beyaz sapka. 10 McAfee a eriflim kontrolü çözümü McAfee Policy Enforcer (MPE)'nin a erifliminde sundu u avantajlar.

Transkript

1 beyaz sapka. B KASIM 2006 L G G Ü V E N L G P L A T F O R M U BU SAYIDA 2 Zero-Day Protection Yanl fl anlafl lmalara maruz kalan Zero-Day ve Zero-Day Protection' n kapsaml anlat m. 4 Visual Studio 2005 ile gelen güvenlik özellikleri Özellikle web uygulamalar nda kullanabilece iniz Microsoft Visual Studio 2005 güvenlik özellikleri. 8 Biliflim sistemleri ve risk yönetimi Sa l kl bir risk yönetimi için izlenmesi gereken yollar ve dikkat edilmesi gerekenler. 10 McAfee a eriflim kontrolü çözümü McAfee Policy Enforcer (MPE)'nin a erifliminde sundu u avantajlar. 14 Uygulama güvenli i Web uygulamalar nda önemli bir sorun olarak karfl m za ç kan 'oturum sabitleme' nedir ve nas l engellenir. 16 Microsoft Exchange ve güvenlik Microsoft Exchange Server 2007 üzerindeki e- posta filtreleme seçenekleri. 18 Adli Biliflim sistem analizi E-posta bafll klar, internet taray c lar, web sunucu ve uygulamalar na yönelik temel sald r lar, imzalar n tespiti. 20 Yaz l m da t m Art k her alanda kullan lan yaz l mlar n da t m nda izlenecek yol önemlidir. 22 Underground xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx. 24 KISA KISA KISA Firmalar ve ürünleri hakk nda yaflanan önemli geliflmeler. BEYAZ fiapka YA ABONE OLMAK Ç N WEB FORMUMUZU DOLDURAB L RS N Z.

2 Serkan AKCAN Zero-day Birçok üründe karfl laflt m z bir özellik Zero-day Protection. Defalarca yanl fl anlafl ld - n gördü üm Zero-day ve Zero-day protection terimlerinin anlamlar n kapsaml ca anlatmaya çal flaca m. Terimin zihinlere yerleflmesi için S f r Gün ya da S f r nc Gün gibi Türkçe tercümeler yerine terimi oldu u gibi kullanaca m. Zero-day ataklar Güvenlik aç klar bilgi güvenli i uzmanlar taraf ndan bulunur. Bu noktada güvenlik aç n bulan kiflinin rengi önemlidir. Beyaz flapkal lar genellikle kurumsal flirketlerde çal fl r. Özellikle güvenlik ürünü gelifltiren flirketler, güvenlik aç tespit etme konusunda yar fl halindedirler. Ne kadar çok aç k bulurlarsa, sat fl potansiyeli o kadar artar. Bu flirketlerde çal flan araflt rmac teknik uzmanlar beyaz flapkal d r (istisnalar kaideyi bozmaz). Bir beyaz flapkal, buldu u aç n detaylar n ürün üreticisine gönderir. Üretici aç testlerden sonra do rular ve çözüm için yama gelifltirir. Yama gelifltirme bazen 5-10 gün bazen gün sürebilir. Bu tamam ile aç n teknik altyap s yla ilgili bir durumdur. sitesinden baz aç klar için yama gelifltirme sürelerini görebilirsiniz. Siyah flapkal lar pek de iyi niyetli say lmazlar. Bulduklar aç klar hiçbir kuruma bildirmez, kendileri kullan rlar. Black Community diye tabir edilen gruplar aras nda bu zaaflara ait bilgilerin elden ele dolaflt bilinmektedir. Özellikle FBI ve CERT gibi kurumlar Black Community elinde bulunan güvenlik aç klar n tespit etmek için hemen hemen dünyan n her yerinde internet trafi ini gerçek zamanl olarak dinlemektedir. SQL Injection, Directory Traversal ya da Authentication Bypass gibi aç klar ek bir uygulama gelifltirmeye gerek duyulmaks z n kolayca kullan labilir. Ancak birçok aç k türünde, aç kullanarak sistemlere sald ran küçük programlar gelifltirmek gerekir. Bu yaz l mlara exploit denir. Pattern-Matching teknolojisiyle çal flan güvenlik ürünleri (Antivirus, IDS/IPS, Secure Content Management vs.) ataklar tespit edebilmek için imza güncellemesine ihtiyaç duyar. Bu nedenle aç n bir beyaz flapkal taraf ndan bulunmas ve üreticilerin güvenlik güncellemesi yapmas zorunludur. Güncelleme yap lana kadar sistemler risk alt ndad r. Hatta birçok internet korsan hedef seçti i sisteme ait bir güvenlik aç n n duyurulmas için pusuya yatar. Aç k duyurulduktan hemen sonra ilgili exploit i bulmaya ya da gelifltirmeye çal fl rlar. Zero-day, aç n bulundu u ilk günü ifade eder. Aç k her kim taraf ndan bulunursa bulunsun, dünyadaki tüm sistemler bu aç k karfl s nda teorik olarak korumas zd r. K saca sistemi koruma alt na almak için ya üreticinin yama gelifltirmesini bekleyece iz ya da güvenlik ürünü üreticisinin ilgili imza güncellemesini bekleyece iz. Her iki durumda da Zero-day atak riski alt nday z demektir. Özellikle y llar aras nda Slammer, Code Red ve Nachi gibi internet solucanlar na dünyan n en büyük sistemleri bile karfl koyamad. McAfee AVERT laboratuar raporlar na göre sadece Slammer n yay lmaya bafllad ilk saat içerisinde sunucuya bulaflt tahmin ediliyor. Konumuzun temel sorusu fludur; fiu an dünyan n di er ucunda 15 yafl ndaki bir çocu un gelifltirdi i internet solucan ya da bir exploit e karfl sistemimi nas l koruyabilirim? Cevap: Zero-day Protection. Zero-day protection Zero-day Protection terimi aslen sunucu tabanl atak engelleme sistemi (HIPS) gelifltiren bir flirket taraf ndan ortaya ç kar lm flt r. fiirketin söylemi kendi ürünlerinin bilinen ataklar n yan s ra bilinmeyen ataklara karfl da güvenlik sa lad - d r. Bu terim günümüzde neredeyse tüm a tabanl (NIPS) ve sunucu tabanl (HIPS) atak engelleme sistemi gelifltiren flirketlerce kullan l yor. fiimdi, her iki ürün grubu aç s ndan da Zero-day Protection koruma tekniklerini aç klayal m. Network Intrusion Prevention System (NIPS) NIPS ürünleri temelde 3 konuda güvenlik sa lar. Bilinen ataklar, bilinmeyen ataklar ve DoS/DDoS ataklar. Konumuz Zero-day oldu una göre sadece bilinmeyen ataklara bakaca z. Zero-day Protection için NIPS ürünlerinde kullan lan temel teknolojinin ad Protocol Anomaly dir. Asl nda bu teknik Protocol Anomaly, Application Payload Anomaly ve Statistical Anomaly ad nda 3 önemli ve birbirinden ba ms z özelli e sahiptir. Statistical Anomaly daha ziyade DoS/DDoS ataklar na karfl gelifltirilmifl bir çözüm oldu u için hiç üzerinde durmuyorum. Gelelim di erlerine Bir NIPS ürününde bulunan Protocol Anomaly özelli i yüzlerce protokolü çözer ve analiz eder. Çünkü ataklar n büyük k sm protokol bozukluklar na neden olur. Böylece Pattern- Matching tekni inin gereksinimi olan imza güncellemesine ihtiyaç duymadan birçok bilinmeyen atak engellenebilir. Örnek vermek gerekirse Protocol Anomaly ile donat lm fl birçok NIPS ürünü Slammer ve Code Red gibi bilinmeyen ataklara karfl sistemleri korumay baflarm fllard r. Application Payload Anomaly özelli i ise özellikle Shellcode bazl atakla- 2 beyazflapka kas m 2006

3 ra karfl koymak için gelifltirilmifltir. Oldukça baflar l örnekleri bulunan bu özellikle birçok atak, a seviyesinde durdurulabilir. Shellcode ataklar sisteme ciddi zararlar verebilecek atak tipleridir, bu sebeple Application Payload Anomaly tekni inin baflar s oldukça önemlidir. Bu arada özel bir not düflmek istiyorum. Ço u yerde Polymorphic türev ataklar nda NIPS ürünlerinin yetersiz oldu u söylenir. ADMutate yaz p Google da arat rsan z baz makaleler bulabilirsiniz (Bulaca n z makalelerin büyük k sm 2002 y l na ait olacakt r). Varsay m, özel yöntemlerle flifrelenmifl veya de ifltirilmifl exploit lerin NIPS taraf ndan tespit edilemeden sisteme gönderilebilece idir. flte bu konuda Application Payload Anomaly özelli i bize koruma sa lar. NSS NIPS raporlar n incelerseniz IPS Evasion testlerinde ADMutate gibi bilinen ataklara karfl hemen hemen tüm NIPS ürünlerinin koruma sa lad n görebilirsiniz ( Gerçi aç kça söylemek gerekir ki bu testlerin sonuçlar nda dikkat edilmesi gereken ADMutate ataklar n n engellenip engellenmedi i de il, decode edilip edilemedi idir. Nitekim mutated dedi imiz de ifltirilmifl yap da olan ataklar n tespit edilebilmesi için NIPS üreticileri yo un mesai harcamaktalar. Decode edilemeyen bir trafi in içinde atak aramak mümkün de il. Baz ürünler decode edemedi i trafi i otomatik olarak englleyebilir ancak bu da False Positive dedi imiz hatal atak tespiti oran n artt racakt r. Profesyonel bilgi güvenli i uzmanlar için bu hayati bir konudur. Yaz içeri i ile direk ilgisi olmad ndan daha fazla detay veremeyece im, ilgilenenler benimle temasa geçebilir. Host Intrusion Prevention System (HIPS) Hiç flüphe yok ki Zero-day ataklar na karfl NIPS in koruma kalkan HIPS e göre daha zay ft r. HIPS ürünlerinin kulland teknikleri tek tek aç klamaya kalksam Beyaz fiapka da 10 sayfa yaz yazmam gerekir. Burada birkaç önemli noktaya de inmekle yetinmek zorunda kalaca m. HIPS ürünlerinden baz lar Pattern-Matching tekni ine de sahiptir ancak onlar de erli k lan Zero-day Protection özellikleridir. Bunlardan en önemlisi de hiç flüphesiz Buffer Overrun Protection özelli idir. Buffer Overrun aç klar sistemlerin tüm ifllevlerini uzaktan ele geçirmeye neden olur. Çünkü bu ataklar iflletim sisteminin adreslemedi i haf za bölümlerinde çal fl r, bu sayede iflletim sistemi üzerinde bulunan güvenlik tan mlar na tabi tutulamaz. HIPS ürünlerinin büyük k sm Buffer taflmalar n otomatik olarak alg lar ve engeller. Ata n bilinip bilinmemesinin önemi olmad gibi kayna n n lokal ya da remote olmas da önemli de ildir. HIPS her koflulda koruma sa layacakt r. Di er önemli bir koruma tekni i de haf zaya ya da iflletim sistemine yap lacak Injection ataklar na karfl d r. Burada sözü edilen Injection ata n n SQL Injection ile hiçbir ilgisi yoktur. San r m bu konuda verebilece im en basit örnek metasploit taraf ndan kullan lan VNC Injection örne i olacak. Sistemde bulunan bir aç kullanarak kurban sisteme VNC Server yaz l m na ait DLL i gönderip bize geri ba lant yapmas n sa layabiliyoruz. K saca hack etti imiz sistemin ekran görüntüsünü oldu u gibi hem de yönetici yetkileriyle alabiliyoruz. Ço u durumda DLL Injection gibi teknikler Buffer Overrun gibi baflka zaaflarca tetiklenmek zorundad r. Temel olarak HIPS ürünleri d flar dan iflletim sistemine ya da direk sistem haf zas na çal flt r labilir bir uygulama sokulmas n engelleyebilir. Bu sayede sisteminizde bir güvenlik aç bulunsa bile hack giriflimi baflar s z olacakt r. HIPS ürünlerinin anlat lmadan geçilemeyecek di er bir özelli i de Resource Protection özelli idir. Kritik dosyalar, dizinler ve Windows Registry kay tlar kesin olarak koruma alt na al nabilir. Asl nda iflletim sisteminin de kendi içerisinde eriflim denetimi özelli i vard r. Ancak yukar da anlatt m z gibi baz ataklarda iflletim sistemi eriflim denetimi özellikleri kolayca atlanabilir. HIPS ürünleri atak olsun olmas n, belirtilen kaynaklar kesin koruma alt na al r. Örne in yeni yay lmaya bafllam fl bir internet solucan bütün sistemlere s zabilir (Slammer, Code Red vs..) ancak HIPS taraf ndan korunan sistemler bu ataklardan zarar görmeyecektir. Hatta HIPS yöneticisi izin vermezse, sistem yöneticisi bile koruma alt ndaki kay tlar de ifltiremez. Sonuç NIPS ve HIPS ürünleri %100 koruma sa lar m? Bu soruya ne güvenlik uzmanlar ne de ürün üreticileri evet cevab n veremez. Hiç flüphe yok ki, NIPS konusunda k saca bahsetti im polymorphic atak tipleri gibi, her geçen gün yeni atak metotlar türeyecektir ve bunlar n bir bölümü NIPS ve HIPS ürünleri kullan l yor olmas na ra men etkili olacakt r. Ancak NIPS ve HIPS üreticileri bu geliflmeler karfl s nda uyumuyorlar, ürünlerini ve teknolojilerini sürekli gelifltiriyorlar. Öyleyse NIPS/HIPS projesi yaparken üzerinde durmam z gereken en önemli konu ürün seçimi. Ürünü seçerken çok küçük ayr nt lara dikkat etmemiz ve üreticinin IPS teknikleri üzerindeki vizyonu anlamam z gerekiyor. Bunun yan s ra ürünlerin do ru yap land r lmas da çok önemli. Bu noktada atak tiplerini iyi tan yan uzmanlardan fikir veya destek al nmas son derece kritik. Nitekim bahsetti im koruma tekniklerinin baz lar varsay lan olarak aktif durumda gelmiyor. Teknik özelliklerin iyice incelenerek, ad m ad m devreye al nmas ve test edilmesi gerekiyor. Bu aflamada yap lacak yap land rma hatalar pahal ya mal olabilir. Kaynaklar: kas m 2006 beyazflapka 3

