27 Mart 2012 Salı

Sanallaştırma Güvenliği

VMware vShield Endpoint, VMsafe API ve VMware vCenter ürün ve teknolojileri ile tam entegre olan sanal sunucularda ajan yazılımı kullanmaksızın antivirus ve antimalware denetimi yapabilen sistemler bize sanallaştırma güvenliğini sağlayabilecek çözümlerdir. Bu sayede sanal sunucular üzerinde çok büyük miktarda CPU, RAM ve I/O tasarrufu sağlanıyor.

Yapısında gelişmiş bir IDS/IPS motoruna da sahip olmalıdır. Sunucular sanallaştırma güvenliği çözümleri ile daha güvenli hizmet verme imkanına kavuşuyor.
Web uygulama güvenliği özelliği ile sanallaştırma güvenliği çözümleri SQL Injection ve XSS gibi ataklara karşı koruma sağlayabiliyor olması gerekir.

Stateful Firewall özelliği barındırması sunucuların dış dünya ile iletişimini kontrol altına alabildiği gibi sanal sunucular arasındaki trafik de denetime tabi tutabiliyor olması gerekir.

Application Control özelliği ile sunucular üzerinde sadece istenen uygulamaların çalışmasına izin verilebiliyor.
Sanallaştırma güvenliği çözümleri ajanları ile Integrity Monitoring ve Log Inspection özellikleri aktif edilebiliyor olmalıdır. Bu özellikler kurumların PCI stadardına uyum sağlamasını kolaylaştırıyor.

Windows XP, 7, 2003, 2008, Solaris, Linux ve Unix işletim sistemlerinin çeşitli sürümlerini desteklemesi sanallaştırma güvenliği çözümleri için büyük bir avantaj sağlayabilmektedir.VMware, Citrix XenServer, Microsoft HyperV,Sun Solaris ve Redhat REV sanallaştırma çözümlerini destekliyor olması tercih sebebi olacaktır.

22 Mart 2012 Perşembe

Mobil Güvenlik ve Mobile Device Management Çözümleri


Mobil Güvenlik konusu şu anda gündemi fazlasıyla meşgul ediyor. Akıllı telefonlar artık günlük hayatımızı kolaylaştırmasının ötesinde bir görev üstleniyor. Artık iş süreçlerinin doğrudan birer parçası. Akıllı telefonlar üzerinden bir çok hassas bilgi akıyor. Bu da akıllı telefonları zararlı kodlar açısından önemli birer hedef haline getiriyor.

Mobil güvenliğin ilk adımı Mobile Device Management (MDM) çözümleri olarak görünüyor. Mobile Device Management (MDM) çözümleri kısaca mobil cihazların yönetimi, izlenmesi, güvenliği ve desteğini sağlayan yazılım.

“Mobile Device Management (MDM) software secures, monitors, manages and supports mobile devices deployed across mobile operators, service providers and enterprises.” (Wikipedia)

20 Mart 2012 Salı

Email Güvenliği

E-mail kısaca internetle gelen elektronik mesaj sistemleridir. Yazılı iletişime düşük maliyet, yüksek hız ve esneklik kazandırmaktadır. Bununla birlikte Elektronik ortamların zaafları, büyük kurumsal ağların ve internetin güvenlik sorunları, email güvenliğini ve kullanıcıları doğrudan etkilemektedir.
E-maillerimize gelen gözle görebildiğimiz & göremediğimiz ve her zaman karşı karşıya olduğumuz güvenlik tehditlerini şu şekilde sıralayabiliriz;

- Araya girme ve gizlice okuma,
- Bozucu ve aksatıcı girişimler,
- İçerik saldırıları ve virüsler
- Ulaşım Sorunları ve sistem uyumsuzlukları.

Bozucu, aksatıcı ve içerik saldırısı biçimindeki tehditlerin büyük bölümünde antivirüs uygulamaları veya email kullanıcı programlarında yapılacak ayarlamalar büyük faydalar sağlayabilmektedir. Ancak kullanıcı seviyesinde yapılan bu uygulamalar kurumsal seviyede yetersiz kalmakta ve uygulanması zor yöntemlere dönüşmektedir. Buna karşılık email server sistemleri ve kurumsal ağlar üzerinde daha etkin ve uygulanması kolay uygulamalar yapmak mümkündür.

Bu tür güvensizlikleri ortadan kaldırmak için alınacak önlemler;

14 Mart 2012 Çarşamba

Google Hacking


Google Hacking

Bir Trevanian klasiği olan Shibumi kitabını okuyanlar vardır. Bu kitapta Şişman adında bir karakter var. Uluslararası bir bilgi ağına sahip. Size istediğiniz tüm bilgiyi sağlayabilir. “Tek yapmanız gereken doğru soruyu sormak”. Google için kesinlikle aynı şey geçerli. “Tek yapmanız gereken doğru soruyu sormak”.

Google Hacking özetle doğru arama teknikleri ile google üzerindeki hassas bilgilere erişmektir. Bu teknik temelde bilgi toplamak adımının başlangıcını oluşturur. Google üzerinden edinebileceğiniz bilgi sizin bir sonraki adımınızı belirleyecek.

Microsoft Güvenlik Açıkları Mart 2012

Mart 2012 Microsoft Güvenlik Açıkları yamaları yayınlanmıştır.

#AffectedContra Indications - KBKnown ExploitsMicrosoft rating(**)ISC rating(*)
clientsservers
MS12-017Vulnerability in DNS Server Could Allow Denial of Service
DNS Server
CVE-2012-0006
KB 2647170no.Severity:Important
Exploitability: Likely
N/AImportant
MS12-018Vulnerability in Windows Kernel-Mode Drivers Could Allow Elevation of Privilege
Kernel-Mode Drivers
CVE-2012-0157
KB 2641653no.Severity:Important
Exploitability: Difficult
ImportantImportant
MS12-019Vulnerability in DirectWrite Could Allow Denial of Service
DirectWrite
CVE-2012-0156
KB 2665364no.Severity:Important
Exploitability: Unknown
ImportantLess Urgent
MS12-020Vulnerabilities in Remote Desktop Could Allow Remote Code Execution
Remote Desktop
CVE-2012-0002
CVE-2012-0152
KB 2671387no.Severity:Critical
Exploitability: Likely
CriticalPATCH NOW
MS12-021Vulnerability in Visual Studio Could Allow Elevation of Privilege
Visual Studio
CVE-2012-0008
KB 2651019no.Severity:Important
Exploitability: Likely
ImportantN/A
MS12-022Vulnerability in Expression Design Could Allow Remote Code Execution
Expression Design
CVE-2012-0016
KB 2651018no.Severity:Important
Exploitability: Likely
ImportantN/A

Bilgi Toplama Yöntemleri

Hackerların sistemlere saldırmadan önce internet üzerinden nasıl bilgi edindikleri, bu bilgilerin nerelerde kullanıldığının anlaşılması,Sistemi çalışan bir hacker herşeyden önce bilgi toplama işlemi/keşif yapar.

