Web Servisleri Güvenliği: Evrim Geçiren Tehdit Modeli

0
FZ
FZ
21 Mayıs 2002 , 1 dakika okuma süresi
Gene bir makaleye gönderme, bu sefer Yahoo! şirketinin baş bilimadamı Udi Manber'in IEEE Symposium Security and Privacy etkinliğinde söyledikleri...

\r \r Özetlemek gerekirse Udi Manber gelişen web servisleri ile birlikte Internet üzerinden gerçekleştirilen güvenlik ihlallerinin de farklılaştığını, küçük küçük ama çok sayıda gerçekleştirilen saldırıların esas problemi oluşturduğunu ve bunlara çözüm bulunması gerektiğini söylüyor.

\r \r Manber'in dikkat çektiği enteresan konulardan biri de puanlama (rating) sistemleri, diyor ki "eğer bir oyun, bir site ya da bir ürünü puanlıyorsanız, insanlar bu puanlama mekanizmasına gizlice müdahele edip belli bir maddeyi en yüksek puana çıkarmak için çılgınca çaba harcıyorlar!"
Güvenlik
Linkedin Facebook Twitter Google plus

Görüşler

Görüş belirtmek için giriş yapın...

İlgili Yazılar

Nessus 3 çıktı
darkhunter
23 Aralık 2005, 1 dakika okuma süresi

Bilinen en iyi zayıflık tarama araçlarından biri olan Nessus'un, 3'üncü versiyonu geçtiğimiz günlerde duyuruldu.

Nessus'un yeni sürümü şu an için sadece FreeBSD ve Linux için çıktı. Windows, MacOS X ve Solaris için 2006'nın ilk ayları ön görülmekte. Hali hazırda destek verilen dağıtımlar şöyle :

Başka `ILoveYou` virüsü`ne geçiş yok!
larweda
25 Nisan 2001, 1 dakika okuma süresi

Kendisini adres defterindeki bütün adreslere yollayan ve bu şekilde çok kısa zamanda tüm dünyaya yayılabilen `ILoveYou` ve `Kournikova` gibi virüsleri engellemek için geliştirilen yeni bir yöntem var. Klasik virüs engelleme algoritmalarının tersine, İngiliz Savunma araştırmaları merkezindeki yazılım bilimcilerin geliştirdiği `::Mail` programı, bilgisayarınıza gelen dosya ve e-mail'leri değil, sizin dışarıya gönderdiğiniz dosya ve e-mail'leri kontrol ediyor. Bu şekilde sizin bilgisayarınız virüs kapsa bile başkalarına yaymanız mümkün olmuyor. Bu tarz bir mantığın yanında klasik virüs koruma programlarını da kullanarak şu anda dünyanın belası olan virüslerden kısa bir süre için kurtulabilirsiniz. Ancak henüz bu geliştirilen algoritmayı virüs koruma programlarına uygulayarak ürün haline getiren bir yazılım firması ortaya çıkmadı.

Belli ki virüs yazan elemanlar (ki belki de dünyanın en iyi yazılımcıları bu işle uğraşıyorlar) virüslerini dağıtmak için başka yollar keşfetmek zorunda kalabilirler. Çok uzun sürmez bence, ne dersiniz?

Gmail Kırıldı
sonereker
22 Kasım 2005, 1 dakika okuma süresi

Buradan orjinal dökümana ulaşılabilir.

Google bu durumun muhtemel saldırgana bilgi veren kullanıcılar için geçerli olduğunu savundu. Açık kapatıldı, Google bu durum üzerine resmi bir açıklama yapmadı ve Full-disclosure'da da aynı sitede yakında yayınlanacak olan --tüm online banka sistemlerinin barındırdığı- benzer türde bir açığın duyurusu yapıldı :)

Güvenlik uzmanlarına göre kullanılan sistemlerin %98'inde benzer türde rapor edilmemiş açıklar mevcut.

Internet Üzerinden Bir Takip Öyküsü
FZ
6 Kasım 2002, 1 dakika okuma süresi

Geçen gün bir arkadaşımla yazışırken ilginç bir hikaye dinledim ve sizinle paylaşmak istedim:

Arkadaşım Internet üzerinden ICQ aracılığıyla birisi ile yazışıyormuş. Alışıldığı üzere karşısındakine ismini sormuş ancak karşı taraf ismini söylememekte ısrar edince arkadaşım bu inatçı şahsiyeti biraz şaşırtmaya karar vermiş. Önce ICQ programını kontrol etmiş ve yazıştığı kişinin IP numarası gösterme özelliğinin açık olduğunu görmüş (hata 1). Buradan makinanın IP adresini öğrenmiş ve ardından Essential Net Tools isimli programı kullanarak makinanın NetBIOS sisteminin açık olduğunu tespit etmiş (hata 2). Böylece makinanın MS Windows ağındaki makina ismini öğrenmiş: xxxxxx-24 gibi bir isim (hata 3). Bu bilgileri edindikten sonra tüm zamanların en faydalı sitesi Google arama sitesine girip "xxxxxx" ismini aratmış ve karşısına "xxxxxx internet cafe, adres:....." şeklinde bilgiler çıkmış.

Bu bilgilerle donanmış olan arkadaşım karşısındakine şöyle bir mesaj göndermiş: "Şu anda falanca adreste, falanca telefonlu Internet Kafe'de, 24 numaralı makinanın başındasın, hala ismini söylemek istemiyorsan sen bilirsin ;-)". Karşı tarafın küçük çaplı bir şok geçirip dumura uğraması üzerine muhabbeti fazla uzatmamış ;-)

Kıssadan hisse: Windows ortamında, Internet Kafe'de falan yazışırken dikkatli olun. Ya inatçılık etmeyin, ya da edecekseniz gereksiz servisleri kapatın, işletim sisteminizi kontrol edin, vs. vs. ;-)

Virüslerin 20 Yıllık Tarihi
FZ
11 Kasım 2003, 1 dakika okuma süresi

Bu hafta bilgisayar virüslerinin 20. yıldönümü. Basit rahatsızlık veren küçük yazılımlardan tutun ülkelerarası ağları yavaşlatan ve televizyonlara çıkan, en ilgisiz insanların dahi ilgi alanına girmeye başlayan pek çok virüs söz konusu.

Belgelendirilmiş ilk virüs ABD´de doktora eğitimi esnasında bu tip bir çalıştırma gerçekleştiren Fred Cohen tarafından yazılmış durumda.

Şu anda dünya üzerinde yaklaşık 60,000 farklı virüs var.

Cohen o dönemde kullanılan VAX bilgisayarları üzerindeki VD isimli bir grafik programına geliştirdiği virüsü yerleştirmiş ve sistemdeki diğer yazılımlara nasıl bulaşılabileceğini pratik olarak göstermişti. Cohen, gerçekleştirdiği çalışmayı bir güvenlik seminerinde sunduğunda takvimler 10 Kasım 1983 tarihini gösteriyordu.