Güvenlik duvarı bildiğimiz gibi İstem dışı Kişilerin ( Hacker vs.. ) girmelerini engellemek amaçlı.Uzaktan bağlantı, veri alış verişi gibi istenmeyen durumları engellemede en büyük korumalardan birisi Güvenlik Duvarıdır Başka bir isimle Ateş Duvarı ( Firewall ) dır.
Windows Güvenlik duvarı kullananlar için Aşağıdaki resim durumu özetler sanırım.
Bu yüzden İnternet Security gibi Tam bir koruma sağlayan Güvenlik yazılımınız yoksa Free veya ücretli güvenlik yazılımı kullanmanızı öneririm.
Matousec firmasının yaptığı test sonuçlarına göre sıralama şu şekildedir.
Ayrıntılı Sonuçlar ve açıklama :
Avg,Panda,Gdata,Eset a.k.a Nod32,Avira,F-Secure,Zone Alarm'ın ücretsiz versiyonu,Bit Defender, Trend Micro gibi büyük firmaların Güvenlik duvarları Önlemede yetersiz kalmış.
Sonuçlara bakmasam bile. Daha önceden kullandığım iki Güvenlik duvarını size önerebilirim. İlk sıraya yerleşmiş Comodo gerçekten Firewallde bir numaradır.ve Onun kadarda iyi olan Outpost firewall gerçekten güvenebileceğiniz yazılımlardır.Ücretsiz olmasıda cabası. Kis ( Kaspersky internet Security ) ve NiS ( Norton internet Security ) gibi ücretli yazılımları kullanmak istemeyenlere önereceğim güvenlik duvarıdır.
Neden mi öneririm. İndirdiğim dosyalarda hiç bir kaynak koduna bakma vs gibi işlemler yapmadan Veri alış verişini izleyerek backdoor tespiti yaptığım.Her türlü fud trojana geçit vermeyen en kaliteli güvenlik duvarlarındandır.
Sizde Sadece Antivirüs özelliği iyi diye Firewall olarakda iyi düşündüğünüz yazılımlar yerine ilk sıralarda yer alan bu ücretsiz Firewalleri deneyebilirsiniz.
Ya da bana birşey olmaz diyenlerden olup Windows Güvenlik duvarına güvenliğinizi teslim edebilirsiniz
Güvenlikli Günler dilerim . // THE_MILLER
Karşılaştırmalı Firewall ( Güvenlik Duvarı ) Testi
Web Uygulama Güvenliği Eğitimi
Eğitimin Konusu
Bilişim güvenliği ihlallerinin %80'inden fazlası yazılımlardan ve ağırlıklı olarak web uygulamalarından kaynaklanmaktadır. Web uygulamalarının güvenliğinin sağlanması her kuruluş için kritik öneme sahiptir.
18 saatlik program kapsamında yazılım geliştirme sürecinin güvenlik açısından nasıl iyileştirilebileceğine ilişkin pratik bilgiler sunulmaktadır. Sınıf içi örnek uygulamalar ve saldırı simülasyonları ile anlatılanların pekiştirilmesi sağlanmaktadır. Program çerçevesinde paylaşılan bilgilerin tümü programlama dili ya da ortamından bağımsızdır.
Eğitim sonunda, katılımcıların güvenli yazılım tasarımı, geliştirilmesi ve testleri konusunda kuruluşlarına somut katkı sağlayacak bilgi düzeyine erişmesi hedeflenmektedir. Eğitim programını tamamlayan katılımcılara sembolik sertifikalar verilecektir.
Eğitim Ünite Planı
Yoğunlaştırılmış 3 günlük eğitim programa ilişkin ünite planı aşağıdaki gibidir:
Ünite 1. Yazılım Geliştirme Süreci ve Güvenlik
Yazılım güvenliğinin önemi, geliştirme sürecine genel bakış, geliştirme sürecinde güvenlik aktiviteleri
Ünite 2. Güvenli Yazılım Tasarımı
Tasarımın güvenlik için önemi, güvenli tasarım prensipleri, tasarım kalıpları, tehdit modellemesi
Ünite 3. Kimlik Doğrulama
Kimlik doğrulama, HTTP doğrulaması, formla doğrulama, parola kırma saldırıları
Ünite 4. Yetkilendirme ve Erişim Denetimi
Referans monitorü, kullanıcı tabanlı yetkilendirme, kod tabanlı yetkilendirme, erişim denetim modelleri
Ünite 5. Oturum Yönetimi
Oturum yönetimi, oturum taşıma seçenekleri, oturum anahtarı ve güvenliği, oturum altyapısına yönelik saldırılar
Ünite 6. Girdi Denetimi
Girdi denetiminin önemi, pozitif ve negatif girdi denetimi, SQL/LDAP/Komut sokuşturma saldırıları, XSS XSRF saldırıları
Ünite 7. Formlar ve Form İşleme
HTML formları, radyo düğmeleri, seçim listeleri, gizli form alanları, MAXLENGTH, istemci tarafı Javascript kontrolleri
Ünite 8. Hata Yönetimi ve Kayıt Tutma
Hata ve aykırı durum yönetimi, hatalı ve doğrulu aykırı durum yönetimi, kayıt tutma gereksinimi, kayıt tutma yaklaşımları, zaman senkronizasyonu ve kayıtlar için önemi
Ünite 9. Web Uygulamaları için Dosya Sistemi Güvenliği
Web uygulamaları için dosya sistemi etkileşimi, gizli dosyalar, kontrollü sunulan içeriğin kontrollü, tam dizin sızdırması, dosya sistemi etkileşiminde temel hatalar ve güvenlik problemleri
Ünite 10. Veritabanı Güvenliği
Uygulama ve veritabanı ilişkisi, veritabanı kullanıcıları, stored procedure'lar, view'lar ve güvenlik
Ünite 11. Yazılım Güvenlik Testleri
Geliştirme süreci testleri, birim testleri, kapalı ve açık kod testler, penetrasyon testleri, fuzz testleri, statik kod
Ünite 12. İstemci Güvenliği
İstemci güvenliği, istemci güvenliğine yönelik tehditler ve saldırılar, istemci güvenliği önerileri
Ünite 13. Diğer Konular
Rastgele sayı üreteçlerinin güvenliği, şifreleme güvenliği, alan taşması, tamsayı taşması, Ajax güvenliği, web servisleri güvenliği
Ünitelerin önemli bir bölümünde örnek uygulamalara ya da uygulama gösterilerine yer verilmektedir. Eğitim programının son yarım gününde gerçekleştirilen laboratuvar uygulaması ile tüm katılımcıların bir dizi güvenlik problemini çözerek pratik yapması sağlanmaktadır.
Eğitim Materyali ve Ekipman
Katılımcılara Türkçe eğitim notları, örnek uygulamalar ve çalışma ortamı sağlanacaktır. Katılımcıların eğitime Windows ya da Linux işletim sistemi yüklü diz üstü bilgisayarları ile katılımları beklenmektedir.
Eğitmen
Eğitim, Burak KAYA ( THE_MILLER ) ve Fatih ERDEM tarafından verilecektir.Her iki eğitmende MCSA sertifikası olan daha önceden Sakarya ve İzmit'te Güvenlik seminerleri vermiş olup kendilerini kanıtlayan Web Güvenlik uzmanlarıdır.
Katılım Gereksinimleri
Katılımcıların modern geliştirme ortamlarından (C++, Python, C#, Java, RoR vb.) en az birini kullanabilir durumda olması beklenmektedir. Katılımcılardan bilgi ve bilişim güvenliği ile ilgili bilgi ve deneyim beklenmemektedir.
Eğitim katılım bedeli 575 TL + KDV'dir. Eğitim katılım bedeline konaklama ve yemek otelin “her şey dahil” uygulaması çerçevesinde dahildir. Ulaşım bedeli katılımcılar tarafından karşılanacaktır.
Eğitim Ortamı ve Konaklama
İş ortamının telaşesinden uzaklaşabilmek ve bu yoğunlaştırılmış programı yüksek konsantrasyon ile takip edebilmeye imkan sağlamak üzere eğitim İstanbul'da Holiday Inn Otel'de gerçekleştirilecektir.
Otel, İstanbul Şişli nin tam merkezinde bulmaktadır. Otele giriş 24 Ağustos 2009 Pazartesi akşam üzeri, çıkış 28 Ağustos 2009 Perşembe öğlen 12:00'dedir.
KATILIM BEDELİ
575 TL (KDV DAHİL DEĞİLDİR)
Eğitime Dahil Olan Hizmetler
Tek kişilik oda
4 gece , 5 gün herşey dahil konaklama( All Inclusive)
Konum ve Otel Bilgisi
http://www.turkiyeotellerirehberi.com/holidayinnotelistanbuloteli.html bu linkten gerekli bilgiyi alabilirsiniz.
Katılımcı Sayısı
Eğitim kontejyanı 20 kişilik olup kontenjanların dolma durumuna göre kişi sayısı belirtilecektir.
Msn İletişim : viper@spygup.com
Mail İletişim : kruis@windowslive.com
ISC DHCP Ara Bellek Taşma Açıklığı
ISC DHCP istemci programında uzaktan kod çalıştırmayla sonuçlanabilen ara bellek taşma açıklığı tespit edilmiştir.
Kaynak: SANS@RISK
Seviye: Orta
Bildiri Sürümü: -
Açıklanma Zamanı: 17.07.2009
Yenilenme Zamanı: -
Etkilenen Sistemler: ISC DHCP 3
ISC DHCP 4.0.x
ISC DHCP 4.1.x
CVE: CVE-2009-0692
BID: 35668
Referanslar: Internet Systems Consortium Security Advisory
https://www.isc.org/node/468
SecurityFocus BID: http://www.securityfocus.com/bid/35668
Yazar(lar): -
Açıklama: ISC DHCP, açık kaynaklı bir DHCP uygulamasıdır. ISC DHCP istemcisinde, DHCP sunucusunun özel olarak tasarlanmış bir yanıtıyla kullanılabilen ara bellek taşma açıklığı tespit edilmiştir. Sözkonusu açıklık, dhclient "script_write_params()" fonksiyonundaki sınır kontrolü hatasından kaynaklanmaktadır. Hata, sunucunun gönderdiği adres ve alt ağ maskesinden üretilen alt ağ numarasının sınır kontrolünde gerçekleşmektedir. Açıklığın başarılı bir şekilde kullanılması uzaktan istenmeyen kod çalıştırılmasını sağlar.
Etki: Uzaktan kod çalıştırma
Çözüm: Açıklık üretici firma tarafından doğrulanmış ve ilgili güncelleme yayınlanmıştır.
Oracle Ürünleri Çoklu Açıklıkları (Temmuz 2009 Kritik Yama Güncellemeleri)
Oracle, çeşitli ürünlerindeki tespit edilen çoklu güvenlik açıklıkları için 2009 yılı Temmuz ayı kritik güvenlik yama güncellemeleri yayınlamıştır.
