14 07 2015

Windows sunucularda işletim sistemi bazındaki loglama altyapısını, üzerinde tanımlı olarak gelen “Local Policy” servisindeki event’lar oluşturmaktadır. Aynı türden uyarılar bir araya gelerek önce alt kategorileri, daha sonra da ana kategorileri oluşturmaktadır. Bu durum şu şekilde bir örnek ile açıklanabilir.
Örneğin “ A computer account was deleted” ifadesi en alt seviyede spesifik bir mesajdır. Bu şekilde aksiyonları ifade eden mesajların bir araya gelmesi ile alt kategoriler oluşmuştur. Bu mesajın bağla olduğu alt kategori ise “Computer Account Management” dır. Sonrasında ise bu alt kategoriler bir araya gelerek ana kategoriyi yani “Account Management” kategorisini oluşturmuşlardır. 

Bu ilişkiyi gösteren örnek bir ekran görüntüsü aşağıdaki gibidir.

Windows sistemlerde bu örnekte olduğu gibi birden fazla kategori ve birçok alt kategoride Security Event bulunmaktadır. İdeal bir loglama altyapısı için bu event’lardan bazı kategori ya da alt kategorilerin açılması veya kapatılması gerekebilir.
Örneğin sisteme yapılan login/logoff olaylarını loglamak istiyorsanız sırasıyla Local Security Policies -> Local Policies -> Audit Policy pencerelerini takip ederek açılan ekrandan “Audit account logon events” ifade aktif edilmelidir. Aktif etmek için ilgili ifadeye sağ tıklayarak açılan pencereden başarılı ya da başarısız logların alınmasını sağlayabilirsiniz.


Bu ifade aktif edildikten sonra ise sisteme giriş/çıkış yapan bir kullanıcıya ait logu “Event Viewer“ üzerinde bulunan Security loglarında görebilrsiniz.


Buraya kadar olan kısımda bir kategoriye ait tüm logların nasıl alınabileceğinden bahsedildi. Eğer bütün bir kategorinin loglanması istenilmiyorsa bu durumda yapılması gereken şey, loglanılması istenmeyen alt kategorilerin  disable edilmesi şeklinde olacaktır. Örneğin “Account Management” kategorisinin altında birden fazla alt kategoride loglama mesajları bulunmaktadır. Bu  alt kategorilerden “Computer Account Management” ifadesinin loglanması istenilmiyorsa bunu auditpol.exe ile basit bir komutla yapmak mümkündür.
auditpol /set /subcategory:"Computer Account Management" /success:disable /failure:enable
Bu komut admin hakları ile çalıştırıldıktan sonra artık sistem üzerinde “Computer Account Management” ifadesine bağlı başarılı loglar disable olacak ve sadece hatalı loglar alınacaktır.

Artık bu aşamadan sonra Account Management kategorisi altındaki loglar alınmaya devam edecek fakat Computer Account Management alt kategorisindeki başarılı loglar alınmayacaktır. 

Not : Burada başarılı ya da başarısız logların alınıp alınmaması tamamen örnekleme amaçlıdır.
İnternet üzerinden ya da yerel ağdan yapılan sızma testlerinde, işletim sistemi ya da üçüncü parti yazılımların güncelleme eksikleri, web uygulamlarındaki girdi doğrulama(input validation) hataları yetki yükseltme konusunda en sık karşılaşılan durumlardır. Yetkisiz bir kullanıcı rolü ile yapılan sızma testinde bu tarz zafiyetleri kullanarak yetkili bir kullanıcı haklarına sahip olunabilir.


Bunların dışında en az bu zafiyetler kadar önemli olan ve kesinlikle bakılması gereken diğer bir zafiyet ise, ön tanımlı olarak bırakılan ya da basit parola ile korunan web uygulama yönetim panelleridir. Sizi en yetkisiz kullanıcıdan bir anda Domain Admin haklarına sahip bir kullanıcıya taşıyabilir. Bunun için yapılması gereken şey, ilgili IP bloklarında açık olan HTTP portlarını bulmak ve burada bulunan giriş panellerine ön tanımlı ya da sık kullanılan basit parolaları denemektir.

