Kategori arşivi: Güvenlik

IDC ve CISO Expert Club Türkiye’nin En Kapsamlı BT Güvenlik Zirvesinde

International Data Corporation (IDC) Türkiye, BT Güvenliği Konferans Serisi etkinliklerini, 28 Şubat’ta İstanbul’da ve 5 Mart’ta Ankara’da, gerçekleştirecek. Finans, perakende, üretim, hizmet, devlet kurumları ve holding şirketlerinden 1000 civarında üst düzey BT güvenlik yöneticisini ve BT profesyonelinin ağırlanacağı bu etkinliklerde öne çıkacak konular:

  • Yapay zeka, otomasyon ve orkestrasyon
  • Blok zinciri ve güvenlik
  • Aldatma teknolojilerinin kullanılma nedenleri
  • Kuantum hesaplama ve siber güvenlik üzerindeki etkisi
  • KVKK: Sadece bir regülasyon mu yoksa inovasyon için motivasyon mu?
  • Siber güvenliği artırmak için analitik
  • Konteyner güvenliği nedir?
  • Çok bulutlu ortamda siber güvenlik
  • OT güvenliği etrafındaki en iyi uygulamalar

IDC Türkiye yazılım pazarından sorumlu kıdemli araştırma analisti Yeşim Öztürk’e göre, “Türkiye’de şirketler rutin işleri sürdürmekle iş çevikliğini arttırmak arasında bir denge kurmaya çalışıyorlar. Ulusal düzeyde stratejiler ve değişen endüstri dinamikleri; yeni teknolojilerle ilgili denemeler yapan ve inovasyonu şirket kültürü haline getirmeye çalışan organizasyonları yönlendiriyor. Bu değişim ise sadece BT’yi değil, işin bütününü kapsıyor. Çağımızda BT güvenliği artık sadece teknoloji varlıklarını korumakla sınırlı olmamalı, iş esnekliğini arttırmayı amaçlamalıdır. Dijital dönüşüm süreci ilerledikçe, kuruluşların iş düzeyinde bir güvenlik stratejisi geliştirmeleri gerekir. Güvenlik ortamının mevcut durumunu ve inovasyon çağına girerken risk, güven ve rızanın güvenlik stratejilerine nasıl dahil edilmesi gerektiğini etkinliğimizde konuşulacak.”

“IDC CIO Zirvesi 2018 Anketi” sonuçlarına göre önümüzdeki yıllarda da güvenlik, ortak bir endişe olarak yine birinci sırada yer alıyor. Günümüzde siber güvenlik tehdit ortamı, gelişen tehditler ve tekrarlayan siber saldırılardan oluşmaktadır. Bu nedenle, CIO’lar dijital dönüşüm inisiyatiflerinin bu tehditlerden etkilenebileceğini anlamalı ve gerekli önemlerin alınması konusunda güvenlik ekiplerini hem strateji hem de teknoloji yatırım planları açısından desteklemelidir.

IDC Türkiye Ülke Direktörü Nevin Çizmecioğulları konuya şöyle yaklaşıyor: “Siber güvenlik CIO ajandalarındaki önemini korurken, yatırım planlarında da üst sıralarda yer almaya devam ediyor. 2019 yılının ekonomik olarak zorlayıcı bir yıl olması beklenirken, yaptığımız görüşmeler ve analizler doğrultusunda güvenlik yatırımlarının hız kesmeden devam edeceğini öngörüyoruz. Bu yıl IDC Türkiye olarak gerçekleştirdiğimiz CISO Zirvesi 2018 anketimizde CISO’ları uykusuz bırakan konuların başında Kişisel Verileri Koruma Kanunu (KVKK) ihlalinin %63 ile ilk sırada geldiğini gördük. Nitekim 2018 yılının en çok konuşulan konularından biri olan KVKK yine 2019 yılında da sıkça konuşuluyor olacak. Kurumlar regülasyonlardan kaynaklı endişelerini gidermek amacıyla çeşitli yatırımlar yapmaya ve uyumluluk konusunda danışmanlıklar almaya devam edecekler. Gerçek zamanlı tehdit istihbaratı ve güvenlik operasyon merkezi yatırımları, yönetilebilir güvenlik servisleri CISO’ların 2019 yılında önceliklendirdiği yatırımların başında geliyor.”

