Zero-day
Transkript
Zero-day
beyaz sapka . KASIM 2006 B‹LG‹ GÜVENL‹G‹ PLATFORMU BU SAYIDA 2 Zero-Day Protection Yanl›fl anlafl›lmalara maruz kalan Zero-Day ve Zero-Day Protection'›n kapsaml› anlat›m›. 10 McAfee a¤ eriflim kontrolü çözümü McAfee Policy Enforcer (MPE)'nin a¤ erifliminde sundu¤u avantajlar. E-posta bafll›klar›, internet taray›c›lar›, web sunucu ve uygulamalar›na yönelik temel sald›r›lar, imzalar›n tespiti. 4 Visual Studio 2005 ile gelen güvenlik özellikleri Özellikle web uygulamalar›nda kullanabilece¤iniz Microsoft Visual Studio 2005 güvenlik özellikleri. 14 Uygulama güvenli¤i Web uygulamalar›nda önemli bir sorun olarak karfl›m›za ç›kan 'oturum sabitleme' nedir ve nas›l engellenir. 20 Yaz›l›m da¤›t›m› Art›k her alanda kullan›lan yaz›l›mlar›n da¤›t›m›nda izlenecek yol önemlidir. 8 Biliflim sistemleri ve risk yönetimi Sa¤l›kl› bir risk yönetimi için izlenmesi gereken yollar ve dikkat edilmesi gerekenler. 16 Microsoft Exchange ve güvenlik Microsoft Exchange Server 2007 üzerindeki eposta filtreleme seçenekleri. 18 Adli Biliflim sistem analizi 22 Underground xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx. 24 KISA KISA KISA Firmalar ve ürünleri hakk›nda yaflanan önemli geliflmeler. BEYAZ fiAPKA’YA ABONE OLMAK ‹Ç‹N WEB FORMUMUZU DOLDURAB‹L‹RS‹N‹Z. www.beyazsapka.org Serkan AKCAN serkan.akcan@nebulabilisim.com.tr Zero-day Birçok üründe karfl›laflt›¤›m›z bir özellik Zero-day Protection. Defalarca yanl›fl anlafl›ld›¤›n› gördü¤üm Zero-day ve Zero-day protection terimlerinin anlamlar›n› kapsaml›ca anlatmaya çal›flaca¤›m. Terimin zihinlere yerleflmesi için “S›f›r Gün” ya da “S›f›r›nc› Gün” gibi Türkçe tercümeler yerine terimi oldu¤u gibi kullanaca¤›m. Zero-day ataklar› Güvenlik aç›klar› bilgi güvenli¤i uzmanlar› taraf›ndan bulunur. Bu noktada güvenlik a盤›n› bulan kiflinin rengi önemlidir. Beyaz flapkal›lar genellikle kurumsal flirketlerde çal›fl›r. Özellikle güvenlik ürünü gelifltiren flirketler, güvenlik a盤› tespit etme konusunda yar›fl halindedirler. Ne kadar çok aç›k bulurlarsa, sat›fl potansiyeli o kadar artar. Bu flirketlerde çal›flan araflt›rmac› teknik uzmanlar beyaz flapkal›d›r (istisnalar kaideyi bozmaz). Bir beyaz flapkal›, buldu¤u a盤›n detaylar›n› ürün üreticisine gönderir. Üretici a盤› testlerden sonra do¤rular ve çözüm için yama gelifltirir. Yama gelifltirme bazen 5-10 gün bazen 250-300 gün sürebilir. Bu tamam› ile a盤›n teknik altyap›s›yla ilgili bir durumdur. www.eeye.com sitesinden baz› aç›klar için yama gelifltirme sürelerini görebilirsiniz. Siyah flapkal›lar pek de iyi niyetli say›lmazlar. Bulduklar› aç›klar› hiçbir kuruma bildirmez, kendileri kullan›rlar. Black Community diye tabir edilen gruplar aras›nda bu zaaflara ait bilgilerin elden ele dolaflt›¤› bilinmektedir. Özellikle FBI ve CERT gibi kurumlar “Black Community” elinde bulunan güvenlik aç›klar›n› tespit etmek için hemen hemen dünyan›n her yerinde internet trafi¤ini gerçek zamanl› olarak dinlemektedir. güncellemesini bekleyece¤iz. Her iki durumda da Zero-day atak riski alt›nday›z demektir. Özellikle 2000-2003 y›llar› aras›nda Slammer, Code Red ve Nachi gibi internet solucanlar›na dünyan›n en büyük sistemleri bile karfl› koyamad›. McAfee AVERT laboratuar› raporlar›na göre sadece Slammer’›n yay›lmaya bafllad›¤› ilk saat içerisinde 100.000 sunucuya bulaflt›¤› tahmin ediliyor. Konumuzun temel sorusu fludur; fiu an dünyan›n di¤er ucunda 15 yafl›ndaki bir çocu¤un gelifltirdi¤i internet solucan› ya da bir exploit’e karfl› sistemimi nas›l koruyabilirim? Cevap: Zero-day Protection. Zero-day protection Zero-day Protection terimi aslen sunucu tabanl› atak engelleme sistemi (HIPS) gelifltiren bir flirket taraf›ndan ortaya ç›kar›lm›flt›r. fiirketin söylemi kendi ürünlerinin bilinen ataklar›n yan› s›ra bilinmeyen ataklara karfl› da güvenlik sa¤lad›¤›d›r. Bu terim günümüzde neredeyse tüm a¤ tabanl› (NIPS) ve sunucu tabanl› (HIPS) atak engelleme sistemi gelifltiren flirketlerce kullan›l›yor. fiimdi, her iki ürün grubu aç›s›ndan da Zero-day Protection koruma tekniklerini aç›klayal›m. Network Intrusion Prevention System (NIPS) SQL Injection, Directory Traversal ya da Authentication Bypass gibi aç›klar ek bir uygulama gelifltirmeye gerek duyulmaks›z›n kolayca kullan›labilir. Ancak birçok aç›k türünde, a盤› kullanarak sistemlere sald›ran küçük programlar gelifltirmek gerekir. Bu yaz›l›mlara “exploit” denir. Pattern-Matching teknolojisiyle çal›flan güvenlik ürünleri (Antivirus, IDS/IPS, Secure Content Management vs.) ataklar› tespit edebilmek için imza güncellemesine ihtiyaç duyar. Bu nedenle a盤›n bir beyaz flapkal› taraf›ndan bulunmas› ve üreticilerin güvenlik güncellemesi yapmas› zorunludur. Güncelleme yap›lana kadar sistemler risk alt›ndad›r. Hatta birçok internet korsan› hedef seçti¤i sisteme ait bir güvenlik a盤›n›n duyurulmas› için pusuya yatar. Aç›k duyurulduktan hemen sonra ilgili exploit’i bulmaya ya da gelifltirmeye çal›fl›rlar. Zero-day, a盤›n bulundu¤u ilk günü ifade eder. Aç›k her kim taraf›ndan bulunursa bulunsun, dünyadaki tüm sistemler bu aç›k karfl›s›nda teorik olarak korumas›zd›r. K›saca sistemi koruma alt›na almak için ya üreticinin yama gelifltirmesini bekleyece¤iz ya da güvenlik ürünü üreticisinin ilgili imza 2 beyazflapka kas›m 2006 NIPS ürünleri temelde 3 konuda güvenlik sa¤lar. Bilinen ataklar, bilinmeyen ataklar ve DoS/DDoS ataklar›. Konumuz Zero-day oldu¤una göre sadece bilinmeyen ataklara bakaca¤›z. Zero-day Protection için NIPS ürünlerinde kullan›lan temel teknolojinin ad› Protocol Anomaly’dir. Asl›nda bu teknik Protocol Anomaly, Application Payload Anomaly ve Statistical Anomaly ad›nda 3 önemli ve birbirinden ba¤›ms›z özelli¤e sahiptir. Statistical Anomaly daha ziyade DoS/DDoS ataklar›na karfl› gelifltirilmifl bir çözüm oldu¤u için hiç üzerinde durmuyorum. Gelelim di¤erlerine… Bir NIPS ürününde bulunan Protocol Anomaly özelli¤i yüzlerce protokolü çözer ve analiz eder. Çünkü ataklar›n büyük k›sm› protokol bozukluklar›na neden olur. Böylece PatternMatching tekni¤inin gereksinimi olan imza güncellemesine ihtiyaç duymadan birçok bilinmeyen atak engellenebilir. Örnek vermek gerekirse Protocol Anomaly ile donat›lm›fl birçok NIPS ürünü Slammer ve Code Red gibi bilinmeyen ataklara karfl› sistemleri korumay› baflarm›fllard›r. Application Payload Anomaly özelli¤i ise özellikle Shellcode bazl› atakla- ra karfl› koymak için gelifltirilmifltir. Oldukça baflar›l› örnekleri bulunan bu özellikle birçok atak, a¤ seviyesinde durdurulabilir. Shellcode ataklar› sisteme ciddi zararlar verebilecek atak tipleridir, bu sebeple Application Payload Anomaly tekni¤inin baflar›s› oldukça önemlidir. Bu arada özel bir not düflmek istiyorum. Ço¤u yerde Polymorphic türev ataklar›nda NIPS ürünlerinin yetersiz oldu¤u söylenir. ADMutate yaz›p Google’da arat›rsan›z baz› makaleler bulabilirsiniz (Bulaca¤›n›z makalelerin büyük k›sm› 2002 y›l›na ait olacakt›r). Varsay›m, özel yöntemlerle flifrelenmifl veya de¤ifltirilmifl exploit’lerin NIPS taraf›ndan tespit edilemeden sisteme gönderilebilece¤idir. ‹flte bu konuda Application Payload Anomaly özelli¤i bize koruma sa¤lar. NSS NIPS raporlar›n› incelerseniz IPS Evasion testlerinde ADMutate gibi bilinen ataklara karfl› hemen hemen tüm NIPS ürünlerinin koruma sa¤lad›¤›n› görebilirsiniz (www.nss.co.uk). Gerçi aç›kça söylemek gerekir ki bu testlerin sonuçlar›nda dikkat edilmesi gereken ADMutate ataklar›n›n engellenip engellenmedi¤i de¤il, “decode” edilip edilemedi¤idir. Nitekim “mutated” dedi¤imiz de¤ifltirilmifl yap›da olan ataklar›n tespit edilebilmesi için NIPS üreticileri yo¤un mesai harcamaktalar. Decode edilemeyen bir trafi¤in içinde atak aramak mümkün de¤il. Baz› ürünler decode edemedi¤i trafi¤i otomatik olarak englleyebilir ancak bu da False Positive dedi¤imiz hatal› atak tespiti oran›n› artt›racakt›r. Profesyonel bilgi güvenli¤i uzmanlar› için bu hayati bir konudur. Yaz› içeri¤i ile direk ilgisi olmad›¤›ndan daha fazla detay veremeyece¤im, ilgilenenler benimle temasa geçebilir. Host Intrusion Prevention System (HIPS) Hiç flüphe yok ki Zero-day ataklar›na karfl› NIPS’in koruma kalkan› HIPS’e göre daha zay›ft›r. HIPS ürünlerinin kulland›¤› teknikleri tek tek aç›klamaya kalksam Beyaz fiapka’da 10 sayfa yaz› yazmam gerekir. Burada birkaç önemli noktaya de¤inmekle yetinmek zorunda kalaca¤›m. HIPS ürünlerinden baz›lar› Pattern-Matching tekni¤ine de sahiptir ancak onlar› de¤erli k›lan Zero-day Protection özellikleridir. Bunlardan en önemlisi de hiç flüphesiz Buffer Overrun Protection özelli¤idir. Buffer Overrun aç›klar› sistemlerin tüm ifllevlerini uzaktan ele geçirmeye neden olur. Çünkü bu ataklar iflletim sisteminin adreslemedi¤i haf›za bölümlerinde çal›fl›r, bu sayede iflletim sistemi üzerinde bulunan güvenlik tan›mlar›na tabi tutulamaz. HIPS ürünlerinin büyük k›sm› Buffer taflmalar›n› otomatik olarak alg›lar ve engeller. Ata¤›n bilinip bilinmemesinin önemi olmad›¤› gibi kayna¤›n›n lokal ya da remote olmas› da önemli de¤ildir. HIPS her koflulda koruma sa¤layacakt›r. taraf›ndan kullan›lan “VNC Injection” örne¤i olacak. Sistemde bulunan bir a盤› kullanarak kurban sisteme VNC Server yaz›l›m›na ait DLL’i gönderip bize geri ba¤lant› yapmas›n› sa¤layabiliyoruz. K›saca hack etti¤imiz sistemin ekran görüntüsünü oldu¤u gibi hem de yönetici yetkileriyle alabiliyoruz. Ço¤u durumda DLL Injection gibi teknikler Buffer Overrun gibi baflka zaaflarca tetiklenmek zorundad›r. Temel olarak HIPS ürünleri d›flar›dan iflletim sistemine ya da direk sistem haf›zas›na çal›flt›r›labilir bir uygulama sokulmas›n› engelleyebilir. Bu sayede sisteminizde bir güvenlik a盤› bulunsa bile ‘hack’ giriflimi baflar›s›z olacakt›r. HIPS ürünlerinin anlat›lmadan geçilemeyecek di¤er bir özelli¤i de Resource Protection özelli¤idir. Kritik dosyalar, dizinler ve Windows Registry kay›tlar› kesin olarak koruma alt›na al›nabilir. Asl›nda iflletim sisteminin de kendi içerisinde eriflim denetimi özelli¤i vard›r. Ancak yukar›da anlatt›¤›m›z gibi baz› ataklarda iflletim sistemi eriflim denetimi özellikleri kolayca atlanabilir. HIPS ürünleri atak olsun olmas›n, belirtilen kaynaklar› kesin koruma alt›na al›r. Örne¤in yeni yay›lmaya bafllam›fl bir internet solucan› bütün sistemlere s›zabilir (Slammer, Code Red vs..) ancak HIPS taraf›ndan korunan sistemler bu ataklardan zarar görmeyecektir. Hatta HIPS yöneticisi izin vermezse, sistem yöneticisi bile koruma alt›ndaki kay›tlar› de¤ifltiremez. Sonuç NIPS ve HIPS ürünleri %100 koruma sa¤lar m›? Bu soruya ne güvenlik uzmanlar› ne de ürün üreticileri evet cevab›n› veremez. Hiç flüphe yok ki, NIPS konusunda k›saca bahsetti¤im polymorphic atak tipleri gibi, her geçen gün yeni atak metotlar› türeyecektir ve bunlar›n bir bölümü NIPS ve HIPS ürünleri kullan›l›yor olmas›na ra¤men etkili olacakt›r. Ancak NIPS ve HIPS üreticileri bu geliflmeler karfl›s›nda uyumuyorlar, ürünlerini ve teknolojilerini sürekli gelifltiriyorlar. Öyleyse NIPS/HIPS projesi yaparken üzerinde durmam›z gereken en önemli konu ürün seçimi. Ürünü seçerken çok küçük ayr›nt›lara dikkat etmemiz ve üreticinin IPS