Birkaç gündür çok uzun zamandır uzak durduğum bazı şeylere merak ve inceleme amacıyla tekrar giriştim. Çok uzun zaman önce ufak tefek başımı derde sokan Black-Hat Hacking diye tabir ettiğimiz, güvenlik açıklarını kişisel çıkarlar için kullanma ve bazı kurum,kuruluş veya kişilere maddi manevi zarar veren bu hacker davranışına ait bazı araştırmalar yaptım. Neler yaparlar nerelerde takılırlar bunları bizzat yaşadım aslında :)

Bu yazıda da bahsetmek istediğim bu tür hackerların davranışlarından çok alışveriş sitelerinde yaşanan ve biraz eski olduğu için perdelenmiş bir problem olan Microsoft Access Database’lerinin public olarak sunulmasından doğan problemlerdir.

Bildiğiniz üzere kapsamından ve güvenliğinden dolayı artık online işlemlerde pek tercih edilmeyen Microsoft Access Database yerini daha güvenli daha performanslı ve geniş kapsamlı olan abisi SQL Server’lara devretti. Bu konuda da tercihler genelde Microsoft SQL ve MySQL, biraz daha kapsamlı büyük bir işler içinse Oracle tercih ediyor. Fakat bunlarında başı deneyimsiz kurulumlar ve özellikle de SQL Injection vakaalarıyla dertte. Gerçi SQL Injection olaylarında artık finale gelindiğini düşünüyorum çünkü bahsettiğim bu SQL sunucularının hepsi kendi içlerinde büyük gelişmeler gösterdi ve programlama hatalarına rağmen bunlara izin vermiyor durumlara geldi.

• Hikaye Başlangıcı:

Evet bu konudaki tespitlerim,ilerlediğim yol,karşıma çıkanlar,bunlarla mücadelem ve son olarak tavsiye edebileceğim birkaç güvenlik önlemini içeren hikayeye başlıyoruz. Yazının başında da bahsettiğim üzere bu hikayede bazı black-hat davranışlardan da bahsedeceğim üzere bununla ilgili ziyaret ettiğim sitelerin isimlerini ve oralarda yer alan bazı terimleri gizlemek istiyorum, gizleyelim ki kötü örnek olmasın.

• İçeride Neler Var:

Herşey aslında birkaç gün önce başladı anlamsız bir şekilde bir black-hat sitesine yolumun düşmesiyle başladı. Çok eskiden benzeri siteleri takip ederdim acaba bu sektörde neler değişmiş diye merak ettim,forum bazlı yapısı olan bu siteye üye oldum. İlk tespitlerim sonucunda bazı şeyler için çok şaşırdım bazı şeyler ise hiç tahmin etmeyeceğim kadar basit geldi. Black-Hat hackerlerın aslında ilgilendikleri ve istedikleri birkaç şey vardı. Para, paranın satın alabileceği şeyler ve itibar.Bunları kazanmak için gerçekten çok tehlikeli işlere bulaşıyorlar. Kredi kartı numaraları satışları tahminimden daha az ilgi görüyor ve ucuza işlem görüyor. Bunun yerine kartların güvenliğini sağlayan CVV numaraları daha fazla talep görüyor. Bu rakamların algoritmasının bulunduğu çok açık ve net. Bunları sağlayan black-hat hizmetleri var, bunlarda ücretli tabii ki.

Peki “Vendor” denilen ve o sitenin admini tarafından polis yada dolandırıcı olmadığı onaylanan Vendorlar başka neler sağlar? Aslında bu kişi ve grupların en büyük para kaynağı kredi kartı numaralarından çok “bin dumps” ismini verdikleri kredi kartlarına ait sayısal bilgileri. Yaptığım araştırma sonucunda BIN(Bank Identification Number) denilen şeyin kredi kartının ilk 6 hanesine verilen ad ve kartın hangi bankaya ait olduğunu ve hangi müşteriye ait olduğunu gösteriyor. Neden bu bilgiler çok değerli, neden black-hat’ler bu numaraları satın alır diye araştırırken çok  geçmeden işin boyutunu anladım. Bu bin bilgilerini bazı cihazlarla satın almış oldukları banka kartı plastiği üzerindeki manyetiğe yazıyorlar. Dış dizayn görünümünüde bastıktan sonra başka bir kişiye ait kredi kartları yada ATM kartları onlara ait oluyor.

“Bu BIN bilgileri nasıl ele geçirilir merakımı” yine bu sitede hemen gideriyorum. ATM cihazlarına takılan ve yine ismini vermek istemediğim bir kart yuvası ile o atm’ye takılan kart bilgileri üzerinde bulunan hafızaya kopyalanıyor ve daha sonra kart yazma cihazları ile boş manyetik içeren kartlara yazılıyor.

Bu aşamalar gerçekten çok şaşırtıcı olmasına rağmen bu kişilerin gayreti beni çok şaşırttı. Sitede nasıl soğuk kanlı olarak kopyaladığınız kart ile alışveriş yaparsınız,alışveriş yaptığınız yerdeki kişilerin şüphelenip sorabileceği sorulara vereceğiniz yanıtlar neler olur şeklinde guide ve tutorial’lar mevcut. Bu arada unutmadan bilgi vermek isterimki bu sitelere ülkemizden de oldukça fazla üyeler var hatta şöyle bir bilgiye rastladım ki az önce bahsetmiş olduğum ATM yuvalarına takılan bu cihazlar el üretimi ve bunları üreten kişide bir Türk,geçtiğimiz günlerde yapılan bir baskında yakalanmıştı. Bu sitelerde oldukça fazla hayranı var ve çok yakında hapisten çıkacağını umuyorlar :)

• Ekonomik Krizden Etkilenmeyen Rakamlar:

Sitedeki fiyatlardan biraz bahsetmek istiyorum; Gold,Platinium,Business vb. limiti yüksek olan ve ülke bazlı satılan BIN numaraları 100-120$ civarında,Classic ve standart türde olanlar ise 70-80$ civarında satılıyor. Satın aldığınız bu BIN’lerin yada kart numaralarının geçerliliğini öğrenmekte ayrı bir masraf ve ortalama 100 kart doğrulaması için 30$ isteniyor. Banka kalitesinde kart plastikleri tanesi 40-50$ arasında satılıyor ancak buna teslimat ücretleri dahil değil ve üstelik belirli bir miktar haricinde alım yapamıyorsunuz. Güvenli işlemler için ssl proxy’ler, Socks’lar ve üstelik Remote Desktop Connection’lar satılıyor. Bunların da fiyatları 10 account için 100$ civarında fakat server’ın kapanması haricinde yada erişim yasaklanması halinde ücretsiz olarak yenisi temin ediliyor :) Son olarak kart bilgileri kopyalamak için ATM’ye takılan yuvanın minimum satışı 5000$ civarında. Gördüğünüz gibi biraz masraflı bir iş fakat bunları temin ettikten sonra biraz cesaretle birlikte şu an için sınırsız olarak maddi karşılığı mümkün.

