Çok da siber olmayan güvenlik

Merhabalar.

Uzun zamandır gerek iş, gerek eğitim yoğunluğundan, ne siteye ne de yazılara vakit ayıramıyordum. Geçenlerde yaşadığım bir olay beni lise, üniversite yıllarımda yaptığım işlere götürünce, günümüzde daha da büyük önem teşkil eden “güvenlik” konularında bir iki satır da ben yazayım dedim. Biraz hamlığımı atayım dedim ama, attım mı atamadım mı ben de emin olamadım. Buyurun başlayalım.

Yüksek lisans yapan bir arkadaşımın şu şekilde bir ricası oldu. Başka bir yüksek lisans sınıfındaki bir arkadaş grubunun isimlerini öğrenmek istediğini söyledi. Benim için cevap basitti, gidip tanışırsın :) Tabi o bu şekilde olmasını istemedi ve sadece isimlerini farklı bir yöntemle, yani kimseye belli etmeden öğrenip öğrenemeyeceğimi sordu. Benim bu kişilerin tüm şecerelerini öğrenmek için onca yöntemim olsa da, meslek hastalığı olarak daha zor olanı yapmak istedim. Hem belki eski günleri de yad etmiş olurum diyerekten tamam bilgisayar başına geçince bir bakarım dedim. Arkadaş bu tür konularda günümüzdeki KVKK müfredatları gereği alınan önlemleri bildiğinden yapamayacağımı söyledi. Tabi beni harekete geçirecek olan sözün “yapamazsın” olduğunu bilmiyordu :)

Aşama aşama anlatmadan önce alınan önlemlerden hemen ufak bir tüyo vereyim. Okullar kayıt döneminde paylaşılan belgelerde tüm isimleri Cİ**** ÇU**** şeklinde yayınlıyorlar. Bu şekilde isimleri tahmin etmenizi zorlaştırmak için de, ilk iki harften sonraki yıldız sayısını gerçek harf sayısından bağımsız olarak hep 4 yıldız ( **** ) şeklinde kullanıyorlar. Elimizdeki tek verinin bu olduğunu düşünerek işlemlere başladım.

Hani bir söz vardır. Elinde bir çekiç olan herkesi çivi gibi görürmüş. Ben ise bu tuzağa düşmeyi ve imkânlarımı gereksiz yere kullanmayı asla sevmedim. Zira masum bir işlemi suç unsuruna dönüştürmeye gerek yoktur.

Normal şartlar altında siber güvenlik ile ilgilenen biri, kolları sıvayıp, üniversitenin veri tabanına erişmek için saldırmaya başlar. Burada onlarca saldırı işleminden tek tek bahsetmeyeceğim. Nihayetinde ortada kırmaya çalıştığımız bir hesap şifresi yok. DDos atarak site kapatmaya da çalışmıyoruz. Aslında birçok idari personelin ve öğretim görevlisinin bir tıkla erişebileceği bir bilgiden bahsediyoruz. Ama onların hesaplarını kırmak da tarzım değil zira en başta söylediğim gibi bu bilgileri bilgisayar kullanmadan zaten alabilirim. Hocalarla aramın da iyi olduğunu düşünürsek isim öğrenmek benim için hiç de zor değil.

Herhangi bir açık aramadan önce, biraz daha düşünmek istedim. Tabi bu esnada ufak tefek yokluyordum. Web servislerindeki “permission” larla ilgili gözden kaçan bir şey var ise, oradan belgenin orjinal haline ulaşabilirim diye düşündüm. Yani encrypt edilmeden önceki haline fakat bu uğraşım sonuç vermedi, en azından 5-10dk lık bir manuel kontrol işleminde bir sonuç alamadım. Tüm işlemleri manuel yapacaktım herhangi bir yazılımdan da destek almayacaktım çünkü hamlığımı atmalıydım, yaşlanmış mıydım? Anlamalıydım :)

Biraz daha düşündükten sonra, saldırı yapmaya gerek bırakmayacak o yegâne yöntemi hatırladım. Senin bir şey yapmana gerek yok, karşı tarafın hata yapmasını bekle yaklaşımı. Ve bu hata belki de çoktan yapılmıştı…

Bu esnada son yıllarda tüm okulların öğrencilerine verdiği M365 sistemini hatırladım. Microsoft’un okullara ücretsiz sunduğu, okulların da öğrencilerine ücretsiz sunduğu, @edu.tr adresinizle neredeyse tüm servisleri kullanabildiğiniz yapıdan bahsediyorum. Şimdiki öğrenciler çok şanslı, bizim zamanımızda yoktu böyle şeyler diyerek devam ediyorum.