4 Mehmet EMRE Visual Studio 2005 ile Gelen Güvenlik Özellikleri Bu yaz dizimizde ASP.NET 2.0, NET Framework 2.0 ve Visual Studio 2005 ile gelen yeni güvenlik özelliklerini sizlerle paylaflaca z. Web uygulamalar gelifltirirken ASP.NET 2.0 yaz l mc lara güvenli kodlar yazmak konusunda önemli imkanlar sunmaktad r. Microsoft.NET Framework 2.0 da güvenli uygulamalar gelifltirme konusunda önemli özellikler içermektedir. Önümüzdeki say larda bu özellikleri detayl inceleme flans bulaca z. Bu makalemizde Visual Studio 2005 ile gelen yeni uygulama güvenlik özelliklerini inceleyece iz ve büyük resmi gözden geçirece iz. Önümüzdeki say larda bu büyük resmin bileflenlerine bu köfleden daha detayl bakma flans m z olacak. Genelde yaz l mc lar güvenli kod yazmak konusunda isteklilerdir. Fakat pratikte güvenli kaynak kodu ve uygulamalar gelifltirmek için ihtiyaç duyacaklar bilgileri edinmeye yetecek zaman hiçbir zaman ay ramazlar veya bulamazlar. Kod yazarken genelde çözmek durumunda olduklar ifl problemleri ve algoritmalar üzerine odaklan rlar ve bu s rada güvenlik ile ilgili konulara yeterince ilgi gösteremezler ve ço u zaman da yo un çal flma temposu içerisinde bunlar gözard etmek durumunda kal rlar. Bu perspektiften bak ld - nda güvenli uygulamalar gelifltirebilmek için yaz l m araçlar n n çok önemli bir rol oynad n söyleyebiliriz. Yaz l m gelifltirme araçlar ve platformu, güvenli uygulamalar gelifltirmek konusunda yaz l mc lara ekstra ifl yükü oluflturmaks z n, uygulaman n genel güvenli ine önemli katma de er sa layabilir bir tak m güvenlik kontrollerinin çok az bir eforla ya da hiç efor sarfetmeksizin otomatik olarak yap lmas n sa layabilirler. Bu yaz m zda yönetilen kodlar (Managed Code - CLR) üzerinde çal flan kodlar üzerinde yaz l m gelifltirme platformu olarak Visual Studio 2005'in sa lad güvenlik avantajlar üzerinde duraca z. Bu iki alanda Visual Studio 2005 ile gelen yeni özellikleri irdeleyece iz. overrun sorunlar n n oluflturaca tehdidi büyük ölçüde ortadan kald r r. Bununla birlikte yönetilen kodlar içinde de baz güvenlik boflluklar oluflabilir. Bu alanda Visual Studio 2005 bize ciddi kolayl klar sa lamaktad r. Kod analizi (Code Analysis FxCop) Derlenen her kodun do ru yaz lm fl kod oldu unu söylemek mümkün de ildir. Bununda ötesinde derleme süreci kodun güvenli bir kod oldu unu teminat alt na almaz. Yaz lan kaynak kodu, derleyicinin kontrolü d fl nda güvenlik, isimlendirme standartlar, performans, güvenilirlik, yerellefltirme ve kurumsal tasar m kurullar ndan da geçirilmelidir. Visual Studio 2005 'ten önce.net ortam nda bir eklenti olarak kullanabildi imiz FxCop arac kodlar m z derleme kurallar d fl nda yukar da bahsedilen kurallardan geçirebilmemize imkan sa lar. Kural kümesi olarak standart bir kurallar dizisi araç içerisinde bulunmaktad r. Dilendi inde buradaki kurallar özellefltirilebilir veya yeni kurallar oluflturuflabilir. FxCop eklentisi Visual Studio 2005 ürünü ile birlikte kod analiz arac olarak entegre gelifltirme ortam dahilinde kodumuzu önceden tan mlanm fl kurallar (güvenlik kurallar da bu kurallar içerisinde yer almaktad r) çerçevesinde analiz Yönetilen kodlar için Visual Studio 2005 ile gelen yeni güvenlik özellikleri Yönetilen kodlarda oluflabilecek güvenlik sorunlar nativ kodlardan oluflabilecek güvenlik sorunlar ndan farkl l klar gösterecektir. Örne in yönetilen kodlar n CLR içinde çal flmas ve bellek yönetiminin CLR taraf ndan yap l yor olmas geleneksel buffer 4 beyazflapka kas m 2006

5 etmemize imkan sa lamaktad r. Kurallar kural listesi içerisinde gruplanarak organize edilebilir. Kod güvenlik kurallar ve kod performans kurallar ayr kural gruplar içinde yer al r. Kod analizi yapabilmek için proje özelliklerinden Code Analysis sekmesine gidilerek buradan kod analizi aktive edilmelidir. Kod derlemeleri kod analizinde yer alan kurallara göre kaynak kodlar analiz edilir ve hata listesinde kurallara uymayan kod parçac klar uyar olarak gösterilebilir. Kod analiz kurul gruplar veya kurullar ndan baz lar aktive edilip di erleri kod analizinden ç kar labilir. Kod eriflim güvenli i (Code Access Security) Tüm.NET uygulamalar CLR içinde kod eriflim güvenlik (CAS Code Access Security) modeli üzerinde çal fl r. Assembly nin yeri, assembly nin imzas gibi faktörlere dayal olarak güvenlik haklar verilir. Bu faktörler kullan c, makina veya domain seviyesinde politikalar ile karfl laflt r l r. lgili politikalar bu faktörler ile iliflkilendirilerek, uygulaman n spesifik haklar ile çal flmas garanti alt na al n r. Buna kavramsal olarak k smi güven (partial trust) denir. Bu tarz uygulamalar gelifltirirken yaflanan en önemli s k nt, gelifltirme aflamas nda uygulama, üretim ortam ndaym fl gibi simule ederek test edebilmektir. Yaz l mc, gelifltirme yaparken tüm haklara sahip olacakt r. Bu uygulaman n internet ya da intranet güvenlik seviyelerinde hangi haklara sahip olaca n görmek için, uygulamay bu ortamlara tafl yarak test etmek gerekecektir. Visual Studio 2005, yaz l mc lara IDE den ayr lmadan, farkl güven seviyelerinde uygulamalar n n nas l davranaca n test ermek için araçlar ve bir tak m özellikler içermektedir. ClickOnce ile kod yayg nlaflt rma (ClickOnce Deployment) ClickOnce, Visual Studio 2005 ile gelen ve k s tl haklarla çal flan kullan c lara ak ll istemci uygulamalar n da tmak konusunda, yaz l mc lara esneklik sa layan bir teknolojidir. Ak ll istemci uygulamalar dosya paylafl m, FTP paylafl m alan veya bir internet/intranet sitesi üzerinden http kullan - larak yayg nlaflt r labilir. Burada kullan lan dosya veya FTP paylafl m alan, internet/intranet sitesi yayg nlaflt rma sunucusu olarak adland r l r. lgili yayg nlaflt rma sunucusuna yeni bir versiyon yaz l mc taraf ndan yüklendiyse, son kullan - c uygulamay bafllatt nda yayg nlaflt rma sunucusu üzerinde yap lan otomatik versiyon kontrolü s ras nda güncelleme farkedilir. Yerel depolama alan ndaki sürüm güncellenerek, kullan c n n uygulamay en güncel haliyle kullanmas sa lan r. Visual Studio 2005 bu tür k smi güvenlik modeli ile çal flan uygulamalar n entegre gelifltirme ortam içinde test edilebilmesine olanak tan r. lgili özellik, kod eriflim güvenli i alt nda çal flacak uygulamalar gelifltirmek ve test etmekte çok önemli zaman kazanc sa lar. >> ClickOnce, kullan c lara uygulama da t m konusunda esneklik sa layan bir uygulamad r Güvenlik alan içinde hata ay klama (Debug in Zone) Debug in Zone özelli i yaz l mc lara, uygulama gelifltirme süreci içerisinde, kodlar n hangi güvenlik alan içinde çal flkas m 2006 beyazflapka 5