• Alış-Veriş:

Bu konuda iki maddeye daha değinmek istiyorum, bu sağlanan servislerin ücretleri alıcılar tarafından Webmoney,Liberty Reserve ve biraz daha büyük işlemler için Western Union ve Moneygram olarak tercih edilmiş. Fakat bu sektör öyle yoğunlaşmış ki Webmoney para birimlerinden nakit paraya yani Western Union transferlerine yada tam tersi Western Union yani nakit paradan Webmoney vb. paralara çeviren exchange servisleri doğmuş. Bu hizmetler gerçekleştirdiğiniz değişim işlemlerinden komisyon keserek hayatlarını sürdüyor, tüm işlemlerini ICQ(sanırım bunun nedeni msn network’üne göre daha az kullanılan,takip edilmesinin daha zor olduğundan ve bazı encryption plug-in’leri kullanılabildiğinden olsa gerek) üzerinden gerçekleştiriyor. Bu işlemler tahmin edeceğiniz üzere bu konularda yasak tanımayan Rusya merkezli gerçekliştiriliyor. Hepsi bilgi olarak sitelerinde yada kurallarında money laundring(para yıkama,para temizleme,para aklama) ve yasa dışı işlemler için kullanılmayacağını söyleselerde, bu servislerin reklamları black-hat sitelerinde yer alıyor yani dolaylı yollarla internet paralarını nakit paraya yada tam tersini işlemlerini yapıyorlar.

• Katil Zaafiyet:

Bu olayda dikkatimi çeken ikinci madde ise tamamen resmi ve güvenli iş yapan Western Union ve Moneygram para transferleri neden tercih ediliyor sorusu oldu. Biraz inceledikten sonra daha önce hiç kullanmadığım Western Union’ ın web sitelerinin üzerinden bir kredi kartı ile istediğiniz bir ülkedeki istediğiniz bir kişiye para gönderilebileceğini farkettim. İşlem oldukça basit siteye üye oluyorsunuz. Üyelik formunda herhangi özel birşeye rastlanmıyor klasik olarak ad,soyad adres telefon gibi kişisel bilgiler. Üyeliği tamamladıktan sonra parayı gönderen olarak bir ülke seçiniz. Online para gönderme işleminde maalesef henüz tüm dünya ülkeleri desteklenmiyor ancak bu korkutucu bir problem değil yani siz gönderen olarak destekleyen bir ülkeyi seçmeniz yeterli. Para gönderebileceğiniz ülkeler ise Western Union ofislerinin bulunduğu tüm ülkeler diyebiliriz. Ülkemizde ofis olarak 3-5 banka ve PTT şubeleri olmasına rağmen birçok ülkede bu ofisler bildiğimiz bir bakkal, bir büfe bir seyahat acentesi bile olabiliyor. Aslında işin püf noktasıda burada fakat buna birazdan değineceğim.

Para göndermek istediğiniz ülkeyide seçtikten sonra alıcının adı ve soyadı bilgisini giriyorsunuz. Evet para göndermek istediğiniz kişiye ait girmeniz gereken tek bilgi bu aslında. Bir sonraki aşamada para gönderme işleminde faydalanmak istediğiniz başka servisler size yöneltiliyor,bunlar para transfer edildiğinde alıcının telefonuna mesaj gitsin yada alıcı parayı aldığı zaman sizin yazmış olduğunuz metni ofis yetkilisi parayı alan kişiye okusun gibi değişik hizmetler mevcut tabii ki bunlar ekstra ücrete tabi. Bir sonraki sayfada gönderdiğiniz miktara bağlı olarak gönderdiğiniz miktara eklenen para gönderme ücretiyle birlikte kredi kartı bilgilerinizin girilmesi isteniyor. Burada önemli zaafiyetler mevcut ki üyeliğinizi gerçekleştirdiğiniz isim soyisim burada karşınıza çıkmıyor. Bu demek oluyor ki bir hacker elindeki kredi kartlarını tek bir account üzerinde deneyebilir. Kredi kartı bilgilerinin istedindiği bu formda; Kart üzerindeki isim soyisim,kart numarası,kart tipi,cvv numarası ve son kullanma tarihi soruluyor yani söylediğim üzere denemiş olduğunuz bir kart geçersiz yada limit açısından yetersiz ise başka bir kart numarasını zorlanmadan deneyebilirsiniz, illa ki siteye üye olmuş olduğunuz ad soyad bilgisine eş olan bir kredi kartınız olması gerekmiyor.

Peki para gönderme işlemi bu kadar basit ise neden kart numaralarına ve bilgilerine rahat erişebildiklerini düşündüğümüz black-hatler Wester Union üzerinden kendilerine istedikleri kadar para göndermiyorlar.

İşin bu kısmıda para transferinden sonra alıcı tarafına gitmek istiyorum. Bir proxy üzerinden geçip Western Union sitesine girdiniz ve online transfer bölümünden para gönderen kişi olarak lokasyonunuzu US ve para göndermek istediğiniz yeri Türkiye olarak seçtiniz, elinizdeki kredi kartı bilgilerindeki isim soyisim ve varsa diğer adres bilgileri ile üye oldunuz,email adres bölümünü var olmayan bir email adresi(email doğrulaması gerekmiyor.) girdiniz. Para transfer ekranında göndermek istediğiniz kişi olarak kendi gerçek adınızı ve soyadınızı girdiniz ve göndermek istediğiniz miktarı girdiniz. Bir sonraki ekranda da kredi kartı bilgilerini girip para transferini gerçekleştirdikten sonra parayı almak için yapmanız gereken işlem kimliğiniz ile bir Western Union ofisine gitmek kimliğinizi göstermek,Western Union sitesinde para gönderme işlemi tamamlandıktan sonra verilen bir işlem numarasını ve gönderen kişinin adını,soyadı ve gönderdiği şehri verilen para teslim alma formuna girmek. Bu işlemden sonra birkaç dakika içerisinde paranızı teslim alabilirsiniz. Fakat tahmin edebileceğiniz üzere parayı göndermiş olduğumuz kredi kartı sahibi kurbanımız olayı bir sonraki kart ekstresinde fark edecek, bankasını arayacak oradan Western Union ile iletişime geçilip paranın kime nereye gönderildiği tespit edilecek ve ülke polisiyle irtibata geçilip bilgileriniz polis tarafından temin edilecek ve çok geçmeden yeriniz tespit edilip tutuklanacaksanız.

