İçeriğe atla

Güvenlik

FBI Sosyal Ağları (Facebook,Twitter v.b.) nasıl takip etmek istiyor

Bugün takip ettiğim internet sitelerinde FBI’ın Sosyal ağları takip ettirmek için hazırlatmak istediği program haberi geldi. Bu linkten (PDF dosyası) kaba hatlarıyla nasıl bir program yazdırmak istediklerinin genel çerçevesi belirtiliyor.

Facebook hesabımı neden kapattığımı soranlara, “bundan 15 yıl sonra, yazdığın bir şeyin, gönderdiğin bir dosyanın hatırlatılmasından hoşlanır mısın?” dediğimde anlam veremiyorlardı ama işin aslını düşündüğünüz zaman ve arkanızda ne kadar çok bilgi bıraktığınızı değerlendirdiğinizde Facebook’tan aldığınız karşılığında verdiğiniz arasında büyük bir uçurum bulunuyor. Eğer 5-10 yaşlarında çocuğunuz varsa, artık bütün çocukluğu, ergenliği, gençliği, bekarlığı ve evliliği sanal ortamda dolayısıyla bu ortamları izleyen, gözleyen, takip eden ve kaydeden insanların elinde bulunuyor. Bu insanların arasında yabancı ve yerel devlet kurumları, istihbarat kuruluşları, sosyal ağlar üzerinden bilgi satın alıp size mal satmak isteyenler, sigortacılar, bankacılar aklınıza ne geliyorsa. Sizin belki profilinizde bulunduracağınız bir nüshayla değil en azından 10’larce belki 100’lerce nüshasını gerektiğinde kullanılacak şekilde katlanmış, kolalanmış şekilde arşivliyorlar.

Facebook’un “Gizlilik şartnamesi” ile ilgili yaptığı ilk değişiklikten sonra hesabımı sildim (2009). O değişiklikte şunun mealinde bir ifade geçiyordu:

“Facebook sunucularına gönderilen bilgiler, sunucularımızın fiziksel olarak bulunduğu datacenter’ımızın bulunduğu alana girdiği an, mülkiyet hakkı Facebook’a geçmiştir”

Yani bilgisayarınızdan Facebook’a gönderdiğiniz bir karakter, bir harf, bir isim, bir resim, ne olursa olsun, onların sunucularına girdiği an bütün mülk hakkı onlarındır ve sildirtme, kaldırtma gibi görsel olarak hakkınız bulunsa da, bu bilgilere sadece sizin ve arkadaşlarınızın erişimini iptal etmek suretiyle size göstermeyip kendi sunucularında muhafaza etme hakkı tamamen kendilerine ait ve buna karşı söyleyebileceğiniz-yapabileceğiniz hiçbirşey yok.

Benim saklayacak birşeyim yok diyenlerdenseniz, en yakın arkadaşlarınızla en son ettiğiniz kavgayı ve akabinden kendisiyle özel paylaştığınız sırlarınızı başka kimseyle paylaşıp paylaşmayacağıyla ilgili hissettiğiniz o huzursuzluğu hatırlayın ve 10’la katlayın, işte onun karşılığı Facebook, Twitter ve diğerlerine tekabül ediyor.

Acizane tavsiyem, kendi hesabınızı, ailenizi ve EN ÖNEMLİSİ küçük çocuklarınızı en acil tarafından Facebook’tan koparın.

Email hacking

Merhaba sevgili arkadaşlar;
Bir çoğunuz forumlarda “msn hack programi” , “tek tik ile msn hacking” gibisinden başlıklar görürsünüz. Aslında “mail hack” diye bir şey yoktur. Kullanıcının hatasından dolayı oluşan güvenlik zaafiyetinin kötü insanlar (!) tarafından kullanılması vardır.

Mail adresini yaz sonrasında “şifreyi kır” butonuna basarak mail şifresi al gibisinden bir açıklama ile tanıtılan/tartılan bir program yoktur – olmayacaktır – olamayacaktır. olsa bile çalışmıyordur , kötü emeller için yazılmıştır. Bunu bilinçsiz kullanıcılara anlatmak için çoğu web adminin dilinde tüy bitmiştir damağı patlamıştır.

Ama hala “mail hack” diye sağda solda yazılar yazan-yardım arayan bir sürü insan vardir ve gün geçtikçe bu kişiler çoğalmaktadır.

Bir kullanıcıya iyi kodlanmış bir trojanı gonderip ; hedefin bilgisayarında aktif hale gelmesinden sonra msn şifreleri ve bunun yanında tum konuşmaları size mail olarak gelebilir. bu bir hack degildir. sonuçta usta bir programcının yazdıgı bir program ile trojan server oluşturmuş ve karşı tarafa göndermişsiniz sonrasında şifreleri calmışsınız. bu sizin başarınız degildir bu trojan serverı uretmek için kullandıgınız programı yazan coder’in başarısıdır.

Unutmayalım ki bu coder’in başarısı onu hiç bir zaman gerçek bir hacker yapmaz. cunku gercek bir hacker olmak için iyi bir programcı olmak yetmiyor.daha fazlası ve cok daha fazlası gerekli…

Fake mail konusuna gelince;
genelde 13-14 yasındaki kisilerin veya bilgisayarı hiç bilmeyen bir kullanıcının zaafiyetinden dolayı ortaya çıkan bir “şifre çalma” yöntemidir. Aksini söyleyen olsa dahi bu böyledir. Çünkü fake mailin profesyonellik ile alakası yoktur.
Yöntem; basitçe geliştirilmiş bir hotmail.com anasayfasının ( yahoo , icq vs.vb. ‘da olabilir. ) kullanıcıya art niyetli bir şekilde kodlanmış halini göndermek ve sonrasında kullanıcının mail adresini – şifresini yazıp giriş yapmaya çalışması ile mailin sizin istediğiniz bir mail adresine gelmesinden başka bir şey degildir. Bir trojanı hedefe gönderip gereken şifrelerini almak nasıl ki hack degilse fake mail yöntemi ile şifre çalmak da hack degildir.

Bu gün bu tür düşünceler ile yola çıkmış insanlar ileride hacker olmamasına rağmen hack ile iyiden iyiye ilgilenmiş kişiler tarafından lamer olarak anılır. ve ileride hacking’de başarılı olsa dahi geçmişi her zaman kötü görülür. Zaten bir mailin şifresini çalıpta okulda, sokakda,internet kafede “ben bir hackerım” diyenlerin tamamı kendini tatmin etmek için , arkadaslarına hava yapmak için veya kendi özel sorunlarını açıklığa kavusturmak için uğrasıyor.

Bu yazıyı yazma nedenim mail hack diye bir şeyin olmadığını yeni başlayan kullanıcılara anlatmaktır. Bu bakımdan “ahmet’in mailini hackledim” tabiri yanlıştır.

Şahin Ataş tarafından email olarak gönderilmiştir.

Hacklenen MSN’i geri almak

Sitemize hotmail şifrelerini unutanlar, çalınanlar gibi birçok kişiden mesajlar geliyor. “Şifremi unuttum lütfen yardım edin” , “Hotmail şifrem çalındı lütfen yardım edin” gibisinden. Arkadaşlar, hotmail hesaplarına şifre girişi haricindeki tüm girişler yasa dışıdır ve suçtur. Şifrenizi unuttuysanız ilk yapmanız gereken ” Parolamı unuttum ” linkine tıklamaktır. Orada size sunulan iki yol ile de şifrenizi alamadıysanız yapabileceğiniz tek şey ” Yardım ” bölümüne girmek ve oradaki yönergeleri izlemek.Tabi ki siz de hackerlık yöntemleri biliyorsanız kendini hackleyip şifrenizi alabilirsiniz bu yol da var 🙂

Çok fazla mesajlar geldiği için seyirci kalmak istemedim. Sizin için biraz araştırma yaptım. Ama gördüğüm kadarıyla oldukça yoracağa benziyor bu yol sizi. Evet bir yol var yok değil. Ama çok meşakatli. Araştırırken bir sitede bununla ilgili bir yazı buldum. Yazıyı yazan kişinin de mail şifresi çalınmış ve nasıl geri aldığını bizlerle paylaşmış. Teşekküerlerimi ileterek yazısını sizlere iletiyorum. Yalnız şöyle bir durum var malesef. Hotmail’in ne yazık ki yardım bölümünde Türkçe destek yok. Biraz ingilizcenizi konuşturmanız gerekecek. Yazıda sizlere yardımcı olacak birkaç açıklama mevcut. Gerisi size kalmış. Yorucu olacak sizin için ama başa gelen çekilir 😉

“Şifremi unuttum yardım edin” gibisinden mesaj yazan arkadaşlara, ne yazık ki elimizden birşey gelmeyeceğini bir kere daha vurgulamak istiyorum. İşte o yazı.. Dikkatli okuyunuz.

