November 13th, 2009
Zafer
Wordpress için sürüm 2.8.6 yayınlandı. Bu sürümle birlikte 2 adet güvenlik problemi gideriliyor. Özellikle blogunuzda yazı yazma yetkisi olan herhangi bir kullanıcının açıklığa sebebiyet verebileceği söyleniyor. Bu nedenle eğer birden fazla ve fazla güvenmediğiniz kişilerin yazı yazmasına izin veriyorsanız, 2.8.6 sürümüne mutlaka yükseltmelisiniz.
Bunun dışında XSS açıklığının ve blog’a yüklenen dosya isimlerinin bazı Apache konfigürasyonlarında görünmesi gibi açıklıklarının kapatılmasını sağlayan 2.8.6 sürümünü indirmek için bu adresi kullanabilirsiniz.
November 12th, 2009
Zafer
Apple’ın özellikle arayüz ve kullanım kolaylığı sebebiyle oldukça popüler olan iPhone’undaki ilk virüs/worm saldırısı yayılmaya başlandı. Sadece Jailbrake adı verilen ve kaçak yazılım yüklemeye yarayan bu sistemi kullanan iPhone’lara bulaşan bu zararlı yazılım, iPhone’un güvenlik mekanizmasını sıfırlayarak üzerinde istedikleri yazılımı kullanmalarına olanak tanıyor.
Avusturalyalı bir genç tarafından yaptığı sunulan bu zaafiyet, iPhone’un arka planına 1980′li yıllara ait ”Never Gonna Give You Up” adlı parçasınınünlü pop yıldızı Rick Astley’in bir fotoğrafını koyuyor. Olaydan etkilenmemek için Jailbreak yapılmış iPhone’unuzun root şifresini değiştirmeniz gerekiyor.
Genç arkadaşımızın bu açıklığın kaynak kodlarını da yayınlamış. Bu nedenle zararlı gibi gözükmeyen bu ufak saldırının, ilerleyen günlerde daha etkili bir şekilde farklı varyasyonlarının olabileceğine kesin gözüyle bakılıyor.
Bir önceki pragrafta da söylediğim gibi, olaydan etkilenmemek için Jailbreak yapılmış iPhone’unuzun root şifresini değiştirmeniz gerekiyor.
November 11th, 2009
Zafer
Siz hala kendi geliştirdiğiniz veya satın aldığınız FTP yazılımını mı kullanıyorsunuz? Bu alışkanlığınıza bir son vermenin zamanı geldi de geçiyor bile. Güvendiğiniz şirketler – finansal firmalar, büyük perakendeciler hatta sağlık ve devlet kurumları – FTP yazılımı kullanarak verilerin kontrolünü kaybettiler. Müşterilerin ve ortakların hassas bilgilerini tehlikeye attılar. Sonuç olarak ilişkiler bozuldu, tüketicilerin güveni azaldı ve hatta tamamen iş yaptıkları firmaları değiştirdiler. Kurumların %80’inde veri alışverişleri dosya transferleri yolu ile olduğundan gizlilik, denetlenebilirlik, hız ve güvenilirlik işleriniz için çok önemli bir duruma geldi.
Read more…
Windows 7 İşletim Sistemi’nin neler getirdiklerini daha önceki yazımda kabaca anlatmaya çalışmıştım. Şimdi ise bu özelliklerin özellikle güvenlik yöneticileri ve adminler üzerinde neler getireceklerine değineceğim. Bakalım User Access Control (UAC), Applocker ve Bitlocker ile Windows 7′yi şahlandırabilecek miyiz?
Henüz layığı ile testlere başlayamadım ancak internet üzerinden incelediğim kadarıyla Windows 7, özellikle Server 2008 R2 ile kullandığı zaman bir hayli etkili kullanılıyor. Bu özelliklere kabaca bir gözatalım:
Read more…
Categories: Access Management, Application Security, Authentication, Security, software Tags: ActiveX, Applocker, Bitlocker, Direct Access, Multiple Active Firewall Policies, NTLM, TechNet, Windows 7, Windows 7 güvenlik
Yaklaşık 2 haftadır bloguma birşeyler karalayamadım. Bunun esas nedeni hem çalışma tempom, hemde yeni makale yazıları hazırlamamdı. Dün itibari ile yeni makalemi bitirdim ve düzenledikten sonra, Türkiye’nin Bilgi Güvenliği alanında önde gelen portallarından biri olan Beyaz Şapka‘da yayınladım.
Read more…
Microsoft’un 5-8 Mart tarihleri arasında düzenlemiş olduğu “Geleceğin İnternet Teknolojileri” temalı MIX konferansında bir sunum yapan Eric Lawrence, Web Uygulamaları Güvenliği hakkında detaylı bilgiler veriyor. Sunumda özellikle Internet Explorer 8 üzerinde durulduğunu da belirtelim
Dünya üzerinde Güvenlik alanındaki en etkili kurumlar arasında gösterebileceğimiz bir ajans olan US National Security Agency ya da NSA, dünya üzerindeki programcılar için yapılan en büyük programlama kod hatalarını duyurdu. Özellikle 2008 senesinde 1.5 milyondan fazla internet sitesinin hacklendiğine dikkat çeken kurum, kullanıcıların ilgili programları kullanmasından önce tasarım aşamasında yapılan hataların önceden farkedilip, tedbir alınması gerektiğini savunuyor.
İşte yapılan en tehlikeli programlama hataları:
- CWE-20:Improper Input Validation
- CWE-116:Improper Encoding or Escaping of Output
- CWE-89:Failure to Preserve SQL Query Structure
- CWE-79:Failure to Preserve Web Page Structure
- CWE-78:Failure to Preserve OS Command Structure
- CWE-319:Cleartext Transmission of Sensitive Information
- CWE-352:Cross-Site Request Forgery
- CWE-362:Race Condition
- CWE-209:Error Message Information Leak
- CWE-119:Failure to Constrain Operations within the Bounds of a Memory Buffer
- CWE-642:External Control of Critical State Data
- CWE-73:External Control of File Name or Path
- CWE-426:Untrusted Search Path
- CWE-94:Failure to Control Generation of Code
- CWE-494:Download of Code Without Integrity Check
- CWE-404:Improper Resource Shutdown or Release
- CWE-665:Improper Initialization
- CWE-682:Incorrect Calculation
- CWE-285:Improper Access Control
- CWE-327:Use of a Broken or Risky Cryptographic Algorithm
- CWE-259:Hard-Coded Password
- CWE-732:Insecure Permission Assignment for Critical Resource
- CWE-330:Use of Insufficiently Random Values
- CWE-250:Execution with Unnecessary Privileges
- CWE-602:Client-Side Enforcement of Server-Side Security
Kaynak: SANS Institute
Uzmanlar ayrıca ilgili açıklıkların henüz tam olarak kavranamadığına dikkat çekmişler. Konuyla ilgili olarak, US National Security Agency, Department of Homeland Security, Microsoft veSymantec kurumları bir bildirge yayınladılar.
Esas soru, Türkiye’de bu tarz yazılım kodlarını irdeleyen ve güvenlik tedbirleri alan kurumların olup/olmadığı? Bu gibi durumların, özellikle tepeden zorunlulukla Audit durumlarında ya da ilgili projenin şartları ve kurumların güvenlik politikaları dahilinde gerçekleşebileceğini düşünüyorum. Aksi halde kendi yazılımlarını geliştiren kurumların uygulayıp, uygulamadığını irdelemek gerek. Bu konuda bilgisi olan arkadaşların konuya yorum yapmalarını bekliyor ve yazılım geliştiren ekiplere selamlarımı sunuyorum. Özellikle çaylak arkadaşlara dikkat 
.
