(IN)SECURE Magazine Sayı 20 Çıktı

Online ücretsiz bilişim güvenliği dergisi (IN)SECURE‘un 20. sayısı çıktı.

Yeni sayıya buradan ulaşabilirsiniz.

Konu başlıkları şu şekilde:

  • Improving network discovery mechanisms
  • Building a bootable BackTrack 4 thumb drive with persistent changes and Nessus
  • Review: SanDisk Cruzer Enterprise
  • Forgotten document of American history offers a model for President Obama’s vision of government information technology
  • Security standpoint by Sandro Gauci: The year that Internet security failed
  • What you need to know about tokenization
  • Q&A: Vincenzo Iozzo on Mac OS X security
  • Book review – Hacking VoIP: Protocols, Attacks and Countermeasures
  • A framework for quantitative privacy measurement
  • Why fail? Secure your virtual assets
  • Q&A: Scott Henderson on the Chinese underground
  • iPhone security software review: Data Guardian
  • Phased deployment of Network Access Control
  • Playing with authenticode and MD5 collisions
  • Web 2.0 case studies: challenges, approaches and vulnerabilities
  • Q&A: Jason King, CEO of Lavasoft
  • Book review – Making Things Happen: Mastering Project Management
  • ISP level malware filtering
  • The impact of the consumerization of IT on IT security management

Veritabani güvenlik denetimine ‘Scuba’ dalışı

Scuba, Imperva’nın geliştirmiş olduğu ücretsiz bir veritabanı güvenlik denetim/analiz yazılımı.

Ürünün Oracle, Microsoft SQL, IBM DB2 ve Sybase veritabanı destekleri bulunuyor.

Buradan kayıt olarak indirebildiğiniz Java tabanlı bu yazılım, JRE 1.5+ gerektiriyor.

Çalıştırmak için bir klasöre açmanız yeterli. İlk çalıştırdığınızda lisans kabulu ve tekrar kayıt yaptırmanızı istiyor.

Ürünün yaptığı testler bir XML dosyasında tutuluyor ve dosyayı Imperva’dan güncelleme yapma imkanınız bulunuyor. Çok sık güncellendiğini düşünmüyorum ama XML tabanlı olduğu için belki kendi testlerinizi ekleyebilirsiniz.

Ürünü hızlıca bir Microsoft SQL 2000 veritabanı ile test ettim. Yetkili bir kullanıcı adı ve şifre verildiğinde veritabanında bulunan varsayılan veya sonradan oluşturulmuş zayıf yapılandırmaları ortaya çıkartabiliyor.

Alternatif bir denetim yazılımı olarak denenebilir. Özellikle varsayılan veritabanı kurulumları ile oluşan zayıflıkların önüne geçmede veritabanı yöneticilerinin ihtiyacını karşılayabilir. Yine diğer veritabanlarında da denemeye değer bir yazılım olduğunu düşünüyorum.

Aşağıda Scuba_Assessment_Report.xsl taslağı ile oluşturulmuş bir rapor görüntüsü var.

Linux üzerinde Trend Micro IMSS kurulumu

Trend Micro InterScan Messaging Security Suite ürünü bir SMTP/POP3 gateway olarak çalışan ve son 7.0 sürümü eskilerine oranla oldukça başarılı bir antivirus/antispam gateway yazılımı.

Genelde Windows üzerine kurulan ürün Microsoft SQL sunucusu gerektiriyor. MSDE ile kullanmanızı önermiyorum. Mutlaka MSSQL kurunuz.
Ürünün windows üzerine kurulumu oldukça kolay, ancak iş Linux tarafına gelince biraz değişiyor. Çünkü bunun için biraz linux bilgisi, mail server kurulum ve ayar bilgisi ve kurulum dokümanının dikkatli olarak okunmuş olması gerekiyor.

Son yaptığım kurulum sırasında bazı kurulum notları aldım, düzgün olmasa da bunları aktaracağım. Linux üzerinde IMSS kuracak olan arkadaşlara hızlı bir referans kaynağı olacaktır. Aşağıda anlamsız gelen adımların detayları IMSS kurulum dokümanında bulunuyor.

Gereksinimler:

  1. Postfix, Qmail veya Sendmail
  2. PostgreSQL (Yoksa IMSS kurulumu kendisi kuruyor)
  3. Diğer gereksinimleri ürünün kendisi kuruyor.