  • Öncelikle www.hotmail.com adresine girin.
  • E-posta adresinizi soran kısmın sağ üst köşesindeki “yardım” linkine tıklayın.
  • Sağda açılan yardım penceresinin en altındaki madde olan “bize başvurun” linkini tıklayın.
  • An itibariyle Türkçe servis çalışmadığından, karşınıza gelecek olan dil seçeneklerinden “İngilizce Birleşik Devletler” linkini seçin.
  • Sol taraftaki seçeneklerden ” Microsoft Passport Network (now Windows Live ID” yazan linki tıklayın. (Direkt linki burada)
  • Bu sayfada karşınıza çıkacak olan formu doldurun. Şu şekilde,
  1. Hotmail adresinizi alırken girdiğiniz adınız ve soyadınız.
  2. Yardım için beklediğiniz yanıtın gönderilmesini istediğiniz email adresiniz.
  3. Hacklenen email adresiniz.
  4. “Select the option that most closely matches your problem.” yazan yerdeki “Please select an option” yazan bölümden “I need to know how to do something.” seçeneğini seçin. Daha sonra “Report a security issue” ve “my email address has been taken over” seçeneklerini işaretleyin.
  5. Altındaki kutucuğa derdinizi ingilizce olarak yazın. Örnek: (ben böyle yazmıştım, siz nasıl uygun görürseniz öyle yazın.) To whom it may concern; My email xxxx@hotmail.com has been taken over by someone. Obviously, it is hacked. I need my password reset ASAP in order for me to get my email address back. This is quite urgent for I have very important contacts and information stored in my account. Awaiting your prompt response, Selin Çağlayan.
  6. “Frequency of the issue” yazan bölümden “first time” seçeneğini seçin.
  7. “How do you access your account” sorusuna “computer” olarak yanıt verin.
  8. “Who is your ISP” sorusuna “MSN” yanıtını verin.
  9. “Type of internet connection” bölümünde kullandığınız İnternet servis sağlayıcınızı belirtin. Örnek “DSL”
  10. “Have you recently installed any new software (if you enter yes please add more comments in the text box above)?” sorusuna “No” yazın. Bilgisayarınıza yeni program yükediyseniz de boşverin, no yazın siz.
  11. “Submit” butonuna tıklayın.
  • Şimdi MSN adresinizin hacklendiğini rapor etmiş oldunuz. Gelecek yanıtı bekleyin. (yanıt cevap gönderilmesini istediğiniz emaile gelecek. Bazen junk ya da spam klasörüne gidiyor, onları da kontrol edin. Bu yanıt bazen yarım saatte, bazen de bir gün içinde geliyor. Bekleme aşaması sinir bozucu evet, düşünüyorsunuz “şimdi acaba bu benim ağzımdan kimlerle muhabbet ediyor” diye ve sinir katsayınız tavan yapıyor. Olsun, beklemekten başka çare yok bu aşamada. Ben cuma gecesi rapor ettim, yanıt cumartesi sabah geldi.
  • Evet, 945703495. kez emailinize kontrol ettiğinizde sonunda beklenen yanıtın geldiğini görüyorsunuz. Bana gelen yanıtı aynen yazıyorum buraya: (ama öncesinde başka bir email geliyor, size diyor ki eğer hesabınıza kayıt olurken alternatif bir email adresi verdiyseniz, o adrese şifre yenileme emaili gönderebilirsiniz falan filan. Ben vermiştim alternatif email ama hangi emaili verdiğimi ve şifresini hatırlamıyordum. Eğer böyle bir adres belirtmediyseniz cevap yazın diyordu emailde. Ben şöyle yazdım: I dont remember which address i provided you with, so we’d better reset the password by your assistance.) Neyse bana gelen ikinci emaili yazıyorum: Dear Selin,Thank you for writing to Windows Live ID Technical Support.My name is Eileen Jill and I understand how disturbing it is to know
    that someone compromised the security of your account. I recognize how
    inconvenient this situation can be for you so I am here to help you get
    this issue straightened out.For us to investigate your concern, we will need your cooperation by
    verifying your account ownership. To do this, please provide the
    following information completely and accurately:1. The first and last name (adınız soyadınız)
    2. The sign in name you are having difficulties with (hacklenen adresiniz.)
    3. Your date of birth in the form “month/date/year” (doğum tarihiniz ay, gün ve yıl olarak.)
    4. Your country or region (ülke ve şehir bilgileriniz.)
    5. Your state (ilçe)
    6. Your ZIP or Postal Code (posta kodunuz.)
    7. The approximate date of the last time you successfully signed in (hacklenen emailinizi kullanabildiğiniz en son tarih)
    8. The exact Microsoft Passport Network site you last visited on your
    last successful sign in (Example: MSN Hotmail, MSN Messenger, MSN Chat,
    MSN Games) (MSN servislerinden en son hngisini kullandınız? Muhetmelen Hotmail ya da messengerdır.)
    9. The approximate date you registered the account (Hacklenen adrese kayıt olduğunuz yaklaşık tarih-kesin bir tarih belirtmeniz gerekmiyor, ben 3 ya da 4 yıl önce yazmıştım.)
    10. A list of as many personal folders you have created in the account (email hesabınızda oluşturduğunuz klasör isimleri)
    11. The name of your current Internet Service Provider (ISP) and any
    past ISPs you have used (bu adrese bağlanırken kullandığınız en son internet servis sağlayıcınız ve daha önce kullandıklarınız.)* An ISP is a company that provides an end user with a connection to
    the Internet and other similar services, such as e-mail. Examples
    include MSNIA, EarthLink, and Comcast

12. The name of the organization that you access the Internet from, if
you access the Internet from outside your home (bir şirketten bağlanıyorsanız şirketin adı. Evden bağlanıyorsanız ev yazın.)
13. The IP address for each computer that you use for the account (bu adrese bağlandığınız bilgisayarların IP numaraları. IP numarasını öğrenmek için aşağıdaki linke tıklayın, orada yazar.) * An IP address is a code made up of numbers separated by three dots
that identifies a particular computer on the Internet (Example:
222.222.22.0). You can determine your IP address for each computer by
visiting http://www.whatismyip.com/ . Upon visiting the site, your IP
address should be displayed at the topmost center of the page.When we receive and verify this information, we can give you the
information that you need to reset your password. We look forward to your response soon.Sincerely,Eileen Jill
Windows Live ID Technical Support

    • Yukarıda benim parantez içinde yazdıklarımı belirtecek şekilde sorulan soruların yanıtlarını içeren bir maili onlara cevap olarak gönderin. Ben şu şekilde yazdım: Dear Eileen,To begin with, I appreciate your prompt response. I really need this to be
      straightened out. Below you may find the answers to your questions. I hope
      I can get a reply soon. 1. The first and last name
      Selin Çağlayan (as i registered)
      2. The sign in name you are having difficulties with
      xxxxxxx@hotmail.com (SeliŞ was my nickname)
      3. Your date of birth in the form “month/date/year”
      September/26/1979
      4. Your country or region
      Turkey/İstanbul (I am not sure if i registered it this way though, as it
      sometimes gave errors in the past and made us register as someone from
      another country. But you may confirm by my IP address i think)
      5. Your state
      İstanbul
      6. Your ZIP or Postal Code
      34830
      7. The approximate date of the last time you successfully signed in
      August 17, 2006 (in the evening it was working. It was not working on the
      18th of August in the evening when i returned from work.)
      8. The exact Microsoft Passport Network site you last visited on your
      last successful sign in (Example: MSN Hotmail, MSN Messenger, MSN Chat,
      MSN Games)
      MSN Messenger. I used to sign in to messenger everyday with this account.
      9. The approximate date you registered the account
      I am not exactly sure, but I had been using this account for over 3 or 4
      years.
      10. A list of as many personal folders you have created in the account
      I dont think i have created that many folders in my inbox, but i can
      provide you with some of the contacts on my messenger list. Also i used to
      get many emails from sites that i subscribed for, such as Javascript.com
      and other web design based sites.
      xxxxx,
      xxx, xxxx, xxxx, xxxx. (listemdeki insanların isimlerini yazdım) These people were on my contact list.11. The name of your current Internet Service Provider (ISP) and any
      past ISPs you have used
      ADSL
      12. The name of the organization that you access the Internet from, if
      you access the Internet from outside your home
      I always used to access my msn address from home. My phone number is
      xxxxxx. You may call for further details, if there are any i can
      provide you with.
      13. The IP address for each computer that you use for the account
      xxxxxxxxxx (IP adresimi yazdım) (it says this is my IP address when i visit the site mentioned below.)I hope you reply soon with my details to help me reset my password. And
      what do i do in order to prevent my address from being hacked once more?
      This is urgent as my contacts include important people, and if this person who hacked me sends them inapproppriate
      messages they will think its me and this is like DISASTER! (The other msn
      addresses i sign in from this address are xxxxx@hotmail.com and
      xxxxx@hotmail.com.Also, can we find out who this person is? That hacked me i mean. I am not going to do anything, just wanna know and be cautious. THANK YOU VERY MUCH. Please contact me ASAP!
  • Sonrasında biraz önce şifremi sıfırlamama yardımcı olacak bir email geldi. Aynen şöyle: Hello selin@selincaglayan.com:You recently asked to reset your Microsoft Passport Network password by e-mail.
    Follow the instructions below to reset your password, or to cancel your password
    reset request.TO RESET YOUR PASSWORD:1. Select and copy the following Internet address. (aşağıda belirtilen linki browserınıza kopyalayıp yapıştırın. Yani bu adrese gidin kısacası.)Burada linki vermişlerdi.

    2. Open a browser, paste the link in the address bar, then press Enter or Return on
    your keyboard. T
    hank you, Microsoft Passport Network Customer Support
  • Şimdi bu mailde Eileen arkadaşımızın söylediği gibi, verilen linki kopyalayıp browserınıza yapıştırın ve entera basarak siteyi ziyaret edin. Tabii öncelikle bütün temporary internet files denen cookieleri, geçmiş ziyaretlerinizin kayıtlarını filan silin ki, bilgisayarınızdaki bilgiler sıfırlansın.
  • Karşınıza hacklenen email adresinizi doğrulamanızı isteyen bir sayfa çıkacak. Buraya çalınan adresinizi yazın.
  • Daha sonra yeni şifre oluşturmanızı isteyecek olan bir sayfaya yönlendirileceksiniz.
  • Şifrenizi oluşturun ve ikinci kez girerek doğrulayın.
  • Bitmiştir. Geçmiş olsun.
  • Tabii hemen sonrasında gizli soru ve yanıtınızı da değiştirin. Email adresinizdeki ve MSN listenizdeki detayları kontrol edin. Değiştirilmişse eski haline getirin.Hacker arkadaşımız bayağı uğraştırdı beni ama sonuçta bu akşam adresime girmeye çalıştığında hayal kırıklığı yaşayacak. Hehehehe.

Yazı Selin Çağlayan’a aittir.

MSN’im hacklendi

MSN’im hacklendi ve MSN Şifremi Unuttum yazıları en çok ziyaret edilen yazılardan. Ama gariptir ziyaret edenler; yazıda yazılanları ve bırakılan yorumları okumak yerine ‘msnim hacklendi, msn şifremi çaldılar’ diye fevaran edip ‘ben kendi söküğümü dikmem gel sen dik’ yorum yazdıkları yazılar oldu. Tabi ben bu yazıları yazmaktan ve bildiklerimi paylaşmaktan mutluyum ama hergün 10’a yakın yorum silmekten gına geldi. A4 ebatında 3-4 sayfayı bulacak yazı ve bilgi bulunduğu halde, halen yorumlarda msnim hacklendi lütfen geri alın, msnimi patlattılar beni kurtarın diye soranlar var ve bu durum beni resmen çileden çıkartıyor.

Bu durum yazmak istediğim meselenin bir yanı. Diğer bir yanı ise. MSN’im hacklendi ama nasıl olur? kim yapabilir? nasıl hacklenmiş olabilir mi? gibi sorulara cevap bulabilmek en azından bunu bulmaya çalışanlara fikir vermek.