6 >> Mehmet EMRE Visual Studio 2005 ile Gelen Güvenlik Özellikleri t rmak isterlerse o güvenlik alan içinde test etme imkan verir. Böylelikle farkl güvenlik seviyelerinde izinler içeren politikalar n geçerli oldu u durumlarda, gelifltirdikleri uygulamalar beklentileri do rultusunda çal fl p çal flmayaca n test etme flans bulurlar. Yönetilen uygulamalarda bu özellik, proje özelliklerinin güvenlik sekmesinden eriflilebilir. Burada uygulaman n k smi güven seviyesinde çal flaca n belirtebiliriz. Daha sonra hangi güvenlik alan nda (zone) uygulamam z test etmek istedi imizi belirtebiliriz. Güvenlik alan n n ayarlar n özellefltirebiliriz. Böylelikle uygulaman n üretim ortam nda çal flaca makine ya da güvenlik alanlar - n simüle etmifl oluruz. Hata ay klama s ras nda daha geliflmifl hata uyar - lar (Improved Security Exceptions during Debugging) Güvenlik alan n z belirledikten sonra, uygulaman z sanki belirlenen güvenlik alan nda çal fl yormufl gibi güvenlik hatas üretir. Yeni güvenlik hata penceresi, hata ay klama s ras nda hangi güvenlik hatalar ile karfl laflabilece iniz konusunda fikir verir. Güvenlik hata penceresi hata konusunda sizi uyarmakla kalmaz, yapman z gerekenler konusunda sizi yönlendirir. Güvenlik bölgesine göre IntelliSense (IntelliSense in the Zone): IntelliSense in the Zone, Visual Basic e özgün bir güvenlik özelli idir. Bu özellik, IntelliSense in sadece o güvenlik alan için izin verilen API lerle s n rl kalmas n sa lar. Etkin güvenlik alan nda geçerli olmayan fonksiyonlar, etkin olmayacak flekilde gösterilir. Bu da yaz l mc n n etkin güvenlik alan nda sadece izin verilen fonksiyonlar kullanmas n zorunlu k lar. PermCalc (Permission Calculator) PermCalc, yönetilen uygulaman n.net yaz l mc lar taraf ndan baflar yla çal flt r labilmesi için gereken izinlerin analiz edilmesini sa lar. Bu özellik, Visual Studio 2005 ile gelmifltir ve yönetilen kodlar için proje özelliklerinden güvenlik sekmesinden ulafl larak çal flt r labilir. PermCalc entegre yaz l m gelifltirme ortam içinden kullanmak için uygulaman n hedef güvenlik alan n n ayarlanmas ve Calculate Permission dü mesine bas lmas yeterli olacakt r. Araç, ilgili güvenlik analizini yaparak verilenden daha fazla izne gereksinim olup olmad n hesaplar. Böylelikle uygulaman n ihtiyac olan, fakat hedef güvenlik alan nda olmayan haklar önceden tespit edip hedef güvenlik alan n z n ayarlar n güncelleme flans bulabilirsiniz. Yönetilen kodlar için Visual Studio 2005 ile gelen yeni güvenlik özellikleri Getirilen yeniliklerden baz lar hem nativ hem de yönetilen kodlar üzerinde uygulanabilir. Bunlar temelde iki alanda incelenebilir. En az hak ile gelifltirme ve hata ay klama Kötü niyetli kodlar n verebilece i zararlar k s tlaman n en önemli yöntemlerinden birisi, kodlar n gerekli en az hak ile çal flaca bir ortam oluflturmakt r. Bu yönde k s tlamalar yap lmazsa, ço u kiflinin yönetici yetkileri ile çal flt rd kötü niyetli kodlar yönetici haklar yla ilgili makinelerde çal flma flans bulacakt r. Genel bir güvenlik kural olarak admin haklar olan hesaplar ile çal flmaktan fliddetle kaç nmak gerekir. Visual Studio nun eski sürümlerinde k s tl haklarla uygulama gelifltirmek ve hata ay klamak oldukça zordu. Visual Studio nun kendisi yüksek ayr cal kl haklar gerektirmektey- 6 beyazflapka kas m 2006

7 Uygulaman n yaz l mc lar taraf ndan baflar yla çal flt r labil mesi için izinleri analiz edebilirsiniz di. Bu durum Visual Studio 2005 te de ifltirildi. Visual Studio 2005, normal bir kullan c hesab ile admin yetkileri olmaks z n çal flabilmenizi veya hata ay klayabilmenizi mümkün k lar. Yeni test özellikleri Birim testleri Birim testleri, belirli girdiler ile beklenen bir dönüfl de eri veya de erlerinin elde edilip edilemeyece ini test eder. Kullan c verisi ifllenirken, verinin bekledi imiz özelliklerde olmas n sa lamak önemlidir. Veriyi ifllemeden önce test etmemiz gereken iki fley, veri tipi ve veri uzunlu udur. Birim testleri, bir fonksiyona rastsal girdiler göndererek, uygulaman n do ru ç kt y üretti ini ve uygulaman n genelinin do ru çal flt n garanti alt na almam z sa lar. Ayr ca birim testler yap l rken kod kapsam da etkinlefltirilerek kodun ne kadar n n ilgili birim testiyle test edildi i izlenebilir. Az kullan lan kodlar, mesela yap sal hata iflleme (structure exception handling) bloklar da test edilmifl olur. Genelde sald rganlar uygulamay özellikle normal ak fl ndan ç karacak hatalar yapt r p buralarda çal flan kodlar üzerinde güvenlik aç klar olufltururlar. Birim testleri bu gibi sald r lar n önüne geçmek konusunda önemli avantajlar sa lar. Yük testleri Yük testleri de güvenlik aç s ndan önemlidir. Çünkü DoS (Denial of Service) senaryolar gibi ataklara karfl web uygulamalar n n test edilmesini sa lar. Yük test arac hem uygulaman n alaca yükü test etmek, hem de normal durumlar d fl nda uygulaman n sald r durumunda davran fl n simüle etme imkan verir. Sonuç Visual Studio 2005 bir yaz l m arac ve platformu olarak misyon kritik güvenli kodlar gelifltirmek konusunda yaz l mc lara önemli f rsatlar sunmaktad r. Visual Studio ile birlikte gelen araçlar ile güvenli uygulamalar gelifltirmek, test etmek ve bunlar yayg nlaflt rmak çok daha kolayd r. kas m 2006 beyazflapka 7

8 Bora DAL Biliflim Sistemleri ve Risk Yönetimi: Dalgal denizlere yelken açmak Sa l kl bir risk yönetimi için risk belirleme, risk indirgeme ve anlay fl gözden geçirme/yeniden belirleme aflamalar izlenmelidir. Risk kelimesi her ne kadar elle tutulur, gözle görülür imgeleri ça r flt rmasa da gündelik hayatta s k s k kullanmaktan çekinmedi imiz bir kelime. Kullanmasak da yaflam m za en az ndan hayat m z kolaylaflt rmak için istemsizce soktu umuz bir unsur. Örne in kar ya d nda, devam nda flehir ve ulafl m felç oldu unda uyar lar do rultusunda arabam z evde b rak p toplu tafl ma araçlar n tercih etmemiz bunun bir örne i. Çünkü biliyoruz ki kar ya d nda arabam z n çeflitli sebeplerle yolda kalma ihtimali var. fle ya da zaman nda varmam z gereken yerlere geç kalma riski söz konusu. Arabam z illa ki yolda kalacak de il, az gecikmeyle ya da gecikmesiz gitmemiz gereken yere ulaflmam z da mümkün. Ama önceki kar ve flehir deneyimlerimizden olsun, yap lan uyar lardan olsun, kendi d fl m zdaki etkenleri kontrol edemeyiflimizden olsun, saatlerce yolda kalma veya daha kötüsü kaza yapma riskini üstümüze almak istemiyor ve arabam z evde b rak yoruz. Kar burada sadece bir etkendir. Yani her zaman olan kaza yapma ya da yolda kalma riskini yükselten bir d fl etkendir. Çeflitli sebeplerle arabam z n yolda kalmas, biz ve arabam zdan yani iç etkenlerden kaynaklanan bir risk olarak görülebilir. E er gidece imiz yere yolda kalm fl baflka bir araç dolay s yla gidememiflsek d fl etkenler buna yol açm flt r diyebiliriz. Maalesef organizasyonumuzun ya da flirketimizi ilgilendiren riskleri önlemeyi b rak n görmemiz dahi kolay de il. D flar da karmafl k pazar ortam, zorlu bir rekabet, uyulmas gereken yasal gereklilikler zaten yeterince büyük olan resmi bulan klaflt r p risklerin belirlenmesini zorlaflt rmaktad r. Bunun üstesinden gelinebilmesi için risk kavram na metodolojik olarak bak lmas gerekmektedir. Risk yönetimi yaklafl m iste bu gereksinimden do mufltur. Risk yönetimi ilk olarak 1970 lerde insan yap m felaketlerin öngörülebilmesinde kullan lmaya bafllanm fl, 1980 lerde ise finans sektörüne finansal yat r m araçlar n n getirisini tahmin etmek amaçl girmifltir. Kaynak UK: RMI Risk Management Standard Geliflen teknolojinin organizasyonlar n her alan na girmesiyle biliflim sistemlerinin güvenli i, bütünlü ü ve süreklili inin sa lanmas, ifl devaml l için bir flart haline gelmifltir. Hatta organizasyonlar n üst düzey yönetimleri yavafl yavafl biliflim sistemlerinin önemini kavramaya bafllam fl, onlars z devam edemeyeceklerini anlam fllard r. Risk yönetiminin ister biliflim sistemleriyle ilgili olsun, ister finansal kayb önlemek amaçl olsun temel olarak ayn ad mlardan olufluyor olmas, ortak bir vizyon uygulanmas nda kolayl k sa lar. Ancak ad mlar n, organizasyonun farkl k s mlar nda uygulanabilmesi ayr uzmanl k alanlar na sahip bölümlerin ortak çal flmas n gerektirir. Sa lanmas hiç kolay olmayan bu koordinasyonun, ancak üst yönetimin deste iyle organizasyonsal bir çaba haline getirilmesi mümkündür. K sacas BT Risk Yönetimi organizasyonel risk yönetim anlay fl n n bir parças d r. 3 ad m Risk yönetimi, ak lda kalmas kolay 3 ad mdan oluflur: Riskin belirlenmesi Riskin indirgenmesi Anlay fl n gözden geçirilmesi ve yeniden belirlenmesi Sa l kl bir risk yönetimi ortam, ancak bu 3 ad m n birlikte düflünülmesi ve s - ras yla uygulanmas yla kurulabilir. Ancak flu ana kadar gerçeklefltirdi imiz projelerde gözlemledi imiz kadar yla en çok zorlan lan aflamad r. Bunun sebebi organizasyonlar n, kendilerini ve çevrelerini saran manzaray tam olarak tan mlayamamalar ndand r. Belirlemek BT sistemleriyle ilgili olumsuzluklar n gerçekleflebilme ihtimalini anlayabilmemiz için tehditlerin potansiyel aç kl klar ve var olan kontrollerle birlikte analiz edilmesi gerekmektedir. Söz konusu zay fl klar kullan larak, BT sistemlerine ne derece zarar verilebilece i, söz konusu zay fl kla sistemin ne kadar derinine inilebilece i ile ilgilidir. Burada derinlikten kas t tehdidin oluflmas sonucunda biliflim sistemleri ve flirketin 8 beyazflapka kas m 2006