Kaynak: SANS@RISK
Seviye: Acil
Bildiri Sürümü: -
Açıklanma Zamanı: 17.07.2009
Yenilenme Zamanı: -
Etkilenen Sistemler: Oracle Database 11g v11.1.0.6
Oracle Database 11g v11.1.0.7
Oracle Database 10g Release 2 v10.2.0.3
Oracle Database 10g Release 2 v10.2.0.4
Oracle Database 10g v10.1.0.5
Oracle Database 9i Release 2 v9.2.0.8
Oracle Database 9i Release 2 v9.2.0.8DV
Oracle Application Server 10g Release 2 (10.1.2) v10.1.2.3.0
Oracle Application Server 10g Release 3 (10.1.3) v10.1.3.3.0
Oracle Application Server 10g Release 3 (10.1.3) v10.1.3.4.0
Oracle Identity Management 10g, v10.1.4.0.1
Oracle Identity Management 10g, v10.1.4.2.0
Oracle Identity Management 10g, v10.1.4.3.0
Oracle E-Business Suite Release 12 v12.1
Oracle E-Business Suite Release 12 v12.0.6
Oracle E-Business Suite Release 11i v11.5.10.2
Oracle Enterprise Manager Database Control 11 v11.1.0.6
Oracle Enterprise Manager Database Control 11 v11.1.0.7
Oracle Enterprise Manager Grid Control 10g Release 4 v10.2.0.4
PeopleSoft Enterprise PeopleTools v8.49
PeopleSoft Enterprise HRMS v8.9
PeopleSoft Enterprise HRMS v9.0
Siebel Highly Interactive Client v7.5.3
Siebel Highly Interactive Client v7.7.2
Siebel Highly Interactive Client v7.8
Siebel Highly Interactive Client v8.0
Siebel Highly Interactive Client v8.1
Oracle WebLogic Server 10.3, 10.0MP1
Oracle WebLogic Server 9.0 GA
Oracle WebLogic Server 9.1 GA
Oracle WebLogic Server 9.2 - 9.2 MP3
Oracle WebLogic Server 8.1 - 8.1 SP6
Oracle WebLogic Server 7.0 - 7.0 SP7
Oracle Complex Event Processing 10.3
Oracle WebLogic Event Server 2.0
Oracle JRockit version R27.6.3 ve öncesi(JDK/JRE 6, 5, 1.4.2)
CVE: -
BID: 35618
Referanslar: Oracle Critical Patch Update (CPU July 2009)
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2009.html
SecurityFocus BID http://www.securityfocus.com/bid/35618
Yazar(lar): -
Açıklama: Oracle, 15 Temmuz 2009 tarihinde çeşitli ürünlerine yönelik toplu güvenlik yamaları yayınlamıştır. Kritik olarak sınıflandırılan bu güncellemeler farklı ürünler için toplamda 30 yeni güvenlik yamasını içeriyor. Güncellemeler ile uzaktan komut çalıştırma, servis dışı bırakma, güvenlik sınırlamalarını geçme, SQL enjeksiyonu ve hak yükseltme ile sonuçlanan birtakım açıklıklar giderilmektedir. Bazı açıklıkların kullanılması için kimlik doğrulama gerekirken, bazıları için ise gerekmemektedir.
Etki: Uzaktan komut çalıştırma, servis dışı bırakma, güvenlik sınırlamalarını geçme, SQL enjeksiyonu, hak yükseltme
Çözüm: Açıklıkları gideren toplu güncellemeler üretici firma tarafından yayınlanmıştır.
Microsoft DirectX DirectShow Çoklu Açıklıkları (MS09-028)
Microsoft DirectX, Windows işletim sistemleri için bir medya anaçatısıdır. Directshow ise bu anaçatının yüksek kalitede görüntü yakalayan ve izleten görüntü bileşenidir. Directshow üzerinde bazı açıklıklar tespit edilmiştir.
Kaynak: Microsoft
Seviye: Acil
Bildiri Sürümü: -
Açıklanma Zamanı: 14.07.2009
Yenilenme Zamanı: 15.07.2009
Etkilenen Sistemler: Microsoft DirectX 7.0
Microsoft DirectX 8.1
Microsoft DirectX 9.0
Microsoft Windows 2000 Service Pack 4
Microsoft Windows 2000 Service Pack 4
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Service Pack 3
Microsoft Windows XP Professional x64 Edition Service Pack 2
Microsoft Windows Server 2003 Service Pack 2
Microsoft Windows Server 2003 x64 Edition Service Pack 2
Microsoft Windows Server 2003 SP2 (Itanium)
CVE: CVE-2009-1537 CVE-2009-1538 CVE-2009-1539
BID: 35139 35600 35616
Referanslar: Microsoft Güvenlik Bülteni
http://www.microsoft.com/technet/security/bulletin/MS09-028.mspx
Zero Day Initiative Bülteni -2
http://www.zerodayinitiative.com/advisories/ZDI-09-045/
Üretici Ana Sayfa -4
http://msdn.microsoft.com/directx/
SecurityFocus BID's -6
http://www.securityfocus.com/bid/35139
http://www.securityfocus.com/bid/35600
http://www.securityfocus.com/bid/35616
Yazar(lar): -
Açıklama: Microsoft DirectX, Windows işletim sistemleri için bir medya anaçatısıdır. Directshow ise bu anaçatının yüksek kalitede görüntü yakalayan ve izleten görüntü bileşenidir. Directshow üzerinde bazı açıklıklar tespit edilmiştir. Özellikle hazırlanmış bir Quicktime dosyası Windows Media Player ile açılırsa açıklıklar tetiklenebilir. İlk açıklık NullByte yazması ile ilgilidir. İkinci açıklık Directshow üzerinde bir işaretçi güncellendiği zaman bazı değerlerin düzgün kontrol edilememesi ile ilgilidir. Üçüncüsü ise "NumberOfEntries" alanının düzgün kontrol edilememesi ile ilgilidir.
Etki: Gelişi güzel kod çalıştırma
Çözüm: Güncellemeler mevcuttur
Microsoft Office Web Components ActiveX Control Bellek Kesintisi
Microsoft Office Web Components ActiveX Control, office belgeleri üzerinde işlem yapma olanağı sağlayan bir dizi Component Object Model (COM) bileşenleri bütünüdür. Microsoft Office uygulaması ile gelen bazı ActiveX kontrollerinde bellek kesintisi açıklığı vardır.
Kaynak: Microsoft
Seviye: Acil
Bildiri Sürümü: -
Açıklanma Zamanı: 13.07.2009
Yenilenme Zamanı: 14.07.2009
Etkilenen Sistemler: Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 3
Microsoft Office XP Web Components Service Pack 3
Microsoft Office 2003 Web Components Service Pack 3
Microsoft Office 2003 Web Components for the 2007 Microsoft Office system Service Pack 1
Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3
Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3
Microsoft Internet Security and Acceleration Server 2006
Internet Security and Acceleration Server 2006 Supportability Update
Microsoft Internet Security and Acceleration Server 2006 Service Pack 1
Microsoft Office Small Business Accounting 2006
CVE: CVE-2009-1136
BID: 35642
Referanslar: Microsoft Güvenlik Bültenleri
http://www.microsoft.com/technet/security/advisory/973472.mspx
Microsoft Makalesi -2
http://support.microsoft.com/kb/240797
FortiGuard Bülteni (FGA-2009-27) -4
http://www.fortiguardcenter.com/advisory/FGA-2009-27.html
Üretici Ana Sayfa -6
http://www.microsoft.com/
SecurityFocus BID -8
http://www.securityfocus.com/bid/35642
Yazar(lar): -
Açıklama: Microsoft Office Web Components ActiveX Control, office belgeleri üzerinde işlem yapma olanağı sağlayan bir dizi Component Object Model (COM) bileşenleri bütünüdür. Microsoft Office uygulaması ile gelen bazı ActiveX kontrollerinde bellek kesintisi açıklığı vardır. Açıklıklar Spreadsheet ActiveX control "OWC10.DLL" ve "OWC11.DLL" kütüphanelerindedir. Zararlı bir web sayfası bu açıklığı tetikleyerek gelişigüzel kod koşturulmasına yol açabilir. Özellikle e-posta mesajlarındaki bağlantılara gidilirken dikkatli olunmalıdır.
Etki: Gelişi güzel kod çalıştırma
Çözüm: Güncelleme mevcut değildir. Kullanıcılar "killbit" mekanizmasını şu CLSID ler için kapatabilir:
"0002E541-0000-0000-C000-000000000046",
"0002E559-0000-0000-C000-000000000046".
Web Güvenlik Servisimiz Açılmıştır
Günümüz web hizmeti yapan şirketlerde ve kullanıcılarında genellikle bireysel hatalar yüzünden güvenlik zaafları oluşturmaktadırlar.Bu zaafları Hacker diye tabir edilen Bilgisayar Korsanları kullnarak sisteme sızıp sisteme zarar vermekte,sistemi çökertmekte veya hacklemekte ya da sistemi kasıp işlevsiz hale getirmektedir.Bunlar nadiren olan birşey değil binlerce Web Sitesi hemen hemen hergün hedef altında bulunmaktadır.Her ne kadar güvenliği sağlasanızda sık sık güncelleşmesi gerektiğinden bu tür saldırılardan kurtulmanız zorlaşmaktadır.İşte burada belirli aralıklarla yapılan güvenlik testleri ve taramaları ile meydana gelebilecek zararlar en düşük seviyeye getirmek,açıkları fixlemek güvenlik tedbirlerini almak akıllıca bir yöntem olacaktır.
Mozilla, Firefox 3.07'yi acilen Piyasaya Sürülüyor
Birçok kullanıcının gözünde en sağlam web tarayıcı olan Firefox 3.06 kullanıcıları şaşırttı. Firefox'ta 6'si çok kritik 8 adet güvenlik açığı bulundu. 3.06'daki bu hatalar dün piyasaya sürülen 3.07'de ortadan kaldırıldı.
3.06'da iddialara göre ciddi JavaScript hataları bulunuyordu. Aynı zamanda bellek işgal ediliyor ve sistem durma noktasına geliyordu. Windows, Linux ve Mac işletim sistemleri için yapılan güncellemeler, Mozilla resmi internet sitesinde dün duyuruldu.
Bu yolu tercih etmeyen kullanıcılar "Help" menüsündeki, "Check for Updates" seçeneğini kullanabilir.
Internet Explorer'ın pazar liderliği hala sürüyor: Explorer yüzde 67,44'lük paya sahipken, Firefox 21,77'lik pay ile yetiniyor.
Firefox 3.07, Mozilla'nın 2009 içerisinde yayınladığı ikinci güncelleme oldu.
Google Sync İle Google Telefonunuzda
Google tarafından sunulan bir hizmet daha var ki bunu Google servislerini kullananlar çok beğenecek. Hiçbir yazılım kullanmadan takviminizi ve kişilerinizi telefonunuzda görebilirsiniz.
