1) Make a backup of your database before making any of the following changes.

2) On the Enforce Server: Stop the VontuManager and VontuIncidentPersister services.

3) Log into SQLPlus as the DLP user (default: protect).

For deleting system event between a specific date; (NOT Incidents)

4) delete from systemeventWHEREeventdate >= TO_DATE(’01-JAN-13′, DD-MON-YY) ANDeventdate <= TO_DATE(’01-JAN-15′, DD-MON-YY);

5) commit;

For deleting agent event between a specific date; (NOT Incidents)

1) Make a backup of your database before making any of the following changes.

2) On the Enforce Server: Stop the VontuManager and VontuIncidentPersister services.

3) Log into SQLPlus as the DLP user (default: protect).

4) select count(*) from systemeventWHEREeventdate >= TO_DATE(’01-JAN-13′, DD-MON-YY) ANDeventdate <= TO_DATE(’01-JAN-15′, DD-MON-YY);

5) truncate table agentevent;

6) comitt;

 

 

20 Kritik Güvenlik Kontrolü Versiyon 6.1

On 28/03/2016, in Genel, by Specialist

Siber savunma olarak adlandırabileceğimiz şeyin evriminde artık büyüleyici bir noktadayız. Büyük veri kayıpları, fikri mülkiyet hırsızlığı, kredi kartı ihlalleri, kimlik çalınması, mahremiyetimize ilişkin tehditler, hizmet reddi – bunların tümü hepimiz için siber alanda bir yaşam biçimi halini aldı.

Siber Güvenlik Konseyi 2013 yılında bağımsız, uzman, kar amaçlı olmayan bir kuruluş olarak, açık bir Internet’in güvenliğine yönelik küresel bir kapsamla kurulmuştur.

Konseyin amacı Kritik Kontrollerin sürekli gelişiminin, desteklenmesinin ve benimsenmesinin sağlanması; siber güvenlik işgücünün yetkinliklerinin artırılması; ve siber alanda emniyetli, güvenli ve güvenilir bir şekilde çalışabilme yeteneğimizde ölçülebilir gelişmelere yol açan politikaların geliştirilmesidir. Ek bilgi için aşağıdaki adresi ziyaret ediniz (www.counciloncybersecurity.org)

Versiyon 6 neler Değişti

  • Yönetici Hakları Kullanımı’na ait Kontrol önceliği 12’inci Sıradan 5’e yükseltildi.
  • Güvenli Ağ Mühendisliği Kontrol Maddresi (Maddde 19) Silindi
  • E-Posta ve Ağ Tarayıcı Koruma Kontrol Maddesi 20 Kritik Kontrol Maddeleri arasına  7’inci sıradan giriş yaptı.
  • Hızlı Kazanımlar Kategorisi yerini Sistem,Ağ, Uygulama grup kontrolleri ile değiştirildi.Center for Internet Security Critical Security Controls olarakta adı değişti.
The Critical Security Controls for Effective Cyber Defense Version 6.1 ‘de  Temel ve Gelişmiş olmak üzere iki seviye katogeri eklendi. Alt kontrollerde herhangi bir değişiklik yapılmadı.

www.cisecurity.org/critical-controls/documents/CSC-MASTER-VER61-FINAL.pdf.

 

 

 

 

SMTP Strict Transport Security (SMTP-STS)

On 24/03/2016, in Genel, by Specialist

İleri Gelen Eposta Servis sağlayıcılarının(Google, Microsoft, Yahoo, Comcast ve LinkedIn) daha güvenli mesajlaşma isteği üzerine yeni Şifreli e-posta protokolü taslağı yayımlandı. SMTP-STS

Güvenli mesajlaşmak için kullanılan TLS mimarisinde SMTP-STS yapısında gönderilecek sertifikanın doğruluğu kontrol edilecek. eğer hatalı bir durum var ise mesaj gönderilmeden uyarı mesajı gelecek.

örnek kayıt;
_smtp_sts IN TXT ( “v=STS1; to=false; ” “rua=mailto:sts-feedback@example.com ” )

 

 

 

You need fist activate support account

smtp1> set-support
Warning: Do NOT execute this script without explicit direction from a Symantec
Customer Support person.
Changing password for user support.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
User support enabled until 03/04/2016.