9 hassas de erlerinin ne kadar zarar görece idir. Mevcut organizasyon içi durumun belirlenmesine, afla daki genel sorulara cevap verilmeye çal flarak bafllanabilir: Organizasyona ait tüm de erler kay tl ve sürekli güncelleniyor mu? Organizasyona ait bütün varl k ve de erler fiziksel ve mant ksal olarak yeterince korunabiliyor mu? Çal flanlar n can güvenli i yeterince sa lanabilmifl mi? Organizasyonun biliflim sistemleri kaynaklar ne derece yönetilebilir? Fiziksel ve mant ksal kaynaklara eriflim gereklilik esas na göre ne derece sa lan yor? Sistemler, çal flanlar n gündelik süreklilik gereksinimini karfl layacak verimlilikte çal fl yor mu? Do al afet ya da beklenmeyen bir durumda sistemlerin devaml l n, verinin bütünlü ünü ve devaml l n sa layabilecek önemler al nd m? Sistemler yapmalar gerekenleri do ru olarak yap yor mu ve bunu periyodik olarak iç ve/veya d fl kaynaklarla denetliyor muyuz? Bu sorulara ilave olarak sorulmas n n gerekli oldu u kanaatine var lan baflka sorular da eklenebilir. fiüphesiz, yukar - daki sorular n en önemlisi ilkidir. Nelerin korunmas n n gerekti ini anlamadan, listelemeden onlar korumaya yönelik ad mlar n at lmas mümkün de ildir. Buna verilebilecek en güzel örnek son zamanlarda oldukça yayg nlaflan PDA lerdir. fl amaçl olarak kullan ld ndan haberdar olmad m z bir PDA in çal nmas ya da kaybolmas durumunda içindeki verinin aç a ç kmas n engelleyemeyece imiz gibi bunun olmas na karfl önlem de alamay z. NIST in Risk Management Guide for Information Technology Systems de yer alan risklerin belirlenmesi aflamas nda yap lmas gerekenler afla da ad m ad m incelenmifltir. 1. Sistemlerin tan mlanmas : Risklerin anlafl lmas için öncelikle çal flman n yap laca alan n belirlenmesi gerekmektedir. Bunun için güncel bir envanterden yola ç k larak, hangi donan m n üzerinde hangi iflletim sistemi oldu u ve hangi ifl süreçlerini destekleyen programlar çal flt rd anlafl lmal - d r. Bunun yan s ra kimlerin bu sistemlere destek verdi i, kulland, içinde tutulan verinin hassasiyeti gibi konular da incelenmelidir. Bu çal flmaya söz konusu sistemler için yaz - lan politika ve prosedürler, sistemlerin a daki yerleri, donan m n etraf ndaki çevresel kontrolleri de eklemeyi unutmamak gerekir. Bu ad m n sonunda, var olan biliflim teknolojileri sistemleri hakk nda birçok bilgi toplanm fl olacakt r. 2. Tehditlerin belirlenmesi: Tehdit kazayla ya da bilerek bir zay fl ktan faydalan lma potansiyeli olarak tan mlanabilir. E er zay fl k yoksa tehdit uygulanabilme riski tafl maz. 3 ana tehdit kayna n do a, insan ve çevresel kaynakl tehditler olarak listeleyebiliriz. Do al tehditler: deprem, sel, uzun süreli hava muhalefeti, heyelan, vs nsan kaynakl tehditler: stemli ya da istem d fl insan kaynakl olaylar. A tabanl sald r lar, zararl yaz l m etkileri, hassas veriye izinsiz girifl. Çevresel tehditler: Uzun süreli elektrik kesintisi, ekonomik kriz, beklenmedik makro ekonomik de ifliklikleri, kirlilik. 3. Zay fl klar n belirlenmesi: Bu ad m n amac potansiyel olarak faydalan labilecek zay fl klar n listelenmesidir. Olas bir zay fl k, kullan c hesaplar iptal edilmemifl eski çal flanlar olabilir, firewall daki konfigürasyon hatas olabilir ya da program gelifltirme sürecinde programc lar n üretim sistemlerine girip de ifliklik yapmas na izin verilmesi olabilir. Sa l kl olarak sistem zay fl klar n n belirlenmesini sa lamak için daha önceden böyle bir çal flma yap lm flsa ondan yola ç k - labilir, yap lm fl sistem güvenlik testlerinden faydalan labilir veya çeflitli standartlar ve best-practice lerden faydalanarak güvenlik gereksinimi kontrol listeleri ç kart labilir. 4. Kontrol analizi: Bu ad m da hâlihaz rda uygulanan ya da uygulanmas düflünülen kontrollerin incelenmesidir. Zay fl klar n uygulanabilirli i var olan kontrollerin etkinli ine ba l d r. Örne in potansiyel bir tehdidin oldu u alandaki kontrolün yetkinli i, o zay fl n faydalan rl n indirgeyebilir ya da yol açaca zarar azalt r. 5. Olabilirlik tahmini: Potansiyel bir zay fl ktan faydalan labilme ihtimalidir. Düflük, orta, yüksek olarak s n fland r labilir ve tehdidin do as na, var olan kontrollerin yetkinli ine ve tehdit kayna n n motivasyonuna ba l d r. 6. Darbe analizi: Zay fl ktan faydalan lmas durumunda oluflabilecek zarar veya etkinin tahmin edilmesidir. Bu çal flma sayesinde oluflabilecek biliflim sistemleri de erlerinin bafl na gelebilecek zarar ölçülebilir hale getirilir. Hâlihaz rda böyle bir çal flma yap lmam flsa, sistemin ve verinin bütünlü ü, gizlili i ve sürekli i baz al narak önce uygulanmas gereken hassasiyet derecesi belirlenebilir. 7. Kontrol eklentileri: Çal flmalar do rultusunda yeni belirlenmifl biliflim sistemleri veya veriyle ilgili risk seviyelerinin yönetim taraf ndan kabul edilebilir bir seviyeye indirgenmesi için yeni kontrollerin belirlenmesidir. 8. Sonuç dokümantasyonu: Önceki ad mlarda yap lan çal flmalar sonucunda belirledi imiz tehdit, zay fl k ve risklerle beraber yeni kontrol önerileri resmi bir flekilde raporlanmal d r. Rapor üst yönetimin anlayaca bir dilde yaz lmal ve mümkünse bilgilendirme toplant s eflli inde sunulmal d r. Önümüzdeki Beyaz fiapka say s nda biliflim sistemleri risk yönetimi konusuna belirledi imiz risklerin indirgenmesi konusuyla devam edece iz. kas m 2006 beyazflapka 9

10 Arma an ZALO LU McAfee A Eriflim Kontrolü (NAC) Çözümü McAfee Policy Enforcer (MPE) McAfee Policy Enforcer (MPE) bilgisayarlar a a ba lanmadan önce uygunluk kontrolünden geçiren ve bu kontrol sonucu e er gerekiyorsa güncellemelerin yap lmas n sa layan bir a eriflim kontrolü (Network Access Control - NAC) çözümüdür. MPE nin kullan ld a larda e er bir sistem güvenlik aç içeriyor ve/veya zararl kodlardan etkilenmifl ise kurumsal a a ba land r lmayacak, bir karantina bölgesine yönlendirilip burada gerekli güncellemeler yapt r ld ktan sonra a a girifline izin verilecektir. Politika, güvenlik yamalar n n ne s kl kta yap laca, antivirüs yaz l m için hangi tan m dosyalar n n gerekti i veya belirli bir sisteme sabit diskte önemli/hassas veriler içerdi i için farkl bir ba lant politikas atanmas gibi kurallar içerir. Her bir kural, iflletim sistemini ve di er kriterleri belirler. Ayn zamanda hangi uç noktan n hangi özellikler için taranac- n da belirler. Basit bir kural, tüm Microsoft XP uç noktalar n n MS yamas n içermesi gerekti ini belirleyebilir. Daha karmafl k bir kural ise NetBIOS ismi SRV ile bafllayan tüm Windows 2000 sunucu platformlar n n Service Pack 4 yan nda MS04-044, MS ve MS yamalar n, antivirüs DAT dosyalar n n en son versiyondan en fazla bir gün eski olabilece ini ve MyDoom virüsünden etkilenmemifl olmamas gerekti ini tan mlayabilir. E er bir cihaz uç nokta güvenlik MPE mimarisi MPE 3 farkl bileflenden oluflan yaz l m tabanl bir çözümdür: 1 MPE Sunucusu 2 MPE Sensörü 3 MPE Taray c s MPE sunucusu MPE sunucusu sistem yöneticilerinin a eriflim politikalar n belirleyebildi i, de erlendirme taramalar n n n zaman n programlayabildi i ve raporlar alabildi i kullan c arayüzüyle gerekli altyap y sa lar. MPE sunucusu ayn zamanda alarmlar da üretir. 10 beyazflapka kas m 2006

11 politikas na uygun de ilse sistem yöneticisi bu cihaz n sadece denetlenmesi yönünde bir tedbir belirleyebilece i gibi karantina bölgesine ve iyilefltirme web portal na yönlendirilmesi gibi bir politika da tan mlayabilir. Di er bir seçenek de bu cihaz n a dan düflürülmesidir. Sistem yöneticileri, güvenilir uç noktalar belirleyip bunlar n a eriflim politikalar ndan ba ms z davranmas n sa layabilir. Bu sistemler takip edilir ve raporlan r. Ancak taranmazlar veya bunlara karfl tedbir al nmaz. Önemli sunucular, depolama sunucular, yaz c lar ve di er baz uç noktalar n güvenilir olarak tan mlanmas yla tüm a için genel politika güncellemeleri uygunluk hatas riskleri en az indirgenerek yap l r. Bu sayede bu tip sistemlerin her zaman a da aktif olarak bulunmalar güvence alt na al nm fl olur. MPE, epo nun güçlü yönetim arayüzü ile raporlama ve bilgilendirme özelliklerini kullanarak, minimal bir çabayla çok kapsaml bir politika zorlama arac elde edilebilir. MPE, epo ile ayn sunucuya yüklenerek güçlü donan m altyap lar n n efektif kullan lmas na izin verirken tercihe ba l olarak ayr bir sunucuya da kurulabilir. MPE sensör MPE sensörleri ister kablolu ister kablosuz olsun, yerel a daki tüm uçlar tespit ederek a topolojisinin gerçek zamanl bir haritas n ç kar r. A topolojisi keflfi, yönetilebilir Layer-2 switch ler üzerinde bulunan tüm protokol ve teknolojilerden faydalan r. MPE sensörü hem switch lerden gelen trafik yay nlar n, hem de uçlardan gelen DHCP taleplerini dinler. Sensör, a trafi ini MAC adresi, subnet, VLAN gibi bilgileri bulmak için dinler ve bu bilgileri, de erlendirme için güvenli bir iletiflim ile MPE sunucusuna iletir. Sensörler a da stratejik yerlere -DHCP sunucusunun ya da router un yan gibi- konumland r l rlar. Tüm a kapsamak için birden fazla sensör kullan labilir. Yedekli sensörler, en üst düzeyde güvenlik ve süreklilik sa lar. Sensörler, statik IP kullanan sistemlerin broadcast subnet ine kurulmal d r ki trafik yakalanabilsin. MPE sensörü network topolojisinin switch, switch port, router ve di er sensörler gerçek zamanl haritas n ç kart r ve politikaya uymayan bir sistemin h zla karantinaya al nmas - n veya sistemden düflürülmesini (bu harita bilgisini kullanarak) sa lar. McAfee Policy Enforcer n destekledi i 3. parti sistemler Tehdit / Enfeksiyon Kontrolleri Host antivirus Microsoft service packs Host firewall Mydoom Sasser Zotob Bagle Nachi Netsky Ve birçok di er zararl kod McAfee VirusScan Enterprise ve McAfee VirusScan Symantec AntiVirus and Norton AntiVirus Trend Micro Offi cescan and ServerProtect Computer Associates eztrust AV Sophos Anti-Virus Microsoft Windows Update Microsoft patches for service packs, operating systems, Internet Explorer McAfee Desktop Firewall Sygate Firewall Symantec Firewall Microsoft Windows XP Firewall Host intrusion McAfee Entercept 5.0 Prevention McAfee Host Intrusion Prevention 6.0 Patch management agents Host antispyware System / policy management agents Patch assessment (Yama de erlemesi) Patchlink Update BigFix Patch Manager Microsoft Windows Update BMC Marimba Patch Management Agent McAfee AntiSpyware Webroot Spysweeper Computer Associates PestPatrol Microsoft Secure Messaging Service (SMS) IBM Tivoli Agent Symantec ESM Microsoft security patches MPE sensörü switch ve router lar da kontrol edebilir. E er bir sistemin karantinaya al nmas ya da sistemden uzaklaflt r lmas gerekiyorsa, MPE sunucusu bu bilgiyi MPE sensör ine iletir ve MPE sensörü de bu komut ile switch i gerekti i flekilde ayarlar. E er switch ler Cisco NAC sisteminden faydalanmak üzere güncellenmifllerse, MPE sensörü karantinaya alma ya da bloklama talimat n Cisco NAC sistemine iletir. Sistem yöneticileri her bir sensör üzerinde a topolojisi keflfini MPE sunucusu üzerinden aktif ya da pasif hale getirebilirler. Her bir sensör ayr ayr konfigüre edilebilir. >> MPE sunucusu ile taray c s aras ndaki iletiflim SSL flifreli olarak yap l r. Di er firmalar n yönetim uygulamalar ile kokas m 2006 beyazflapka 11

