Dradis 2 – Güvenlik denetimlerinde bilgi paylaşımı

Güvenlik denetimi bir grup tarafından yapılıyor ve özellikle kişiler farklı yerlerde bulunuyorsa bilgi paylaşımı zorlaşabilir.

Dradis adlı yazılım, kişiler arası bilgi paylaşımı ve bulguların merkezi bir yerde toplanmasını sağlıyor.
Dradis’in 2.0 sürümü duyuruldu. Bu sürümde web arabirimi yenilenmiş ve bilgi paylaşımı mantığı biraz değiştirilmiş.

Ürünün anasayfasına buradan ulaşabilirsiniz. Ekran görüntüleri ve buradaki demo video ile de ürüne hızlıca göz atılabilir.

Firefox 3’te SSL sertifika uyarılarını hızlıca bypass edin

Firefox 3’le gelen sertifika uyarıları kullanıcılar açısından harika olsa da, sürekli demo ürünler kuran, test ortamlarında uygulamaları deneyen bizler için bazen bir çileye dönüşebiliyor.

Normalde sertifika problemi olan bir yere girebilmek için;

  1. Karşımıza çıkan “Or you can add an exception…”a tıklamak,
  2. “Add exception…”a tıklamak
  3. Gelen ekranın location bölümündeki “Get Certificate”e tıklamak,
  4. Tercihen “Permenantly store this exception”u seçmek veya seçimini kaldırmak,
  5. Ve nihayet “Confirm Security Exception” butonuna basarak sayfaya girmek gerekiyor.

Bu işlemleri azaltmak için “about:config” içerisinde;

yapmak yeterli.

Bu ayarları yaptıktan sonra, SSL sertifikası problemli olan yerlere girerken yukarıda sıraladığım 1 ve 3. adımları yapmaya gerek kalmadığından, en fazla 3 tıklamada beklemeden sayfaya giriş sağlanabiliyor.
Denemek için https://mail.yahoo.com ‘u kullanabilirsiniz. Sertifika hatalarını onaylarken dikkatli olmak gerekiyor.

Synjunkie’den hack hikayeleri

Synjunkie, Kasım 2008’den beri uydurma hack hikayeleri yazıyor.

Mümkün olduğunca gerçekçi olan bu hikayeler; “bir sisteme nasıl sızılır?”, “hangi önlemler alınsaydı bu saldırı başarılı olamazdı?”, “bu saldırı nasıl tespit edilebilirdi?” veya “kendi firmamı böyle bir saldırıdan nasıl koruyabilirim?” gibi sorulara ışık tutabilir.

Tabi hikayelerin aynı zamanda bir potansiyel saldırgan için eğitici yönleri de bulunuyor. Bu şekilde sunulan bazı eğitim konuları da daha akılda kalıcı olabilir.

Her hikayede farklı konulara yer verilmeye çalışılmış. Genel olarak bakıldığında insanı yormayan, dili ve okuması gayet rahat, kafa dağıtıcı yazılar olmuş. Şu an sitede 3’er bölümden oluşan 3 tane hikaye bulunuyor:

  1. The Story of a Hack
  2. The Story of an Insider
  3. The Story of an Newbie Hax0r (seri devam ediyor)

Disk üzerinde veriyi tamamen silmek: 1 defa üzerine yazmak yeterli mi?

Konuya hakim kişilerin çok iyi bildiği gibi, disk üzerinde silinen veriler aslında disk üzerinden tamamen silinmez. İşletim sistemi dosyanın, dosya sistemi tablosundaki referansını siler. Ve yeni bir veri/dosya oluşturulduğunda bu veri, rasgele olarak boş alanlara veya silinmiş olarak bilinen bu alanlara yazılmaktadır.

Silinmiş verileri kurtarma yazılımları da bu mantıkta çalışmaktadır. Dosya sisteminde ilişkili olmayan ama silinmiş dosyalar bu sayede kurtarılabilmektedir.

Eraser, THC-SecureDelete, DBAN gibi yazılımlar ise, dosyanın disk üzerinde tamamen silinmesi için kullanılabilecek yazılımlardır.

Peki veriyi disk üzerinde 1 defa silmek yetiyor mu? 1996 yılında Peter Gutmann tarafından yayınlanan Secure Deletion of Data from Magnetic and Solid-State Memory makalesi, bazı yöntemlerle verinin disk üzerinde 2-3 defa silinmesi durumlarında dahi kurtarılabileceğini/okunabileceğini belirtiyordu. Hatta sektörde sürekli olarak “bu şekilde silinse bile adamlar okuyabiliyormuş” diye bahsedilir.

