NOPcon sunumu: Attacking iOS Applications

NOPcon güvenlik konferansı 21 Mayıs 2012’de İstanbul Bilgi Üniversitesi’nde yapıldı.

Konferansta Apple iOS uygulamalarının denetlenmesiyle ilgili bir sunum gerçekleştirdim. Hali hazırda iOS uygulamaları ağ tabanlı denetimlere tabi tutuluyor. Amacım ağ tabanlı denetimlerin dışında neler yapılabilir, uygulamalar nasıl bir mimaride çalışıyor, iOS uygulama denetimlerinde nasıl bir yol izlenebilir göstermeye çalışmaktı. Umarım katılan herkes bir bölümünden faydalanabilmiştir. Katılan herkese teşekkür ederim.

Kendi adıma çok faydalı ve güzel bir teknik etkinlikti diyebilirim. Bu yıl kazanılan tecrübelerle organizatörlerin seneye çok daha iyi bir etkinlik düzenleyeceğine eminim.

Sunumu buradan indirebilirsiniz: Attacking iOS Applications

RSA Conference 2012 Özeti

Güvenlik TV’de RSA Konferansı 2012 özel bölümünü yayınlamış ve katılamayanlar için genel bir konferans özeti vermiştik. Burada aktardıklarım da Güvenlik TV’de anlattıklarımdan pek farklı değil, orada olan bazı bilgiler burada yok (diğer konferanslar gibi), burada olan bazı notlar orada olmayabilir (bir şey kaybettirmeyen ufak konular). Bazı arkadaşlardan yazı talebi de gelmişti, notlarımı aşağıda toparladım.

Read the rest of this entry »

Penetrasyon Testlerinde Düşülebilecek Hatalar

3-4 Haziran 2011’de Bilgi Üniversitesi Dolapdere Kampüsünde gerçekleşen, İstanbul Bilgi Güvenliği Konferansı IstSec’te yaptığım sunumu aşağıda bulabilirsiniz.

Penetrasyon Testlerinde Düşülebilecek Hatalar, zaman içerisinde tecrübeyle edinilmiş bilgi birikiminden oluşan penetrasyon testi ipuçlarını içeriyor. Amacım profesyonel olarak penetasyon testi yapan veya bu işte henüz yeterince tecrübe kazanmamış kişilere ipuçları vererek belirli noktalarda kötü tecrübe yaşamalarını önlemek ve genel denetim kalitesini arttırmaktı.

Tabi ki sunum 45 dakikaya sığabilecek temel noktaları içeriyor. Bir kısmı bir çok kişi tarafından bilinse de, her seviyeden katılımcının kendisine bir şeyler kattığını duymak benim için sevindiriciydi.

Gelen herkese teşekkür ederim.

Sunumu buradan indirebilirsiniz.

IstSec 2011 ve sunum

Bu yılki IstSec konferansı 3-4 Haziran tarihlerinde İstanbul Bilgi Üniversitesi Dolapdere kampüsünde yapılacaktır. Detaylı bilgi için: http://www.istsec.org

4 Haziran 11:40’ta Penetrasyon Testlerinde Düşülebilecek Hatalar başlıklı bir sunum yapacağım. Güvenlik denetimi ve sızma testlerinin planlama, denetim, raporlama gibi tüm aşamalarında düşülebilecek temel hatalardan bahsedip, penetrasyon testlerinden yüksek verim alma ve testlerin geliştirilmesi için önerilere değineceğim. Umarım herkesin bir bölümünden faydalanabileceği bir sunum olur.

Bunun dışındaki zamanlarda genelde orada olmaya çalışacağım. Görüşmek üzere.

Web Uygulamalarında Sık Karşılaşılan Güvenlik Açıkları

30 Nisan’da gerçekleşen Web Uygulama Güvenliği konulu NetSec Topluluk Buluşmasında yaptığım sunum dosyası aşağıda bulunabilir.

2010 yılında denetlenen 100’ün üzerinde özel geliştirilmiş web uygulamasında en sık karşılaşılan güvenlik problemleri bu şekildeydi. Ayrıca kategori bazında, eskiden ne tip durumlarla karşılaştığımız ve günümüzde bunun nasıl değiştiği de konuşuldu.

İstatistik detaylarında o kategoriye ait güvenlik açıklarının alt detayları, en sık karşılaşılandan daha az karşılaşılana göre sıralandı. Sunuma biraz hareket katmak için denetimler sırasında karşılaşılan ilginç güvenlik problemlerinden de bazıları sözlü olarak anlatıldı, bazılarıysa özel oluşturulmuş gerçeğe benzer örnek ekran görüntüleriyle açıklandı.

