehirlenmesi ihtimali var.
Yukarıda verdigim adreste zaafiyet icin onerilen maddelerden biri de DNS sunucularin sorgulama yaparken rastgele kaynak port kullanmalari idi. Bildigim kadari ile DJBdns haric bunu native saglayan dns sunucu/istemci yazilimi yok.
Packet Filter gibi Nat yaparken kaynak portlari degistirebilen(cogu Firewall bunu yapar) bir Firewall kullaniyorsaniz DNS sunucunuzun udp 53 cikislarini nat yaparak cikarirsaniz kaynak port numalari rastgele secilmis olur.
Asagidaki ornekleme OpenBSD named ve PF ile gerceklenmistir.
Topics: DNS | 2 Comments »
md5deep ile pratik hashing islemleri
By Huzeyfe ONAL | July 10, 2008
Hepimiz md5, sha2(md5sum) gibi programlari kullanmisizdir. Bazen indirdigimiz bir programin gercekten orjinal oldugunu(ozellikle acik kodlu uygulamalarda) bazen de kendi yaptigimiz islerin degistirilmedigini ispat etmek icin… Klasik md5 programi basit isler icin idealdir fakat yapacaginiz isler karmasiklastikca yetersiz kalir ve sizi cesitli scriptler yazmaya zorlar.
Read the rest of this entry »
Topics: Forensic | No Comments »
Bilisim suclarinda adli analiz konusu
By Huzeyfe ONAL | July 10, 2008
Artik suclarin ve kanitlarinin bilgisayarlar kullanilarak islemesi ile birlikte Forensic analiz konusu cok daha onemli hale gelmeye basladi. Son birkac yila bakacak olursak cesitli suclamalarla ilgili ortaya atilan iddialarin hemen hepsi ya bilgisayar ya da elektronik ortamda elde edilen kayitlardan olusuyor. Hal boyle olunca delil olarak kullanilacak bu verilerin dogrulugu konusunda kafalarda suphe uyaniyor. Gecenlerde medyada okudugum ve birileri tarafindan yanlis bilgilendirildigini dusundugum bir milletvekilinin kanitlarin degistirilmesi ile ilgili konusmasini duyunca hem hak verdim hem de guldum.
Hak vermemim ve sevinmemin sebebi: milletvekillerimizin arasinda bilisim konusu ile ilgili bilgi sahibi -ya da danismanlari araciligi ile bilgi alabilen- birilerinin olmasi ve kapali kapilar arkasinda yapilan islerde , ozellikle isin icine bilgisayarin girdigi islerde verilerin nasil kolayca degistirilebileceginin(anti forensic) siradan bir insan tarafindan suphe ile karsilanmasi. Read the rest of this entry »
Topics: Forensic, Misc | No Comments »
Bilgi guvenligi ortak fikir toplantilari-II(Acik kodlu guvenlik yazilimlarinin is ortamlarinda kullanimi)
By Huzeyfe ONAL | July 8, 2008
Bilgi guvenligi ortak fikir toplantilarinin ikincisini bu hafta sonu yapiyoruz. Konumuz "Acik kodlu guvenlik yazilimlarinin is ortamlarinda kullanimi". Etkinlik ucretsiz ve herkese aciktir. Acik kod guvenlik yazilimlarinin is ortamlarinda kullanimina dair fikirlerinizi, onerilerinizi ve tecrubelerinizi paylasabileceginiz bir etkinlik olmasini planliyoruz. Acik kod sistemlerin avantajlari, dezantajlari, hangi urun hangi tip projeler icin kullanilabilir gibi bilgileri iceren bir sunumla baslangici yapacagim. Benzeri konuda sunum yapmak isteyen arkadaslar varsa bana ozelden yazabilirse memnum olurum. Ek bilgiler: Tarih : 12 Temmuz 2008 11:00-15:00 arasi Yer : GelisimPlatformu Adres : Esentepe Mah. Gazeteciler Sitesi Keskinkalem Sok. No:27 Gayrettepe 34394 İstanbul http://www.gelisimplatformu.org Konu ile ilgili detay bilgi icin iletisim bilgilerim huzeyfe@lifeoverip.net 0542 561 3051
Topics: Activity | 1 Comment »
Bilgisayar muhendisleri ne is yapar?
By Huzeyfe ONAL | July 5, 2008
Bilgisayar muhendisligi ogrencileri tarafından en çok sorulan sorulardan biridir “Bilgisayar muhendisleri ne iş yapar?” sorusu. Vakti zamaninda ben de cok sordum ama bu sorgulamalarim klasik nedenlerden degildi. Aksine, piyasaya cok erken girdigim ve genelde calisma ortamlarindaki tek bilgisayar muhendisi(muhendis adayi demek daha dogru olur)oldugum icin bu kadar bilgisayar muhendisi mezun oluyor bunlar nerede ne iş yapıyorlar diye sorardim.
Sonralari bunun sebebini suna bagladim: bilgisayar muhendisleri okulda ogretilenleri uygulamak uzere ya yazilimci oluyorlar ya da bir yakinlari sayesinde her tur bilgisayar isini yapan “bilgisayarci” oluyorlardi. Diger alanlar daha cok fizik, matematikciler ve xyz ciler tarafindan kapilmisti. Simdilerde bu durum bayagi iyilesmis gozukuyor. Oyle ki guvenlik alaninda calisan bilgisayar muhendisleri bile cikmaya basladi:).
Internette klasik Cumartesi turlari atarken burada Bilgisayar muhendisleri ne is yapar sorusunu biraz daha ciddi sorgulayan bir yazi dizisine rastladim… Bence sadece bilgisayar muhendisleri degil bu alanda kariyer sahibi olmak isteyen herkesin bir gozatmasinda fayda var.
Burada da yazi dizisininBilgisayar mühendisi ne iş yapar? (Bilişim güvenliği) kismi var.
Topics: Fun, Misc | No Comments »