Archive for Mart, 2007

Symantec ile Uyumluluk Yönetimi

Perşembe, Mart 29th, 2007
Bir süredir uyumluluk yönetimi (ing. compliance management) alanında Symantec ürünleri ile çalışıyoruz, bugün ilk büyük projemizi de aldık. Sanıyorum önümüzdeki bir ya da iki sene içerisinde bu alanda çok önemli gelişmeler olacak.

Çok kabaca, Symantec’in Control Compliance Suite‘i ile bilgi işlem altyapınızda yer alan sistemler için teknik standartlar tanımlamanız ve bu standartlardan sapmaları tespit ettirmeniz mümkün olabiliyor. İlk bakışta zafiyet taramasını andırıyor, fakat bu kez zafiyetleri değil tanımladığınız kurumsal standarttan her türlü sapmayı tespit etmenize imkan veriyor. Kuruluşların PCI, SOX, COBIT, ISO-27001 gibi standart ya da çerçeveleri uygulamaları durumunda bu türden uyumluluk yönetimi yazılımlarının katkısı daha da yüksek olabiliyor.

Posted in Güvenlik | No Comments »

TIA Singapur’da Canlandı

Çarşamba, Mart 28th, 2007
Total Information Awareness (TIA), Amerika’nın terörist tehdidi devamlı izlemesine ve değerlendirmesine ilişkin korkunç büyüklükte bir veri tabanı ve veri madenciliği projesiydi. Bireysel gizlilik ile ilgili endişeler çok alevlenince Amerikan Kongresi bir kaç yıl önce projenin fişini çekmiş, projenin realize edilmesine izin vermemişti. Aradan bir kaç yıl geçti ve TIA’nın çok benzeri Risk Assessment and Horizon Scanning (RAHS - Risk Değerlendirmesi ve Ufuk Taraması) adlı proje Singapur’da devreye girdi. Konsept olarak TIA’ya çok benzer olan RAHS da hem açık hem de gizlilik dereceli istihbarat kaynaklarından veri topluyor ve bunları analiz ediyor.

Singapur’da henüz ortalık birbirine girmemiş ama çok süreceğini sanmıyorum. TIA ya da RAHS, fikir olarak çok güzel ama bireysel gizliliği koruyan bir biçimde gerçekleştirilmeleri mümkün olmadığı sürece uzun süre ayakta kalmalarının mümkün olacağını tahmin etmiyorum. Haberi Wired’dan aldım, buradan göz atabilirsiniz.

Posted in Güvenlik | No Comments »

Art Niyetli Yazılımların n-gram’lar ile Tespiti

Çarşamba, Mart 28th, 2007

N-gram’lar ile kalıp eşlemesi (pattern matching) güvenlik konusunda da kullanıldığını gördüğümüz bir teknikti; daha önce saldırı tespiti ve yazar tespiti (authorship analysis) alanlarında kullanılmasına ilişkin makaleler okumuştum. Bu seferki yeni ve daha önce görülmemiş art niyetli yazılımların tespitine ilişkin bir makale ve elde ettikleri sonuçlar çok ilginç; keşke vakit olsa da üzerinde çalışabilsek, buradan çok sıkı bir ürün çıkabileceğini düşünüyorum. İlgilenenler N-gram Based Detection of New Malicious Code makalesine göz atabilirler.

Posted in Güvenlik | No Comments »

Yüksek Teknoloji Suçları ve BGYS Temelleri

Pazartesi, Mart 26th, 2007
İki aydır üzerinde çalıştığımız yeni eğitimlerimize ilişkin içerikler nihayet tamamlandı ve ilk uygulamaları bir kamu kuruluşunda başladı. Her iki eğitimi hazırlamaya da uzun zamandır niyetleniyorduk ama bir türlü imkan bulamamış, kaynak ayıramamıştık. Sonunda bir proje vesilesi ile her iki kursa ilişkin içerikleri de hazırladık. Bilgi Güvenliği Yönetim Sistemlerinin Temelleri kursu, temel olarak ISO/IEC-27001′i ve ISO/IEC-17799′u baz alarak bilgi güvenliği yönetimi süreçlerini anlatmayı hedefliyor. 18 ya da 24 saatlik bir kurs olarak sunmayı hedefliyoruz. Yüksek Teknoloji Suçları ise daha çok ingilizce tabiriyle law-enforcement için (emniyet, jandarma, adalet bakanlığı personeli vb.) uygulanacak bir kurs olacak. Bu kursta bilgisayarlar ve bilgisayar ağları ile işlenebilen suçların nasıl (hangi teknolojik olanaklar ile) işlenebildiğini, suça ilişkin kayıtların hangi ortamlardan ne şekilde bulunabileceğini ve incelenerek delil haline getirilebileceğini anlatmayı hedefledik. İlk sonuçlarını bu hafta sonu alacağız, bakalım beğenilecek mi?

