Dünyanın En Ünlü Hacker Listesi

hacker

Gmail Temporary Error 500 hatası

Merhaba arkadaşlar bugün sizlere Gmail ‘e ulaşırken karşılaşılan bir hata mesajından bahsedeceğim.  “Temporary Error 500″   yada “Oops… errors 500″

Gmail servislerinde bir sorun varmış gibi görünsede tamamiyle kendi pc ‘nizden yada internet bağlantınızdan dolayı karşılaşılan bir problem.

Öncelikle sebep olabilecek nedenleri ve olası çözümlerinden bahsetmek istiyorum.

* Tarayıcı önbelleği ile ilgili geçici bir sorun.

* Sisteminizde yüklü bir firewall varsa bu soruna sebep olabilir.

* Tarayıcılarımızın hafızalarını temizliyoruz.

* Better Gmail tarayıcı eklentisi, Gmail’i etkileyebilir. Sorun yaşıyorsanız lütfen Better Gmail 2‘ye yükseltin.

* Ağ bağlantınız ile ilgili geçici bir sorun olabilir. Bir süre sonra tekrar deneyiniz. Yada ağ bağlantılarınızı kontrol ediniz.

* Google yardım merkezi ‘ne danışınız.

İlgilinizi çekebilecek diğer yazılar…

• İnternet hayatımızı Google üzerine mi kurduk ? (11)
• Windows could not collect information for [OSImage] since the specified image file [install.wim] does not exist. (19)
• Eyvah Google Chrome Kilitlendi… (6)
• Gmail bir harikasın… (0)
• Hata kodu 0×80070035 XP Vista Network Sorunu. (2)

Yedekleme çözümleri ve alternatifler

Merhaba arkadaşlar. Bugüne kadar sizlere sürekli verilerinizin öneminden onları korumanız gerektiğinden ve güvenlik konularından ağırlıklı olarak bahsettim. Bu gece sizlere yedekleme çözümlerinden ve veri yedekleme sistemlerinden bahsedeceğim.

Öncelikle kendinize verilerinizin ne kadar önemli olduğu sorusunu sormanız gerekmekte.  Datalarınız ne kadar önemliyse o derecede yedekleme sistemlerinin önemi artmakta.  Bilgisayar sektörünün en çok vakit harcadığı kısım her zaman yedekleme olmuştur.  Yedekleme üzerine özel çözümler üretilmiş ve halada bu teknoloji önemini kendini korumaktadır.  Gerek firmalar olsun gereksede son kullanıcılar malesef ki data yedekleme konusunda yanlış bilgilendirmeler sonucunda veri kaybına uğramaktadır. 

Bir bilgi-işlemcinin en çok vakit ayırdığı kısım her zaman yedeklemedir.  Dataların yedeklenmesi, arşivlendirilmesi ve korunması.

Peki datalarımızı nasıl yedekleyeceğiz ?

Sadece bilişim sektörü değil  bunun yanında son kullanıcılar içinde önemli bir konudur.  Malesef ki birçok kullanıcı, şirket yada bilgi-işlemci yedekleme konusunda yanlış bilgilendirme sonucu hatalar yapmakta. Bu hataların sonucu olarak hiçde azımsanmayacak kadar maddi zarara uğramaktadır.

Şirketlerin korkulu rüyası olarak data kaybını örnek gösterebiliriz.  Hp, Sony gibi birçok firma kendilerine ve şirketlere özel yedekleme sistemleri sunmaktadır.  Veri kaybına hiçbir şirket yada kullanıcının tahamülü olmamasına rağmen malesef ki bu konuda pekde yatırım yapılmadığı ayrı bir gerçektir.

Eyvah! Bilgilerim uçtu.

Eminim ki birçoğunuzun başına gelmiş ve aynı tepkiyi vermişsiniz.  Gelin sizlerle data yedekleme konusunda birşeyler konuşalım…

Son kullanıcılar için yedekleme :

Son kullanıcılar için yedekleme pekde önemsiz gibi görünsede her format sonrası düşündüren bir o kadarda can sıkan bir durumdur.  Çünkü verileri yedeklemek  her zaman çok uzun sürer ve zahmetli bir iştir. Bu yüzden pekde önemsenmemesi ve gerekenlerin yapılmaması  veri kaybı sonrasında insanların canını sıkmaktadır.