Google tarafından sunulan Sync hizmeti, Nokia telefonlarda bulunan senkronizasyon hizmetinin her telefon tarafından kullanılabilmesini sağlıyor. Microsoft tarafından geliştirilen Active Sync sistemini temel alan özellik sayesinde yapacağınız birkaç ayarla takviminizi ve kişilerinizi denetim altında tutabilirsiniz.
Nasıl çalışıyor?
Active Sync destekli mobil aygıtınızda bu işleri yapmak oldukça kolay. Nokia tarafından sağlanan yönergeleri izleyerek bunu kendi telefonunuzda kurabilirsiniz. Symbian, BlackBerry ve iPhone işletim sistemlerinde çalışan sistem, ürünlerdeki senkronizasyon sisteminin üzerinden çalışıyor. Şu an bu sistem sadece kişileri destekliyor deniliyor. Yakın zamanda Google'ın diğer hizmetlerini de senkronizasyon konusunda görebileceğiz.
Google ne zaman bizi de sürekli izleyecek ve dinleyecek..
Firefox Ön Bellek Rahatlatmak
Firefox Önbellek Çok kullanıyor her siteye girdiginiz resim , adres lerdeki flash vs.Ve Bunu Biraz rahatlatmak istiyenlere Bir kaç işlem...
Firefox tarayıcınızı açıp url kısmına "about:config" Yazıp enter'layın.Burda FirefoX Soru soruyor..
Tabi Adamlar Doğru'ca bir yöntem yapmışlar çünkü kesinlikle bilmediginiz ayarlarla oynamayın bu firefox'da veri kaybına ve firefox hatalarıyla yüzleşebilirsiniz.
Evet , "about:config" yazdıktan sonra Sağ Tıklayın > Yeni > İnteger türünde bir değişken oluşturup isim bölümüne 'browser.cache.memory.capacity' verin ve değerini 16384 yapın. firefox'u yeniden başlatın....
Bitti Şimdi ise Hala hazırda olan önbellek kullamını görmek için adres satırına "about:cache?device=memory" yazın.
kaynağı http://kb.mozillazine.org/About:config_entries aldım daha fazla bilgi için orayı ziyaret edin..
Sosyal Aglarin Tehlikeleri
Oldum olasi sosyal aglardan uzak dururum, bu tip oyuncaklari zaman kaybi olarak gorurum. Ama dunya benim gibi dusunmuyor ve bu tip aglarin milyonlara varan kullanicilari olusmus durumda.
Belki bir on yil sonra bu tip aglarin detaylı arastırmaları yapılarak daha net sonuclar ve saglıklı degerlendirmeler yapılacak ama benim simdiden gorebildigim kadari ile mahremiyet kelimesinin bu tip aglara girenler icin cok da fazla birsey ifade etmedigi(Istisnalari kenara alalim). Bulunduğum şirketlerde hep bu tip ağların çeşitli güvenlik zaafiyetlerine sebep olduğunu ve kapatılması gerekitğini savundum.
SNOsof yaptığı güvenlik testlerinden birinde Facebook’u kullanarak bir şirkete ait kullanıcıların nasıl kandırıldığı ve gizli bilgilerinin alındığı ile ilgili bir çalışma yapmış. Çalışma hem yapılış tarzı hem de sonuçları açısından hem malumu ilan olmuş hem de bu tip ağların kapatılmasına karşı gelen yöneticiler için güzel bir örnek olay olmuş.
Atak Engelleme Sistemleri (IPS)
Atak Tespit Sistemlerinin yeni nesil ürünleri olan Atak Engelleme Sistemleri, bildikleri yada bilmedikleri saldırıları tanıyıp gerçek zamanlı olarak durdurur. Proaktif bir güvenlik sistemi için mevcut ürünlerin IPS teknolojisine geçirilmesi kaçınılmazdır.
Atak Engelleme Sistemleri ağ tabanlı ve sunucu tabanlı olmak üzere iki ana kategoriye sahiptir. Desteklediğimiz ürünlerin teknik kabiliyetlerinin üzerine derin “ethical hacking” tecrübemizi ekleyerek ileri düzeyde güvenlik sağlamaktayız.
Ağ Tabanlı Atak Engelleme Sistemleri:
* Performans kaybı olmasızın gerçek zamanlı atak engelleme
* Denial of Service Koruması
* Protokol anormalliği koruması ile bilinmeyen atakları engelleme
* SSL ile şifrelenmiş trafiğin içerisinde atak tarayabilme
* İstenmeyen protokollerin durdurulması (Msn, icq, KaZaa, eDonkey vs..)
Host Tabanlı Atak Engelleme Sistemleri:
* Performans kaybı olmaksızın gerçek zamanlı atak engelleme
* Buffer Overrun koruması ile bilinmeyen atakları engellenme
* Lokal atakları engelleme
* Registry yada web sayfaları gibi kritik kaynakların korunması
* Korsanlarca sistemin ele geçirilmesini engelleme
* SQL, IIS ve Apache gibi web sunucuları için özel koruma
Mail Security ~Msniniz Hacklenmesin~
Mail Security ~Tüm Mail GüvenLik YöntemLeri~ THE_MILLER
ÖnSöz :
Bir çok mailim hacklendi konularını kaç senedir görürsünüz.Belki siz belki arkadaşlarınız mail hesapları çalınmış olabilir.İşte çalınmaya karşı ne zamandır bir takım önlemlerden bahsedilir durulur,bu önlemler gelişen yöntemler ve günümüzün sistemleri ile artık eskisi kadar etkili olamamaktadır.Yani Tam bir Güvenlik sağlamamaktadır.Bölümümüz MAil Güvenlik olduğu için bu bölüme uygun kalitede bir konu açmamın gerektiğini fark ettim.Öncelikle şu ana kadar bildiğiniz tüm güvenlik yöntemlerini unutmanızı istiyorum.Ve 2009 ’un en çok kullanılan yöntemlerini ve korunma yöntemlerini tek tek irdeleyelim.
KeyLogger & Trojan Security :
Keylogger ve Trojan lar genellikle kullanıcılara dosya biçiminde server’ı yedirip pcsine RAT ile bağlanma ya da pc deki tüm passlar(şifreler), konuşmalar,sistem bilgileri vs. çekmeye dayanır.
Bu Tür Zararlı Programlardan Korunmanın en önemli Yolları :
A1) Güvenlik Duvarı (Ateş Duvarı) Kullanıp pcye hacker girişini engellemek.Windowsun kendi firewallı etkili olmamakta birlikte çabuk aşılacağından Tavsiyem Combo gibi Firewall yada Kaspersky Anti-Hacker gibi programlar kullanmanızdır.
A2) Antivirus Yazımı Kullanıp güncel TutmanızAldığınız dosyalarda trojan,Keylogger gibi casusları bulmanızda ve silmenizde çok önemli bir yer tutmaktadır.
Antivirus için önerim ise Avira Antivir +, Bit Defender gibi yazılımlardır
A3) 1 ve 2 nin birleşimi her zaman daha önemlidir.Ya trojanımız tanınmaz işte bu sefer devreye İnternet Security programalrı girecektir.Güvenlik duvarıda dahil Sayfa yı tempe indirmeden tarama gibi bir çok özelliklere sahiptir.Özellikle Önereceğim Norton 2009 İnternet security ve Kaspersky 2009 internet Security programları Bir dosyadaki şüpheli hareketleri görürse bloglama veri transferlerini inceleme gibi özellikleri ile sezgisel olarak trojan olup olmadığını anlayarak size uyarmaktadır.Bu yüzden özellikle bu iki programı denemeniz lazım.
A4) Şüpheli Dosyayı Analize Gönrdemek.Çoğu antivirus programlarında Lab özelliği vardır yani inceleme için laboratuıara gönderebilirsiniz.Size gelen şüpheli bir dosya varsa bunu açmadan Lab a ya da virustotal.com gibi sitelere göndererek tüm antiviruslara test amaçlı sunup dosyanın güvenirliğini anlayabilirsiniz. http://www.virustotal.com/vtsetup.exe bu programıda indirerek masaüstündeki bir dosyaya sağ tıkla gönderden virustotalı seçerek orada incelemeye kısayoldan gönderebilirsiniz.
A5) AntiKeylogger Programları Yüklemek.Anti keylogger yazılımları dosyanın trojan olma ihtimalini daha doğrusu nerelere erişim yapmaya çalıştığını farkederek size uyarılarda bulunur.Tavsiye edeceğim bir Türk yazılım olan Zemana AntiKeylogger programıdır.
A6) Sosyal Mühendislikten Korunmak.bunda asıl amaç dikkatli olmaktır.Msnden yollanan her dosyayı almayın.Mail olarak gelen resim formatıda dahil hiç bir dosyayı emin olmadan açmayın.Sanaldaki hiç bir kişiye tam olarak güvenmeyin.Ve biraz ayık olmakta fayda var.
A7) Dosyaları Sanal Pc de ya da Windows ortamından farklı bir işletim sistemi kullanarak açın.Uzman kişiler aynı makinaya çift işletim sistemi kurabilirler sizde bunu yaparsanız yada Virtual Pc 2007 gibi Sanal bir bilgisayar oluşturup şüpheli dosyaları orada açarsanız.Ne olduğunu anlayıp ona göre işlem yapabilirsiniz.
HtmL Logger Security :
Html Logger tarayıcılardaki açıkları kullanarak Site linkini hedefe tıklattırıp pc sine trojanı download ettirmeyi çalışan bir yöntemdir.Html Loggerlar İnternet Tarayıcılarına özgüdür ve kodları farklıdır.
Html Loggerlardan Korunma Yöntemleri ise :
B1) "A3" de Belirttiğim gibi İnternet security programları bunda en önemli koruyucu etendir.Normal bir Antivirus programı dosyayı tempe indirdikten sorna taradığı için direkt serverı pcye indirebilir bu yüzden etkili değildir.İnternet security programları site üzerinde tarama yaparak bunu önler.
B2) Verilen linkleri http://linkscanner.explabs.com/linkscanner/ gibi online scanner adreslerinde taratarak sitenin güvenirliğini anlayabilirsiniz.
B3) Özellikle İnternet Explorer dan farklı Tarayıcı kullanmanızı öneririm.Bu demek Mozilla ya da opera kullanın demek değil.Daha alternatif olan Safari,Flock,Songbird gibi herkesin pek rağbet etmediği programları kullanın bunlarada açık olabilir fakat önemli olan Attackerın sizi sık kullanan bir tarayıcı kullandığınızı düşünerek ona göre sistem hazırlamasıdır.Yani Ters köşeye yatırın saldırganı.Ama siz illa ie vs kullanacağım diyorsanız İe8 kullanın,Mozillanın son sürümü mevcut beta sürümü 3.1 Beta 2 onun gibi güncel sürümlerini kullanın.
