After the grown of bandwidths, number of web sites, number of computer connected to net in short internet some type of mass attacks is started being frequently. The last mass attack wave is based on SQL Injection again. I think many of you are getting bored when hear about this notorious child of web application security / insecurity again and again.

With the adding some malicious javascript code to the vulnerable web site, they are scanning the users generally for new exploits on working MS Windows systems. If there is a vulnerable computer visits this web sites, it will be adding the zombie array of attacker quickly.

The details of new wave can be read from Secure4All blog.

Burp suite is a succesfull MITM proxy and has some attacking tools in it. It has both of a free and commercial version. I am using the free version of it on penetration testing sessions.

Maybe you know that, this month is the month of Burp and the Burp blog is releasing a feature of it everyday. According to the blog , there will be major enhancements and some new tools in the Burp suite.

Yesterday, they have talked about the drawbacks of commercial web application scanners and also talked about a free one. Today released a blog about their web app scanner but it'll be available in only commercial version of Burp. I am very disappointed about this issue. We'll go with the free version's enhancements and maybe new free components

There is a populer principle at software security : No security at client side.

You know that everything is stored and running at your computer is open for reverse engineering techniques and some other issues. Because of that reason, you can find every software's from populer computer games to operating systems cracked editions on the internet. The software companies can not manage the security of their softwares when it is working at your computer.

Because of that general reverse engineering theories, the whole online games which have some portion of code that working at the client side are suspectable cheating by reverse engineering or some other issues. For example, you can modify the traffic with a simple MITM proxy like WebScarab, Paros or Burp between game portion that working at your computer to game server and increase your points on-the-fly !

Sure, you have always validate user input before accepting it. The classical attacks such as XSS, SQL Injection, Buffer Overflow or some type of Command Injection attacks can easily be removed with some stupid input validation techniques or white-listing methods. But how can you distinguish the manipulated data from the data that hasn't any modification by the cheater ? For the logical flows, the manipulated data contains game info will look normally. No special pattern in it.

I'll give some detailed and real-life examples to address and explain the issue more deeply later.

Şu güne kadar çok fantastik port taramaları yapmadım ve genelde nmap işimi fazlasıyla gördü. Bugün bir şekilde bu tekniği duydum.

Web uygulaması güvenliği çok daha değişken ve dinamik içeriğe sahip olduğu için böyle başlıklar duyunca şaşırmıyorum da, ağ güvenliği kavramları biraz daha standart şeyler ve acaba ortaya yeni bir şey mi koyuluyor diye merak edip inceledim.

Olayın dinamik kısmı ARP spoofing yaparak tarama yapmasıymış ki ARP spoofing yeni bir şey değil, port taramak ta! Kısacası lokalde tarama yaparken kullanışlı olabilir, gerçi ne kadar spoofed olursa olsun, %100 spoofing her zaman imkansız!

Ama yine de işe yarayacağı durumlar olabilir ve benim gibi merak edenler muhakkak olacaktır.  Teorinin PoC aracına şu adresten, makaleye ise bu adresten erişebilir

Eminim hemen herkes WEP’in güvensiz olduğunu biliyordur. WPA ‘da WEP’in hakim olduğu güvensiz alanı mümkün olan en hızlı şekilde güvenli sınırlara çekilebilmesi amacıyla yaratıldı.

WEP çalıştıran her donanım WPA’ye donanımsal bir takviye gerekmeden upgrade edilebilmesi gerekiyordu ki kimse WEP kullanmak zorunda kalmasın. Uzun lafın kısası WPA geliştirildi, WEP’in üzerine yazılımsal bir iki ekleme / modifikasyon içeriyor ve bizi güvenli kılıyordu.

WPA ile ilgili bir iki ufak güvenlik problemi olduğu bilinse de deterministik bir atak vektörü henüz bulunamamıştı. İki araştırmacı, 15 dk. gibi bir sürede TKIP mekanizmasının kırılabildiğini iddia ettiler.

Dikkat çekici nokta ise atağın “mathematical breakthrough” olarak tanımlanması. Bu kısaca şu anlama geliyor, 2+3 nasıl her zaman 5’e eşitse, ilgili protokoldeki bir problemden dolayı WPA her zaman kırılabilir bir yapıya sahip.

