Facebook mail forensics ya da Türkçe ifadesiyle Facebook üzerinden gönderilen mesajlarda gönderenin IP adresini bulma: Facebook’da listenizdeki birinden gönderilen maillerde e-posta başlığı detaylı incelenirse mesajı göndericinin IP adresi yer alıyor.
X-Facebook: from zuckmail ([ODYu...LjE42OQ==]) by www.facebook.com with HTTP (ZuckMail); gibi
Facebook mesaj gönderimlerinde Zuckmail kullanıyor ve bu mail yazılımı maili gönderirken HTTP üzerinden aldığı başlık bilgilerini(kullanıcı IP adresi)de gönderilen maile ekliyor. Read more »
1-2 Mayıs 2010 tarihlerinde Snort Saldırı Tespit ve Engelleme Sistemi eğitimi açılacaktır.
Eğitime katılanlar günümüzde ağ güvenliği denildiğinde akla ilk gelen bileşen IPS’ler hakkında detay ve uygulamalı bilgi sahibi olacaklar ve Snort’u gerçek ağ ortamlarında kullanabilmek için gerekli bilgiyi edinecekler.
Eğitim ileri düzey bir eğitim olduğu için öncesinde katılımcılara ücretsiz olarak “Online TCP/IP Güvenliği” eğitimi hediye edilecek ve online sınav yapılacaktır.
Eğitim sonrası katılımcılar “Snort Certified Professional (SnortCP)” sertifikasına hazır hale geleceklerdir. Read more »
Son 3-4 yıldır sabahları ilk işim biriktirdiğim güvenlik içerikli blogları takip etmek. Genelde bu işe insanların iş y erinde kahvaltı, gazete okuma, facebook karıştırma zamanlarına denk getirmeye çalışıyorum( 08-09:30 ). Çoğu zaman bu okumalarımdan yeni şeyler öğrenirim, zaman zaman da bırak blog okuma işini al eline bir kitap daha fazla şey öğrenirsin diye kendi kendime söylenirim.
Read more »
2-3 Nisan 2010 tarihlerinde İstanbul Bilgi Üniversitesi’nde gerçekleştirilecek “Özgür yazılım ve Linux günleri” kapsamında Özgür yazılımlarla DDOS Saldırıları Engelleme konulu bir sunum vereceğim.
Sunum OpenBSD ve Snort ikilisi kullanılarak saldırıları engelleme (Neden OpenBSD diye soranları sunuma bekleriz) ve benim son 2-3 yılda yaşadığım saldırılar ve analizlerinden edindiğim tecrübeleri içerecek. (15:30-16:20 saatleri arası).
Programın tamamına http://www.ozguryazilimgunleri.org/program_tmp.html adresinden erişilebilir.
Bu aralar nedense DOS saldırılarında ciddi bir artış var. 2010 yılında daha önceki hayatımda karşılaşmadığım kadar DOS/DDOS olayıyla karşılaştım. Bunların çoğu ciddi(50-100 Mb ile yapılan) saldırılar olmasa da hedef sistemleri aşağı indirmeyi başarmış saldırılar. Yaşanan saldırı sonrası genelde analiz kısmı bana kaldığı için ben de oturup analiz aşamasında ne yaptığımı kısa kısa anlatayım dedim.
Analiz kısmında genellikle elimde pcap formatında 3-4GB veri oluyor. bunu saldırı anında span portuna bağlı bir snifferdan almak zorunda kalıyoruz ya da destekliyorsa IPS/Firewall üzerinden. Denizde kum bizde paket misali pcap dosyasının içine dalıp yapılan saldırıyla ilgili ipucu aramaya çalışıyorum.