MSN’ininiz hacklendiği zaman şüpheleneceğiniz şeyler şunlar olmalı:

  1. MSN’e girmek için kullandığını bilgisayarlar
    Kendi bilgisayarınız, internet cafe, başkasının internetini kullandığınız zamanlar. Bunların hepsi birer ihtimal. Nasıl? Bilgisayar kullanmasını çok iyi bilmeyen kullanıcıların gördüğü herşeye tıklamasından dolayı (bilhassa erkekler) mp3, warez ve porno sitelerinden akın akın trojan (truva atı) ve worm (solucan) lar yükleniyor bilgisayarlara. Bu programlar, birer robot gibi sahipleri nasıl programlandıysa yeni yuvalandıkları yerde üstlerine düşen herşeyi yerine getirirler. Keylogger (klavye raporlayıcı) sayesinde klavyede bastığınız bütün tuşları, ekran görüntülerinizi, sisteminizin ip adresini, network şifrelerini yani aklınıza gelebilecek bütün herşeyi kaydetme yeteneğine sahiptirler. Eğer MSN’inize girdiğiniz bilgisayarda öyle bir program yüklüyse yapabileceğiniz tek şey, en kısa sürede msn şifrenizi ve gizli soru/cevap değiştirmek. Sadece msn şifrenizi değiştirmeniz yeterli değil çünkü bu kişiler ileride şifrenin değiştirilme ihtimaline karşı gizli soruyu yada cevabını değiştirirler. Şifreyi değiştirip kurtulduğunuzu düşündüğünüz sıralarda onlar gizli soruyla arka kapıyıp açıp tekrar girerleri içeri.
    Şöyle birşey diyebilirsiniz, ben sadece kendi bilgisayarımı kullanıyorum bazen de amcamın bilgisayarını kullanıyorum o kadar. Kim benim şifremi çalmak istesinki? Bunu derken bilgisayarınızda antivirüs, antispyware, firewall var mı? Sisteminizi periyodik olarak tarayan ve hergün güncellemesini yapan bir koruma programı var mı? Yoksa amcam ne yapsın benim şifremi olayı değil, hem amcanız hem siz aynı sıkıntıyı yaşıyorsunuz demektir.
  2. Gizli sorunuzun cevabını başkaları bilebilir mi?
    Tahmin edilebilir bir gizli soru, hangi takımlısın? babanın göbek adı? annenin kızlık soyadı? bunları akraba olup akrep modunda yaşanların kullanıp şifrenizi kolaylıkla alabileceği sorulardır.
  3. MSN email adresinizi ve şifrenizi veya sadece msn şifrenizi (emailinizi vermeden) başka bir türkçe siteye üye olmak için kullandınız mı?
    Satılık DB – Forum siteleri kişisel bilgilerinizi satıyor yazısında yazdığım gibi türkçe site sahipleri forum Databaselerini satıyorlar. Eğer türkçe forum sitelerine üye olurken msn adresinizi ve şifrenizi verdiyseniz artık yalnız değilsiniz 🙂
  4. Şu linkte şöyle güzel birşey var bi baksana?
    MSN’de konuştuğunuz arkadaşlardan şu adrese bi baksana diye link aldınız mı? Bu linke tıkladığınız zaman MSN adresinizi ve şifrenizi girmeniz istedi mi? Adres kısmında açıkca: hotmail.com yada msn.com gördünüz mü? aahotmail.com değil, bbmsn.com değil. Birebir hotmail.com veya msn.com görmelisiniz.
  5. MSN’den resim / dosya alışverişi yaptınız mı?
    Yeni eklediğiniz birilerinden resim yada mp3 aldınız mı? Şu aralar bilgisayarına virüs bulaşan kişilerin bilgisayarlarından ‘fotolarıma bi baksana nasıl çıkmışım’ diye bir mesajla ‘.zip’ dosyaları gönderiliyor. Bunlardan kabul ettiniz mi?

5 soruluk bir liste oluşturdum. Bu sorular benim size cevap vermem için değil, sizin msniniz neden hacklendiğini anlamanız için soracağını sorular. Bu yazıya da, msnim hacklendi, msn şifremi değiştiremiyorum, msnime bomba düştü filan gibi yorumlar gelmeye başlarsa, Yoruma kapatmayı düşünüyorum. Onun için lütfen rica da bulunmayın eğer mantıklı ve bu yazıyı okuyan kimselere faydası olacak bir öneriniz varsa yazmaktan de çekinmeyin.

MSN’iniz hacklenmeden önce alabileceğiniz önlemler:

  1. MSN arkadaşlarınızı yedekleyin:
    Arkadaşlarınızın kontak bilgilerini periyodik olarak yedekleyin ve gerçekten güvenilir olduğuna inandığınız bir yerde saklayın. Yapacağınız şey çok basit, başıma gelmez demeyin. Arkadaş listenizi indirdikten sonra yahoo adresinize yada güvenli bulduğunuz başka bir email adresinize gönderebilirsiniz.
    MSN kontak
  2. Bilgisayarınıza Antivirüs, Antispyware ve Firewall kurun:
    Antivirüs olarak yaklaşık 5 yıldır kullandığım AVG Antivirüs programını kullanmanızı şiddetle tavsiye ederim. Ücretsiz versiyonu bir ev kullanıcısının isteyeceği bütün özelliklere sahip. Bilgisayarıma 1996 yılından sonra ilk defa 2002 yılında virüs girdi, o da Norton Antivirüs programına bulaştırılmış bir virüs ile geldi:) 2002 yılından beri AVG kullanıyorum ve şeytan kulağına kurşun bir sıkıntı yaşamadım.
    Antispyware için Ad-Aware 2007 ücretsiz ve güzel bir alternatif. Bunun yanında Microsoft’un Windows Defender’i da alternatif olabilir.
    Firewall olarak Zonelabs’in (israil firması Checkpointe ait) Zonealarm’ın Zonealarm Firewall kullanabilirsiniz.

MSN hacklemelerine ve İnternet Güvenliğine Emniyet El Koydu

KOMTartışmasız, Türkiye’de herkesin kullandığı anında mesajlaşma (IM) programı MSN. Hal bu olunca bu işin kalpazanlığı, sahtekarlığı bir tonu ortaya çıktı. ‘MSN’im hacklendi‘ yazısına bırakılan yorum sayısı yayınlamayı kabul etmediklerimle yüzleri bulmuştur. Bu rakama benimle birebir irtibat kuran, msnimi ekleyen kişileri eklemiyorum bile. Bu konuda gerçekten çok büyük bir açık vardı ve Emniyet Genel Müdürlüğü dünyada örneğine henüz rastlamadığım çok güzel bir çalışma yaparak, KOM (Kaçakçılık ve Organize Suçlarla Mücadele Daire Başkanlığı) hizmetini devreye sokmuş. Örneğine rastlamadığım derken, ABD’nin, Avrupadaki ülkelerin (bilhassa İngiltere) halkını bilgilendirmek için kurdukları siteler bulunuyor ama MSN konusunu özel olarak ele alan ve MSN’i hacklenen kişiler için:

ADLİ BOYUT
Bilişim suçları kapsamında değerlendirilen MSN adres ve şifresinin hacklenmesi ve devamında nitelikli dolandırıcılık suçu şikayete bağlı bir suç türüdür. MSN Hırsızlığından mağdur olan vatandaşlarımızın şikayetçi olduğu konular ile ilgili elde edebildiği tüm deliller ile birlikte en yakın Cumhuriyet Başsavcılığına müracaat ederek şikayetçi olabilir, ayrıca www.kom.gov.tr adlı internet adresimize ihbar edilebilir.şeklinde değerlendirme yapan bir kuruma henüz rastlamadım.

Devletimizin böyle bir çalışma yapması, bilgisayar ve internet eğitim seviyesi yeterli seviyeye ulaşmamız halkımızı bilgilendirecek pratik bilgileri sunması çok gerekliydi. Bunun Emniyet Müdürlüğünün tarafsızlığıyla yapılması daha da güven veriyor. MSN hacklenmesi ve güvenliğiyle ilgili neler yapılabileceğini bundan önce birkaç yazıyla değerlendirmiştim ama kom.gov.tr verildiği gibi önlemler listesi hazırlamamıştım, sitelerinde yayınladıkları MSN Üzerinden Kontör Hırsızlığı yazılarından alıntı yaparak burada yer vermek istiyorum:

  • İnternet dünyasında %100 güvenliğin hiçbir zaman sağlanamayacağını unutulmamalıdır. Bu yüzden MSN kullanıcıları şifrelerini ve bilgilerini sürekli güncellemeleri gerekmektedir.
  • MSN şifresi, en az 10-12 haneli olarak belirlenmeli ve rakamların yanında harfler ve semboller de kullanılmalıdır.
  • MSN adresleri için seçilen gizli soru MSN hırsızlarının cevabını bulamayacağı zor bir soru olmalı ve soruya verilen cevap unutulmamalıdır. Gerekirse soru ve cevap bilgisayar dışında farklı bir ortama kaydedilmelidir.
  • Kontör şifresi istekleri ile kredi kartı numarası ve internet hesap bilgisi veya banka hesap bilgisi gibi taleplere şüpheyle yaklaşmalıdır.
  • Chat ortamında tanışılan kişilere şahsınız, aileniz, adres, telefon, işiniz v.s. konularda şahsi bilgilerinizi vermekten sakınınız.
  • Mail adreslerinize gelen spam ve trojan içerebilecek şüpheli mailler “en yakın arkadaşınızdan gelmiş olsa bile” kesinlikle açılmamalı ve silinmelidir. Gerekirse maillerin geldiği şahıslar aranarak teyit edilmelidir.
  • MSN yoluyla gönderilen web adreslerine girilirken dikkatli olunmalı, eposta adresi ve şifre ile giriş yapılmamalıdır.

Bu liste ana hatlarıyla şifre güvenliği konusunu gayet güzel açıklasa da benim de eklemek istediğim bir nokta da bulunuyor. Satılık DB – Forum siteleri kişisel bilgilerinizi satıyor yazısında detaylı olarak anlattığım husus, türk forum siteleri ve üyelik kabul eden türkçe sitelerinin bir kısmı şifrelerinizi muhafaza ediyorlar. “MSN DB’sini hackledim o şekilde msnini hackledim”, “şu programı kullanarak msnini hackledim” filan diyen kalpazanlar, ya kurbanlarının bilgisayarına trojan, keylogger gibi zararlı programlar atıp bilgilerini çalıyorlar yada üye oldukları siteye verdikleri msn şifresiyle aynı şifreyi alıp hesaplarına girip bilgilerini değiştiriyorlar. Önlem listesine benim eklemek istediğim madde:
MSN, Yahoo ve önemli olduğuna inandığınız internet hesaplarınızın şifresi tek olmalı. Başka sitelerde (bilhassa türkçe forum sitelerinde) o şifreyi ve bilgilerinizi kullanmamalısınız.

Bilgisayar ve internet kullanmaya yeni başladıysanız ve kendi kendinize nasıl güvenlik önlemleri alabileceğinizi merak ediyorsanız, altta linklerini verdiğim yazıları okumalısınız:

Hack Ve Korunma Yolları
Şifre Seçimi ve Güvenliği
İnternet Bankacılığı ve İnternetten Alışveriş
Virus Nedir? Korunma Yolları Nelerdir?
Kredi Kartı Kullanımında Dikkat Edilmesi Gereken Konular
Uyarılar & Öneriler

Bu yazıların yanında Bilişim Güvenliğinin hukuki durumunu öğrenmek istiyorsanız:

BİLİŞİM SUÇLARI HANGİ KANUN KAPSAMINA GİRER?

Benim okuduğum önemli kısımlar:

MADDE 243. – (1) Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren ve orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî para cezası verilir.

