Vedat FETAH Kimdir?

Ege Üniversitesi Bilgi İşlem Daire Başkanlığı bünyesinde kampüs güvenlik sistemleri yöneticisi olarak çalışma hayatıma devam ediyorum. Günlük yaşamda teknoloji ağırlıklı karşılaştığım ve beğendiğim yazıları paylaşmak amacıyla bu bloğu oluşturdum. Umarım birilerinin bilgilenmesini sağlar.

Halen Çalışmakta Olduğum Yer

Halen Ege Üniversitesi Uluslararası Bilgisayar Enstitüsü Binasında Bilgi İşlem Daire Başkanlığın'da çalışmaya devam etmekteyim.

30 Aralık 2014 Salı

Windows 7,8,10 Sürümlerini 10 Dakikada Kurmak...

Aşağıdaki adımları takip ederek kurulumun en hızlı şekilde tamamlanmasını sağlayabilirsiniz.

1. İlk olarak kurulum cd/dvd'si çalıştırılır medyadaki dosyalarınız diske kaydedilir ve reboot etmeniz isteniz. Reboot ettikten sonra kurulum aşaması başlar. Bu aşamaya geldiğinizde aşağıdaki ekranlar görünüyor olmalı.

Windows xp için:
Windows 7,8 ve diğer sürümler için:


2. Bu ekrandayken SHIFT+F10 tuşlarına basarak task manager'i açın.

3. Setup.exe isimli görevi bulup üzerinde sağ tuşa tıklayın ve Highest Priority'i seçin. Daha sonrasında kurulum hızını seyredin. Sistemden sisteme süre değişebilir ama o bilgisayar için en hızlı şekilde kurulumu yapacağından emin olabilirsiniz.

26 Aralık 2014 Cuma

Backbox 4 için Openvas Kurulumu

Backbox versiyon 4 kurduktan sonra ihtiyaç duymanız halinde Openvas 7 kurulumu basite indirgenmiş bir scriptle mümkün. Bir adet terminal açıp aşağıdaki komutu işletmeniz gerekli.
wget https://gist.github.com/ZEROF/fb790b35098be3bafcaf/raw -O openvas-backbox4.sh
Daha sonra indirilen scripte çalıştırma haklarının verilmesi gereklidir.

chmod +x openvas-backbox4.sh
Son olarak script çalıştırılır.

./openvas-backbox4.sh
Script çalışınca karşınıza çıkan seçenekleri tek tek kuruyorsunuz. Tüm olay bu kadar. Kolay gelsin.

21 Aralık 2014 Pazar

Tor Networkünden Gelen İstekleri Engelleme...

İlk olarak aşağıdaki komutlarla zincirleri oluşturmalısınız.

iptables -N TOR
iptables -I INPUT 1 -j TOR

Ardından sunucunuza indirdiğiniz (https://github.com/ddasilva/block-tor-iptables/blob/master/cron-service.sh) bu scripti çalıştırın.

#/opt/cron-service.sh 80 443 

komutunu işletin. Yukarıdaki komut sayesinde sunucunun 80 ve 443 numaralı portlarına gelecek tor istekleri engellenmiş olacak. Bu işlemi cron'a yazarak belirli aralıklarla çalıştırılmasını sağlayabilirsiniz.

17 Aralık 2014 Çarşamba

Burp Suite ile Web Application Firewall Nasıl Atlatılır?

Aslında mantık çok basit hangi sunucu kendinden gelen istekleri göz ardı edebilirki :) İşte tam da bu noktada istekler 127.0.0.1 'den gidiyormuş gibi gösterirsek sanırım kendini de engelleyemez firewall :D
İşlem basamakları şöyle:


Burp Suite programını açın ve Proxy sekmesinden Options alt sekmesine gidin. Aşağı doğru indiğinizde Match and Replace kısmından Add butonuna tıklayarak şu kısımları teker teker listeye ekliyoruz.