Özet olarak Linux üzerinde kurulumuna değinecek olursak:

  1. Installation Guide dokümanını mutlaka okuyun. Aşağıdaki işlemlerin detayları orada bulunuyor.
  2. IMSS’in hangi Linux sürümlerini desteklediğine dikkat edin.
  3. Sisteme readline uyumluluk paketini kurun (compat-readline43-4.3-3).
  4. Postfix mail sunucusu kurarak sunucuyu bir inbound gateway olacak şekilde ayarlayın.
  5. Organizasyon domainleriniz için Postfix’e gelen maillerin, içerideki mail sunucularınıza gönderildiğini kontrol edin.
  6. IMSS “central controller” ve “scanner service” bileşenlerini kurun (PostgreSQL veritabanını burada kuracaktır)
  7. IMSS web arabirimi üzerinden ürün lisanslarını girin ve ayarlarını yapın.
  8. Postfix konfigürasyon dosyaları içerisinde content filter ayarlarını yapın ve “postfix reload” diyerek IMSS’in devreye girmesini sağlayın.
  9. Bu sunucuya gönderilen bir mailin, içeride ilgili mail sunucusuna gönderildiğini kontrol edin.

Yukarıdakileri yaptığımızda, gelen spam’leri network seviyesinde engelleyen IP Filtering (NRS ve IP Profiler) kurulmuş olmuyor. Lisansınız varsa spam’leri engellemede mutlaka kullanmanızı öneririm. Aşağıdaki adımlara devam edin:

  1. Postfix’i TCP 2500 port’unda çalışacak şekilde ayarlayın. (IP Filtering bileşeni 25. port’u kendisi dinleyecek ve filtrelemelerini yaptıktan sonra port 2500’de çalışan postfix’e bağlanarak proxy’lik yapacak)
  2. IP Filtering bileşenlerini kurun.
  3. Lisansları girerek web yönetim arabiriminden gerekli konfigürasyonları yapın.
  4. 25. port’a telnet ile bağlandığınızda Postfix’in geldiğinden emin olun.
  5. Bu sunucuya gönderilen bir mailin, içeride ilgili mail sunucusuna gönderildiğini kontrol edin.

Son olarak şu işlemleri yapmak gerekiyor:

  1. Ürünün SP1 yamasını ve SP1 patch 1 yamasını mutlaka yükleyin.
  2. Mail işlevinin çalıştığından emin olun.
  3. Linux sistem açılış script’ine (Ör: /etc/rc.local) aşağıdaki satırı ekleyin.
    /opt/trend/imss/script/imssstart.sh
  4. Sunucuyu yeniden başlatarak, olası restart sonrası herşeyin problemsiz çalışacağından emin olun.
  5. Dışarıdan gelen maillerin, Trend Micro IMSS ürününe yönlendirilmesini sağlayın.

Yukarıdaki sırayla takip edilmesi gereken adımlar, umarım Trend Micro IMSS yazılımının Linux üzerinde kurmanızı kolaylaştırır. Zor değil, okumak gerekiyor.

PCI Compliance for Dummies

Qualys, PCI DSS uyumluluğu konusunda basitleştirilmiş bir el kılavuzu niteliğinde Dummies Guide to PCI Compliance* kitapçığını yayınladı.

Payment Card Industry (PCI) Data Security Standard (DSS)’i açıklayarak, uyumluluk konusundaki gereksinimleri basit bir dille aktaran bu kitapçık, ücretsiz olarak bu adresten indirilebilir.

Aslında PCI DSS, uyumluluk gerekmeyen yerler için bile temel bir referans kaynağı olabilir. Örneğin kredi kartı verileri ile ilgili bölümler dışındaki kısımlara uyumluluk, veya bu veriler yerine şirketin kritik verileri düşünülerek PCI DSS ve durum değerlendirme soruları kurumunuza uyarlanabilir.

Dradis 2 – Güvenlik denetimlerinde bilgi paylaşımı

Güvenlik denetimi bir grup tarafından yapılıyor ve özellikle kişiler farklı yerlerde bulunuyorsa bilgi paylaşımı zorlaşabilir.

Dradis adlı yazılım, kişiler arası bilgi paylaşımı ve bulguların merkezi bir yerde toplanmasını sağlıyor.
Dradis’in 2.0 sürümü duyuruldu. Bu sürümde web arabirimi yenilenmiş ve bilgi paylaşımı mantığı biraz değiştirilmiş.

Ürünün anasayfasına buradan ulaşabilirsiniz. Ekran görüntüleri ve buradaki demo video ile de ürüne hızlıca göz atılabilir.

Firefox 3’te SSL sertifika uyarılarını hızlıca bypass edin

Firefox 3’le gelen sertifika uyarıları kullanıcılar açısından harika olsa da, sürekli demo ürünler kuran, test ortamlarında uygulamaları deneyen bizler için bazen bir çileye dönüşebiliyor.

