My DEF CON 27 Presentations

04 July 2019

Defcon

I will present my new research&tool at DEF CON 27 in “Packet Hacking Village”, “Demo Labs” and “Recon Village” sections. Schedules are located below. See you in Vegas!

https://www.defcon.org/html/defcon-27/dc-27-demolabs.html#Rhodiola

https://www.wallofsheep.com/blogs/news/packet-hacking-village-talks-and-schedule-at-def-con-27-finalized

https://reconvillage.org/talks.html


S-400'leri Yapan Rostec Firmasında Bulduğum Bazı Güvenlik Açıkları

25 June 2019

Bundan yaklaşık 2 hafta önce basından takip ettiğim Rostec firmasının internete açık sunucularını gözden geçirmeye karar verdim. Sunucularının neredeyse tamamını “flops.ru” isimli firmadan kiralayan Rostec’e ait bazı IP adresleri aşağıdaki gibi:

85.22.62.107
185.22.62.107
78.155.219.40
185.22.61.90
194.154.92.252
185.22.62.107
81.211.67.219
194.154.92.252
78.155.219.40
185.22.61.90
188.128.56.28
188.128.56.29

Genel olarak dikkatimi çeken nokta saldırı yüzeyinin (attack surface) çok geniş olması. Hiçbir sunucuda firewall ile IP whitelisting yapılmamış. SSH, SMTP gibi portlar dışarıya açık, VPN yönetim paneli ve farklı giriş arayüzleri de dışarıdan kolayca erişilebilir durumda. Örneğin: “https://scloud.rostec.ru/login”, “https://rostec.ru/bitrix/admin/#authorize”, “http://194.154.92.252:18264/”. Tabi ki bunlar tek başına bir güvenlik açığı oluşturmasa da ekibin güvenlik konusunda best practise’leri takip etmediğinin önemli bir göstergesi. Özellikle Rostec gibi bir firmanın tehdit aktörleri (threat actor) ellerinde zero-day exploitler barındırabilen gruplar olduğundan risk daha da büyüyor.

Şimdi gelelim tespit ettiğim önemli sayılabilecek güvenlik açıklarına.

SMTP Üzerinden Dışarıya E-mail Gönderme


Why You Shouldn't Use a Password Manager For Your Linode Account

02 May 2019

Update: Linode security team said they reopened the issue.

Update2: Linode security team explained me that the initial assessment was done by HackerOne triage team. The issue was closed by them. Now, Linode security team discussing the issue internally.

I was trying to find an anomaly on popular password managers. After a while, I realized that the most popular password managers such as Lastpass, 1password, Dashlane are supporting form autofill on subdomains by default. Which means, when I use a password for example.com, my password manager will also fill app.example.com too. It’s a good feature for user experience. I shouldn’t write my password again and again for different subdomains such as mail.google.com, calendar.google.com etc.

But there is a catch. If a subdomain of google.com is compromised, an attacker can steal user credentials by tricking them to navigate to compromised subdomain. This is another risk factor for subdomain takeover vulnerabilities.

But wait a minute, what if the website provides us a subdomain itself? Like cloud companies who provides a reverse dns for user created servers. I checked my AWS and Azure accounts quickly.

AWS: main domain –> amazon.com / reverse dns domain –> amazonaws.com

Azure: main domain –> microsoft.com / reverse dns domain –> azure.com

No luck, they are aware of the risks. Digitalocean is not providing reverse dns (boo!), therefore I tried my luck with Linode. I started a server on Linode and checked the details:


Açık Kaynak Ransomware'lerin Akademide Kullanımı

04 March 2019

Bildiğiniz gibi 2015 yılında Hidden Tear ve EDA2 isimli iki açık kaynak ransomware projesi yayınlamıştım. Bu projelerle ilgili konuşulabilecek neredeyse her şey konuşulduğu için detaya girmek istemiyorum. Bu konuyla ilgili yazdığım son şey bir özür metniydi, konu orada kapandı diye düşünüyordum. Ancak son dönemde yaşanan bazı tartışmalardan ötürü bu konuyu daha önce değinmediğim bir açıdan ele almam gerekiyor.

Giriş

Ülkemizde üniversite eğitiminin kalitesi yıllardır tartışılıyor. Ama siber güvenliğin akademik dünyaya girişi yeni olduğu için bu alanda dünyaya kıyasla kötü durumda olduğumuzu söyleyebiliriz. Fakat dünyanın gelişmiş ülkelerinde bu eğitimler oldukça üst düzeyde gerçekleşiyor. Örneğin neredeyse tüm yüksek lisans derslerinde öğrenciler zararlı yazılım geliştiriyor, daha sonra da bu zararlı yazılımın tespiti üzerine çalışıyorlar.