After Login to CLI use support account

[support@smtp1 ~]$ openssl s_client -connect aztec.brightmail.com:443

CONNECTED(00000003)
depth=3 C = US, O = “VeriSign, Inc.”, OU = Class 3 Public Primary Certification Authority
verify return:1
depth=2 C = US, O = “VeriSign, Inc.”, OU = VeriSign Trust Network, OU = “(c) 2006 VeriSign, Inc. – For authorized use only”, CN = VeriSign Class 3 Public Primary Certification Authority – G5
verify return:1
depth=1 C = US, O = “VeriSign, Inc.”, OU = VeriSign Trust Network, OU = Terms of use at https://www.verisign.com/rpa (c)10, CN = VeriSign Class 3 International Server CA – G3
verify return:1
depth=0 C = US, ST = California, L = Mountain View, O = Symantec Corporation, OU = Symantec IT Security, CN = aztec.brightmail.com
verify return:1

 

VBoxManage registervm /home/selim/VirtualBox\ VMs/cuckoo1/cuckoo1.vbox

 
You can download the new Tomcat distribution here: http://tomcat.apache.org/download-70.cgi#7.0.64

Here are the steps to upgrade Apache Tomcat on management server.

1. Stop Data Insight services:
	From the command prompt, issue the following command:
	
        net stop DataInsightConfig
        net stop DataInsightComm
	net stop DataInsightWeb
        net stop DataInsightWatchdog
	net stop DataInsightWorkflow
	net stop DataInsightPortal

2. Backup previous <INSTALL_DIR>/DataInsight/portal_tomcat/conf/server.xml & <INSTALL_DIR>/DataInsight/portal_tomcat/conf/tomcat-users.xml.
3. Backup previous <INSTALL_DIR>/DataInsight/portal_tomcat/webapps/*
4. Delete <INSTALL_DIR>/DataInsight/portal_tomcat/*. 
5. Copy new tomcat distribution to <INSTALL_DIR>/DataInsight/tomcat. Make sure it’s the same major version as the previous one. E.g. 7.x.
6. Delete <INSTALL_DIR>/DataInsight/portal_tomcat/webapps/* 
  <INSTALL_DIR>/DataInsight/portal_tomcat/conf/server.xml 
  <INSTALL_DIR>/DataInsight/portal_tomcat/conf/tomcat-users.xml 
   from new distribution.
7. Replace files backed up in step 2 and 3.
8.Start Data Insight services:
	From the command prompt, issue the following command:
	
        net start DataInsightConfig
        net start DataInsightComm
	net start DataInsightWeb
        net start DataInsightWatchdog
	net start DataInsightWorkflow
	net start DataInsightPortal
 

Raspberr PI + 3GModem + PortSniffer

On 30/12/2014, in Genel, by Specialist

Çok ayrıntıya girmeden Yaptıklarımın özetini çıkartmak istiyorum;

RaspberryPI için işletim sistemi olarak
http://downloads.raspberrypi.org/raspbian_latest
raspbian kullandım.

Öncelikle Windows için Win32DiskImager’ı (binary) indirmek gerekiyor. İmaj’ın Nasıl atılacağını
http://www.raspberrypi.org/documentation/installation/installing-images/README.md adresinden bulabilirsiniz.

raspi-config içerisinden expand_rootfs yapıp 8GB micro usb belleğin tamamını kullanabiliyorsunuz.
dpkg-reconfigure keyboard-configuration komutu ilede klavyenizi türkçe olarak ayarlayabilirsiniz.
apt-get update
apt-get upgrade
apt-get install vim
apt-get install lynx
apt-get install autossh

USB 3G Modem calismasi içinde

apt-get install sg3-utils
vim /etc/udev/rules.d/10-Huawei.rules

aşağıdakileri yapıştırdım.

