Halil ÖZTÜRKCİ Güvenlik Günlüğü

ISSA Turkey Grand Security Conference 2012 kapsamında geçtiğimiz Cuma günü Microsoft Türkiye ofisinde gerçekleştirdiğim “iPhone ve iOS Forensics” başlıklı konuşmaya ilişkin sunum dosyasını aşağıdaki adresten indirebilirsiniz.

http://www.halilozturkci.com/sunumlar/iPhone_ve_iOS_Forensics-ADEOSecurity.pdf

NetSec Ağ ve Bilgi Güvenliği Topluluğu tarafından Microsoft Türkiye ofisinde düzenlenen “Siber Savaş Aracı Olarak Kötücül Yazılımlar” konulu etkinlikte sunduğum “Social Network Malware Attacks” başlıklı sunum slaytlarına buradan erişebilirsiniz. Kendi adıma büyük keyif alarak katıldığım bu etkinliğin düzenlenmesinde emeği geçen bütün arkadaşlara çok teşekkür ediyorum.

NIST 800-61 olarak da bilinen ve http://csrc.nist.gov/publications/drafts/800-61-rev2/draft-sp800-61rev2.pdf adresinden indirilebilecek dokümanın temel amacı herhangi bir istenmeyen olayla karşılaşılması durumunda kurumların olay müdahalesini (Incident Response) efektif şekilde nasıl yapmaları gerektiğini anlatmak.

Dokümanın yönetici özeti kısmında yazılanların kısa özeti başlıklar halinde şöyle;

• Kurumlar mutlaka kendi başlarına olaylara müdahale edebilecekleri bir yapı oluşturmalı ve bu yapıyı kullanmalıdırlar.Bu yeteneğin kazandırılması ile ilgili olarak sıralanan konu başlıkları ise şöyle;
  • Kurumlar mutlaka bir Incident Response (Olay müdahale) politikası ve planı oluşturmalıdırlar.
  • Olaylara nasıl müdahale edileceğine ve raporlanacağına dair prosedürler geliştirilmelidir.
  • Olay ile ilgili iletişime geçilmesi gereken 3. partiler ile ne şekilde bir iletişim kurulacağı dokümante edilmelidir.
  • Olay müdahale takımının kimler tarafından hangi modelle oluşturulacağı belirlenmelidir.
  • Olay müdahale takımının gerek iç gerekse dış gruplarla (örneğin içerde IK ve Hukuk departmanı ile, dışarda kolluk kuvvetleri ile ) ne şekilde bir ilişki içinde olacağı belirlenmelidir.
  • Olay müdahale takımının vereceği servislerin ne olacağı belirlenmelidir.
  • Olay müdahale takımındaki kişilerin eğitim planlaması yapılmalıdır.
• Kurumlar kendi networklerini, sistemlerini ve uygulamalarını efektif şekilde koruyarak gerçekleşebilecek incident saysısını düşürmelidirler.
• Kurumlar bir incident ile ilgili olarka diğer organizasyon veya kurumlarla ne şekilde etkileşimde olacağını önceden belirlemelidirler.
• Kurumlar kendi içlerinde oluşturacakları yapılar ile genel manada her türlü olaya müdahale edebilmeli, özellikle de en çok karşılaşılan olaylarla ilgili olarak yetenek sahibi olmalıdırlar.
• Kurumların kendilerinin  bir olayı tespit ve analiz etme yeteneğine sahip olmalarının önemi kurumlar tarafından mutlaka kavranmalıdır.
• Kurumlar mutlaka yazılı şekilde bir olay önceliklendirme dokümanına sahip olmalıdırlar.
• Kurumlar karşılaştıkları olaylar ve bu olaylara nasıl müdahale ettikler ile ilgili olarak mutlaka bir ders çıkarmalı ve olay müdahale politikaları, planları ve prosedürlerine bu dersleri yansıtmalıdırlar.

Dokümanın ikinci kısmında event ve incident arasındaki farklar güzel örneklerle anlatılmış. Bunun yanında üçüncü bölümde yer alan Standart İşletim Prosedürleri (Standard Operating Procedures-SOPs) oldukça detaylı ve kendi şirketinize/kurumunuza kolayca adapte edebileceğiniz yapıda hazırlanmış.

ADEO Security Labs tarafından düzenlenen Güvenlik Günlerinin birincisine ait videolar yayınlandı. “File System Forensics” ve “Art of Fuzzing” başlıklı sunumların videolarını http://www.adeosecurity.com adresi üzerinden izleyebilirsiniz.

ADEO Security Labs olarak düzenlediğimiz güvenlik seminerlerine davetlisiniz. Seminer programını aşağıda bulabilirsiniz. Seminerlere kayıt olmak için lütfen kayıt@adeo.com.tr adresine katılmak istediğiniz seminerlerin günlerini de bildirecek şekilde bir mail atın.
Program: www.adeosecurity.com
Kayıt : kayit@adeo.com.tr

* Seminerler için katılımcı sayısı sınırlı olup, sadece kurumsal e-mail adreslerinden yapılan başvurular değerlendirilecektir.

10 Eylül 2011 Programı

24 Eylül 2011 Programı

8 Ekim 2011 Programı

22 Ekim 2011 Programı

SANS Organizasyonu bu sene 12-17 Eylül 2011 tarihleri arasında Türkiye’de Konferans formatında ilk defa eğitim verecek. SANS Organizasyonu’nun en popüler eğitimlerinden biri olan “Security 560: Network Penetration Testing and Ethical Hacking” Eğitimi SANS’ın yurtdışından gelecek olan bir Eğitmeni tarafından verilecek olup eğitimİstanbul’da Point Hotel Barbaros’da gerçekleştirilecek.

Eğitim, içerik olarak “Reconnaissance” ile başlayıp “Scanning” ,“Exploitation” ve “Password Attacks” şeklinde devam edip “Wireless Attacks” ve “Web Attacks” konularına değindikten sonra bütün anlatılanların bir CTF(Capture The Flag) uygulaması ile sonlandırılacağıbir eğitim olacak.
Eğitimin sonunda katılımcılar SANS’ın GPEN (GIAC Certified Penetration Tester) Sertifikası’nı almaya hazır hale gelebilecekler. Eğitim ile ilgili geniş bilgi alabilmek ve kayıt olmak için http://www.sans.org/istanbul-2011-cs/description.php?tid=1717 adresini ziyaret edebilirsiniz. Sorularınız için ibrahimsaruhan@gmail.com adresine e-mail atabilirsiniz.

http://www.sans.org/istanbul-2011-cs/description.php?tid=1717

“SEO Poisoning” üzerine araştırma yaparken incelediğim sitelerden birisi üzerinden bilgisayarıma indirilen “porno-video.avi.hta” isimli dosyayı analiz ederken ilginç bir registry anahtarı dikkatimi çekti.  Bu dosya incelendiğinde anlaşılacağı üzere çalıştırıldığı Windows bilgisayardaki Hosts dosyasını açarak çoğunluğu  Google’ın olmak üzere arama sitelerine ait farklı ülke kodu uzantılı siteleri bir IP adresine eşleyecek şekilde güncelleme gerçekleştiriyor. Ardından shell.regwrite ile ilgili sisteme üç adet yeni registry değeri ekliyor.

Yazının devamı için tıklayınız »

Bu makalemizde, günümüzde oldukça sık kullanılan anti forensics tekniklerinden birisi  olan uzak lokasyonlarda verinin saklanmasına ilişkin detayları ele alacağız. Bu tarz bir servisin şüpheli kişiler tarafından kullanılması durumunda şüpheli bilgisayarlar üzerinde ne tür izlerin yer alabileceği, adli bilişim uzmanlarının bu bilgisayarları inceleyerek ne tür delillere ulaşılabileceğini detaylı şekilde inceleyeceğimiz bu makalede üç farklı servisi ele alacağız.

Yazının devamı için tıklayınız »

3-4 Haziran 2011 tarihlerinde Bilgi Üniversitesi Dolapdere Kampüsünde gerçekleşen İstanbul Güvenlik Konferansı(IstSec)’da gerçekleştirdiğim sunuma ilişki slatyları aşağıdaki adresten indirebilirsiniz. ADEO Security Labs ekibi olarak IstSec’deki sunumlarımıza katılıp dinleyen herkese çok teşekkür ederiz. En kısa zamanda yeni konularla yeni konferanslarda görüşmek üzere.

Halil ÖZTÜRKCİ –  Advanced Windows Registry Forensics  sunumunu indirmek için tıklayın.

24 Mayıs 2011 tarihinde İstanbul Mövenpick otelde düzenlenen Fortinet Güvenlik Zirvesi 2011′de gerçekleştirdiğim “Client Side Exploitation” başlıklı sunuma ait dosyayı buradan indirebilirsiniz.