FriendFeed - Kerem ÇELİKER
8.28.2009
Exchange Server 2010 'da Anti-Spam ve Antivirus Yapısı
Devami için Tıklayın
8.21.2009
Cross Site Scripting Attack Yapısını Anlamak ve Korunmak
Ama tabiki her güzelin bir kusuru vardır... Peki Bu söz edilen kusur nedir ?
Tek bir site veya diğer sitelerle birlikte üzerlerinde komut dosyası çalıştırmaya "Cross Site Scripting" denilmektedir. Günümüzde bu isim "XSS Attack" ismiyle de beraber kullanılmaktadır.
Hazırlık Aşaması ;
Saldıran kişiler, öncelikle sitenin Header dediğimiz bilgilerine bakarak gerekli bilgilere ulaşırlar. Ardından sitenin HTML,PHP,ASP veya farklı tabanlı bir sayfaya mı saldırı yapacağına karar verir. Arkasından "URL" tabanı girdileri ve source kodları ile karşılaştırarak ve bunları kullanarak sitede öncelikle bu tip bir açık olduğuna bakmaktadır. Bu Açıkları bulmak içinde tabanında HTML ile beraber JavaScript 'i kullanırlar.Bu saldırıları nasıl yaptıklarını kısa örneklerle yazımın devamında bulacaksınız.
Bilgilere Ulaşım ;
Bu bölümde saldırganlar artık heryerde sıklıkla kullanılan PHP tabanlı sitenin bilerine ve Cookie'lerine erişmeye çalışsınlar.İlk aşamada yapmış oldukları çalışmalarda kilit unsur olan kodları artırarak denemeye devam ederler. Bu denemeler sonunda açık bulunan uygulamanın ve sitenin genelde önce cookie'lerini sonrada PHPSID(ID) denilen Kullanıların Siteye giriş yaptıktan sonra kendisine atanmış bir nevi benzetme yaparsak site kimlikleri ele geçirirler. Bu bilgilere ulaştıktan sonra artık yapıcak tek bir adım kalır ki o da zaten saldırmak...
Saldırı Aşaması :
Kişi artık yaptığı çalışmanın karşılığını almış ve saldırıyı ya kendisine fayda sağlamak yada sırf eğlence olsun diye yapacaktır.Artık Edinmiş olduğu PHPSID'leri ve Cookie bilgierini kullanarak kullanıcının giriş yaparak kullandığı oturumu çalarak O sitedeki kişiye ait tüm bilgileri öğrenir ve siteyi yasadığı işler için kullanabilir...
Örnek Uygulamalar #(Saldırı Nasıl Yapılıyor) ;
Yazımın en başınca söylemiş olduğum, bu saldırıların nasıl yapıldığını kısa örneklerle sizlere göstereceğim.Fakat burada göstermiş olduğum örnekleri,sizlerin bir başkasına saldırmanız için değil !! Gelecek saldırının nasıl yapıldığını öğrenerek, savunmanızı nasıl yapmanız gerektiği hakkında bilgilendirmek olacaktır...
SALDIRI ŞEKLİ#1
SALDIRI ŞEKLİ#2
SALDIRI ŞEKLİ#3
SALDIRI ŞEKLİ#4
SALDIRI ŞEKLİ#5
Sizlere 3 aşamada kısaca anlatmış olduğum bu saldırı sıklıkla her gün ve her saat malasasef olmaktadır. Ülkemizde bu saldırı türüne sıklıkla rastlanmakta ve ne yazık ki hiçbir önlem alınmamakta=es geçilmektedir. Yapılan en büyük hata da Uygulamanın yetişmesi ve yayına girmesi için kodlama hatalarıyla beraber, aceleyle online ortama verilmesidir.
Peki bu durumdan korunmak için ne yapılabilir diye soruyorsanız ? Heralde şaka yapıyorsunuz...Bundan korunmak için sayısız yapılması gereken adım bulunmakta ve hergün çıkan yeni açıkları kontrol ederek en baştan yazdığınız tüm kodlamaları gözden geçirerek Secure Coding'e uyarlamanız gerekmektedir.
Fakat sizlere "Cross Site Scripting (XSS)" saldırılarından korunmanız için sağlam ve güzel bir adım olan Anti Cross Site Scripting yazılarını okumanızı öneriyorum. Bununla ilgili içinde geniş anlatımları ve örnekleri olan korunma yollarını anlatan aşağıdaki "Microsoft Anti-Cross Site Scripting" yazısını edinerek okuyabilirsiniz.Burada Microsoft'un yazdığı korunma yöntemlerini önermemin sebebi de ; Online ortamda bulunan uygulamaların büyük çoğunluğunu Microsoft tabanı ile yazılmış ve geliştirilmiş Uygulamalar oluşturmaktadır.
