muharremtac.com

Bülent Tigin'i Kaybettik

Ülkemizin önde gelen sistem, ağ ve bilişim güvenliği uzmanlarından Bülent Tigin vefat etti.

Sensei lakaplı Bülent Tigin'in 24 Ocak 2010 sabahı 08:20'de vefat ettiğini haber aldım ve araştırmalarımda doğru olduğunu öğrendim.



Devamı

Next Generation Web Application Security Scanner : Netsparker

İngiltere'de yaşayan ünlü güvenlik uzmanımız sevgili dostum Ferruh Mavituna, Mavitunasecurity adını verdiği bir bilişim güvenliği şirketi açtı.

Uzun zamandır üzerinde çalıştığı web uygulama güvenliği tarama yazılımı olan Dilemma kod adlı Netsparker adlı ürünlerinin final betasını da duyurdular.

Beta tester olarak katılma şansını yakaladığım uygulama son derece ayrıntılı raporlar hazırlıyor, tarama işlemini çok makul zamanlarda gerçekleştiriyor. Arabirim ve kullanım olarak da son derece başarılı.

Yakında Ferruh Mavituna ismini eskisinden de sık duymaya başlayacağız.

Bilim ve Teknik Temmuz 2009

Bilim ve Teknik Temmuz 2009 sayısı en önemli bilişim konularından olan Bilgi Güvenliği ve Kriptoloji'ye büyük yer ayırmış.

Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE) tarafından yapılan çalışmalar UEKAE araştırmacıları tarafından anlatılımış.

Dergide milli işletim sistemli ve çipli akıllı vatandaşlık kartı'nın da bir örneği bulunuyor.

Bu arada sevgili Bilim ve Teknik Dergimiz, 500. sayıya ulaşmasının da haklı gururunu taşıyor.

500.sayı şerefine 41 yıllık arşivlerini DVD olarak ücretsiz edinebiliyoruz.

Web Tabanlı SSH Client

Diyelim ki servera erişmeye ihtiyacınız var ama bulunduğunuz yerde 22 nolu SSH portunuz kapalı. Ne yaparsınız.
İşe bu gibi durumlar için web based ssh client'lar var.
Benim kullandığım ve ücretini de ödeyip aldığım www.gotossh.com gayet hızlı ve basit bir servis.
Tabii bu sitenin de ağ yöneticileri tarafından bloklanma ihtimali bulunuyor.

Tamer Şahin ile bir gün

Türk İnternet Tarihi'nin ilk dönemlerinde büyük sistemlere girerek ilk resmi hacker ünvanını alan üstat Tamer Şahin, Gelişim Platforumu'nda bir söyleşi düzenledi.

Uzun zamandır İnternet'ten görüştüğümüz ancak bir türlü tanışamadığımız Tamer Şahin ile tanışma fıstatı da buldum.

Açıkçası kendisinin bu kadar mütevazi olduğunu da tahmin etmemiştim.

Söyleşide hack, hacker, bilgi güvenliği, kişisel bilgilerin gizliliği kavramları üzerinde güzel beyin fırtınaları yaptık.

www.truecrypt.org konusunu da bilmiyordum bu söyleşide öğrendim.

Hack Yapayım Derken Kendini Hackleten Vatandaş

Geçenlerde video dosyası olduğu söylenen bir exe elime geçti. DOS yazılımı şeklinde görünen bu küçük yazılımın nasıl bir video encoder kullandığını merak etmiştim. Çift tıklayarak çalıştırdım ama hiçbir tepki vermedi. Bir de komut satırından çalıştırayım dedim ama yine bir değişiklik olmadı. Durumdan işkillenerek Process Explorer'ı açtım. Ve ldanw32.exe diye bir başka yazılımın aynı anda aktive olduğunu gördüm ve yine çok fazla şaşırmayarak ve antivirüsüm Avast'a güvenerek bir de Wireshark ile dinleme yaptım.

Fakat yazılım tekin çıkmadı.

FTP portundan bir IP'ye user password vererek bağlanıyordu. Hemen o IP'ye FTP ile bağlandım. Elimdeki user password işe yaramıştı. Girdiğim yer bir *nix makineydi. Legal görünen ve cpanel ile yönetildiği anlaşılan yer kullanıcının home diziniydi. Fakat içeride bilgisayarımın adında bir klasör görünce durumun ciddi olduğunu anladım. Benim bilgisayar adımı taşıyan dizindeki txt dosyasında kullanıcı adı ve parolalarımı yazdığım andaki tuş vuruşlarımı gördüm.

