ts
0 takip ediyor | 0 takip ediliyor
Bilgi alanları
İlgi alanları
Matrix de UNIX Kullanıyor! ( 15)
Matrix Reloaded'in cekimlerine 2001 yilinda baslandigi goz onune alindiginda. Ayni zamanda bir film hangi zaman periyodlarinda cekildigi dusunulurse. SSH v1 kullandigi sahneler bence o kadarda yeni kabul edilmemeli.
Kötü adamlar ve arka kapılar ( 17)
Makale icin yazarin ellerine saglik fakat Serdar Koylu ustad'in dedigi gibi sanirim burada olay biraz hafife alinmis.
Farzedelimki buradaki senaryodaki gibi hostile bir kod indirildi derlenirken nc ile bir port bind edildi ve bu port her yerden ulasilabilir bir sekilde calisiyor.
Dusunulmesi gereken onemli noktalardan ilki sistemin firewall kurallarinin nasil belirlendigidir. Artik kim belli portlara filtreleme uygulayarak, onun disindaki tum portlara izin veren bir rule politikasi izliyor? Her zaman oldugu gibi saglikli firewall kural politikasinda tum trafik bloke edilir daha sonra arzu edilen servislere ait portlara izin verilir. Eger iptables kullaniliyorsa stateful inspection icin ozel -state parametresi kullanilarak bsd turevlerinde ise "Sequence number prediction" gibi nanelerden korunmak icin "modulate" gibi keyword'ler kullanilir. Boyle bir durumda yazida belirtilen bind edilmis porta disaridan ulasilabilmesi mumkun gozukmuyor.
Ozellikle IDS, Anomality Detection sistemleri kullanan. Makalede anlatilan yontem etkin bir raporlama ve siradan bir takip'e sahip sistemlerde cok cok kolay farkedilebilecek stealth olmayan bir yonteme benziyor. Ozellikle process list'te process gizleme ya da socket gizlemek icin ozellikle sistemdeki binary'lerin degistirilmesi gibi bir yonteme gidilirse ve biraz daha incelenirse sanirim daha yaratici ve stealth bir yontemler zinciri gelistirilerek dokumante edilebilir.
Farzedelimki buradaki senaryodaki gibi hostile bir kod indirildi derlenirken nc ile bir port bind edildi ve bu port her yerden ulasilabilir bir sekilde calisiyor.
Dusunulmesi gereken onemli noktalardan ilki sistemin firewall kurallarinin nasil belirlendigidir. Artik kim belli portlara filtreleme uygulayarak, onun disindaki tum portlara izin veren bir rule politikasi izliyor? Her zaman oldugu gibi saglikli firewall kural politikasinda tum trafik bloke edilir daha sonra arzu edilen servislere ait portlara izin verilir. Eger iptables kullaniliyorsa stateful inspection icin ozel -state parametresi kullanilarak bsd turevlerinde ise "Sequence number prediction" gibi nanelerden korunmak icin "modulate" gibi keyword'ler kullanilir. Boyle bir durumda yazida belirtilen bind edilmis porta disaridan ulasilabilmesi mumkun gozukmuyor.
Ozellikle IDS, Anomality Detection sistemleri kullanan. Makalede anlatilan yontem etkin bir raporlama ve siradan bir takip'e sahip sistemlerde cok cok kolay farkedilebilecek stealth olmayan bir yonteme benziyor. Ozellikle process list'te process gizleme ya da socket gizlemek icin ozellikle sistemdeki binary'lerin degistirilmesi gibi bir yonteme gidilirse ve biraz daha incelenirse sanirim daha yaratici ve stealth bir yontemler zinciri gelistirilerek dokumante edilebilir.
Türkiye´de Online Alışveriş Tehlikesi ( 79)
Hala duruma algilayamamis, bunun bir acik olmadigini dusunen arkadaslar icin belirteyim. Garanti bugun tum vpos musterilerine mail atarak GET methodu kullanan vpos musterilerine verilen hizmetin kesilecegini belirtmis.
Asagida sitebuilders listesine Garanti''''den Berk bey''''in attigi mail yer aliyor, ilk paragrafi dahi okumak durumun kabullenildigini anlamak icin yeterli. Gerisi tamamen konuyla alakasiz olasiliklar ve karsilastirmalardan ibaret;
================== SNIP ====================
Return-Path:
Delivered-To: ts@securityoffice.net
Received: (qmail 25127 invoked from network); 24 Apr 2003 14:20:44 -0000
Received: from unknown (HELO sitebuilders.org) ([212.133.168.133]) (envelope-sender )
by 212.98.247.194 (qmail-ldap-1.03) with SMTP
for ; 24 Apr 2003 14:20:44 -0000
Received: from dmzexc9.garanti.com.tr [194.29.208.15] by sitebuilders.org with ESMTP
(SMTPD32-7.00) id AAAD4E30094; Thu, 24 Apr 2003 12:13:17 +0300
Received: from gnmexc1.fw.garanti.com.tr ([10.238.102.25]) by dmzexc9 with InterScan Messaging Security Suite; Thu, 24 Apr
2003 12:11:07 +0300
Received: from GNMEXCV11.fw.garanti.com.tr ([10.238.100.80]) by gnmexc1.fw.garanti.com.tr with Microsoft
SMTPSVC(5.0.2195.5329);
Thu, 24 Apr 2003 12:15:19 +0300
Return-Receipt-To: Berke Rahmi Baydu (Gr.Odeme.Sis.-AR-GE)
Subject: [Teknik] Turkiye''''''''de Online Alisveris Tehlikesi
MIME-Version: 1.0
Content-Type: text/plain;
charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable
Disposition-Notification-To: Berke Rahmi Baydu (Gr.Odeme.Sis.-AR-GE)
X-MIMEOLE: Produced By Microsoft Exchange V6.0.6375.0
Date: Thu, 24 Apr 2003 12:15:19 +0300
content-class: urn:content-classes:message
Message-ID:
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
Thread-Topic: Re[4]: [Sosyal] [Teknik] Turkiye''''''''de Online Alisveris Tehlikesi
Thread-Index: AcMJuGZaUNjIUN4cS/2igQCuNtKUsQAfjVdg
From: Berke Rahmi Baydu (Gr.Odeme.Sis.-AR-GE)
To:
Cc:
Return-Path: BerkeB@garanti.com.tr
X-OriginalArrivalTime: 24 Apr 2003 09:15:19.0271 (UTC) FILETIME=[06AE4770:01C30A42]
Precedence: bulk
Sender: teknik-owner@sitebuilders.org
Reply-To: teknik@sitebuilders.org
Merhaba,
Banka olarak hazirladigimiz cevap yazisi hazirlana dursun, ben size olayin teknik tarafini daha geç kalmadan açiklamak
istiyorum. Sorulariniz varsa yanitlayabilirim.
Makaledeki suçlamalara 2 ayri açidan bakarak itiraz ediyorum:
1. CGI''''''''in GET ile kullanilmasi konusu:
a - CGI programimiz hem GET hem de POST metodu ile gönderilen bilgileri almak üzere tasarlanmistir. GET metodu,
site üzerinde ayarlarin yapilmasi sirasinda debug için kullanilmasi için açik birakilmistir. 2002 yilina kadar, CGI ile
birlikte verdigimiz örnek html kodlarinda bu sebeple GET yöntemi kullaniliyordu. Ancak bu örnekler 2002 sonrasinda yanlis
anlamalar olabilecegi ihtimaline karsi bu örnekler POST metodu kullanir sekilde degistirildi.
b - Sunucu üzerinde yapilan bazi degisiklikler ile POST metodu ile gönderilen bilgilerin de loglanmasi mümkündür.
Bunun yaninda, bilgiler firma sunucusuna gönderildigi için, firma tarafindan bu bilgilerin kaydedilmesi her zaman ve her
sekilde mümkündür. Tüm ticari iliskiler (gerçek veya sanal) karsilikli güven iliskisine dayanir. Banka olarak firmalarin SSL
sertifikalarini dahi mümkün oldugunca kontrol edip, standat disinda olan veya sistemlerinde güvensizlik görülen firmalari
uyariyoruz. Tüm firmalarimiza kart bilgilerini depolamamalari ile ilgili bilgilendirme yapiyoruz. Müsteri''''''''den firma sitesine
gönderilen form içinde yer alan bilgilerin loglanabilir olmasi bankamizin yarattigi bir durum degil Internet''''''''in genel yapisi
geregidir.
c - Yukaridaki iki maddeyi birlikte göz önüne alarak, iddialar suna benzetilebilir. Silah üretip satan bir firma,
bu silah kullanilarak kaza sonucu veya bilerek islenen bir cinayetten sorumlu tutulamaz. Firma silah üzerine emniyet kilidi
koyarak elinden geleni yapmistir. Silah alan bir kisi, bu silah ile bir insana ates ettiginde öldürecegi bilgisine sahiptir.