MADDE 244. – (1) Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır.MADDE 245. – (Değişik:08.07.2005/25869-5377/27.md.) (1) Başkasına ait bir banka veya kredi kartını, her ne suretle olursa olsun ele geçiren veya elinde bulunduran kimse, kart sahibinin veya kartın kendisine verilmesi gereken kişinin rızası olmaksızın bunu kullanarak veya kullandırtarak kendisine veya başkasına yarar sağlarsa, üç yıldan altı yıla kadar hapis ve beşbin güne kadar adlî para cezası ile cezalandırılır.

Türk toplum ve aile düzenini çok yakında ilgilendiren ‘ahlaksız yayın yapan türkçe sitelerle ilgili‘ cevap:

  • 18 yaşından küçük kişilere ait pornografik görüntü içeren verilerin yayınlanması TCK 103 ve 224 maddesi gereği suçtur.
  • 18 yaşından büyük kişilere ait cinsel içerikli görüntülerin yayınlanması ise şikayete tabidir. Diğer taraftan bahse konu suç türleri Emniyet Genel Müdürlüğü Asayiş Daire Başkanlığının görev alanına girmektedir.

Sanal Banka Mağdurları

Yapı Kredi Bankası ve Hırsızlık yazısına bırakılan yorumlardan Sanal Banka Mağdurları diye bir sitenin ve aslında Sanal Banka Mağdurları diye bir derneğin var olduğundan haberdar oldum. Derneğin kuruluş tarihi 05.11.2006 olarak gözüküyor yani senesini doldurmamış ama sitelerinde yer alan şikayetlerin sayısına baktığınız zaman 1500’ün üstünde şikayet aldıklarını görüyorsunuz. Sitelerini biraz daha incelediğiniz zaman aynı dertlerden muzdarip birçok kişinin şikayetleri yer alıyor. Sanal Banka Mağdurları listesinde verilen ‘Kayıp’ değerlerini topladığınız zaman kabaca çıkan sonuçlar;
255,716 YTL + 7,975 USD + 10,000 EURO + 1 mahkumiyet
Arada belirtilmeyen değerleri de bu listeye eklerseniz toplam çıkan sonuç 300,000 YTL. Sanal banka zedelerin ortak noktası maalesef neredeyse hiçbirisinin parasını geri alamaması, hatta onu bırakın karşılarına çıkıp adam gibi bilgi veren bir yetkili bile bulamıyorlar. Burada bir noktayı ayırt etmek de gerekiyor tabi. Hırsızlık sonucu oluşan zarardan birebir muhatap olduğunuz banka çalışanlarının bir sorumluluğu bulunmuyor. Onlar kendilerine çizilen çerçevede yardımcı olmaya çalışıyorlar. Sıkıntı çoğu zaman onların görevlerini kötüye kullanmalarından değil sistemin işleyişinden kaynaklanıyor. Bankalar sanal şubeleriyle ilgili hiçbir sorumluluk kabul etmiyorlar ve devlet bu konuda onlara herhangi bir yaptırım uygulamıyor. Böyle olunca da fatura yine bize yani halka çıkıyor.
Garanti Bankası bugün itibariyle en çok şikayet edilen banka olarak ilk sırada yer alıyor. Şikayetlerin çoğu bundan önce yazdığım Garanti bankası Sahtekarlığında yeni moda başlıklı yazıyla birebir örtüşüyor. İkinci sırada Yapı Kredi Bankası 471 şikayetle bulunuyor ki son kontrol ettiğimde bu sayı 70-80 civarındaydı. Yaklaşık 1-2 hafta gibi bir sürede bu sayı 5-6 katına çıkmış durumda. Yapı Kredi Bankası bilhassa Koç grubuna geçtikten sonra sanal bankacılık sitelerindeki güvenlik önlemlerini: ‘bu kadar şifre olmasından müşterilerimizden şikayet var’, ‘şu güvenlik önleminin olmasından müşterlerimiz şikayetçi’ gibi bahaneler uydurarak internet bankacılığıyla ilgili bundan önceki grubun almış olduğu güvenlik önlemlerini kaldırdılar. Sonuç olarak Yapı Kredi mağduru sayısı 1-2 hafta gibi bir sürede 5-6 katına çıkmış durumda. Yapı Kredi bankası internet bankacılığını kullanan birçok müşteri şu anda güvenlik olarak bir sıkıntı yaşayabileceklerinin farkında değil. Şikayette bulunan birçok kişi de bunun farkında değildi ama maalesef bunun bedelini hesaplarında bulunan paraları kaptırarak ödediler. Burada acı durum, Yapı Kredi Bankası olsun Garanti Bankası olsun, çalınan paraların nereye gittiğiyle ilgili tam bilgi vermemeleri. Paralar kuş olup uçmuş gibi ‘maalesef beyfendi/hanımefendi elimizden birşey gelmiyor, alın burada hesabınıza giren kişilerin IP listesi, burada da paraların aktarıldığı kişiler, yargıya başvurun!’ şeklinde elinize 2-3 sayfalık raporları tutuşturuyorlar. Sanki hergün internet bankacılığı hesabınızdan para çalınıyormuş gibi sizden bununla ilgili takibatı yapmanızı istiyorlar. İşin müşteri olarak üzen tarafı; bir önceki gün hesabınıza girdiğiniz zaman aylardır belki yıllardır alınterinizle kazandığınız paralar dururken, bir gün sonra hesabınız sıfırlanıyor. Bu paraların sizin hesabınızdan alınıp hırsızların hesabına aktarılmasına bir manada aracı olan bankalar ise hiçbir sorumluluk kabul etmiyorlar.
Son olarak eğer Garanti Bankası müşterisi iseniz, Garanti Bankası mağdurlarının açtığı forum sitesine sitesine bi göz atın. Eğer herhangi bir bankanın internet bankacılığını kullanıyorsanız Sanal Banka Mağdurları websitesini en kısa zamanda ziyaret etmelisiniz.

Garanti Bankası: 916 (1 mağdura ödendi)
Yapı Kredi Bankası: 471 (1 mağdurun parası ödendi..)
Akbank: 42
İş Bankası: 17
Oyakbank: 13
Vakıfbank: 13
Koçbank: 12
Ziraat: 5
TEB: 5 (3 mağdurun parası ödendi..)
Finansbank: 4 (1 mağdurun parası ödendi..)
Şekerbank: 3
Kuveyt Türk: 2 (1 mağdurun parası ödendi..)
HSBC: 1 (mağdurun parası ödendi..)
Denizbank: 1
Fortis Bank: 1
Tekfenbank: 1
Halkbank: 1
Turkishbank: 1
BankAsya: 1

Microsoft yine ŞAKA gibi

Microsoft her ayın ikinci haftası salı günlerinde güvenlik güncellemeleri yayınlıyor. Çok önemli açıklar olduğu zaman bu duruma istisnalar olabiliyor ama birkaç yıldır bu takvimi benimsemiş gözüküyorlar. Mutad güncellemelerinden bir tanesini 2 gün evvel salı gününde yaptılar. Bütün dünyada Windows kullanan, otomatik güncellemesi açık olan, internete bağlı legal windowslar bu güncellemeleri otomatik olarak indirip, kurulumu gerçekleştirip hatta bilgisayarı yeniden başlattılar. Tabi microsoft’un yaptığı şaka gibi hata güncellemeler yayınlandıktan sonra ortaya çıktı. Bu güncelleme paketinde Microsoft Office 2000 ve XP için 6 tane yama bulunuyordu ama bu yamaların kendilerininde yamanmaya ihtiyacı vardı. Dolayısıyla bir hatayı kapatalım derken daha büyük bir hata yaptılar ve şu anda Office kullanıcıları için ‘zararlı bir word dosyasını açmaları halinde sistemlerinin kontrolünü atak yapacak kimseye teslim etmelerini sağlayacak’ yeni bir açık ortaya çıkartmış oldular. Yani bilgisayarınızın başındasınız, bir arkadaşınızdan yada bir email grubundan word dosyası geliyor, nedir ne değildir diye bakayım derken sisteminizde başka birisinin yazdığı kod parçacıkları devreye giriyor ve onlar ne istiyorsa bilgisayarınız onu yapmaya başlıyor. Danimarkalı güvenlik sitesi Secunia.com bu açığı ‘extremely critical’ (aşırı derecede kritik) nitelerken, Microsoft çok az sayıda atak tespit edildiğini belirtiyor. Yeni tespit edilen açık ile atak yapan kişi gönderdiği word dosyası ile hedef sistemde istediği kod parçacığını çalıştırabiliyor. İşin ciddi boyutu ise, word dosyasını göndermenin yanında Outlook gibi Word’ü kullanan email alıcıları, email içine gizli dosyalarla bu açıktan etkilenebiliyor. Secunia’dan, Thomas Krinstensen ‘bu açığın kullanılmasının ve atak yapılmasının gayet kolay’ olduğunu belirtiyor.
Haberde bahse edilen başka bir noktada çok önemli. Microsoft’un açıklarla ilgili güvenlik güncellemelerini mutad olarak ayların ikinci haftasının salı günlerinde yayınlaması, hackerların o zamanlarda aktivitelerini katlamalarına neden oluyor. Yeni yayınlanan güncellemeleri hemen mercek altına alan hackerlar, tespit ettikleri güvenlik açıklarıyla gözlerine kestirdikleri sistemlere hemen saldırı düzenleyip atağın durumuna göre hedef sistemleri kontrolleri altına alabiliyorlar.
Son söz, Microsoft yine şaka gibi tam gaz devam ediyor 🙂

İnternetin temel direklerine saldırı

İddialı bir başlık ama internetin üstüne kurulu olduğu en büyük temel: ‘isimlendirme hizmeti’ (domain name services). Domain name, url olarak bildiğimiz sonofnights.com, google.com v.s. gibi içinde isim (sonofnights, google) ve uzantı (.com, .edu, .gov) olan internetteki isimlerdir.
İsimlendirme (DNS) servisi farklı katmanlardan oluşuyor. Biyoloji dersinde ekolojik sistemi anlattıkları besin zinciri piramidini andıran bir sistem üzerine kurulu bu hizmet, en üst seviyede ‘Root Server’ la temsil ediliyor. Aşağıda en son kullanıcıdan, en üstte root serverlara kadar giden hiyerarşiyi görebilirsiniz.
dns domain nama services hiyerarsi
Bugün sabah saatlerinde, DNS (domain name services) katmanlarının en üstünde bulunan ve dünya üzerinde 13 tane olan root serverlardan iki tanesine DoS (denial of service) atak yapılarak internetin genel olarak yavaşlatılmaya çalışıldı haberi SecurityFocus‘da yayınlandı. Bu serverlar bir firma veya organizasyon tarafından kontrol edilmiyor. Amerika topraklarında olanları, Amerikan Savunma Bakanlığının koruması altında bulunuyor. Habere göre; G ve L sunucularına yapılan bu ataklardan dolayı, yapılan sorgulardan yaklaşık olarak %90’ına cevap verilemez hale geldi. Haberde, iki tane sunucunun haricinde üçüncü bir sunucudan da bahsediliyor ve bu atakların o sunucuyu da ciddi şekilde etkilediğinden ifade ediliyor.