Daha derinine inmek gerekirse, şu an bütün kablosuz modemlerin WEP/WPA desteği var. Fakat hepsinin, bahsettiğim donanımsal yeterlilikten ötürü WPA2 desteği yok. Bundan dolayı ilgili atak açıklandıktan sonra, piyasadaki modemlerin bir çoğunu kırabiliyor hale geleceğiz.

Tahmin ettiğiniz üzere zafiyet ile ilgili pek bir bilgi yok, araştırmacı arkadaşlar haftaya Pacsec konferansında ayrıntıları açıklayacaklarmış. Detayları blogdan paylaşırız.

Bir süredir neler yaptım, bir toparlayıp yazayım dedim.

Blogu Toparladım

Bir süredir blogda bazı problemler vardı, muhakkak dek gelenler olmuştur. Blog yazılımı olarak Pebble kullanıyoruz ve tamamen Java ile yazılmış. Ben de teknolojiye hakim olmadığım için, bu tip problemler çokça zaman alabiliyor.

Ne dersiniz, kendi blogumuzu yazmanın zamanı gelip de geçmiyor mu ?

İnternette Sosyalleştim

FriendFeed, LinkedIn, slideshare,flickr,librarything, twitter hesaplarımı açtım. Burayı takip eden arkadaşlar, muhtemelen FriendFeed üzerinden paylaştığım makaleler vs ile de ilgilenecektir.

 

Doğuş Üniversitesi’ne Gittim

Doğuş Üniversitesinde , web uygulaması güvenliği konusunda nasıl uzmanlaşma temalı bir sunum yaptım. Sunuma şuradan, fotoğraflara buradan ulaşılabilir. 
Sunumun ardından bir de demo yapacaktım, lakin projüktörü laptop’a bağlamayınca demo yalan oldu, sanırım yanımda bir çeşit çevirici taşımam gerekecek.

Kitabi Mevzuular

Bir arkadaşın önerisiyle Safari hesabımı açtırdım. Gayet de memnun kaldım, 20 $ gibi bir ücrete, aylık 10 kitaba erişebiliyorsunuz. Tek problem, web uygulaması güvenliği kitaplarının hemen hepsi bulunmuyor fakat genel itibariyle gayet geniş bir kitap arşivi mevcut.

Safari hesabımı açtırdıktan sonra öğrendim ki, üniversiteler öğrencilerine sınırsız Safari erişimi zaten sağlıyormuş, yani boşu boşuna masraf yapmış bulundum, ama çok da önemli değil.

Şu günlerde Web Application Hackers Handbook’u okuyorum. Bitince blogda detaylı olarak değineceğim.

 

 Kitap Aralık 2007 gibi çıktı. Yazarları Ajax güvenliği dünyasının en tanıdık isimlerinden Bill Hoffman ve Bryan Sullivan. Kısacası içerik itibariyle 2008’in ilk yarısındanın en trendy web uygulaması güvenliği kitabı.

Ben biraz geç kalarak haziranda kitabı okumaya başladım, ilk 7-8 chapter’ı bir haftada bitirdim.

Kitaba başlarken bayağı gaza gelmiş şekilde her chapter için notlar falan alıyordum da, sonradan pek de değmeyeceğine karar verip notları bir yere salladım.

Kitabin 2.chapter’ındaki gerçek hayat hikayesini beğendim. Özellikle kodun kimlik doğrulama vs gibi kritik işlemleri JS ile yapan bir uygulamaya saldırıyı anlatıyor. Yer yer klasik web uygulaması saldırılarına da değiniyor ve hatta fazlaca bulaşıyor.

Kitap ajax kullanımı ile beraberinde gelen güvenlik problemlerini genel olarak atak yüzeyinin artması, kodun transparanlığının artması temalarında incelemiş.

Bence Ajax güvenliği konusunda hiçbir şey bilmiyorsanız, kitaba rahatlıkla başlayıp kafanızdaki soru işaretlerini giderebilirsiniz. Uzun lafın kısası çok iyi ya da çok kötü değil.