Genelde birçok bilgisayar kullanıcısı yedekleme işlemini aynı disk üzerindeki farklı bir bölüme (partition) yaparlar. Yapılan en büyük hatalardan birisi budur. Bilgisayarlarda genelde 1 tane disk vardır. Birçok kullanıcı bu diski 2 ye böler  ( C:/  – D:/ ) sonrada C:/ üzerindeki belge, resim, müzik ve videolarını D:/ üzerine yedeklerler.  Yada birçoğu direk olarak d:/ üzerine yazar ve …

Birşey olursa  C:/ ‘ye format atarım..!

Sorunlar ve sonuçları …

Bilgisayarınız çöktüğü zaman herkez gibi sizde C:/’ye format atarsınız.  Bu basit bir işlem gibi gözüksede bazen dikkatsizlik ve bilgisizlikten dolayı D:/’ye format atılabilmekte.  Eğer sisteminizde tek disk varsa ve önemli verileriniz D:/ üzerindeyse bilgisayar kurulumu sırasında yanlışlıkla D:/ ‘yi silebilmektesiniz.

Sisteme virüs girmesi gibi durumlarıda göz önüne almak gerekiyor.  En çok yapılan hatalardan bir taneside bilgisayara virüs girdiğinde sadece C:/ üzerine değil bilgisayardaki tüm disklere bulaşabileceğini göz önünde bulundurulmamasıdır.

Partition silinmesi de cabasıdır diyebilirim.  Birçoğumuzun aklına diskimizin partition dediğimiz kısmının uçma yada bozulma ihtimali gelmez. Bu tip bir durumda özelliklede virüs ve zararlı yazılımların diskimizin bu sektörüne bulaşması bu sektörde ortaya çıkabilecek arızalar sonucunda diskimizdeki tüm verileri kaybetmemize sebep olabilmektedir.

Sadece bununlada kalmaz. Sistemimizde 2 disk bile olsa elektrik voltajlarından dolayı yada bilgisayar içerisinde oluşabilecek kısa devre, arşırı ısınma gibi durumlarda karşımıza çıkacak bir disk yanması tüm verilerinizin bir anda tarih olmasına sebep olabilmektedir.

Birde hackerleri unutmamak gerekir. Özelliklede güvenliği sağlanmamış bir bilgisayar kötü niyetli kişilerin yada zararlı yazılımların en büyük hedefidir. Bu tip durumlarda malesef ki veri kaybına uğrama ihtimali çok yüksektir.

Peki ne yapacağız ?

Öncelikle şunu kafamıza sokmamız lazım.  Verilerimiz her zaman önemlidir ve her zaman yedeklenmesi gerekir. Maliyetler göz önüne alındığında ise verilerin önemine göre özel çözümler getirilebilir.

1.  Yedek diskler :

Bilgisayarınızda yedeklemenizi aynı diske almayınız.  Önemli unsurlardan bir tanesidir. Muhakkak ayrı bir diske yedek alırsanız sizin için hayat kurtarıcı bir önlem olacaktır.  Özelliklede USB üzerinden yada Ethernet üzerinden bağlanabilen harici diskler 1. tercihiniz olsun.

Bunun yanında Raid sistemleride eskilerden beri tercih edilir. Özelliklede şirketlerde ana bilgisayarlara RAID yöntemlerle verilerin yedeklenmesi sağlanmaktadır.  Benim en çok tercih ettiğim yöntemlerden birtanesi diyebilirim. RAID sistemler sayesinde bilgisayarınızı anlık olarak yedekleyebilirsiniz.

Fakat diskler her zaman tam güvenli olarak sayılamazlar. Tavsiyem mutlaka 2 tane yedek bulundurmanızdır.

2.  FTP gibi sanal çözümler :

Eğer verilerinizin büyüklükleri çok fazla değilse ve iyibir internet bağlantısına sahipseniz bir FTP sunucusuna dosyalarınızı belirli aralıklarla yedekleyebilirsiniz.  Malesef ki ülkemizdeki internet sağlayıcı hızları ve sunucu fiyatları göz önüne alındığında bu tip bir yöntem pek tercih sebebi olarak düşünülmemektedir.

