20 08 2014

IstSEC Bilgi Güvenliği Konferansı '14 Aktif Katılım Çağrısı

##İstSEC Bilgi Güvenliği Konferansı '14 ##
İstanbul, Türkiye
15 Ekim 2014


#İstSec  Hakkında

İstSec (İstanbul Bilgi Güvenliği Konferansı) bilgi/bilişim güvenliği alanında çalışan, bu alana merak duyan ve konusunun uzmanları arasında bilgi paylaşımı yayma amaçlı İstanbul’a özel bir etkinliktir.
İstSec, benzeri güvenlik etkinliklerinden farklı  olarak ürün/teknoloji bağımsız, pratiğe yönelik bir etkinlik olma amacı taşımaktadır.

Konferans, kayıt olan herkese açık ve ücretsizdir. http://istsec.eventbrite.com adresinden ön kayıt işlemleri başlamıştır.

16 08 2014

İskoçya'nın Glaskow şehrinde 8-11 Eylül tarihleri arasında gerçekleştirilecek olan 7. Uluslararası Bilgi ve Ağ Güvenliği Konferansına, Süleyman Demirel Üniversitesi Bilgisayar Mühendisliği Bölümü' nden Doç.Dr. Ecir Uğur Küçüksille ve Araştırma Görevlisi Mehmet Ali Yalçınkaya ve BGA'dan Ozan Uçar'ın birlikte gerçekleştirdiği "Physical Dangers In The Cyber Security and Precautions To Be Taken" isimli bildiri çalışması  kabul edilmiş ve çalışmalarının sunumlarını gerçekleştirmek üzere konferansa davet edilmişlerdir.

Konferans hakkında detaylı bilgi için http://www.sinconf.org/sin2014/index.php/registration

3 08 2014

Sızma testlerinde elde edilen parola özetlerinin tipinin belirlenmesinde kullanılacak olan HashTag.py aracı, farklı şifre hash değerlerini kendi türüne göre ayıran ve tanımlayan Python ile yazılmış bir araçtır. 250 ve üzeri hash değerini desteklemektedir. HashTag, hash değerlerini direk okumanın yanı sıra dosya üzerinden de hash değerlerini okuyabilmektedir.

Aracı kaynak kodlarını görüntülemek  için burayı ziyaret edebilirsiniz. Eğer aracı online olarak kullanmak isterseniz bu adresten ulaşabilirsiniz.


Kullanımı :
Kullanımı aşağıdaki gibidir.
usage: HashTag.py {-sh hash |-f file |-d directory} [-o output_filename] [-hc] [-n]


Programın kullanımını ve hangi parametleri aldığını detaylı olarak görmek için help menüsünden faydalanılabilir.
-h, --help
show this help message and exit
-sh SINGLEHASH, --singleHash SINGLEHASH
Identify a single hash
-f FILE, --file FILE
Parse a single file for hashes and identify them
-d DIRECTORY, --directory DIRECTORY
Parse, identify, and categorize hashes within a directory and all subdirectories
-o OUTPUT, --output OUTPUT
Filename to output full list of all identified hashes
--file default filename: HashTag/HashTag_Output_File.txt
--directory default filename: HashTag/HashTag_Hash_File.txt
-hc, --hashcatOutput
--file: Output a file per different hash type found, if corresponding hashcat mode exists
--directory: Appends hashcat mode to end of separate files
-n, --notFound
--file: Include unidentifiable hashes in the output file. Good for tool debugging (Is it Identifying properly?)


Single Hash (-sh) Değerinin Belirlenmesi:
Single Hash değerini belirlemek  için -sh parametresi kullanılacaktır.
Örnek 1 : HashTag.py -sh 7026360f1826f8bc
➜  Desktop  ./HashTag.py -sh 7026360f1826f8bc


Hash: 7026360f1826f8bc


[*] MySQL, MySQL323
[*] Oracle 7-10g, DES(Oracle) - Hashcat Mode 3100
[*] CRC-64
[*] SAPB
[*] substr(md5($pass),0,16)
[*] substr(md5($pass),16,16)
[*] substr(md5($pass),8,16)
Örnek 2 : HashTag.py -sh 3b1015ccf38fc2a32c18674c166fa447
➜  Desktop  ./HashTag.py -sh 3b1015ccf38fc2a32c18674c166fa447