9 07 2015

Siber Güvenlik Yaz Kampı '15 - 24-29 Ağustos 2015 / Ankara


Bilgi Güvenliği Derneği(BGD) tarafından Bilgi Güvenliği AKADEMİSİ(BGA) ve Gazi Üniversitesi(GÜ) işbirliğiyle üniversite öğrencilerine yönelik Siber Güvenlik Yaz Kampı'nın dördüncüsü bu yıl 24-29 Ağustos 2015  tarihleri arasında Ankara'da düzenlenecektir.

Üniversitelerin Ön Lisans, Lisans, Yüksek Lisans ve Doktora programlarına kayıtlı öğrencilerinin katılımına açık olan Siber Güvenlik Yaz Kampı'nda öğrencilere bilişim sistemleri güvenliği konusunda teknik eğitimler verilerek ülkemizin ihtiyaç duyduğu siber güvenlik uzmanı eksikliğinin giderilmesine destek olunması ve kapasite geliştirilmesinin sağlanması amaçlanmaktadır.

Eğitimlerin yanı sıra, kamp katılımcıları bilgi güvenliği alanında deneyim sahibi akademisyenler, kamu kurumu ve özel sektör yöneticileri ile bir araya gelecek ve siber dünyadaki tehditler, alınması gereken önlemler ve bu alandaki kariyer fırsatları konusunda bilgi sahibi olacaklardır. Kamp esnasında eğitim amaçlı düzenlenecek CTF yarışmalarıyla öğrencilerin takım çalışması yeteneklerinin güçlendirilmesi ve kamp sırasında edindikleri bilgilerin pekiştirilmesi sağlanacaktır.

Katılımcıların konaklama, yeme-içme ve eğitim giderleri düzenleyiciler tarafından karşılanacaktır. Kamp yerine ulaşım masrafları katılımcılar tarafından karşılanacaktır.

Başvuru, içerik ve diğer sorular için siberkamp.org adresi  ziyaret edilebilir.

30 06 2015


BGA olarak gerçekleştirdiğimiz bilgi güvenliği danışmanlık hizmetleri için sevdiği işi yapacak, yaptığı işi sevecek, genç, heyecanlı ve çalışkan takım arkadaşları arıyoruz.

4 farklı konuda 4 takım arkadaşı alınacaktır:
  • BGA SIR(Security Incident Response) Ekibi - bir kişi
  • BGA APPSEC (Uygulama Güvenliği) Ekibi -  bir kişi
  • BGA TIGER TEAM (Sızma Testi/APT) Ekibi - iki kişi
  • Kurumsal Müşteri Yöneticisi  - bir kişi
Temel Beklentiler:
  • Ankara, İstanbul arası git-gel yapabilecek arada bir Bakü, KKTC vs gibi lokasyonlara uğramaktan imtina etmeyecek,
  • Standart dışı düşünebilen, kalıplara takılmayan,
  • Teknik konularda çalışmayı seven, heyecan duyan,
  • Herşeyi bilmediğini düşünerek bol bol araştırma yapan, bir bilene soran,
  • Çok çalışan değil, az zamanda çok iş yapabilen,
  • İş bitirici, görev bilincine sahip olan,
  • Araştırıp öğrendiği konuları yazıya dökebilen
"Tam zamanlı" çalışma arkadaşları arıyoruz. (Yarı zamanlı başvurular da duruma göre değerlendirilecektir)

8 06 2015

Kurumların bilgi teknolojilerine bağımlılığının geçtiğimiz yıllara kıyasla katbekat arttığı bu yüzyılda, kurumlara gerçekleştirilen siber saldırıların da geçtiğimiz yıllara kıyasla şekil değiştirmeye başladığı gözlenmektedir. 2000'li yılların başında sistem yöneticilerine mesaj bırakmak için gerçekleştirilen hacktivizm odaklı siber saldırılar, günümüzde yerini APT adı verilen ve kurumlara sızıldıktan en az altı ay ile bir sene  sonra tespit edilebilen ileri seviye siber saldırılara bırakmıştır.


