ݺߣ

ݺߣShare a Scribd company logo

Açık Kaynak Kodu ve Güvenlik

Download as PPT, PDF
Burak DAYIOGLU
Burak DAYIOGLU

Artık adını bile anımsayamadığım bir etkinlikte yapılan sunumun slaytları.

1 of 17
Downloaded 47 times
Sunum Planı Açık kaynak kodun güvenliğe etkisi Açık kaynak kodlu güvenlik yazılımları Güvenlik duvarları Saldırı tespit sistemleri VPN yazılımları Ağ trafik analizi sistemleri Zafiyet tarayıcıları Parola kırıcıları Kaynak kod güvenlik analizi yazılımları
Açık Kod ve Yazılım Güvenliği Kaynak kodların açıklığı yazılım güvenliğine ve güvenilirliğine önemli katkı sağlar Yazılımlar çok sayıda bağımsız uzman tarafından incelenir Hatalar daha kısa sürelerde bulunarak giderilebilir Diebold oylama sistemleri Yazılımlar içerisindeki arka-kapıların tümü elenebilir UNIX SNMP sunucuları İnceleneceğini bilerek yazılım geliştirenler daha özenli çalışırlar ( Sahne Etkisi )
Kaynak Kod Açıklığı Yeterli Mi? Kaynak kodun açıklığı tek başına yeterli değildir İyi bir tasarım, kapsamlı bir risk analizi ve yapısal sınama bir ön-şarttır Bir yazılımın kaynak kodunda tariflenen davranışı ile çalışma zamanı davranışı bilinçli biçimde farklılaştırılabilir Yapısal sınamalar için özgür proje grupları da katkı vermektedir Sardonix projesi özgür yazılım projelerinin bağımsız gruplar tarafından yapısal sınamalarını gerçekleştirmektedir http://www.sardonix.org
Açık Kodlu Güvenlik Yazılımları Ağ ve sistem güvenliğinin sağlanması için, hemen her alanda, açık kaynak kodlu güvenlik yazılımları mevcuttur Açık kaynak kodlu güvenlik yazılımlarının karakteristik özellikleri Yüksek teknik nitelikleri ve özelleştirilebilmeleri Akademik araştırmalara temel teşkil etmeleri Göreli kullanım güçlüğü ve yüksek teknik birikim gereksinimi Ticari ürünlerin içerisinde gömülü kullanımlar
Güvenlik Duvarları Linux işletim sistemi ile entegre biçimde dağıtılan Netfilter (iptables) oldukça yaygın olarak kullanılmaktadır Tüm temel paket filtreleme özellikleri desteklenmektedir OpenBSD işletim sistemi için geliştirilen pf , daha yüksek teknik niteliklere sahiptir Entegre trafik biçimlendirme Kullanıcı doğrulaması ve kullanıcılara özel kurallar Yüksek-erişilebilirlik
Güvenlik Duvarı Yönetimi Firewall Builder güvenlik duvarı yönetimi için bir yapılandırma aracıdır (http://www.fwbuilder.org) Farklı firewall yazılımlarını tek arayüzden idare edebilmeye imkan verir Netfilter (iptables), pf, ipf ve Cisco PIX
Saldırı Tespit Sistemleri Snort (http://www.snort.org), endüstri tarafından da yaygın biçimde kullanılan popüler bir ağ tabanlı saldırı tespit sistemidir Gerçek zamanlı trafik analizi Kural tabanlı / özelleştirilebilme 2000+ farklı saldırıyı tanımlayabilme Prelude (http://www.prelude-ids.org), hem ağ ve hem de sunucular üzerinden veri toplayabilen bir saldırı tespit sistemidir Sistem kayıtlarından, ağ analizinden ve entegre edilen diğer uygulamalardan (Snort, honeyd, nessus vb.) veri toplayabilmektedir