teknikleri üzerindeki vizyonu anlamam›z gerekiyor. Bunun yan› s›ra ürünlerin do¤ru yap›land›r›lmas› da çok önemli. Bu noktada atak tiplerini iyi tan›yan uzmanlardan fikir veya destek al›nmas› son derece kritik. Nitekim bahsetti¤im koruma tekniklerinin baz›lar› varsay›lan olarak aktif durumda gelmiyor. Teknik özelliklerin iyice incelenerek, ad›m ad›m devreye al›nmas› ve test edilmesi gerekiyor. Bu aflamada yap›lacak yap›land›rma hatalar› pahal›ya mal olabilir. Kaynaklar: http://www.mcafee.com/us/local_content/white_pa- Di¤er önemli bir koruma tekni¤i de haf›zaya ya da iflletim sistemine yap›lacak Injection ataklar›na karfl›d›r. Burada sözü edilen Injection ata¤›n›n “SQL Injection” ile hiçbir ilgisi yoktur. San›r›m bu konuda verebilece¤im en basit örnek metasploit pers/wp_ddt_anomaly.pdf http://www.nss.co.uk/grouptests/ips/edition3/pdf/IPSED3-0601-MA.pdf http://www.metasploit.org/projects/Framework/screenshots.html http://www.securityfocus.com/infocus/1670 kas›m 2006 beyazflapka 3 Mehmet EMRE mehmete@microsoft.com Visual Studio 2005 ile Gelen Güvenlik Özellikleri u yaz› dizimizde ASP.NET 2.0, NET Framework 2.0 ve Visual Studio 2005 ile gelen yeni güvenlik özelliklerini sizlerle paylaflaca¤›z. Web uygulamalar› gelifltirirken ASP.NET 2.0 yaz›l›mc›lara güvenli kodlar yazmak konusunda önemli imkanlar sunmaktad›r. Microsoft .NET Framework 2.0 da güvenli uygulamalar gelifltirme konusunda önemli özellikler içermektedir. Önümüzdeki say›larda bu özellikleri detayl› inceleme flans› bulaca¤›z. Bu makalemizde Visual Studio 2005 ile gelen yeni uygulama güvenlik özelliklerini inceleyece¤iz ve büyük resmi gözden geçirece¤iz. Önümüzdeki say›larda bu büyük resmin bileflenlerine bu köfleden daha detayl› bakma flans›m›z olacak. Genelde yaz›l›mc›lar güvenli kod yazmak konusunda isteklilerdir. Fakat pratikte güvenli kaynak kodu ve uygulamalar gelifltirmek için ihtiyaç duyacaklar› bilgileri edinmeye yetecek zaman› hiçbir zaman ay›ramazlar veya bulamazlar. Kod yazarken genelde çözmek durumunda olduklar› ifl problemleri ve algoritmalar› üzerine odaklan›rlar ve bu s›rada güvenlik ile ilgili konulara yeterince ilgi gösteremezler ve ço¤u zaman da yo¤un çal›flma temposu içerisinde bunlar› gözard› etmek durumunda kal›rlar. Bu perspektiften bak›ld›¤›nda güvenli uygulamalar gelifltirebilmek için yaz›l›m araçlar›n›n çok önemli bir rol oynad›¤›n› söyleyebiliriz. Yaz›l›m gelifltirme araçlar› ve platformu, güvenli uygulamalar gelifltirmek konusunda yaz›l›mc›lara ekstra ifl yükü oluflturmaks›z›n, uygulaman›n genel güvenli¤ine önemli katma de¤er sa¤layabilir bir tak›m güvenlik kontrollerinin çok az bir eforla ya da hiç efor sarfetmeksizin otomatik olarak yap›lmas›n› sa¤layabilirler. Bu yaz›m›zda yönetilen kodlar (Managed Code - CLR) üzerinde çal›flan kodlar üzerinde yaz›l›m gelifltirme platformu olarak Visual Studio 2005'in sa¤lad›¤› güvenlik avantajlar› üzerinde duraca¤›z. Bu iki alanda Visual Studio 2005 ile gelen yeni özellikleri irdeleyece¤iz. B Yönetilen kodlar için Visual Studio 2005 ile gelen yeni güvenlik özellikleri Yönetilen kodlarda oluflabilecek güvenlik sorunlar› nativ kodlardan oluflabilecek güvenlik sorunlar›ndan farkl›l›klar gösterecektir. Örne¤in yönetilen kodlar›n CLR içinde çal›flmas› ve bellek yönetiminin CLR taraf›ndan yap›l›yor olmas› geleneksel buffer 4 beyazflapka kas›m 2006 overrun sorunlar›n›n oluflturaca¤› tehdidi büyük ölçüde ortadan kald›r›r. Bununla birlikte yönetilen kodlar içinde de baz› güvenlik boflluklar› oluflabilir. Bu alanda Visual Studio 2005 bize ciddi kolayl›klar sa¤lamaktad›r. Kod analizi (Code Analysis – FxCop) Derlenen her kodun do¤ru yaz›lm›fl kod oldu¤unu söylemek mümkün de¤ildir. Bununda ötesinde derleme süreci kodun güvenli bir kod oldu¤unu teminat alt›na almaz. Yaz›lan kaynak kodu, derleyicinin kontrolü d›fl›nda güvenlik, isimlendirme standartlar›, performans, güvenilirlik, yerellefltirme ve kurumsal tasar›m kurullar›ndan da geçirilmelidir. Visual Studio 2005 'ten önce .NET ortam›nda bir eklenti olarak kullanabildi¤imiz FxCop arac› kodlar›m›z› derleme kurallar› d›fl›nda yukar›da bahsedilen kurallardan geçirebilmemize imkan sa¤lar. Kural kümesi olarak standart bir kurallar dizisi araç içerisinde bulunmaktad›r. Dilendi¤inde buradaki kurallar özellefltirilebilir veya yeni kurallar oluflturuflabilir. FxCop eklentisi Visual Studio 2005 ürünü ile birlikte kod analiz arac› olarak entegre gelifltirme ortam› dahilinde kodumuzu önceden tan›mlanm›fl kurallar (güvenlik kurallar›da bu kurallar içerisinde yer almaktad›r) çerçevesinde analiz etmemize imkan sa¤lamaktad›r. Kurallar kural listesi içerisinde gruplanarak organize edilebilir. Kod güvenlik kurallar› ve kod performans kurallar› ayr› kural gruplar› içinde yer al›r. Kod analizi yapabilmek için proje özelliklerinden “Code Analysis” sekmesine gidilerek buradan kod analizi aktive edilmelidir. Kod derlemeleri kod analizinde yer alan kurallara göre kaynak kodlar› analiz edilir ve hata listesinde kurallara uymayan kod parçac›klar› uyar› olarak gösterilebilir. Kod analiz kurul gruplar› veya kurullar›ndan baz›lar› aktive edilip di¤erleri kod analizinden ç›kar›labilir. Kod eriflim güvenli¤i (Code Access Security) Tüm .NET uygulamalar› CLR içinde kod eriflim güvenlik (CAS – Code Access Security) modeli üzerinde çal›fl›r. Assembly‘nin yeri , assembly‘nin imzas› gibi faktörlere dayal› olarak güvenlik haklar› verilir. Bu faktörler kullan›c›, makina veya domain seviyesinde politikalar ile karfl›laflt›r›l›r. ‹lgili politikalar bu faktörler ile iliflkilendirilerek, uygulaman›n spesifik haklar ile çal›flmas› garanti alt›na al›n›r. Buna kavramsal olarak k›smi güven (partial trust) denir. Bu tarz uygulamalar› gelifltirirken yaflanan en önemli s›k›nt›, gelifltirme aflamas›nda uygulama, üretim ortam›ndaym›fl gibi simule ederek test edebilmektir. Yaz›l›mc›, gelifltirme yaparken tüm haklara sahip olacakt›r. Bu uygulaman›n internet ya da intranet güvenlik seviyelerinde hangi haklara sahip olaca¤›n› görmek için, uygulamay› bu ortamlara tafl›yarak test etmek gerekecektir. Visual Studio 2005, yaz›l›mc›lara IDE ‘den ayr›lmadan, farkl› güven seviyelerinde uygulamalar›n›n nas›l davranaca¤›n› test ermek için araçlar ve bir tak›m özellikler içermektedir. ClickOnce ile kod yayg›nlaflt›rma (ClickOnce Deployment) ClickOnce, Visual Studio 2005 ile gelen ve k›s›tl› haklarla çal›flan kullan›c›lara ak›ll› istemci uygulamalar›n› da¤›tmak konusunda, yaz›l›mc›lara esneklik sa¤layan bir teknolojidir. Ak›ll› istemci uygulamalar› dosya paylafl›m›, FTP paylafl›m alan› veya bir internet/intranet sitesi üzerinden http kullan›larak yayg›nlaflt›r›labilir. Burada kullan›lan dosya veya FTP paylafl›m alan›, internet/intranet sitesi yayg›nlaflt›rma sunucusu olarak adland›r›l›r. ‹lgili yayg›nlaflt›rma sunucusuna yeni bir versiyon yaz›l›mc› taraf›ndan yüklendiyse, son kullan›c› uygulamay› bafllatt›¤›nda yayg›nlaflt›rma sunucusu üzerinde yap›lan otomatik versiyon kontrolü s›ras›nda güncelleme farkedilir. Yerel depolama alan›ndaki sürüm güncellenerek, kullan›c›n›n uygulamay› en güncel haliyle kullanmas› sa¤lan›r. Visual Studio 2005 bu tür k›smi güvenlik modeli ile çal›flan uygulamalar›n entegre gelifltirme ortam› içinde test edilebilmesine olanak tan›r. ‹lgili özellik, kod eriflim güvenli¤i alt›nda çal›flacak uygulamalar gelifltirmek ve test etmekte çok önemli zaman kazanc› sa¤lar. Güvenlik alan› içinde hata ay›klama (Debug in Zone) “Debug in Zone” özelli¤i yaz›l›mc›lara, uygulama gelifltirme süreci içerisinde, kodlar›n› hangi güvenlik alan› içinde çal›fl- >> ClickOnce, kullan›c›lara uygulama da¤›t›m› konusunda esneklik sa¤layan bir uygulamad›r kas›m 2006 beyazflapka 5 Mehmet EMRE mehmete@microsoft.com Visual Studio 2005 ile Gelen Güvenlik Özellikleri isterlerse o güvenlik alan› içinde test etme imkan› ve>> t›rmak rir. Böylelikle farkl› güvenlik seviyelerinde izinler içeren politikalar›n geçerli oldu¤u durumlarda, gelifltirdikleri uygulamalar› beklentileri do¤rultusunda çal›fl›p çal›flmayaca¤›n› test etme flans› bulurlar. Yönetilen uygulamalarda bu özellik, proje özelliklerinin güvenlik sekmesinden eriflilebilir. Burada uygulaman›n k›smi güven seviyesinde çal›flaca¤›n› belirtebiliriz. Daha sonra hangi güvenlik alan›nda (zone) uygulamam›z› test etmek istedi¤imizi belirtebiliriz. Güvenlik alan›n›n ayarlar›n› özellefltirebiliriz. Böylelikle uygulaman›n üretim ortam›nda çal›flaca¤› makine ya da güvenlik alanlar›n› simüle etmifl oluruz. Hata ay›klama s›ras›nda daha geliflmifl hata uyar›lar› (Improved Security Exceptions during Debugging) Güvenlik alan›n›z› belirledikten sonra, uygulaman›z sanki belirlenen güvenlik alan›nda çal›fl›yormufl gibi güvenlik hatas› üretir. Yeni güvenlik hata penceresi, hata ay›klama s›ras›nda hangi güvenlik hatalar› ile karfl›laflabilece¤iniz konusunda fikir verir. Güvenlik hata penceresi hata konusunda sizi uyarmakla kalmaz, yapman›z gerekenler konusunda sizi yönlendirir. Güvenlik bölgesine göre IntelliSense (IntelliSense in the Zone): “IntelliSense in the Zone”, Visual Basic’e özgün bir güvenlik özelli¤idir. Bu özellik, IntelliSense‘in sadece o güvenlik alan› için izin verilen API’lerle s›n›rl› kalmas›n› sa¤lar. Etkin güvenlik alan›nda geçerli olmayan fonksiyonlar, etkin olmayacak flekilde gösterilir. Bu da yaz›l›mc›n›n etkin güvenlik alan›nda sadece izin verilen fonksiyonlar› kullanmas›n› zorunlu k›lar. 6 beyazflapka kas›m 2006 PermCalc (Permission Calculator) PermCalc, yönetilen uygulaman›n .NET yaz›l›mc›lar› taraf›ndan baflar›yla çal›flt›r›labilmesi için gereken izinlerin analiz edilmesini sa¤lar. Bu özellik, Visual Studio 2005 ile gelmifltir ve yönetilen kodlar için proje özelliklerinden güvenlik sekmesinden ulafl›larak çal›flt›r›labilir. PermCalc’› entegre yaz›l›m gelifltirme ortam› içinden kullanmak için uygulaman›n hedef güvenlik alan›n›n ayarlanmas› ve “Calculate Permission” dü¤mesine bas›lmas› yeterli olacakt›r. Araç, ilgili güvenlik analizini yaparak verilenden daha fazla izne gereksinim olup olmad›¤›n› hesaplar. Böylelikle uygulaman›n ihtiyac› olan, fakat hedef güvenlik alan›nda olmayan haklar› önceden tespit edip hedef güvenlik alan›n›z›n ayarlar›n› güncelleme flans› bulabilirsiniz. Yönetilen kodlar için Visual Studio 2005 ile gelen yeni güvenlik özellikleri Getirilen yeniliklerden baz›lar› hem nativ hem de yönetilen kodlar üzerinde uygulanabilir. Bunlar temelde iki alanda incelenebilir. En az hak ile gelifltirme ve hata ay›klama Kötü niyetli kodlar›n verebilece¤i zararlar› k›s›tlaman›n en önemli yöntemlerinden birisi, kodlar›n gerekli en az hak ile çal›flaca¤› bir ortam oluflturmakt›r. Bu yönde k›s›tlamalar yap›lmazsa, ço¤u kiflinin yönetici yetkileri ile çal›flt›rd›¤› kötü niyetli kodlar yönetici haklar›yla ilgili makinelerde çal›flma flans› bulacakt›r. Genel bir güvenlik kural› olarak admin haklar› olan hesaplar ile çal›flmaktan fliddetle kaç›nmak gerekir. Visual Studio‘nun eski sürümlerinde k›s›tl› haklarla uygulama gelifltirmek ve hata ay›klamak oldukça zordu. Visual Studio’nun kendisi yüksek ayr›cal›kl› haklar