Emre Figengil
Freelance Web Tasarım & Programlama
emrefigengil[@]hotmail.com
Herkeze göre Freelance Çalışma
3 Oca
Serbest meslek; (İngilizce terim olarak; Freelance) iş, işyeri ve çalışma koşulu anlamıyla ilgili resmi kanunlara göre sözleşme şartları ve koşulları gerek kalmayan durumlar için yasal olarak kayıt dışı istihdam anlamında işin işyeri dışında iş yapan kişinin kendi çalışma alanında kişisel çalışma olarak tamamlayan çalışanlara verilen genel addır.
Türkiye’de serbest meslek tabiri literatüre daha çok belli bir işi olmayan, koşullara göre değişik işler yapabilen kişileri tarif etmek için kullanılabilmektedir.
Gelecekte internet üzerinden iş yerine gitmeden bilgisayar ortamında ofis içi yapılan işlerin artık iş yerine gelmeksizin yol ulaşımı için harcanılan zaman ve kaynak anlamıyla hem iş veren açısında maliyet düşmektedir.
İleride “Serbest meslek” çalışma koşullarını tanımlayan resmi yasaların çıkması öngörülmektedir. çünkü bir noktadan sonra meslekte verilen emeğin korunması anlamında Freelance çalışanların bile sendikalaşması ve yapılan işin ücret anlamında insan gücü maliyetini çok ucuz olarak değerlendirilmeside bir eleştiri konusudur.
Freelance olarak günümüzde en popüler işler internet mecrası kullanılarak yapılan çalışmalardır.
Güncel Fırsat Yayında
25 Kas
Güncel Fırsat Kimdir?
Türkiye genelinde yayın yapan ve tüm şehirlerde restaurant, eğitim, eğlence, aktivite v.s. alanlarda hizmet veren ve %95’e varan indirimlerle bu hizmetleri kullanıcılara sunan bir çözüm ortağıdır.
Güncel Fırsat şehrinizdeki indirim ve kampanyaları ayağınıza getirir.
Nasıl Çalışır ?
Her gün yenilenen içeriği (kampanyaları ve indirimleri) ile sizlere çeşitli sektörlerde (restaurant, eğitim, eğlence, aktivite, sağlık, güzellik, turizm) çeşitli fırsatlar sunar. Yapmanız gereken tek şey Güncel Fırsat’ın siz değerli dostlarımıza sunmuş olduğu bu fırsatları gün gün takip ederek bu fırsatları kaçırmamak, fırsatı satın almak ve bu indirimin keyfine varmak …
Güncel Fırsat; bol fırsatlı günler diler …
Sanalpos Generic Error
21 Kas
Bu hatayı alan arkadaşlar karşılaştığım için sizlerle paylaşmak istedim bankaya gönderilen veriler de özellikle BillingTo kısımındaki verileri kontrol etsinler bazen Türkçe karakterlerden kaynaklı XML yapısı bozulabiliyor Özellikle 3d kullanım yapan arkadaşlar bu hatayı alabilirler Bakmanız gereken yerler Bankaya gönderdiğiniz Finanslaşma adına Ad soyad alanı gibi Türkçe karakter alabilecek alanlardır.
İyi Çalışmalar Dilerim
Google Pagerank Değerlerini Sıfırladı
7 Eki
Bütün Sitelerin Google Pagerank Değerleri Sıfırlandı ; Bugün itibariyle yani saat 07:00 sularında dizininde listelediği dünyadaki bütün sitelerin pagerank değerleri sıfırlandı. Google, Facebook, Twitter, Microsoft, Apple, Yahoo, Youtube gibi dünyaca ünlü sitelerin pagerank değerleri bile sıfırlandı.
Pagerank değerlerinin sıfırlanma nedenini henüz bilen yok. Google resmi bloğunda mevzu hakkında herhangi bir açıklama falanda yapılmadı. Merak içerisinde beklemeye devam ediyoruz, inş geçici bir durumdur. PR değerlerinin sıfırlanmasında 3 neden olabilir diye düşünüyorum.
Sizinde bildiğiniz gibi dünyaca ünlü teknoloji devlerinden biri olan Apple’ın kurucusu Steve Jobs 06.10.2011 tarihinde sabaha karşı öldü ve google anasayfasına Steve Jobs 1955-2011 yazarak “www.apple.com” linkini ekledi. Tüm sitelerde yas tutulmasını sağlamak için yapılmış olabilir.
Uzun zamandır pagerank güncellemesi yapmayan google, yeni bir pagerank güncellemesini başlatmışta olabilir. Forumlarda google pagerank sistemi tamamen kaldırılacak, artık trustrank devri şeklinde konuşmalar yapılıyordu belki bununlada alakalı olabilir. Son zamanlarda pagerank değerlerini artırmak için hileler yapılıyordu. Google pagerank devrine tamamen son vermişte olabilir.