Güvenlik Testlerinde 9 Adım
  • Bilgi Toplama
  • Ağ Haritalama
  • Zayıflık Tarama süreci
  • Penetrasyon(Sızma) Süreci
  • Erişim elde etme ve hak yükseltme
  • Hak Yükseltme
  • Detaylı Araştırma
  • Erişimlerin Korunması
  • Raporlama

Linux Sistem Yönetimi ve Güvenliği

Underground toollarının bir çoğu linux işletim sistemi olarak hazırlanmıştır. Linux=Kernel
Linux= İşletim Sisteminin Çekirdeği(Tek başına kernel bir işe yaramaz,sadece cihazların yönetimini sağlar)
Dağıtım= Linux + Programlar

       450’den fazla Linux dağıtımı vardır.
       Sık Kullanılan Linux Dağıtımları
      Red Hat
       Ticari
      Debian
      Slackware
      Suse
       Ticari
      Fedora
      Ubuntu
      OpenSuse

İhtiyaca yönelik dağıtımı seçimi önemlidir.Backtrack  Debianın özelleştirilmiş halidir.

13 Mart 2012 Salı

Client Güvenliğine Bakış – Port Kontrol Sistemleri

Bu makalemizde client güvenliğinde önemli bir nokta olarak düşündüğüm port kontrol sistemlerinden bahsedeceğim.

Port Kontrol sistemlerinin çıkış amacı malum günümüzde virüs, trojen vs bilgisayarlara bulaşmasının en hızlı yoklu USB olarak göze çarpmaktadır. Bundan dolayı kurumsal firmalarda USB kullanımına bir kısıt getirme ihtiyacı duymuşlardır.Kullanıcı tarafından baktığımızda çokta hoş olmayan bir durum olsada USB belleklerin kontrolü client güvenliğinin başında gelen noktalardan birisidir.

Mobile DLP

İnternet kullanımı her yıl sürekli olarak artıyor. Ama asıl dikkat çekici artış mobil internette yaşanıyor. StatCounter’ın verilerine göre 2009′dan beri sürekli artış gösteren mobil internet kullanımındaki artış oranı ise yıllık %100′ün üzerinde.2009 yılında yüzde 0,7 olan mobil internet kullanımı, 2010′da yüzde 1,6′ya, 2011′de yüzde 4,3′e ve 2012′inin ilk çeyreğinde yüzde 8,5′e kadar yükseldi. Mobil internet veri trafiği 2016’ya kadar  18 katına çıkacağı öngörülmektedir.

Hızla gelişen mobil ortam karşısında biz bilgi güvenliği uzmanlarının kayıtsız kalması mümkün değildir. Bu makalede mobil cihazlar veri kayıplarının nasıl önlenebileceği ile ilgili görüşleri bulabilirsiniz.
Mobile DLP deki büyük sıkıntılardan biri Merkezi olarak yönetim problemi.  Dağıtık ve internet ortamındaki cihazları güvenli bir yoldan Merkezi bir yönetim arabirimine bağlayıp gerekli politikaları uygulamak ciddi bir sıkıntı oluşturmaktadır.

Diğer bir sıkıntıda mobil  cihazlardaki işletim sistemlerinin çok çeşitli olması ve Data Loss Prevention işinin bir agent ile sağlanabilmesini pek mümkün kılmamaktadır. Her işletim sistemi için agent yazmak ve yazılan bu agentların mobil cihazlara dağıtılması gibi sıkıntılar söz konusu olacaktır. Bir çok işletim sistemi ve bunların yeni sürümleri çıktığında yazılan dlp agentlarının uyumsuzluğu söz konusu olduğunda yeni bir agent yazılması ve bunun tekrar cihazlara dağıtılması inanılmaz bir iş yükü ve zaman kaybı olacaktır.
Peki bu tarz sorunları öngördüğümüze göre Mobile DLP çözümünü nasıl oluşturabiliriz¿

12 Mart 2012 Pazartesi

Yeni Nesil Antivirüs Sistemleri

Günümüzde antivirüs sistemlerinin gerekliliğini bir önceki makalemde belirtmiştim. Ama antivirüs sisteminin ;
  • Signature kontrolüneve updatelerdeki iş gücü kaybı
  • Black list mantığıyla çalışması
  • Performans etkileri
Yukarıdaki dezavantajları adminleri farklı arayışlara sürüklemektedir. Bu bağlamda piyasaya yeni yeni ürünlerde yavaş yavaş çıkmaktadır. Bunlar antivirüs yazılımlarının yerini alırmı bilinmez ama çok ses getireceği aşikardır.

Client Güvenliğine Bakış – Antivirüs Yazılımları

Bu makalemizde client sistemlerindeki veri güvenliğini sağlamak adına kullanılması gereken programlar ve best practiceleri anlatmaya çalışacağım.
Enterprise yapılarda Bilgi Güvenliğini bir bütün olarak bakmamız gerekir . Güvenliği network ürünlerinin (Firewall , Ips vb ) yanısıra client güvenlik ürünleriylede desteklemek gerekmektedir.
Eğer kullandınız Antivirüs sistemi güncel değil yada virüsün imzası henüz yayınlanmamışsa client makinelerinden USB yoluyla sisteme bulaşan küçük bir virüs sayesinde network’ünüzün tamamı tehlikeye girmektedir ve binlerce dolar vererek aldığınız ürünlere rağmen networkünüzü bu tür tehlikelere karşı koruyamamış olursunuz.
Client bilgisayarlarında (masaüstü, notebook vs) kullanılması gereken yazılımlar ve bu yazılımları kullanmadığınızda oluşacak durumları açıklamaya çalışacağım. Bu yazıda antivirüs sisteminden bahsedeceğim sonraki dökümanlarda ise Yeni Nesil Antivirüs Sistemleri , Port Kontrol Sistemleri, Disk Encrpytion Sistemlerinde bahsediyor olacağım.

Verilerin Sınıflandırılması ve DLP

Günlük hayatımızda olduğu gibi bilgisayar sistemlerinde de saklanan verilerin hepsi aynı öneme sahip değildir. Verilerden bazılarını doğrudan hiçbir endişe olmadan başkaları ile paylaşırken bazı verilerin başkaları tarafından görülmemesi, bizim için önemlidir. Verilerin gizliliklerine göre tasnif edilmesi işlemine bilgi sınıflandırması denilmektedir. Bilgisayar sistemlerinde de her bir dosya içerdiği bilgiye göre bir etiket ile sınıflandırılmaktadır. Bilgi sınıflandırma tarihçesi özellikle askeri ve devlet bilgileri gözönüne alındığında çok gerilere  gitmektedir. Teknolojinin gelişmesiyle kurumlar ve kişilerin verilerinin de sınıflandırılması ihtiyacı ortaya çıkmıştır. Bu makalede daha çok özel sektör kurumları ve kişiler için yaygın kullanılan veri gizlilik sınıfları ele alınacaktır.


Açık (Public):  Başkalarının eline geçmesi durumunda kuruma maddi ya da prestij olarak herhangi bir zararı  dokunmayan bilgilerdir. Kurum reklamları, müşterilerine sunduğu hizmetler gibi topluma açık olan dokümanlar tasnif dışı olarak da değerlendirilir.
Hassas (Sensitive ):  Daha çok yetkisiz erişim ve yetkisiz değiştirilmeye karşı korunması gereken bilgilerdir.  Bilginin yetkisiz olarak değiştirilmesi ve silinmesi durumunda kurum ve kişi zor durumda kalabilir.
Özel (Private): Kuruma veya kişiye ait bilgiler. Bu bilgilerin açığa çıkması kurumu ve kişileri zor duruma düşürür.  Maaş bilgilerinin ortaya çıkması, kişilere ait sağlık bilgilerinin başkaları tarafından bilinmesi bu tür bilgilere örnek gösterilebilir.
Gizli (Secret ): Bilginin başkalarının eline geçmesi durumunda kurum maddi ve prestij olarak ciddi kayba uğrar. Örneğin Ar-Ge bilgileri, ürünlere ait özel bilgiler, ticari sırlar, bu tür bilgilere örnek gösterilebilir.
Kurumlar ve kişiler verilerini sınıflandırmalı ve bu sınıflandırmaya uygun güvenlik önlemlerini almalıdır.