B4) SM den korunma "A6" da belirtmiştik güvenmediğiniz kişilerden verilen sitelere girmeyin.Güvensiz olarak belirlenen sitelere hiç girmeyin.Gireceksenizde farklı bir tarayıcıda girin
B5) "A7" deki Sanal pcde verilen linklere girmeniz en mantıklısıdır.O yüzden Sanal Pc nin önemini anlayınız.
Xss & Xsrf Security :
Xss Size Site üzerinden veya mail,msn gibi konuşma penceresinden yolalnıp sizin cookienizi çalmaya yarayan ve bu cookie ile sizin hesaptan giriş yapmaya yarayan bir yöntemdir.Xsrf de bu türe yakındır istem dışı komut yollatmaya çalışır password değişikliği gibi.Her ne kadar Hotmail Xss de cookie şifrelide gelse bu elbet bir gün çözülecek o yüzden her linke güvenmeyin.
Korunma Yöntemleri ise :
C1) Size verilen linklere tıklamayın kopyalayıp tarayıcıya elinizle yapıştırın.Bu şekilde boş bir cookie çekeceklerdir.
C2) Microsoft Anti Xss, CW xss Security gibi programları kurarak.Xss durumunda haberdar edilip engellenmesi.
C3) Güncel Tarayıcılar kullanmak.Özellikle İE8 de microsoft anti xss scurity programı hazır halde yüklenip tarayıcıya entegre edilmiştir.Bu şekilde korunabilirsiniz.
C4) Firefox kullanıp No script Eklentisini kurup Aktif hale getirmek,işte en önemli xss korunma yöntemlerinden birisidir.Xss yi pasif hale getirir.
C5) Bilinçli olup güncel Haber sitelerinden Xss ve diğer tehditler karşısında bilgiler almak sizi hazır olda bekletir.
C6) SM den korunmak.Tanımadığınız kişilerden link alıp direkt girmeyin.Ayrıca bir linkte hem xss hem Html logger yapıp çifte vuruş yapmak isteyen olabilir o yüzden HTML Logger korunma yönteminide unutmayınız.
Trojan DownLoader Security :
Trojan Downloaderlar bir programa bazı programlar sayesinde eklentiler sayesinde uzaktan ftpsindeki server.exe yi çağırması mantığına dayalıdır.
Bunlardan korunmak içinse :
D1) "A1,A2,A3,A4,A5,A6,A7" bunlarda dahil her türden tedbirinizi almalısınız.
D2) Ağı izlemek.Programın çalıştırdıktan sonra ağda bir veri aktarımı varsa buna dikkat ederek ne olduğunu anlayabilirsiniz bu tür durumda direkt ağ bağlantısını kesiniz.
THE_MILLER
Phishing Security :
Phishing genellikle kullanıcıların passlarını almak için kullanılan web Kontrollü fakelerdir.Bir düzenekle siz oraya verielri girince şifreler ftpsinde log.txt ye düşmektedir.
Korunma yöntemlerine geçersek :
E1) "A3" deki gibi İnternet Security programalrında özellikle Norton ve Kis de AntiPhishing özelliği vardır buda Sahteciliği önler.Size uyarı olarak bu site sahtekardır mesajı verir.
E2) Site Adresinin Doğruluğunu kontrol ediniz. Mesela hotmail.com.tr.gg gibi bir adresten geliyorsa dikkate almayınız. Ayrıca bazı link gizleme yanıltmaları ile linki gizlerler içeriğe bakıp yada tarayıcıdaki adrese bakıp güvenirliğini anlayabilirsiniz.
E3) SM den korunmak Güvenmediğiniz sitelere girmeyin,Linke tıklamayın,Her yerde her sitede aynı şifreyi kullanmayın.
Fake Security :
Fake Türkiyede okadar meşhur olduki çoluk çocuk herkes bir sitenin fakesini yapıp şifre almaya bakıyor.Fakede amaç sahte bir site görünümü izlenimi verip şifreleri mail aracılığı ile Attackera göndermeye amaçlar.
Fakeden korunmak için :
F1) Phishingle aynı mantık olacağından oradaki "E1,E2,E3" e dikkat edin.
Basittir ama bir anlık dalgınlık sizi yanıltabilir.
F2) Sitenin kaynak kodunu görünteleyip kodları inceleyin gerekirse "@" i arayıp kayıtlı bir mail adresi varmı bakınız.
Msn Cracker - Brute Force Security :
Brute Force yöntemi Şifrenizi deneme yanılma ile tahmin edecek bir programın çalıştırılmasıdır.Bunda amaç tek tek şifreleri dener olumluysa şifreyi gösterir.
Korunmak için :
G1) Şifreleriniz oldukça güçlü olmalıdır.2. ve 3. karakterler mutlaka şifrenizde olmalıdır(Örneğin : #!?\\\\-_).
G2) Belirli Aralıklarla şifrenizi değiştirin.Bu şekilde program sonuca yaklaşsada pek netici alamaz.
CLickJacking Security :
Clickjacking bir nevi başka bir içeriğin bulunması ama size makyajla başka birşey göstermesi o alana şifrenizi yazarsanız Attackera verielriniz gidecektir.Bir nevi site üzerine resim yerleştirme gibi birşey diyebiliriz basit anlamda.
Korunmak için :
H1) Korunmanın en önemli yöntemi yolu Mozilla kullanıp.No Script kurup "Plugins|Forbid
H2) Kaynak kodlarına bakıp ne olduğunu anlayabilirsiniz.
Networking - Port Security :
Bilgisayarınızda Bazı portlar olsun bazı programalrın açtığı portlar ve güvenlik açıkları Attackerların pcnize oradanda mail şifrelerinize sızmak için olanak sağlamaktadır.
Korunma Yöntemleri :
I1) Bilgisayarınızı Port Scanner programları ile tarayıp açık portlar varsa kapatınız.Diğer maddelerde belirttiğim gibi Güvenlik Duvarı ve İnternet security programalrı kullanın.Girişleri engeller.
I2) Özellikle Netbios Açığını kapatmak (138,138,139) gibi portları kapatmak pcnize sızmanızı engeller.Limewire gibi programalrı kullanırkende ayarları dikkatli yapmanız lazım.
Kişisel Güvenlik :
Buraya kadar olan her maddeyi öğrenip uyguladıktan sonrada gerisi bizim zekamıza kalacak birşey.Bilgisayarınızda msn şifresini hatırla demeniz Stealer gibi programların coşmasına sebep olacak yani şifrenizi alacaklardır.Ya da pcnize başka birisinin oturmasına imkan vermeniz sizin açınızdan pek yararlı olmayacaktır.Güvenlik sorularınız bilinecek türden ve basit olmamalıdır.Şifrelerinizde aynı şekilde zorlaştırılmış olmalı.Kişisel bilgilerinizi kimseye vermemelisiniz.Arada sırada Hijackthis uygulamalısınız gözünüze çarpan programcık vs varmı.Anti Spy programalrı ile belli aralıklarlada sistemi taratmalısınız.
Sonuç :
Evet arkadaşlar bir çok önemli yöntemleri sizlere söyledim.Daha doğrusu korunması hakkında bilinçlendirmek istedim.Bugun şimdilik bu yöntemler vardır ama ileride başka yöntemlerde çıkabilir hazır olun bunlardan korunmanın en etkili yolu bilinçli olmak ,ayık olmak,sezici olmak, kuşkucu olmaktır.
SpySh3LL Hayallerim Sona Eriyor
Evet Ne zamandır uğraşıp durduğum SpySh3L malesef hatalar üstüne hatalar verdi.
Herşey tamam güzel fakat verilen komutları nedense göndermiyor.Hiçbir buton çalışmıyor ve hiç bir şekilde düzeltemedim.
Umarım düzeltirim Yoksa Spysh3LL yalan olacak.
Güvenlik Terimleri
Access Control :
Network üzerindeki herhangi bir bilgi kaynagina erisim konusunda yetkilendirilmis kisiler, programlar, islemler veya network içindeki diger sistemler için konulan sinirlamadir.
Attack Signature :
Network üzerinden gelen bilgi paketlerini bazi modellere göre dikkatlice inceleyerek kötü niyetli aktiviteleri haber veren bir sistemdir.
Authentication, authorization and accounting ( AAA ) :
Kaynaklara güvenli erisimi saglayici güvenlik unsurlaridir.
Authentication :
Server, switch ya da router kullanimlarinda cihaz ya da kullanicinin kimliginin onaylanmasidir.
Authorization :
Kullanici ya da kullanicilara sisteme, programa ve network erisim hakkinin verilmesidir.
Accounting :
Herhangi bir kullanicinin ne yaptigi, kullanici hareketleri kullanici data baglantilari ve kullanici sistem kayitlarinin izlenebilmesi amaciyla yapilan islemdir.
Authentication header :
Paketin içeriginin aktarim sirasinda degismedigini dogrulamak amaciyla kullanilan IPSec basligidir.
CBAC ( Context-Based Access Control ) :
Cisco IOS yazilimi içinde bulunan bu özellik sayesinde tüm yönlendirilebilir data akisi denetlenip kontrol edilmis paketler halinde yapilabilir. ACL tarafindan kontrol edilen data akisindaki paketlerin ilerlemesine izin verilebilir ya da yasaklanabilir.
Certificate :
Güvenilir bir otorite tarafindan özel açiklama ile belirli bir kalip ve isim altinda belirlenen özelliklere sahip olundugunu bildirir.
Certificate authority ( CA ) :
Bagimsiz çalisarak dijital sertifikalari onaylar ve bu nedenle yetkilendirilmis diger kullanicilari da tanir.
Compromise :
Network’e yapilan saldiri ve güvenligi asma olaylarinda güvenlik sisteminin kullandigi prosedürlerdir.
Computer Emergency Response Team ( CERT ) :
Bilgisayar ve network güvenligi konularinda öncelikli olarak servis saglayan, sistem yöneticilerinden olusan resmi bir organizasyondur.
Cryptographic Key :
Sifreleme, sifre çözümü ve bilgi onaylamak için kullanilan dijital bir sifredir.
Cryptography :
Mesajlari sifreleme ve sifreli mesajlari okuma bilimidir.
Data Confidentiality :
Sadece bilgi paketlerine ulasma yetkisi olanlarin bunlari kolayca ulasilabilir formatta görmelerinin garanti edilmesidir.
Data Encryption Standard ( DES ) :
National Institute of Standards and Technology tarafindan gelistirilmis gizli ve kilit sifreleme standardidir.
Data Integrity :
Verinin network içindeki aktarimi sirasinda degisiklige ugramadigi ve zarar görmedigini garanti etme islemidir.
Data privacy :
Network verilerinin gizlice elde edilmesi ya da kurcalanmasina karsi olusturulmus korunma islemidir. Bazi durumlarda GRE veya Layer 2 Tunneling Protocol (L2TP)de oldugu gibi tunneling teknolojisi kullanilarak data ayrilir, bu da etkili veri gizliligini saglar. Bazen, özellikle VPN yürürlüge girdigi an, geleneksel gizlilik gereklilikleri dijital sifreleme teknolojisi ve protokollerini IPSec’’e oldugu gibi kullanmak için istekte bulunur.