Ancak Western Union sitesinde geçen gizli ibarelerden bazıları black-hatler için umut olabileceğini düşündüm. Peki ya parayı göndermek istediğim kişinin kimliği kayıpsa ve kendini ispatlayabileceği resmi bir kimliği yoksa. Burada ilginç bir çözüm getirilmiş, bu gibi durumlar için Western Union para transferi yapan kişinin gönderme formuna bir gizli soruyla cevabını eklemesi ve bu cevabı telefon yada başka bir iletişim yöntemi ile parayı göndermek istediği kişiye söylemesi, bunun devamında da parayı almak isteyen kişi almak için gittiği ofisteki para teslim alma formuna bu cevabı yazması ve bu şekilde parayı alması gibi bir çözüm üretmiş. Oldukça mantıklı gözüken bu çözüm black-hatler için güzel bir fırsat olmuş. Çünkü bu şekilde parayı göndermek istediğiniz kişi bilgilerine kendi adınız soyadınız yerine gerçek olmayan bir ad soyad yazarsınız, gönderme formunuza bir gizli soru ve cevap eklersiniz ve daha sonra biraz soğuk kanlılık ve cesaretle bir Western Union ofisine gidip durumu ufakça izah edip gizli soru ve yanıt ile paranızı teslim alabilirsiniz. Bu oldukça temiz ve yakalanması neredeyse imkansız olan yöntemlerden birisiymiş. Birisiymiş diyorum çünkü bu zaafiyet yakın bir zaman önce Western Union’da online para işlemleri için kaldırılmış,yani online para transferi ile gizli soru ve cevap kullanılmıyor sadece ofislerden para göndermek istediğinizde bundan yararlanabiliyorsunuz. Bu da böyle bir tehlikeyi kaldırmış oluyor.

• Gerçek Dünyadan Dostlar:

Fakat başka yollarda türetilmiş. Bahsetmiş olduğum bu sitelerdeki ilginç servislerden biriside “Cashier” yani kasiyer hizmetleri. Western Union ofisi olan yada bu ofislerde kasiyerlik yapan bu işlerden anlayan kişiler duyuru yaparak,Western Union para teslimat işlerinde kimlik göstermeden işlem yapabileceklerini yada kendi kimlikleri ile doldurdukları para teslim formlarını yırtarak sahtesini hazırlayacaklarını temin ediyor. Tabii bu işlem içinde kişinin alacağı paranın bir kısmını haciz ediyor :)

Black-hat’leri gerçek dünyada rahatlatmak için bu kasiyer hizmetinin benzeride yapacağınız alışverişler için mevcut. Sahte kart ve kimliklerle alışveriş yapabileceğiniz ve kendinizi evinizde hissetmenizi sağlayacak kasiyerlerde yine bazı komisyonlarla size rahatlık sağlıyor ve sorun çıkartmıyor.

Bu kadar stresin yanında daha rahat bir para temizleme yöntemide mevcut aslında,bahsetmiş olduğum Exchange yani para değiştirme işlemlerinden yararlanmak. Elinizdeki kredi kartıyla ile Western Union’ dan bu exchange hizmetleri sağlayan kişilere para göndermek, bu kişilerin uyguladığı komisyon işleminden sonra parayı sizin Webmoney hesabınıza yatırması ve daha sonra farklı bir exchange vendor’ına Webmoney’den Western Union’a yine bir komisyon ile parayı kendi adınıza istemeniz. Burada önemli olan bir nokta var ki birçok exchange hizmeti kaçakçılık olaylarından dolayı Western Union çevirilerinden online para kabul etmiyor. Ancak kabul eden bazı kendine güvenenler mevcut. Dediğim gibi bu işlemlerden sonra aklanmış bir parayı kendi kimliğinizle rahatlıkla alabilirsiniz.

• Ben Neler Yaptım:

Şimdi gelelim benim yaptığım ve güvenlik kısmı ile bizi ilgilendiren kısıma. Eskiden çok meşhur ve tercih edilen bir hacking yöntemi olan access database’lerinin SQL ağırlıklı bir nesilde çok tercih edilmediğini biliyoruz. Özellikle de online işlemlerde ve özellikle online alışveriş sistemlerinde. Alışveriş sitelerinizin kalbi olan ve her türlü konfigurasyon ve kullanıcı bilgisinin tutulduğu bu database’leri korumak oldukça güçtür. Bu aralar herkes SQL ile uğraştığından yine Access database destekli alışveriş scriptleri kullanabilecek insanlar olduğunu düşündüm ve biraz araştırma yapmaya başladım.

• Faydalı Bir Link:

Programlama dillerine göre kategorilenmiş olan web scriptlerini yayınlayan en sevdiğim site olan hotscripts.com dizinine girdim ve oradan öncelikle ASP tercih eden e-commerce sistemlerine baktım. Listelemeyi ücretli yazılımlardan ücretsizlere doğru sıraladım. Mantığım şu ki insanlar online alışveriş gibi ciddi bir iş yapacaksa bunu free scriptlere değilde ücretleri scriptlere güvenerek yapmayı tercih edecektir. Bu mantıkta güvenlik ve kullanılabilir özellikler ön plandadır. Listeden kafama göre seçtiğim scriptleri sitelerine giderek inceledim,Access database’e destek verenleri filtreledim. Bazıları çok eskide kalmış ve sadece Access’e destek verirken bazı profesyonel olanlar MSSQL,MySQL,Oracle hatta PostgreSQL yanında MS Access’e destek veriyordu. Bunlar daha çok işime gelirdi açıkçası işin kapsamını belirlememde bir ölçü olabilirdi. Neyse çok fazla uzatmadan bir kaç tanesini incelemem gerektiğini düşündüm. Amacım bu scriptlerin Access database kullandığında default kurulum database path’lerini öğrenmek ve default access database ismini öğrenmekti. Bu bilgi aslında çokta kolay bir bilgi değildi,malum access database güvenliğinin önemli olduğu artık herkes tarafından biliniyor,scripti üreten firmalar mutlaka ya installation guide’larında yada FAQ sayfalarında MS Access databaselerinin tercih edilmemesi gerektiğini belirtiyordu. Bu yüzden bu amacıma ulaşmam için bazen bu scriptlerin online demo yönetim sitelerindeki konfigurasyon panelleri yardımcı oldu, bazen indirmiş olduğum installation and administration guide’lar yardımcı oldu bazen ise üşenmeden Vista’da kurmuş olduğum IIS üzerinde çalıştırdığım bu scriptlerin demo sürümleri yardımcı oldu. Sonuç olarak Asp ile yazılmış olan birkaç alışveriş scriptinin default kurulum pathlerini ve isimlerini ele geçirmiş oldum. Peki bunları nereden bulacağım,tahmin edebileceğiniz üzere bu konudaki uzmanımız google oldu. Inurl: parametresi ile alışveriş scriptinin kendine özel dosya ve parametre isimlerinden oluşan bir arama sorgusu yarattım. (Ör: “inurl:xmall/shopcat.asp?proid=4”) bu parametre ile çıkan sonuçlar bana bu alışveriş scriptinin kullanılmış olduğu siteleri listeledi. Tek yapmam gereken elimde bulunan default database dizinlerini bu sitelerin url’lerinde denemekti. Birkaç sayfa denedikten sonra birkaç database download edebildim,fakat tercih etmiş olduğum alışveriş scriptinin database’deki bilgilerden anladığım üzere pek güncel olmadığını tespit ettim.

