[Owasp-turkey] ADSL Modem (Yonetici Arayuzu) Güvenliği - TR [not]

Ferruh Mavituna ferruh at mavituna.com
Fri Oct 19 11:41:59 EDT 2007


Merhabalar,
+ 2 sene once OWASP mail grubunda Ingiltere'deki bir auditorun başına gelen
bir olay geldi birde aklima, tek yaptigi bagis yapmadan once bir sitede non
intrusive bir sekilde sql injection testi yapmasıydı. Ingilterede meslekten
men ve agir para cezasına çarptırıldı.

Artik oyle bir cagdayiz ki sla.ck.ers forumunda, yeni web bloglarda birakin
urunlerin aciklarini insanlar devlet sitelerindeki SQL Injectionlari,
XSSleri ve RFI acikarini yayinliyorlar.
GNUCitizen' da pdp router aciklarini ve her turlu explotin modellerini
yayinliyor ve gene ayni sekilde bilinen buyuk sitelerdeki aciklari
yayinliyorlar.

Bunun yaninda buradaki makale bir urune ozel aciga ve bunun ulkedeki
durumuna deginmis. Ben makaleyi bir nevi wardriving yapip, onun da sonuclari
yayinlanmis gibi goruyorum. Ancak senin de degindigin gecerli bir nokta var
ki ayni ornekten gidersek wardriving yapilmis ama pasif degil aktif sekilde
yapilmis bu da kanuni acidan sorun olusturabilir.

Ben etik olarak ya da baska bir acidan bir sorun gormuyorum. Kanuni acidan
belki de makaleden aktif sifre deneme bolumlerinin silinmesi daha saglikli
olacaktir. Onun harici port scan / banner grabbing hala legal :)

+ Her ne kadar tarama güvenlik güncellemesi çıkmış olsa bile, ben su anda
mesela kendimi basit bir script kiddie yerine koydugumda 3 satir kod
kullanarak 300 tane zombie makina elde edip, cokta guzel bir DDOS atağı
gerçekleştirebilirim.

Bu onemli bir konu degil eger 3 satir kod ile 300 tane zombi almak
istiyorsan yapman gereken tek sey Full-Disclosure daki bir sonraki acigi
beklemek ya da arsivlerden dolasip sana uyan guzel bir acigi kullanmak.

NGS, Eeye da aciklari yayinliyor hem de target + IP = root seklinde remote
exploitleri. Ama biz onlara tutup siz script kiddielere yardimci oluyorsunuz
diyemeyiz. Dolayisiyla bence bu genel guvenlik ar-ge sinin rutin bir
parcasi. Yama yayinlandiysa ya da 3 ay gibi bir surec icerisinde uretici
firma acigi yamamadiysa exploit yayinlanabilir.

+ Sonuc olarak yapilan tarama ve ayni zamanda bos sifre kullanimiyla yapilan
karsi modeme giriş yapılması Bilişim Kanununa gore bilisim sistemlerine
yetkisiz erisim sucunun binlerce kez islenmis oldugunu gosteriyor ve bence
OWASP adi altında boyle bir girisimin gerceklesmesi organizasyonun adina
zarar verebilecek derecede yanlis bir yaklasimdir.

Yukarida kanuni acidan fikirlerimi belirttim, OWASP adi altinda yapma
konusuna gelince burada ufak bir yanlis anlama var. Web Guvenlik Toplulugu
yogun olarak OWASP Turkiye ile icice olsa da OWASP Turkiye degil.

WGT' nin sitesinden alinti :
• WGT; Ekibi, aktif kullanıcıları ve ziyaretçileri ile bir ailedir.
• WGT Projeleri tüm ekip ve aktif üyelerinin katkısıyla ortaya çıkar .
• WGT ekibi OWASP-Turkey Chapter yönetimini üstlenir ve bunun gereklerini
yerine getirir.

Dolayisiyla OWASP Turkiye yonetimi benim de icerisinde oldugum bu kadro
tarafindan idare ediliyor ancak Web Guvenlik Toplulugu OWASP Turkey den ve
OWASP dan bagimsiz bir yapidir. Icerigi de ziyaretciler, katilimcilar ve ana
kadro olarak gecen 3 kisinin emegidir. Dolayisiyla OWASP Turkey ye zarar
verecek bir sey yok.

Ek olarak sanirim herkes kabul eder ki bu ornekteki sifre konusu kanunen
illegal olma ihtimali icerse de etik olarak kabul edilebilir durumdadir.

Bakiniz benzer ama bence cok daha agresif bir ornek :
http://portal.spidynamics.com/blogs/msutton/archive/2006/09/26/How-Prevalent-Are-SQL-Injection-Vulnerabilities_3F00_.aspxhemde
bu blog SPI Dynamics' deki gelistiricilerden biri ve blogda goruldugu
gibi SPI in resmi bloglarindan biri. Herseyden ote linkteki ornek bir
urunden degil ozel kodlardan bahsediyor dolayisiyla hepsi potansiyel bir
0day.


Benim nacizane fikirlerim bu sekilde.

Saygilar, sevgiler.

On 19/10/2007, Izzet Kerem Kusmezer <keremskusmezer at gmail.com> wrote:
>
> Merhabalar,
>
> Tarama raporunuz hakkında ufak ayrıntılar:
>
> + Her ne kadar tarama güvenlik güncellemesi çıkmış olsa bile, ben su anda
> mesela kendimi basit bir script kiddie yerine koydugumda 3 satir kod
> kullanarak 300 tane zombie makina elde edip, cokta guzel bir DDOS atağı
> gerçekleştirebilirim.
>
> + 2 sene once OWASP mail grubunda Ingiltere'deki bir auditorun başına
> gelen bir olay geldi birde aklima, tek yaptigi bagis yapmadan once bir
> sitede non intrusive bir sekilde sql injection testi yapmasıydı. Ingilterede
> meslekten men ve agir para cezasına çarptırıldı.
>
> + Sonuc olarak yapilan tarama ve ayni zamanda bos sifre kullanimiyla
> yapilan karsi modeme giriş yapılması Bilişim Kanununa gore bilisim
> sistemlerine yetkisiz erisim sucunun binlerce kez islenmis oldugunu
> gosteriyor ve bence OWASP adi altında boyle bir girisimin gerceklesmesi
> organizasyonun adina zarar verebilecek derecede yanlis bir yaklasimdir.
>
> Bundan dolayi bence bu makalenin bir an once yayindan kaldirilmasi gerek
> OWASP Turkiye adina bir problem olusmasini, gerekse yapan arkadaslarin cezai
> bir yaptirima ugrama risklerini ortadan kaldiracaktir.
>
> Ferruh'unda bu konudaki yorumunu ayrica merak ediyorum.
>
> Saygilarimla
> Kerem Kusmezer
>
>
> 15.10.2007 tarihinde Bedirhan Urgun <urgunb at hotmail.com > yazmış:
> >
> >
> > Merhaba,
> >
> > "Ülkemizdeki ADSL modem yönetim arayüzlerinin güvenliği hakkında
> > spesifik bir çalışma ile önceden bilinen (Şubat 2007) ve bazı forumlarda yer
> > bulan 'yetersiz yetkilendirme' açıklığının şaşırtıcı sonucunu ve çözüm ..."
> >
> > http://www.webguvenligi.org/?p=83
> >
> > adresinden nota ulasabilirsiniz.
> >
> > bedirhan
> >
> >
> >
> >
> >
> > ------------------------------
> > Windows Live Hotmail and Microsoft Office Outlook – together at last. Get
> > it now!<http://office.microsoft.com/en-us/outlook/HA102225181033.aspx?pid=CL100626971033>
> >
> > _______________________________________________
> > Owasp-turkey mailing list
> > Owasp-turkey at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >
> >
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


-- 
Ferruh Mavituna
http://ferruh.mavituna.com
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20071019/ac13616f/attachment.html 


More information about the Owasp-turkey mailing list