The list of headers includes, but is probably not limited to:
  • x-originating-IP: 127.0.0.1
  • x-forwarded-for: 127.0.0.1
  • x-remote-IP: 127.0.0.1
  • x-remote-addr: 127.0.0.1


Bu kadar basit. Kolay gelsin. :D

Backbox 4 Cobaltstrike Sorunu Nasıl Çözülür?

Backbox versiyon 4 kurmamla beraber ilk ihtiyaç duyduğum yazılımlardan biri olan cobaltstrike'ı kurmaya başladım. Ne varki connecting database kısmında alet çuvallıyor. Veritabanı hatası nedeniyle program başlamadan hata verip kapanıyor. Bu sorunu aşmanın en kolay yolu aşağıdaki şekilde anlatılmıştır. Umarım birilerinin işine yarar.

1. root ana dizinine gidin. #cd /root
2. .bashrc dosyasını uygun bir metin editörü ile açın. #nano .bashrc
3. En alt satırına

export MSF_DATABASE_CONFIG=/opt/metasploit-framework/config/database.yml
bu satırı ekleyip değişiklikleri kaydedip çıkın.
4. #bash komutunu çalıştırın
5. cobaltstrike klasörü içerisinde #java -jar cobaltstrike.jar komutunu çalıştırıp keyfinize bakın.


11 Aralık 2014 Perşembe

HOWTO : SQLMap for Cloudflare protected sites

Son zamanlarda meşhur olan ücretsiz hizmet verdiğini de söyleyen cloudflare'in nasıl atlatılacağı basitçe aşağıda anlatılıyor. Burda bahsedilen yöntem sadece eğitim amacıyladır. Aksi yönde kullanımından kullanıcıların kendileri sorumludur. 

İlk olarak hedef sitenin cloudflare arkasında olduğunu teyyid etmeniz gerekiyor. Bunu "--identify-waf" yada "--check-waf" parametresini kullanarak yapabilirsiniz. Ancak "--thread" parametresini 1'den büyük vermemeniz gerekiyor yoksa hedef 403 hatası döndürmeye başlayacaktır. Bunun sonucunda bir kere alınan 403 hatası sonucu ip adresiniz banlanabilir. Tabii bu durumu aşmanında bir yolu var. O da tor ağını kullanmak.

Daha sonra "--tamper='between,randomcase,space2comment'" ve "-v 3", parametrelerini vermeniz gerekiyor. Ayrıca ihtiyaç duyarsanız "--random-agent" ve "--tor" parametrelerini de kullanabilirsiniz.

Tüm bu işlemlerin sonun aşağıdakine benzer bir betik ortaya çıkacaktır.

python sqlmap.py -u "https://www.cloudflare.com/" --check-waf --tamper="between,randomcase,space2comment" -v 3 --random-agent --tor