Aşağıda küçük halini verdiğim resime tıklayak, root serverların dünya üzerinde dağılımlarını görebilirsiniz.
Root servers

Yapı Kredi Bankası ve Hırsızlık

Yapı kredi bankası (YKB) internet bankaciligiyla ilgili ABD’ye dönmeden 1 gün evvel gercekten yuh dedirtecek bir sahtekarlığa şahit oldum. Yapı Kredi bankasının çok eksiği olduğunu düşündüğüm bu konuyu buradan yazmak ve bankanın diğer müşterilerini uyarmak istedim.

Bu sahtekarlığa maruz kalan ve mağdur olan kimseler firma sahipleri ve kullandıkları internet hesabı da firma hesabı, kişisel hesap değil. Olay şu şekilde gelişiyor. Kurban bayram ertesi, hafta sonu cumartesi (6 ocak) günü akşam saatlerinde ilgili firmanın internet bankacılığı hesabına kullanıcı adı ve şifre girilmek suretiyle giriş yapılıyor. Kullanıcı adı ve şifre hırsızların eline nasıl geçti bilinmiyor. Bu hesaptan 18 defa 6 kişinin hesabına 950 YTL aktarılıyor. Toplam hasar 18.000 YTL (eski birimle 18 milyar). Bu paralar aktarıldıktan sonra tahminimiz muhtelif ATM’lerden paraların transfer edildiği kişiler tarafından bir güzel çekilip, ortadan kayboluyorlar. Firma sahipleri bu durumun farkına pazartesi varıyorlar ve hemen Yapi Kredi ATMYapı Kredi bankasını arıyorlar. İlgili departman konuyla ilgili rapor hazırlıyor, bu raporda

-Hırsızlığı yapanların IP adresi
-Bağlanma tarihleri
-Para aktarılan kişiler

gibi bilgiler bulunuyor. Yapı Kredi bankası verilen bu bilgilerle, savcılığa gidip IP adresi ve bağlantı zamanını eşleştirerek Türk Telekomdan telefon numarasının tespitini ve telefonun üstüne olduğu kişiden bu hırsızlığın hesabını sormaları gerektiğini söylüyorlar.

Bunu söylerken göz önünde bulundurmadıkları noktalar:

-İnternet cafeler: Önüne ilk gelen internet cafeden bağlanıp bu işlemi gerçekleştirebilir
-Kablosuz ağlar (wireless): Artık çok yaygın. Bilinçsiz kullanımdan dolayı maalesef şifresiz birçok access point ve router bulunuyor. Herhangi birisinden bağlanıp, bu işlemi gerçekleştirmiş olabilir.
-Proxy, IP hider v.s. araçlar kullanarak ta Tanzanyadaki bir bilgisayar kullanıcısın interneti kullanarak bu bağlantıyı kurmuş olabilir.

Bunun yanında, mağdur olan firma sahipleri Yapı Kredi bankasından haklı olarak şu bilgileri talep ediyor:

-Paraların aktarıldığı hesaplar gerçek kişiler mi? (Çalıntı kimliklerle hesap açılma ihtimali)
-Bu hesaplardan bundan önce veya sonra para akışı olmuş mu? (Hırsızlık ve sahtekarlık amacıyla mı kullanılıyor, yoksa normal bir vatandaşın hesabı mı?)
-İrtibat bilgileri? (Namuslu vatandaşlar olma ihtimali ve paraların geriye alınabilmesi durumu için)
-Aktarılan paraların en son hangi ATM’den çekildiği? Parayı çekerlerken ATM’lerde bulunan güvenlik kameraları tarafından kişilerin fotoğraflarının çekilip çekilmediği?

Bu talepler Yapı Kredi bankasına iletiliyor ama irtibatta oldukları müdür raporda verdikleri bilgilerden öte hiçbir bilgi veremeyeceklerini ayrıca paranın tazmininin Yapı Kredi bankası tarafından mümkün olmayacağını belirtiliyor. Paranın tazminini yapmadıkları halde istenilen bilgileri vermemeleri en azından paraların aktarıldığı kişilerle ilgili araştırma yapmaya yanaşmamaları çok rahatsız edici. Bu yaklaşımla internet bankacılığını kullanan müşterilerin banka tarafından hiçbir güvencesi bulunmuyor demektir. Örneğin bilgisayarınızdan yanlışlıkla yüklediğiniz bir program nedeniyle yada başında bulunmadığınız 5dk. bir sürede bilgisayarınıza yüklenmeden bile çalıştırılabilecek programlarla şifrelerinizin çalınması halinde, Yapı Kredi bankasının size vereceği tekşey 1 sayfalık IP adresi raporudur.

18 milyar gibi bir meblağ, paranın kimin tarafından alındığının bile bilgisi verilmeden toz olup uçuyor ve Yapı Kredi bankası bununla ilgili ne bir araştırma yapmaya yanaşıyor ne de tazminat vermeyi kabul ediyor.

Bir başka yazıda Yapı Kredinin ve Türkiye’de internet bankacılığının eksiklerinden bahsetmeyi düşünüyorum ama Yapı Kredi bankası – firma – hırsızlar arasında cereyan eden olay bu bankanın müşterileri için çok kötü bir örnek teşkil ediyor.

Satılık DB – Forum siteleri kişisel bilgilerinizi satıyor

Satılık DB : bir veritabanı satışı söz konusu. Bugün türk webmaster forum sitelerinde dolaşırken, forum sitesini satmayı planlayan bir webmastera verilen cevabı gördüm ve sizle paylaşmak istedim:

DB’yi Zaten 150 YTL’ye Falan Satıyor Millet O Tür Bir Forumun.Biraz Daha Ekle ya Az Çok hiti de Var.Gerçi Adam Bi de Domaine Para Verecek Neyse İnşallah İstediğin Gibi Satış Yaparsın

Bunun üstüne google’dan “satilik db” diye yaptığım arama da, çıkan sonuçlar:

www***** sitesinin database ini satıyorum ilgilenen arkadaşlar
50 ytl istiyorum DB için. 4000 üyeyi geçik üye var isteyen girip bakabilir…

Bir diğeri:

Ayri bi konu acmak istemedim konu kirliligi olmasin diye bende de bir db var isterseniz…
db boyutu : 395 mb
Konular: 19,115, Mesaj: 91,227, Üyeler: 56,000
Fiyati : 300 YTL

Bir diğer mesaj:

20 Bin Mesaj ve 4 Bin Konu Bulunuyor.Üye Sayısı 2 Bin.

Bu insanlar alenen sizin, benim email, şifre ve diğer bilgilerimizi spam amaçlı canlı email isteyen kişilere satıyorlar. Bu satışın ucunda, şifre bilgisini çalmaya çalışan kimseler olması da gayet muhtemel. Bundan önce şifre güvenliği ile ilgili Şifremi Unuttum – Forgot Password konulu yazıda bahsettiğim, şifre ve email güvenliği konusunda site sahiplerinin yaptıklarına paralel olması nedeniyle çok önemli bir konu.

Siz aradığınız bir mp3’ü yada başka bir konuyu google’dan araştırırken ilgili forum sitesiyle karşılaşıyorsunuz. Mesajı buluyorsunuz fakat görüntülemek için foruma üye olmanız gerekiyor. İyi olup kurtulalım diyip, üye oluyorsunuz mesaja ulaşıyorsunuz ve mp3’ü indiriyorsunuz. İndirdim diye sevinirken, email adresinize türkçe spam emailleri yavaştan gelmeye başlıyor. Neden? O forum sitesinin sahibi, DB’sini spam için aktif email kullanıcısı arayan kişilere uygun bir fiyata satmış! Bu DB’de sizin IP adresiniz (bulunduğunuz ülke) email adresiniz girdiyseniz doğum tarihi, cinsiyet v.s. bilgiler bulunuyor. Daha da kötüsü, sanal alemde 1 tane email ve şifre kullanıyorsanız, forum sahibine email ve şifrenizi de kendi elinizle teslim etmiş oluyorsunuz.

Mantar gibi türeyen türk forum sitelerine üye olan binlerce kişi var. Belli başlı forum siteleri haricinde, rastgele önünüze gelen forum sitelerine kayıt olmanızı kesinlikle tavsiye etmiyorum. Ahlaki değerlerini kaybetmiş siteler ve site sahipleriyle ilgili yapılabilecek birşey söz konusu değil maalesef. Sizin yapabileceğiniz, forum siteleri için ayrı bir kimliğe bürünmek. Farklı email adresi, farklı şifre, farklı isim kullanmak.

Sacis Expo 2006 Bilişim Güvenliği Fuarı

“Geçtiğimiz ay” diyerek başlamayı düşündüğüm bu konunun üstünden bir ay geçtikten sonra ancak yazabiliyorum. Türkiye’de yaygınlaşmakta olan bilişim güvenliği ile ilgili faydalı ve güncel konuların ele alındığı SACIS Expo 2006 Bilişim Güvenliği ve Denetimi Konferansı gerçekleştirildi. Katılan bir arkadaşım sayesinde sunumlara göz atma imkanı buldum. Sunum yapan kişi ve firma temsilcilerinin, alanlarında profesyonel olmaları ve hazırladıkları sunumların, bu alandaki eksiklere çok iyi temas etmesinden dolayı bence faydalı bir fuar olmuş. Sunumları çok faydalı bulduğum için fuara bu sene katılamayanlar veya bu konulara ilgi duyup kaynak bulamayanlar için buraya eklemeye karar verdim.

Hackingde Dünya Rekoru – iSKORPiTX

Evet yanlış duymadınız, hackingde dünya rekorunu bir türk kırdı. Geçtiğimiz hafta hackerların, hangi siteleri ve nasıl hack ettiklerini dünyaya duyurdukları zone-h sitesinde bir haber yayınlandı. Şu anda haberin online versiyonu nette çıkmıyor ama google cache’inden haberi okuyabilirsiniz. Habere göre hosting bazlı hackingte bir rekor kırılmış oldu. iSKORPiTX takma adını kullanan türk hacker bir seferde 21,549 + 17,000 = 38,549 tane web sitesinin hackledi. Siteleri hackledikten sonra, arka görüntüde türk bayrağı ve Atatürk resmi olan bir resim ile aşağıdaki yazıyı sitelere ekledi.

“HACKED BY iSKORPiTX
(TURKISH HACKER)
FUCKED ARMANIAN-FUCKED FRANCE-FUCKED GREECE-FUCKED PKK TERROR
iscorpitx, marque du monde, présente ses salutations à tout le monde. ”

Yaptığım aramada Iskorpitx’in hacklediği sitelerde kullandığı resimler şu şekilde:

iscorpitx, marque du monde

DÜNYA MARKASI TAKLİTLERDEN KAÇININIZ

iscorpitx, marque du monde

iscorpitx, marque du monde

Haberin ingilizcesi:
Yesterday the Turkish cracker going by the handle “Iskorpitx”, succesfully hacked 21,549 websites in one shot (plus 17,000 as our last update) and defaced (on a secondary page) all of them with a message showing the Turkish flag (with AtaTurk face on it) and reporting:

“HACKED BY iSKORPiTX

(TURKISH HACKER)

FUCKED ARMANIAN-FUCKED FRANCE-FUCKED GREECE-FUCKED PKK TERROR

iscorpitx, marque du monde, présente ses salutations à tout le monde. ”

Iskorpitx controversial defacing activity started back in year 2003 being the first Turkish defacer ever. His defacing frenzy led him soon to reach the “incredible” number of more than 117,000 hacked websites some of them being even government websites of his own country. In this last incident, it is not clear at which level the intrusion was performed (root or webserver) as the fact that all the 21,549 websites got defaced on a secondary page (site.com/ssfm/isko.htm) it is not indicative given the particular Iskorpitx’s modus operandi that sees all of his hacks performed creating a subpage, regardless the authorization level achieved on the attacked servers.

In the recent months Iskorptix has been taken as a model to be imitated by a lot of young Turkish crackers, making Turkey the new defacers kingdom, totaling nowadays more than 50% of the notified defacements overall, surpassing the former defacers kingdom: Brazil.

Script Kiddies or Script Grannies? Iskorpitx is believed to be 45 years old, sometimes being helped for minor defacement activities by another Turkish “senior cracker” (42) going by the handle of Metlak .

Despite the fact that the majority of Turkish defacers are performing Islam-related hacks, this doesn’t seem to be the leading motivation for Iskorpitx.

Statistics about Iskorpitx’s incidents can be found at:
http://www.zone-h.org/en/en/defacements/filter/filter_defacer=iskorpitx/
while the full list of the 21,549 defacements can be found at:
http://www.zone-h.org/defaced/list.txt

Secure Live DVD

Güvenlik üzerine birçok yazılım var. Yazılımlar genelde farklı farklı işler için olduğu için, genelde ihtiyaç halinde kullanmak daha kolay oluyor. Bu yazılımların hepsinin bir cd’ye konması ve bu cd’nin bootable olup güzel bir arayüzle hazırlanmış olması herkesin hoşuna gitti. Tabi bu fikir ortaya atılınca ihtiyaçlara göre de farklı Live CD’ler çıkmaya başladı. Pentest, Forensics v.b.

Bence özgür yazılımın güzelliği böyle farklılılara açık olması, tek düzelikten bizleri kurtarıyor olması… Neyse, farklı farklı live cd’ler çıkmaya başlayınca, bunları bir çatı altında toplayan bir live DVD kavramı ortaya çıktı. SecureDVD olarak duyurulan bu paket, farklı işler için hazırlanmış 10 tane live cd’nin biraraya getirilmesinden oluşuyor. DVD’den boot esnasında, Live CD’yi seçme imkanınız var, seçimden sonra ilgili CD boot ediliyor. Şu an ki sürümünde şu Live CD’leri içeriyor:

Bant genişlikleri yetmediği için sıkıntı yaşadıklarını ifade ediyorlar ama sanırım torrent ve diğer p2p yazılımları ile bu sorunu da ileriki günlerde aşacaklardır.

Garanti bankası Sahtekarlığında yeni moda

Garanti bankası internet güvenliğine en çok yatırım yapan ve önem veren bankalardan birisi. Güvenlik yönünden kendi sistemlerinde hackerlara ve zararlı ataklara karşı birçok önlem alıyorlar fakat aynı durumu müşterilerinin güvenliği için yaptıklarını söylemek mümkün değil. Adsl’in yaygınlaşması ile bilgisayar ve internet dünyası ile yeni tanışan birçok insan sanal dünyaya katılmış oldu. Bu katılımla birlikte internete Türkiye’den katılan güruhun eğitim ortalaması oldukça düşmüş durumda. Bilgisayar eğitimi yönünden biraz geri olmamızın yanında, güvenlik konuları başını alıp gittiği için durumlar olduğundan daha da kötü gözüküyor. Birçok kullanıcı sanal dünyaya gözünü maalesef windows ile açıyor, dolayısıyla güvenlik duvarı (firewall), antivirüs, antispyware gibi güvenlik yazılımları ile ilgili katetmek zorunda oldukları zorlu bir yol var. Bu aşamada linux sürümlerinden birisiyle başlamış olma avantajını yakalamış olsalar, en azından virüsler, spywareler,adawareler, keylogger, internet explorer’ın açıklarından bilgisayarlara bulaşan zararlı yazılımlar v.s. gibi dertlerle boğuşmak zorunda olmayacaklar. Tabi linux’un kendine has zorlukları var ama windowsla başlayıp diğer konularda harcıyacağınız zaman ve emek yerine bunları öğrenmeniz daha faydalı olur diye düşünüyorum. Linuxunda güvenlik sıkıntıları var doğal olarak ama çoğu sürümde vazgeçilmez olan iptables v.b. güvenlik yazılımları ile daha güvenli bir adım atmış oluyorsunuz. Zaten evlerimizde kullandığımız adsl modemlerin çoğunda donanım seviyesinde firewall olduğu için buna da pek ihtiyaç kalmıyor. Saded olarak linux ile sanal dünyaya ‘Hello World’ deseniz, biraz zorlu ama daha zevkli ve faydalı bir başlangıç olur.

Bilgisayarımızın güvenliğine değindikten sonra, Garanti bankası ile ilgili konuya devam edebiliriz. Geçtiğimiz aylarda birçoğumuzun mail adresine gelen Garanti Bankası phishing mailleri, birçok kişinin garanti’nin web sitesine giriyorum diye başkalarının hazırladığı sayfalara girerek birçok müşterinin kullanıcı adı ve parolasını kaptırmasına neden oldu. Bunun ile ilgili Garanti Bankası ilk başta bir şaşkınlık yaşamanın ardından, public black listlere bu kişilerin email gönderdikleri mail adreslerini, yönlendirmeye çalıştıkları web sitelerini bildirdi. Şu an için bu durum biraz olsun durulmuş gözüküyor.

Müşterilerin şifrelerini kaptırmalarından sonraki güvenlik problemi ise Garantinin hizmeti çok kolaylaştırdığına inandığı CepBank servisi. CepBank’tan dolayı mağdur olan bir kişinin attığı email birçok mail grubunda dolaştı ve herkesin neredeyse haberi oldu. Bir müşteri şifresini bir şekilde kaptırıyor, adamlar onun hesabından telefona havale ederek hesabındaki paraları çalıyorlar. Tabi burda hırsızın amatörlüğü çok bariz ortada, alenen telefon numarası sistemde geçiyor ve tespit edildiği andan sonra peşine düşülüyor.

Benim bu konuyu açmama neden olay yeni bir moda, biraz daha iyi düşünülmüş, sahtekarlık oranı daha yüksek bir durum. Hem benim hem de birkaç yakın arkadaşımın başına gelen durumu kısaca izah ediyim. MSN listenizde bulunan arkadaşlarınızdan (çok samimi olmadığınız işten arkadaşlarınız) birisinin msn’ini çalıyorlar. Bunda çok muhteşem bir olay yok, MSN güvenliği ile ilgili daha sonra küçük bir not yazmayı düşünüyorum onun için detaya girmiyorum. Bu kişi çaldığı listedeki herkese ‘selam’ yazarak konuya giriyor. Genelde kişiler nickname olarak isimlerini kullandıkları için, hitap etmekte zorlanmıyor. Siz de çok samimi olmadığınız için garipsemiyorsunuz. Bu kişi size selam verdikten sonra Garanti internet hesabınız olup olmadığını soruyor. Eğer hesabınız varsa, sizden bişey rica edeceğini söylüyor. Bu kişinin sizinle ilgili olan kısmı şu, sizin cep telefonunuz. Çünkü başka birisinin şifresini hali hazırda çalmış oluyorlar ve bu parayı çekebilmek için kendilerinin olmayan bir cep telefonuna ihtiyaç duyuyorlar. Eğer sizin İnternet bankacılığı hesabınız varsa, size çok acil bir para transferi yapmaları gerektiğini söylüyorlar. Bu durumda önce parayı sizin internet bankacılığı hesabınıza yolluyor (başkasından çaldığı parayı) sizin hesabınıza para geldiği için güven yönünden bir sıkıntı duymuyorsunuz. Ondan sonra size gelen parayı CepBank hesabı ile ilgili yine size ait cep telefonunuza yollamanızı istiyor. İşlem tamamlandıktan sonra Garanti tarafından cep telefonunuza gelen şifreyi de o kişiye söylüyorsunuz. Böylelikle parası çalınan kişi şikayet ettiği zaman ilk durumda siz suçlu oluyorsunuz. Bir nevi kara para aklama operasyonu. Aşağıya bugün geçen msn yazışmasının önemli bir kısmını görüştüğüm kişiyi değiştirerek ekliyorum. Uyanık olmakta ve MSN’den tanıdığınız biri olsa bile teyid etmekte fayda var.

xxxx mehmet : slm

mehmet xxxx : slm

xxxx mehmet : nasılsın

mehmet xxxx : sagol hocam sen nasilsin? nasil keyifler?

xxxx mehmet : ıyı cok sukur aynı devam

mehmet xxxx :

xxxx mehmet :mehmet bana garantının ınt bankacılgı lazım

mehmet xxxx : hayirdir,ne oldu?

xxxx mehmet : bır işlem için lazımxxxx mehmet : varmı sende

mehmet xxxx : var (not: yok aslında)

xxxx mehmet : cepbank kullanmasını bılıyormusun

mehmet xxxx : tam bilmiyorum nasil?

xxxx mehmet ya sen ac ben tarıf edeyımsanaxxxx mehmet sonra sana bır havele gonderecem onu bır arkadasa ulastırmmaız lazım cepbankla

Şifremi Unuttum – Forgot Password

Internette hergün birçok siteye kayıt olup şifreler oluşturuyoruz. Bazı siteler en az şu kadar karakter olsun, şifrenizin içinde sayı olsun,harf olsun v.s. şeklinde şifre politikaları uyguluyorlar. Bilgisayar başında çok zaman geçiren birçok kişi hafıza kullanımında tembelleştiği için unutmalar kaçınılmaz oluyor. Unutulan şifreler için de en iyi dost sitelerdeki “Şifremi Unuttum veya “Forgot Password linkleri oluyor. Benim anlatmak istediğim nokta buradan sonra başlıyor. Kayıt olduğunuz sitelerin güvenliğe ne kadar önem verdiğini, size ve sizinle ilgili bilgilere ne kadar sadık kalabileceklerini göstereceği küçük bir ipucunu yakalayabilirsiniz.