Bu gibi bir cinayet sonrasinda Baretta marka tabancalar sahiplerini cinayet islemeye itiyor ve bu tabancalarin hepsi
cinayet islemek için kullaniliyor ifadesi kurulmasi ne kadar mümkündür?
2. Tüm Sanal POS kullanan firmalarimiz güvensiz olmasi konusu:
Su anda Sanal POS sistemimiz olarak Clear Commerce 3.5 yazilimini kullaniyoruz. Müsterilerimize sistemi alttaki
sekillerde kullanma imkani sagliyoruz :
a - Windows sistemler için DCOM
b - Windows sistemler için CGI
c - Unix Sistemler için CGI
d - Java API
e - Ortak Ödeme Sayfasi
Bunlar içinde en çok kullanilan yöntem Windows sistemler üzerinde kullanilan DCOM''''''''dur (yaklasik %98 oraninda) ve
bildiginiz gibi iddia edilen durum DCOM kullanan firmalar için geçerli degildir. Özellikle, ismini bildiginiz ve çok islem
yapilan sanal magazalarin hepsi Windows Componentini kullanmaktadir. Windows veya Unix sistemler üzerinde CGI kullanan firma
sayimiz ise çok azdir. Bu firmalarin siteleri üzerinde yaptigimiz incelemelerde POST metodunun kullanildigini gördük. Bu
konuda firmalarimiza ayrica bir bilgilendirme de yapmistik. Eger iddia edilen, gerçek bir açik olsaydi bile bundan etkilenen
sanal magaza sayisi 1 veya 2 olacakti.
Sonuç itibariyle :
- Sorun diye bahsedilen durum hatali kullanim sebebiyle olusmaktadir ve Garanti Bankasi''''''''ndan kaynaklanmamaktadir.
- Sanal magazalarin %0,5''''''''inde bile yasanmamaktadir
- Garanti Bankasi bu güne kadar, sektörü bilinçlendirmek ve islemlerin güvenligini saglamak adina her türlü yatirim
ve çalismayi yapmistir, yapmaya devam etmektedir ve ileride de yapacaktir.
Özel Not :
Bir güvenlik sitesinin SSL sertifikasinin ne kadar ciddi oldugundan o sitenin ve kisinin ciddiyeti konusunda bilgi
edinilebilir. Bir SSL sertifikasinda:
- Güvenilir bir kurumdan alinmis olmalidir.
- Son kullanma tarihi geçmemis olmalidir.
- Sertifika adi ile domain name uyusmalidir.
https://www.securityoffice.net ssl sertifikasini incelemenizi öneririm.
Iyi çalismalar,
===================================
Berke Rahmi Baydu
GARANTI e-Ticaret
E-ticaret Yardim Hatti : 444 0 333 /5
t : +90 (212) 318 15 75
w : http://eticaret.garanti.com.tr
w : http://www.garantialisveris.com
===================================
================== SNIP ====================
Bunun uzerine benim cevabim ve bu aciklamaya dair yorumum,
================== SNIP ====================
Return-Path:
Delivered-To: ts@securityoffice.net
Received: (qmail 2992 invoked from network); 24 Apr 2003 15:19:23 -0000
Received: from unknown (HELO sitebuilders.org) ([212.133.168.133]) (envelope-sender )
by 212.98.247.194 (qmail-ldap-1.03) with SMTP
for ; 24 Apr 2003 15:19:23 -0000
Received: from dunya.onar.com.tr [212.98.247.194] by sitebuilders.org with ESMTP
(SMTPD32-7.00) id AC2A763008A; Thu, 24 Apr 2003 18:00:58 +0300
Received: (qmail 690 invoked from network); 24 Apr 2003 15:03:02 -0000
Received: from unknown (HELO barbarian) (alper@[195.174.230.117]) (envelope-sender )
by 212.98.247.194 (qmail-ldap-1.03) with SMTP
for ; 24 Apr 2003 15:03:02 -0000
Date: Thu, 24 Apr 2003 21:01:13 +0300
From: Tamer Sahin
To: teknik@sitebuilders.org
Cc: sosyal@sitebuilders.org
Subject: Re: [Teknik] Turkiye''''''''de Online Alisveris Tehlikesi
Message-Id:
In-Reply-To:
References:
Organization: http://www.securityoffice.net
X-Mailer: Sylpheed version 0.8.11 (GTK+ 1.2.10; i386-redhat-linux-gnu)
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Precedence: bulk
Sender: teknik-owner@sitebuilders.org
Reply-To: teknik@sitebuilders.org
Sonuc olarak goruyoruzki Berke beyin asagidaki satirlarla belirttigi gibi boyle bir acik 2002 yilina kadar dagitilan vpos
scriptlerinde bulunuyormus,
=============== SNIP ===============
2002 yilina kadar, CGI ile birlikte verdigimiz örnek html kodlarinda bu sebeple GET yöntemi kullaniliyordu.
=============== SNIP ===============
Aslina bakarsaniz bana GB''''''''den Tunc bey tarafindan bana yapilan ilk aciklamada 2002 yili ortalari gibi bir zaman
zikredilmisti. Bu yuzden ben bu tarihi baz alarak konusuyorum. Bu acik 2002 ortasindan itibaren farkedildi ve ornek formda
POST ile degistirilerek dagitilmaya baslandi. Bu soylenenlerin hepsi makalede de yer aliyor. Bundan sonraki kisimlari
tamamen konuyla alakasiz atip tutmalardan, olasilik hesaplamalarindan ibaret. Biz burada merchant''''''''in yapabilecegi evil
aktivitelerden degil bu GET methodundan kaynaklanan zaafiyetten bahsediyoruz. Dolayisiyla GB''''''''nin aciklamasina gore bu acik
varmis ve su anda risk altinda olan belli merchant kitlesi var (tabiiki %0.5''''''''in altinda bir rakam degil bu cok daha fazla)
Bunlara yaklasik 2 ay once GB uyarildiginda haber verilmeye baslanmisti. Bundanda sitedeki yazida belirtiliyor.
Dolayisiyla sitedeki yazida belirtilmemis, belirtilmemis ya da yanlis aksettirilmis bir sey yok. Banka acigini kabul
ediyorsa ve bunu duzeltmek icin gerekli adimlari atmissa ne mutlu.
Serverdaki numaralari Server''''''''a giren bir hacker''''''''da ya da admin''''''''de kendisi loglayabilir vs. vs. gibi yorumlar var. Bu
yorumlar kismen dogrudur. Fakat her OS''''''''ta belli bir User Privilige vardir. Dolayisiyla normal bir kullanici ile admin''''''''in
access''''''''i olan dosyalar farklidir ve normal bir kullanicinin haklari bir administrator''''''''a gore cok daha kisitlidir. Fakat bu
durumda normal bir kullanici''''''''da sunucuya access''''''''i varsa log dosyalarina ulasarak kredi karti numaralarini gorebilir. Ya da
bir hosting hizmeti aliyorsa ufak bir ASP scriptiyle webserverdaki log dosyalarini administrator''''''''dan habersiz parse
edebilir. Yani burada bahsedilen tehdit tum kart numaralarinin guvensiz olarak loglanmasi ve bunlarin belli bir normal User
privilige dogrultusunda ulasilabilir oldugudur. Windows icinde gecerli olsa dahi windows komplike bir sekilde multi user
environment olmadigindan bunu *nix asina arkadaslar daha iyi anlayacaklardir.