gerektirmektey- Uygulaman›n yaz›l›mc›lar taraf›ndan baflar›yla çal›flt›r›labil mesi için izinleri analiz edebilirsiniz di. Bu durum Visual Studio 2005‘te de¤ifltirildi. Visual Studio 2005, normal bir kullan›c› hesab› ile admin yetkileri olmaks›z›n çal›flabilmenizi veya hata ay›klayabilmenizi mümkün k›lar. lar uygulamay› özellikle normal ak›fl›ndan ç›karacak hatalar yapt›r›p buralarda çal›flan kodlar üzerinde güvenlik aç›klar› olufltururlar. Birim testleri bu gibi sald›r›lar›n önüne geçmek konusunda önemli avantajlar sa¤lar. Yeni test özellikleri Birim testleri Yük testleri Birim testleri, belirli girdiler ile beklenen bir dönüfl de¤eri veya de¤erlerinin elde edilip edilemeyece¤ini test eder. Kullan›c› verisi ifllenirken, verinin bekledi¤imiz özelliklerde olmas›n› sa¤lamak önemlidir. Veriyi ifllemeden önce test etmemiz gereken iki fley, veri tipi ve veri uzunlu¤udur. Birim testleri, bir fonksiyona rastsal girdiler göndererek , uygulaman›n do¤ru ç›kt›y› üretti¤ini ve uygulaman›n genelinin do¤ru çal›flt›¤›n› garanti alt›na almam›z› sa¤lar. Ayr›ca birim testler yap›l›rken kod kapsam› da etkinlefltirilerek kodun ne kadar›n›n ilgili birim testiyle test edildi¤i izlenebilir. Az kullan›lan kodlar, mesela yap›sal hata iflleme (structure exception handling) bloklar› da test edilmifl olur. Genelde sald›rgan- Yük testleri de güvenlik aç›s›ndan önemlidir. Çünkü DoS (Denial of Service) senaryolar› gibi ataklara karfl› web uygulamalar›n›n test edilmesini sa¤lar. Yük test arac› hem uygulaman›n alaca¤› yükü test etmek, hem de normal durumlar d›fl›nda uygulaman›n sald›r› durumunda davran›fl›n› simüle etme imkan› verir. Sonuç Visual Studio 2005 bir yaz›l›m arac› ve platformu olarak misyon kritik güvenli kodlar gelifltirmek konusunda yaz›l›mc›lara önemli f›rsatlar sunmaktad›r. Visual Studio ile birlikte gelen araçlar ile güvenli uygulamalar gelifltirmek, test etmek ve bunlar› yayg›nlaflt›rmak çok daha kolayd›r. kas›m 2006 beyazflapka 7 Bora DAL bora.dal@ro.ey.com Biliflim Sistemleri ve Risk Yönetimi: Dalgal› denizlere yelken açmak Sa¤l›kl› bir risk yönetimi için risk belirleme, risk indirgeme ve anlay›fl› gözden geçirme/yeniden belirleme aflamalar› izlenmelidir. isk kelimesi her ne kadar elle tutulur, gözle görülür imgeleri ça¤r›flt›rmasa da gündelik hayatta s›k s›k kullanmaktan çekinmedi¤imiz bir kelime. Kullanmasak da yaflam›m›za en az›ndan hayat›m›z› kolaylaflt›rmak için istemsizce soktu¤umuz bir unsur. Örne¤in kar ya¤d›¤›nda, devam›nda flehir ve ulafl›m felç oldu¤unda uyar›lar do¤rultusunda arabam›z› evde b›rak›p toplu tafl›ma araçlar›n› tercih etmemiz bunun bir örne¤i. Çünkü biliyoruz ki kar ya¤d›¤›nda arabam›z›n çeflitli sebeplerle yolda kalma ihtimali var. ‹fle ya da zaman›nda varmam›z gereken yerlere geç kalma riski söz konusu. Arabam›z illa ki yolda kalacak de¤il, az gecikmeyle ya da gecikmesiz gitmemiz gereken yere ulaflmam›z da mümkün. Ama önceki “kar ve flehir” deneyimlerimizden olsun, yap›lan uyar›lardan olsun, kendi d›fl›m›zdaki etkenleri kontrol edemeyiflimizden olsun, saatlerce yolda kalma veya daha kötüsü kaza yapma riskini üstümüze almak istemiyor ve arabam›z› evde b›rak›yoruz. R Geliflen teknolojinin organizasyonlar›n her alan›na girmesiyle biliflim sistemlerinin güvenli¤i, bütünlü¤ü ve süreklili¤inin sa¤lanmas›, ifl devaml›l›¤› için bir flart haline gelmifltir. Hatta organizasyonlar›n üst düzey yönetimleri yavafl yavafl biliflim sistemlerinin önemini kavramaya bafllam›fl, onlars›z devam edemeyeceklerini anlam›fllard›r. Risk yönetiminin ister biliflim sistemleriyle ilgili olsun, ister finansal kayb› önlemek amaçl› olsun temel olarak ayn› ad›mlardan olufluyor olmas›, ortak bir vizyon uygulanmas›nda kolayl›k sa¤lar. Ancak ad›mlar›n, organizasyonun farkl› k›s›mlar›nda uygulanabilmesi ayr› uzmanl›k alanlar›na sahip bölümlerin ortak çal›flmas›n› gerektirir. Sa¤lanmas› hiç kolay olmayan bu koordinasyonun, ancak üst yönetimin deste¤iyle organizasyonsal bir çaba haline getirilmesi mümkündür. K›sacas› BT Risk Yönetimi organizasyonel risk yönetim anlay›fl›n›n bir parças›d›r. 3 ad›m Kar burada sadece bir etkendir. Yani her zaman olan kaza yapma ya da yolda kalma riskini yükselten bir d›fl etkendir. Çeflitli sebeplerle arabam›z›n yolda kalmas›, biz ve arabam›zdan yani iç etkenlerden kaynaklanan bir risk olarak görülebilir. E¤er gidece¤imiz yere yolda kalm›fl baflka bir araç dolay›s›yla gidememiflsek d›fl etkenler buna yol açm›flt›r diyebiliriz. Risk yönetimi, ak›lda kalmas› kolay 3 ad›mdan oluflur: • Riskin belirlenmesi • Riskin indirgenmesi • Anlay›fl›n gözden geçirilmesi ve yeniden belirlenmesi Sa¤l›kl› bir risk yönetimi ortam›, ancak bu 3 ad›m›n birlikte düflünülmesi ve s›ras›yla uygulanmas›yla kurulabilir. Ancak flu ana kadar gerçeklefltirdi¤imiz projelerde gözlemledi¤imiz kadar›yla en çok zorlan›lan aflamad›r. Bunun sebebi organizasyonlar›n, kendilerini ve çevrelerini saran manzaray› tam olarak tan›mlayamamalar›ndand›r. Maalesef organizasyonumuzun ya da flirketimizi ilgilendiren riskleri önlemeyi b›rak›n görmemiz dahi kolay de¤il. D›flar›da karmafl›k pazar ortam›, zorlu bir rekabet, uyulmas› gereken yasal gereklilikler zaten yeterince büyük olan resmi bulan›klaflt›r›p risklerin belirlenmesini zorlaflt›rmaktad›r. Belirlemek Bunun üstesinden gelinebilmesi için risk kavram›na metodolojik olarak bak›lmas› gerekmektedir. Risk yönetimi yaklafl›m› iste bu gereksinimden do¤mufltur. Risk yönetimi ilk olarak 1970’lerde insan yap›m› felaketlerin öngörülebilmesinde kullan›lmaya bafllanm›fl, 1980’lerde ise finans sektörüne finansal yat›r›m araçlar›n›n getirisini tahmin etmek amaçl› girmifltir. BT sistemleriyle ilgili olumsuzluklar›n gerçekleflebilme ihtimalini anlayabilmemiz için tehditlerin potansiyel aç›kl›klar ve var olan kontrollerle birlikte analiz edilmesi gerekmektedir. Söz konusu zay›fl›klar kullan›larak, BT sistemlerine ne derece zarar verilebilece¤i, söz konusu zay›fl›kla sistemin ne kadar derinine inilebilece¤i ile ilgilidir. Burada derinlikten kas›t tehdidin oluflmas› sonucunda biliflim sistemleri ve flirketin Kaynak UK: RMI Risk Management Standard 8 beyazflapka kas›m 2006 hassas de¤erlerinin ne kadar zarar görece¤idir. Mevcut organizasyon içi durumun belirlenmesine, afla¤›daki genel sorulara cevap verilmeye çal›flarak bafllanabilir: • Organizasyona ait tüm de¤erler kay›tl› ve sürekli güncelleniyor mu? • Organizasyona ait bütün varl›k ve de¤erler fiziksel ve mant›ksal olarak yeterince korunabiliyor mu? Çal›flanlar›n can güvenli¤i yeterince sa¤lanabilmifl mi? • Organizasyonun biliflim sistemleri kaynaklar› ne derece yönetilebilir? • Fiziksel ve mant›ksal kaynaklara eriflim gereklilik esas›na göre ne derece sa¤lan›yor? • Sistemler, çal›flanlar›n gündelik süreklilik gereksinimini karfl›layacak verimlilikte çal›fl›yor mu? • Do¤al afet ya da beklenmeyen bir durumda sistemlerin devaml›l›¤›n›, verinin bütünlü¤ünü ve devaml›l›¤›n› sa¤layabilecek önemler al›nd› m›? • Sistemler yapmalar› gerekenleri do¤ru olarak yap›yor mu ve bunu periyodik olarak iç ve/veya d›fl kaynaklarla denetliyor muyuz? Bu sorulara ilave olarak sorulmas›n›n gerekli oldu¤u kanaatine var›lan baflka sorular da eklenebilir. fiüphesiz, yukar›daki sorular›n en önemlisi ilkidir. Nelerin korunmas›n›n gerekti¤ini anlamadan, listelemeden onlar› korumaya yönelik ad›mlar›n at›lmas› mümkün de¤ildir. Buna verilebilecek en güzel örnek son zamanlarda oldukça yayg›nlaflan PDA’lerdir. ‹fl amaçl› olarak kullan›ld›¤›ndan haberdar olmad›¤›m›z bir PDA’in çal›nmas› ya da kaybolmas› durumunda içindeki verinin a盤a ç›kmas›n› engelleyemeyece¤imiz gibi bunun olmas›na karfl› önlem de alamay›z. NIST in Risk Management Guide for Information Technology Systems’de yer alan risklerin belirlenmesi aflamas›nda yap›lmas› gerekenler afla¤›da ad›m ad›m incelenmifltir. 1. Sistemlerin tan›mlanmas›: Risklerin anlafl›lmas› için öncelikle çal›flman›n yap›laca¤› alan›n belirlenmesi gerekmektedir. Bunun için güncel bir envanterden yola ç›k›larak, hangi donan›m›n üzerinde hangi iflletim sistemi oldu¤u ve hangi ifl süreçlerini destekleyen programlar› çal›flt›rd›¤› anlafl›lmal›d›r. Bunun yan› s›ra kimlerin bu sistemlere destek verdi¤i, kulland›¤›, içinde tutulan verinin hassasiyeti gibi konular da incelenmelidir. Bu çal›flmaya söz konusu sistemler için yaz›lan politika ve prosedürler, sistemlerin a¤daki yerleri, donan›m›n etraf›ndaki çevresel kontrolleri de eklemeyi unutmamak gerekir. Bu ad›m›n sonunda, var olan biliflim teknolojileri sistemleri hakk›nda birçok bilgi toplanm›fl olacakt›r. 2. Tehditlerin belirlenmesi: Tehdit kazayla ya da bilerek bir zay›fl›ktan faydalan›lma potansiyeli olarak tan›mlanabilir. E¤er zay›fl›k yoksa tehdit uygulanabilme riski tafl›maz. 3 ana tehdit kayna¤›n› do¤a, insan ve çevresel kaynakl› tehditler olarak listeleyebiliriz. Do¤al tehditler: deprem, sel, uzun süreli hava muhalefeti, heyelan, vs… ‹nsan kaynakl› tehditler: ‹stemli ya da istem d›fl› insan kaynakl› olaylar. A¤ tabanl› sald›r›lar, zararl› yaz›l›m etkileri, hassas veriye izinsiz girifl. Çevresel tehditler: Uzun süreli elektrik kesintisi, ekonomik kriz, beklenmedik makro ekonomik de¤ifliklikleri, kirlilik. 3. Zay›fl›klar›n belirlenmesi: Bu ad›m›n amac› potansiyel olarak faydalan›labilecek zay›fl›klar›n listelenmesidir. Olas› bir zay›fl›k, kullan›c› hesaplar› iptal edilmemifl eski çal›flanlar olabilir, firewall’daki konfigürasyon hatas› olabilir ya da program gelifltirme sürecinde programc›lar›n üretim sistemlerine girip de¤ifliklik yapmas›na izin verilmesi olabilir. Sa¤l›kl› olarak sistem zay›fl›klar›n›n belirlenmesini sa¤lamak için daha önceden böyle bir çal›flma yap›lm›flsa ondan yola ç›k›labilir, yap›lm›fl sistem güvenlik testlerinden faydalan›labilir veya çeflitli standartlar ve best-practice’lerden faydalanarak güvenlik gereksinimi kontrol listeleri ç›kart›labilir. 4. Kontrol analizi: Bu ad›m da hâlihaz›rda uygulanan ya da uygulanmas› düflünülen kontrollerin incelenmesidir. Zay›fl›klar›n uygulanabilirli¤i var olan kontrollerin etkinli¤ine ba¤l›d›r. Örne¤in potansiyel bir tehdidin oldu¤u alandaki kontrolün yetkinli¤i, o zay›fl›¤›n faydalan›rl›¤›n› indirgeyebilir ya da yol açaca¤› zarar› azalt›r. 5. Olabilirlik tahmini: Potansiyel bir zay›fl›ktan faydalan›labilme ihtimalidir. Düflük, orta, yüksek olarak s›n›fland›r›labilir ve tehdidin do¤as›na, var olan kontrollerin yetkinli¤ine ve tehdit kayna¤›n›n motivasyonuna ba¤l›d›r. 6. Darbe analizi: Zay›fl›ktan faydalan›lmas› durumunda oluflabilecek zarar veya etkinin tahmin edilmesidir. Bu çal›flma sayesinde oluflabilecek biliflim sistemleri de¤erlerinin bafl›na gelebilecek zarar ölçülebilir hale getirilir. Hâlihaz›rda böyle bir çal›flma yap›lmam›flsa, sistemin ve verinin bütünlü¤ü, gizlili¤i ve sürekli¤i baz al›narak önce uygulanmas› gereken hassasiyet derecesi belirlenebilir. 7. Kontrol eklentileri: Çal›flmalar do¤rultusunda yeni belirlenmifl biliflim sistemleri veya veriyle ilgili risk seviyelerinin yönetim taraf›ndan kabul edilebilir bir seviyeye indirgenmesi için yeni kontrollerin belirlenmesidir. 