Cybook Orizon Mini Pentest



Benzer belgeler
Twitter da bu durumla karşılaşan başka kullanıcılar var mı diye twitter virüs anahtar kelimeleri ile genel bir arama yaptığımda ise bu durumun Nisan

(Bilgisayar ağlarının birbirine bağlanarak büyük bir ağ oluşturmasıdır)

Emniyet Genel Müdürlüğü Yurda Giriş/Çıkış Belge Sorgulama KULLANIM KILAVUZU

2. dönem itibariyle ben de Zararlı Yazılım Analizi 101 dersi vererek bu programa katkıda bulunacağım.

WebSiteDefender ile Web Uygulama Güvenliği

Milli Eğitim Bakanlığı Açık Öğretim Liseleri Öğrenci Durum Belgesi Sorgulama KULLANIM KILAVUZU


Korsan Yazılımlardaki Tehlike

Yükseköğretim Kurulu Başkanlığı Yükseköğretim Mezun Belgesi Sorgulama KULLANIM KILAVUZU

Yükseköğretim Kurulu Başkanlığı Üniversite E-Kayıt KULLANIM KILAVUZU

KULLANMADIĞINIZ HAT İPTAL OLMASIN ve BEDAVA SMS SİTESİ

BİLİŞİM SUÇLARI. Teknoloji kullanarak dijital ortamda kişi veya kurumlara maddi veya manevi olarak zarar vermek bilişim suçları olarak tanımlanabilir.


Android Uygulamalarında Güvenlik Testi

Google da Etkin Arama Yöntemleri. Eğitim Teknolojileri Destek Birimi

Medula Eczane Stok Bilgileri Web Servisleri Kullanım Kılavuzu

EVRAK TAKİP SİSTEMİ (ETS) GENEL AÇIKLAMALAR

5651 Sayılı Kanun Hakkında Kanunla ilgili detay bilgiler

erişmeniz bu uyarılarla karşılaştıktan sonra sunucuya/koda erişimin yasaklanması/kaldırılması nedeniyle pek mümkün olamayabiliyor.

Emniyet Genel Müdürlüğü Adıma Tescilli Araç Sorgulama KULLANIM KILAVUZU

Linux Temelli Zararlı Yazılımların Bulaşma Teknikleri, Engellenmesi ve Temizlenmesi

Windows İşletim Sistemi

Google Adwords Reklam Stratejileri ve Markalar İçin Önemi

İnternet te Bireysel Güvenliği Nasıl Sağlarız? Rauf Dilsiz Bilgi Güvenliği Uzmanı

Web Tarayıcıları ve Arama Motorları

Bilgi Teknolojileri ve İletişim Kurumu IMEI Kayıt Hizmeti KULLANIM KILAVUZU

1 / 5. Mehmet Alper Şen. Kıdemli Yazılım Uzmanı. İletişim Bilgileri

Özgür Yazılımlar ile Kablosuz Ağ Denetimi

Elektronik Belge Yönetim Sistemi Kullanım Kılavuzu

Mobil Elektronik İmza İşlemi Kullanıcı Kılavuzu

Armitage Nedir? Kullanım Öncesi

Kamuoyu Duyurusu. 16 Aralık 2009

Vodafone Yarına Hazırlayan Cihazlar Kampanyası Taahhütnamesi

Şekil 1- Başvuru Portalı Giriş Ekranı

İNTERNETİN FIRSATLARI

YILDIZ TEKNĠK ÜNĠVERSĠTESĠ

Web Application Penetration Test Report

CEVAP; Evrak ön izlemede kararan sayfa göründüğünde yapılacak işlemler aşağıdaki gibi gerçekleşecektir.

Bilgisayarların birbirine bağlanması ve bir ağ oluşturmasının temel amacı veri alışverişi yapabilmekti. Yani bir nevi haberleşmeyi sağlamaktı.

