Bir süredir farklı araçlar üzerinden paylaştığım dataları bir şekilde birleştirmeye çalışıyordum. Dolayısıyla bu akşam bir lifestream çözümü aradım ve buldum.

Profilactic üzerinden benim online olarak paylaştığım bilgileri takip edebilirsiniz: http://www.profilactic.com/mashup/fm 

RSS ile takip etmek isteyenler http://www.profilactic.com/rss/fm adresini kullanabilir.

Genel olarak şu aksiyonları takip etmiş olacaksınız:

• Twitter
  Geyik ve günlük muhabbetler,
• The Library Thing
  Okuduğum kitaplar,
• Diigo
  Bookmarkladığım - paylaştığım siteler, her konu var.
• Google Reader
  Paylaştığım yazılar, Genelde güvenlik,
• Google Notes
  Buna yeni başladım, paylaştığım notlar, karışık, parça parça ve çeşitli konularda.

İçerikler genelde İngilizce-Türkçe değişiyor. Yakın zamanda Okuduklarım sayfasını da güncelleyip  http://www.profilactic.com/mashup/fm in bir kopyası yapacağım.

Başbakanlık sitesi hacklenmiş - daha doğrusu tekrar hacklenmiş.

Daha önceden İstanbul' da bilişim suçları konferansında devlet sistemlerinin güvensizliğinden ve bir an önce ciddi standartlar getirilmesi gerektiğinden bahsetmiştim.  İkinci konu daha önceden de bahsettiğim gibi acaba bu buz dağının görünen kısmı mı?

Web güvenliği konusunda yayınlanan hemen hemen tüm kitapları okumaya çalışıyorum ama son bir kaç aydır pek kitap okuyamadığımdan dolayı piyasayı biraz kaçırdım. Yeni web güvenliği kitaplarının hepsi beklendiği gibi daha çok AJAX, Web 2.0 ve bir çok başka benzer zımbırtı üzerine.

Genelde bu kitapların çoğu benim gibi konunun düzenli takipçileri çok faydalı olmuyor ama gene de bir şeyler kazanabiliyorsunuz.

Piyasada yeni şu kitaplar var:

• Web 2.0 Security - Defending AJAX, RIA and SOA
  Tanınan web güvenlik yazarlarından Shreeraj Shah' ın kitabı. Her ne kadar kitap genel yeni konulara değinse de maalesef RIA veya SOA benim umrumda değil, AJAX güvenlik geyikleri de biraz baydığından dolayı bu kitap bana henüz pek bir şey ifade etmiyor. Ek olarak görünen o ki kitap daha çok nasıl güvenli yaparsanıza yönelmiş ki bu da benim pek umrumda değil. Önemli olan nasıl saldırırsınız...
  
• Ajax Security
  WebInspect takımından Billy Hoffman' ın kitabı. Kitap hakkında çok güzel yorumlar olsa da sadece AJAX a eğilmesi beni pek sarmıyor. Safari books' ta varmış şimdi buldum, dolayısıyla oradan okumaya başlayacağım. Gene kitap hakkında ileride yazmaya çalışacağım.
  
• Hacking Exposed Web 2.0
  Klasik hacking exposed serisinden, muhtemelen pek güzel değil. İçerik fena gözükmüyor
  
• The Web Application Hacker's Handbook
  NGS ekibinden, ve onların stili genelde penetration testers to penetration testers. Dolayısıyla genelde güzel oluyorlar. Ek olarak çok geniş ama yeni teknolojilere pek bulaşmamışlar. Dolayısıyla daha az yeni bilgi içeriyor olabilir.

Şu an bunlar benim listemde, hangisini alacağıma henüz karar vermedim ama The Web Application Hacker's Handbook güzel gözüküyor.

Bu konu bilinen bir mevzu ama muhtemelen biraz daha detaylı incelemek gerekiyor. Her ne kadar artık insanlar tekerleği daha az keşfetse de neyin keşfedilmiş olabileceği ve neyin keşfedilmiş olamayacağı hakkında fikirlerimiz zayıf gibi. Bir kaç hafta önce kendi sitem için yeni bir blog sistemi yazmaya başladım, yeni bir blog sistemi yazmak tekerleği yeniden keşfetmenin çok güzel bir örneği ve muhtemelen gereksiz ama Wordpress ya da başka bir hazır blog sistemi kullanmak yerine kendi blog sistemimi yazıyor olmamın nedenleri başka ve başka bir yazıda onları da paylaşacağım inşallah.

