Database firewall: GreenSQL

GreenSQL açık kaynak kodlu bir veritabanı güvenlik duvarı. Şu an için sadece MySQL desteği bulunan GreenSQL, veritabanı sunucularının önünde bir database proxy olarak çalışıyor.

GreenSQL'in yapısı
Veritabanına yapılan sorguları belirli risk ölçülerine göre değerlendikten sonra engelleyebiliyor. Bu sayede SQL Injection ve DROP, ALTER gibi riskli yönetimsel komutların veritabanına ulaşması önlenmiş oluyor.
Engellediği sorgular için uygulama sunucusuna boş sonuç tablosu döndüren GreenSQL’in 4 modu bulunuyor:

  1. Aktif engelleme yapmadığı, ama normalde devrede olsa neler yapacağını göreceginiz simulasyon modu,
  2. Şüpheli sorguları engelleme modu,
  3. Öğrenme modu,
  4. Bilinmeyen sorguları engelleme modu

Detaylı bilgiye GreenSQL hakkında sayfasından ulaşılabilir.

Gerçek ortamda kullanımı konusunda ilk akla gelen sorular, performans, hatalı tespit oranı (düzgün ayarlama ile azaltılabilir tahmin ediyorum), replikasyon ortamlarında kullanımı vd.

Blog değişiklikleri

Web günlüğümü 2009 sonrası farklı bir temaya büründürmek ve bahaneyle bazı değişiklikler yapmak istedim. Aşağıda görülen bir önceki ve ilk tema, 4 yıldır site ziyaretçilerini karşılıyordu.


Aslında sürekli birşeyler yazmak istiyorum ama malesef sık yazabilen birisi değilim. Ama sıkı bir takipçi olduğumdan, en azından Google Reader’la okuduklarımı herkesle paylaşayım istedim. Buradaki RSS feed, benim Google Reader üzerinden paylaştırdığım yazılardan oluşuyor. Genelde bilgi güvenliği ile alakalı haberler, makaleler vb. paylaştığım yazılar arasında. Takip etmenizi isterim.
Eskiden de olduğu gibi, sitenin sağ tarafında bulunan paylaştığım yazılar, “Google Reader Paylaşımlarım” adıyla sağ tarafta bulunuyor.

Güvenlik denetimi yaparken kullanmak üzere yazdığım birkaç ufak aracı, daha önceden burada, burada ve burada sizlerle paylaşmıştım. Siteyi daha sonradan ziyaret edenlerin de bu yazılımlara ulaşabilmeleri için makaleleri sağ tarafta toparladım. Ek tool’ları yine buraya eklemeyi planlıyorum.

Son olarak sitenin RSS yayınlaması için, feedburner kullanmaya karar verdim. Blogger varolan RSS okuyucuları otomatik olarak yönlendiriyor. RSS üzerinden yeni takip etmeye başlayanlarsa feedburner üzerinden takip edecekler.

Ben de umarım 2009 ve sonrasında daha sık yazabilirim.

Phishing uyarısı: ING Bank (2)

Bir önceki yazıda da belirttiğim gibi ING Bank Türkiye’yi hedef alan bir phishing aktivitesi, yine ING Bank kullanıcılarını hedef almaya devam ediyor. Bu aktivite ise 26 Aralık tarihli.

Sahte e-mail içeriği nispeten aynı, sadece belirli bölümleri değiştirilmiş durumda. Yeni e-mail’de bulunan link, bir önceki mailde olduğu gibi aynı web sitesine işaret ediyor. Fakat buradan sonra kullanıcıların yönlendirildiği web adresi değiştirilmiş.

Son aşamada kullanıcıların yönlendirildiği domain, tarihinde daha önceden de paypal phishing sahteciliği gibi birkaç taklit web sayfasını bulundurmuş bir domain.
Aşağıdaki ekran görüntüsüne de dikkat ederseniz, sitede bulunan /favicon.ico dosyası halen Paypal’ın izlerine işaret ediyor.

Phishing uyarısı: ING Bank

Bugün ING Bank Türkiye’yi hedef alan bir phishing aktivitesi tespit ettim.

Gelen sahte email’in başlığındaki tarih bugünü gösteriyor. Yani çok güncel bir phishing saldırısı diyebiliriz.

Kullanıcı mail içerisindeki sahte URL’ye tıkladığında, yurt dışında barındırılan bir web sitesi üzerinde, kullanıcıların şifrelerini almaya yönelik sahte bir ING Bank Türkiye Internet şubesi giriş ekranı bulunuyor.

Firefox 2 için son güncelleme

Mozilla, Firefox 2 serisinin son guncellemesi olan 2.0.0.20‘yi duyurdu.

Ekip ileride Firefox 2 icin ek guncelleme yapmayi planlamiyor. Bu nedenle Firefox 2 kullanicilarinin Firefox 3’e gecmesi onerilir.

