Siteler Ötesi İstek Sahteciliği (CSRF)

CSRF saldırıları; sisteme girişi yapmış mağdura ait tarayıcının, bir web uygulamasına sonradan saldırganın yararına olacak, düşmanca hazırlanmış ve önceden doğrulanmış bir istek göndermesine sebep olur. CSRF, saldırdığı web uygulaması kadar güçlü olabilir.

Siteler ötesi istek sahteciliği (Cross Site Request Forgery) yeni bir saldırı türü değildir fakat basittir ve zarar vericidir. CSRF saldırısı, saldırıya açık bir İnternet uygulamasına bir isteği yollaması için kurbanın tarayıcısına zorla giriş yapar, sonra kurbanın adına seçilen hareketi yapar.

Bu saldırıya açıklık aşırı derecede yaygındır, herhangi bir İnternet uygulaması şu nedenlerden dolayı risk altındadır;

Saldırıya açık işlemler için hiçbir kimlik doğrulama kontrolü yoktur,Eğer orijinal giriş bilgileri (kullanıcı adı & şifre) geçerliyse, işlem gerçekleşecektir, 

Örneğin;

http://www.bilgiguvenlik.org/admin/doSomething.ctl?username=admin&passwd=admin

Yetkilendirilmiş istekler, eğer oturum açılmış uygulama varsa oturum çerez bilgileri, eğer oturum açılmamışsa "Beni hatırla" fonksiyonu, veya eğer aktif dizinle açılmış oturumda katılımcı bir Intranet'in parçası ile bütünleşmişse Kerberos işareti gibi otomatik olarak yollanan kimlik bilgilerine dayanır.

İhlal Edilmiş Kimlik Doğrulama ve Oturum Yönetimi

Hesap Bilgileri ve oturum anahtarları çoğu zaman düzgün olarak korunmamaktadır. Saldırganlar şifreleri ve kimlik denetimi anahtarlarını kullanıcının diğer bilgilerini elde etmek için kullanabilirler.

Uygun kimlik doğrulama ve oturum yönetimi, İnternet uygulama güvenliği için kritiktir. Bu alandaki kusurlar sıklıkla, kimlik bilgisi ve oturum işaretlerini kendi döngüleri boyunca korumada bozukluğu ihtiva eder. Bu kusurlar, kullanıcı veya idare hesapları korsanlığına, kimlik doğrulama ve hesap sorumluluğu kontrollerinin çökmesine ve gizlilik ihlallerine sebep olabilir.

Ana kimlik doğrulama mekanizmasında kusurlar, seyrek değildir, fakat zayıf noktalar daha çok, çıkış, parola yönetimi, zaman aşımı, beni hatırla, gizli soru ve hesap güncelleştirmesi gibi yardımcı kimlik doğrulama fonksiyonları boyunca ortaya çıkar.

Güvensiz Kriptografik Depolama

Web uygulamaları verilerin ve bilgilerin güvenliğini sağlamak için nadiren kriptografik fonksiyonları kullanırlar. Saldırganlar zayıfça korunan veriyi, kimlik hırsızlığı ve kredi kartı dolandırıcılığı gibi diğer suçları işlemek için kullanırlar.

Hassasiyet derecesi yüksek olan verileri kriptografi ile korumak, birçok web uygulaması için anahtar konuma gelmiştir. Basitçe hassasiyet derecesi yüksek verileri şifreleyememek oldukça yaygın bir konudur. İçeriğini sık sık kötü bir şekilde şifreleyen uygulamalar da hem uygun olmayan bir şekilde şifreleme kullanılmakta hem de güçlü şifreleme hataları yapılmaktadır. Bu kusurlar, hassas verinin ortaya çıkmasına ve uyumsuzluk sorununa yol açabilir.

Şifreleme sorunlarını önlemek için dikkatli bir planlama yapmak gerekmektedir. Yaygınca görülen sorunları şöyle sıralayabiliriz;

URL Erişimini Kısıtlamada Bozukluk

Çoğu zaman uygulamalar, bağlantı ve URL satırlarını yetkili olmayan kullanıcılara sadece göstermeyerek hassas işlevselliği korumaktadırlar. Saldırganlar bu URL’lere doğrudan erişerek, yetkisi olmayan işlemleri gerçekleştirmek için bu zayıflığı kullanabilirler.

