Merhaba, Harika noktalara parmak basmissin Oguz, tespitler ve yol haritasindaki oneriler de cok yerinde.
Ben, sahsen, 2 noktada ekleme/yorum yapmak istedim. 1 - Milli urun olmasi durumu yine kurtarmayacak, dun kurtarmadi (Tubitak - Kiriptolu telefonlar), bugun kurtarmiyor, yarin da kurtarmayacak... Nihai cozumun, acik kaynak kodlu ve ozgur yazilimlar ile beslenen bir guvenlik urun agacina dogru gitmek oldugunu dusunuyorum. Ak yazilim/donanim Kara yazilim/donanim belli olsun... Urunler "Kapali" kaldigi surece bugun milli olan yarin, farkli bir satinalma ile uluslararasi sirket olabilir. 2 - Bu denetim/sertifikalandirma ve onaylama sureclerinin ulke icinde olmasi dogru ve gerekli, ama devlet tekelinde ya da gudumunde olmamasi da cok onemli. Devlet memurunun ozluk/maas yapisi nedeni ile kalitesi eleman barindiramamasi ve devlet otoritesi ile uyumlu olmayanlara yapilan baskilar/zorlamalar oldukca, o denetim / onaylama sureci de her yerinde acik verir... Saygilar VolkanEvrin Volkan Evrin Kurumsal Uygulamalar ve Bilgi Güvenliği Müdürü [cid:signaturelogo434774] Ar-Ge Merkezi D +90 850 251 6012 F +90 312 267 0244 www.karel.com.tr<http://www.karel.com.tr> Bu e-posta işbu bağlantıyı kullanarak erişebileceğiniz koşullara tabidir: http://www.karel.com.tr/eposta-hukuki-sartlari <http://www.karel.com.tr/eposta-hukuki-sartlari> [cid:gorsellogo8675c3]<http://www.karel.com.tr/urun-cozum/ipg1000-ip-santral> -------- Original Message -------- Subject: Re: [NetSec] Fortinet SSH arkakapı From: Oğuz YILMAZ (LABRIS) <[email protected]><mailto:[email protected]> To: [email protected]<mailto:[email protected]> <[email protected]><mailto:[email protected]> Date: 13-01-2016 13:05 Merhaba, SOC merkezimiz test etti. Maalesef çalışıyor. ( test sistemi: v5.0,build0128 (GA) ). Bu açıkta; açığın/arkakapının düzenli incelemeleri sırasında kendileri tarafından belirlenmiş ve yamalanmış olmasını belirtmeleri önemlidir. Ancak bu ve benzer hataların sistematik olarak yerleştirilip yerleştirilmediği kontroversiyal bir konu olmaya devam edecektir. Son dönemde Juniper'de ve sonrasında Fortigate 'de çıkan bu ve benzeri zayıflıklar, inkar edilebilir bir sistematik arka kapı faaliyetinin parçası olabilir mi? Bu noktada, Snowden'in birkaç yıl önce açıkladığı belgelerde belli model cihazlar için NSA-GCHQ programı içinde erişim faaliyetleri olduğunu biliyoruz. Bu noktada Cisco'nun, cihazların kargosu esnasında çip bazında modifiye edilmesiyle ilgili geçtiğimiz seneki açıklamasını da hatırlatmak isterim. Benim hissettiğim bu istihbari erişim birkaç türlü oluyor. - Belli başlı hedef ürünlerin yüksek nitelikli zayıflık araştırmasını yap ve açıkları herkesten önce bul. Başkasının kullandığını görünce ifşa et, sonrakine geç. - Hedef ürünlerin geliştirme takımlarına eleman yerleştir ve kazara arka kapıları üret. - Hedef ürünlerin sertifikasyon şemalarını öyle yap ki belli zayıflıkları barındırmaya zorunlu olsunlar. (bu başlıkta daha önce okumadıysanız son Juniper açığının FIPS ile ilişkisine bir bakın: http://www.wired.com/2016/01/new-discovery-around-juniper-backdoor-raises-more-questions-about-the-company/ ) Ben son dönemlerde Google'ın önünü çektiği bir