Microsoft Anti-Cross Site Scripting Library V3.0
Unutmamanız gereken de yukarda verdiğim örneklerin dışında saldırgan alışa gelmişin de dışında farklı birçok deneme yapabilir ve yapıcaktırda...Yani "Her yiğidin farklı bir yoğurt yemesi vardır...
Bunu bir başlangıç saymanız ve devamanı getirmeniz içtenlğiyle...
Kerem ÇELİKER
Not: Gelecek Yazılarımla "SQL Injection" Saldırılarının nasıl yapıldığını ve korunma yöntemleri ile ilgili bilgiler vericem. Ayrıca farklı saldırıların nasıl yapıldığı ve korunmanız için dikkat etmeniz gerekenler diye sırayabiliriz şimdilik...
8.19.2009
Oracle 'da Önemli Güvenlik Açığı...
Buna örnek olarak table'larınızı aldığınız ve tüm datalarınızın bulunduğu yedekleme sistemine giriliyor ve kendi istediği komutları kullanarak Tüm datalarınıza istediği syntx'lardaki Injection Attack'ları gerçekleştirebiliyor.
Bu saldırının Nasıl Yapıldığı hakkında size verebileceğim bilgi de kendi Web Arayüzü üzerinde çeşitli istek parametreleri çalıştırarak PHP tabanlı açık kullanılarak yapılıyor. Syn-Ack kullanılarak bazı komutların işletilmesi demem yeterli olacaktır...
Not :
- Bu açıkla saldırılar system yetkili hesabı kullanarak yapılmaktadır.
- Oracle Secure Backup Management vasıtasıyla, açık kullanılarak saldırı yapılabilmektedir...
İlgili Açık Oracle'a bildirilmiş ve Merkez tarafından konuyla ilgili açığı kapatan bir Software Upgrading Yayınlanmıştır.
http://www.oracle.com/technology/software/products/securebackup/htdocs/secbackup.html
8.17.2009
Şifreleme Hakkında Yaşanan Karmaşa ve Doğrular
Günümüzde Bireysel ve Kurumsal birçok organizasyon Teknoloji Altyapı güvenliğini sağlamak için şifreleme teknolojileri kullanmakta veya kullandığını sanmaktakdır…
Fakat görünen O ki kullanıcıların ve şirketlerın buna cok fazla itibar etmedigini yada daha doğrusu önemsemiş gorunerek aslında bilgi yetersizliğinden kendilerini koruyamamakta olduğunu görüyorum. Her geçen gün Şahısların ve kurumların Karşılarına Koca yazılarla bilbirinden farklı şifre koruma yöntemleri adı altnda birbirinden karmaşık bilgiler içeren tavsiyeler çıkmakta...
Bu durum çok can sıkıcı ve kafa karıştırıcı oluyor değil mi ?
O Halde bu durumlarla başa çıkmanız için şifre güvenliği hakkında işte Doğrularım ve Saptamalarım... ;
1 - Güvenliğinizi sağlamak için her zaman dışarıdan saldırı gelicekmiş gibi kendinizi sartlamayın. İçerden yapılan Saldırılar, Dışardan yapılanlara oranla %60 daha fazla ve her zaman öyle de olacaktır. Yine İçerden yapılan saldırılar, dışarıdan yapılanlara göre çok daha tehlikeli olmaktadır.
Mevcut kullandığınız şifreniz dışında farklı bir parolanız olsun. Fakat bu şifrelenmiş parolanızı , sadece Dökümanlarınız, Önemli Sunucu Bilgilerinizi korumak için kullanın.
Nasıl mı ?
a. Güçlü Algoritmalar içeren bir sertifika(CA) kullanın.
b. Veri transferlerinizi şifrelenerek yerlerine ulaşmalarını sağlayın.
c. Çoğunlukla 6-8 haneli olan şifreleriniz de “basit karakterler ve ardaşık sayılar kullanmayın.
Örnek :
456abc, Ali12345…gibi.
2 - Kullanıcı Adlarınızı asla şifreleriniz olarak Kullanmayın.