Bir kurum olarak bilgi işlem altyapınızın güvenliğini sağlamak istiyorsanız, her şeyden önce iş yerinizde iyi bir güvenlik uzmanı barındırmanız gerekir. Zira bir konuda bilgisizseniz, dışarıdan gelecek çözümlerin ne derecede iyi olacağını da ölçemezsiniz.

Eğer çok büyük bir kurum değilseniz, büyük ihtimalle güvenlik hizmetini dışarıdan alacaksınız demektir. Çünkü ne olursa olsun, eğer yapılması gereken iş sizin majör konunuz değilse, her şekilde o iş için çalıştırdığınız elemanlar sizin için o işi dışarıya yaptırmaktan daha masraflı olacaktır.

Sistem Yöneticisi vs Güvenlikçi

Genelde bu bahsettiğim eksik yönlendirme durumundan ötürü bilişim güvenliği en az yatırımın yapıldığı alan olmakla birlikte en çok yanlış harcamanın da yapıldığı alandır. Örneğin şirketin yazılımcıları daha güvenlik konseptlerinden haberdar bile değilken, bu elemanlara eğitim aldırmak yerine; gidilir sistem yöneticisinin merakı ve bastırması sonucu 500.000 $’lık IPS yatırımı yapılır. Zaten IPS teknolojisinin geldiği yer belli, gelen saldırıların %10’unu bile zar zor karşılayabilen bir ürüne dünya kadar para verilir, daha sonra olaylar Zone-h’tan takip edilebilecek hale döner.

Sistem yöneticisinin IPS merakı demişken bir parantez açayım, Türkiye itibariyle genellikle güvenlikçiler eski sistem yöneticileri olup yavaş yavaş güvenlik sektörünün gelişmesiyle bu işe bulaşmışlardır. Kurumların bu konuda vizyonu tamamen çalıştırdıkları Güvenlik Mühendisleri ile ilgili olduğu için, bir çok kurum uygulama güvenliği konusunda “güvenli” olmak için genellikle fersah fersah yol almalıdır.

Genel itibariyle bir ürünü pazarlayan kişi, o ürünün yetenekleri konusunda oldukça iddialıdır. Güvenlik piyasası da farklı değil, lakin bir ton abartı da beraberinde gelmektedir. Örneğin bir IPS pazarlamak isteyen şirket, bu ürünün gelen tüm saldırıları keseceğini iddia eder, şifreleme çözümü sunan başka bir yer ise verilerinizin kesinlikle güvende olduğunu, başkaları bilgisayarınıza erişim sağlasa bile verilerinize erişemeyeceğini iddia eder. Oysa sisteme girip rootkit’i konumlandırdıktan sonra istediğin şifreleme çözümünü, en baba şifreleme algoritmasını kullansan da farketmez.

Öncelikler ve Derinlemesine Defans

Aslında tabii ki IPS’in de, şifrelemenin de diğer ek çözümlerin de katmanlı güvenlik anlayışında bir yeri vardır. Fakat sınırlı bütçe ile bir şeyler yapmaya çalışıyorsanız, önceliklerinizi iyi belirlemeniz gerekir. Bundan dolayı önce sistem olabilecek en güvenli hale getirilmeli, sonrasında bu tip destek çözümlere gidilmelidir.

Sapa sağlam bir eve hırsız kolay kolay giremez, ama pencereleri açık bir evin kapısını en pahalı şekilde çelik kapı takıdan yaptırın, misafirleriniz eksik olmayacaktır.

OWASP-TR/WGT olarak 18 Ekim Cumartesi saat 14:00 ‘da İstiklal Caddesinde buluşuyoruz. Konu topluluğun genel motivasyonu olarak uygulama güvenliği olsa da emin olun ilgili ilgisiz bir çok şey konuşulacak.

Buluşmaya bir aksilik çıkmazsa ben de katılacağım, gelen arkadaşlarla da tanışmak, kaynaşmak isterim. Ayrıca gelenlere OWASP’tan gelen dökümanlar ve kalem dağıtılacak.