Kişisel sitelerin haricinde; forumların, mailing listelerin, satış sitelerinin v.b. sitelerin veritabanına (database) göz atan, erişim hakkı olan birden çok kişi vardır. Bu kaçınılmaz, çünkü site için birden fazla kişi kod yazmaktadır ve ihtiyaç halinde veritabanında değişiklik yapılması gerekirse diye herkese şifreler verilmiştir. Siz siteye üye olurken, e-mail veya başka yerlerde ortak kullandığınız şifrenizi verdiyseniz bu noktada şifrenizin şifrelenerek (encrypted) tutulması daha da ehemmiyet kazanıyor. Örneğin siteye aliveli@deli.com e-mail adresi ile üye oldunuz ve hafızanıza pek güvenmediğiniz için internetteki bütün üyeliklerde aynı şifreyi kullanıyorsunuz. Eğer site sahipleri sizin verdiniz şifreyi şifreleyip (encrypted) veritabanına kaydetmediyse, veritabanına erişimi alan kötü niyetli bir kişi sizin e-mail adresinize rahatlıkla erişti demektir. Bunu anlamak için de uygulanabilecek tek metod “Şifremi Unuttum / “Forgot Password seçeneğini kullanmanız. Eğer site size siteye kayıd olurken verdğiniz şifrenin aynısını yolluyorsa şifreniz şifrelenmeden (encrypted) tutulmuş demektir. Eğer o sitenin veritabanı hackerlar tarafında ele geçirilirse (bundan önce yaşanmış örneği çoktur) site üyelerinin banka hesaplarına kadar erişilmesi mümkün olabilmektedir.

Bu tür sitelerle ilgili

• Şifrenizi değiştirmek (Başka bir table da şifre geçmişinizi tutmadıklarını umud ederek)
• Adminleriyle irtibat kurmak
• Mailing listlerde v.s. yerlerde bunu duyararak baskı yapmak

internet üzerindeki kişisel güvenliğiniz yönünden önemli bir noktayı oluşturmaktadır.

Linux Bash’de While Loop ile SSH Bağlantısını Açık Tutmak

SSH bağlantılarının zaman aşımına uğraması ve ikide bir kesilmesi çok rahatsız edici bir durum. Normalde sunucu tarafında /etc/ssh/sshd_config dosyasına

KeepAlive yes
ClientAliveInterval 60

satırlarını eklediğiniz zaman kurulan bağlantıda server tarafından keep alive paketleri yollanarak bağlantının devamlılığı sağlanması gerekiyor ama sizin bulunduğunuz tarafta firewall varsa bağlantı içinde gerçek veri transferi (DATA paketleri) olmadığı için diğer tarafa RST yollayıp bağlantıyı kesmesine sebep olacaktır.

Bununla ilgili çok güzel bir tip buldum,konsolda

sh -c ‘while date ; do sleep 10 ; done’ &

Bu örnek başka türlü nasıl kullanılabilir? Örneğin bir dizinde değişen son 10 dosyanın her 10 saniyede bir listelenmesi
sh -c ‘while date ; do sleep 10; ls -lrth | tail -10; done’ &

bunu yazıyorsunuz. Bu komutla her 10 saniyede bir konsolo sistem tarihini yazmasını istiyorsunuz, data akışı devam ettiği için bağlantı kesilmiyor.

robots.txt ve güvenlik

Word Press admin giriş sayfasının gösterimi ile ilgili yazdığım yazı ile ilgili Erçin Eker hocamın yorumunu okuyunca aklıma robots.txt dosyası ile ilgili başka bir konu geldi.

robots.txt dosyalarının çıkış noktası ve kullanımı aslında ihtiyacı karşılar nitelikte fakat akla gelmeyen başka bir konu var. robots.txt dosyaları web sunucusu üzerinde “public read” hakkı ile tutulmak zorunda böylelikle arama motorları bu dosyalara erişip, ilgili dizinlerin site yöneticisi indexletmek istemediğini anlayabiliyor.

Örnek bir robots.txt dosyası
User-agent: *
Disallow: /admin/
Disallow: /management/

şeklinde kayıtlarla sitenin root dizininde bulunuyor.

Güvenlik yönünden sıkıntı ise, bu dosyaya herkesin erişebilir durumda olması. Site ve sunucularımıza yapılan ataklardan dolayı “web hacking” in ne olduğunu ve nelere malolabileceği hakkında herkesin az çok fikri var. Web hacking konusunda en can alıcı nokta, hedef sunucunun hangi dizinlerinde ne gibi hassas uygulamalar çalıştığını tespit etmektir. Bu amaçla son zamanlarda çok moda olan arama motorlarının sağladığı apileri kullanarak, hedef site ile indexteki bilginin kullanılması, onun yetersiz kaldığı durumlarda özel yazılımlarla siteyi taramak, default dizinler duruyor mu, genel olarak kullanılan dizin isimlerini kullanarak o dizinler var mı yok mu şeklinde tarama yapılıyor. Bunların hepsi sunucu üzerinde hangi dizinler varın cevabını bulmak için. “robots.txt” dosyasına gelirsek, site yöneticisi kendi eliyle hangi dizinde hangi uygulamaların olduğunu yazıyor ve bunu herkesce okunabilir şekilde yerleştiriyor.

Hoş bir örnek olabilir diye düşündüğüm mozilla.org’un robots.txt dosyasını kopyalıyorum:
User-agent: *
Disallow: /webtools
Disallow: /webalizer

Burada “webalizer” dizinini arama motorlarından sakladıklarını görüyoruz ama siz browserdan http://www.mozilla.org/webalizer dediğiniz vakit mozilla.org sitesinin günlük istatistiği ne kadarmış görebiliyorsunuz.

robots.txt dosyasın içinde bulunan satırlar sitenize saldırmak isteyenler için güzel bir başlangıç olabilir.

Çözüm olarak robots.txt dosyası kullanmak yerine sitenizin root dizinine “.htaccess” dosyasını yerleştirmek
ve bunun içinde hangi dizinlere erişim verceğinizi belirtip, kalanını tamamen kapatmak daha sağlıklı bir yaklaşım olur.

örnek birkaç robots.txt dosyası:
http://www.microsoft.com/robots.txt
http://www.ibm.com/robots.txt
http://www.apache.org/robots.txt
http://www.redhat.com/robots.txt
http://www.linux.org.tr/robots.txt

Word Press Admin Bölümü ve .htaccess

Word Press blog yazılımı olarak beklentilerimin tamamını karşılamasa da yuvarlanıp gidiyoruz işte. Bu aralar arama motorları ile işim gereği biraz daha fazla uğraşmam gerektiği için google, yahoo ve bilumum arama motorlarında blogumla ilgili nelerin indexlendiğini takip ediyorum. Siz de takip etmek isterseniz yapmanız gereken:

site:www.siteadi.com şeklinde arama yapmanız. “site” operatörünün güzel tarafı, google ve yahoo’nun resim indexlerinde de sonuçları görebilmeniz. Bu operatörü kullanarak sitenizin arama motorlarındaki hayali resmini görebiliyorsunuz.

Benim sayfam için yahoo’da yaptığım aramada ilk çıkan sonuç ne hikmetse word press’in admin giriş sayfası oluyor. Tabi admin sayfasının alenen açık olması çok hoş bir durum değil. Bunu engellemek için aldığım önlemi yazmayı düşündüm, böylelikle siz de kendi blogunuzda uygulayabilirsiniz.

apache’nin kimlik denetimi ve yetkilendirme için kullandığı .htaccess ve .htpasswd ikilisini kullanarak wp-admin dizinine erişimi şifreli hale getiriyoruz.

Bunun için .htaccess dosyasını word press admin dizinin altına yerleştirmeniz gerekiyor:
blog ana dizini/wp-admin/.htaccess

“.htpasswd” dosyası erişiminiz olan başka bir dizinde bulunabilir. Benim örneğimde, “.htpasswd” dosyası “.htaccess” ile aynı dizinde bulunuyor.

.htaccess içeriği:
AuthType Basic
AuthName “Sifre Gerekiyor”
AuthUserFile “/home/public_html/blog/wp-admin/.htpasswd”
require valid-user

.htpasswd dosyası için shell den:
# htpasswd -c .htpasswd kullanici_adi

şeklinde yazmanız yeterli. Sonrasında bu kullanıcı için şifre belirliyorsunuz, kullanıcı adı ve şifre ikilisi .htpasswd dosyasına yazılıyor.

Örnek .htpasswd :
ali:zOSE9NzIxzoYo
veli:bcrFMwAnWVM2A

Bu kadar yapmanız yeterli, artık wp-admin dizinine bağlanmak istediğinizde apache kullanıcı adı ve şifre girmenizi isteyecek.

Daha detaylı bilgi için apache’nin tutorial’ına bakabilirsiniz.

Neden Internet Explorer kullanmamali?

Internet explorerda su anda microsoftun düzeltmekte geciktigi bir açik var. Hakki zatinda bu konu ile ilgili duyurusunu yapmis durumda. Kendileri de belirttigi üzere durumun üstüne ciddi sekilde gidiyorlar ve ilgili dosyanin (msdss.dll) açigini kapatip güncelleme yayinlayacaklar insallah.

Bunun yaninda açiklama da yer aldigi gibi, bu açigi kullanan saglam bir kod yazilirsa sistemin tamaminin ele getirilmesi söz konusu. Yani siz masumane duygularla bir web sayfasini ziyaret ediyim diye Internet Explorer’unuzu açiyorsunuz, bir sayfadan digerine geçerken, Internet Explorerunuzun arka kapisindan bilgisayariniza giren bir dosya vasitasiyla sisteminizde el-alem at kosturmaya basliyor.

Bu sartlar altinda Internet Explorer’u kullamaya devam etmek ne kadar saglikli tartisilir. Ama bunun yaninda sadece Internet Explorer’a özel tasarlanmis sayfalarda var, buna ne buyrulur! Bir sekilde Internet Explorer kullanmak zorunlu hale getiriliyor. Ayni sayfayi Opera yada Mozilla ile açmaya çalistiginizda, “Browseriniz desteklenmemektedir. Lütfen sayfamiza Internet Explorer’in delikli penceresinden bakiniz” seklinde pop-uplar açiliyor.

Bu açik ile ilgili Microsofttan güncelleme gelene kadar bu adreste verilen uygulama ile en azindan msdss.dll dosyasini kullanima kapatmak mümkün.

