Kimlik Hırsızlığı konusunda yaptığım taslak çalışmayı kaynak olarak kullanan makalelere aşağıdaki linklerden ulaşılabilir.
Internet’te Bireysel Güvenliği Nasıl Sağlarız?
To develop an education system for secure internet banking: GIBES
Identity Theft-Kimlik Hırsızlığı
23 Ocak 2012Adli Bilişim İncelemeleri
19 Aralık 2011Gazi Üniversitesi Bilgi ve Bilgisayar Güvenliği dersinde yaptığım sunuma aşağıdaki linkten ulaşabilirsiniz.
Adli Bilişim
MS Word Metadata (üstveri)
07 Aralık 2011Metadata (üstveri)
Üstveri kısaca veri hakkında veri olarak tanımlanabilir. Bir bilgisayar dosyasında otomatik olarak olarak oluşturulan ve asıl veri içerisinde kullanıcının farkından olmadan gömülen ekstra bilgiler üstveridir. Microsoft Ofis ürünleri olan Word, Excel ve Powerpoint ile oluşturulan dosyalarda aşağıda madde imlerindeki bilgiler gömülü olarak yer alır.
• Dosyayı oluşturan
• Dosyayı son kaydeden kullanıcı
• Şirket Adı
• Bilgisayar Adı
• Dosyanın oluşturulma tarihi
• Dosyanın değiştirilme tarihi
• Dosyanın yazdırılma tarihi
• Dosyanın gözden geçirme sayısı
• Program adı ve versiyonu
Yukarıdaki üstveriler Microsoft Ofis programlarının versiyonlarına göre değişiklik gösterebilmektedir. Üstveriler Microsoft Ofis programları kullanılarak kolayca görülebilmektedir. Versiyondan kaynaklanan durumlardan dolayı görülemeyen üstveriler dosyalar binary olarak açıldığında görülecektir.
Üstverilerin Bilgi Güvenliği Açısından Önemi
Bir Word belgesi içerisinde kişi ve kurumlara ait ayrıntılı bilgiler kötü niyetli olarak kullanılabilir. Bu yüzden yayımlanan bir Word belgesi içerisinde üstverilerin kaldırılması bir güvenlik tedbiri olarak zorunluluk arz etmektedir. Günümüzde bilgisayar korsanlığının yani hacking işleminin bir yöntemi olan sosyal mühendislik yöntemi bilgi toplama prensibine dayanmaktadır. İnternet ortamında bilgi toplama kaynaklarından bir tanesi de kişi ve kurumlara ait açık kaynaklardan verilerin toplanmasıdır. Word belgeleri Sosyal Mühendislik Saldırıları için büyük bir bilgi kaynağıdır. İnternet üzerinden bilgi toplama kaynağı olarak kullanılan bir çok program vardır.
Foca Free 3.0
İnternet üzerinden bilgi toplama amaçlı olarak kullanılan programlardan bir tanesi de Informática 64 firması tarafından hazırlanan Foca programıdır. Program Google arama motorunu kullanarak çeşitli formatlarda oluşturulan belgelerin üstveri analizi yaparak bilgi toplar. Şekil-1’de Google arama motoru kullanarak yapılan arama sonucunda çıkan Word belgeleri indirilerek üstveri analizi işlemi seçilmiştir.
Şekil-1 Foca ile internette Word Belgesi tespiti
Üstveri analizi işlemi yapıldıktan sonra elde edilen bilgiler Şekil-2’de gösterilmiştir.
Şekil-2 Foca ile Word belgesi üstveri analizi
Computer Forensics – Yazacaklarım….
20 Mayıs 2010Uzun zaman oldu yazmayalı. Yazacak o kadar çok şey var ki. Nereden başlasam bilemiyorum. son yazdığım günden beri onlarca tecrübe edindim fakat bunları bir türlü yazıya dökemiyorum. Tembellik, plansızlık, yorgunluk vs vs. Tez zamanda bir plan yapıp yazmayı düşünüyorum. Daha çok Adli Bilişim-Computer Forensics ağırlıklı yazacağım. Sonuçta uzmanlık alanım olarak görüyorum. Bitmek tükenmek bilmeyen bir derya deniz.
Brian Carrier’ın yazığı File System Forensic kitabıyla yeniden başlamak istiyorum. Gerek ticari gerekse ücretsiz programlarla çeşitli workshoplar yaparak teori ve pratiğin birleştirmek bu konuların daha iyi anlaşılmasını sağlayacaktır. Brian Carrier aslında güzel bir yapı oluşturmuş. Dosya Sistemi,İşletim Sistemi ve uygulamalar.
