Kategori »Security «

                        Teknoloji Haberleri

İnternette Adım Adım İzleniyorsunuz

internet spy internet casus 233x300 İnternette Adım Adım İzleniyorsunuz security about internet Bir insan hakkında bilgi toplamak için internetten güzeli yok artık.

İnsanlar bazı zamanlar iletişim için interneti daha çok kullanmakta, bu da çeşitli sıkıntılara yol açmaktadır.

Günümüzde insanlar, “eğlence sitesi, güvenli site” dediği birçok sitenin kendilerini takip ettiğinden habersiz. Ya da kullandıkları IM araçlarını iletişim için çok güvenli sanıyorlar. Şunu akıldan çıkarmamak gerek : İnternette mouse ile tıkladığınız her bir link bile sizin kimliğiniz altında kayıt edilmektedir (Bu kaydı yapan devlet tabii, birde bunu yapan özel şirketler var).

Önce Facebook ve Twitter’dan başlayalım. Facebook hakkınızda nasıl bilgi topluyor ?

Birçok websitesinde “Bu siteyi beğen, Bunun tweet’le” şeklinde Facebookve Twitter imzalı bir tablo görürsünüz. Website sahipleri bunu çok pratik bulduklarından, hemen websitelerinde bu aracı kullanırlar. Burada Facebook ve Twitter’ın amacı websitesine kolaylık sağlamak mı ? Tabii ki de hayır.

Facebook ve Twitter websitesine eklettirdiği o araç ile aslında sizi takip ediyor.

Nasıl mı ?

Siz Facebook ve Twitter’dan çıkış dahi yapmış olsanız. Tarayıcılarınız çerez (cookies) denilen bilgiler depolar. Bu bilgiler sizin Facebook hesabınız ile bağlantılıdır. Siz o tabloyu ekleyen bir websitesine giriş yaptığınızda Facebook ve Twitter, çerez bilgilerinizi alıp hangi websitesinde olduğunuzu tespit ediyor ve kayıt altına alıyor. Yani Facebook ve Twitter girdiğiniz hersiteyi hemen hemen biliyor, çünkü günümüzde birçok websitesi bu aracı kullanmaktadır.

Facebook ve Twitter’ın izlemesini nasıl engellerim ?

Facebook ve Twitter’dan çıkar çıkmaz tarayıcınızdan çerezleri silmelisiniz. Ancak kullanıcılar için bu çok zahmetli bir iş tabii ki de, zahmetli olan çerezleri silmek değil, her çıkışında çerezleri silmek haliyle kullanıcıyı rahatsız eder. Onun için ya sadece bu ve benzeri sitelerini ziyaret etmek için farklı tarayıcı (browser) kullanın ya da kullandığınız tarayıcı için çerezleri otomatik silen bir eklenti edinin (Firefox kullanıcıları bunu kullanabilir : BetterPrivacy).

Bilinçsiz Kullanım

Bunun haricinde bilinçlenmesini istediğim ayrı bir konu ise Sosyal Ağların ve IM (anlık mesajlaşma) araçlarının bilinçsiz kullanılması.
Facebook ve benzeri siteler gönderip sildiğiniz, mesajları, videoları, fotoğrafları kayıt altında tutmaya devam ediyor. Günümüzdeki kaset olayları ile bağlantı kurmak istiyorum ; bugünkü içinde bulunduğunuz durum ile 5-10 yıl sonra içinde bulunduğunuz durum aynı olmayacaktır. Onun için bu sitelerde gönderdiğiniz mesajların, videoların, fotoğrafların gizliliği var ise kesinlikle göndermeyin. İleride başınızı ağrıtabilir. Aynı şey Msn türü araçlar için de geçerli, görüşmelerinizin gizliliği var ise bu araçları kullanmayın, kendinize alternatif araçlar edinin ya da görüşmeleri karşı tarafa şifreli ileten araçlar kullanın (Örneğin : Secway) .

