Twitter'dayım
Yeni açtığım Twitter hesabımdan beni takip edebilirsiniz.
Kampüslerdeki Bilgi Güvenliği Bataklığı: Fotokopiciler
Fotokopiciler, bir üniversite kampüsünde bilgi güvenliği için en tehlikeli yerlerin başında gelir. Çıktı almak isteyen öğrenciler, fotokopicinin sağladığı bilgisayarda kişisel e-mail, öğrenci sayfası gibi yerlere giriş yapar. Fakat herkes tarafından güvenli kabul edilen -öyle kabul edilmese de önemsenmeyen- bu fotokopici bilgisayarları, yüzlerce öğrencinin hesaplarının çalınmasına yol açabilir.
Bildiğiniz üzere fotokopicilerde usb bellek takılması, internetten döküman indirilip açılması serbest ve sıradan kabul edilir. Bu bilgisayarlarda genellikle antivirüs programı yüklü olur ve usb bellekte bir virüs bulaşması varsa bunu önler. Güzel. Fakat ne yazık ki yeterli değil. Bir saldırganın bu bilgisayarlarda yapılabileceklerini ve bunların olası neticelerini çeşitli seneryolarla örneklendirmek istiyorum.
Öncelikle şu soruyu ele alalım: Fotokopicideki tek bilgisayarla nasıl yüzlerce kişinin hesapları ele geçirilir?
Not: Aşağıda bahsedilen eylemlerin yapılması kesinlikle yasa dışıdır. Bilgilendirme, farkındalık yaratma ve insanların önlem almasının sağlanması için detaylı yazılmıştır.
Garip Bir Sosyal Mühendislik Yöntemi ile Facebook Hacking
Facebook hacking, sosyal mühendislerin en temel ve basit hobilerinden biri olarak gösterilebilir. Çünkü Facebook, brute-force gibi saldırılar için fazla güvenli bir sistem. Hedef kişinin Facebook hesabını ele geçirmek için kişiyle iletişime geçerek phishing saldırısı yapmanız ya da bir malware yardımıyla tarayıcısını/bilgisayarını ele geçirmeniz gerekir.
Bu konu üzerine yaptığım çalışmalarda bunlardan daha kolay bir yöntem olduğunu keşfettim. Bir kullanıcının hesabını ele geçirmek için sadece şu üç bilgiye ihtiyacımız var:
1)Kişinin Facebook'ta kayıtlı e-mail adresi
2)Kişinin doğum günü
3)Kişinin fotoğrafı (tercihen selfie)
Nasıl yani? Bu kadar mı? Bunlar çok kolay bulunabilir şeyler???
Evet neredeyse bu kadar. Detaya girmeden önce The Prestige filminden sosyal mühendislerin felsefesi haline gelen şu repliği paylaşmak istiyorum.
House Party Protocol
House Party Protocol; bilgisayarınızın çalınması, ele geçirilmesi gibi acil durumlarda özel dosya ve belgelerinizi yok etmeye yarayan bir araçtır. Uzaktan komut okuyabilen program, seçilen dosyalarınızı AES algoritmasıyla, her dosya için random şifreleme anahtarı kullanarak şifreler. Böylece özel dosyalarınız okunamaz/geri döndürülemez hale gelir.
Dünya Kupası İhtimal Hesaplamaları
Spor Kahini uygulamama Dünya Kupası 2014 için bir hesaplama eklentisi koymak istiyordum. Ancak milli maçların entegrasyonu final döneminden dolayı yetişmedi. Kullanıcılara yardımcı olması açısından, aynı algoritmayla dünya kupasındaki bütün maçları hesaplayıp bir çizelge çıkardım. Milli maçlar bazında ilk detaylı hesaplamam olduğu için ne derece başarılı olacak bilmiyorum. Turnuva bitince ayrıca onun da incelemesini yapacağım.