Yapıyı defalarca kez sıfırdan kurmuş ve yönetmiş biri olmanın avantajıyla, sadece öğrenci numaram @edu.tr adresimle bana verilen tüm haklara bir göz attım. Fark ettim ki, bu sistemle fazla uğraşılmamıştı. Yani görmemem gereken bir takım bilgileri de görebiliyordum. IT ‘ nin başındaki arkadaşımız benim kadar detayları sevmiyordu anlaşılan :) Böylece karakter analizini tamamladık. Bu hatayı kullanabilirdik.

Teams yazılımında ufak bir gezintiden sonra, İsimlerin ilk 3 harfini kullanarak arama yapıldığında veri tabanından bir kısım verinin çekildiğini gözlemledim. Bir kısım diyorum çünkü tüm üniversitenin veri tabanından bilgi çağırılıyordu ve random olarak veya belirli bir sırayla, belki de isim sırası, ilk 10 benzerlik geliyordu. Bu durum bazı kapılar açıyordu ama nihai sonuca ulaşmama engel oluyordu zira benim elimdeki listede sadece isimden 2 soy isimden 2 harf mevcuttu. Her kelime için 3. 4. 5. 6. vs. harf tahminlerini yapmak ise sağlam ruh hastalarına göre bir yöntemdi ki maalesef o kadar hasta değildim. Ki bu duruma ayıracak zamanım da yoktu. Zira hala eğleniyordum. E tabi şimdi bir de “yapamazsın” söz konusuydu :)

Kendi öğrenci numaramdan ve arkadaşlarımın isimlerinden yola çıkarak bir arama gerçekleştirdim. Ekstra bir bilgi vereyim. İstesem kendi arkadaşlarımın öğrenci numaralarını sorarak öğrenebilir ve bu işi hızlandırabilirdim fakat bunun da kolaya kaçmak olacağını düşünerek kendim bulmam gerektiğine karar verdim. Bir şekilde numaraların sıralamasını ve olası kayıt zamanı farklarını da düşünerek (numaraların bölümlere göre sıralı mı gidip gitmediğini bilemiyoruz) bazı tahminlerde bulundum ve gerek deneyerek gerekse bazı arkadaşlarımın ismini kullanarak sıralama şeklini de çözmüş oldum :)

Hala elimde eksik bir şeyler vardı. Koca bir havuzu tek tek tarayarak veya öğrenci numarası deneyerek birçok isme ulaşabiliyordum ama kimin kim olduğunu bilmedikten sonra bu veri işe yaramıyordu. İlk 2 harfe bakarak eşleştirsene diyenleri duyuyor gibiyim ama dedim ya orası da fazla zahmetli, yani son çare olarak cepte kalsın tarzında bir durum.

Kahveden bir yudum daha alıp biraz daha düşünmeye başlayınca aklıma bir şey daha geldi.

Okula ilk kayıtlar yapılırken, okul, öğrenci numaralarını liste olarak paylaşmıştı. Bu öğrenci numaraların yanında da isim ve soy isim aynı şekilde bol yıldızlı şekilde paylaşılmıştı. Bu belgeye ulaşırsam konu kapanırdı. Çünkü okul burada büyük bir hata yapmış oluyordu. Anlayanlar oldu mu bilmiyorum fakat, elinizde numaradan isim sorgulama şansı varsa, ki bu da olmaması gereken bir açık kapı, bir de elinizde yıldızlı isimli numara listesi olursa sonucu aldınız demektir :) Tabi bu belge ilk etapta aklıma gelmediği için gereksiz birçok veriye de kendi kendime ulaşmış oldum. Mesela hangi bölüm veya hangi fakülte hangi numara dizisini kullanıyor gibi :)