Yet Another Google Bombasi

Son yillarda hackerlar için trend “uygulama katmani”. Internet üzerinde web, ftp, mail servisleri en çok kullanilan servisler oldugu için de en çok nasibi bunlar aldi, almaya da devam ediyor. Tabi bunlardan en gözde olani web uygulamalari. Bunun kisaca nedenlerini siralamak gerekirse:

  • Neredeyse herkesin web sitesi var
  • Web sunucularinda daha sik açik bulunuyor (script kiddielerin hedefi oluyorsunuz)
  • Web sunuculari üzerinde çalisan uygulamalar sayesinde sirketler özel bilgilerini B2B ile paylasiyorlar
  • e-commerce, banka trafigi, para olaylari

Web uygulamalarini hacklemek için webserver’in kendisini hedef almanin yaninda, üstünde çalisan uygulamalarda da çikan açiklar (sql injection, xss vs.) hackerlar ve bilhassa onlarin çaylaklari script kiddieleri için göz bebegi oldu. Web sunucusunun üzerinde çalisan uygulamalardaki eksikleri tespit etmek için arama motorlari kullanilmaya da baslayinca is iyice çorbaya döndü. Bu noktada johnny i hack stuff basligi altinda sitesini açan johnny’nin (sari saçli) sitesi en ugrak yer oldu. Sonradan sonraya burasi artik google üzerinden sitelerde açik bulmayi hedefleyen kisiler için vazgeçilmez kaynak oldu.

Sadede gelmek gerekirse, google’da bu veritabanini kullanarak saldiri yapanlara karsi GHH baslikli “Google Hack” Honeypotu duyurdu. Aslinda ilk sürüm subat tarihli ama biraz daha stabil hali ile yeni sürümü 1 agustosta çikardilar.

Port knocking

Sunucunuza ssh, remote desktop veya vnc kullanarak erismek istiyorsunuz. Amma velakin bunlarin direkt olarak disar açik olmasi hackerlar için en güzel nimet. Bende bunun ile ilgili sanirim 2 sene önceydi arama tarama yaparken portknocking.org sitesini bulmustum. Kavram gerçekten çok güzel aslinda. Bir örnek vermek gerekirse, sunucunuzda ssh server (port 22) iniz var ve linux sunucunuzu ssh nimetini kullanarak shell üzerinden yönetmek istiyorsunuz. ssh’in varligi ve getirdikleri tabiki tartisilmaz bir güzellik fakat zararli güçlerin eline geçerse neler olabilecegi gayet açik. Eger sunucunuzda firewall varsa ve bir hacker sunucunuza port scan yapiyorsa muhtelemen
SSH 22
Web Server 80
ftp Server 21

bunlari bulacaktir. Tabi ssh’in varligi gözde bir isildamaya neden olacaktir. Ortalikta dolasan password list ve brute force için kullanilan araçlardan birisini çalistirarak eger sabirli birisiyse ve siz de sunucunuzun loglarini takip etmekten aciz bir yöneticiyseniz, bulana kadar devamli kullanici adi ve sifre kombinasyonu deneyecektir. ssh sunucunuzun üstünde bunun için çesitli düzenlemeler yapip, 3-5 denemeden sonra deneme kabul etme v.s. diyebilirsiniz ama remote desktop (3389) vnc (6000) portlari için ne yapabilirsiniz? Aslinda ne yapabilirsinizi demek dogru olmayabilir, yapilacak illaki biseyler bulunabilir ama konunun basligi port knocking olduguna göre bunun ile gayet güzel ve harikulade bir çözüm bulabilirsiniz.

Port knockingde, ssh sunucunuz yine 22. portta çalismaya devam ediyor ama iptables üzerinde yaptiginiz ayarlarla, 22. porta direkt baglanmasini önlüyorsunuz. 22. porta baglanmadan evvel örnegin ilk önce 1400 sonra 2200 ondan sonra 3000. portlara teker teker telnet ile baglanmayi denemesini ondan sonra 22. porta baglanmasini saglayabilirsiniz. Yani baglanmak isteyen kisi ilk önce evinizin belirli noktalarini tiklar ondan sonra siz kim o deyip kapiyi açarsiniz. Bu firewallun sagladigi güvenligin üzerine geçirilmis ve neredeyse kirilmasi mümkün olmayan bir güvenlik. Nasil mi?

1- sizin belirlediginiz sirada ilgili portlara baglanti kurmayi denemesi.
2- ilgili portlari yaptiktan sonra tekrar 22.porta baglanmayi denemesi
3- 22.porta baglandiktan sonra kullanici adi ve sifreyi bilmesi

Sanirim bundan iyisi samda kayisi olur. iptables kullanilarak bu bahsettiklerimin nasil yapilacagini anlatan çok güzel bir site var.

İlk asamada ssh için anlatiliyor olsada, bunun ile ilk akla gelen vnc ve dis dünyaya birebir açik kalmasini istemediginiz bütün uygulamalari saklayabilirsiniz.

Wireless Crack (WEP – WPA)

Securityfocus’da wireless ile ilgili yazilar var mi diye arastirirken bunu buldum. Yazıya verdikleri “Live CD Paradise” başlığı tam yerine oturmuş. Gerçekten ortalık live cd cennetine döndü. knoppix ile basliyan furyanin açtigi kapidan içeri neredeyse girmeyen kalmadi. Live CD’lerin en iyi müşterileri gördügüm kadarıyla güvenlik alanında ugraşanlar. Buna da hak vermemek elde degil, birisi size gelip ya benim sistemim güvenli mi degil mi bi el ativer dedigi zaman elinizde basit birkaç tane aracin olmasi temel olarak yeterli ama bunlari windows ortaminda çalistirma imkanimiz olmadigi için ve çogunlukla sistemimizde ikinci bir linux kurulumu olmadigi için sadece bu iş için yeni bir makina hazırlanır, güzelce en hizli kurulabilecek linux sürümü seçilir ve makinaya kurulum gerçeklestirilir. Ondan sonra nessus, nmap, kismet, sebek ivir zivir akliniza ilk gelenlerin downloadu ve sonrasinda kurulumu gerçektirilir. Tabi bunlar ortam linux olduğu için kimi zaman bir gününüzü harcamanıza neden olabilir. Bununla uğraşmak uzun ve sıkıcı. Onun yerine hızır gibi yetişen live cd’lerden o anda gerekli olan birini takıp, gerekirse diske kurulum yaptıktan sonra güncellemeler yapılır ve direk iş başı. Bunun için harcanan zaman en fazla 1 bilemediniz 2 saat. Live CD’lerin bu yönünü düşününce tam bir can kurtarıcılar.

Konuya devam etmek gerekirse, bahsettiğim yazının devamında listesi verilen sürümlerden bir tanesi olan Whoppix web sitesini incelerken kablosuz ağlarda kullanilan açıkları artık neredeyse herkesçe bilinmesine ragmen kullanılan WEP’in (wired equivalent privacy) aircrack 2.2 kullanarak kırılışının (wep crack) canlı demosunu içeren bir linke yönlendirdiğini gördüm. Sitede WPA’in cracklendiği (wpa crack) anın görüntüsünü koymayı unutmamışlar. Ayrıca sayfada ilk haber olarak (en aşağıda) verilen haberde bahsedilen AutoScan baya hoşuma gitti, imkan bulduğumda test etmeyi düşünüyorum. Bi de baktim sol tarafta RSS ikonu, hemen tikladim fakat biraz hayal kırıklığı çünkü rss kaynağında sadece sürüm ile ilgili güncellemeleri duyuruyorlar.

AVG’de virüs bannerini kaldirmak

AVG’nin ücretsiz versiyonu çiktigindan beri severek ve memnuniyetle kullaniyorum. Ondan önce norton antivirüs kullanirken, arka tarafta real time monitor ettigini söyledigi halde kazaa dan indirdigin bir binary den dolayi virüs bulasmis ve güvenim sarsilmisti. Ayrica bellekten kullandigini yüksek parçalar zaten kisitli bellegim oldugu için canimi sikiyodu ki avg imdadima yetisti. AVG’yi ilk kurdugumda mail scanner yada real time monitor opsiyonlarinin olacagini tahmin etmiyordum açikcasi, zaten ücretsiz bir yazilim adamlar kasip bunu niye eklesinler diye düsünüyordum. Ama kullanmaya basladiktan sonra norton’da, panda’da yada mcafee de ne varsa aynisinin hatta benim için daha iyi olan az bellek tüketiminin oldugunu gördüm ve keyifle kullanmaya basladim.

Ama gelin görünki outlook ve outlook expressten attigim maillerin sonuna avg tarafindan taranmistir, yada aldigim maillerin sonuna avg tarafindan taranmistir temizdir ibaresini koymasi biraz canimi sikmaya basladi, web sayfalarina baktim fakat bir sey bulamadim, bende ayarlarini kurcalamaya basladim.

Incoming message contains no viruses.
Checked by AVG 7 Antivirus System, version 7.0.123, date of release January 1st 2003
Virus database 7.123.21, date of release March 2nd 2003

Asagida gördündügü gibi ana ekrandan
avg main

Email scanner’in properties’ine bakip ,oradan configure’e baktigim zaman Incoming ve Outgoing mail için

avg scanner

“Certify mail” seçeneginin oldugunu gördüm. Bu kisma erismeden önce yine bir önyargiyla avg’nin bu bannerlari kaldirmak istemiyecegini bir nevi reklam mahiyetinde oldugunu düsünüyordum, buradan “Certify mail” tiklerini kaldirdigim zaman o mesajlardan da kurtulmus oldum.

Ayrica asagida bulunan Details kismina bakarsaniz, yolladiginiz mail ile ilgili kendinizde “Bu mail sirket politikalarina göre antivirüs taramasindan geçirilmistir.” seklinde sizin isteginize bagli bir mesaj eklenilebiliyor.

idefense’ten windows üzerine açık kod honeypot

iDEFENSE labs windows platformunda çalisan honeypotunu duyurdu. Adi multipot olan ürün bence açik kodlu olmasi yönüyle çok iyi ve önü açik bir proje. iDEFENSE’ten gelen mail akabinde web sitelerine girip downloadu yapip hemen sisteme kurdum. Arayüz olarak çok profesyonel bir yapiya sahip oldugu söylenemez ayrica parali muadillerine göre çok fazla emulasyona da sahip degil ama yerel aginizdaki makinalarda birsey var mi yok mu diye makinanizda açik tutabileceginiz (2 Mb bellek yiyor hepsi o kadar) bir yazilim. Yok benim yerel agim yok ama adsl/kablo/dial-up internete baglandigim zaman bloklamanin haricinde kim benim makinama girmeye çalisiyor yada windows paylasimlarina erismeye çalisiyor diye kullanabilirsiniz. Lsass modülünün portunu degistirme imkaniniz var, böylelikle adsl modeminizden 135 ve 445. portalara gelen çagrilari Multipot’ta ayarladiginiz herhangi bir porta redirect edip,kim ne yapmaya çalisiyor görebilirsiniz.

Ayrica benim firewall loglarinda en çok karsilastigim MyDoom ve Optix’i koymuslar. Bunun haricinde Lsass içinde modül tasarlamislar, lsass için ortalikta dolasan malware’lerden herhangi birisi tarafindan ele geçirilmis makinalari “Infected Hosts kismindan” görmek mümkün.

Emülasyonunu yaptiklari modüller:

MyDoom – TCP 3127
Optix – TCP 2060 and 500
Bagle – TCP 2745 and 12345
Sub7 – TCP 27347
Kuang2 – TCP 17300
Veritas – TCP 6101 and 10000

css.php