5 Aralık 2014 Cuma

Her Sistemcinin Bilmesi Gereken İzleme Komutları

Lighthttpd Service'nin Process ID'leri

# ps -C lighttpd -o pid=VEYA
# pgrep lighttpdVEYA
# pgrep -u vivek php-cgi

55977 PID Numarasına Sahip Servis Adını Bulmak

# ps -p 55977 -o comm=

RAM'i En Fazla Tüketen 10 İşlem

# ps -auxf | sort -nr -k 4 | head -10

CPU' yu En Fazla Tüketen 10 İşem

# ps -auxf | sort -nr -k 3 | head -10

tcpdump - Detaylı Network Trafik Analizi

DNS'e ait trafik bilgisinin izlenmesini sağlayan komut:
# tcpdump -i eth1 'udp port 53'
137. porta giden 250 istekği attack.log dosyasına yazıp sonrada bu istekleri yapan ipleri listeleten komutlar;
 # tcpdump -v -n -w attack.log dst port 137 -c 250 # tcpdump -nr attack.log |awk '{print $3}' |grep -oE '[0-9]{1,}\.[0-9]{1,}\.[0-9]{1,}\.[0-9]{1,}' |sort |uniq -c |sort -rn
Tüm 80 portuna gelen HTTP IPV4 paketlerinin incelenmesi, Aşağıdaki örnek sadece data içeren SYN, FIN, ACK paketi olmayan verileri toplayan komut:
# tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2 -="" amp="" tcp="" xf0="">>2)) != 0)'
202.54.1.5 ip adresine yapılan tüm FTP oturumlarının listeler;
# tcpdump -i eth1 'dst 202.54.1.5 and (port 21 or 20'
192.168.1.5 ip adresine yapılan bütün HTTP isteklerini listeler;
# tcpdump -ni eth0 'dst 192.168.1.5 and tcp and port http'
Detaylı bilgileri wireshark ile incelemek için aşağıdaki komutu girmeniz gereklidir;
# tcpdump -n -i eth1 -s 0 -w output.txt src or dst port 80

Siber Olaylara Müdahele Ekipleri (SOME) Tebliği

Siber savaşların başta devletler ile uluslararası hacker organizasyonları tarafından sıkça başvurulan bir tehdite dönüşmesinin üzerine ülkemizde de buna yönelik olarak önemli bir adım atılarak Siber Olaylara Müdahale Ekiplerinin (SOME) kuruluş, görev ve çalışmalarına ilişkin usul ve esaslarının belirlendiği tebliğ ile ilk resmi adım atılmış oldu.

Ulaştırma, Denizcilik ve Haberleşme Bakanlığına bağlı olarak kurulan Siber Olaylara Müdahele Ekipleri (SOME) kuruluş görev çalışmalarına yönelik usul ve esaslar iki gün önce Resmi Gazetede yayınlandı. Buna göre Ulusal Siber Güvenlik Stratejisi çerçevesinde oluşturulan SOME'ler, bakanlıklar bünyesinde ve her bir kamu kurum ve kuruluşunda kurulabilecek. Tebliğe göre kurumsal SOME’ler Bakanlıkların bünyesinde, Bakanlık birimlerini, bağlı, ilgili ve ilişkili kurumlarını kapsayacak şekilde kurulur. Ancak Bakanlık koordinesinde Bakanlık birimleri, bağlı, ilgili ve ilişkili kurum ve kuruluşları altyapılarının önem ve büyüklüğüne göre kendi bünyelerinde bir kurumsal SOME kurabilir.

Kurumsal SOME’lerin görev ve sorumlulukları arasında:
(1) Kurumsal SOME’ler kurumlarına doğrudan ya da dolaylı olarak yapılan veya yapılması muhtemel siber saldırılara karşı gerekli önlemleri alma veya aldırma, bu tür olaylara karşı müdahale edebilecek mekanizmayı ve olay kayıt sistemlerini kurma veya kurdurma ve kurumlarının bilgi güvenliğini sağlamaya yönelik çalışmaları yapmak veya yaptırmakla yükümlüdürler.

(2) Kurumsal SOME’ler, siber olayların önlenmesi veya zararlarının azaltılmasına yönelik olarak, kurumlarının bilişim sistemlerinin kurulması, işletilmesi veya geliştirilmesi ile ilgili çalışmalarda teknik ve idari tedbirler konusunda öneri sunarlar.

(3) Kurumsal SOME’ler, siber olayların önlenmesi veya zararlarının azaltılmasına yönelik faaliyetlerini varsa birlikte çalıştığı sektörel SOME ile eşgüdüm içerisinde yürütürler. Durumdan gecikmeksizin USOM'u haberdar ederler.

(5) Kurumsal SOME’ler siber olaya müdahale ederken suç işlendiği izlenimi veren bir durumla karşılaştıklarında gecikmeksizin durumu kanunen yetkili makamlara bildirirler. Durumu gecikmeksizin USOM'a da bildirirler.