• Mutasyon Geçirmiş Alış-Veriş Scripti:

Başka bir alışveriş scriptinde de benzer şeyi denedim karşıma çıkan  sonuç yine aynıydı. Aslında biraz umutsuzluğa kapıldım. Fakat ufak bir hata yaptığımın farkına vardım. 2009 senesinde alışveriş scriptlerinin yapısını gözettiğimde kullanılan diller ağırlık olarak asp.net ve jsp gibi daha güvenli dillerdi. Yani asp ve php bu dillere göre biraz daha eski ve güvensizdi. Bu yüzden bu diller içinde MS Access database’ine en çok destek veren dilde benzer taratmayı yaptım o da asp.net’di. Hotscripts.com’da yaptığım asp.net e-commerce scriptlerinde çok daha güncel ve tercih edilen scriptler vardı. Yine benzer yollarla MS Access kullananları ve default database pathlerini tespit ettim, google yardımı ile yaptığım aramada birçok alışveriş sitesi tespit ettim,yaptığım denemelerde de birçok MS Access database’i indirdim. Bunlar tahmin edebileceğiniz üzere daha güncel bilgiler içeriyor.

• Caydırıcı Bir Engel mi?

Fakat en çok veritabanı indirebildiğim alışveriş scriptinde bir hacker için moral bozucu bir engel çıktı. Database’i açtığımda administrator şifreleri,user şifreleri ve kredi kartı numaraları encrypt edilmişti. Bu konuda biraz kafamı yordum,araştırma yaptım ve hiç kafamın basmadığı encryption konularında bu encryption’ı çözümlemek için birşeyler buldum. Yaptığım araştırmada bulduğum üzere encryption mantığı RC4’du yani bir key olmalıydı. Zaten tek yönlü bir encryption olmasının mantığı yoktu çünkü scriptin bu bilgileri tekrar günyüzüne okunabilir bir şeye çevirmesi gerekiyordu. Installation guide’lar ile yaptığım araştırma sonucu bu key’in scripti kuran kişi tarafından konfigurasyon menusu altında bulunduğu, ilk aşamada girdiğiniz administrator password'den oluşturulan fakat isterseniz manuel olarakta değiştirebileceğiniz bir şifre olduğunu buldum. Sonra aklıma gelen bu key’in daha sonradanda kullanılması gerektiği için cleartext olarak bir yerde tutulması gerektiği oldu ve kullanıcı tarafından değiştirilecek bir bilgi olduğu için bir asp dosyası içinde bulunması ihtimali zayıf geldi. Bu yüzden bu bilgi database’in içinde temiz bir şekilde bulunmalıydı. Database’in konfigurasyon ile ilgili tablolarını incelediğimde biraz aşağıda “Key for RC4 Encryption” açıklamasıyla yer alan sayı ve harflerden oluşan 32 karakterlik bir veri oldu. Şimdi bu demek oluyorki elimdeki her database’in encryption key’i mevcut. Fakat elimdeki verileri nasıl decrypt edebilirdim. Yine installation guide’lardan yardım aldı ve diyordu ki “ Offline ödeme şekli ile bir ödeme yapılmışsa ve daha sonradan mail order işlemi için kredi kartı numarasına ihtiyacınız olursa,ödeme bilgileri sayfasında o ödeme ilgili yer alan detaylarda kredi kartını encrypted olarak bulabilirsiniz,bu encrypted veriyi clear text olarak görmek için yönetici panelinin diğer işlemler sayfasında Decryption sayfasına gidin ve encrypted olan kredi kartı numarasını yazın ve decrypte tıklayın.” Gerçektende de dediği doğruydu bu anlatılana göre elimizdeki encrypt olan kredi kartı numarasını bahsi geçen decrypt sayfasındaki alana yazdıktan sonra bu form benim verdiğim decrypt olan numarayı ayarlar sayfasındaki encryption key ile decrypt ediyor. Sonuç olarak bana cleartext bilgi dönüyor.

Peki güzel ama ben bu işlemi nasıl yapacaktım. Aslında bu konuda kara kara düşünürken aklıma şu geldi. Eğer bu scriptin demosunu indirip kendi sistemime kurarsam ve encryption key kısımlarına elimde bulunan databaselerdeki key’leri girersem o key’in ait olduğu database’deki tüm şifreli verileri görebilirdim. Hemen işe koyuldum,scripti indirdim birkaç ufak uyumluluk problemini hallettim basit bir wizard ile script kurulumunu yaptım ve denemeye geçtim. Sonuç tahmin üzere başarılıydı. Evet güzel ve başarılı bir deneme oldu.

• Sepetim Doldu:

Bu yaptığım işler sonucunda bir sürü mail adresi,username ve şifre ve daha önemlisi kredi kartı bilgileri oldu. Tabii ki bu bilgileri tespit ettikten sonra kullanılmamak üzere sildim fakat bu yöntem gördüğünüz üzere çok zor olan birşey değil sadece pek güncel olmadığı için bu black-hatler tarafından ilgi çekmiyor.

• Hikayenin Sonu:

Şimdi hikayemizin son kısmında alışveriş sistemleri için birkaç ufak güvenlik önlemi önereceğim.