Konferans çerçevesinde en son teknolojilerin ele alınması için IDC bu etkinlikte; KoçSistem, IBM, Cisco, Oracle, Barikat, CyberArk, Endpoint, FireEye, Forcepoint, Fortinet, Google Cloud, Infosec, Juniper, Kaspersky, Nebula, NormShield, Picus Security, Platin Bilişim, VMware, Symantec, BG-Tek, Biznet, Demsistem, Dereka-Natika, Detech-Titus, FileOrbis, Imperva, Invento, Karya Bilişim, Keepnet, Kron, Logsign, Netsec, Netsmart, Roksit, Secure Future, Sekom, Tripware, Zero Second gibi sektörün önde gelen tedarikçileri ile, STK’ları ve CISO’ları ile iş birliği içindedir.

Daha fazla bilgi için IDC BT Güvenlik Konferansı “www.idcitsecurity.com” web sitesini ziyaret edebilir, #idcsecurity19 hashtag’ini kullanarak etkinlikle ilgili paylaşım yapabilirsiniz.

IDC etkinlikleri ve ortaklık fırsatları hakkında daha fazla bilgi almak için lütfen IDC İş Geliştirme Müdürü Onur Hamitoğlu (ohamitoglu@idc.com) -+90-533-3018998 ile iletişime geçiniz.

LepideAuditor 18.6 Sürümü ile Ver Bulma ve Sınıflandırma Özelliği Sunuyor

Lepide temelde bir Audit ürünü olmasına karşın pek çok ek özellik sunmaktadır. Audit temelinde aldığı bilgiler ile raporlama yanında örneğin sistem yöneticileri için çok deperli olan eski hesapların belirlenmesi, lock olan hesapların nereden lock olduğunun sunulması, dosya sunucularındaki değişen izinlerin gösterilmesi gibi bizlerin hayatını kolaylaştıracak özellikler sunmaktadır.

Yeni sürüm 18.6 ile çok popüler konular’ dan GDPR ve KVKK için önemli bir başlık “Data Discovery and Classification” özelliğini de eklediğini duyurdu.

Bu özellikle benim gibi KVKK noktasında global firmalarda da proje yapan birisi olarak çok heyecanlandırdı. İlk fırsatta bunun makalesini yazmaya başlayacapım.

Daha fazla bilgi ve kaynak için aşağıdaki linki kullanabilirsiniz

https://www.lepide.com/news/lepideauditor-now-includes-data-discovery-and-classification/

 

Kritik Zafiyet Uyarısı – Speculative Execution Side-Channel Vulnerabilities L1TF – L1 Terminal Fault

Hikâye nasıl başladı?

Intel iki hafta önce Spectre/Meltdown benzeri bir zafiyet olan “speculative execution side channel” ile ilgili aşağıdaki gibi duyuru yaptı;

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00161.html

Hatta 23 Ağustos itibari ile bir güncelleme de yapıldı.

Microsoft’ da hızlı bir şekilde bu konuda yama ve bilgilendirme geçti;

https://blogs.technet.microsoft.com/srd/2018/08/14/analysis-and-mitigation-of-l1-terminal-fault-l1tf/

Özellikle zafiyet için bu bölümde çok detaylı bir analiz yapılmış durumda;

L1TF arises due to a CPU optimization related to the handling of address translations when performing a page table walk. When translating a linear address, the CPU may encounter a terminal page fault which occurs when the paging structure entry for a virtual address is not present (Present bit is 0) or otherwise invalid. This will result in an exception, such as a page fault, or TSX transaction abort along the architectural path. However, before either of these occur, a CPU that is vulnerable to L1TF may initiate a read from the L1 data cache for the linear address being translated. For this speculative-only read, the page frame bits of the terminal (not present) page table entry are treated as a system physical address, even for guest page table entries. If the cache line for the physical address is present in the L1 data cache, then the data for that line may be forwarded on to dependent operations that may execute speculatively before retirement of the instruction that led to the terminal page fault. The behavior related to L1TF can occur for page table walks involving both conventional and extended page tables (the latter of which is used for virtualization).

Peki nedir özeti derseniz aslında bir sanal makine içerisinden diğer tüm sanal makinelere erişim yapılabilir, bu da özellikle veri merkezleri için veya ortak platformdan hizmet veren sağlayıcılar için çok büyük bir risk. Tabiki risk sadece bunlar ile sınırlı değil, örneğin 30 tane sanal makineniz var ve bir danışman sadece kendi yetkisi olan bir makineden işlem yapıyor ama bu açık sayesinden aslında yetkisi olmayan makinelere de erişebilir demektir. Özetle öncelik evet büyük ve çok fazla müşteri, kişi bağlanan ortamlar olsa bile her platform için ciddi bir risk söz konusu.