Sosyal Güvenlik Kurumu Şahıs Ödemeleri Sorgulama KULLANIM KILAVUZU

İnternet Uygulamaları. FATİH Projesi PARDUS Temel Eğitim Kursu

Üniversite Öğrencilerinin Sosyal Ağ Bilgi Güvenlik Farkındalıkları

bilgiçiftliği Genel Çevrimiçi Gizlilik ve Bilgi güvenliği Bildirimi

bilgiçiftliği Genel Çevrimiçi Gizlilik ve Bilgi güvenliği Bildirimi

1. Admin kullanıcı ile sisteme giriş yapınız. Ekranın sağ üstünde yer alan defter yaprakları ikonuna tıklayınız.

Bilgisayar Ağları ve Ağ Güvenliği DR. ÖĞR. ÜYESİ KENAN GENÇOL HİTİT ÜNİVERSİTESİ ELEKTRİK-ELEKTRONİK MÜH.

Virtual Pirate Network (VPN)

Mikro Ayarları. Mikro Programının kurulu olduğu veritabanı ve web servisi için bağlantı ayarlarının yapıldığı menüdür.

Emniyet Genel Müdürlüğü Araç Plakasına Yazılan Ceza Sorgulama KULLANIM KILAVUZU

T.C. HARRAN ÜNİVERSİTESİ UZAKTAN EĞİTİM UYGULAMA VE ARAŞTIRMA MERKEZİ YABANCI DİL SINAVI (İNGİLİZCE) İÇİN SORU ÇÖZÜM TEKNİKLERİ KURSU

Bireysel İnternet Şubesi

SELÇUKLU BELEDİYESİ.

Bilgi Güvenliği Farkındalık Eğitimi

EXIF verisi, Firefox eklentisi olan Exif Viewer gibi gibi çeşitli araçlarla incelenebilmektedir. Exif Viewer eklentisi sayesinde görüntülenen

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

CELAL BAYAR ÜNİVERSİTESİ KÜTÜPHANE VERİTABANLARINA ÜNİVERSİTE DIŞINDAN ERİŞİM

Kurumsal Güvenlik ve Web Filtreleme

İnternet ve İnternet Tarayıcıları BİLGİ VE İLETİŞİM TEKNOLOJİSİ DERS NOTU - 2

Flash dosyası, kaynak koduna çevrilip incelendikten sonra Flash dosyasının kullanıcıyı sayfasına yönlendirdiği,

Bireysel İnternet Şubesi

BÖLÜM 8. Bilişim Sistemleri Güvenliği. Doç. Dr. Serkan ADA

MOBILEPAX ENTERPRISE API (WEB SERVİS)

IP NİZİ NASI GİZLERSİNİZ?

Siber Güvenlikte Neler Oluyor? Hasan H. SUBAŞI KAMU SİBER GÜVENLİK DERNEĞİ GENEL SEKRETER

Kurumsal Güvenlik ve Web Filtreleme

Yüksek Öğren m Kred ve Yurtlar Kurumu Genel Müdürlüğü. Yurt Kayıt İşlemler KULLANIM KILAVUZU

Enerji, bankacılık, finans, telekomünikasyon gibi önemli sektörler Sinara Labs ile siber saldırılar a karşı güvende

Siber Suçlarla Mücadele Şube Müdürlüğümüz, ilimiz Derince ilçesinde bulunan İl Emniyet Müdürlüğü yerleşkesinde faaliyet göstermektedir.

Enfeksiyon Kontrol Hemşireliği Sertifika Sınavı

Kurumsal Bilgi Güvenliği ve Siber Güvenlik

Tanımı Problemi 46 Şüpheci Yaklaşım 47 Tamsayı Taşması (Integer Overflow) 47 Tamsayı Taşması Java Uygulaması 48

İNTERNET VE BİLGİSAYAR AĞLARI

Kullanıcı Dostluğu vs Kullanıcı Güvenliği

Google Cloud Print Kılavuzu

Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu

VoIP Pentest NetSEC / Microso3 Türkiye Ozan UÇAR ozan.ucar@bga.com.tr

VKV Koç Özel İlkokulu, Ortaokulu ve Lisesi. K12Net Veli Yardım Kılavuzu

Google Play Zararlısı İnceleme Raporu

Zararlı Kodlar& Analiz Temelleri ve Bir Saldırının Anatomisi

Açık Kaynak Kodlu Yazılım Nedir?