Güvenli İletişim Yazılımları VPN bağlantıları için Linux ve OpenBSD IP yığıtları iki önemli yazılım kümesidir Her iki yazılım da siteler-arası (site to site) ya da istemciden siteye (client-to-site) VPN tünellemesi için kullanılabilecek teknik niteliklere sahiptir OpenSSH (http://www.openssh.org) , güvenli uzak erişim için kullanılan SSH protokolünün en yaygın gerçekleştirimidir Güvenli bir telnet ve ftp alternatifidir
Ağ Trafik Analizi Ethereal (http://www.ethereal.com) gelişmiş bir trafik inceleme sistemidir (network sniffer) Ağ trafiğinin gerçek zamanlı incelenmesi, protokol istatistiklerinin çıkartılması ve protokol çözümlemesi gerçekleştirebilmektedir Ağ üzerinden aktarılan dosyaları diske kaydedebilmektedir Dsniff (http://www.monkey.org/~dugsong/dsniff) , anahtarlanmış (switched) ağlarda trafik incelemesi imkanı sağlar Parola kaydı için özel becerilere de sahiptir
Zafiyet Tarayıcıları Nmap (http://www.insecure.org/nmap), teknolojik açıdan en gelişmiş port tarayıcısıdır Çok sayıda farklı tarama ve hedef şaşırtma tekniğini uygulayabilmektedir Pek çok ticari zafiyet tarayıcısı içerisinde nmap gömülü olarak çalışmaktadır
Zafiyet Tarayıcıları Nessus (http://www.nessus.org) , bilinen en başarılı zafiyet tarayıcılarından birisidir 2000+ farklı zafiyeti tanımlayabilir Plug-in mimarisi sayesinde yeni testler eklenebilir Gelişmiş raporlama becerilerine sahiptir
Parola Kırıcıları John the Ripper (http://www.openwall.org) , zayıf parolaları tespit etmek için kullanılabilecek bir parola kırma yazılımıdır Parola dosyasının programa verilmesi ile çalışır Zayıf UNIX ve Windows parolalarını tespit edebilir Hydra (http://www.thc.org) zayıf parolaların ağ üzerinden tespit edilmesi için kullanılabilecek bir araçtır Pek çok farklı protokolü destekler (HTTP, SNMP, FTP, IMAP, POP3 vb.) Paralel biçimde birden çok parolayı aynı anda deneyebilir
Kaynak Kod Analizi Yazılımları Kod analizi yazılımları, yazılım kaynak kodlarını inceleyerek güvenlik problemlerine neden olabilecek bölümlerin tespit edilmesini sağlar: Splint (http://lclint.cs.virginia.edu/) Valgrind (http://valgrind.kde.org) ITS4 (http://www.cigital.com/its4/) RATS (http://www.securesoftware.com/download_rats.htm) Bu araçların yazılım kaynak kodları üzerinde çalıştırılması ile problemler yazılım dağıtımından önce tespit edilebilir
Ticari Ürünlerde Kullanımı Pek çok yazılım üreticisi açık kaynak kodlu yazılımları ürünleri içerisinde kullanmaktadır Sınanmış güvenilir yazılım bileşenlerinden faydalanılması Düzenli olarak güncellenen ve geliştirilen bileşenlerin kullanılması Ürünlerin daha kısa sürelerde pazara sunulabilir hale getirilmesi Pro-G ürünleri içerisinde açık kaynak kodlu yazılım bileşenleri de kullanmaktadır
Açık Kaynak Kod ve Güvenlik Açık kaynak kodlu yazılımlardan faydalanılarak Yüksek nitelikli Maliyet-etkin Özelleştirilebilir / geliştirilebilir bir güvenlik altyapısının oluşturulması mümkündür Bilişim güvenliği konusuna ilgi duyanlar bu yazılımları inceleyerek birikimlerini arttırabilirler, yeni fikirlerini sınayabilirler