Bu yeni sistemi yazarken kendi kendime yapılmış şeyleri bir daha yapmayacağımı söyledim ve olabildiğince ücretsiz kaynakları kullanarak geliştirmeyi hızlandırmaya karar verdim. Bu karar süresince gerçekten neleri hazır bulabileceğim ve neleri bulamayacağım konusunda pek emin değildim. Geliştirmeye başlayınca her adımda bunun hazırı var mıdır? Varsa nedir, benim işimi görür mü? diye düşünmeye başladım ve kendim yapmak yerine bir çok konuda farklı kaynakları kullandım.

Şimdiye kadar kullandığım kaynaklar;

• Subsonic
• Jquery
• Jquery Cookie Plugin
• Layout Gala - CSS Templates
• JQuery DatePicker
• Querystring JS
• JQuery SearchHilight 
• MarkItUp! Text Editör
• FamFam Icons
• RSS Icons
• Email Subscription Icons
• Web 2.0 Loading Images
• NET CAPTCHA
• RSS RFC822Date implementasyonu
• A Better Tag Cloud
• Diğer bir RSS İkon mekanı
• Pingback implementation
• XHTML Şablonları
• RSS Şablonları

Listede gözüktüğü gibi sadece kodlama değil geliştirmenin her noktasında bu kaynaklar çok işime yaradı. Maalesef tekerleği yeniden keşfetmemek her zaman beklendiği sonuçları getirmeyebiliyor çünkü "en iyi yol hala bildiğimiz yol", bu yüzden mesela JQuery ve SubSonic zaman zaman neredeyse geliştirmenin daha da yavaşlamasına neden oldu. Buna rağmen öğrenme süreçleri bittikten sonra diğer tüm projelerde de kullanabileceğinizden sonuç olarak projenin sonunda daha az vakit harcamış olduğunuzu farkedebiliyorsunuz.

Bu kaynakları kullanmama rağmen bir çoğu üzerinde değişiklikler de yapmam gerekti mesela Pingback kodunu sadece temel olarak kullandım, CAPTCHA yı değiştirdim, Subsonic' te ufak değişiklikler yaptım, özetle bir çoğu alıp değişiklik yapıp implemente ettiğim özellikler. Özetle artık herşeyin yapılmışı var ve kendi değerli vaktinizi harcamak yerine harcanmış vakitleri çalmak çok daha zekice.

Ne demişler "Zeki insan aklını kullanır daha zekiler ise başkalarının aklını" - Nasıl yorumlarsanız artık...

Normalde bookmark ve içerik paylaşımı için Furl' u kullanıyorum ancak maalesef Furl arşiviniz büyüdükçe daha da kullnılamaz hale geliyor, ek olarak siteyi daha iyi yapmak yerine her güncelleme de daha da kötü yapıyorlar. Bu yüzden Furl' dan başka bir servise geçmek istiyorum.

İstediğim temel özellikler :

• Sayfalardan google notebook gibi bir bölgeyi seçip not almak istiyorum,
• Bu notları basit şekilde paylaşmak istiyorum,
• Sayfaların FURL gibi tam bir kopyasını alabilmek istiyorum,
• Bu kopyaların içerisinde arama yapabilmek istiyorum,
• İstediğim kopyalar üzerine belli bölümleri seçebilemek, not alabilmek ve bunları gene aynı şekilde görsel olarak paylaşabilmek istiyorum. Bu sayede mesela benim bir blog postum üzerinden ilgili sayfaya giderseniz benim notlarımı da sayfada ilgili yerlerde görebileceksiniz.
• Sayfaları bookmarlayabilmek istiyorum,
• Bunların hepsi online olarak ulaşılabiliyor olmalı,
• Bunların hepsi Firefox üzerinde extensionlar ile basitçe olmalı,
• Tüm bu datalar etiketlenebilmeli (tag),
• Tüm bu datalar herkese açık ya da kapalı şekilde işaretlenebilmeli,
• Tüm bu datalar RSS çıktısı vermeli.

Hepsi ille de olacak diye bir şey yok ama buna en yakın sistemi kullanmak istiyorum. Ben henüz böyle bir şey bulamadım, bulabilen var mı? Ya da bunların hepsini kapsamasada benzer alternatifler sunabilecekler var mı?

Son olarak siz kendi favori sitelerinizi nasıl yönetiyorsunuz? Del.ici.ous mu? Digg mi? sadece offline mı?

Bu pek yapığım bir şey değil ama not düşmek istedim. Ciddi derecede becerikli özellikle PHP konusunda çok zekice exploitler yazan ve kimsenini bulamadığı açıkları bulan Rgod nickli hacker vefat etmiş.

We had a chat with Sid of notsosecure.com about his idea of Exploiting Internal Networks with Oracle UTL_HTTP package. As soon as he mentioned about it I thought a clone of XSSTunnel for this purpose which can tunnel any HTTP traffic through SQL Injections. Just setup your browser to use this local proxy and hang around target system's internal network, fire WebInspect and nikto against it!

There is another potential issue in here where an attacker can bypass some restrictions by abusing the trust relations and this can lead interesting vulnerabilities. For example accessing local host  in the ORACLE server can lead you an interface where you can manage stuff without a password. Nico talked about a similar issue in his Having fun with PostgreSQL paper or accessing /trace.axd in a local web application to see trace information of website even though it configured to see this information for local users only.

Nowadays I'm bloody lazy, so I'm not planning to write such a tool (at least for the next couple of months), but it'd be nice if someone build it so we can play with it...

Dün kuzenim bende onun sunucusuna Wordpress' i kurmamı rica etti, en son wordpress' i göreli yaklaşık bir sene olduğundan kurulum süreci aklımda kalmamış.

Wordpress' in kurulumu şu şekilde gerçekleşiyor :

1. Wordpress' i Upload et,
2. MySQL de veritabanı oluştur,
3. Wordpress' i başlat ve Veritabanı Bilgilerini gir

3 ölümcül derecede basit adım, bu kadar. Ek olarak kurulum o kadar zeki ki mesela size MySQL kullanıcı adın doğru ancak erişmek istediğin veritabanını bulamadık gibi detayları hata analizlerini de veriyor.

Bunun yanında bugün bir kaç test için dasblog kurmak istedim, Kurulum dokümanı 10 sayfa, kurulumu için ise varsayılan olarak sistemde bir vbscript çalıştırmanızı bekliyor ve ek olarak normal kurulum için de bir dizi entegrasyon istiyor. Bunun yanında diğer bir ASP.NET yazılımı olan ScriptTurn Wiki kurulumu şu kadar :

1. Upload et
2. Content klasöründe yazma izni olduğundan emin ol

Bir adım!

Sonuca gelirsek kendin için bir şey kodlamak ile bir şeyi dağıtacağını bilerek kodlamak arasında dağlar kadar fark var ve hazır yazılım Wordpress, Screwturn Wiki gibi olmalı. Bugün hazır web uygulama marketi çok büyük, 100 tane hazır blog, 200 tane hazır forum, 300 tane hazır CMS sistemi var. Eğer yaptığınız uygulamanın insanlar tarafından kullanılmasını istiyorsanız sistemin kurulumu dokümantasyonun okunması ile birlikte 10 dk. geçmemeli.

İki yıl önce “My Name Is Earl” ‘ e gönderi yapan bir şekilde “My Name Is Ferruh” adlı küçük kişisel bir projeye başlamıştım.

Projenin amacı şu şekildeydi,

1. Bundan sonra korsan yazılım kullanmayacağım,
2. Eskiden kullandığım tüm korsan materyallerin parasını geri ödeyeceğim.

Konu sadece korsan yazılım değil genelde şunları kapsıyor:

• Yazılım
• E-Book / E-Kitap
• Oyun
• Film

Birinci maddeninin detaylarına eğileceğim ondan önce bir kaç şeyi açıklamak istiyorum.

Korsan Yazılım Kullanmak Hırsızlıktır

Kimse kusura bakmasın ama bunun başka açıklaması yok, ben yıllarca kullandım, bunun okuyanların %90’ ının kullandığını da biliyorum ama bunun içinde büyümek ya da bunu herkesin yapması bu gerçeği değiştirmiyor, tekrarlayalım : Korsan Yazılım Kullanmak Hırsızlıktır

İroniktir forumlarda görüyorum adam kendi tasarım çalındı, kodu alındı diye ortalığı yıkarken kendisi herkesin emeğini çalıyor ve bunun kötü bir şey olduğunu da itiraf etmiyor. Korsan yazılım kullanmayı desteklemeye çalışan insanlar var, bunların bir çoğu kendi hareketlerini vijdanlarına yedirebilmek için bunu yapıyor, bu iddialar genelde şu şekilde;

· Türkiye şartlarında yazılım çok pahalı,
Evet işlemci, RAM ve Araba da pahalı, onları da çalıyor musunuz? Çalabilseydiniz çalar mıydınız?

· Amerika gibi ülkeler Türkiye gibi ülkeleri sömüyor, biz de bu yolda paramızı geri alıyoruz
Evet bizi sömürdükleri ve benzer bir dizi ülkenin dünyadaki bir dizi diğer ülkeyi sömürdüğü gerçek ama gerçekten siz onların emeğini çalarken doğru kişiden mi geri çalıyorsunuz, yoksa Amerika daki zavallının tekinden mi?

· Yazılım Parasız Olmalıdır!
O zaman açık kaynak yazılım kullanın, kaçak kullanmayın ve eğer açık kaynak yazılım sizi kurtarmıyorsa, oturun dizinizi dövün, çalmayın.

· A Yazılımı ya da B Oyunu çok çirkin zaten o para ona değmez
O para ona değmez ise ve zaten çirkinse çalmayın, oynamayın ve kullanmayın.

· Yazılım, Müzik vs. kopyalanması fiziksel bir kaynak tüketmiyor dolayısıyla yapılabilir
Diğer saçma bir argüman, eğer herkes böyle düşünseydi bu tip şeyleri üreten insanlar nasıl para kazanacaklardı?  Ya da durumun bu şekilde olması onlardan çalmanızı haklı kılıyor mu?

· Metallica zaten gırla para kazanıyor, ben niye albümlerine para ödeyeyim ki? Onlar zaten kazanmaları gerektiğinden çok kazanıyorlar.
Eğer Metallica’ nın yaptığı işi seviyorsanız müziği alır dinlersiniz, eğer kötüyse almaz ve dinlemezsiniz. Onların ne kadar kazanıp kazanmadığı sizi bağlamıyor ve çalmanıza hak tanımıyor. Eğer onların sizi sömürdüğünü düşünüyorsanız sizi sömüren bir insanın – topluluğun ürettiği bir ürüne köpek olmanın da anlamı yok, gidin başka bir grup dinlemeye başka bir oyun oynamaya başlayın.

Eminim başkalarının başka saçma teorileri vardır ama açıkçası benim bu işi yaparken tek motivasyonum vardı ve hala da o motivasyonu sürdürüyorum.

Başka bir insanın hakkını yememek.

Dolayısıyla siz her ne kadar ben korsan yazılım kullanarak dünya barışını koruyor, 3. Dünya Savaşına engel oluyorum deseniz de bu yukarıdaki gerçeği değiştiremeyeceksiniz. Eğer zaten bu umurunuzda değilse, hırsızlık sizin için normal bir şey demektir ki buna diyebileceğimiz tek şey var : Allah ıslah etsin.

Tekrar not etmek gerekirse bu projenin yegane amacı dini olarak yaptığımın hatalı olmasıydı ama eminim ki dini kısmı kendini bağlamayan bir çok kişi de etik olarak ya da Earl gibi Karma’ ya dayanarak yaptığı işin yanlış olduğunu farkına varmalı.

Neler Yaptım?

Herşeyden öte her istediğimi yapamadım, zaten iki yıl gibi bir sürede yapabilmeyi de beklemiyordum ama racon ağızı ile “2 Yıldır Temizim”. Yani korsan yazılım ya da herhangi bir korsan materyal kullanmıyorum (sanırım bir kaç özel durum oldu ama aklımda olan bir şey yok). Bu projenin birinci amacıydı, bunu başardım ve durumu da böyle tutmaya çalışıyorum. Projenin ikinci ve daha da zor adımı ise eski kullandıklarımın hepsini ödemekti. Bunu yapabilmek için uzun bir liste çıkardım, liste temel olarak 4 ana kategoriden oluşuyordu. Yazılım, kitap, oyun ve Müzik. Bu listelerde gayet uzundu...

Herşeyden önce mantık dahilinde bunların hepsini direk satın almamın pek mümkün olmadığını farkettim ve pek de yerinde bir hareket olmayacağını farkettim. Çünkü genelde bir film sadece bir defa izleyip siliyordum, oyunları genelde 5 gün kadar oynuyordum ve yazılımların bir kısmını da sadece bir süre kullanıp atıyordum.

Dolayısıyla direk satın almak yerine kiralama ile ödemeyi de seçeneklerim arasına aldım.

1. Öncelikle Babylon ve Outpost Firewall gibi hep kullandığım ama hiç parasını ödemediğim küçük yazılımları satın aldım,
2. Sonra 5-15$ civarı olan listemdeki oyun, kitap ve filmleri satın aldım. Fight Club, Fallout I-II-Tactics, Swat 4, Age Of Empires serisi, Fifa, Kitaplarından Stealing The Network serisi, Hacking the Code, Perfect Password vs.
3. Bundan sonra aboneliklere başladım. Safari O’Reilly’ ye 1.5 yıl kadar abone olup ödeme listemdeki tüm kitapları yaklaşık birer ay kişisel listemde tutmaya başladım, Napster da 2 yıl boyunca üye kalıp müzik arşivimi kapamaya çalştığım. Olmayan albümleri fiziksel olarak almaya başladım, Metaboli üzerinde 1 yıl kadar kalığ oyunları indirdim ve oradaki oyunları ödediğimi saydım.
4. LoveFilm’ deki DVD aboneliğim üzerinden ve Block Buster’ dan bir sürü filmi sipariş edip evde bir gün bekletip geri gönderdim.

Buradaki bir çok abonelik sisteminden Entellektüel İhtiyaçları Online Karşılama yazımda bahsetmiştim.

Özetle kendi çapımda ödemelerimi yaptım, maalesef bu tam beni tatmin etmedi nitekim hala iki temel sorun var:

1. Piyasa Değeri
   Bundan daha önceden bahsetmiştim, Film, kitap, oyun ve hatta yazılım genelde vakitler oranla fiyat değiştiren materyaller. Ben listemi öderken oyunların çoğunu komik rakamlara aldım. Yeni oyunlar 30£ iken benim aldıklarım 5£ gibi fiyatlaraydı. Çünkü bu oyunlar artık popülerliğini kaybetmişti ama ben korsan olarak oynarkenki değerleri yüksekti. Bu nasıl çözülür bilinmez, şimdilik elimden gelen budur tadında yaklaşıyorum ki yeterli değil tabii ki.
2. Helallik
   Normal şartlar altında birinin hakkına girdiyseniz kendisinden hellalik almanız gerekiyor. Ne yapalım şimdi, Bill Gates’ e e-mail atıp hakkını helal etmesini mi isteyeceğiz?
   Hayır etmezse ne yapacağız, sisteminde güvenlik açığı buluruz diye tehdit mi edeceğiz?

Sonuç olarak proje kendi hayatımda bir şeylerin değişmesine ve ruhsal açıdan taşıdığım çuvallardan birini bırakmama neden oldu, bu yüzden ben sonuçlardan memnunum. Proje tam bitmedi çünkü hala Visual Studio Professional, Windows, SQL Server, Photosop gibi büyük yazılımlarla ilgili sorunlarım var. Bu yazılımların bir çoğu sadece kurumsal pazara yönelik olsa da beleş diye biz hep bunları kullandık! Eğer zamanında bunlara para ödeyeceğimi bilseydim bunların alternatif ya da light versiyonlarını kullanırdım, çünkü onlar benim istediklerimi karşılıyor. Ancak biz bedava diye gittik “Home” kullanmadık “Pro” kullandık, bedavası olan yazılımlar yerine gene de paralısını kaçak kullandık, çünkü işimize geldi.