1.5. Başvuru formundaki bilgileri aşağıdaki şekilde doldurunuz. Kart Okuyucu Tipi: Mini Kart Okuyucu Sertifika Süresi: 3 Yıl

MOBILEPAX XML PRODUCT API KULLANIM ŞEKLİ

Windows Temelli Zararlı Yazılımlarla Mücadele

Misafirlerinize internet hizmeti sunmanın en güvenli yolu!

Akıllı telefonlar, avuçiçi bilgisayarlar ile taşınabilir (cep) telefonların özelliklerini birleştiren cihazlardır. Akıllı telefonlar kullanıcıların

İNTERNET EXPLORER AYARLARI 1. Başlat-Ayarlar-Denetim Masası menüsünden "İnternet Özellikleri" (Seçenekleri)'ni seçiniz. Resim. 1

2008 Yılı Kritik Güvenlik Açıkları

İşletme Sonuçları Elde Etmek için Daha İyi Bir Çağrı Merkezi Deneyimi Sunma

BİLGİ GÜVENLİĞİ. Bu bolümde;

Web Uygulama Güvenliği Kontrol Listesi 2010

Ülkemizdeki Üniversite Web Sayfalarının Siber Güvenlik Açısından Hızlı Bir Değerlendirmesi

Dünyanın bilgisine açılan pencere... Ya da sadece yeni çağın eğlencesi...

1. E-TİCARETTE MAL ve HİZMET ALIP SATMAK 1.1. E- Ticaretin Ögeleri E-Posta Elektronik Firma (e-firma) Alıcı

Paralel Hesaplama - Beowulf Cluster

PERKON PDKS Kurulum ve hızlı başlangıç rehberi

Çevre ve Şehircilik Bakanlığı. İmar Barışı Kayıt Başvurusu ve Sorgulaması KULLANIM KILAVUZU

INTERNET NEDİR? INTERNET İN TARİHÇESİ WEB SAYFALARININ UZANTILARI

Transkript:

Cybook Orizon Mini Pentest Bilişim güvenliği ile ilgili teknik kitaplar okumaya bayılıyorum özellikle beni zorlayan, çıta yükselten kitaplar oldu mu tadından yenmiyor. Kitap okumadığım zaman geri kaldığımı düşünerek kendimi kötü hissediyorum bu nedenle kitap okuma konusunda ilginç bir motivasyona (takıntı da denebilir :)) sahibim. Üniversite zamanında hayatımın büyük bir bölümü bilgisayar başında e-book okumak ile geçerken iş hayatına geçiş sonrasında e-book çıktıları ile gezer durur oldum. Özellikle işe giderken ve işten gelirken serviste kitap okumak benim için büyük bir keyif ancak her gün 10-20 sayfalık çıktı almak, A4 e bassan kocaman, kitapçık yapsan küçücük, kağıt israfı, göz yorgunluğuydu derken okuma aşkı beraberinde bir çok sorunu da getiriyor. Neyse ki nişanlım duruma müdahale ederek geçtiğimiz aylarda bana bir e-book okuma cihazı hediye etti, Cybook Orizon. Dünyanın en ince e-book okuma cihazı olmasının yanısıra hafif olması (250 gr), dokunmatik ekrana sahip olması, micro-usb girişinin olması, 2 GB dahili belleğe, WIFI, bluetooth ve akselerometreye (accelerometer) sahip olması beni memnun eden özelliklerinin başında geliyor. Ahlaklı korsana hediye edilen elektronik cihazın ufak çaplı penetrasyon testinden geçirilmemesi gibi bir durum söz konusu olamazdı, olmadı da :) Teste ilk olarak port taraması ile başladım ve hiç açık port bulamadım. Daha sonra ARP zehirleme ile MITM (ortadaki adam) saldırısı gerçekleştirerek tüm trafiği izlemeye başladım. Web trafiğinden elde ettiğim bilgiler sayesinde cihaz üzerinde ARM Linux kullanıldığını, 2.6.21 kernel sürümüne sahip olduğunu ve Mozilla tabanlı özelleştirilmiş bir internet tarayıcısı kullanıldığını öğrendim.