Bu zafiyet işlemci temelli olduğu için bundan önce olduğu gibi Microsoft başta aslında tüm sanallaştırma platformlarını etkilemiş durumda. Her üretici Microsoft gibi hızlı bir şekilde yama + config önerilerinde bulundu.

Hyper-V ortamları için çözüm aşağıdaki gibidir;

https://support.microsoft.com/en-us/help/4457951/windows-server-guidance-to-protect-against-l1-terminal-fault

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180018

Peki ne yapmamız gerekiyor?

En güncel yamaların yüklenmesi şart.

En güncel donanım firmwarelerin yüklenmesi tavsiye ediliyor (ama bu Microsoft veya Vmware ya da diğer sanallaştırma üreticilerinden bağımsız olarak yapıldığı için onu ayrıca donanım üreticilerinizin web sayfalarından takip etmeniz gereklidir.)

Hyper-threading (HT) Özelliğinin kapatılması. Tabiki bu madde performans kayıplarına yol açacağı için detayı işletim sisteminize göre değişkenlik gösteriyor. Eğer Windows Server 2016’ dan daha eski sürüm bir hyper-v kullanıyorsanız yani 2012 ve 2008 gibi ne yazık ki şu anda tek çözüm HT özelliğini kapatmanız. 2016 kullanıyorsanız ise devamında çözüm önerisini paylaşıyor olacağım.

Eğer Server 2016 işletim sistemi kullanıyorsanız Hypervisor scheduler tipinin “core scheduler” olarak güncellenmesi ve çekirdek başına VM donanım iş parçacığı sayısının 2 olarak ayarlanması gereklidir.

Kullandığınız işletim sistemi sürümüne göre iki farklı çözüm söz konusu

İlk olarak Hypervisor scheduler tipinin “core scheduler” olarak güncelleyelim

bcdedit /set HypervisorSchedulerType core

Daha sonra Hyper-V üzerinde çalışan sanal makineler için “hardware thread count” değerini core başına iki yapalım

Set-VMProcessor -VMName <VMName> -HwThreadCountPerCore 2

CVE-2017-5715 ve CVE-2017-5754 güvenlik zafiyet tavsiyelerini mevcut zafiyetin etkisini azalmak için etkinleştirin

https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

Vmware için gerekli bilgilere aşağıdaki linklerden ulaşabilirsiniz

https://kb.vmware.com/s/article/55806

https://kb.vmware.com/s/article/55807

Kaynak

https://support.microsoft.com/af-za/help/4457951/windows-server-guidance-to-protect-against-l1-terminal-fault

Trend Micro Pishinsight Ürününü Ücretsiz olarak Kullanıma Sundu

Kullanıcıların oltalama saldırılarına karşı farkındalığını artırmaya dönük bir ürün olan pishinsight Trend Micro tarafından ücretsiz olarak sunuldu. Ürün 200 kullanıcıya kadar tamamen ücretsiz olup 200 kullanıcı üstü için fiyat alabilirsiniz. Ancak 200 kullanıcı demek aslında bu tarz ürünler için bütçesi olmayan pek çok kurumu kapsıyor. Zaten büyük kurumlar bu tarz hizmetler için aktif olarak alternatif ürünler kullanmaktadır.

Yapmanız tek gereken çok kısa bir kayıt işlemi ve sonrasında aşağıdaki gibi bir dashboard sizi karşılıyor;

https://phishinsight.trendmicro.com/en/

Özellikle mail üzerinden gelen tehlikeli mailler konusunda ciddi bir farkındalık için kullanabileceğiniz bu ürünü kesinlikle kullanmanızı tavsiye ediyorum. Tabiki daha profesyonel çözümler için ( yani oltalama aslında bu için başlangıcı, oltalama, raporlama, farkındalık eğitimleri, outlook eklentileri ile zero day ve anlık raporlar, koruma için https://www.keepnetlabs.com/ veya https://cofense.com/product-services/simulator-2/ gibi ürünlere bakmanızı öneririm.