Hazır sistemler ne kadar güvenilir
6 Ağu
5 milyon sayfaya sızdı
Popüler ticaret uygulaması osCommerce’i hedef alan bir saldırı, yaklaşık olarak 5 milyon web sayfasına bulaştı ve yüklediği kodlarla ziyaret eden kullanıcıların PC’sine bir zararlı yükleme girişiminde bulundu.
Mağaza yönetimi web uygulaması yazılımı osCommerce’in yamasız sürümünü kullanan web sitelerini hedef alan toplu saldırı, geçtiğimiz hafta hızla yayıldı. Saldırı, Armorize tarafından ilk olarak 24 Temmuz’da tespit edildiğinde Google arama sonuçlarına göre 91.000 sayfa etkilenmiş görünüyordu. Salı günü ise aynı arama sonuçları, yaklaşık 5 milyon sayfa döndürüyor.
Armorize’a göre en az üç osCommerce güvenlik açığını kullanan saldırı, Ukrayna’lı IP adreslerinin yamasız sitelere iframe enjekte etmesine izin veriyor. Bu iframe’ler ise ziyaretçileri sessiz sedasız willysy.com ve exero.eu adreslerinde bulunan zararlı dosyalara yönlendiriyor. Bu domain adları ise ziyaretçileri Windows açıklarını kullanan bir seri web sitesine yönlendiriyor.
webdostum.com Açıldı
8 Haz
Webdostum.com yeni çehre ile sizlere ücretsiz hizmet vermek adına kullanıcılara kapılarına açmıştır.
Beta yayınında üyelik ve hizmetlerden yararlanmak tamamen ücretsiz olup kullanıcılara sunacağı hizmetler Özel arkadaşlık platforumunda gereksinim duyulan hizmetlerle sınırlıdır.
webdostum.com da nelere yapabilirsiniz?
Arkadaşlarınız davet edebilirsiniz. Facebook , yahoo, gmail, hotmail, hi5, netlog gibi sistemlerde bulunan arkadaşlarınızı bu platforma davet ederek puan kazanabilirsiniz.
ve kazandığınız bu puanlar ile sitede uygulamaları ücretsiz kullanma imkanına sahip olacaksınız.
Video Chat özelliği ile arkadaşlarınızla webdostum.com üzerinden görüşmeler yapabilir Grup, Network, Etkinlik yaratabilir ve kişileri bu etkinliklere davet edebilirsiniz.
Yazılım Geliştirmede Tehdit Modelleme II
29 Nis
Bir önceki makalede tehdit modellemenin ilk adımı olan uygulamanın ayrıştırılması ele alınmıştı. Bu makalede ise tehditlerin belirlenmesi, derecelendirilmesi ve azaltılması konularını ele alacağız.
Tehditlerin Belirlenmesi
Uygulama ayrıştırıldıktan sonra, her bir bileşen tehdit modelleme için potansiyel tehdit olarak ele alınır. Burada amaç herşeyin nasıl çalıştığını görmekten ziyade, uygulamanın bileşenlerini anlamak ve bu bileşenler arasında veri alışverişinin nasıl yapıldığını görmektir. Bileşenler genel olarak tehdit hedefleri olarak adlandırılır. Belirlenen tehditlerin azaltılması için öncelikle tehditlerin sınıflandırılması gerekmektedir. Bunun için STRIDE sınıflandırma modeli kullanılabilir. STRIDE modeli aşağıda belirtilmiştir:
- Kimlik Yanıltması (Spoofing Identity): Yanıltma tehditleri saldırganların başka bir kullanıcı gibi davranmaları ya da geçerli bir sunucu gibi davranarak diğer sunucuları yanıltma amacı güder. Kimlik yanıltmaya örnek olarak, yasa dışı olarak başka bir kullanıcının şifre ve kullanıcı ismi gibi gizli bilgilerine ulaşmayı ve bu bilgileri kullanmayı gösterebiliriz.
- Verinin Değiştirilmesi (Tampering with Data): Bu işlem verinin kötü niyetli bir şekilde değiştirilmesi manasına gelir. Internet üzerinden akan verinin değiştirilmesi buna örnek olarak gösterilebilir.
- Inkar (Repudiation): Bu tip tehditler, bazen saldırganın gerçekleştirdiği ama bunu inkâr edebileceği tehditler olarak görülür. Inkar tipi tehditler kredi kartı gibi işlemlerde kendini gösterir. Kullanıcı bazı alımlarda bulunur ve sonra yapmadığını iddia eder. Başka bir örnek de e-posta örneği olabilir. Size gelen bir maili, karşı taraf ben atmadım diye inkâra başvurabilir.
