(Örneklerle) Egzotik HTTP Güvenlik Başlıkları

Certicom tarafından düzenlenen ve belirli bazı 108bitlik şifreleme sistemlerin güvenliğinin test edilmesini amaçlayan 10.000$ ödüllü ECC2K-108 şifresi çözüldü.

Language Blog isimli ve genellikle dilbilimcilerin yazdığı bir kolektif blog'da Adobe Acrobat Reader ile ilgili bir girdi dikkatimi çekti.

Yazara göre Acrobat Reader'in Preferences kısmına gelir ve JavaScript'i kaldırmaya çalışırsanız baktığınız belgede JavaScript kullanıldığına ve bu özellik kaldırılırsa düzgün görüntüleme yapılamayacağına dair bir uyarı geliyor. Blog girdisinin yazarı Acrobat Reader 6.0.3'ü Mac üzerinde kullanırken böyle bir deneme yaptığında benzer bir şeyle karşılaştığını ancak işin garibi söz konusu belgenin kendi hazırladığı ve LaTeX'ten PDF'ye dönüştürdüğü bir belge olduğunu dolayısı ile JavaScript filan içermediğini belirtiyor! Dolayısı ile programın yalan söylemesi söz konusu.

Belgelerde JavaScript kullanılmasının sebebi ise Remote Approach isimli bir şirketin PDF okunduğu zaman bunun okundu bilgisini Internet üzerinden başka bir yere iletecek bir sistem geliştirmiş olması. "Web bug"lardan sonra başımıza bir de bu çıktı ;-) Neyse ki Acrobat Reader'daki JavaScript uyarılara rağmen iptal edilebiliyor.

Bir süredir devam eden, ABD'nin, İran gizli servisinin iletişimini izlediği yönündeki tartışmaları duymuşsunuzdur. Olay ilk önce bu bilgiyi İran'ın nasıl elde ettiği etrafında dönüyordu. Senaryolardan en kuvvetli olanı ise bir dönemler ABD'nin Irak'ta en çok güvendiği ve gizli servis hizmetlerinden dolayı aylık $335,000 ödediği Ahmad Chalabi'nin bu bilgiyi, içkili bir ABD gizli servis ajanından aldığı ve İran'a verdiğiydi.

BBC'deki bu haber ise olayın teknik olarak nasıl yapılıyor olabileceği üzerinde duruyor.
Çeşitli güvenlik uzmanlarıyla yapılan röportajlardan alıntılarla günümüz kriptografi uygulamalarının kırılamayacağı, bu izleme olayının insan hatası(?) veya bir backdoor sayesinde yapılmış olabileceği anlatılıyor.

Alıntılardan biri beni biraz düşündürttü: Acaba?!

"The Code Book" kitabının yazarı Simon Singh: "... Bugün bir email göndersem, dünyanın tüm gizli servisleri, dünyanın tüm bilgisayarlarını kullansalar dahi çözemezler. Şifrelemeyi yapanlar şifre kırıcıları karşısında oldukça büyük bir avantaja sahipler."

Microsoft bir işletim sistemi üzerinde yine Microsoft bir web tarayıcısı kullanırken akla gelen ilk şey bu dijital imzalardan en güvenilir olanının yine Microsoft firmasına ait olacağını düşünmektir, çok normal bir şekilde de olması gereken budur.

Fakat ne yazık ki durumun böyle olmadığı Microsoft tarafından yapılan ilginç bir açıklamayla anlaşılmıştır. Yapılan açıklamada denildiğine göre 29 Ocak ve 30 Ocak 2001 tarihinde VeriSign dijital imza firmasından bir kullanıcı Microsoft’un bir elemanı olduğuna inandırarak Class3 bir kod imzasını Microsoft adına elde etmeyi başarmış. Bu da pek tabii ki normalde Microsoft’a ait olmayan bir takım kodların sanki Microsoft tarafından dağıtılıyormuş gibi Internet Explorer’da uyarının gelmesi demek. Bu sayede eğer istenirse ActiveX kontrolleriyle ya da MS Office makroları ile bilgisayarınıza girilmesi ya da zarar verilmesi mümkün olmakta. Bu duruma bir aktif içerikli bir web sayfasını ziyaret ederken düşebileceğiniz gibi, üzerinde eklenti bulunan bir mail ile de başınız derde girebilir. Üstelik yapanın imzasında Microsoft yazdığı halde.

Siyah Şapkaların buluşması rüya şehri Las Vegas'da gerçekleşmekte.Bilişim güvenliği üzerine çeşitli bildiri ve eğitimlerin verildiği etkinlikler 23-28 temmuz arasında.

Etkinliklerin içeriğine bakmak için;
http://blackhat.com

Ama açıkcası benim haberi paylaşmamın nedeni giden olur ihtimali değil, şu adresteki güzel arşiv;
http://blackhat.com/html/bh-multimedia-archives-index.html