8. Sonuç dokümantasyonu: Önceki ad›mlarda yap›lan çal›flmalar sonucunda belirledi¤imiz tehdit, zay›fl›k ve risklerle beraber yeni kontrol önerileri resmi bir flekilde raporlanmal›d›r. Rapor üst yönetimin anlayaca¤› bir dilde yaz›lmal› ve mümkünse bilgilendirme toplant›s› eflli¤inde sunulmal›d›r. Önümüzdeki Beyaz fiapka say›s›nda biliflim sistemleri risk yönetimi konusuna belirledi¤imiz risklerin indirgenmesi konusuyla devam edece¤iz. kas›m 2006 beyazflapka 9 Arma¤an ZALO⁄LU armagan_zaloglu@mcafee.com McAfee A¤ Eriflim Kontrolü (NAC) Çözümü McAfee Policy Enforcer (MPE) “McAfee Policy Enforcer (MPE)” bilgisayarlar› a¤a ba¤lanmadan önce uygunluk kontrolünden geçiren ve bu kontrol sonucu e¤er gerekiyorsa güncellemelerin yap›lmas›n› sa¤layan bir “a¤ eriflim kontrolü” (Network Access Control - NAC) çözümüdür. MPE’nin kullan›ld›¤› a¤larda e¤er bir sistem güvenlik a盤› içeriyor ve/veya zararl› kodlardan etkilenmifl ise kurumsal a¤a ba¤land›r›lmayacak, bir karantina bölgesine yönlendirilip burada gerekli güncellemeler yapt›r›ld›ktan sonra a¤a girifline izin verilecektir. Politika, güvenlik yamalar›n›n ne s›kl›kta yap›laca¤›, antivirüs yaz›l›m› için hangi tan›m dosyalar›n›n gerekti¤i veya belirli bir sisteme sabit diskte önemli/hassas veriler içerdi¤i için farkl› bir ba¤lant› politikas› atanmas› gibi kurallar› içerir. Her bir kural, iflletim sistemini ve di¤er kriterleri belirler. Ayn› zamanda hangi uç noktan›n hangi özellikler için taranac¤›n› da belirler. Basit bir kural, tüm Microsoft XP uç noktalar›n›n MS04-044 yamas›n› içermesi gerekti¤ini belirleyebilir. Daha karmafl›k bir kural ise NetBIOS ismi SRV ile bafllayan tüm Windows 2000 sunucu platformlar›n›n Service Pack 4 yan›nda MS04044, MS04-040 ve MS04-052 yamalar›n›, antivirüs DAT dosyalar›n›n en son versiyondan en fazla bir gün eski olabilece¤ini ve MyDoom virüsünden etkilenmemifl olmamas› gerekti¤ini tan›mlayabilir. E¤er bir cihaz uç nokta güvenlik MPE mimarisi MPE 3 farkl› bileflenden oluflan yaz›l›m tabanl› bir çözümdür: 1 MPE Sunucusu 2 MPE Sensörü 3 MPE Taray›c›s› MPE sunucusu MPE sunucusu sistem yöneticilerinin a¤ eriflim politikalar›n› belirleyebildi¤i, de¤erlendirme taramalar›n›n›n zaman›n› programlayabildi¤i ve raporlar alabildi¤i kullan›c› arayüzüyle gerekli altyap›y› sa¤lar. MPE sunucusu ayn› zamanda alarmlar da üretir. 10 beyazflapka kas›m 2006 politikas›na uygun de¤ilse sistem yöneticisi bu cihaz›n sadece denetlenmesi yönünde bir tedbir belirleyebilece¤i gibi karantina bölgesine ve iyilefltirme web portal›na yönlendirilmesi gibi bir politika da tan›mlayabilir. Di¤er bir seçenek de bu cihaz›n a¤dan düflürülmesidir. Sistem yöneticileri, güvenilir uç noktalar belirleyip bunlar›n a¤ eriflim politikalar›ndan ba¤›ms›z davranmas›n› sa¤layabilir. Bu sistemler takip edilir ve raporlan›r. Ancak taranmazlar veya bunlara karfl› tedbir al›nmaz. Önemli sunucular, depolama sunucular›, yaz›c›lar ve di¤er baz› uç noktalar›n güvenilir olarak tan›mlanmas›yla tüm a¤ için genel politika güncellemeleri uygunluk hatas› riskleri en az indirgenerek yap›l›r. Bu sayede bu tip sistemlerin her zaman a¤da aktif olarak bulunmalar› güvence alt›na al›nm›fl olur. MPE, ePO’nun güçlü yönetim arayüzü ile raporlama ve bilgilendirme özelliklerini kullanarak, minimal bir çabayla çok kapsaml› bir politika zorlama arac› elde edilebilir. MPE, ePO ile ayn› sunucuya yüklenerek güçlü donan›m altyap›lar›n›n efektif kullan›lmas›na izin verirken tercihe ba¤l› olarak ayr› bir sunucuya da kurulabilir. MPE sensör MPE sensörleri ister kablolu ister kablosuz olsun, yerel a¤daki tüm uçlar› tespit ederek a¤ topolojisinin gerçek zamanl› bir haritas›n› ç›kar›r. A¤ topolojisi keflfi, yönetilebilir Layer-2 switch’ler üzerinde bulunan tüm protokol ve teknolojilerden faydalan›r. MPE sensörü hem switch’lerden gelen trafik yay›nlar›n›, hem de uçlardan gelen DHCP taleplerini dinler. Sensör, a¤ trafi¤ini MAC adresi, subnet, VLAN gibi bilgileri bulmak için dinler ve bu bilgileri, de¤erlendirme için güvenli bir iletiflim ile MPE sunucusuna iletir. Sensörler a¤da stratejik yerlere -DHCP sunucusunun ya da router’un yan› gibi- konumland›r›l›rlar. Tüm a¤› kapsamak için birden fazla sensör kullan›labilir. Yedekli sensörler, en üst düzeyde güvenlik ve süreklilik sa¤lar. Sensörler, statik IP kullanan sistemlerin broadcast subnet’ine kurulmal›d›r ki trafik yakalanabilsin. MPE sensörü network topolojisinin –switch, switch port, router ve di¤er sensörler– gerçek zamanl› haritas›n› ç›kart›r ve politikaya uymayan bir sistemin h›zla karantinaya al›nmas›n› veya sistemden düflürülmesini (bu harita bilgisini kullanarak) sa¤lar. MPE sensörü switch ve router’lar› da kontrol edebilir. E¤er bir sistemin karantinaya al›nmas› ya da sistemden uzaklaflt›r›lmas› gerekiyorsa, MPE sunucusu bu bilgiyi MPE sen- McAfee Policy Enforcer’›n destekledi¤i 3. parti sistemler Tehdit / Enfeksiyon Kontrolleri • Mydoom • Sasser • Zotob • Bagle • Nachi • Netsky • Ve birçok di¤er zararl› kod Host antivirus • McAfee VirusScan Enterprise ve McAfee VirusScan • Symantec AntiVirus and Norton AntiVirus • Trend Micro Offi ceScan and ServerProtect • Computer Associates ezTrust AV • Sophos Anti-Virus Microsoft service packs • Microsoft Windows Update • Microsoft patches for service packs, operating systems, Internet Explorer Host firewall • McAfee Desktop Firewall • Sygate Firewall • Symantec Firewall • Microsoft Windows XP Firewall Host intrusion Prevention • McAfee Entercept 5.0 • McAfee Host Intrusion Prevention 6.0 Patch management agents • Patchlink Update • BigFix Patch Manager • Microsoft Windows Update • BMC Marimba Patch Management Agent Host antispyware • McAfee AntiSpyware • Webroot Spysweeper • Computer Associates PestPatrol System / policy management agents • Microsoft Secure Messaging Service (SMS) • IBM Tivoli Agent • Symantec ESM Patch assessment (Yama de¤erlemesi) • Microsoft security patches sör’ine iletir ve MPE sensörü de bu komut ile switch’i gerekti¤i flekilde ayarlar. E¤er switch’ler Cisco NAC sisteminden faydalanmak üzere güncellenmifllerse, MPE sensörü karantinaya alma ya da bloklama talimat›n› Cisco NAC sistemine iletir. Sistem yöneticileri her bir sensör üzerinde a¤ topolojisi keflfini MPE sunucusu üzerinden aktif ya da pasif hale getirebilirler. Her bir sensör ayr› ayr› konfigüre edilebilir. MPE sunucusu ile taray›c›s› aras›ndaki iletiflim SSL flifreli olarak yap›l›r. Di¤er firmalar›n yönetim uygulamalar› ile ko- >> kas›m 2006 beyazflapka 11 >> lay entegrasyon için data yap›s› XML olarak MPE sensörü ve MPE sunucusu içinde tutulur. MPE taray›c›s› E¤er host, uç nokta güvenlik politikas›na uygun de¤ilse, MPE taray›c›s› a¤ ile iletiflimi keser. Taray›c›, yönetilen sistemlerde otomatik güncelleme için host tabanl› uygunluk taramas›n›, MPE taraf›ndan yönetilmeyen –harici- sistemler için uzaktan uygunluk taramas›n› yapar. MPE taray›c›s› 3 fonksiyona sahiptir: Tespit, de¤erleme ve karantinaya alma. MPE taray›c›s› bir TDI a¤ sürücüsüdür ve hem tespit hem de karantina ifllemleri için kullan›l›r. Kendili¤inden zorlama/güncelleme modunda tüm fonskiyonlar kullan›l›rken, harici sistemlerde sadece de¤erleme fonksiyonu kullan›l›r. Uzaktan tarama için tespit, MPE sunucusu ile ve karantina VLAN switching’iyle gerçeklefltirilir. MPE taray›c›s› sistem uygunluk taramas› için Foundstone tarama teknolojisini kullan›r. Gerçeklefltirdi¤i kontrollerin bir k›sm› Tablo 1 ‘de listelenmifltir. Taray›c›, içerik ve politika güncellemelerini ePO’dan al›r ve sistemlerin her zaman son yamalar, yüksek riskli aç›klar, yaz›l›m konfigürasyonlar›, virüs aktiviteleri ve di¤er birçok aç›dan kontrol edildi¤ini garantiler. 1. Yerel a¤daki kurum kullan›c›lar› için McAfee host tabanl› zorlama ile NAC Kendili¤inden zorlama “Self-Enforcement” veya istemci tabanl› zorlama, MPE taray›c›s› ile sa¤lan›r. Taray›c› zaten çal›flmakta olan ePO ajan yaz›l›mlar›na (ePO McAfee’nin genel yönetim platformudur 12 beyazflapka kas›m 2006 ve her bir istemci üzerinde bir ePO ajan› çal›fl›r. Bu sistem büyük kurumlarca en çok tercih edilen McAfee kurumsal güvenlik ve yönetim sistemlerinin bel kemi¤idir) yap›lacak küçük bir güncelleme ile sisteme da¤›t›lm›fl olur. Bu istemci tabanl› zorlama sisteminde taray›c›, a¤ ba¤lant›s› ve lokasyon fark›ndal›¤› özelli¤ine sahiptir. Üzerinde MPE çal›flan bir sistemin a¤a giriflinden önce belirlenmifl güvenlik politikalar›na uygunlu¤u lokal olarak kontrol edilir. Bu kontrol çok detayl› ve birçok ince ayarlaman›n devreye sokulmas› ile yap›labilir. Kritik yamalar›n mevcudiyeti, kullan›lmakta olan McAfee’nin ve di¤er üreticilerin güvenlik ürünlerinin konfigürasyon ve güncellenme durumu, yüksek riskli virüslerin olmad›¤›n›n onaylanmas› vs. yap›labilecek kontrollere örnek olarak gösterilebilir. Yap›lan bu kontrollerden sonra belirlenen politikalar baz al›narak sistem ya a¤a girifl izni al›r, ya bloklan›r ya da karantina bölgesine yönlendirilir. Sistem yöneticisinin belirledi¤i s›kl›klarda bu kontroller sürekli ve düzenli olarak yap›l›r. E¤er bir sistem politikaya uygunsa a¤a tam eriflim hakk› elde eder. E¤er uygun de¤ilse (1) izin ver, (2) izin ver ve sistem yöneticisini uyar, (3) sadece karantina bölgesi kaynaklar›na eriflim hakk› ver ya da (4) eriflimi blokla seçenekleri mevcuttur. Uygun olmayan bir sisteme eriflim hakk› verilmesi yeni bir kural›n sisteme uygulanmas›, acil durumlar vs, baz› özel durumlarda söz konusu olabilir. Uygun olmayan sistemin a¤a eriflimi e-posta veya SNMP ile bildirilir ve kay›t (log) tutulur. Yerel a¤daki kuruma ait sistemler karantinaya al›nabilir ya da düflürülebilir. Sistemin a¤ ile olan iletiflimini durdurmak için taray›c› üzerindeki bir a¤ sürücüsü kilitlenir ve iyilefltirme sunucusu ile olan ve yönetsel trafik haricindeki tüm -giden ve gelen- trafik kesilir. Güncelleme ve konfigürasyon de¤ifliklikleri (iyilefltirme) tamamland›ktan sonra iletiflim yeniden sa¤lan›r. Kullan›c›lar›n eriflimi kesildi¤inde ya da karantina bölgesine aktar›ld›klar›nda bir iyilefltirme web portal› üzerinden bilgilendirilirler ve yap›lmas› gerekenler aç›klan›r. Web portal› istendi¤i flekilde düzenlenebilir. 