"SQL Injection" saldırısı

"SQL Injection", kontrol edilmeden işleme alınan kullanıcı girdilerinin neden olabileceği bir saldırı türü. Girdi kutularına SQL cümleleri girilmesi yolu ile veritabanı sistemine zarar vermek yada yetkisiz bilgi elde etmeyi amaçlayan bu yöntem ile sunucunun kapatılması da sözkonusu olabiliyor.

RFID teknolojisinde de tehditlerden birini oluşturuyor "SQL injection". RFID de güvenlik konularında karşıma çıkacak bu konu ile ilgili birkaç bağlantı şunlar:

http://www.codeproject.com/cs/database/SqlInjectionAttacks.asp
http://www.e-hack.org/index.php?id=57
http://www.csharpnedir.com/makalegoster.asp?MId=410

Yazan: zaman: 1 yorum:
Etiketler: ,

Başka bir gün

Bugün işyeri biraz farklı olacak birçok kişi için. Benim yanımsa boş kaldı, tamamen farklı ve eksik günler başlıyor.

Üç buçuk yıldır hergün günaydın dediğim birine ancak cep telefonundan ulaşabileceğim tekrar günaydın diyebilmek için. Sıkıldığım anlar, içinden çıkılmaz sorunlar biraz daha zor olacak artık. "Etrafındaki insanların değişmesinden hiç hoşlanmazsın" diyordu, şirketimin çok önemli gördüğü, ama benim hiç umrumda olmayan PI sınavı; doğru söylüyordu bu defa.

Neden böyle bir değişiklik gerekti bilmiyorum ama, her şey daha iyi gider umarım. Senden öğrenecek daha çok şey var: Başka bir gün başlıyor hayatımızda; pse002 ;) .
Yazan: zaman: Hiç yorum yok:
Etiketler:

Özgür BIOS

BIOS bilgisayar açıldığında standart donanım yüklemesi, yüklenecek olan işletim sisteminin veya yükleyicilerin (lilo, grub vb.) yüklenmesi işlerinden sorumlu olan ve artık günümüzde geçmişten farklı olarak bir yazılım olarak nitelendirilen (önceden de yazılımdı ama ROMlara yazıldığı için değiştirilemiyordu) ve her bilgisayarda bulunan bir birimdir. GNU artık değiştirilebilen BIOS'un donanım zoruyla verilmesinden ve sadece çalıştırılabilir (exe) dosyalar yardımıyla değiştirilen bu yazılımın da serbest (özgür) yazılım olması gerektiğini söylüyor. Her yazılımda olduğu gibi BIOS yazılımında da istediğimizi kullanma özgürlüğümüzü savunuyor. Bu nedenle bu konuyla ilgili çalışmalar yapılıyor. Ancak elbette donanım (özellikle BIOS) üreticileri bu konuda pek yardımlaşma yapmak istemiyorlar. "Trusted computing" (GNU Treacherous computing'i tercih ediyor) bahane edilerek özgürlüğümüze saldırıldığını söylüyor.

Sözün özü benim bu kadar yazmamım sebebi GNU'nun Free BIOS (Özgür BIOS) kampanyasını duyurmak ve bunu bir örneği olan LinuxBIOS projesinden bahsetmekten ibarettir. Meraklısına duyurmaktan ibarettir amacım :)

Not:Bilgisayarınıza güvenebilir misiniz? yazısını özellikle tavsiye ederim. Büyük firmaların "Trusted Computing" (GNU'nun deyimiyle Hain Bilgi işlem) konusundaki ikiyüzlü ve özgürlüğü kısıtlayıcı davranışları hakkında önemli bilgiler içeriyor.
Yazan: zaman: Hiç yorum yok:
Etiketler:

RFID güvenliği için önerilen çözümler

Önerilen Çözümler
Güvenlik ve gizliliğin sağlanması için farklı çözüm yöntemleri önerilmektedir. Bu yöntemler burada derinlemesine incelenmeyecek olsa da önemli olarak görülenler üzerinde durulacaktır.

1. “Kill” Komutu
Bu çözüm Auto-ID Center ve EPCglobal tarafından önerilmiştir. Her bir tagın tekil bir şifresinin olduğu, örneğin 24 bit, ve üretim aşamasında programlandığı bir yöntemdir. Doğru şifre verildiğinde tag tamamen kullanılamaz hale gelmektedir.