Denial-of-service ( DoS ) attack :
Network tasarlanmis servisleri yerine getirmesine engel olmayi amaçlayan her türlü kötü niyetli faaliyettir. Bir insanin sürekli telefon hatlarini mesgul etmesine benzemektedir.
Diffie Hellman :
Sifreleme tabanli yönetim sistemlerinde, izin verilen iki kullanici ya da network cihazinin güvensiz bir ortamda yine bu sifreleri kullanarak güvenli bir sekilde data alis-verisi yapmasidir.
Digital Signature :
Elektronik mesajlarda dogrulama ve güvenligi saglayan, mesaja eklenen(baglanan) bir dizi veridir.
Digital Signature Standard ( DSS ) :
National Security Agency tarafindan gelistirilmis dijital imza standardidir.
Encryption :
Verinin, iletim sirasinda bilinçli olarak sifrelendirilmesi ve kimse tarafindan okunmadan müsteriye ulastirilmasi ve daha sonra da yeniden sifrenin çözülmesi islemidir.
Firewall :
Özel network kaynaklarini, kimligi bilinmeyen ve kötü niyetli olmasi olasi kullanicilarindan korumak için kurulan, yazilim veya donanim tabanli geçit sistemine verilen addir. Kurumlarin iç network’lerini, Internet’dn gelebilecek tehlikelere karsi koruyan ilk engel Firewall’dur.
Generic Routing Encapsulation ( GRE ) :
Cisco tarafindan gelistirilen Tunneling Protocol, IP Tunnels içindeki çok çesitli türlerde protokol paket tiplerini enkapsüle eder. Bunun yaninda Cisco routerlar kullanilarak IP network üzerinde noktadan noktaya sanal baglanti yaratilir.
Hack :
Network’e izin alinmadan yalnizca kendi çikarlari için uygun olmayan yollarla girme ve gizli belgelere ulasarak illegal kazanç saglama islemidir.
[color=green[Identity : [/color]
Network’teki kullanicilarin, uygulamalarin, servis ve kaynaklarin olumlu kesin tanimlanmasidir. Dijital sertifikalar, kartlar ve dizin servisleri gibi yeni teknolojilerin de bu kimlik çözümlerinde önemleri hizla artmaktadir.
Integrity :
Verinin özellikle tanimlanan kisiler disinda degistirilmedigini garanti etmek anlamindadir. “Network Bütünlügü” seklinde kullanildigi zaman, network’ün amaçlarina aykiri bir tarzda kullanimina izin verilmeyecegi anlatilmaktadir.
Internet Engineering Task Force ( IETF ) :
Internet kullanimi konusunda protokoller hazirlayan bir orgnizasyondur. Yayimlari Request for Comments ( RFCs ) olarak adlandirilmaktadir.
Internet Security Association and Key Management Protocol ( ISAKMP ) :
IPSec’e yönelik asil yönetim protokolüdür; ayni zamanda Internet Key Management Protocol (IKE) olarak da adlandirilmaktadir.
Intrusion Detection System ( IDS ) :
Hareketli algilayici seklinde olan, network çevresini ve hassasiyeti giderek artan internal network’ü korumaya yönelik güvenlik sistemidir. Bu sistem, data akisi içerisinde gerçeklesen yetki disi faaliyetleri analiz eder ve bunlari uyararak tepkisini gösterir.
Internet Protocol ( IP ) :
Bilgisayar networkleri arasinda veri alis-verisini saglayan paket tabanli bir protokoldür.
IPSec :
Internet Protokol katmaninda gizlilik ve dogruluk saglamaya yönelik güvenlik standartlari grubudur.
Layer-2 Forwarding Protocol ( L2F ) :
Internet’te sanal güvenlige sahip dialup networkler yaratilmasini saglayan bir protokoldür.
Layer-2 Tunneling Protocol ( L2TP ) :
VPN’lerin yürütülmesi amaciyla Cisco Layer-2 Forwarding ( L2F ) protokolü ile Microsoft’un point-to-point Tunneling protokolünü IETF açisindan birlestiren bir standarttir.
Kerberos :
Massachussetts Institute of Technology tarafindan gelistirilmis, anahtar network dogrulama(onaylama) protokolüdür,bunu saglamakiçin DES sifreleme algoritmasi ve merkezilestirilmis database kullanilir.
National Institute of Standards and Technology ( NIST ) :
Amerika Birlesik Devletleri’nin teknik standartlarini belirleyen hükümet aracisidir.
National Security Agency (NSA) :
Amerika Birlesik Devletleri’nin güvenligini ilgilendiren sifrelenmis tüm yabanci baglantilari bildirme yükümlülügü olan hükümet aracisidir.
Network Address Translation (NAT) :
Bir IP adresini baska bir IP adresine çevirme metodudur. Öncelikli olarak Internet gibi baska bir standartta bulunan IP adresi ile iç network’te kullanilan IP adresi arasindaki baglantiyi kurmakta kullanilir.
Nonrepudation :
Kisinin gönderdigi mesaji ya da yapmis oldugu faaliyeti inkar etmesini önleyen bir sifreleme özelligidir.
Packet Filtering :
Tüm yönlendirilebilir data akisinin paket paket denetlenmesidir.
Ping :
Baska bir aygitin varligini ve operasyon kabiliyetini saptamaya yönelik komuttur.
Ping of death :
Atak yapan kisiler büyük miktarlarda ping paketleri gördüklerinde, alici makine bu büyük boyuttaki paketlere cevap vermeye çalisir fakat bu sirada çöker.
Point-to-point Tunneling Protocol (PPTP) :
Windows 95 ve 98 isletim sistemlerinden VPN hizmetine geçmek için kullanilan Microsoft temelli standarttir.
Private key :
Sifrelenen verinin, dijital imzanin sifresinin çözülmesi ve dogrulanmasi için kullanilan koddur. Gizli tutulur ve sadece sahibi tarafindan bilinir.
Proxy :
Baska bir sistem adina islem yapan bir alettir. Firewall ile ilgili oldugunda; proxy, gelen data akisini yavaslatarak, paketlerin kontrolünü yapar.
Public key :
Sifrelenen verinin sifresinin çözülmesi ve dogrulanmasi için kullanilan koddur, genis kitleler tarafindan kullanilabilir.
Public key infrastructure :
Güvenilir, ayni zamanda etkili sertifika yönetim sistemidir.
Remote Access Dial-in-Service (RADIUS) :
Livinston Enterprise Inc. Tarafindan gelistirilmis, erisim sunucularini dogrulayan bir network protokolüdür.
Risk analysis :
Güvenlik risklerini teshis eden, etkilerini belirleyen ve önlem alinmasi gereken bölgeleri belirleyen bir islemdir.
RSA (Rivest, Shamir, Adelman):
Verileri sifreleyen, dijital imzalari dogrulayan ve gelistiricilerinin adiyla anilan anahtar sifreleme yöntemidir.
Scanner :
Girisimci sinif program inceleme uygulamasidir, kullanicinin network güvenlik açiklarini hacker’dan önce saptamasini saglar.
Security monitoring :
Düzenli testler ve Security Posture Assessments’lar ile network’ün güvenlik altinda tutulmasidir.
Security perimeter :
Mevcut network’ün güvenligini saglamak amaciyla konulan güvenlik kontrolleridir.
Security policy :
Network hizmetlerinin yayilmasini ve güvenlik politikalarini sürekli olarak kontrol eden yüksek seviyeli talimatlardir.
Shunning :
ACL bir atak denemesini fark ettiginde saldiran kisinin IP adresinden gelen paketlerin bir süre için router’a iletimini durdurur. Daha sonra Cisco router dinamik olarak kendini tekrar konfigüre eder.
SMURF Attack :
Hacker tarafindan kötü amaçla gönderilen çok sayida IP numarasi belli olmayan ping paketleri broadcast adreslerine gönderildiginde bu paketler büyütülüp gelen adreslere gönderilir. Bu büyütme islemi kaç kisinin cevap verdigine baglidir.
Spoofing :
Yetkili bir kullaniciymis gibi bir aygita erisim denemesidir.
Terminal Access Control System Plus (TACACS+) :
AAA protokolü öncelikli olarak dialup baglanti yönetimi için kullanilir.
Triple DES :
Bilgi paketlerinin sifreleme/sifre çözme/sifreleme/’sini yapan DES algoritmasidir.
Tunnel :
Iki nokta ya da üçüncü sahis konumundaki network arasindaki sifreli baglantidir.
Virtual Private Network (VPN) :
Bir network ile digeri arasindaki tüm data akisini sifreleyerek, IP data akisina genel TCP/IP network’ü üzerinde güvenli baglanti saglar.
Vulnerability :
Güvenlik prosedürlerinde, network dizayni ya da uygulamalarin ortak güvenlik politikasini bozucu sekilde istismar edilebilecegini gösteren zayifliktir.
Web server(Apache) için mod_dosevasive kurulumu (DOS Saldırılarını engelleyin)
Modülü kurmadan önce şunu belirtelim bu mod serverda yüklü olan frontpage extensios'ların doğru olarak çalışamamasına sebep olabilmektedir.
MOD_DOSEVASIVE(Apache DoS Evasive Maneuvers Module):
Mod_dosevasive apache için DoS , DDoS ve brute force saldırılarını engellemek için yazılmış bir modüldür.Firewall ların genellikle etkisiz kaldıkları get,post tipi saldırılarda özellikle yeteneklerini göstermektedir.Böylece sunucunuza aşırı yük binmeden kendini toparlıyabilmesini sağlamaktadır.Kolayca firewall ,router,ipchain,iptables ile anlaşabilecek şekilde modülü ayarlıyabilirsiniz böylece saldırganların sunucudan firewall seviyesinde yada router seviyesinde atılmasını sağlayabilirsiniz.Genel olarak yaptığı işi inceliyelim kullanıcı sunucudaki bir siteye devamlı get,post,put gibi istekler gönderiyorsa mod_dosevasive tarafından kara listeye alınıyor sizin belirlediğinz süre boyunce kara listeye alınan kişi sunucuya istek göndermeye devam edebilir ama alacağı http 403 forbidden(yasak) cevabını alır.Bu istekelr devam etse bile sunucunuz yorulmayacaktır.Kendi deneyimlerimi yazının en sonunda paylaşacağım.Eğer firewall yada router ile anlaşabielcek şekilde ayarlarsanız mod_dosevasive yı kara listeye alınan kullanıcı bekletilmeden direk sunucudan uzaklaştırılıcaktır.
Teknik Detaylar:
Tarama işlemi oluşturulan bir dinamik hash tablosunun kontrolu ile yapılır.Bu tablodaki ipler aşağıdaki standart kurulum değerlerini gösteriyorsa kara listeye alınır.