Bana bir keylogger trojan bulaşmıştı. Ve ben bunu bana yapanın sistemindeydim.

O anda sadece bilgisayarımın adını taşıyan dizini silmeyi düşünüm ve silebildiğimi anladım. Daha kötüsü sisteme açılmış olan FTP kullanıcısına yazma yetkisi verilmiş ama silme yetkisi verilmemiş olabilirdi.

Olayı kare kare print screen yaptım ve registry'den trojan kaydını sildim. Fakat bu olayların olduğu andaki IP'm sabitti ve muhtemelen loglardan beni bulabilecek olan birinin sistemindeydim.

İlk defa anonim erşimin gerekli olduğunu düşündüm, o anda proxy kullanmadığım için de kendime kızdım.

Bilişim Suçları Şube Müdürlüğü Kuruluyor

İstanbul Emniyet Müdürlüğü, bilişim suçlarıyla daha aktif mücadele edebilmek için çeşitli şubelerde görev yapan bilişim suçu uzmanlarını bir araya getirerek Bilişim Suçları Şube Müdürlüğü kuracak. Şubede daha önce Mali Şubede kredi kartı dolandırıclığı, nitelikli dolandırıcılık gibi suçlara bakan birim, Bilgi İşlem Şube Müdürlüğü'nde data incelemeleri ve çocuk pornografisine bakan birim, İstihbarat ve Terör Şubelerinde teknik takip yapan birimler birleştirilecek.

Emniyet Genel Müdürlüğünde çeşitli daire başkanlıklarında bulunan Bilişim Suçları Şube Müdürlüklerinin de Bilişim Suçları Daire Başkanlığı olarak birleştirilmesi gündemde.

İşteki bilgisayarla evden çalışmak VNC Reverse Connection

VNC ile reverse connection yaparak firewall'ı aşmak mümkün. Fakat evdeki modeminize NAT yapmanız gerekebilir.Aşağıdaki dökümanda yazanları uygulayarak evden, firewall ardındaki bir PC'ye erişebildim. Port sıkıntısı olursa 80'e alabilirsiniz.

www.tinyapps.org/docs/vnc

Engellenebilir mi. Tabi ki. Son zamanlarda kurumsal ağ yöneticileri çalışanlara herşeyi engellemek konusunda çok başarılı.

Virtual Serverlarda ZoneAlarm Sorunu

Bir Windows 2003 virtual servera personal firewall kurmak isteyebilirsiniz.

Virtual severın önüne Iptables, PF, İ-Bekçi, ISA Server, Juniper türünden sağlam bir firewall koymadan önce kendiniz firewall kuracaksanız bu kuracağınız yazılımın kesinlikle ZoneAlarm olmamasına dikkat edin. Benim başıma geldiği gibi sizin de daha yükleme aşamasında bağlantınız gidebilir ve remote desktop erişiminizi kaybedebilirsiniz.

Dahası serverın yakınında duran birine telefon açıp : Abi şu bizim xyz isimli serverımızı yeniden başlatıp bir de ZoneAlarm'ı uninstall edebilir misiniz? demek zorunda kalabilirsiniz.

Fakat yakında duran kişi de serverı başlatamayabilir. Çünkü ZoneAlarm virtual server ethernet kartları ile sanıyorum problem yaşıyor. Benim başıma gelen şey serverın yanındaki kişinin mavi ekran görmesi ve ancak sistemi güvenli kipte başlatıp ZoneAlarmı uninstall etmesiyle çözüldü.

SSH ve SCP İLE BİRDEN FAZLA MAKİNEYE TOPLU İŞ YAPTIRMAK

Windows’tan birden fazla *nix makineye toplu iş yaptırmak için öncelikle Windows komut satırına ssh komutunu (programını) eklemek gerekiyor.

Bunun için sshwindows.sourceforge.net adresindeki OpenSSH’ı indirip bilgisayara kurmak yeterli.

Download adresi : http://prdownloads.sourceforge.net/sshwindows/setupssh381-20040709.zip?download

Kurulumda eğer sadece client seçilirse sadece ssh ve scp komut satırına ekleniyor, bir ssh sunucusu kurulmuyor.

OpenSSH programını kurduktan sonra komut satırına ssh yazarak deneme yapabilirsiniz.

usage: ssh [-1246AaCfghkNnqsTtVvXxY] [-b bind_address] [-c cipher_spec] [-D port] [-e escape_char] [-F configfile] [-i identity_file] [-L port:host:hostport] [-l login_name] [-m mac_spec] [-o option] [-p port] [-R port:host

Fakat burada başka bir problem var.