12 >> lay entegrasyon için data yap s XML olarak MPE sensörü ve MPE sunucusu içinde tutulur. MPE taray c s E er host, uç nokta güvenlik politikas na uygun de ilse, MPE taray c s a ile iletiflimi keser. Taray c, yönetilen sistemlerde otomatik güncelleme için host tabanl uygunluk taramas n, MPE taraf ndan yönetilmeyen harici- sistemler için uzaktan uygunluk taramas n yapar. MPE taray c s 3 fonksiyona sahiptir: Tespit, de erleme ve karantinaya alma. MPE taray c s bir TDI a sürücüsüdür ve hem tespit hem de karantina ifllemleri için kullan l r. Kendili- inden zorlama/güncelleme modunda tüm fonskiyonlar kullan l rken, harici sistemlerde sadece de erleme fonksiyonu kullan l r. Uzaktan tarama için tespit, MPE sunucusu ile ve karantina VLAN switching iyle gerçeklefltirilir. MPE taray c s sistem uygunluk taramas için Foundstone tarama teknolojisini kullan r. Gerçeklefltirdi i kontrollerin bir k sm Tablo 1 de listelenmifltir. Taray c, içerik ve politika güncellemelerini epo dan al r ve sistemlerin her zaman son yamalar, yüksek riskli aç klar, yaz l m konfigürasyonlar, virüs aktiviteleri ve di er birçok aç dan kontrol edildi ini garantiler. 1. Yerel a daki kurum kullan c lar için McAfee host tabanl zorlama ile NAC Kendili inden zorlama Self-Enforcement veya istemci tabanl zorlama, MPE taray c s ile sa lan r. Taray c zaten çal flmakta olan epo ajan yaz l mlar na (epo McAfee nin genel yönetim platformudur ve her bir istemci üzerinde bir epo ajan çal fl r. Bu sistem büyük kurumlarca en çok tercih edilen McAfee kurumsal güvenlik ve yönetim sistemlerinin bel kemi idir) yap lacak küçük bir güncelleme ile sisteme da t lm fl olur. Bu istemci tabanl zorlama sisteminde taray c, a ba lant - s ve lokasyon fark ndal özelli ine sahiptir. Üzerinde MPE çal flan bir sistemin a a giriflinden önce belirlenmifl güvenlik politikalar na uygunlu u lokal olarak kontrol edilir. Bu kontrol çok detayl ve birçok ince ayarlaman n devreye sokulmas ile yap labilir. Kritik yamalar n mevcudiyeti, kullan lmakta olan McAfee nin ve di er üreticilerin güvenlik ürünlerinin konfigürasyon ve güncellenme durumu, yüksek riskli virüslerin olmad n n onaylanmas vs. yap labilecek kontrollere örnek olarak gösterilebilir. Yap lan bu kontrollerden sonra belirlenen politikalar baz al narak sistem ya a a girifl izni al r, ya bloklan r ya da karantina bölgesine yönlendirilir. Sistem yöneticisinin belirledi i s kl klarda bu kontroller sürekli ve düzenli olarak yap l r. E er bir sistem politikaya uygunsa a a tam eriflim hakk elde eder. E er uygun de ilse (1) izin ver, (2) izin ver ve sistem yöneticisini uyar, (3) sadece karantina bölgesi kaynaklar na eriflim hakk ver ya da (4) eriflimi blokla seçenekleri mevcuttur. Uygun olmayan bir sisteme eriflim hakk verilmesi yeni bir kural n sisteme uygulanmas, acil durumlar vs, baz özel durumlarda söz konusu olabilir. Uygun olmayan sistemin a a eriflimi e-posta veya SNMP ile bildirilir ve kay t (log) tutulur. Yerel a daki kuruma ait sistemler karantinaya al nabilir ya da düflürülebilir. Sistemin a ile olan iletiflimini durdurmak için taray c üzerindeki bir a sürücüsü kilitlenir ve iyilefltirme sunucusu ile olan ve yönetsel trafik haricindeki tüm -giden ve gelen- trafik kesilir. Güncelleme ve konfigürasyon de ifliklikleri (iyilefltirme) tamamland ktan sonra iletiflim 12 beyazflapka kas m 2006

13 yeniden sa lan r. Kullan c lar n eriflimi kesildi inde ya da karantina bölgesine aktar ld klar nda bir iyilefltirme web portal üzerinden bilgilendirilirler ve yap lmas gerekenler aç klan r. Web portal istendi i flekilde düzenlenebilir. 2- Yerel a daki yabanc kullan c lar için McAfee switch zorlamas ile NAC Yerel a daki misafir kullan c lar n bilgisayarlar MPE sensörü taraf ndan tespit edilir. MPE sunucusu ya sistem yöneticisi eriflim haklar (credentials) ile ya da sistem yöneticisi eriflim haklar olmadan en yak ndaki MPE sensörünü kullanarak sistemi tarar. Uygun sistemlere eriflim hakk sa lan rken, uygun olmayan ya da yöneticilerin eriflim hakk olmad sistemler için çeflitli tedbirler uygulanabilir: eriflim hakk ver, eriflim hakk ver ve yöneticiyi uyar, a n belirlenmifl bir bölgesinde karantinada tut ya da switch port unda a dan düflür. E er yabanc sistemler uzaktan tarama için yöneticiler taraf ndan sa lanan eriflim haklar na cevap vermezse, bu durum bir hata olarak de erlendirilip tercihe göre a a eriflim modunun de- ifltirilmesi veya sadece bilgilendirme ile yetinilmesi fleklinde tedbir al nabilir. MPE uygun olmayan bir yabanc sistemi SNMP kullan p farkl bir VLAN a tafl yarak karantinaya alabilir. MPE, switch e komut göndererek ba l bulunulan VLAN dan karantina VLAN na geçifli sa lar. Bu karantina VLAN sadece belirli a kaynaklar na k stl eriflim sa lan labilmesi yönünde konfigüre edilebilir. Bu VLAN a ba l olundu u süre boyunca güncelleme ve MPE sunucusuna ba lant ya izin verilir ve böylece gerekli iyilefltirmeler yap l rken uygun olmayan sistemlerden kaynaklanabilecek riskler ortadan kald r lm fl olur. Karantina süresince MPE taray c s ile MPE sunucusu aras ndaki iletiflim, uygun olmayan sistemin orijinal portundan ayr lmas sonucunda karantina ifllemlerinin yap lmas n veya birden fazla portun tek bir nod için konfigüre edilmemesini garanti eder. Karantinaya al nan sistemler politika güncellemelerinin yap labilece i ve tam a erifliminin sa lanaca iyilefltirme web portal na yönlendirilebilir. Sistem uygun hale geldi inde kendi orijinal VLAN na yönlendirilir. Uygun hale gelmeyen sistemler karantina bölgesinde kal r ve belirlenmifl güvenlik politikas n n tan mlar na uygun eriflim hakk ile a a ba l kal r. stenirse yabanc sistemler a dan düflürülebilirler. MPE sunucusu ve taray c s switch e portu kapatmas yönünde komut gönderebilir. 3- Uzaktan eriflen kurumsal kullan c IPSec VPN ba lant lar için NAC IPSec VPN ba lant s üzerinden ba lanan kurum çal flanlar - n n bilgisayarlar, VPN cihaz na ya da sunucusuna ba lanmaya çal flt klar nda tespit edilirler. Bu anda, VPN istemci yaz l m bir sistem taramas ister ve VPN konsantratör bu tarama sonucuna göre a a eriflime izin verir ya da reddeder. Bu tarama, MPE taray c s IPSec istemcisi ile entegre oldu u için lokalde gerçekleflir. MPE Check Point, Cisco, Juniper ve Nortel VPN çözümlerini destekler. Yerel a daki yabanc sistemler, uygun olmayan sistemlerlere ba lanmak istedi inde, eriflim hakk verebilir, eriflim hakk verip yöneticiyi uyarabilir, karantinaya al nabilir ya da switch port unda a dan düflürülebilirler Zorlama tedbiri, politika zorlama moduna ve VPN sa layac - s na göre de iflir: (1) hiçbir fley yapma, (2) karantinaya al veya (3) blokla. Bloklama, VPN ba lant s n n tamamlanmas na izin vermez. Bloklama ve alarm gönderme ifllemlerini yerine getiren, VPN istemci yaz l m n n kendisidir ve ba lant n n neden sa lanamad n kullan c ya bildirir. Takip eden ba lant denemeleri, MPE taray c s taraf ndan de erlendirilir ve tarama sonucu geçer not al rsa VPN ba lant s tamamlan r. Baflar s z ba lant denemelerinin kay tlar, raporlama ve delil analizi için MPE sunucusuna gönderilir. 4- Uzaktan eriflim / yabanc kullan c SSL VPN ba lant lar için NAC Müflteri, ifl orta ve dan flmanlar n internet üzerinden SSL VPN ile bir kurumun a na ba lanmalar gerekiyor olabilir. Bu yabanc sistemler, SSL VPN ile a a ba lanmak istediklerinde VPN istemcisi bir ba lant kurmaya çal fl r ve bu anda bu sistemler tespit edilir. Her SSL tabanl VPN ba lant teflebbüsünde istemci, VPN istemci yaz l m indirir. MPE taray c s önde gelen bir çok SSL VPN yaz l m ile s k bir entegrasyona sahip oldu u için, MPE taray c s bileflenleri SSL VPN istemci yaz l m ile beraber indirilirler. MPE taray c s, sistemi uygunluk taramas ndan geçirir ve bu taraman n sonucuna göre VPN istemcisine ba lant izni verilip verilmeyece i karar verilir. E er sistem uygun de ilse VPN istemcisi ba lant giriflimini engeller veya gerekli düzeltmelerin yap lmas için baflka bir a a yönlendirir. VPN istemci yaz l m, ba lant n n neden sa lanamad ya da de ifltirildi i bilgisini kullan c ya iletir. kas m 2006 beyazflapka 13