Backtrack 5 R2 Özellikleri ve Kurulumu

Backtrack penetrasyon testi yapmak için geliştirilmiş bir Linux dağıtımıdır. Dağıtım bilişim güvenliği uzmanlarına sistem ve ağ yöneticilerine yönelik olarak geliştirilmiştir. Backtrack bilgi toplama, ağ analizi, zayıflık taraması (vulnerability scan) ve bunların sömürülmesinin yanında adli bilişim (computer forensics) ve raporlama için çeşitli programların bir arada toplandığı bir sistemdir.Alanında önde gelen birçok uygulamaya birden ulaşılabildiği için güvenlik uzmanlarının ençok kullandıkları dağıtımlardan birtanesidir.Dağıtım 300 den fazla araç barındırmaktadır.

Backtrack içerisinde kullanılan araçlardan information gathering bilgi toplama araçlarını, network mapping ağ haritalama ve analizinde kullanılan araçları, vulnerability identification zayıflık tarayıcı (vulnerbility scanner) programlarını, web application analysis web site vulnerability scanner denilen web güvenlik açıklarını tarayan programları, radio network analysis kablosuz ağ analizi yapan araçları, penetration, panetration test sonucunda bulunmuş açıkların sömürülmesini sağlayan araçları privilege escalation imtiyaz (hak) artırımında kullanılan araçları maintaining access ele geçirilen sistemlere kalıcılığı sağlamak için kullanılan araçları, digital forensics adli bilişimde kullanılan programları, reverse engineering tersine mühendislikte kullanılan araçları barındırmaktadır.
Son çıkan Backtrack sürümü Backtrack 5R2 dir.  Ubuntu 10.04 LTS üzerinde geliştirilmiştir. Yapımcılar eski sürümlerle ilgili teknik desteğin kesileceğini açıklamışlardır. Backtrack 32 bit 64 bit ve arm işlemciler ile çalışan sürümlere sahiptir. Masa üstü ortamı olarak gnome  kde ve fluxbox kullanılabilir.

Son çıkan sürüm Backtrack 5 R2 linux kernel 3.2.6  derlenerek oluşturulmuştur.Backtrack 5 R2 de 42 yeni tool eklenmiştir. Metasploit 4.2.0 Community Edition, version 3.0 of the Social Engineer Toolkit, BeEF 0.4.3.2, Maltego 3.1.0 içermektedir.

11 Mart 2012 Pazar

802.1x Protokolü

802.1x güvenli bir şekilde ağa bağlanmayı; ağ cihazları yardımıyla standartlaştıran protokoldür. 802.1x kablolu ağlar için geliştirilmesine karşın kablosuz ağlarda da kullanılmaktadır. IEEE 802.1x ‘in hedefi, yerel ağda (LAN) standart bir güvenli kimlik denetimi (authentication) sağlamaktır. IEEE 802.1x en az sayıda yönetici ek yüküyle çok daha geniş alanlara güvenli bir şekilde ulaşmamızı sağlar. Sunucular ve istemciler ancak kimlikleri doğrulandıktan sonra ağa oturum açabilirler. Oturumun başarılı bir şekilde açılabilmesi için kimlik sorgulamanın doğrulanması gerekir. Microsoft bazlı ağlarda sorgulama ekranı bilgisayar açılınca otomatik olarak açılır.
Eğer istemci bilgileri sunucu tarafından doğrulanırsa istediği ağ hizmetlerinden faydalanabilir (ağ yöneticisinin izni doğrultusunda) . Genelde bu tür kimlik doğrulama işlemleri e-posta, intranet ve diğer özel uygulamalarda kullanılır.

Bu istemci-sunucu arasındaki kimlik doğrulama işlemi ağ kaynaklarını korumak için kendini kanıtlamış bir metot olsa da; yetkilendirilmemiş girişleri engelleyen, tam bir ağ güvenlik mekanizması oluşturamamıştır. Bunun üzerine sağlayıcılar ağ tabanlı idari çözümler üretti(VLAN,ACL ve MAC locks gibi). VLAN, ACL, MAC locks gibi yöntemler etkili olmalarına karşın yönetici ihtiyaçlarına bağlı olarak kullanılırlar. Bu yöntemlerin her birinin tek avantajı olmasına rağmen sağlayıcılar sadece birini kullanırlar. 802.1x in var olan metotlarla kullanımı ağı çok daha güvenli bir hale getirmiştir.

802.1x mimarisinde üç temel öğe bulunur:
1.     İstemci (Supplicant, Station) : Kimlik sorgulaması yapılcak kişi
2.     Kimlik denetleyici (Authenticator) : istemciyle kimlik denetleme sunucusunun arasında bulunur. Ethernet anahtarlayıcı (Ethernet switch), Erişim noktası (Access Point)
3.     Kimlik denetleme sunucusu (authentication server): kimlik denetleme işlemini gerçekleştiren asıl sunucu.(Örnek: RADIUS Sunucusu)

Cisco Site to Site IPSec VPN Yapılandırılması


Yapılandırma altı adımda incelenebilir:
1.     IPsec interface’lerindeki ACL’lerin düzenlenmesi
2.     isakmp policy’lerin oluşturulması
3.     transform-set’lerin oluşturulması
4.     Crypto ACL’lerin oluşturulması
5.     Crypto map’lerin oluşturulması
6.     Crypto map’lerin ilgili IPsec interface’lerine uygulanması

Merkez yapılandırması
1.     ahp, esp ve isakmp(udp 500)’ye izin veren acl’ler yazılır, dış interface’e giriş yönünde uygulanır.
Merkez(config)#access-list 101 permit ahp host 30.0.0.1 host 20.0.0.1
Merkez(config)#access-list 101 permit esp host 30.0.0.1 host 20.0.0.1
Merkez(config)#access-list 101 permit udp host 30.0.0.1 host 20.0.0.1 eq isakmp
Merkez(config)#interface serial 0/0/0
Merkez(config-if)#ip access-group 101 in

ASP.NET Güvenliği

İnternet öncesinde güvenlik yazılım geliştirirken önem verilen bir konu değildi. İnternetin yayılması ile bilgisayarlar ve uygulamalar arası veri alışverişi arttı. Uygulamalar kaynaklarını, tanımlı kullanıcılara doğru şekilde iletebilmek üzere yazılmaya başlandı. Kullanıcı yönetimi çok daha önemli bir hale geldi.
Üç bölüm olarak hazırlamayı düşündüğüm ASP.NET uygulamalarında güvenlik konusunu incelemeye çalışacağımız ASP.NET Güvenlik dizisinde şu konulara değineceğiz :
  • IIS authentication metodları
  • ASP.NET authentication methodları ve authorization
  • Genel olarak web güvenliği ile ilgili programlama standartları
ASP.NET’te güvenlik genel olarak Şekil - 1 deki gibi iki aşamaya ayrılır. İlk aşamada, web sunucuya gelen HTTP çağrısının IIS tarafından karşılanır. IIS çağrıyı, web uygulamasının güvenlik ayarlarına göre kabul eder veya reddeder.
Eğer IIS çağrıyı kabul ederse ikinci aşamaya geçilir. Çağrı ASP.NET tarafından değerlendirilir. Bu iki aşama tamamen birbirinden ayrı çalışır.
Eğer IIS çağrıyı reddeder ise HTTP 401 hatası alırız. Bu makalede Şekil - 1’in ilk aşaması olan IIS kapsamındaki güvenlik ayarlarından bahsetmeye çalışacağız. 