- Bilginin Açığa Çıkarılması (Information Disclosure): Bu tip tehditler, bazı bilgilerin onları görmemesi gereken kullanıcılar tarafından görünmesini kapsar. Örnek olarak, bir kullanıcının okumaması gereken bir dosyaya erişim hakkı olması ya da bir saldırganın ağ trafiğini dinleyip bazı bilgileri elde etmesidir.
- Hizmet Dışı Bırakma (Denial of Service): Hizmet dışı bırakma atakları sistemlerin kullanılmaz hale gelmesini sağlayan ataklardır. Web sunucusunun kullanılmaz hale gelmesi bu tip ataklara örnek olarak gösterilebilir. Sistemlerin güvenirliliği ve sürekliliği sağlamaları adına bu tip ataklara önlem almaları gerekmektedir.
- Yetki Kazanma (Elevation of Privilege): Bu tür ataklarda, yetkisiz bir kullanıcı sistemi kullanmak üzere yetki kazanır ve bütün sisteme zarar vermek ya da kontrolü altına almak için sisteme giriş yapar.
Bu sınıflandırmaya dayalı olarak, örnek satın alma uygulamasında örnek bir tehdit üzerinde durabiliriz. Bu tehdit Şekil 6′de gösterilmiştir. Burada dikkat edilmesi gereken husus, bir kullanıcının başka bir kullanıcıya ait sipariş bilgilerini görmemesi gerektiğidir. Öyleyse, bilginin çalınmasına ya da başka kullanıcılar tarafından görüntülenmesine engel olunmalıdır. Bu tehdit bilginin açığa çıkarılması tehdit grubuna örnek bir tehdittir. Bir saldırganın bu veriyi görmesinin birçok yolu olabilir. Fakat en basit haliyle, saldırgan ağ trafiğini, protokolleri analiz eden bir araçla dinliyor olabilir; ya da ağda bir yönlendiriciyi kontrol altına almış olabilir.
Şekil-6 Bir Tehdit Örneği
Tehdit Ağaçları: Tehdit ağaçlarının arkasındaki anafikir şudur: Bütün sistem tehdit hedeflerinden biraraya getirilmiş bir sistemler bütünüdür ve her tehdit hedefi bazı açıklıklara sahip olabilir. Bu açıklıklar da bütün sistemin saldırganlar tarafından kullanılması manasına gelebilir. Tehdit ağaçları, bir saldırganın sistemi elegeçirebilmek için izleyebileceği yolları çizen yapısal ağaçlardır. Uygulama ayrıştırması işlemi gerçekleştikten sonra, her bir bileşen için tehditlerin belirlenmesi süreci başlar. Tehditler belirlendikten sonra ise bu tehditlerin nasıl ortaya çıkabileceği tehdit ağaçlarıyla belirlenir. Yukarıda verilen tehdit örneği için, belirlenen tehdit ağacı Şekil 7′deki gibi olabilir. Tehdit ağacının en başındaki kutu, tehdit kutusu olarak adlandırılır ve altındaki kutular tehditin gerçeklenmesi için gereken adımları temsil eder. Bu örnek tehditte, tehditin gerçellenmesi için, HTTP trafiği korumasız olmalı ve saldırgan trafiği dinliyor olmalı. Saldırganın trafiği dinlemesi için, ağ trafiğini dinliyor olması ya da yönlendirici üzerinden geçen veriyi dinliyor olması gerekir. Yönlendirici dinleme senaryosunun gerçek olması için, ya hedef yönlendirici korumasız olmalı ve kontrol altına alınması gerekiyor ya da yönlendiricinin şifresinin bilinmesi gerekiyor.
Şekil-7 Tehdit # 1 için tehdit ağacı
Tehditlerin Derecelendirilmesi
Tehdit ağaçları oluşturulduktan ve tehditler anlaşıldıktan sonra, belirlenen bu tehditlerin derecelendirmesi gerekmektedir. Derecelendirmeli amaç, öncelikle hangi tehdit üzerinde duracağımıza karar vermek ve bir sıralama oluşturmaktır. Uygulamamız için en büyük tehditin ilk önce giderilmesi mantıklı bir yaklaşım olacaktır. Derecelendirme yaparken bazı dercelendirme yöntemleri kullanılabilir. Bu derecelendirme yöntemlerinden DREAD adlı yöntemi örnek satın alma uygulamamız için kullanacağız.
DREAD
- Zarar Potansiyeli (Damage Potential): Tehdidin gerçekleşmesi durumunda, zarar ne kadar büyüklükte olacaktır. En kötü durum 10 ile gösterilebilecekken, en hafif durum 0 ile gösterilebilir. Yetki tehditleri genellikle 10 ile gösterilir. Tıbbi, mali, ya da askeri veri içeren uygulamalar içi zarar potansiyeli yüksek kabul edilir.
- Uygulanabilirlik (Reproducibility): Potansiyal bir saldırının başarıya ulaşma şansını belirlemeye çalışır. Belirli bir tehditin, saldırgan için başarılı bir saldırı olma kolaylığının incelenmesini ön görür.
- Sömürülebilirlik (Exploitability): Bu tehdit kapsamında bir atağı gerçellemek için ne kadar tecrübe ve çaba gerekmektedir. Örneğin, acemi bir kullanıcı, normal ev bilgisayarı ile tehdite bir atak uyguluyabiliyorsa bu ciddi bir durumdur ve bu tehdit sömürülebilirlik manasında 10 alabilir.
- Etkilenen Kullanıcılar (Affected User): Eğer bu tehdit bir saldırıya dönüştürülür ve saldırı başarılı olursa ne kadar kullanıcının bundan zarar göreceği araştırılır. Mesela, bir sunucuyla alakalı bir tehdit, birçok kişiyi ilgilendireceğinden yüksek önem arz eder.
- Keşfedilebilirlik (Discoverability): Açıklığın kolay ya da zor bulunabileceğinin ya da keşfedilebileceğinin değerlendirmesi yapılır.
Bu değerlendirme kriterine göre, yukarıda verdiğimiz örnek tehdidin değerlendirmesi şu şekilde olabilir:
Tehdit #1: Kasıtlı kullanıcı başka bir kullanıcının sipariş bilgilerini ağ üzerinden dinler.
8 Zarar Potansiyali: Başkasının gizli sipariş bilgilerini okuyabilmek ciddi bir sorun.
10 Uygulanabilirlik: Tamamen uygulanabilir.
7 Sömürülebilirlik: Ağ üzerinde yer edinmeli ve ağı dinlemeli.
10 Etkilenen Kullanıcılar: Yöneticiler dâhil herkes etkilenebilir.
10 Keşfedilebilirlik: Bu açıklığın kolayca bulunacağını varsayalım.
DREAD ile ölçülen risk oranı = (8+10+7+10+10)/5 = 9
Tehditlerin Azaltılması
Tehditler belirlendikten ve önem sırasına göre sıralandıktan sonra her tehdit için ne yapılması gerektiği kararlaştırılmalı. Bu karar dört farklı şekilde olabilir:
- Herhangi bir tedbir almama: Bu yöntem genellikle doğru olmayan bir yöntemdir. En sonunda uygulamanın içerisindeki bu açıklık başınızı ağrıtabilir ve önlem almak zorunda kalabilirsiniz. Daha sonradan alacağınız önlem çok daha pahalıya size mal olabilir.
- Kullanıcıyı uyar: Diğer bir yol ise, kullanıcının bu hususta bilgilendirilmesi ve uygulamanın o özelliğini kullanıp kullanmayacağının kendisine bırakılmasıdır. Buna örnek olarak Microsoft Internet Bilgi Servisi (IIS) verilebilir. Bu sistem, yöneticiyi eğer SSL/TLS kullanmazsa kullanıcı bilgilerinin şifresiz bir şekilde ağda gezeceğini belirtir. Bu yöntem de birçok durumda problemli bir yöntemdir. Kullanıcıların çoğu nasıl seçim yapacaklarını bilmezler. Aslında çoğu zaman, kullanıcının karşısına çıkarılan seçenek, kullanıcı için anlaşılması zor bir seçenektir. Diğer bir durum ise, kullanıcılar genellikle hazır ayarları kabul ederler ya da uyarıları görmezden gelirler.
- Problemi ortadan kaldır: Problemi çözmek için yeterli zamanınız yoksa kısaca tehdit altında olduğunu düşündüğünüz özelliğe sahip parçayı sistemden çıkarmanız yeterlidir.
- Problemi çöz: En kesin ve gerçekçi çözüm budur. Teknolojiyi kullanarak, problemi azaltma ya da tamamen çözme yoluna gidilmelidir. Bu yöntem aynı zamanda en zor yöntemdir. Tasarımcılar, geliştiriciler, testçiler ve güvenlik ekibi için daha fazla iş yükü ve daha fazla maliyet demektir.
Şekil 8′de örnek satın alma uygulaması için olabilecek tehditler ve bu tehditlerin azaltılma yolları gösterilmiştir.
Şekil-8 Örnek Satın Alma Uygulamasındaki Tehditlerin Çözüm Yolları
Alıntıdır : Abdulkadir Poşul, TUBİTAK-UEKAE
Yazılım Geliştirmede Tehdit Modelleme
21 Mar
Tehdit modelleme, organizasyonların yüksek düzeyli güvenlik risklerini anlamalarına yardımcı olan, güvenlik tabanlı bir analizdir. Tehdit modellemede amaç, tehditlerin saptanması, hangi tehditlerin azaltılmasının gerektiği ve tehdit azaltma işleminde hangi yöntemlerin uygulanacağının belirlenmesidir. Risklerin azaltılması için tehdit modelleme kapsamında uygulanacak olan tehdit değerlendirmesi güvenli sistemler inşa etmek için olmazsa olmaz bir süreçtir. Bir organizasyonun ya da bir kurumun herhangi bir uygulama geliştirirken neden tehdit modellemeye gitmesi gerektiği şu maddelerle sıralanabilir:
Uygulamanın daha iyi anlaşılması: Uygulamanızın özelliklerinin analizi için zaman harcamak zorunda kalmanız, uygulamanızın ve parçalarının nasıl çalıştığı konusunda size daha geniş bir bakış açısı sağlayacaktır.
Tehditlerin belirlenmesi: Herhangi bir yazılımsal süreç başlamadan, başka bir deyişle uygulama kodlanmaya başlamadan, sisteminizi ilgilendiren tehditlerin belirlenmesini sağlayacaktır.
Kod hatalarının kolayca belirlenmesi: Kod hatalarının birçoğu tehdit modellemede ortaya çıkacaktır.
Proje takımının yeni üyelerinin uygulamaya uyumu: Yeni işe başlayan birinin yüzde yüz performansla çalışmaya başlaması ve proje takımına uyum sağlaması için her zaman belirli bir sürenin geçmesi gerekmektedir. Tehdit modellemenin bütün uygulamayı gösterecek sistemli ve yapısal bir modelleme olması, yeni işe başlayan çalışanların uygulamayı hızlı bir şekilde öğrenmesini sağlayacaktır.
Testçiler için faydaları: Testçilere hangi tehditlere göre test araçları hazırlamaları gerektiği hususunda katkı sağlayacaktır.
Diğer proje takımları için faydaları: Sizin ürününüzle alakalı proje geliştiren diğer ürün geliştirme takımları, sizin oluşturduğunuz tehdit modellemeyi incelemelidirler. Bu sayede, diğer takımlar yeni bir tehdit modelleme oluşturmak zorunda kalmayacaktır ve uygulamanın tümünü görmek manasında proje hız kazanacaktır. (3)
Tehdit modelleme oluşturulurken, şu adımlar sırasıyla uygulanabilir: Uygulamanın ayrıştırılması, tehditlere karar verilmesi, tehditlerin derecelendirilmesi, tehditlerin azaltılması. Şekil 1′de bir tehdit modelleme döngüsü resmedilmiştir.
Şekil-1 Tehdit Modelleme Döngüsü
Uygulamanın Ayrıştırılması
Açıklık tabanlı güvenlik profilinin oluşturulması için uygulama alt parçalara ayrılır. Güvenlik çemberi, akış diagramları, giriş noktaları, ayrıcalıklı kod parçacıklarının belirlenmesi ve güvenlik profilinin oluşturulması bu adımda gerçekleştirilir. Uygulamanız hakkında ne kadar detaylı bilgiye sahipseniz, tehditleri bulma olasılığınız o kadar yüksek olacaktır. Şekil 2′de uygulama ayrıştırma işleminde önemli noktalar resmedilmiştir.
Şekil-2 Uygulama Ayrıştırmada Önemli Noktalar (1)
Güvenlik Çemberinin Belirlenmesi
Bütün varlıklarınızı çevreleyen güvenlik çemberlerinin belirlenmesi bu süreçte yapılır. Her bir alt sistem için, veri akışı veya kullanıcı girdisinin güvenliğinin belirlenmesi ve bu veri akışlarının ve kullanıcı girdilerinin nasıl yetkilendirildiği ve kimlik denetlemeye tabi tutulduğu belirlenir. Bununla beraber, dışardan çağırdığınız kod parçacığının güvenli olup olmadığını da incelenir. Güvenlik çemberinden genel kasıt şudur: O çemberin içindeki bütün giriş nokları güvenli bir şekilde korunuyordur ve o çemberden geçen bütün veri girdi geçerlemeye tabi tutulmuştur. Ayrıca sunucu güvenlik ilişkilerinin de belirlenmesi gerekmektedir. Bir sunucu yetkilendirme ve kimlik denetleme gibi süreçleri başka bir sunucudan mı alıyor yoksa kendi mi bu mekanizmaları sağlıyor gibi soruların cevaplanması gerekmektedir. Şekil 3′de Web uygulaması, ASP.NET Web uygulaması process account’ı güvenli olarak kabul ediyor ve veri tabanı sunucusuna bu güvenli hesap üzerinden ulaşıyor. Veri tabanı sunucu ise, uygulamaya yetkilendirme ve kimlik denetleme sürecinde güveniyor ve yalnızca doğrulanmış veriyi yetkilendirilmiş kullanıcıya dönüyor.
Şekil-3 Güvenlik Çemberi Örneği(1)
Akış Diagramlarının Belirlenmesi
Uygulama öncelikle bütünü kapsayacak şekilde, akış diagramı halinde gösterilir. Sonra uygulama parçalara bölünür ve her parça da büyüklüğüne göre parçalara bölünmeye devam eder ve akış diagramı halinde gösterilir. Örnek bir uygulama olarak basit bir satın alma uygulamasını ele alabiliriz. Bu uygulamada, yöneticilerin, kullanıcıların, uygulamayı geliştiricilerin ve denetleyicilerin olduğunu varsayalım. Yönetici uygulama yönetimiyle ilgili işlerden sorumlu kimse, kullanıcı sipariş bilgilerine bakabilen kimse, uygulama geliştirici uygulamayı geliştiren kimse ve denetleyici denetleme bilgilerini okuyan kimse olarak görev paylaşımında bulunmuş olsunlar. Bu uygulamanın öncelikle bütün uygulamayı temsil eden içerik diagramı Şekil 4′de gösterilmiştir.
Şekil-4 Satın Alma Uygulamasının İçerik Diagramı
İçerik diagramı hazırlanırken şu hususlara dikkat edilmelidir:
Olabildiğince yüzeysel bilgileri içermelidir. İçsel ve detaylı fonksiyonların incelenmesinden kaçınılmalıdır. Önemli olan kapsamın belirlenmesidir, detaylı fonksiyonların belirlenmesi değil.
Sistemin cevap vermek zorunda olduğu istekler bu diagramda belirlenir. Mesela, bir satın alma uygulaması, sipariş bilgisinin görüntülenmesi isteğiyle karşı karşıya kalabilir.
Uygulamanın bu isteklere nasıl cevap vereceği de bu diagramda gösterilir.
Herbir istekle ve cevapla alakalı olan veri kaynakları belirlenir.
Her cevabın muhatabı bu diagramda belirlenir.
Bir sonraki adım olarak, Satın Alma Uygulaması olarak gösterilen büyük süreç parçalara ayrılır ve o parçalar da ileriki adımlarda parçalanır. En sonunda, uygulamanın parçaları incelenmiş ve nasıl çalıştığı anlaşılmış olur. Şekil 5′de örnek satın alma uygulamasının, veri akış diagramı görüntülenmiştir.
Şekil-5 Satın Alma Uygulaması için Veri Akış Diagramı (2)
Giriş Noktalarının Belirlenmesi
Şunu hiçbir zaman unutmamak gerekir ki, sisteminizin giriş noktaları aynı zamanda saldırganlar için de giriş noktası manasındadır. Öyleyse bu noktaların en iyi şekilde korunması gerekmektedir. Örneğin, giriş noktalarınız HTTP isteklerini dinleyen web uygulaması içeriyor olabilir. Normalde bu uygulama, son kullanıcıların kullanımına açılmış olan giriş noktalarıdır. Ne var ki saldırganlar da bu noktaları kullanacaklardır. Sisteminizdeki bütün giriş noktalarını bilmek zorundasınız. Her bir giriş noktası için, yetkilendirme ve kimlik denetleme süreçleri en iyi şekilde belirlenmelidir. Mantıksal giriş noktaları şunları kapsayabilir: Web sayfaları, web servisleri için servis arayüzleri, mesaj kuyrukları vb… Fiziksel giriş noktaları ise portlar ve soketlerdir.
Ayrıcalıklı Kod Parçalarının Belirlenmesi
Ayrıcalıklı kod parçaları, hassasiyeti yüksek veri kaynaklarına ulaştıkları ve ayrıcalıklı işlemler yapabildikleri için, dikkatlice ele alınmalıdırlar. Hassasiyeti yüksek veri kaynağı olarak şu kaynaklar sıralanabilir: DNS sunucları, dizin servisleri, çevresel değişkenler, olay günlükleri, dosya sistemleri, mesaj kuyrukları, performans sayaçları, yazıcılar, register sunucuları, soketler, Wen sunucuları vb. Ayrıcalıklı kod parçasının güvensiz ya da potensiyal kötü niyetli bir yazılım tarafından kullanılmayacağına emin olunulmalıdır.
Güvenlik Profilinin Oluşturulması
Güvenlik profili aşağıdaki sorulara verilen cevaba göre belirlenir:
Girdi Geçerleme
Uygulamanız kapsamındaki bütün girdiler geçerlendi mi?
Saldırgan uygulamanıza kötü niyetli veri enjekte edebilir mi?
Veri ayrı güvenlik çemberlerinden geçerken, geçerlemeye tabi tutuluyor mu?
Veri tabanındaki veri güvenilir mi?
Kimlik Denetleme
Şifre ve kullanıcı gibi gizli veriler ağ üzerinden geçerken güvenliği sağlanıyor mu?
Sıkı kullanıcı hesabı politikaları kullanılıyor mu?
Kullanıcılar güvenlik düzeyi yüksek şifre almaya zorlanıyorlar mı?
Kullanıcı şifreleri için şifre doğrulama uygulamaları kullanılıyor mu?
