Kullanıcı Dostluğu vs Kullanıcı Güvenliği



Benzer belgeler
2. dönem itibariyle ben de Zararlı Yazılım Analizi 101 dersi vererek bu programa katkıda bulunacağım.

Twitter da bu durumla karşılaşan başka kullanıcılar var mı diye twitter virüs anahtar kelimeleri ile genel bir arama yaptığımda ise bu durumun Nisan

NEUTRON SMART HOME NTA-GN8540

Xpeech VoIP Gateway Konfigurasyon Ayarları

Firewall Log Server. Kurulum Kılavuzu

iphone & ipad için e-posta hesabı kurulumu

Yandex mail ve disk kullanım rehberi

7/24 destek hattı Kolay kurulum CD si Üç yıl garanti Üç yıl garanti YM.WR.6372.UM.TR.D00REV

Cihazınızın İnternet ayarlarını yapabilmek için lütfen aşağıdaki adımları takip ediniz;


YENİ INTERRA-MOBILE.APK KURULUM VE UYGULAMA NOTLARI

150Mbps Wireless N Nano Router TL-WR702N

Elektronik Dergi ve Veri Tabanlarına Kampus Dışından Erişim

Zilabs VoIP uygulaması için ADSL Ayarları

RPMNET WOLVOX REPORTER

e-imzatr Kurulum Klavuzu

Hızlı Kurulum Rehberi. ASUS AAM6030BI ADSL 4 Port Modem

Air6372SO Varsayılan Hesap Doğrulaması

EXIF verisi, Firefox eklentisi olan Exif Viewer gibi gibi çeşitli araçlarla incelenebilmektedir. Exif Viewer eklentisi sayesinde görüntülenen

AirTies Kablosuz Erişim Noktası (Access Point) olarak kullanacağınız cihazı bilgisayarınıza bağlayarak ayarlarını yapabilirsiniz.

Kurumsal Güvenlik ve Web Filtreleme

KURULUM CD Sİ MODEM KURULUMU

PERKON PDKS Kurulum ve hızlı başlangıç rehberi

7/24 destek hattı Kolay kurulum CD si Üç yıl garanti Üç yıl garanti YM.WR.5341.UM.TR.D01REV

1. Bilgisayarınızda kullandığınız Web tarayıcı programını (Internet Explorer, Mozilla Firefox vb.) çalıştırınız.

Kurumsal Güvenlik ve Web Filtreleme

İnternet Yapılandırma Gereksinimleri. PC lerin Yapılandırılması. Windows XP altında ayar yapılması

Elektronik Belge Yönetim Sistemi Kullanım Kılavuzu

İNTERNET EXPLORER AYARLARI 1. Başlat-Ayarlar-Denetim Masası menüsünden "İnternet Özellikleri" (Seçenekleri)'ni seçiniz. Resim. 1

WAP-3205 FirmWare Güncelleme Resetleme Universal Repeater Kurulumu CİHAZ ARAYÜZÜNE ERİŞİM

ANDROID İŞLETİM SİSTEMİ YÜKLÜ OLAN TELEFON VEYA TABLETLERE ÖĞRENCİ WEBMAIL TANIMLAMA

(Bilgisayar ağlarının birbirine bağlanarak büyük bir ağ oluşturmasıdır)

Full HD Dome Kamera. Hızlı Kurulum Kılavuzu MODEL D6210 UYARI!

MODELLER D6330, D6530


1. Bilgisayarınızda kullandığınız Web tarayıcı programını (Internet Explorer, Mozilla Firefox vb.) çalıştırınız.

AirTies Kablosuz Erişim Noktası (Access Point) olarak kullanacağınız cihazı bilgisayarınıza bağlayarak ayarlarını yapabilirsiniz.

2MP Mini Bullet Kamera. Hızlı Kurulum Kılavuzu

Hızlı Kurulum Kılavuzu MODELLER P4320, P4520 UYARI!


SmoothWall Express 3.1 Kurulumu

TELTONİKA ROUTER LARDA HABERLEŞME SÜREKLİLİĞİNİ SAĞLAYAN UYGULAMALAR

Sqlmap pyhton dili yazılarak geliştirilmiş Sql injection için testerlara son derece yardımcı olan bir araçtır.

EMG Ethernet Modbus Gateway Kullanım Kılavuzu

OKUL HABER EKLEME MODÜLÜ TANITIM DOSYASI. Okul haberlerinizi ilçemiz web sitesinde yayınlayabilmek için aşağıdaki adımları uygulamanız gerekmektedir.

