Twitter'dayım

08 October 2015

Yeni açtığım Twitter hesabımdan beni takip edebilirsiniz.

https://twitter.com/utku1337


Kampüslerdeki Bilgi Güvenliği Bataklığı: Fotokopiciler

11 August 2015

Fotokopiciler, bir üniversite kampüsünde bilgi güvenliği için en tehlikeli yerlerin başında gelir. Çıktı almak isteyen öğrenciler, fotokopicinin sağladığı bilgisayarda kişisel e-mail, öğrenci sayfası gibi yerlere giriş yapar. Fakat herkes tarafından güvenli kabul edilen -öyle kabul edilmese de önemsenmeyen- bu fotokopici bilgisayarları, yüzlerce öğrencinin hesaplarının çalınmasına yol açabilir.

Bildiğiniz üzere fotokopicilerde usb bellek takılması, internetten döküman indirilip açılması serbest ve sıradan kabul edilir. Bu bilgisayarlarda genellikle antivirüs programı yüklü olur ve usb bellekte bir virüs bulaşması varsa bunu önler. Güzel. Fakat ne yazık ki yeterli değil. Bir saldırganın bu bilgisayarlarda yapılabileceklerini ve bunların olası neticelerini çeşitli seneryolarla örneklendirmek istiyorum.

Öncelikle şu soruyu ele alalım: Fotokopicideki tek bilgisayarla nasıl yüzlerce kişinin hesapları ele geçirilir?

Not: Aşağıda bahsedilen eylemlerin yapılması kesinlikle yasa dışıdır. Bilgilendirme, farkındalık yaratma ve insanların önlem almasının sağlanması için detaylı yazılmıştır.


Garip Bir Sosyal Mühendislik Yöntemi ile Facebook Hacking

09 August 2015

Facebook hacking, sosyal mühendislerin en temel ve basit hobilerinden biri olarak gösterilebilir. Çünkü Facebook, brute-force gibi saldırılar için fazla güvenli bir sistem. Hedef kişinin Facebook hesabını ele geçirmek için kişiyle iletişime geçerek phishing saldırısı yapmanız ya da bir malware yardımıyla tarayıcısını/bilgisayarını ele geçirmeniz gerekir.

Bu konu üzerine yaptığım çalışmalarda bunlardan daha kolay bir yöntem olduğunu keşfettim. Bir kullanıcının hesabını ele geçirmek için sadece şu üç bilgiye ihtiyacımız var:

1)Kişinin Facebook'ta kayıtlı e-mail adresi

2)Kişinin doğum günü

3)Kişinin fotoğrafı (tercihen selfie)

Nasıl yani? Bu kadar mı? Bunlar çok kolay bulunabilir şeyler???

Evet neredeyse bu kadar. Detaya girmeden önce The Prestige filminden sosyal mühendislerin felsefesi haline gelen şu repliği paylaşmak istiyorum.


House Party Protocol

11 February 2015

House Party Protocol; bilgisayarınızın çalınması, ele geçirilmesi gibi acil durumlarda özel dosya ve belgelerinizi yok etmeye yarayan bir araçtır. Uzaktan komut okuyabilen program, seçilen dosyalarınızı AES algoritmasıyla, her dosya için random şifreleme anahtarı kullanarak şifreler. Böylece özel dosyalarınız okunamaz/geri döndürülemez hale gelir.

Screenshot_13

 


Dünya Kupası İhtimal Hesaplamaları

13 June 2014

Spor Kahini uygulamama Dünya Kupası 2014 için bir hesaplama eklentisi koymak istiyordum. Ancak milli maçların entegrasyonu final döneminden dolayı yetişmedi. Kullanıcılara yardımcı olması açısından, aynı algoritmayla dünya kupasındaki bütün maçları hesaplayıp bir çizelge çıkardım. Milli maçlar bazında ilk detaylı hesaplamam olduğu için ne derece başarılı olacak bilmiyorum. Turnuva bitince ayrıca onun da incelemesini yapacağım.

