Sahte Microsoft İmzası

0
anonim
Microsoft bir işletim sistemi üzerinde yine Microsoft bir web tarayıcısı kullanırken akla gelen ilk şey bu dijital imzalardan en güvenilir olanının yine Microsoft firmasına ait olacağını düşünmektir, çok normal bir şekilde de olması gereken budur.

Fakat ne yazık ki durumun böyle olmadığı Microsoft tarafından yapılan ilginç bir açıklamayla anlaşılmıştır. Yapılan açıklamada denildiğine göre 29 Ocak ve 30 Ocak 2001 tarihinde VeriSign dijital imza firmasından bir kullanıcı Microsoft’un bir elemanı olduğuna inandırarak Class3 bir kod imzasını Microsoft adına elde etmeyi başarmış. Bu da pek tabii ki normalde Microsoft’a ait olmayan bir takım kodların sanki Microsoft tarafından dağıtılıyormuş gibi Internet Explorer’da uyarının gelmesi demek. Bu sayede eğer istenirse ActiveX kontrolleriyle ya da MS Office makroları ile bilgisayarınıza girilmesi ya da zarar verilmesi mümkün olmakta. Bu duruma bir aktif içerikli bir web sayfasını ziyaret ederken düşebileceğiniz gibi, üzerinde eklenti bulunan bir mail ile de başınız derde girebilir. Üstelik yapanın imzasında Microsoft yazdığı halde.
Peki Nasıl Güvenli Kalınabilir?

Öncelikle belirtilmesi gereken bu yanlış dijital imzanın sadece 29 ya da 30 Ocak 2001 tarihindekiler için geçerli olduğudur. Yani eğer bir web sayfasını görüntülemeye çalışırken ya da Outlook içerisinde ilişik bir programı çalıştırmaya yeltendiğinizde karşınıza bu içerik ya da program Microsoft tarafından 29 (ya da 30) Ocak 2001 tarihinde imzalanmıştır güvenip devam etmek ister misiniz uyarısı geldiğinde güvenmemeniz gerekmektedir. Bunun yanı sıra diğer tarihli Microsoft imzaları şimdilik güvenli. Eğer daha öncesinde bu türden bir güvenlik ayarı için Microsoft imzalı sertifikalara her zaman güven ayarı seçili ise vakit kaybetmeden Explorer içerisinde durumu geriye ayarlayın.

Kaynak: http://www.akser.com.tr/main4.asp?L=TR&site=4&mid=262

Görüşler

0
bio
3 Senelik sorunları arada bir gündeme getirmek lazım bence de...

"In related news, Linux kernel 1.0 is reported to have some serious security holes that can be exploited using a VT-100 terminal..."
0
Nightwalker
Aslında en güvenli yol internet tarayıcının hiç bir sertifika onayına izin vermemek. Hatta daha güvenlisi bilgisayarın internet bağlantısını kesmek. AMA bu gün bu yazıyı okuyanlardan ( bir şekilde M$ kullananlar tabi ki) kaç tanesi sertifika tarihini kontrol ediyor ? Emin ol ki bir çok kişi süresi dolmuş sertifika uyarısını alsa bile büyük şirketlerden birinin ismini görünce ( bazıları görmeden de ) sertifikayı onaylıyor. Linux kerneli 1.0 versiyonundan beri kaç kez güncellendi hiç saydın mı ? Bırak 1.0 ı 2.4 deki bir güvenlik açığının 2.6 da bulunması dahi emin ol çok çok düşük bir olasılık. Peki verisign yada m$ bu malum 3 senelik güvenlik açığı konusunda ne yaptı ? HİÇ. Bu sorun kullanıcılar için hala var olmaya ve onları tehdit etmeye devam ediyor mu ? EVET. 3 senelik bir sorunu gündeme getirmek konusuna gelince. Ne gereği var canım... :)
0
bio
Tamam da bunu hatırlatmanın frekansı nedir? Sorun düzelmediği sürece her gün mü? Her ay mı? Her sene 29-31 Ocak arasında mı? Yoksa 3 senede bir mi? Haber "Blah blah sorunu 3 yıl geçmesine rağmen çözülmedi! Nerde bu devlet!" olsaydı anlardım...

Ayrıca Microsoft sorunu çözen bir patch de çıkarmadı değil. Nette ufak bir arama bizi http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-017.asp sitesine götürür.

Eğer "AMA bu gün bu yazıyı okuyanlardan ( bir şekilde M$ kullananlar tabi ki) kaç tanesi bu patchleri kuruyor?" argümanına devam edeceksen, "Linux kullananlardan kaç tanesi 2.4'teki açıklarsan sonra 2.6'ya geçiyor" gibi bir karşılık gelir; ki her ikisi de saçmadır. Her yazılımda güvenlik açığı olur (ki bu açık bir yazılım açığı değil! Verisign'ın bariz bir hatası). Kullanıcılar bilinçli olmadıkça güvende olamazlar.