14 Oktay KILIÇ Uygulama Güvenli i Web uygulamalar nda güvenli i sa layabilmek için farkl yöntemlerle uygulanan oturum sabitleme ifllemini engellemelisiniz. Web uygulamalar nda anl k bilgileri depolay p ifllem yapmak için genelde session ad verilen oturumlar kullan l r. Web uygulamas yorumlay c s, sunucuda oturum kodu denilen bir kod depolar ve uygulama kullan c s n n internet gezginine bu kodu gönderir. Bu kod her ifllem için sunucuya geri gönderilir, sunucudaki yorumlay c da kullan c lar bu kod ile tan r. Bu say m zda web uygulamalar nda oluflabilecek oturum aç klar ndan biri olan Session Fixation yani Oturum Sabitleme den söz edece iz. Oturumlar, kullan c lar web uygulamas na tan tman n yan s ra, kullan c ad ve flifre gibi bilgileri saklama gibi görevleri de üstlenirler. Bu özellikleriyle de sald rganlar n ilgi gösterdikleri bir konudur. Session Fixation, k saca kullan c n n internet gezginine bir oturum kimli i numaras n yönlendirmesiyle, kullan c y seçili oturumu kullanmaya zorlamakt r. Bu isim, sunucu taraf ndan üretilen oturum kimlik numaras yerine sald rgan taraf ndan belirlenen sabit bir numaran n kulland r lmas ndan gelmektedir. Sald rgan, kullan c n n oturum kimlik numaras na olan ihtiyac n yok ederek kullan c sisteme girifl yapmadan önce kendi belirledi i oturum kimlik numaras n kullan c ya atar. Sunucudaki web uygulamas yorumlay c s, oturum kimlik numaras zaten önceden haz r diye, yeni bir kimlik numaras oluflturmaz. Sald rgan, kullan c n n oturum kimlik numaras n bu flekilde çok rahat flekilde bilip kullanabilir. Oturumlar üç flekilde yönetilirler: 1. URL de 2. Form Post ifllemiyle 3. Cookie (Çerez) ile. Çerezler kullan c n n bilgisayar nda sakland ndan güvenlik riski en büyük olan türdür. Oturum sabitleme, bu üç oturum yönetimi fleklinde de uygulanabilir. Oturumun URL de gösterildi i ilk yönetim fleklinde sald rgan, kullan c ya flu flekilde bir link haz rlay p kullan c n n t klamas n sa larsa oturumunu sabitleyebilir: Oturumun Form Post ifllemiyle yönetildi i durumda ise sald rgan, kullan c ya önceden haz rlanm fl bir formda, gizli form ö esiyle önceden belirledi i oturum kimlik numaras n kulland rabilir. Bu formu kendi sunucusunda haz rlay p kullan c ya kulland rabilir ya da hedef sunucudaki önceki yaz mda de indi im bir sald r türü olan Cross Site Scripting aç n kullanarak sa layabilir. Çerez ile yönetilen oturumlarda ise sald r yöntemi çok basittir. Sald rgan kullan c n n bilgisayar nda belirledi i oturum kimlik numaras n içeren tuzak bir çerez oluflturur. Fakat bu çerez baflka bir adresten hedef sunucu için oluflturulamaz. Hedef sunucudan oluflturulmas gerekmektedir. Sald rgan bu ifllemi de Cross Site Scripting kullanarak üç flekilde yapabilir. Birincisi kullan c -tarafl bir kodla kullan c n n bilgisayar nda bir çerez oluflturmakt r. Bu ifllem bir XSS aç olan IIS sunucusu ve basit bir JavaScript koduyla flu flekilde yap labilir: sessionid= </script>.idc Bu adrese t klayan kullan c n n bilgisayar nda banka.com.tr için bir çerez oluflturulacakt r. Daha sonra banka.com.tr ye girifl yapt nda da oturum kimlik numaras olarak önceden belirlenen kullan lacakt r. kincisi HTML de bir etiket olan META n n oturum kimlik numaras belirleyen parametresini kullanmakt r. Bu da yine bir XSS aç yla flu flekilde yap labilir: ie%20content="sessionid=123456;%20expires=saturday, %201-Jan-2050%2000:00:00%20GMT >.idc Üçüncüsü ise Set-Cookie HTTP bafll n kullanmakt r. Bu bafll k programlama dillerinde farkl flekillerde kullan l rlar. Örne in PHP de PHPSESSID olarak, JSP de ise jsessionid olarak kullan l r. Sald rgan flu flekilde bir kodu kullan c bilgisayar nda çal flt r rsa, oturum kimlik numaras n sabitleyebilir: Bundan sonra kullan c hedef sunucudaki siteye girerse çerezde önceden belirlenmifl oturum kimlik numaras n kullanacakt r. Bundan sonra sald rgana düflecek ifl oturum kimlik numaras n bildi i kullan c n n bilgilerini ele geçirmektir. Oturum sabitlemenin bilinen bir yolu daha bulunmaktad r. Bu da kullan c n n DNS sunucusuna banka.com.tr için bir girdi eklemektir. Kullan c banka.com.tr adresine girmek istedi- i zaman DNS sunucusuna dönüp IP bilgisi isteyecektir. DNS sunucusu da örne in, guvenli.banka.com.tr adresi için sald rgan n sunucusunun IP sini gönderirse, sald rgan rahatl kla kendi sunucusunda yaratt oturum kimlik oluflturma koduyla kullan c n n bilgisayar nda bir oturum kimlik numaras oluflturabilir. Oturum sabitlemenin nas l yap ld na dair yan sayfadaki flemay inceleyebilirsiniz. Oturum sabitlemeyi anlad m za göre, flimdi sorunumuz bu sald r türünden nas l korunmak gerekti idir. Oturum sabitleme, XSS aç klar haricinde web uygulamalar yla ilgilidir. XSS aç sunucu yaz l m n n kendisinden dolay da ortaya ç kabilir. Bu aç klar n nas l engellenece inden bir önceki yaz mda bahsetmifltim. Oturum sabitlemenin korunma yollar ise do rudan web programc s n ilgilendirir. Oturum sabitle- 14 beyazflapka kas m 2006

15 Sunucuda oturum oluflturma Oturum sabitleme Kullan c tarafl kod ile oturum kimlik numaras oluflturma HTML META etiketiyle oturum kimlik numaras oluflturma Çerez kullanarak oturum kimlik numaras oluflturma DNS/Network ile oturum kimlik numaras oluflturma Kullan c n n sisteme girifl yapmas n bekleme ve oturuma girifl yapma meden korunma yollar ndan ilki; kullan c girifl yapt ktan sonra yeni bir oturum kimlik numaras atamakt r. kinci yöntem ise kullan c n n, kullan lmayan oturumlar n belli zaman aral klar yla silmektir. Sadece sunucudaki oturum kimlik bilgisini silmek yeterli de ildir. Ayn zamanda kullan c n n bilgisayar ndaki çerezi de silmek gerekir. Üçüncü yöntem ise oturum kimlik bilgisinin, kullan c n n internet taray c s n n network adresinden oluflturmakt r. Dördüncü ve sa lam olan yöntem ise kullan c oturum kimlik bilgisinin SSL güvenlik sertifikas yla oluflturulmas d r. Bu gibi güvenlik önlemleriyle oturum sabitleme aç ortadan kald r labilir. Benim kendi kulland m yöntem ise az önce tan mlad m 1. yöntemin biraz farkl laflt r lm fl halidir. Oturum sabitlemeye karfl sisteme giren kullan c n n otomatik olarak atanan oturum numaras n IP adresiyle birlikte veritaban na yaz p girifl yapt ktan sonra IP si kay ttaki IP ile ayn ysa eski oturumu kapat p yeni bir oturum açt rarak güvenli i sa l yorum. E er IP adresleri de ifltiyse, çal flan scripti kapatt r yorum. E er kullan c belirli bir süre ifllem yapmam flsa oturumu otomatik olarak sonland r yorum. Bu yöntem sizin için de oturum sabitleme aç s ndan faydal olabilir. Ya da basit bir flart ifadesiyle veritaban kullanmadan flu flekilde yapabilirsiniz: E er favori web programlama diliniz PHP ise (bence herkesin öyle olmal ) her ifllemden sonra session_regenerate_id fonksiyonunu kullan p oturumu yenileyebilirsiniz. Oturum konusunda yap lan önemli bir hata GET ya da POST yöntemleriyle sessionid si ald rmakt r. Genelde HTML formlar na hidden (gizli) girdilerle eklenen sessionid, oturum sabitleme için büyük bir güvenlik aç oluflturmaktad r. Bu yüzden kullan c taraf ndan gönderilen oturum numaralar n kullanmay p, sadece sunucu taraf ndan üretilenleri kullanmal y z. Bunun için $_SESSION['SERVER_GENERATED_SID'] de- iflkeni oldukça ifle yarayacakt r. Unutmayal m ki web uygulamalar için güvenlik 3 kademedir: 1. Sa lam kod. 2. yi bak m ve yönetim 3. Kaliteli koruma yaz l mlar. Bu konu ile ya da di er uygulama güvenli i konular yla ilgili her türlü görüfl, elefltiri ve sorular n z bekliyorum. Bir dahaki say da ele alaca m konu hakk ndaki önerileriniz de iflime yarayacakt r. if($_server['remote_addr']!= $_SESSION ['PREV_REMOTEADDR']) { session_destroy(); // Oturumu kapat. } session_regenerate_id(); // Yeni bir oturum olufltur. $_SESSION['PREV_REMOTEADDR'] = $_SERVER['REMOTE_ADDR']; kas m 2006 beyazflapka 15