İÇERİK YÖNETİM SİSTEMİ (CMS) Bir web sitesi yayınlamak için yapılması gerekenler:

Kurulum; Ana Bilgisayar ve Tahtalara ayrı ayrı yapılmaktadır. KURULUM ŞEMASI x.x x.x x.x x.

Smartnet PRO-W Kullanım Kılavuzu

Üniversite Öğrencilerinin Sosyal Ağ Bilgi Güvenlik Farkındalıkları

Öğrenciler için Kablosuz İnternet Erişimi (Wi-Fi) Kullanım Kılavuzu

PERSONEL KİMLİK YÖNETİM SİSTEMİ

Google Chrome Kullanıyorsanız; Microsoft Internet Explorer Kullanıyorsanız;

tıklayınız. tıklayınız. tıklayınız. tıklayınız. tıklayınız. tıklayınız. tıklayınız. tıklayınız.

BİLİŞİM TEKNOLOJİLERİ VE YAZILIM DERSİ

CAP1300 Hızlı Kurulum Kılavuzu

Berqnet Sürüm Notları Sürüm 4.1.0

SmoothWall Express 3.0 Kurulumu

Ufuk Üniversitesi Kütüphanesi Kütüphane Kaynaklarına Erişim Bilgileri

ÇANKRI KARATEKİN ÜNİVERSİTESİ

BİLGİ NOTU. SpeedTouch 580. Kablosuz ADSL Modem

AirTies Kablosuz Erişim Noktası (Access Point) olarak kullanacağınız cihazı bilgisayarınıza bağlayarak ayarlarını yapabilirsiniz.

Asiston Hizmetleri Bilgilendirme Kitapçığı

MİLLİ EĞİTİM BAKANLIĞI YENİ EPOSTA SİSTEMİ HAKKINDA MEB

MODELLER D8210, D8220, D8520

BitTorrent İstemci Kullanımı

Çok işlevli USB Ağ Sunucusu Serileri

VELİ KULLANIM KILAVUZU

Korsan Yazılımlardaki Tehlike

UNIVERSAL REPEATER (TEKRARLAYICI/GENİŞLETİCİ MODU)

Google Play Zararlısı İnceleme Raporu

BioAffix Ones Technology nin tescilli markasıdır.

DUYURU 2013 / AZS-035. Tarih : 26 Şubat 2013 Konu : AZnet Güvenlik Ekranları & AZnet Statik Ip No Girişi Dağıtım : Acenteler

1. Bilgisayarınızda kullandığınız Web tarayıcı programını (Internet Explorer, Mozilla Firefox vb.) çalıştırınız.

BİLGİ NOTU. SpeedTouch 530v6 ADSL Router

Fiery Command WorkStation 5.8 ile Fiery Extended Applications 4.4

E-postaya Tarama Hızlı Kurulum Kılavuzu

GELİŞMİŞ AĞ İZLEME KUBBE KAMERASI KURULUM KILAVUZU

Mevlana Üniversitesi Uzaktan Eğitim Uygulama ve Araştırma Merkezi (MEVUZEM) MYENOCTA Uzaktan Eğitim Sistemi Öğrenci Kullanım Kılavuzu

Free Cooling (Tibbo Ethernet Modüllü)

VGUARD MOBİL PROGRAMI KULLANIM KILAVUZU

Model No : IP610 IP Kamera Kurulum/Kullanım Kılavuzu

Bilgi ve Olay Yönetim Sistemi

Pikatel Airmax Web Arayüzü

AntiKor Güvenlik Sunucumu nereye yerleştirmeliyim?

Mikro Ayarları. Mikro Programının kurulu olduğu veritabanı ve web servisi için bağlantı ayarlarının yapıldığı menüdür.

Mobil Uygulama Kullanma Kılavuzu

INHAND ROUTER LAR İÇİN PORT YÖNLENDİRME KILAVUZU

ZyXEL P-660HN-F1Z Modem ve VLAN Gerekliliği

Đçindekiler. Paket Đçeriği

AirTies Rt-204. Modem Kurulum Kılavuzu. Vodafone Teknoloji Servisleri

İletişim.