• IIS 7’ye terfi; Yaptığım araştırmalarda database pathini doğru tahmin edebilsem bile IIS 7 karşıma bu dosyaları indiremeyeceğim ve okuyamayacağım bilgisini çıkardı.Bu sistem II6’da mevcut fakat özel konfigurasyon gerektiriyor fakat IIS 7’de default olarak geliyor.
• Directory Listing; Directory listing özelliğini tüm dizinlerde deaktif etmek yapılması gereken doğru bir davranış, fakat database klasörünün directory listing özelliğini deaktif etmek o dizinde database olduğu yolunda ipuçları verir. Bunun yerine sunucunuz üzerinde içi boş olan data,database,db yada kullandığınız alışveriş scriptininde default’unda kullanan klasörler yaratarak bunlarıda deaktif ederseniz ve database’inizi wwwroot altında yani public olmayan bir dizinde tutarsanız black-hat kişimizin oldukça kafasını karıştıracaktır.
• Access dosyasını şifreleyin; Kırılması çok kolay olmasına rağmen kullanacağınız bir Access şifresi birçok lamerı vazgeçirebilir.
• Encryption; Kullandığınız alışveriş scriptinin mutlaka bir encryption ile önemli bilgileri gizlediğinden emin olun ve bu encryption’ın key’in veritabanınıda tutulmamasını tercih edin :D .
• Easter-Egg; Black-Hatlere ufak süprizler hazırlayın, mesala alışveriş scriptinin default path bilgilerinde aynı default isimle sitenizin scriptinin boş olan bir database barındırın. Bunu ele geçiren bir black-hat sitenizde iş yapılmadığını yada henüz yapılmadığını düşünecektir ve başka yerlere yönelecektir.
• Payment Gateway; Kesinlikle ve kesinlikle offline payment tercih etmeyin, offline payment ile sitenizden alışveriş yapan kişilerin kart bilgileri database’inizde kayıtlanır ve tehlike arz eder. Bunun yerine real-time processing yapan payment gatewayler tercih edin. Tercihinizi ülkemizde bulunan bankaların sanal pos gatewayleri ile yada paypal gibi dış bağlantılarla yapmanız işinizi çok güvenli hale getirir.
• Mümkünse MS Access kullanmayın; Evet çok pratik,kurulumu ve yönetimi çok kolay fakat MS Access database’i yerine SQL sunucuları tercih edin ve kurulumunu siz yapamıyorsanız profesyonel ellere bırakın.Şifre tercihlerini asla default olarak bırakmayın. Biliyorsunuzki MS Access database’lerinde yaşanan bu public download işleminin benzeri SQL sunucular için basit yada default şifreler ile remote connectionlar ile yapılıyor.

Evet son kısmı birazcık “güvenli alışveriş scripti kurma kitabı” gibi oldu ama bu adımları uygulamanız güvenlik için oldukça caydırıcı,tabii ki daha ciddi projelerde çok daha fazla önemli güvenlik detayı ve bileşeni yer alıyor fakat Access tercih edecek kişilerin bu kadarına dikkat etmesi yeterli olur diye düşünüyorum. Son 3-5 günde yaşadığım tecrübeler bunlardan ibaret umarım bu yazıdan sonra Access database’lerine saldırılar artmaz :)

Uzun süredir yoğunluk nedeniyle ne Mesut ne de ben siteye bir ekleme yapamadık ve maalesef bir süre daha bu yoğunluk sürecek gibi. Fakat arayı fazla kaçırmamak için önemli bir ürün release'ini sizlere duyurmak istedim. Aslında ürün basın tanıtımı 4 Nisan fakat bu tür bir ürün için Websense' in uzun süredir AR-GE çalışmalarında bulunduğu kulağımıza geliyordu. Benim de kişisel olarak uzun süredir beklediğim bir üründü Websense'ten,malum Websense Web Filter pazarında lider durumda. Ürün konfigurasyon sıkıntılarına ve performans problemlerine kolaylık sağlayacak. Fakat donanım olarak seçilen sunucu konfigurasyonu çok üst seviyelerde tutulduğundan dolayı fiyat anlamında pek ucuz bir çözüm olacağını düşünmüyorum.

Ancak kişisel görüşüm Websense' in kur-unut teknolojisi ile bu donanımın mükemmel uyum sağlayacağı ve bu bedele değeceği yönünde. Yönetim kısmında yada ürün içeriğinde Websense 7 versiyonundan bir farklılık yok.

Son olarak daha fazla bilgi için Websense' e başvurabilirsiniz

Dünyanın en meşhur ve gerçekten iyi iş yapan UTM Gateway'lerinden birisi olan Astaro Security Gateway' in yeni versiyonu olan 7.4 çok yakında piyasaya sürülüyor. Yeni özellikleri tanıtmak için Astaro 24 Mart Salı günü saat 15:00' te bir Webinar düzenliyor. Gelen tanıtımda yeni özelliklerden ipuçları şu şekilde;

• HTTPS Filter
• WAN Link Balancing
• Site-to-Site SSL VPN

30 Dakika sürecek olan Webinar'a Astaro'dan Angelo Comazzetto sunacak.

Webinar'a ücretsiz kayıt yaptırmak için tıklayınız.

Uzun süredir Juniper ile ilgili bir döküman yazmamıştım, aslında yine öyle çok bir emek sarf ettiğimi söyleyemem :) Daha önceden destek verdiğim bir firmada kurmuş olduğumuz Juniper Netscreen VPN yapısı için firma çalışanlarına kolaylık olması amacıyla, Netscreen Remote adım adım kurulumu ve policy dosyasının yüklenip bağlantı kurulmasına kadar olan aşamaları anlattığım bir yazının sizler için güncellenmiş versiyonu. Ekran görüntüleri Remote 8.7 versiyonuna göre düzenlenmiş şu anda hangi versiyon kullanıldığı konusunda da pek emin değilim açıkçası fakat çok fazla bir değişiklik olduğunu sanmıyorum.

Hazır bu konuyada değinmişken bu konuya yabancı olan ziyaretçilerimiz için kabaca vpn tanımını yapayım. Aslında tanımı çokta karışık olmamasına rağmen sürekli sorun çıkartan ve uyumsuzluk sorunları yaşatan bir yapı vpn. Basitçe iki farklı ip subnet' ini güvenli bir şekilde aynı subnet üzerinde toplamaya ve kaynakları local network üzerindeymiş gibi kullanmaya yarar. Örnek verecek olursak merkez lokasyonunda Windows Domain yapısında bulunan bir Exchange servera uzak lokasyonda bulunan ve adsl üzerinden internete çıkan bir kullanıcı Outlook ile bağlanmak ve maillerini almak ister, Outlook Web Access yada diğer mail protokolleri ile de bunu yapmak mümkün olmasına rağmen daha fazla entegrasyon için domain yapısında bulunmak daha yararlıdır bu yüzden arada bir vpn tüneli kurulur ve uzak kullanıcı internet aracılığı ile vpn tünelinden geçip merkez networküne bağlanır ve oranın subnet'inden bir ip adresi alıp sanki merkez lokasyonunda çalışıyormuş gibi maillerini alır. Böyle bir yapı sayesinde merkez lokasyonundaki network paylaşımları ve diğer kaynaklarada rahatça erişebilir. En basit tanımı ile vpn bu şekilde anlatılır sanırım, tabi bunun dışında birçok karışık yapı için birçok değişik vpn mantığı ve değişik protokoller şifrelemeler mevcut.