Internet tarayıcısında denediğim about:config ve benzer yöntemlerin hiçbiri işe yaramadı. Bunun üzerine IKAT (Interactive Kiosk Attack Tool) in sitesine bağlanarak internet tarayıcısı üzerinden işletim sistemine erişecek yöntemleri de teker teker denedim ancak yine başarılı olamadım. Cihaz üzerinde bluetooth desteği olduğunu söylense de henüz aktifleştirilmemiş ve yerleşik yazılım (firmware) güncellemesi ile aktifleştirileceği belirtiliyor. Bu durum aslında yerleşik yazılım üzerinde bir çok opsiyonun gizlendiğine işaret ediyor. Cybook un sitesinden indirmiş olduğum yerleşik yazılımı incelediğimde normal olarak anlamlı hiçbir karakter dizisi ile karşılaşmadım. Karakter dağılımına baktığımda ise neden karşılaşmadığım ortadaydı. Yerleşik yazılım üzerinde yer alan ilk 5 bayt (Boo16) dikkatimi çekti ancak arama motorları üzerinde yaptığım araştırmalar sonuçsuz kaldı. Yerleşik yazılım üzerinde manipülasyonlar gerçekleştirerek ipuçları elde etme yolunu tercih etmek isterdim ancak yazılımın bozulması durumunda bana yol, köprü, baraj olarak geri döneceği için daha ileri gitmedim :) Cihaz üzerinde yer alan menülerde gezinirken Ebook Store menüsünün ilginç işlevi dikkatimi çekti. Bu menüye girince internet tarayıcısı otomatik olarak sizi Cybook un bir alt sitesine yönlendiriyor ve cihazı ADOBE ID ile

aktifleştirmenizi sağlıyor. Buraya kadar herşey normal ancak aktifleştirme kısmında javascript ile cihaza gönderilen komutlar dikkatimi çekti. BOO_CMD ile gönderilen her komutun bir işlevi bulunuyor ve site bağımsız olarak bu komutları nerede görürse görsün aynı işlevi yerine getiriyor. Komutları ortaya çıkartmak (enumerate) için ufak bir betik (script) hazırlayarak # karakterinden sonra gelebilecek en fazla 4 karakterden oluşan komutları (daha fazlası web sayfasının boyutunu büyütüyordu) oluşturdum ve daha sonra cihazın oluşturduğu trafiği izlemeye başladım ancak Sync dışında trafik oluşturan herhangi bir komut karşılaşmadım. Son olarak cihazın güvenli bir siteye (SSL) bağlanma esnasında sahte sertifika ile karşılaşması durumunda nasıl bir aksiyon aldığını görmek için ufak bir test gerçekleştirdiğimde beni üzen bir durum ile karşılaştım. Cihaz güvenli bağlantının kurulması esnasında MITM saldırısı gerçekleştirilmesi durumunda herhangi bir uyarı vermeden iletişim kurmaya devam ediyor yani Starbucks ta kahvenizi yudumlarken bir yandan e-postalarımı güvenli bir şekilde kontrol edeyim deme gibi bir şansınız ne yazıkki bulunmuyor. Askere gitmeden önce hazırlamış olduğum yaylalar yazı dizisinin birincisi burada son bulurken herkese güvenli günler dilerim.