Dosya Sistemi(File System): Fat,Ntfs,Ext3
İşletim Sistemine has özellikler(OS Artifacts):Windows XP/Vista/7, Linux, Mac
Uygulamalar(Applications): Limewire,IE,Firefox, Sql Server
Sonuçta bu işin ABC si File System’ dir. File System bilmeden bu işe başlamak pek doğru bir yaklaşım değildir. Ben burda daha çok işin mantıksal kısmından bahsetmeyi düşünüyorum. Fizikselden kastım tamamen işin elektronik ve mekanik kısmı. Bir harddiskin yapısı filan.Bunlardan bahsetmeyi pek düşünmüyorum. Sebebi de uygulanabilirliğin her yerde olmaması. Ama mantıksal konuları herkes bilgisayar başında çeşitli araçlarla -The Sleuth Kit & Autopsy,FTK Imager vs vs- pekala uygulayabilir. Bunun yanında piyasada bulunan yazılım,donanım,eğitim,konferans,panel ve diğer etkinliklerden de bahsetmeyi düşünüyorum.
Facebook Parola Sıfırlama. Dikkat Malware
12 Aralık 2009Son günlerde Facebook tarafından gönderilmiş gibi görünen e-mail (fake password reset e-mail) ortalarda dolaşıyor. E-mail’ de Facebook parolanızın değiştiği ve ekteki dosyanın çalıştırılarak yeni parolanızın oluşturulacağı yazıyor. Dosya virustotal‘de analiz edildiğinde bir çok popüler antivirüs programı tarafından yakalanamadığı görülüyor. Facebook, kullanıcılarına parola sıfırlamak için herhngi bir iletiye eklenmiş bir dosya göndermiyor.
Kaynak:http://isc.sans.org/diary.html?storyid=7729
I received an email today purporting to be from Facebook, which of course had an attachment. The file was Facebook_Password_833fd.zip, which unzipped to be Facebook_Password_833fd.exe. The zip file is in fact a zip file, and the exe is in fact MS-DOS executable PE for MS Windows (GUI) Intel 80386 32-bit (according to the file command). The subject line is “Facebook Password Reset Confirmation. Customer Support. ” The body of the email is pretty straight forward:
“Hey email,
Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.
Thanks,
Your Facebook.”
Which is an attempt to get you to first open the attachment, unzip the file, and then run the executable content. The executable has the following attributes:
File size: 27648 bytes
MD5 : 11dee2f7ecc31a9a6f5fcab4e9654073
SHA1 : 30cfe72393ca5c58e7bba452c401932c6dcc9a9f
First set of Virustotal results were 20/41 today at 01:30:12 (UTC) https://www.virustotal.com/analisis/af6abaa7d0a29cdd4cf2680771d6d87e22d190a6a293572910ab89bd0653b322-1260408612 when I ran it again at 17:49:06 (UTC) they were up to 26/41 detection. It is a dropper which subsequently downloads and executes other badness.
Facebook does not send out passwords in attached files. If you have forgotten your password on Facebook reset it here: http://www.facebook.com/reset.php if you cannot login to your account (someone else has taken it over) go to this page: http://www.facebook.com/help.php?topic=login, which also has this advisory on it:
“Fake password reset emails
Some users have received fake password reset emails with attachments that contain viruses. Do not click on these emails or download the attachment. Also, please note that Facebook will never send you a new password as an attachment. To learn more visit our Security page: facebook.com/security”
ISTSEC ‘09 İSTANBUL BİLGİ GÜVENLİĞİ KONFERANSI
28 Kasım 20092009 yılında dünyaya damgası vuran ve siber tehditlere karşı önemini daha çok hissettiren siber güvenlik, siber casus yetiştirme politikaları, siber savaşlar ve bu alana yönelik olarak ülkelerin bütçelerinden ayırdıkları hatırı sayılır oranlara ulaşan rakamlar, bilgi güvenliğini bireysel, kurumsal ve ülke güvenliği açısından kritik öneme kavuşturmuştur. ISTSEC ‘09 konferansı bu eksendeki soru ve sorunlara çözüm ve çözüm önerileri sunmayı hedeflemektedir.
