http://www.ankasec.org Ankara, Türkiye 23 Aralık 2010 Ülkemizde gerçekleştirilen bilgi/bilişim güvenliği çalışmalarına katkı olmak amacıyla her yıl düzenli olarak gerçekleştirilen Ankara’ya özel bilgi güvenliği etkinliği AnkaSEC Bilgi Güvenliği Konferansı bu yıl  23 Aralık 2010 tarihinde Ankara TÜBİTAK Başkanlık binasında gerçekleştirilecektir. Konferansa kayıt olan herkese açık olan bu ücretsiz etkinlik ile ilgili bilgiler şöyle :

Yazinin devami icin tiklayin.

GreenSQL, sql injection saldırıları için database’leri koruma altına almak üzere geliştirilmiş bir database firewall uygulamasıdır. MySQL ve PostgreSQL’ler için destek sunan GreenSQL temel olarak proxy olarak çalışarak gerçek database’in önünde durur ve web uygulamasından gelen sql bağlantı isteklerini karşılayarak SQL komutlarını inceler ve bir risk scoring matrix kullanarak ilgili sql cümlelerini analiz ederek aksiyon alır.

Bu şekilde, web uygulamanızda bir sql injection açığı bulunsa dahi GreenSQL sayesinde açıktan etkilenmemeniz mümkün olabilir.  Detaylarına yazının devamında değineceğim GreenSQL temel olarak, default 3305 portunu dinler ve gelen sql istekleri için risk analizi yapar; güvenli olmaları durumunda komutları arkadaki sql sunucusuna iletir, eğer sql cümleleri güvenli değil ve daha önceden de Whitelist’e eklenmemişlerse blocklar ve uygulamaya boş bir cevap döndürür. GreenSQL’in IPS, IDS, Firewall ve Learning gibi modlarda çalıştırabilirsiniz. Özellikle learning modu false positive durumların önüne geçmek için çok kullanışlıdır. Ayrıca GreenSQL fiziksel olarak database sunucunuz ile aynı makinada çalışabilir ya da ayrı bir makina üzerine konumlandırabilirsiniz.

Yazının devamında, GreenSQL’in çalışma mantığından, kurulum ve yapılandırma işlemlerinden bahsedeceğim.

Yazinin devami icin tiklayin.

Sunucunuzda, internet üzerinden direk erişilebilir ve güvenliği sadece şifre ile sağlanan servisleriniz varsa, log dosyalarınızda birilerinin şifre deneme yöntemi ile ilgili servis üzerinde yetki elde etme teşebbüslerini tespit edebilirsiniz. Örnek olarak sunucunuzdaki SSH servisi default (22.) porttan çalışıyor ve herhangi bir erişim kontrol mekanizması (firewall vs.) kullanmıyorsanız bu durumla bol bol karşılaşmanız kaçınılmazdır. (ve umarım güçlü bir şifre kullanıyorsunuzdur.)

Ancak sunucunuza herhangi bir nedenle erişim kontrolü uygulayamıyorsanız ve gerçekten de ilgili servislere (örneğin ssh) herhangi bir yerden erişilmesi gerekiyorsa en azından fail2ban kullanabilir ve sunucunuzun brut force attack ile ele geçirilme riskini minimize edebilirsiniz. Fail2ban, sunucunuzun log dosyalarını takip ederek, sizin belirlediginiz bir sayının üzerinde başarısız login girişimininde bulunan birinin IP adresini gene sizin belirlediğiniz bir süre boyunca reject etmeye yarayan güzel bir python uygulamasıdır.

Bu yazıda, Iptables ya da tcpwrapper (hosts.deny) kullanarak sshd, vsftpd, proftpd, apache, lighttpd gibi uygulamalar için başarısız login denemelerinde (ya da sizin belirlediğiniz herhangi bir aksiyonda) ilgili aktivitenin kaynak ip’sini belirli bir süre banlamak için kullanılan bu güzel uygulamanın kurulumu, yapılandırması ve özelleştirilmesinden bahsedeceğim.

Yazinin devami icin tiklayin.

Bildiğiniz gibi Linux tabanlı bir çok sistemde, ssh üzerinden direk olarak root kullanıcısı ile login olma yetkisi açık şekilde geliyor. Bu durum, herhangi bir firewall arkasında olmayıp da ssh portu (22) dışarıya açık olan sunucular için ciddi bir risktir. Zira, root passwordunuzu öğrenmeyi başarmış herkes, sisteminize root yetkileri ile ssh üzerinden login olabilir. Bu nedenle, böyle durumlar için yapmanız gereken ilk iş, sshd’nin root kullanıcısı için direk erişim yetkisi vermememesini sağlamaktır. Bu işi, sshd’nin yapılandırma dosyasında yapılacak küçük bir değişiklikle gerçekleştirebilirsiniz.

