Güvenlik altyapısına yatırım yapılması gerektiğini nasıl gösterirsiniz? Sitenizde bir risk analizi gerçekleştirip mülklerinizin değeri ve bunlara gelebilecek tehditleri belirlersiniz. Saldırganların tehditlerinin gözardı edilemeyecek kadar önemli olduğunu örneklersiniz. Bunu yapmanın yollarından biri ağ omurgasında (backbone) bir pasif sniffer kurmak ve uzaktan yapılan erişim denemelerini ve taramaları göstermektir. Yüksek-profil araçlar (ISS, NetSonar, nmap veya nessus) kullanarak ağınızı…

1997 de düzenlenen bir konferansda RSA Security firması dünyaya meydan okudu. Kısa ingilizce bir cümleyi DES algoritaması ile kriptolayarak web sitelerine koydular ve kıran ilk kişiye 10,000 dolar ödül vereceklerini duyurdular. 5 ay sonra, gönüllülerden oluşan bir takım olan DESCHALL şireyi kırdıklarını duyurdu. DESCHALL mesajı brute-force metodu ile kırdı. Olabilecek tüm DES anahtarları sıra ile…

Güvenlik uzmanları tipik olarak, kullanıcının küçük harf, büyük harf, rakamlar ve özel karakterler girerek ‘güçlü’ şifreler kullanmasını gerektiren, anlamsız ve ‘gizli’ şifre şemaları tavsiye edeceklerdir. NT SAM dosyasına veya /etc/passwd (önem verenler için /etc/shadow) dosyasına erişen bir saldırganın tüm şifrelerinizi, en güçsüz olanlar ilk olacak şekilde, kırması an meselesidir. Tecrübelerden öğrendiğimize göre , eğer bir…

Internet üzerinde herbiri farklı işlemler için kullanılan çeşitli kriptografik protokoller vardır: Protokol Amaç CyberCash Elektronik para tansferleri DNSSEC Alan adı sistemleri IPSec Paket-seviyesinde kriptolama PCT TCP/IP-seviyesinde kriptolama PGP Eposta S/MIME Eposta S-HTTP Web Secure RPC Remote Procedure Calls SET Elektronik para transferleri SSL TCP/IP-seviyesinde kriptolama SSH Uzaktan login TLS TCP-IP-seviyesinde kriptolama Bazıları eposta ve uzaktan…

Saldırı tespit sistemleri (IDS-Intrusion Detection System) hakkında konuşmadan önce bu sistemlerin amacını açıklayalım. Ana amaç ağınıza yapılan saldırıları tespit etmek, bunların başarılı olup olmadığını görmektir. Saldırı Tespit Sistemleri 4 ayrı bölüme ayrılmaktadır ve iki faktörün kombinasyonlarıdırlar. İlk olarak bir sistem ‘Aktif’ yada ‘Pasif’ olabilir. İkincisi, ‘Host tabanlı’ yada ‘Ağ tabanlı’ olabilir. Bu ikisini birleştirdiğimizde bir…

Kredi kartı numaraları göründükleri kadar rastgele numaralar değildirler. İlk 4 rakam kartı çıkaran bankayı belirler. Son rakam checksum’dır ve hatalar buna göre kontrol edilebilir. Minimum olarak kredi kartı kabul eden yazılımlar bu checksum’ı kontrol edebilir. Tabik ki bu kredi kartı numarasını online bir kimlik tanılama servisi ile kontrol etmekle karşılaştırılamaz. Checksum algoritması: Karttaki her rakamı…

Güvenlik ile ilgili yazıları ve forumlardaki tartışmaları okuduğumda ve arkadaşlarımla güvenlik üzerine tartıştığımızda hosts.deny/hosts.allow ve TCP Wrappers hakkında bazı yanlış fikirlerin olduğunu gördüm. Bu yazının amacı bu karışıklığı gidermek ve güvenlik bilincinin biraz daha artması. Bu doküman bir ‘how-to’ niteliğinde değildir, daha çok hosts.deny ve ipchains arkasındaki teorinin açıklamasıdır. Yazı Linux 2.2.x e göre yazılmıştır…