Legal Yazılımın Avantajları ve Dezavantajları

Legal yazılım ile ilgili en büyük problem legal yazılımın sizi rahatsız etmesi, illegal yazılımın ironik şekilde daha iyi çalışması. Bu konudan daha önce Get a license then grab your pirated copy yazımda bahsetmiştim. Özetle lisanslı Windows sizin işletim sisteminizi telefon ile aktive etmenizi istiyor, internete girdiğinizde eve arayıp ben geldim lisansım bu diyor, oyunlar sisteminize saçma sapan sürücüler yüklüyor, Sony sisteme rootkit koyuyor... Özetle sizi gıcık edebiliyor. Bu yüzden komik şekilde lisansız yazılım daha iyi çalışabiliyor.

Legal yazılımın avantajlarına gelince bariz bir avantaj var o da crack aramamak ve tabii ki vasat kullanıcılar açısından bakınca crack’ lerin %90’ ının virüs, trojan olması da başka bir sorun. Dolayısıyla crack vs. için harcayacağınız vakitte yazılımı satın almak bazen daha mantıklı olabiliyor.

BSA ve Benzer Konular

Her ne kadar illegal yazılımı desteklemiyor ve tamamen karşısında olsam da BSA gibi kanunsuz kurumların ve saçmalıkların da tamamen karşısında olduğumu belirtmem önemli.

Bundan Sonra

Kaldığım yerden devam etmeye çalışacağım, bir çok açık kaynak kodlu yazılım çoğu konuda işimizi görüyor ve eğer bir yazılım gerçekten iyiyse ve bana yardımcı oluyorsa parasını ödemekte bir sorun yok. Zaten bilgisayar konusunda profesyonel olan kişiler bu tarz ufak giderleri işine yatırım olarak görmelidir.

Açık Yazılım Bunun Neresinde?

Bu konu Açık Yazılım tayfasının “höttörrrö, ben geldim, işte bu anı bekliyordum”, “ben size demiştim!” diyeceği konulardan biri. Her ne kadar öyle olsa da kendilerine bu rantı vermek istemiyorum, biraz agresif gözükebilir ama ben yazılımın açık kaynak kodlu ama ücretli olmasından yana biriyim.

Ücretsiz yazılım ya da ticarete dökülmemiş açık kaynak kodlu yazılım, ölmeye mahkum yazılımdır, ya da network yazıcısını tanıtmak için iki gün harcadığınız yazılımdır. Bu konu uzar gider o yüzden bu kısım hakkında yorum yapmayın, her zamanki klasik muhabbetlerden birine girmenin anlamı yok.

Ve tekrar hatırlatmam gerekir ki yazılım için para ödenmeye gocunmayın.

Siz Ne Yapabilirsiniz?

En basitinden gerekmedikçe illegal yazılım kullanmayabilirsiniz, bu sayede saçma nedenlerden dolayı elinizi kirletmiş olmazsınız, adım hala Ferruh...

Web sitelerinde genelde atlanılan ancak bir çok script kiddie ve potansiyel saldırgan tarafından kötüye kullanılan olaylardan biri sunucu tarafından uzun ve ağır işlem yapan sayfalara çok fazla istek yaparak sisteme DoS saldırısında bulunmaktır. Genelde arama sayfaları, ağır listeleme sayfaları ya da kötü bir kod bunun için biçilmiş kaftandır.

Bu aralar Subsonic ile oynuyorum, muhtemelen .NET için en iyi ücretsiz ORM sistemidir, sayfalama yapmak için PageIndex diye bir parametre var , temel olarak veritabanından data çekerken kaçıncı sayfada olduğunuzu tespit ediyor. Dolayısıyla sayfaları onar onar listelerken kaçıncı onluk listesinde olduğunuzu belirtiyor. Tuhaf olan şu ki PageIndex' e değer olarak -1 verdiğinizde sistemden tüm dataları geri döndürüyor, dolayısıyla PageSize parametresindeki limiti de geçmiş oluyorsunuz. Bu sayede sistem bir anda 5000 kayıdı SQL Server' dan çekmeye çalışabilir.

Özetle eğer geliştirici bu datanın numerik aralığını kontrol etmez sadece numerik olduğunu kontrol ederse, bir saldırdanın -1 değeri vermesi kötü sonuçlara neden olabilir. Nümerik kontrolü yetmeyecektir çünkü -1 de geçerli bir nümerik değer. Sonuç olarak sisteminize giren datanın tam olarak beklediğiniz gibi olduğundan emin olun ve API' lara gözü kapalı güvenmeyin.