27 Ağustos 2015 Perşembe

Omuz Sörfü

Omuz sörfü sosyal mühendislik yöntemlerinden biridir. Sosyal Mühendisliği açıklamak gerekirse; insanlar arasındaki iletişimdeki ve insan davranışındaki açıklıkları tanıyıp, bunlardan faydalanarak güvenlik süreçlerini atlatma yöntemine dayanan müdahalelere verilen isimdir. [1]

Omuz sörfü denildiğinde aklınıza ilk ne gelir? Kısa bir süre düşündüğümüzde omuz sörfü aslında aklımıza gelen şeyden çokta farklı değil. Omuz sörfünü araştırdığımızda tanımlarda "Şifre yazılırken ya da erişim kısıtlı sistemlere erişilirken saldırıların izlenmesi" diye açıklamalarla karşılaşmaktayız.

Peki günlük hayatta omuz sörfüne nasıl maruz kalıyoruz?

1. İşyerinde illaki meraklı ya da kötü niyetli olarak omuz sörfü gerçekleştirmeye çalışan insanlar vardır. Bu kişiler; iş arkadaşlarımız, amir ve müdürlerimiz, işyerine dışarıdan gelen kişiler vb. olabilir.


2. Cafede otururken, restaurantta yemek yerken, bankta arkadaşınızı beklerken, otobüste yolculuk ederken yanınızda oturan yada arkanızdaki kişiler tarafından size omuz sörfü yapılabilir. Çoğunluk anlık mesajlaşmalarınızı okumaya çalışırlar, facebookta incelediğiniz bildirilere, twitterdan okuduğunuz tweetlere göz atarlar. İletişim bilgilerinizi, facebooktaki adınızı, telefon numaranızı, mesajlaştığınız kişinin adını (acaba sevgilisiyle mi konuşuyor merakından dolayı) öğrenmeye çalışır. Ayrıca omuz sörfü ile kötü niyetli kişilerin elde edebileceği daha kritik bilgilerde olabilir.



















3. Kredi kartı veya bankamatik kartı hırsızlığı öncesi kartın şifresini öğrenmek için denenen yöntemlerden biri de omuz sörfüdür.ATM lere para çekmeye gittiğimizde ya da işlem yapmaya çalıştığımızda yanımızdaki atmde işlem yapmaya çalışan ya da arkamızda sıra bekleyen kişi tarafından omuz sörfüne maruz kalabiliriz. Bu kişiler bizim kart bilgilerimizin yanı sıra kart şifremizi, hesabımızdaki para miktarını ve diğer bilgilerimizi öğrenebilir.



Omuz sörfüyle ilgili daha birçok örnekler vardır. Peki omuz sörfüne karşı ne gibi önlemler alabiliriz?

1. Sizden başka birinin ortamda bulunduğu durumlarda şifrenizi girmeyin. Zaruri durumlarda hızlı bir şekilde tuşlara basınız.[2]

2. Yanınıza gelen kişiler olduğunda ve başkasının görmemesi ya da paylaşmamanız gereken şeyler olduğunda önlemler almanız gerekir. Eğer ekranı değiştirmeye zamanınız yok ise monitörü tamamen kapatabilir, masanızdaki evrakların ters yüzünü çevirebilir ya da nazikçe müsaade etmesini isteyebilirsiniz.


3. ATM lerde işlem yapmak için gireceğiniz şifrenizi elinizle saklamaya çalışabilir ya da atm ye daha da yaklaşarak diğer kişilerin görüş açısını daraltabilirsiniz. 










4. Aşağıdaki resimdeki gibi kendi yaratıcılığınız doğrultusunda önlemler alabilirsiniz.












Saygılarımla



[1] https://www.bilgiguvenligi.gov.tr/sosyal-muhendislik/sosyal-muhendislik-saldirilari-3.html
[2] Granger S., Social Engineering Fundamentals, Part I: Hacker Tactics, SecurityFocus Infocus, Article No: 1527. 2001.




19 Ağustos 2015 Çarşamba

Açık Kaynak İstihbaratı

Open Source Intelligence (OSINT)



Merhabalar, Siber Güvenlik alanında belki de karşımıza en çok çıkan konu OSINT dir. Hayatın her anında ya bilinçli-bilinçsiz şekilde OSINT yapıyoruz ya da OSINT e maruz kalıyoruz. Peki nedir bu OSINT? Herkesin erişimine açık kaynaklar üzerinden yapılan araştırmalar sonucu hedef hakkında bilgiler elde edilmesine Açık Kaynak İstihbaratı(OSINT) denir. OSINT yapabilmek için aşağıdaki kaynaklar kullanılabilinir:


İnternet:  Sosyal medya siteleri üzerinden yapılan araştırmalarla hedef (insan, firma, şirket vb.) hakkında bilgiler edinilir. Eğer hedef kendi bilgilerini gizlememiş ise sadece facebook, instagram, twitter, linkedin gibi yaygın olarak kullanılan sitelerden çok fazla bilgi alabiliriz. Bu bilgiler; kişinin kimlik bilgileri, ev ve iş adresi, arkadaşları, hobi veya fobileri, o an ki konumu, en sık ziyaret ettiği yerler, en çok görüştüğü kişiler, dini inancı ve siyasi görüşü gibi bilgilerdir. Hedef kişi değil de örneğin bir şirket ise; ip adresi/ip blokları, dns sunucuları, web sunucuları, kullandığı firewall, personellerin bilgileri(mail adresi,telefon numaraları,kullanıcı adı ve şifre politikaları), kullandığı işletim sistemleri ve bunların üzerindeki açıklıklar araştırmalar sonucu bulunabilinir.
  • Medya Kaynakları(Televizyon, radyo, gazete vb.): OSINT yaparken sadece internetten araştırma yapmak yetmez. Her ne kadar çağımızda ender görülse de bazen hedef hakkında internet üzerinden bilgi bulunamadığı durumlar olabiliyor. Ozaman medya kaynaklarını kullanmak gerekir. Andy Warhol un da dediği gibi "Bir gün herkes 15 dakikalığına ünlü olacak" sözüne istinaden de hedefin televizyon, radyo, gazete ve dergi gibi kaynaklarda adının geçmesi, röportaj vermesi gibi ihtimallere karşı araştırılması gerekir.

Pasif Bilgi Toplama

Hedef kuruma veya kişilere ait herhangi bir sisteme ya da sunucuya doğrudan iletişime geçilmeden bilgi toplamaya çalışılır. Pasif bilgi toplamak için internet üzerinde birçok kaynak vardır. Örneğin; Arama motorları(Google, Yahoo, Bing), Sosyal paylaşım siteleri ( Google+, Facebook, Twitter), Whois ve Dns sorgulayacağımız siteler(whois.net, ripe.net, arin.net, robtex.com) ve Kişisel bilgi toplama siteleri(pipl.com, kimburda.com) gibi.[1]

OSINT Araçları:
Hedef hakkında bilgi toplarken yardımcı olacak araçlar kullanırız. OSINT için en sık kullanılan araçları şu şekilde sıralayabiliriz:

Maltego; günümüzde kullanılan en kullanışlı ve gelişmiş programdır. Hem aktif bilgi toplama hem de pasif bilgi toplama yapabilir. Topladığı bilgileri görsel olarak sunabilir. Maltego ile alan adları. whois bilgileri, ip adresi ve ağ tespiti, e-posta adresi toplama, telefon numaraları, kişisel bilgiler, web siteleri, domainler, belgeler vb bir çok bilgiye ulaşılabilinir.

Shodan bir arama motorudur. Ancak google, yandex ve bing den farklıdır. Shodanda farklı filtreler kullanarak bilgisayarları, router, server gibi internete bağlı olan cihazları bulmaya yarar. Ayrıca yaptığı tarama ile açık olan portları da tespit eder. Kayıtlı olmadan sınırlı arama yapılabilir ve filtreleme gerçekleştirilemez. 



Metagoofil; Edge Security tarafından geliştirilmiş güçlü bir OSINT aracıdır. Hedef site üzerinden istenilen dosya uzantısında(pdf, doc, xls, ppt,docx,pptx) herkesin erişimine açık metadatalar elde etmemize yarar.




Google Hacking Database; google özel arama operatörlerini kullanarak hedef hakkında nokta atışı arama yapılabilir. 
site:siberhat.blogspot.com.tr : istenilen alan adları araması yapılır.
filetype:pdf site:siberhat.blogspot.com.tr : hedef sitedeki pdf uzantılı dosyaları gösterir.
intitle:"deneme" site:siberhat.blogspot.com.tr : başlık içinde arama yapar.

Foca; arama motorları(Google, Bing) aracılığı ile  hedefe ait yayınlanmış dokümanları gösterir. Bulunan dokümanların "download" edip "extract metadata" denildiğinde dokümanlar arasındaki veriler ayıklanır ve bize kullanıcılar, dosyalar, yazıcıların bilgisi, kullanılan yazılımlar, email adresleri, işletim sistemleri, şifreler ve network bilgilerine ulaşılır.[2]


Bu araçlar gibi daha bir çok kaynak sayesinde hedef hakkındaki ulaştığımız detay bilgi miktarını da arttırabilir, elde ettiğimiz bilgilerle de amacımıza yönelik girişimlerde bulunabiliriz. Konu hakkındaki araştırmalarım esnasında karşıma çıkan ve OSINT'e örnek gösterebileceğim güzel bir yazıyı aşağıdaki linkte paylaşıyorum.