Bu konuda bir çok Bireysel ve kurumsal Organizasyonda büyük hatalar yapıldığını görüyorum. Bazılarının bana kızacağına eminim ama İşin En Aptalca olanı da IT ekibinde yer alan Uzman arkadaşların bu tip kullanımları bildiği halde, göz yumması ve dikkate almamasıdır.
Sizlere tanık olduğum 2 örneği vererek durumun ne kadar korkunç seviyelerde olduğunu göstereceğim….
a . Türkiyenin en büyük Hizmet Kurumlarından birinde Bireysel Kullanıcı Güvenliği ilgili eğitim veriyordum. Fakat karşımdaki kullanıcılardan biri doğru eğitilmediği ve doğru bilgiler verilmediği için kendinden emin bir tutumla “Benim Şifremi kırmanız Mümkün değil , Bırakın Bu ayakları..” şeklinde söz sarfetmişti. Ben bunun üzerine Ona doğru olanı göstermek ve ön yargılarını kırmak için kullandığı şifreye birkaç deneme yaptım. Bu denemeler sonucunda şifresini kendisine söylediğimde yüzündeki ifadeyi bir görmeliydiniz…
b. Diğer örnekte büyük ve tanınmış Sanayi Organizasyonlarından birinde…
Bilgi Sistemleri Güvenliği kurulumu için gittiğim bir şirketin Ana Sunucularının yetkili hesap şifresinin ne olduğunu ona söylediğimde sonra ne oldu tahmin edin bir bakalım…
3 –Sunucularda kullandığınız Yönetici Hesaplarınızda asla Basit karakterler, Ardaşık Sayılar ve “En Önemlisi” kurumunuzun İsim kısaltmasını veya isimlerini asla kullanılmamalı. Bu tip şifreler çok kolay bulunabilmektedir.
4 – Network Yapınızda kullandığınız WAN ve LAN cihazlarınızın erişim şifreleri her zaman komplex karakterler içeren şifreler olsun.
Çok değil bundan 1 sene evvel Türkiye’nin En büyük Servis Sağlayıcı(ISP) lerinden birinin kullandığı Omurga cihazlarından birine erişim sağlanmış ve şifresinin de “ ISP ismi ve Yıl” olduğunu görünce şok olmuştuk. Bu çok büyük bir güvenlik zaafiyeti ve içerde bir şeylerin yanlış gittiğinin göstergesidir.
Aynı şekilde Fiber tabanlı bir “Metro Hat” dinlenerek aynı cihaza bağlı hizmet gören Şirketlere bağlanılıyor ve network cihazlarına erişiliyordu.
Sonuç olarak ;
Kötü niyetli biri eğer kafaya koymuşsa sizi deşifre edebilir. Evet bunu normal yoldan yapmayacak elbette ! . Fakat yukarıda örnekleriyle birlikte verdiğim açıklamalar ve saptamalar sizin için yol gösterici olacaktır.
ve… Şunu asla aklınızdan çıkarmayın. Bu tip insanlar günün 24 saatinin – bunun 18 saatini bilgisayar başında geçiren insanlar… Bir kapıyı açtıkça, bir diğerini merak edecek ve öğrenmek isteyecektir.
Yazımı hep kullandığım ve “Unutmamanız gereken” bir cümle ile tamamlıyorum ;
- SECURITY DOESN’T WAIT…THEY FOUND UP TO YOU !
Kerem ÇELİKER
8.11.2009
Bilişimde Güvenlik ve Doğru Bilinen Yanlışlar ...
Bu hataları takip eden bir diğer büyük yanlışta küçük ama heyecanlı ve özellikle isim yapmak isteyen Girişimci firmaların "boyunu aşan yatırımlarla" datacenterlar kurması veya büyük bir Otomasyon gibi vb. projeleri başlatması die sıralayabiliriz...
Fakat asıl büyük eşşeklikte bir Projeye yada Yatırıma girilirken "Alt Yapı Güvenliği"nin listenin en sonuna konulmasıdır. Büyük şirketlerin sözde Bazı "Güvenlik Uzmanları" die geçinen kişilerin duruma tamamen "Hardware" olarak bakmasıdır. Bu bakış açısı altında karşıya verdiği mesajda ; "Bu konuda bilgim çok yok ama Çok fazla Fikrim var.." şeklinde izlenimini verir ve devam eder...