Facebook Phishing : Facebook hesabiniz calinmadan okuyun

facebook phishing scam Facebook Phishing : Facebook hesabiniz calinmadan okuyun security Onceden Hotmail, Twitter, iTunes vb sitelerde populer olan Phishing yontemi simdide Facebook’da populer oldu. Biraz önce aldığım bir e-postada Facebook’un  gönderdiği kişi ekleme talebi e-postalarının birebir kopyası olarak yapıldığını gördüm.  Kötü niyetli saldırganlar Phishing saldırılarında şifremi unuttum, yeni şifre almak, kişi ekleme gibi farklı şekillerde karşınıza çıkabilirler. Mail kutunuza düşen bu saldırı maillerinde gerçek servisten geliyormuş gibi birebir aynı şekilde kurbana e-posta atılır. Tasarımından tutunda yazılarına kadar gerçek servisten geliyormuş gibi izlenim verebilir.

Mail içerisindeki ekleme butonları yada arkadaş talebine onay butonları gerçek adrese gitmez. Siz o linke tikladiginizda saldirganin hazirlamis oldugu sahte bir siteye girersiniz. Birde saldirgan site adini facebook a benzer bir isimde almissa ve biraz dalginsaniz vay halinize icon smile Facebook Phishing : Facebook hesabiniz calinmadan okuyun security Genelde bu sayfada şifrenizi girmenizi ister. Şifrenizi girip login olduğunuzu sanarsınız fakat şifreleriniz çoktan saldırganın eline düşmüş olur.

Bu tip saldırılar internetin en popüler saldırılarından bir tanesidir. Bu şekilde bilinçsiz kullanıcılar avlanır ve şifreleri çalınır. Biraz önce aldığım mail de aynı şekildeydi.

Resimde de görebileceğiniz gibi “Arkadaşı Onayla” butonuna bastığınız zaman gerçek Facebook sayfasına yönlendirme olmaz. Yönlendirme direk olarak saldırganın internet sayfasına gider.

Normalde çok dikkatli olsanız da dahi yinede insanın dalgın bir anına denk gelebiliyor.

Lütfen bağlantılara tıklamadan önce nereye gittiğine dikkatle bakınız. Yada tıkladığınızda en azından adres satırında nereye yönlendiğine dikkat ediniz.

Benden size en saglam cozum : Girmek istediginiz sitelere kesinlikle maildeki linklerden girmeyin.  Siteye kendiniz giris yapip gelen mailin dogrulugunu kontrol etmek icin. Eger bir aktive islemi icin uretilmis ozel bir link var ise bu linke sag tik yapip “kisayolu kopyala” deyig, adres cubunuguna linki yapistirin ve gercek bir link oldugundan emin olun.

Web Site Güvenliği – Sql Injection ve Diğer Önemli Konular

web security web guvenlik Web Site Güvenliği   Sql Injection ve Diğer Önemli Konular security SQL Injection

Hakkında : SQL Injection her türlü uygulama-veritabanı ilişkisine sahip her sistemde bulunabilir.  Popülerliğini kaybetmek üzere olan bir açık. Bu açıktan korunmak geliştiricinin görevidir. SQL Injection saldırıyı yapan kişinin query i kırması sonucunda meydana gelmektedir.

Örnek Saldırı : Query şu şekilde olsun  ;
select * from users where username=’#username#’ and password=’#password#’
Bu sorgudan sonra gelen veri boş ise giriş yapılmasın username ve password değişkenleri textbox dan gelmiş olsun. Buna göre ; gelen veri dolu ise, boş değil ise kullanıcı giriş yapmış olsun.  Kullanıcının textbox a ‘or 1=1 girdiği varsayalım,  gelen değerlere göre sorgunun son hali şöyle olacak;
select * from users where username = ‘’or 1=1 and password=’’ or 1=1
Görüldüğü üzere, sql sorgumuz çatladı. Saldırgan kişinin istediği şekli aldı ve giriş yaptı.

Diğer bir saldırı da linklerden gelen saldırılardır. Bunların da çalışma mantığı aynıdır.

Önlem :

  • Parametrik sorgu kullanılmalı.
  • Linkten gelen anahtar kelimeler (select,insert,update,delete,union,where,*,@@) engellenmeli.