kısım özgürlükçü şirketin bu operasyonlardan biraz rahatsız olduklarını ve bu ifşaları hızlandırdıklarını düşünüyorum. Adı geçenlerin hangileri özgürlükçüdür, hangileri devletçidir(amerika-israil) bunu bilme noktasında olamayız. Bu kısımda farklı düşünenler olabilir, pek tabi. Bu kısım benim görüşlerim, biraz kontroversiyal olabilir ama düşünmek zorundayız. Buradan biraz daha ne yapacağız noktasına geçmek istiyorum. Bu kısım bu açığın nasıl oluştuğunda bağımsız. - Yama ve Zayıflık yönetimi. Güvenlik ürünleri firmware image olarak güncelleniyor. Bunların güncellemeleri hayli zahmetli. Artık yıllarıdır bizim uyguladığmız gibi sektördeki diğer ürünlerin de parçalı güncelleme ile yalnız ilgili yamayı reboot gerektirmeden alması gerekir. - Farklı marka 2 katmanlı ağ geçidi önemli. Kurumlar kendi hedef olma algılarına göre ürünlerin seçiminde dünya dengelerini gözetmek zorunda. Bu noktada Rus APT'lerini Avrupa, Amerikan APT'lerini Rus şirketlerinin ifşa ettiğini hatırlayalım. Uygun ise biri milli olmalı. - Güvenlik üreticileri düzenli iç ve dış ürün zayıflık analizleri yaptırmak zorunda. - Türkiye'ye giren nasıl her ilaca Sağlık Bakanlığı bir onay veriyorsa gümrükten geçen her güvenlik ve/veya ağ ürünü burada test edilmiş olmalı. Bu test çerçevesi zayıflık analiz dışında, cihazın veri iletişimlerinin analizini de (masumiyet analizi diyelim) içermelidir. Bu noktada yerli bir standart oluşturulmalı. - ISO sertifikasyonlarından ortak kriterler sertifikasyonu başlığında, bunun ülkeler arası tanınmasında yalnızca belli seviyeye kadar tanıma gerekiyor. Üzerinde yerli lab testleri gerektirilmeli. Burada Türk regülasyon sorumlularına görev düşüyor. Bunu farazi yazmadım. Amerika kendi ürünlerini ve ağlarını korumak için birebir benzeri bir mantığı uygulamak için harekete geçti. 2017 itibariyle EAL2 üzeri US'ten sertifikalanmış olmalı US'te geçerli olması için. Saygılarımla, -- Oğuz YILMAZ CTO / Kurucu Ortak CTO / Co-founder (CISSP) Labris Networks Galyum Blok, ODTÜ Teknokent Ankara, Türkiye [email protected]<mailto:[email protected]> T : +90 312 210 1490 (pbx) http://www.harppddos.com http://www.labrisnetworks.com http://www.facebook.com/labristeknoloji https://twitter.com/#!/labrisnetworks<https://twitter.com/#%21/labrisnetworks> (Global) https://twitter.com/#!/labristeknoloji<https://twitter.com/#%21/labristeknoloji> https://twitter.com/#!/oguzyilmaz79<https://twitter.com/#%21/oguzyilmaz79> On 12.01.2016 10:41, Alper Basaran wrote: Merhaba, Fortinet OS 4 ile 5.0.7 arasındaki sürümlerde SSH backdoor açığıyla ilgili bir iddia var. Test edebilecek kimse varsa sonuçlarını paylaşması ilginç olabilir. İddia edilen saldırı koduna http://seclists.org/fulldisclosure/2016/Jan/26 adresinden ulaşabilirsiniz. Saygılarımla, Alper Başaran ------------------- DDOS Saldırıları ve Korunma Yolları Eğitimi İstanbul: 27-28 Şubat 2016 Ankara: 03-04 Mart 2016 ------------------- ------------------- DDOS Saldırıları ve Korunma Yolları Eğitimi İstanbul: 27-28 Şubat 2016 Ankara: 03-04 Mart 2016 -------------------
------------------- DDOS Saldırıları ve Korunma Yolları Eğitimi İstanbul: 27-28 Şubat 2016 Ankara: 03-04 Mart 2016 -------------------