Yedek Subay Sınıflandırma Sonuçları Gözlemcisi Benim gibi Nisan celbinde askere gidecek olan bir çok kişinin 1-2-3 Nisan tarihlerinde yedek subay sınıflandırma sınavına girdiğinden ve 10 Nisan günü açıklanacak olan sınav sonuçlarını dört gözle beklediğine hiç şüphem yok ancak sınav sonuçlarının tam olarak saat kaçta açıklandığı konusunda kimsenin net bir bilgisi bulunmuyor. Kimine göre sonuçlar saat 24 den sonra açıklanacak kimine göre ise saat 23 den sonra açıklanacak. 9 Nisan gecesi saatlerce ekran başında beklemek istemeyenler için girişimciler sms ile uyarı hizmeti sunmaya başlamışlar. Bu hizmetten faydalanmak isteyenler Paypal hesabına 20 TL ödeme yaparak cep telefonu numaralarını sisteme giriyorlar ve sınav sonuçları açıklandığı anda uyarı SMS i cep telefonuna geliyor. Açıkçası bir SMS için 20 TL bana biraz pahalı geldi bu nedenle ufak bir program hazırlamaya karar verdim. Çoğu kişinin benim gibi cep telefonundan e-postalarını kontrol ettiğinden şüphem yok bu nedenle hazırlamış olduğum program çalışır çalışmaz http://pertem.kkk.tsk.tr/yedeksubay/adaynoarama.aspx adresine bağlanarak sayfada yer alan dönem bilgisi ile programın içinde tanımlı olan dönem bilgisini (misal benim dönemim 339) karşılaştırmakta ve tutması durumunda yine programda tanımlı olan G-mail e-posta adresine (kullanıcı adı ve şifre girmek zorunludur) sınav sonuçlarının açıklandığına dair uyarı e-postası göndermektedir. Eğer sınav sonuçları henüz açıklanmamış ise 60 saniyede bir otomatik olarak sayfayı tekrar kontrol etmektedir. Pertem adındaki programa buradan ulaşabilirsiniz. Asker olacaklara şimdiden hayırlı tezkereler Ekran görüntüleri:

Yüküm Nmap, Burp Suite Dilo Dilo Yaylalar 2007 yılınının Haziran ayında Finansbank ın Bilgi Teknolojileri grubu olan IBTech firmasında başlamış olduğum ahlaklı korsanlık (ethical hacker/penetration tester) görevimden 30 Mart itibariyle vatani görevimi yerine getirmek üzere ayrılmak zorunda kaldım. Zorunda kaldım diyorum çünkü

benim için çok keyifli, öğretici, kendimi geliştirmeme imkan tanıyan (tersine mühendislik, adli bilişim analizi, penetrasyon testi, programlama, vaka yönetimi, zararlı yazılım analizi ve niceleri) ve her geçen gün yeni teknolojileri yakından tanımamı sağlayan çok güzel bir ortamı geride bıraktım. IBTech firmasında çalışmaya başlamadan önce ahlaklı bir korsan olarak bir bankada veya bir bankaya hizmet veren teknoloji firmasında çalışmak gayelerimden sadece bir tanesiydi. Neden diye soracak olursanız, bankalara ait sistemler, orduya ait sistemler gibi art niyetli kişiler için oldukça değerli, yeraltı dünyasında her zaman alıcısı olan bilgileri üzerinde barındırabilmektedir. Bu nedenle sürekli saldırı altında kalan bu sistemleri denetlemenin ve art niyetli kişilerden önce bu güvenlik zafiyetlerini tespit ederek zafiyetlerin ortadan kaldırılmasını sağlamanın benim için müthiş bir deneyim olacağından hiç şüphem yoktu. Daha önce sadece para çekmek için kullandığım ATM cihazlarından, kredi kartını okutmak için kullandığım POS cihazlarına kadar bir çok sistem ve teknoloji üzerinde penetrasyon testi gerçekleştirmek benim için inanılmaz bir tecrübe oldu. Kimi zaman beni şaşırtan tecrübeler de yaşamadım değil. Bazı bankalar müşterlerine son teknolojiyi çok kısa bir sürede sunarken bazı bankalar ise bu teknolojinin güvenli ve istikrarlı çalıştığından emin olduktan sonra müşterlerine sunuyor (Misal Finansbank). 2007 yılında bir kaç banka tarafından hali hazırda ortak olarak kullanılan yeni bir teknolojiyi test ettiğimde kullanılan şifrelemenin zayıf olduğunu ve istismar edildiğinde finansal sıkıntıya yol açtığını tespit etmiştim. Benim için en büyük soru işareti nasıl olurda gerçek anlamda penetrasyon testinden geçirilmeyen bir sistem/teknoloji bu bankalar tarafından müşterlerin hizmetine sunulmuştu? Bu sorunun cevabını hiç bir zaman öğrenemeyeceğim için bir müşteri olarak son teknolojiyi çok kısa bir süre içinde hizmete dönüştüren bankalar ile çalışmak için çok acele etmemem gerektiğini öğrenmiş oldum. Bu yazımda 4 sene sonunda müşterilerine sunduğu teknolojilerin/hizmetlerin güvenliğini sağlamak amacıyla ahlaklı korsan kadrosunu genişleten IBTech firmasını ve dolayısıyla Finansbank ı tebrik etmeden geçmek istemiyorum. Genç arkadaşlardan çok sayıda bilişim güvenliği alanında nereden ve nasıl başlamalıyım başlıklı bir çok e-posta alıyorum ve hepsini yanıtlamaya özen gösteriyorum. Bu yazı ile ahlaklı korsan (ethical hacker/penetration tester) olmak isteyen genç arkadaşlara da engin deneyimler ve tecrübeler için bir bankada veya bankaya hizmet veren bir teknoloji firmasında çalışmalarını öneriyorum. Gelelim sizlerden ne kadar süre ayrı kalacağıma. Henüz yedek subay sınav

