Dayıoğlu Günlüğü

Henüz duymayanlarınız varsa Splunk ortalığı sallayacak muhteşem bir BT arama motoru olarak geliyor. Henüz 3-4 yaşında bir firma olmasına rağmen Deloitte Fast50′de bu sene Silikon Vadisi’nin en hızlı büyüyen firması oldu.

Splunk’ın işi BT altyapılarında bilgileri indekslemek ve hızlıca aranıp, bulunup raporlanmasına imkan vermek. En temel kullanım alanı logları biriktirmek, indekslemek ve üzerinde aramalar yapmaya imkan vermek. Splunk bilgi biriktirip sorgulamaya imkan veren bir platform ve üzerinde çeşitli uygulamalar gerçekleştirilebiliyor.

Splunk’ı sektörün diğer oyuncularından ayıran ve oyun zeminini değiştiren inanılmaz teknik ve teknik olmayan özellikleri var:

• Logları Splunk’a kaydetmek için veri yapısı dönüşümü gerekmiyor. Yani logları Splunk’ın anlayacağı bir formata dönüştürmek için zaman ayırmanıza hiç lüzum yok, Splunk metin halinde olduğu sürece logların formatlarını kendisi anlıyor. Bu inanılmaz bir şey, çalışırken görmeniz lazım. Anlamazsa? Bir basit regexp ile formatı anlatıyorsunuz. Gerçekten bu kadar pratik mi? Kesinlikle EVET.
• Logları indeksleme ve arama performansı inanılmaz. Google gibi bir açık-metin indeksleme altyapısı kullanıyor bu sayede çok ama çok hızlı sorgulama imkanı veriyor. Bu nedenle lisanslaması da kaç noktadan bilgi/log toplanacağına göre değil günde kaç gigabayt yeni veriyi Splunk’a yükleyeceğinize göre yapılıyor.
• Ücretsiz kullanılabiliyor. Eğer günde 500MB ve altında bilgi indeksleyecekseniz ve tek kullanıcılı haline razı olursanız ücretsiz indirip kullanmaya hemen başlayabiliyorsunuz.
• Tam Linux’çu işi, script’ler ile sağını solunu genişletebiliyorsunuz. Bir kaç küçük script ile Splunk’a hemen her yerden bilgi pompalayıp sonuçlarından arama/raporlama ve grafik çizdirme yapabiliyorsunuz. Örnekler arasında top çıktılarını arşivleyip sistem performans grafikleri çizdiren ufak-tefekler, VM’lerinizin performansına ilişkin grafikler oluşturmanızı sağlayacak altyapılar vb. var.

Eğer kulağınıza ilginç gibi geliyorsa Uygulama Alanları sayfasına bakmanızı öneririm. Özellikle geçmiş kayıtlara dönük sorgu yapıp problem çözmeye çalıştığınızda (e-posta, web, proxy logları vb.) çok pratik. Buradaki video mutlu kullanıcı hikayelerinden sadece birisi, size de çok ilginç gelmiyor mu?

Güvenlik ölçütleri (security metrics), bilgi güvenliği alanında en çok ilgi duyduğum konuların başında geliyor. Lord Kelvin’in dediği gibi ölçemezseniz, yönetemezsiniz ve güvenlik ölçütleri güvenliği yeterince iyi yönetip yönetemediğinizi göstermek için altyapı sağlıyor. Nedendir bilinmez, konu hala olması gereken düzeye gelemedi.

Geçtiğimiz ay içerisinde çok gecikmiş bir şekilde Andrew Jaquith’in Security Metrics: Replacing Fear, Uncertainity and Doubt kitabını okumaya başladım. Kitabın önsözünü yazan Dan Geer konunun neden çok önemli olduğunu üç buçuk sayfada muhteşem bir şekilde özetlemiş. Güvenliğe bir disiplin olarak yaklaşan herkesin okuması gereken bir kitap olduğunu düşünüyorum.

Kitabı edinemeyen ya da hızlıca konuya yakınsamak isteyenler için ise NIST’in Performance Measurement Guide for Information Security (SP800-55) başlıklı raporunu öneririm. Eski bir @stake çalışanı olan Jaquith’inki kadar keyifli bir okuma olduğunu söylemek mümkün değil ama başlangıç olabilecek bir rapordur.

Bir buçuk yıl kadar önce bu konuda yeni bir ticari faaliyete atılmak üzere iki farklı risk sermayesi grubu ile toplantılar yapmış ve bu süreçte onlara metriklerin ne kadar önemli olduğunu, güvenlik ile ilgili metriklerin tüm büyük kuruluşlarda yönetim kurulu seviyesinde izlenmek isteyeceğini anlatıp ilgilerini çekmeye çalışmıştım. Türkiye’de bu işleri anlayıp ilgi gösterecek büyük yatırımcı bulmanın güçlüğü başından belliydi ama bu kadarını beklemiyordum. Görüştüğüm gruplardan birisinin tepe yöneticisinin bana “groupware yazılımları ve sohbet platformları çok daha iyi iş yapar, son kullanıcıya yönelik bir şeyler yapın bunlar çok dönüş sağlamaz” dediğini hatırladıkça hala gülümsüyorum.

Huzeyfe’den duydum, pek nezihmis: http://cntlm.awk.cz/

Get the red pill, get the blue screen. Awesome! http://tinyurl.com/6×5fvq

is drafting security policies

Çok sevdiğim bir dostum dün akşam dünyaca ünlü yatırım analisti ve girişimci Dr. Marc Faber‘in ABD ekonomisi ile ilgili aşağıdaki yorumunu paylaşmış. Çok sevimli bu yorumu sizlerin de değerlendirmesine sunayım dedim. Bu arada, Faber, fotoğrafından da görülebileceği gibi kelli felli bir adamdır:

Federal Hükümet her birimize $600 iade (rebate) gönderiyor. Biz bu paraları Wal-Mart’ta harcarsak paralar Çin’e gidiyor. Eğer benzin alırsak Araplara gidiyor. Eğer bilgisayar alırsak Hindulara gidiyor. Eğer meyve ve sebze alırsak Meksika, Honduras ya da Guatemala’ya gidiyor. İyi bir araba alırsak Almanya’ya gidiyor. Eğer lüzumsuz ıvır-zıvır alırsak Tayvan’a gidiyor ve hiç birisi Amerikan ekonomisine yaramıyor. Bu parayı evde (ABD’de) tutmanın tek yolu parayı fahişelere ve biraya yatırmaktır; çünkü bunlar halen Amerika’da üretilen yegane ürünlerdir. Ben kendi üzerime düşeni yapıyorum.

Son bir ay içerisinde dört ya da beş farklı kuruluşun ağ altyapısındaki performans darboğazlarını inceledim, iyileştirme önerileri hazırladım. Hemen her seferinde problemlerin çok basit açıklamaları oldu. Bu yazıda sık karşılaştığım problemleri, nasıl tespit edileceklerini ve yapılması gerekenleri listeledim; çok derin bir yazı olmayabilir ama ağlarında performans problemi yaşayanlar için en azından bir başlangıç olur diye düşünüyorum:

• Autonegotiate problemleri; half-duplex ya da 10mbps bağlantılar:Sık karşılaştığım bir problem. Omurga anahtarları ile kenar anahtarlar arasındaki bağlantılar (cihazlar aynı marka ve güncel olmasına rağmen) autonegotiate’i beceremeyip 10Mbps half-duplex olabiliyor. Tüm switch’lerin tüm portlarını gözden geçirip half-duplex ve 10Mbps bağlantılar var mı diye bakılmalı.
• Ağda döngüler ve STP kullanılmaması:Yine sık karşılaştığım bir başka problem. Ağ altyapısında STP/RSTP kullanılmaması ve switch’ler arasında döngüsel bir yapının söz konusu olması. Sonuçları çok eğlenceli, ağı dinlediğinizde her Ethernet çerçevesinden 50-60 kopyayı peş peşe görebiliyorsunuz. Mümkünse tüm switch’lerin tüm portlarında STP aktif olmalı (network firmalarının bazıları PC bağlanacak uçlarda STP kapatmayı öneriyor ama).
• Ağda yayılmaya çalışan virüsler, solucanlar ve diğerleri:Pek çok güncel art niyetli yazılım ağ üzerindeki komşu bilgisayarları tarayarak onlara bulaşmaya çalışıyor. Bunu yaparken hiç durmadan ağı tarayanlarını (hiç pes etmeden, aralıksız) sık gözlüyorum. Eğer ağ üzerinde çok sayıda bilgisayarda bu tür art niyetli yazılımlar varsa bunlar da ciddi performans problemlerine neden olabiliyorlar. Tespiti çok kolay; ARP çerçevelerini izleyin ve bir kişisel bilgisayarın kısa sürede çok sayıda başka kişisel bilgisayar için ARP sorgusu yapıp yapmadığına bakın. 3-5 dakikalık bir zaman dilimi içerisinde 15-20 ARP sorgusu yapan bilgisayarlara kuşku ile bakabilirsiniz. Sadece ARP sorgulamalarını tcpdump ile izleyip sonuçlarından rapor üreterek hangi bilgisayarlara müdahale edileceğini bulabilirsiniz.

Mustafa Kemal'i düşünüyorum;
Ölmemiş bir kasım sabahı
Yine bizimle beraber her yerde
Yaşıyor dört köşesinde vatanın,
Yaşıyor damar damar yüreklerde.

Ümit Yaşar Oğuzcan

Bu hikayeyi daha önce Kıvılcım’dan (Hindistan) dinlemiştim ama Wired’ın blog’unda detayları ile görünce buradan da paylaşayım dedim.

FBI, Kasım 2006′dan Ekim 2008′e kadar DarkMarket isimli yer altı sitesini bizzat yönettiğini itiraf etmiş. DarkMarket kredi kartı, ATM kartı vb. kıymetli kart bilgilerinin alınıp satıldığı İnternet’in en önemli yer altı pazarlarından birisiydi ve siteyi yıllarca FBI’ın yönetmiş olması bence konunun geldiği düzeyi göstermesi açısından önemli. Mutlaka Wired’dan hikayenin tümünü okumalısınız…

UC San Diego’dan Stefan Savage ve öğrencileri (fotoğraftaki gibi geleneksel) kapı anahtarlarının fotoğraflarından birebir kopyalarını yapmayı başarmışlar. Yani artık birisinin anahtarınızın kopyasını yapması için anahtarı ele geçirmesine lüzum yok; doğrudan cep telefonu ile fotoğrafını çekip imalata geçmeleri mümkün olacak.

Benden söylemesi, bence anahtarlarınızı ortada bırakmayın. Detayları burada.