Turnuvanın en güçlü takımları:

Brezilya - 6,19 szd

Hollanda - 6,08 szd

Almanya - 5,58 szd

Dünya kupasını kaldıracak takımın bu üçünden biri olacağını düşünüyorum.

Hesaplamaları, eleme gruplarındaki maçları baz alarak yaptığım için İsviçre'nin Arjantin'i elemesi gibi mucize sonuçlar ortaya çıktı. Aslında Arjantin'in kazanma olasılığı %30 olsa da İsviçre'ninki %34 olduğu için algoritma, İsviçre'yi tur atlattı. %30'la %34 arasında çok bir fark yok. İki takım da tur atlamaya yakın. Tur atlayacak tarafı doğru tahmin edemesem de bu tür oranları yakın maçların kafa kafaya geçeceğini düşünüyorum.

Dünya kupası tahmin çizelgesi: https://i.imgur.com/gKzRaf2.jpg

gKzRaf2


İndir.com Yarışmasındaki Oylama Skandalı

01 May 2014

Son bir haftadır İndir.com sitesinin mobil uygulama yarışmasıyla yatıp kalkıyorum. Oylamanın ilk gününden beri sosyal medyada "doğal yollarla" oy toplamaya çalışıp yaklaşık 500 oya ulaştıktan sonra kendimi rahatlamış hissetmiştim. Çünkü bütün uygulamaların oy durumunu her gün takip ediyordum ve ilk üçteydim.

Ancak oylamanın son günü ne hikmetse oyları 50-60 dolaylarında olan uygulamalar bir anda yüzlerce, binlerce oy kazanmaya başladı. Bunun sorun olmayacağını, indir.com yönetiminin bu saçmalığı farkedip onları diskalifiye edeceğini düşünmüştüm, ancak yanılmışım. Bugün ilk 10 finalistler açıklandı fakat içlerinde 500 doğal oy almış Spor Kahini isimli uygulamam bulunmamaktaydı. Biraz finalist uygulamaları inceleyelim.

Örneğin finalistlerden biri Akche Mali Hesap Yönetimi . Aldığı oylara bir göz atalım.

Screenshot_7

Toplam 793 tweet oyu almış. Bu tweet oyları uygulamanın indir.com linki içinden yapılmakta ve atılan tweet'ler twitter'da görünmektedir. Fakat twitter'da bir analiz yapınca aslında atılan tweet'lerin 793 olmadığını görüyoruz.

Screenshot_6


Jani Ftp Scanner

01 August 2013

Basit şifreye sahip ftp hesaplarını taramak için ufak bir tool kodladım. Programa site.com formatında site listesi ve basit kombinasyonlardan oluşan şifre listesi verin (123456,qwerty gibi sık kullanılan şifreler kullanışlı olacaktır) Daha sonra başlat butonuna basarak programı çalıştırın. Bulunan ftp'ler sağ tarafta listelenecektir.

jftp

İndirmek için tıklayınız

 


Godaddy Domain Ekleme Açığı

10 April 2011

Justhost'taki güvenlik zaafiyetleri sebebiyle sitelerimi geçen hafta Godaddy'e taşıdım. Klasik taşınma rutinlerini yaptım. İşte database yedeği alma, sonra bigdump'la yükleme vs. Oralarda herhangi bir sıkıntı olmadı. Ancak godaddy plesk ya da cpanel gibi yaygın paneller yerine kendi panelini kullanıyordu. Panel o kadar hantal ve kullanışsızdı ki bir pek çok açık barındırdığı yüz metreden anlaşılıyordu.

Herneyse, domainleri yeni servera taşırken işler ilk başta yolunda gidiyordu. Kendi domainlerimin name serverlarını godaddy'e yönlendirdim, dosyaları ftp'ye attım veritabanlarını yükledim. Bir sorun yoktu. İşin ilginç kısmı arkadaşım Deniz Alp 'in sitelerini taşımaya gelince başladı.

Onun domainleri godaddy'den alınmıştı. Godaddy kullanıcı adı şifresini bana verdi. Hesabına girdim. Ns yönlendirmeyle ilgili şöyle seçenekler vardı.