Recommended

Guvenlikaraclari
GuvenlikaraclariGuvenlikaraclari
Guvenlikaraclari
eroglu
P2p Aglarda Guvenlik
P2p Aglarda GuvenlikP2p Aglarda Guvenlik
P2p Aglarda Guvenlik
eroglu
Siber Guvenlik ve Etik Hhacking -2-
Siber Guvenlik ve Etik Hhacking -2-Siber Guvenlik ve Etik Hhacking -2-
Siber Guvenlik ve Etik Hhacking -2-
Murat KARA
Ağ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit SistemleriAğ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit Sistemleri
osmncht
Uç Nokta Güvenliği
Uç Nokta GüvenliğiUç Nokta Güvenliği
Uç Nokta Güvenliği
Fevziye Tas
Metasploit Framework ile Güvenlik Denetimi
Metasploit Framework ile Güvenlik DenetimiMetasploit Framework ile Güvenlik Denetimi
Metasploit Framework ile Güvenlik Denetimi
Fatih Ozavci
Network Guvenligi Temelleri
Network Guvenligi TemelleriNetwork Guvenligi Temelleri
Network Guvenligi Temelleri
eroglu
Metasploit Framework ile Exploit Gelistirme
Metasploit Framework ile Exploit GelistirmeMetasploit Framework ile Exploit Gelistirme
Metasploit Framework ile Exploit Gelistirme
Fatih Ozavci
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıSüleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Kasım Erkan
Zafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleriZafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleri
EPICROUTERS
Siber Güvenlik ve Etik Hacking Sunu - 1
Siber Güvenlik ve Etik Hacking Sunu - 1Siber Güvenlik ve Etik Hacking Sunu - 1
Siber Güvenlik ve Etik Hacking Sunu - 1
Murat KARA
Biricikoglu Islsisguv Sunum
Biricikoglu Islsisguv SunumBiricikoglu Islsisguv Sunum
Biricikoglu Islsisguv Sunum
eroglu
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
Burak Oğuz
Bilgi güvenlik uygulamaları
Bilgi güvenlik uygulamalarıBilgi güvenlik uygulamaları
Bilgi güvenlik uygulamaları
Musa BEKTAŞ
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
BGA Cyber Security
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz? Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Mustafa
Bilge adam beşiktas şube ceh 1. introduction
Bilge adam beşiktas şube ceh 1. introductionBilge adam beşiktas şube ceh 1. introduction
Bilge adam beşiktas şube ceh 1. introduction
EPICROUTERS
Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018
Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018
Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018
Murat KARA
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
Siber Güvenlik ve Etik Hacking Sunu - 3
Siber Güvenlik ve Etik Hacking Sunu - 3Siber Güvenlik ve Etik Hacking Sunu - 3
Siber Güvenlik ve Etik Hacking Sunu - 3
Murat KARA
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliğiBilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
EPICROUTERS
Zararvericilojik
ZararvericilojikZararvericilojik
Zararvericilojik
eroglu
Jetico personal firewall 2
Jetico personal firewall 2Jetico personal firewall 2
Jetico personal firewall 2
Mutlu
Siber3.pdf
Siber3.pdfSiber3.pdf
Siber3.pdf
CyberPentest
Network Guvenligi Temelleri
Network Guvenligi TemelleriNetwork Guvenligi Temelleri
Network Guvenligi Temelleri
eroglu
Kötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptx
Kötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptxKötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptx
Kötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptx
Abbasgulu Allahverdili
Windows Masaüstü Güvenliği
Windows Masaüstü GüvenliğiWindows Masaüstü Güvenliği
Windows Masaüstü Güvenliği
Burak DAYIOGLU
Lecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel KavramlarLecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel Kavramlar
TurkIOT
Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)
Cihan Özhan
Threat data feeds
Threat data feedsThreat data feeds
Threat data feeds
Doukanksz

More Related Content

What's hot (14)

Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıSüleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Kasım Erkan
Zafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleriZafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleri
EPICROUTERS
Siber Güvenlik ve Etik Hacking Sunu - 1
Siber Güvenlik ve Etik Hacking Sunu - 1Siber Güvenlik ve Etik Hacking Sunu - 1
Siber Güvenlik ve Etik Hacking Sunu - 1
Murat KARA
Biricikoglu Islsisguv Sunum
Biricikoglu Islsisguv SunumBiricikoglu Islsisguv Sunum
Biricikoglu Islsisguv Sunum
eroglu
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
Burak Oğuz
Bilgi güvenlik uygulamaları
Bilgi güvenlik uygulamalarıBilgi güvenlik uygulamaları
Bilgi güvenlik uygulamaları
Musa BEKTAŞ
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
BGA Cyber Security
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz? Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Mustafa
Bilge adam beşiktas şube ceh 1. introduction
Bilge adam beşiktas şube ceh 1. introductionBilge adam beşiktas şube ceh 1. introduction
Bilge adam beşiktas şube ceh 1. introduction
EPICROUTERS
Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018
Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018
Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018
Murat KARA
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
Siber Güvenlik ve Etik Hacking Sunu - 3
Siber Güvenlik ve Etik Hacking Sunu - 3Siber Güvenlik ve Etik Hacking Sunu - 3
Siber Güvenlik ve Etik Hacking Sunu - 3
Murat KARA
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliğiBilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
EPICROUTERS
Zararvericilojik
ZararvericilojikZararvericilojik
Zararvericilojik
eroglu
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıSüleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Kasım Erkan
Zafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleriZafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleri
EPICROUTERS
Siber Güvenlik ve Etik Hacking Sunu - 1
Siber Güvenlik ve Etik Hacking Sunu - 1Siber Güvenlik ve Etik Hacking Sunu - 1
Siber Güvenlik ve Etik Hacking Sunu - 1
Murat KARA
Biricikoglu Islsisguv Sunum
Biricikoglu Islsisguv SunumBiricikoglu Islsisguv Sunum
Biricikoglu Islsisguv Sunum
eroglu
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
Burak Oğuz
Bilgi güvenlik uygulamaları
Bilgi güvenlik uygulamalarıBilgi güvenlik uygulamaları
Bilgi güvenlik uygulamaları
Musa BEKTAŞ
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
BGA Cyber Security
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz? Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Mustafa
Bilge adam beşiktas şube ceh 1. introduction
Bilge adam beşiktas şube ceh 1. introductionBilge adam beşiktas şube ceh 1. introduction
Bilge adam beşiktas şube ceh 1. introduction
EPICROUTERS
Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018
Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018
Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018
Murat KARA
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
Siber Güvenlik ve Etik Hacking Sunu - 3
Siber Güvenlik ve Etik Hacking Sunu - 3Siber Güvenlik ve Etik Hacking Sunu - 3
Siber Güvenlik ve Etik Hacking Sunu - 3
Murat KARA
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliğiBilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
EPICROUTERS
Zararvericilojik
ZararvericilojikZararvericilojik
Zararvericilojik
eroglu

Similar to Açık Kaynak Kodu ve Güvenlik (20)

