25-26 Kasım 2011 Tarihleri arasında Ankara’da gerçekleştirilen IV. Ağ ve Bilgi Güvenliği Sempozyumu kapsamında yaptığım konuşmaya ait bant çözümüne buradan ulaşabilirsiniz. Konuşma ses kaydından hazırlandığı için bazı eksik/yanlış kelimeler girmiş olabilir.
Detay bilgi http://www.bga.com.tr/bilgisayar-aglarinda-adli-bilisim-analizi-egitimi-16-19-subat-2011/ Read more »
Bilişim suçu işlenirken kullanılmış sistemler incelenirken en önemli adımlardan biri sistemin o an çalışan imajının alınmasıdır. Bu imajda en önemli parçayı fiziksel hafıza/belleğin kopyası oluşturmaktadır. Read more »
Whois kayıtlarını inceleyerek bir domaine ait temel bilgiler edinilebilir. Bu bilgiler domainin sahibi, mail adresi, gerçek adresi ,telefon numarası vs gibi detaylı bilgiler de olabilir sadece NS(nameserver ve registrant) kayıtları da olabilir. Çoğu registrar firma alan adı alımı sonrasında whois bilgilerini gizleme hizmeti sunmaktadır. Her ne kadar alan adı bilgileri gizlense de bilgi toplama yöntemlerini kullanabilen birileri rahatlıkla gizlenen alan adı gerçek sahibini bulabilir.
Tags: geçmiş site kayıtları, whois
BilişimGüvenliğiGünleri etkinliği kapsamında yaptığım “Bilişim suçlarında ağ ve sistem analizi” konulu konuşmanın sunum dosyasına http://www.guvenlikegitimleri.com/calismalar/networkforensics.pdf adresinden ulaşılabilir.
Etkinlik dolu dolu geçti, Türkiye’de marka bağımsız yapılan bir etkinlikte hem de hafta içi bu kadar sayıda(~300) kişinin katılımı benim için de bir sürpriz oldu.
*Başlıkta network forensic yazması içeriğin %99′unun network forensic’e ait olmasından:)
Bilişim suçu işlenirken kullanılmış sistemler incelenirken en önemli adımlardan biri sistemin o an çalışan imajının alınmasıdır. Bu imajda en önemli parçayı fiziksel hafıza/belleğin kopyası oluşturmaktadır. Linux sistemlerde fiziksel belleğin bir kopyasını çıkarmak oldukça kolaydır. Fiziksel belleğin bir kopyası dosyaya yazıldıktan sonra hashi alınarak üzerinde çalışılabilir.
Örnek: Linux makinedeki bir kullanıcı(netsec kullanıcısı) 192.168.1.107 IP adresine SSH ile bağlanmış olsun. SSH ile bağlanma esnasında username/pass bilgileri bellekte tutulacağı için bağlantı esnasında birileri memory dump işlemi gerçekleştirirse ilgili hesaba ait erişim bilgilerini edinebilir.
# ssh netsec@192.168.1.107
The authenticity of host ‘192.168.1.107 (192.168.1.107)’ can’t be established.
RSA key fingerprint is 23:10:41:2f:62:c6:a5:30:3d:a6:6d:e9:a6:81:83:1a.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added ‘192.168.1.107′ (RSA) to the list of known hosts.
netsec@192.168.1.107’s password:
BackTrack 4 (PwnSauce) Penetration Testing and Auditing Distribution
Could not chdir to home directory /home/netsec: No such file or directory
netsec@seclab:/$
Aynı sistemde memory dump işlemi gerçekleştirelim:
Linux sistemlerde sistem çalışırken hafızasını bir dosyaya boşaltabiliriz, bunun için çeşitli araçlar kullanılabilir. Bu araçlardan biri de memdump’dır.
#memdump > FDUMP
Memdump ile dosyaya aktardığımız hafıza bilgilerini string komutu ve grep komutunu kullanarak inceleyebiliriz.