Hash: 3b1015ccf38fc2a32c18674c166fa447


[*] MD5 - Hashcat Mode 0
[*] NTLM - Hashcat Mode 1000
[*] MD4 - Hashcat Mode 900
[*] LM - Hashcat Mode 3000
[*] RAdmin v2.x
[*] Haval-128
[*] MD2
[*] RipeMD-128
[*] Tiger-128
[*] Snefru-128
[*] MD5(HMAC)
[*] MD4(HMAC)
[*] Haval-128(HMAC)
[*] RipeMD-128(HMAC)
[*] Tiger-128(HMAC)
[*] Snefru-128(HMAC)
[*] MD2(HMAC)
[*] MD5(ZipMonster)
[*] MD5(HMAC(Wordpress))
[*] Skein-256(128)
[*] Skein-512(128)
[*] md5($pass.$salt) - Hashcat Mode 10
[*] md5($pass.$salt.$pass)
[*] md5($pass.md5($pass))
[*] md5($salt.$pass) - Hashcat Mode 20
[*] md5($salt.$pass.$salt) - Hashcat Mode 3810
[*] md5($salt.$pass.$username)
[*] md5($salt.'-'.md5($pass))
[*] md5($salt.md5($pass)) - Hashcat Mode 3710
[*] md5($salt.md5($pass).$salt)
[*] md5($salt.MD5($pass).$username)
[*] md5($salt.md5($pass.$salt)) - Hashcat Mode 4110
[*] md5($salt.md5($salt.$pass)) - Hashcat Mode 4010


Hash Değerinin Dosyadan Okunarak Belirlenmesi (-f):
Hash değerini dosyadan okumak ve parse etmek için -f parametresi kullanılacaktır.
➜  Desktop  ./HashTag.py -f hash.txt -hc


File Mimetype: text/plain
Hashes Found: 1
File successfully written: HashTag/HashTag_Output_File.txt


Burada dosyada yazılı olan hash değeri -f parametresi ile okutulmuştur. Daha sonra hash değerinin sonucu HashTag/HashTag_Output_File.txt dosyasına yazılmıştır. O dosyanın içeriği görüntülendiği zaman hash bilgisine ulaşılacaktır.
➜  Desktop  cat HashTag/HashTag_Output_File.txt
Hash: 7026360f1826f8bc
Char Length: 16
Hashcat Modes: ['3100']
Hash Types: ['MySQL, MySQL323', 'Oracle 7-10g, DES(Oracle)', 'CRC-64', 'SAPB', 'substr(md5($pass),0,16)', 'substr(md5($pass),16,16)', 'substr(md5($pass),8,16)']


Referans :
* http://www.smeegesec.com/2013/11/hashtag-password-hash-identification.html

Windows Vista ve üzeri bir işletim sistemini metasploit-psexec oturumu açılabilir hale getirmeye geçmeden önce UAC (User Account Control, Kullanıcı Hesabı Kontrolü) güvenlik modülünden biraz bahsetmek faydalı olacaktır.
Microsoft, Windows Vista ile birlikte uygulamaya koyduğu UAC (User Account Control, Kullanıcı Hesabı Kontrolü) güvenlik modülü sayesinde işletim sisteminde yerel ve uzak erişim kapsamında bazı değişikliklere gitmiştir. Yerel yönetici grubuna dahil olsa dahi yerelde yapılacak, yönetici hakları gerektiren işlemler için kullanıcıdan onay alınmaktadır (örneğin; bir program yüklenmek istendiğinde kullanıcıdan istenen onay). Sistemde gömülü olarak gelen yerel yönetici hesabı (Administrator) için bu kısıtlama söz konusu değildir. Yönetici grubuna dahil kullanıcılar için, uzaktan yapılan ve yönetici hakları gerektiren işlemler (program yükleme gibi) yapılamamaktadır (uzak masaüstü bağlantısı için bu kısıtlama söz konusu değildir).

Üzerinde UAC güvenlik modülünün aktif olduğu cihazlara sysinternal psexec oturumu açılabilmektedir (yerel kullanıcı hesap bilgileri ile).

Böyle bir sisteme Metasploit-meterpreter oturumu açabilmek için iki yol izlenebilir; UAC'ı devre dışı bırakmak (bu değişikliğin uygulanması için sistemin yeniden başlatılması gerekmektedir ki bu önerilmez) veya UAC modülünden kurtulmak için politika tanımlamak.
Not: Bu değişiklikleri uygulayabilmek için yerel yönetici grubuna dahil bir kulanıcının hesabı ile sysinternal-psexec oturumu açmak gereklidir.

 Politika tanımlayarak UAC'ı uzak işlemler için devre dışı bırakmak:
Komut satırından;
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

girilmesi yeterli olacaktır. Bu işlemden sonra Metasploit konsolundan exploit/windows/smb/psexec modülü aracılığı ile sistemde meterpreter oturumu açılabilecektir.
Not: Hedef sistemde meterpreter oturumunu engelleyecek başka sistemler bulunabilir (virüs programı, güvenlik duvarı, defender vs) bu sistemlerin ihtiyaç dahilinde kapatılması gerekebilir.
Hedef sistemde gerekli işlemler yapıldıktan sonra sistemin güvenlik mekanizmasını eski haline getirmek adına komut satırında,

reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy
 girilmesi yeterli olacaktır.