Senaryolara gelecek olursak. Farzedelimki sunucuya bir Hacker erisim sagladi. Eger iyi bir sistem yoneticisi iseniz zaten
belli kisa bir sure sonra bunu farkedersiniz, kimi log ya da servislerdeki anormalliklerden ya da web sitesinde yapilacak
bir degisiklik yani bir defacement yuzunden. Bu durumda ugrayacaginiz zarar ya da diyelimki formdaki degistirilen POST
methodunun GET habersiz yapilmasi ya da ek bir scriptle kredi karti numaralarinin loglanmasinin verecegi zarar olabilir.
Peki dusunun bunlarin belli bir surec icerisinde loglanmasimi merchant''''''''a daha fazla zarar verdirir yoksa log dosyalarinda
binlerce kredi kartinin hazir durmasi ve bir Hacker''''''''in bunlari saniyeler icerisinde alip gitmesimi. Risk derecesini olcecek
olursak pek tabiiki bir yerde hazir duran bilgi bir surec icerisinde toplanacak bilgiden her zaman daha fazla, tatmin edici,
merchant acisindan ise bir o kadar daha zararli olacaktir.
Berke bey''''''''in aciklamasindaki ilk paragrafi okumak zaten durumu ve makelenin gercekligini ispatliyor. Geri kalanlar konuyla
alakasiz olasiliklar ve karsilastirmalardan ibaret.
Benim savundugum cozum ise. Su Payworks Payment Gatewayin merchant tarafinda calisan scriptlerinin revize edilmesi
yonunde. Cunku hala GET methodu scriptte yer aliyor ve yanlis hatirlamiyorsam 1995 ya da 1996 yillarinda development''''''''i
yapilmis ve bugun icin guncelligini ve guvenilirligini yitirmis bir yapiya sahip. En azindan README''''''''lerde bu tarz
zaafiyetlere karsi etkin uyarilar konulmasi dahi merchant''''''''lar icin faydali olacagina inaniyorum.
Umarim GB bu makaleden gereken dersi almistir ve guvenligin bir cok alanda ozellikle uygulama guvenliginin ne derece kritik
bir konu oldugunu kavramistir. Tabiiki daha bunlar buz daginin gorunen kismi emin olun daha kotuleri var ve sureklide
olacak. Fakat bu urunlere ve hizmetlere spesifik zayifliklar yurt disindaki gibi artik Turkiye''''''''de de aciklanacak. Etrafta
atip tutan caylaklar disinda tanidigin gercekten guru guvenlik uzerine calisan insanlar var. Umarim onlarda bu tarz
zaafiyetleri arastirip yayinlarlar boylece buyuk kurumlar tarafindan bu tarz kritik zaafiyetler ustu kapatilarak unutulmaya
birakilmaz. Bu konuda bir yol almamiz ancak dunyada oldugu gibi Turkiye''''''''de de bu konuda teknik elestiri iceren makaleler,
guvenlik duyurulari ile olacaktir.
Herkese iyi calismalar,
Tamer Sahin
http://www.securityoffice.net
================== SNIP ====================
Asagida sitebuilders listesine Garanti''''den Berk bey''''in attigi mail yer aliyor, ilk paragrafi dahi okumak durumun kabullenildigini anlamak icin yeterli. Gerisi tamamen konuyla alakasiz olasiliklar ve karsilastirmalardan ibaret;
================== SNIP ====================
Return-Path:
Delivered-To: ts@securityoffice.net
Received: (qmail 25127 invoked from network); 24 Apr 2003 14:20:44 -0000
Received: from unknown (HELO sitebuilders.org) ([212.133.168.133]) (envelope-sender )
by 212.98.247.194 (qmail-ldap-1.03) with SMTP
for ; 24 Apr 2003 14:20:44 -0000
Received: from dmzexc9.garanti.com.tr [194.29.208.15] by sitebuilders.org with ESMTP
(SMTPD32-7.00) id AAAD4E30094; Thu, 24 Apr 2003 12:13:17 +0300
Received: from gnmexc1.fw.garanti.com.tr ([10.238.102.25]) by dmzexc9 with InterScan Messaging Security Suite; Thu, 24 Apr
2003 12:11:07 +0300
Received: from GNMEXCV11.fw.garanti.com.tr ([10.238.100.80]) by gnmexc1.fw.garanti.com.tr with Microsoft
SMTPSVC(5.0.2195.5329);
Thu, 24 Apr 2003 12:15:19 +0300
Return-Receipt-To: Berke Rahmi Baydu (Gr.Odeme.Sis.-AR-GE)
Subject: [Teknik] Turkiye''''''''de Online Alisveris Tehlikesi
MIME-Version: 1.0
Content-Type: text/plain;
charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable
Disposition-Notification-To: Berke Rahmi Baydu (Gr.Odeme.Sis.-AR-GE)
X-MIMEOLE: Produced By Microsoft Exchange V6.0.6375.0
Date: Thu, 24 Apr 2003 12:15:19 +0300
content-class: urn:content-classes:message
Message-ID:
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
Thread-Topic: Re[4]: [Sosyal] [Teknik] Turkiye''''''''de Online Alisveris Tehlikesi
Thread-Index: AcMJuGZaUNjIUN4cS/2igQCuNtKUsQAfjVdg
From: Berke Rahmi Baydu (Gr.Odeme.Sis.-AR-GE)
To:
Cc:
Return-Path: BerkeB@garanti.com.tr
X-OriginalArrivalTime: 24 Apr 2003 09:15:19.0271 (UTC) FILETIME=[06AE4770:01C30A42]
Precedence: bulk
Sender: teknik-owner@sitebuilders.org
Reply-To: teknik@sitebuilders.org
Merhaba,
Banka olarak hazirladigimiz cevap yazisi hazirlana dursun, ben size olayin teknik tarafini daha geç kalmadan açiklamak
istiyorum. Sorulariniz varsa yanitlayabilirim.
Makaledeki suçlamalara 2 ayri açidan bakarak itiraz ediyorum:
1. CGI''''''''in GET ile kullanilmasi konusu:
a - CGI programimiz hem GET hem de POST metodu ile gönderilen bilgileri almak üzere tasarlanmistir. GET metodu,
site üzerinde ayarlarin yapilmasi sirasinda debug için kullanilmasi için açik birakilmistir. 2002 yilina kadar, CGI ile
birlikte verdigimiz örnek html kodlarinda bu sebeple GET yöntemi kullaniliyordu. Ancak bu örnekler 2002 sonrasinda yanlis
anlamalar olabilecegi ihtimaline karsi bu örnekler POST metodu kullanir sekilde degistirildi.
b - Sunucu üzerinde yapilan bazi degisiklikler ile POST metodu ile gönderilen bilgilerin de loglanmasi mümkündür.
Bunun yaninda, bilgiler firma sunucusuna gönderildigi için, firma tarafindan bu bilgilerin kaydedilmesi her zaman ve her
sekilde mümkündür. Tüm ticari iliskiler (gerçek veya sanal) karsilikli güven iliskisine dayanir. Banka olarak firmalarin SSL
sertifikalarini dahi mümkün oldugunca kontrol edip, standat disinda olan veya sistemlerinde güvensizlik görülen firmalari
uyariyoruz. Tüm firmalarimiza kart bilgilerini depolamamalari ile ilgili bilgilendirme yapiyoruz. Müsteri''''''''den firma sitesine
gönderilen form içinde yer alan bilgilerin loglanabilir olmasi bankamizin yarattigi bir durum degil Internet''''''''in genel yapisi
geregidir.
c - Yukaridaki iki maddeyi birlikte göz önüne alarak, iddialar suna benzetilebilir. Silah üretip satan bir firma,
bu silah kullanilarak kaza sonucu veya bilerek islenen bir cinayetten sorumlu tutulamaz. Firma silah üzerine emniyet kilidi
koyarak elinden geleni yapmistir. Silah alan bir kisi, bu silah ile bir insana ates ettiginde öldürecegi bilgisine sahiptir.
Bu gibi bir cinayet sonrasinda Baretta marka tabancalar sahiplerini cinayet islemeye itiyor ve bu tabancalarin hepsi
cinayet islemek için kullaniliyor ifadesi kurulmasi ne kadar mümkündür?