3. CD / DVD , Teyp :

Verileri yedeklemekten en çok kullanılan yöntemlerden bir taneside CD yada DVD ‘ye kopyalama işlemidir.  Bu yöntemi kullananların en büyük sıkıntısı CD yada  DVD lerin bir süre sonra kullanılmaz hale gelmesidir.  Çünkü CD ve DVD ‘lerin iyi muhafaza edilmesi gerekiyor. Özelliklede birkaç kullanımdan sonra üzerinde oluşabilecek çizikler verilerinizi kurtarırken   ” …… kopyalanamıyor. “  Gibi hatalarla karşınıza çıkabilmektedir.  Pek tercih etmediğim bu yöntemin en önemli dezavantajlarından bir taneside CD yada DVD lerin kalitesidir.  Piyasada  30-50 kuruşa satılan DVD ve CD lerde malesef ki kullanım sırasında size sıkıntılar çıkartabilmektedir.

Yedekleme yazılımları

Bir yedekleme yöntemi belirledik  diyelim peki her seferinde sağ tıkla kopyala, sağ tıkla yapıştır gibi uğraşacak mıyız ? Eğer ki verileriniz fazla değilse bu yöntemi önerebilirim fakat bir bilgisayarda  mail, belgeler, masaüstü gibi etkenlerin farklı yerlerde olması ve bunların tek tek yedeklenmesini göz önüne getirdiğimizde bu işlev çok fazla zaman alacaktır. Size tavsiyem bir yedekleme yazılımı kullanmanız gerektiğidir.

Piyasada farklı birçok yedekleme yazılımı mevcut. Bu tip yazılımların en önemli noktası görev zamanlama ve arka planda kullanıcıyı rahatsız etmeden yedekleme yapabilmesidir.

Yedekleme yazılımlarınızı verilerinizin önemine göre saatlik, günlük, haftalık, aylık gibi yedekleme zamanlarına bölebilmekte ayrıca işletim sisteminize bağlı olarak “gölge kopyalama” gibi özellikler kullanılarak dosyalar o anda kullanımda dahi olsa yedekleyebilmektedir.

Yedeklerin güvenliği

Gelelim en önemli noktalardan bir tanesine aldığınız yedeklerin bir işe yaramasını istiyorsanız mutlaka yedek verilerinizin güvenliğinide sağlamanız gerekmektedir.  Aşağıda belirteceğim durumları göz önünde bulundurursanız içiniz rahat edecektir.

1. Yedek diskler :

Bu diskleri mümkünse external yani usb veya ethernet üzerinden bağlanabilen harici disk olarak kullanın. Aynı bilgisayarın içerisine başka bir disk takarak yedeklerinizi tehlike altına alırsınız.  Çünkü elektrik akımından yada aşırı ısınmadan dolayı oluşabilecek arızalar malesefki yedek disklerinizede zarar verebilir. Tavsiyem USB yada Ethenet üzerindeki harici disklerdir.

Bu tip disklerinde özel alüminyum korumalarıyla aşırı ısınmaya ve dışarıdan gelebilecek zararlara karşı korumalı olup olmadığına bakmanız gerekmektedir. Verilerinizin önemine göre yedek disklerinizin erişimlerine şifre koruma gibi yöntemlerde belirleyebilirsiniz.

2. CD / DVD , Teyp :

Yukarıda da söylediğim gibi özel olarak muhafaza etmek zorundasınız.

3. FTP gibi sanal çözümler :

Pek tercih edilmeyen bu çözümlerde en önemli güvenlik şifrelemedir. IP listesi, SLL gibi güvenlik önlemleri alınabilir.

Özel Çözümler

Kurumsal olarak tercih edilen çözüm yöntemleri sunulabilir.  Doğrudan bağlantılı depolama, ağ depolama ve veri koruma çözümleri bir arada önerilir. Bu tip çözümler biraz pahalıda olsa en garanti yöntemdir.  Verilerin yedeklenmesi için özel donanımlar üretilmektedir.  Bu özel yedekleme çözümleri birkaç dakikada tüm verilerinizi geri getirebilmekte hatta anlık yedek alma sistemleri sunabilmektedirler.

Nec, Dell, Sony, HP gibi birçok firmanın özel yedekleme sistemleri ile şirketinizin veri yedeklemesini ve veri güvenliğini tek bir donanımla çözebilmektesiniz.

Özelliklede görüntülü sistemler kullananların en çok tercih ettiği harici bir donanımla veri yedeklemektir. Çünkü bu tipteki verilerin hep kopyalanması hemde korunması çok zahmetli bir iştir.  Anlık veri yedekleme sistemleri ile verilerin farklı disklere aynı anda yazılması sağlanılarak koruma ve yedekleme işlemleri yapılabilmekte.