Turnuvanın en güçlü takımları:
Brezilya - 6,19 szd
Hollanda - 6,08 szd
Almanya - 5,58 szd
Dünya kupasını kaldıracak takımın bu üçünden biri olacağını düşünüyorum.
Hesaplamaları, eleme gruplarındaki maçları baz alarak yaptığım için İsviçre'nin Arjantin'i elemesi gibi mucize sonuçlar ortaya çıktı. Aslında Arjantin'in kazanma olasılığı %30 olsa da İsviçre'ninki %34 olduğu için algoritma, İsviçre'yi tur atlattı. %30'la %34 arasında çok bir fark yok. İki takım da tur atlamaya yakın. Tur atlayacak tarafı doğru tahmin edemesem de bu tür oranları yakın maçların kafa kafaya geçeceğini düşünüyorum.
Dünya kupası tahmin çizelgesi: https://i.imgur.com/gKzRaf2.jpg
İndir.com Yarışmasındaki Oylama Skandalı
Son bir haftadır İndir.com sitesinin mobil uygulama yarışmasıyla yatıp kalkıyorum. Oylamanın ilk gününden beri sosyal medyada "doğal yollarla" oy toplamaya çalışıp yaklaşık 500 oya ulaştıktan sonra kendimi rahatlamış hissetmiştim. Çünkü bütün uygulamaların oy durumunu her gün takip ediyordum ve ilk üçteydim.
Ancak oylamanın son günü ne hikmetse oyları 50-60 dolaylarında olan uygulamalar bir anda yüzlerce, binlerce oy kazanmaya başladı. Bunun sorun olmayacağını, indir.com yönetiminin bu saçmalığı farkedip onları diskalifiye edeceğini düşünmüştüm, ancak yanılmışım. Bugün ilk 10 finalistler açıklandı fakat içlerinde 500 doğal oy almış Spor Kahini isimli uygulamam bulunmamaktaydı. Biraz finalist uygulamaları inceleyelim.
Örneğin finalistlerden biri Akche Mali Hesap Yönetimi . Aldığı oylara bir göz atalım.
Toplam 793 tweet oyu almış. Bu tweet oyları uygulamanın indir.com linki içinden yapılmakta ve atılan tweet'ler twitter'da görünmektedir. Fakat twitter'da bir analiz yapınca aslında atılan tweet'lerin 793 olmadığını görüyoruz.
Jani Ftp Scanner
Basit şifreye sahip ftp hesaplarını taramak için ufak bir tool kodladım. Programa site.com formatında site listesi ve basit kombinasyonlardan oluşan şifre listesi verin (123456,qwerty gibi sık kullanılan şifreler kullanışlı olacaktır) Daha sonra başlat butonuna basarak programı çalıştırın. Bulunan ftp'ler sağ tarafta listelenecektir.
İndirmek için tıklayınız
Godaddy Domain Ekleme Açığı
Justhost'taki güvenlik zaafiyetleri sebebiyle sitelerimi geçen hafta Godaddy'e taşıdım. Klasik taşınma rutinlerini yaptım. İşte database yedeği alma, sonra bigdump'la yükleme vs. Oralarda herhangi bir sıkıntı olmadı. Ancak godaddy plesk ya da cpanel gibi yaygın paneller yerine kendi panelini kullanıyordu. Panel o kadar hantal ve kullanışsızdı ki bir pek çok açık barındırdığı yüz metreden anlaşılıyordu.
Herneyse, domainleri yeni servera taşırken işler ilk başta yolunda gidiyordu. Kendi domainlerimin name serverlarını godaddy'e yönlendirdim, dosyaları ftp'ye attım veritabanlarını yükledim. Bir sorun yoktu. İşin ilginç kısmı arkadaşım Deniz Alp 'in sitelerini taşımaya gelince başladı.
Onun domainleri godaddy'den alınmıştı. Godaddy kullanıcı adı şifresini bana verdi. Hesabına girdim. Ns yönlendirmeyle ilgili şöyle seçenekler vardı.