Şimdi gelelim Juniper Netscreen firewall modellerinde yapılandırılan vpn konfigurasyonunu client tarafına uygulamak. Umarım yakın zamanda Netscreen firewall tarafında merkez vpn yapılandırmasınıda anlatmaya fırsat yaratırım.

Bu arada maalesef ki Juniper Netscreen Remote Vpn Client ücretli bir yazılım yada almış olduğunu Netscreen firewall ile pack halinde gelen bir ürün.

 

1.Aslında ilk kurulum aşamaları gayet basit herhangi bir program kuruyormuş gibi Installshield paketimizi çalıştırıyoruz. İlk gelen Welcome penceresinde ok ile gösterildiği üzere Next butonuna tıklayıp ilerliyoruz.

 

2.İkinci adımda karşımıza Juniper' ın hazırlamış olduğu bir lisans anlaşması geliyor. Bu pencereyide Yes butonuna basıp kabul ederek geçiyoruz.

3.Üçüncü adımda karşımıza kurulum modu seçenekleri ve Netscreen Remote dosyalarının nereye açılacağı ile ilgili bir pencere geliyor, kurulum aşamasında çok fazla bir detay yer almadığı için Typical seçeneği işaretli iken nereye kurulum yapacağımızda Browse butonu ile belirttikten sonra Next butonu ile sonraki aşamaya geçebiliriz.

4.Kurulumdan önceki bu son aşamada bu zamana kadar yaptığımız ayarların özetini görüyoruz.Next butonu ile devam ettiğimizde kurulum başlamış olacak.

5.Kurulum işlemi 5 dakikadan fazla sürebilir bu kurulum dosyalarını atarken birkaç kez siyah pencere çıkması normaldir.

6.Dosyaları kopyalama işlemi bittikten sonra son aşamada network bağlantılarınıza ve yapılandırmanıza vpn bağlantılarını tanımlar.

7.Kurulum bittikten sonra bilgisayarınızı mutlaka yeniden başlatınız,Bilgisayarınız tekrar başladıktan sonra aşağıda gördüğünüz üzere Netscreen Remote logosu saatin yanına yerleşecek. Üzerinde görmüş olduğunuz kırmızı nokta bağlantının olmadığını gösterir.

8.Bu aşamadan itibaren elimizde olan policy konfigurasyon dosyasını Netscreen remote vpn yazılımına yükleyeceğiz. Bunun için Netscreen logomuza sağ tuşa basıyoruz,ekrandaki gibi bir menu karşımıza çıkıyor,menunun en üstünde Security Policy Editor butonuna tıklayarak,Netscreen Remote' un ana penceresine ulaşıyoruz.

9.Gördüğünüz üzere çokta karışık olmayan bir ana penceresi var,klasik windows kontrollerinde olduğu üzere File menusune tıklıyoruz ve altında açılan listede Import Security Policy'e tıklıyoruz ve bir dosya açma dialoğu penceresi beliriyor. Burada daha önceden oluşturmuş olduğumuz policy dosyasını kayıtlı yerinden seçiyoruz ve Open' a tıklıyoruz(İki kere tıklamamızda da bir sakınca yok.).

 

10. Bu işlemden sonra size bir onay soru soracak,altındaki seçenek ise işaretli olduğunda ise daha önce import etmiş olduğunuz policyleri siler ve en son seçmiş olduğumuzu ekler. Eğer önceden yüklemiş olduğumuz bir policy dosyamız yoksa bu şekilde bırakıp onaylıyoruz.

11.Bu aşamadan sonra arka tarafta dosyasımız import edilmiş şekilde görülecektir ve ekranın önünde dosyanın yüklendiğini onaylayan bir mesaj göreceksiniz. Bu işlemden sonra Netscreen Remote bağlanmaya hazır hale gelecektir.

12.Ekranda görüldüğü üzere Netscreen remote ikonu üzerinde sağ tuşa basıyoruz ve Connect menusu üzerinde biraz beklediğimizde az önce eklemiş olduğumuz bağlantı ismini burada görmüş oluyoruz. Bu bağlantıya tıkladığımızda eğer bağlantılarımızda ve konfigurasyonumuzda bir sorun yok ise kısa süre içinde Successfully Connected mesajını göreceksiniz, bu aşamadan sonra merkez ofisinizden sanki oradaymış gibi faydalanabilirsiniz.

 

13.İşlemlerinizi tamamladıktan sonra bağlantıyı kesmek için yine Netscreen Remote ikonu üzerinde sağ tuşa basıp Disconnect butonunu tıklamanız yeterlidir.

 

Yazının başında da biraz değindiğim üzere VPN olayı sıkıntılı ve çok sorun yaratan yapılardır. Ağınızın yapısına ve ihtiyaçlarınıza göre uydurmak için birçok takla atmanız gerekir ve sonunda çıkan sorunları çözmeniz için uzun zamanlar harcayabilirsiniz. Çok yakında Netscreen firewall tarafında host vpn yapılandırmamızı açıklayan ve remote office'mizde bunun karşılığı gelen client ayarlarınızı tanımlamayı anlatacağım.

Aslında iyice sıkıldığım, bunaldığım ve yapmak istemediğim bir olay yeni ürün tanıtımı. Her ne kadar güvenlik dünyasında yeni ürünleri tanıtmak ilginizi çeksede biraz reklam koktuğu için pek haz almıyorum bundan.Yeni teknoloji haberleri yeni anlatımlar daha yararlı gibi sanki. Fakat Check Point yine benim elimi kolumu bağlayarak bu haberi vermeye zorladı. Aslında çokta pişman değilim çünkü yeni bir ürün olmasına rağmen sevindirici bir tarafta yepyeni bir teknolojide içeriyor.