sonuçları açıklanmadığı için kısa dönem mi yoksa uzun dönem mi askerlik yapacağımı bilmiyorum ancak her ihtimale karşı askerdeyken yayınlanmak üzere bir kaç yazıyı birliğime teslim olana kadar geçecek olan sürede hazırlıyor olacağım, hiç üzülmeyin :) Kendimi geliştirmekten ve yeni teknolojiler tanımaktan keyif alan bir güvenlik uzmanı olarak Türk Silahlı Kuvvetleri nin beni mesleğim ile ilgili bir konumda görevlendirmesi dileğiyle Web Servis Güvenliğine Dair Ağırlıklı olarak xml tabanlı olan web servisler genelde iki farklı uygulamanın birbiri ile ortak bir dil üzerinden haberleşmesi amacıyla kullanılmaktadır. Bu sayede farklı programlama dilleri ile yazılmış iki uygulama birbirleri ile haberleşirken bir web servis kullanarak haberleşme esnasında ortaya çıkabilecek yazılımsal/tasarımsal uyumsuzlukları veya engelleri ortadan kaldırmaktadır. Çoğunlukla son kullanıcı bir web uygulaması ile etkileşimde bulunurken arka planda bu uygulama, kullanıcıya sunacağı içeriği farklı sunuculardan web servis aracılığı ile toplamakta ve harmanladıktan sonra kullanıcıya sunmaktadır. Web servis denilince çoğu kişinin aklına XML ve SOAP gelmektedir. SOAP, XML kullanarak uygulamalar arası bilgi alışverişinin nasıl sağlayacağını tanımlayan bir standart, bir protokoldür. XML ise veri göstermek amacıyla kullanılan HTML in aksine, veri taşımak ve saklamak için kullanılan bir dildir. Web servislerine yönelik tehditlerin başında XML enjeksiyonu, XPath enjeksiyonu, XML bombası, paramatre manipülasyonu, WSDL taraması ve daha bir çok tehdit gelmektedir. Web Services Description Language (WSDL), bir web servis ile iletişim kurulabilmesi için gerekli parametreleri, metodları içerir. WSDL i dış dünyaya açık olan bir web servis üzerinde yer alan servis yukarda bahsi geçen tehditlere mağruz kalabildiği gibi servisin ve hizmetin kötüye kullanımını da yol açabilmektedir. Örnek olarak X firmasının sitesinde yer alan bir gsm firmasına ait olan imzalama yazılımına kısaca göz atalım. Bu imzalama programı, mobil imza kullanıcılarının kişisel bilgisayarlarındaki