SANS forensics blog’unda geçen gün yayınlanan Overwriting Hard Drive Data yazısı bu konuyla ilgili yeni bir tartışmayı alevlendirecek gibi gözüküyor. Buradaki yazıya göre verinin bu yöntemle okunabilmesi/kurtarılabilmesi mümkün değil. Yani 1 defa üzerinden geçmek yeterli.
Ancak Gutmann’ın makalesine yaptığı “Further Epilogue” eki, SANS forensics blog’unda geçen yöntemin farklı ve bu yorumun hatalı olduğu yönünde.

Kişisel kullanım için fikrim 1 pass, yani disk üzerindeki alanların üzerinden bir defa geçilmesi, veri silinmesi için yeterli olacağı yönünde. Zaten verinin gizlilik ve kritiklik değeri çok yüksekse bu durumda kurumlar farklı yöntemler de uyguluyor. (degaussing vd.)

İş Bankası’ndan güvenlik önerileri

Geçen hafta Türkiye İş Bankası ana sayfasına girdiğimde gördüğüm Püf Noktası bölümü beni oldukça şaşırttı. Hatta bir bilgisayar dergisinin web sitesine mi girdim diye tekrar baktım.

İpucu, XP yüklü bir bilgisayarın uyku modundan normal moda geçerken şifre sormaması için nasıl ayarlanacağını konu alıyordu.

Afişler, bilgilendirmeler, eğitimlerle kullanıcılara aşılamaya çalıştığımız güvenlik bilincinin, bir bankanın web sitesinde nasıl zayıflatılacağına dair ipuçları olması hayli ilginç.

Makinanızın başından kalkarken bilgisayarınızı kilitleyin, belirli bir süre sonra ekran koruyucunuz devreye girsin ve devreden çıkartıldığında şifre sorsun, uyku modundan normal moda geçerken de bilgisayarınız size ŞİFRE SORSUN.

Ve bundan sıkıldıysanız bir sonraki bilgisayarınızı parmak izi okuyuculu alın. USB’den takılan veya klavyeye entegre olan parmak izi okuyucular da bulunuyor.

Veya, arabanızın kapı kilidini açmaktan sıkıldıysanız kilitlemeyin.

Database encryption: Transparent Data Encryption

Veri hırsızlığı ne kadar gizli bilginin açığa çıkmasına neden oldu? Peki sadece Internet üzerinden sistemlere sızılarak mı bilgiler kaçırılıyor? Tabi ki sadece bu değil.

Kimlik bilgileri, şirket verileri, finansal bilgiler ve diğer kişiye/kuruma özel bilgilerdeki toplu veri kayıpları en çok kaybolan veya çalınan backup teypleri, harddiskler, laptop ve diğer donanım nedeniyle oluşuyor. Rakamlar yüzbinlerle, milyonlarla ifade ediliyor. Ve bunlar sadece bilinen veya duyulan olaylar. Bundan çok daha fazlasının duyurulmadığı, duyulmadığı ve farkedilmediğinden eminim.

Transparent Data Encryption
TDE, yani Transparent Data Encryption olarak geçen veritabanı veri şifreleme yöntemi, kodlamada, sorgularda vb. değişiklik yapmadan verilerin veritabanı tarafından disk üzerinde şifrelenerek saklanmasını temel alıyor. Veritabanı sunucularına bu özellik getirilirken, aynı zamanda performans problemlerinin oluşmasının da önüne geçilmesi sağlanmaya çalışıyor.

Oracle
Oracle ilk olarak, Oracle 10g Release 2 ile tablolarda bulunan kolonlar bazında TDE özelliğini duyurdu (Konu hakkında makale). Ancak bu şifreleme yöntemi, performans konusunda sıkıntıları da beraberinde getiriyordu.

Oracle 11g sürümü* ile gelen yeni özellikle, şifrelenmiş tablespace yaratılarak, sadece kolon değil, tablo bazında şifreleme sağlanmış oluyor.
Şifrelemeden kaynaklanan performansın önüne geçebilmek için, kullanıcı bir sorgu yaptığında sunucu veriyi buffer cache bölümüne atıyor ve veri burada şifrelenmemiş olarak hızlı erişilebilir/sogrulanabilir halde duruyor. (Encrypting Tablespaces makalesi)

Temel amaç verinin ve yedeklerinin şifrelenmiş olarak saklanması.