Windows Update Sonrası RDP Sorunu – CredSSP updates CVE-2018-0886 breaking RDP

Merhaba, CVE-2018-0886 zafiyeti kaynaklı olarak yayınlanan yama sonucunda istemcilerinizin RDP yapamadığınız ve aşağıdaki gibi bir hata aldığını görebilirsiniz;

Aslında bu sorun güncelleme sorunu değildir. Bunun temel sebebi düzenli bir yama politikası uygulanmaması sonucunda yama seviyelerinin uyumsuzluğu sonucu ortaya çıkmaktadır. Microsoft Mart ayında Uzak Masaüstü bağlantısında kullanılan CredSSP’yi güncellemiştir. Mayıs ayı güncellemeleri ile ise eksik yaması olan makinelerin bu sunuculara erişimini yasaklayan bir güncelleme gönderilmiştir. Özetle sunucuyu güncelleyip istemciyi güncellemediğiniz için bu sorunu yaşıyorsunuz.

Ne yapmalıyız? Tabiki en doğrusu dikkatli ve pilot deployment senaryosu ile hızlıca RDP yapacak istemci makineleri güncellemek gerekli. Ancak bu zaman alacağız için geçici olarak kayıt defteri değişikliği veya GPO değişikliği yapabilirsiniz.

 

https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018

Hızlı Çözüm;

Aşağıdaki komutu bağlantı sorunu yaşayan makinede çalıştırmanız yeterlidir

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2

 

File System Resource Manager FSRM ile Anti-Ransomware List Kullanımı

Windows Server işletim sistemi üzerinde Microsoft tarafından bizlere sunulan pek çok bütünleşik özellikten bir tanesi de File Server sunucu rolü ve onun ile beraber gelen FSRM özelliğidir. Ben bu makalemde hem FSRM kurulum kullanımı hem de bunun üstüne çok popüler bir konu olan Ransomware türevleri için en azından Windows File Server kullanan müşteriler için nasıl temel bir koruma özelliğini devreye alabileceğimizi anlatacağım.

Öncelikle şunu belirtmek isterim ki temel mantık ransomware türevlerinin sürekli olarak dosya uzantılarını değiştirip şifreleyerek gerçekleştirdiği atakları dosya uzantısı bazlı yasaklama ile engellemeye çalışacağız. Ancak unutmayın ki bu son kullanıcı bilgisayarlarını, Windows olmayan dosya sunucularını, CRM, SAP, SQL, Oracle veya aslında Windows file server dışındaki hiçbir sistemi korumaz. Hatta file server üzerinde bile listede bulunmayan yeni bir atak türü gelir ise onda da koruma başarısız olur. Peki madem bu kadar başarılı değil neden makalesini yazıyorsun diye bir soru sorabilirsiniz, malum herkesin bir alım gücü var ve kimi küçük şirketler için en yeni nesil güvenlik ürünlerini almak pek mümkün değil, hal böyle olunca da en azından “hiç yoktan bir güvenlik önemli” olsun tadıyla bu yazıya başladım.

Tabiki yazıya başlamamdaki en büyük motivasyon aslında bu işle uğraşan ve sürekli olarak yeni çıkan dosya uzantılarını güncelleyen bir alt yapının olması.

https://fsrm.experiant.ca/

Tabiki bu makaleyi bundan birkaç yıl sonra okuyanlar için hala bu site var olur mu onu da bilmiyorum.

Şimdi ilk amacımıza dönelim ve diyelim ki Server 2016 da FSRM nasıl kurulur, nasıl çalışır hatta daha önemlisi ne işe yarar?

Temel aslında tüm bu adımları sevgili dostum Rıza son derece güzel bir şekilde burada anlatmış, mutlaka okumanızı tavsiye ediyorum

www.cozumpark.com/blogs/windows_server/archive/2017/05/07/windows-server-2016-file-server-resource-manager-genel-yapilandirma.aspx

Makalede olmayan kısımları ben eklemek istiyorum.

Temel olarak FSRM aşağıdaki başlıklarda bize hizmet sunar;

  • File Classification Infrastructure
  • File Management Tasks
  • Quota management
  • File screening management
  • Storage reports

Okumaya devam et

Cisco IOS and IOS XE Software Smart Install Denial of Service Vulnerability – Smart Install Client Zafiyeti

Servis kesintisine neden olan önemli bir zafiyettir, hızlı bir şekilde network aktif cihazlarınız için güncelleme yapabilirsiniz. Bunun için aktif bir cisco hesabınız üzerinden aşağıdaki adrese ulaşmanız yeterlidir.

https://tools.cisco.com/security/centerviewErp.x?alertId_ERP-66682

Zafiyetin sizin cihazlarınızı etkileyip etkilemediğini öğrenmek için aşağıdaki komutu kullanabilirsiniz

show vstack config | inc Role

SmartInstall enabled ise bunu kapatmak için “no vstack” komutunu kullanabilirsiniz. Eğer açık kalması gerekiyor ise bu durumda TCP 4786 nolu port için ip bazlı erişim izinlerini yapılandırmanız gerekmektedir.