*Saniyede aynı sayfayı birden fazla istek yapılmışsa.
*Aynı çocuk süreç üzerinden 50 istek yapıldı ise.
*Kara listeye alındığı halde istek yapılıyorsa.
bu genellikle bu aralar çok yaygın olarka yapılan http flood scriptlerinden sunucuyu korumaktadır.Hem cpu kullanımını minimal de tutarken hemde sunucuyu bandwith türü yapılan saldırıladan korur.Belirlenen süre içinde engellenen kullanıcılar süre bittiğinde sunucuya takrar istek gönderebilir tabi firewall yada router ile sunucudan atılmadı ise.Sunucudan yaskalı olan ip listesi /tmp dizininde saklanmaktadır ve mod_dosevasive tarafından kontrol edilmektedir
Kurulum İşlemleri
Apache 1.3.x için kurulum detayları.
1.) /usr/local/src dizinine geçiyoruz.
[syntax="php"]cd /usr/local/src[/syntax]
2.)Dosyayı sunucuya indiriyoruz.
[syntax="php"]wget http://www.nuclearelephant.com/projects ... .10.tar.gz [/syntax]
3.)Sıkıştırılmış arşiv dosyasını açıyoruz.
[syntax="php"]tar -zxvf mod_dosevasive_1.10.tar.gz [/syntax]
4.)Mod_dosevasive nin klasörüne giriyoruz
[syntax="php"]cd mod_dosevasive [/syntax]
5.)DSO desteği ile yüklüyoruz.
[syntax="php"]/etc/httpd/bin/apxs -cia mod_dosevasive.c [/syntax]
Apache 2 için kurulum adımları
1.)httpd devel paketini kurarak başlıyoruz.
[syntax="php"]up2date -i httpd-devel [/syntax]
2.) /usr/local/src dizinie geçiyoruz
[syntax="php"]cd /usr/local/src [/syntax]
3.)Dosyası sunucuya indiriyoruz.
[syntax="php"]wget http://www.nuclearelephant.com/projects ... .10.tar.gz [/syntax]
4.)Arşiv dosyasını açıyoruz
[syntax="php"]tar -zxf mod_dosevasive_1.10.tar.gz [/syntax]
5.)Mod_dosevasive klasörüne giriyoruz
[syntax="php"]cd mod_dosevasive [/syntax]
6.)DSO modülü olarak kuruyoruz
[syntax="php"]/usr/sbin/apxs -cia mod_dosevasive20.c [/syntax]
Ayarların Yapılması
Apache 1.3.x için
1.)Apache nin ayar dosyası olan httpd.conf dosyasını açıyoruz.
[syntax="php"]pico -w /usr/local/apache/etc/httpd.conf[/syntax]
2.)Ctrl+w tuşlarına basarak gelen arama ekranına AddModule mod_dosevasive.c yazıyoruz.Bu kısmın hemen altına aşağıda vereceğim değerleri yazıyorsunuz.
[syntax="php"]
DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 100
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 600
3.)Tekrar ctrl+w tuşlarına basın gelen arama ekranına MaxRequestsPerChild MaxRequestsPerChild = 0 değerini görüceksiniz o değeri MaxRequestsPerChild 10000 olacak şekilde değiştirin.Bu sayede mod_dosevasive süresi dolan hash leri temizleyecektir.Ayrıca gene httpd.conf ta keepalive yazan kısım on olarak kalsın off yaparsanız çalışmayacaktır.
4.)Ctrl+x tuş kombinasyonunu kullanarak dosyayı kaydedip çıkın.
5.)Apache yi yeniden başlatın.
[syntax="php"]/etc/init.d/apache restart [/syntax]
Apache 2.x için ayarların yapılması
1.)Apache ayar dosyası olan httpd.conf dosyasını açın
2.)LoadModule mod_dosevasive.c yazan yeri bulun altına aşağıdakileri ekleyin.
[syntax="php"]
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
DOSBlockingPeriod 600
3.)Tekrar ctrl+w tuşlarına basın gelen arama ekranına MaxRequestsPerChild MaxRequestsPerChild = 0 değerini görüceksiniz o değeri MaxRequestsPerChild 10000 olacak şekilde değiştirin.Bu sayede mod_dosevasive süresi dolan hash leri temizleyecektir.Ayrıca gene httpd.conf ta keepalive yazan kısım on olarak kalsın off yaparsanız çalışmayacaktır.
4.)Dosyayı kaydedip apache yi yeniden başlatın.
Eklenen Değerlerin anlamları
DOSHashTableSize:
Her çocuk süreçteki en üst seviye nodlarının büyüklüğünü belirtir.Bu değeri yükseltmek performans artışını sağlayacaktır fakat aynı zamanda kayıtların kontrolu daha seyrek yapılıcaktır.Eğer yoğun bir sunucunuz varsa bu değeri yükseltin .
DOSPageCount:
Aynı sayfaya gelebilecek belirli bir süredeki istek sayısıdır.Belirli bir süre değeri DOSPageINterval değeri ile ayarlanır.Eğer bu istek sayısı aşılırsa ip kara listeye alınır sunucuya ulaşmaya çalıştığında 403 forbidden yanıtını alır.
DOSSiteCount
DOSSiteInterval değerinde belirtilen sürede siteden çekilebilecek obje,nesne sayısıdır.Resimler, style sheets, javascripts, SSI
DOSPageInterval
DOSPageCount değeri için ayarlanıcak saniyedir.
DOSSiteInterval
DOSSiteCount değeri için ayarlanıcak saniyedir.
DOSBlockingPeriod:
Kara listeye alınan iplerin 403 forbidden yanıtını alacağı saniye cinsinden süredir bunu yüksek tutmaya çalışın 10 dakika gibi yani 600
DOSEmailNotify
Herhangi bir saldırı olduğunda maillerin gideceği e-posta adresi.
DOSSystemCommand:
Sistem tarafından icra edilebilecek komutlar.
Kişisel Deneyim:
Daha önce http flood scriptlerini engellemek için bir çok firewall,apache için eklenti kurdum denedim ve çoğu gerçekten bir işe yaramıyordu kanatimce yada beklediğim şekilde etki etmiyordu örneğin mod_throotle dosevasive varken bunu kesinlikle kurmayın derim modu deneme platformum p4 2.4 1024 ram yaklaşık 80 siteyi barındıran orta yoğunlukta bir server modülü önce firewall ile iletişim kurmayacak şekilde kurdum böylece kara listeye alınan bir ip hemen serverdan uzaklaştırılmayacak 403 mesajları gönderilicekti.İlk denemememi 1024 k adsl ile yaptım %0.5 seviyesinde seyreden server load ve %30 seviyesinde seyreden ram saldırının birinci dakikasında yük yoğunluğu 60 a ram kullanımı 70 civarına çıktı modülün logları incelemeye başlaması ile 60 a çıkan yük yoğunluğu saldırıya devam etmeme rağmen 10 dakika içinde 1.3 seviyesine indi buda bu kadar ağır bir saldırı için çok normal hehrangi bir önlem alınmamış bir serverda böye bir saldırı yani dinamik php sayfalarına devamlı get isteği gelmesi önce apache yi failler sonra mysql u ve sunucunun kendine gelemiyeceğine garanti veririm.Yaklaşık 1.30 saat kadar saldırıyı sürdürdüm bu sürede ortama process sayısı
167.23 requests/sec dır görüldüğü gibi aşırı fazla bir sayı saldırı sırasında 30-40 arası olan ram kullanımı 80 e çıktı buda gayet doğal bir olay çünkü linux un işleyişi windows gibi değildir elindkei bütün işlemleri olabildiğince ram e yazar yeterli bellek kalmadığında ise bunları boşaltır ama benim görüşürüz 2gb ram li bir sunucuda bu tür ağır bir http flood un mod_dosevasive ile hiç bir etkisi olmayacaktır.APF firewall u mod_dosevasive ile iletişim kuracak şekilde ayarladığımda ise saldırı yaptığım ip 3 dakika içinde sistemden uzaklaştırıldı.
Benim kullandığım kurallar biraz daha agrasif olmasına karşın serverda çok yoğun siteler olmadığı için çok iyi sonuç verdiğini düşünüyorum.Agrasif kural zinciri
[syntax="php"]
DOSHashTableSize 3097
DOSPageCount 1
DOSSiteCount 25
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 600
mod_dosevasive nın Firewall ile yardımıyla kara listeye alınanları sunucudan uzaklaştırması
1.)Konsolda root iken visudo yazın.Dosyanın en altına girip şunu ekleyin
[syntax="php"]nobody HOSTNAME = NOPASSWD: /usr/local/sbin/apf -d * [/syntax]
Burada hostname kısmına kendi hostname inizi yazın bunu öğrenmek için konsolda hostname komutunu kukkanabilirsiniz.Benim hostname im root.abcd.com diyelim oraya
[syntax="php"]nobody root. = NOPASSWD: /usr/local/sbin/apf -d * [/syntax]
yazıyorum. Kaydetmek için ESC tuşuna basın ve ardından qw tuşlarına basıp enter deyin.
2.)Apache ayar dosyası olan httpd conf dosyasını gene açıyoruz
[syntax="php"]pico -w /usr/local/apache/conf/httpd.conf [/syntax]
3.)Daha önce eklediğimiz kısımı buluyoruz
DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 100
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 600
hemen altına şu 2 satırı ekliyoruz
[syntax="php"]DOSEmailNotify email@adresiniz.com
DOSSystemCommand "sudo /usr/local/sbin/apf -d %s" [/syntax]
kendi mail adresinizi değiştirmeyi unutmayın.
4.)Dosyayı kaydedip çıkıyoruz ve apache yi yeniden başlatıyoruz
[syntax="php"]/etc/init.d/apache restart [/syntax]
5.)Artık kara listeye alınan ipler firewall tarafından sistemden uzaklaştırılıcaktır
Genel Server Güvenliği
Genel Server Güvenliği
%100 server güvenliğini sağlamanın tek yolu o serverın fişinden geçmektedir. En güvenli server fişi çekik serverdır.
Bunun dışındaki tüm methotlar sadece server güvenliğini arttırmak içindir. Aşağıda server güvenliği ile ilgili verilmiş
bilgiler genel bilgiler olup kullanıcıya göre değişebilmektedir.
vi, pico vb editorler kullanılarak aşağıdaki satırlar /etc/sysctl.conf içine eklenmelidir
# disable packet forwarding net.ipv4.ip_forward = 0 # enable source route verification
net.ipv4.conf.all.rp_filter = 1 # ignore broadcast pings
net.ipv4.icmp_echo_ignore_broadcasts = 1 # enable syn cookies
net.ipv4.tcp_syncookies = 1 # size of syn backlog
net.ipv4.tcp_max_syn_backlog = 512 # disable automatic defragmentation #
set max files fs.file-max = 32768 # Enable IP spoofing protection, turn on
Source Address Verification net.ipv4.conf.all.rp_filter = 1
# Enable TCP SYN Cookie Protection net.ipv4.tcp_syncookies = 1
# Enable ignoring ping request net.ipv4.icmp_echo_ignore_all = 1
Bu ne yapar?