Teknolojinin getirdiği en büyük nimetlerden birisi olarak anlık veri yedekleme ve geri yükleme sistemlerini örnek gösterebiliriz.  Web üzerinden hizmet veren firmaların ve çok uluslu çalışan firmaların bu tip yöntemleri tercih etmeleri gerekir.

Şöyle bir düşünün firmanız dünyaya çalışıyor ve web üzerinde iş yapmaktasınız. Sunucunuzun disklerinde bir hata oluşması size ne kadar büyük zarar verebilir ? İşte bu tip durumlarda özel yedekleme sistemleri devreye girer. Ana sunucular sürekli olarak denetlenmekte ve anlık olarak oluşabilecek arızalara müdehale edilmektedir.

Son kullanıcılar için özel çözümleri bir kenara bırakırsak yedeklemenin önemini sizlere basitçe anlatmaya çalıştım.  Şirketler içinse yapılabilecek en güvenli ve garantili yöntemler firmalar tarafından sunulmaktadır.

Siz siz olun şu soruyu kendinize sorun…

Verilerim ne kadar önemli  ?

İlgilinizi çekebilecek diğer yazılar…

• Data kurtarma nedir ? Müdehale nasıl yapılır ? Veri kaybı -3 (0)
• Data kurtarma nedir ? Müdehale nasıl yapılır ? Veri kaybı -2 (3)
• Data kurtarma nedir ? Müdehale nasıl yapılır ? Veri kaybı -1 (6)
• PACKARD BELL 500 GB 3.5” STORE & SAVE Test (0)
• Antivirüsler ölüyor mu ? Yoksa Yeniden diriliş mi ? (13)

Hack & Slash Development

Bu aralar bayağı boktan yazılar yazıyormuş gibi hissediyorum* ama Quantity always trumps quality ve dibi görmeden göğü görmek mümkün değildir diyerekten kendimi avutuyorum**.

Bir kaç gün önce BSQL Hacker‘ ı yayınladım. BSQL Hacker yaklaşık 4-5 sene önce yazmaya başladığım bir yazılım. Başladığımda basit bir kod parçasıydı, yaklaşık bir sene önce çeki düzen verip bir çok kısmını tekrar yazmaya ve global bir formata oturtmaya çalıştım. Şimdi ciddi bir yazılım olma yolunda.

Yazılımın çıkışı bu şekilde organik olunca geliştirme süreci biraz tuhaf bir hal alabiliyor. Benim için BSQL Hacker’ ı geliştirmek The Cool Cam gibiydi. Yüzlerce bug varken ben yeni özellikler ekledim, çünkü bug temizlemek ciddi derecede sıkıcı bir işken yeni ve "cool" bir özellik eklemek çok daha eğlenceli. Her ne kadar yazılımı yayınlayıp, kaliteli bir şekilde dağıtmayı istesem de bu yazılım Afrika’ daki aç çocukları doyurmayacağından eğlence kısmı benim esas dinamom oldu.

Yazılımda genelde temel sorunu çözmek yerine bug’ ı çözdüm, bu rezil bir yöntem ama gel görki saatler değil dakikalar harcayarak süper bir şey değil ama çalışan bir şey çıkartabiliyorsunuz.  Ama siz siz olun Never debug standing

* "Sadece bu aralar mı?" dedi biri?, ayıp, ayıp.
** Bu noktada Chuck Palahniuk – Choke’ taki dibe vurma konseptini de irdelemek lazım.
*** Kendime blog postlarında en fazla "obscure referanslar" gönderen blogcu seçiyorum, eski yazıların bir kısmındaki göndermeleri ben bile anlayamıyorum!

Günlük Maceralar – 18-21.05.08

21 May 2008

Most programming environments are meta-engineered to make typical software ea…
Most programming environments are meta-engineered to make typical software easier to write. They should instead be meta-engineered to make incorrect software harder to write.

3:46 PM: fmavituna: FF 3 extension compatibility trick, easier then modifying xpi packages manually http://tech.slashdot.org/tech/08/05/21/015245.shtml
3:39 PM: fmavituna: This is great : Zero Punctuation series – http://tinyurl.com/6by8vf
2:54 PM: fmavituna: wow, http://tinyurl.com/6zr5lb , this is the curse of working on security, you are being paranoid.
1:27 PM: fmavituna: got my copy of web app. hackers handbook, good reference book.
1:27 PM: fmavituna: received age of conan shipping confirmation, looking forward to play
12:22 PM: fmavituna: @tehlike password cracking in virtual machine got so much overhead really, I used another dedicated native box for this.
10:22 AM: fmavituna: @sonereker kesinlikle, ben killanmaya baslamistim acaba sorun sadece ben de mi diye
10:22 AM: fmavituna: why there is no MPI version of JTR for windows! I knew I should ditch windows ages ago!
8:23 AM: fmavituna: google reader keep getting down this morning

Qmail Security

Of Aviation Crashes and Software Bugs
Spying on Computer Monitors Off Reflective Objects
Krai Mira: Work in Progress MMO
Bir OWASP SoC’08 Projesi – SQLiBENCH
Krai Mira: Work in Progress MMO

20 May 2008

1:52 PM: fmavituna: the question is when are we gonna stop caring about stuff and start saying "fuck it"

Lingoes — free dictionary and full text translation software
ThinkGeek :: you are dumb v1.0
ThinkGeek :: The Dice Are Trying to Kill Me
ThinkGeek :: Prefectionist
ThinkGeek :: No, I will not fix your computer
ThinkGeek :: I see dead pixels.

STYLEISLAM.COM

Babylon Alternatifi ucretsiz sozluk programi
DoS Attacks Using SQL Wildcards Revealed
Firefox applet fun
Academia vs. professional researchers

19 May 2008

6:51 PM: fmavituna: The Big Issue: Shall I get Fallout 3 for PC or PS3 ?
12:28 PM: fmavituna: if you are a developer or a security guy, then you might wanna read this : http://tinyurl.com/6b7q6g
11:00 AM: fmavituna: weird, FF removed yellow background from SSL URLs and and it’s not clear if URL is over SSL. Why? why? why?
10:25 AM: fmavituna: this is awesome, bionic commando 2d NG – http://www.gametrailers.com/player/29799.html
9:23 AM: fmavituna: lol – http://www.thinkgeek.com/apparel/jewelry/a38d/
8:23 AM: fmavituna: yay new FF update!

SQL Wildcard Saldırıları
Random Number Bug in Debian Linux
Spanish police cuff web defacement crew
Website Defacement Group Arrested After Going too far
Phishing Nedir ? Ne Amaçla Kullanılır , Anlatımı

22-25.05.2005 – Age of Conan, Input Validation

Ne Yapıyorum

Penny Arcade Adventures ve Age of Conan oynuyorum. Yeni bir .NET projesi olan NetBouncer üzerinde çalışıyorum. Bu bir güvenlik kütüphanesi, inşallah bir kaç haftaya kadar yayınlayanabilecek hale gelecek. Web Application Hackers Handbook’ u okuyorum. %75′ ine falan geldim.

25 May 2008

8:21 PM: fmavituna: penny arcade’s game – not brilliant but it’s ok – http://www.hotheadgames.com/pa.php
7:45 PM: fmavituna: myspace for developers – www.ohloh.net – brilliant though

owaspantisamy – Google Code
Modifying HTTPContext variables ASP.NET Forums

24 May 2008

9:51 PM: fmavituna: age of conan is another good example of MMORPG is dead and gonna stay that way, I think future is only bright for games like Guild Wars.

Top vulnerability researcher?

23 May 2008

7:16 PM: fmavituna: installing age of conan
11:37 AM: fmavituna: yeah finally figured out the name of this movie, adding to my que in lovefilm. – Poltergeist III
9:03 AM: fmavituna: @YuSuPh bende noel baba yi gordum, simdi de ruya tabirlerinde ruyada santa gormek diye ariyorum :p

Microsoft Source Analysis for C# Released

22 May 2008

9:32 PM: fmavituna: Brilliant piece of tool from MS for better TDD, it’s a shame that I use MbUnit – http://research.microsoft.com/pex/default.aspx

OWASP Validation Library url

2:37 PM: fmavituna: nowadays focused on most effective input/output validation process
12:21 PM: fmavituna: new PSN update, Bourne and Iron Man demos

Prof. Dr. Şahin Albayrak; Türkiye zor bir ortam. Burada herkes herşeyi biliyo…

Prof. Dr. Şahin Albayrak; Türkiye zor bir ortam. Burada herkes herşeyi biliyor. Asıl sorun bu.

8:24 AM: fmavituna: Another great racing game from codemasters – GRID – http://www.racedrivergrid.com/ , PS3 demo is out give it a host, real fun.

Activator.CreateInstance Method (Type, Object[]) (System)
CodeProject: Decoding the Mysteries of .NET 2.0 Configuration. Free source code and programming help
Simple Validators in System.Configuration : Keyvan Nayyeri
Pex – Automated Exploratory Testing for .Net
Configure This: Parameterize Your Apps Using XML Configuration In The .NET Framework 2.0
CodeProject: .NET 2.0 Configuration and Provider Model. Free source code and programming help

Kapanmayan blog istiyoruz
ücretsiz proje yönetim sistemleri karşılaştırması

Penetration Tester Olmak

Daha önceden pek çok kişi zaten söyledi güvenlikçi olmak sadece birkaç teknik konuyu iyi bilmek ya da birkaç kitap okumak değil daha çok beynin nasıl çalıştığı, bir soruna nasıl yaklaşıldığı ve olaylara bakış açısı ile ilgili. Bunun yanında bir çok başka meslekte de gerektiği gibi gündemi takip etme, odaklanma ve havadaki kokuları alabilme de gerekli meziyetlerden.

Bir güvenlik uzmanının ya da daha spesifik olarak penetration tester’ ın bir dizi özelliğe ihtiyacı var. Bu özelliklerin bir kısmı teknik, ve teknik şeyler öğrenilebilir ama bir kısmı da doğuştan gelen huylar ve muhtemelen ne yaparsanız yapın öğrenemeyeceğiniz ya da gerçekten öğrenmesi seneler sürecek şeyler.

Konuyu burada hemen “güvenlikçi oılunmaz, güvenlikçi doğulur(!)” a bağlamak istemiyorum, çünkü durum bu değil. İddialara göre Mehmet Akif Ersoy demiş ki “Şiirin %5 ilham, %95 çalışmaktır”. Ben de bu şekilde düşünüyorum, dolayısıyla %5 + %95 e erişince Mehmet Akif Ersoy olunuyor.

Yazacaklarımın bazıları gerçekten ölümcül bazıları ise sadece işinizde daha iyi olmanızı sağlayacak şeyler.

• Güvenlikçi Olarak Yaşamak, Güvenlikçi Olarak Düşünmek
  • Yapmak değil, yıkmak
  • Kullanmak değil, Suistimal etmek
• Derinlemesine Bilgi
• Paranoya
• Tutku
• İletişim Becerisi
• Okuma

Penetration Testing, Güvenlik Uzmanı ve Vulnerability Assessment

Yazının detaylarına geçmeden önce bazı terimleri temiz şekilde ifade etmek gerekir.

Penetration Testing (Pen Test)
Bir sistemi dışarıdan genelde ekstra hiçbir ekstra bilgi sahibi olmadan güvenlik açıklarına karşı test etmek ve bu açıkları mümkün olduğu kadar exploit etmek.

Vulnerability Assessment (VA)

Aynı penetration testing gibidir ama açıklar exploit edilmez, burada dikkat edilmesi gereken bir nokta var ki Vulnerability Assessment daha çok false positive verecektir ve açığın gerçek etkisini ortaya koymayabilir.

Mesela test edilen sistemdeki Buffer Overflow açığı olan bir SMTP server varsa ama karşıdaki sistem x64 ise ve bu açık x64 da geçerli değilse Vulnerability Assessment bunu açık olarak direk kabul edecektir ama gerçekte bu açık exploit edilemeyeceğinden direk bir risk taşımamaktır. Buna rağmen eski versiyon bir yazılım bulundurmak genelde iyi bir fikir olmadığından VA’ ın sonuçları her şekilde işe yarayacaktır.

Güvenlikçi / Güvenlik Uzmanı

Güvenlik Uzmanı çok geniş bir terim genelde şu iki anlamda kullanılır:

• Bir sistemin güvenliğini sağlamadan sorumlu kişi.
• Güvenlik işini bilen kişi.

İroniktir ki genelde güvenlikçikler sistemleri korurlar Penetration Testerlar gibi saldırmazlar ama bu grubun ikisi de Güvenlikçi, Güvenlik Mühendisi, Güvenlik Uzmanı diye geçebilir.

