Zero-day

Transkript

Zero-day

beyaz sapka
.
KASIM 2006
B‹LG‹ GÜVENL‹G‹ PLATFORMU
BU SAYIDA
2 Zero-Day Protection
Yanl›fl anlafl›lmalara maruz kalan Zero-Day ve
Zero-Day Protection'›n kapsaml› anlat›m›.
10 McAfee a¤ eriflim kontrolü çözümü
McAfee Policy Enforcer (MPE)'nin a¤
erifliminde sundu¤u avantajlar.
E-posta bafll›klar›, internet taray›c›lar›, web
sunucu ve uygulamalar›na yönelik temel
sald›r›lar, imzalar›n tespiti.
4 Visual Studio 2005 ile gelen
güvenlik özellikleri
Özellikle web uygulamalar›nda
kullanabilece¤iniz Microsoft Visual Studio
2005 güvenlik özellikleri.
14 Uygulama güvenli¤i
Web uygulamalar›nda önemli bir sorun olarak
karfl›m›za ç›kan 'oturum sabitleme' nedir ve
nas›l engellenir.
20 Yaz›l›m da¤›t›m›
Art›k her alanda kullan›lan yaz›l›mlar›n
da¤›t›m›nda izlenecek yol önemlidir.
8 Biliflim sistemleri ve risk yönetimi
Sa¤l›kl› bir risk yönetimi için izlenmesi gereken
yollar ve dikkat edilmesi
gerekenler.
16 Microsoft Exchange ve güvenlik
Microsoft Exchange Server 2007 üzerindeki eposta filtreleme seçenekleri.
18 Adli Biliflim sistem analizi
22 Underground
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.
24 KISA KISA KISA
Firmalar ve ürünleri hakk›nda yaflanan önemli
geliflmeler.
BEYAZ fiAPKA’YA ABONE OLMAK ‹Ç‹N WEB FORMUMUZU DOLDURAB‹L‹RS‹N‹Z. www.beyazsapka.org
Serkan AKCAN
[email protected]
Zero-day
Birçok üründe karfl›laflt›¤›m›z bir özellik Zero-day Protection. Defalarca yanl›fl anlafl›ld›¤›n› gördü¤üm Zero-day ve Zero-day protection terimlerinin anlamlar›n› kapsaml›ca
anlatmaya çal›flaca¤›m. Terimin zihinlere yerleflmesi için “S›f›r Gün” ya da “S›f›r›nc›
Gün” gibi Türkçe tercümeler yerine terimi oldu¤u gibi kullanaca¤›m.
Zero-day ataklar›
Güvenlik aç›klar› bilgi güvenli¤i uzmanlar› taraf›ndan bulunur.
Bu noktada güvenlik aç›¤›n› bulan kiflinin rengi önemlidir.
Beyaz flapkal›lar genellikle kurumsal flirketlerde çal›fl›r.
Özellikle güvenlik ürünü gelifltiren flirketler, güvenlik aç›¤›
tespit etme konusunda yar›fl halindedirler. Ne kadar çok
aç›k bulurlarsa, sat›fl potansiyeli o kadar artar. Bu flirketlerde çal›flan araflt›rmac› teknik uzmanlar beyaz flapkal›d›r (istisnalar kaideyi bozmaz). Bir beyaz flapkal›, buldu¤u aç›¤›n
detaylar›n› ürün üreticisine gönderir. Üretici aç›¤› testlerden
sonra do¤rular ve çözüm için yama gelifltirir. Yama gelifltirme bazen 5-10 gün bazen 250-300 gün sürebilir. Bu tamam›
ile aç›¤›n teknik altyap›s›yla ilgili bir durumdur. www.eeye.com sitesinden baz› aç›klar için yama gelifltirme sürelerini görebilirsiniz.
Siyah flapkal›lar pek de iyi niyetli say›lmazlar. Bulduklar› aç›klar› hiçbir kuruma bildirmez, kendileri kullan›rlar. Black Community diye tabir edilen gruplar aras›nda bu zaaflara ait bilgilerin elden ele dolaflt›¤› bilinmektedir. Özellikle FBI ve CERT
gibi kurumlar “Black Community” elinde bulunan güvenlik
aç›klar›n› tespit etmek için hemen hemen dünyan›n her yerinde internet trafi¤ini gerçek zamanl› olarak dinlemektedir.
güncellemesini bekleyece¤iz. Her iki durumda da Zero-day
atak riski alt›nday›z demektir. Özellikle 2000-2003 y›llar›
aras›nda Slammer, Code Red ve Nachi gibi internet solucanlar›na dünyan›n en büyük sistemleri bile karfl› koyamad›.
McAfee AVERT laboratuar› raporlar›na göre sadece Slammer’›n yay›lmaya bafllad›¤› ilk saat içerisinde 100.000 sunucuya bulaflt›¤› tahmin ediliyor.
Konumuzun temel sorusu fludur;
fiu an dünyan›n di¤er ucunda 15 yafl›ndaki bir çocu¤un gelifltirdi¤i internet solucan› ya da bir exploit’e karfl› sistemimi
nas›l koruyabilirim?
Cevap: Zero-day Protection.
Zero-day protection
Zero-day Protection terimi aslen sunucu tabanl› atak engelleme sistemi (HIPS) gelifltiren bir flirket taraf›ndan ortaya
ç›kar›lm›flt›r. fiirketin söylemi kendi ürünlerinin bilinen ataklar›n yan› s›ra bilinmeyen ataklara karfl› da güvenlik sa¤lad›¤›d›r. Bu terim günümüzde neredeyse tüm a¤ tabanl› (NIPS)
ve sunucu tabanl› (HIPS) atak engelleme sistemi gelifltiren
flirketlerce kullan›l›yor. fiimdi, her iki ürün grubu aç›s›ndan
da Zero-day Protection koruma tekniklerini aç›klayal›m.
Network Intrusion Prevention System (NIPS)
SQL Injection, Directory Traversal ya da Authentication
Bypass gibi aç›klar ek bir uygulama gelifltirmeye gerek duyulmaks›z›n kolayca kullan›labilir. Ancak birçok aç›k türünde, aç›¤› kullanarak sistemlere sald›ran küçük programlar
gelifltirmek gerekir. Bu yaz›l›mlara “exploit” denir.
Pattern-Matching teknolojisiyle çal›flan güvenlik ürünleri (Antivirus, IDS/IPS, Secure Content Management vs.) ataklar›
tespit edebilmek için imza güncellemesine ihtiyaç duyar. Bu
nedenle aç›¤›n bir beyaz flapkal› taraf›ndan bulunmas› ve üreticilerin güvenlik güncellemesi yapmas› zorunludur. Güncelleme yap›lana kadar sistemler risk alt›ndad›r. Hatta birçok internet korsan› hedef seçti¤i sisteme ait bir güvenlik aç›¤›n›n duyurulmas› için pusuya yatar. Aç›k duyurulduktan hemen sonra ilgili exploit’i bulmaya ya da gelifltirmeye çal›fl›rlar.
Zero-day, aç›¤›n bulundu¤u ilk günü ifade eder. Aç›k her kim
taraf›ndan bulunursa bulunsun, dünyadaki tüm sistemler bu
aç›k karfl›s›nda teorik olarak korumas›zd›r. K›saca sistemi
koruma alt›na almak için ya üreticinin yama gelifltirmesini
bekleyece¤iz ya da güvenlik ürünü üreticisinin ilgili imza
2 beyazflapka kas›m 2006
NIPS ürünleri temelde 3 konuda güvenlik sa¤lar. Bilinen ataklar, bilinmeyen ataklar ve DoS/DDoS ataklar›. Konumuz Zero-day oldu¤una göre sadece bilinmeyen ataklara bakaca¤›z.
Zero-day Protection için NIPS ürünlerinde kullan›lan temel
teknolojinin ad› Protocol Anomaly’dir. Asl›nda bu teknik Protocol Anomaly, Application Payload Anomaly ve Statistical
Anomaly ad›nda 3 önemli ve birbirinden ba¤›ms›z özelli¤e
sahiptir. Statistical Anomaly daha ziyade DoS/DDoS ataklar›na karfl› gelifltirilmifl bir çözüm oldu¤u için hiç üzerinde
durmuyorum. Gelelim di¤erlerine…
Bir NIPS ürününde bulunan Protocol Anomaly özelli¤i yüzlerce protokolü çözer ve analiz eder. Çünkü ataklar›n büyük
k›sm› protokol bozukluklar›na neden olur. Böylece PatternMatching tekni¤inin gereksinimi olan imza güncellemesine
ihtiyaç duymadan birçok bilinmeyen atak engellenebilir. Örnek vermek gerekirse Protocol Anomaly ile donat›lm›fl birçok NIPS ürünü Slammer ve Code Red gibi bilinmeyen ataklara karfl› sistemleri korumay› baflarm›fllard›r. Application
Payload Anomaly özelli¤i ise özellikle Shellcode bazl› atakla-
ra karfl› koymak için gelifltirilmifltir. Oldukça baflar›l› örnekleri bulunan bu özellikle birçok atak, a¤ seviyesinde durdurulabilir. Shellcode ataklar› sisteme ciddi zararlar verebilecek atak tipleridir, bu sebeple Application Payload Anomaly
tekni¤inin baflar›s› oldukça önemlidir.
Bu arada özel bir not düflmek istiyorum. Ço¤u yerde Polymorphic türev ataklar›nda NIPS ürünlerinin yetersiz oldu¤u
söylenir. ADMutate yaz›p Google’da arat›rsan›z baz› makaleler bulabilirsiniz (Bulaca¤›n›z makalelerin büyük k›sm› 2002
y›l›na ait olacakt›r). Varsay›m, özel yöntemlerle flifrelenmifl
veya de¤ifltirilmifl exploit’lerin NIPS taraf›ndan tespit edilemeden sisteme gönderilebilece¤idir. ‹flte bu konuda Application Payload Anomaly özelli¤i bize koruma sa¤lar. NSS NIPS
raporlar›n› incelerseniz IPS Evasion testlerinde ADMutate
gibi bilinen ataklara karfl› hemen hemen tüm NIPS ürünlerinin koruma sa¤lad›¤›n› görebilirsiniz (www.nss.co.uk). Gerçi
aç›kça söylemek gerekir ki bu testlerin sonuçlar›nda dikkat
edilmesi gereken ADMutate ataklar›n›n engellenip engellenmedi¤i de¤il, “decode” edilip edilemedi¤idir. Nitekim “mutated” dedi¤imiz de¤ifltirilmifl yap›da olan ataklar›n tespit edilebilmesi için NIPS üreticileri yo¤un mesai harcamaktalar.
Decode edilemeyen bir trafi¤in içinde atak aramak mümkün
de¤il. Baz› ürünler decode edemedi¤i trafi¤i otomatik olarak
englleyebilir ancak bu da False Positive dedi¤imiz hatal›
atak tespiti oran›n› artt›racakt›r. Profesyonel bilgi güvenli¤i
uzmanlar› için bu hayati bir konudur. Yaz› içeri¤i ile direk ilgisi olmad›¤›ndan daha fazla detay veremeyece¤im, ilgilenenler benimle temasa geçebilir.
Host Intrusion Prevention System (HIPS)
Hiç flüphe yok ki Zero-day ataklar›na karfl› NIPS’in koruma
kalkan› HIPS’e göre daha zay›ft›r.
HIPS ürünlerinin kulland›¤› teknikleri tek tek aç›klamaya kalksam Beyaz fiapka’da 10 sayfa yaz› yazmam gerekir. Burada birkaç önemli noktaya de¤inmekle yetinmek zorunda kalaca¤›m.
HIPS ürünlerinden baz›lar› Pattern-Matching tekni¤ine de
sahiptir ancak onlar› de¤erli k›lan Zero-day Protection özellikleridir. Bunlardan en önemlisi de hiç flüphesiz Buffer
Overrun Protection özelli¤idir.
Buffer Overrun aç›klar› sistemlerin tüm ifllevlerini uzaktan
ele geçirmeye neden olur. Çünkü bu ataklar iflletim sisteminin adreslemedi¤i haf›za bölümlerinde çal›fl›r, bu sayede iflletim sistemi üzerinde bulunan güvenlik tan›mlar›na tabi tutulamaz. HIPS ürünlerinin büyük k›sm› Buffer taflmalar›n› otomatik olarak alg›lar ve engeller. Ata¤›n bilinip bilinmemesinin
önemi olmad›¤› gibi kayna¤›n›n lokal ya da remote olmas› da
önemli de¤ildir. HIPS her koflulda koruma sa¤layacakt›r.
taraf›ndan kullan›lan “VNC Injection” örne¤i olacak. Sistemde bulunan bir aç›¤› kullanarak kurban sisteme VNC Server
yaz›l›m›na ait DLL’i gönderip bize geri ba¤lant› yapmas›n›
sa¤layabiliyoruz. K›saca hack etti¤imiz sistemin ekran görüntüsünü oldu¤u gibi hem de yönetici yetkileriyle alabiliyoruz. Ço¤u durumda DLL Injection gibi teknikler Buffer Overrun gibi baflka zaaflarca tetiklenmek zorundad›r. Temel olarak HIPS ürünleri d›flar›dan iflletim sistemine ya da direk sistem haf›zas›na çal›flt›r›labilir bir uygulama sokulmas›n› engelleyebilir. Bu sayede sisteminizde bir güvenlik aç›¤› bulunsa bile ‘hack’ giriflimi baflar›s›z olacakt›r.
HIPS ürünlerinin anlat›lmadan geçilemeyecek di¤er bir özelli¤i de Resource Protection özelli¤idir. Kritik dosyalar, dizinler ve Windows Registry kay›tlar› kesin olarak koruma alt›na
al›nabilir. Asl›nda iflletim sisteminin de kendi içerisinde eriflim denetimi özelli¤i vard›r. Ancak yukar›da anlatt›¤›m›z gibi baz› ataklarda iflletim sistemi eriflim denetimi özellikleri
kolayca atlanabilir.
HIPS ürünleri atak olsun olmas›n, belirtilen kaynaklar› kesin
koruma alt›na al›r. Örne¤in yeni yay›lmaya bafllam›fl bir internet solucan› bütün sistemlere s›zabilir (Slammer, Code Red
vs..) ancak HIPS taraf›ndan korunan sistemler bu ataklardan
zarar görmeyecektir. Hatta HIPS yöneticisi izin vermezse,
sistem yöneticisi bile koruma alt›ndaki kay›tlar› de¤ifltiremez.
Sonuç
NIPS ve HIPS ürünleri %100 koruma sa¤lar m›?
Bu soruya ne güvenlik uzmanlar› ne de ürün üreticileri evet
cevab›n› veremez. Hiç flüphe yok ki, NIPS konusunda k›saca
bahsetti¤im polymorphic atak tipleri gibi, her geçen gün
yeni atak metotlar› türeyecektir ve bunlar›n bir bölümü
NIPS ve HIPS ürünleri kullan›l›yor olmas›na ra¤men etkili
olacakt›r. Ancak NIPS ve HIPS üreticileri bu geliflmeler karfl›s›nda uyumuyorlar, ürünlerini ve teknolojilerini sürekli
gelifltiriyorlar.