Normalde sertifika problemi olan bir yere girebilmek için;

  1. Karşımıza çıkan “Or you can add an exception…”a tıklamak,
  2. “Add exception…”a tıklamak
  3. Gelen ekranın location bölümündeki “Get Certificate”e tıklamak,
  4. Tercihen “Permenantly store this exception”u seçmek veya seçimini kaldırmak,
  5. Ve nihayet “Confirm Security Exception” butonuna basarak sayfaya girmek gerekiyor.

Bu işlemleri azaltmak için “about:config” içerisinde;

yapmak yeterli.

Bu ayarları yaptıktan sonra, SSL sertifikası problemli olan yerlere girerken yukarıda sıraladığım 1 ve 3. adımları yapmaya gerek kalmadığından, en fazla 3 tıklamada beklemeden sayfaya giriş sağlanabiliyor.
Denemek için https://mail.yahoo.com ‘u kullanabilirsiniz. Sertifika hatalarını onaylarken dikkatli olmak gerekiyor.

Synjunkie’den hack hikayeleri

Synjunkie, Kasım 2008’den beri uydurma hack hikayeleri yazıyor.

Mümkün olduğunca gerçekçi olan bu hikayeler; “bir sisteme nasıl sızılır?”, “hangi önlemler alınsaydı bu saldırı başarılı olamazdı?”, “bu saldırı nasıl tespit edilebilirdi?” veya “kendi firmamı böyle bir saldırıdan nasıl koruyabilirim?” gibi sorulara ışık tutabilir.

Tabi hikayelerin aynı zamanda bir potansiyel saldırgan için eğitici yönleri de bulunuyor. Bu şekilde sunulan bazı eğitim konuları da daha akılda kalıcı olabilir.

Her hikayede farklı konulara yer verilmeye çalışılmış. Genel olarak bakıldığında insanı yormayan, dili ve okuması gayet rahat, kafa dağıtıcı yazılar olmuş. Şu an sitede 3’er bölümden oluşan 3 tane hikaye bulunuyor:

  1. The Story of a Hack
  2. The Story of an Insider
  3. The Story of an Newbie Hax0r (seri devam ediyor)

Disk üzerinde veriyi tamamen silmek: 1 defa üzerine yazmak yeterli mi?

Konuya hakim kişilerin çok iyi bildiği gibi, disk üzerinde silinen veriler aslında disk üzerinden tamamen silinmez. İşletim sistemi dosyanın, dosya sistemi tablosundaki referansını siler. Ve yeni bir veri/dosya oluşturulduğunda bu veri, rasgele olarak boş alanlara veya silinmiş olarak bilinen bu alanlara yazılmaktadır.

Silinmiş verileri kurtarma yazılımları da bu mantıkta çalışmaktadır. Dosya sisteminde ilişkili olmayan ama silinmiş dosyalar bu sayede kurtarılabilmektedir.

Eraser, THC-SecureDelete, DBAN gibi yazılımlar ise, dosyanın disk üzerinde tamamen silinmesi için kullanılabilecek yazılımlardır.

Peki veriyi disk üzerinde 1 defa silmek yetiyor mu? 1996 yılında Peter Gutmann tarafından yayınlanan Secure Deletion of Data from Magnetic and Solid-State Memory makalesi, bazı yöntemlerle verinin disk üzerinde 2-3 defa silinmesi durumlarında dahi kurtarılabileceğini/okunabileceğini belirtiyordu. Hatta sektörde sürekli olarak “bu şekilde silinse bile adamlar okuyabiliyormuş” diye bahsedilir.

SANS forensics blog’unda geçen gün yayınlanan Overwriting Hard Drive Data yazısı bu konuyla ilgili yeni bir tartışmayı alevlendirecek gibi gözüküyor. Buradaki yazıya göre verinin bu yöntemle okunabilmesi/kurtarılabilmesi mümkün değil. Yani 1 defa üzerinden geçmek yeterli.
Ancak Gutmann’ın makalesine yaptığı “Further Epilogue” eki, SANS forensics blog’unda geçen yöntemin farklı ve bu yorumun hatalı olduğu yönünde.

Kişisel kullanım için fikrim 1 pass, yani disk üzerindeki alanların üzerinden bir defa geçilmesi, veri silinmesi için yeterli olacağı yönünde. Zaten verinin gizlilik ve kritiklik değeri çok yüksekse bu durumda kurumlar farklı yöntemler de uyguluyor. (degaussing vd.)