Herhangi bir bat dosyasına mesela:

@echo offscp dosya.txt muharrem@HOST_1 :/home/muharrem

gibi bir komut yazılırsa bat dosyası çalıştırıldığında bizden şifre isteyecektir.

Her seferde şifre istemesini engellemek için bir anahtar oluşturup bir kereye mahsus olarak uzaktaki kullanıcının. ssh dizinine atmak gerekiyor.

Anahtarı oluşturmak için komut satırına OpenSSH’ın yüklenmesi ile birlikte gelen ssh-keygen programı kullanılmalı.

ssh-keygen –t rsa

komutu verildiğinde hiçbirşey yapmadan her belirtimde ENTER’a basarak geçmek yeterli. Aşağıdaki gibi yazılar çıkacaktır :

Generating public/private rsa key pair.
Enter file in which to save the key (/home/Administrator/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/Administrator/.ssh/id_rsa.
Your public key has been saved in /home/Administrator/.ssh/id_rsa.pub.
The key fingerprint is:

İşlem sonucunda /home/Administrator/.ssh/ dizininde anahtarlarımız oluştu. Bunlar id_rsa.pub (açık anahtar-public key), id_rsa (özel anahtar-private key) ve known_hosts (tanınan makineler) dosyaları.

Burada /home/Administrator/.ssh/ olarak geçen dizin C:\Documents and Settings\Administrator\.ssh dizinidir. Ve tıpkı *nix makinelerde olduğu gibi bir .ssh dizini oluşturulmuştur.

Buradaki örnekte oluşturduğumuz açık anahtar olan id_rsa.pub dosyasını uzaktaki makinede /home/muharrem/.ssh dizinine scp ile atmak gerekiyor:

ssh muharrem@HOST_1
The authenticity of host '172.16.0.11 (172.16.0.11)' can't be established.
DSA key fingerprint is 90:6d:d7:2e:6d:58:d0:7f:45:dc:44:24:bb:e7:94:9c.
Are you sure you want to continue connecting (yes/no)? yes
Password: (bir kereye mahsus şifremizi yazıyoruz)

scp C:\Documents and Settings\Administrator\.ssh\id_rsa.pub /home/muharrem/.ssh

Açık anahtarımızı ilgili makineye attıktan sonra aşağıdaki komutu vererek yetkili anahtarlarımızı tanıtıyoruz:

cat > /home/muharrem/.ssh/id_rsa.pub >> authorized_keys

Çift >> işaretini kullanmamızın nedeni aynı makineye birden fazla kullanıcı ve client anahtarı tanıtabilmek içindir. >> işareti cat programı ile bir dosyanın içeriğini bir başka dosya sonuna ilave etmek için kullanılır.

Bundan sonraki ssh ve scp komutlarını local makinemiz ile uzak makinemiz arasında hiç kullanıcı adı ve şifre girmeden kullanabiliriz.

Bir bat dosyası oluşturup içine

@echo off
scp dosya.txt muharrem@HOST_1:/home/muharrem
scp dosya.txt muharrem@HOST_2:/home/muharrem
scp dosya.txt muharrem@HOST_3:/home/muharrem


Yazıp çalıştırarak deneme yapılabilir. Bu sayede istenildiği kadar makineye bir kerede birden fazla iş yaptırılabilir.

NOT: root için .ssh dizini /root/.ssh altındadır.

Ava Giderken Avlanmayın

Çevrede unsecure (şifrelenmemiş) bir wireless (kablosuz) kaynağı bulduğunuzda balıklama atlamak pek iyi sonuçlar doğurmayabilir.Bu kaynak parola çalmak için açılmış bir hat da olabilir.

Siz her ihtimale karşı Wireshark'ınızı açın ve Capture -> Options yapıp Capture packets in promiscuous mode kutusunu işaretleyin.

Wget'e Engel mi Konuluyor

Gayet saygın bir durumda bulunan Wget'in bazı kişiler tarafından kötü amaçlarla kullanılması nedeniyle önlem alınıyor galiba. Bugün sıkı bazı makale sitelerinde yaptığımız denemelerde dosya indiremedik.

Bu arada Wget'i http proxy arkasından kullanmak için komut satırından :

set http_proxy=http://proxy:8080
wget --proxy=on -r www.site.com

TTwinet ve Password Koruması

Türk Telekom yavaş yavaş heryere wireless access pointler yerleştiriyor, iyi de yapıyor.

Bir hesap açıyorsunuz ve bu networkü bulduğunuz her yerde internete girebiliyorsunuz.