2. Tüm Sanal POS kullanan firmalarimiz güvensiz olmasi konusu:
Su anda Sanal POS sistemimiz olarak Clear Commerce 3.5 yazilimini kullaniyoruz. Müsterilerimize sistemi alttaki
sekillerde kullanma imkani sagliyoruz :
a - Windows sistemler için DCOM
b - Windows sistemler için CGI
c - Unix Sistemler için CGI
d - Java API
e - Ortak Ödeme Sayfasi
Bunlar içinde en çok kullanilan yöntem Windows sistemler üzerinde kullanilan DCOM''''''''dur (yaklasik %98 oraninda) ve
bildiginiz gibi iddia edilen durum DCOM kullanan firmalar için geçerli degildir. Özellikle, ismini bildiginiz ve çok islem
yapilan sanal magazalarin hepsi Windows Componentini kullanmaktadir. Windows veya Unix sistemler üzerinde CGI kullanan firma
sayimiz ise çok azdir. Bu firmalarin siteleri üzerinde yaptigimiz incelemelerde POST metodunun kullanildigini gördük. Bu
konuda firmalarimiza ayrica bir bilgilendirme de yapmistik. Eger iddia edilen, gerçek bir açik olsaydi bile bundan etkilenen
sanal magaza sayisi 1 veya 2 olacakti.
Sonuç itibariyle :
- Sorun diye bahsedilen durum hatali kullanim sebebiyle olusmaktadir ve Garanti Bankasi''''''''ndan kaynaklanmamaktadir.
- Sanal magazalarin %0,5''''''''inde bile yasanmamaktadir
- Garanti Bankasi bu güne kadar, sektörü bilinçlendirmek ve islemlerin güvenligini saglamak adina her türlü yatirim
ve çalismayi yapmistir, yapmaya devam etmektedir ve ileride de yapacaktir.
Özel Not :
Bir güvenlik sitesinin SSL sertifikasinin ne kadar ciddi oldugundan o sitenin ve kisinin ciddiyeti konusunda bilgi
edinilebilir. Bir SSL sertifikasinda:
- Güvenilir bir kurumdan alinmis olmalidir.
- Son kullanma tarihi geçmemis olmalidir.
- Sertifika adi ile domain name uyusmalidir.
https://www.securityoffice.net ssl sertifikasini incelemenizi öneririm.
Iyi çalismalar,
===================================
Berke Rahmi Baydu
GARANTI e-Ticaret
E-ticaret Yardim Hatti : 444 0 333 /5
t : +90 (212) 318 15 75
w : http://eticaret.garanti.com.tr
w : http://www.garantialisveris.com
===================================
================== SNIP ====================
Bunun uzerine benim cevabim ve bu aciklamaya dair yorumum,
================== SNIP ====================
Return-Path:
Delivered-To: ts@securityoffice.net
Received: (qmail 2992 invoked from network); 24 Apr 2003 15:19:23 -0000
Received: from unknown (HELO sitebuilders.org) ([212.133.168.133]) (envelope-sender )
by 212.98.247.194 (qmail-ldap-1.03) with SMTP
for ; 24 Apr 2003 15:19:23 -0000
Received: from dunya.onar.com.tr [212.98.247.194] by sitebuilders.org with ESMTP
(SMTPD32-7.00) id AC2A763008A; Thu, 24 Apr 2003 18:00:58 +0300
Received: (qmail 690 invoked from network); 24 Apr 2003 15:03:02 -0000
Received: from unknown (HELO barbarian) (alper@[195.174.230.117]) (envelope-sender )
by 212.98.247.194 (qmail-ldap-1.03) with SMTP
for ; 24 Apr 2003 15:03:02 -0000
Date: Thu, 24 Apr 2003 21:01:13 +0300
From: Tamer Sahin
To: teknik@sitebuilders.org
Cc: sosyal@sitebuilders.org
Subject: Re: [Teknik] Turkiye''''''''de Online Alisveris Tehlikesi
Message-Id:
In-Reply-To:
References:
Organization: http://www.securityoffice.net
X-Mailer: Sylpheed version 0.8.11 (GTK+ 1.2.10; i386-redhat-linux-gnu)
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Precedence: bulk
Sender: teknik-owner@sitebuilders.org
Reply-To: teknik@sitebuilders.org
Sonuc olarak goruyoruzki Berke beyin asagidaki satirlarla belirttigi gibi boyle bir acik 2002 yilina kadar dagitilan vpos
scriptlerinde bulunuyormus,
=============== SNIP ===============
2002 yilina kadar, CGI ile birlikte verdigimiz örnek html kodlarinda bu sebeple GET yöntemi kullaniliyordu.
=============== SNIP ===============
Aslina bakarsaniz bana GB''''''''den Tunc bey tarafindan bana yapilan ilk aciklamada 2002 yili ortalari gibi bir zaman
zikredilmisti. Bu yuzden ben bu tarihi baz alarak konusuyorum. Bu acik 2002 ortasindan itibaren farkedildi ve ornek formda
POST ile degistirilerek dagitilmaya baslandi. Bu soylenenlerin hepsi makalede de yer aliyor. Bundan sonraki kisimlari
tamamen konuyla alakasiz atip tutmalardan, olasilik hesaplamalarindan ibaret. Biz burada merchant''''''''in yapabilecegi evil
aktivitelerden degil bu GET methodundan kaynaklanan zaafiyetten bahsediyoruz. Dolayisiyla GB''''''''nin aciklamasina gore bu acik
varmis ve su anda risk altinda olan belli merchant kitlesi var (tabiiki %0.5''''''''in altinda bir rakam degil bu cok daha fazla)
Bunlara yaklasik 2 ay once GB uyarildiginda haber verilmeye baslanmisti. Bundanda sitedeki yazida belirtiliyor.
Dolayisiyla sitedeki yazida belirtilmemis, belirtilmemis ya da yanlis aksettirilmis bir sey yok. Banka acigini kabul
ediyorsa ve bunu duzeltmek icin gerekli adimlari atmissa ne mutlu.
Serverdaki numaralari Server''''''''a giren bir hacker''''''''da ya da admin''''''''de kendisi loglayabilir vs. vs. gibi yorumlar var. Bu
yorumlar kismen dogrudur. Fakat her OS''''''''ta belli bir User Privilige vardir. Dolayisiyla normal bir kullanici ile admin''''''''in
access''''''''i olan dosyalar farklidir ve normal bir kullanicinin haklari bir administrator''''''''a gore cok daha kisitlidir. Fakat bu
durumda normal bir kullanici''''''''da sunucuya access''''''''i varsa log dosyalarina ulasarak kredi karti numaralarini gorebilir. Ya da
bir hosting hizmeti aliyorsa ufak bir ASP scriptiyle webserverdaki log dosyalarini administrator''''''''dan habersiz parse
edebilir. Yani burada bahsedilen tehdit tum kart numaralarinin guvensiz olarak loglanmasi ve bunlarin belli bir normal User
privilige dogrultusunda ulasilabilir oldugudur. Windows icinde gecerli olsa dahi windows komplike bir sekilde multi user
environment olmadigindan bunu *nix asina arkadaslar daha iyi anlayacaklardir.
Senaryolara gelecek olursak. Farzedelimki sunucuya bir Hacker erisim sagladi. Eger iyi bir sistem yoneticisi iseniz zaten
belli kisa bir sure sonra bunu farkedersiniz, kimi log ya da servislerdeki anormalliklerden ya da web sitesinde yapilacak
bir degisiklik yani bir defacement yuzunden. Bu durumda ugrayacaginiz zarar ya da diyelimki formdaki degistirilen POST
methodunun GET habersiz yapilmasi ya da ek bir scriptle kredi karti numaralarinin loglanmasinin verecegi zarar olabilir.
Peki dusunun bunlarin belli bir surec icerisinde loglanmasimi merchant''''''''a daha fazla zarar verdirir yoksa log dosyalarinda
binlerce kredi kartinin hazir durmasi ve bir Hacker''''''''in bunlari saniyeler icerisinde alip gitmesimi. Risk derecesini olcecek
olursak pek tabiiki bir yerde hazir duran bilgi bir surec icerisinde toplanacak bilgiden her zaman daha fazla, tatmin edici,
merchant acisindan ise bir o kadar daha zararli olacaktir.
Berke bey''''''''in aciklamasindaki ilk paragrafi okumak zaten durumu ve makelenin gercekligini ispatliyor. Geri kalanlar konuyla
alakasiz olasiliklar ve karsilastirmalardan ibaret.
