API'larınızı DDOS saldırılarından korumanın pratik yolu: İmzalı URL'ler

Zdnet'in haberine göre Redhat ve İntel özellikle virüs ve solucanlara karşı etkili olacağı düşünülen NX (not execute) teknolojisini destekleyen bir Linux yaması yazılım yayınladılar. Microsoft'un bu desteği service pack2 ile birlikte bu yılın üçüncü çeyreğinde vermesi umuluyor. Linus Torvalds'ın bu teknolojiye olumsuz yaklaşmadığı da yine aynı makalede yer alıyor.

Elektronik bankacılık uygulamalarından dijital imzaya, kablosuz ağ güvenliğinden binlerce web sitesinin kullanıcı veritabanlarına kadar güvenliğe ihtiyaç duyulan birçok noktada kullanılan ve günümüze kadar başta ABD olmak üzere birçok ülke tarafından "resmi" harmanlama (hashing) algoritması olarak kullanılan SHA-1 Çinli bir bir bilim insanı ve ekibi tarafından kırıldı.

Bir cumartesi günü internette dolaşırken bu hoş ve sürükleyici hikayeye rastladım. Hikaye Abednego (İncil'de bahsedilen, Babilliler tarafından esir edilen ve bir ateş duvarını yürüyerek geçip hayatta kalan bir israilli) ve Dogberry (William Shakespeare`in 'Much Ado About Nothing'deki polis memuru) takma adlarına sahip bir cracker ve sistem yöneticisi arasında geçen siber savaşı anlatıyor. Oldukça eğlenceli ve sürükleyici hikayedeki anlatılan tekniklerin çoğu (hikaye 1998 yılında yazılmış olsada ) halen güncelliğini korumakta. FM camiasının da benim gibi beğeneceğini umarım.

SecurityFocus sitesinde Michal Zalewski tarafından gerçekleştirilmiş bir tarayıcı testi var. Ben de bu testin çevirisini (özetle) burada sunuyor ve yorumlarınızı merakla bekliyorum :)

Çok kullanılan web tarayıcılarının potansiyel saldırılara ve DoS ataklarına ne kadar dayanabildiklerini ölçmek istedim. Bu amaçla kullanışlı bir araç hazırladım.

Birçok anti-güvenlik grubu 1 Nisan günü acı bir şaka yaparak Internette WinNT/W2K - MS IIS konfigürasyonuna sahip web sunucularının güvenlik önlemlerini kırdı ve anasayfalarını değiştirdi.

Microsoft Windows NT4.0 veya Microsoft Windows 2000 sunucular üzerinde Microsoft Internet Information Server ile sunulan ve saldiriya ugrayan adresler arasında Walt Disney, Wall Street Journal'in WebWatch'ı, British Telecomms, HSBC, Good Year Motors, MSN Dollars, Amerikan Deniz Kuvvetleri Taktik Sistemleri (Navy Center for Tactical Systems Interoperability), Ringling Bros. and Barnum & Bailey ve Doğu Carolina Üniversitesi de var.