Klasik siber saldırı önleme sistemlerinin yetersiz kaldığı bu saldırılara karşı kurumlar, ürün odaklı “savunmacı” yaklaşım yerini daha proaktif, tehdit  ve insan odaklı yöntemlere yönelmektedirler.

3 06 2015

oclHashcat parola kırmak için GPU'nun gücünden yararlanan defacto bir araçtır. Desteklediği(GPU için) 5 atak türü vardır. Bunlardan birisi olan Mask atak türü kaba kuvvet saldırılarını daha verimli yapmak için kullanılır. Olası tüm parolaların hesaplandığı kaba kuvvet saldırılarında parola basit dahi olsa 9 hane ve üzeri olduğunda süre yıllar alabilmektedir. Windows 7 üzerinde çalışan AMD Radeon 7970 HD grafik kartı için tam bir kaba kuvvet saldırısında hane uzunluğuna göre ortalama süreler aşağıdaki gibidir.(Ortalama hız: 8000MH/s (saniyede 8 milyar deneme))

Parola uzunluğuna göre parola kırma süreleri
Uzunluk Süre
6 hane 1 dakika 32 saniye
7 hane 2 saat 25 dakika
8 hane 9 - 10 gün arası
9 hane 2 - 3 yıl arası
10 hane 10 yıldan fazla

Mask atakta ise parolaların oluşturulma düzenleri tespit edilir ve sadece bu düzene göre parolalar hesaplanır. Örneğin, Bilgi987*! gibi bir parola için hashcat maskesi ?u?l?l?l?l?d?d?d?s?s şeklindedir.
u büyük harfi(uppercase), l küçük harfi(lowercase), d rakamları(digit) ve s özel karakterleri(special chars) ifade eder. Böyle bir maske için süre ise yaklaşık 30 dakikadır.

Rockyou, phpbb, Linkedin gibi yaklaşık 35 milyon sızıntı parola üzerinde yapılan çalışma, mask atağın önemini ortaya koymaktadır. 35 milyon parolanın %50'si sadece 13 tane mask ile kırılabilmektedir[kaynak]. Toplam mask sayısı ise 260000 civarıdır.

Bu maskeleri çıkartmak için şart olmasa dahi uygun bir sözlüğe(wordlist) ihtiyaç vardır. Bu yazıda yaklaşık 24000 parola içeren Türkçe bir sözlük kullanılmıştır.

PACK, python ile yazılmış, parola analizi yapan bir araçtır. Analiz ettiği sözlük için uzunluk ve maske ile ilgili istatistikler çıkartır. Bu yazıya konu olan özelliği ise hashcat için mask listesi çıkartabilmesidir.
PACK içerisinde 4 tane araç barındırır: statsgen, maskgen, policygen ve rulegen.

python statsgen.py sozluk.txt -o sozluk_stats.txt

ile sozluk_stats.txt dosyasına çıktı alınır. Bu liste oldukça uzun çıkabilir. Eğer vakit sınırlıysa --hiderare seçeneği ile çok az karşılaşılan maskeler ve istatistikleri dahil edilmeyebilir. Yada --simplemask seçeneğinde stringdigit, mixedalpha gibi filtreler uygulanarak maskeler azaltılabilir.
Çıktı olarak alınan sozluk_stats.txt dosyası maskgen'e input olarak verilir ve hashcat için hcmask dosyası elde edilir.

python maskgen.py sozluk_stats.txt -o sozluk.hcmask

Statsgen gibi burada da çeşitli filtreler uygulanabilir: --minlength, --masklength, --targettime ve --pps

En az 9 haneli, en fazla 12 haneli parolalar için, saniyede 5 milyar deneme yapabilen bir makinede 3 saatte(3*60*60) kırmak için maskgen aşağıdaki gibi kullanılabilir.

python maskgen.py sozluk_stats.txt --minlength 9 --maxlength 12 --pps 5000000000 --targettime 10800 -o sozluk.hcmask

Sonuç:
?d?d?d?d?d?d?d?d?d
?u?l?l?d?d?d?d?d?d
?d?d?d?d?d?d?d?d?d?d
?u?l?d?d?d?d?d?d?d
?u?l?l?l?l?d?d?d?d
?l?l?d?d?d?d?d?d?d
?d?d?d?d?d?d?d?d?l
?l?d?d?d?d?d?d?d?d
?u?l?d?d?d?d?d?d?s
?d?d?d?d?d?d?l?l?l
...

