RSS Feed

May, 2013

  1. May 27, 2013 by Oğuz Yarımtepe

    Bu seneki Google Summer of Code için Honeynet projesinde danışman (mentor) olarak başvurmuştum. Az önce sonuçların açıklanması ile benim için de sevindiri haber geldi ve 2 öğrenciye danışmanlık edeceğimi öğrendim.

    Değerlendirme süreci bu sene daha önceki senelerden biraz farklı oldu. Honeynet daha önceki senelerde danışmanların değerlendirmelerine bakarak karar veriyor idi. Bu sene daha fazla katılım ile yapılan başvurular değerlendirildi. Network Analyzer projesi için benim dışımdaki 2 yardımcı danışmanın değerlendirme notları dışında öğrencilere yollanan kodlama sınavı da dikkate alındı. Sonrasında Honeynet üyelerinden Felix, öğrencilere kodlamalarıyla ilgili sorular sordu. Kodundaki hata durumları nedir, nasıl düzeltirsin, nasıl test edersin gibi sorular idi bunlar. Bu sorulara gelen yanıtlara göre bir değerlendirme notu verdi. En son olarak da öğrenciler ile hiç iletişim kurmamış bir üye, David, başvuruları,  epostaları, kodlama cevaplarını okuyarak bir not verdi. Bütün bu notların ortalamasına ve eldeki slot sayısına göre öğrenci seçimleri yapıldı. Son dakikada artan bir slot ile bana 2. öğrenciyi kabul etme şansı doğmuş oldu ve bu sene GSoC için Network Analyzer projesine Gürcan Gerçek ve Hao Ma kabul oldu. Böylece son iki senelerde öğrenci olarak yaşadığım GSoC tecrübesini bu sene danışmanlık ile şekillendirmiş olacağım.

    Gürcan ile hali hazırda Yakından Eğitim‘de beraber çalışıyoruz. Öncesinde beraber iş yaptığımızdan sonrasında daha rahat yönlendirip çalışabileceğimi biliyorum. Aynı anda 2 öğrencinin aynı projenin farklı parçalarını yapmasını sağlamak benim için güzel bir deneyim olacak. Eğlenceli bir yaz kodlaması bizleri bekliyor.

    Kabul olan tüm öğrencilere şimdiden başarılar.


  2. May 20, 2013 by Oğuz Yarımtepe

    Yakındaneğitim kapsamında başlayan Malwarez isimli projede, Gürcan Gerçek alpha (Projenin ilk halinin fikir babası Ben Reardon için Ben kod ismi ile) sürümünü yayınladı. Dağıtık bal çanaklarından gelen kötü amaçlı yazılım bilgilerinin toplanmasını sağlayan hpfeeds ve veri paylaşımını sağlayan Hpfriends kullanarak alınan gerçek zamanlı verilerin Dünya haritası üzerinde görsellenmesini hedefleyen bir proje, Malwarez. Projede Github üzerindeki ilk yol adımı temel düzeyde tamamlandı. Proje detaylarını içeren Tükçe ve İngilizce birer günlük girdisi de yazıldı.

    Alpha sürümünde Dünya haritası üzerinde anlık olarak kötü amaçlı yazılım kaynakları gösterilirken, ülke bazında da şehirlere ait sayısal değerleri görmek mümkün. Elbette projede yapılabilecek epey nokta var.

    Geri bildirimlerinizi bekliyoruz.


  3. Honeynet GSoC istatistikleri

    May 12, 2013 by Oğuz Yarımtepe

    Bu seneki Google Summer of Code başvuru süreci bitti ve değerlendirme süreci içerisindeyiz. Bu süreç içerisinde her organizasyona verilecek slot sayısı ve kabul olacak öğrenciler belli olacak. David Watson geçen senelerde olduğu gibi bu sene de başvurular ve geçen senelerdeki durumu özetleyen istatistikleri yayınladı. Son başvurunun, süre bitimine 27 saniye kala olması, öğrencilerin kendi fikirlerini proje olarak sunmaları dikkate değer kısımlar. Dubai’deki çalıştayda da en başarılı projelerin öğrencilerin kendi önerdikleri projeler olduklarının altını çizmişlerdi. İçinde Android geçen projeler geçen sene de pek yüksek başvuru oranına sahip idi. Bu sene de o değişmemiş. Honeynet ekibindekilerin geliştirdikleri düşük etkileşimli balçanağı Thug, merkezi balçanağı verisini almanızı veya o merkeze katkı vermenizi sağlayan Hpfeeds, node-link grafik yaklaşımı ile trafik içerisindeki etkileşimi görselleyen Afterglow bu sene yeni fikirler ile başvuru alan projeler.