Bu istatistikler uğraştıran bir çalışmanın sonunda oluşturuldu. İstatistikler güvenlik açığının hedef uygulamada var olup olmadığına göre değerlendirildi. Örneğin XPath Injection denetlenen uygulamada var veya yok olarak değerlendirildi. 3 noktada XPath Injection vardır diye istatistiklere alınmadı.

Buna göre düşündüğünüzde SQL’e Sızma(SQL Injection) ortalama 100 uygulamanın 29’unda karşımıza çıkmıştır diye düşünebilirsiniz. O 29 uygulamanın kaç noktasında SQL Injection vardır bilgisi bu istatistiklerde görülmüyor.

Yurt dışında otomatik denetim yapan bazı firmalar, veritabanından direk bu istatistikleri sağlayabiliyorlar. Ben de ileride daha detaylı istatistikler sağlamak üzere raporlama yazılımlarını değiştirmeyi düşünüyorum.

Katılan herkese teşekkür ederim.

Sunumu indirmek için tıklayınız.

ISO 27001 Seminer Sunumları

Kalitest’in 18 Haziran’da düzenlediği İstanbul – ISO 27001 Bilgi Güvenliği Yönetim Sistemi Semineri sunumlarına buradan ulaşılabilir.

Doğası gereği biraz Kalitest reklamı içeren seminerde, en çok, özellikle gerçek yaşam tecrübelerinin aktarıldığı BKM’den Ercüment beyin sunumunu beğendim. Diğer faydalı sunumlar SPK Gökhan Özbilgin ve Akbank Necdet Almaç’ın sunumları oldu.

Sunumlar konuyla ilgilenenler için kaynak içerebilir.

IstSec 2009 ve CTF

Daha onceden cesitli kanallarla duyurulari yapilan Istanbul Bilgi Guvenligi Konferansi, 10 Haziran Carsamba gunu yapildi.

Bu tarz urun/uretici bagimsiz etkinlikleri coktan hakkettigimizi ve hatta gec bile kalindigini dusunuyorum. Bir cok arkadas etkinlik Microsoft’un binasinda yapildigi icin, etkinligi Microsoft duzenliyormus gibi bir hava sezdi diye dusunuyorum. Bu etkinlik ise, yurt disindaki meshur blackhat, defcon benzeri seminerler cizgisinde bir etkinlikti. Microsoft sadece seminer icin yer sagladi, su verdi, cay verdi vs.
Sen suyunu, cayini ic, mekanina gel, yazilimlarini lisanssiz kullan, sonra da “Microsoft’tan boyle bir etkinlik beklemezdim” de… Olmaz.

Ben etkinligin cok guzel gectigini ve katilimin bekledigimden fazla oldugunu belirtmeliyim. Ismen bildigimiz, bir sekilde konustugumuz bir cok arkadasla tanisma/kaynasma firsati bulduk. Umarim etkinlik geliserek duzeyli bir sekilde devam eder.
Is geregi uretici ve distributorlerin hem bayi, hem musteri etkinliklerine de katildigim icin ben aslinda farkli bir ziyaretci profili bekliyordum diyebilirim. Acikcasi o kalabalik yerine, daha cok -hobbyist- guvenlikle ilgilenen ve merak duyan genc bir kitle gordum. Sanki bir LKD senligi kitlesi gibiydi. Bu da oldukca hosuma gitti.

Sunumlar cok guzeldi ve bir cogu pazarlama kokmuyordu. Acikcasi CTF juri uyesi oldugum icin sunumlari bastan sona dinleme firsatim olmadi. Ileride konular biraz daha derin, daha da detay teknik olabilir.

Katilimcilarin basindan sonuna kadar sunumlarda kalacaklarini dusunmemistim. Hatta neredeyse herkes seminerin sonuna kadar kaldi.

Gelelim CTF yarismasina
Capture the flag senaryo hazirlanmasi hakkinda sundance’in yorumlarina katiliyorum. Olmamasi gereken aksilikler de oldu.
Ama ben yarisma katilimcilarini daha farkli bekliyordum. Sayiyi net bilmiyorum ama 20-30 kisi son gune kadar katilacagini belirtmis ve gelmemisti. Bu nasil bir orandir inanamiyorum. Tamam bazi sorunlar, aksilikler olur ama ogrendigim kadariyla son dakikaya kadar teyid edilmis bir katilimci grubundan nasil olur da sadece 1 kisi katilmak icin oraya gelir.
Ankara’dan gelen bir lise ogrencisi. Kendisini cesaretinden, on hazirliklarindan ve hevesinden dolayi tebrik ediyorum. Keske yarismayi kazanabilseydi.
Ek olarak gelen katilimcilar ve gruplarla toplam sayi 6’yi buldu.