Bu kodlar linux işletim sisteminin kendisi tarafından kullanılmaktadır. Bu kodlar sisteme ping, icmp, isteklerini
redetmesini ve SYN korumasını devreye alınmasını, network forwarding in engellenmesini sağlar. Ancak bu değişiklik
yapıldıktan sonra server reboot edilmelidir.
/etc/rc.local, içine aşağıdaki kod eklenmelidir
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > done
echo 1 > /proc/sys/net/ipv4/tcp_syncookies for f in /proc/sys/net/ipv4/conf/*/accept_source_route;
do echo 0 > done echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
Bu kısım bir önceki kısımla aynıdır ve bu isteklerin rededilmesi işlemini tekrar, başka bir guvenlik katmanıdır.
/etc/host.conf, içine aşağıdaki kodlar eklenmelidir , tabi içinde yoksa
# Lookup names via DNS first then fall back to /etc/hosts.
order bind,hosts
# We have machines with multiple IP addresses.
multi on
# Check for IP address spoofing.
nospoof on
/etc/hosts.deny içine aşağıdaki kod eklenmelidir
ALL: PARANOID
Burada bir önceki işlemde yapılan spoofing korumasını arttırılması sağlanır.
Firewall linux server için en önemli ihtiyaçtır. Firewall olmaksızın linux server tamamı ile tehlike altındadır
denilebilir , firewall ile server güvenlik altındadır ve korunabilir diyebiliriz ancak unutlmamalıdır ki hiç bir
firewall %100 güvenlik sağlamaz.
Kernel bilgilerini aramalı ve bulmalısnız. Hatta kişisel kernel derlemeside yapabilirsiniz, (eğer linuxde çok iyi
bir kullanıcı değilseniz kesinlikle bu işlem önerilmez) veya RPM kullanabilrsiniz
Kernel derlemesi local olmayan makinalarda kesinlikle önerilmeyen bir işlemdir. Sebebi ise , eğer bir şeyler ters
giderse sizin power düğmesine basıp kapatacak şansınız olmayacak ve tek kullanıcı modunda serverı başlatamayaaksınız.
Data Center ı beklemeli bir destek isteğinde bulunmalı ve onların yanıt vermesini beklemek zorunda kalacaksınız.
Buda hem büyük zaman kaybı, hem oldukça yavaş hem de çok maliyetli bir işlemdir.
Diğer uygulamalar yapılan konfigurasyon değişiklikleri sistem aşırı yükünü vb sorunları engelleyecektir.
Örnek
proftpd:
/etc/proftpd.conf, içine aşağıdaki kod eklenebilir
TimeoutIdle 600 TimeoutNoTransfer 600 TimeoutLogin 300 MaxInstances 30 MaxClientsPerHost 2
mysql için:
/etc/my.cnf
[mysqld] port = 3306 skip-locking
set-variable = max_connections=100
set-variable = max_user_connections=20
set-variable = key_buffer=16M
set-variable = join_buffer=4M
set-variable = record_buffer=4M
set-variable = sort_buffer=6M
set-variable = table_cache=1024
set-variable = myisam_sort_buffer_size=32M
set-variable = interactive_timeout=100
set-variable = wait_timeout=100
set-variable = connect_timeout=10
set-variable = thread_cache_size=128
ve son olarak, /etc/rc.local, içine aşağıdaki kod eklenebilir.
TMOUT=180 export TMOUT
Bu kısım serverda 3 dk hareketsiz duran herkesle bağlantısını kesecektir.Bu rakamı değiştirerek zamanı da
değiştirilebilir, örnek 300 yapıldığında bu 5 dk olacaktır
Güvenliğin bir seviye daha artırılması için aşağıdaki gibi bir uygulama yapılabilir
ssh erişimi kısıtlaması
in /etc/hosts.deny
sshd: ALL
in /etc/hosts.allow
Code:
sshd: host.ip.number.1,host.ip.number.2,etc
Tweak Security WHM Güvenliği
Evet whm den Server Setup Bölümünden tweak security bölümüne giriyoruz
http://members.lycos.co.uk/anlatim/res/server5.jpg
Php open_basedir Tweak
Php's open_basedir protection prevents users from opening files outside of their home directory with php
ile başlıyoruz açıklamasındada dediği gibi biliyorsunuz php kullanılarak shell e ihtiyacınız olmadan aynı shell deymiş gibi bütün komutları filan istetebilirsiniz tabi php safe modda değil ise php open_basedir protection ın altındaki configure tuşuna basıyoruz ve yeni aaçılan menuden
Enable php open_basedir Protection.
bu şıkkı işaretliyoruz herhangi bir siteyi bu korumanın dışına almak için sitenin adının yanındaki kutuya işaret koyuyoruz
2. seçeneğimiz
mod_userdir Tweak
Apache's mod_userdir allows users to view their sites by entering a tilde(~) and their username as the uri on a specific host. For example http://test.cpanel.net/~fred will bring up the user fred's domain. The disadvantage of this feature is that any bandwidth usage used by this site will be put on the domain it is accessed under (in this case test.cpanel.net). mod_userdir protection prevents this from happening. You may however want to disable it on specific virtual hosts (generally shared ssl hosts.) yazan kısım çoğu host sahibi bunun ne olduğunu bilmez ama çok önemli bir olay ben bunla yalan olmasın hosttan 600 gb bw yemiştim bunun olayı şu eğer bu korumayı açmadı iseniz ve ana serverınızın ipsi 10.0.0.2 diyelim adamın adamında www.denem.com diye bir sitesi var ve kullanıcıadıda deneme
http://10.0.0.2/~deneme yazarak kendi sitesine girer bu korumayı açarsanız ve kendi bw sinden yiyor gözükmez :)
evet bu seçeneğin altındaki
Enable mod_userdir Protection.e basıyoruz ve korumayı aktif ediyoruz hehrangi bir sitenin bu korumadan yararlanmamasını istiyorsanız sitenin adresinin yanındaki kutuya işaret koyuyorsunuz
3. olayımız
This tweak will disable the system's c and c++ compilers for unprivileged. Many canned exploits require a working c on the system. You can also choose to allow some users to use the compilers while they remain disabled by default. bu gerçekten çok önemli derleyicileri izini olmayan kullanıcılar için kapatıyorsunuz yani sizin sisteminize ezzploit indirip bu sistemde derliyemezler tabi yani çok aman aman bir koruma değil işini bilen her şekilde yapar ben kendi makinamda derler buraya yükler burda çalıştırırım gene ama genelde bu işlerle uğraşanlar script kiddie dediklerimiz oldukları için derinlemesine bu konulardan anlamazlar
gene configuder ye basarak disable compliers ı seçiyoruz
4. olayımız
Traceroute Tweak
This tweak will disable the system's traceroute utility. traceroute seçeneğini cpaneldeki menulerden kaldırır bence sistem stabili,tesi için kaldırılmalı buraya kasan birisi gerçekten sistemi yavaşlatabilir
5. olayımız
This SMTP tweak will prevent users from bypassing the mail server to send mail (This is a common practice used by spammers). It will only allow the MTA (mail transport agent), mailman, and root to connect to remote SMTP servers. çoğu serverda sisteme login olabilmeden bile temel komutlarla o sistemden mail gönderilebilmektedir bu olay ise bu dediğimiz şeyi önlemektedir
configureye basıyoruz
Allow connections to localhost on port 25. seçeneğini seçiyoruz
Online Md5 Hash Kırıcılar
http://www.hashfind.info
http://md5decrypter.com
http://gdataonline.com
http://md5.hashcracking.com
http://milw0rm.com
http://md5search.org
Bu adresler alanında en kalitelerinden.Md5 hashları kırmada bunları bunları kullanmanızı öneririm.
Saldırı Yapan IP yi Banlamak ~ Güvenlik ~
Bazı arkadaşlarımızın D-Dos gibi saldırılara maruz kaldığını bunu nasıl önleyebilirim gibi sorular sorduğunu her zaman görmekteyiz.Ya da belli bir ipden bağlantı yapılmamasını istemektedirler.Forum sa site daha kolay bir şekilde ip ban yapabilirsiniz fakat özellkle kişisel sitelerde ip banlamakta sıkıntıları olacaktır.O yüzden size bir kod vereceğim bunu uygulayacaksınız.
Öncelikle Serverınız Php tabanlı olmalı ya da php desteklemelidir.
Code :
$handle = fopen("BlackList.txt", "r");
$tmp = fread($handle, filesize("BlackList.txt"));
fclose($handle);
$list = explode("\\n", $tmp);
for ($i=0; $i <> $_SERVER[’REMOTE_ADDR’]) {
header(’Location: http://kendisiten.com’);
}else{
echo ("IP Adresiniz yasaklanmıştır.Tekrardan Girmeye Çalışmanız Dahilinde Yasal İşlemler Uygulanacaktır.");
header("HTTP/1.1 403 Forbidden");
exit;
}
}
?>
Code Download : http://rapidshare.com/files/178705064/ip.rar
Rar Şifresi : THE_MILLER
Koddanda anlaşılacağı gibi BlackList.txt adı altında bir txt oluşturacaksınız.
Oluşturdğunuz txt ye banlamak istediğiniz ip leri alt alta gelecek şekilde yazacaksınız misal ;
85.11.156.2
275.11.175.1
gibi.
Bu şekilde yazarsanız o ipden giriş yapacak kişi siteye giremez ve "IP Adresiniz yasaklanmıştır.Tekrardan Girmeye Çalışmanız Dahilinde Yasal İşlemler Uygulanacaktır."Uyarısı ile karşı karşıya kalır.Göz korkutmak amaçlı gerçekten işe yarayabilir bu uyarı.
Saygılar THE_MILLER
LFI Local File İnclude (Kaliteli Döküman)
Giriş :
Local File İnclude Rfi kadar işlevselliği olmayan ama her Hacker adayı için bilmesi gereken bir açık türü olan LFI yi anlatacağım.
THE_MILLER
LFI Nedir Peki ?
Lfı uzaktan servera dosya ekleme dahil etme anlamına gelir.
THE_MILLER
Lfi Rfi Kadar Etkilimidir Acaba?
Rfi kadar etkili olamasada yeterlidir.
Bunları anladık Peki miller Bunun Kullanımı Nasıl ?
include (’data/$miller/function.php’);
?>
THE_MILLER
burda gördünüz gibi rfi olarak düşünürsen miller
tanımlanmamış .
fakat bu lfi de shell olarak kullanılamaz tanımlanmayan degişken (miller)kullanılarak dosya okunabilir yukarıdaki kodu Cyber.php olarak kaydedin
THE_MILLER
Daha sonra
http://www.herhangisite.com/Cyber.php?miller=../../../Cyber-Warrior
dosyası okunabilir izin varsa okunur bu
açıkla neler yapılır ?
etc/passwd , config okuruz ya da ftp alırız ...