Firefox 2’deki phishing koruma ozelliginin de artik calismayacagi iletilmis.

conime.exe PWS-LegMir hatalı tespiti

Windows Vista üzerinde McAfee antivirus yazılımını kullanıyorsanız, system32 klasöründe bulunan conime.exe dosyası PWS-LegMir trojan yazılımı gibi algılanabilir!

Bu hatalı algılama, McAfee antivirus yazılımlarının 5409 dat sürümlü veritabanından kaynaklanıyor.

Hatalı algılama problemini gidermek için antivirus veritabanını 5410 sürümüne güncellemek gerekiyor.

Yine de tekrar kontrol edebilmek için dosyanın md5 imzası
conime.exe – Windows Vista console IME (MD5: F96EBC5A624349D81DCC7600A3C5DC43)

Detaylı bilgi burada bulunabilir.

Information Security Awareness

Ekim, ABD’de Ulusal Bilgi Güvenliği Farkındalığı ayı.

Kendi şirketinizde de bilgi güvenliği farkındalık eğitimleri planlayabilirsiniz. Bu eğitimler, hazırlanabilecek bilgilendirici sınav, broşür ve posterler ile de desteklenebilir.

Önceki yıllara göre bu konuda materyal bulmak kolaylaştı. Konu hakkında yayınlanan makaleler, eğitim materyali oluşturmak için bulunabilecek değiştirilebilir sunumlar, broşürler, posterler olduğu gibi, bunların bir arada bulunduğu hazır kitler de mevcut (Örneğin Microsoft’un yayınladığı ücretsiz Security Awareness kit gibi).
Ekim 2008 farkındalık ayının 5. yılı olduğundan, materyal bulmanız daha da kolaylaşacaktır.


(ISC)2 bu yıl üyelerin bu konuda ellerindeki materyalleri gönderebileceği bir proje oluşturdu. CyberExchange adlı sitede gönderilen materyallere ulaşabilirsiniz.

National Cyber Security Alliance (NCSA) web sitesi ve yine (ISC)2 tarafından oluşturulmuş National Cyber Security Awareness sayfasının bu konuyla ilgili bilgilerin bulunabileceği faydalı yerler olduğunu düşünüyorum.

McAfee antivirus tarama motorunu hizlandiriyor

Senelerdir McAfee’nin yavasligindan ve haliyle sistemi aglatmasindan sikayetciyim. Sonunda McAfee sesimi duydu.

Buradaki yaziya gore McAfee, yeni 5300 surum kodlu virus tarama motoru ile hafiza kullanimini azaltirken, calisma hizini da arttiriyor(mus).

McAfee virus koruma ve ek ozellikleri konusunda cok basarili olsa da, Windows sistemlerin ilk acilisini asiri yavaslatmasi ve performansi etkilemesi ile de hafizamdaki yerini koruyor.

DNS sunucu ve istemcilerini güncelleme vakti

Dün duyurulan, birden fazla üreticinin DNS protokolü uygulamasında bulunan problem, DNS cache poisoning saldırılarının yapılmasını oldukça kolaylaştırıyor.

Bu da demek oluyor ki, veri haberleşmesinin can damarı olan DNS sunucularda oluşturulabilecek sahte kayıtlarla kullanıcıları farklı (ve muhtemelen zararlı) sistemlere yönlendirmek mümkün olabilecektir.

Özellikle recursive sorgulara izin veren DNS sunucularının öncelikli olarak güncellenmesi gerekiyor.

Detaylarını US-CERT sitesindeki bu duyuruda (VU#800113) görebilirsiniz.

Problem araştırmacı Dan Kaminsky tarafından tespit edilmiş. Microsoft, ISC (BIND), Sun Microsystems, Cisco… gibi hem istemci (client), hem de sunucu sistem geliştiren birçok üretici ile irtibata geçilerek ve problemi gideren güvenlik yamasının duyuru ile aynı tarihte herkes tarafından çıkartılması sağlanmış. Bu açıdan hoş bir çalışma olmuş.

Ayrıca bir süre daha problem detayının gizli kalabilmesi için bazı çalışmalar yapılmış.

Bu sayede yana döne DNS güncellemeye gerek kalmamış olsa da, hem istemci hem de sunucu tarafında güncellemeleri ivedi olarak yapmak gerekiyor.

Problemden etkilenip etkilenmediğinizi test edebilmeniz için Dan Kaminsky bu test aracını sunuyor.

Güncellemelere yeterli zaman sağlamak için, konu ile ilgili detaylar bir süre sonra açıklanacak. Gelişmelerle ilgili araştırmacının web sitesi takip edilebilir.
Kaminsky’nin Blackhat 2008‘de yapacağı konuşmanın detayları daha önceden duyurulmamıştı. Sanırım konu belli oldu :)