Detaylar :

Adres :     İstiklal Cad.Emir Nevruz Sok. No: 1/11 Galatasaray Beyoğlu
Yer    :     Turkcell Akademi Binası 1. Kat A Salonu
Tarih :     18 Ekim 2008 Cumartesi, 14:00

Buluşmaya gelecek arkadaşların urgunb at hotmail.com adresine ad-soyadlarını atmaları gerekiyor ki binaya girişte problem çıkmasın.

Bu hafta iş yerimin organize ettiği Oracle güvenliği eğitiminde 3 gün Alexander Kornbrust ile birlikteydik. Alexander Kornbrust Oracle güvenlik camiasının dünyaca en tanınan isimlerinden ve BlackHat, defcon vs konferansların tanıdık sinemalarından. Açıkçası Oracle güvenliği ile bir şekilde ilgili olup bu eğitime katılmayanlar çok şey kaybetti diye düşünüyorum, zira Türkiye itibariyle böyle bir adamın gelmesi çok zor ve bir daha Türkiye’ye eğitime ne zaman gelir bilinmez.

Benim için eğitim oldukça faydalı oldu. Çok yoğun bir hafta olması dolayısıyla akşamları ödevler ve işle ilgileniyordum, bundan dolayı 3 günlük eğitim süresi boyunca 5-6 saat kadar uyuyabildiğim için eğitim sırasında ara ara sandalyede uyuya kalmak durumu dışında bayağı keyifli ve bilgilendiriciydi.

Eğitim Oracle’in ne olduğundan, Oracle Güvenliği dünyasındaki insanlardan, konu ile ilgili web sitelerine, ilgili kitaplardan , nette bulunacak dökümanlara, bu konuda çalışan şirketlere, kullanılabilecek araçlara kadar geniş bir introduction ile başladı.

Oracle ile çok sıcak bir ilişkim olmadı bugüne kadar. Oracle sistemlere SQL Injection yapmak ve pen-testlerde default pass arayıp, TNS listener’dan bilgi sızdırmaya çalışmak dışında. Haricinde tabii ki SecurityFocus ya da Secunia ‘dan görebileceğiniz üzere Oracle’ın kendisi ve beraberinde gelen package’lerde bir çok güvenlik zafiyeti mevcut. Öyle ki her CPU’da (critical path upgrade) onlarca zafiyet fixleniyor ve fixlen(e)meyenlerin sayısı da dişe dokunur seviyelerde.

Eğitim sırasında Alexander Kornbrust MS SQL Server’in Oracle’a göre daha güvenli oluğunu , ama yine de kendisinin Oracle’cı olduğunu söyledi. MSSQL Server’in daha güvenli olmasının sebebini ise Oracle’a göre çok daha az kompleks olmasıyla açıkladı. Aslına bakarsanız pek de mantıksız görünmüyor.

Oracle’da bir çok privillege escalation zafiyeti var ve bende kolay kolay da bu zafiyetlerin kapatılamayacağı; kapatılsa da benzer zafiyetlerin tekrar bulunacağı izlenimi bıraktı. Çünkü bir çoğu gelen verinin boyutunu ölçmeden bir buffer’a aktarmaktan çok tasarımsal problemlerden kaynaklanıyor. Örneğin view’leri kullanarak yazma ya da silme hakkımız bulunmayan bir veritabanında çok basit şekilde bu işlemlerin gerçekleştirebiliyorsunuz.

Eğitim sırasında privillege escalation mevzuularından, varolan güvenlik problemlerinden, PL/SQL ile güvenli kodlama meselelerinden ve tabii ki assolistimiz SQL Injection’dan bahsetti. SQL Injection kısmı genel itibariyle bana yeni şeyler vermediğinden çok ilgimi çekmedi.

Bunların haricinde mod_plsql zafiyetlerinden, Oracle Application Server sorunlarından, şifreleme çözümlerinden, Oracle rootkit’lerin, audit’lerin nasıl bypass edilebileceğinden, Oracle client güvenlik problemlerinden ve çok daha başka bir şeylerden bahsetti. Vakit buldukça blogda anlatacağım.