Şimdi ASP.NET uygulamalarında güvenliği sağlamak için kullandığımız üç temel fonksiyonu tanımlayalım :

Backtrack 5 R2

Backtrack 5 R2  1 Mart 2012 de release olmuştur. Aşağıdaki linkten download edebilirsiniz. Yeni Kernel ve Yeni Toollar ile hizmetinizde :)

Backtrack5 R2 ile ilgili makalelerimiz yakında yayınlanacaktır.

http://www.backtrack-linux.org/downloads/



ITIL Hizmet Sunumu

Servis Seviye Yönetimi
Servis  Seviye  Yönetim  süreci,  Servis  Seviye  Anlaşmaları  (SLA-Service  Level Agreements) ve İşletimsel Seviye Anlaşmaları (OLA-Operational  Level  Agreements)  ya  da sözleşmelerin  sağlanmasından  ve  servis  kalitesinin  ters  etkisinin  en  az  seviyede tutulmasından  sorumludur.  En  önemli  hedeflerden  bazıları  şöyledir:  SLA‟ler  servis kullanılırlılığı  ve  Olay  çözümlerinin,  üzerinde  anlaşılmış  süreler  içinde  yapılmasını sağlamalıdır.

Kapasite Yönetimi  
Kapasite Yönetimi doğrudan doğruya iş gereksinimleriyle ilgilidir ve basit anlamıyla sistem bileşenlerinin tek tek ya da bütün performansıyla ilgili değildir. Kapasite Yönetimi, kapasite  sorunlarıyla ilgili zorluklar  için Olay çözümü ve Problem tanımlama konularıyla yakın ilişki içindedir.

BT Servislerinin Finansal Yönetimi
Finansal Yönetim BT Servis sağlama aktivite maliyetlerinin muhasebeleştirilmesinden sorumludur. Servislerin gerçek maliyetlerini belirlemek için Kapasite Yönetimi, Konfigürasyon Yönetimi (varlık verisi) ve Servis Seviyesi Yönetimi ile çok iyi arayüzler oluşturulmalıdır. Finansal  Yönetici  BT  bölüm  bütçesi  ve  tek  tek  müşterilerin  harcamalarını  görüşmeleri sırasında Müşteri İlişkileri Yöneticisi ve BT Yöneticisi ile işbirliği içide çalışmalıdır.

ISO/IEC 27001:2005 Standardı ve Süreç Yaklaşımı

ISO/IEC 27001:2005 standardı, bir kuruluşun BGYS’sini oluşturmasında,süreç yaklaşımını benimser. Kuruluşun görevlerini etkin bir şekilde yapabilmesi için,etkinliklerini tanımlaması ve yönetmesi gerekmektedir. Her etkinlik bir süreç olarak düşünülebilir.  Bir  sürecin  çıktısı,  bu  süreci  izleyen  başka  bir  sürecin  girdisini
oluĢturur.

Bir  kuruluş  içerisinde,  tanımları  ve  bunların  etkileşimi  ve  yönetimleriyle birlikte  süreçlerin  oluşturduğu  bir  sistem  uygulaması  “süreç  yaklaşımı”  olarak tanımlanabilir.

Bilgi güvenliği yönetimi süreç yaklaşımı, kullanıcılarını aşağıdaki konuların öneminin vurgulanmasını özendirir:

a)  İş bilgi güvenliği gereksinimlerini ve bilgi güvenliği için politika ve amaçların belirlenmesi gereksinimini anlamak,
b)  Kuruluşun  tüm iş risklerini yönetmek anlamında kuruluşun bilgi güvenliği risklerini yönetmek için kontrolleri gerçekleştirmek ve işletmek,
c)  BGYS’nin performansı ve etkinliğini izlemek ve gözden geçirmek,
d)  Nesnel ölçmeye dayalı olarak sürekli iyileştirmek.

Bu  standart,  tüm  BGYS  süreçlerini  yapılandırmada  uygulanan  “Planla-Uygula-Kontrol Et-Önlem al” (PUKÖ) modelini benimser.

Cobit Yapısı

CobiT, dört Süreç Alanında gruplanmış 34 BT sürecini ele alır. Bu dört grup;

Planla ve Organize Et
Tedarik ve Uygulama
Teslimat ve Destek
İzle ve Değerlendir

Şeklindedir. Her bir sürecin  0-5 arası bir olgunluk seviyesi vardır. (0 yok, 5 optimize edilmiş) Bu ölçek, bir organizasyondaki sürecin olgunluk seviyesi, o sürecin hangi olgunluk seviyesinde olması gerektiği, hangi seviyenin en iyi uygulama olarak varsayıldığı  ve  diğer  organizasyonların  ne  seviyede  olduğu  gibi  anahtar
değerlendirmeler için kullanılır. Olgunluk modelleri;

0  Olmayan  Tanımlanmış süreç bulunmamaktadır.
1  Başlangıç  Organize olmayan ve standartlaşmamış fakat kurumda farkındalığın  mevcut  olduğu  ve  adresleme  ve standartlaştırma ihtiyacının tespit edildiği seviyedir.
2  Tekrarlanan  Bireye  dayalı  ve  tekrarlanan  işleri  farklı  kişilerin  aynı şekilde yapabildiği seviyedir. Bu seviyede formal eğitim ve iletişim metodları belirlenmemiş fakat sorumluluk büyük oranda kişiye bağlı kılınmıştır.
3  Tanımlı  Prosedürler standartlaşmış ve dokümante edilmiş, eğitim aracılığı ile kurum içinde iletilmiştir. Ancak bu süreçleri izleyip izlememe kararı kişinin kendisine bırakılmıştır; bu nedenle yapılan işler arasında çeşitli farklılıklar mevcuttur. Prosedürlerin  kendisi  gelişmiş değildir;  ancak  mevcut uygulamaların biçimselleştirilmiş halidir.

Netcat ile Banner Yakalama

Hedef sistemler hakkında detaylı bilgi almak için Banner yakalama metodunu aktif bilgi toplama yazımızda belirtmiştik. Netcat Banner yakalama için kullanılan Linux ve Windows ortamında çalışan kullanışlı bir araçtır. Banner yakalama dışında da bir çok özelliği vardır fakat bu yazıda sadece banner yakalama tarafını inceleyeceğiz. Netcat hedef sisteme belirtilen porttan bağlantı kurup dönen bilgiyi ekrana döker. Gelen bilgi içersinde işletim sistemi, çalışan servis bilgisi, zaman bilgisi gibi önemli bilgiler döner. Servis ve işletim sistemin versiyon bilgileri de gelen banner içinden bulunabilmektedir. Gelen banner bilgisine göre işletim sisteminin ve servisin versiyon bilgileri baz alınarak internet üzerinden zaafiyet araştırması yapılır.


Genel Kullanımı:
nc <hedef sistem IP Adresi veya İsmi> <Port Numarası>



Örnek:
root@bt:~# nc 10.0.0.1  80
HEAD / HTTP/0.1

HTTP/1.1 200 OK
Date: Thu, 05 Aug 2010 21:57:56 GMT
Server: Apache/2.2.9 (Ubuntu) PHP/5.2.6-2ubuntu4.5 with Suhosin-Patch
Last-Modified: Thu, 28 Feb 2012 07:31:00 GMT
ETag: “68170-2d-46af3f103d500″
Accept-Ranges: bytes
Content-Length: 45
Vary: Accept-Encoding
Connection: close
Content-Type: text/html



Örnekte görüdüğü gibi hedef web sunucusu üzerinden Netcat ile işletim sistemi & versiyon bilgisi, web sunucusu & versiyon bilgisi ve hatta sunucu üzerine geçilen yama(Patch) bilgisi gibi çok kritik bilgiler banner yakalama metodu ile elde edildi.