Referanslar:
http://support.microsoft.com/kb/951016/en-us

1 08 2014

VMware üzerine kurulan Linux işletim sistemlerine ayrılan harddisk alanı genişletmek, Windows işletim sistemleri kadar kolay değildir. Linux işletim sistemine ayrılan disk alanının komut satırından genişletilmesi mümkün olduğu gibi görsel olarak da genişletilebilmektedir.
Gerekli olan araçlar: gparted-live cd

İşletim sistemine ayrılan disk alanını genişletmek için atılması gereken adımlar aşağıdaki gibidir:
1. Sanal makine ayarları açılır.


2. Harddisk ayarlarından "Expand (genişlet)" seçeneği tıklanır.


3. İstenilen harddisk boyutu seçildikten sonra "Expand" butonu tıklanır. 



  • İşlem devam ederkenki ekran görüntüsü:


4. İndirilen G-Parted yazılımının CD halinin sisteme tanıtılması ve sistemin CD üzerinden başlatılması gereklidir. Kırmızı kutucuk içerisine alınmış ve numaralandırılmış alanların sırasıyla seçilmelidir.


5. Sistemin boot menüsüne ulaşabilmek için, sistem başlarken ESC tuşuna bir kez basılmalıdır.


6. G-Parted boot menüsünden "GParted Live (Defauly settings)" seçilir


7. Yapılandırma esnasında kullanmak üzere klavye seçimi yapılır.


8. Klavye düzeni ve kullanılacak dil tercih edildikten sonra, açılacak olan pencere.



Görüldüğü gibi linux sistemlerde harddisk düzeninin;
- bölümlerden
- bölümler arasında bulunan ayraç
- ve  bölümler tablosundan oluşmaktadır.
Harddisk alanının genişletilebilmesi için bölüm ayracın kopyalanarak bölümlerin sonuna yapıştırılması ve ana ayracın silinmesi, var olan bölümlendirme tablosunun silinerek yenisinin oluşması sağlanması ve bölümlerin birleştirilmesi gerekmektedir.

9. Bölüm ayracının kopyalanarak, bölümlerin sonuna yapıştırılması,



Ayracın ardındaki boş alanın "0" olarak ayarlanması gerekmektedir.


10. Önceden yapılandırılmış olan bölüm ayracı ve bölümlendirme tablosu silinmelidir.




Yapılan değişiklikler uygulanır (Bu işlem sonrası atılan adımların telafisi olmayacaktır).


11. Harddisk alanı seçilerek "Boyutlandır/taşı" butonuna tıklanır.



12. Son olarak değişiklikler uygulanır.



Harddisk alanının istenilen değerde olduğu görülmektedir.

15 07 2014

SQL enjeksiyonunun istismarı için bir çok araç bulunmaktadır. Bunlardan en ünlüsü sqlmaptir. Bu yazıda ise benzerlerinden bir kaç farkı olan sqlifuzzer aracı incelenmiştir.
Sqlifuzzer'ın en önemli özelliği Bash scriptte yazılması ve curl kullanmasıdır. Ayrıca Burp Suite proxy aracının loglarını yorumlayıp girdi noktalarını bulabilmektedir. Daha sonra bu girdi noktalarına belirtilen tiplerde payloadlar denemektedir. 

13 07 2014

Burp Suite Kullanarak XSS (Cross Site Scripting) Zafiyet Tespiti

Cross site scripting (XSS), web güvenlik açığı. HTML kodlarının arasına istemci tabanlı kod gömülmesi yoluyla kullanıcının tarayıcısında istenen istemci tabanlı kodun çalıştırılabilmesi olarak tanımlanır.[1] XSS açıklıkları bulunduğu yere göre değer kazanır ve stored, reflected ve dom based olmak üzere üç çeşidi bulunmaktadır.


Bir sistemde XSS zaafiyetinin tespiti için, sistemin kullanıcıdan girdi alabileceği yerler tespit edilir. Ardından tespit edilen yerlere veri girişi yapılır. Bu veri web uygulamanın kaynak kodları arasında yerini alıyorsa, payloadlar denenmeye başlanır. Burada anlatılmak istenen Burp suite aracı kullanarak iki farklı örnekle açıklanmıştır.

12 07 2014

Proaktif güvenliğin temel bileşenlerinden olan sızma testi çalışmaları  genellikle -maliyet vs gibi sebeplerden- yılda bir defalığına yapılır. Oysa orta ve büyük ölçekli firmaların  kullandığı IT sistemlerinde ortalama her hafta yüksek ve kritik öneme sahip güvenlik açıklıkları yayınlanmaktadır.