Ek olarak bazı güvenlikçiler kendi sistemlerini test etmek için kendi içlerinden kendi sistemlerine saldırganmış gibi de test edebilirler. Bu kişiler genelde iki rolüde üstlenmiş olurlar. Not düşmek lazım bu aynı kendi programınızda “bug” aramak gibidir, yani muhtemelen iyi sonuçlar vermeyecektir. Yazılımın sahibi olarak yazılımın zaten doğru oldu varsayımı ile yola çıktığınızdan genelde önünüzdeki sorunları bile göremeyeceksinizdir.

Güvenlikçi Olarak Düşünmek

Polisiye filmlerdeki klasik muhabbetlerden biri “profiling” dir yani saldırganın profilini çıkartabilmek. Buradaki en büyük klişe ise bir dedektifin saldırgan gibi düşünmesidir. Ne kadar klişe olsa da bu gerçekten saldırgana ulaşmanın en iyi yoludur ve güvenlikçi de aynı periyoddan çok daha güçlü şekilde geçer.

Çünkü bir polis gerçekte saldırgana ulaşmak için kimseyi öldürmez ama güvenlikçi siteye girer, exploit eder, database’ i indirir, reverse shell’ ine erişir. Gerçekten suçu işler, doruğa çıkar ve iner. Bu gereksinim güvenlikçinin içerisinde saldırgan kimliğinin bire bir yaşamasını sağlar.

Bilinen bir gerçek bir çok büyük güvenlik firmasında çalışan kişilerin eski suçlu hackerlar olduğudur.

Örnek isterseniz Kevin Mitnick’ in kendisi ya da eski @stake’ in L0pth Heavy Industries hacker grubunda gelen tayfası güzel bir örnek olacaktır. Bu örneklerin yanında diğer bir çok benzer güvenlik sektöründe çalışan kişinin de karanlık bir mazisi vardır. Bu arada not düşmek gerekir ki bu furya değişiyor, yazının ilerisinde ona değineceğim.

O zaman güvenlikçi saldırgan gibi düşünmelidir, Saldırganın motivasyonu nedir?

• Para,
  Karşıdaki sistemi kırıp elde edeceği getiri (Kredi Kartı vs.)
• Şan / Şöhret,
  Cyber Grafiti veya benzeri gösteriler, Saldırgan sistemi kırabildiğini tüm dünyaya gösterir
  
• Ego Tatmini,
  Saldırgan karşıdaki sistemi kırıp kendisinin sistemin geliştiricilerinden daha iyi olduğuna inandırır, ek olarak kırılamayanı kırmış yeni bir şey yapmıştır.
  

Peki aynı durumda penetration tester ne yapmaktadır, onun motivasyonu nedir?

• Para,
  Sistemi kırmak, kontrolleri geçmek güvenlikçinin pozisyonun koruması ya da daha iyi bir tester olup daha çok maaş alması demek.
• Şan / Şöhret,
  Konu ar-ge olunca durum tamamen aynıdır, güvenlikçi yayınladığı yeni bir bir makale, araştırma yazısı ile o çevrede ünlenecektir, aynı şekilde saldırının başarısı ile de firma ya da kendi içerisinde bulunduğu grup içerisinde ünlenecektir.
• Ego Tatmini,
  Güvenlikçi bu noktada saldırgan ile birebir aynı duyguları paylaşır.

Görüldüğü üzere güvenlikçi ile saldırgan tamamen aynı duygular içerisindedir, dolayıyla penetration tester’ lar dünyadaki saldırgan rolünü direk olarak oynayan sayılı mesleklerin birini icra etmektedirler.

Yazının devamı gelecek inşallah, orada biraz daha psikolojik farklılıklara, daha verimli olmak için yapılması gerekenlere ve en sonra olarakta kendinizi bu alanda nasıl geliştirebilirsinize ve Derinlemesine Bilgi, Paranoya, Tutku, İletişim Becerisi, Okuma konularına değinmeye çalışacağım.

Kitaplar, Yalanlar, Wired ve Web Application Hackers Handbook

Siteyi takip edenlerdenseniz yakın dönemde Web Application Hackers Handbook ve Pragmatic Programmer kitaplarını bitirdiğimi biliyor olabilirsiniz.

Pragmatic Programmer çok uzun zamandır okumak istediğim bir kitaptı ve neredeyse bir başyapıt. Code Complete‘ tan sonra  yazılım geliştirme konusundaki en iyi kitaptır. Eğer yazılım geliştirme ile ilgiliyseniz kesinlikle ve kesinlikle bu kitabı okuyun. Kitabın genel olarak üslubu da çok keyifli. Daha önceden kitaptan aldığım bazı notları yayınlamıştım.