LFI açığını Nasıl Kapatıcağız Miller ?
THE_MILLER
$miller=’sdwd’
include (’data/$miller/function.php’);
?>
bu kod sayesinde açık kapaır çünkü miller ’i burda tanımladık
http://www.herhangisite.com/Cyber.php?miller=../../../Cyber-Warrior
THE_MILLER
yaptığınız an LFI çalışmaz
THE_MILLER
Örnek LFI :
b http://charlotte-wilson.net/view.php?list=..%2F..%2F..%20%2F..%2F..%2F..%2F..% 2F..%2F..%2F..%2Fetc%2Fpasswd/b
Not: Lfi açığı olan sisteme kod enjekte edilmiş bir jpg dosya atılarak server üzerinde işlem yapılabilir.
ÖrnEk bir LFI açığı ve Kullanımınıda Vereyim :
Mini File Host = 1.2 LFI Vulnerability
THE_MILLER
AUTHOR : Scary-Boys
Download : color=#0000cc http://galaxyscripts.com/forum/downloads.php?do=file&id=1
DorKs : "Powered By Mini File Host V1.2"
EXPLOIT : * http://site.com/Path/pages/upload.php?language=[-LFI-]
Powered By Mini File Host V1.2 googlede arayın sonra buldugunuz sitenin sonuna
pages/upload.php?language=[LFI] benim bildigim tek LFI kod : ../../../../etc/passwd [LFI] yazan yeri silip bu kod yapıştırın
THE_MILLER
Bu döküman THE_MILLER ’e aittir izinsiz kullanımı yasaktır!
Konu ile ilgili daha fazla bilgi ve örnek lazımsa belirtin.
Umarım faydalı bir döküman olmuştur
Saygılar // THE_MILLER
Lfi (Local File include) Kullanım ~Video~
LFI ( LocaL File Include ) Kullanım :
Lfi nin Kullanılmasını, Bazı döngülerin ne işe yaradığını ,Bazı kodların işlevselliğini,Bunlarla neler yapabileceğinizi uygulamalı olarak hedef sitede göstermiş bulundum.
Video Download: http://rapidshare.de/files/41277270/Lfi.rar.html
Alternatif : http://www.2shared.com/file/4581159/2cf80f5/Lfi.html
Rar Şifresi : THE_MILLER
Videoyu izleyemeyenler BURADAN codec indirip izleyebilirler.
Vermiş olduğumuz Videolar Sadece Güvenlik amaçlı bilinçlenmeniz amacıyla verilmektedir.
SaygıLar THE_MILLER
Paket Gönderici
100 mbit lik yerel ağda ağın gerçek hızını tespit edebilmek için bir uygulama geliştirmeye çalışıyorum.
Mantık şu: 1500 byte büyüklüğündeki paketlerden 1 sn. de 10 tane göndersek 15.000 byte=120.000 bit=~117 mbit.
Bu arada birim zamanda gönderilen paketlerin kaç tanesinin alındığını kayıt ederek, 1 dakikalık test sonunda alınan paket / alınması gereken paket ile ağın pratikteki hızını tespit etmeye çalıştım.
Önce, çok kısa beklemeler ile (normalde 10 ms. de bir paket göndermem gerekirken) 1 ms. civarında bekleyerek veri gönderip almayı denedim. Bilgisayarı bırakıp dışarı çıktım. 3 saati aşkın bir süre sonunda baktığımda şu sonuçla karşılaştım:
Resimdeki gönderilen paket değerine baktığınızda 3 saat 19 dakikada 12 milyar 884 milyon değeri görünüyor ki, ne teoride ne de pratikte bu kadar paket göndermek mümkün değil. Kullandığım Switch Cisco Catalyst, her iki pc deki ethernet kartı Intel, yani ağ donanımında sorun olmamalı idi.
Anladığım kadarıyla TCP/IP stack’i arka arkaya çok fazla raw paket gönderilmeye çalışıldığında bunu engelliyor. http://research.eeye.com/html/tools/RT20060808-1.html adresinde XP SP2 ve w2k3 te TCP SYN paketlerinde böyle bir durumun söz konusu anlatılıyor.
Stack in çöküp çökmediğini kontrol etmek için Internete bağlanmayı denedim. Maalesef bağlanamadı.
Sonuç: Microsoft’un ethernet sürücülerine direk çok hızlı yüklenildiğinde stack çok kısa sürede çöküyor ve ne veri girişine ne de çıkışına izin veriyor!
Bekleme değerlerini daha normal değerlere düşürüp, VOIP ya da MMS stream gibi mantıklı paketler oluşturup veri alışverişi yaparak hız testini yenileyeceğim.
Merak ettiğim konulardan biri ise Microsoft TCP/IP stack’inin (özellikle Vista) Gigabit network e bağlı olduğunda ne kadar dayanabileceği. Kısa vadede eve Gbit networku kurmayı düşünmediğimden bu testi bir süre daha ertelemem gerekli.
/tmp Klasörü Güvenli mi?
Unix tabanlı işletim sistemlerinde /tmp klasörü (adı üzerinde olduğu gibi) geçici dosyaların kopyalandığı klasördür. (Windows taki Local Settings/Temp klasörü gibi). Geçici depolama alanı olduğundan aynı anda bir çok kullanıcı hatta işlem (process) kullanıcıları bu alanı kullanmak zorundalar. tmp klasörü güvenliğini sağlarken sadece belli kullanıcılara yazma hakkı vermek gibi bir durum söz konusu değil.
Ancak backdoor, trojan, botnet gibi programlar da kendilerini güvenilir bir yer olan tmp klasörüne saklayabiliyorlar. Ancak tmp klasörüne kopyalanan dosyalar çalıştırılamaz şekilde ayarlanırsa /tmp ile ilgili güvenlik riskleri ortadan kaldırılmış olur.
Bunun için:
dev klasörüne girin
cd /dev
Yaklaşık 200 MB lık yeni bir alan oluşturun. Daha fazlası lazım ise (neden ki) count değerinden değiştirebilirsiniz.
dd if=/dev/zero of=tmpMnt bs=1024 count=200000
Dosya sistemini oluşturun
/sbin/mke2fs /dev/tmpMnt
Eski /tmp klasöründeki dosyalar lazım ise yedeğini almayı unutmayın!
Yeni oluşturduğunuz alanı tmp klasörüne maount edin
mount -o loop,noexec,nosuid,rw /dev/tmpMnt /tmp
Yeni tmp klasörünün yeni izinleri:
chmod 1777 /tmp
Bilgisayarın her açılışında /tmp klasörüne oluşturduğumuz alanın mount edilmesi için:
Kullandığınız editör ile /etc/fstab dosyasını açın, fstab dosyasının en alt satırına:
/dev/tmpMnt /tmp ext2 loop,noexec,nosuid,rw 0 0
Dosyanın üstündeki satırlara göre tab ları ayarlayabilirsiniz.
Artık tmp klasörünüze bir shell dosyası koyarak chmod +x yaparak çalıştırmayı deneyebilirsiniz.
Not: Bu işlemleri dikkatsiz yapmanız durumunda bilgisayarınız yeniden başlamayabilir, tmp klasörü kullanılamaz hale gelerek bir çok program hatalar üretebilir. Dikkatle ve başka yerlerden de araştırarak uygulayınız.
Google XSS Güvenlik Açığı & Korunma
Google XSS Güvenlik Açığı & Korunma
İnternet diyince akLımıza GeLen iLk site kesinLikLe google ’dır.
En Büyük arama motoru oLan google da da bazı açıklar buLunabiLmektedir.
google Döküman hizmeti içerisinde yapılan cross site scripting (xss) saldırısı iLe cookielerin (çerezlerin) ele geçirilerek google’ın diğer servisLerine sızmak mümkündür.Bunuda buLanLardan birisinide buLan Billy Rios dur.
THE_MILLER
Attackerlar tarafından hazırlanan dökümanın içine javascript kodu gömerek bu dökümanları okuyan kişilerin cookie lerini çekebilmek mümkündür. Bu cookilerde bazı dönüştürücü programlar ile dönüştürülerek text tabanlı CSV dosyası olarak oluşturulup IE’de HTML olarak görünebiliyor. VE o dökümanı açanların cookileri Attackerlara gidiyor.Ve bu bilgilerlede özellikle gmail bilgilerini ve hesaplarını ele geçirebiliyorlar.Her ne kadar bu açıkların fixlenmesi için google yetkililerine belirtselerde google da hele hele bu aralar Scriptkiddie’nin de çalışmaları sonucu bir çok xss açığı saptamak mümkündür vede bunun yetkililerin fixlemesi biraz zaman alır.Çünkü Xss konularında onların pek bir bilgisi olduğunu zannetmiyorum ki;
THE_MILLER
http://www.google.com/search?hl=ar&q=
http://www.google.ae/search?hl=ar&q=&meta=Bu ve bunun gibi xsslerin kapanması bile baya bir zaman almıştı.
THE_MILLER
google Xss SaLdırıLArından NasıL KorunabiLiriz ?
1) CWXss Security veya Microsoft Xss Security gibi programalrı yükleyip xss ataklarında uyarıyı alarak bunu engellemek.
2) Ie tarayıcılarının dışında özellikle mozilla opera gibi tarayıcıları kullanmalısınız .
3) Mozilla kullanıyorsanız No script eklentisini kurup aktif etmek.
4) Mailden gelen Linkleri tıklayarak değil kopyalayıp internet tarayıcınıza yapıştırıp giriniz.cookie çekilimini engeller.
5) Tanımadığınız kişilerden gelen LinkLeri Tıklamamak.Her türlü saLdırı oLabiLeceğini göz önünde buLundurmak gerekir.
6) Özellikle Security Siteleri ve forumlarına güncel haberlere bakıp SaLdırı ihtimallerine karşın her an hazır olda beklemek lazım.Yeni bir google açığı bulunduğunda dahada bir tedirgin ve dikkatli olmak lazım.En önemlisi bilinçLi oLmak Lazım !
Son Çıkan google daki gelişmeler ve haberler sonucu bu dökümanı yazmakta karar KıLdım.Umarım önleminizi alırsınız.
THE_MILLER
ProFessionaL Security Karşınızda
Merhaba Arkadaşlar ;
Uzun süre düşündüm ve sonunda bir blog açmaya karar verdim.Globalleşen Sanal Faaiyetlerde artık böyle bir blogun açılması gerektiğini düşündüm web Security ile ilgili bilgilendirmeler yaparak sizlere kaliteli bir hizmet anlayışı sunacağım.
Kişisel Güvenlikten Kitle Güvenliğine kadar pek çok konuyu ele alacağım.
Hadi hayırlı olsun :)