Başladım okulun sitesinde kayıt döneminde paylaşılan belgeleri araştırmaya. Zaten benim gibi biriyseniz, ta kayıt döneminde bile o siteyi hatim etmişsinizdir. İster hobi deyin, ister meslek aşkı. Yani sitede paylaşılan ve bana lazım olmayan her sekmeye zaten aylar öncesinden göz atmıştım. Kendi kayıt dönemimden tutun da, önceki senenin kayıt dönemi belgelerine kadar ulaştım. Neyse ki hala silinmemişti, zira bir süre sonra kaldırılır bu belgeler. Ki kaldırılsa da sadece linkin kaldırılacağını düşünen bazı akıllı arkadaşlarımız sen yine bulurdun diyor olabilirler :)

Sonuca gelecek olursak, ya da başka bir deyişle başa dönecek olursak, arkadaşımın benden talep ettiği bölümün, talep ettiği sınıfının listesi önümde bol yıldızlı isimler, soy isimler ve full açık öğrenci numaralarıyla durmaktaydı.

Artık tek yapmam gereken “Teams” ekranına öğrenci numarasını yazmak ve isim soy isim ve eklediyse profil fotoğraf bilgisine ulaşmak olacaktı. Tüm sınıfların tüm öğrenci isimlerine ulaşmak pek de zahmetli olmamıştı.

Peki bu durumdan çıkarılması gereken ders nedir?

Ülkemizde hala maalesef güvenlik konusunda öğrenmemiz gereken çok şey var. İşin siber güvenlik tarafına milyonlarca lira veya dolar yatırım da yapsanız, parçaları birleştirme yeteneğiniz yoksa, bilgiyi gizleme konusunda titiz değilseniz, bir saldırgan gibi düşünemiyorsanız, güvenlik konusunda az da olsa paranoyak değilseniz, eğitiminiz yeterli değilse veya sisteme erişen kullanıcılarınızın eğitimi yeterli değilse, sonuç hüsran olacaktır. Olay sadece siber güvenlik değil, ki bence burada ulaştığım bilgi siber güvenlik zafiyetini kullanmaktan ziyade %75 sosyal mühendislik, dikkat, tahmin ve tecrübedir.

Peki ne gerek kaldı belgedeki isimlere **** koymaya. Boşa zahmet edilmiş oldu. Bir ISO 27001 Baş Denetçisi olarak, denetimde böyle bir durum fark etsem, kurumun kişisel verileri koruyamadığına dair uyumsuzluk bildirmem gerekir. Sonuçta benim verilerim de tehlikede ve bu konuda bu hatayı yapan kim bilir hangi konularda hangi hataları yapmış olabilir.

Yapılması gereken bu konunun okula bildirilmesidir. Fakat adım gibi eminim ki bu durumu TR’deki üniversitelerin %90’ında bulursunuz. Daha da acısı, ben bu hatayı bildirsem, attığım mail okunmadan silinir. Diyelim okundu, yine silinir. Diyelim silinmedi, hata düzeltilmek istendi, al başına belayı. Neden, çünkü burası Türkiye. Yani şimdi kurumları tanıdığım için, iyilik yap kötülük bul olacağını tecrübelerimden biliyorum. Hatayı benim bedavaya düzeltmem talep edilebilir. Okulun başına geçmişte gelmiş felâketler veya gelecekte olacak olan saldırılar başıma kalabilir vs. vs. Bu listeyi uzatabiliriz, durum ne kadar acı değil mi :) Neyse ki arkadaşımın okulunun ismini paylaşmadım, ama dediğim gibi bu bilginin önemli olduğunu da sanmıyorum.

Sonuç olarak arkadaşımla listeyi paylaştığımda, “Şaka mısın nasıl buldun?” tepkisini almak benim tüm yorgunluğumu aldı. ( yorgunluk mu? :) ). Ha artık kendisi bu bilgiyle ne yapar, gidip tanışır mı, konuşur mu, Instagram’dan mı ekler orasını bilemeyeceğim :)

İş bittiğinde hamlamamışım dedim. 15 yaşındayken kafam nasıl çalışıyorsa 35 yaşındayken de aynı şekilde çalışıyor olduğunu bilmek güzel. Belki biraz yavaşlamış olabilirim. Zira o yaşlarda başka bir hızlıydım ve bug bounty olayları bugünkü durumunda olmadığından yeteneklerimizi genelde çekmecede tutmak durumunda kaldık. O yıllarda bu yeteneklere az ödül, bol ceza vardı. Neyse ki artık bir takım şeyler değişiyor, yani şimdiki nesil çok şanslı. Hele ki benim 15 yaşındaki halime benzeyen biri varsa değmeyin keyfine.