(8) Kurumsal SOME’ler 7/24 erişilebilir olan iletişim bilgilerini belirleyerek birlikte çalıştığı sektörel SOME’lere ve USOM'a bildirirler.
gibi maddeler yer alırken, sektörel SOME'lerin de çerçevesi çizilmiş. Tebliğe göre sektörel SOME'ler için:
(1) SOME’lerin Bakanlık ve diğer kurumlar içinde nasıl yapılandırılacağı, hangi birim içinde çalışacağı, Bakanlığın veya kurumun diğer birimleri ile ilişkileri, bilişim ve endüstriyel kontrol sistemlerinin yapısı da dikkate alınarak ilgili Bakanlık veya kurum tarafından belirlenir ve kurum içerisinde uygun yöntem ile duyurulur.
(2) SOME’ler kurumların bilişim ve endüstriyel kontrol sistemlerinin büyüklük ve kritikliği dikkate alınarak meydana gelebilecek siber olaya müdahale edebilecek yeterlilikte personel ve teçhizatla desteklenirler.
(3) SOME’ler; bilgi güvenliği, bilişim ağları, yazılım ve sistem uzmanlığı gibi alanlarda bilgili ve tecrübeli personel öncelikli olmak üzere ilgili bakanlık ve kurumların belirleyeceği personelden teşkil edilir.
gibi düzenlemeler getirilmiş.

Ayrıca bu tebliğ ile Siber Güvenlik Kurulu da resmen oluşturulmuş oluyor. Tebliğe göre siber güvenlikle ilgili olarak alınacak önlemleri belirlemek, hazırlanan plan, program, rapor, usul, esas ve standartları onaylamak ve bunların uygulanmasını ve koordinasyonunu sağlamak amacıyla Ulaştırma, Denizcilik ve Haberleşme Bakanının başkanlığında:
  • Dışişleri bakanlığı müsteşarı
  • İçişleri bakanlığı müsteşarı,
  • Milli Savunma bakanlığı müsteşarı,
  • Ulaştırma, Denizcilik, Haberleşme bakanlığı müsteşarı,
  • Kamu Düzeni ve Güvenliği Müsteşarı,
  • Milli İstihbarat Teşkilatı Müsteşarı,
  • Genelkurmay Başkanlığı Muhabere Elektronik ve Bilgi Sistemleri Başkanı,
  • Bilgi Teknolojileri ve İletişim Kurumu Başkanı,
  • Türkiye Bilimsel ve Teknolojik Araştırma Kurumu Başkanı,
  • Mali Suçları Araştırma Kurulu Başkanı,
  • Telekomünikasyon İletişim Başkanı ile
  • Ulaştırma, Denizcilik ve Haberleşme Bakanınca belirlenecek bakanlık ve kamu kurumlarının üst düzey yöneticilerinden
oluşan Siber Güvenlik Kurulu kuruldu.

Oluşturulan bu yeni SOME'ler ve güvenlik iş birimleriyle, zaten sektörde bulunan inanılmaz uzman eksiği ve açlığı katlanarak artmış oldu. Yeni dönemde bilgi güvenliği, güvenlik sistemleri, siber güvenlik ve benzeri alanlarda kendini yetiştirenlere çok ama çok ihtiyaç duyulacak ve bu da doğal bir sonuç olarak önemli bir prestij ve de maddi kazanç getirecek.

Siber suçla 24 saat mücadele edilecek. Kurumlara teknik destek verilecek. Tüm vatandaşları kapsayan eğitim faaliyetleri yapılacak. Türk Dil Kurumu Aralık 2014’te yeni bir ‘Siber Güvenlik Terimleri Sözlüğü’ hazırlayacak.

Tebliğin tamamı: www.resmigazete.gov.tr/eskiler/2013/11/20131111-6.htm

Paylaş

Twitter Delicious Facebook Digg Stumbleupon Favorites