Siber Güvenliğin Gelecek 30 Yılı İçin Kehanetler

26 July 2019

Bu yazım, Arkakapı dergisinin 5. sayısında yer almaktadır.

Geleceği tahmin etmek, her sektörde olduğu gibi siber güvenlikte de önem teşkil eder. Gelecekte siber güvenlik sektörünün nereye doğru ilerleyeceğini bilmek şirketler için kar, devletler için stratejik üstünlük anlamına gelir. Bu tip tahminlerde bulunan danışmanlık firmaları dünyada mevcut. Ancak bunların yaptığı gelecek tahminleri, 2-5 yıl gibi kısa vadeli oluyor. Biz ise bu yazıda 30-40 yıllık bir süreçte nereye doğru gidebileceğimizi hayal edeceğiz. Her beş senede bambaşka bir hale gelen teknoloji dünyasında, bu denli uzak geleceği tahmin etmek imkansız görünebilir. Ancak siber güvenlik dünyasında, insanlığın tarihsel süreçte yaşadığı olayların konsantre bir izdüşümünü görmek mümkün. Güvenlik kameralarının ve adli tıbbın olmadığı eski çağlarda suçluların tespit edilmesi çok zordu. 1800’lere gelindiğinde ise adli tıp ilerlemiş, dedektiflik yaygın bir meslek haline gelmişti. Günümüzde ise suçluların tespiti çok daha kolay hale geldi. Bu izdüşüme göre 2018 yılındaki siber güvenlik dünyası, 1800’lerin fiziksel dünyasına benziyor. 1800’lerden sonra yaşanan tarihsel süreci incelersek, siber güvenliğin önümüzdeki 30-40 yıl içinde yaşayacağı değişimleri, biraz hayal gücünün de yardımıyla tahmin edebiliriz.


Rockyou Wordlistindeki Türkçe Parolalarin Tespiti

22 July 2019

Bu seneki araştırmam, parola listeleri (wordlist) ve NLP (Natural Language Processing) üzerine olduğundan, piyasadaki wordlistler ile epey haşır neşir olmuş durumdayım. Bu wordlistlerin de en büyüğü ve kapsamlısı bildiğiniz üzere Rockyou‘dur. Geçenlerde, uzun süredir üzerinde uğraşmadığım Wifi hacking konusunda antreman yapıp bilgimi tazeliyim dedim. Elde ettiğim WPA handshake’lerin bazılarını 8 haneli alphanumeric karakter setiyle kırmak mümkün olurken bazılarını mümkün olmadı. Ben de Türkçe kelimeler içeren bir wordlist arayışına girdim. İnternette sözlük tarzı wordlistler bulunsa da bunlar gerçek kullanıcı parolaları olmadığından bana pek mantıklı gelmedi. Örneğin bir kullanıcı, sözlükte yer alan “sandalye” kelimesini parola olarak kullanmayacaktır.

Bunları düşünürken bir yandan Hashcat’i Rockyou wordlisti ile çalıştırmıştım. Wordlistten herhangi bir ümidim yoktu fakat ne kadar süreceğini görmek istemiştim. Sonuç beni çok şaşırttı. Hashcat, “1907_fenerbahce” parolasının kırıldığını söylüyordu. Küçük bir şaşkınlığın ardından Rockyou.txt içerisinde “fenerabahce” kelimesini arattım. Sonuç beni daha da şaşırttı çünkü içerisinde fenerbahce geçen 44 parola vardı. Diğer kulüplere de baktım. Besiktas 32, galatasaray 63, trabzon 25 kez geçiyordu. İçerisinde karagumruk geçen bile parolalar vardı. Demek ki Rockyou sistemine vakti zamanda çok sayıda Türk kullanıcı da üye olmuş. Bu benim için çok yeni bir bilgiydi. Ben de küçük bir akşam uğraşı olarak Rockyou’nun içerisinde geçen tüm Türkçe kelimelerin sayısını bulmayı hedefledim.


My DEF CON 27 Presentations

04 July 2019

Defcon

I will present my new research&tool at DEF CON 27 in “Packet Hacking Village”, “Demo Labs” and “Recon Village” sections. Schedules are located below. See you in Vegas!

https://www.defcon.org/html/defcon-27/dc-27-demolabs.html#Rhodiola

https://www.wallofsheep.com/blogs/news/packet-hacking-village-talks-and-schedule-at-def-con-27-finalized

https://reconvillage.org/talks.html


S-400'leri Yapan Rostec Firmasında Bulduğum Bazı Güvenlik Açıkları

25 June 2019

Bundan yaklaşık 2 hafta önce basından takip ettiğim Rostec firmasının internete açık sunucularını gözden geçirmeye karar verdim. Sunucularının neredeyse tamamını “flops.ru” isimli firmadan kiralayan Rostec’e ait bazı IP adresleri aşağıdaki gibi:

85.22.62.107
185.22.62.107
78.155.219.40
185.22.61.90
194.154.92.252
185.22.62.107
81.211.67.219
194.154.92.252
78.155.219.40
185.22.61.90
188.128.56.28
188.128.56.29

Genel olarak dikkatimi çeken nokta saldırı yüzeyinin (attack surface) çok geniş olması. Hiçbir sunucuda firewall ile IP whitelisting yapılmamış. SSH, SMTP gibi portlar dışarıya açık, VPN yönetim paneli ve farklı giriş arayüzleri de dışarıdan kolayca erişilebilir durumda. Örneğin: “https://scloud.rostec.ru/login”, “https://rostec.ru/bitrix/admin/#authorize”, “http://194.154.92.252:18264/”. Tabi ki bunlar tek başına bir güvenlik açığı oluşturmasa da ekibin güvenlik konusunda best practise’leri takip etmediğinin önemli bir göstergesi. Özellikle Rostec gibi bir firmanın tehdit aktörleri (threat actor) ellerinde zero-day exploitler barındırabilen gruplar olduğundan risk daha da büyüyor.