Bu konuda katılmış olduğum bir müşterideki Proje toplantısında, firmanın "Kıdemli Güvenlik Uzmanı" nı bizzat kurduğu cümle " wEB tabanlı Çalışan Cluster yapısına sahip sunucularımızın güvenlik sorunu bence yok, 1 tane Firewall alalım sonra üzerine 1 SSL çakarız tamamdır!"...Sence Bu yapı Şimdi Güvenli mi oldu... ? Sözde bu şirket çok büyük Online Ortamda Aktif İşlemler gerçekleştirmekte...
İşte bu sizlere durumun nerelere kadar geldiğinin ciddi bir göstergesidir. Malasef Ülkemizde çoğu firma ve sözde bazı "Güvenlik uzmanları halen durumu bu şekilde yorumlamaya devam ettirmekte ve söylediklerinin gerçekten doğru olduğuna inanmaktadır.
Ama madalyonun diğer tarafına bakıldığında Bazı Şirketler hatta bunlar arasında tanınmış olanlarıda var ki şirketlerinde çalışan, gerçekten doğru iş yapmak ve yaptığı işle gurur duymak isteyen IT'ci ve Security'ci arkadaşların önlerine bir set-bir engel koymayı bırakın, susmaları için herşeyi yapıyorlar. Sebep ?
- - Listede gerçekten "Acil Alınması" gerekenlerin Mali Külfet olarak görülmesi ...
- - Mevcutları değerlendir mantığıyla hareket edilmesi...
- - Bunun bedavası yokmu olum, Git "Bakkal Ahmet Efendiye" Sor bi bakalım mantığıyla düşünülmesi...
- - Alınması gerekenler üstelendiğinde IT'ci arkadaşlara, şirket tarafından kişiye "Uyarı Çekmeyi" veya "İşten Çıkarmayı" kurtuluş olarak görmeleri...
Ülkemizdeki Bazı Güzide Şirketlerimiz "Sorunu, Sorunsuzluk" olarak algıladığı sürece "Güvenlik Zaafiyetlerine" ve "Yönetim Zaafiyetlerine" hergün rastlanacak ve bir yenileri eklenerek devam edecek...
Peki Yapılması gereken Ne diye sorarsınız? Herhalde buna ciddi bir cevap vermemi beklemiyorsunuz. Bunun cevabı bariz zaten......
Şimdi Sizlere evet "bazılarına" tekrar Soruyorum... ;
1 - Güvenlik bi süreçmi, yoksa bir eylem mi....?
2 - Kaşarlı çorba gönderdikten sonra,üzerine dansöz oynatmak" Sizce ne kadar doğru olabilir.... ?
Kerem ÇELİKER
Twitter Olmak ve Twittlemek...
Twitter'a Neden dahil olduğuma ilişkin sebepler ise;
- Sinirlenince bir şekilde tepki göstermem gerekiyor,
- Rasgele, hatta salakça ama çok derinmiş gibi gözüken cümleleri yazabileceğim bir yere ihtiyacım var,
- Çünkü bağırmak, saçmalamak ve cevap almamaktan daha keyifli az şey var.
- "Signal - Noise oranının" genelde kurtarmıyor olması, bu nedenle ek bir aracının varlığına ihtiyaç duyulması...
1.27.2009
Gerçek Dünyada SOA Şimdi de İstanbul'da!