İş Bankası’ndan güvenlik önerileri

Geçen hafta Türkiye İş Bankası ana sayfasına girdiğimde gördüğüm Püf Noktası bölümü beni oldukça şaşırttı. Hatta bir bilgisayar dergisinin web sitesine mi girdim diye tekrar baktım.

İpucu, XP yüklü bir bilgisayarın uyku modundan normal moda geçerken şifre sormaması için nasıl ayarlanacağını konu alıyordu.

Afişler, bilgilendirmeler, eğitimlerle kullanıcılara aşılamaya çalıştığımız güvenlik bilincinin, bir bankanın web sitesinde nasıl zayıflatılacağına dair ipuçları olması hayli ilginç.

Makinanızın başından kalkarken bilgisayarınızı kilitleyin, belirli bir süre sonra ekran koruyucunuz devreye girsin ve devreden çıkartıldığında şifre sorsun, uyku modundan normal moda geçerken de bilgisayarınız size ŞİFRE SORSUN.

Ve bundan sıkıldıysanız bir sonraki bilgisayarınızı parmak izi okuyuculu alın. USB’den takılan veya klavyeye entegre olan parmak izi okuyucular da bulunuyor.

Veya, arabanızın kapı kilidini açmaktan sıkıldıysanız kilitlemeyin.

Database encryption: Transparent Data Encryption

Veri hırsızlığı ne kadar gizli bilginin açığa çıkmasına neden oldu? Peki sadece Internet üzerinden sistemlere sızılarak mı bilgiler kaçırılıyor? Tabi ki sadece bu değil.

Kimlik bilgileri, şirket verileri, finansal bilgiler ve diğer kişiye/kuruma özel bilgilerdeki toplu veri kayıpları en çok kaybolan veya çalınan backup teypleri, harddiskler, laptop ve diğer donanım nedeniyle oluşuyor. Rakamlar yüzbinlerle, milyonlarla ifade ediliyor. Ve bunlar sadece bilinen veya duyulan olaylar. Bundan çok daha fazlasının duyurulmadığı, duyulmadığı ve farkedilmediğinden eminim.

Transparent Data Encryption
TDE, yani Transparent Data Encryption olarak geçen veritabanı veri şifreleme yöntemi, kodlamada, sorgularda vb. değişiklik yapmadan verilerin veritabanı tarafından disk üzerinde şifrelenerek saklanmasını temel alıyor. Veritabanı sunucularına bu özellik getirilirken, aynı zamanda performans problemlerinin oluşmasının da önüne geçilmesi sağlanmaya çalışıyor.

Oracle
Oracle ilk olarak, Oracle 10g Release 2 ile tablolarda bulunan kolonlar bazında TDE özelliğini duyurdu (Konu hakkında makale). Ancak bu şifreleme yöntemi, performans konusunda sıkıntıları da beraberinde getiriyordu.

Oracle 11g sürümü* ile gelen yeni özellikle, şifrelenmiş tablespace yaratılarak, sadece kolon değil, tablo bazında şifreleme sağlanmış oluyor.
Şifrelemeden kaynaklanan performansın önüne geçebilmek için, kullanıcı bir sorgu yaptığında sunucu veriyi buffer cache bölümüne atıyor ve veri burada şifrelenmemiş olarak hızlı erişilebilir/sogrulanabilir halde duruyor. (Encrypting Tablespaces makalesi)

Temel amaç verinin ve yedeklerinin şifrelenmiş olarak saklanması.

Microsoft SQL
Aynı şekilde Microsoft SQL 2008’de de TDE özelliği bulunuyor. Bu sayede database dosyaları (mdf) ve yedekler şifrelenmiş olarak bulunduğu için veri hırsızlığında verilerin açığa çıkması engellenmiş oluyor. SQL 2008 TDE detayları bu yazıda bulunabilir.

Sonuç
Kolon tiplerini standart kolonlardan binary tipi kolonlara dönüştürmek; SQL SELECT, INSERT vb. sorguları buna göre güncellemek ve değiştirmek; bu kolonlarda yaşanacak sorgulama problemleri; şifreleme anahtarları yönetimi; uygulama yapılarında değişiklik ve tüm bu değişiklikler sonrası yaşanan performans problemleri TDE ile büyük ölçüde rahatlatılmış oluyor.

Özellikle hassas veri barındıran kurumların ve hatta SaaS firmalarının uygulayabileceği TDE özellikleri, veritabanı yöneticilerinin ve uygulama geliştiricilerinin işlerini kolaylaştıracaktır. Şifreleme anahtarlarının da etkin bir şekilde yönetildiği durumlarda, veri hırsızlığına ve güvenliğine karşı gerekli itina gösterilerek, önlemler alınmış oluyor.