Şimdi gelelim tespit ettiğim önemli sayılabilecek güvenlik açıklarına.

SMTP Üzerinden Dışarıya E-mail Gönderme


Why You Shouldn't Use a Password Manager For Your Linode Account

02 May 2019

Update: Linode security team said they reopened the issue.

Update2: Linode security team explained me that the initial assessment was done by HackerOne triage team. The issue was closed by them. Now, Linode security team discussing the issue internally.

I was trying to find an anomaly on popular password managers. After a while, I realized that the most popular password managers such as Lastpass, 1password, Dashlane are supporting form autofill on subdomains by default. Which means, when I use a password for example.com, my password manager will also fill app.example.com too. It’s a good feature for user experience. I shouldn’t write my password again and again for different subdomains such as mail.google.com, calendar.google.com etc.

But there is a catch. If a subdomain of google.com is compromised, an attacker can steal user credentials by tricking them to navigate to compromised subdomain. This is another risk factor for subdomain takeover vulnerabilities.

But wait a minute, what if the website provides us a subdomain itself? Like cloud companies who provides a reverse dns for user created servers. I checked my AWS and Azure accounts quickly.

AWS: main domain –> amazon.com / reverse dns domain –> amazonaws.com

Azure: main domain –> microsoft.com / reverse dns domain –> azure.com

No luck, they are aware of the risks. Digitalocean is not providing reverse dns (boo!), therefore I tried my luck with Linode. I started a server on Linode and checked the details:


Açık Kaynak Ransomware'lerin Akademide Kullanımı

04 March 2019

Bildiğiniz gibi 2015 yılında Hidden Tear ve EDA2 isimli iki açık kaynak ransomware projesi yayınlamıştım. Bu projelerle ilgili konuşulabilecek neredeyse her şey konuşulduğu için detaya girmek istemiyorum. Bu konuyla ilgili yazdığım son şey bir özür metniydi, konu orada kapandı diye düşünüyordum. Ancak son dönemde yaşanan bazı tartışmalardan ötürü bu konuyu daha önce değinmediğim bir açıdan ele almam gerekiyor.

Giriş

Ülkemizde üniversite eğitiminin kalitesi yıllardır tartışılıyor. Ama siber güvenliğin akademik dünyaya girişi yeni olduğu için bu alanda dünyaya kıyasla kötü durumda olduğumuzu söyleyebiliriz. Fakat dünyanın gelişmiş ülkelerinde bu eğitimler oldukça üst düzeyde gerçekleşiyor. Örneğin neredeyse tüm yüksek lisans derslerinde öğrenciler zararlı yazılım geliştiriyor, daha sonra da bu zararlı yazılımın tespiti üzerine çalışıyorlar.


Güvenlik Kitapları Hakkındaki Değerlendirmelerim

11 February 2019

Bilgisayar güvenliğiyle ilgili güncel bilgileri blog yazıları, konferans konuşmaları, akademik makaleler üzerinden takip etsek de, kitaplardan ilgili alanla ilgili kapsamlı bilgi edinebiliyoruz. Ancak, farklı konularda yazılmış onlarca kitap var ve her geçen gün yenileri çıkıyor. Ne yazık ki bunların hepsini okumak pek mümkün değil. Bu yazıda, son 2-3 senede okuduğum kitaplar hakkındaki değerlendirmelerime yer vereceğim. Bu listeyi yeni kitaplar okudukça güncellemeyi de planlıyorum. Okuyacağınız bir sonraki kitabı bu listeden seçebilirsiniz.


Kitap: The Tangled Web: A Guide to Securing Modern Web Applications 1st Edition

Çıkış Yılı: 2011

Tavsiye Seviye: Giriş, Orta, İleri

Puan: 10/10

Yorum: Web teknolojilerinin çalışma prensiplerini, tasarım konseptlerini ve güvenlik konuları çok güzel ele alan bir kitap. Giriş, orta, ileri seviye herkesin elde edeceği güzel bilgilerle dolu. Bazı bilgiler biraz eskimiş olsa da temel konseptler çoğunlukla aynı.



Kitap: The Practice of Network Security Monitoring

Çıkış Yılı: 2013

Hedef Seviye: Giriş

Puan: 10/10

Yorum: Kendi adıma en çok verim aldığım kitap budur diyebilirim. Defansif güvenliğe çok güzel bir giriş yaptırıyor, Security Onion yazılımını güzel bir şekilde öğretiyor, evde minik bir SOC işletme deneyimini yaşatıyor. Güvenliğin ofansif tarafıyla uğraşıyorsanız ve defansif tarafı da öğrenelim artık diyorsanız kesinlikle tavsiye edebileceğim bir kitap.


Antivirus Products Have No Place in the Future

27 December 2018

Antivirus products are with us for almost 20 years and it’s always an essential program for both home and enterprise users. But now, we live in 2019 and things are changing. Things are becoming secure by default. We usually don’t use an antivirus program in any devices except Windows PCs. But Windows 10’s built-in security features are so good that people are considering not using an antivirus. So, what is going to happen in future? In this post, I want to summarize my point of view about antivirus products and their future

TL;DR: We need them now but we won’t (shouldn’t) need them in future.