Jetico personal firewall 2
Jetico personal firewall 2Jetico personal firewall 2
Jetico personal firewall 2
Mutlu
Siber3.pdf
Siber3.pdfSiber3.pdf
Siber3.pdf
CyberPentest
Network Guvenligi Temelleri
Network Guvenligi TemelleriNetwork Guvenligi Temelleri
Network Guvenligi Temelleri
eroglu
Kötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptx
Kötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptxKötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptx
Kötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptx
Abbasgulu Allahverdili
Windows Masaüstü Güvenliği
Windows Masaüstü GüvenliğiWindows Masaüstü Güvenliği
Windows Masaüstü Güvenliği
Burak DAYIOGLU
Lecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel KavramlarLecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel Kavramlar
TurkIOT
Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)
Cihan Özhan
Threat data feeds
Threat data feedsThreat data feeds
Threat data feeds
Doukanksz
MS Forefront Güvenlik Ailesi
MS Forefront Güvenlik AilesiMS Forefront Güvenlik Ailesi
MS Forefront Güvenlik Ailesi
Çöüʴ鰭
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonAçık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
BGA Cyber Security
Ozgur Yazilimlar ile Saldiri Yontemleri
Ozgur Yazilimlar ile Saldiri YontemleriOzgur Yazilimlar ile Saldiri Yontemleri
Ozgur Yazilimlar ile Saldiri Yontemleri
Fatih Ozavci
Ağ Tabanlı Saldırı Tespit Sistemleri
Ağ Tabanlı Saldırı Tespit SistemleriAğ Tabanlı Saldırı Tespit Sistemleri
Ağ Tabanlı Saldırı Tespit Sistemleri
Cihat Işık
Yapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemlerYapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemler
Ilkin Azizov
Siber_Guvenlik_ve_Etik_Hacking-2023-BB.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-BB.pdfSiber_Guvenlik_ve_Etik_Hacking-2023-BB.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-BB.pdf
Murat KARA
Roksit DNS Layer Security Solutions
Roksit DNS Layer Security SolutionsRoksit DNS Layer Security Solutions
Roksit DNS Layer Security Solutions
eylnc
SİBER GÜVENLİK
SİBER GÜVENLİKSİBER GÜVENLİK
SİBER GÜVENLİK
gereksizlerim
Forti̇gate ayarlari
Forti̇gate ayarlariForti̇gate ayarlari
Forti̇gate ayarlari
huzeyfe
Siber_Guvenlik_ve_Etik_Hacking-2023-Z.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-Z.pdfSiber_Guvenlik_ve_Etik_Hacking-2023-Z.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-Z.pdf
Murat KARA
Գپü
ԳپüԳپü
Գپü
Celal Karaca
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
BGA Cyber Security
Jetico personal firewall 2
Jetico personal firewall 2Jetico personal firewall 2
Jetico personal firewall 2
Mutlu
Siber3.pdf
Siber3.pdfSiber3.pdf
Siber3.pdf
CyberPentest
Network Guvenligi Temelleri
Network Guvenligi TemelleriNetwork Guvenligi Temelleri
Network Guvenligi Temelleri
eroglu
Kötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptx
Kötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptxKötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptx
Kötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptx
Abbasgulu Allahverdili
Windows Masaüstü Güvenliği
Windows Masaüstü GüvenliğiWindows Masaüstü Güvenliği
Windows Masaüstü Güvenliği
Burak DAYIOGLU
Lecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel KavramlarLecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel Kavramlar
TurkIOT
Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)
Cihan Özhan
Threat data feeds
Threat data feedsThreat data feeds
Threat data feeds
Doukanksz
MS Forefront Güvenlik Ailesi
MS Forefront Güvenlik AilesiMS Forefront Güvenlik Ailesi
MS Forefront Güvenlik Ailesi
Çöüʴ鰭
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonAçık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
BGA Cyber Security
Ozgur Yazilimlar ile Saldiri Yontemleri
Ozgur Yazilimlar ile Saldiri YontemleriOzgur Yazilimlar ile Saldiri Yontemleri
Ozgur Yazilimlar ile Saldiri Yontemleri
Fatih Ozavci
Ağ Tabanlı Saldırı Tespit Sistemleri
Ağ Tabanlı Saldırı Tespit SistemleriAğ Tabanlı Saldırı Tespit Sistemleri
Ağ Tabanlı Saldırı Tespit Sistemleri
Cihat Işık
Yapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemlerYapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemler
Ilkin Azizov
Siber_Guvenlik_ve_Etik_Hacking-2023-BB.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-BB.pdfSiber_Guvenlik_ve_Etik_Hacking-2023-BB.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-BB.pdf
Murat KARA
Roksit DNS Layer Security Solutions
Roksit DNS Layer Security SolutionsRoksit DNS Layer Security Solutions
Roksit DNS Layer Security Solutions
eylnc
SİBER GÜVENLİK
SİBER GÜVENLİKSİBER GÜVENLİK
SİBER GÜVENLİK
gereksizlerim
Forti̇gate ayarlari
Forti̇gate ayarlariForti̇gate ayarlari
Forti̇gate ayarlari
huzeyfe
Siber_Guvenlik_ve_Etik_Hacking-2023-Z.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-Z.pdfSiber_Guvenlik_ve_Etik_Hacking-2023-Z.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-Z.pdf
Murat KARA
Գپü
ԳپüԳپü
Գپü
Celal Karaca
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
BGA Cyber Security