Zafiyet hakkında daha fazla bilgi için

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi

SSL Sertifika Süreleri Kısalıyor!

Malum eskiden local ve benzeri şirket içerisinde kullandığımız alan isimlerini sertifikalarda barındırabiliyorduk. İlk olarak bu konudaki güncelleme 2012 yılında gelmiş ve artık bu tarz isimleri genel sertifika dağıtıcılarından talep edemeyecektir. Şimdi ise yine yeni bir döneme giriyoruz ve bu seferki değişiklik artık sertifika üreticileri sertifikaları 3 yıllığına veremeyecek. Artık en uzun sertifika süresi iki yıl olabilecek. Mart 2018 itibari ile geçerli olan bu yeni sisteme ayak uydurmak tabiki daha kolay olacaktır. Ancak benim gibi hem danışmanlık hem sertifika satışı yapan birisi olarak panelde 3 yıl seçeneğini görüp onun ile sertifika üretmeye çalışırsanız ve üretemediğiniz için üreticiyi ayağa kaldırırsanız ayrı 🙂 neyse bu vesile ile bende bu bilgiyi sizler ile paylaşmış olayım. Tabiki suçu üreticiye attım, madem 3 yıl seçeneği kalktı neden panelde duruyor, sağ olsun onlarda hemen paneli güncelledi. Haberin devamı için aşağıdaki linki inceleyebilirsiniz.

https://blog.comodo.com.tr/ssl-sertifika-sureleri-kisaliyor/

Symantec SLL Sertifikalarınızı Yenilemeyi Unutmayın!

Bildiğiniz gibi Symantec geçtiğimiz yıl yaklaşık 30.000 adet Extended Validation (EV) SSL sertifikasını kullanıcılara hatalı bir şekilde verdi. Durumu fark eden google chrome ekibi hızlı bir şekilde Symantec firmasını uyardı ve uyarmak ile de kalmayıp 15 Mart 2018 itibari ile bu sertifikaları Google chrome kullanıcıları için güvensiz olarak işaretleyeceğini açıkladı. Symantec firması geçen yıl temmuz ayında kendi alt yapısını yeniledi, ancak bu sertifikaları almış iseniz ve size gelen maillere rağmen hala yenilememişseniz yarın ciddi bir sertifika sorunu, hatta müşteri erişim, iletişim, prestij kaybı yaşayabilirsiniz.

Yarın yani 15 Mart 2018 de google chrome için bir güncelleme yapacak ve artık bu hatalı sertifikalar güvensiz olarak işaretlenecektir.

 

iPhone guest Wifi bağlantı sorunu the requested url /portal/index.php was not found on this server

Hot spot uygulaması olan kablosuz ağlarda genellikle şifresiz bir SSID’ ye bağlanır, ardından karşınıza otomatik çıkan bir portal üzerinden kimlik, oda, hesap veya size ait bilgileri gireceğiniz bir web sayfası sayesinde internete erişebilirsiniz.

Başıma benzer bir durum geldi, arkadaşlarım ile yurt dışında bir etkinlik için bulunuyorduk ve hepimizin değişik model iPhone telefonu olmasına karşın bir tek benimkisi bağlanmıyordu. SSID’ yi görüyorum ancak SSID ye bağlandıktan sonra açılması gereken portalda aşağıdaki gibi bir hata geliyordu.

the requested url /portal/index.php was not found on this server

Sonra aklıma bu durumun benim güvenlik ayarlarım ile ilgili olabileceği geldi, malum yer hizmetleri, log gönderme, reklam, çerez ve benzeri konularda ben biraz katıyım. Kısa bir araştırmanın sonucunda neden benim cep telefonumda herkeste açılan portalın açılmadığını buldum.

Ayarlar – Safari ye gelin, burada Privacy & Security altında bende “Block All Cookies” bölümü aktif şekildeydi, bunu kapatarak sorunsuz bir şekilde portalın açılması ve internete bağlanmamı sağladım. Umarım başka arkadaşlarda benim gibi bir takım güvenlik ayarları ile oynuyor ise bu yardımcı bir ip ucu olacaktır.