Elde edilen sozluk.hcmask dosyası ise direk olarak hashcatte kullanılabilir.

oclhashcat.exe -m 1000 -a 0 hash_listesi.txt  masks\sozluk.hcmask

Aynı işlem elde sözlük olmasada her satıra bir mask gelecek şekilde elle oluşturulabilir. Ancak iyi bir sözlük başarı oranını %20-30 civarında artıracaktır.


29 05 2015

Bilgi Güvenliği AKADEMİSİ 2015 yılı ikinci 6 aylık genele açık eğitim takvimi yayınlanmıştır. Detaylı bilgi için egitim@bga.com.tr adresine mail atabilirsiniz.




Haziran
Tarih
Eğitim Adı
Süresi
Lokasyon/İl
01-03 Haziran 2015
Güvenli Yazılım Geliştirme Eğitimi
3 Gün
İstanbul
01-05 Haziran 2015
Sertifikalı/Lisanslı Sızma Testi Uzmanı Eğitimi
5 Gün
İstanbul
01-05 Haziran 2015
CISSP Sertifika Hazırlık Eğitimi
5 Gün
İstanbul
08-10 Haziran 2015
Kurumsal Ağlarda Malware Analizi Eğitimi
3 Gün
İstanbul
08-12 Haziran 2015
Beyaz Şapkalı Hacker Eğitimi (CEH v.8)
5 Gün
İstanbul
10-12 Haziran 2015
Web Uygulama Güvenlik Testleri Eğitimi
3 Gün
İstanbul
Ağustos
Tarih
Eğitim Adı
Süresi
Lokasyon/İl
10-14 Ağustos 2015
Beyaz Şapkalı Hacker Eğitimi (CEH v.8)
5 Gün
İstanbul
24-28 Ağustos 2015
Sertifikalı/Lisanslı Sızma Testi Uzmanı Eğitimi
5 Gün
Ankara
25-27 Ağustos 2015
DoS/DdoS Saldırıları ve Engelleme Eğitimi
3 Gün
İstanbul
Eylül
Tarih
Eğitim Adı
Süresi
Lokasyon/İl
01-03 Eylül 2015
Uygulamalı Ağ Güvenliği Eğitimi
3 Gün
İstanbul
07-11 Eylül 2015
Beyaz Şapkalı Hacker Eğitimi (CEH v.8)
5 Gün
İstanbul
24-25 Eylül 2015
SOME Kurulum ve Yönetim Eğitimi
2 Gün
İstanbul
28-30 Eylül 2015
Güvenli Yazılım Geliştirme Eğitimi
3 Gün
İstanbul
Ekim
Tarih
Eğitim Adı
Süresi
Lokasyon/İl
01-03 Ekim 2015
İleri Seviye Ağ Güvenliği Eğitimi
3 Gün
İstanbul
05-09 Ekim 2015
Beyaz Şapkalı Hacker Eğitimi (CEH v.8)
5 Gün
Ankara
05-07 Ekim 2015
Pfsense Güvenlik Duvarı Eğitimi
3 Gün
İstanbul
10-11 Ekim 2015
Siber Saldırı Teknikleri Eğitimi
2 Gün
İstanbul
12-14 Ekim 2015
Web Uygulama Güvenlik Testleri Eğitimi
3 Gün
İstanbul
15-17 Ekim 2015
Ağ ve Güvenlik Yöneticileri İçin Linux Eğitimi
3 Gün
İstanbul
19-23 Ekim 2015
Beyaz Şapkalı Hacker Eğitimi (CEH v.8)
5 Gün
İstanbul
24-25 Ekim 2015
Saldırı Tespit ve Log Yönetimi Eğitimi
2 Gün
İstanbul
26-28 Ekim 2015
Kurumsal Ağlarda Malware Analizi Eğitimi
3 Gün
İstanbul
Kasım
Tarih
Eğitim Adı
Süresi
Lokasyon/İl
02-06 Kasım 2015
Bilişim Sistemleri Adli Analizi Eğitimi
5 Gün
İstanbul
07-08 Kasım 2015
Mobil Uygulama Güvenlik Denetimi Eğitimi
2 Gün
İstanbul
09-13 Kasım 2015
Sertifikalı/Lisanslı Sızma Testi Uzmanı Eğitimi
5 Gün
İstanbul
17-18 Kasım 2015
İleri Seviye Windows Adli Analizi Eğitimi
2 Gün
İstanbul
19-20 Kasım 2015
İleri Seviye Ağ Adli Analizi Eğitimi
2 Gün
İstanbul
23-27 Kasım 2015
Beyaz Şapkalı Hacker Eğitimi (CEH v.8)
5 Gün
İstanbul
Aralık
Tarih
Eğitim Adı
Süresi
Lokasyon/İl
01-03 Aralık 2015
Güvenli Yapılandırma Denetimi Eğitimi
3 Gün
İstanbul
16-18 Aralık 2015
ISO 27001 Bilgi Güvenliği Yönetimi Eğitimi
3 Gün
İstanbul
19-20 Aralık 2015
Adli Bilişim Hukuku Eğitimi
2 Gün
İstanbul
21-25 Aralık 2015
Beyaz Şapkalı Hacker Eğitimi (CEH v.8)
5 Gün
İstanbul