2- Yerel a¤daki yabanc› kullan›c›lar için McAfee switch zorlamas› ile NAC Yerel a¤daki misafir kullan›c›lar›n bilgisayarlar› MPE sensörü taraf›ndan tespit edilir. MPE sunucusu ya sistem yöneticisi eriflim haklar› (credentials) ile ya da sistem yöneticisi eriflim haklar› olmadan en yak›ndaki MPE sensörünü kullanarak sistemi tarar. Uygun sistemlere eriflim hakk› sa¤lan›rken, uygun olmayan ya da yöneticilerin eriflim hakk› olmad›¤› sistemler için çeflitli tedbirler uygulanabilir: eriflim hakk› ver, eriflim hakk› ver ve yöneticiyi uyar, a¤›n belirlenmifl bir bölgesinde karantinada tut ya da switch port’unda a¤dan düflür. E¤er yabanc› sistemler uzaktan tarama için yöneticiler taraf›ndan sa¤lanan eriflim haklar›na cevap vermezse, bu durum bir hata olarak de¤erlendirilip tercihe göre a¤a eriflim modunun de¤ifltirilmesi veya sadece bilgilendirme ile yetinilmesi fleklinde tedbir al›nabilir. MPE uygun olmayan bir yabanc› sistemi SNMP kullan›p farkl› bir VLAN’a tafl›yarak karantinaya alabilir. MPE, switch’e komut göndererek ba¤l› bulunulan VLAN’dan karantina VLAN’›na geçifli sa¤lar. Bu karantina VLAN’› sadece belirli a¤ kaynaklar›na k›stl› eriflim sa¤lan›labilmesi yönünde konfigüre edilebilir. Bu VLAN’a ba¤l› olundu¤u süre boyunca güncelleme ve MPE sunucusuna ba¤lant›ya izin verilir ve böylece gerekli iyilefltirmeler yap›l›rken uygun olmayan sistemlerden kaynaklanabilecek riskler ortadan kald›r›lm›fl olur. Karantina süresince MPE taray›c›s› ile MPE sunucusu aras›ndaki iletiflim, uygun olmayan sistemin orijinal portundan ayr›lmas› sonucunda karantina ifllemlerinin yap›lmas›n› veya birden fazla portun tek bir nod için konfigüre edilmemesini garanti eder. Karantinaya al›nan sistemler politika güncellemelerinin yap›labilece¤i ve tam a¤ erifliminin sa¤lanaca¤› iyilefltirme web portal›na yönlendirilebilir. Sistem uygun hale geldi¤inde kendi orijinal VLAN’›na yönlendirilir. Uygun hale gelmeyen sistemler karantina bölgesinde kal›r ve belirlenmifl güvenlik politikas›n›n tan›mlar›na uygun eriflim hakk› ile a¤a ba¤l› kal›r. ‹stenirse yabanc› sistemler a¤dan düflürülebilirler. MPE sunucusu ve taray›c›s› switch’e portu kapatmas› yönünde komut gönderebilir. 3- Uzaktan eriflen kurumsal kullan›c› IPSec VPN ba¤lant›lar› için NAC IPSec VPN ba¤lant›s› üzerinden ba¤lanan kurum çal›flanlar›n›n bilgisayarlar›, VPN cihaz›na ya da sunucusuna ba¤lanmaya çal›flt›klar›nda tespit edilirler. Bu anda, VPN istemci yaz›l›m› bir sistem taramas› ister ve VPN konsantratör bu tarama sonucuna göre a¤a eriflime izin verir ya da reddeder. Bu tarama, MPE taray›c›s› IPSec istemcisi ile entegre oldu¤u için lokalde gerçekleflir. MPE Check Point, Cisco, Juniper ve Nortel VPN çözümlerini destekler. Yerel a¤daki yabanc› sistemler, uygun olmayan sistemlerlere ba¤lanmak istedi¤inde, eriflim hakk› verebilir, eriflim hakk› verip yöneticiyi uyarabilir, karantinaya al›nabilir ya da switch port’unda a¤dan düflürülebilirler Zorlama tedbiri, politika zorlama moduna ve VPN sa¤layac›s›na göre de¤iflir: (1) hiçbir fley yapma, (2) karantinaya al veya (3) blokla. Bloklama, VPN ba¤lant›s›n›n tamamlanmas›na izin vermez. Bloklama ve alarm gönderme ifllemlerini yerine getiren, VPN istemci yaz›l›m›n›n kendisidir ve ba¤lant›n›n neden sa¤lanamad›¤›n› kullan›c›ya bildirir. Takip eden ba¤lant› denemeleri, MPE taray›c›s› taraf›ndan de¤erlendirilir ve tarama sonucu geçer not al›rsa VPN ba¤lant›s› tamamlan›r. Baflar›s›z ba¤lant› denemelerinin kay›tlar›, raporlama ve delil analizi için MPE sunucusuna gönderilir. 4- Uzaktan eriflim / yabanc› kullan›c› SSL VPN ba¤lant›lar› için NAC Müflteri, ifl orta¤› ve dan›flmanlar›n internet üzerinden SSL VPN ile bir kurumun a¤›na ba¤lanmalar› gerekiyor olabilir. Bu yabanc› sistemler, SSL VPN ile a¤a ba¤lanmak istediklerinde VPN istemcisi bir ba¤lant› kurmaya çal›fl›r ve bu anda bu sistemler tespit edilir. Her SSL tabanl› VPN ba¤lant› teflebbüsünde istemci, VPN istemci yaz›l›m› indirir. MPE taray›c›s› önde gelen bir çok SSL VPN yaz›l›m› ile s›k› bir entegrasyona sahip oldu¤u için, MPE taray›c›s› bileflenleri SSL VPN istemci yaz›l›m› ile beraber indirilirler. MPE taray›c›s›, sistemi uygunluk taramas›ndan geçirir ve bu taraman›n sonucuna göre VPN istemcisine ba¤lant› izni verilip verilmeyece¤i karar› verilir. E¤er sistem uygun de¤ilse VPN istemcisi ba¤lant› giriflimini engeller veya gerekli düzeltmelerin yap›lmas› için baflka bir a¤a yönlendirir. VPN istemci yaz›l›m›, ba¤lant›n›n neden sa¤lanamad›¤› ya da de¤ifltirildi¤i bilgisini kullan›c›ya iletir. kas›m 2006 beyazflapka 13 Oktay KILIÇ oktaykilic@webizyum.com Uygulama Güvenli¤i Web uygulamalar›nda güvenli¤i sa¤layabilmek için farkl› yöntemlerle uygulanan oturum sabitleme ifllemini engellemelisiniz. eb uygulamalar›nda anl›k bilgileri depolay›p ifllem yapmak için genelde “session” ad› verilen oturumlar kullan›l›r. Web uygulamas› yorumlay›c›s›, sunucuda oturum kodu denilen bir kod depolar ve uygulama kullan›c›s›n›n internet gezginine bu kodu gönderir. Bu kod her ifllem için sunucuya geri gönderilir, sunucudaki yorumlay›c› da kullan›c›lar› bu kod ile tan›r. Bu say›m›zda web uygulamalar›nda oluflabilecek oturum aç›klar›ndan biri olan Session Fixation yani Oturum Sabitleme’den söz edece¤iz. Oturumlar, kullan›c›lar› web uygulamas›na tan›tman›n yan› s›ra, kullan›c› ad› ve flifre gibi bilgileri saklama gibi görevleri de üstlenirler. Bu özellikleriyle de sald›rganlar›n ilgi gösterdikleri bir konudur. Session Fixation, k›saca kullan›c›n›n internet gezginine bir oturum kimli¤i numaras›n› yönlendirmesiyle, kullan›c›y› seçili oturumu kullanmaya zorlamakt›r. Bu isim, sunucu taraf›ndan üretilen oturum kimlik numaras› yerine sald›rgan taraf›ndan belirlenen sabit bir numaran›n kulland›r›lmas›ndan gelmektedir. Sald›rgan, kullan›c›n›n oturum kimlik numaras›na olan ihtiyac›n› yok ederek kullan›c› sisteme girifl yapmadan önce kendi belirledi¤i oturum kimlik numaras›n› kullan›c›ya atar. Sunucudaki web uygulamas› yorumlay›c›s›, oturum kimlik numaras› zaten önceden haz›r diye, yeni bir kimlik numaras› oluflturmaz. Sald›rgan, kullan›c›n›n oturum kimlik numaras›n› bu flekilde çok rahat flekilde bilip kullanabilir. Oturumlar üç flekilde yönetilirler: 1. URL’de 2. Form Post ifllemiyle 3. Cookie (Çerez) ile. Çerezler kullan›c›n›n bilgisayar›nda sakland›¤›ndan güvenlik riski en büyük olan türdür. Oturum sabitleme, bu üç oturum yönetimi fleklinde de uygulanabilir. Oturumun URL’de gösterildi¤i ilk yönetim fleklinde sald›rgan, kullan›c›ya flu flekilde bir link haz›rlay›p kullan›c›n›n t›klamas›n› sa¤larsa oturumunu sabitleyebilir: https://www.banka.com.tr/giris.php?sessionid=123456 Oturumun Form Post ifllemiyle yönetildi¤i durumda ise sald›rgan, kullan›c›ya önceden haz›rlanm›fl bir formda, gizli form ö¤esiyle önceden belirledi¤i oturum kimlik numaras›n› kulland›rabilir. Bu formu kendi sunucusunda haz›rlay›p kullan›c›ya kulland›rabilir ya da hedef sunucudaki önceki yaz›mda de¤indi¤im bir sald›r› türü olan Cross Site Scripting a盤›n› kullanarak sa¤layabilir. Çerez ile yönetilen oturumlarda ise sald›r› yöntemi çok basittir. Sald›rgan kullan›c›n›n bilgisayar›nda belirledi¤i oturum kimlik numaras›n› içeren tuzak bir çerez oluflturur. Fakat bu çerez baflka bir adresten hedef sunucu için oluflturulamaz. Hedef sunucudan oluflturulmas› gerekmektedir. Sal- W 14 beyazflapka kas›m 2006 d›rgan bu ifllemi de Cross Site Scripting kullanarak üç flekilde yapabilir. • Birincisi kullan›c›-tarafl› bir kodla kullan›c›n›n bilgisayar›nda bir çerez oluflturmakt›r. Bu ifllem bir XSS a盤› olan IIS sunucusu ve basit bir JavaScript koduyla flu flekilde yap›labilir: https://www.banka.com.tr/<script>document.cookie= ”sessionid=123456”</script>.idc Bu adrese t›klayan kullan›c›n›n bilgisayar›nda banka.com.tr için bir çerez oluflturulacakt›r. Daha sonra banka.com.tr’ye girifl yapt›¤›nda da oturum kimlik numaras› olarak önceden belirlenen “123456” kullan›lacakt›r. • ‹kincisi HTML’de bir etiket olan META’n›n oturum kimlik numaras› belirleyen parametresini kullanmakt›r. Bu da yine bir XSS a盤›yla flu flekilde yap›labilir: https://www.banka.com.tr/<meta%20http-equiv=Set-Cook ie%20content="sessionid=123456;%20Expires=Saturday, %201-Jan-2050%2000:00:00%20GMT”>.idc • Üçüncüsü ise Set-Cookie HTTP bafll›¤›n› kullanmakt›r. Bu bafll›k programlama dillerinde farkl› flekillerde kullan›l›rlar. Örne¤in PHP’de “PHPSESSID” olarak, JSP’de ise “jsessionid” olarak kullan›l›r. Sald›rgan flu flekilde bir kodu kullan›c› bilgisayar›nda çal›flt›r›rsa, oturum kimlik numaras›n› sabitleyebilir: https://www.banka.com.tr/?PHPSESSID=123456 Bundan sonra kullan›c› hedef sunucudaki siteye girerse çerezde önceden belirlenmifl oturum kimlik numaras›n› kullanacakt›r. Bundan sonra sald›rgana düflecek ifl oturum kimlik numaras›n› bildi¤i kullan›c›n›n bilgilerini ele geçirmektir. Oturum sabitlemenin bilinen bir yolu daha bulunmaktad›r. Bu da kullan›c›n›n DNS sunucusuna banka.com.tr için bir girdi eklemektir. Kullan›c› banka.com.tr adresine girmek istedi¤i zaman DNS sunucusuna dönüp IP bilgisi isteyecektir. DNS sunucusu da örne¤in, guvenli.banka.com.tr adresi için sald›rgan›n sunucusunun IP’sini gönderirse, sald›rgan rahatl›kla kendi sunucusunda yaratt›¤› oturum kimlik oluflturma koduyla kullan›c›n›n bilgisayar›nda bir oturum kimlik numaras› oluflturabilir. Oturum sabitlemenin nas›l yap›ld›¤›na dair yan sayfadaki flemay› inceleyebilirsiniz. Oturum sabitlemeyi anlad›¤›m›za göre, flimdi sorunumuz bu sald›r› türünden nas›l korunmak gerekti¤idir. Oturum sabitleme, XSS aç›klar› haricinde web uygulamalar›yla ilgilidir. XSS a盤› sunucu yaz›l›m›n›n kendisinden dolay› da ortaya ç›kabilir. Bu aç›klar›n nas›l engellenece¤inden bir önceki yaz›mda bahsetmifltim. Oturum sabitlemenin korunma yollar› ise do¤rudan web programc›s›n› ilgilendirir. Oturum sabitle- Sunucuda oturum oluflturma Oturum sabitleme Kullan›c› tarafl› kod ile oturum kimlik numaras› oluflturma HTML META etiketiyle oturum kimlik numaras› oluflturma Çerez kullanarak oturum kimlik numaras› oluflturma DNS/Network ile oturum kimlik numaras› oluflturma Kullan›c›n›n sisteme girifl yapmas›n› bekleme ve oturuma girifl yapma meden korunma yollar›ndan ilki; kullan›c› girifl yapt›ktan sonra yeni bir oturum kimlik numaras› atamakt›r. ‹kinci yöntem ise kullan›c›n›n, kullan›lmayan oturumlar›n› belli zaman aral›klar›yla silmektir. Sadece sunucudaki oturum kimlik bilgisini silmek yeterli de¤ildir. Ayn› zamanda kullan›c›n›n bilgisayar›ndaki çerezi de silmek gerekir. Üçüncü yöntem ise oturum kimlik bilgisinin, kullan›c›n›n internet taray›c›s›n›n network adresinden oluflturmakt›r. Dördüncü ve sa¤lam olan yöntem ise kullan›c› oturum kimlik bilgisinin SSL güvenlik sertifikas›yla oluflturulmas›d›r. Bu gibi güvenlik önlemleriyle oturum sabitleme a盤› ortadan kald›r›labilir. Benim kendi kulland›¤›m yöntem ise az önce tan›mlad›¤›m 1. yöntemin biraz farkl›laflt›r›lm›fl halidir. Oturum sabitlemeye karfl› sisteme giren kullan›c›n›n otomatik olarak atanan oturum numaras›n› IP adresiyle birlikte veritaban›na yaz›p girifl yapt›ktan sonra IP’si kay›ttaki IP ile ayn›ysa eski oturumu kapat›p yeni bir oturum açt›rarak güvenli¤i sa¤l›yorum. E¤er IP adresleri de¤ifltiyse, çal›flan scripti kapatt›r›yorum. E¤er kullan›c› belirli bir süre ifllem yapmam›flsa oturumu otomatik olarak sonland›r›yorum. Bu yöntem sizin için de oturum sabitleme aç›s›ndan faydal› olabilir. Ya da basit bir flart ifa- desiyle veritaban› kullanmadan flu flekilde yapabilirsiniz: E¤er favori web programlama diliniz PHP ise (bence herkesin öyle olmal›) her ifllemden sonra “session_regenerate_id” fonksiyonunu kullan›p oturumu yenileyebilirsiniz. Oturum konusunda yap›lan önemli bir hata GET ya da POST yöntemleriyle ‘sessionid’si ald›rmakt›r. Genelde HTML formlar›na hidden (gizli) girdilerle eklenen ‘sessionid’, oturum sabitleme için büyük bir güvenlik a盤› oluflturmaktad›r. Bu yüzden kullan›c› taraf›ndan gönderilen oturum numaralar›n› kullanmay›p, sadece sunucu taraf›ndan üretilenleri kullanmal›y›z. Bunun için “$_SESSION['SERVER_GENERATED_SID']” de¤iflkeni oldukça ifle yarayacakt›r. Unutmayal›m ki web uygulamalar› için güvenlik 3 kademedir: 1. Sa¤lam kod. 2. ‹yi bak›m ve yönetim 3. Kaliteli koruma yaz›l›mlar›. Bu konu ile ya da di¤er uygulama güvenli¤i konular›yla ilgili her türlü görüfl, elefltiri ve sorular›n›z› bekliyorum. Bir dahaki say›da ele alaca¤›m konu hakk›ndaki önerileriniz de iflime yarayacakt›r. if($_SERVER['REMOTE_ADDR'] != $_SESSION ['PREV_REMOTEADDR']) { session_destroy(); // Oturumu kapat. } session_regenerate_id(); // Yeni bir oturum olufltur. $_SESSION['PREV_REMOTEADDR'] = $_SERVER['REMOTE_ADDR']; kas›m 2006 beyazflapka 15 P›nar YILMAZ pinary@microsoft.com Microsoft Exchange Server 2007 Güvenlik Özellikleri Microsoft Exchange Server 2007, sundu¤u farkl› filtreleme seçenekleri sayesinde çok daha güvenli e-posta al›flverifli sa¤lamaktad›r. -posta kullan›m› artt›kça kurumsal güvenlik ihtiyaçlar› da artmaktad›r. Sistem yöneticileri gün geçtikçe geliflen spam ve virüsler, standartlara uyumsuzluk riskleri, e-postalar›n gizlice de¤ifltirilmesi ve engellenmesi gibi güvenlik tehditleriyle mücadele etmek zorunda. Exchange Server 2007, spam ve virüsleri azaltmak, güvenli iletiflimi sa¤lamak ve kurumunuzun standartlara uyumlulu¤unu sa¤lamak için yaz›da k›saca aç›klamaya çal›flt›¤›m bir dizi koruma teknolojileriyle birlikte gelmektedir. E ‹çerik filtrelemesi Microsoft SmartScreen teknolojisini kullanan Intelligent Message Filter, gelen iletilerin geçerli, sahte veya istenmeyen elektronik posta olup olmama durumunu, içerik filtreleyerek de¤erlendiren ve belirleyen teknolojidir. SmartScreen teknolojisini di¤er filtreleme teknolojilerinden ay›ran en büyük fark, SmartScreen teknolojisinin istatistiksel olarak çok büyük say›da örnek e-posta üzerinde gelifltirilmesidir. Bu filtreleme teknolojisi, gönüllü Hotmail müflterilerinin iyi posta ile spam postay› belirleyen karakteristikleri Microsoft’a bildirmesiyle oluflturulmaktad›r. Yaklafl›k 200.000 Hotmail üyesi bu programa kat›lm›flt›r ve böylece SmartScreen teknolojisi 500.000 farkl› spam karakteristi¤ini izleyebilir hale gelmifltir. Intelligent Message Filter, iletinin içeri¤ini taramakla birlikte, ayn› zamanda afla¤›da anlat›lan ba¤lant› filtrelemesi, gönderen filtrelemesi, al›c› filtrelemesi, gönderen itibar›, gönderen kimli¤i do¤rulamas› ve Microsoft Office Outlook 2007 E-posta Damgas› do¤rulamas› üzerinden gelen tüm verileri toplayarak, incelenen iletinin spam ileti olma olas›l›¤› oran›n› (SCL-Spam Confidence Level) belirler. SCL oran›na göre daha sonra ileti üzerinde afla¤›da listelenen ifllemlerden birisi uygulan›r: • Outlook kullan›c›s›n›n Gelen Kutusu’na veya Önemsiz Posta klasörüne teslim et. • Spam karantina posta kutusuna teslim et. • ‹letiyi reddet, teslim etme. • ‹letiyi kabul et ve sil. Bu seçimde sunucu iletiyi kabul eder ve al›c› posta kutusuna yönlendirmek yerine siler. Exchange 2007, anti-spam bileflenlerini çok daha güncel tutmak için ek servisler sunmaktad›r: • Microsoft Exchange 2007 Standart Anti-spam Filtresi Güncellemesi: Her iki haftada bir filtre güncellemesi • Exchange Server için Microsoft Forefront Security (Bu 16 beyazflapka kas›m 2006 ürünle ilgili afla¤›da ayr›nt›l› bilgi verilmektedir): Her 24 saate bir filtre güncellemesi. Spam karantina Spam karantina fonksiyonu, spam olarak belirlenen ve kurulufl içerisinde kullan›c›n›n posta kutusuna teslim edilmemesi gereken iletilerin geçici olarak tutuldu¤u depolama alan›n› oluflturur. Exchange Server 2007’nin spam karantina fonksiyonu, geçerli bir ileti oldu¤u halde spam olarak belirlenen iletileri kaybetme riskini azalt›r. Spam karantina fonksiyonu içerik filtreleme ifllemi s›ras›nda sa¤lan›r. Spam olarak belirlenen iletiler teslim edilemedi raporu içerisinde (NDR) spam karantina posta kutusuna iletilir. Exchange yöneticileri spam karantina posta kutusuna gelen iletileri yönetip, iletileri silmek veya spam olmad›¤› halde spam olarak belirlenen iletilerin al›c›s›na yönlendirilmek gibi gerekli ifllemleri uygulayabilir. Al›c› filtrelemesi Microsoft Exchange 2007 sunucu rollerinden birisi olan, Internet üzerinden gelen mail ak›fl›n› karfl›layan, Edge Transport server üzerinde çal›flan Microsoft Exchange EdgeSync servisi ile, al›c› verisini kurumsal Active Directory’den Exchange Active Directory Application Mode (ADAM) üzerine kopyalayabilirsiniz. Böylece gelen iletiler için al›c› kontrolü yap›labilir ve kurum içinde bulunmayan al›c›lara ve iç da¤›t›m listelerine gönderilen iletiler bloklan›r. Gönderen kimli¤i Gönderen kimli¤i fonksiyonu, gönderenin IP’sini inceleyip, gönderenin DNS sunucusundaki gönderen kimli¤i kayd›ndaki IP adresi ile karfl›laflt›r›r ve gönderenin adresinin de¤ifltirilip baflka bir adres olarak gösterilip gösterilmedi¤i belirler. Gönderen ‹tibar› Bu fonksiyon bilinmeyen gönderenlerin güvenilirliklerini ölçen patentli bir Microsoft teknolojisidir, Simple Mail Transfer Protocol (SMTP) oturumlar›ndan, ileti içeri¤inden, gönderen kimli¤i do¤rulamas›ndan ve genel gönderen davran›fl›ndan veri toplar ve gönderen karakteristikleri ile ilgili bir geçmifl oluflturur. Gönderen itibar› fonksiyonu, bu bilgiyi kullanarak gönderenin ‘Engellenen Gönderenler Listesi’ne geçici olarak eklenip eklenmeyece¤ine karar verir. IP reputation servisi: Bu servis Microsoft taraf›ndan sadece Exchange 2007 müflterilerine sa¤lanan IP bloklama listesidir. Sistem yöneticileri kulland›klar› di¤er gerçek zamanl› bloklama listelerine ek olarak bu servisi kullanmay› seçebilirler. Antivirüs korumas›nda geliflmeler: Exchange Server 2007, antivirüs korumas›nda birçok geliflmeyi içerir. Virus Scanning API’ye (VSAPI) devam eden destekle beraber Microsoft iletme seviyesinde daha etkin, daha verimli ve programlanabilir virüs taramas› üzerine önemli yat›r›mlar yapt›. Exchange 2007, “iletme ajanlar›” kavram›n› getiriyor. Bu ajanlar, uygulama kay›tlar›na karfl›l›k bir görev gerçeklefltiren, yönetilen yaz›l›m bileflenleridir. Exchange 2007 ayn› zamanda antivirüs damgalamas› da sa¤l›yor; daha önceden virüsler için taranan iletileri taramay› gerçeklefltiren antivirüs yaz›l›m›n›n versiyonu ve taraman›n sonucu ile damgalayarak kurum içinde antivirüs taramas› hacminin azalt›lmas›n› sa¤l›yor. Antivirüs damgas›, kurum içinde yönlendirilirken ileti ile birlikte dolafl›yor. Exchange 2007’de antivirüs ile ilgili di¤er bir geliflme de bir iletme ajan› ile ek dosya filtrelemesidir. Dosya ad› (dosyaad›.exe) veya dosya ad› uzant›s›na (*.exe) göre ek dosyalar filtrelenebilir. Ayn› zamanda filtrelenecek MIME içerik türünü belirterek ek dosyalar da filtrelemeye tabi tutulabilir. Microsoft Exchange Hosted Filtering: Microsoft Exchange Hosted Filtering teknolojisi mailleri daha flirket a¤›na gelmeden önce temizler. fiirkete sadece politikalarla önceden belirlenmifl (ek, boyut, içerik) ve virüs ile spam’dan ar›nd›r›lm›fl mailleri yollar. Bu servisten yararlanan kurumlar›n MX kay›tlar›n› Microsoft Datacenter’lar›na yönlendirmeleri gerekir. Böylece hem flirket network hatt› korumufl, hem de mail sunucular› üzerine fazla yük binmemifl olur. Koruma s›ras›nda Symantec, Trendmicro ve Kaspersky tarama motorlar› kullan›l›r. Ayr›ca mesaj temizleme servisi d›fl›nda arflivleme ve felaket önleme servisleri de sa¤lan›r. Microsoft Forefront sunucu güvenli¤i: Exchange 2007, “Microsoft Forefront Security for Exchange Server” ile antivirüs, spam, worm korumas› ve içerik filtreleme özelliklerini sunabilmektedir. Forefront, Microsoft’un yan› s›ra de¤iflik flirketlerden al›nm›fl 8 adet antivirüs tarama motorunu ayn› anda bünyesinde bar›nd›rmaktad›r. Exchange 2007’nin bütün rollerine kurulabilen Forefront, Exchange 2007’nin güvenli¤ini en üst düzeye ç›kartmaktad›r. Birden fazla tarama motoru kullanmas›na ra¤men yönetim bak›m›ndan büyük kolayl›k sa¤layan Forefront, virüs imzalar›n›n güncellenmesini sadece Microsoft üzerinden yapabilmektedir. Böylece mail sistemi ayn› anda birden fazla antivirüs laboratuvar›n›n korumas› alt›na girerken, ön yüzde sadece Microsoft görünmektedir. Virüs ve worm korumas›n›n yan› s›ra Forefront içerik, kelime ve dosya filtrelemesi de sa¤lamaktad›r. E-posta politikalar› ve uyumluluk özellikleri: Microsoft Exchange Server 2007, e-posta ak›fl›n›n denetimi ve korunmas› için çeflitli e-posta politikalar› ve standartlara uyumluluk özellikleri içerir. Bu yeni özellikler, hem d›flardan içeriye e-posta akarken hem de kurum içinde gönderilen epostalar›n iletimi s›ras›nda, e-postalar üzerine kurallar uygulanmas›n› sa¤lar. Kurumlar, uymalar› gereken standartlar› adresleyen politika ve kural ayarlar›n› Exchange 2007 ile yapabilirler. Bu politika ve kural flartlar›, e-posta içinde geçen belirli kelimelere, metin kal›plar›na, e-posta konusuna, metnine, bafll›¤›na, gönderen adresine, ek türüne dayanabilir. Bu flartlara göre iletinin nas›l bir iflleme tabi tutulaca¤› belirlenir. Bunlar karantinaya almak, mesaj› reddetmek, ek al›c›lara epostay› yönlendirmek, kay›t dosyas›na yazmak gibi ifllemlerdir. Otomatik flifreleme deste¤i Exchange Server 2007 Outlook ile Exchange sunucusu aras›nda, yerel bilgisayar a¤›ndaki Exchange 2007 Server’lar aras›nda, yerel bilgisayar a¤›ndaki Exchange Server’lar ve Yar› Korumal› Alan (DMZ) içindeki Exchange Server’lar aras›nda akan trafik üzerinde otomatik flifreleme sa¤layarak tüm intranet yolunu güven alt›na al›r. Böylece e-postalar›n flifrelenmifl olarak dolaflmas› sa¤lanarak, kötü niyetli kifliler taraf›ndan e-postalar›n de¤ifltirilmesi engellenmifl olur. Exchange Server 2007 otomatik olarak SSL sertifikalar› ile birlikte yüklenerek, OWA gibi istemciler ve SMTP sunucular üzerinde daha genifl bir SSL ve TLS kullan›m› sa¤lar. kas›m 2006 beyazflapka 17 Mehmet DALYANDA dalyanda@dalyanda.com Adli Biliflim Sistem Analizi (Digital Forensics–3) lk iki bölümünde, adli biliflimin ne oldu¤u ve önemi ile Windows ve Linux tabanl› sistemler üzerinde teknik olarak delil toplanmas›na yönelik aç›k kaynak kodlu araç kitlerini inceledi¤imiz yaz› dizimizin, bu say›daki üçüncü ve son bölümünde, güncel konular olan e-posta bafll›klar›, internet taray›c›lar›, web sunucu ve uygulamalar›na yönelik temel sald›r›lar›, imzalar›n›n tespitini ele almakla birlikte, adli biliflimin gelece¤i ve yeni bir kavram olan anti-forensic tekniklerinden bahsedece¤iz. ‹ E-posta bafll›klar›n›n incelenmesi Elektronik postalar, tehdit, hakaret gibi bir içeri¤e sahip olabilece¤i gibi, phishing, spam, karfl›daki sistemi ele geçirmeye yönelik bir sald›r› arac› olarak da, birçok adi suç olay›nda karfl›m›za ç›kmaktad›r. Bu tür durumlarda, e-posta’n›n ç›k›fl kayna¤›n› tespit etmek üzere orijinal postan›n zarflama bilgilerinin tutuldu¤u bafll›k (header) bilgisi incelenmelidir. E-posta gönderim protokolü olan SMTP, kimlik denetimi (smtp authentication - rfc2554) ile birlikte kullan›lmas› durumunda bile bafll›k bilgilerinin de¤ifltirilmesini engelleyefiekil1 - Gmail‘den al›nm›fl, e-posta bafll›k bilgileri mez. Bunun sonucu olarak, gönderici adresi, alan ad› gibi bilgilerde sahte isimlerin kullan›lmas› durumu ile karfl›lafl›r›z. SMTP