Bürokratlara özel kripto cihazı

[418]

Başbakan Tayyip Erdoğan'ın makamındaki dinleme skandalının ardından Teftiş Kurulu'nun soruşturması devam ederken, Başbakanlık bürokratlarına gizli bilgilerin korunabilmesi ve güvenli bir şekilde taşınabilmesi amacıyla kripto şifreleme cihazı dağıtıldı.

haberin devamı : http://www.ensonhaber.com/burokratlara-ozel-kripto-cihazi-2013-04-23.html

websitesi : http://www.usb-k.com/

sitede yazdığına göre 3 kere şifreyi hatalı girince kendiliğinden resetliyormuş... ilginç bir çalışma gerçekten



Saygılarımla,
418

[proxima]

Sn. 418

Bu ilginç bilgi için teşekkürler. Açıkçası Faaliyet gösterdiğim sektörlerden biri olduğu birkaç şey söylemeden geçemedim. Eğer bir veri askeri düzeyde "AES-256" seviyesi şifrelenmesi gerektiğini düşünüyorsanız, bunun kolay bir şekilde taşınmasına "USB veya benzeri bir mobil aygıt" her zaman karşı oldum. Yada şifreleyicinin bu kadar kolay olmasına. Basit bir örnek verecek olursak. Bir yerde eski muhasebe bilgileriniz mevcut ve bunları güvenli bir şekilde yedeklerken yine bunların kötü ellere geçse bile erişilememesini istiyorsunuz. Genelde bu tarz mobil şifreleyiciler size şifrelemeyi yaparken kullandığı anahtar dosyasını (.key , .pmx veya başka bir tür uzantı) vermezler. Kısacası bu şifreleyiciye birşey olursa (bozulma kaybolma) ne yazıkki şifrelediğiniz bilgilere sizde erişemezsiniz ve buda büyük zararlara yol açabilir. Dolayısıyla tavsiyem kripto cihazlarınız her zaman yüksek kalitede mobil olmayan daha kompleks yapıda ana şifreleme anahtarını yedekleyebileceğiniz bir yazılım veya donanım kullanmanızdır. Verilerin transferine gelince ise bir usb aygıt kullanmak yerine noktadan noktaya 2048 bitlik güvenilirliği kanıtlanmış bir SSL şirketinin sertifikasına sahip VPN bağlantısı ile sağlanabilir. Genelde bankaların kullandığı metod budur.

Saygılarımla, 
Proxima

[418]

Sn. proxima

man-in-the-middle attack denilen yöntemle (crypto attack) vpn bana göre pek güvenli değil remote sistemlerde
bu tarz bir sistemi kullanmadım kullanmak istesem freebsd deki "geli" programını tercih ederim , public/private keys kaybolma ihtimalleri var genelde hash sistemine bağlı 256 yada 512 bits sistemleri kullanmak daha mantıklı o yönden dediğinize katılıyorum
daha esneklik verir...
tabiki şifrelemeyide iyi yapmak gerekir , recover programları ile şifrelenen verilerin şifrelenmemiş halini geri getirmek mümkün olduğu için dataya overwirte yapılmasılazım bir kaç kere...
bankaların kullandıkları vpn teknolojileri daha farklı L2TP tarzı tercih ediyorlardır sanırım tahminen...

Saygılarımla,
418

[proxima]

Sn. 418

Başta Cisco ve Juniper olmak üzere Checkpoint ve Trend Micro gibi şirketlerin geliştirdiği cihazlar son 5 yıldır VPN saldırılarına karşı özellikle noktadan noktaya bağlantıda dediğiniz metodları işlevsiz hale getirecek baya bir önlemi mevcuttur. Tabi bağlantının adı VPN kaldı fakat bazı değişikler dışında Mesela noktadan noktaya veri transferi yaparken (özel bir kaç ayar yaparak) veriyi düzgün HEX dizilimiyle değil dağınık olarak (şifrelenmiş olmasına rağmen router 1 kez daha şifreliyor) ve karşı taraftaki router yine bu şifrelemeyi çözüyor metodu ile bunları aşabiliyorlar. Tabiki fiyatları birazcık astronomik olması dezavantaj konumundadır. Recover programları diskteki veriyi eğer şifrelenmemiş halide zamanında aynı diskte saklanmışsa fazlasıyla çıkarabilir ama yoksa en fazla şifrelenmiş halini kurtarırsınız oda private key olmadığı için imkansız hale gelecektir. Askeri standart metal plakalı diskler için 35 kez tam yazma ve silme ile eski verinin tamamen erişilemez olacağını söylüyor. Bunlar SSD diskler için 1 kez bile yapılsa yeterli olacağı söyleniyor. Fakat Disk üreticileri ise her zaman bir yol olduğu görüşünde. Tabi üreten onlar olduğu için sanırım ufak tefek trickler de koyuyorlar . FreeBSD kullandığınızı göz önüne alarak size aynı zamanda openBSD de kullanmanızı tavsiye ederim. Performans açısından daha hantal olsada Unix ailesinin her zaman güvenlikte amiral gemisi olmayı başarmış işletim sistemidir. Bankalar iletişim konusunda metro ethernet, ATM ve Frame Relay gibi iletişim teknolojilerini tercih ettiğinden onlar DSL altyapısına nazaran daha güvenli sonlandırıcılar kullanıyorlar. Sizinde dediğiniz gibi teknolojinin ismi VPN. Baya bi eski geçmişi olduğundan yeni metotlarla ismi hala VPN olsa bile teknoloji tamamen farklı artık. Paylaşımınız için tekrar teşekkürler site sakinleri için güzel bilgilendirmeler oldu

Saygılarımla,
Proxima

[418]

Sn. proxima

Dediğiniz gibi cisco,juniper gerçektende sağlıklı sistemler fakat malesef onlarında zaman zaman açıkları çıkıyor exploitleri genelde
private 0day ,  yada remote ddos exploitleri vs... yanılmıyorsam defcon toplantısında cisco router hacklemişlerdi...
ssd overwrite yaptığınızda yakma ihtimaliniz var tam anlamıyla size hak vermiyor bildiğim kadarı ile "Secure writing limitations"
kısmı var ssd disklerde ,

NAND flash memory cannot be overwritten, but has to be rewritten to previously erased blocks. If a software encryption program encrypts data already on the SSD, the overwritten data is still unsecured, unencrypted, and accessible (drive-based hardware encryption does not have this problem). Also data cannot be securely erased by overwriting the original file without special "Secure Erase" procedures built into the drive.

kaynak : http://www.differencebetween.info/difference-between-ssd-and-hard-drive

openbsd kullandım birkaç sene laptopta openbsd -current vardı , flash yerine gnash , virtualbox vs.. yok qemu cok fazla beklentileri desteklemiyor o yüzden grub yükleyip xp,freebsd,openbsd,gentoo kullandım bir dönem..
genelde bridge mode kullanıyorum ev kullanıcısı olduğum için ppp vs.. tabiki wireless kapatmak gerekiyor bridge mode a geçince...

Saygılarımla,
418

[proxima]

Sn. 418

Microsoft Windows 98 tanıtım lansmanında Bill Gates tanıtırken mavi ekran vermişti Tabiki düşünüldüğü zaman büyük şirketlerin bu tarz zor durumda kaldığı zamanlar oluyor. Ama sizde takdir edersinizki bir sistemin güvenliğini %99 oranında ve bilinen güvenlik açıklarına karşı koruyabilirsiniz. Hani bunu göz önüne alacak olursak bu tarz firmalar genelde para ödüllü yarışmalar yapıyor. Hatta Playstation 3 ü yazılımsal olarak kıran ufaklığıda staj programı için hem davet etmiş hemde çalıştırmıştı. SSD meselesine gelince bundan 1.5 sene evvel bir ssd disk'in veri kurtarılması gerekmişti (veri şirfelenmiş değildi.). Açıkçası bunu burda kendi altyapımızda denemiş fakat çoğu recovery yazılımı ssd diskler'in metal disklere göre farklı yapıda olması (cylinder olmaması vs.) olduğu yüzünden pekte sağlıklı sonuçlar almamıştık. Bende sonra acaba diyerekten seagate in destek departmanına detaylı bir mail yazmıştım. (Pekte ümidim yoktu.) 3 gün sonra cevap geldi. Bu konuda fazlasıyla seagate i takdir etmişimdir. Bana direk olarak diski kargolayıp kendilerine göndermemi (o zaman UPS ile çalışıyorlardı.) istediler. Gönderme işleminden 20 gün sonra bana cevap yazmışlardı. Gerçi bende tabiki arada onlarla yazışıyordum. Dosya isimleri şunlar dosya uzantısı şunlar diye... Cevap mükemmeldi açıkçası istediğimiz dosyaların hepsini kurtarmışlardı. Tabiki o dosyaları yeni bir diskle ve bir miktar danışmanlık ücretiyle onlara ödemesi yaparak bize gönderilmesini sağlamıştık. Ama konuştuğum teknisyen bana şunu söylemişti. Özellikle nix türevi (linux, unix veya osx) işletim sistemlerinin kullandığı dosya sistemleri ile secure erase yapmanın mümkün olduğuydu. Tabi bu konu hala gönderdiğiniz sitelerdeki gibi baya bi sitede tartışılıyor. Kimi site olmaz diyor. Bana kalsa olabilir. Sonuçta metal plaka disklerin güvenli silme işleminde zarar görmesi daha yüksektir.

Şimdi OpenBSD den kastım şuydu. OpenBSD diğer opensource işletim sistemlerine göre daha farklı bir şekilde yönetilir. Şöyle özetliyeyim. Sıradan bir web server (apache) servisini ele alalım. Sonuçta Apache yazılımı başka bir firma tarafından yapılıyor. OpenBSD bu yazılımın yeni sürümü çıktığı zaman onu kendi ekibi indirir. Sonra ciddi kontrollerden geçirerek kendine uygun hale getirecek şekilde düzenleme yapar ve repo'sunda (yazılım deposu) yayına sunar. Kısacası OpenBSD de yapacağınız işlemler birazcık hantalda olsa her zaman türevlerine göre daha güvenli olacağı kanaatindeyim. Ki şu anda linux ve türevi tüm işletim sistemlerinin uzaktan erişimini sağlayacan OpenSSH'ın da yaratıcısı olan bu organizasyon benim her zaman güvenlik konusunda favorim olmuştur.

DSL konusunda seçiminiz gayet mantıklı olmuş. Kullanıcı adı şifre denetimini heralde ya bilgisayarınıza yada evinizdeki minik bir router a yaptırıyorsunuz. Ne yazikki piyasadaki birkaç marka dışında wireless özellikli adsl modemler bilgisayar sayısı belli bir sayıyı aşınca işlemcisi kaldırmadığından internet bağlantı sorunları yaşanıyor. Sizin yaptığınız bu sorunu fazlasıyla aşıyor.

Bu arada konuyla ilgili değil ama teknoloji bölümünün birazcık atıl kaldığını farkettim. Gördüğüm uyarınca sizde yeterince konulara vakıfsınız. Neden o bölümlere pek ilgi gösterilmiyor. Forumda benden üye olarak eski olduğunuz için bu soruyu size sorabilirim sanırım ? Ben salı gününden itibaren yazmaya başlayacağım. Sizin gibi ilgili üyelerin yorumlarını beklerim.

Saygılarımla,
Proxima

[418]

Sn. proxima

linux birçok dosya sistemini destekler ext2,ext3,ReiserFS vs..  freebsd ufs,ufs2 hatta zfs (solaris file sistemide) vs.. destekler
unix tarzı sistemlerde recover olayı mümkündür secure erase de mümkün osx de durum aynı,
OpenBSD de rm -P komutu ile 0xff yazar overwrite'da dataya
tabiki farklı yazılımlarda mecut openbsd de güvenli silmede... normal hdd iler için geçerli , ssd de direk üzerine overwrite yapmada problem var en azından şimdilik , fakat tum diske tahminimce overwrite yapmak mümkün olabilir ssd de...
OpenSSH gelince onunda exploit'i vardı bir zamanlar en son takip ettimde key sorarken format string açığına benzer birşey vardı sonra yamadılar... (not : kontrol etmedim internetten)
bende openssh kullanırım vpn yerine genelde , public/private keys le beraber...

dsl konusunda malesef piyasadaki modemler yetersiz tabiki gönül ister ALIX boards alıp  Embedded OpenBSD kurup çalıştırmak iyi bir hobi olurdu fakat birazda bridge mode insanın kolayına geliyor...

Saygılarımla,
418