Kayıt Olmak İçin :
http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032402490&Culture=TR-TR
Tarih & Saat :
12 Şubat 2009 Perşembe, 09:00 - 16:30
Yer :
Microsoft İstanbul OfisiLevent Mahallesi, Aydın Sokak, No:7, Levent, 34340 İstanbul
Haritayı görmek için tıklayın
Seminer Gündemi:
09:00 - 09:30
Kayıt ve İkram
-
09:30 - 09:40
Açılış Konuşması
-
09:40 - 10:25
Microsoft Gerçek Dünya SOA Çözümleri Bu oturumda gerçek dünyada BT projelerini gerçekleştiriken karşılaştığımız problemleri Microsoft Servis Odaklı Mimari yaklaşımı ile nasıl pratik bir biçimde çözebileceğimizden bahsedilecektir
-
10:25 - 10:50
Arkas - Başarı Hikayesi
-
10:50 - 11:10
Ara
-
11:10 - 11:40
SOA ile Tasarruf / Deloitte Deloitte'un gerçekleştireceği bu oturumda SOA altyapısı ile projelerinizde elde edeceğiniz maliyet faydasından bahsedilecektir
-
11:40 - 12:30
İş Süreci Yönetim Vizyonunuzu Servis Tabanlı Mimari ile Gerçekleştirmek İş Süreci Yönetimi (Business Process Managment) kurumlara iş çevikliği sağlayarak, gelen sürekli değişim isteklerine aynı hızla cevap verebilme yeteneğini kazandırır. Bu nedenle iş süreci yönetimi şirket yöneticilerinin olduğu kadar bilgi işlem yöneticilerinin en öncelikli konularındandır. Bu oturumda İş Süreci Yönetimine Microsoft'un yaklaşımını ve uygulama geliştirme platformu üzerinde önerilen çözümün detaylarını öğrenebilirsiniz
-
12:30 - 13:30
Öğle Yemeği
-
13:30 - 14:00
SOA Strateji ve Yaklaşımı / HP HP tarafından gerçekleştirilecek bu oturumda HP'nin sunduğu hizmetler, yazılım ve altyapıdan bahsedilecektir
-
14:00 - 14:45
Biztalk 2009 - Yeni Özellikler Bu oturumda Biztalk Server yol haritasını, bu sürümdeki anahtar yenilikleri, iyileştirilen özellikleri tanıtılacaktır
-
14:45 - 15:00
Ara
-
15:00 - 15:45
Oslo ile Ortak Servis Modeline Doğru SOA Yol Haritası Bu oturumda Oslo,”M”, Quadrant gibi yeni modelleme teknolojilerinin, Microsoft'un Servis Tabanlı Mimari yaklaşımında yeri, model kavramının önemi ve Oslo, “M” programla lisanı ve Quadrant araçlarının Servis Tabanlı Yazılım geliştirme çalışmalarına getirebileceği iyileştirmeler anlatılacaktır
-
15:45 - 16:30
BizTalk Server ile SOA altyapısında Ödeme Sistemleri / Eastnets Eastnets tarafından gerçekleştirilecek bu oturumda EastNets’in süreç optimizasyonu çalışmalarının BizTalk Server kullanılarak yeni nesil mimari yaklaşımlarla nasıl uygulandığı anlatılacaktır. Oturumda finansal kurum örnekleri verilerek maliyet fayda analizi çalışması da yer alacaktır
Microsoft, Gartner’in Yayınladığı Üç Uygulama Altyapısı (Application Infrastructure) Magic Quadrant’ında da Lider!
Gartner, bildiğiniz gibi güncel yaygın kullanım senaryolarını baz alarak piyasadaki mevcut satın alma kararlarına Magic Quadrant ile ışık tutuyor.
Gartner’in uygulama altyapısına ilişkin hazırladığı en son çalışmada Microsoft çözümleri üç ana başlıkta da lider konumunda:
-
• Arka Uç Uygulama Entegrasyon Projelerine Yönelik, Uygulama Altyapısı Magic Quadrant“Vizyon” ekseninde Oracle, SoftwareAG, Sun, SAP, Fiorano ve Progress Software’i geride bıraktı.
-
• Yeni Sistematik SOA Uygulama Projelerine Yönelik Uygulama Altyapısı Magic QuadrantMicrosoft bu sınıfta ilk kez “lider” konumda yer aldı.
-
• SOA Bileşik Uygulama Projelerine Yönelik Uygulama Altyapısı Magic QuadrantMicrosoft bu sınıfta ilk kez "lider" konumda yer aldı.
1.01.2009
Windows Server 2008 R2 ‘e Yükseltmeniz için En iyi 10 Neden?
Windows server 2008 R2 Microsoft’un en yeni Windows server işletim sistemidir. Dizayn ediliş yapısına göre operasyonel anlamda maliyetleri düşürdüğü gibi daha efektif daha güçlü sonuca ulaşımı hedefleyen bir yazılım olarak karşınıza cıkmaktadır. Windows Server 2008 R2’nin yonetımsel anlamda bizlere daha geniş anlamda control olanakları saglamakta oldugu gıbı daha az ıslem yaparak yapılacak ıstem surelerını dusurerek yönetim ekiplerinin zaman kaybı maliyetlerini düşürmekte oldugunu gozler önüne seriyor. Bizlere sağladıgı bu geniş ve gelişmiş yardım seceneklerı sadece bunlarla kalmayıp Artık Sıklıkca kullandıgımız Merkez /Office veya Gezici Kullanıcılar için sagladıgımız Uzak Erişimler, R2 Konseptiyle yeni ve daha basit,daha güvenli duruma getirdi.
Devamı için Tıklayınız...