PX24n Nano rev.6 Hibrid IP Santral KOLAY KURULUM KLAVUZU VER 2.00

SERVISCELL AKILLI MOBİL TELEFON UYGULAMASI KULLANIM KILAVUZU 2013

NicProxy Registrar WHMCS Modül Kurulumu Versiyon 1.0

DSL 2520U ALL IN ONE ADSL2+ ETHERNET/USB COMBO ROUTER ADIM ADIM KURULUM KILAVUZU

BİLGİ NOTU. SpeedTouch 585 Kablosuz ADSL Router

Ağ Bağlantısı Hızlı Kurulum Kılavuzu

SSH Tünelleme ile İçerik Filtreleyicileri Atlatmak

İnternet Bağlantı Ayarları. Kablosuz Bağlantı Ayarları. Pirelli DRG A226G. Modem Kurulum Kılavuzu. VodafoneNET

MODELLER B8220, B8520

Transkript:

Kullanıcı Dostluğu vs Kullanıcı Güvenliği Hemen hemen her bilişim güvenliği uzmanı (janjanlı adıyla siber güvenlik uzmanı) çalışma hayatı boyunca ilettiği güvenlik gereksinimleri, aksiyonlar nedeniyle şu cümleleri en az bir defa duymuştur, Bu zamana kadar başımıza ne geldi ki?, Buna gerçekten gerek var mı? Bu yaklaşımın aslında bu zamana kadar trafik kazası yapmamış bir kişinin aracındaki güvenlik donanımını sorgulamasından pek bir farkı yoktur. Bu hava yastığına gerçekten gerek var mı? Bu emniyet kemerini takmasam olur mu? Rekabetçi bir ortamda zaman zaman geliştirilmesi talep edilen güvenlik kontrolleri, alınması gereken güvenlik önlemleri, iş birimleri tarafından maliyet ve süre arttıran adımlar olarak görülebilmektedir. Kimi zaman ise mevcut güvenlik kontrolleri, müşteri memnuniyetini ve kullanım kolaylığını arttırma adına isteyerek veya istemeden zayıflatılabilmektedir. Özellikle bu tür zayıf noktalara şifremi hatırla, şifremi unuttum gibi sayfalarda rastlanabilmektedir. Hatırlayacağınız üzere geçtiğimiz yazımda, bir sohbet üzerine incelemeye başladığım modemim üzerinde güvenlik adına sıkıntı yaratabilecek bazı tespitlerimi paylaşmıştım. Bu yazımda da, modemim üzerinde çalışmalar yaparken tesadüfen karşılaştığım ve internet hizmeti aldığım internet servis sağlayıcısı (ISS) ile paylaştığım bir güvenlik zafiyetini, güvenlik farkındalığını arttırmak amacıyla sizlerle paylaşma kararı aldım. Çalışmalar esnasında modemi fabrika ayarlarına döndürdüğümde ISS in beni şifre unuttum sayfasına yönlendirdiğini gördüm. Bu sayfada, ISS in hazırlamış olduğu uygulamayı indirip, çalıştırmam durumunda, modemimin ADSL kullanıcı adı ve şifre bilgilerimin bu uygulama tarafından otomatik olarak modeme girileceği bilgisine yer veriliyordu.

Yazımın başında da belirttiğim gibi bu tür otomatik şifre hatırlama, şifre girme gibi kullanıcı dostu araçlar, güvenli tasarlanmadığı taktirde güvenlik zafiyetlerine yol açabildiği için uygulamayı sistemime indirip, Immunity Debugger ve Charles Proxy araçları ile kısaca incelemeye karar verdim. Uygulamayı çalıştırdıktan sonra ilk olarak Charles Proxy aracı ile ağ trafiğini incelediğimde, uygulamanın bilgi.xxxxx.com.tr sunucusu ile haberleştiğini ve bu sunucudan şifreli bir içerik aldığını gördüm. Uygulama üzerinden Başlat butonuna bastıktan sonra ise uygulamanın ISS in hediye olarak verdiği belli başlı marka, model modemlerin yönetici (admin) arayüzüne varsayılan (default) kullanıcı adı ve şifreler ile bağlanmaya çalıştığını gördüm. Yönetici paneline başarıyla giriş yapamadığı taktirde ise doğru kullanıcı adımı ve şifremi girmemi istiyordu.

Uygulamayı incelemeye devam ettiğimde, uygulamanın sunucudan indirdiği şifreli içeriği, dosya sistemi üzerinde configdata.xml adı altında bir dosyaya şifreli olarak kaydettiğini gördüm.