Bu yazıyı kendimi övmek, kurumları yermek veya arkadaşımın maceralarını anlatmak için yazmadım.

Yazmak istedim çünkü gerçek güvenliğin sadece teknik bilgiyle olmadığını bir kez daha göstermek istedim.

Güvenlik” bir yaşam tarzıdır. “Güvenlik” düşünmektir. “Güvenlik” tecrübedir. “Güvenlik” zekâ göstergesidir.

Dünyanın en iyi siber güvenlik uzmanı veya dünyanın en iyi hacker’ı 40 yaşına kadar bilgisayar görmemiş bir adam olursa bir gün, ben kesinlikle şaşırmam.

Keza aynı şekilde, dünyanın en iyi korunan kurumlarını 13 yaşında bir çocuk alt üst ederse, yine şaşırmam.

Herkes bug bounty tadında bol teknik bilgili , bol ekran görüntülü, hacking hikayeleri paylaşırken, ben de böyle basit bir hikâyeyle dikkatleri farklı bir yöne çekmek istedim.

Bir dahakine ben de sıkıcı bir bug bounty hikâyesi ile gelebilirim.

İyi çalışmalar, saygılar, sevgiler.

blank

 

Android Optimizasyon & Modifikasyon

Selamlar,

Bugün sizlere geçenlerde telefonumda yaptığım ufak bir modifikasyon işleminden bahsetmek istiyorum.

Hayatımın her alanında verimlilik ön planda olduğundan ki bugüne kadar yaptığım tüm işlerin de verimlilik üzerine olmasının etkisi olarak kullandığım telefonlarda da her zaman verimliliği ön plana almışımdır.

Belki haberiniz vardır belki yoktur, cep telefonlarında baz istasyonlarının desteklediği ölçüde VoLTE ve Wifi Araması diye bir özellik mevcut. Bu özellik özellikle servis sağlayıcılar için kurtarıcı niteliktedir. Zira telefonunuzu bu şekilde kullandığınızda şebekeye bindirdiğiniz yük sadece veri transferinden ibarettir. Yani VOIP teknolojisi ile entegre edilmiş bu sistemin sadece internet trafiği kullandığını düşünürsek yaptığınız normal aramanın Whatsapp aramasından bir farkı olmamaktadır.

Geçenlerde düşünürken, madem böyle bir özellik var ve kullanmaya başladım, neden hücresel sinyal kullanayım diye düşündüm. Bu durumun bana 2 tane başlıca avantajı olacaktı. Birisi batarya tüketimi, diğeri ise sağlık. Telefonun baz istasyonu ile birlikte wifi ağına bağlı olmasındansa sadece wifi ağında olması çok daha sağlıklı bir durum olacaktı. Ki zaten kişisel tecrübelerime dayanarak, şebeke ile bağlantı halinde bir telefonun, evdeki router a bağlı olan telefondan daha fazla zararı olduğunu söyleyebilirim. Ayrıca üçüncü bir avantajdan daha basedebilirim, bu da hız ve ses kalitesi. Veri temelli telefon görüşmesi, ses temelli görüşmeye nazaran oldukça kaliteli olmaktadır. Ayrıca bağlanma ve çalma süresi gibi durumlarda da büyük düşüş gözlenmektedir. Yine aynı şekilde, acil durumlarda, deprem vs. bu şekil kullanım şebekeleri binen yükü fazlaca azaltacaktır. Ek olarak bu sistemler SMS i de desteklemektedir.

Sonuç olarak telefonu uçak moduna alıp testlerimi tamamladım. Her şey sorunsuzdu. Şimdi sıra ikinci aşamaya geldi ve olayım başladı. Otomatizasyon. Her seferinde uçak modu ile uğraşamazdım. Çünkü WiFi ortamında uçak moduna aldığım telefon, kapıdan çıktığımda beni ulaşılamaz hale getirecekti. Bu işi otomatiğe dökmeliydim. Ayrıca telefonu uçak moduna aldığımda elzem olan wifi ve bluetooth servislerinin kapanması da işimi uzatıyordu.

Birçok yazılım denedikten sonra, her birinde muhakkak bir eksik buldum. Tam çalıştı dediğim yazılım bile farklı senaryolarda farklı sonuçlar getirmekteydi. Sonuç olarak bu işi en iyi yapan yazılımın Macro Droid olduğunu tespit ettim.

blank

Uzun uzadıya makro nedir, bu yazılım nasıl kullanılır anlatmayacağım. Fakat yazılımı kullanırken karşılaşacağınız sorunlardan ve çözümlerden bahsedeceğim. Makroyu yazarken neyi nasıl yapacağınızı ve hangi sıralamayı hangi şartlarda izleyeceğinizi üzerine biraz kafa yorarak bulabilirsiniz. Ardından Android 10 için konuşuyorum şöyle bir sorun yaşayacaksınız;

Her ne kadar uçak modu aktif edildiğinde wifi ve blutooth kapanmasın ile uğraşsanız da bir şekilde kapanacak. Bu sorunun çözümü için Android shell kanadını bir ziyaret etmeniz gerekiyor. Adb shell ile ilgili bilgileri ve nasıl erişeceğinizi arama sonucu bulabilirsiniz. Yine aynı şekilde, uçak modu aktif edildiğinde veya kapatıldığında, hangi servislerin bu durumdan etkilenip etkilenmeyeceğine “root” erişimine gerek duymadan karar verebilirsiniz. Neyse ki Android bu duruma adb üzerinden müsade etmekte.

Ardından uçak modu açıldığında bluetooth ve wifi, hatta ihtiyacınız varsa NFC vb. servislerin açık kalmasını sağlayabilirsiniz.

Peki gelelim diğer duruma, wifi ortamından çıktığımda ne olacak? Yine aynı şekilde wifi koptuğunda uçak modunun deaktif edilmesi ile ilgili makro yazabilirsiniz.

Peki gelelim uç bir senaryoya, ki başıma gelmeden aklıma gelmemişti.

Ofistesiniz wificall bağlı uçak modundasınız her şey yolunda. Telefon geldi. Açıp konuşmaya başladınız. Bu esnada yürümeye başladınız ve dışar çıktınız. Evet tahminleri alalım :) Wifi alanından çıktınız ve ne oldu? Hop karşıdaki kişinin suratına kapandı :D Karşıdakinin önemli bir iş görüşmesi yaptığınız kişi olduğunu geçtim, kız arkadaşınızsa vay halinize :D Muhtemelen alacağınız tepki şu olur :

“Neden sen de herkes gibi normal şekilde kullanmıyorsun?” Konuyu dağıtmamak için “Madalyonun arka yüzü” konusuna girmeyeyim. Bu kadar taş yeter :)

Peki bu durumun yaşanmaması ve ilişkinizin zarar almaması için ne yapmalı? Makroya şöyle bir şey söylenmeli : Makro kardeş, eğer bir arama başlarsa, bunu ben de yapsam karşıdan da gelse, o esnada direk uçak modunu kapat. Ben konuşurken her iki sistem de aktif olsun. Ne zaman ki konuşma biter, sen uçak modunu geri aç, geri aç ama eğer wifi bağlanmışsa geri aç, yoksa açma. Hani telefon cebimde dışarı çıktığımda olan gibi… Çünkü yazacağınız yanlış makro, dışardayken arama aldığınızda kapattıktan sonra olacakları da etkileyecektir. Evet kafalar pırıl pırı oldu mu? Bence oldu.

blank

Sonuca gelecek olursak, artık telefonla aynı odada uyurken biliyorum ki daha az radyasyona maruz kalıyorum. Kanımdaki mikrodalga etkisi daha düşük. Bunu telefona yakın yatıp test etmedim :) Onun dışında özellikle eski telefonlarda veya 3G şebekesini tercih etmek zorunda kalan kullanıcılar için büyük şarj avantajı getireceğini düşünüyorum. 4G şebekelerde zaten şarj tüketimi oldukça düşük olduğundan farkı gözlemlemem zor oldu. Ki zaten Samsung telefonlarda genelde tüketim düşüktür, hali hazırda 7000mah bataryalı bir telefon tercih ettiğimden bunu anlamam kolay olmadı fakat sizlerin daha net gözlemleyebileceğinizi düşünüyorum.

Ben şimdilik memnunum. Konuya önem veren benim gibi optimizasyon aşığı arkadaşlarım veya sağlığa önem veren arkadaşlarım bu yöntemi değerlendirebilirler. Özellikle içinde bulunduğumuz pandemi döneminde sağlığa verilen önem de artmışken, bu yöntemi kullanmak isteyenlerin olacağını düşünüyorum.

Sorularınız olursa buradan veya LinkedIN üzerinden ulaşabilirsiniz.

Herkese sorunsuz günler dilerim.

Petcim Sunucu Optimizasyon Çalışması

Merhabalar.

Yakın zamanda yine bir vaka çözümü gerçekleştirdim. Sizlerle de durumu paylaşmak isterim.

Müşterim internet üzerindeki bir forumdaki bir yorumum aracılığı ile beni farketmiş. Daha sonra bloglarımdan birine ulaşıp, ardından da kurumsal siteme ulaşmış. Oradan da mail yolu ile bana ulaştı ve Skype üzerinden görüşmelerimize başladık. Bunu anlatmamın amacı SEO’nun önemidir ki benim de yapmam gereken oldukça fazla şey var.

Müşterimin sorunu şu şekildeydi;

Sitesinin daha önceden farklı bir firmanın hosting paketinde yer aldığını, fakat sitesi meşhur olunca kaynakların yetersiz gelmesinden ötürü sitesini kendi sunucusuna taşıdığını ardından da sorunlar yaşamaya başladığını belirtti. Tarafıma başvurduğunda sitesi neredeyse açılmayacak durumdaydı. Sitesindeki online kullanıcı sayısı 300 dolaylarına geldiğinde site yanıt vermeyi kesiyordu. Kurumsal bir site olduğundan ve site üyelerinin ücretli üyeler olmasından ötürü müşterim oldukça mağdur durumdaydı. Son 15 günde büyük ölçüde müşteri kaybettiğinden ve zarara uğradığından bahsetti.

Hızlıca çalışmaya koyuldum.

Öncelikle sitenin sql optimizasyonu çok kötü durumdaydı. Site özel kodlanmıştı. Her bir kullanıcının yarattığı sql sorgusu makineyi oldukça zorluyordu. Keza web servisine de yanıt verecek güç kalmıyordu. Normal şartlar altında bu sitenin barınabilmesi için gereken sunucu kaynağı, müşterinin sahip olduğu sunucunun 10 katı civarıydı. Kendisine gerekli açıklamaları yaptım ve işlemlere başladım.

SQL Optimizasyonu

Web Server Optimizasyonu

Sunucu Optimizasyonu

Network Optimizasyonu

PHP Optimizasyonu

Gereken yazılım ve modül kurulumları

Tüm log, verbose vb. kayıtların oluşturulup hataların tek tek raporlanması ve düzeltilmesi.

Mevcut cache yapısındaki hataların tespiti ve düzeltilmesi amaçlı bilgi verilmesi

vb. çalışmalar neticesinde,

Anlık 300 kişide yanıt vermeyi kesen site, şu anda anlık 1000+ rakamları hiçbir tıkanma olmadan görmektedir.

Müşterim durumdan gayet memnun olmakla birlikte, geçen 15 günde zarara uğrayan tüm müşterilerin zararlarını ödemeye karar vermiştir. Kendisini de bu yaklaşımından ötürü kutluyorum ve gelecekte çok daha iyi yerlere geleceğini düşünüyorum.

Sonuç olarak evcil hayvan konusundaki tüm ihtiyaçlarınız için gönül rahatlığı ile Petcim adresini ziyaret edebilirsiniz.

blank

Sorunsuz günler dilerim.

 

 

 

 




Culha.NET