Bilgi Güvenliği Rehberi
Kullanıcı girişi
Gezinti
En son ağ günlüğü gönderileri
- Firefox 3.5 : Dünyanın en popüler web tarayıcısı
- NoSQL ve cloud veritabanlarının geleceği
- McAfee'den yeni bir rapor: Mapping the Mal Web
- Banka Internet şubelerinde tek kullanımlık şifre zorunlu hale geliyor!
- Apple güvenlik güncellemeleri
- Google'dan DNS hizmeti
- Sevgililer Günü için çıkacak virüslere dikkat
- Firefox 3.0.6 çıktı
- UYDUNET Kullanıcıları Paylaştığınız Dosyalara Dikkat Edin !!!
- iWork09 virüsünü bulma ve silme
Son yorumlar
- Konu aşağıda verdiğim linkte
3 hafta 3 gün önce - ABA'dan Online Bankacılık için tavsiyeler
4 hafta 6 gün önce - Conficker hastahane bilgisayar sistemine bulaştı
7 hafta 1 gün önce - EPIC değişiklikler ile ilgili şikayette bulundu
7 hafta 1 gün önce - altaki adres örnek göstermektedir.
9 hafta 6 gün önce - Açıgınız Hakkında
10 hafta 4 saat önce - Sorunu çözdünzmü bilmiyorum
12 hafta 5 gün önce - agnet
13 hafta 6 gün önce - bilgilendirme için
15 hafta 5 gün önce - 5.5 milyar doLar ne demek ya
15 hafta 5 gün önce
“Hacker Safe” Tarafından Korunan 150 Milyon Dolarlık Alışveriş Sitesi Hacklendi
January 9, 2008 yazan eno7
Geçen ay “Hacker Safe” tarafından korunan bir e-ticaret sitesinde müşterilerin kredi kartı bilgilerinin de bulunduğu bilgiler ele geçirildi. 150 Milyon Dolar bütçeli Geeks.com adlı sitede hala “Hacker Safe” logosuna rastlayabilirsiniz. Site Cuma günü müşterilerine yolladığı mektupta sitenin geçen ay hacklendiği yazıyordu. Sitenin güvenlik sorumlusu Jerry L. Harken tarafından yollanan mektupta:
Yetkili olmayan 3. bir şahısın, isminizin, telefon numaranızın, e-mail adresinizin, kredi kartı numaranızın, kartın sona erme süresi bilgisinin ve kredi kartı doğrulama numaranızın da bulunduğu bir takım bilgileri ele geçirdiğini bildiriyordu, hala konuyu araştırdıklarını dile getiren yetkili, sitemizin hacklenerek bu bilgilerin ele geçirildiğini söyledi.
Geeks.com yetkilileri yaşanan bu olayı federal yetkililere ve Visa yetkililerine bildirdiklerini söyleyerek, müşterilerini az da olsa rahatlatmaya çalıştılar.
Aslında burada ilginç olan sitenin hergün “Hacker Safe” tarafından en son güvenlik açıklarına karşı korunduğunu belgeleyen ve tamamen “Hacker Safe” güvencesi altında olduğunu anlatan “Hacker Safe” logosunun sitede bulunması. Bu logoyu gören müşteriler ve site sahipleri kendilerini tamamen güvende zannediyorlar fakat yaşanan bu olay durumun hiç de böyle olmadığını gösteriyor.
“Hacker Safe” yetkilileri Geeks.com‘da yaşanan bu hack olayıyla ilgili olarak hemen bir açıklama yapamadılar.
ScanAlert firmasının sitelerindeki açıklamada, Hacker Safe sertifikasının %100 güvenlik anlamına gelmediğini, uzmanlarımızın günlük olarak bilinen açıklara karşı siteleri taradıklarını bildirdiler.
Editörün Yorumu: Bu işleri bırakmadan önce yaptığımız çalışmalarda yine “Hacker Safe” firması tarafından korunan EMI müzik firmasının Shopemi.com alışveriş sitesinin veritabanına girerek müşteri bilgilerine ulaşmıştık fakat bu bilgilerin hiçbirine dokunmadan sitenin anasayfasına protesto amaçlı o zamanlar kullandığımız savaş karşıtı mesajımızı bırakmıştık.
Burada anlatmak istediğimiz, hiç kimse internette %100 güvende değildir ve işin ilginç tarafı ise tüm müşterilerinin bilgilerini çaldıran bu tarz sitelerin anasayfalarında hala “Hacker Safe” logosuna rastlıyoruz.
Olayı daha komik hale getiren durum ise yurtdışındaki bazı siteler Hacker Safe tarafından korunan sitelerin açıklarını bulup yayınlıyorlar.
Kaynak: http://informationweek.com | http://eno7.org
Permalink
- Yorum göndermek için giriş yapın veya kayıt olun
Ara
Kimler yeni
Sophos - En Son Çıkan Virüsler
İçerik paylaşımı
Yorumlar
Otomatik denetim araclari yeterli degil
January 9, 2008 yazan ErtanKurt, 2 years 4 hafta önce
Yorum No:135
Hackersafe = nessus + basit web uygulama kontrolleri
Ne hackersafe ne Qualys ne de diger otomatik guvenlik acigi tarama hizmeti sunan yerler guvenlik aciklarini tespitte henuz yeterli degiller. Ozellikle web uygulamasi testlerinde sadece veritabanlarina kayitli bilinen bazi hazir portallarin aciklari ve birkac basit ek kontrol yapabiliyorlar. eno7'nin de belirttigi gibi Hackersafe logosu olup sql injection acigi ile tamamen ele gecirilebildigini gordugumuz yerler var. Bu tip otomatik araclarin henuz zekalarinin tam olgunlasmadigina basit bir ornek ise, bir yerde web directory/folder enumeration yapip site.com/db klasorunu bulduktan sonra, site.com/db/site.mdb gibi basit kontrolleri yapmamasi. Directory/File enumeration da admin kelimesini denemeleri ama yonetici ve diger turkce isimli klasor/sayfa isimlerini denememeleri. Sifre brute force icin icinde alemdar, cimbom, kanarya, 1903, 1905 vb Turkiye'de kullanilabilecek türdeki sifreler iceren dictionaryleri olmaması. Daha pek cok ornek verilebilir ama hikayenin ana fikri guvenlik denetimini otomatik araclarin yaninda bir de guvenlik uzmanlarina yaptirmak.
Hackersafe, qualys ve diger otomatik guvenlik denetim servisleri mutlaka onemli, ek bir guvenlik sagliyor, fakat su an icin sadece onlara guvenerek rahat uyumak mumkun degil. Yukaridaki yaziyi okuyanlar ciddi ciddi "biz eno7 ile kontak kurup bir danisalim" demeli. Hicbir arac bu islerle hands-on deneyimi olan biri kadar derinlemesine ve akilli olarak denetleyemez. Otomatik araclar ve denetim yapan uzmanlar birbirine eklenmeli. Her ikisi birbirini cok iyi tamamlayacak ve birinin gozden kacirdigini digeri tespit edecektir.
Firma yoneticileri veya web uygulama gelistiricileri guvenligi kendi bilgilerine gore degerlendirmemeli! Denetim ile ilgili yapılan bir toplantıda konu wireless'a geldiginde "Biz mac filtrelemesi yapiyoruz, kablosuz agimiza giremezler" diyen yoneticiler hatırlıyorum. Yada firma web developerlarının, "biz md5 kullanıyoruz db ye girseler de birsey yapamazlar", "kullanici adi sifre kisminda javascript ile kontrol yapiyoruz, harf rakamdan baska sey basamazlar" gibi "guvenligi kendi bilgisi ile degerlendiren" kisilere rastladım. Onlara her zaman dedigim; Bu konuda degerlendirmeyi siz yapmayin. Bu isin uzmani olduklarina emin oldugunuz insanlara danisin. IPS+otomatik guvenlik acigi tarayici araclar+guvenlik uzmanlari , bu 3lu daha rahat uyuyabilmenizi saglar.
Qualys veya hackersafe in yaninda Webinspect, Appscan, Acunetix gibi otomatik web uygulama denetimi araclari da kullanilmali. Qualys benim gordugum en basarili automated vulnerability assesment araci. Web uygulamadaki eksiklerini de bu aralar gidermeye calisiyorlar. Tam bir web uygulama denetimi ozelligi eklemekle ugrastiklarini duyurdular. Umut verici gelismeler oluyor. Fakat henuz daha (tek baslarina kullanim icin) yeterli degiller.
iyi calismalar,
Ertan Kurt
Re: Otomatik denetim araclari yeterli degil
January 10, 2008 yazan SirVivor, 2 years 4 hafta önce
Yorum No:138
Rapid7'in nexpose da guzel gorunuyor:
http://www.rapid7.com/