#strings FDUMP |grep netsec
netsec@192.168.1.107
netsec
sshd: netsec@pts/6
netsec
USER=netsec
MAIL=/var/mail/netsec
HOME=/home/netsec
LOGNAME=netsec
/var/mail/netsec
netsec@seclab:/$
Bellekte bulunan herhangi bir dosyayı elde etmek için scalpel gibi bir araç kullanabiliriz. Mesela bellekte bulunan PNG ve HTM formatındaki dosyaları tekrar oluşturmak için aşağıdaki komut iş görecektir.
root@seclab:/pentest/test# scalpel FDUMP -c /etc/scalpel/scalpel.conf
Scalpel version 1.60
Written by Golden G. Richard III, based on Foremost 0.69.
Opening target “/pentest/FDUMP”
Image file pass 1/2.
/pentest/FDUMP: 100.0% |**********************************************************************| 511.9 MB 00:00 ETAAllocating work queues…
Work queues allocation complete. Building carve lists…
Carve lists built. Workload:
png with header “\x50\x4e\x47\x3f” and footer “\xff\xfc\xfd\xfe” –> 7 files
htm with header “\x3c\x68\x74\x6d\x6c” and footer “\x3c\x2f\x68\x74\x6d\x6c\x3e” –> 64 files
Carving files from image.
Image file pass 2/2.
/pentest/FDUMP: 100.0% |***************************************************************************| 511.9 MB 00:00 ETAProcessing of image file complete. Cleaning up…
Done.
Scalpel is done, files carved = 71, elapsed = 13 seconds.
Aynı dizindeki scalpel-output alt dizini incelenirse bellek görüntüsü alındığı anda açık olan(veya daha önce açılmış) PNG, HTM dosyaların bir kopyasının oluştuğu görülecektir.
# ls scalpel-output/png-0-0/
00000000.png 00000001.png 00000002.png 00000003.png 00000004.png 00000005.png 00000006.png
Tags: linux forensics
Bilişim sistemleri kullanılarak işlenen suçlardaki en önemli delillerden biri olan IP adresleri ve IP adreslerinin adli bilişim incelemelerinde nasıl kullanılması gerektiği konusunda detaylı bir yazı BGA belge deposuna eklenmiştir.
Bilişim Suçlarında IP Adres Analizi adresinden pdf formatında indirilebilir.
Tags: ip forensics
Türkiye’de bilişim suçlarını ilgilendiren davalarda atanan bilirkişiler tam manasıyla facia*. Bilirkişilik kurumu nasıl işliyor detaylarını bilmiyorum ama çeşitli bilirkişi raporlarını inceledikten sonra hemen hemen çoğunun yanlış/eksik yorumlarla dolu olduğunu gördüm. Neden bilirkişilik yapılır onu da bilmiyorum ama sanırım bu işin maddi bir boyutu var yoksa insan sadece gönüllü bir iş olarak başkalarının kendi bilgi eksikliğinden dolayı ceza almasını istemez.
Bu yazıyı yazmama sebep olan olay da yaklaşık bir iki hafta öncesinde bir bilirkişi(!)’nin benim yazdığım makaleyi kopyalayarak birilerini mağdur etmesi.
Olay şöyle gelişiyor … Read more »
Tags: bilirkişi, bilişim suçları
Facebook mail forensics ya da Türkçe ifadesiyle Facebook üzerinden gönderilen mesajlarda gönderenin IP adresini bulma: Facebook’da listenizdeki birinden gönderilen maillerde e-posta başlığı detaylı incelenirse mesajı göndericinin IP adresi yer alıyor.
X-Facebook: from zuckmail ([ODYu...LjE42OQ==]) by www.facebook.com with HTTP (ZuckMail); gibi
Facebook mesaj gönderimlerinde Zuckmail kullanıyor ve bu mail yazılımı maili gönderirken HTTP üzerinden aldığı başlık bilgilerini(kullanıcı IP adresi)de gönderilen maile ekliyor. Read more »
Sucuri, internet üzerinden çeşitli hizmetler veren bir servis. Bu servislerin arasında Sucuri NBIM(Network-based Integrity Monitoring) günümüz internet dünyasında biz güvenlikcilerin çok işine yarayacak bir servis.
Sucuri NBIM ile ne yapabilirsiniz?
Sahibi olduğunuz domainleri ekleyerek bu domainlere ait DNS, whois, site içeriği, karalistelere girme durumu, SSL sertifika durumu gibi bilgilerin değişip değişmediğini 7X24 kontrol ettirebilir ve değişiklik anında size haber vermesini sağlayabilirsiniz