İşte nasıl yapıldığı:

Yazinin devami icin tiklayin.

ELS (Easy Linux Security), Linux sunucularda bazı güvenlik ve optimizasyon ayarlarını otomatik olarak yapmaya olanak sağlayan güzel bir shell scriptidir.  Bu script, normalde manuel olarak yapabileceğiniz bir çok security ve optimization ayarını, tek bir komut ile sizin yerinize kolayca gerçekleştirebiliyor.

Kurulumu ve kullanımı bir hayli kolay olan ELS’yi aşağıdaki Linux dağıtımlarında kullanabiliyorsunuz.

• Red Hat Linux
• Red Hat Enterprise Linux
• Fedora Core
• CentOS
• Debian

Scriptin yaptığı işlemlerin bazıları şu şekilde:

Yazinin devami icin tiklayin.

Modsecurity olarak da bilinen ve bir apache modülü olarak çalışan mod_security, web uygulamalarının güvenliğini sağlamak amacıyla geliştirilmiş bir web application firewall (WAF) yazılımıdır.Bilindiği gibi bir web sunucusu üzerinde çalıştırılan web uygulamalarının kodsal bakımdan ne kadar güvenli olup olmadığını bilmek herzaman için kolay olabilen bir şey değildir; buna rağmen çalışan bu uygulamalar herhangi bir açık içeriyorsa bu durumun can sıkan sonuçları olabilir. İşte bu gibi durumların önüne geçebilmek için mod_security isimli apache modülünü kullanmak oldukça yerinde olacaktır. Kuruluma geçmeden önce konuyla ilgili biraz detay vermek istiyorum.

Herhangi bir açık içeren kod parçasına sahip bir yazılım nedeni ile sunucunuz ciddi anlamda risk altında olabilir. Yazinin devami icin tiklayin.

26 Eylül’de US-CERT tarafından Flash Player’lar için ClickJacking denilen saldırı tipine olanak sağlayan bir güvenlik açığının varlığı duyurulmuştu. Detaylarına US-CERT’in ilgili raporundan ulaşabileceğiniz bu açık, kısaca temiz olduğunu düşündüğünüz ya da tuzak olarak hazırlanmış web sitelerindeki herhangi bir linke tıkladığınızda “aslında başka bir kaynaktaki bir linke tıklamış olmanızın” sağlanması şeklinde cereyan ediyor. Yani saldırgan, web sitelerindeki linkleri istediği şekilde yönetebiliyor ve bilgisayarınızda zararlı kodlar çalıştırılmasını sağlayabiliyor.

Flash Player, hemen tüm browserlarla uyumlu olarak çalıştığı ve internet üzerinde flash content barındıran yığınla site olduğundan dolayı bu açığın kapsama alanı epey geniş. Ayrıca, çok kolay ve çok çeşitli yöntemlerle uygulanabilecek bir saldırıya zemin hazırladığından dolayı önemi daha da artıyor. Bu açığın giderilmesi için bir kaç gün öncesine kadar (15 Ekim 2008) herhangi bir patch vs. yayınlanmamıştı. Sadece flash player’in ayarlarından erişim için bir takım yasaklamalar yapmak öneriliyordu.

Yazinin devami icin tiklayin.

Windows ortamları için geliştirilmiş olan Cain & Abel unutulan ya da kaybedilen şifreleri tekrar elde etmek için kullanılmanın bir password recovery yazılımı. Ancak şifreleri bulmak için kullandığı yöntemler ve ek özellikleri nedeni ile aslında sadece masum bir password recovery yazılımı demek pek mümkün değil. Çünkü sadece lokal bir bilgisayardaki şifreleri bulmanın ötesinde, network sniffer olarak çalışarak bir LAN üzerindeki herhangi bir bilgisayardan üretilen trafiğin içinde geçen hemen her şifreyi de bulabiliyor.

Hal böyle olunca, -her ne kadar sitesinde açıklama olarak, programın herhangi bir exploit ya da software açığını kullanmadığını, halihazırdaki protokol standartları, şifreleme metodları ve kaşeleme mekanizmalarındaki bilinen zayıf noktaları kullanarak sadece password recovery işlemleri için yazılmış olduğu belirtilse de- Cain & Abel’den masum bir password recovery yazılımıymış gibi bahsetmek pek mümkün değil.

Yazinin devami icin tiklayin.