(Örneklerle) Egzotik HTTP Güvenlik Başlıkları

Paul Graham 2002 yılı Ağustos'unda yazdığı makalede spam filtrelemede Bayes Teoremi'nin (Öznel Olasılık Teorisi) kullanılabilirliğine değinerek SPAM e-posta (email) ile savaş konusunda yeni bir akımı başlatmış oldu.

Graham'a göre aldığımız her email'e içerdiği kelimeler - mesaj başlığındakiler (header) de dahil olmak üzere- incelenerek 0 ile 1 arasında bir spam skoru atamak mümkün. Bu sayının hesaplanabilmesi için öncelikle size gelen çok sayıda spam ve spam olmayan emailin ayrı ayrı incelenmesi gerekiyor. Bu inceleme sonucunda eğer belli bir kelimeye sadece spam olan emaillerde rastlanıyorsa o kelimeyi göreceğiniz bir sonraki emailin de spam olma olasılığı çok yüksek olacaktır. Aynı mantıktan yola çıkarak, büyük bir çoğunlukla gerçekten okumak istediğiniz emaillerde rastlanan kelimelerin gelecekte de spam içermeyen emaillerde görülmesi beklenir. Bu anlattıklarımızın iyice yerleşmesi için birkaç örnek verelim:

Fyodor´un Mayıs ayında nmap-hackers e-posta listesinde 1854 üye üzerinden gerçekleştirdiği ayrıntılı anketin sonucunda en çok kullanılan 75 güvenlik aracı tespit edildi. Güvenlikle ilgilenen ya da ilgilenmeyi düşünen herkesin bu listedeki yazılımları (en azından 10-15 tanesini) incelemesinde fayda var.

AHBL güvenlik yöneticisi Andrew D. Kirch pek çok ``script kiddie´´ grubuna sızmış ve deneyimlerini Newsforge sitesi ile bir IRC röportajı şeklinde paylaşmış. Ele alınan konular arasında DDoS saldırılarını koordine etme konusunda yeni trendlerden tutun, büyük şirketlerin telekonferanslarını bloke etmeye kadar pek çok şey var.

İşte röportajdan bazı önemli alıntılar:

- Bu çocuklar sokak çetesi ile mafya karışımı bir organizasyona benzer şekilde organize oluyorlar. Yani arkadaşımın arkadaşı ilkesi.

- Bunların çoğu MyDoom´dan sonra ortaya çıktı. EMP bir süredir ortalıkta idi ancak ADP, SLiM (ki bu kişi geçenlerde NSA ve NIPC web sitelerinin yanısıra Beyaz Saray posta sunucularına da saldırdı) ve izm 10.000 bilgisayarlık ``DoSnet´´leri (açıkları bulunan sunucu listeleri, bu sunucular daha sonra DDoS saldırılarında kullanılabiliyorlar) 500$ gibi çok cüzi bir fiyata satın aldılar. DCOM bir NT açığı olduğu için -- 2000 ve XP´yi de etkiliyordu -- tüm bu makinalar IP paketlerinin tahrifatında (spoofing) kullanılabiliyor.

Yukarıdaki sorunun cevabı nedir diye düşündünüz mü bilmiyorum ama benim cevabım "alınmalıdırlar, tabii haklarında gerekli araştırmalar ve testler yapıldıktan sonra" şeklindeydi.

Bugün okuduğum bir haberde ise yakın zamanda yapılmış bir araştırmaya göre şirket yöneticilerinin görüşlerinin bu konuda olumsuz olduğu anlatılıyor.

Hackerlar işe alınır mı? haberindeki sonuçların ilginç olan kısmı ise genel eğilimin hackerları tam zamanlı şirket elemanı olarak değil de daha çok aralıklarla başvurulacak bir tür danışman statüsünde yönünde olması.

1 Mayis'ta eEye Digital Security gurubunun bugtraq'a acikladigi guvenlik acigina gore Win2000 © IIS 5.00'da .printer ISAPI filtresinde bir buffer overflow mevcut. IIP'deki (Internet Printing Protocol) bu aciga gore http portundan yaklasik 420 byte'in ustu bir bilgi gonderildiginde IIP Win2000'in reboot etmesine neden oluyor.

Acik daha fazla incelendiginde gerekli bellek yerlerine yerlestirilen kodlari da SYSTEM erisim seviyesinde (level access) calistirmanin mumkun oldugu goruluyor. Neden son bes gunde bu kadar cok web sitesi hack edildi acaba ;)