SUBSYSTEMS==”usb”, ATTRS{modalias}==”usb:v12D1p1F01*”, SYMLINK+=”hwcdrom”, RUN+=”/usr/bin/sg_raw /dev/hwcdrom 11 06 20 00 00 00 00 00 01 00″

Network Ayarları için
vim /etc/network/interfaces

konfigurasyon dosyasına aşağıdaki parametreleri girdim.

allow-hotplug eth1
iface eth1 inet dhcp

cihazı reboot ettikten sonra konsoldan ip aldığını kontrol ettim.
lsusb komutu ile bakıldığında
the Huawei Technologies nin 12d1:14db olması lazım 12d1:1f01 değil.

Amazondan geçiçi kiraladiğimiz Linux ipsine reverse ssh bağlatısını /etc/rc.local başlangıç dosyasının içine ekledikten sonra artık heryerden 3G bağlantısını otomatik yapan raspberrypi cihazına ssh hazır hala geldim.

chmod -R 700 /etc/tunnel
chmod 600 /etc/tunnel/selim.pem amazon Linux için ssh sertifikasi

chmod 700 tunnel.sh

tunnel.sh script içeriği

#!/bin/bash
set +e
SSH_OPTIONS=” -i /etc/tunnel/selim.pem”
# Always assume initial connection will be successful
export AUTOSSH_GATETIME=0
# Disable echo service, relying on SSH exiting itself
export AUTOSSH_PORT=0
#to test, use (check out man ssh for explanation of options:
autossh -vv — $SSH_OPTIONS -o ‘ControlPath none’ -R 9091:localhost:22 ec2-user@50.4.5.2 -N > /var/user_sshlog.out 2> /var/user_ssh_error.out &

 

 

reverseshell

Artık Amazon Cloud üzerindeki sunucudan ssh -p 9091 root@localhost komutu ile cihaza her yerden bağlanamabilirim.

Tabi bütün bu zahmet asıl amacım için bir ön hazırlıktı;

RaspberryPI için uyumlu bir usb ethernet dongle ile birlikte artık iki adet ethetnete sahib olduğuma göre bu iki etherneti. inbount outbound olarak ayarlayabildim ve bu şekilde snifflemek istediğim hatta seri bağlamam yetti monitor etmek içinse colud üzerindeki sunucudan cihazima ssh ile bağlandım.

ifconfig eth0 0.0.0.0
ifconfig eth2 0.0.0.0
brctl addbr bridge0
brctl addif bridge0 eth0
brctl addif bridge0 eth2
dhclient bridge0
ifconfig bridge0 up
FullSizeRender
 

Install Snipping Tool use PowerShell

On 10/12/2014, in Genel, by Specialist

PS C:\Users\Admin> Import-Module ServerManager
PS C:\Users\Admin> Add-WindowsFeature Desktop-Experience

 

(SSIM) v4.7.4 or v4.8.x vulnerable

On 08/10/2014, in Symantec, by Specialist

Is Symantec Security Information Manager (SSIM) 4.8.x vulnerable to the “POODLE” vulnerability (CVE-2014-3566)? Symantec is planning to address this issue in the next Security Patch (SP6) for SSIM 4.8.1. In the meantime we recommend customers to use the FIPS operational mode detailed this documentHERE

Is Symantec Security Information Manager (SSIM) v4.7.4 or v4.8.x vulnerable to CVE-2014-6277, CVE-2014-7169, CVE-2014-7186 and CVE-2014-7187?  There are hotfixes that deals with the bash Shellshock vulnerability that can be downloaded from this document HERE

Is Symantec Security Information Manager (SSIM) affected by the Heartbleed OpenSSL vulnerability (CVE-2014-0160)?  The current information for this vulnerability is in the document linked HERE.  There is a hotfix that deals with ReverseHeartBleed vulnerability that can be downloaded from this document HERE

 

SSIM service and servlet debug logging switches

Article URL http://www.symantec.com/docs/TECH85647

Debug logging can put a significant load on the SSIM environment and may have a significant impact on SSIM performance. We recommend turning debug logging off as soon as the log information has been created.

You can find forget debug logging on proterties file use simple linux command;

find /opt/Symantec/simserver/ -name log4j.properties | xargs grep –color -v “#” | grep –color -r “DEBUG”

Ekran Resmi 2014-08-11 11.06.24