Bu uygulamanın doğru ADSL kullanıcı adı ve şifremi nasıl indirdiğini ve bu bilginin bu şifreli dosya içinde yer alıp almadığını öğrenmek için uygulamayı Immunity Debugger ile incelemeye başladım. Web trafiği ile ilgili fonksiyonları biraz inceledikten sonra indirilen bu şifreli içeriğin aslında hangi marka model modemlere, hangi varsayılan yönetici (admin) kullanıcı adı ve şifre ile bağlanacağı bilgisi olduğunu gördüm. ADSL kullanıcı adım ve şifrem ile ilgili olan fonksiyonu aramaya devam ederken çok geçmeden sunucudan şifreli bilgiyi alan ilgili fonksiyonu buldum. İncelemem sonucunda, ADSL kullanıcı adımın ve şifremin, uygulama tarafından çağrılan GetConfigFile.ashx sayfasına, sunucu tarafından dönülen yanıtta yer alan ParamHeader başlığında şifreli olarak yer aldığını gördüm. İlk dikkatimi çeken sıkıntılı nokta, uygulamayı çalıştırıp Başlat butonuna basmasam bile, bu uygulama gidip bu isteği otomatik olarak sunucuya gönderiyor ve şifreli ADSL kullanıcı adı ve şifremi sunucudan alıyordu. Bu durumu, PİN/Şifre koruması devrede olmayan cep telefonunuzu çaldırdığınızda, art niyetli kişinin cep telefonunuzdan bankanızın çağrı merkezini arayıp herhangi bir doğrulama adımından geçmeden kredi kartı veya bankamatik kartınızın PİN ini öğrenebilmesine benzettim. Sistemime bulaşmış bir zararlı yazılımın, şifreli ADSL kullanıcı adı ve şifremin açık/şifresiz haline ulaşmasının ne kadar kolay olup olamayacağını öğrenmek için bu defa uygulamanın aldığı şifreli bilgiyi çözen (decrypt) ilgili fonksiyonu aramaya başladım ve çok geçmeden fonksiyonu buldum. Zararlı yazılımın şifremin açık halini ele geçirmesinin ne kadar kolay olabileceğini anlamak için izleyebileceği yollar üzerine biraz düşünmeye başladım. Aklıma gelen ilk üç yol; 1-) Şifre çözme fonksiyonunun algoritmasını anlayıp, başka bir programlama diline çevirecek 2-) Code cave yöntemi ile akışı kodun farklı bir yerinde oluşturduğu koda gönderecek 3-) Uygulama üzerinde diske veri

yazmak için kullanılan API ler (WriteFile, CreateFile) var ise uygulama yamalanarak (patch), şifrenin çözülmüş halinin bu API lere yönlendirilecek ve şifreli bilgiler açık olan diske yazılacak Amacım olası güvenlik zafiyetini tespit etmek ve durumu ISS e bildirmek olduğu için kolay yolu yani 3. yolu seçmeye karar verdim. Uygulamanın sunucudan şifreli bilgileri aldığını ve bunu configdata.xml dosyasına kaydettiğini bildiğim için şifresi çözülen bu bilgileri configdata.xml dosyasına yazan fonksiyona yönlendirdim ve uygulamayı bu haliyle diske kaydettim. Yamalanmış uygulamayı çalıştırdığımda artık uygulama şifreli bilgileri sunucudan alıyor ve diske kaydediyordu. ISS tarafından kullanıcı dostu olarak müşterilerinin hizmetine sunulan bu uygulama aslında istemeden de olsa art niyetli kişilerin (örneğin ortak şifre ile cafeden kablosuz ağ kullanan bir kişi) veya zararlı yazılımların

