2 Aralık 2007

Steve Jobs'tan Hayat Dersi

Mesleki anlamda çok saygı duyduğum Apple'in CEO'su Steve Jobs'ın Stanford mezuniyet töreninde yaptığı o çok anlamlı konuşmanın Türkçe altyazılı halini buradan izleyebilirsiniz.Bu konuşma Steve Jobs'ın neden bu kadar başarılı bir adam olduğunu çok güzel anlatıyor.

5 Ekim 2007

3 Ekim 2007

Antivirüsler Öldü mü?

Son zamanlarda pek çok yerde görmeye ve duymaya başladığım antivirüsler in öldüğü ile ilgili
haberler ve görüşler üzerine uzun zamandır yazmak istiyorum ancak bir türlü toparlayıp yazamıyordum.

Bu konuda genelde söylenen özetle ; "Zararlı kodlar her geçen gün inanılmaz bir hızla çeşitlenerek ve artarak yayılıyor. Bu şartlar altında artık antivirüsler imza üretmekde çaresiz kalıyorlar". Bu görüş kısmen doğru olmak ile birlikte gözden kaçırılan bir nokta var ki burada bahsedilen antivirüs, geleneksel imza tabanlı antvirüs yazılımları ve şu an piyasada sırf bu yöntemi kullanan bir antivirüs yok benim bildiğim. Neredeyse tüm antivirüs yazılımları heuristics (sezgisel tespit) , sandboxing (sanal makinalar), harekat analizi (behavioural analysis) , jenerik imzalar v.b. yöntemlerle geleneksel imzaları birlikte kullanıyorlar. Böylece virüslere karşı zor olan mücadelerinde oldukça başarılı işler çıkarıyorlar.

"Antivirüsler öldü" iddiasını ortaya atanların sunduğu alternatif çözüm ise genelde whitelisting. Yani temelde kara liste mantığıyla çalışan günümüz antivirüsleri yerine tam tersi mantıkla zararlı kod içermeyen dosyaların listesini tutmak ve bu listede bulunmayan dosyaların çalışmasına engel olmak (Whitelisting konusuna sonraki yazılarımda ayrıntılı olarak değinmeyi düşünüyorum). Sonuçta bu yöntem de antivirüslerde kullanılabilir.

Özetle antivirüslerin öldüğü filan yok, bu iddia da bence pazarlamacıların büyük laflarından biri. Zararlı kodlarla birlikte antivirüsler de gelişiyor.

Taşındık

Hayır öyle sandığınız gibi yeni domain'e ya da yeni host'a geçmiş değilim. Bu daha
çok fiziki bir taşınma.Çalıştığım şirket yeni bir ofise taşındı. Geçen bir ay boyunca genelde bu taşınmanın nasıl sancısız bir şekilde gerçekleşeceğiyle ilgili planlar yaparak ve bunları
uygulayarak geçirdim. Bu konuda başta arkadaşım Murat olmak üzere tüm firma çalışanları ciddi bir özveriyle çalıştı. Sonunda TT den kaynaklanan ufak tefek bir kaç problem dışında sorunsuz bir taşınma gerçekleştirdik. Aslında bunu yazmandaki temel amaç , site de yer alan bazı araçlara bu altyapı değişiklikleri nedeniyle bir süre ulaşılmayacak olması. En kısa sürede linkler aktif olacak.

24 Ağustos 2007

FixMSN (MSN worm fix)

Son iki gündür özellikle Türkiye de çok yaygın bir MSN worm salgını var. MSN listenizdeki birilerinden gelen bir takım resimler olduğunu belirten mesajlarla birlikte dosyalar gönderen bu worm un sadece 2 günde 7-8 adet farklı örneği elime ulaştı. Burada en iyi çözüm hepimizin bildiği üzere gelen dosyaları açmamak ya da en azından bu zipler içindeki .com uzantılı dosyaları(worm bir sosyal mühendislik hilesi ile dosya isimlerine bir web sitesi linki süsü veriyor 
örn: www.539_06.jpg.com) çalıştırmamak. Son 2 gündür tecrübe ettiğim üzere bu çok da kolay değilmiş :)

Sorunu geçici de olsa bir çözüm geliştirmek için en azından son iki gündeki örneklerden basit bir fix tool hazırladık(çalışma arkadaşım Gürcan'ın katkılarıyla) buradan indirebilirsiniz.

Ancak belirtmeliyim ki çok fazla test etme şansımız olmadı.  8-10 virüslü sistemde yaptığımız denemeler olumlu sonuç verdi. Eğer kullanan olursa yorumlarda ya da mail ile sonuçları bildirirse çok sevinirim.

18 Ağustos 2007

ClamAV Artık Sourcefire'ın

Özellikle açık kaynaklı işletim sistemleri üzerinde çalışan e-posta sunucularını ve squid gibi proxy yazılımlarıyla birlikte yaygın olarak kullanılan açık kaynak antvirüs ClamAV'ın tüm hakları , Snort' un ana geliştiricisi olan Sourcefire firması tarafından satın alındı. Projenin kurucusu Tomasz Kojm ve diğer 4 geliştirici tarafından alınan bu karar bakalım projenin gelişimini nasıl etkileyecek. Bidiğiniz gibi açık kaynaklı güvenlik yazılımları arasında önce Nessus geliştiricisi Tenable tarafından Nessus 3 den itibaren kapalı kod olarak geliştirilmeye başlanmış (2 sürümü halen açık kodlu) ve tanım dosyaları ücretsiz 
kullanıcılar için gecikmeli olarak verilmeye başlanmıştı. Buna ek olarak Sourcefire da Snort için 
benzer bir model geliştirmiş ve imza dosyalarını belirli bir gecikme ile abone olmayan müşterilerine
sunmaya başlamıştı. Sourcefire bu kez ClamAV konusunda ne yapacak? İlk izlenimlerin Snort benzeri 
bir model izleyecekleri. ClamAV ekibi tarafından hazırlanmış satışla ilgili sorulara cevap olacak bir sayfaya şuradan ulaşabilirsiniz.
Bakalım bu satın alma neler getirecek bekleyip göreceğiz.

28 Haziran 2007

Activexdebugger32 Cleaner

Son günlerde oldukça yaygın olduğunu gördüğüm Activexdebugger trojan'ını temizleme işlemlerini otomatize eden bir paket hazırladım. Bir kaç sistemde gerekli denemeleri yaptım trojan ın açtığı paylaşımları kapatıyor,registry key'lerini kaldırıyor ve dosyaları siliyor.Dosyayı buradan indirebilirsiniz.

14 Haziran 2007

Vista Güvenliği Üzerine İlginç Bir Deneyim-2

Bugün bloglarda gezinti yaparken gözüme ilginç bir haber takıldı. Bu haber tam da daha önce Vista Güvenliği Üzerine İlginç Bir Deneyim başlıklı mesajımdakine benzer bir güvenlik açığı içeriyordu. Habere göre bir Vista Cd sini başlangıç Cd si olarak kullanarak herhangi bir Windows işletim sisteminin dosyalarına admin hakkı 
olmadan erişmek mümkün. Burada sorun açılan Vista recovery console'unun
herhangi bir authentication istememesi.

4 Haziran 2007

PEiD

PEiD; daha önceki yazılarımda pek çok kez değindiğim packerları (paketleyici) tespitde kullanılan en yaygın araçlardan bir tanesi. 
Pek çok packer'ı tanıyabiliyor ve pluginlerle tanıyabildiği packer
sayısı arttırılabiliyor.

17 Mayıs 2007

Güvenlik Trendleri : Virüsler ve Antivirüsler

Virüs yazarları ve antivirüs firmaları arasında uzun yıllardır süregelen yarış son yıllarda iyice kızışmaya başladı. Virüs yazarları ,saldıran taraf olarak bir adım önde gibi gözükseler de antivirüs firmaları da,geliştirdikleri yeni yöntemlerle bu yarışta geride kalmamaya çalışıyorlar.