10 Mart 2012 Cumartesi

What Web


Whatweb bir web sitesine ait bilgi toplamada kullanılan bir araçtır. Araç ile hedef siteye ait sunucu platformu , yazılım bilgisi vb gibi birçok bilgiyi elde edebiliriz . 160′ dan fazla plug-in‘ i olan Whatweb aracı ile hedef sistemin web platformu hakkında değerli verilere erişmiş oluruz. Aracın basitçe kullanımı şu şekildedir:


whatweb [options] <URLs>

Örnek olarak www.netcraft.com sitesine bir bakalım

root@bt:~/whatweb-0.4.4# ./whatweb www.netcraft.com
http://www.netcraft.com [301] HTTPServer[Apache/2.2.3 (CentOS)], RedirectLocation[http://news.netcraft.com/], Title[301 Moved Permanently], Header-Hash[8bf3bb563b479d4de503d78d855f65e5], MD5[8bf3bb563b479d4de503d78d855f65e5]
http://news.netcraft.com/ [200] WordPress[2.9.2], Title[Internet Research, Anti-Phishing and PCI Security Services | Netcraft], Google-Analytics[GA][2150242], HTML5, HTTPServer[Apache/2.2.3 (CentOS)], MetaGenerator[WordPress 2.9.2], Mailto[scam@netcraft.com,banners@netcraft.com], Header-Hash[66978dd4295d9ae72422eddd80d18f33], MD5[2519f06e0d8ed861106aaaecc8c0a4d3], Footer-Hash[18326d82250ab03b3bf502bf74d58260], Div-Span-Structure[0c6f064940ec25c07232ab71a54f6cf5]

Görüldüğü gibi www.netcraft.com sitesinde Centos üzerinde apache 2.2.3 ve wordpress 2.9.2 kullanıldığı bilgisini elde etmiş olduk.

Data Loss Prevention Risk Analizi ve 10 Risk Kalemi

Data Loss Prevention Risk Analizi ve 10 Risk Kalemi


Bilgi kayıpları ve bilgi sızmaları ile ilgili risk analizi. Her kurumda bu risklerin belirlenmesi uzun bir süreç ve zahmetli bir iş. Sadece bir kişinin veya bir bölümün başlayıp bitirebileceği bir iş değil. Ancak kurumun farklı birim ve bölümlerinin katkısı ile tamamlandığı durumda başarılı bir sonuç verebilir. Sektöre, kurumun iç yapısına ve iş yapış şekillerine göre büyük farklılıklar gösterebilir. Tamamlanıp rafa kaldırılmaktan çok yaşayan bir süreç olduğu ölçüde fayda sağlayabilir.

Bilgi kayıpları ve bilgi sızmaları üzerine bir risk analizi çalışması sonucunda riskleri 10 kalemle sınırlandırmak mümkün görünmüyor. Burada sıralan riskler sadece örnek olması açısından hazırlandı. Burada sıralanan riskler ne en önemli ne de en önemsiz riskler. Her risk birbirinden veri tipi, sonuçları, olasılıkları, önlemeye yönelik alınması gereken tedbirleri ve öncelikleri açısından ayrışıyor.  


Metagoofil

Metagoofil bir kuruma ait internetteki dökümanlardan ( pdf,xls,doc ) bilgi toplamaya yarayan önemli bir araçtır. Araç ile toplanan dökümanlardan kuruma ait kullanıcı isimleri, dökümanlara ait dizin adresleri ( ki bu bilgileri kullanarak kuruma ait hedef işletim sistemleri, network paylaşım isimleri gibi birçok bilgiyi tahmin edebiliriz ) ve son versiyon ile Mac adreslerini ( bu şekilde hangi tip donanım kullanıldığını bulabiliriz ) elde etmemiz mümkündür. Hemen kullanımından bahsedersek :


metagoofil options
-d: domain to search
-f: filetype to download (all,pdf,doc,xls,ppt,odp,ods, etc)
-l: limit of results to work with (default 100)
-o: output file, html format.
-t: target directory to download files.

Örnek olarak aşağıda görüldüğü gibi microsoft.com sitesine ait doc tipindeki dosyaları araştıralım.
root@bt:~/metagoofil# python metagoofil.py -d microsoft.com -f doc -l 10 -o micro.html -t micro-files
*************************************
*MetaGooFil Ver. 1.4b               *
*Coded by Christian Martorella      *
*Edge-Security Research             *
*cmartorella@edge-security.com      *
*************************************
[+] Command extract found, proceeding with leeching
[+] Searching in microsoft.com for: doc
16300
[+] Total results in google: 16300
[+] Limit:  10
[+] Searching results: 0
[ 1/20 ] 

Firewalk

Firewalk hedef cihazın hangi level 4 paketleri geçirdiğini , yani güvenlik duvarı veya yönlendirici üzerindeki ACL (Access Control List)‘ leri tespit etmemize yarayan aktif bilgi toplama aracıdır. Firewalk Tcp veya Udp olarak hedef güvenlik duvarı veya yönlendirici ‘den TTL değeri bir fazla olacak şekilde paket gönderir. Eğer güvenlik duvarı veya yönlendirici trafiğe izin veriyorsa paketi bir sonraki adımda bulunan cihaza geçirecek , eğer izin vermiyorsa paketi düşürecektir. Aracın kullanımı şu şekildedir:

Firewalk 5.0 [gateway ACL scanner]
Usage : firewalk [options] target_gateway metric
[-d 0 - 65535] destination port to use (ramping phase)
[-h] program help
[-i device] interface
[-n] do not resolve IP addresses into hostnames
[-p TCP | UDP] firewalk protocol
[-r] strict RFC adherence
[-S x - y, z] port range to scan
[-s 0 - 65535] source port
[-T 1 - 1000] packet read timeout in ms
[-t 1 - 25] IP time to live
[-v] program version
[-x 1 - 8] expire vector

Örneğimiz üzerinden bakarsak:
www.linux.org adresine traceroute çektiğimizde 207.245.34.122 ip’ sinin yol üzerindeki güvenlik duvarı veya yönlendirici olduğunu tespit etmiş oluruz. Burdan yola çıkarak bu güvenlik duvarı veyar yönlendirici ‘nin hangi portlarda filtreleme yapmadığını firewalk kullanarak tespit edelim.

9 Mart 2012 Cuma

TMG Üzerinde Uygulamaları Engellemek

TMG Firewall kısmından http izni verilen rule da sağ tıklayıp Configure HTTP alanına gelelim. Signatures kısmına geçiş yapalım. Aşağıdaki gibi bir ekran karşımıza çıkmaktadır.


Add diyelim.

Logparser ile ISA&TMG Loglarının Analizi

ISA veya TMG web logları ISALOG ile başlar ve sonrasında tarih ve bir takım değerler ile devam eder. Bu nedenle logparser ile bu logları incelerken from kısmında dosyanın pathi ve ISALOG* şeklinde o dizin altındaki bütün ISA yada TMG loglarını incelenmesi söz konusu olacaktır.