16 P nar YILMAZ Microsoft Exchange Server 2007 Güvenlik Özellikleri Microsoft Exchange Server 2007, sundu u farkl filtreleme seçenekleri sayesinde çok daha güvenli e-posta al flverifli sa lamaktad r. E-posta kullan m artt kça kurumsal güvenlik ihtiyaçlar da artmaktad r. Sistem yöneticileri gün geçtikçe geliflen spam ve virüsler, standartlara uyumsuzluk riskleri, e-postalar n gizlice de ifltirilmesi ve engellenmesi gibi güvenlik tehditleriyle mücadele etmek zorunda. Exchange Server 2007, spam ve virüsleri azaltmak, güvenli iletiflimi sa lamak ve kurumunuzun standartlara uyumlulu unu sa lamak için yaz da k saca aç klamaya çal flt m bir dizi koruma teknolojileriyle birlikte gelmektedir. çerik filtrelemesi Microsoft SmartScreen teknolojisini kullanan Intelligent Message Filter, gelen iletilerin geçerli, sahte veya istenmeyen elektronik posta olup olmama durumunu, içerik filtreleyerek de erlendiren ve belirleyen teknolojidir. SmartScreen teknolojisini di er filtreleme teknolojilerinden ay ran en büyük fark, SmartScreen teknolojisinin istatistiksel olarak çok büyük say da örnek e-posta üzerinde gelifltirilmesidir. Bu filtreleme teknolojisi, gönüllü Hotmail müflterilerinin iyi posta ile spam postay belirleyen karakteristikleri Microsoft a bildirmesiyle oluflturulmaktad r. Yaklafl k Hotmail üyesi bu programa kat lm flt r ve böylece SmartScreen teknolojisi farkl spam karakteristi ini izleyebilir hale gelmifltir. Intelligent Message Filter, iletinin içeri ini taramakla birlikte, ayn zamanda afla da anlat lan ba lant filtrelemesi, gönderen filtrelemesi, al c filtrelemesi, gönderen itibar, gönderen kimli i do rulamas ve Microsoft Office Outlook 2007 E-posta Damgas do rulamas üzerinden gelen tüm verileri toplayarak, incelenen iletinin spam ileti olma olas l oran n (SCL-Spam Confidence Level) belirler. SCL oran na göre daha sonra ileti üzerinde afla da listelenen ifllemlerden birisi uygulan r: Outlook kullan c s n n Gelen Kutusu na veya Önemsiz Posta klasörüne teslim et. Spam karantina posta kutusuna teslim et. letiyi reddet, teslim etme. letiyi kabul et ve sil. Bu seçimde sunucu iletiyi kabul eder ve al c posta kutusuna yönlendirmek yerine siler. Exchange 2007, anti-spam bileflenlerini çok daha güncel tutmak için ek servisler sunmaktad r: Microsoft Exchange 2007 Standart Anti-spam Filtresi Güncellemesi: Her iki haftada bir filtre güncellemesi Exchange Server için Microsoft Forefront Security (Bu ürünle ilgili afla da ayr nt l bilgi verilmektedir): Her 24 saate bir filtre güncellemesi. Spam karantina Spam karantina fonksiyonu, spam olarak belirlenen ve kurulufl içerisinde kullan c n n posta kutusuna teslim edilmemesi gereken iletilerin geçici olarak tutuldu u depolama alan n oluflturur. Exchange Server 2007 nin spam karantina fonksiyonu, geçerli bir ileti oldu u halde spam olarak belirlenen iletileri kaybetme riskini azalt r. Spam karantina fonksiyonu içerik filtreleme ifllemi s ras nda sa lan r. Spam olarak belirlenen iletiler teslim edilemedi raporu içerisinde (NDR) spam karantina posta kutusuna iletilir. Exchange yöneticileri spam karantina posta kutusuna gelen iletileri yönetip, iletileri silmek veya spam olmad halde spam olarak belirlenen iletilerin al c s na yönlendirilmek gibi gerekli ifllemleri uygulayabilir. Al c filtrelemesi Microsoft Exchange 2007 sunucu rollerinden birisi olan, Internet üzerinden gelen mail ak fl n karfl layan, Edge Transport server üzerinde çal flan Microsoft Exchange EdgeSync servisi ile, al c verisini kurumsal Active Directory den Exchange Active Directory Application Mode (ADAM) üzerine kopyalayabilirsiniz. Böylece gelen iletiler için al c kontrolü yap labilir ve kurum içinde bulunmayan al c lara ve iç da - t m listelerine gönderilen iletiler bloklan r. Gönderen kimli i Gönderen kimli i fonksiyonu, gönderenin IP sini inceleyip, gönderenin DNS sunucusundaki gönderen kimli i kayd ndaki IP adresi ile karfl laflt r r ve gönderenin adresinin de ifltirilip baflka bir adres olarak gösterilip gösterilmedi i belirler. Gönderen tibar Bu fonksiyon bilinmeyen gönderenlerin güvenilirliklerini ölçen patentli bir Microsoft teknolojisidir, Simple Mail Transfer Protocol (SMTP) oturumlar ndan, ileti içeri inden, gönderen kimli i do rulamas ndan ve genel gönderen davran - fl ndan veri toplar ve gönderen karakteristikleri ile ilgili bir geçmifl oluflturur. Gönderen itibar fonksiyonu, bu bilgiyi kullanarak gönderenin Engellenen Gönderenler Listesi ne geçici olarak eklenip eklenmeyece ine karar verir. 16 beyazflapka kas m 2006

17 IP reputation servisi: Bu servis Microsoft taraf ndan sadece Exchange 2007 müflterilerine sa lanan IP bloklama listesidir. Sistem yöneticileri kulland klar di er gerçek zamanl bloklama listelerine ek olarak bu servisi kullanmay seçebilirler. Antivirüs korumas nda geliflmeler: Exchange Server 2007, antivirüs korumas nda birçok geliflmeyi içerir. Virus Scanning API ye (VSAPI) devam eden destekle beraber Microsoft iletme seviyesinde daha etkin, daha verimli ve programlanabilir virüs taramas üzerine önemli yat r mlar yapt. Exchange 2007, iletme ajanlar kavram - n getiriyor. Bu ajanlar, uygulama kay tlar na karfl l k bir görev gerçeklefltiren, yönetilen yaz l m bileflenleridir. Exchange 2007 ayn zamanda antivirüs damgalamas da sa l yor; daha önceden virüsler için taranan iletileri taramay gerçeklefltiren antivirüs yaz l m n n versiyonu ve taraman n sonucu ile damgalayarak kurum içinde antivirüs taramas hacminin azalt lmas n sa l yor. Antivirüs damgas, kurum içinde yönlendirilirken ileti ile birlikte dolafl yor. Exchange 2007 de antivirüs ile ilgili di er bir geliflme de bir iletme ajan ile ek dosya filtrelemesidir. Dosya ad (dosyaad.exe) veya dosya ad uzant s na (*.exe) göre ek dosyalar filtrelenebilir. Ayn zamanda filtrelenecek MIME içerik türünü belirterek ek dosyalar da filtrelemeye tabi tutulabilir. Microsoft Exchange Hosted Filtering: Microsoft Exchange Hosted Filtering teknolojisi mailleri daha flirket a na gelmeden önce temizler. fiirkete sadece politikalarla önceden belirlenmifl (ek, boyut, içerik) ve virüs ile spam dan ar nd r lm fl mailleri yollar. Bu servisten yararlanan kurumlar n MX kay tlar n Microsoft Datacenter lar na yönlendirmeleri gerekir. Böylece hem flirket network hatt korumufl, hem de mail sunucular üzerine fazla yük binmemifl olur. Koruma s ras nda Symantec, Trendmicro ve Kaspersky tarama motorlar kullan l r. Ayr ca mesaj temizleme servisi d fl nda arflivleme ve felaket önleme servisleri de sa lan r. Microsoft Forefront sunucu güvenli i: Exchange 2007, Microsoft Forefront Security for Exchange Server ile antivirüs, spam, worm korumas ve içerik filtreleme özelliklerini sunabilmektedir. Forefront, Microsoft un yan s ra de iflik flirketlerden al nm fl 8 adet antivirüs tarama motorunu ayn anda bünyesinde bar nd rmaktad r. Exchange 2007 nin bütün rollerine kurulabilen Forefront, Exchange 2007 nin güvenli ini en üst düzeye ç - kartmaktad r. Birden fazla tarama motoru kullanmas na ra men yönetim bak m ndan büyük kolayl k sa layan Forefront, virüs imzalar n n güncellenmesini sadece Microsoft üzerinden yapabilmektedir. Böylece mail sistemi ayn anda birden fazla antivirüs laboratuvar n n korumas alt na girerken, ön yüzde sadece Microsoft görünmektedir. Virüs ve worm korumas n n yan s ra Forefront içerik, kelime ve dosya filtrelemesi de sa lamaktad r. E-posta politikalar ve uyumluluk özellikleri: Microsoft Exchange Server 2007, e-posta ak fl n n denetimi ve korunmas için çeflitli e-posta politikalar ve standartlara uyumluluk özellikleri içerir. Bu yeni özellikler, hem d flardan içeriye e-posta akarken hem de kurum içinde gönderilen e- postalar n iletimi s ras nda, e-postalar üzerine kurallar uygulanmas n sa lar. Kurumlar, uymalar gereken standartlar adresleyen politika ve kural ayarlar n Exchange 2007 ile yapabilirler. Bu politika ve kural flartlar, e-posta içinde geçen belirli kelimelere, metin kal plar na, e-posta konusuna, metnine, bafll na, gönderen adresine, ek türüne dayanabilir. Bu flartlara göre iletinin nas l bir iflleme tabi tutulaca belirlenir. Bunlar karantinaya almak, mesaj reddetmek, ek al c lara e- postay yönlendirmek, kay t dosyas na yazmak gibi ifllemlerdir. Otomatik flifreleme deste i Exchange Server 2007 Outlook ile Exchange sunucusu aras nda, yerel bilgisayar a ndaki Exchange 2007 Server lar aras nda, yerel bilgisayar a ndaki Exchange Server lar ve Yar Korumal Alan (DMZ) içindeki Exchange Server lar aras nda akan trafik üzerinde otomatik flifreleme sa layarak tüm intranet yolunu güven alt na al r. Böylece e-postalar n flifrelenmifl olarak dolaflmas sa lanarak, kötü niyetli kifliler taraf ndan e-postalar n de ifltirilmesi engellenmifl olur. Exchange Server 2007 otomatik olarak SSL sertifikalar ile birlikte yüklenerek, OWA gibi istemciler ve SMTP sunucular üzerinde daha genifl bir SSL ve TLS kullan m sa lar. kas m 2006 beyazflapka 17

18 Mehmet DALYANDA Adli Biliflim Sistem Analizi (Digital Forensics 3) lk iki bölümünde, adli biliflimin ne oldu u ve önemi ile Windows ve Linux tabanl sistemler üzerinde teknik olarak delil toplanmas na yönelik aç k kaynak kodlu araç kitlerini inceledi imiz yaz dizimizin, bu say daki üçüncü ve son bölümünde, güncel konular olan e-posta bafll klar, internet taray c lar, web sunucu ve uygulamalar na yönelik temel sald r lar, imzalar n n tespitini ele almakla birlikte, adli biliflimin gelece i ve yeni bir kavram olan anti-forensic tekniklerinden bahsedece iz. fiekil1 - Gmail den al nm fl, e-posta bafll k bilgileri E-posta bafll klar n n incelenmesi Elektronik postalar, tehdit, hakaret gibi bir içeri e sahip olabilece i gibi, phishing, spam, karfl daki sistemi ele geçirmeye yönelik bir sald r arac olarak da, birçok adi suç olay nda karfl m za ç kmaktad r. Bu tür durumlarda, e-posta n n ç - k fl kayna n tespit etmek üzere orijinal postan n zarflama bilgilerinin tutuldu u bafll k (header) bilgisi incelenmelidir. E-posta gönderim protokolü olan SMTP, kimlik denetimi (smtp authentication - rfc2554) ile birlikte kullan lmas durumunda bile bafll k bilgilerinin de ifltirilmesini engelleyemez. Bunun sonucu olarak, gönderici adresi, alan ad gibi bilgilerde sahte isimlerin kullan lmas durumu ile karfl lafl r z. SMTP kimlik denetimi ve SSL-TLS ile gönderilmifl olan bir e- postaya ait bafll k bilgilerini inceledi imiz zaman, gönderici adresi olan cemyilmaz.com domaini için e-posta gönderen sunucunun itu.edu.tr oldu unu, orijinal gönderici adresinin ise (rambaldhi) IP adresine sahip oldu unu görebiliyoruz. E-posta bafll k bilgilerini daha kolay inceleyebilmek için Visualware trackerpro ya da Inquirer Mail Tracker benzeri uygulamalar kullan labilir. Alan adlar na ait, hangi sunucular n e-posta gönderebilece ini belirleyen SPF eki (sender policy framework - rfc4408), Google, Yahoo, Hotmail gibi e-posta servis sa lay c lar taraf ndan kullan lmaya bafllanm flt r. Spam ve sahtecilik amaçl gönderilen e- postalara karfl, SPF, kriptografik temelli ya da e-imza benzeri teknikler yak n gelecekte daha s k kullan lmaya bafllanacak. Kimi zaman sald rgan n, openrelay proxy, anonymizer veya secureshell tünelleri kullanmas sebebiyle, gönderici adreslerinin tespit edilmesi çok zor bir hal almaktad r. Kullan lan bu türden karmafl k tekniklere karfl n, adli biliflim uzman, ilgili sunuculardan kay t (log) bilgisine ihtiyaç duyabilir. Sald rgana ait IP adresi ve di er bilgilere ulaflmak teknik olarak mümkün olmakla birlikte, pratikte oldukça zor ve birçok resmi makamdan geçmesi gerekebilecek bir süreç olaca göz önünde bulundurulmal d r. Adli biliflim uzman na düflen görev, durumu aç kl kla yarg makamlar na iletmek ve suçlunun bulunmas konusunda olumlu bir tav r tak nmak olmal d r. Web uygulamalar n n incelenmesi Günümüzde, siber sald r lar n %70 inden fazlas uygulama katman nda gerçekleflmektedir. Sistemlerin ele geçirilmesi ile sonlanan sald r olaylar n n bir ço unun ise, web uygulamalar üzerinden gerçekleflmesi, klasik adli biliflim incelemelerinin çok üzerinde bir efor gerektirmektedir. Özellikle, sunum, uygulama ve veritaban gibi çok katmanl ve da t k sistemlerden oluflan, büyük ölçekli web mimarileri, güvenlik, esneklik ve modülerlik sa larken, adli biliflim incelemelerinin daha zor hale gelmesine sebep olmaktad r. Uygulamalar, yeterli zaman ayr lamayacak kadar kritik ya da yüksek fiekil2 - Katmanl web uygulama mimarisi 18 beyazflapka kas m 2006