    Benim önerdiğim ve danışmanı da olurum dediğim Network Analyzer projesine bu sene azımsanmayacak bir başvuru oldu. GSoC içerisindeki ilk danışmanlık tecrübem.  Süreç içerisinde Türkiyeden de başvurular aldım. İçlerinde iyi başvurular da vardı. Adil bir değerlendirme yapabilmek için yardımcı danışmanlarla beraber ortak karar vermeye çalışıyoruz. Bu sene Honeynet, geçen senelerden farklı olarak öğrenci değerlendirme sürecine danışmanlardan farklı bir başka Honeynet üyesini daha dahil etti. Bunun epey faydasını gördüm diyebilirim. Dışarıdan bir gözün de değerlendirme soruları sorması ve kendi kişisel notlandırmasını yapması, vereceğimiz karardan daha emin olmamızı sağlayacak.

    Ben danışmanlık işinin biraz daha rahat geçeceğini düşünmüştüm ama değerlendirme süreci de dahil olmak üzere her başvuran ile ayrı ayrı ilgilenmek, yazdıklarını okumak, kodlarını incelemek, güzel bir fikri varsa değerlendirmeye çalışmak da epey vakit alan işlermiş. Tek başıma olsa epey zorlanırdım gibi geliyor. Her ne kadar Network Analyzer’ın şu anki kodlarını ben yazmış olsam da, yeni eklenecek fikirlere göre baştan doğru kararlar almak, yanlış yola sapmamak çoğu zaman öğrencilerden daha çok geriyor işin aslı. Diğer danışmanların olaya el atması epey rahatlatıyor diyebilirim.

    Değerlendirme sonuçları 27 Mayıs’ta açıklanacak. Network Analyzer için başvuranların kafasında soru işareti olduğunu sanmıyorum. Hemen hepsinin kafasında kabul sürecinden sonra ne ve nasıl yapacaklarına dair fikirler olduğunu biliyorum. Bizlerin iyi başvuru dediğimiz başvurularım bu projeyi iyi bir şekilde bitireceklerine de inanıyorum. Aslında işin gerisi bu düşünceleri gerçekleştirebilmeleri ve yoldan sapmamaları için öğrencileri yönlendirmek olacak diye düşünüyorum. Büyük işi onlar yapacak.

    Bakalım bu sene Google’un vereceği slotlar projelerin hepsine yetecek mi?


  4. May 5, 2013 by Oğuz Yarımtepe

    Bir süredir Firefox için Dephormation eklentisini kullanıyorum. SSL üzerinden bağlantı gerçekleştirmeyen sitelerde bazen Phorm Detected uyarısını görünce ve bloklanan içeriğin reklam içeriği olduğunu okuyunca TTNet için pek iyi şeyler düşünmedim.  Değişik zamanlarda yasaklanmış sitelerle karşılaşınca TTNet DNS servisi yerine ben de modem ayarlarına girip 1. ve 2. DNS olarak OpenDNS için gerekli IP adreslerini girenlerdenim. Dinamik IP sahibi birisi olarak OpenDNS ağ tanımındaki IP adresinin güncel olması için DDClient ile otomatik güncelleştirmeyi de ihmal etmiyorum. Elbette buraya kadarki durum Internet ortamında anonim dolaşmanızı sağlamıyor.

