Sahte Microsoft İmzası

0
anonim
Microsoft bir işletim sistemi üzerinde yine Microsoft bir web tarayıcısı kullanırken akla gelen ilk şey bu dijital imzalardan en güvenilir olanının yine Microsoft firmasına ait olacağını düşünmektir, çok normal bir şekilde de olması gereken budur.

Fakat ne yazık ki durumun böyle olmadığı Microsoft tarafından yapılan ilginç bir açıklamayla anlaşılmıştır. Yapılan açıklamada denildiğine göre 29 Ocak ve 30 Ocak 2001 tarihinde VeriSign dijital imza firmasından bir kullanıcı Microsoft’un bir elemanı olduğuna inandırarak Class3 bir kod imzasını Microsoft adına elde etmeyi başarmış. Bu da pek tabii ki normalde Microsoft’a ait olmayan bir takım kodların sanki Microsoft tarafından dağıtılıyormuş gibi Internet Explorer’da uyarının gelmesi demek. Bu sayede eğer istenirse ActiveX kontrolleriyle ya da MS Office makroları ile bilgisayarınıza girilmesi ya da zarar verilmesi mümkün olmakta. Bu duruma bir aktif içerikli bir web sayfasını ziyaret ederken düşebileceğiniz gibi, üzerinde eklenti bulunan bir mail ile de başınız derde girebilir. Üstelik yapanın imzasında Microsoft yazdığı halde.
Peki Nasıl Güvenli Kalınabilir?

Öncelikle belirtilmesi gereken bu yanlış dijital imzanın sadece 29 ya da 30 Ocak 2001 tarihindekiler için geçerli olduğudur. Yani eğer bir web sayfasını görüntülemeye çalışırken ya da Outlook içerisinde ilişik bir programı çalıştırmaya yeltendiğinizde karşınıza bu içerik ya da program Microsoft tarafından 29 (ya da 30) Ocak 2001 tarihinde imzalanmıştır güvenip devam etmek ister misiniz uyarısı geldiğinde güvenmemeniz gerekmektedir. Bunun yanı sıra diğer tarihli Microsoft imzaları şimdilik güvenli. Eğer daha öncesinde bu türden bir güvenlik ayarı için Microsoft imzalı sertifikalara her zaman güven ayarı seçili ise vakit kaybetmeden Explorer içerisinde durumu geriye ayarlayın.

Kaynak: http://www.akser.com.tr/main4.asp?L=TR&site=4&mid=262

Görüşler

0
bio
3 Senelik sorunları arada bir gündeme getirmek lazım bence de...

"In related news, Linux kernel 1.0 is reported to have some serious security holes that can be exploited using a VT-100 terminal..."
0
Nightwalker
Aslında en güvenli yol internet tarayıcının hiç bir sertifika onayına izin vermemek. Hatta daha güvenlisi bilgisayarın internet bağlantısını kesmek. AMA bu gün bu yazıyı okuyanlardan ( bir şekilde M$ kullananlar tabi ki) kaç tanesi sertifika tarihini kontrol ediyor ? Emin ol ki bir çok kişi süresi dolmuş sertifika uyarısını alsa bile büyük şirketlerden birinin ismini görünce ( bazıları görmeden de ) sertifikayı onaylıyor. Linux kerneli 1.0 versiyonundan beri kaç kez güncellendi hiç saydın mı ? Bırak 1.0 ı 2.4 deki bir güvenlik açığının 2.6 da bulunması dahi emin ol çok çok düşük bir olasılık. Peki verisign yada m$ bu malum 3 senelik güvenlik açığı konusunda ne yaptı ? HİÇ. Bu sorun kullanıcılar için hala var olmaya ve onları tehdit etmeye devam ediyor mu ? EVET. 3 senelik bir sorunu gündeme getirmek konusuna gelince. Ne gereği var canım... :)
0
bio
Tamam da bunu hatırlatmanın frekansı nedir? Sorun düzelmediği sürece her gün mü? Her ay mı? Her sene 29-31 Ocak arasında mı? Yoksa 3 senede bir mi? Haber "Blah blah sorunu 3 yıl geçmesine rağmen çözülmedi! Nerde bu devlet!" olsaydı anlardım...

Ayrıca Microsoft sorunu çözen bir patch de çıkarmadı değil. Nette ufak bir arama bizi http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-017.asp sitesine götürür.

Eğer "AMA bu gün bu yazıyı okuyanlardan ( bir şekilde M$ kullananlar tabi ki) kaç tanesi bu patchleri kuruyor?" argümanına devam edeceksen, "Linux kullananlardan kaç tanesi 2.4'teki açıklarsan sonra 2.6'ya geçiyor" gibi bir karşılık gelir; ki her ikisi de saçmadır. Her yazılımda güvenlik açığı olur (ki bu açık bir yazılım açığı değil! Verisign'ın bariz bir hatası). Kullanıcılar bilinçli olmadıkça güvende olamazlar.