Herhangi bir websitesine yapılan kayıtların analizi;

Aşağıdaki sorguyu .sql olarak kaydedelim.

select LogFilename,RowNumber,date,time,c-ip,cs-username,sc-bytes,cs-bytes,rule,cs-protocol,cs-uri
into q1.txt
from ISALOG*
where cs-uri like '%bilgiguvenlik.org%'

Yukarıdaki sorgu cümlesiyle bilgiguvenlik.org sitesine giriş yapan kullanıcıların loglarını filtreleyip çıktı olarak alacağız. İstersek bunu bir sql sunucusunda bir tabloya insert edebileceğimiz gibi aşağıdaki komutta olacağı gibi text formatında da çıktı alabiliriz.

Aşağıdaki logparser komutunu .bat olarak kaydedelim.
logparser file:q1.sql -i:w3c -o:nat -rtp:-1
pause

Data Loss Prevention: Nerden Başlamak Gerekiyor?


Data Loss Prevention: Nerden Başlamak Gerekiyor?

Data Loss Prevention veya Information Leakage Prevention. Adına ne derseniz deyin temel amaç bilgiyi korumak. Ama nerden başlamak gerekiyor. Öncelikle doğru cevabı bulabilmek için doğru soruları sormamız gerekiyor. “Bilgiyi nasıl korumalıyız”  sorusundan önce “Hangi bilgiyi korumak istiyoruz” sorusunu sormalıyız.

Tüm DLP ile ilgili makale ve yazılarda amaç gizli ve hassas bilgiyi (confidential and sensitive data) korumaktır. Peki;
  • Hangi bilgi bizim için gizli ve hassas bilgidir?
  • Hangi bilgiyi korumalıyız?
  • Hangi bilgiyi korumak bizim için daha öncelikli.
  • Hangi bilgiyi korumak ise önemsiz veya gereksiz.  


8 Mart 2012 Perşembe

Bilgi Kayıplarını Önleme & Data Loss Prevention

Bilgi Kayıplarını Önleme & Data Loss Prevention


Günümüzde bilgi kayıpları ve bilgi sızmaları özellikle finans sektöründeki tüm firmaların en büyük korkusu  haline gelmiş bir olgudur. Bundan bir beş  sene  öncesine  kadar  Firewall  Sistemleri,  Atak Önleme/Tespit  Sistemleri  (Intrusion  Prevention/Detection  System),  Antivirus  Uygulamaları  ve URL Filtering Uygulamaları bilgi kayıplarını engellemek  için  yeterli  çözümler  olarak  görülmekteydi.  Hatta  bu güvenlik sistemleri henüz birer güvenlik standardı haline gelmemişti. 

Active Perl Kurulumu

ActivePerl, Windows işletim sistemi üzerinde Perl dilini kullanabilmenizi ve CGI/Perl uygulamalarını çalıştırıp test edebilmenizi sağlayan bir yazılımdır.
Active Perl kurulum dosyasını aşağıdaki linkten indirebilmekteyiz.



32 bit yada 64 bit versiyonlarını indirebiliriz. Şuan ActivePerl 5.14.2 sürümü bulunmaktadır.
İndirdiğimiz kurulum dosyasını çalıştırıyoruz.

7 Mart 2012 Çarşamba

Performans Testleri

Zaman zaman ağ/güvenlik sistemlerine test yaparken firmaların saniyede 1000, 10000, 100.000 paket gönderebilir misiniz?” gibi istekleri olabilmektedir.
Böylece test edilen cihazın, sistemin hangi aşamada sıkıntı yaşadığı rahatlıkla bulunabiliyor.Çeşitli protokoller için paket üretiminde genellikle Hping’i kullaniyorum fakat hping’in pps(packet per second) ayarlaması tam manasıyla çalışmıyor, ya da benim sistemlerinde verim alamıyorum. Hping yerine zaman zaman kullandığım iki aracı da deneyerek sonuçlarını paylaşayım istedim. Evet aşağıdaki üç araç ile istediğiniz protokolde, istediğiniz oranda paket üreterek sistemlerinizi test edebilirsiniz.(Bu siteye doğru yapmayin testlerinizi:)

Nmap ile saniyede istenilen değerde paket üretimi 
Nmap’in –min-rate ve –max-rate seçenekleri bu işe yarar. Port tarama yaparken eş zamanlı ne kadar paket gönderebileceğinizi bu seçenekleri ayarlayarak belirleyebilirsiniz. Mesela eş zamanlı olarak 10.000 paket göndererek 65.535 portu taramak isteyelim, sonuç aşağıdaki gibi olacaktır.

# time nmap –min-rate 10000 –max-rate 10001 localhost  -vvv -PN -p1-65535

ITIL

ITIL,  Information  Technology  Infrastructure  Library  sözcüklerinin  ilk  harflerinde oluşmuş bir kısaltmadır ve Bilgi Teknolojisi Altyapı Kütüphanesi olarak adlandırılır. ITIL, BT servislerini  eksiksiz  ve  en  iyi  kalitede  yönetmek  üzere  geliştirilmiş  servis  yönetim metodolojisidir.

ITIL, 1987‟de İngiltere Ticaret Bakanlığı  tarafından geliştirilmiştir. İş süreç yaklaşımı sayesinde ITIL müşteri, tedarikçi, BT bölümü ve kullanıcıları arasında başarılı bir şekilde iletişim kurulmasını sağlamaktadır. “En iyi uygulamalar / deneyimler” üzerine yapılandırılmışolan ITIL BT Servis Yönetimi ve dağıtımı süreçleri ile dünyada yaygın olarak kullanılmakta ve kabul görmüş bir standart olarak benimsenmektedir.

ITIL, Servis yönetimi ve sağlama süreçleri için en uygun başvuru  kaynağıdır. Servis yönetimini en iyi şekilde sürdürmek için yol gösteren ve kullanıcılarına servis sağlama süreçlerini ayrıntılı şekilde gösteren bir kitap kümesi olmaktan çıkmış, dünyaca kabul gören yöntemler  dizisine  dönüşmüştür.  ITIL  yaklaşımının  servis  yönetimi  süreçlerine  nasıl uygulanacağı her organizasyon tarafından, organizasyonun kendi kültürüne, yapısına ve teknolojisine göre belirlenmelidir.

Servis Yönetimi Süreçleri 

ITIL‟de tanımlanan tüm süreçlerin her biri diğeriyle ilintilidir. Servis yönetiminde yer alan ve birbiriyle bütünleşik olarak çalışan süreçleri kısaca şu şekilde sınıflandırabiliriz :

ISO 27001

ISO/IEC  27001:2005  -  Bilişim  Teknolojisi -  Güvenlik  Teknikleri -  Bilgi Güvenliği Yönetim Sistemleri – Gereksinimler standardı , bir Bilgi Güvenliği Yönetim Sistemi’ni (BGYS) (ISMS –  Information  Security  Management  System)  kurmak, geliştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için bir model oluşturmak amacıyla hazırlanmıştır. ISO/IEC 27001, bilgi güvenlik yönetim standardıdır. Bir dizi bilgi güvenlik yönetim gereksinimlerini tanımlar. Gereksinim bir ihtiyaç,  beklenti  ya  da  zorunluluktur.Çok  çeşitli  türden  gereksinimler  vardır. Bunların  bazıları  güvenlik  gereksinimleri,  sözleşmelere  bağlı  gereksinimler, yönetimsel gereksinimler, düzenleyici ya da yasal gereksinimleri içerir.