Bundan 5-6 sene önce daha güvenlik sektörünün başında network,storage ve server kariyerimin zirvelerinde olduğum yıllarda Blade Server denen teknolji ile tanıştım ve çok etkilendim. O zamanlar ilk IBM' in icadı olduğunu öğrendiğim Blade Server teknolojisini bir HP fanı olarak reddettim ve HP Blade'lerini araştırmıştım. O zamanlar sunucu sektöründeki tüm uzmanlar Blade teknolojisinin geleceğin teknolojisi olduğunu o yıllarda bankalar,büyük datacenter'ların hepsinin Blade teknolojisine geçileceği konuşuluyordu ve çalıştığım kurum dahil herkes elemanlarını blade konusunda yetiştiriyor eğitimlere gönderiyordu. Nitekim çok geçmeden birkaç banka bu blade teknolojisi ile altyapısını yeniledi fakat çok geçmeden Blade'i alt üst eden bir teknoloji çıktı ki onun da adı Virtualization oldu.

Blade teknolojisi kısaca elektrik,yer ve kablo konsolidasyonunda büyük faydalar sağlayan, ölçü olarak kabaca bir tower kasa yüksekliğinde, iki tower kasa genişliğinde olan ve içlerine performanslarına göre 1U' dan daha küçük ince "jilet" (blade) server yapılarına denir.

Günümüze geldiğimizde kendisinden çok şeyler beklenen Blade teknolojisi maalesef Virtualization'ın erken popülerliğinden dolayı sınıfta kaldı ve şu anda çok özel projelerde tercih ediliyor.

Aslında 24 Şubat'ta Check Point' in duyurduğu bu şaşırtıcı teknoloji Blade'leri tekrar aklımıza getirdi. Ürün ailesinin adı "Check Point Software Blade Architecture" . Mantığıda oldukça etkileyici ve yenilikçi. Aşağıda gördüğünüz üzere Check Point kendileri adına güvenlik olayında geldikleri miladlar için bir timeline oluşturmuşlar.

 

 

 

 

 

 

 

Mantık olarak Blade Server teknolojisi ile yakın bir sistem kurmuşlar, boş bir blade kabini hayal edin. İçine Firewall,VPN,IPS,Url Filter,Anti-Virus&Anti-Malware,Anti-Spam&Email Security vb. güvenlik modüllerini ve Check Point Managment modüllerinden istedikleriniz ekleyin. Daha sonra bunları konfigure edin ve bu oluşturduğunuz blade yapısını sistem üzerine deploy edin. Deploy işlemlerini isterseniz Check Point UTM-1 yada Power-1 Appliance'larınıza isterseniz herhangi bir sunucu üzerine yapabilirsiniz.

Aslında bu yapısıyla Crossbeam X Serilerini bize hatırlatıyor,bildiğiniz gibi Crossbeam X serileride Blade teknolojisi ile çalışıyor fakat bildiğimiz hardware yapılarıyla. Crossbeam X kasalarının içine takılan blade serverlardan her biri bir güvenlik ürünü,bu ürünlerden anlaşmalı olanları arasında Check Point, Websense ve Trend Micro ürünleride mevcut.

 

 

Software Blade modülleri iki kısımdan oluşuyor bunlardan bir grup "Security Gateway Software Blades" diğeri ise "Security Management Software Blades".

Ayrıca Check Point bu software blade'leri üzerine yerleştirmek için sanal olarak 8 adet değişik Core yapısı oluşturmuş. Bu Core'lar sadece firma alt yapınızın büyüklüğüne ve küçüklüğüne göre optimize ediliyor yani  Core 1 kullanırsanız küçük alt yapılı sınırlı kullanıcı şirketler için 8. Core ise çok geniş networkler için.

Security Gateway Software Blades

 

Security Management Software Blades

 

 

 

 

Peki bu software blade teknolojisi bize neler sağlar derseniz Check Point bunlar için birkaç madde sıralamış bile;

• Flexibility: Yani firmanızın ölçeğine göre yapısındaki değişiklilere göre tam anlamıyla esneklik ve güncellenebilirlik sağlar.
• Manageability: Tam anlamıyla tek noktadan basit yönetilebilirlik. Tüm software blade yapısının tek bir noktadan yönetilmesini sağlar.
• Total Security: Üzerine esnek olarak ekleyebildiğiniz güvenlik modülleri ile tam anlamıyla bir güvenlik sağlar.
• Lower TCO: İstediğiniz güvenliğe çok daha az maliyetle sahip olabilirsiniz,artık Check Point'in her modülünü bir sunucuya kurma derdiniz kalmaz.
• Guaranteed Performance: Check Point Software Blade'lerinin performansının aksamayacağı konusunda size garanti veriyor.

Sahip olacağınız yeni özelliklerden biriside R70(Relase 7.0) versiyonu ile tam anlamıyla entegre gelmesi olacak.

Son söz olarak açıkçası beni çok heyecanlandıran ve bir an önce denemelerini yapmak istediğim bir teknoloji. Sanırım askerlik görevi sonrası deneyeceğim ilk demolardan birisi bu olacak. Konuyla ilgili detaylı bilgilere aşağıdaki linkten erişebilirsiniz.

Check Point Software Blade Architecture Overview

Rastgele sayı üretmek çok önemli bir konu ve bunu adam akıllı yapmak kolay değil. AntiCSurf projesinde random sayı üretmem gerekti ve bu konularda pek bilgim yoktu. Basitçe PHP manuelindeki şu uniqid örneğini aldım:

<?php 
// no prefix 
// works only in PHP 5 and later versions 
$token = md5(uniqid());  
// better, difficult to guess 
$better_token = md5(uniqid(rand(), true)); 
?> 

Bu örnekteki better_token'in üretilişi ile ile bizim token üretimimiz aynı. Uniqid fonksiyonu basitçe zamanı veriyor ve rand() ile sonuna ekstra entropi ekleniyor. Tabi aslına bakarsanız iki metod da kritik uygumalarda rastgele sayı üretmek için hayli yetersiz. Birisi zaten random değil, zamanı veriyor. Diğeri ise kullanılan kumar sitelerini batıran ve randomluk ile uzaktan yakından ilgisi olmayan, meşhur rand() fonksiyonu.

İleriki versiyonlarında daha verimli bir rastgele sayı üretme mekanizması kullanacağım, ama tüm bu dezavantajlarına rağmen pratik şekilde kırılabilir de değil.

Bunun dışında, Güneş dostumuz hardware tabanlı rastgele sayı üreten bir proje geliştirmiş. İlgili kaynak kodları ve devre çizimlerine buradan ulaşabilirsiniz.

CSRF, Cross-Site Request Forgery (aka SeaSurf), web uygulamalarındaki çeşitli fonksiyonalitelerin mağdur kullanıcının bilgisi dahilinde olmadan, onun hak ve yetkileri ile saldırganlarca kullanılmasıdır.

CSRF hakkında çok geç kalmış bir döküman yazıp Web Güvenlik Topluluğu altında yayınladım. Hazır dökümanı karalamışken, token işlemleri için ufak bir PHP kütüphanesi yazayım dedim, onun da proje sayfasına şuradan erişebilirsiniz.