Açık Kaynak Kodu ve Güvenlik

  • 1.
  • 2. Sunum Planı Açık kaynak kodun güvenliğe etkisi Açık kaynak kodlu güvenlik yazılımları Güvenlik duvarları Saldırı tespit sistemleri VPN yazılımları Ağ trafik analizi sistemleri Zafiyet tarayıcıları Parola kırıcıları Kaynak kod güvenlik analizi yazılımları
  • 3. Açık Kod ve Yazılım Güvenliği Kaynak kodların açıklığı yazılım güvenliğine ve güvenilirliğine önemli katkı sağlar Yazılımlar çok sayıda bağımsız uzman tarafından incelenir Hatalar daha kısa sürelerde bulunarak giderilebilir Diebold oylama sistemleri Yazılımlar içerisindeki arka-kapıların tümü elenebilir UNIX SNMP sunucuları İnceleneceğini bilerek yazılım geliştirenler daha özenli çalışırlar ( Sahne Etkisi )
  • 4. Kaynak Kod Açıklığı Yeterli Mi? Kaynak kodun açıklığı tek başına yeterli değildir İyi bir tasarım, kapsamlı bir risk analizi ve yapısal sınama bir ön-şarttır Bir yazılımın kaynak kodunda tariflenen davranışı ile çalışma zamanı davranışı bilinçli biçimde farklılaştırılabilir Yapısal sınamalar için özgür proje grupları da katkı vermektedir Sardonix projesi özgür yazılım projelerinin bağımsız gruplar tarafından yapısal sınamalarını gerçekleştirmektedir http://www.sardonix.org
  • 5. Açık Kodlu Güvenlik Yazılımları Ağ ve sistem güvenliğinin sağlanması için, hemen her alanda, açık kaynak kodlu güvenlik yazılımları mevcuttur Açık kaynak kodlu güvenlik yazılımlarının karakteristik özellikleri Yüksek teknik nitelikleri ve özelleştirilebilmeleri Akademik araştırmalara temel teşkil etmeleri Göreli kullanım güçlüğü ve yüksek teknik birikim gereksinimi Ticari ürünlerin içerisinde gömülü kullanımlar
  • 6. Güvenlik Duvarları Linux işletim sistemi ile entegre biçimde dağıtılan Netfilter (iptables) oldukça yaygın olarak kullanılmaktadır Tüm temel paket filtreleme özellikleri desteklenmektedir OpenBSD işletim sistemi için geliştirilen pf , daha yüksek teknik niteliklere sahiptir Entegre trafik biçimlendirme Kullanıcı doğrulaması ve kullanıcılara özel kurallar Yüksek-erişilebilirlik
  • 7. Güvenlik Duvarı Yönetimi Firewall Builder güvenlik duvarı yönetimi için bir yapılandırma aracıdır (http://www.fwbuilder.org) Farklı firewall yazılımlarını tek arayüzden idare edebilmeye imkan verir Netfilter (iptables), pf, ipf ve Cisco PIX
  • 8. Saldırı Tespit Sistemleri Snort (http://www.snort.org), endüstri tarafından da yaygın biçimde kullanılan popüler bir ağ tabanlı saldırı tespit sistemidir Gerçek zamanlı trafik analizi Kural tabanlı / özelleştirilebilme 2000+ farklı saldırıyı tanımlayabilme Prelude (http://www.prelude-ids.org), hem ağ ve hem de sunucular üzerinden veri toplayabilen bir saldırı tespit sistemidir Sistem kayıtlarından, ağ analizinden ve entegre edilen diğer uygulamalardan (Snort, honeyd, nessus vb.) veri toplayabilmektedir