Türkiye’de bilgi güvenliği ve açılımları konusunda kamuoyunda farkındalık yaratmayı, bilgi ve bilinç düzeyini yükseltmeyi hedefleyen ve bu amaçla yılda iki defa yapılan bir konferans olan ISTSEC ’09’un açılışı bu yıl Ulaştırma Bakanı Sayın Binali YILDIRIM tarafından gerçekleştirilecektir.
Bu yıl iki günlük bir program olarak dizayn edilmiş ISTSEC ‘09 konferansının ilk gününde; web güvenliği, Iphone Güvenliği, Hackerlar’ın bakış açısı, kurum / şirket personelinden kaynaklanan ihlaller gibi bilgi güvenliği konularında spesifik sunumlar ve tartışmalar yapılacaktır.
Ayrıntılı bilgi için :http://www.istsec.org/
Pazar gübü ayrıca Capture The Flag yarışması yapılacaktır. Yarışma hakkında bilgi için
http://www.istsec.org/?page_id=73
Kayıtlar bitti.Ben yarışmaya katılmayacağım ama ön eleme engelini geçtim.
Önce sayfaya bir girelim ve sağ tuşuna tıklayarak sayfa kaynağına bakalım.
http://www.istsec.org/login.php
function ctrl(){
eval(unescape(’%76%61%72%20%6c%6f%67%69%6e%20%3d%20%64%6f%63%75%6d%65%6e%74%2e%67%65%74%45%6c%65%6d%65%6e%74%42%79%49%64%28%22%6c%6f%67%69%6e%22%29%3b%76%61%72%20%70%61%73%73%77%6f%72%64%20%3d%20%64%6f%63%75%6d%65%6e%74%2e%67%65%74%45%6c%65%6d%65%6e%74%42%79%49%64%28%22%70%61%73%73%77%6f%72%64%22%29%3b%76%61%72%20%63%6f%6d%70%6f%75%6e%64%20%3d%20%6c%6f%67%69%6e%2e%76%61%6c%75%65%20%2b%20%22%3a%22%20%2b%20%70%61%73%73%77%6f%72%64%2e%76%61%6c%75%65%3b%20%69%66%28%42%61%73%65%36%34%2e%65%6e%63%6f%64%65%28%63%6f%6d%70%6f%75%6e%64%29%20%3d%3d%20%22%61%58%4e%30%63%32%56%6a%4f%6e%52%68%64%6e%4e%68%62%6e%5a%6c%63%32%46%77%61%32%45%3d%22%29%20%64%6f%63%75%6d%65%6e%74%2e%6c%6f%63%61%74%69%6f%6e%20%3d%20%22%63%6f%6e%74%72%6f%6c%2e%70%68%70%22%3b%20%65%6c%73%65%20%64%6f%63%75%6d%65%6e%74%2e%6c%6f%63%61%74%69%6f%6e%20%3d%20%22%6c%6f%67%69%6e%2e%70%68%70%22%3b’));
}
unescape fonksiyonu içerindeki alanını tamamını aşağıdaki sitede “escape text” yazan kısma kopyalayın ve “complete escape” butonuna basın.
http://www.web-geek.com/utils/javascript_escape_unescape_tool.html
Kullanıcı adı ve parola “:” ile birleştirilerek Base64 ile kodlanmış. Şimdi bunu decode edecez.
if(Base64.encode(compound) == “aXN0c2VjOnRhdnNhbnZlc2Fwa2E=”) document.location = “control.php”;
http://ostermiller.org/calc/encode.html sitesine girelim.
burada “Enter text….” Yazan yere aXN0c2VjOnRhdnNhbnZlc2Fwa2E= yazın ve
Base64 Decode butonuna basın.Ve sonuç
istsec:tavsanvesapka
javascript koduna baktığımızda username:istsec ve password :tavsanvesapka olduğu görülür.
Şimdi http://www.istsec.org/login.php ye girelim ve login olalım.Tombala!!!
Sayfaya girdiğimizde çıkan şifreyi kopyalayın ve http://www.motobit.com/util/base64-decoder-encoder.asp sayfasına gidip yapıştırın.
yukarıdaki ayarlara göre Convert the source data ya basıp “Internet Explorer” ile yada başka bir browser ile yada resim programı ile açalım ve çıkan sonucu görelim.
Gmail’i varsayılan e-mail program yapmak
21 Kasım 2009Firefox 3 için Gmail’i varsayılan e-mail programı olarak kullanmak için;
Araçlar–>Seçenekler–>Uygulamalar sekmesine tıklayın ve mailto: kısmında bulunan açılır kutudan Gmail’ i seçin. Ziyaret ettiğiniz web sitelerinde verilen e-mail adreslerine tıkladığınızda Gmail açılacaktır.