2. “Faraday Cage” Yaklaşımı
Bir diğer yöntem tagların herhangi bir elektromanyetik dalgaya maruz kalmasının engellenmesidir. Faraday Cage (FC) adı verilen metal bir ağ veya folyodan yapılmış olan bir kap birçok frekanstaki sinyali kırabilmektedir.

3. “Aktif Sinyal Bozma” Yaklaşımı
FC’ye alternatif olarak, elektromanyetik dalgaların engellenmesinin bir diğer yolu da radyo kanalının rahatsız edilerek, RF sinyal bozma yönetimin uygulanmasıdır. Bu işlem, aktif olarak radyo sinyalleri yayan bir cihaz kullanılarak yapılabilir. Böylece RFID okuyucuların okuma işlemi yapmaları engellenmiş olacaktır.

4. Blogger Tag
Bir okuyucu tarafından gönderilen sorguyu birden çok tag yanıtlarsa, okuyucu çakışma olduğunu varsayacaktır. Tag okumada kullanılan en önemli protokoller “ALOHA” (13.56 MHz) ve “tree- walking” protokolleridir (915 MHz). Bunlardan, kısa frekans kullanan “tree- walking” protokolünün çalışma mantığı kullanılarak pasif bir sinyal bozma yöntemi geliştirilmiştir. “Blocker tag” adı verilen bu yöntem ile yeniden tasarlanan bir tagın, olası tüm seri numaralarının benzetimini yapması ve RFID okuyucuyu yanıltması sağlanmıştır.

5 Ahlaki Kanun Tasarıları
Garfinkel tarafından ortaya konulan RFID ahlaki değerleri, RFID sistemler kullanılırken uyulması önerilen bazı maddeler içermektedir. Garfinkel, bu değerleri kanun haline getirme amacı olmasa da, firmaların uymasını önermektedir.

6 Klasik Şifreleme
-Yeniden yazılabilir bellek
Her tagın anonim(isimsiz) bir IDye sahip olması, E(ID) gibi, böylece gerçek ID nin saklanması düşüncesini savunur. E, genel veya simetrik anahtar şifreleme algoritması içerebilir veya tag IDsine bağlanmış rastgele bir sayı olabilir. İzlenme sorununu çözmek için, tag içerisindeki anonim ID yeniden şifreleme ile sıkça değiştirilmelidir.

-Simetrik anahtar şifreleme
Feldhofer tarafından önerilen yetkilendirme mekanizması, basit bir iki taraflı sorun-yanıt algoritması üzerine kuruludur. Bu yaklaşımın sorunu, RFID tagın AES özelliğinin olmasına ihtiyaç duymasıdır.

-Simetrik anahtar şifreleme
Genel anahtar şifreleme kullanan yeniden şifeleme üzerine kurulu yapılar da vardır.

7 Hash fonksiyonlarına dayanan yöntemler
Güvenlik sorunlarını aşmak için daha yaygın şekilde kullanılan bir çözüm de hash fonksiyonlarıdır.

8 Temel PRF özel yetkilendirme yöntemleri
Molar tarafından önerilen yöntem, tag ve okuyucular arasında ortak bir yetkilendirme mantığı üzerine kuruludur. Bu protokol, tag ve okuyucu arasındaki mesajların korunması için paylaşılan bir anahtar ve Pseudo-Random Function (PRF) kulllanır.

9 Ağaç tabanlı özel yetkilendirme ve atama ağacı
Hash yöntemlerinin önemli bir olumsuz yanı, tagların tanımlanabilmesi için sunucuya fazla yüklenilmesidir. Molnar, bu yükün azaltılabilmesi için “Tree-
Based Private Authentication” isimli bir yöntem önermiştir.

Kaynak : RFID Systems: A Survey on Security Threats and Proposed Solutions; Pedro Peris-Lopez, Julio Cesar Hernandez-Castro, Juan M. Estevez-Tapiador, and Arturo Ribagorda
Yazan: zaman: Hiç yorum yok:
Etiketler:

VAHŞİ KEŞİŞ

Keşişler gibi uçamasak ta denize ibadet etmek için, belki Vahşi Keşişi çıkabilirdik…

Yapabilir miydik? İzin verir miydi keşişler çıkmamıza? Burası onların evi, tanrıların dağı Olympos(Uludağ), Keşiş Tepe.

Bu zirveden denize ve tekrar denizden zirveye uçabiliyordu keşişler. Ve ibadetleri yaşayış biçimleri pek az bilinirdi, zamanın insanlarınca. Sırlarla dolu, efsanelere konu olmuş bir yaşamdı onlarınki. Peki neden bu keşiş “vahşi” ?

İki sevdiğim arkadaş-partner, güvenmek, kendini güvende hissetmek istiyor insan bunca gizem içerisinde. Bu koca dağda, bu sarp kayalarda tırmanırken. Bir yandan dağın güneyinden gelen bulutların, zirveden geçerken oluşturdukları gölgeler.bulutları hiç bu denli hızlı görmemiştim. Bir yandan çığlıklar atarak pike yapan yırtıcılar. Ve adrenalin. Diğer bir yandan da içsel korkular, mücadeleler... Ne o ? Tanrı’yı mı hatırladın, oğlum Utku?

Tüm bunlarla iç içe olmak tırmanış. İşte bu, tırmanış.

Her şey mükemmel olmalıydı. Hava gayet iyi, sıcaklık kayalara değen parmaklarımızı üşütüyor ama, vücudumuz sıcak. Güvenilir iki partner. Ve yerinde bir psikoloji. Peki ya bu “Keşiş”, kabul edecek mi bizi? İlk adım bizden; denemeliyiz…

Rota 135 metre, ilk 75 m’yi serbest tırmanıyoruz. Başlangıçta kaya sağlam, belirgin ve güzel tutamaklar yok ama sürtünme güçlü başlangıç için biraz sert hamleler, beklenmedik!... Sorun yok, devam… Arka arkaya sert ve yumuşak pasajlar geçiyoruz. 7-8 m sert, 10-12 m yumuşak pasajlar. Yer yer çürük bölümlerde birbirimizi bekleyerek geçiyoruz, birbirimize taş düşürmemek için. Derken rotanın ortalarını geçtik ve artık kilit etap olarak düşündüğümüz kısma geldik. Zor kısım, ip açmalıyız. “İp? Açalım abiiii !... ”. Korku dolu bakışlar… Emniyet noktasını oluşturduk. Yükselir yükselmez bir ara emniyet atmalıyım. Aksi halde düşmem sonucu arkadaşlarımın da altına düşerek, ciddi şok yerim (full factor). “Bu çatlak uygun mu??? Hayır değil!” takoz takımı ağzımda deli divane uygun çatlak arıyorum. Olanlar ya çok çürük yada takoz için uygun değil. Bu arada durmak yok tabii; “bir adım daha oğlum, bir adım daha”, “şurada bir çatlak var galiba!..”. Mutluluk… “hayır bu da uygun değil!..”. Acı, korku… “lanet olsun yedi metre yükseldim…” Evet sonunda bir çatlak. Düşersem asla beni tutamayacak kadar kötü yerleşti ama bir emniyet var sonunda. Ayaklarımın ağrısı ve titremesi çözüldü bir an. Rahatlama. Devam etmeliyim… Zemin çürük ve hiç çatlak yok. Bir metre yukarıda 2. takoz derken, korkum artık sadece zeminin çürüklüğünden. Bu son ip boyunun son kısımları çok çürük. Ve yine sağlam malzeme atacak uyugn bi çatlak yok. Korkuyorum… Çok büyük kaya bulokları var rota üzerinde. Bunlardan biriyle birlikte aşağı uçmak, her an muhtemel… Birkaç kere bastığım basamaklar kopuyor. Uçmuyorum… ve son kısımlarda yeni bir emniyet noktası kuruyorum . arkadaşlarım yanıma geliyor.

Her şey yolunda… Keşiş bizi sevdi. Devasa kopmuş bloklar bana o Keşiş’in “vahşetini” anlatmaya yetiyor.

Geride güzel bir anı, birkaç fotoğraf, rota üzerinden alınmış küçük bir taş ve içsel mücadelenin vermiş olduğu müthiş tatmin, “başarı”.

Teşekkürler Olympos, teşekkürler Keşiş…


Utku Yakar

Rotayla (Vahşi Keşiş) ilgili ayrıntılı bilgi için: cuktu_yakar@yahoo.com
Yazan: zaman: Hiç yorum yok:
Etiketler: ,
Kaydol: Kayıtlar (Atom)