Öyleyse NIPS/HIPS projesi yaparken üzerinde durmam›z gereken en önemli konu ürün seçimi. Ürünü seçerken çok küçük ayr›nt›lara dikkat etmemiz ve üreticinin IPS teknikleri
üzerindeki vizyonu anlamam›z gerekiyor. Bunun yan› s›ra
ürünlerin do¤ru yap›land›r›lmas› da çok önemli. Bu noktada
atak tiplerini iyi tan›yan uzmanlardan fikir veya destek al›nmas› son derece kritik. Nitekim bahsetti¤im koruma tekniklerinin baz›lar› varsay›lan olarak aktif durumda gelmiyor.
Teknik özelliklerin iyice incelenerek, ad›m ad›m devreye
al›nmas› ve test edilmesi gerekiyor. Bu aflamada yap›lacak
yap›land›rma hatalar› pahal›ya mal olabilir.
Kaynaklar:
http://www.mcafee.com/us/local_content/white_pa-
Di¤er önemli bir koruma tekni¤i de haf›zaya ya da iflletim sistemine yap›lacak Injection ataklar›na karfl›d›r. Burada sözü
edilen Injection ata¤›n›n “SQL Injection” ile hiçbir ilgisi yoktur.
San›r›m bu konuda verebilece¤im en basit örnek metasploit
pers/wp_ddt_anomaly.pdf
http://www.nss.co.uk/grouptests/ips/edition3/pdf/IPSED3-0601-MA.pdf
http://www.metasploit.org/projects/Framework/screenshots.html
http://www.securityfocus.com/infocus/1670
kas›m 2006 beyazflapka 3
Mehmet EMRE
[email protected]
Visual Studio 2005 ile Gelen Güvenlik Özellikleri
u yaz› dizimizde ASP.NET 2.0, NET Framework 2.0 ve
Visual Studio 2005 ile gelen yeni güvenlik özelliklerini sizlerle paylaflaca¤›z. Web uygulamalar› gelifltirirken ASP.NET 2.0 yaz›l›mc›lara güvenli kodlar yazmak konusunda önemli imkanlar sunmaktad›r. Microsoft .NET Framework 2.0 da güvenli uygulamalar gelifltirme konusunda
önemli özellikler içermektedir. Önümüzdeki say›larda bu
özellikleri detayl› inceleme flans› bulaca¤›z. Bu makalemizde
Visual Studio 2005 ile gelen yeni uygulama güvenlik özelliklerini inceleyece¤iz ve büyük resmi gözden geçirece¤iz.
Önümüzdeki say›larda bu büyük resmin bileflenlerine bu köfleden daha detayl› bakma flans›m›z olacak.
Genelde yaz›l›mc›lar güvenli kod yazmak konusunda isteklilerdir. Fakat pratikte güvenli kaynak kodu ve uygulamalar
gelifltirmek için ihtiyaç duyacaklar› bilgileri edinmeye yetecek zaman› hiçbir zaman ay›ramazlar veya bulamazlar.
Kod yazarken genelde çözmek durumunda olduklar› ifl problemleri ve algoritmalar› üzerine odaklan›rlar ve bu s›rada
güvenlik ile ilgili konulara yeterince ilgi gösteremezler ve
ço¤u zaman da yo¤un çal›flma temposu içerisinde bunlar›
gözard› etmek durumunda kal›rlar. Bu perspektiften bak›ld›¤›nda güvenli uygulamalar gelifltirebilmek için yaz›l›m araçlar›n›n çok önemli bir rol oynad›¤›n› söyleyebiliriz. Yaz›l›m
gelifltirme araçlar› ve platformu, güvenli uygulamalar gelifltirmek konusunda yaz›l›mc›lara ekstra ifl
yükü oluflturmaks›z›n, uygulaman›n genel
güvenli¤ine önemli katma de¤er sa¤layabilir bir tak›m güvenlik kontrollerinin çok az
bir eforla ya da hiç efor sarfetmeksizin otomatik olarak yap›lmas›n› sa¤layabilirler.
Bu yaz›m›zda yönetilen kodlar (Managed
Code - CLR) üzerinde çal›flan kodlar üzerinde yaz›l›m gelifltirme platformu olarak Visual Studio 2005'in sa¤lad›¤› güvenlik
avantajlar› üzerinde duraca¤›z. Bu iki alanda Visual Studio 2005 ile gelen yeni özellikleri irdeleyece¤iz.
B
Yönetilen kodlar için Visual
Studio 2005 ile gelen yeni
güvenlik özellikleri
Yönetilen kodlarda oluflabilecek güvenlik
sorunlar› nativ kodlardan oluflabilecek güvenlik sorunlar›ndan farkl›l›klar gösterecektir. Örne¤in yönetilen kodlar›n CLR içinde çal›flmas› ve bellek yönetiminin CLR taraf›ndan yap›l›yor olmas› geleneksel buffer
overrun sorunlar›n›n oluflturaca¤› tehdidi büyük ölçüde ortadan kald›r›r. Bununla birlikte yönetilen kodlar içinde de baz› güvenlik boflluklar› oluflabilir. Bu alanda Visual Studio
2005 bize ciddi kolayl›klar sa¤lamaktad›r.
Kod analizi
(Code Analysis – FxCop)
Derlenen her kodun do¤ru yaz›lm›fl kod oldu¤unu söylemek
mümkün de¤ildir. Bununda ötesinde derleme süreci kodun
güvenli bir kod oldu¤unu teminat alt›na almaz. Yaz›lan kaynak kodu, derleyicinin kontrolü d›fl›nda güvenlik, isimlendirme standartlar›, performans, güvenilirlik, yerellefltirme ve
kurumsal tasar›m kurullar›ndan da geçirilmelidir.
Visual Studio 2005 'ten önce .NET ortam›nda bir eklenti olarak kullanabildi¤imiz FxCop arac› kodlar›m›z› derleme kurallar› d›fl›nda yukar›da bahsedilen kurallardan geçirebilmemize imkan sa¤lar. Kural kümesi olarak standart bir kurallar dizisi araç içerisinde bulunmaktad›r. Dilendi¤inde buradaki kurallar özellefltirilebilir veya yeni kurallar oluflturuflabilir.
FxCop eklentisi Visual Studio 2005 ürünü ile birlikte kod
analiz arac› olarak entegre gelifltirme ortam› dahilinde kodumuzu önceden tan›mlanm›fl kurallar (güvenlik kurallar›da
bu kurallar içerisinde yer almaktad›r) çerçevesinde analiz
etmemize imkan sa¤lamaktad›r. Kurallar kural listesi içerisinde gruplanarak organize edilebilir. Kod güvenlik kurallar›
ve kod performans kurallar› ayr› kural gruplar› içinde yer
al›r. Kod analizi yapabilmek için proje özelliklerinden “Code
Analysis” sekmesine gidilerek buradan kod analizi aktive
edilmelidir. Kod derlemeleri kod analizinde yer alan kurallara göre kaynak kodlar› analiz edilir ve hata listesinde kurallara uymayan kod parçac›klar› uyar› olarak gösterilebilir.
Kod analiz kurul gruplar› veya kurullar›ndan baz›lar› aktive
edilip di¤erleri kod analizinden ç›kar›labilir.
Kod eriflim güvenli¤i
(Code Access Security)
Tüm .NET uygulamalar› CLR içinde kod eriflim güvenlik (CAS
– Code Access Security) modeli üzerinde çal›fl›r. Assembly‘nin yeri , assembly‘nin imzas› gibi faktörlere dayal›
olarak güvenlik haklar› verilir. Bu faktörler kullan›c›, makina
veya domain seviyesinde politikalar ile karfl›laflt›r›l›r. ‹lgili
politikalar bu faktörler ile iliflkilendirilerek, uygulaman›n
spesifik haklar ile çal›flmas› garanti alt›na al›n›r. Buna kavramsal olarak k›smi güven (partial trust) denir. Bu tarz uygulamalar› gelifltirirken yaflanan en önemli s›k›nt›, gelifltirme
aflamas›nda uygulama, üretim ortam›ndaym›fl gibi simule
ederek test edebilmektir. Yaz›l›mc›, gelifltirme yaparken tüm
haklara sahip olacakt›r. Bu uygulaman›n internet ya da intranet güvenlik seviyelerinde hangi haklara sahip olaca¤›n›
görmek için, uygulamay› bu ortamlara tafl›yarak test etmek
gerekecektir. Visual Studio 2005, yaz›l›mc›lara IDE ‘den ayr›lmadan, farkl› güven seviyelerinde uygulamalar›n›n nas›l
davranaca¤›n› test ermek için araçlar ve bir tak›m özellikler
içermektedir.
ClickOnce ile kod yayg›nlaflt›rma (ClickOnce Deployment)
ClickOnce, Visual Studio 2005 ile gelen ve k›s›tl› haklarla çal›flan kullan›c›lara ak›ll› istemci uygulamalar›n› da¤›tmak konusunda, yaz›l›mc›lara esneklik sa¤layan bir teknolojidir.
Ak›ll› istemci uygulamalar› dosya paylafl›m›, FTP paylafl›m
alan› veya bir internet/intranet sitesi üzerinden http kullan›larak yayg›nlaflt›r›labilir. Burada kullan›lan dosya veya FTP
paylafl›m alan›, internet/intranet sitesi yayg›nlaflt›rma sunucusu olarak adland›r›l›r. ‹lgili yayg›nlaflt›rma sunucusuna yeni bir versiyon yaz›l›mc› taraf›ndan yüklendiyse, son kullan›c› uygulamay› bafllatt›¤›nda yayg›nlaflt›rma sunucusu üzerinde yap›lan otomatik versiyon kontrolü s›ras›nda güncelleme farkedilir. Yerel depolama alan›ndaki sürüm güncellenerek, kullan›c›n›n uygulamay› en güncel haliyle kullanmas›
sa¤lan›r.
Visual Studio 2005 bu tür k›smi güvenlik modeli ile çal›flan
uygulamalar›n entegre gelifltirme ortam› içinde test edilebilmesine olanak tan›r. ‹lgili özellik, kod eriflim güvenli¤i alt›nda çal›flacak uygulamalar gelifltirmek ve test etmekte çok
önemli zaman kazanc› sa¤lar.
Güvenlik alan› içinde hata ay›klama
(Debug in Zone)
“Debug in Zone” özelli¤i yaz›l›mc›lara, uygulama gelifltirme
süreci içerisinde, kodlar›n› hangi güvenlik alan› içinde çal›fl-
>>
ClickOnce,
kullan›c›lara uygulama da¤›t›m›
konusunda esneklik
sa¤layan bir uygulamad›r
Mehmet EMRE
[email protected]
Visual Studio 2005 ile Gelen Güvenlik Özellikleri
isterlerse o güvenlik alan› içinde test etme imkan› ve>> t›rmak
rir. Böylelikle farkl› güvenlik seviyelerinde izinler içeren politikalar›n geçerli oldu¤u durumlarda, gelifltirdikleri uygulamalar› beklentileri do¤rultusunda çal›fl›p çal›flmayaca¤›n›
test etme flans› bulurlar. Yönetilen uygulamalarda bu özellik, proje özelliklerinin güvenlik sekmesinden eriflilebilir. Burada uygulaman›n k›smi güven seviyesinde çal›flaca¤›n› belirtebiliriz. Daha sonra hangi güvenlik alan›nda (zone) uygulamam›z› test etmek istedi¤imizi belirtebiliriz. Güvenlik alan›n›n ayarlar›n› özellefltirebiliriz. Böylelikle uygulaman›n
üretim ortam›nda çal›flaca¤› makine ya da güvenlik alanlar›n› simüle etmifl oluruz.
Hata ay›klama s›ras›nda daha geliflmifl hata uyar›lar› (Improved Security Exceptions during Debugging)
Güvenlik alan›n›z› belirledikten sonra, uygulaman›z sanki belirlenen güvenlik alan›nda çal›fl›yormufl gibi güvenlik hatas›
üretir. Yeni güvenlik hata penceresi, hata ay›klama s›ras›nda
hangi güvenlik hatalar› ile karfl›laflabilece¤iniz konusunda fikir verir.
Güvenlik hata penceresi hata konusunda sizi uyarmakla kalmaz, yapman›z gerekenler konusunda sizi yönlendirir.
Güvenlik bölgesine göre IntelliSense
(IntelliSense in the Zone):
“IntelliSense in the Zone”, Visual Basic’e özgün bir güvenlik
özelli¤idir. Bu özellik, IntelliSense‘in sadece o güvenlik alan›
için izin verilen API’lerle s›n›rl› kalmas›n› sa¤lar. Etkin güvenlik alan›nda geçerli olmayan fonksiyonlar, etkin olmayacak
flekilde gösterilir. Bu da yaz›l›mc›n›n etkin güvenlik alan›nda
sadece izin verilen fonksiyonlar› kullanmas›n› zorunlu k›lar.
PermCalc (Permission Calculator)
PermCalc, yönetilen uygulaman›n .NET yaz›l›mc›lar› taraf›ndan baflar›yla çal›flt›r›labilmesi için gereken izinlerin analiz
edilmesini sa¤lar. Bu özellik, Visual Studio 2005 ile gelmifltir ve yönetilen kodlar için proje özelliklerinden güvenlik
sekmesinden ulafl›larak çal›flt›r›labilir. PermCalc’› entegre
yaz›l›m gelifltirme ortam› içinden kullanmak için uygulaman›n hedef güvenlik alan›n›n ayarlanmas› ve “Calculate Permission” dü¤mesine bas›lmas› yeterli olacakt›r. Araç, ilgili
güvenlik analizini yaparak verilenden daha fazla izne gereksinim olup olmad›¤›n› hesaplar. Böylelikle uygulaman›n ihtiyac› olan, fakat hedef güvenlik alan›nda olmayan haklar› önceden tespit edip hedef güvenlik alan›n›z›n ayarlar›n› güncelleme flans› bulabilirsiniz.
Yönetilen kodlar için Visual Studio 2005 ile
gelen yeni güvenlik özellikleri
Getirilen yeniliklerden baz›lar› hem nativ hem de yönetilen
kodlar üzerinde uygulanabilir. Bunlar temelde iki alanda incelenebilir.
En az hak ile gelifltirme ve hata ay›klama
Kötü niyetli kodlar›n verebilece¤i zararlar› k›s›tlaman›n en
önemli yöntemlerinden birisi, kodlar›n gerekli en az hak ile
çal›flaca¤› bir ortam oluflturmakt›r. Bu yönde k›s›tlamalar
yap›lmazsa, ço¤u kiflinin yönetici yetkileri ile çal›flt›rd›¤› kötü niyetli kodlar yönetici haklar›yla ilgili makinelerde çal›flma flans› bulacakt›r. Genel bir güvenlik kural› olarak admin
haklar› olan hesaplar ile çal›flmaktan fliddetle kaç›nmak gerekir. Visual Studio‘nun eski sürümlerinde k›s›tl› haklarla uygulama gelifltirmek ve hata ay›klamak oldukça zordu. Visual
Studio’nun kendisi yüksek ayr›cal›kl› haklar gerektirmektey-
Uygulaman›n
yaz›l›mc›lar
taraf›ndan
baflar›yla
çal›flt›r›labil
mesi için
izinleri
analiz
edebilirsiniz
di. Bu durum Visual Studio 2005‘te de¤ifltirildi. Visual Studio 2005, normal bir kullan›c› hesab› ile admin yetkileri olmaks›z›n çal›flabilmenizi veya hata ay›klayabilmenizi mümkün k›lar.
lar uygulamay› özellikle normal ak›fl›ndan ç›karacak hatalar
yapt›r›p buralarda çal›flan kodlar üzerinde güvenlik aç›klar›
olufltururlar. Birim testleri bu gibi sald›r›lar›n önüne geçmek
konusunda önemli avantajlar sa¤lar.
Yeni test özellikleri
Birim testleri
Yük testleri
Birim testleri, belirli girdiler ile beklenen bir dönüfl de¤eri
veya de¤erlerinin elde edilip edilemeyece¤ini test eder. Kullan›c› verisi ifllenirken, verinin bekledi¤imiz özelliklerde olmas›n› sa¤lamak önemlidir. Veriyi ifllemeden önce test etmemiz gereken iki fley, veri tipi ve veri uzunlu¤udur. Birim
testleri, bir fonksiyona rastsal girdiler göndererek , uygulaman›n do¤ru ç›kt›y› üretti¤ini ve uygulaman›n genelinin do¤ru çal›flt›¤›n› garanti alt›na almam›z› sa¤lar. Ayr›ca birim
testler yap›l›rken kod kapsam› da etkinlefltirilerek kodun ne
kadar›n›n ilgili birim testiyle test edildi¤i izlenebilir. Az kullan›lan kodlar, mesela yap›sal hata iflleme (structure exception handling) bloklar› da test edilmifl olur. Genelde sald›rgan-
Yük testleri de güvenlik aç›s›ndan önemlidir. Çünkü DoS
(Denial of Service) senaryolar› gibi ataklara karfl› web uygulamalar›n›n test edilmesini sa¤lar. Yük test arac› hem uygulaman›n alaca¤› yükü test etmek, hem de normal durumlar
d›fl›nda uygulaman›n sald›r› durumunda davran›fl›n› simüle
etme imkan› verir.
Sonuç
Visual Studio 2005 bir yaz›l›m arac› ve platformu olarak
misyon kritik güvenli kodlar gelifltirmek konusunda yaz›l›mc›lara önemli f›rsatlar sunmaktad›r. Visual Studio ile birlikte
gelen araçlar ile güvenli uygulamalar gelifltirmek, test etmek ve bunlar› yayg›nlaflt›rmak çok daha kolayd›r.
Bora DAL
[email protected]
Biliflim Sistemleri ve Risk Yönetimi:
Dalgal› denizlere yelken açmak
Sa¤l›kl› bir risk yönetimi için risk belirleme, risk indirgeme ve anlay›fl› gözden
geçirme/yeniden belirleme aflamalar› izlenmelidir.
isk kelimesi her ne kadar elle tutulur, gözle görülür
imgeleri ça¤r›flt›rmasa da gündelik hayatta s›k s›k
kullanmaktan çekinmedi¤imiz bir kelime. Kullanmasak da yaflam›m›za en az›ndan hayat›m›z› kolaylaflt›rmak
için istemsizce soktu¤umuz bir unsur. Örne¤in kar ya¤d›¤›nda, devam›nda flehir ve ulafl›m felç oldu¤unda uyar›lar do¤rultusunda arabam›z› evde b›rak›p toplu tafl›ma araçlar›n›
tercih etmemiz bunun bir örne¤i. Çünkü biliyoruz ki kar ya¤d›¤›nda arabam›z›n çeflitli sebeplerle yolda kalma ihtimali
var. ‹fle ya da zaman›nda varmam›z gereken yerlere geç kalma riski söz konusu. Arabam›z illa ki yolda kalacak de¤il, az
gecikmeyle ya da gecikmesiz gitmemiz gereken yere ulaflmam›z da mümkün. Ama önceki “kar ve flehir” deneyimlerimizden olsun, yap›lan uyar›lardan olsun, kendi d›fl›m›zdaki
etkenleri kontrol edemeyiflimizden olsun, saatlerce yolda
kalma veya daha kötüsü kaza yapma riskini üstümüze almak
istemiyor ve arabam›z› evde b›rak›yoruz.
R
Geliflen teknolojinin organizasyonlar›n her alan›na girmesiyle biliflim sistemlerinin güvenli¤i, bütünlü¤ü ve süreklili¤inin
sa¤lanmas›, ifl devaml›l›¤› için bir flart haline gelmifltir. Hatta
organizasyonlar›n üst düzey yönetimleri yavafl yavafl biliflim
sistemlerinin önemini kavramaya bafllam›fl, onlars›z devam
edemeyeceklerini anlam›fllard›r.
Risk yönetiminin ister biliflim sistemleriyle ilgili olsun, ister
finansal kayb› önlemek amaçl› olsun temel olarak ayn› ad›mlardan olufluyor olmas›, ortak bir vizyon uygulanmas›nda kolayl›k sa¤lar. Ancak ad›mlar›n, organizasyonun farkl› k›s›mlar›nda uygulanabilmesi ayr› uzmanl›k alanlar›na sahip bölümlerin ortak çal›flmas›n› gerektirir. Sa¤lanmas› hiç kolay
olmayan bu koordinasyonun, ancak üst yönetimin deste¤iyle organizasyonsal bir çaba haline getirilmesi mümkündür.
K›sacas› BT Risk Yönetimi organizasyonel risk yönetim anlay›fl›n›n bir parças›d›r.
3 ad›m
Kar burada sadece bir etkendir. Yani her zaman olan kaza
yapma ya da yolda kalma riskini yükselten bir d›fl etkendir.
Çeflitli sebeplerle arabam›z›n yolda kalmas›, biz ve arabam›zdan yani iç etkenlerden kaynaklanan bir risk olarak görülebilir. E¤er gidece¤imiz yere yolda kalm›fl baflka bir araç
dolay›s›yla gidememiflsek d›fl etkenler
buna yol açm›flt›r diyebiliriz.
Risk yönetimi, ak›lda kalmas› kolay 3 ad›mdan oluflur:
• Riskin belirlenmesi
• Riskin indirgenmesi
• Anlay›fl›n gözden geçirilmesi ve yeniden belirlenmesi
Sa¤l›kl› bir risk yönetimi ortam›, ancak
bu 3 ad›m›n birlikte düflünülmesi ve s›ras›yla uygulanmas›yla kurulabilir. Ancak flu ana kadar gerçeklefltirdi¤imiz
projelerde gözlemledi¤imiz kadar›yla
en çok zorlan›lan aflamad›r. Bunun sebebi organizasyonlar›n, kendilerini ve
çevrelerini saran manzaray› tam olarak
tan›mlayamamalar›ndand›r.
Maalesef organizasyonumuzun ya da
flirketimizi ilgilendiren riskleri önlemeyi b›rak›n görmemiz dahi kolay de¤il.
D›flar›da karmafl›k pazar ortam›, zorlu
bir rekabet, uyulmas› gereken yasal
gereklilikler zaten yeterince büyük
olan resmi bulan›klaflt›r›p risklerin belirlenmesini zorlaflt›rmaktad›r.
Belirlemek
Bunun üstesinden gelinebilmesi için
risk kavram›na metodolojik olarak bak›lmas› gerekmektedir. Risk yönetimi
yaklafl›m› iste bu gereksinimden do¤mufltur. Risk yönetimi ilk olarak
1970’lerde insan yap›m› felaketlerin
öngörülebilmesinde kullan›lmaya bafllanm›fl, 1980’lerde ise finans sektörüne finansal yat›r›m araçlar›n›n getirisini tahmin etmek amaçl› girmifltir.
BT sistemleriyle ilgili olumsuzluklar›n
gerçekleflebilme ihtimalini anlayabilmemiz için tehditlerin potansiyel aç›kl›klar ve var olan kontrollerle birlikte
analiz edilmesi gerekmektedir. Söz konusu zay›fl›klar kullan›larak, BT sistemlerine ne derece zarar verilebilece¤i,
söz konusu zay›fl›kla sistemin ne kadar
derinine inilebilece¤i ile ilgilidir. Burada
derinlikten kas›t tehdidin oluflmas› sonucunda biliflim sistemleri ve flirketin
Kaynak UK: RMI Risk Management Standard
hassas de¤erlerinin ne kadar zarar görece¤idir.
Mevcut organizasyon içi durumun belirlenmesine, afla¤›daki
genel sorulara cevap verilmeye çal›flarak bafllanabilir:
• Organizasyona ait tüm de¤erler kay›tl› ve sürekli güncelleniyor mu?
• Organizasyona ait bütün varl›k ve de¤erler fiziksel ve
mant›ksal olarak yeterince korunabiliyor mu? Çal›flanlar›n
can güvenli¤i yeterince sa¤lanabilmifl mi?
• Organizasyonun biliflim sistemleri kaynaklar› ne derece
yönetilebilir?
• Fiziksel ve mant›ksal kaynaklara eriflim gereklilik esas›na
göre ne derece sa¤lan›yor?
• Sistemler, çal›flanlar›n gündelik süreklilik gereksinimini
karfl›layacak verimlilikte çal›fl›yor mu?
• Do¤al afet ya da beklenmeyen bir durumda sistemlerin devaml›l›¤›n›, verinin bütünlü¤ünü ve devaml›l›¤›n› sa¤layabilecek önemler al›nd› m›?
• Sistemler yapmalar› gerekenleri do¤ru olarak yap›yor mu
ve bunu periyodik olarak iç ve/veya d›fl kaynaklarla denetliyor muyuz?
Bu sorulara ilave olarak sorulmas›n›n gerekli oldu¤u kanaatine var›lan baflka sorular da eklenebilir. fiüphesiz, yukar›daki sorular›n en önemlisi ilkidir. Nelerin korunmas›n›n gerekti¤ini anlamadan, listelemeden onlar› korumaya yönelik
ad›mlar›n at›lmas› mümkün de¤ildir. Buna verilebilecek en
güzel örnek son zamanlarda oldukça yayg›nlaflan PDA’lerdir. ‹fl amaçl› olarak kullan›ld›¤›ndan haberdar olmad›¤›m›z
bir PDA’in çal›nmas› ya da kaybolmas› durumunda içindeki
verinin aç›¤a ç›kmas›n› engelleyemeyece¤imiz gibi bunun
olmas›na karfl› önlem de alamay›z.
NIST in Risk Management Guide for Information Technology
Systems’de yer alan risklerin belirlenmesi aflamas›nda yap›lmas› gerekenler afla¤›da ad›m ad›m incelenmifltir.
1. Sistemlerin tan›mlanmas›: Risklerin anlafl›lmas› için öncelikle çal›flman›n yap›laca¤› alan›n belirlenmesi gerekmektedir. Bunun için güncel bir envanterden yola ç›k›larak, hangi
donan›m›n üzerinde hangi iflletim sistemi oldu¤u ve hangi ifl
süreçlerini destekleyen programlar› çal›flt›rd›¤› anlafl›lmal›d›r. Bunun yan› s›ra kimlerin bu sistemlere destek verdi¤i,
kulland›¤›, içinde tutulan verinin hassasiyeti gibi konular da
incelenmelidir. Bu çal›flmaya söz konusu sistemler için yaz›lan politika ve prosedürler, sistemlerin a¤daki yerleri, donan›m›n etraf›ndaki çevresel kontrolleri de eklemeyi unutmamak gerekir.
Bu ad›m›n sonunda, var olan biliflim teknolojileri sistemleri
hakk›nda birçok bilgi toplanm›fl olacakt›r.
2. Tehditlerin belirlenmesi: Tehdit kazayla ya da bilerek bir
zay›fl›ktan faydalan›lma potansiyeli olarak tan›mlanabilir.
E¤er zay›fl›k yoksa tehdit uygulanabilme riski tafl›maz. 3 ana
tehdit kayna¤›n› do¤a, insan ve çevresel kaynakl› tehditler
olarak listeleyebiliriz.
Do¤al tehditler: deprem, sel, uzun süreli hava muhalefeti,
heyelan, vs…
‹nsan kaynakl› tehditler: ‹stemli ya da istem d›fl› insan kaynakl› olaylar. A¤ tabanl› sald›r›lar, zararl› yaz›l›m etkileri,
hassas veriye izinsiz girifl.
Çevresel tehditler: Uzun süreli elektrik kesintisi, ekonomik
kriz, beklenmedik makro ekonomik de¤ifliklikleri, kirlilik.
3. Zay›fl›klar›n belirlenmesi: Bu ad›m›n amac› potansiyel
olarak faydalan›labilecek zay›fl›klar›n listelenmesidir. Olas›
bir zay›fl›k, kullan›c› hesaplar› iptal edilmemifl eski çal›flanlar
olabilir, firewall’daki konfigürasyon hatas› olabilir ya da
program gelifltirme sürecinde programc›lar›n üretim sistemlerine girip de¤ifliklik yapmas›na izin verilmesi olabilir. Sa¤l›kl› olarak sistem zay›fl›klar›n›n belirlenmesini sa¤lamak için
daha önceden böyle bir çal›flma yap›lm›flsa ondan yola ç›k›labilir, yap›lm›fl sistem güvenlik testlerinden faydalan›labilir
veya çeflitli standartlar ve best-practice’lerden faydalanarak güvenlik gereksinimi kontrol listeleri ç›kart›labilir.
4. Kontrol analizi: Bu ad›m da hâlihaz›rda uygulanan ya da
uygulanmas› düflünülen kontrollerin incelenmesidir. Zay›fl›klar›n uygulanabilirli¤i var olan kontrollerin etkinli¤ine ba¤l›d›r. Örne¤in potansiyel bir tehdidin oldu¤u alandaki kontrolün yetkinli¤i, o zay›fl›¤›n faydalan›rl›¤›n› indirgeyebilir ya da
yol açaca¤› zarar› azalt›r.
5. Olabilirlik tahmini: Potansiyel bir zay›fl›ktan faydalan›labilme ihtimalidir. Düflük, orta, yüksek olarak s›n›fland›r›labilir ve tehdidin do¤as›na, var olan kontrollerin yetkinli¤ine ve
tehdit kayna¤›n›n motivasyonuna ba¤l›d›r.
6. Darbe analizi: Zay›fl›ktan faydalan›lmas› durumunda oluflabilecek zarar veya etkinin tahmin edilmesidir. Bu çal›flma
sayesinde oluflabilecek biliflim sistemleri de¤erlerinin bafl›na
gelebilecek zarar ölçülebilir hale getirilir. Hâlihaz›rda böyle
bir çal›flma yap›lmam›flsa, sistemin ve verinin bütünlü¤ü,
gizlili¤i ve sürekli¤i baz al›narak önce uygulanmas› gereken
hassasiyet derecesi belirlenebilir.
7. Kontrol eklentileri: Çal›flmalar do¤rultusunda yeni belirlenmifl biliflim sistemleri veya veriyle ilgili risk seviyelerinin
yönetim taraf›ndan kabul edilebilir bir seviyeye indirgenmesi için yeni kontrollerin belirlenmesidir.
8. Sonuç dokümantasyonu: Önceki ad›mlarda yap›lan çal›flmalar sonucunda belirledi¤imiz tehdit, zay›fl›k ve risklerle
beraber yeni kontrol önerileri resmi bir flekilde raporlanmal›d›r. Rapor üst yönetimin anlayaca¤› bir dilde yaz›lmal› ve
mümkünse bilgilendirme toplant›s› eflli¤inde sunulmal›d›r.
Önümüzdeki Beyaz fiapka say›s›nda biliflim sistemleri risk
yönetimi konusuna belirledi¤imiz risklerin indirgenmesi konusuyla devam edece¤iz.
Arma¤an ZALO⁄LU
[email protected]
McAfee A¤ Eriflim Kontrolü (NAC) Çözümü
McAfee Policy Enforcer (MPE)
“McAfee Policy Enforcer (MPE)” bilgisayarlar› a¤a ba¤lanmadan önce uygunluk kontrolünden geçiren ve bu kontrol
sonucu e¤er gerekiyorsa güncellemelerin yap›lmas›n› sa¤layan bir “a¤ eriflim kontrolü” (Network Access Control - NAC)
çözümüdür. MPE’nin kullan›ld›¤› a¤larda e¤er bir sistem güvenlik aç›¤› içeriyor ve/veya zararl› kodlardan etkilenmifl ise
kurumsal a¤a ba¤land›r›lmayacak, bir karantina bölgesine
yönlendirilip burada gerekli güncellemeler yapt›r›ld›ktan
sonra a¤a girifline izin verilecektir.
Politika, güvenlik yamalar›n›n ne s›kl›kta yap›laca¤›, antivirüs yaz›l›m› için hangi tan›m dosyalar›n›n gerekti¤i veya belirli bir sisteme sabit diskte önemli/hassas veriler içerdi¤i
için farkl› bir ba¤lant› politikas› atanmas› gibi kurallar› içerir.
Her bir kural, iflletim sistemini ve di¤er kriterleri belirler. Ayn› zamanda hangi uç noktan›n hangi özellikler için taranac¤›n› da belirler.
Basit bir kural, tüm Microsoft XP uç noktalar›n›n MS04-044
yamas›n› içermesi gerekti¤ini belirleyebilir. Daha karmafl›k
bir kural ise NetBIOS ismi SRV ile bafllayan tüm Windows
2000 sunucu platformlar›n›n Service Pack 4 yan›nda MS04044, MS04-040 ve MS04-052 yamalar›n›, antivirüs DAT
dosyalar›n›n en son versiyondan en fazla bir gün eski olabilece¤ini ve MyDoom virüsünden etkilenmemifl olmamas›
gerekti¤ini tan›mlayabilir. E¤er bir cihaz uç nokta güvenlik
MPE mimarisi
MPE 3 farkl› bileflenden oluflan
yaz›l›m tabanl› bir çözümdür:
1 MPE Sunucusu
2 MPE Sensörü
3 MPE Taray›c›s›
MPE sunucusu
MPE sunucusu sistem
yöneticilerinin a¤
eriflim politikalar›n›
belirleyebildi¤i,
de¤erlendirme
taramalar›n›n›n
zaman›n›
programlayabildi¤i
ve raporlar alabildi¤i
kullan›c› arayüzüyle
gerekli altyap›y› sa¤lar.
MPE sunucusu ayn›
zamanda
alarmlar da üretir.
politikas›na uygun de¤ilse sistem yöneticisi bu cihaz›n sadece denetlenmesi yönünde bir tedbir belirleyebilece¤i gibi karantina bölgesine ve iyilefltirme web portal›na yönlendirilmesi gibi bir politika da tan›mlayabilir. Di¤er bir seçenek de
bu cihaz›n a¤dan düflürülmesidir.
Sistem yöneticileri, güvenilir uç noktalar belirleyip bunlar›n
a¤ eriflim politikalar›ndan ba¤›ms›z davranmas›n› sa¤layabilir. Bu sistemler takip edilir ve raporlan›r. Ancak taranmazlar veya bunlara karfl› tedbir al›nmaz. Önemli sunucular, depolama sunucular›, yaz›c›lar ve di¤er baz› uç noktalar›n güvenilir olarak tan›mlanmas›yla tüm a¤ için genel politika
güncellemeleri uygunluk hatas› riskleri en az indirgenerek
yap›l›r. Bu sayede bu tip sistemlerin her zaman a¤da aktif
olarak bulunmalar› güvence alt›na al›nm›fl olur. MPE,
ePO’nun güçlü yönetim arayüzü ile raporlama ve bilgilendirme özelliklerini kullanarak, minimal bir çabayla çok kapsaml› bir politika zorlama arac› elde edilebilir. MPE, ePO ile ayn›
sunucuya yüklenerek güçlü donan›m altyap›lar›n›n efektif
kullan›lmas›na izin verirken tercihe ba¤l› olarak ayr› bir sunucuya da kurulabilir.
MPE sensör
MPE sensörleri ister kablolu ister kablosuz olsun, yerel a¤daki tüm uçlar› tespit ederek a¤ topolojisinin gerçek zamanl› bir haritas›n› ç›kar›r.
A¤ topolojisi keflfi, yönetilebilir Layer-2 switch’ler üzerinde
bulunan tüm protokol ve teknolojilerden faydalan›r. MPE
sensörü hem switch’lerden gelen trafik yay›nlar›n›, hem de
uçlardan gelen DHCP taleplerini dinler. Sensör, a¤ trafi¤ini
MAC adresi, subnet, VLAN gibi bilgileri bulmak için dinler ve
bu bilgileri, de¤erlendirme için güvenli bir iletiflim ile MPE
sunucusuna iletir.
Sensörler a¤da stratejik yerlere -DHCP sunucusunun ya da
router’un yan› gibi- konumland›r›l›rlar. Tüm a¤› kapsamak
için birden fazla sensör kullan›labilir. Yedekli sensörler, en
üst düzeyde güvenlik ve süreklilik sa¤lar. Sensörler, statik IP
kullanan sistemlerin broadcast subnet’ine kurulmal›d›r ki
trafik yakalanabilsin.
MPE sensörü network topolojisinin –switch, switch port, router ve di¤er sensörler– gerçek zamanl› haritas›n› ç›kart›r ve
politikaya uymayan bir sistemin h›zla karantinaya al›nmas›n› veya sistemden düflürülmesini (bu harita bilgisini kullanarak) sa¤lar.
MPE sensörü switch ve router’lar› da kontrol edebilir. E¤er
bir sistemin karantinaya al›nmas› ya da sistemden uzaklaflt›r›lmas› gerekiyorsa, MPE sunucusu bu bilgiyi MPE sen-
McAfee Policy Enforcer’›n destekledi¤i 3. parti sistemler
Tehdit /
Enfeksiyon Kontrolleri
• Mydoom
• Sasser
• Zotob
• Bagle
• Nachi
• Netsky
• Ve birçok di¤er zararl› kod
Host antivirus
• McAfee VirusScan Enterprise ve
McAfee VirusScan
• Symantec AntiVirus and Norton AntiVirus
• Trend Micro Offi ceScan and ServerProtect
• Computer Associates ezTrust AV
• Sophos Anti-Virus
Microsoft
service packs
• Microsoft Windows Update
• Microsoft patches for service packs,
operating systems, Internet Explorer
Host firewall
• McAfee Desktop Firewall
• Sygate Firewall
• Symantec Firewall
• Microsoft Windows XP Firewall
Host intrusion
Prevention
• McAfee Entercept 5.0
• McAfee Host Intrusion Prevention 6.0
Patch management
agents
• Patchlink Update
• BigFix Patch Manager
• Microsoft Windows Update
• BMC Marimba Patch Management Agent
Host antispyware
• McAfee AntiSpyware
• Webroot Spysweeper
• Computer Associates PestPatrol
System / policy
management agents
• Microsoft Secure Messaging Service (SMS)
• IBM Tivoli Agent
• Symantec ESM
Patch assessment
(Yama de¤erlemesi)
• Microsoft security patches
sör’ine iletir ve MPE sensörü de bu komut ile switch’i gerekti¤i flekilde ayarlar.
E¤er switch’ler Cisco NAC sisteminden faydalanmak üzere
güncellenmifllerse, MPE sensörü karantinaya alma ya da
bloklama talimat›n› Cisco NAC sistemine iletir.
Sistem yöneticileri her bir sensör üzerinde a¤ topolojisi keflfini MPE sunucusu üzerinden aktif ya da pasif hale getirebilirler. Her bir sensör ayr› ayr› konfigüre edilebilir.
MPE sunucusu ile taray›c›s› aras›ndaki iletiflim SSL flifreli
olarak yap›l›r. Di¤er firmalar›n yönetim uygulamalar› ile ko-
>>
>>
lay entegrasyon için data yap›s› XML olarak MPE sensörü
ve MPE sunucusu içinde tutulur.
MPE taray›c›s›
E¤er host, uç nokta güvenlik politikas›na uygun de¤ilse, MPE
taray›c›s› a¤ ile iletiflimi keser. Taray›c›, yönetilen sistemlerde otomatik güncelleme için host tabanl› uygunluk taramas›n›, MPE taraf›ndan yönetilmeyen –harici- sistemler için
uzaktan uygunluk taramas›n› yapar.
MPE taray›c›s› 3 fonksiyona sahiptir: Tespit, de¤erleme ve
karantinaya alma. MPE taray›c›s› bir TDI a¤ sürücüsüdür ve
hem tespit hem de karantina ifllemleri için kullan›l›r. Kendili¤inden zorlama/güncelleme modunda tüm fonskiyonlar kullan›l›rken, harici sistemlerde sadece de¤erleme fonksiyonu
kullan›l›r. Uzaktan tarama için tespit, MPE sunucusu ile ve
karantina VLAN switching’iyle gerçeklefltirilir.
MPE taray›c›s› sistem uygunluk taramas› için Foundstone
tarama teknolojisini kullan›r. Gerçeklefltirdi¤i kontrollerin
bir k›sm› Tablo 1 ‘de listelenmifltir.
Taray›c›, içerik ve politika güncellemelerini ePO’dan al›r ve
sistemlerin her zaman son yamalar, yüksek riskli aç›klar, yaz›l›m konfigürasyonlar›, virüs aktiviteleri ve di¤er birçok
aç›dan kontrol edildi¤ini garantiler.
1. Yerel a¤daki kurum kullan›c›lar› için
McAfee host tabanl› zorlama ile NAC
Kendili¤inden zorlama
“Self-Enforcement” veya istemci tabanl› zorlama, MPE taray›c›s› ile sa¤lan›r. Taray›c› zaten çal›flmakta olan ePO ajan
yaz›l›mlar›na (ePO McAfee’nin genel yönetim platformudur
ve her bir istemci üzerinde bir ePO ajan› çal›fl›r. Bu sistem
büyük kurumlarca en çok tercih edilen McAfee kurumsal güvenlik ve yönetim sistemlerinin bel kemi¤idir) yap›lacak küçük bir güncelleme ile sisteme da¤›t›lm›fl olur.
Bu istemci tabanl› zorlama sisteminde taray›c›, a¤ ba¤lant›s› ve lokasyon fark›ndal›¤› özelli¤ine sahiptir. Üzerinde MPE
çal›flan bir sistemin a¤a giriflinden önce belirlenmifl güvenlik
politikalar›na uygunlu¤u lokal olarak kontrol edilir. Bu kontrol çok detayl› ve birçok ince ayarlaman›n devreye sokulmas› ile yap›labilir. Kritik yamalar›n mevcudiyeti, kullan›lmakta olan McAfee’nin ve di¤er üreticilerin güvenlik ürünlerinin konfigürasyon ve güncellenme durumu, yüksek riskli
virüslerin olmad›¤›n›n onaylanmas› vs. yap›labilecek kontrollere örnek olarak gösterilebilir. Yap›lan bu kontrollerden
sonra belirlenen politikalar baz al›narak sistem ya a¤a girifl
izni al›r, ya bloklan›r ya da karantina bölgesine yönlendirilir.
Sistem yöneticisinin belirledi¤i s›kl›klarda bu kontroller sürekli ve düzenli olarak yap›l›r. E¤er bir sistem politikaya uygunsa a¤a tam eriflim hakk› elde eder. E¤er uygun de¤ilse (1)
izin ver, (2) izin ver ve sistem yöneticisini uyar, (3) sadece
karantina bölgesi kaynaklar›na eriflim hakk› ver ya da (4)
eriflimi blokla seçenekleri mevcuttur.
Uygun olmayan bir sisteme eriflim hakk› verilmesi yeni bir
kural›n sisteme uygulanmas›, acil durumlar vs, baz› özel durumlarda söz konusu olabilir. Uygun olmayan sistemin a¤a
eriflimi e-posta veya SNMP ile bildirilir ve kay›t (log) tutulur.
Yerel a¤daki kuruma ait sistemler karantinaya al›nabilir ya
da düflürülebilir. Sistemin a¤ ile olan iletiflimini durdurmak
için taray›c› üzerindeki bir a¤ sürücüsü kilitlenir ve iyilefltirme sunucusu ile olan ve yönetsel trafik haricindeki tüm -giden ve gelen- trafik kesilir. Güncelleme ve konfigürasyon
de¤ifliklikleri (iyilefltirme) tamamland›ktan sonra iletiflim
yeniden sa¤lan›r. Kullan›c›lar›n eriflimi kesildi¤inde ya da
karantina bölgesine aktar›ld›klar›nda bir iyilefltirme web
portal› üzerinden bilgilendirilirler ve yap›lmas› gerekenler
aç›klan›r. Web portal› istendi¤i flekilde düzenlenebilir.
2- Yerel a¤daki yabanc› kullan›c›lar için McAfee
switch zorlamas› ile NAC
Yerel a¤daki misafir kullan›c›lar›n bilgisayarlar› MPE sensörü taraf›ndan tespit edilir. MPE sunucusu ya sistem yöneticisi eriflim haklar› (credentials) ile ya da sistem yöneticisi
eriflim haklar› olmadan en yak›ndaki MPE sensörünü kullanarak sistemi tarar.
Uygun sistemlere eriflim hakk› sa¤lan›rken, uygun olmayan
ya da yöneticilerin eriflim hakk› olmad›¤› sistemler için çeflitli tedbirler uygulanabilir: eriflim hakk› ver, eriflim hakk› ver
ve yöneticiyi uyar, a¤›n belirlenmifl bir bölgesinde karantinada tut ya da switch port’unda a¤dan düflür. E¤er yabanc›
sistemler uzaktan tarama için yöneticiler taraf›ndan sa¤lanan eriflim haklar›na cevap vermezse, bu durum bir hata
olarak de¤erlendirilip tercihe göre a¤a eriflim modunun de¤ifltirilmesi veya sadece bilgilendirme ile yetinilmesi fleklinde tedbir al›nabilir.
MPE uygun olmayan bir yabanc› sistemi SNMP kullan›p farkl› bir VLAN’a tafl›yarak karantinaya alabilir. MPE, switch’e
komut göndererek ba¤l› bulunulan VLAN’dan karantina
VLAN’›na geçifli sa¤lar. Bu karantina VLAN’› sadece belirli
a¤ kaynaklar›na k›stl› eriflim sa¤lan›labilmesi yönünde konfigüre edilebilir. Bu VLAN’a ba¤l› olundu¤u süre boyunca güncelleme ve MPE sunucusuna ba¤lant›ya izin verilir ve böylece gerekli iyilefltirmeler yap›l›rken uygun olmayan sistemlerden kaynaklanabilecek riskler ortadan kald›r›lm›fl olur.
Karantina süresince MPE taray›c›s› ile MPE sunucusu aras›ndaki iletiflim, uygun olmayan sistemin orijinal portundan ayr›lmas› sonucunda karantina ifllemlerinin yap›lmas›n› veya
birden fazla portun tek bir nod için konfigüre edilmemesini
garanti eder.
Karantinaya al›nan sistemler politika güncellemelerinin yap›labilece¤i ve tam a¤ erifliminin sa¤lanaca¤› iyilefltirme
web portal›na yönlendirilebilir. Sistem uygun hale geldi¤inde kendi orijinal VLAN’›na yönlendirilir. Uygun hale gelmeyen sistemler karantina bölgesinde kal›r ve belirlenmifl güvenlik politikas›n›n tan›mlar›na uygun eriflim hakk› ile a¤a
ba¤l› kal›r.
‹stenirse yabanc› sistemler a¤dan düflürülebilirler. MPE sunucusu ve taray›c›s› switch’e portu kapatmas› yönünde komut gönderebilir.
3- Uzaktan eriflen kurumsal kullan›c› IPSec VPN
ba¤lant›lar› için NAC
IPSec VPN ba¤lant›s› üzerinden ba¤lanan kurum çal›flanlar›n›n bilgisayarlar›, VPN cihaz›na ya da sunucusuna ba¤lanmaya çal›flt›klar›nda tespit edilirler. Bu anda, VPN istemci
yaz›l›m› bir sistem taramas› ister ve VPN konsantratör bu
tarama sonucuna göre a¤a eriflime izin verir ya da reddeder. Bu tarama, MPE taray›c›s› IPSec istemcisi ile entegre oldu¤u için lokalde gerçekleflir. MPE Check Point, Cisco, Juniper ve Nortel VPN çözümlerini destekler.
Yerel a¤daki yabanc› sistemler, uygun
olmayan sistemlerlere ba¤lanmak istedi¤inde, eriflim hakk› verebilir, eriflim
hakk› verip yöneticiyi uyarabilir, karantinaya al›nabilir ya da switch port’unda
a¤dan düflürülebilirler
Zorlama tedbiri, politika zorlama moduna ve VPN sa¤layac›s›na göre de¤iflir: (1) hiçbir fley yapma, (2) karantinaya al veya (3) blokla. Bloklama, VPN ba¤lant›s›n›n tamamlanmas›na
izin vermez. Bloklama ve alarm gönderme ifllemlerini yerine
getiren, VPN istemci yaz›l›m›n›n kendisidir ve ba¤lant›n›n
neden sa¤lanamad›¤›n› kullan›c›ya bildirir. Takip eden ba¤lant› denemeleri, MPE taray›c›s› taraf›ndan de¤erlendirilir
ve tarama sonucu geçer not al›rsa VPN ba¤lant›s› tamamlan›r. Baflar›s›z ba¤lant› denemelerinin kay›tlar›, raporlama ve
delil analizi için MPE sunucusuna gönderilir.
4- Uzaktan eriflim / yabanc› kullan›c› SSL VPN
ba¤lant›lar› için NAC
Müflteri, ifl orta¤› ve dan›flmanlar›n internet üzerinden SSL
VPN ile bir kurumun a¤›na ba¤lanmalar› gerekiyor olabilir.
Bu yabanc› sistemler, SSL VPN ile a¤a ba¤lanmak istediklerinde VPN istemcisi bir ba¤lant› kurmaya çal›fl›r ve bu anda
bu sistemler tespit edilir.
Her SSL tabanl› VPN ba¤lant› teflebbüsünde istemci, VPN istemci yaz›l›m› indirir. MPE taray›c›s› önde gelen bir çok SSL
VPN yaz›l›m› ile s›k› bir entegrasyona sahip oldu¤u için, MPE
taray›c›s› bileflenleri SSL VPN istemci yaz›l›m› ile beraber indirilirler. MPE taray›c›s›, sistemi uygunluk taramas›ndan geçirir ve bu taraman›n sonucuna göre VPN istemcisine
ba¤lant› izni verilip verilmeyece¤i karar› verilir. E¤er sistem
uygun de¤ilse VPN istemcisi ba¤lant› giriflimini engeller veya gerekli düzeltmelerin yap›lmas› için baflka bir a¤a yönlendirir. VPN istemci yaz›l›m›, ba¤lant›n›n neden sa¤lanamad›¤›
ya da de¤ifltirildi¤i bilgisini kullan›c›ya iletir.
Oktay KILIÇ
[email protected]
Uygulama Güvenli¤i
Web uygulamalar›nda güvenli¤i sa¤layabilmek için farkl› yöntemlerle uygulanan
oturum sabitleme ifllemini engellemelisiniz.
eb uygulamalar›nda anl›k bilgileri depolay›p ifllem
yapmak için genelde “session” ad› verilen oturumlar kullan›l›r. Web uygulamas› yorumlay›c›s›,
sunucuda oturum kodu denilen bir kod depolar ve uygulama
kullan›c›s›n›n internet gezginine bu kodu gönderir. Bu kod
her ifllem için sunucuya geri gönderilir, sunucudaki yorumlay›c› da kullan›c›lar› bu kod ile tan›r. Bu say›m›zda web uygulamalar›nda oluflabilecek oturum aç›klar›ndan biri olan
Session Fixation yani Oturum Sabitleme’den söz edece¤iz.
Oturumlar, kullan›c›lar› web uygulamas›na tan›tman›n yan›
s›ra, kullan›c› ad› ve flifre gibi bilgileri saklama gibi görevleri
de üstlenirler. Bu özellikleriyle de sald›rganlar›n ilgi gösterdikleri bir konudur.
Session Fixation, k›saca kullan›c›n›n internet gezginine bir
oturum kimli¤i numaras›n› yönlendirmesiyle, kullan›c›y› seçili oturumu kullanmaya zorlamakt›r. Bu isim, sunucu taraf›ndan üretilen oturum kimlik numaras› yerine sald›rgan taraf›ndan belirlenen sabit bir numaran›n kulland›r›lmas›ndan
gelmektedir.
Sald›rgan, kullan›c›n›n oturum kimlik numaras›na olan ihtiyac›n› yok ederek kullan›c› sisteme girifl yapmadan önce
kendi belirledi¤i oturum kimlik numaras›n› kullan›c›ya atar.
Sunucudaki web uygulamas› yorumlay›c›s›, oturum kimlik
numaras› zaten önceden haz›r diye, yeni bir kimlik numaras› oluflturmaz. Sald›rgan, kullan›c›n›n oturum kimlik numaras›n› bu flekilde çok rahat flekilde bilip kullanabilir.
Oturumlar üç flekilde yönetilirler: 1. URL’de 2. Form Post ifllemiyle 3. Cookie (Çerez) ile. Çerezler kullan›c›n›n bilgisayar›nda sakland›¤›ndan güvenlik riski en büyük olan türdür.
Oturum sabitleme, bu üç oturum yönetimi fleklinde de uygulanabilir.
Oturumun URL’de gösterildi¤i ilk yönetim fleklinde sald›rgan, kullan›c›ya flu flekilde bir link haz›rlay›p kullan›c›n›n t›klamas›n› sa¤larsa oturumunu sabitleyebilir:
https://www.banka.com.tr/giris.php?sessionid=123456
Oturumun Form Post ifllemiyle yönetildi¤i durumda ise sald›rgan, kullan›c›ya önceden haz›rlanm›fl bir formda, gizli
form ö¤esiyle önceden belirledi¤i oturum kimlik numaras›n›
kulland›rabilir. Bu formu kendi sunucusunda haz›rlay›p kullan›c›ya kulland›rabilir ya da hedef sunucudaki önceki yaz›mda de¤indi¤im bir sald›r› türü olan Cross Site Scripting
aç›¤›n› kullanarak sa¤layabilir.
Çerez ile yönetilen oturumlarda ise sald›r› yöntemi çok basittir. Sald›rgan kullan›c›n›n bilgisayar›nda belirledi¤i oturum kimlik numaras›n› içeren tuzak bir çerez oluflturur. Fakat bu çerez baflka bir adresten hedef sunucu için oluflturulamaz. Hedef sunucudan oluflturulmas› gerekmektedir. Sal-
W
d›rgan bu ifllemi de Cross Site Scripting kullanarak üç flekilde yapabilir.
• Birincisi kullan›c›-tarafl› bir kodla kullan›c›n›n bilgisayar›nda bir çerez oluflturmakt›r. Bu ifllem bir XSS aç›¤› olan IIS sunucusu ve basit bir JavaScript koduyla flu flekilde yap›labilir:
https://www.banka.com.tr/<script>document.cookie=
”sessionid=123456”</script>.idc
Bu adrese t›klayan kullan›c›n›n bilgisayar›nda banka.com.tr
için bir çerez oluflturulacakt›r. Daha sonra banka.com.tr’ye
girifl yapt›¤›nda da oturum kimlik numaras› olarak önceden
belirlenen “123456” kullan›lacakt›r.
• ‹kincisi HTML’de bir etiket olan META’n›n oturum kimlik
numaras› belirleyen parametresini kullanmakt›r. Bu da yine
bir XSS aç›¤›yla flu flekilde yap›labilir:
https://www.banka.com.tr/<meta%20http-equiv=Set-Cook
ie%20content="sessionid=123456;%20Expires=Saturday,
%201-Jan-2050%2000:00:00%20GMT”>.idc
• Üçüncüsü ise Set-Cookie HTTP bafll›¤›n› kullanmakt›r. Bu
bafll›k programlama dillerinde farkl› flekillerde kullan›l›rlar.
Örne¤in PHP’de “PHPSESSID” olarak, JSP’de ise “jsessionid” olarak kullan›l›r. Sald›rgan flu flekilde bir kodu kullan›c›
bilgisayar›nda çal›flt›r›rsa, oturum kimlik numaras›n› sabitleyebilir:
https://www.banka.com.tr/?PHPSESSID=123456
Bundan sonra kullan›c› hedef sunucudaki siteye girerse
çerezde önceden belirlenmifl oturum kimlik numaras›n› kullanacakt›r. Bundan sonra sald›rgana düflecek ifl oturum kimlik numaras›n› bildi¤i kullan›c›n›n bilgilerini ele geçirmektir.
Oturum sabitlemenin bilinen bir yolu daha bulunmaktad›r.
Bu da kullan›c›n›n DNS sunucusuna banka.com.tr için bir girdi eklemektir. Kullan›c› banka.com.tr adresine girmek istedi¤i zaman DNS sunucusuna dönüp IP bilgisi isteyecektir. DNS
sunucusu da örne¤in, guvenli.banka.com.tr adresi için sald›rgan›n sunucusunun IP’sini gönderirse, sald›rgan rahatl›kla kendi sunucusunda yaratt›¤› oturum kimlik oluflturma koduyla kullan›c›n›n bilgisayar›nda bir oturum kimlik numaras›
oluflturabilir.
Oturum sabitlemenin nas›l yap›ld›¤›na dair yan sayfadaki flemay› inceleyebilirsiniz.
Oturum sabitlemeyi anlad›¤›m›za göre, flimdi sorunumuz bu
sald›r› türünden nas›l korunmak gerekti¤idir. Oturum sabitleme, XSS aç›klar› haricinde web uygulamalar›yla ilgilidir.
XSS aç›¤› sunucu yaz›l›m›n›n kendisinden dolay› da ortaya
ç›kabilir. Bu aç›klar›n nas›l engellenece¤inden bir önceki yaz›mda bahsetmifltim. Oturum sabitlemenin korunma yollar›
ise do¤rudan web programc›s›n› ilgilendirir. Oturum sabitle-
Sunucuda oturum oluflturma
Oturum sabitleme
Kullan›c› tarafl› kod ile oturum kimlik
numaras› oluflturma
HTML META etiketiyle oturum kimlik
numaras› oluflturma
Çerez kullanarak oturum
kimlik numaras› oluflturma
DNS/Network ile oturum
kimlik numaras› oluflturma
Kullan›c›n›n sisteme girifl yapmas›n›
bekleme ve oturuma girifl yapma
meden korunma yollar›ndan ilki; kullan›c› girifl yapt›ktan
sonra yeni bir oturum kimlik numaras› atamakt›r. ‹kinci yöntem ise kullan›c›n›n, kullan›lmayan oturumlar›n› belli zaman
aral›klar›yla silmektir. Sadece sunucudaki oturum kimlik bilgisini silmek yeterli de¤ildir. Ayn› zamanda kullan›c›n›n bilgisayar›ndaki çerezi de silmek gerekir. Üçüncü yöntem ise
oturum kimlik bilgisinin, kullan›c›n›n internet taray›c›s›n›n
network adresinden oluflturmakt›r. Dördüncü ve sa¤lam
olan yöntem ise kullan›c› oturum kimlik bilgisinin SSL güvenlik sertifikas›yla oluflturulmas›d›r. Bu gibi güvenlik önlemleriyle oturum sabitleme aç›¤› ortadan kald›r›labilir.
Benim kendi kulland›¤›m yöntem ise az önce tan›mlad›¤›m 1.
yöntemin biraz farkl›laflt›r›lm›fl halidir. Oturum sabitlemeye
karfl› sisteme giren kullan›c›n›n otomatik olarak atanan oturum numaras›n› IP adresiyle birlikte veritaban›na yaz›p girifl
yapt›ktan sonra IP’si kay›ttaki IP ile ayn›ysa eski oturumu
kapat›p yeni bir oturum açt›rarak güvenli¤i sa¤l›yorum. E¤er
IP adresleri de¤ifltiyse, çal›flan scripti kapatt›r›yorum. E¤er
kullan›c› belirli bir süre ifllem yapmam›flsa oturumu otomatik olarak sonland›r›yorum. Bu yöntem sizin için de oturum
sabitleme aç›s›ndan faydal› olabilir. Ya da basit bir flart ifa-
desiyle veritaban› kullanmadan flu flekilde yapabilirsiniz:
E¤er favori web programlama diliniz PHP ise (bence herkesin öyle olmal›) her ifllemden sonra “session_regenerate_id”
fonksiyonunu kullan›p oturumu yenileyebilirsiniz.
Oturum konusunda yap›lan önemli bir hata GET ya da POST
yöntemleriyle ‘sessionid’si ald›rmakt›r. Genelde HTML formlar›na hidden (gizli) girdilerle eklenen ‘sessionid’, oturum
sabitleme için büyük bir güvenlik aç›¤› oluflturmaktad›r. Bu
yüzden kullan›c› taraf›ndan gönderilen oturum numaralar›n›
kullanmay›p, sadece sunucu taraf›ndan üretilenleri kullanmal›y›z.
Bunun için “$_SESSION['SERVER_GENERATED_SID']” de¤iflkeni oldukça ifle yarayacakt›r.
Unutmayal›m ki web uygulamalar› için güvenlik 3 kademedir: 1. Sa¤lam kod. 2. ‹yi bak›m ve yönetim 3. Kaliteli koruma
yaz›l›mlar›.
Bu konu ile ya da di¤er uygulama güvenli¤i konular›yla ilgili
her türlü görüfl, elefltiri ve sorular›n›z› bekliyorum. Bir dahaki say›da ele alaca¤›m konu hakk›ndaki önerileriniz de iflime
yarayacakt›r.
if($_SERVER['REMOTE_ADDR'] != $_SESSION ['PREV_REMOTEADDR']) {
session_destroy(); // Oturumu kapat.
}
session_regenerate_id(); // Yeni bir oturum olufltur.
$_SESSION['PREV_REMOTEADDR'] = $_SERVER['REMOTE_ADDR'];
P›nar YILMAZ
[email protected]
Microsoft Exchange Server 2007
Güvenlik Özellikleri
Microsoft Exchange Server 2007, sundu¤u farkl› filtreleme seçenekleri sayesinde çok
daha güvenli e-posta al›flverifli sa¤lamaktad›r.
-posta kullan›m› artt›kça kurumsal güvenlik ihtiyaçlar› da artmaktad›r. Sistem yöneticileri gün geçtikçe geliflen spam ve virüsler, standartlara uyumsuzluk riskleri, e-postalar›n gizlice de¤ifltirilmesi ve engellenmesi gibi
güvenlik tehditleriyle mücadele etmek zorunda. Exchange
Server 2007, spam ve virüsleri azaltmak, güvenli iletiflimi
sa¤lamak ve kurumunuzun standartlara uyumlulu¤unu sa¤lamak için yaz›da k›saca aç›klamaya çal›flt›¤›m bir dizi koruma teknolojileriyle birlikte gelmektedir.
E
‹çerik filtrelemesi
Microsoft SmartScreen teknolojisini kullanan Intelligent
Message Filter, gelen iletilerin geçerli, sahte veya istenmeyen elektronik posta olup olmama durumunu, içerik filtreleyerek de¤erlendiren ve belirleyen teknolojidir. SmartScreen teknolojisini di¤er filtreleme teknolojilerinden ay›ran
en büyük fark, SmartScreen teknolojisinin istatistiksel olarak çok büyük say›da örnek e-posta üzerinde gelifltirilmesidir. Bu filtreleme teknolojisi, gönüllü Hotmail müflterilerinin
iyi posta ile spam postay› belirleyen karakteristikleri Microsoft’a bildirmesiyle oluflturulmaktad›r. Yaklafl›k 200.000
Hotmail üyesi bu programa kat›lm›flt›r ve böylece SmartScreen teknolojisi 500.000 farkl› spam karakteristi¤ini izleyebilir hale gelmifltir. Intelligent Message Filter, iletinin içeri¤ini taramakla birlikte, ayn› zamanda afla¤›da anlat›lan
ba¤lant› filtrelemesi, gönderen filtrelemesi, al›c› filtrelemesi, gönderen itibar›, gönderen kimli¤i do¤rulamas› ve Microsoft Office Outlook 2007 E-posta Damgas› do¤rulamas› üzerinden gelen tüm verileri toplayarak, incelenen iletinin spam
ileti olma olas›l›¤› oran›n› (SCL-Spam Confidence Level) belirler. SCL oran›na göre daha sonra ileti üzerinde afla¤›da listelenen ifllemlerden birisi uygulan›r:
• Outlook kullan›c›s›n›n Gelen Kutusu’na veya Önemsiz Posta klasörüne teslim et.
• Spam karantina posta kutusuna teslim et.
• ‹letiyi reddet, teslim etme.
• ‹letiyi kabul et ve sil. Bu seçimde sunucu iletiyi kabul eder
ve al›c› posta kutusuna yönlendirmek yerine siler.
Exchange 2007, anti-spam bileflenlerini çok daha güncel
tutmak için ek servisler sunmaktad›r:
• Microsoft Exchange 2007 Standart Anti-spam Filtresi
Güncellemesi: Her iki haftada bir filtre güncellemesi
• Exchange Server için Microsoft Forefront Security (Bu
ürünle ilgili afla¤›da ayr›nt›l› bilgi verilmektedir): Her 24 saate bir filtre güncellemesi.
Spam karantina
Spam karantina fonksiyonu, spam olarak belirlenen ve kurulufl içerisinde kullan›c›n›n posta kutusuna teslim edilmemesi
gereken iletilerin geçici olarak tutuldu¤u depolama alan›n›
oluflturur. Exchange Server 2007’nin spam karantina fonksiyonu, geçerli bir ileti oldu¤u halde spam olarak belirlenen
iletileri kaybetme riskini azalt›r. Spam karantina fonksiyonu
içerik filtreleme ifllemi s›ras›nda sa¤lan›r. Spam olarak belirlenen iletiler teslim edilemedi raporu içerisinde (NDR) spam
karantina posta kutusuna iletilir. Exchange yöneticileri
spam karantina posta kutusuna gelen iletileri yönetip, iletileri silmek veya spam olmad›¤› halde spam olarak belirlenen
iletilerin al›c›s›na yönlendirilmek gibi gerekli ifllemleri uygulayabilir.
Al›c› filtrelemesi
Microsoft Exchange 2007 sunucu rollerinden birisi olan, Internet üzerinden gelen mail ak›fl›n› karfl›layan, Edge Transport server üzerinde çal›flan Microsoft Exchange EdgeSync
servisi ile, al›c› verisini kurumsal Active Directory’den Exchange Active Directory Application Mode (ADAM) üzerine
kopyalayabilirsiniz. Böylece gelen iletiler için al›c› kontrolü
yap›labilir ve kurum içinde bulunmayan al›c›lara ve iç da¤›t›m listelerine gönderilen iletiler bloklan›r.
Gönderen kimli¤i
Gönderen kimli¤i fonksiyonu, gönderenin IP’sini inceleyip,
gönderenin DNS sunucusundaki gönderen kimli¤i kayd›ndaki IP adresi ile karfl›laflt›r›r ve gönderenin adresinin de¤ifltirilip baflka bir adres olarak gösterilip gösterilmedi¤i belirler.
Gönderen ‹tibar›
Bu fonksiyon bilinmeyen gönderenlerin güvenilirliklerini ölçen patentli bir Microsoft teknolojisidir, Simple Mail Transfer Protocol (SMTP) oturumlar›ndan, ileti içeri¤inden, gönderen kimli¤i do¤rulamas›ndan ve genel gönderen davran›fl›ndan veri toplar ve gönderen karakteristikleri ile ilgili bir
geçmifl oluflturur. Gönderen itibar› fonksiyonu, bu bilgiyi kullanarak gönderenin ‘Engellenen Gönderenler Listesi’ne geçici olarak eklenip eklenmeyece¤ine karar verir.
IP reputation servisi:
Bu servis Microsoft taraf›ndan sadece Exchange 2007 müflterilerine sa¤lanan IP bloklama listesidir. Sistem yöneticileri kulland›klar› di¤er gerçek zamanl› bloklama listelerine ek
olarak bu servisi kullanmay› seçebilirler.
Antivirüs korumas›nda geliflmeler:
Exchange Server 2007, antivirüs korumas›nda birçok geliflmeyi içerir. Virus Scanning API’ye (VSAPI) devam eden destekle beraber Microsoft iletme seviyesinde daha etkin, daha
verimli ve programlanabilir virüs taramas› üzerine önemli
yat›r›mlar yapt›. Exchange 2007, “iletme ajanlar›” kavram›n› getiriyor. Bu ajanlar, uygulama kay›tlar›na karfl›l›k bir görev gerçeklefltiren, yönetilen yaz›l›m bileflenleridir. Exchange 2007 ayn› zamanda antivirüs damgalamas› da sa¤l›yor;
daha önceden virüsler için taranan iletileri taramay› gerçeklefltiren antivirüs yaz›l›m›n›n versiyonu ve taraman›n sonucu ile damgalayarak kurum içinde antivirüs taramas› hacminin azalt›lmas›n› sa¤l›yor. Antivirüs damgas›, kurum içinde
yönlendirilirken ileti ile birlikte dolafl›yor. Exchange 2007’de
antivirüs ile ilgili di¤er bir geliflme de bir iletme ajan› ile ek
dosya filtrelemesidir. Dosya ad› (dosyaad›.exe) veya dosya
ad› uzant›s›na (*.exe) göre ek dosyalar filtrelenebilir. Ayn›
zamanda filtrelenecek MIME içerik türünü belirterek ek dosyalar da filtrelemeye tabi tutulabilir.
Microsoft Exchange Hosted Filtering:
Microsoft Exchange Hosted Filtering teknolojisi mailleri daha
flirket a¤›na gelmeden önce temizler. fiirkete sadece politikalarla önceden belirlenmifl (ek, boyut, içerik) ve virüs ile
spam’dan ar›nd›r›lm›fl mailleri yollar. Bu servisten yararlanan
kurumlar›n MX kay›tlar›n› Microsoft Datacenter’lar›na yönlendirmeleri gerekir. Böylece hem flirket network hatt› korumufl, hem de mail sunucular› üzerine fazla yük binmemifl
olur. Koruma s›ras›nda Symantec, Trendmicro ve Kaspersky
tarama motorlar› kullan›l›r. Ayr›ca mesaj temizleme servisi
d›fl›nda arflivleme ve felaket önleme servisleri de sa¤lan›r.
Microsoft Forefront sunucu güvenli¤i:
Exchange 2007, “Microsoft Forefront Security for Exchange Server” ile antivirüs, spam, worm korumas› ve içerik filtreleme
özelliklerini
sunabilmektedir.
Forefront,
Microsoft’un yan› s›ra de¤iflik flirketlerden al›nm›fl 8 adet antivirüs tarama motorunu ayn› anda bünyesinde bar›nd›rmaktad›r. Exchange 2007’nin bütün rollerine kurulabilen
Forefront, Exchange 2007’nin güvenli¤ini en üst düzeye ç›kartmaktad›r. Birden fazla tarama motoru kullanmas›na
ra¤men yönetim bak›m›ndan büyük kolayl›k sa¤layan Forefront, virüs imzalar›n›n güncellenmesini sadece Microsoft
üzerinden yapabilmektedir. Böylece mail sistemi ayn› anda
birden fazla antivirüs laboratuvar›n›n korumas› alt›na girerken, ön yüzde sadece Microsoft görünmektedir. Virüs ve
worm korumas›n›n yan› s›ra Forefront içerik, kelime ve dosya filtrelemesi de sa¤lamaktad›r.
E-posta politikalar› ve uyumluluk özellikleri:
Microsoft Exchange Server 2007, e-posta ak›fl›n›n denetimi
ve korunmas› için çeflitli e-posta politikalar› ve standartlara
uyumluluk özellikleri içerir. Bu yeni özellikler, hem d›flardan
içeriye e-posta akarken hem de kurum içinde gönderilen epostalar›n iletimi s›ras›nda, e-postalar üzerine kurallar uygulanmas›n› sa¤lar. Kurumlar, uymalar› gereken standartlar›
adresleyen politika ve kural ayarlar›n› Exchange 2007 ile yapabilirler. Bu politika ve kural flartlar›, e-posta içinde geçen
belirli kelimelere, metin kal›plar›na, e-posta konusuna, metnine, bafll›¤›na, gönderen adresine, ek türüne dayanabilir. Bu
flartlara göre iletinin nas›l bir iflleme tabi tutulaca¤› belirlenir.
Bunlar karantinaya almak, mesaj› reddetmek, ek al›c›lara epostay› yönlendirmek, kay›t dosyas›na yazmak gibi ifllemlerdir.
Otomatik flifreleme deste¤i
Exchange Server 2007 Outlook ile Exchange sunucusu aras›nda, yerel bilgisayar a¤›ndaki Exchange 2007 Server’lar
aras›nda, yerel bilgisayar a¤›ndaki Exchange Server’lar ve
Yar› Korumal› Alan (DMZ) içindeki Exchange Server’lar aras›nda akan trafik üzerinde otomatik flifreleme sa¤layarak
tüm intranet yolunu güven alt›na al›r. Böylece e-postalar›n
flifrelenmifl olarak dolaflmas› sa¤lanarak, kötü niyetli kifliler
taraf›ndan e-postalar›n de¤ifltirilmesi engellenmifl olur.
Exchange Server 2007 otomatik olarak SSL sertifikalar› ile
birlikte yüklenerek, OWA gibi istemciler ve SMTP sunucular
üzerinde daha genifl bir SSL ve TLS kullan›m› sa¤lar.
Mehmet DALYANDA
[email protected]
Adli Biliflim Sistem Analizi (Digital Forensics–3)
lk iki bölümünde, adli biliflimin ne oldu¤u ve önemi ile
Windows ve Linux tabanl› sistemler üzerinde teknik olarak delil toplanmas›na yönelik aç›k kaynak kodlu araç
kitlerini inceledi¤imiz yaz› dizimizin, bu say›daki üçüncü ve
son bölümünde, güncel konular olan e-posta bafll›klar›, internet taray›c›lar›, web sunucu ve uygulamalar›na yönelik
temel sald›r›lar›, imzalar›n›n tespitini ele almakla birlikte, adli biliflimin gelece¤i ve yeni bir kavram olan anti-forensic
tekniklerinden bahsedece¤iz.
‹
E-posta bafll›klar›n›n incelenmesi
Elektronik postalar, tehdit, hakaret gibi bir içeri¤e sahip olabilece¤i gibi, phishing, spam, karfl›daki sistemi ele geçirmeye yönelik bir sald›r› arac› olarak da, birçok adi suç olay›nda karfl›m›za ç›kmaktad›r. Bu tür durumlarda, e-posta’n›n ç›k›fl kayna¤›n› tespit etmek üzere orijinal postan›n zarflama
bilgilerinin tutuldu¤u bafll›k (header) bilgisi incelenmelidir.
E-posta gönderim protokolü olan SMTP, kimlik denetimi
(smtp authentication - rfc2554) ile birlikte kullan›lmas› durumunda bile bafll›k bilgilerinin de¤ifltirilmesini engelleyefiekil1 - Gmail‘den al›nm›fl, e-posta bafll›k bilgileri
mez. Bunun sonucu olarak, gönderici adresi, alan ad› gibi bilgilerde sahte isimlerin kullan›lmas› durumu ile karfl›lafl›r›z.
SMTP kimlik denetimi ve SSL-TLS ile gönderilmifl olan bir epostaya ait bafll›k bilgilerini inceledi¤imiz zaman, gönderici
adresi olan ‘cemyilmaz.com’ domaini için e-posta gönderen
sunucunun ‘itu.edu.tr’ oldu¤unu, orijinal gönderici adresinin
ise (rambaldhi) “85.102.75.163” IP adresine sahip oldu¤unu
görebiliyoruz. E-posta bafll›k bilgilerini daha kolay inceleyebilmek için Visualware eMailTrackerPro ya da Inquirer Mail
Tracker benzeri uygulamalar kullan›labilir. Alan adlar›na ait,
hangi sunucular›n e-posta gönderebilece¤ini belirleyen SPF
eki (sender policy framework - rfc4408), Google, Yahoo,
Hotmail gibi e-posta servis sa¤lay›c›lar› taraf›ndan kullan›lmaya bafllanm›flt›r. Spam ve sahtecilik amaçl› gönderilen epostalara karfl›, SPF, kriptografik temelli ya da e-imza benzeri teknikler yak›n gelecekte daha s›k kullan›lmaya bafllanacak. Kimi zaman sald›rgan›n, openrelay proxy, anonymizer
veya secureshell tünelleri kullanmas› sebebiyle, gönderici
adreslerinin tespit edilmesi çok zor bir hal almaktad›r. Kullan›lan bu türden karmafl›k tekniklere karfl›n, adli biliflim uzman›, ilgili sunuculardan kay›t (log) bilgisine ihtiyaç duyabilir. Sald›rgana ait IP adresi ve di¤er bilgilere ulaflmak teknik
olarak mümkün olmakla birlikte, pratikte oldukça zor ve birçok resmi makamdan geçmesi gerekebilecek bir süreç olaca¤› göz önünde bulundurulmal›d›r. Adli biliflim uzman›na
düflen görev, durumu aç›kl›kla yarg› makamlar›na iletmek ve
suçlunun bulunmas› konusunda olumlu bir tav›r tak›nmak olmal›d›r.
Web uygulamalar›n›n incelenmesi
Günümüzde, siber sald›r›lar›n %70’inden fazlas› uygulama
katman›nda gerçekleflmektedir. Sistemlerin ele geçirilmesi
ile sonlanan sald›r› olaylar›n›n bir ço¤unun ise, web uygulamalar› üzerinden gerçekleflmesi, klasik adli biliflim incelemelerinin çok üzerinde bir efor gerektirmektedir. Özellikle, sunum, uygulama ve veritaban› gibi çok katmanl› ve da¤›t›k
sistemlerden oluflan, büyük ölçekli web mimarileri, güvenlik, esneklik ve modülerlik sa¤larken, adli biliflim incelemelerinin daha zor hale gelmesine sebep olmaktad›r. Uygulamalar, yeterli zaman ayr›lamayacak kadar kritik ya da yüksek
fiekil2 - Katmanl› web uygulama mimarisi
hacimli veriye sahip olan veritabanlar› içerebilece¤i için,
disk tabanl› imajlar›n›n al›nmas› da mümkün olmayabilir.
Web tabanl› sald›r›lar›n bir ço¤unda ise, atak izleri, web sunucular› ile ayn› yerde olmayabilir. Uygulama çal›flma mant›¤›, istemciden bafllayarak, veritaban›na kadar incelenmeli,
özellikle istemcilerden girilebilecek tehlikeli karakterlerin
uygulamay› etkileyebilirli¤i test edilmelidir.
• Sald›rgan dizin atlama tekni¤i ile Unix sistemlerdeki günün
mesaj› bilgisine eriflip eriflemece¤ini test ediyor: ( /../ )
http://dalyanda.com/cgibin/lame.cgi?file=../../../../etc/motd
• Sald›rgan, uygulaman›n .htm, .html benzeri dosya uzant›s›
olup olmad›¤›n› kontrol ediyorsa yukar›daki denemede baflar›s›z
olur. %00 Null Byte Injection ile uygulamay› uzant›s› html olan
bir dosya istiyor gibi gösterip kand›r›yor: ( %00 )
http://dalyanda.com/cgibin/lame.cgi?page=../../../../etc/motd%00html
Web uygulamalar› üzerinde, adli biliflim aç›s›ndan kan›t toplanma çal›flmas›, ips, firewall, proxy, yük dengeleme cihazlar›, web ve uygulama sunucusu, uygulamaya özel gelifltirilmifl
kay›tlar gibi da¤›t›k ortamdaki kay›tlar›n incelemesini gerektirir. Sistem mimarisinin adli biliflim çal›flmas› öncesi incelenmesi mutlaka yap›lmal›d›r. Gözükara ve ciddi bir sald›rgan›n olay kay›tlar›n› de¤ifltirebilece¤i, hatta silebilece¤i ihtimali gözönünde bulundurulmal›, kay›tlar›n mümkün oldu¤u
kadar, s›n›rl› eriflime sahip merkezi veritabanlar›na yaz›lmas› sa¤lanmal›, bu kay›tlar› gerçek zamanl› analiz edebilen bir
sistem tasarlanmal›d›r. “Http referer, cookie, host header,
url ve parametreler” gibi bilgiler mutlaka kay›t alt›na
al›nmal›d›r. IIS’in http.sys kernel seviyesindeki sürücüsü için
hata kay›tlar› aktive edilmeli, Apache’nin ise ‘mod_log_config’ özellikleri kullan›lmal›d›r. IIS ya da Apache gibi web sunucu yaz›l›mlar› için mümkün oldu¤u kadar detayl›
kay›tlama yap›lmal› ve kay›tlarda “| % \\ /../ x80% %c%”
benzeri meta-karakterler, “Put, Head, Propfind” gibi düzensiz HTTP metotlar›, “cmd.exe, /bin/ls” gibi binary dosyalar,
web uygulama dizini d›fl›na ç›k›lmas› gibi örnekler aranmal›d›r. Kay›t dosyalar›n›n çok büyük olmas› durumunda inceleme oldukça zor olaca¤› için Awstat ya da SQL sentaks› ile inceleme yap›labilen Microsoft LogParser benzeri araçlar kullan›labilir. Adli biliflim uzman› web uygulama kay›tlar›nda,
yandaki kutuda kullan›lan özel karakterleri hemen belirleyebilir olmal› ya da uygumalardan yararlanmal›d›r.
Adli biliflimin gelece¤i ve karfl› teknikler
(Anti-Forensics)
Teknik olarak gittikçe daha da karmafl›klaflan günümüz dünyas›nda, insanl›k tarihinde belki de hiç olmad›¤›m›z kadar
teknolojiye ba¤›ml› hale geldik. ‹letiflim kurma yöntemlerimizden, global ekonomiye kadar herfley de¤iflti¤i gibi, suçlar›n ifllenifl biçimleri de evrim geçirdi. Birçok adli biliflim vakas›nda, olay›n tekni¤inden ve düflünce biçiminden çok uzakta
kalm›fl, resmi devlet görevlilerin dahi biraz garip, biraz korku ya da hayret dolu ifadelerini görmek, biliflimin so¤uk ve
karanl›k yüzünü de bizlere göstermektedir.
• Sald›rgan pipe ( | ) command execution tekni¤i ile dizini listelemeye çal›fl›yor. %20, boflluk karakterinin hex karfl›l›¤›d›r.
Hataya düflmemek için, %20’nin birçok HTTP iste¤inde
kullan›ld›¤› bilinmelidir: ( | , %20 )
http://dalyanda.com/cgi-bin/lame.cgi?page=ls%20-al|
• Sald›rgan XSS tekni¤i ile ilgili link’e girmek üzere ikna etti¤i
kullan›c›n›n makinesinde kod çal›flt›rabilir: ( < > )
http://dalyanda.com/something.php=<b>Selam%20Size%20Ben%20MD!</b>
• Sald›rgan SQL injection ile C: dizinini listeliyor: (‘ , or, ;)
http://dalyanda.com/lame.asp?name=Md`;EXEC master.dbo.xp_cmdshell'cmd.exe dir c:'--
herhangi bir suç vakas›nda, siber kan›tlar›n niteli¤i ve geçerlili¤i, kan›t toplanmas›na yönelik standartlar›n olmamas› birçok tart›flmaya neden olmakta, adli biliflim teknikleri birçok
araflt›rmac› taraf›ndan yetersiz, zay›f olarak nitelendirilmekte ve akademik bir disiplin haline gelme ihtiyac›n› do¤urmaktad›r.
Adli biliflim sistem inceleme teknikleri ve karfl› teknikler (forensics & anti-forensics), birbirinin çal›flma mant›¤›n› anlama temeline dayanmaktad›r. Karfl› teknikler veri gizleme,
kar›flt›rma, yan›ltma, flifreleme, bellek ve diskteki olay kay›tlar›n›n temizlenmesi, proseslerin görüntülenmesi s›ras›nda
belirli sistem ça¤r›lar›na izin vermeyerek kendini gizleme temeline dayanan, iflletim sistemleri üzerinde genellikle kernel
seviyesinde çal›flan sürücüler ile gerçekleflmektedir. Metasploit anti-forensics, LKM (linux kernel module), ADMutate, Evidence Eliminator, SecureClean, BestCrypt, Steganos,
StealthDisk, Rootkit FU, BootRoot bios rootkit benzeri karfl›
araçlar, adli biliflim incelemelerini tamamen etkisiz hale getirebilmekte ya da kan›t bulma süresini oldukça uzatabilmektedir.
fiekil3 - WinHex ve File0 ile dosyalar Encase gibi profesyonel
Forensic araçlar›ndan gizlenebilir
Yak›n gelecekte, devletler aras› savafllar›n ve terör olaylar›n›n tamamen siber ortamda gerçekleflecek olmas›, enerji,
iletiflim, ulafl›m gibi hayati önem tafl›yan flehir yönetim ve
endüstriyel otomasyon sistemlerinin tamamen bilgisayar
tabanl› kontrol sistemlerine ba¤l› olarak çal›flacak olmas› nedeniyle, siber ortamdaki güvenlik kavram› en çok tart›fl›lan
konulardan birisi haline gelmifltir. Buna karfl›l›k günümüzde
Mehmet CAN
[email protected]
Yaz›l›m da¤›t›m›
Yaz›l›m çökmeleri iflletmelere pahal›ya mal olur
Günümüzde yaz›l›m kullan›lmayan ifl alan› nerdeyse kalmad›. Bu ifl alanlar› için güvenilir yaz›l›m›n önemi yads›namaz.
Bir iflletmedeki hemen hemen her çal›flan görevini yapabilmek için temel bir yaz›l›m kullan›r. Böyle bir yaz›l›m›n yaln›zca birkaç saat çökmesi bile iflletme için önemli parasal kay›plara ve yeni maliyetlere yol açabilir. Verimlilik azal›r, yard›m masas› maliyetleri artar.
Kötü haz›rlanm›fl yaz›l›m paketlerinin da¤›t›lmas›
her iflletme için bafl a¤r›s›d›r
Yeni uygulamalar›n, güncellemelerin ve yaz›l›m yamalar›n›n
da¤›t›lmas› BT bölümlerinin en bilindik ve önemli görevlerinden birisidir. BT bölümleri y›l içinde yüzlerce yaz›l›m paketinin da¤›t›lmas›yla u¤rafl›rken, ne yaz›k ki önemli bölümü bu
da¤›t›m iflinin baflar›yla sonuçlanmas› için gerekli ön haz›rl›klar› yapmaktan kaç›n›r. Oysa da¤›t›m sonucunda bir y›k›m
yaflanabilir ve bu da iflletme için ciddi sorunlar yarat›r. Örne¤in, verimlilik düfler, yard›m masas› maliyetleri artar, çal›flanlar›n BT bölümüne güveni azal›r.
“Özensiz haz›rlanm›fl bir yaz›l›m paketinin son kullan›c›lara
da¤›t›lmas›, bir virüsün da¤›t›lmas›yla benzer fleydir...”
Jason Liu, CEO, Intrinsic Technologies
Yaz›l›m da¤›t›m araçlar›, tek bafllar›na baflar›l›
da¤›t›mlar›n garantisi de¤ildir
Baz› iflletmeler pahal› bir yaz›l›m da¤›t›m arac› kullanman›n
uygulamalar›n ve yamalar›n her zaman baflar›l› olarak da¤›t›lmas›n› sa¤layaca¤›n› düflünür. Ancak yaz›l›m paketi, da¤›t›m öncesi uygun olarak haz›rlan›p test edilmediyse, da¤›t›m
önemli sorunlara yol açabilir.
Yaz›l›m ve yama da¤›t›m› hatalar›, iflletmeler için bir y›k›m
olabilir ve buna ba¤l› olarak önemli parasal kay›plar yaflanabilir. Bu hatalar, iflletme ölçe¤indeki her bir da¤›t›m ifli için
Özensiz haz›rlanm›fl bir yaz›l›m paketinin
da¤›t›m› ciddi sorunlara yol açabilir
yap›sal bir yaklafl›m gelifltirildi¤inde önlenebilir hatalard›r.
Söz konusu yap›sal yaklafl›m, yaz›l›m paketlenmesini, uyarlamalar› ve da¤›t›m öncesi testleri içerir. Da¤›t›m öncesi izlenecek bu yap›sal süreç, hatas›z yaz›l›m da¤›t›m›n› sa¤layacak ve sonuç olarak yard›m masas› maliyetleri önemli ölçüde azalacak, çal›flan verimlili¤i artacak, pahal› da¤›t›m yaz›l›m› araçlar›na yap›lan yat›r›m›n karfl›l›¤› al›nacakt›r.
Teknoloji: FLEXnet AdminStudio ve Workflow Manager
Macrovision FLEXnet AdminStudio ve Workflow Manager,
iflletmelere baflar›l› da¤›t›m ve da¤›t›lm›fl yaz›l›m›n yaflam
döngüsü süresince güvenilirli¤inin sa¤lanmas› konusunda
yard›mc› olmak amac›yla tasarlanm›fl uygulama haz›rlama
araçlar›d›r.
FLEXnet AdminStudio, sistem yöneticilerine, yaz›l›m paketleme ile görevli tak›mlara, da¤›t›m öncesi uygulama haz›rlama ve tutarl›, sorunsuz da¤›t›m konular›nda yard›mc› olan
paketleme, test etme araçlar› içeren bir uygulama paketidir.
Çok say›da uygulamay› yönetmek durumunda olan iflletmeler için ise çözüm FLEXnet AdminStudio ve Workflow Manager yaz›l›mlar›n›n birlikte kullan›lmas›d›r. Workflow Manager, FLEXnet AdminStudio ile bütünleflik olarak çal›flan web
tabanl› bir uygulama yönetim yaz›l›m›d›r. BT bölümlerine yaz›l›m da¤›t›m› haz›rl›klar›nda merkezi bir çözüm sa¤lar.
FLEXnet AdminStudio, MSI çevriminin karmafl›kl›¤›n› gideUygulamalar› Windows Installer’a Kolayca Tafl›y›n
Yaz›l›m Paketlerinin Da¤›t›m ‹çin
Haz›rlanmas› Problemleri Azalt›r
rir. Uygulamalar›n iflletme içinde kurulmas›, güncellemeler
ve yamalar, BT bölümlerinin en önemli görevlerinden birisidir.
BT tak›mlar›n›n sözkonusu yaz›l›m paketlerini hatas›z olarak
haz›rlayamamalar› durumunda iflletme içinde ciddi sorunlar
yaflan›r. Güvenli olmayan ve test edilmemifl yaz›l›mlar›n da¤›t›m›, iflletme için yaflamsal önemdeki uygulamalar›n çökmesine, verimlili¤in azalmas›na, yard›m masas› maliyetlerinin artmas›na ve daha da önemlisi kullan›c›lar›n tepkisine
neden olur.
FLEXnet AdminStudio, sistem yöneticilerine, güvenilir yaz›l›m paketleri haz›rlayabilmeleri için oldukça geliflkin çözümler sa¤lar. FLEXnet AdminStudio, güçlü yaz›l›m paketleme
teknolojisini merkezi süreç yönetim araçlar›yla birlikte sunan tek çözümdür ve iflletmenin bilgisayar yönetim maliyetlerini önemli ölçüde düflürürken, BT verimini art›r›r.
‹flletmenizin gerçeklerine uyan güvenilir bir yaz›l›m
paketleme süreci oluflturun
Büyük iflletmeler yüzlerce yaz›l›m› nas›l yöneteceklerini düflünürlerken, küçük iflletmeler yaz›l›mlar›n› Windows Installer (MSI) standard›na kolayca tafl›yabilecekleri basit bir yol
ararlar. FLEXnet AdminStudio, her boyuttaki iflletme için yaz›l›mlar›n›n güvenirlili¤ini sa¤lamay› kolaylaflt›ran çözümler
sunar. Dünyadaki yaz›l›m kurulumlar›n›n %90’›nda InstallShield teknolojisi kullan›l›r.
FLEXnet AdminStudio, InstallShield düzenlemelerini anlayabilen, bu düzenlemelerin bilgilerini otomatik olarak alabilen
ve bunlar› do¤ru olarak Windows Installer paketlerine dönüfltürebilen tek araçt›r. Bafllang›ç kurulumunun %100 InstallScript ya da InstallScript ve MSI kar›fl›m› olmas› hiç
önemli de¤ildir; FLEXnet AdminStudio, bu kurulumu salt ve
do¤ru bir MSI paketine dönüfltürebilir.
Yaz›l›m paketleme süreci yönetimi için kurumsal
ölçekte yeni araçlar
FLEXnet AdminStudio, iflletmelerin paketleme süreçlerini
güvenli ve etkin biçimde yönetebilmeleri için gereksinim
duyduklar› kurumsal ölçekte ifllev gören araçlara sahiptir.
Bu araçlar aras›nda, yaz›l›m›n ikili dosyas›n› (binary file) ve
yard›mc› verisini (metadata) tutan geliflkin Application Catalog, uygulama verisine eriflimi ve paylafl›m› sa¤layan Report
Center, Application Manager, görevlerin insan müdahalesine gerek kalmaks›z›n programlanarak çal›flmas›n› sa¤layan
Job Manager ve eriflim haklar›n› yönetmek için Security
Console bulunur.
Yama test süresini ve da¤›t›m hatalar›n› azalt›n
‹letiflim a¤›n›n güvenli¤ini sürekli k›lmak için, yeni yamalar›n
sa¤lanmas› ve da¤›t›lmas› büyük önem tafl›r. Ancak yamalar› test etmeden da¤›tmak, çok kötü sonuçlara neden olabilir.
FLEXnet AdminStudio, ortamdaki yama da¤›t›m›ndan etkilenecek uygulamalar› tan›yarak, yaln›zca bu etkilenen uygulamalara yo¤unlaflmay› sa¤lar ve yama testi için gereken zaman› azalt›r. Sonuç olarak yamalar çok h›zl› olarak ve bilgisayar ortam› tehlikeye at›lmadan da¤›t›l›r.
Yaz›l›m da¤›t›m yaz›l›mlar› ile bütünleflik çal›flma
FLEXnet AdminStudio tek ba¤›ms›z yaz›l›m paketleme çözümü oldu¤u için, piyasadaki bilinen tüm yaz›l›m da¤›t›m çözümleri ile üstün bir bütünleflik çal›flma olana¤› sa¤lar. Bu çözümler içinde, SMS, ZENworks, LANDesk, Marimba, Tivoli, ManageSoft ve Active Directory say›labilir. Microsoft ve Novell,
SMS ve ZENworks ile da¤›t›lacak yaz›l›m›n haz›rlanmas›nda
FLEXnet AdminStudio’yu tercih ettiklerini aç›klam›fllard›r.
FLEXnet AdminStudio hakk›nda daha genifl bilgi için
www.macrovision.com ve Macrovision ürünlerinin Türkiye
da¤›t›c›s› olan ELMER Yaz›l›m’›n www.elmer.com.tr web sitelerini ziyaret edebilirsiniz.
Erkan fiEN
[email protected]
Underground
¤ güvenli¤i uzmanlar› art›k daha fazla uyan›k olmal›lar, çünkü sald›rganlar her zaman bir ad›m öndeler
ve son sald›r› araçlar› her zaman ellerinde. Etkili bir
koruma için kendimizi biraz da sald›rganlar›n yerine koyarak
onlar gibi düflünmeye ve onlar›n kulland›¤› araçlar› kullanmaya çal›flmak ak›ll›ca olacakt›r. Sald›rganlar gibi düflünmek
ço¤u BT yöneticisi için çok zor olsa da kulland›klar› araçlar›
kullanmak o kadar da zor de¤il. Underground bölümünde bizim de yapmaya çal›flt›¤›m›z asl›nda bu, size bu konuda yol
göstermek. ‹flte bu nedenle bu say›m›zda Metasploit Framework (MSF) arac›n› sizlere tan›tmay› uygun gördük. MSF sald›rganlar›n kulland›¤› yöntemlerin benzerlerini kullanarak
sistemlerinizi test etmenize yard›mc› olabilecek iyi bir araç.
Metasploit Framework hali haz›rda 114 exploit ve 99 payload içermekte. MSF tak›m› bu arac› haz›rlamakla size grafiksel bir sald›r› arac›, bu araç ile kullan›labilecek birçok komut
ve kendi exploit’lerinizi gelifltirmenizi sa¤layacak bir ortam
sa¤lam›fl oldu. Tabii burada çok önemli bir noktay› da atlamamak gerekiyor, bu araç güvenlik testleri için kullan›labilece¤i gibi, maalesef kötü amaçlar içinde kullan›labilmektedir.
A
Bu yaz› için Windows iflletim sistemi üzerinde çal›flan Metasploit Framework 3.0 sürümünü kullanaca¤›m. Ancak kulland›¤›m komutlar›n birço¤unun eski sistemlerde de çal›flt›¤›n› belirtmeliyim. Son olarak önemli bir konunun alt›n› çizmekte de fayda görüyorum; Bu araçlar› kullan›rken dikkatli
olman›z gerekiyor. Zira bu araçlar›n birço¤u ile sistemlerinize onar›lamayacak hasarlar vermeniz olas›d›r.
MSF’i sisteminize kurduktan sonra ilk yapman›z gereken
arac› kurdu¤unuz yerdeki menüden MSFUpdate k›sa yolunu
iflleterek, yeni exploit ve payload’lar› edinmek olmal›d›r.
MSF’i güncelledikten sonra, bu arac› kullanmak için 2 yöntem vard›r; Bunlardan biri yukar›da da gördü¤ünüz gibi ilgili menüden MSFWeb k›sa yolunu iflleterek MSF’in web sunucusunu çal›flt›r›p, internet taray›c›n›zdan GUI yard›m› ile kullanabilirsiniz. Ben genellikle buray› exploit ve payload listelerini görmek ve haklar›nda bilgi almak için kullan›yorum. 2.
yöntem olarak da MSF’i komut sat›r› yard›m› ile kullanabilir-
siniz. Bu yöntem ile arac› daha genifl kapsaml› olarak. Tabii
bu tamamen sizin seçiminize ba¤l›. Afla¤›da ki resimde MSF
Console uygulamas›n› görebilirsiniz.
fiimdi bu arac› kullanarak bir sistem üzerindeki aç›¤› nas›l
kontrol edebilece¤imize birlikte göz atal›m. Bunun için öncelikle MSF konsolunu çal›flt›rarak, arac›n üzerinde var olan
exploit’lerin listesine bir göz atman›z gerekecek. Bunun için
afla¤›daki komutlar› s›ras› ile kullanabilirsiniz.
S›ra listeleri gördükten sonra kullanmak istedi¤imiz exploit
ve payload’u seçmeye geliyor. Örne¤in “Microsoft SQL Server Hello Overflow” exploit’ini seçti¤imizi varsayal›m. Bununla ilgili detaylar› ”msf > info exploit_ad›” komutu yard›m›
ile alabiliriz.
Exploitimizi ”msf > use exploit_ad›” komutu ile seçiyoruz.
Seçti¤imiz exploit’in hangi sistemler üzerinde etkin olabilece¤ini “msf > show targets” komutu yard›m› ile görebiliyoruz. “msf > set target #” komutu ile hedef al›nacak sistem
tipini belirleyebiliyoruz. Ayr›ca “msf > set rhost ip_adresi”
komutu ile de sald›raca¤›m›z sistemi belirlememiz gerekiyor. Bu aflamadan sonra “msf >set payload_ad›[de¤er]” komutu ile payload seçimimizi yap›yoruz. Seçti¤imiz payload
denedi¤imiz exploit’in bize arka kap› olarak ne sa¤lamas›n›
istedi¤imizi belirtiyor. Burada san›r›m en etkileyici olan
fleylerden biri vnc gibi bir araç ile sald›rd›¤›n›z sistemin ekran görüntüsünü kendi sisteminize tafl›mak. Bunun için
payload listesinden “Vnc Inject” ile ilgili olanlar› kullanabilirsiniz. Yaln›z vnc ile ilgili payload’lar›n her exploit veya
sistemde baflar›ya ulaflmayaca¤›n› da akl›m›zda bulundurman›z gerekiyor.
Yukar›da yapt›¤›m›z ayarlardan sonra bir tak›m geliflmifl ayarlar da yapmak mümkün. Onlar› flimdilik anlatm›yorum. E¤er isterseniz sistemlerinizi denerken geliflmifl ayarlar› da de¤ifltirebilirsiniz. Bu aflamadan sonra exploit’i “msf > check” komutu
ile sald›rd›¤›m›z sistemde aktif olup olmayaca¤›n› deneyebiliriz
ya da “msf > exploit” komutu iflleterek ata¤› bafllatabiliriz.
Daha önce belirtti¤im gibi bu ifllemlerin hepsini MSFWeb uygulamas›n› çal›flt›rarak Internet Explorer veya popüler bir
taray›c› vas›tas› ile de yapabilirsiniz.
Metasploit Framework ücretsiz da¤›t›lan bir yazl›md›r. E¤er
daha profesyonel bir çözüm istiyorsan›z Immunity Canvas
veya CoreImpact ürünleri deneyebilirsiniz. Bu ürünler daha
fazla exploit ve payload içerir. Ayr›ca bu ürünlerin ara yüzleri daha kullan›c› dostudur ve ürünler için kurumsal destek
almak da mümkündür.
KISA KISA KISA KISA KISA KISA KISA KISA KISA KISA
• Microsoft Internet Explorer 7 versiyonunu kullan›c›lar›na sundu. Internet Explorer 7 ilk aflamada sadece ‹ngilizce
olarak piyasaya sürüldü.
• McAfee Citadel ve Onigma flirketlerini sat›n ald›. Citaled
teknolojilerini kendi ürünlerine entegre edecek olan McAfee, Onigma’n›n Data Loss Prevention (DLP) teknolojisi ile
flirketlerin önemli bilgilerinin yetkisiz sistemlere transfer
edilmesini engelleyecek.
• IBM, Internet Security Systems (ISS) flirketinin sat›n alma sürecini tamamlad›. 1.3 milyar dolara mal olan devir ifllemi bugüne kadar IBM taraf›ndan gerçeklefltirilen beflinci
büyük sat›n alma operasyonu olarak bildirildi.
• Google’›n resmi blog sitesi ikinci kez hack’lendi. Hacker
sisteme eriflip sahte bir mesaj yay›nlad›.
tel vPro modeliyle ücretsiz olarak da¤›t›lacak.
• Breach Security flirketi, ModSecurity ad›nda aç›k kaynak
kodlu bir Web Application Firewall ürünü gelifltiren Think
Soft flirketini sat›n alaca¤›n› duyurdu.
• Geçti¤imiz aylarda RSA’i sat›n alarak çok konuflulan bir
flirket haline gelen EMC, bu defa Network Intelligence flirketini sat›n ald›. En büyük güvenlik bilgisi sa¤lay›c›lar›ndan
olan Network Intelligence, EMC’ye toplam 175 milyon dolara mal oldu.
• Daha önce SNS ve SGS ürünlerine yat›r›m› durduraca¤›n› aç›klayan Symantec, Juniper Networks ile Unified Threat Management (UTM) ürünlerinde iflbirli¤ine gidece¤ini
aç›klad›. ‹flbirli¤i ilerleyen zamanlarda antivirüs ve tehdit
yönetimi ürünleriyle daha da geniflleyecek.
• Gartner, Magic Quadrant for Antivirus 2006 raporunu
yay›nlad›. Raporda aç›klanan verilere göre McAfee firmas›
aç›k farkla üstünlük elde etti.
• Juniper Networks ve Avaya, Integrated Branch Networking ürün gruplar›nda iflbirli¤ine gidece¤ini duyurdu.
http://www.mcafee.com/us/local_content/misc/2006_av_mq.pdf
• F5 Networks, daha önce sat›n ald›¤› TrafficShield Web
Application Firewall ürününün yaz›l›m›n› di¤er ürünleri ile
entegre etti. Art›k F5 Networks IP yönetim ürünleri ve
Web Application Firewall ürünü tek bir kutuda çal›flt›r›labiliyor.
• Intel ve Symantec bilgisayarlardaki virus korumas›n› kapatan ataklara karfl› firmware tabanl› bir koruma sistemi
gelifltiriyor. Yeni güvenlik ürünü 2007’nin ilk yar›s›nda In-
ANA SPONSORLARIMIZ
nebula
www.nebulabilisim.com.tr
www.microsoft.com/turkiye
KATILIMCI SPONSORLARIMIZ
Beyaz fiapka, bir e-gazete de¤ildir. Sadece bas›l› olarak yay›nlan›r ve seçkin
okuyucular›na gönderilir, sayfalar› okuyucular›na aç›kt›r, reklam ve ilan içermez, marka ba¤›ms›zd›r, bilgiye yöneliktir, ücretsizdir, bilgi güvenli¤ine önem
veren sponsorlar›n katk›s›yla okuyucular›na ulafl›r, üç ayda bir yay›nlan›r.
Nebula Biliflim
Sistemleri Sanayi ve Ticaret Ltd. fiti.
taraf›ndan ücretsiz da¤›t›lan bir broflürdür.
www.nebulabilisim.com.tr [email protected]

Zero-day

Transkript

Benzer belgeler

PE Körkasa Bandı

kapak.fh11

kapak

B‹LG‹SAYAR DENET‹ML‹ KONTROL KAPAS‹TEM‹Z

ButylSeal (TDS)

Dinosaur - Gökhan Sönmez`in Notları