Not: Bu bir temsili OSINT örneğidir. https://eksisozluk.com/entry/47201385

[1]http://www.unluagyol.com
[2]http://searchsecurity.techtarget.in

4 Ağustos 2015 Salı

Uzaktan Kumanda vs Nesnelerin İnterneti


Elektronik Cihazların Uzaktan Kontrolü
 



Ülkemizde teknolojinin yeni yeni geliştiği ancak günümüzdeki kadar ilerlemediği, televizyon ve radyo benzeri cihazların kontrolü için uzaktan kumandaların varlığına sahip olamadığımız zamanları gözünüzün önünde canlandırın.
Çoğumuzun çocuk yaşta olduğu zamanlarda babalarımız veya büyüklerimiz televizyonun sesini kısmak, radyodan frekans değiştirmek, sesi arttırıp azaltmak gibi görevleri bizlere verirdi. Kimi zaman uzandığımız yerden kalkıp kanalı değiştirmeye üşenirdik, kimi zaman da “büyüklerimiz söylemiş başım üstüne” deyip sesi kısardık.

Kim Bulmuş Bu Uzaktan Kumandayı?

Dünya da uzaktan kumandanın ilk örneklerinden birini 1898 yılında Nikola Tesla “Hareket Eden Araç Veya Araçların Mekanizmalarının Kontrolü İçin Cihaz Tekniği” ismi ile geliştirmiştir.

1903 yılında ise Leonardo Torres Quevedo, Telekino adlı elektromanyetik dalgalarla iletilen komutları yerine getiren robot tasarımını Paris Bilim Akademisinde tanıtmış ve birçok ülkede patentini almıştır.

    İlk televizyon uzaktan kumandası ise 1950lerde Zenith Radyo Şirketi tarafından geliştirilmiştir. Bu uzaktan kumanda televizyona bir kablo ile bağlanmıştı. Kablosuz uzaktan bir kumanda geliştirmek için 1955 yılında çalışma yapılmış ve Flashmatic kumanda icat edilmiştir. [1]












Uzaktan Kontrol Teknolojisi Şuan Ne Durumda?

Artık çağımızda çoğu elektronik cihazlar uzaktan kumanda yöntemiyle kontrol edilmektedir. Eskiye göre daha düzgün ve kolay kontrol mekanizmaları geliştirilmiş, minimum sapma değerleri elde edilmeye çalışılmaktadır.

Uzaktan kontrol mekanizmalarına örnek en popüler teknolojik gelişme olan Nesnelerin İnterneti(Internet of Things)dir. IoT; günlük hayatımızda kullandığımız her şeyi uzaktan kontrol edebilmemize yarar. Akıllı ev projelerindeki beyaz eşyalar(buzdolabı, çamaşır makinesi), aydınlatmalar, güvenlik sistemleri, araçlarımız vb. birçok örnek verebiliriz. Bu cihazların birbirleriyle iletişim içerisinde olması yazılımlar ve birbirlerini destekleyecek işletim sistemlerine sahip donanımlarla sağlanmaktadır. [2]
IoT cihazları yaygınlaştıkça kontrolleri içinde bilgisayar ve akıllı telefonlar üzerinde uygulamalar geliştirilmekte ve her cihazı kontrol etmemizi sağlayacak çalışmalar yapılmaktadır.

Nesnelerin İnterneti Güvenilir Mi?

"Nesnelerin İnterneti" avantajlarının yanı sıra güvenlik boyutu düşünüldüğünde her yerde akıllı cihazların birbirine bağlı olması siber saldırılara açık kapı bırakmaktadır.   
 Kişisel bilgilerin bulunduğu teknolojik cihazların güvenlik risklerine karşı alınacak önlemler son derece önem arz eden konudur. Geçen yıl birçok ünlünün özel fotoğrafları güvenlik açıkları nedeniyle cep telefonlarından gizlice internete sızdırılmıştı.

        Kişisel sağlık bilgileri, ziyaret edilen yerler, bulunulan lokasyon bilgisi, kaç adım atıldığı, e-posta'lar, fotoğraflar, kişisel ya da şirket verileri kısacası giyilebilir akıllı cihazınızda bulunan her şeye gerekli güvenlik önlemleri alınmadığı takdirde siber suçlular tarafından erişilebilir. Bu cihazların bankacılık, akıllı ödeme sistemleri ile birlikte senkronize çalıştığı düşünüldüğünde işin ekonomik boyutu da siber suçluların bu teknolojilere olan ilgisini artıracaktır. [3]

        Kesin olarak söyleyebileceğimiz internetin olduğu hiçbir yer güvenli değildir. Siz her ne kadar önlem alsanız da gerek mevcut zafiyetlerle gerekse de yeni bulunabilecek güvenlik açıklıklarıyla sistemleriniz saldırıya maruz kalabilir.

Saygılarımla



[1] https://tr.wikipedia.org/wiki/Uzaktan_kumanda

[2] http://www.tamindir.com/tum-cihazlar-googlein-nesnelerin-interneti-iot-isletim-sistemi-ile-calisacak_h-10527/

[3] http://www.chip.com.tr/