dosyaları cep telefonları aracılığıyla elektronik olarak imzalamalarını ve kendilerine gelen elektronik imzalanmış dosyaları doğrulamalarını sağlayabilen kurulumu ve kullanımı oldukça basit olan bir yazılımdır. Mobil İmza kullanma gayesiyle göz attığım bu yazılımın doğrudan bir web servis ile haberleşiyor olması ister istemez dikkatimi çekmişti çünkü kurumsal ağlarda ve güvenli tasarlanan yazılımlarda son kullanıcının web servis ile münasebet kurması çok tercih edilmemektedir. WSDL dosyasına baktığımda KullanıcıVarMi, ImzaIleLisansAl, VarOlanLisansiGetir servisleri ilgimi çekti. Normal şartlarda imzalama uygulaması kullanılarak çağrılabilecek bu servisler, WSDL den elde edilen bilgiler ile istenildiği taktirde herhangi bir http isteği yapan bir araç üzerinden de çağrılabilir. Kısaca imzalama uygulaması yerine isteyen kendi uygulamasını hazırlayarak bu servisleri çağırabilir ve uygulama üzerinde yer alan kısıtlamalardan etkilenmeyebilir. Aklıma gelen ilk soru art niyetli bir kişi başkasına ait olan bir lisansı VarOlanLisansiGetir servisini çağırarak getirebilir miydi? Bu sorunun yanıtını her ne kadar merak etsem de etik açıdan doğru olmayacağını düşündüğüm için aramaktan vazgeçtim. Bunun yerine KullanıcıVarMi servisi ile

bir kaç sorgu gerçekleştirdim. Bu servisin bir gsm şirketine ait olan herhangi bir telefon numarası ile çağrılması durumunda sunucudan true (var) ya da false (yok) şeklinde yanıt geldiğini gördüm. Servisin çalışıp çalışmadığını teyit etmek için elimde mobil imza kullanan ve kullanmayan iki farklı cep telefonu numarası ile deneme gerçekleştirdim ve servisin çalıştığını teyit ettim. Servisin bu şekilde isteyen herkes tarafından kullanılabiliyor olmasının art niyetli kişiler tarafından nasıl istismar edilebileceğini düşünmeye koyulduğumda aklıma gelen ilk senaryo şu şekilde oldu. Bildiğiniz gibi man in the mobile saldırısı gerçekleştiren Zeus bankacılık trojanı, kullanıcının cep telefonuna SMS şifresini çalmak için bir trojan göndermektedir. Böyle bir servisin halka açık olarak hizmet vermesi durumunda bu servisten faydalanan zararlı bir yazılım körü körüne kurbana ait olan cep telefonu numarasına SMS şifresini çalan trojan göndermek yerine öncelikle bu servisi çağırarak mobil imza kullanıcısı olup olmadığını teyit edebilir ve yanıta göre mobil imza uygulamasını hedef alan zararlı bir yazılım gönderebilir. Bu servisin bu şekli ile kullanılmasının bir gsm firmasına ait mobil imza kullanan banka müşterilerinin ve bankaların doğru bulmayacağını düşünerek konuyu hemen X firmasına bildirmek için sayfalarında yer alan e-posta adresine bir e-posta