Virüs yazarları tarafında ; eski virüsler (ki bence yazılması çok daha fazla yetenek isteyen virüslerdi eskileri) yerini çok daha özelleşmiş , kolayca tespit edilemeyen, yazılım paketleme yöntemleriyle kolayca değiştirilebilen, kişisel ve finansal bilgiler çalmaya odaklı zararlı yazılımlara 
bıraktı. Zararlı yazılım 
diyorum çünkü eskiden sadece virüslerle uğraşırken artık spyware , adware , trojan ,rootkit ,botnet , gibi pek çok tehdit ile karşı karşıyayız.

Virüs yazarları tarafında bunlar olurken ; antivirüs firmaları da ürünlerine , değişen ve gelişen bu tehditlere önceden müdahale edebilmeye olanak sağlayan heuristics (sezgisel tarama) , davranış analizi , emülasyon , jenerik imzalar gibi proaktif koruma yöntemlerini ve HIPS, Firewall gibi ek özellikleri ekliyorlar. Bu sayede modern tehditlere karşı çok daha başarılı ve çok boyutlu bir koruma sağlayabiliyorlar.

Bu noktada görünen o ki,zararlı yazılımlar ile elde edilen finansal kazanç arttıkça çok daha farklı ve çeşitli güvenlik tehditi ile karşılacağız. Bu durumda yeni korunma
yöntemleri geliştirmekte de her geçen gün zorlaşıyor. Bakalım bu şartlar altında güvenlik 
firmaları nasıl yöntemler geliştirecek. 

26 Nisan 2007

Virus Total Uploader

Şüpheli dosyaları birden fazla tarama motorunda taramak için kullandığım (özellikle zararlı kod ismi , hangi paketleyici kullandığı ) Virus Total dosyaları web sitesindeki formu kulanmadan sağ tıklama menüsünden send to(gönder) seçeneğiniyle upload etmeyi sağlayan yararlı bir araç yayınlamş. Buradan indirebilirisniz.

18 Nisan 2007

Vista Güvenliği Üzerine İlginç Bir Deneyim

Dün sabah , uzun süredir Vista kullanan bir iş arkadaşımda (müdürüm oluyor kendisi) ,admin olarak sisteme login olamama gibi bir sorun ortaya çıktı. Kısa bir araştırmadan sonra anladık ki makinası bir arkadaş tarafından (bu ben oluyorum) domainden silinmiş böylece daha önce olduğu gibi domain admin olarak sisteme erişemiyor ,üstüne bir de yerel admin hesabı Vista'da güvenlik! nedeniyle kapalı gelmiyormuymuş:). Elimizdeki sadece sınırlı yetkili bir user hesabıyla domaine tekrar dahil etmek gibi bir işlemi de yapamıyoruz. Tam bu nokta da aklımıza Vista'yı yeniden yükleme fikri iyiden iyi yeretmeye başlamışken aklıma birden McafeeLabs Blog'unda rastladığım ilginç bir Vista açığını kullanmak geldi. Kabaca erişilebilirlik amacıyla kullanılan yapışkan tuşları çalıştıran exe (5 kez shift tuşuna basınca çalışıyor) gerekli doğrulama yapılmadan sadece dosyanın adına bakılarak çağrılıyor. Bu da istediğiniz dosyayı system kullanıcı yetkisi ile çalıştırmanızı sağlıyor. Peki biz bunu nasıl kullandık:

1- Vista kurulu sistemi bir PE cd'si (biz erd commander kullandık) ile başlattık.
2-ERD commander komut satırını açtık ve c:\windows\system32\cmd.exe yi sethc.exe olarak kopyaladık.
3-Vista yı normal yol ile başlattık ve önümüze login ekranı çıktı.
4- Ardarda 5 kez shift e basıncı karşımızda admin yetkileriyle komut satırı geldi. Buradan explorer.exe yazdık ve karşımızda admin yetkisine sahip grafik ekran.
5-Artık bundan sonrası yeni bir kullanıcı açmaya ve ardından makinayı domain e eklemeye kaldı ve bunuda çok kolay bir şekilde yaptık.

Böylece bir güvenlik açığı nasıl hayat kurtarır bunu da görmüş olduk:)