kullanıcının ADSL hizmet numarası, adsl kullanıcı adı ve şifresine kolaylıkla ulaşabilmesini sağlıyordu. Vakit geçmeden, POC için çektiğim video da dahil olmak üzere elimdeki tüm bilgileri ISS ile paylaşarak zafiyet bildiriminde bulundum ve bir zafiyet daha art niyetli kişiler tarafından kötüye kullanılmadan önce tespit edilmiş oldu. Bir sonraki yazıda görüşmek dileğiyle herkese güvenli günler dilerim. MacGyver Olsaydı.. 80 lerde benim gibi çocuk olanların kahramanı çoğunlukla ya Michael Knight ya da MacGyver dır. MacGyver, Kanada da çekilmiş aksiyon-macera türünde bir Amerikan televizyon dizisiydi. Ajanımız Macgyver, silah kullanmayı sevmeyen, hemen hemen her bölümde fizik bilgisini kullanarak çevresinde bulduğu araç gereçlerden silah yaparak düşmanlarının elinden kolaylıkla kurtulabilmekteydi. Hatta bir bölümde MacGyver, etrafı gözetleyen bir kameranın hemen altında, kör noktada durup kameranın izlediği yolun fotoğrafını çekmiş, ardından bu resmi kameranın önüne koymuş ve kameranın çekilen bu fotoğrafı görüntü olarak güvenlik görevlilerine aktarmasını sağlayarak yakalanmadan koşar adımlarla oradan uzaklaşabilmiştir. Peki ya MacGyver günümüzde olsaydı ve geçmesi gereken bir kapının hemen arkasında kapıyı çeken ve kablosuz haberleşen bir IP kamera olsaydı ne yapardı? Geçtiğimiz aylarda satın aldığım Arduino Uno R3 cihazını gözetleme kamerasına çevirme girişimimin astarı yüzünden pahalıya (kablosuz ağ kalkanı, kamera vs.) geleceğini düşünerek IP kamera arayışı içine girdim ve çok geçmeden Türkiye de Uranium markası altında satılan (Dünya da WANSVIEW NCB-541W) SIP-10 modelini satın aldım. Cihazın kablosuz ağ desteklemesi, gece görüşünün olması, hareket algılama ve e-posta gönderme özelliğinin olması, fiyatı ve tabii ki uzaktan yönetilmeye imkan tanıyan Android uygulaması ile birlikte gelmesi satın alma kararı almamda etkili oldu. Her zamanki gibi aldığım bir cihazı hacklemeye çalışmak, efendi efendi kullanmaktan çok daha cazip geldiği için geleneği bozmayarak kamerayı kurmadan önce kurulum CD si ile birlikte gelen uygulamalara göz atmaya ve MacGyver olsaydı ne yapardı? sorusuna yanıt aramaya karar verdim. Ağda bulunan kamerayı tespit etmek ve yeni ip adresi tanımlamak için kullanılan BSearch_en.exe dosyasını Immunity Debugger aracı ile biraz inceledikten sonra kamerayı kurup çalıştırdım ve ağ seviyesinde uygulamanın nasıl çalıştığını kısaca inceledim. IP kamera varsayılan olarak 192.168.0.178 ip adresi ile birlikte gelmekte ve

BSearch uygulaması tarafından BROADCAST adrese gönderilen UDP paketlerine (SEARCH ve UPDATE) yanıt vererek kullanıcının kamerayı tespit etmesine (SEARCH) ve ayarları değiştirmesine (UPDATE) imkan tanımaktadır. Tabii ayarları değiştirebilmek için (UPDATE) öncelikle kullanıcının ip kamerasının yönetim kullanıcı adı ve şifresini doğru girmesi gerekmektedir aksi halde tanımlarda herhangi bir değişiklik yapamamaktadır. Kameraya giden ve gelen veriyi dikkatlice incelediğim de MO_I parametresi dikkatimi çekti. MO_I parametresinden sonra gelen bayt ın SEARCH paketinde 00, UPDATE paketinde ise 02 olduğunu farkettim. Cihaz üreticileri çoğunlukla hata ayıklamak (debug) ve/veya geliştirme amacıyla cihazlara arka kapı bırakmayı sevdiklerinden ötürü bu bayt üzerinde Fuzzing yapmaya karar verdim ve bunun için Python ile sip-10_fuzzer.py adında bir program hazırladım. Programı çalıştırdıktan sonra Fuzz edilen baytın 78 olduğu durumda, cihazın yeniden başladığını farkettim. Ardından cihaza SEARCH

paketi gönderdiğim de cihazın MAC adresinin değişmiş olduğunu farkettim. Sonuç olarak yaptığım kısa araştırma sonucunda SIP-10 IP kamerasında

keşfettiğim bu güvenlik zafiyeti ile cihazı yetkisi olmayan ve ağda bulunan herhangi bir kişinin uzaktan yeniden başlatabildiğini ve MAC adresini değiştirebildiğini tespit etmiş oldum. Gelelim MacGyver olsaydı ne yapardı sorusunun yanıtına. Muhtemelen kahramanımız kablosuz ağa dahil olur ve göndereceği tek bir paket ile kamerayı geçici süreliğine devre dışı bırakarak kameraya yakalanmadan yoluna emin adımlarla devam ederdi :) MacGyver ın yerinde herhangi bir hırsızın olmaması dileğiyle herkese güvenli günler dilerim.

2026 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim