Brian Carrier’ın yazığı File System Forensic kitabıyla yeniden başlamak istiyorum. Gerek ticari gerekse ücretsiz programlarla çeşitli workshoplar yaparak teori ve pratiğin birleştirmek bu konuların daha iyi anlaşılmasını sağlayacaktır. Brian Carrier aslında güzel bir yapı oluşturmuş. Dosya Sistemi,İşletim Sistemi ve uygulamalar.

Dosya Sistemi(File System): Fat,Ntfs,Ext3
İşletim Sistemine has özellikler(OS Artifacts):Windows XP/Vista/7, Linux, Mac
Uygulamalar(Applications): Limewire,IE,Firefox, Sql Server

Sonuçta bu işin ABC si File System’ dir. File System bilmeden bu işe başlamak pek doğru bir yaklaşım değildir. Ben burda daha çok işin mantıksal kısmından bahsetmeyi düşünüyorum. Fizikselden kastım tamamen işin elektronik ve mekanik kısmı. Bir harddiskin yapısı filan.Bunlardan bahsetmeyi pek düşünmüyorum. Sebebi de uygulanabilirliğin her yerde olmaması. Ama mantıksal konuları herkes bilgisayar başında çeşitli araçlarla -The Sleuth Kit & Autopsy,FTK Imager vs vs- pekala uygulayabilir. Bunun yanında piyasada bulunan yazılım,donanım,eğitim,konferans,panel ve diğer etkinliklerden de bahsetmeyi düşünüyorum.

Kaynak:http://isc.sans.org/diary.html?storyid=7729

I received an email today purporting to be from Facebook, which of course had an attachment. The file was Facebook_Password_833fd.zip, which unzipped to be Facebook_Password_833fd.exe. The zip file is in fact a zip file, and the exe is in fact MS-DOS executable PE for MS Windows (GUI) Intel 80386 32-bit (according to the file command). The subject line is “Facebook Password Reset Confirmation. Customer Support. ” The body of the email is pretty straight forward:

“Hey email,

Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.

Thanks,
Your Facebook.”

Which is an attempt to get you to first open the attachment, unzip the file, and then run the executable content. The executable has the following attributes:

File size: 27648 bytes
MD5 : 11dee2f7ecc31a9a6f5fcab4e9654073
SHA1 : 30cfe72393ca5c58e7bba452c401932c6dcc9a9f

First set of Virustotal results were 20/41 today at 01:30:12 (UTC) https://www.virustotal.com/analisis/af6abaa7d0a29cdd4cf2680771d6d87e22d190a6a293572910ab89bd0653b322-1260408612 when I ran it again at 17:49:06 (UTC) they were up to 26/41 detection. It is a dropper which subsequently downloads and executes other badness.

Facebook does not send out passwords in attached files. If you have forgotten your password on Facebook reset it here: http://www.facebook.com/reset.php if you cannot login to your account (someone else has taken it over) go to this page: http://www.facebook.com/help.php?topic=login, which also has this advisory on it:
“Fake password reset emails

Some users have received fake password reset emails with attachments that contain viruses. Do not click on these emails or download the attachment. Also, please note that Facebook will never send you a new password as an attachment. To learn more visit our Security page: facebook.com/security”

Türkiye’de bilgi güvenliği ve açılımları konusunda kamuoyunda farkındalık yaratmayı, bilgi ve bilinç düzeyini yükseltmeyi hedefleyen ve bu amaçla yılda iki defa yapılan bir konferans olan ISTSEC ’09’un açılışı bu yıl Ulaştırma Bakanı Sayın Binali YILDIRIM tarafından gerçekleştirilecektir.

Bu yıl iki günlük bir program olarak dizayn edilmiş ISTSEC ‘09 konferansının ilk gününde; web güvenliği, Iphone Güvenliği, Hackerlar’ın bakış açısı, kurum / şirket personelinden kaynaklanan ihlaller gibi bilgi güvenliği konularında spesifik sunumlar ve tartışmalar yapılacaktır.

Ayrıntılı bilgi için :http://www.istsec.org/

Pazar gübü ayrıca Capture The Flag yarışması yapılacaktır. Yarışma hakkında bilgi için
http://www.istsec.org/?page_id=73

Kayıtlar bitti.Ben yarışmaya katılmayacağım ama ön eleme engelini geçtim.
Önce sayfaya bir girelim ve sağ tuşuna tıklayarak sayfa kaynağına bakalım.
http://www.istsec.org/login.php

function ctrl(){

eval(unescape(’%76%61%72%20%6c%6f%67%69%6e%20%3d%20%64%6f%63%75%6d%65%6e%74%2e%67%65%74%45%6c%65%6d%65%6e%74%42%79%49%64%28%22%6c%6f%67%69%6e%22%29%3b%76%61%72%20%70%61%73%73%77%6f%72%64%20%3d%20%64%6f%63%75%6d%65%6e%74%2e%67%65%74%45%6c%65%6d%65%6e%74%42%79%49%64%28%22%70%61%73%73%77%6f%72%64%22%29%3b%76%61%72%20%63%6f%6d%70%6f%75%6e%64%20%3d%20%6c%6f%67%69%6e%2e%76%61%6c%75%65%20%2b%20%22%3a%22%20%2b%20%70%61%73%73%77%6f%72%64%2e%76%61%6c%75%65%3b%20%69%66%28%42%61%73%65%36%34%2e%65%6e%63%6f%64%65%28%63%6f%6d%70%6f%75%6e%64%29%20%3d%3d%20%22%61%58%4e%30%63%32%56%6a%4f%6e%52%68%64%6e%4e%68%62%6e%5a%6c%63%32%46%77%61%32%45%3d%22%29%20%64%6f%63%75%6d%65%6e%74%2e%6c%6f%63%61%74%69%6f%6e%20%3d%20%22%63%6f%6e%74%72%6f%6c%2e%70%68%70%22%3b%20%65%6c%73%65%20%64%6f%63%75%6d%65%6e%74%2e%6c%6f%63%61%74%69%6f%6e%20%3d%20%22%6c%6f%67%69%6e%2e%70%68%70%22%3b’));

}

unescape fonksiyonu içerindeki alanını tamamını aşağıdaki sitede “escape text” yazan kısma kopyalayın ve “complete escape” butonuna basın.

http://www.web-geek.com/utils/javascript_escape_unescape_tool.html

Kullanıcı adı ve parola “:” ile birleştirilerek Base64 ile kodlanmış. Şimdi bunu decode edecez.

if(Base64.encode(compound) == “aXN0c2VjOnRhdnNhbnZlc2Fwa2E=”) document.location = “control.php”;

http://ostermiller.org/calc/encode.html sitesine girelim.

burada “Enter text….” Yazan yere aXN0c2VjOnRhdnNhbnZlc2Fwa2E= yazın ve

Base64 Decode butonuna basın.Ve sonuç

istsec:tavsanvesapka

javascript koduna baktığımızda username:istsec ve password :tavsanvesapka olduğu görülür.

Şimdi http://www.istsec.org/login.php ye girelim ve login olalım.Tombala!!!

Sayfaya girdiğimizde çıkan şifreyi kopyalayın ve http://www.motobit.com/util/base64-decoder-encoder.asp sayfasına gidip yapıştırın.

yukarıdaki ayarlara göre Convert the source data ya basıp “Internet Explorer” ile yada başka bir browser ile yada resim programı ile açalım ve çıkan sonucu görelim.

Araçlar–>Seçenekler–>Uygulamalar sekmesine tıklayın ve mailto: kısmında bulunan açılır kutudan Gmail’ i seçin. Ziyaret ettiğiniz web sitelerinde verilen e-mail adreslerine tıkladığınızda Gmail açılacaktır.

Sans sitesinde Network Forensics yarışması var.Ayrıntılar aşağıdaki linkte.

yarışma soruları

kısacası bu sorularda Ann isimli şahsın çalıştığı şirketin bilgilerini dışarı sızdırdığından şüphelenildiği, bir gün kablosuz ağa dahil olan bir bilgisayara sohbet programı (IM) aracılığı ile bir dosya gönderdiği ve bu haberleşme paketlerinin yakalnadığı ama güvenlik elemanlarının bu paketlerden bi şey anlamadığı dolayısıyla bu paketlerin içeriğinin ne olduğu konusunda bizden yardım beklendiğinden bahsediliyor.

1-Ann’in görüştüğü kişinin nicki?

2-Sohbet kayıtlarında geçen ilk yorum?

3-Ann’in yolladığı dosyanın adı

4-Dosyanın ilk 4 byte’ı yani başlık bilgisi

5-dosyanın md5 özeti

6-gizli formülü

1. What is the name of Ann’s IM buddy?
2. What was the first comment in the captured IM conversation?
3. What is the name of the file Ann transferred?
4. What is the magic number of the file you want to extract (first four bytes)?
5. What was the MD5sum of the file?

6. What is the secret recipe?

Ayrıntılar:

yakalanan paketlerin olduğu dosya:
http://jhamcorp.com/contest_01/evidence.pcap
MD5 (evidence.pcap) = d187d77e18c84f6d72f5845edca833f5

Her Gmail sayfasının altında bulunan Son hesap etkinliği satırının yanındaki Ayrıntılar bağlantısını tıkladığınızda postanızdaki son etkinlik bilgileri görüntülenir.

Yandaki bilgi Gmail hesabınıza login olduktan sonra sayfanın en altında görünür.

Son etkinlikler, postanıza normal bir web tarayıcısı, POP istemcisi, mobil cihaz vb. yollarla gerçekleştirilen erişim zamanlarını içerir. Saat ve tarihin yanı sıra erişimin gerçekleştirildiği IP adresi de listelenir.

Bu bilgiler nasıl kullanılır

Postanıza yetkisiz erişim sağlandığından şüpheleniyorsanız, bu bilgileri yetkisiz kişilerin postanıza erişim sağlayıp sağlamadığını; sağlanmışsa bunun gerçekleştiği zamanı bulmak için kullanabilirsiniz. Bu bilgiler, yetkisiz hesap etkinliği sorunlarını gidermek için kullandığımız ve artık sizin de kullanabileceğiniz bilgilerdir. Erişim Türü sütunu olağandışı erişimleri gösterir mi? Postalarınızı almak için POP’u kullanmıyorsanız ve Son etkinlik tablosu bir takım POP erişimleri gösteriyorsa, bu durum hesabınızın başkaları tarafından kullanıldığına işaret edebilir.

Ayrıca, IP adresi sütunundan da faydalanabilirsiniz. Geçerli IP adresiniz Son etkinlik tablosunun altında görüntülenir.

Lütfen unutmayın: POP3 veya IMAP’iniz etkinse bunu son etkinlik tablonuzda görebilirsiniz. İletilerinizi başka bir Gmail hesabından alıyorsanız, bir Google IP numarası görünecektir; bunun sebebi iletilerin bizim sunucularımız üzerinden alınıyor olmasıdır.

Eş zamanlı oturumlar

Postanıza şu anda başka bir konumdan erişiliyorsa diğer oturumlar Eş zamanlı oturum bilgisi tablosunda listelenir. Bu, Gmail hesabınızın yüklü olduğu diğer bir açık tarayıcı penceresine sahip olduğunuz veya siz postanıza iş yerinizden erişirken evdeki bilgisayarınızdaki oturumun hala açık olduğu anlamına gelebilir. Eş zamanlı erişim konusunda şüpheleriniz varsa, geçerli oturumunuz dışındaki tüm oturumları Diğer oturumları kapat seçeneğine tıklayarak kapatabilirsiniz.

kaynak: Gmail

Buluşma kapsamında Türkiye’de ilk kez yapılacak olan 3 gün süreli ağ inceleme eğitimi de gerçekleştiriliyor. Ağ yöneticileri, BT güvenlik yöneticileri, bilgi güvenlik yöneticileri, teftiş ve denetleme kurulu personeli için düzenlenen eğitim, ağ paket analizi, mesajlaşma paket analizi ve kablosuz ağ paket analizi gibi konuları detaylı olarak ve örnek olaylarla aktarıyor.