Microsoft SQL
Aynı şekilde Microsoft SQL 2008’de de TDE özelliği bulunuyor. Bu sayede database dosyaları (mdf) ve yedekler şifrelenmiş olarak bulunduğu için veri hırsızlığında verilerin açığa çıkması engellenmiş oluyor. SQL 2008 TDE detayları bu yazıda bulunabilir.

Sonuç
Kolon tiplerini standart kolonlardan binary tipi kolonlara dönüştürmek; SQL SELECT, INSERT vb. sorguları buna göre güncellemek ve değiştirmek; bu kolonlarda yaşanacak sorgulama problemleri; şifreleme anahtarları yönetimi; uygulama yapılarında değişiklik ve tüm bu değişiklikler sonrası yaşanan performans problemleri TDE ile büyük ölçüde rahatlatılmış oluyor.

Özellikle hassas veri barındıran kurumların ve hatta SaaS firmalarının uygulayabileceği TDE özellikleri, veritabanı yöneticilerinin ve uygulama geliştiricilerinin işlerini kolaylaştıracaktır. Şifreleme anahtarlarının da etkin bir şekilde yönetildiği durumlarda, veri hırsızlığına ve güvenliğine karşı gerekli itina gösterilerek, önlemler alınmış oluyor.

Database firewall: GreenSQL

GreenSQL açık kaynak kodlu bir veritabanı güvenlik duvarı. Şu an için sadece MySQL desteği bulunan GreenSQL, veritabanı sunucularının önünde bir database proxy olarak çalışıyor.

GreenSQL'in yapısı
Veritabanına yapılan sorguları belirli risk ölçülerine göre değerlendikten sonra engelleyebiliyor. Bu sayede SQL Injection ve DROP, ALTER gibi riskli yönetimsel komutların veritabanına ulaşması önlenmiş oluyor.
Engellediği sorgular için uygulama sunucusuna boş sonuç tablosu döndüren GreenSQL’in 4 modu bulunuyor:

  1. Aktif engelleme yapmadığı, ama normalde devrede olsa neler yapacağını göreceginiz simulasyon modu,
  2. Şüpheli sorguları engelleme modu,
  3. Öğrenme modu,
  4. Bilinmeyen sorguları engelleme modu

Detaylı bilgiye GreenSQL hakkında sayfasından ulaşılabilir.

Gerçek ortamda kullanımı konusunda ilk akla gelen sorular, performans, hatalı tespit oranı (düzgün ayarlama ile azaltılabilir tahmin ediyorum), replikasyon ortamlarında kullanımı vd.

Blog değişiklikleri

Web günlüğümü 2009 sonrası farklı bir temaya büründürmek ve bahaneyle bazı değişiklikler yapmak istedim. Aşağıda görülen bir önceki ve ilk tema, 4 yıldır site ziyaretçilerini karşılıyordu.


Aslında sürekli birşeyler yazmak istiyorum ama malesef sık yazabilen birisi değilim. Ama sıkı bir takipçi olduğumdan, en azından Google Reader’la okuduklarımı herkesle paylaşayım istedim. Buradaki RSS feed, benim Google Reader üzerinden paylaştırdığım yazılardan oluşuyor. Genelde bilgi güvenliği ile alakalı haberler, makaleler vb. paylaştığım yazılar arasında. Takip etmenizi isterim.
Eskiden de olduğu gibi, sitenin sağ tarafında bulunan paylaştığım yazılar, “Google Reader Paylaşımlarım” adıyla sağ tarafta bulunuyor.

Güvenlik denetimi yaparken kullanmak üzere yazdığım birkaç ufak aracı, daha önceden burada, burada ve burada sizlerle paylaşmıştım. Siteyi daha sonradan ziyaret edenlerin de bu yazılımlara ulaşabilmeleri için makaleleri sağ tarafta toparladım. Ek tool’ları yine buraya eklemeyi planlıyorum.

Son olarak sitenin RSS yayınlaması için, feedburner kullanmaya karar verdim. Blogger varolan RSS okuyucuları otomatik olarak yönlendiriyor. RSS üzerinden yeni takip etmeye başlayanlarsa feedburner üzerinden takip edecekler.

Ben de umarım 2009 ve sonrasında daha sık yazabilirim.