İlk olarak baktığım klasik flood saldırıları mı yapılmış, hangi ip adreslerinden yapılmış , spoof ip mi kullanılmış yoksa gerçek ipler mi gibi konular. Birşey bulamazsam tcpreplay ile oynatıp Snort imzalarından geçirerek acaba klasik bir araç, yöntem mi kullanılmış bakıyorum ama çoğunlukla bu kadar uğraşmaya gerek kalmadan tcpdump (+cat ,grep , sort, uniq, awk vs)kullanarak analiz raporunu yazabiliyorum. Tcpdump kullanırken de bilinen parametlerinin yanında bu tip saldırılar için faydalı olacak bazı detay parametreler kullanıyorum(tcp flag lerine göre paket gösterme gibi) Read more »
Vakit buldukça eğlence olsun diye arama motorlarından hangi anahtar kelimelerle bu siteye ulaşıldığını yazacağım demiştim. İşte bu bölümün ikicni top-1o’u
1)ttnet ultrasurf = Ultrasurf kullanarak TTnet ADSL’i ücretsiz(!) kullanabilirsiniz. Nasıl mı? Google’da ttnet ultrasurf dediğinizde ilk gelen sayfalardan birinde yazıyor. Read more »
Bugün ilginç bir görüşme yaptım. Bir uzantısı da Türkiye’de bulunan Avrupanın en büyük networküne sahip bir firmadan firmanın tüm ağ altyapısını test edecek anlaşma teklifi geldi. Önce klasik pentest talebi olarak algılayıp çok sıcak bakmasam da işin tamamen network üzerine olduğunu anlayınca heyecanla varım dedim!.
Mülakatta gelen ilk soru klasikti hangi araçları kullanacaksınız? Burada karşı tarafı etkileme amaçlı bir dünya araç ismi sayabilirdim fakat network testlerinde Hping, Nmap ve Netcat üçlüsü(+tcpdump) işimi fazlaca gördüğü için bunları saydım.
hping sihirli sözcük olmalı ki sorular onun üzerinden gelmeye devam etti. Neden hping, hping ile neler yapabilirsiniz vs…
Ben de her zamanki klasik cevabımı paylaştım: “Hping benim için aklımdakileri gerçekleştirmeme kolaylık sağlayan bir araç, iyi bir araç. Bunun ötesinde birşey değil…” Read more »
Penetrasyon testlerinin ilk ve en önemli adımı olan bilgi toplama kısmında pentest yapan kişi/firma öncelikle hedef ağın bir haritasını çıkarır. Bu harita test edilen ağın dışardan nasıl göründüğünü belirler aynı zamanda testi yapanların ne kadar işin ehli olduğunu belirlemeye de yarar.
Gerçi Türkiye’de yapılan pentestlerde firmalar IPS ve Firewall üzerinden full erişim istemekte ve aslında çok sağlam bulgulara yol açacak bu adım es geçilmekte. Çok sağlam bulgulardan kastım yapılan testlerde hedef sisteme sızma değil, hedef sistemin avaibility’sini sıkıntıya sokabilecek bulgular(birkaç yüz paketle 1-2Gblik hatta sahip olan bir sistemi DOS’a maruz bırakma vs gibi).
Evet günümüzde sık kullanılan bazı güvenlik sistemleri(Firewall/IPS/DDOS Engelleme)eğer dikkatli ayarlanmadıysa rahatlıkla DOS’a maruz bırakılabiliyor(DOS yapmak için 3-4 Mb hat yeterli oluyor). Bunlardan 4-5 tanesini bizzat çalışan sistemlerde firmaların izinlerini alarak test ettim ve sonuç tam manasıyla ürkütücü çıktı. Çeşitli saldırılardan korunmak üzere kurduğumuz sistemlere karşı yapılacak akıllı saldırılar sonucu koruma sistemleri birden kılık değiştirerek tüm ağı engellemeye başlayabiliyor. Read more »
Son kullanıcılar için günümüz internetinde “güvenli” bir şekilde dolaşmak neredeyse imkansızdır. Özellikle son yıllarda hackerların istemci programlarına(Adoba Acrobat Reader, Flash, Internet Explorer vs) yönelmeleri bu alanda ciddi güvenlik sıkıntıları oluşturmaya başladı. Hemen her hafta/ay istemci programlarında 0 day olarak tabir edilen yaması henüz çıkmamış güvenlik açıklıkları duyuruluyor. Sistemlerini güncel halde tutma bilinci olmayan(bazen bu bilinç olsa da henüz güvenlik yaması duyurulmamış olabiliyor)ve sağlam antivirüs programı kullanmayan tüm kullanıcıların bilgisayarlarının zombiye dönüşmesi an meselesi.
Peki nasıl oluyor da bilgisayarlar zombiye dönüşüp spam aracı ya da DDOS aracı olarak kullanılıyor?
Read more »