ISO/IEC  27001 standardının amacı, bilgi güvenlik yönetim sistemi (BGYS) kurmak  ve  bakımını  sürdürmektir. ISO/IEC  27001  standardı  her  türlü  kuruluşa uygulanabilir. Kuruluşun ne yaptığı ya da büyüklüğü önemli değildir. ISO/IEC 27001 standardı,  kuruluşun  bilgi  güvenlik  yönetim  gereksinimleri  ve  gerekliliklerini karşılamaya yardımcı olur.


Bu standart ISO tarafından 14 Ekim 2005 tarihinde yayınlanmış ve ISO/IEC 27000 standart serisi altında yerini almıştır. Bilgi güvenliği yönetim sistemi ile ilgili belgelendirilebilen bir standardıdır.

Cobit Nedir?

CobiT Nedir? 
CobiT, Türkçe karşılığı Bilgi ve İlgili Teknolojiler İçin Kontrol Hedefleri olan Control OBjectives  for  Information  and  Related  Technology kelimelerinden üretilmiş bir kısaltmadır. ISACA ve ITGI tarafından 1992 yılında geliştirilmiş,BT Yönetimi için en iyi uygulamalar kümesidir. CobiT; ISO teknik standartları, ISACA ve AB  tarafından  yayınlanan  yönetim  kanunları,  COSO,  AICPA,  GAO  tarafından yayınlanan  profesyonel  iç  kontrol  ve  denetim  standartları  tarafından biçimlendirilmiştir. Bir şirkette teknolojinin kullanımından ve BT yönetişimi ile kontrol geliştirmekten  türeyen  faydayı  en  üst  düzeye  çıkarmaya  yardım  etmesi  için yöneticilere, denetçilere ve BT kullanıcılarına genel olarak kabul görmüş ölçüler,göstergeler,  süreçler  ve  en  iyi  uygulamalar  sağlar.

CobiT’in  vizyonu;  bilişim teknolojileri yönetişim (IT governance) modeli olmaktır. CobiT sadece bir  denetim aracı değil, aynı zamanda bir yönetişim aracı olma amacını taşır. Bu nedenle yönetimden bilişim teknolojileri personeline kadar kurum içi ve dışında, kurumun varlığı ve sağlıklı faaliyet göstermesi konularında risk üstlenen çeşitli taraflara fayda sağlama amacını da yerine getirmeyi hedeflemektedir.

DNSMAP


DNSMap bir alan adina ait alt alan adlarini tespit etmek için kullanilan küçük bir araçtir. Temel olarak kendi içerisinde (built-in) gelen kelime listesini ya da sizin belirttiginiz bir kelime listesini kullanarak hedef alan adi için alt alan adi taramasi yapmaktadir.

Penetrasyon testlerinin bilgi toplama asamasinda kullanilan DNSMap C ile yazilmis küçük bir programciktir. Kullanisli bir araç oldugundan dolayi yazinin devaminda dnsmap ile DNS enumeration islemlerinin nasil yapilabilecegi anlatilmaktadir.

Son sürümü 3.0 olan dns map http://code.google.com/p/dnsmap/downloads/list adresinden indirilebilmektedir. (Dnsmap, Backtrack 4 içerisinde de bulunmaktadir.)
Kurulum adimlari asagidaki gibidir.
Once download edip paketi açin.

# wget http://dnsmap.googlecode.com/files/dnsmap-0.30.tar.gz
# tar xvfz dnsmap-0.30.tar.gz
# cd dnsmap-0.30

Kaynak kod dizinine girdikten sonra derleme islemini yapin.

# make
ya da
# gcc -Wall dnsmap.c -o dnsmap

Son olarak dnsmap ismi ile derlenmis olan binary dosyasini /usr/local/bin dizinine kopyalayin.

# cp ./dnsmap /usr/local/bin/dnsmap

Pyhton Kurulumu


Python’un en yeni sürümü 3.x numaralıdır. ¸Su anda en çok kullanılan ve en yaygın sürümler
ise 2.x numaralı olanlardır. Pek çok GNU/Linux dağıtımında Python kurulu olarak gelir. Eğer siz
de bir GNU/Linux kullanıcısı iseniz muhtemelen sisteminizde Python zaten kuruludur. Ancak
sisteminizde kurulu olan bu sürüm büyük ihtimalle Python’un 2.x numaralı bir sürümüdür.
Windows sistemlerinde ise herhangi bir Python sürümü kurulu olarak gelmez.Python’un 3.x sürümünün
GNU/Linux ve Windows’ta nasıl kurulacağını ayrı ayrı inceleyelim:

GNU/Linux Kullanıcıları

GNU/Linux dağıtımlarından birini kullanıyorsanız sisteminizde muhtemelen Python’un 2.x sürümlerinden biri zaten kuruludur. Bunu şu şekilde kontrol edebilirsiniz:
Komut satırında:

python
yazıp enter tu¸suna bastığınızda, eğer karşınıza şuna benzer bir ekran geliyorsa, kurulu sürüm 2.x’tir:

Python 2.6.1+ (r261:67515, Mar 2 2009, 13:10:18)
[GCC 4.3.3] on linux2
Type "help", "copyright", "credits" or "license" for more information.

Logparser Sorgu Sonuçlarının Veritabanına Yazılması


Logparser Sorgu Sonuçlarının Veritabanına Yazılması

Logparser uygulaması ile birçok farklı tipteki log dosyaları üzerinde sql dili ile sorgulama yapmak mümkün. Buna file sistem üzerindeki dosya özellikleri ve standart olmayan csv dosyaları da dahil. Elde edilen sorgu sonuçları üzerinden farklı çıktılar üretmek mümkün. Sorgu sonuçlarını csv,xml veya w3c formatlarında dosyaya yazdırabiliriz. Bunun yanında sorgu sonuçları bir veritabanına aktarılabilir. Şimdi bununla ilgili basit bir örnek yapalım ve püf noktalarını görelim.

Örnek olarak logparser ile windows event logları üzerinde bir sorgu çalıştırdığımız ve sonucu sql sunucuya atmak istediğimizi varsayalım. Adım adım gidelim.


Öncelikle sorgumuzu oluşturalım. Sonucun istediğimiz gibi görünüp görünmediğine bakalım. Aşağıdaki sorgu windows event logları üzerinden EventID = 4624 (başarılı login) sahip logları filtreler. Aşağıdaki sorguyu query.sql isimli bir dosyaya kayıt edelim.

select top 10 TimeGenerated, EventID, EventTypeName, ComputerName, SourceName, Strings
into result.txt
from security where eventid = 4624



6 Mart 2012 Salı

Kiwi Syslog Server Kurulumu

Kiwi Syslog Server kurulum dosyasını aşağıdaki linkten ilgili download alanında register işlemimizi tamamlayıp indiriyoruz.


Lisans sözleşmesini geçtikten sonra program bize ne şekilde çalıştırılmak istediğimizi soruyor.Programı istersek bir servis olarak çalıştırabiliriz.bu şekilde programın arayüzünü kapatsak bile loglar işlenmeye devam eder.Öbür türlü application modda kurarsak arayüzü yapattığımız gibi syslog mesajlarının işlenmesi duracaktır.Biz servis olarak kuruyoruz.



I Agree diyerek sözleşmeyi  kabul ediyoruz.