19 hacimli veriye sahip olan veritabanlar içerebilece i için, disk tabanl imajlar n n al nmas da mümkün olmayabilir. Web tabanl sald r lar n bir ço unda ise, atak izleri, web sunucular ile ayn yerde olmayabilir. Uygulama çal flma mant, istemciden bafllayarak, veritaban na kadar incelenmeli, özellikle istemcilerden girilebilecek tehlikeli karakterlerin uygulamay etkileyebilirli i test edilmelidir. Web uygulamalar üzerinde, adli biliflim aç s ndan kan t toplanma çal flmas, ips, firewall, proxy, yük dengeleme cihazlar, web ve uygulama sunucusu, uygulamaya özel gelifltirilmifl kay tlar gibi da t k ortamdaki kay tlar n incelemesini gerektirir. Sistem mimarisinin adli biliflim çal flmas öncesi incelenmesi mutlaka yap lmal d r. Gözükara ve ciddi bir sald rgan n olay kay tlar n de ifltirebilece i, hatta silebilece i ihtimali gözönünde bulundurulmal, kay tlar n mümkün oldu u kadar, s n rl eriflime sahip merkezi veritabanlar na yaz lmas sa lanmal, bu kay tlar gerçek zamanl analiz edebilen bir sistem tasarlanmal d r. Http referer, cookie, host header, url ve parametreler gibi bilgiler mutlaka kay t alt na al nmal d r. IIS in http.sys kernel seviyesindeki sürücüsü için hata kay tlar aktive edilmeli, Apache nin ise mod_log_config özellikleri kullan lmal d r. IIS ya da Apache gibi web sunucu yaz l mlar için mümkün oldu u kadar detayl kay tlama yap lmal ve kay tlarda % \\ /../ x80% %c% benzeri meta-karakterler, Put, Head, Propfind gibi düzensiz HTTP metotlar, cmd.exe, /bin/ls gibi binary dosyalar, web uygulama dizini d fl na ç k lmas gibi örnekler aranmal - d r. Kay t dosyalar n n çok büyük olmas durumunda inceleme oldukça zor olaca için Awstat ya da SQL sentaks ile inceleme yap labilen Microsoft LogParser benzeri araçlar kullan labilir. Adli biliflim uzman web uygulama kay tlar nda, yandaki kutuda kullan lan özel karakterleri hemen belirleyebilir olmal ya da uygumalardan yararlanmal d r. Adli biliflimin gelece i ve karfl teknikler (Anti-Forensics) Teknik olarak gittikçe daha da karmafl klaflan günümüz dünyas nda, insanl k tarihinde belki de hiç olmad m z kadar teknolojiye ba ml hale geldik. letiflim kurma yöntemlerimizden, global ekonomiye kadar herfley de iflti i gibi, suçlar n ifllenifl biçimleri de evrim geçirdi. Birçok adli biliflim vakas nda, olay n tekni inden ve düflünce biçiminden çok uzakta kalm fl, resmi devlet görevlilerin dahi biraz garip, biraz korku ya da hayret dolu ifadelerini görmek, biliflimin so uk ve karanl k yüzünü de bizlere göstermektedir. Sald rgan dizin atlama tekni i ile Unix sistemlerdeki günün mesaj bilgisine eriflip eriflemece ini test ediyor: ( /../ ) Sald rgan, uygulaman n.htm,.html benzeri dosya uzant s olup olmad n kontrol ediyorsa yukar daki denemede baflar s z olur. %00 Null Byte Injection ile uygulamay uzant s html olan bir dosya istiyor gibi gösterip kand r yor: ( %00 ) Sald rgan pipe ( ) command execution tekni i ile dizini listelemeye çal fl yor. %20, boflluk karakterinin hex karfl l d r. Hataya düflmemek için, %20 nin birçok HTTP iste inde kullan ld bilinmelidir: (, %20 ) Sald rgan XSS tekni i ile ilgili link e girmek üzere ikna etti i kullan c n n makinesinde kod çal flt rabilir: ( < > ) Sald rgan SQL injection ile C: dizinini listeliyor: (, or, ;) master.dbo.xp_cmdshell'cmd.exe dir c:'-- herhangi bir suç vakas nda, siber kan tlar n niteli i ve geçerlili i, kan t toplanmas na yönelik standartlar n olmamas birçok tart flmaya neden olmakta, adli biliflim teknikleri birçok araflt rmac taraf ndan yetersiz, zay f olarak nitelendirilmekte ve akademik bir disiplin haline gelme ihtiyac n do urmaktad r. Adli biliflim sistem inceleme teknikleri ve karfl teknikler (forensics & anti-forensics), birbirinin çal flma mant n anlama temeline dayanmaktad r. Karfl teknikler veri gizleme, kar flt rma, yan ltma, flifreleme, bellek ve diskteki olay kay tlar n n temizlenmesi, proseslerin görüntülenmesi s ras nda belirli sistem ça r lar na izin vermeyerek kendini gizleme temeline dayanan, iflletim sistemleri üzerinde genellikle kernel seviyesinde çal flan sürücüler ile gerçekleflmektedir. Metasploit anti-forensics, LKM (linux kernel module), ADMutate, Evidence Eliminator, SecureClean, BestCrypt, Steganos, StealthDisk, Rootkit FU, BootRoot bios rootkit benzeri karfl araçlar, adli biliflim incelemelerini tamamen etkisiz hale getirebilmekte ya da kan t bulma süresini oldukça uzatabilmektedir. fiekil3 - WinHex ve File0 ile dosyalar Encase gibi profesyonel Forensic araçlar ndan gizlenebilir Yak n gelecekte, devletler aras savafllar n ve terör olaylar - n n tamamen siber ortamda gerçekleflecek olmas, enerji, iletiflim, ulafl m gibi hayati önem tafl yan flehir yönetim ve endüstriyel otomasyon sistemlerinin tamamen bilgisayar tabanl kontrol sistemlerine ba l olarak çal flacak olmas nedeniyle, siber ortamdaki güvenlik kavram en çok tart fl lan konulardan birisi haline gelmifltir. Buna karfl l k günümüzde kas m 2006 beyazflapka 19

20 Mehmet CAN Yaz l m da t m Yaz l m çökmeleri iflletmelere pahal ya mal olur Günümüzde yaz l m kullan lmayan ifl alan nerdeyse kalmad. Bu ifl alanlar için güvenilir yaz l m n önemi yads namaz. Bir iflletmedeki hemen hemen her çal flan görevini yapabilmek için temel bir yaz l m kullan r. Böyle bir yaz l m n yaln zca birkaç saat çökmesi bile iflletme için önemli parasal kay plara ve yeni maliyetlere yol açabilir. Verimlilik azal r, yard m masas maliyetleri artar. Kötü haz rlanm fl yaz l m paketlerinin da t lmas her iflletme için bafl a r s d r Yeni uygulamalar n, güncellemelerin ve yaz l m yamalar n n da t lmas BT bölümlerinin en bilindik ve önemli görevlerinden birisidir. BT bölümleri y l içinde yüzlerce yaz l m paketinin da t lmas yla u rafl rken, ne yaz k ki önemli bölümü bu da t m iflinin baflar yla sonuçlanmas için gerekli ön haz rl klar yapmaktan kaç n r. Oysa da t m sonucunda bir y k m yaflanabilir ve bu da iflletme için ciddi sorunlar yarat r. Örne- in, verimlilik düfler, yard m masas maliyetleri artar, çal - flanlar n BT bölümüne güveni azal r. Özensiz haz rlanm fl bir yaz l m paketinin son kullan c lara da t lmas, bir virüsün da t lmas yla benzer fleydir... Jason Liu, CEO, Intrinsic Technologies Yaz l m da t m araçlar, tek bafllar na baflar l da t mlar n garantisi de ildir Baz iflletmeler pahal bir yaz l m da t m arac kullanman n uygulamalar n ve yamalar n her zaman baflar l olarak da - t lmas n sa layaca n düflünür. Ancak yaz l m paketi, da - t m öncesi uygun olarak haz rlan p test edilmediyse, da t m önemli sorunlara yol açabilir. Yaz l m ve yama da t m hatalar, iflletmeler için bir y k m olabilir ve buna ba l olarak önemli parasal kay plar yaflanabilir. Bu hatalar, iflletme ölçe indeki her bir da t m ifli için yap sal bir yaklafl m gelifltirildi inde önlenebilir hatalard r. Söz konusu yap sal yaklafl m, yaz l m paketlenmesini, uyarlamalar ve da t m öncesi testleri içerir. Da t m öncesi izlenecek bu yap sal süreç, hatas z yaz l m da t m n sa layacak ve sonuç olarak yard m masas maliyetleri önemli ölçüde azalacak, çal flan verimlili i artacak, pahal da t m yaz - l m araçlar na yap lan yat r m n karfl l al nacakt r. Teknoloji: FLEXnet AdminStudio ve Workflow Manager Macrovision FLEXnet AdminStudio ve Workflow Manager, iflletmelere baflar l da t m ve da t lm fl yaz l m n yaflam döngüsü süresince güvenilirli inin sa lanmas konusunda yard mc olmak amac yla tasarlanm fl uygulama haz rlama araçlar d r. FLEXnet AdminStudio, sistem yöneticilerine, yaz l m paketleme ile görevli tak mlara, da t m öncesi uygulama haz rlama ve tutarl, sorunsuz da t m konular nda yard mc olan paketleme, test etme araçlar içeren bir uygulama paketidir. Çok say da uygulamay yönetmek durumunda olan iflletmeler için ise çözüm FLEXnet AdminStudio ve Workflow Manager yaz l mlar n n birlikte kullan lmas d r. Workflow Manager, FLEXnet AdminStudio ile bütünleflik olarak çal flan web tabanl bir uygulama yönetim yaz l m d r. BT bölümlerine yaz l m da t m haz rl klar nda merkezi bir çözüm sa lar. FLEXnet AdminStudio, MSI çevriminin karmafl kl n gide- Uygulamalar Windows Installer a Kolayca Tafl y n Özensiz haz rlanm fl bir yaz l m paketinin da t m ciddi sorunlara yol açabilir 20 beyazflapka kas m 2006