Ilk adim olarak istsec2009 gizli SSID’li bir wireless access point vardi ortamda. Backtrack CD’si ile boot etmis bir kullanici, kismet ile bunu gorup, sadece bunu kendisine tanimlamasi layer2 olarak baglanmasina yeterliydi.
Ortamda bir DHCP sunucusu olmadigi icin network’u sniff edip, IP blogunu gormesi ve kendisine o IP blogundan bir IP adresi vermesi gerekiyordu.
Ardindan artik layer3 seviyesinde baglandigi acik wireless network’te live sunuculari bulmaya calisacakti. 1 adet Linux sistem vardi bu agda.
Bence buraya kadar cok kolaydi ve “ben bu islerle ilgileniyorum” diyen adamin -aksilik cikmazsa- az zamanini almaliydi.
istsec2009 gizli SSID’si Huzeyfe tarafindan basta soylenmesine ragmen bu asama bekledigimden cok uzun surdu.

Ardindan, buldugu Linux sisteme SSH uzerinden girmesi gerekiyordu saldirganin. Username root , sifre 1234567890’di. Basit gibi gozukse de, brute-force’la cok uzun surecek bir sifre. Ancak dictionary attack veya tahmin yoluyla bulunabilirdi. Ben bunun, cok zor olmasa da, cok da kolay olmadigini dusunuyorum. (Ama heralde wordlist’lerinizde bu sifre vardir)

Sisteme ilk giren uyanik ve hizli bir arkadas root sifresini degistirmis :) Geri almasini ve dokunulmamasini rica ettik.

Linux sisteme root ile giren saldirgan, sistem uzerindeki istsec2009 dosyasini bulmaliydi. /tmp/.istsec2009 dosyasini yine beklenenden uzun bir sure kimse bulamadi.
Hatta boyle olunca, ben “acaba dosya disk uzerinde mount edilmemis bir bolumde mi bulunuyor” diye dusunmeye basladim.
Malesef denetimcilerin bazilarinin Linux bilgileri cok cok cok kotu. find komutunun nasil kullanildigini bilmeyenler vardi. (Uyanik yarismaci, baskalarini engellemek icin find komutu ile oynayabilir)
Burada da bir arkadas 2. bir istsec2009 dosyasi olusturarak icerisine “tebrikler kazandiniz” yazmis :)

3-5. asamalar bu linux sistemin 2. ethernet bacaginda bulunan 3 adet sistemi kapsiyordu. Bir web uygulama (WordPress Cookie Authentication Vulnerability), bir Windows sunucu(ms08-067) ve bir FreeBSD sisteme sizmalari gerekiyordu. FreeBSD adimi bastan iptal edildi.

Bu arada, 2. ethernet bacaginda bulunan IP bloguna erismek icin saldirganin hedef network icin makinasina bir route eklemesi gerekiyordu. Yine networking bilgi sorunu yasayan arkadaslar bu asamada takildi.

WordPress acigindan faydalanmaya en cok yaklasmis arkadasi gordugumuzde, zaman bittiginden dolayi, yarismanin da artik sonuna gelinmisti.

WordPress acigi hakkindaki zorluk yorumu:
– Oyuncu kendi kullandigi wordpress yazilimini aciklar ciktikca hem guncelliyor, hem de cikan aciklari inceliyorsa kolay.
– Bu aciklardan yararlanip, “orayi burayi hackledim” diye dolasanlara kolay.
– Internet erisimi varsa kolay.
– Oyuncu cikan aciklari takip ediyorsa nispeten kolay.
Bunun disinda zor olabilirdi.

Diger asamalara gecilemedi.

Orada kaybetmek ve bulunmak bile bence katilimcilara cok sey katti. Eminim bundan sonra ogrenme ve lab ortaminda calisma cizgilerini iyilestirecektir. Bir sonraki yarisma icin yeni cikan aciklari bile daha dikkatli takip edeceklerine eminim. Yarismacilarin, seminer aralarinda baslarina cok fazla insan toplandigi icin de baski altinda olduklarini belirtmek lazim.

Buradaki CTF yarismasi tecrubesi bir sonrakinin hem senaryo hem de kural olarak hazirlanmasinda etkili olacaktir. Bence bir sonraki daha da zevkli ve profesyonelce olacak.

Zevkli ve dolu bir gun gecirdik, organizasyonda emegi bulunan tum arkadaslara tekrar tesekkurler.