Benim savundugum cozum ise. Su Payworks Payment Gatewayin merchant tarafinda calisan scriptlerinin revize edilmesi
yonunde. Cunku hala GET methodu scriptte yer aliyor ve yanlis hatirlamiyorsam 1995 ya da 1996 yillarinda development''''''''i
yapilmis ve bugun icin guncelligini ve guvenilirligini yitirmis bir yapiya sahip. En azindan README''''''''lerde bu tarz
zaafiyetlere karsi etkin uyarilar konulmasi dahi merchant''''''''lar icin faydali olacagina inaniyorum.
Umarim GB bu makaleden gereken dersi almistir ve guvenligin bir cok alanda ozellikle uygulama guvenliginin ne derece kritik
bir konu oldugunu kavramistir. Tabiiki daha bunlar buz daginin gorunen kismi emin olun daha kotuleri var ve sureklide
olacak. Fakat bu urunlere ve hizmetlere spesifik zayifliklar yurt disindaki gibi artik Turkiye''''''''de de aciklanacak. Etrafta
atip tutan caylaklar disinda tanidigin gercekten guru guvenlik uzerine calisan insanlar var. Umarim onlarda bu tarz
zaafiyetleri arastirip yayinlarlar boylece buyuk kurumlar tarafindan bu tarz kritik zaafiyetler ustu kapatilarak unutulmaya
birakilmaz. Bu konuda bir yol almamiz ancak dunyada oldugu gibi Turkiye''''''''de de bu konuda teknik elestiri iceren makaleler,
guvenlik duyurulari ile olacaktir.
Herkese iyi calismalar,
Tamer Sahin
http://www.securityoffice.net
================== SNIP ====================
Türkiye´de Online Alışveriş Tehlikesi ( 79)
Gazeteciler, onlarin yalanlari, haber saptirmalari ve abartmalarini anlayanlar sanirim sitedeki bir takim haberleri daha iyi degerlendirecektir.
Bunun disindakiler hopeless, onlara extra bir aciklama yapmama gerek yok. Buyuyunce anlarlar sanirim neyin ne oldugunu.
Eger yapilanlari, uretilenleri begenmeyenler varsa daha iyisini yapar. Bende gurur duyarim, sapka cikartirim. Ama birileri hicbirsey yapmayip bir kosede oturup anlamadigi konularda ahkam kesiyorsa o kisi hakkinda daha fazla yorum yapip safligini bu derece ortaya cikartmamak lazim.
Bunun disindakiler hopeless, onlara extra bir aciklama yapmama gerek yok. Buyuyunce anlarlar sanirim neyin ne oldugunu.
Eger yapilanlari, uretilenleri begenmeyenler varsa daha iyisini yapar. Bende gurur duyarim, sapka cikartirim. Ama birileri hicbirsey yapmayip bir kosede oturup anlamadigi konularda ahkam kesiyorsa o kisi hakkinda daha fazla yorum yapip safligini bu derece ortaya cikartmamak lazim.
Türkiye´de Online Alışveriş Tehlikesi ( 79)
Sitebuilders mail listine gelen bir mesajdan,
From: Gorkem Tezcanli
To: SITE TEKNIK
Bugun Garanti Bankasi HAKLI MUSTERI HATTI tarafindan bu konu ile ilgili arandim. Cunku merak edip boyle bir seyin olabilirligi konusunda bilgi almak istedim. Bana verilen bilgi de konunun arastirildigi ve kisa zamanda gerekli
bilginin verilecegi ile ilgili bir konusma gecti. Ayrica kredi karti yerine SANAL KART kullanmam tavsiye edildi.
Adeta kelimeler kifayetsiz...
From: Gorkem Tezcanli
To: SITE TEKNIK
Bugun Garanti Bankasi HAKLI MUSTERI HATTI tarafindan bu konu ile ilgili arandim. Cunku merak edip boyle bir seyin olabilirligi konusunda bilgi almak istedim. Bana verilen bilgi de konunun arastirildigi ve kisa zamanda gerekli
bilginin verilecegi ile ilgili bir konusma gecti. Ayrica kredi karti yerine SANAL KART kullanmam tavsiye edildi.
Adeta kelimeler kifayetsiz...
Türkiye´de Online Alışveriş Tehlikesi ( 79)
Benim bahsettigim biraz daha farkli. Ben daha profesyonel olarak Rusya'da, belli ulkelerde adeta sektor haline gelmis swapperlarla yapilan cc fraud'u kastediyordum. Bahsettigim internetten harcanacak 100-200 $ degil platin, american express kartlarla 30.000 $'lara kadar harcama yapilarak calinan kucuk servetler.
Onceki mesajimda belirttigim gibi herhangi bir para talebim olmadi Garanti bankasindan.
Onceki mesajimda belirttigim gibi herhangi bir para talebim olmadi Garanti bankasindan.
Türkiye´de Online Alışveriş Tehlikesi ( 79)
Bu arada unutmadan. Para istemek gibi bir sey soz konusu dahi degildir. Yukarida paste ettigim mailin basinda da zaten yayinlayacagimi bastan belirtmisim. Tavrimda bir degisiklik olmamisti.
Türkiye´de Online Alışveriş Tehlikesi ( 79)
Eger gercekten iyi niyetle bu yaziyi yazdiysaniz.
Hayir aksine oyle bir makale hazirlamak isterim. Pos makinalarinin telefon hatlarina takilan Swapper'lar ve sonraki surecteki kredi karti numarasinin HEX olarak alinip diger kartlarin kullanilmasi ile ilgili bir makale yazmak isterim.
Yinede insan dusunmuyor degil onuda karalamaya yonelik ya da illegal olarak degerlendirip birileri hakkimda dava acmasin :)
Hayir aksine oyle bir makale hazirlamak isterim. Pos makinalarinin telefon hatlarina takilan Swapper'lar ve sonraki surecteki kredi karti numarasinin HEX olarak alinip diger kartlarin kullanilmasi ile ilgili bir makale yazmak isterim.
Yinede insan dusunmuyor degil onuda karalamaya yonelik ya da illegal olarak degerlendirip birileri hakkimda dava acmasin :)
Türkiye´de Online Alışveriş Tehlikesi ( 79)
Asagida Garanti Bankasi Eticaret Direktoru Savas Sakar''a gonderilen mail yer aliyor. Umarim kuskulari gidermek icin yeterli olur.
=============== SNIP ===============
Date: Wed, 5 Mar 2003 01:04:31 +0200
From: Tamer Sahin
X-Mailer: The Bat! (v1.62i) Personal
Reply-To: Tamer Sahin
Organization: http://www.securityoffice.net
X-Priority: 3 (Normal)
Message-ID:
To: SavasS@garanti.com.tr
Subject: Online Shopping
MIME-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
-----BEGIN PGP SIGNED MESSAGE-----
Hash: MD5
Merhaba Savas Bey,
Online alisveris icin hazirladiginiz ve alisveris sitelere verdiginiz paycgi
scriptindeki bir guvenlik acigi ile ilgili bir sey kesfettim. Aslina
bakarsaniz konu ile ilgili turkce bir makale ve uluslararasi
yayinlayacagim guvenlik duyurusunuda hazirladim fakat henuz public
olarak yayinlamadim.
Once sizin fikrinizi almak istedim. Konu su. Sizin alisveris
sitelerine verdiginiz paycgi isimli cgi program kredi karti numarasi
ve diger kritik bilgileri herhangi bir sifreleme, encoding''den
gecirmeden iletiyor.
paycgi programina gonderilen degiskenler gizli degil ve degisken
isimlerinden kolayca anlasilabilecegi gibi kredi karti numaralari ve
diger kisisel bilgiler acik bir sekilde gonderiliyor. Bu bilgilerin
plain text olarak gonderilmesi demek tum kredi karti bilgilerinin
alisveris sitesinin log''larinda yer almasi demek.
- --------------------- ORNEK ----------------------
x.x.x.x - - [03/Mar/2003:14:35:35 +0200] GET /cgi-bin/paycgi?oid=&total=14160000&
cardno=54000000000003&expmonth=05&expyear=03&cv2=&aciklama=&firma=&email=&prodinfo
=ASAGLOBAL+-+HESABA+PARA+YATIRMA&userid=&phone=&Bname=Ahmet Mehmet&Baddr1=&Baddr2=&
Bcity=&Bzip=&Bcountry=&Sname=&Saddr1=&Saddr2=&Scity=&Szip=&Scountry= HTTP/1.0 200 67
- --------------------- ORNEK ----------------------
Dolayisiyla bu bilgilerin sunucuda yer almasi Internette verilen
kredi karti bilgilerinin kullanici ile banka arasinda sifrelenerek,
ucuncu bir kisi tarafindan ulasilmayacak sekilde gidip gelme,
saklanma tanimina ve gizlilige son derece ters dusuyor.
Bu sekilde goz attigim sistemlerde binlerce kredi karti bilgisiyle
karsilastim. Su ana kadar Garanti ve Akbank bu zayifliktan etkilenen
Payworks Payment Gateway payment uygulamasini kullaniyor.
Bu zayiflik sayesinde alisveris sitesinin tutuldugu sunucuya erisimi olan
herhangi bir kullanici (admin ya da root olmasi gerekmiyor) kredi
karti numaralarina web server loglarindan kolayca ulasabilir ve dahasi
sunucuya erisim saglamis bir hacker bu kartlari elde edebilir.
Bu konuda ne dusundugunuzu merak ettim.
Iyi Calismalar,
Tamer Sahin
http://www.securityoffice.net
-----BEGIN PGP SIGNATURE-----
Version: 2.6
iQEVAwUAPmUxB/pL5ibJRTtBAQHIEgf/cZ+7oXfrRJ5BBEuBr7mkvY0mHPVfVDO8
G4BFjMCG6+6EzmVdMF2wjrUV+jXHzQEb0t/d5i4sNV4L1t3RBN6cf6lexfD3Cpta
waqeq0mA20YdOEPV1pKEHAEcOBDWWaP3rXFMzR/sVV6K+CC2Dw19ohW/HLyXO9G5
Ur5iQAc+1RiSVqP0my9mGiBrEjSLVFv5q5rTIsYHDzB9y49a10rGto3acOsz2sxY
dD3S8SIvWUU/qbFTP6nXibeJykhuuA3KaUZPvMB9pInyS4I+f8gR+0E7IeJa/oSc
xSZLZFXlfb2W953OnbM9NVnuDn00axkblzyvUHa6Yscmk/z2tkThwg==
=2ibG
-----END PGP SIGNATURE-----
=============== SNIP ===============
=============== SNIP ===============
Date: Wed, 5 Mar 2003 01:04:31 +0200
From: Tamer Sahin
X-Mailer: The Bat! (v1.62i) Personal
Reply-To: Tamer Sahin
Organization: http://www.securityoffice.net
X-Priority: 3 (Normal)
Message-ID:
To: SavasS@garanti.com.tr
Subject: Online Shopping
MIME-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
-----BEGIN PGP SIGNED MESSAGE-----
Hash: MD5
Merhaba Savas Bey,
Online alisveris icin hazirladiginiz ve alisveris sitelere verdiginiz paycgi
scriptindeki bir guvenlik acigi ile ilgili bir sey kesfettim. Aslina
bakarsaniz konu ile ilgili turkce bir makale ve uluslararasi
yayinlayacagim guvenlik duyurusunuda hazirladim fakat henuz public
olarak yayinlamadim.
Once sizin fikrinizi almak istedim. Konu su. Sizin alisveris
sitelerine verdiginiz paycgi isimli cgi program kredi karti numarasi
ve diger kritik bilgileri herhangi bir sifreleme, encoding''den
gecirmeden iletiyor.
paycgi programina gonderilen degiskenler gizli degil ve degisken
isimlerinden kolayca anlasilabilecegi gibi kredi karti numaralari ve
diger kisisel bilgiler acik bir sekilde gonderiliyor. Bu bilgilerin
plain text olarak gonderilmesi demek tum kredi karti bilgilerinin
alisveris sitesinin log''larinda yer almasi demek.
- --------------------- ORNEK ----------------------
x.x.x.x - - [03/Mar/2003:14:35:35 +0200] GET /cgi-bin/paycgi?oid=&total=14160000&
cardno=54000000000003&expmonth=05&expyear=03&cv2=&aciklama=&firma=&email=&prodinfo
=ASAGLOBAL+-+HESABA+PARA+YATIRMA&userid=&phone=&Bname=Ahmet Mehmet&Baddr1=&Baddr2=&
Bcity=&Bzip=&Bcountry=&Sname=&Saddr1=&Saddr2=&Scity=&Szip=&Scountry= HTTP/1.0 200 67
- --------------------- ORNEK ----------------------
Dolayisiyla bu bilgilerin sunucuda yer almasi Internette verilen
kredi karti bilgilerinin kullanici ile banka arasinda sifrelenerek,
ucuncu bir kisi tarafindan ulasilmayacak sekilde gidip gelme,
saklanma tanimina ve gizlilige son derece ters dusuyor.
Bu sekilde goz attigim sistemlerde binlerce kredi karti bilgisiyle
karsilastim. Su ana kadar Garanti ve Akbank bu zayifliktan etkilenen
Payworks Payment Gateway payment uygulamasini kullaniyor.
Bu zayiflik sayesinde alisveris sitesinin tutuldugu sunucuya erisimi olan
herhangi bir kullanici (admin ya da root olmasi gerekmiyor) kredi
karti numaralarina web server loglarindan kolayca ulasabilir ve dahasi
sunucuya erisim saglamis bir hacker bu kartlari elde edebilir.
Bu konuda ne dusundugunuzu merak ettim.
Iyi Calismalar,
Tamer Sahin
http://www.securityoffice.net
-----BEGIN PGP SIGNATURE-----
Version: 2.6
iQEVAwUAPmUxB/pL5ibJRTtBAQHIEgf/cZ+7oXfrRJ5BBEuBr7mkvY0mHPVfVDO8
G4BFjMCG6+6EzmVdMF2wjrUV+jXHzQEb0t/d5i4sNV4L1t3RBN6cf6lexfD3Cpta
waqeq0mA20YdOEPV1pKEHAEcOBDWWaP3rXFMzR/sVV6K+CC2Dw19ohW/HLyXO9G5
Ur5iQAc+1RiSVqP0my9mGiBrEjSLVFv5q5rTIsYHDzB9y49a10rGto3acOsz2sxY
dD3S8SIvWUU/qbFTP6nXibeJykhuuA3KaUZPvMB9pInyS4I+f8gR+0E7IeJa/oSc
xSZLZFXlfb2W953OnbM9NVnuDn00axkblzyvUHa6Yscmk/z2tkThwg==
=2ibG
-----END PGP SIGNATURE-----
=============== SNIP ===============
Türkiye´de Online Alışveriş Tehlikesi ( 79)
Bahsettiginiz Ethical Hacking karsidaki kurumun istegi olmadan yapilan bir uygulama degildir. Dolayisiyla bu yayinlanan zayiflikta Ethical Hacking tanimina uymuyor.
Ayni zamanda olayin etik bolumune donecek olursak bu acik 1 ay onceden Garanti''ye bildirildi ve 1 ay boyunca beklenildi. Garanti''den soylenen Clientlarimizi bilgilendirmeye basladik, fakat bilemiyoruz bunu duzeltmek kendi insiyatiflerinde. Acik konusmak gerekirse bu acigi yayinlarsaniz Turkiye''de E-ticaret''in buyuk darbe alacagina inaniyoruz seklinde konustular. Burada Turkiye''de E-ticaret''in buyuk darbe alacagina inaniyoruz lafinin cevirisi ise Biz buyuk para kaybedecegiz.
Evet, kaybedecekler... Eger insanlarin paralarini emanet ettigi saygin bir kurum olduklarini o sunulan buyuk imaja uyduklarini dusunuyorlarsa, yanlis giden birseylerin aciga cikmasi icin kaybetmeyide ogrenecekler, ogrenmeliler.
Microsoft''un buldugum acigina gelince. ISA serverda bulunan o zayiflik icin Microsoft Security Response Team ile irtibata gectim ve kendileri patch cikaramayacaklarini windows kernel''ine kadar uzanan bir problem oldugunu ustu kapali belirttiler ve cok komik ama ISA server kullanilan yerlerde bu tarz saldirilar oldugundan Routerdan access list tanimlamak gerektigini onerdiler. Buna sadece ben degil GFI gibi ISA server''a komponent yazan dev bir yazilim firmasinin senior developerida kahkahalarla guldu. Her neyse sonucta kontak kuruldu belli bir sure beklendi ve acik yayinlandi.