Fakat hesap açarken ne oluyor dersiniz. Parolanızı yazacağınız input alanı input type="text" yapılmış ve parolanızı ****** şeklinde yazamıyorsunuz.

Bu arada 10.34.x.x şeklinde bir IP'lendirme yapılmış ve herhangi bir başka yakın IP'ye ping çekilemiyor.Sniff veya scan yapmaya değer mi bilemiyorum. Kurcalanabilir.

Resmin büyük hali için tıklayınız.

SpyAxe`ye Dikkat

çok tuhaf bir taktikle bir kendisinin aslında olduğu şeyi en iyi yok eden yazılım olduğunu iddia ediyor.

spyaxe son derece yapışkan bir malware olmasına karşılık malwareleri en iyi temizlediğini iddia eden ve sürekli bilgisayarınızın risk altında olduğunu size anlatan berbat bir düşman.

çeşitli yerlerde regedit`te ilgili run anahtarının silinmesi ile temizlendiği anlatılıyor ama aslında bu geçici bir çözüm. sonuçta spyaxe yine biligisayarınıza bulaşıyor.





Şimdi şöyle bir mantık yürütelim. Mesela bir yazılım grubu gerçekte en güçlü antivirüs yazılımını ürettiğini iddia etsin ve bunu kanıtlamak için de bütün bilgisayarlara çok tehlikeli bir virüs bulaştırsın. Sadece bu yazılım grubunun ürettiği antivirüs ile temizlenebilen bu virüsün bulaşmasına nasıl bakarsınız ? Başka hiçbir çareniz olmadığını bilseniz bu yeni virüsü silmek için bu antivirüsü kullanır mısınız ?

Evet durum şu an için bu. İleride SpyBot, AdAware, Ms Antispyware belki bu belayı iyi analiz edip çözüm üretir fakat şu anda kara listeye alınmış SpyAxe`ı temizlemek için SpyAxe`ı satın almaktan ya da crackli kullanmaktan başka çare yok. Windows XP kullanıcısı iseniz gördüğünüz yerde kaçın.

Teoride registery`yi arap saçına çevirerek silinemeyen bir malware üretmek mümkün ama bunu sadece kendi antispyware`ini satmak için yapıyorsa bütün etik kuralları hiçe sayıyor demektir o zaman da katli vaciptir.

Phishing`çiler Şimdi de Ebay Parolalarına Dadandı

Çok sevgili phishing uleması şimdi de Ebay parolalarına dadanmış görünüyor.

security {at} ebay.com `dan atılmış görünen mailler aslında mail.zipwww.com diye bir adresten atılıyor ve alakasız bir siteye yönleniyor.

Tor ve Privoxy

TOR ve Privoxy güzel iki yazılım.

Tor hakkında kısa bilgi Ferruh Mavituna’dan :

http://ferruh.mavituna.com/article/?1039

Ferruh Mavituna imzalı Tor Tray :

http://ferruh.mavituna.com/article/?1037

Tor adresi:

http://tor.eff.org/

Tor tasarım mantığı :

http://tor.eff.org/cvs/tor/doc/design-paper/tor-design.html

Yükleme ve kullanım:

http://tor.eff.org/cvs/tor/doc/tor-doc-win32.html

Privoxy :

http://www.privoxy.org/

ÖNEMLİ UYARI

Torrent networklerinde, kurulurken CD Key istemeyen güncelleştirme yapılabilen bir Windows XP Professional ISO`su dolaşıyor. Bu işletim sisteminin yüklü olduğu sanal makinelerde yaptığım network analizlerinde normal olmayan ağ hareketleri tespit etmiş bulunuyorum. Bu işletim sisteminin içinde bir rootkit ya da trojan olabilir. Herkesi bu konuda duyarlı olmaya ve kopya işletim sistemi kullanmamaya davet ediyorum.

Bu sistemi bulunduran ya da yüklemeyi düşünen herkes lütfen sistemi kullanmadan önce bir daha düşünsün.Sorun bir bilişim suçu olmaktan öte insanlık suçu ve terör örgütlerine hizmete kadar gidebilir.

Mitnick'ten Yalanlanan Efsaneler

Dünyanın en ünlü hacker'ı çıkardığı yeni kitapta sırlarını paylaşıyor.
Kötü şöhretiyle tanınan Kevin Mitnick, Pentagon ve NORAD'ın sistemlerine girdiği yolundaki iddaların gerçeği yansıtmadığını, bu iddiaların, yargılanmasını haklı gösterecek sebepler bulmak için çıkarıldığını iddia etti.
Devamı