Yetkilendirme
Giriş noktaları için hangi önlemler alındı?
Veri tabanında yetkilendirme nasıl şart koşuluyor?
Bağlantı kopmasında ya da hata anında uygulama güvenliği sağlanıyor mu?
Yapılandırma Yönetimi
Uygulamanız hangi yönetimsel arayüzleri içeriyor?
Bu arayüzlerin güvenliği nasıl sağlanıyor?
Uzaktan yönetici yetkilendirmesi nasıl yapılıyor?
Hangi yapılandırma bilgileri saklanıyor ve bunların güvenliği nasıl sağlanıyor?
Kritik Veri
Uygulama kapsamında hangi kritik bilgiler işlenmektedir?
Bu gizli bilgiler olduğu yerde ve ağ üzerinde nasıl korunuyor?
Nasıl bir şifreleme tekniği kullanılıyor ve şifreleme anahtarları nerede tutuluyor?
Oturum Yönetimi
Oturum tanımlama bilgileri nasıl tutuluyor?
Oturum bilgilerinin çalınmaması için ne gibi tedbirler alınıyor?
Oturum bilgileri ağ üzerinden geçerken güvenliği nasıl sağlanıyor?
Kriptografi
Hangi şifreleme algoritmaları ve yöntemleri kullanılmaktadır?
Şifreleme anahtarları ne kadar süredir kullanılmakta ve bunların güvenliği nasıl sağlanmakta?
Uygulamanın kullandığı kendi şifreleme tekniği var mı?,
Şifreleme anahtarları ne kadar sürede bir değiştirilmektedir?
Parametre Değiştirme
Uygulama oynanmış parametreyi tespit edebiliyor mu?
Form alanlarındaki, HTTP başlıklarındaki, oturum tanımlama bilgilerindeki parametreleri geçerliyor mu?
Hata Yönetimi
Uygulama hata durumlarının nasıl üstesinden geliyor?
Hata bilgileri kullanıcıya iletilliyor mu?
Bu hata bilgilerinde sistemin kritik bilgilerini içeren uyarılar bulunuyor mu?
Denetleme ve Kayıt
Uygulamanız bütün sunucu ve katmanlarda denetleme ve kayıt mekanizmasına sahip mi?
Kayıt dosyalarının güvenliği nasıl sağlanıyor?
Tehdit modellemede izlenmesi gereken diğer iki adım bir sonraki makalede ele alınacaktır.
Alıntıdır: http://www.bilgiguvenligi.gov.tr/yazilim-guvenligi/yazilim-gelistirmede-tehdit-modelleme-i.html (Abdulkadir Poşul, TUBİTAK-UEKAE)
Durdurulamayan Keylogger Yazılımları
4 Şub
Bilgisayar teknolojilerinin gelişmesi ile son zamanlarda bilgi ve bilgisayar güvenliği konusunda en ciddi tehditlerin başında kötücül yazılımlar gelmektedir. Kötücül yazılım (örn : malware), bulaştığı bir bilgisayar sisteminde veya ağ üzerindeki diğer makinelerde zarara yol açmak veya çalışmalarını aksatmak amacıyla hazırlanmış yazılımların genel adıdır.
Biz bu yazılımlardan (malware) en tehlikelisi sayılabilecek Keylogger (bazılarının deyimi ile Klavye dinleme) yazılımlarını incelemeye calışacağız. Peki nasıl çalışırlar ; Windows kütüphanelerine ulaşarak oradaki .log verilerinden Windows API lerinde yardımıyla yapılan işlemlere ulaşabiliyor. Zaten Windows işletim sistemi yapılan her şeyi kaydetmektedir (loglar).
Neden Keylogger derseniz mesela ; online oyunların yaygınlaşması iyi ve popüler bir örnek olabilir. Bu oyunlarda kısaca “char” denen yani oyun karekterleri bazı bölümlerden (level) sonra maddi değer kazanmakta ve doğal olarak bir çok insanın iştahını kabartmaktadır.
Verdiğim online oyun örneği basit ve yaygın bir örnektir. Bazen asıl amaç sizin kredi kartı şifreniz (genel olarak), MSN, facebook gibi popüler sosyal haberleşme sitelerindeki profil bilgilerinize ulaşmak da olabilir. Özellikle İnternet bankacılığı en çok zarar gören sektördür. Çünkü çoğu kişi kişisel bankacılık bilgilerini klavye üzerinden siteye girmektedir. Ama artık bankalar bunada çare buldular, tek kullanımlık şifreler. Cep telefonunuza yüklenen java tabanlı küçük yazılımlar sayesinde güvenliğinizi sağlayabilirsiniz.