kimlik denetimi ve SSL-TLS ile gönderilmifl olan bir epostaya ait bafll›k bilgilerini inceledi¤imiz zaman, gönderici adresi olan ‘cemyilmaz.com’ domaini için e-posta gönderen sunucunun ‘itu.edu.tr’ oldu¤unu, orijinal gönderici adresinin ise (rambaldhi) “85.102.75.163” IP adresine sahip oldu¤unu görebiliyoruz. E-posta bafll›k bilgilerini daha kolay inceleyebilmek için Visualware eMailTrackerPro ya da Inquirer Mail Tracker benzeri uygulamalar kullan›labilir. Alan adlar›na ait, hangi sunucular›n e-posta gönderebilece¤ini belirleyen SPF eki (sender policy framework - rfc4408), Google, Yahoo, Hotmail gibi e-posta servis sa¤lay›c›lar› taraf›ndan kullan›lmaya bafllanm›flt›r. Spam ve sahtecilik amaçl› gönderilen epostalara karfl›, SPF, kriptografik temelli ya da e-imza benzeri teknikler yak›n gelecekte daha s›k kullan›lmaya bafllanacak. Kimi zaman sald›rgan›n, openrelay proxy, anonymizer veya secureshell tünelleri kullanmas› sebebiyle, gönderici adreslerinin tespit edilmesi çok zor bir hal almaktad›r. Kullan›lan bu türden karmafl›k tekniklere karfl›n, adli biliflim uzman›, ilgili sunuculardan kay›t (log) bilgisine ihtiyaç duyabilir. Sald›rgana ait IP adresi ve di¤er bilgilere ulaflmak teknik olarak mümkün olmakla birlikte, pratikte oldukça zor ve birçok resmi makamdan geçmesi gerekebilecek bir süreç olaca¤› göz önünde bulundurulmal›d›r. Adli biliflim uzman›na düflen görev, durumu aç›kl›kla yarg› makamlar›na iletmek ve suçlunun bulunmas› konusunda olumlu bir tav›r tak›nmak olmal›d›r. Web uygulamalar›n›n incelenmesi Günümüzde, siber sald›r›lar›n %70’inden fazlas› uygulama katman›nda gerçekleflmektedir. Sistemlerin ele geçirilmesi ile sonlanan sald›r› olaylar›n›n bir ço¤unun ise, web uygulamalar› üzerinden gerçekleflmesi, klasik adli biliflim incelemelerinin çok üzerinde bir efor gerektirmektedir. Özellikle, sunum, uygulama ve veritaban› gibi çok katmanl› ve da¤›t›k sistemlerden oluflan, büyük ölçekli web mimarileri, güvenlik, esneklik ve modülerlik sa¤larken, adli biliflim incelemelerinin daha zor hale gelmesine sebep olmaktad›r. Uygulamalar, yeterli zaman ayr›lamayacak kadar kritik ya da yüksek fiekil2 - Katmanl› web uygulama mimarisi 18 beyazflapka kas›m 2006 hacimli veriye sahip olan veritabanlar› içerebilece¤i için, disk tabanl› imajlar›n›n al›nmas› da mümkün olmayabilir. Web tabanl› sald›r›lar›n bir ço¤unda ise, atak izleri, web sunucular› ile ayn› yerde olmayabilir. Uygulama çal›flma mant›¤›, istemciden bafllayarak, veritaban›na kadar incelenmeli, özellikle istemcilerden girilebilecek tehlikeli karakterlerin uygulamay› etkileyebilirli¤i test edilmelidir. • Sald›rgan dizin atlama tekni¤i ile Unix sistemlerdeki günün mesaj› bilgisine eriflip eriflemece¤ini test ediyor: ( /../ ) http://dalyanda.com/cgibin/lame.cgi?file=../../../../etc/motd • Sald›rgan, uygulaman›n .htm, .html benzeri dosya uzant›s› olup olmad›¤›n› kontrol ediyorsa yukar›daki denemede baflar›s›z olur. %00 Null Byte Injection ile uygulamay› uzant›s› html olan bir dosya istiyor gibi gösterip kand›r›yor: ( %00 ) http://dalyanda.com/cgibin/lame.cgi?page=../../../../etc/motd%00html Web uygulamalar› üzerinde, adli biliflim aç›s›ndan kan›t toplanma çal›flmas›, ips, firewall, proxy, yük dengeleme cihazlar›, web ve uygulama sunucusu, uygulamaya özel gelifltirilmifl kay›tlar gibi da¤›t›k ortamdaki kay›tlar›n incelemesini gerektirir. Sistem mimarisinin adli biliflim çal›flmas› öncesi incelenmesi mutlaka yap›lmal›d›r. Gözükara ve ciddi bir sald›rgan›n olay kay›tlar›n› de¤ifltirebilece¤i, hatta silebilece¤i ihtimali gözönünde bulundurulmal›, kay›tlar›n mümkün oldu¤u kadar, s›n›rl› eriflime sahip merkezi veritabanlar›na yaz›lmas› sa¤lanmal›, bu kay›tlar› gerçek zamanl› analiz edebilen bir sistem tasarlanmal›d›r. “Http referer, cookie, host header, url ve parametreler” gibi bilgiler mutlaka kay›t alt›na al›nmal›d›r. IIS’in http.sys kernel seviyesindeki sürücüsü için hata kay›tlar› aktive edilmeli, Apache’nin ise ‘mod_log_config’ özellikleri kullan›lmal›d›r. IIS ya da Apache gibi web sunucu yaz›l›mlar› için mümkün oldu¤u kadar detayl› kay›tlama yap›lmal› ve kay›tlarda “| % \\ /../ x80% %c%” benzeri meta-karakterler, “Put, Head, Propfind” gibi düzensiz HTTP metotlar›, “cmd.exe, /bin/ls” gibi binary dosyalar, web uygulama dizini d›fl›na ç›k›lmas› gibi örnekler aranmal›d›r. Kay›t dosyalar›n›n çok büyük olmas› durumunda inceleme oldukça zor olaca¤› için Awstat ya da SQL sentaks› ile inceleme yap›labilen Microsoft LogParser benzeri araçlar kullan›labilir. Adli biliflim uzman› web uygulama kay›tlar›nda, yandaki kutuda kullan›lan özel karakterleri hemen belirleyebilir olmal› ya da uygumalardan yararlanmal›d›r. Adli biliflimin gelece¤i ve karfl› teknikler (Anti-Forensics) Teknik olarak gittikçe daha da karmafl›klaflan günümüz dünyas›nda, insanl›k tarihinde belki de hiç olmad›¤›m›z kadar teknolojiye ba¤›ml› hale geldik. ‹letiflim kurma yöntemlerimizden, global ekonomiye kadar herfley de¤iflti¤i gibi, suçlar›n ifllenifl biçimleri de evrim geçirdi. Birçok adli biliflim vakas›nda, olay›n tekni¤inden ve düflünce biçiminden çok uzakta kalm›fl, resmi devlet görevlilerin dahi biraz garip, biraz korku ya da hayret dolu ifadelerini görmek, biliflimin so¤uk ve karanl›k yüzünü de bizlere göstermektedir. • Sald›rgan pipe ( | ) command execution tekni¤i ile dizini listelemeye çal›fl›yor. %20, boflluk karakterinin hex karfl›l›¤›d›r. Hataya düflmemek için, %20’nin birçok HTTP iste¤inde kullan›ld›¤› bilinmelidir: ( | , %20 ) http://dalyanda.com/cgi-bin/lame.cgi?page=ls%20-al| • Sald›rgan XSS tekni¤i ile ilgili link’e girmek üzere ikna etti¤i kullan›c›n›n makinesinde kod çal›flt›rabilir: ( < > ) http://dalyanda.com/something.php=<b>Selam%20Size%20Ben%20MD!</b> • Sald›rgan SQL injection ile C: dizinini listeliyor: (‘ , or, ;) http://dalyanda.com/lame.asp?name=Md`;EXEC master.dbo.xp_cmdshell'cmd.exe dir c:'-- herhangi bir suç vakas›nda, siber kan›tlar›n niteli¤i ve geçerlili¤i, kan›t toplanmas›na yönelik standartlar›n olmamas› birçok tart›flmaya neden olmakta, adli biliflim teknikleri birçok araflt›rmac› taraf›ndan yetersiz, zay›f olarak nitelendirilmekte ve akademik bir disiplin haline gelme ihtiyac›n› do¤urmaktad›r. Adli biliflim sistem inceleme teknikleri ve karfl› teknikler (forensics & anti-forensics), birbirinin çal›flma mant›¤›n› anlama temeline dayanmaktad›r. Karfl› teknikler veri gizleme, kar›flt›rma, yan›ltma, flifreleme, bellek ve diskteki olay kay›tlar›n›n temizlenmesi, proseslerin görüntülenmesi s›ras›nda belirli sistem ça¤r›lar›na izin vermeyerek kendini gizleme temeline dayanan, iflletim sistemleri üzerinde genellikle kernel seviyesinde çal›flan sürücüler ile gerçekleflmektedir. Metasploit anti-forensics, LKM (linux kernel module), ADMutate, Evidence Eliminator, SecureClean, BestCrypt, Steganos, StealthDisk, Rootkit FU, BootRoot bios rootkit benzeri karfl› araçlar, adli biliflim incelemelerini tamamen etkisiz hale getirebilmekte ya da kan›t bulma süresini oldukça uzatabilmektedir. fiekil3 - WinHex ve File0 ile dosyalar Encase gibi profesyonel Forensic araçlar›ndan gizlenebilir Yak›n gelecekte, devletler aras› savafllar›n ve terör olaylar›n›n tamamen siber ortamda gerçekleflecek olmas›, enerji, iletiflim, ulafl›m gibi hayati önem tafl›yan flehir yönetim ve endüstriyel otomasyon sistemlerinin tamamen bilgisayar tabanl› kontrol sistemlerine ba¤l› olarak çal›flacak olmas› nedeniyle, siber ortamdaki güvenlik kavram› en çok tart›fl›lan konulardan birisi haline gelmifltir. Buna karfl›l›k günümüzde kas›m 2006 beyazflapka 19 Mehmet CAN mcan@elmer.com.tr Yaz›l›m da¤›t›m› Yaz›l›m çökmeleri iflletmelere pahal›ya mal olur Günümüzde yaz›l›m kullan›lmayan ifl alan› nerdeyse kalmad›. Bu ifl alanlar› için güvenilir yaz›l›m›n önemi yads›namaz. Bir iflletmedeki hemen hemen her çal›flan görevini yapabilmek için temel bir yaz›l›m kullan›r. Böyle bir yaz›l›m›n yaln›zca birkaç saat çökmesi bile iflletme için önemli parasal kay›plara ve yeni maliyetlere yol açabilir. Verimlilik azal›r, yard›m masas› maliyetleri artar. Kötü haz›rlanm›fl yaz›l›m paketlerinin da¤›t›lmas› her iflletme için bafl a¤r›s›d›r Yeni uygulamalar›n, güncellemelerin ve yaz›l›m yamalar›n›n da¤›t›lmas› BT bölümlerinin en bilindik ve önemli görevlerinden birisidir. BT bölümleri y›l içinde yüzlerce yaz›l›m paketinin da¤›t›lmas›yla u¤rafl›rken, ne yaz›k ki önemli bölümü bu da¤›t›m iflinin baflar›yla sonuçlanmas› için gerekli ön haz›rl›klar› yapmaktan kaç›n›r. Oysa da¤›t›m sonucunda bir y›k›m yaflanabilir ve bu da iflletme için ciddi sorunlar yarat›r. Örne¤in, verimlilik düfler, yard›m masas› maliyetleri artar, çal›flanlar›n BT bölümüne güveni azal›r. “Özensiz haz›rlanm›fl bir yaz›l›m paketinin son kullan›c›lara da¤›t›lmas›, bir virüsün da¤›t›lmas›yla benzer fleydir...” Jason Liu, CEO, Intrinsic Technologies Yaz›l›m da¤›t›m araçlar›, tek bafllar›na baflar›l› da¤›t›mlar›n garantisi de¤ildir Baz› iflletmeler pahal› bir yaz›l›m da¤›t›m arac› kullanman›n uygulamalar›n ve yamalar›n her zaman baflar›l› olarak da¤›t›lmas›n› sa¤layaca¤›n› düflünür. Ancak yaz›l›m paketi, da¤›t›m öncesi uygun olarak haz›rlan›p test edilmediyse, da¤›t›m önemli sorunlara yol açabilir. Yaz›l›m ve yama da¤›t›m› hatalar›, iflletmeler için bir y›k›m olabilir ve buna ba¤l› olarak önemli parasal kay›plar yaflanabilir. Bu hatalar, iflletme ölçe¤indeki her bir da¤›t›m ifli için Özensiz haz›rlanm›fl bir yaz›l›m paketinin da¤›t›m› ciddi sorunlara yol açabilir 20 beyazflapka kas›m 2006 yap›sal bir yaklafl›m gelifltirildi¤inde önlenebilir hatalard›r. Söz konusu yap›sal yaklafl›m, yaz›l›m paketlenmesini, uyarlamalar› ve da¤›t›m öncesi testleri içerir. Da¤›t›m öncesi izlenecek bu yap›sal süreç, hatas›z yaz›l›m da¤›t›m›n› sa¤layacak ve sonuç olarak yard›m masas› maliyetleri önemli ölçüde azalacak, çal›flan verimlili¤i artacak, pahal› da¤›t›m yaz›l›m› araçlar›na yap›lan yat›r›m›n karfl›l›¤› al›nacakt›r. Teknoloji: FLEXnet AdminStudio ve Workflow Manager Macrovision FLEXnet AdminStudio ve Workflow Manager, iflletmelere baflar›l› da¤›t›m ve da¤›t›lm›fl yaz›l›m›n yaflam döngüsü süresince güvenilirli¤inin sa¤lanmas› konusunda yard›mc› olmak amac›yla tasarlanm›fl uygulama haz›rlama araçlar›d›r. FLEXnet AdminStudio, sistem yöneticilerine, yaz›l›m paketleme ile görevli tak›mlara, da¤›t›m öncesi uygulama haz›rlama ve tutarl›, sorunsuz da¤›t›m konular›nda yard›mc› olan paketleme, test etme araçlar› içeren bir uygulama paketidir. Çok say›da uygulamay› yönetmek durumunda olan iflletmeler için ise çözüm FLEXnet AdminStudio ve Workflow Manager yaz›l›mlar›n›n birlikte kullan›lmas›d›r. Workflow Manager, FLEXnet AdminStudio ile bütünleflik olarak çal›flan web tabanl› bir uygulama yönetim yaz›l›m›d›r. BT bölümlerine yaz›l›m da¤›t›m› haz›rl›klar›nda merkezi bir çözüm sa¤lar. FLEXnet AdminStudio, MSI çevriminin karmafl›kl›¤›n› gideUygulamalar› Windows Installer’a Kolayca Tafl›y›n Yaz›l›m Paketlerinin Da¤›t›m ‹çin Haz›rlanmas› Problemleri Azalt›r rir. Uygulamalar›n iflletme içinde kurulmas›, güncellemeler ve yamalar, BT bölümlerinin en önemli görevlerinden birisidir. BT tak›mlar›n›n sözkonusu yaz›l›m paketlerini hatas›z olarak haz›rlayamamalar› durumunda iflletme içinde ciddi sorunlar yaflan›r. Güvenli olmayan ve test edilmemifl yaz›l›mlar›n da¤›t›m›, iflletme için yaflamsal önemdeki uygulamalar›n çökmesine, verimlili¤in azalmas›na, yard›m masas› maliyetlerinin artmas›na ve daha da önemlisi kullan›c›lar›n tepkisine neden olur. FLEXnet AdminStudio, sistem yöneticilerine, güvenilir yaz›l›m paketleri haz›rlayabilmeleri için oldukça geliflkin çözümler sa¤lar. FLEXnet AdminStudio, güçlü yaz›l›m paketleme teknolojisini merkezi süreç yönetim araçlar›yla birlikte sunan tek çözümdür ve iflletmenin bilgisayar yönetim maliyetlerini önemli ölçüde düflürürken, BT verimini art›r›r. ‹flletmenizin gerçeklerine uyan güvenilir bir yaz›l›m paketleme süreci oluflturun Büyük iflletmeler yüzlerce yaz›l›m› nas›l yöneteceklerini düflünürlerken, küçük iflletmeler yaz›l›mlar›n› Windows Installer (MSI) standard›na kolayca tafl›yabilecekleri basit bir yol ararlar. FLEXnet AdminStudio, her boyuttaki iflletme için yaz›l›mlar›n›n güvenirlili¤ini sa¤lamay› kolaylaflt›ran çözümler sunar. Dünyadaki yaz›l›m kurulumlar›n›n %90’›nda InstallShield teknolojisi kullan›l›r. FLEXnet AdminStudio, InstallShield düzenlemelerini anlayabilen, bu düzenlemelerin bilgilerini otomatik olarak alabilen ve bunlar› do¤ru olarak Windows Installer paketlerine dönüfltürebilen tek araçt›r. Bafllang›ç kurulumunun %100 InstallScript ya da InstallScript ve MSI kar›fl›m› olmas› hiç önemli de¤ildir; FLEXnet AdminStudio, bu kurulumu salt ve do¤ru bir MSI paketine dönüfltürebilir. Yaz›l›m paketleme süreci yönetimi için kurumsal ölçekte yeni araçlar FLEXnet AdminStudio, iflletmelerin paketleme süreçlerini güvenli ve etkin biçimde yönetebilmeleri için gereksinim duyduklar› kurumsal ölçekte ifllev gören araçlara sahiptir. Bu araçlar aras›nda, yaz›l›m›n ikili dosyas›n› (binary file) ve yard›mc› verisini (metadata) tutan geliflkin Application Catalog, uygulama verisine eriflimi ve paylafl›m› sa¤layan Report Center, Application Manager, görevlerin insan müdahalesine gerek kalmaks›z›n programlanarak çal›flmas›n› sa¤layan Job Manager ve eriflim haklar›n› yönetmek için Security Console bulunur. Yama test süresini ve da¤›t›m hatalar›n› azalt›n ‹letiflim a¤›n›n güvenli¤ini sürekli k›lmak için, yeni yamalar›n sa¤lanmas› ve da¤›t›lmas› büyük önem tafl›r. Ancak yamalar› test etmeden da¤›tmak, çok kötü sonuçlara neden olabilir. FLEXnet AdminStudio, ortamdaki yama da¤›t›m›ndan etkilenecek uygulamalar› tan›yarak, yaln›zca bu etkilenen uygulamalara yo¤unlaflmay› sa¤lar ve yama testi için gereken zaman› azalt›r. Sonuç olarak yamalar çok h›zl› olarak ve bilgisayar ortam› tehlikeye at›lmadan da¤›t›l›r. Yaz›l›m da¤›t›m yaz›l›mlar› ile bütünleflik çal›flma FLEXnet AdminStudio tek ba¤›ms›z yaz›l›m paketleme çözümü oldu¤u için, piyasadaki bilinen tüm yaz›l›m da¤›t›m çözümleri ile üstün bir bütünleflik çal›flma olana¤› sa¤lar. Bu çözümler içinde, SMS, ZENworks, LANDesk, Marimba, Tivoli, ManageSoft ve Active Directory say›labilir. Microsoft ve Novell, SMS ve ZENworks ile da¤›t›lacak yaz›l›m›n haz›rlanmas›nda FLEXnet AdminStudio’yu tercih ettiklerini aç›klam›fllard›r. FLEXnet AdminStudio hakk›nda daha genifl bilgi için www.macrovision.com ve Macrovision ürünlerinin Türkiye da¤›t›c›s› olan ELMER Yaz›l›m’›n www.elmer.com.tr web sitelerini ziyaret edebilirsiniz. kas›m 2006 beyazflapka 21 Erkan fiEN erkan.sen@nebulabilisim.com.tr Underground ¤ güvenli¤i uzmanlar› art›k daha fazla uyan›k olmal›lar, çünkü sald›rganlar her zaman bir ad›m öndeler ve son sald›r› araçlar› her zaman ellerinde. Etkili bir koruma için kendimizi biraz da sald›rganlar›n yerine koyarak onlar gibi düflünmeye ve onlar›n kulland›¤› araçlar› kullanmaya çal›flmak ak›ll›ca olacakt›r. Sald›rganlar gibi düflünmek ço¤u BT yöneticisi için çok zor olsa da kulland›klar› araçlar› kullanmak o kadar da zor de¤il. Underground bölümünde bizim de yapmaya çal›flt›¤›m›z asl›nda bu, size bu konuda yol göstermek. ‹flte bu nedenle bu say›m›zda Metasploit Framework (MSF) arac›n› sizlere tan›tmay› uygun gördük. MSF sald›rganlar›n kulland›¤› yöntemlerin benzerlerini kullanarak sistemlerinizi test etmenize yard›mc› olabilecek iyi bir araç. Metasploit Framework hali haz›rda 114 exploit ve 99 payload içermekte. MSF tak›m› bu arac› haz›rlamakla size grafiksel bir sald›r› arac›, bu araç ile kullan›labilecek birçok komut ve kendi exploit’lerinizi gelifltirmenizi sa¤layacak bir ortam sa¤lam›fl oldu. Tabii burada çok önemli bir noktay› da atlamamak gerekiyor, bu araç güvenlik testleri için kullan›labilece¤i gibi, maalesef kötü amaçlar içinde kullan›labilmektedir. A Bu yaz› için Windows iflletim sistemi üzerinde çal›flan Metasploit Framework 3.0 sürümünü kullanaca¤›m. Ancak kulland›¤›m komutlar›n birço¤unun eski sistemlerde de çal›flt›¤›n› belirtmeliyim. Son olarak önemli bir konunun alt›n› çizmekte de fayda görüyorum; Bu araçlar› kullan›rken dikkatli olman›z gerekiyor. Zira bu araçlar›n birço¤u ile sistemlerinize onar›lamayacak hasarlar vermeniz olas›d›r. MSF’i sisteminize kurduktan sonra ilk yapman›z gereken arac› kurdu¤unuz yerdeki menüden MSFUpdate k›sa yolunu iflleterek, yeni exploit ve payload’lar› edinmek olmal›d›r. MSF’i güncelledikten sonra, bu arac› kullanmak için 2 yöntem vard›r; Bunlardan biri yukar›da da gördü¤ünüz gibi ilgili menüden MSFWeb k›sa yolunu iflleterek MSF’in web sunucusunu çal›flt›r›p, internet taray›c›n›zdan GUI yard›m› ile kullanabilirsiniz. Ben genellikle buray› exploit ve payload listelerini görmek ve haklar›nda bilgi almak için kullan›yorum. 2. yöntem olarak da MSF’i komut sat›r› yard›m› ile kullanabilir- 22 beyazflapka kas›m 2006 siniz. Bu yöntem ile arac› daha genifl kapsaml› olarak. Tabii bu tamamen sizin seçiminize ba¤l›. Afla¤›da ki resimde MSF Console uygulamas›n› görebilirsiniz. fiimdi bu arac› kullanarak bir sistem üzerindeki a盤› nas›l kontrol edebilece¤imize birlikte göz atal›m. Bunun için öncelikle MSF konsolunu çal›flt›rarak, arac›n üzerinde var olan exploit’lerin listesine bir göz atman›z gerekecek. Bunun için afla¤›daki komutlar› s›ras› ile kullanabilirsiniz. S›ra listeleri gördükten sonra kullanmak istedi¤imiz exploit ve payload’u seçmeye geliyor. Örne¤in “Microsoft SQL Server Hello Overflow” exploit’ini seçti¤imizi varsayal›m. Bununla ilgili detaylar› ”msf > info exploit_ad›” komutu yard›m› ile alabiliriz. Exploitimizi ”msf > use exploit_ad›” komutu ile seçiyoruz. Seçti¤imiz exploit’in hangi sistemler üzerinde etkin olabilece¤ini “msf > show targets” komutu yard›m› ile görebiliyoruz. “msf > set target #” komutu ile hedef al›nacak sistem tipini belirleyebiliyoruz. Ayr›ca “msf > set rhost ip_adresi” komutu ile de sald›raca¤›m›z sistemi belirlememiz gerekiyor. Bu aflamadan sonra “msf >set payload_ad›[de¤er]” komutu ile payload seçimimizi yap›yoruz. Seçti¤imiz payload denedi¤imiz exploit’in bize arka kap› olarak ne sa¤lamas›n› istedi¤imizi belirtiyor. Burada san›r›m en etkileyici olan fleylerden biri vnc gibi bir araç ile sald›rd›¤›n›z sistemin ekran görüntüsünü kendi sisteminize tafl›mak. Bunun için payload listesinden “Vnc Inject” ile ilgili olanlar› kullanabilirsiniz. Yaln›z vnc ile ilgili payload’lar›n her exploit veya sistemde baflar›ya ulaflmayaca¤›n› da akl›m›zda bulundurman›z gerekiyor. Yukar›da yapt›¤›m›z ayarlardan sonra bir tak›m geliflmifl ayarlar da yapmak mümkün. Onlar› flimdilik anlatm›yorum. E¤er isterseniz sistemlerinizi denerken geliflmifl ayarlar› da de¤ifltirebilirsiniz. Bu aflamadan sonra exploit’i “msf > check” komutu ile sald›rd›¤›m›z sistemde aktif olup olmayaca¤›n› deneyebiliriz ya da “msf > exploit” komutu iflleterek ata¤› bafllatabiliriz. Daha önce belirtti¤im gibi bu ifllemlerin hepsini MSFWeb uygulamas›n› çal›flt›rarak Internet Explorer veya popüler bir taray›c› vas›tas› ile de yapabilirsiniz. Metasploit Framework ücretsiz da¤›t›lan bir yazl›md›r. E¤er daha profesyonel bir çözüm istiyorsan›z Immunity Canvas veya CoreImpact ürünleri deneyebilirsiniz. Bu ürünler daha fazla exploit ve payload içerir. Ayr›ca bu ürünlerin ara yüzleri daha kullan›c› dostudur ve ürünler için kurumsal destek almak da mümkündür. kas›m 2006 beyazflapka 23 KISA KISA KISA KISA KISA KISA KISA KISA KISA KISA • Microsoft Internet Explorer 7 versiyonunu kullan›c›lar›na sundu. Internet Explorer 7 ilk aflamada sadece ‹ngilizce olarak piyasaya sürüldü. • McAfee Citadel ve Onigma flirketlerini sat›n ald›. Citaled teknolojilerini kendi ürünlerine entegre edecek olan McAfee, Onigma’n›n Data Loss Prevention (DLP) teknolojisi ile flirketlerin önemli bilgilerinin yetkisiz sistemlere transfer edilmesini engelleyecek. • IBM, Internet Security Systems (ISS) flirketinin sat›n alma sürecini tamamlad›. 1.3 milyar dolara mal olan devir ifllemi bugüne kadar IBM taraf›ndan gerçeklefltirilen beflinci büyük sat›n alma operasyonu olarak bildirildi. • Google’›n resmi blog sitesi ikinci kez hack’lendi. Hacker sisteme eriflip sahte bir mesaj yay›nlad›. tel vPro modeliyle ücretsiz olarak da¤›t›lacak. • Breach Security flirketi, ModSecurity ad›nda aç›k kaynak kodlu bir Web Application Firewall ürünü gelifltiren Think Soft flirketini sat›n alaca¤›n› duyurdu. • Geçti¤imiz aylarda RSA’i sat›n alarak çok konuflulan bir flirket haline gelen EMC, bu defa Network Intelligence flirketini sat›n ald›. En büyük güvenlik bilgisi sa¤lay›c›lar›ndan olan Network Intelligence, EMC’ye toplam 175 milyon dolara mal oldu. • Daha önce SNS ve SGS ürünlerine yat›r›m› durduraca¤›n› aç›klayan Symantec, Juniper Networks ile Unified Threat Management (UTM) ürünlerinde iflbirli¤ine gidece¤ini aç›klad›. ‹flbirli¤i ilerleyen zamanlarda antivirüs ve tehdit yönetimi ürünleriyle daha da geniflleyecek. • Gartner, Magic Quadrant for Antivirus 2006 raporunu yay›nlad›. Raporda aç›klanan verilere göre McAfee firmas› aç›k farkla üstünlük elde etti. • Juniper Networks ve Avaya, Integrated Branch Networking ürün gruplar›nda iflbirli¤ine gidece¤ini duyurdu. http://www.mcafee.com/us/local_content/misc/2006_av_mq.pdf • F5 Networks, daha önce sat›n ald›¤› TrafficShield Web Application Firewall ürününün yaz›l›m›n› di¤er ürünleri ile entegre etti. Art›k F5 Networks IP yönetim ürünleri ve Web Application Firewall ürünü tek bir kutuda çal›flt›r›labiliyor. • Intel ve Symantec bilgisayarlardaki virus korumas›n› kapatan ataklara karfl› firmware tabanl› bir koruma sistemi gelifltiriyor. Yeni güvenlik ürünü 2007’nin ilk yar›s›nda In- ANA SPONSORLARIMIZ nebula www.nebulabilisim.com.tr www.microsoft.com/turkiye KATILIMCI SPONSORLARIMIZ Beyaz fiapka, bir e-gazete de¤ildir. Sadece bas›l› olarak yay›nlan›r ve seçkin okuyucular›na gönderilir, sayfalar› okuyucular›na aç›kt›r, reklam ve ilan içermez, marka ba¤›ms›zd›r, bilgiye yöneliktir, ücretsizdir, bilgi güvenli¤ine önem veren sponsorlar›n katk›s›yla okuyucular›na ulafl›r, üç ayda bir yay›nlan›r. Nebula Biliflim Sistemleri Sanayi ve Ticaret Ltd. fiti. taraf›ndan ücretsiz da¤›t›lan bir broflürdür. www.nebulabilisim.com.tr info@nebulabilisim.com.tr