BGA olarak 2013 yılında gerçekleştirdiğimiz sızma testleri süresince azınsanmayacak oranda internet üzerinden basit hatalar nedeniyle sunucu sistemlere sızma yapıldığının tespit ettik. Buradan yola çıkarak firmaların sızma testi yaptırmadığı zaman aralığında en azından internet üzerinden düzenli güvenlik taraması yapabilmesi için kolları sıvayarak bulut tabanlı bir güvenlik açıklığı tarama sistemi geliştirdik.

Normshield adını verdiğimiz hizmetimizi ( www.normshield.com ) yaklaşık 3 aydır süren test aşamasını tamamlayarak Temmuz ayı itibariyle müşterilerimize sunmaya başladık. Amacımız hizmet verdiğimiz kurumların daha güvenli kalmasını sağlamak olduğu için alternatiflerine oranla oldukca uygun bir fiyat politikası belirledik.

Normshield nasıl çalışır?

*Öncelikle müşteri varlıklarını sisteme tanımlar ve düzenli aralıklarla güv. tarama isteğini gönderir. 

*Güvenlik tarama isteği Normshield yöneticilerinden birine düşer, talep ve varlığın tipine göre (Network, Sistem, Uygulama vs.) güvenlik taramaları gerçekleştirilir. 

*Güvenlik taramaları için sektörde bilinen ticari yazılımlar koşturulmaktadır, gerçekleştirilen güvenlik tarama çıktıları Normshield sistem yöneticileri tarafından detaylıca incelenerek hatalı bulgular ayıklanır ve kalan rapor sisteme yüklenir ve müşteri tarafından açılan denetim isteğinin durumu "Tamamlandı" ya çekilir, müşteriye işin durumuyla ilgili bilgilendirme maili ulaştırılır. 

*Bu aşamadan sonra müşteri hesap bilgilerini kullanarak (username, password + SMS authentication) sisteme girer ve tarama sonuçlarını inceler, tarama raporu alır ve ilgili ekiplerle paylaşır. 

*Kapatılan açıklıklar için müşteri durum bilgisini değiştiremez, Normshield sistem ekibine durum bilgisinin değiştirilmesine dair istek gönderir (bir tık kadar kolay bir şekilde), bu istek sistem yöneticileri tarafından incelenir ve açıklık gerçekten kapatıldıysa durum "Kapatılmıştır" a çekilir.



Normshield  Farkları:

Normshield hizmeti, benzeri güvenlik tarama hizmetlerinden aşağıdaki başlıklarda farklılıklar göstermektedir:

  • Aynı kategoride en az iki farklı güvenlik tarama yazılımı tarafından sistemin kontrolü gerçekleştirilir.
  • Tarama yazılımları sonucu çıkan bulgular elle kontrol edilip herhangi bir false positive içermediğinden emin olunduktan sonra Normshiel'e aktarılır.
  • Sistem kontrollü işletildiğinden dolayı tarama esnasında hedef sistemlere zarar vermez.
  • Çıktıları hem pdf ve diğer formatlarda raporlanabilmekte hem de normshield.com üzerinden incelenebilmektedir.
  • Amaç düzenli taramalar olduğu için 1 Adet C class ip adresi ve 10 adet uygulama için uygun fiyat.
  • Güvenlik açıklıklarını tarayan ve saklayan sistemlerin tamamı Türkiye'de bulunmaktadır ve her firmaya ait bulgular veritabanında şifreli olarak tutulmaktadır.
Normshield hakkında detay bilgi almak icin info@normshield.com adresine e-posta gönderebilirsiniz.

6 07 2014

Zararlı Kod İçeren Office Dosyalarının Analizi

“Zararlı Kod İçeren PDF Dosyalarının Analizi (http://blog.bga.com.tr/2014/07/zararl-kod-iceren-pdf-dosyalarnn-analizi.html)” yazısının devamı niteliğinde olan bu yazıda aynı derecede önemli zararlı kod içeren office dokümanlarının analizi konusu ele alınmıştır.

3 07 2014

Zararlı Kod İçeren PDF Dosyalarının Analizi


Zararlı kodların pdf, doc, xls gibi farklı doküman formatlarının içine gömülmesi sosyal mühendislik saldırılarında sıklıkla kullanılan bir yöntemdir. Dolayısıyla bu dosyaların da şüpheli durumlarda analiz edilmesi gerekmektedir. REMNux imajıyla gelen, doğrudan da elde edilebilecek çeşitli araçlarla PDF dosyalarının detaylı analizi yapılabilir.