Bu yayinlanan yazida advisory&makale karisimi bir yazidir ve bana kalirsa amacina ulasmistir. Eger sonunda bir bedel odenmesi gerekiyorsa kisa vadede bunun faturasi bana da cikacak olsa uzun vadede anlasilacaktir. En azindan belli bir kesimde yaygin su Ayibin ustunu ortmek mantalitesi unutulana kadar.
Ayni zamanda olayin etik bolumune donecek olursak bu acik 1 ay onceden Garanti''ye bildirildi ve 1 ay boyunca beklenildi. Garanti''den soylenen Clientlarimizi bilgilendirmeye basladik, fakat bilemiyoruz bunu duzeltmek kendi insiyatiflerinde. Acik konusmak gerekirse bu acigi yayinlarsaniz Turkiye''de E-ticaret''in buyuk darbe alacagina inaniyoruz seklinde konustular. Burada Turkiye''de E-ticaret''in buyuk darbe alacagina inaniyoruz lafinin cevirisi ise Biz buyuk para kaybedecegiz.
Evet, kaybedecekler... Eger insanlarin paralarini emanet ettigi saygin bir kurum olduklarini o sunulan buyuk imaja uyduklarini dusunuyorlarsa, yanlis giden birseylerin aciga cikmasi icin kaybetmeyide ogrenecekler, ogrenmeliler.
Microsoft''un buldugum acigina gelince. ISA serverda bulunan o zayiflik icin Microsoft Security Response Team ile irtibata gectim ve kendileri patch cikaramayacaklarini windows kernel''ine kadar uzanan bir problem oldugunu ustu kapali belirttiler ve cok komik ama ISA server kullanilan yerlerde bu tarz saldirilar oldugundan Routerdan access list tanimlamak gerektigini onerdiler. Buna sadece ben degil GFI gibi ISA server''a komponent yazan dev bir yazilim firmasinin senior developerida kahkahalarla guldu. Her neyse sonucta kontak kuruldu belli bir sure beklendi ve acik yayinlandi.
Bu yayinlanan yazida advisory&makale karisimi bir yazidir ve bana kalirsa amacina ulasmistir. Eger sonunda bir bedel odenmesi gerekiyorsa kisa vadede bunun faturasi bana da cikacak olsa uzun vadede anlasilacaktir. En azindan belli bir kesimde yaygin su Ayibin ustunu ortmek mantalitesi unutulana kadar.
Türkiye´de Online Alışveriş Tehlikesi ( 79)
Madem mail paste ediyorsunuz devamindaki yazismalarida paste edelim ne dersiniz?
============ SNIP ===============
Kimse sizi tehdit etmedi. Ya da bir sekilde boyle bir yazinin
yayinlanip/yayinlanmama garantisi verilmedi. Boyle bir yazi gonderildi
ve yayinlandi.
BRBGOSAG> Biz isimizi
BRBGOSAG> biliyoruz ve kendimize guveniyoruz. Aylardir bir acik bulmak icin e-ticaret sistemlerimizi
BRBGOSAG> denediginizi ve sonunda ancak bu makaleyi yazabildiginizi de biliyoruz.
BRBGOSAG> Ifade ozgurlugu insanlara asilsiz suclamalar yapmak hakki tanimaz. Dusuncelerini soylemek
BRBGOSAG> anlamina gelir. GB hizmetlerinin kotu/guvensiz oldugunu dusunuyorum bir ifadedir, GB kart
BRBGOSAG> bilgilerinizi caldiriyor bir suclamadir. Bunu ayirabilmenizi beklerdim.
Burada yazida belirtilen zaten belli bir zaafiyet. Eger siz bunun bir
zaafiyet oldugunu dusunmuyorsaniz gerekli makaleyi yazip yayinlarsiniz
hatta bize gonderirsiniz biz de bu makalenin icinde o yaziya yer
veririz. Burada tek tarafli bir suclama soz konusu degil. Ama gorulen
panik, olayin vehametini ve gercekligini ortaya koyuyor.
Asil benim sizden bekledigim. Bu konudaki makalenizi yazip buraya
listeye sunmaniz yonundeydi. Madem boyle buyuk bir kurum, bu derece
kendine guveniyor. Kendine olan guvenini gostererek,
konuya ne derece hakim oldugunu ortaya koyarak bu konuda ayrintili bir
aciklama yapmalidir. Hemen haksiz bir sekilde adalete siginarak degil.
BRBGOSAG> Etik davraniyormus izlenimi vererek internetin sagladigi anonimite ve hukukun yetersiz
BRBGOSAG> kaldigi noktalari kullanarak suc isliyorsunuz. Makalenin altina Anonymous / 21 Nisan 2003
BRBGOSAG> yazmis olmaniz bizim bildigimiz gercekleri degistirmiyor. Eminim mahkemede de makalenizin arkasinda
BRBGOSAG> duramayacaksiniz. Simdi oldugu gibi makaleyi yazmadiginizi savunacaksiniz. Hatta bize
BRBGOSAG> gonderdiginiz emailleri de siz gondermemistiniz degil mi?
BRBGOSAG> Bir sonraki mailim makaleye cevabimi iceriyor olacak ve bu konuyu daha fazla uzatmak
BRBGOSAG> istemedigim icin, terbiyesizce yazilan mesajlara cevap vermeyecegim.
BRBGOSAG> Berke Baydu
Mailimde hic bir sekilde terbiye sinirlarini asan bir uslup
kullanmadim. Tartismadan kacmak, olayi saptirmak icin bu bahaneye
siginiyorsaniz bunu hic yakistiramadim. Nedirki bu tavir? Aglayarak
annesine kosup sikayet eden bir cocuk davranisi adeta.
Bana kalirsa konuyu uzatalim. Hatta mutabik kalana kadar uzatalim. Eger benim vpos hizmeti alan musterimin web server
loglarinda 3000 tane kredi karti bilgisi ondan habersiz, banka tarafindan yapilan hatali bir bilgilendirme yuzunden yer
aliyorsa bunun hesabini birileri vermek zorunda. Ve bu kisinin sadece ifade ozgurlugunu kullanan yazar ya da sitesinde
yayinlayan adalete sevkedilecek olan ben olmadigim kesin...
Tamer Sahin
http://www.securityoffice.net
============ SNIP ===============
============== SNIP ================
From: sakcan@atacom.com.tr
Date: Tue, 22 Apr 2003 13:22:59 +0300
MIME-Version: 1.0
Content-type: text/plain; charset=UTF-8
Content-transfer-encoding: base64
Precedence: bulk
Sender: teknik-owner@sitebuilders.org
Reply-To: teknik@sitebuilders.org
mevzu beni ilgilendirmez ama eger boyle bisey varsa tamere tesekkur etmeniz
lazim.
size ters bi hareket olabilir ama belki binlerce yada milyonlarca kredi
kartı sahibine yapılmış bir iyiliktir bu.
tamerin yada baska birinin suç işlemesi beni ilgilendirmez. Bir müşteri
olarak tamerin değil gb nin güvenliği sağlamasını beklerim.
tamerin tarzı yalnış olsada boyle bişeyi bulmuş olması bence çok önemli.
ayibi örtmek yerine kapatmak makbuldür.
SA
============== SNIP ================
============ SNIP ===============
Kimse sizi tehdit etmedi. Ya da bir sekilde boyle bir yazinin
yayinlanip/yayinlanmama garantisi verilmedi. Boyle bir yazi gonderildi
ve yayinlandi.
BRBGOSAG> Biz isimizi
BRBGOSAG> biliyoruz ve kendimize guveniyoruz. Aylardir bir acik bulmak icin e-ticaret sistemlerimizi
BRBGOSAG> denediginizi ve sonunda ancak bu makaleyi yazabildiginizi de biliyoruz.
BRBGOSAG> Ifade ozgurlugu insanlara asilsiz suclamalar yapmak hakki tanimaz. Dusuncelerini soylemek
BRBGOSAG> anlamina gelir. GB hizmetlerinin kotu/guvensiz oldugunu dusunuyorum bir ifadedir, GB kart
BRBGOSAG> bilgilerinizi caldiriyor bir suclamadir. Bunu ayirabilmenizi beklerdim.