  • 9. Güvenli İletişim Yazılımları VPN bağlantıları için Linux ve OpenBSD IP yığıtları iki önemli yazılım kümesidir Her iki yazılım da siteler-arası (site to site) ya da istemciden siteye (client-to-site) VPN tünellemesi için kullanılabilecek teknik niteliklere sahiptir OpenSSH (http://www.openssh.org) , güvenli uzak erişim için kullanılan SSH protokolünün en yaygın gerçekleştirimidir Güvenli bir telnet ve ftp alternatifidir
  • 10. Ağ Trafik Analizi Ethereal (http://www.ethereal.com) gelişmiş bir trafik inceleme sistemidir (network sniffer) Ağ trafiğinin gerçek zamanlı incelenmesi, protokol istatistiklerinin çıkartılması ve protokol çözümlemesi gerçekleştirebilmektedir Ağ üzerinden aktarılan dosyaları diske kaydedebilmektedir Dsniff (http://www.monkey.org/~dugsong/dsniff) , anahtarlanmış (switched) ağlarda trafik incelemesi imkanı sağlar Parola kaydı için özel becerilere de sahiptir
  • 11. Zafiyet Tarayıcıları Nmap (http://www.insecure.org/nmap), teknolojik açıdan en gelişmiş port tarayıcısıdır Çok sayıda farklı tarama ve hedef şaşırtma tekniğini uygulayabilmektedir Pek çok ticari zafiyet tarayıcısı içerisinde nmap gömülü olarak çalışmaktadır
  • 12. Zafiyet Tarayıcıları Nessus (http://www.nessus.org) , bilinen en başarılı zafiyet tarayıcılarından birisidir 2000+ farklı zafiyeti tanımlayabilir Plug-in mimarisi sayesinde yeni testler eklenebilir Gelişmiş raporlama becerilerine sahiptir
  • 13.
  • 14. Parola Kırıcıları John the Ripper (http://www.openwall.org) , zayıf parolaları tespit etmek için kullanılabilecek bir parola kırma yazılımıdır Parola dosyasının programa verilmesi ile çalışır Zayıf UNIX ve Windows parolalarını tespit edebilir Hydra (http://www.thc.org) zayıf parolaların ağ üzerinden tespit edilmesi için kullanılabilecek bir araçtır Pek çok farklı protokolü destekler (HTTP, SNMP, FTP, IMAP, POP3 vb.) Paralel biçimde birden çok parolayı aynı anda deneyebilir
  • 15. Kaynak Kod Analizi Yazılımları Kod analizi yazılımları, yazılım kaynak kodlarını inceleyerek güvenlik problemlerine neden olabilecek bölümlerin tespit edilmesini sağlar: Splint (http://lclint.cs.virginia.edu/) Valgrind (http://valgrind.kde.org) ITS4 (http://www.cigital.com/its4/) RATS (http://www.securesoftware.com/download_rats.htm) Bu araçların yazılım kaynak kodları üzerinde çalıştırılması ile problemler yazılım dağıtımından önce tespit edilebilir
  • 16. Ticari Ürünlerde Kullanımı Pek çok yazılım üreticisi açık kaynak kodlu yazılımları ürünleri içerisinde kullanmaktadır Sınanmış güvenilir yazılım bileşenlerinden faydalanılması Düzenli olarak güncellenen ve geliştirilen bileşenlerin kullanılması Ürünlerin daha kısa sürelerde pazara sunulabilir hale getirilmesi Pro-G ürünleri içerisinde açık kaynak kodlu yazılım bileşenleri de kullanmaktadır
  • 17. Açık Kaynak Kod ve Güvenlik Açık kaynak kodlu yazılımlardan faydalanılarak Yüksek nitelikli Maliyet-etkin Özelleştirilebilir / geliştirilebilir bir güvenlik altyapısının oluşturulması mümkündür Bilişim güvenliği konusuna ilgi duyanlar bu yazılımları inceleyerek birikimlerini arttırabilirler, yeni fikirlerini sınayabilirler