Adli Bilişime Giriş
20 Kasım 2009Network Forensics yarışması
23 Ağustos 2009
Sans sitesinde Network Forensics yarışması var.Ayrıntılar aşağıdaki linkte.
kısacası bu sorularda Ann isimli şahsın çalıştığı şirketin bilgilerini dışarı sızdırdığından şüphelenildiği, bir gün kablosuz ağa dahil olan bir bilgisayara sohbet programı (IM) aracılığı ile bir dosya gönderdiği ve bu haberleşme paketlerinin yakalnadığı ama güvenlik elemanlarının bu paketlerden bi şey anlamadığı dolayısıyla bu paketlerin içeriğinin ne olduğu konusunda bizden yardım beklendiğinden bahsediliyor.
1-Ann’in görüştüğü kişinin nicki?
2-Sohbet kayıtlarında geçen ilk yorum?
3-Ann’in yolladığı dosyanın adı
4-Dosyanın ilk 4 byte’ı yani başlık bilgisi
5-dosyanın md5 özeti
6-gizli formülü
1. What is the name of Ann’s IM buddy?
2. What was the first comment in the captured IM conversation?
3. What is the name of the file Ann transferred?
4. What is the magic number of the file you want to extract (first four bytes)?
5. What was the MD5sum of the file?
6. What is the secret recipe?
Ayrıntılar:
yakalanan paketlerin olduğu dosya:
http://jhamcorp.com/contest_01/evidence.pcap
MD5 (evidence.pcap) = d187d77e18c84f6d72f5845edca833f5
Gmail hesabına giriş çıkışları denetle
21 Ağustos 2009Son hesap etkinliği
Her Gmail sayfasının altında bulunan Son hesap etkinliği satırının yanındaki Ayrıntılar bağlantısını tıkladığınızda postanızdaki son etkinlik bilgileri görüntülenir.
Yandaki bilgi Gmail hesabınıza login olduktan sonra sayfanın en altında görünür.
Son etkinlikler, postanıza normal bir web tarayıcısı, POP istemcisi, mobil cihaz vb. yollarla gerçekleştirilen erişim zamanlarını içerir. Saat ve tarihin yanı sıra erişimin gerçekleştirildiği IP adresi de listelenir.
Bu bilgiler nasıl kullanılır
Postanıza yetkisiz erişim sağlandığından şüpheleniyorsanız, bu bilgileri yetkisiz kişilerin postanıza erişim sağlayıp sağlamadığını; sağlanmışsa bunun gerçekleştiği zamanı bulmak için kullanabilirsiniz. Bu bilgiler, yetkisiz hesap etkinliği sorunlarını gidermek için kullandığımız ve artık sizin de kullanabileceğiniz bilgilerdir. Erişim Türü sütunu olağandışı erişimleri gösterir mi? Postalarınızı almak için POP’u kullanmıyorsanız ve Son etkinlik tablosu bir takım POP erişimleri gösteriyorsa, bu durum hesabınızın başkaları tarafından kullanıldığına işaret edebilir.
Ayrıca, IP adresi sütunundan da faydalanabilirsiniz. Geçerli IP adresiniz Son etkinlik tablosunun altında görüntülenir.
Lütfen unutmayın: POP3 veya IMAP’iniz etkinse bunu son etkinlik tablonuzda görebilirsiniz. İletilerinizi başka bir Gmail hesabından alıyorsanız, bir Google IP numarası görünecektir; bunun sebebi iletilerin bizim sunucularımız üzerinden alınıyor olmasıdır.
Eş zamanlı oturumlar
Postanıza şu anda başka bir konumdan erişiliyorsa diğer oturumlar Eş zamanlı oturum bilgisi tablosunda listelenir. Bu, Gmail hesabınızın yüklü olduğu diğer bir açık tarayıcı penceresine sahip olduğunuz veya siz postanıza iş yerinizden erişirken evdeki bilgisayarınızdaki oturumun hala açık olduğu anlamına gelebilir. Eş zamanlı erişim konusunda şüpheleriniz varsa, geçerli oturumunuz dışındaki tüm oturumları Diğer oturumları kapat seçeneğine tıklayarak kapatabilirsiniz.
kaynak: Gmail