Sıklıkla, bir URL’in tek koruması yetkisiz girişlere izin verilmeyen bir sayfaya yönlendirmedir. Ancak, motive edilmiş, yetenekli yada gerçekten şanslı saldırganlar bu adreslere erişebilir, fonksiyonları çağırabilir veya verileri görüntüleyebilir. Belirsiz güvenlik hassas fonksiyonları ve uygulama içerisindeki verileri korumak için yeterli değildir. Hassas fonksiyonlara erişimden önce erişim kontrolü mutlaka yapılmalıdır ki kullanıcının o fonksiyona erişim yetkisi olduğu kontrolü yapılabilsin.

Bu zayıflık için ilk saldırı yöntemi “forced browsing” olarak adlandırılmaktadır. Korunmasız sayfaları bulmak için birer birer deneme (brute force) atakları ya da linkleri tahmin etme yöntemleri ile uygulama çevrelenebilir. Uygulamalar sıklıkla codebase tarafından kod kontrol erişimine, kodu yaymak ve açmak için izin verir. Karmaşık bir modeli sonuçlandırmak güvenlik uzmanları gibi geliştiriciler için de anlamayı zorlaştırır.

Bu kusuru içeren bazı yaygın örnekler:

Kriptografi

En basit tanımıyla kriptografi, mesajın harflerin değiştirilmesi ile içeriğinin gizlenmesi işlemidir. Harflerin yer değiştirmesinde kullanılan şablona (örneğin a=k, b=l, c=m, d=n, vb.) anahtar, ve anahtarın kullanılmasıyla elde edilen okunamayan, anlaşılması zor metine “ciphertext” denilmektedir. Numaralarda harfler gibi yerine koyulan karakterler olarak kullanılabilmektedir.

Numaraların karıştırılması için kullanılan matematiksel  işlemler dizisine “encryption”  algoritması denilmektedir. Basit bir algoritmaya örnek olarak her sayının kendisinin solundaki  sayının kare kökü ile çarpılmasını uygulayan algoritmayı gösterebiliriz. Çocuklar arasında kullanılan basit bir “encryption” algoritması olarak “Kuş dili” gösterilebilir. Bu algoritmada kelimenin uygun yerine -ga  eki getirilerek yeni kelimeler oluşturulmaktadır.(Örnek:oynamak=ogoynagamak, çalışmak=çagalıgışmak). “Endüstriyel-Güçlü” algoritmalar elbette kriptoanaliz kullanarak çözmenin çok fazla vakit alacağı karmaşıklıktadır. 

TMG 2010 Kurulumu

TMG 2010 kurulum CD si takılır.

Threat Management Gateway 2010

Forefront Threat Management Gateway 2010 (TMG), çalışanların zararlı yazılım ve diğer tehditler konusunda endişelenmeden Internet'i iş için güvenli ve verimli kullanmasını sağlayarak işletmelere yardımcı olur. URL filtreleme, zararlı yazılım önleme denetleme, yetkisiz giriş önleme, uygulama proxy ve HTTP /HTTPS denetleme dahil, birleşik, yönetmesi kolay bir ağ geçidinde entegre edilmiş birden fazla sürekli güncellenen koruma katmanı sağlar ve Web güvenliği maliyeti ve karmaşıklığını azaltır.

Forefront TMG, kuruluşların birden fazla Web güvenliği satıcısından gelen saygınlık bilgilerine ve Internet Explorer 8 kullanıcılarını zararlı yazılım ve kimlik avcılığı sitelerine karşı koruyan teknolojiye dayanarak tehlikeli sitelere erişimi engelleyerek yüksek düzeyde hassas Web güvenliği uygulamasını sağlar.

TMG SÜRÜMLERİ

TMG, ölçeğe göre iki ayrı sürüm olarak pazara sürülmüştür:  

-TMG Standard Edition

-TMG Enterprise Edition

Standart sürüm, küçük şirketler için firewall ve Web caching hizmetleri sağlar.

Enterprise sürüm ise, standart sürümün özelliklerinin yanı sıra, özellikle daha fazla Internet trafiğini yönetmek ve performans sağlamak için geliştirilmiş bir üründür.