Information Leakage (Bilgi sızdırma)

Uygunsuz hata yönetimi sonucunda ortaya çıkar. Örneğin : Kullanıcı giriş panelinde, “Kullanıcı adı veya şifre hatalı” mesajı yerine “Yanlış şifre girdiniz.” Hatası verilmesi gibi. Böyle bir hatada saldırı yapan kişi kullanıcı adını tutturduğunu anlar, kullandığı araç var ise bu aracı, şifreyi deneme  amaçlı kullanarak zaman kazanabilir ve amacına ulaşmada önemli yol kat etmiş olur. more »

Web Site Güvenliği – CSRF

111 Web Site Güvenliği – CSRF security CSRF (Cross Site Request Forgery) Açığı ve Engellenmesi

Hakkında : Günümüzün en kullanışlı açığıdır, bu açık ile birçok “Banka şifreleri, mail şifreleri, para transfer uygulamaları” tehlike altındadır. Açık ile kullanıcı bilgileri uzaktan direkt olarak değiştirilir. Herhangi bir veri çekme söz konusu değildir. Açığın amacına ulaşması için kurban kişinin sistemde online olması gerekmektedir.

İşlemin yapıldığı formda; işlemler hiçbir doğrulama ve kontrole uğramadan gerçekleştiriliyorsa CSRF açığı var demektir.
Saldırı iki çeşitte gerçekleştirilir
-Link yoluyla,
-Form yoluyla.

Örnek saldırı : Bir sistemde para transferi işlemi şu şekilde gerçekleşsin varsayalım ; bank.com/transfer?acc=ali&to=veli&miktar=1000&m=$ (ali veli’ye 1000 $ göndermek istediğinde bu parametreleri girmesi yeterli), hacker veli yerine kendi kullanıcı adını yazar ve kurban bu linke girerse ne olur ? Tabii ki de 1000$ hackera gider. Ancak kullanıcı böyle bir linke girmez, çünkü parametrelerden bir saldırı olduğunu anlayabilir. İşte burada hacker şöyle bir yola başvuracaktır ;
<img src=http://bank.com/transfer?acc=ali&to=hacker&miktar=1000&m=$> img tagına para transfer linki ekleniyor, arka planda parametreler gönderiliyor (resim kaynağı olarak hedef linke giden browser parametreleri istemese de gönderiyor.) ve 1000$ hackerın hesabına gidiyor. Tabii ki kullanıcı sistemde online ise bu işlem gerçekleşecektir. more »

Web Site Güvenliği – Giriş, XSS

111 Web Site Güvenliği   Giriş, XSS security
Merhaba, önümüzdeki yazılarda web güvenliği hakkında yazılar yazacağım. Bugün bir giriş yapalım..
Hergün artan sanal saldırı ve tehditlere karşı bültenimizde, “Bilgilerin bulunduğu ortam nasıl daha güvenli bir hale getirilir ve bu ortama yetkisiz kişilerin ulaşılması nasıl engellenir?” gibi sorularının yanıtlarını arayacağız.

Günümüzde saldırılar incelediğimizde çoğunlukla 3 alandan gelmektedir.
Web siteye yapılan saldırılar, Sosyal Mühendislik saldırıları ve Server’a direkt olarak yapılan saldırılar.

Web Siteye yapılan saldırılar nelerdir? Ne gibi önlemler alınmalı?

Web Sitelerine yapılan saldırılar incelendiğinde, Hackerlar günümüzde çoğunlukla şu açıkları kullanarak saldırıları gerçekleştirmektedir; XSS (Cross-Site-Script), CSRF(Cross-Site-Request-Forgery), Sql Injection, Information Lekage (Bilgi sızdırma) ve diğer zafiyetler (yazının devamında ele alınmıştır).

XSS (Cross Site Script) Açığı ve Engellenmesi

Hakkında  : Günümüzün en tehlikeli açıkların başında gelmektedir. HTML kod tabanlı bir saldırıdır. Saldırı JavaScript kodları ile gerçekleşir.  Hacker bu açık ile daha kolay olduğu için çoğunlukla kurbanın oturum(session) bilgilerini çalmayı tercih eder. Bunun dışında bu açık ile kurbanın bilgisayarına virüs, keylogger, trojan benzeri zararlı yazılımlar yükleyebilir.
Get yada Post metodu ile gelen verinin hiçbir kontrole uğramadan ekrana basılması sonucunda oluşur. Saldıran kişi genelde deneme-yanılma yöntemi ile açığı bulur. more »