Bilgi güvenliği konuları.

War of SQL Impact (SQL Audit Tool)

War-of-sql-impactPentest sırasında gerçekleştirilen SQL Audit testleri için yardımcı bir yazılım War of SQL Impact  / WarSQLi. Bu yazılım SQL sunucularında bulunan zayıf şifre olasılıklarını gerçekleştirmek üzere geliştirilmiştir. Araç ile zayıf paroları testleri yapılabilir ve SQL ( MS-SQL, MySQL, PostgreSQL ) sunucular üzerinde zafiyetler belirlenebilir. Programı standart olarak kurduktan sonra karşımıza ana ekran geliyor. Program içinde IP aralığı alanına testi gerçekleştireceğimiz ip adresini yazıyoruz. Aralık boşluğuna ise kaç ip üzerinde test yapacağımız sayıyı belirliyoruz.

SQL Server Türü alanında tarama yapmak istediğimiz SQL server türünü seçiyoruz. Defaul olarak “Otomatik” ayarında geliyor. Bu, aracımızın SQL türünü kendisinin tespit edebileceğini gösteriyor. Tarama türü alanında varsayılan değerlerle sunucuların taranması için geliştirilmiş haldedir. Tarama Seçenekleri bölümünde bağlantıları gerçekleştirmek için kullanacağımız milisaniye türünden değerler bulunmaktadır. Bu değeri network yoğunluğuna göre belirleyebiliriz. Devamını Oku

Penetrasyon testi nedir ?

Penetrasyon TestiMerhaba, Ağ ve Güvenlik üzerine yazı serisine başladığımı bu cümle ile duyurmuş oluyorum. İlk başlığımız Penetrasyon Testi Nedir ? oldu. Kısaca Pentest diyebilirsiniz. Penetrasyon testi firmaların Bilişim Sistemlerini oluşturan ağ altyapılarını, donanım, yazılım ve uygulamalara kötü niyetli birinin saldırmasını öngören yöntemler kullanılarak yapılan saldırı ve müdahaleler ile güvenlik açıklarının tespit edilip bu açıklarla sisteme sızılmaya çalışılması ve tüm bu işlemlerin raporlanmasıdır. Amaç şirketlerin farkında olmadıkları güvenlik açıklarının iyileştirilmesidir.

Test sırasında uzmanlar tıpkı bir saldırgan gibi hareket eder ve sistemin tüm açıklarını, riskleri ve erişilebilirliği ortaya çıkarırlar. Çok farklı yöntemler ve değişkenler söz konusu olduğundan uzmanlar tarafından gerçekleştirilmesi gerekmektedir. Devamını Oku

Exchange Password Attacker – hOWAttacker

hOWAttackerBu yazılım Exchange sunucularında bulunanan OWA ( Outlook Web Access ) arayüzüne dictionary atak yapabilen bir güvenlik aracıdır. Eyüp Çelik tarafından yazılan hOWAttacker adlı yazılım beta olarak kullanıma sunuldu. Yazılım OWA 2003, OWA 2007 ve OWA 2010 versiyonlara dictionary atak yapabiliyor.

Güvenlik dünyasında Penetrasyon testlerinin bir aşaması olan şifre denemeleri kullanılır. OWA arayüzü üzerinde bir sözlük atağı yaparak e-posta hesaplarının şifre güvenliği bu araç ile tespit edilebilir. hOWAttacker Windows platformları üzerinde şifre zaafiyetlerini tespit etmek için bir araç olarak karşımıza çıkıyor. Windows XP, Windows 7 ve Windows 8 işletim sistemleri üzerinde 32 – 64 bit olarak çalışabiliyor. Devamını Oku

Yerli siber savaş aracı geliştirildi

Ddos MitigatorSiber Güvenlik kavramının bilincini toplumumuzda yerleştirmek adına güzel bir gelişme olduğunu düşünüyorum. Umarım bu gelişme bizler için yeni projelerin ve milli araçların geliştirilmesi adına heveslendirici ve ön ayak olan bir çalışma olur. Tübitak desteğiyle kamu kurumlarının korkulu rüyası olan DDOS saldırılarını bitirecek Türk siber savaş aracı “DDOS Mitigator” geliştirildi.

ODTÜ Teknokent’te bulunan Labris Teknoloji, DDOS yani dağıtık hizmet engellemeleri olarak da bilinen siber saldırıyı etkisiz hale geltirecek olan DDOS Mitigator’u geliştirdi. DDOS saldırıların siber saldırılar içinde düşük bilgi seviyesiyle, kolay yapılabilen bir saldırı olduğunu belirten Labris Teknoloji Ar-Ge Müdürü Oğuz Yılmaz, DOS/DDOS saldırının sisteme kapasitenin çok daha üzerinde bağlantı ile yüklenmesi sonucu sistemin zarar görmesi ve buna bağlı olarak hizmet veremez hale gelmesi olduğunu yani saniyede bin bağlantıyı kaldırabilen bir web sitesine 5 bin bağlantı yapılması veya 1Mb bant genişliği kullanan bir siteye 10Mb’lik istek gönderilmesi bu tip saldırılarda kullanılan yöntemlerdir dedi. Devamını Oku

International Symposium on Digital Forensics and Security

ISDFS

20-21 Mayıs tarihlerinde Elazığ-Fırat Üniversitesinde gerçekleşecek olan “Uluslararası Adli Bilişim ve Güvenlik Sempozyumu” nun birincisine Dünyada Siber Güvenlik Stratejileri ve Bir Siber Güvenlik Stratejisinin Oluşumu başlıklı bildirimimiz ve sunumumuz ile katılıyoruz. uz diyorum çünkü değerli hocam Yrd. Doç. Dr. Ecir Uğur Küçüksille ve Yazılım Kulübü yönetiminde takım arkadaşım Sevdanur Genç nam-ı diğer Nano ile birlikte hazırlandık. 21 Mayıs Salı günü 15.40 ‘ta sunumu ben gerçekleştireceğim. Şimdi biraz sempozyum hakkında bilgi vereyim :

ISDFS ( International Symposium on Digital Forensics and Security ) Uluslararasi Adli Bilisim ve Güvenlik Sempozyumunun birincisi 20-21 Mayis 2013 tarihleri arasinda Elazig da Firat Üniversitesinde yapilacaktir. Bu sempozyum Firat Üniversitesi/Elazig, Sam Houston State Üniversitesi/Texas-US, Gazi Üniversitesi/ Ankara, Polis Akademisi-Ankara arasinda kurulan bir konsorsiyum tarafindan organize edilmektedir. Devamını Oku