Güvenlik Kitapları Hakkındaki Değerlendirmelerim

11 February 2019

Bilgisayar güvenliğiyle ilgili güncel bilgileri blog yazıları, konferans konuşmaları, akademik makaleler üzerinden takip etsek de, kitaplardan ilgili alanla ilgili kapsamlı bilgi edinebiliyoruz. Ancak, farklı konularda yazılmış onlarca kitap var ve her geçen gün yenileri çıkıyor. Ne yazık ki bunların hepsini okumak pek mümkün değil. Bu yazıda, son 2-3 senede okuduğum kitaplar hakkındaki değerlendirmelerime yer vereceğim. Bu listeyi yeni kitaplar okudukça güncellemeyi de planlıyorum. Okuyacağınız bir sonraki kitabı bu listeden seçebilirsiniz.


Kitap: The Tangled Web: A Guide to Securing Modern Web Applications 1st Edition

Çıkış Yılı: 2011

Tavsiye Seviye: Giriş, Orta, İleri

Puan: 10/10

Yorum: Web teknolojilerinin çalışma prensiplerini, tasarım konseptlerini ve güvenlik konuları çok güzel ele alan bir kitap. Giriş, orta, ileri seviye herkesin elde edeceği güzel bilgilerle dolu. Bazı bilgiler biraz eskimiş olsa da temel konseptler çoğunlukla aynı.



Kitap: The Practice of Network Security Monitoring

Çıkış Yılı: 2013

Hedef Seviye: Giriş

Puan: 10/10

Yorum: Kendi adıma en çok verim aldığım kitap budur diyebilirim. Defansif güvenliğe çok güzel bir giriş yaptırıyor, Security Onion yazılımını güzel bir şekilde öğretiyor, evde minik bir SOC işletme deneyimini yaşatıyor. Güvenliğin ofansif tarafıyla uğraşıyorsanız ve defansif tarafı da öğrenelim artık diyorsanız kesinlikle tavsiye edebileceğim bir kitap.


Antivirus Products Have No Place in the Future

27 December 2018

Antivirus products are with us for almost 20 years and it’s always an essential program for both home and enterprise users. But now, we live in 2019 and things are changing. Things are becoming secure by default. We usually don’t use an antivirus program in any devices except Windows PCs. But Windows 10’s built-in security features are so good that people are considering not using an antivirus. So, what is going to happen in future? In this post, I want to summarize my point of view about antivirus products and their future

TL;DR: We need them now but we won’t (shouldn’t) need them in future.


Yerli Siber Güvenlik Yazılımı Hamlesinde Gözden Kaçan Detaylar

24 December 2018

Bu yazıyı Arkakapı dergisinin 4. sayısında yazmıştım. Burada tekrar paylaşıyorum.

Siber güvenlikte yerli yazılım kullanmanın önemi artık tartışılan bir konu değil. Herkes bunda hemfikir. Hem devletin, hem özel sektörün en kritik verilerini koruyan bu yazılımların, politik ve askeri alanda yaşanacak kötü senaryolarda bizim aleyhimize çalışması çok olası bir durum. Bunun yanında siber güvenlik yazılımlarındaki dışa bağımlılık hem bütçemizin dışarı akmasına, hem de global yazılım ekonomisinden pay alamamamıza yol açıyor.

Bu yazıda değineceğiz pek çok farklı konu var. Öncelikle, siber güvenlik alanında süper güç kabul edilen devletlerin neden başarılı olduklarını inceleyeceğiz. Daha sonra siber güvenlik yazılımlarının geçirdiği evreleri ve bu evreler sırasında Türkiye’nin neler yapıp yapamadığına değineceğiz.


Eski Teknolojilere Geri Dönüş, Offline İletişim Ağları ve Güvenlik

19 August 2018

Bu yazıyı Arkakapı dergisinin 3. sayısında yazmıştım. Burada tekrar paylaşıyorum.

Günümüzde internetin hayatımızdaki yeri, açıklanmasına gerek olmayacak şekilde önemlidir. Hayatımızın çok büyük bir kısmı internetin varlığına bağlı devam ediyor ve gelecekte bunun etkisi daha da artacak gibi gözüküyor. Huzur ve barış ortamında internet teknolojisinin zayıf taraflarını pek fark etmiyoruz. İnternet her ne kadar denetlenemez ve kırılamaz bir yapı olarak gözükse de, aslında denetlenebilir ve oldukça kırılgan bir yapıya sahiptir. Yerel sansürler ve NSA’in yaptığı küresel çaplı çalışmalar ile denetlenebilirliğinin zaten farkına vardık. Fakat, kırılgan yapısını henüz pek fark edemedik. Bunun sebebi, internet yaygınlaştığından beri henüz çok büyük bir savaş ya da felaketle karşılaşmamamız olabilir. Aslında her zaman çok büyük bir savaş ya da felaket olması gerekmiyor. Örneğin bir devlet, istediği takdirde internet erişimini tüm ülkede istediği sürece durdurabilir.

Bu yazıda, internet teknolojisinin zayıf noktalarından ve olası bir felaket ortamında neler yaşayacağımızdan bahsedeceğim. Bunlara çözüm olarak, üzerinde bir süredir denemeler yaptığım ve 2019 yılında bitirmeyi planladığım projemin konseptini anlatacağım. Ek olarak da bu konseptin güvenlik tarafına değineceğim.