RMI aslında yeni bir teknoloji değil, fakat garip şekilde konu ile ilgili güvenlik zafiyetleri pek dökümante edilmemiş ve dolayısıyla ortada RMI güvenliği ile ilgili bir dikkate değer araç da yok (ya da ben bilmiyorum)

RSS'i kurcalarken, Matasano Chargen blogunda Ruby for Pen-Testers isimli yazısında; OWASP NYC AppSec 2008'de RMI ile ilgili bir sunum olduğunu gördüm, videosuna şuradan ulaşabilirsiniz. Bir metodoloji eşliğinde ne şekilde RMI servislerine saldırılabileceğini anlatıyor, fakat prezentasyonlar etrafta yok, sunumda kullandığı saldırı tool'ları da aynı şekilde.

Benim kaçırdığım bildiğiniz konu ile ilgili başka kaynaklar da var mıdır ?

//Update
RMI servisleri ve registry'lerinden bilgi extract etmek için rmiInfo isminde bir araç varmış, atlamışız. Ekleme için Ferruh'a teşekkürler.

Selamlar; aslında olayın üzerinden zaman geçti, lakin ancak bir şeyler yazacak zamanı bulabildim. Biliyorsunuz PHPBB.com hacklendi. Bu saldırıyı diğerlerinden farklı kılan ise saldırganın tüm detayları ve elde ettiği bilgileri blogspot üzerinden açtığı bir blogda yayınlaması oldu. Düşünün hackleniyorsunuz, cümle aleme madara durumdasınız, üzerine tüm konfigürasyonunuz, problemleriniz, üyelerinizin emailleri, hashleri internette yayınlanıyor.

Olayın teknik tarafından bahsetmek gerekirse; kısaca adamımız Yerel Dosya Ekleme (LFI) zafiyeti buluyor, avatarı sayesinde kafasına göre kod çalıştırıyor ve anlı şanlı PHPBB.com server'i çay bahçesine dönüyor. (Salak bir not, SecureImage ile resim görünen malicious dosyaların gerçek yüzü ortaya çıkartılabilir , benzer bir atak senaryosuna Grafik Manipülasyonu Saldırıları 'nda değinmiştim. Daha önce anlattığım bir atağın kullanıldığı bir saldırı'yı görmenin dayanılmaz hafifliğini ve aynı ölçüdeki yüzeyselliğin hissediyorum)

Şimdi atağı birazcık irdeleyelim.

• Olay kısaca PHPBB.com sitesinin phpList isimli yazılımı kullanmalarından başlıyor. Basitçe bu yazılım bir Local File Inclusion zafiyeti içeriyor.
• Local File Inclusion zafiyetinden faydalanan saldırgan sistemdeki kritik bilgiler içeren dosyaların içeriğini görebiliyor. Veritabanı isimleri, parolaları gibi, ve tamamen şifrelenmemiş şekilde diskte tutuluyormuş.
• Olay Local File Inclusion'a döndüğü için, exploitation yapabilmek için teme olarak iki yol vardır:
  • Web sunucunun hata kayıtları (error loglar)
    
  • Sunucuya bir şekilde dosya upload edebilmek
• Saldırıda birinci metod işe yaramıyor, fakat avatarlar itibariyle dosya upload etmek mümkün. Ve avatarların herhangi bir yerinde bir Local File Inclusion saldırısında kullanılacak kodları temizlemesi ya da kabul etmemesi durumu mevcut değil.
• Saldırgan avatar upload ediyor  ve avatarların tutulduğu yer community/images/avatars/upload/ klasörü altında, isimlendirme olarak da hash_id yapısı kullanılmış.
• Local File Inclusion ile istediği kodu çalıştırıp, db dump'ını almış ve internette yayınlamış.

Aslında saldırıyı arkadaşımız blogundan çok daha detaylı şekilde açıklamış, aşama aşama anlatmış. Gördüğünüz üzere atak çok komplike bir saldırı değil, basit bir Local File Inclusion, yeterince harden edilmemiş bir web sunucu ve sonuç ortada.


Burada üzerinde durulması gereken konu ise Local File Inclusion'a izin veren vulnerable kod parçası, kodun önemli kısmı şu şekilde :

if (!ini_get("register_globals") || ini_get("register_globals") == "off") 
{
  # fix register globals, for now, should be phased out gradually
  # sure, this gets around the entire reason that regLANGUAGE_SWITCHister globals
  # should be off, but going through three years of code takes a long time....

  foreach ($_REQUEST as $key => $val) {
    $$key = $val;
  }
}

Burada da görüldüğü üzere, register_globals etkin değil ise basitçe QueryString deki ismi ile değişkene ulaşmak isteyen bir developer, bilmeden diğer global array (SERVER, ENV) 'lerin değişkenlerine zarar verilebilir bir yapı kurmuş. $_SERVER["ConfigFile"] içine yapılan bir inclusion ile de kod çalıştırmak mümkün hale gelmiş.

Bu örnek üzerinden PHP'nin ne kadar hataya meyilli bir dil olduğu gerçeğini tekrar hatırlayabiliriz, kullanılsa da kullanılmasa da problem yaratan bir register_globals var ortada. Bir de saldırgan, ve OWNED bir web sunucu.

Buradan yapılabilecek çıkarımlar :

1. PHP kolayca hata yapılabilecek bir web programlama dilidir.
2. Artık bir yeri hackleyip, aynı isimle açılacak bir blogla bunu duyurmak moda haline gelmiştir, iyi tanıtım sağlar.
3. Derinlemesine defans pozisyon vermeden maçı bitirmenizi değil, rakibin sağlı sollu ataklarında birinin durmadan ters kademelere girmesi, olmadı çizgiden top çıkarması anlamındadır, hayat kurtarıcıdır. Aksi takdirde bu örneklere konu olunabilir.
   
4. Bu yazıyı okurken hayatınızın 10 dakikasını daha yitirdiniz, şimdi mi hatırlatıyorsun dinleyere selam eder, iyi geceler dilerim.

Konu ile ilgili ekstra geyikler için :
Nerede PHP ve güvenlik varsa, oralardan eksik olmayan sayın Stefan Esser'ın konuyu irdelemesi
Saldırgan arkadaşın blogu ve tüm detaylar
PHPBB.com Açıklaması, ıvır, zıvır.

Friendfeed'den de yazmıştım, ama bloga da not düşelim. HITB videoları torrent'lerde hazır. Download edilebilir.

Torrent day 1
Torrent day 2

Bunun dışında slide'lara da şuradan erişebilirsiniz.