8 05 2015

Son yıllarda artan siber saldırı olaylarının ardından gerek bireysel, gerek kurusal gerekse de ülke güvenliği açısından siber güvenliği önemi dahada ön plana çıkmıştır. Artan saldırılar içerisinde özellikle sanayi kuruluşlarına gerçekleştirilen saldırıların yükselen bir trend göstermesi dikkat çekicidir. Gerek işletmeciler için gerek ülke ekonomisi için ciddi tehditler oluşturan bu saldırıların ekonomik açıdan da çok ciddi tehdit haline geldiği görülmeye başlanmıştır. 

Ankara Sanayi Odası ile ortak olarak gerçekleştirilecek Siber Güvenlik Konferansı oluşabilecek saldırılar karşısında sanayi kuruluşlarının farkındalık düzeyini arttırmayı amaçlamaktadır.

Tarih: 11 Mayıs 2015
Yer: Ankara 1.Organize Sanayi Bölgesi ASORA İş Merkezi - Giriş Kat Konferans Salonu 
Etkinlik Saati: 09.30 - 12.30
Bilgi Güvenliği AKADEMİSİ tarafından verilen Güvenli Yazılım Geliştirme Eğitimi' ne ait içeriğin en güncel halini SlideShare hesabımızdan yayınladık.

Aşağıdaki linkten dökümana ulaşabilirsiniz.

http://www.slideshare.net/bgasecurity/gvenl-yazilim-geltrme-etm-er






3 05 2015

Ağ Trafiğinde Pasif İşletim Sistemi ve Uygulama Tespiti

İnternet teknolojisinin yaygınlaşmasının sonucunda teknoloji sürekli kendini yenilemekte ve yeni sistemler ortaya çıkmaktadır. Bu teknolojilerden en sık karşılaşılanları kuşkusuz web sunucular,güvenlik duvarları, web uygulama güvenlik duvarları, IPS cihazları ve Load balancer(yük dengeleyici) gibi cihazlardır. 
Birçok kurumda uygulama sunucularına direk erişim olmaz ve arada sizi başka bir cihaz karşılar. Sızma testlerinde bilgi toplama aşamasında veya  ele geçirilmiş bir linux ya da windows sistemin adli bilişim çalışmalarında bağlantı esnasındaki aktörlerin kimler olduğu önemlidir.
UA-17586270-1