gönderdim. Bu adrese gönderilen e-postaları kontrol etmeyeceklerini düşünerek (Türkiye gerçeği) biraz araştırma yaparak genel müdürün e-posta adresini bularak kendisine konu ile ilgili iletişim kurabileceğim bir yetkilinin bilgisini öğrenmek için ayrı bir e-posta gönderdim. Ancak iki hafta içinde tarafıma herhangi bir geri dönüş yapılmadığı için bu servisin art niyetli kişiler tarafından bu şekilde kullanılmasını en kısa sürede engelleyebilmek adına bu yazıyı yazma ve ilgilileri göreve çağırma misyonunu üstlendim. Yazının giriş kısmında da belirttiğim üzere web servislerin sadece uygulamalar arasında kullanılıyor olması ve son kullanıcı kullanımına kısıtlanıyor olması bu tür tehditleri berteraf edilmesine yardımcı olacaktır. Bir sonraki yazıda görüşmek dileğiyle [28-03-2011] Güncelleme: Firma genel müdürünün bugün itibariyle tarafımla iletişime geçmesi ve firma isimlerinin yazıda geçmesinden ötürü duyduğu rahatsızlığı dile getirmesi üzerine yazıda geçen firma isimleri sansürlenmiştir. Gerekli görülmesi durumunda ilerleyen zamanlarda kendileri ile gerçekleştirilen yazışmalara yer verilebilir. Google'a Bile Güvenme Milliyet.com.tr web sitesinde yer alan bir haberde, dolandırıcıların Gelir İdaresi Başkanlığı na (www.gib.gov.tr) ait olan internet vergi dairesi sitesinin bir kopyasını oluşturdukları ve benzer bir alan adı altında (www.gib.gen.tr) site kurarak insanları dolandırmaya çalıştıkları ortaya çıkmış. İşin ilginç yanı ise bu sahte sitenin Google arama motorunda motorlu taşıtlar vergisi anahtar kelimesi ile yapılan aramalarda ilk sırada çıkabilmesi için dolandırıcılar tarafından Google a reklam verilmiş olması. Aslında yıllardan beri Google arama motoru üzerinde zararlı kod yayan sitelerden, dolandırıcılık amacıyla kurulmuş olan sitelere kadar bir çok zararlı sitenin kullanıcıları benzer yöntemler ile hedef aldığı bilinmektedir. Google da bunlar karşısında boş durmayarak zararlı kod yayan siteleri tespit etmekte ve arama sonuçlarına ilgili site için ufak bir ibare ekleyerek ziyaret edilmek istenen sitenin pek te güvenilir olmadığı konusunda kullancıları bilgilendirmektedir. Zararlı ve sahte sitelerin ister istemez Google arama sonuçlarında yer alabilmesi kullanıcılar için tehlike oluştururken bence kötüye kullanılabilecek bir diğer tehlike ise Google arama motorunda yer alan kendimi şanslı hissediyorum arama özelliğidir. Herhangi bir anahtar kelime

yazıp (web adresi de olabilir) bu butona basacak olursanız anahtar kelimeniz ile ilişkili olan ilk web sitesine yönlendiğinizi (URL Redirection) görebilirsiniz. Her ne kadar Google ip adreslerine yönlendirme yapmıyor olsa da anahtar kelime olarak yazının başında bahsetmiş olduğum dolandırıcılar tarafından kurulan web sitesinin adresini yazmanız durumunda bu adrese sizi seve seve yönlendirecektir. Google Üzerinden Yönlendirme Örneği (Kendimi Şanslı Hissediyorum): Kendini şanslı hissediyor musun? Kendimi şanslı hissediyorum yönlendirmesine ilave olarak Google arama motoru üzerinde başka bir yönlendirme daha mevcut. Örneğin Firefox internet tarayıcısı üzerinde adres çubuğuna /root yazıp enter tuşuna basacak olursanız kendinizi http://root.cern.ch/drupal/ sitesinde bulduğunuzu görebilirsiniz. Yine arka tarafta bunun nasıl çalıştığına bakacak olursak adres çubuğuna yazacağınız bir kelime arka tarafta Google arama motoruna giderek sizi bu anahtar kelime ile ilişkili olan site başlığına (title) sahip ilk siteye yönlendirmektedir. Google Üzerinden Yönlendirme Örneği: Google a bile güvenme Sonuç olarak bu tür kontrolsüz URL yönlendirmelerinin phishing saldırılarından istismar paketlerine (exploit pack) yönlendirmeye kadar kötüye kullanıldığına bir çok defa tanık olmuştum ancak Google arama motorunun bu tür saldırılara imkan tanıyacak bir tasarıma sahip olduğu bugüne dek hiç dikkatimi çekmemişti. Siz siz olun gelen bağlantı adresi google.com/google.com.tr içeriyor diye körü körüne tıklamayın Bir sonraki yazı ile görüşmek dileğiyle

2026 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim