Burhan KARADERE Kişisel Blog Sayfası » Security – Güvenlik http://www.karadere.com/blog Bilişim - IT Bilgi Bloğu Wed, 01 Feb 2012 07:41:13 +0000 en hourly 1 http://wordpress.org/?v=3.3.1 Sap Security. Sap sistem güvenliği. Sap güvenlik. SAP GRC ile güvenlik. SAP GRC nedir ? Sap sistemleri Güvenlimi http://www.karadere.com/blog/sap-security-sap-sistem-guvenligi-sap-guvenlik-sap-grc-ile-guvenlik-sap-grc-nedir-sap-sistemleri-guvenlimi.html http://www.karadere.com/blog/sap-security-sap-sistem-guvenligi-sap-guvenlik-sap-grc-ile-guvenlik-sap-grc-nedir-sap-sistemleri-guvenlimi.html#comments Tue, 01 Nov 2011 09:15:54 +0000 Burhan KARADERE http://www.karadere.com/blog/?p=1535 [..]Devamını Oku

]]> Merhabalar Arkadaşlar sap sistemlerinde güvenlik hakkında biraz ön bilgi vereceğim aslında bir modülden bahsedeceğim. (burada temel güvenlik olarak önermekteyim güvenlik çok kapsamlı bir  konu olduğundan şuanda detaya girmiyorum)

Sap sisteminiz dış dünyaya açık değilse sadece local kullanıcılara hizmet veren bir network yapısına sahip se size ilk başlangıçta GRC önereceğim.

Sapsisteminde özel geliştirilen. modüllerin güvenliğini analiz etmek için sap kendi modülü olan GRC kullanabilirsiniz.
 

GRC başlıca nedir ?  ne yapıbiliyor ?

 SAP Governance, Risk and Compliance (GRC) kısaltılmasıdır.

Sistemdeki (sap sistemi r3) tüm programların şirketiniz için tanımlı risk kriterlerine göre analizni yapıyor.

Authentication ile ilgili tüm risk analizlerini yapar ve raporlar.
Tüm kullanıcıların authority lerini kontrol edrek raporlama işlemlerini yapar.
PFCG  rol ve yetkilendirmede su01 kullanıcı yetki profillerini analiz eder.
Tüm Z li geliştirmelerdeki  ABAP programlaması ile geliştirilmiş programların source kodlarındaki  analizi yapar.
Obje bazlı analizler yapabilme yeteneğine sahiptir. 
GRC modülü sap güvenliği için şuan için yeterli bir güvenlik aracıdır.   GRC modülü ilk önceleri kendi üçüncü parti bir şirketin ürünüydü şuanda bu ürünü SAP satın almıştır.  Sap güvenliği yeni bir konudur. dünayda güvenliğin anlamlandığı bu günler sap güvenlik noktasını uutmamıştır.
 
SAP GRC ile başlıca özellikler ve versiyonlar

SAP BusinessObjects , Risk ve Uyumluluk (GRC), kurumsal yönetişim, risk yönetimi ve mevzuata uygunluk gibi konularda geniş bir yelpazede ele almak şirketler için çeşitli çözümler sunuyor.

SAP BusinessObjects GRC çeşitli bileşenlere bölünebilir :

SAP GRC Access Control 5.3 - confidentiy organizasyon ve kontrolü, aşırı erişim boyunca sahtekârlığı önlemek için organizasyon sağlayarak görev ayrımı (SOD) korumaya yardımcı olmak için etkili bir sürekli izleme çözümü sunar.

SAP GRC Proses Kontrol 3.0 - iç kontrol yönetimi, iç denetim vermek için bir çözüm ve anahtar iş süreçleri, ekiplerin daha iyi görünürlük kontrol ve mali tabloların doğruluğunu sağlamaya yardımcı olmak için.

SAP GRC Risk Yönetimi 3.0 - organizasyon görünürlük ve verimliliği artırmak ve etkinliği çözme stratejileri ile işletme genelinde, proaktif izleme, anahtar risk göstergeleri alighnment ve cross-sistem entegrasyonu en üst düzeye çıkarmanıza yardımcı olacak bir çözüm.

SAP GRC Global Trade Services 7.1 - Bu çözüm, karmaşık ihracat ve ithalat işlemleri düzene yasal gereksinimlere uymasına yardımcı olmak için, global, uluslararası ticaret anlaşmaları yararlanmak ve küresel işlemlerinin finansal riskini azaltmak için olanak sağlar.

SAP GRC Çevre, Sağlık ve Güvenlik (S & EH)

 -A örgütleri, tehlikeli madde, ürün güvenliği, iş sağlığı, atık yönetimi ve endüstriyel hijyen ve güvenlik dahil olmak üzere, işçi güvenliği ve çevre sorunları ele küresel çok uluslu düzenlemelere uymasına yardımcı olmak için bir çözümdür.

]]> http://www.karadere.com/blog/sap-security-sap-sistem-guvenligi-sap-guvenlik-sap-grc-ile-guvenlik-sap-grc-nedir-sap-sistemleri-guvenlimi.html/feed 0 Winamp 5 de açık çıktı pc’ler tehlikede http://www.karadere.com/blog/winamp-medya-oynaticisin-da-acik-ortaya-cikti.html http://www.karadere.com/blog/winamp-medya-oynaticisin-da-acik-ortaya-cikti.html#comments Mon, 13 Dec 2010 12:33:51 +0000 Burhan KARADERE http://www.karadere.com/blog/?p=771 [..]Devamını Oku

]]> Winamp Medya Oynatıcısın da açık ortaya çıktı.
winamp son sürümlerini kullanan pc sahibleri hacklenmek ile karşı karşıya kalıyorlar.
Winamp benim pc ve müzikte herkezin olduğu gibi tek göz ağrısıdır ama ne yalan söyleyeyim .
Winamp 3 ve sonraki günümüz sürümlerine ısınamadım . benim favorim.2.79 dur hala onu kullanıyorum :(
Sevindirici haber.
Kullanıcıların bilgisayarlarının güvenliğini tehlikeye atan açık , son güncellemeyle beraber ortadan kalktı.
 
Bu açık, tuzak şeklinde hazırlanmış içerisinde kötü yazılımlar olan medya dosyaları açıldığında kullanıcıların bilgisayarlarına büyük zarar veriyordu.
 
Peki neydi bu açık diyenlere :
Yazılımın Windows için 5.6 sürümü bu büyük açığı onarıyor.Önceki sürümde “in_nsv.dll” eklentisi Winamp Medya Oynatıcı’yı saldırılara açık halde bırakıyordu. Ayrıca yeni güncellemede Nullsoft başka ama daha ufak bir açığa dikkat çekti.
 
Bu açık midi dosyalarının Winamp Medya Oynatıcı tarafından açılması sırasında oluşuyordu.5.6 sürümü performans için de birkaç ince ayarı içinde bulunduruyor.
]]> http://www.karadere.com/blog/winamp-medya-oynaticisin-da-acik-ortaya-cikti.html/feed 0 facebook avatar açığı http://www.karadere.com/blog/facebook-avatar-acigi.html http://www.karadere.com/blog/facebook-avatar-acigi.html#comments Mon, 07 Dec 2009 10:02:19 +0000 Burhan KARADERE http://www.karadere.com/blog/?p=222 [..]Devamını Oku

]]> facebook-logoFacebook ne kadar güvenmeliyiz.  Facebook her geçen gün bir açık kapatıyor. Sanırım güven sorusuna bir cevap.  Sizlere facebookta uzun süredir olan ve hala kapatılmayan basit bir açıktan bahsetmek istiyorum.  küçük gördüğünüz avatarın büyük formatının hakkınız olmadan kullanıcı size izin vermeden (public)  haksız olarak alınması. Bazılarınız görsün ne gereği var bu da açıkmı diyecek ama güvenlik küçük ihmallerin doğrultusunda büyük facialar doğurur. 

Şimdi sizlere facebook login olmadan bir kişinin büyük avatar resmine nasıl ulaşılacağını anlatacağım .

Hemde facebook kullanmadan . tek olması gereken karşıdaki hedef  kişinin facebook üyeliğinin olması nekadar güvenlik ayarlarının üst düzeyde olmasının önemi yok.  (tabi birde resim eklemiş olması gerekiyor.)

Google ‘ı hack aracı olarak kullanacağız.

Google her zaman bir hacker aracı olara kullanılmaya devam ediliyor . Google bir kişin adı ve soyadını yazdığınızda facebook hesabı var ise ilk facbook kayıtlarını göreceksiniz . (googlee facbook cache liyor)

Burda açık bir diyebiliriz neden google direk benim resmime hakkı olmadan erişiyor.    Facebook üyelerinin facebook login olup ben izin vermiş isem benim resmimi görmesi gerekmiyormu ?

Google resimler bölümüne gittiğinizde aradığınız kişinin resmine sağ tıklayıp özellikler dediğinizde size bir facebook linki gelecek aynen aşağıdaki gibi.

google resim bilgisi linki http://images.google.com.tr/images?hl=tr&source=hp&q=kişiadı%20kişisoyadı  

bu link şuanda hata verebilir mantığı anlatmak için bende briaz güvenlik aldım  :(    kişilerin bilgilerine erişmek ve yayınlamak hiç te etik değil.

“http://profile.ak.facebook.com/profile5/1482/52/s1027455835_5905.jpg”

bu link size çok kücük görünümde aranan kişin resmini gösterir. (sorgusuz sualsiz)

linke dikkatli bakarsanız kalın gösterdiğim bir s göreceksiniz bu   “s” harfi “small” yani küçük fotoğları ayarımak için facebook güvensiz programcıları böyle bir fonksiyonel mantik kurmuşlar :)

bura da güvensiz programcılar demekten hiç çekinmiyorum çünkü güvensizler.  Dünyada 350 milyon üyenin olduğu bir uygulama programlama mantığı bukadar basit  ve güvensiz olamaz ve kabül edilemez . Şimdi yöntemi dikkatlice izleyin iyice anlayacak bana da hak vereceksiniz…..

Burdaki “s” harfi yerine “normal” anlamına gelen “n” harfini eklerseniz , söz konusu fotoğrafın büyük boyutlu olanına da ulaşabiliyorsunuz. 

Yeni normal boyuttaki resim linkimiz aynen aşağıdaki gibi ;

http://profile.ak.facebook.com/profile5/1482/52/n1027455835_5905.jpg

işte size bir google dan arana kişinin büyük resmine erişme yolu :) ey facebook yazılımcıları daha çok ekmek yemeniz gerekli :)

Aslında  interntte araştırdım fakat herhangi bir yazı bulamadım bir parametrede ben buldum :)

s : small

n: normal

q : kesin olmamakla beraber quik olduğunu düşünüyorum .

Son kodumuzdabu sırayla hepsini yazarsak küçük resimden büyüğe doğru .

http://profile.ak.facebook.com/profile5/1482/52/q1027455835_5905.jpg

http://profile.ak.facebook.com/profile5/1482/52/s1027455835_5905.jpg

http://profile.ak.facebook.com/profile5/1482/52/n1027455835_5905.jpg

şimdi bu linki formülünü inceleyelim ah şu matematik olamasaydı fonksiyonlar konusu hep kafamı karıştırmış tır ne işe yarıyacak diye hocaları terletip dururdum al sana cevabı kendikendime bir öz eleştiri neyse takılmayalım  f(x) ?

Fonksiyonumuzun adı   f(face)  mi olsaca acaba !

p  = adında bir değişkenimiz olsun yol olsun path  temsil etsin

k =  kişi kimlik güvenlik bilgisi

t = resim türü bu değişkenler q s n alabiliyorlar (quik, small, normal )

i = kimlik nuamrası facebook hesap numarası id si yani

r = resim adı

Gelelim fonksiyonumuza :  F(p,k,t,i,r) =  p & k & t & i & “_” & r &”.jpg” 

Ters fonkisyon yaptiğimizda daha iyi anlayacaksınız :

http://profile.ak.facebook.com/profile5/1482/52/n1027455835_5905.jpg

Çözümliyelim

p = http://profile.ak.facebook.com/

k = profile5/1482/52/

t = n

i = 1027455835

r = 5905

 çözümledikte elimzie ne geçti ?

Elimizde kullanıcı id si var ve avatar numarası r değişkenindeki 4 haneli nuamraya dikkat

bu id detayına  bu yazıda girmiyeceğim  ama basit bir örnek vereyim merakınız gidermek için

http://www.facebook.com/profile.php?id=  şöyle bir kalıp link versem  çok etkileyici

face abilerin profile gösterme adresleri

Size bir fonksiyon daha matematiğe devam

f(face) = http://www.facebook.com/profile.php?id=face

 face = i

i = 1027455835  ==> f(face) = http://www.facebook.com/profile.php?id=1027455835

ve karşımızda profil id sini bil istediğin profile bak Not: burdaki i değişkeni gerçekdeğildir. Devam edelim son bir ufuk dip not daha  elimzideklere bir daha bakalım  r = 5905 diye birşeyler bulmuştuk r neydi ? resim adı yani avatar resminin tutulduğu isim ufuk açıyoruz dikkat . Facebook ta avatar birtane değil birden fazla ekleyip sistemde hafıza tutabiliyorsunuz. peki  bu nedemek  F(p,k,t,i,r) =  p & k & t & i & “_” & r &”.jpg”  fonksiyonumuza geri dönelim r değişkeninin 5905 örneğimizdeki bunu ben – ve + aralıkta mesela 100 ilerisine gitsem ve gerisine ne olur acaba .

Herhangi bir programlama dilinde script yazsak abartsak  –  +  100 demiştim ama  1000 yapabilriz sınır size kalmış burasi biraz uzmanlar için .En iyisi Flashget’ i kullansak ondaki download bach bu işi yapıyor

http://profile.ak.facebook.com/profile5/1482/52/n1027455835_5905.jpg  bu örnek için son 1 haneyi  + 100 döndürecek ve resim var ise indirecek böylelikle kişin profilindeki avatarları :

arkadaşı olmadan, hakkınız olmadan,  iznini almadan, face abi programcıları uyurken almış olacaksınız .

Açıklarda ne gibi güvenlik önemleri alınmalı : (ey facebook )

Burada yapılması gereken güvelik ayarı ise :

  • Resimlerin google cache’ lerinde  göstertilmemesi  public erşim olamamalı.
  • Ne küçük nede büyük resimleri sadece üyelerin izin verdiği arkadaşlarının görebilmesi gerekli.
  • Ne google gibi bir arama motoruda erişmemeli nede bir başkası sadece facebook içinde arama olmalı.
  • Küçük büyük resim erişim kombinasyonları daha komplesk bir algoritma ile korunmalı random idler kullanılmalı. (s -n )
  • Security code ‘lar üretilmeli session kontrolü, her resim erişiminde kontrol edilip o session hakları kontrol edilerek erişim sağlanmalıdır.

Yazıyı pür dikkat okuyup gözünüzü yorduğunuz için teşşekkürler. Açıksız kalmayın açıkta kalmayın  :)

]]> http://www.karadere.com/blog/facebook-avatar-acigi.html/feed 2 Windows 7 – Seven Güvenlik Zafiyetleri (Açıkları) http://www.karadere.com/blog/windows-7-seven-guvenlik-zafiyetleri-aciklari.html http://www.karadere.com/blog/windows-7-seven-guvenlik-zafiyetleri-aciklari.html#comments Thu, 03 Dec 2009 08:00:06 +0000 Burhan KARADERE http://www.karadere.com/blog/?p=62 [..]Devamını Oku

]]> Windows 7′de Güvenlik Zaafiyeti var mı? 
Microsoft’un piyasaya yeni sürdüğü işletim istemi windows 7′de güvenlik açıkları varmıdır ?
Yeni çıkan her işletim sistemin stabil olması için belli bir süreç vadır. Tabiki windows 7 güvenlik açıkları olacaktır.
windows7
Ama şu bir gerçek windows 7 Vista’nın stable olmuş halidir.
Microsoft felsefesi gereği  windows 7 ‘yi sağlamlaştırmadan önce ara işletim sistemi olarak windows vista ‘yı  piyasaya sundu ve son kullanıcıların karşılacağı güvenlik açıkları, çıkabilecek yazılım ve donanım hatalarını feed back olarak microsoft lab larına göndertti. Ve hataların giderilmiş hali ile de işte karşımız da Windows 7.
Bu şu demek değildir windows 7  ‘de daha hata ve açık çıkmayacak.
Bu kullanıcıya kullandırarak hata azaltma politikasını Windows ME sürümündede yapmıştı onun sonucunda Karşımıza Windows Xp . Evet Tarih 2000 çıkışlı Xp şuanda 10 yaşında . Ve Servis Pack 3 şuanda yayınlanalı baya oldu .  Önümüzdeki günlerde windows 7 için ara packler çıakcaktır. pachler çoğalınca paket halinde Servis Pack 1 , 2 şeklinde gideçektir. Microsoftta bu güne kadar bu hep böyle olmuştur.
Microsoft şuanda son açıklamalrında windows 7 de bir açık belitmiyor. bu ilerliyen zamanlar da çıkmayacak anlamaına gelmez.  Lamer ve Hacker’lar şuanda açıklaraı arama başladı bile.
Açıksız ve bilgisayar kullanımı ile iyi günler.
]]> http://www.karadere.com/blog/windows-7-seven-guvenlik-zafiyetleri-aciklari.html/feed 0 Bilgisayar Saldırıları ? http://www.karadere.com/blog/bilgisayar-saldirilari.html http://www.karadere.com/blog/bilgisayar-saldirilari.html#comments Tue, 24 Nov 2009 09:57:57 +0000 Burhan KARADERE http://www.karadere.com/blog/?p=5 Sizlere bilgisayar saldırıları hakkında bilgi vermeye çalışacağım.

ArrayArrayArrayArrayArrayArrayArrayArrayArray]]> Sizlere bilgisayar saldırıları hakkında bilgi vermeye çalışacağım.

]]> http://www.karadere.com/blog/bilgisayar-saldirilari.html/feed 0