Burada yazida belirtilen zaten belli bir zaafiyet. Eger siz bunun bir
zaafiyet oldugunu dusunmuyorsaniz gerekli makaleyi yazip yayinlarsiniz
hatta bize gonderirsiniz biz de bu makalenin icinde o yaziya yer
veririz. Burada tek tarafli bir suclama soz konusu degil. Ama gorulen
panik, olayin vehametini ve gercekligini ortaya koyuyor.
Asil benim sizden bekledigim. Bu konudaki makalenizi yazip buraya
listeye sunmaniz yonundeydi. Madem boyle buyuk bir kurum, bu derece
kendine guveniyor. Kendine olan guvenini gostererek,
konuya ne derece hakim oldugunu ortaya koyarak bu konuda ayrintili bir
aciklama yapmalidir. Hemen haksiz bir sekilde adalete siginarak degil.
BRBGOSAG> Etik davraniyormus izlenimi vererek internetin sagladigi anonimite ve hukukun yetersiz
BRBGOSAG> kaldigi noktalari kullanarak suc isliyorsunuz. Makalenin altina Anonymous / 21 Nisan 2003
BRBGOSAG> yazmis olmaniz bizim bildigimiz gercekleri degistirmiyor. Eminim mahkemede de makalenizin arkasinda
BRBGOSAG> duramayacaksiniz. Simdi oldugu gibi makaleyi yazmadiginizi savunacaksiniz. Hatta bize
BRBGOSAG> gonderdiginiz emailleri de siz gondermemistiniz degil mi?
BRBGOSAG> Bir sonraki mailim makaleye cevabimi iceriyor olacak ve bu konuyu daha fazla uzatmak
BRBGOSAG> istemedigim icin, terbiyesizce yazilan mesajlara cevap vermeyecegim.
BRBGOSAG> Berke Baydu
Mailimde hic bir sekilde terbiye sinirlarini asan bir uslup
kullanmadim. Tartismadan kacmak, olayi saptirmak icin bu bahaneye
siginiyorsaniz bunu hic yakistiramadim. Nedirki bu tavir? Aglayarak
annesine kosup sikayet eden bir cocuk davranisi adeta.
Bana kalirsa konuyu uzatalim. Hatta mutabik kalana kadar uzatalim. Eger benim vpos hizmeti alan musterimin web server
loglarinda 3000 tane kredi karti bilgisi ondan habersiz, banka tarafindan yapilan hatali bir bilgilendirme yuzunden yer
aliyorsa bunun hesabini birileri vermek zorunda. Ve bu kisinin sadece ifade ozgurlugunu kullanan yazar ya da sitesinde
yayinlayan adalete sevkedilecek olan ben olmadigim kesin...
Tamer Sahin
http://www.securityoffice.net
============ SNIP ===============
============== SNIP ================
From: sakcan@atacom.com.tr
Date: Tue, 22 Apr 2003 13:22:59 +0300
MIME-Version: 1.0
Content-type: text/plain; charset=UTF-8
Content-transfer-encoding: base64
Precedence: bulk
Sender: teknik-owner@sitebuilders.org
Reply-To: teknik@sitebuilders.org
mevzu beni ilgilendirmez ama eger boyle bisey varsa tamere tesekkur etmeniz
lazim.
size ters bi hareket olabilir ama belki binlerce yada milyonlarca kredi
kartı sahibine yapılmış bir iyiliktir bu.
tamerin yada baska birinin suç işlemesi beni ilgilendirmez. Bir müşteri
olarak tamerin değil gb nin güvenliği sağlamasını beklerim.
tamerin tarzı yalnış olsada boyle bişeyi bulmuş olması bence çok önemli.
ayibi örtmek yerine kapatmak makbuldür.
SA
============== SNIP ================
Türkiye´de Online Alışveriş Tehlikesi ( 79)
Aslina bakarsaniz bu tarz zaafiyetler yurt disinda oldukca ozgur bir sekilde aciklanabiliyor. Bu tarz zaafiyetleri zaten kullanan kotu amacli insanlar var. Bunun aciga cikmasi ise bu kullanimlari tamamen durdurmak icin tek yontemdir.
Ayrica bu makale son derece etik cercevede hazirlanmistir. Garanti ile 1 ay onceden irtibat kurulmus vpos musterilerini haberdar etmeleri beklenmistir.
Biliyorum bu tarz bir seyi kabullenmek pek kolay degil. Belkide benimde kredi karti numaram bir sunucuda tutuluyor olabilir?. Fakat bu durumda suclu olan ben degil bizzat bankadir. Eger ben bugun musterimin web server loglarinda 3000 kadar kredi kartina rastliyorsam bunun sorumlusu bu zaafiyetin kapatilmasi icin 1 ay onceden haber veren ve daha sonra publicize eden ben olmamaliyim diye dusunuyorum.
Ayrica bu makale son derece etik cercevede hazirlanmistir. Garanti ile 1 ay onceden irtibat kurulmus vpos musterilerini haberdar etmeleri beklenmistir.
Biliyorum bu tarz bir seyi kabullenmek pek kolay degil. Belkide benimde kredi karti numaram bir sunucuda tutuluyor olabilir?. Fakat bu durumda suclu olan ben degil bizzat bankadir. Eger ben bugun musterimin web server loglarinda 3000 kadar kredi kartina rastliyorsam bunun sorumlusu bu zaafiyetin kapatilmasi icin 1 ay onceden haber veren ve daha sonra publicize eden ben olmamaliyim diye dusunuyorum.
Türkiye´de Online Alışveriş Tehlikesi ( 79)
Eger vpos kullanicisi olan varsa ve inceleme imkani varsa ayni zaafiyeti kendiside tespit edebilir.
Kredi karti bilgileri alisveris sitesinde konulan formdan bahsi gecen paycgi''a bu
cgi''dan da garantiye aktariliyor. Garantiye aktarimda bir problem yok.
Fakat formdan cgi''a aktarilirken GET methodu ile post ediliyor kredi
karti numarasi vs. bilgilerin bulundugu form. Bu nedenle web server
log dosyalarinda saklaniyor numaralar. Hem cgi''da boyle bir opsiyon
var hemde verilen template html''de GET ile gonderilmis. Degiskenler
vs. template formda yer aldigindan haliyle herkes o sablonu
kullaniyor.
Kod ekte, ilgili kod blogu ise asagida,
================== SNIP ====================
} else if (cgiStrEqNc(cgiRequestMethod, get)) {
/* The spec says this should be taken care of by
the server, but... it isn''t */
cgiContentLength = strlen(cgiQueryString);
if (cgiParseGetFormInput() != cgiParseSuccess) {
}
}
================== SNIP ====================
Lutfen kelimelerimizi, tanimlarimizi iyi secelim. Dusunmeden tanimadigimiz insanlar hakkinda yorum yapmayalim. Eger isteyen olursa paycgi.c kodunun tamamini gonderebilirim.
Kredi karti bilgileri alisveris sitesinde konulan formdan bahsi gecen paycgi''a bu
cgi''dan da garantiye aktariliyor. Garantiye aktarimda bir problem yok.
Fakat formdan cgi''a aktarilirken GET methodu ile post ediliyor kredi
karti numarasi vs. bilgilerin bulundugu form. Bu nedenle web server
log dosyalarinda saklaniyor numaralar. Hem cgi''da boyle bir opsiyon
var hemde verilen template html''de GET ile gonderilmis. Degiskenler
vs. template formda yer aldigindan haliyle herkes o sablonu
kullaniyor.
Kod ekte, ilgili kod blogu ise asagida,
================== SNIP ====================
} else if (cgiStrEqNc(cgiRequestMethod, get)) {
/* The spec says this should be taken care of by
the server, but... it isn''t */
cgiContentLength = strlen(cgiQueryString);
if (cgiParseGetFormInput() != cgiParseSuccess) {
}
}
================== SNIP ====================
Lutfen kelimelerimizi, tanimlarimizi iyi secelim. Dusunmeden tanimadigimiz insanlar hakkinda yorum yapmayalim. Eger isteyen olursa paycgi.c kodunun tamamini gonderebilirim.
HL2 - Kötü Son... ( 19)
http://www.securityoffice.net/foo/hl2/hl2_src.rar