Bilgi Güvenliği Standartları


Bilgi Güvenliği, kurum ve organizasyonların değerli ve gizli olarak nitelendirilen veri ve bilgilerinin korunmasında çok önemli bir görev üstlenmiştir. Bu noktada, kurum ve organizasyonlar, Bilgi Güvenliği hususunda azami dikkat etmeli, gerekli tedbirleri yerinde ve zamanında almalıdır. Bu durumun önemine dikkat çekmek ve Bilgi Güvenliğini geliştirecek gerekli çalışmaları yapmak üzere, birçok yönetim ve organizasyon, bazı önemli standartlar ve yasal düzenlemeler oluşturmuştur. Bu sayede Bilgi Güvenliğinin sürekliliği, kaynakların doğru şekilde kullanımı ve güvenlik uygulamalarının geliştirilmesi amaçlanmıştır.

Standartların Kullanım Nedenleri
Kurum ve organizasyonların Bilgi Güvenliğinin sağlanmasında karşılaştıkları belli başlı zorluklar şöyle sıralanabilir:
·         Yüksek entegrasyon gerektiren ve karmaşık yapıdaki IT-temelli sistemlerin geniş bir alanda kullanılmaya başlanması.
·         Hızla değişen teknolojiyle temellendirilmiş bilgisayarların, uygulamaların ve ağ yapılarının yüksek tehdit altında bulunmaları.
·         Hâlihazırdaki ve yeni teknolojik sistemlerin, sürekli saldırıya maruz kalmaları ve açıklıklarının keşfedilmesi.
·         Kurum ve organizasyonların düşük maliyetli ve yüksek verimli sistemlere duydukları ihtiyaç.
·         Yasal ve düzenleyici zorunlulukların Bilgi Güvenliği adına getirdikleri yükümlülükler.
·  
     Kurum ve organizasyonların, kaynak, beceri ve uzmanlık bakımından Bilgi Güvenliğini sağlamadaki yetersizlikleri.
Yukarıdaki bahsedilen bu zorluklardan dolayı, kurum ve organizasyonlar, Bilgi Güvenliğini kapsamlı bir şekilde ele alan, faaliyet alanına göre güvenliğin sağlanmasına dair kuralları dile getiren belli başlı standartların oluşturulması ve uygulanması yoluna gitmiştir. Bu makalede, dünyada önemli yer tutmuş belli başlı standartlar ve güvenlik hususundaki kuralları açıklanmıştır.

Datagram Syslog Agent


5651 yasası ile Network Erişim ve DHCP loglarının önemi oldukça artmıştır. Tüm kurum, kuruluşlarda dhcp ve network erişim loglarının kayıt altına alınması, zaman damgası ile imzalanması yasal zorunluluk haline gelmiştir. Kimi kurumlar bir LogYönetimi yazılımı kullanarak bu konudaki zorunlulukları yerine getirmiş olup; kendi yazılım ekibi ile bu konuda çözüm üreten kurumlarda bulunmaktadır.

Bilindiği üzere Windows DHCP logları” C:\Windows\System32\dhcp\” altında 7 günlük döngüsel halde bulunmaktadır. Haftanın her günü için; o güne ait
dosya içerisine kaydedilmektedir. 
Datagram Syslog Agent isimli ücretsiz bir yazılım ile Windows dhcp loglarının Syslog Server’a gönderilmesini basit bir şekilde anlatacağım.

 1-       DHCP Server’da DHCP logları için bir klasör oluşturalım.
(Örn: C:\logs\DHCP)

IIS Loglarının Logparser ile Analizi


Aşağıdaki sorguyu .sql uzantılı olacak şekilde kaydedelim.

select top 100 date,time,s-ip,c-ip,cs-username,cs-uri-stem
into iis.txt
from c:\iss\ex111016.log

Aşağıdaki logparser komutlarınıda .bat uzantılı olacak şekilde kaydedelim.

logparser file:iis.sql -i:w3c -o:NAT -rtp:-1
pause

Her bat dosyamızın sonuna pause eklersek iyi olacaktır. Bir hata aldığımızda ekran karşımızda Dursun diye. Aksi halde hata oluşur ve ekran hemen kapanır.

Sorgulardan görüleceği üzere IIS loglarındaki alanlardan istediklerimizi seçip istediğimiz şekilde sorgulamalar yapabilmekteyiz. Logparser formatında ise input olarak W3C output olarak NAT verilmiştir. Böylece çıktımız net bir şekilde okunabilen bir yapıda olacaktır.

Internal Server Error veren durumların parse edilmesi;

select *
into internal_server_error.txt
FROM d:\ex100918.log
WHERE sc-status=500

3 Mart 2012 Cumartesi

Mobil Güvenlik


Mobile Security (Telefonunuzdaki Bilgiler Ne kadar Güvende?)

Yakın zamanda birbirinin peşi sıra mobil telefonlar ile ilgili zaafiyetler keşfedildi. Sadece son bir hafta içersinde Android işletim sistemi ile ve Apple cihazlarla ilgili önemli güvenlik zaafiyetleri rapor edildi. Bu da mobil cihazların güvenliğinin önemini bir kere daha gündeme getirdi.

Apple Loophole Gives Developers Access to Photos



Yukarıdaki ekran görüntüsünü iPhone kullananlar çok yakından bilir. Ancak bir çoğu bu ekranda OK seçeneğini seçtiklerinde lokasyonu ile beraber telefon defterini, resimlerini ve videolarını paylaştıklarını bilmiyor. Çıkan ekranda hiçbir zaman telefon defterini, resimlerini ve videolarını paylaşmak istiyor musun diye sormuyor. Ancak OK dediğiniz her ekranda uygulama geliştiricilerin bu bilgilere ulaşmasına izin vermiş bulunuyorsunuz.

2 Mart 2012 Cuma

İnternet Bankacılığı SMS Şifre Tehlikesi

Müşteri bilgilerinin yer aldığı sahte kimlik ile telefonunun çalındığını veya kaybolduğunu GSM firma yetkilisine söyleyerek başvuruda bulunuyor ve 5 - 10 dk gibi kısa bir sürede müşteriye ait telefon numarasının eşleştirildiği yeni sim kart dolandırıcıya veriliyor. Böylelikle sms şifre sorunsuz bir şekilde dolandırıcının eline geçmiş oluyor. Önlem: Burada GSM firmalarına büyük iş düşmektedir. Sim kart yenileme işlemlerini daha kontrollu bir şekilde yapmaları ve talebi yapan kişilere ek doğrulama ve kimlik denetimi süreçleri uygulanmalıdır. Özellikle bankaların GSM firmalarından son 24 saat içinde sim kart değişiklik taleplerini alarak, o müşteriye 24 saat boyunca sms şifre göndermemeleri alınacak önlemler arasındadır.
    1 Ocak 2010 tarihi itibariyle  tek kullanımlık şifre hayatımıza girdi ve iki bileşenli kimlik doğrulama internet bankacılığı uygulamalarında zorunlu hale gelmiştir. Böylelikle internet bankacılığı hizmeti alan müşterilere daha güvenli erişim imkanı sağlanmıştır.
    Tek kullanımlık şifre her kullanımda veya belli bir süre geçtikten sonra geçerliliğini yitiren ve bir sonraki kullanım için yeniden üretilmesi gereken sayı ve/veya harf dizisidir. Bu sayı/harf dizileri müşterilerin hizmetine farklı yöntemlerle  sunulmuştur.
Bunlar;
·         Tek Kullanımlık şifre üreten cihazlar (token)
·         Tek Kullanımlık şifre üreten yüklenebilir programlar (Soft token)
·         Tek kullanımlık sms şifre
·         Elektronik imza tabanlı çözümler
·         Biyometrik tanıma (ses tanıma sistemleri) v.b.