Önlemler kısmına gelirsek ;
1-) Keyloggerların amacı yazılan işlemleri kaydetmek olduğu için ekran klavyesini kullanmak mantıklı olabilir ama uzun yazışmalarımızda işimizi zorlaştıracaktır. Bunun için KeyScrambler programını tavsiye etmek istiyorum . Bu programının ne iş yaradığını merak ediyorsanız şöyle anlatayım;
Mesela klavyemizden www.bilgiguvenligi.gov.tr yazdık, ama bu program sayesinde yazdıklarımız www.bilgiguvenligi.gov.tr diye değilde ‘dfks723jdaolöç213ı93nsA2dk3n’ gibi hiçbir anlam ifade etmeyen ve yazdıklarımıza benzemeyen harf ve rakam kombinasyonlarına çevrilir.Bu sayede yazdıklarımız bir bakıma şifreleniyor diyebiliriz. Ayrıca sadece web adresi yazarken değil her türlü yazışmalarımızı ve hatta Windows oturum açtığımızda bile yazdıklarımızı karmaşık bir hale sokmaktadır.
Programı buradan inceleyebilirsiniz ;
http://www.qfxsoftware.com/KeyScrambler/whats_new_2_6_0.htm
2-) İkinci yol olarak güvenlik duvarı destekli anti-virüs kullanmanızı tavsiye edeceğim. Çünkü veri paketi alış verişinizi kontrol altında tutmalısınız ve sık sık kontrol etmelisiniz. Ayrıca bilgisayarımızın açılışı sırasında ki programlarıda kontrol etmekde fayda var.
Bunun için;
çalıştır (run) >> msconfig
komutunu çalıştırıp, açılan pencerede Startup tabından başlangıçta ki çalışan programları görebiliriz. Tanımadığımız ve şüphelendiğimiz şeylerin çalışmasını engelleyebiliriz.
Bunun dışında ağ dinleme yazılımları ile paket veri alış verişlerini dinleyerek ya da o anki çalışan uygulamaları kontrol ederek şüphelendiğimiz yazılımları kapatmalıyız. Tabi bu o kadar kolay olmayacaktır. Çünkü bu durumu anlamamızı önlemek için genelde Windows bileşenlerine benzer isimler verilir keyloggerlara (örn: svchost.exe , explorer.exe, msnmsgr.exe ).
Bu yazılımları anti-virüsler kolay kolay yakalayamamaktadır. Nedeni özel olarak kodlanan yazılımların zararlı ya da yararlı olduğunu anti-virüslerin net olarak anlamakda zorluk çekmeleri. Bu da bizim anti-virüslerin ne kadar güvenilir olduğu hakkında bir kez daha düşünmemize yol açıyor.
Evet asla unutmayalım %100 güvenlik yoktur
Alıntıdır : Bahadır Davdav bilgiguvenligi.gov.tr
Phishing Saldırıları ve Sahte Sistemler
4 Şub
 Phishing “Password” (Şifre) ve “Fishing” (Balık avlamak) sözcüklerinin birleştirilmesiyle oluşturulan Türkçe’ye yemleme (oltalama) olarak çevrilmiş bir saldırı çeşididir. Phishing saldırıları son zamanların en gözde saldırı çeşidi olarak karşımıza çıkmaktadır.Yemleme yöntemi kullanılarak bilgisayar kullanıcıları her yıl milyarlarca dolar zarara uğratılmaktadır.Yemleme genelde bir kişinin şifresini veya kredi kartı ayrıntılarını öğrenmek amacıyla kullanılır. Bir banka veya resmi bir kurumdan geliyormuş gibi hazırlanan e-posta yardımıyla bilgisayar kullanıcıları sahta sitelere yönlendirilir. Phishing saldırıları için ‘Bankalar, Sosyal Paylaşım Siteleri, Mail Servisleri, Online Oyunlar vb. sahte web sayfakları hazırlanmaktır. Burada bilgisayar kullanıcısında özlük bilgileri, kart numarası, şifresi vb. istenir. E-posta ve sahte sitedeki talepleri dikkate alan kullanıcıların bilgileri çalınır.
Phishing Saldırılar Nasıl Gerçekleşir
 Resim 1 Yemleme Maksatlı Hazırlanmış E-posta Örneği
PhishingSaldırılarıyla Nelerin Çalınması AmaçlanıyorYemleme yöntemi kullanarak bilgisayar kullanıcılarını kandıran saldırganlar genell’kle aşağıdaki bilgilere erişmeyi hedeflemektedirler.
PhishingSaldırılara Karşı Alınması Gereken Güvenlik Önlemleri Nelerdir
 Bu tip saldırılara karşı korunmanın yolu konu hakkında bilgi sahibi bilgisayar kullanıcı olmaktan geçmektedir. Bir yemleme saldırısına maruz kaldığınızda öncelikle yetkili mercileri bu konuda bilgilendirerek bu hususta önlem alınmasına ve saldırganların yakalanmasına katkıda bulunabilirsiniz. |
Alıntıdır : Melih Aslan bilgiguvenligi.gov.tr