Forensic People, başta Türkiye olmak üzere, Yunanistan, Bulgaristan, Romanya, Kuzey Kıbrıs Türk Cumhuriyeti, Azerbaycan, Ürdün, Pakistan, Birleşik Arap Emirlikleri ve Mısır‘da faaliyet gösteriyor. Sayısal inceleme alanında Access Data, Paraben, Tableau, Backbone Security, ElcomSoft, Logicube, Voom Technologies, Group 2000 and Digital Intelligence gibi şirketlerin bölgesel temsilciliğini yapan şirket; yazılım, donanım, eğitim ve danışmanlık olmak üzere komple adli bilişim çözümleri sağlıyor. 26-28 Mart 2010 tarihinde de Harbiye Askeri Müzesinde gerçekleştirilecek olan uluslararası adli bilişim ve inceleme konferansı olan ‘EuroForensics’ Konferansını da Forensic People hazırlıyor.

kaynak:BT Haber

what is your name? http://www58.wolframalpha.com/input/?i=what+is+your+name%3F

where are you?  http://www58.wolframalpha.com/input/?i=where+are+you%3F

who created you?  http://www58.wolframalpha.com/input/?i=who+created+you%3F

what are you?  http://www58.wolframalpha.com/input/?i=What+are+you%3F

how many people live in the world? http://www58.wolframalpha.com/input/?i=how+many+people+live+in+the+world%3F

what is the time? http://www58.wolframalpha.com/input/?i=what+is+the+time%3F

How old are you? http://www58.wolframalpha.com/input/?i=How+old+are+you%3F

Değerli Müşterimiz,

Son günlerde bazı müşterilerimizin farklı telefon numaralarından “TTNET Müşteri Hizmetleri” adı altında arandıkları ve farklı gerekçeler kullanarak kendilerinden kredi kartı bilgilerinin istendiği tespit edilmiştir.

TTNET A.Ş. tarafından 444 0 375 TTNET Müşteri Hizmetleri haricinde başka bir numaradan arama yapılmamaktadır.

444 0 375 TTNET Müşteri Hizmetleri yetkilileri tarafından yapılan aramalarda hiçbir zaman kredi kartı, şifre gibi özel bilgiler sorulmamaktadır.

TTNET A.Ş., müşterilerinden e-posta yoluyla hiçbir şekilde bilgi talep etmemekte ve kişisel bilgilerinin tamamını istememektedir.

TTNET A.Ş. sadece son ödeme tarihi geçmiş ama henüz faturasını ödeyememiş abonelerimize Sesli Yanıt Sistemi (IVR) ile otomatik arama yaparak borcunu hatırlatmaktadır. Bu aramalarda abonelerimiz, eğer uygun görürlerse telefon tuşlarını kodlayarak sesli yanıt sistemindeki ilgili menü aracılığıyla kredi kart bilgisini sadece kendisi kullanarak fatura borçlarını ödeyebilmektedir. Ancak bu işlem sadece sesli yanıt sistemi aracılığıyla yapıldığından abonelerimizin, bu işlem esnasında Müşteri Hizmetleri yetkililerimizle hiçbir şekilde teması olmamaktadır.

Müşterilerimizin, bu tür kötü niyetli kişilerin dolandırıcılık faaliyetlerinden dolayı zarar görmemesi için benzeri durumla karşılaştıklarında, herhangi bir bilgi vermeden ve sisteme bilgi girişi yapmadan görüşmeyi sonlandırmalarını tavsiye ederiz.

Saygılarımızla,

TTNET A.Ş.

kaynak:sabah gazetesi