Her iki kursu da Pro-G‘den almak mümkün, ilgilenenler benimle temasa geçebilirler.

Posted in Güvenlik | No Comments »

Web Servisleri Güvenlik Kalıpları

Cumartesi, Mart 24th, 2007

İşte bu çok sıkı bir kılavuz. Microsoft’un Patterns & Practices serisinden yeni bir kitap daha çıktı; web servislerinin güvenliğinin sağlanması için çok sayıda kalıp tarifleniyor. Kimlik doğrulama, mesaj koruması, iletim ve mesaj düzeyinde güvenlik, uzak erişim kalıpları, service kurulum kalıpları kılavuzun ana başlıkları. Web servisleri geliştiriyorsanız, hangi platformda geliştirdiğinizden bağımsız, mutlaka göz atmalısınız.

Posted in Güvenlik | No Comments »

Bakan Şakası

Cumartesi, Mart 24th, 2007
Ulaştırma Bakanımız hacker’lara meydan okumuş, haberi buradan okuyabilirsiniz.

E-Devlet Kapısı Projesi’nin açılış baskısı artarken Bakan Bey açıklama yapmışlar: Kendine güvenen hacker’lara sesleniyorum; dünyanın neresinde bulunuyorsanız bulunun; hodri meydan diyorum. Gelin çökertebiliyorsanız e-devlet sistemimizi çökertin. diye. Haberi okuyunca yüzüme bir gülümseme yayıldı, ne diyeyim bilemedim, herhalde bakan şakası olsa gerek…

Posted in Geyik | 1 Comment »

FireCat: Firefox ile Zafiyet Taraması

Pazar, Mart 18th, 2007

FireCat, buradan temin edilebilecek şık bir veritabanı. Açılımı Firefox Catalog of Auditing Toolbox. Bir grup amca oturmuş Firefox için yazılmış ve bir zafiyet taraması çalışmasının parçası olarak kullanılabilecek tüm Firefox plugin’lerinin bir kataloğunu yapmışlar. Basit ama güzel bir çalışma olmuş, aralarında pek çok duymadığım plugin vardı…

Posted in Güvenlik | No Comments »

İzole İki Ağa Çözüm (mü?)

Pazar, Mart 4th, 2007
Radar

Bir süredir savunma sanayi kuruluşlarından birisi için meşhur izole iki ağ problemini çözecek bir teknik mimari geliştirmeye çalışıyoruz, sanırım sonunda kabul edilebilir düzeyde bir çözüm oluşturduk.

Orduda ve savunma sektörü kuruluşlarında sıklıkla görülen bir durum tamamen izole internet ve intranet ağlarının olmasıdır; bu iki ağ arasında yalnızca disk, teyp vb. ile veri taşınmasına (çok sınırlı bir prosedür çerçevesinde) izin verilir. Bunun çeşitli varyasyonları da var, genel olarak air gap (bkz. Wikipedia) olarak biliniyorlar.

Bu durum, internet üzerinden gelebilecek risklerin azaltılması ve internete doğru bilgi sızmasını kontrol etmek için şüphesiz çok etkin bir yöntemdir. Diğer taraftan hemen tüm kullanıcıların önüne ikişer bilgisayarın alınması, ikişer işletim sistemi, ikişer yazılım lisansları gibi yüksek satınalma maliyetleri ve (belki çok daha önemlisi) ciddi bir operasyonel maliyet söz konusu.

Öngördüğümüz yöntemde yalnızca sınırlı sayıda protokol için (biz sadece HTTP için modelledik) yerel ağ üzerindeki PC’lere güvenli bir internet bağlantısı tahsis ediyoruz. Üç seviye dolaylı bir şekilde ağa eriştiriyoruz; pratikte bir kullanıcının internete doğru dosya iletmesi ya da internetten bir tehdidin içeri kadar ulaşması oldukça güç bir hale geldi; en azından bizim tehdit modelimiz böyle gösteriyor. :) İlgilenenleriniz olursa daha fazla da yazarım.

Posted in Güvenlik | 1 Comment »

CWE Sözlüğü

Pazar, Mart 4th, 2007

MITRE ve diğerleri hepimizin yoğun biçimde kullandığı CVE (Common Vulnerabilities and Exposures) sözlüğünden sonra bu sefer de CWE (Common Weakness Enumeration) sözlüğü ile karşımızda. Yazılım güvenliği zafiyetlerinin ortak isimlendirilmesi için geliştirilen bu standarttan daha erken haberdar olamadığıma gerçekten üzüldüm. Yazılım güvenliği zafiyetlerinden söz ederken ortak bir isimlendirme uzun süredir eksikliğini duyduğumuz bir konuydu; ürünlerine CWE uyumluluğu eklemiş üreticilere bakılırsa standart yaşayacak.

Posted in Güvenlik | No Comments »