Asıl sorumlu olan Verisign ne yaptı dersek; Verisign da sertifikaları iptal etti. Ancak teknik sorunlar var:

http://www.pkiforum.com/resources/alert_verisigncerts.html

VeriSign has revoked the certificates and added them to its certificate revocation list (CRL). However, VeriSign code-signing certificates do not support automatic CRL-checking because they do not contain CRL Distribution Point (CDP) information. This means that unless a user takes the initiative to manually check VeriSign's CRL before installing any software signed with these certificates, the user's computer will trust any program signed with the fraudulent certificates.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Kuyruklu yalan dolmuşuna binmeyin...

ftaski

Geçen gün icq mesajlarıma bakarken boş forward yapmayacağına inandığım bir zat tarafından "Symantec 17 Nisan'da bulunan yeni bir virüsün, antivirüs programları tarafından tanınmadığı, ayrıca 1 haziranda aktif olacağını açıkladı. PC'nizde bu virüsün olup olmadığını incelemek için SULFNBK.EXE adlı dosyayı arattırın." şeklinde bir mesaj aldım. Olayın aslını merak etmeden dosyayı arattım ve bir güzel sildim (Bu dosya uzun dosya isimlerini saklamaya yarayan bir exe imiş). Kıllandığımda geçti çünkü Symantec in sayfasında konu ile ilgili linkte "Category: Hoax"(!!!) yazmaktaydı... Gerek e-maille gerek icq ile gelen her mesaja inanmayınız/inandırtmayınız; zira ben bu mesajı forward ettiğim herkese pişmanlık ve uyarı dolu yeni mesajlar attım ve bazılarına bu dosyayı bulup yolladım. Aman Dikkat. http://www.symantec.com/

Klavyeden Çıkan Sesler Ne Yazıldığını Ele Veriyor

FZ

University of California, Berkeley araştırmacıları klavyede tuşa basarken çıkan sesleri analiz edip hangi tuşlara basıldığını anlamanın yolunu keşfetti.

10 dakikalık bir kaydı dinleyen sistem yazılanların %96sını çözebiliyor.

Bu tekniğin çalışmasının sebebi ise "a" tuşuna basıldığında çıkan sesle, mesela "t" tuşuna basıldığında çıkan ses arasında fark olması. Bilgisayar bilimleri profesörü Doug Tyger yapılan işin bir davulun değişik yerlerine vurulduğunda değişik ses çıkmasının fark edilmesine benzetti.

L7-Linux için uygulama katmanı paket sınıflandırıcı

anonim

Takip ettigim mail grupların bir tanesinden gelen mail icinde tanıtımını gorupte asagıdaki netfilter eklentisini farkettim.

l7 - Application Layer Packet Classifier for Linux

Networkunuze girip cıkabilecek paketlerler uzerinde etkinliginizi en ust duzeye cıkartabilecek, kullanıcıların bilgisayarlarına sahip oldukları yerel haklarla yukleyebildikleri ve kullana bildikleri P2P, IM oyun vb. programlarının baglantı/transfer ini, portlara bakmaksızın engelleyebilecek bir yazılım. Desteklenen protokoller ve performans dokumleri burada.

Network Penetrasyon Testleri Eğitimi / 17-18 Nisan

butch

Bu eğitim güvenlik dünyasında ismi duyulmuş çeşitli açık kaynak kodlu yazılımların en etkin şekilde kullanılarak efektif güvenlik testlerinin yapılabilmesini amaçlamaktadır. Eğitimde kullanılan araçların isimleri çok bilinmesine rağmen detay özellikleri ve etkin kullanımı genelde bilinmemektedir.

Eğitim sonrası katılımcılar herbiri kendi alanında en iyisi sayılabilecek bu araçları tüm detayları ile birlikte nerede nasıl kullanılacağını öğrenmiş olacaktır.

Diğer detaylar ve eğitim içeriğine bu adresten ulaşabilirsiniz.

Açık Sistemler ve Güvenlik - 1

FZ

"Güvenlik bir ürün değil süreç meselesidir." Bruce Schneier

Neden Güvenlik?

Sevgilinize yazdığınız özel(!) bir e-posta başkaları tarafından kolayca okunabilse kendinizi nasıl hissederdiniz? Ya da bir ihale için hazırladığınız elektronik belgelerle ilgili tüm detaylar rakipleriniz tarafından bir güzel okunsa? Olay yaratacak haberinizdeki en kritik ve gizli noktalar sizinle rekabet eden birileri tarafından kolayca ele geçirilirse ve kendi imzaları ile yayınlansa nasıl bir ruh hali içinde olursunuz?