    Internet ortamında ulaşmak istediğiniz yer tarafında TTNet IP adresiniz yerine anonim bir adres gözümesini istediğiniz durumlar olabilir. Anonimlik deyince akla TOR Projesi geliyor. Tor kullanarak tarayıcınızda nasıl gezineceğinizi anlatan epey bir yazı bulabilirsiniz. Benim gibi tarayıcı ile değil de konsolda bazı işler yaparken (nmap tadında işler) trafiğin TOR ağından geçmesini istiyorsanız sanal bir makinede sizin TOR ağına geçişinizi sağlayacak bir ara makine kullanabilirsiniz.

    Virtualbox kullanıyorsanız, arayüz ayarlarında ikinci bir ağ arayüzü tanımlayıp bunun için “Host Only Interface” seçmek gerekiyor.

    VM Interface

    Sonraki adımda alıştığımız bir Linux dağımını kurmak.  Ben Ubuntu sunucu halini indirip kurmuşum.  Sanal makinedeki vboxnet0 olarak tanımlanan arayüzün Linux işletim sistemi ile bağlantısını sağlamak için köprü arayüz tanımı yapmamız gerekiyor. Bu arayüz aynı zamanda dış dünya ile olan iletişimimizde NAT olarak çalışacak ve bizim TOR ağına girişimizin olacağı arayüz olacak.

    /etc/network/interfaces dosyasını aşağıdaki gibi düzenleyebiliriz.

     

    # This file describes the network interfaces available on your system
    # and how to activate them. For more information, see interfaces(5).

    # The loopback network interface
    auto lo
    iface lo inet loopback

    # The primary network interface
    auto eth0
    iface eth0 inet dhcp
    # VirtualBox NAT bridge
    auto eth1
    iface eth1 inet static
    address 172.16.0.1
    netmask 255.255.255.0
    bridge_ports none
    bridge_maxwait 0
    bridge_fd 1

    up iptables -t nat -I POSTROUTING -s 172.16.0.0/24 -j MASQUERADE
    down iptables -t nat -D POSTROUTING -s 172.16.0.0/24 -j MASQUERADE

     

    Köprüleme komutlarının anlamlı hale gelmesi için bridge-utils paketine ihtiyaç var.

    # apt-get install bridge-utils

    Bu makine üzerinde DNS isteklerimizi yönlendirebilmesi ve diğer makineye 172.16.0.0/24 ağından IP dağıtması için de bir DHCP sunucuya ihtiyaç var. Her ikisinide dnsmasq paketi sağlamakta.

    # apt-get install dnsmasq

    /etc/dnsmasq.conf ayar dosyasını düzenlememiz gerekiyor. Sonuna aşağıdaki satırları ekliyoruz.

     

    # Include a another lot of configuration options.
    #conf-file=/etc/dnsmasq.more.conf
    #conf-dir=/etc/dnsmasq.d
    interface=vnet0
    dhcp-range=172.16.0.2,172.16.0.254,1h

     

    dnsmasq servisini başlattıktan sonra artık bu arayüze gelen DNS ve DHCP istekleri yanıtlanabiliyor olacak.

    Sadece 172’li IP sahiplerinin TOR ağına girmesini istiyor olabiliriz. Aşağıdaki gibi bir betikle bunu sağlayabilirsiniz.

     


    #!/bin/sh

    # Tora yönlendirmek istemediğiniz IP aralığı
    NON_TOR=”192.168.1.0/24″

    # Tor’s TransPort
    TRANS_PORT=”9040″

    # arayüzünüz
    INT_IF=”eth1″

    iptables -F
    iptables -t nat -F

    for NET in $NON_TOR; do
    iptables -t nat -A PREROUTING -i $INT_IF -d $NET -j RETURN
    done
    iptables -t nat -A PREROUTING -i $INT_IF -p udp –dport 53 -j REDIRECT –to-ports 53
    iptables -t nat -A PREROUTING -i $INT_IF -p tcp –syn -j REDIRECT –to-ports $TRANS_PORT

     

    Artık iç ağınızdaki aşağıdaki bir IP yapılanırmasına sahip ve resolv.conf dosyasında da 172.16.0.1 yazan bir makine TOR ağı üzerinden Internete çıkabiliyor olacak.


    auto eth1
    iface eth1 inet static
    address 172.16.0.2
    netmask 255.255.255.0
    network 172.16.0.0
    broadcast 172.16.0.255
    gateway 172.16.0.1