Web Application Hackers Handbook daha çok bir referans kitabı. Eğer web uygulaması güvenliği konusunda zaten çalışıyorsanız yeni bir şey bulamayacaksınız. Bu arada kitapta benim geliştirdiğim XSS Shell‘ den de bahsediliyor ama yazarların bir hatası sonucu XSS Shell’ in SecuriTeam tarafından geliştirildiği iddia edilmiş. İnanmayın bu tip şeylere! Bir sonraki baskı olursa düzeltilecekmiş. Özetle kitap güzel ama ben içerisinde benim ilgimi çekecek bir şey bulamadım.

Normal şartlarda pek dergi okumam, en azından son 8 senedir dergi okumuyorum ama bir dergi istisna. Sanırım herkes Wired’ ı biliyordur. Geek’ ler için televole dergisi. Nadiren de Edge Magazine‘ i okuyorum, klasik bir oyun dergisi ile oyun kültürü ve sektörü arasında gidip geliyor.

Bu ay Wired’ ı da bitirdikten sonra yeni bir kitaba başlamam gerekti ve arşivime tekrar bakıp heyecanla okumayı beklediğim kitaplardan biri olan Secret and Lies‘ a başladım. Schneier (şınayr diye okunuyor) inanılmaz bir karakter, harika bir yazar ve süper bir teknik beyne sahip. Ek olarak iyi bir iş adamı. Dolayısıyla onun yazılarını okumak farklı bir deneyim.

Kitabın başında 5 sayfada dünyadaki tüm güvenlik sorununu ciddi ciddi çözdü. Gerçekten de dedikleri yapıldığında -ki çok uçuk şeyler değil-, güvenlik sektörünün en büyük sorunları kısa sürede çözülmüş olacaktır. Dolayısıyla henüz kitabın başında olmama rağmen kitap beni şimdiden etkiledi. Kitap hakkında tekrar yazacağım inşallah ama kitabı dijital formatta okumadığımdan dolayı pek not yayınlayamayacağım.

Takipte Kalın

Arada benden kitap önerisi isteyenler çıkıyor, Library Thing’ te benim kitaplığımı görebilirsiniz. Okuduğum tüm kitaplar orada yok ama bir çoğu orada. Merak edenler oradan beğendiğim ve okuduğum kitapları görebilirler.

Son olarak benim blog yazmamam bir şey paylaşmadığım anlamına gelmiyor. Okuduklarım sayfasından ya da bu RSS ile benim payşlaştığım yazıları takip edebilirsiniz. Burada gevezelik ettiğim twitter‘ ım ve şurada da hepsi birlikte Profilactic – fm sayfası var. Memleketimde herkes FriendFeed kullanıyormuş, ben ona henüz bulaşamadım. Şimdilik bu şekilde idare edin artık.

BSQL Hacker Videosu

Başka projelerden dolayı BSQL Hacker ile pek ilgilenemedim ama inşallah önümüzdeki hafta içi ilk public betasını yayınlayacağım. "Niye hala beta?" diyebilirsiniz, sonuçta bu kodu yaklaşık 4,5 sene önce yazmaya başladım! Ama bir çok yenilik eklendi, çok geniş bir yapıya sahip. Ek olarak son versiyonda güçlü bir API desteği de var.

Aşağıdaki video SQL Injection Wizard’ ını gösteriyor. Videoyu direk Vimeodan izlerseniz HD izleme şansınız olacak, o şekilde çok daha net.

BSQL Hacker Beta – Wizard Demo.

Şu an yaptığım iş yeni özellik eklmekten çok bugları temizleme ve tüm özelliklerin beklenildiği gibi çalıştığından emin olmaya çalışmak. Kodun çok eski olması, 8000+ satır olması ve tamamen hack & slash yazılım geliştirme yaptığımdan dolayı çok ciddi stabilite sorunları var. Buna rağmen şu an bulabileceğiniz en iyi SQL Injection araçlarından biri olduğunu düşünüyorum. Yani bir çok diğer aracın yapamadığı şeyleri yapabiliyor. Adam gibi yayınlayınca o konuların detaylarına ineceğim.

BSQL Hacker açık kaynak kodlu bir yazılım ve kodu Google Code üzerinden yayınlanacak.