Asıl sorumlu olan Verisign ne yaptı dersek; Verisign da sertifikaları iptal etti. Ancak teknik sorunlar var:

http://www.pkiforum.com/resources/alert_verisigncerts.html

VeriSign has revoked the certificates and added them to its certificate revocation list (CRL). However, VeriSign code-signing certificates do not support automatic CRL-checking because they do not contain CRL Distribution Point (CDP) information. This means that unless a user takes the initiative to manually check VeriSign's CRL before installing any software signed with these certificates, the user's computer will trust any program signed with the fraudulent certificates.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Windows 2000’de bir açık daha

pulsar

Microsoft bu ay içerisinde 2. defa, DoS saldırısına yol açabilecek güvenlik açığı uyarısında bulundu.
Microsoft’tan yapılan açıklamada, Windows 2000 Server’daki yeni açığın ‘Denial of Service’ saldırısına yol açabileceği vurgulandı. Windows 2000 Server’ın yanı sıra Advanced Server ve Datacenter’ı da etkileyen açık, Kerberos servisindeki bellek ‘sızmasından’ kaynaklanıyor. Kerberos diğer bilgisayarlardan gelen isteklerin onaylanmasıyla ilgili bir yöntem.
Konuyla ilgili güvenlik duyurusunu müşterilerine gönderen Microsoft, gerekli yamayı da çıkardı. Yeni açığın Defcom Labs tarafından ocak sonlarında keşfedildiği belirtildi.
Way be adamların hataları bile endüstri standardı?!

Kuyruklu yalan dolmuşuna binmeyin...

ftaski

Geçen gün icq mesajlarıma bakarken boş forward yapmayacağına inandığım bir zat tarafından "Symantec 17 Nisan'da bulunan yeni bir virüsün, antivirüs programları tarafından tanınmadığı, ayrıca 1 haziranda aktif olacağını açıkladı. PC'nizde bu virüsün olup olmadığını incelemek için SULFNBK.EXE adlı dosyayı arattırın." şeklinde bir mesaj aldım. Olayın aslını merak etmeden dosyayı arattım ve bir güzel sildim (Bu dosya uzun dosya isimlerini saklamaya yarayan bir exe imiş). Kıllandığımda geçti çünkü Symantec in sayfasında konu ile ilgili linkte "Category: Hoax"(!!!) yazmaktaydı... Gerek e-maille gerek icq ile gelen her mesaja inanmayınız/inandırtmayınız; zira ben bu mesajı forward ettiğim herkese pişmanlık ve uyarı dolu yeni mesajlar attım ve bazılarına bu dosyayı bulup yolladım. Aman Dikkat. http://www.symantec.com/

Gmail Problemi(!)

e2e

Gmail'in "kişisellik"i ihlal etmesi, sınırsız disk alanı gibi özelliklerinden daha fazla tartışılmıştı. Ama tartışmalar bir süre sonra yerini tam bir sessizliğe bıraktı. Ama SecurityFocus'taki yazıdan sonra bu tartışmaların kolay kolay bitmeyeceği anlaşılıyor.

Google, mail mesajı-reklam ilişkisinde kişisel hakların gözardı edildiği, gizlilik ilkesinin yok sayıldığı eleştirilerine, "Mesajları insanlar değil, bilgisayarlar tarayacak" cevabını veriyordu. SecurityFocus'ta yazan Mark Rasch ise yazısında, "bir insan ya da insanlar tarafından yazılmış bir program; ikisi de aynı şey" diyor. Yazar, ayrıca bu tarz tarama sistemlerinin yeni bir Echelon işlevi taşıyabileceğini belirtiyor. Ve Google'ın bu politikasının ABD yasalarına da ters düştüğünü belirtiyor.

MyDoom, SCO´ya Karşı

malkocoglu

En hızlı yayılan virüs olarak taımlanan MyDoom, özellikle Windows işletim sistemini ve SCO'nun sitesini hedef alıyor. Biraz önce CNN Int'de seyrettiğimiz SCO'nun CEO'su Darl McBride, Linux'a dava açtıkları için serbest yazılım gurupları tarafından hedef alındıklarını iddia etti. SCO, MyDoom'u yazanın yakalanması için 250.000 $ teklif ediyor.
CNN

Microsoft Baseline Security Analyzer 1.0

FZ

Bilindiği üzere Microsoft pek çok büyük yazılımının güvenlikle ilgili durumunu elden geçiriyor ve bu işi bir süreliğine yeni yazılım çıkarmama kararı alacak kadar abartmış durumda.
Şirketin bu bağlamda ortaya koyduğu ürünlerden biri olarak ele alınabilecek bu güvenlik analiz yazılımı - Microsoft Baseline Security Analyzer 1.0 sisteminizi işletim sistemi, servisler, şifreler, web sunucu (IIS), veritabanı (SQL Server), tarayıcı (explorer) ve MS Office ile ilgili olarak test ediyor, olası güvenlik açıklarını ve bunlarla ilgili çözümleri listeliyor.