Screen Shot 2014-10-17 at 20.13.59

Yeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbarat

15 Ekim 2014’de IstSec Bahçeşehir Üniversitesinde “Yeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbarat” başlıklı yaptığım konuşmanın slide halini aşağıda bulabilirsiniz. Katılan arkadaşlara teşekkür ederim.

Banka Şifresi Out / Mail Şifresi In !

password

Uzun zamandır blog yazmıyordum. Teknik olmasa da aklıma gelen bu konuyu yazmak istedim.

İnternet ile haşır neşir olan bir kesim olarak, milletimizin en çok korktuğu “dijital kabus”, online bankacılık şifrelerimizin-kredi kartlarımızın çalınması veya hacklenmesidir. Bankaların son zamanlarda aldığı üst düzey güvenlik her ne kadar bizi korusa da, hacklenme riski mevcut olabiliyor.

Burada bir konuya değinmek istiyorum. Bankanızda bulunan yüksek meblağlarda paralarınız veya hesaplarınız bile hacklense, ele geçirilse, kredi kartlarınız çalınsa hukukda temsil olabilecek, içinizi rahatlatacak bir kaç dava görüldü [1] [2] [3]. Yani iyi bir avukat ile hacklenen paralarınızı geri alabilme ihtimaliniz var ;)

Şimdi gelelim ‘siber dünyada’ elimiz ayağımız olan mail adresimize. Ya bütün hesaplarımızın bağlı olduğu mail adresi, bizi hedefe koyan profesyonel bir kötü niyetli hacker tarafından hacklenir ve amacı para olmayıp, bizim ile ilgili detaylı bilgi toplamak ise ? Siz bütün hesaplarınıza erişip “Mail adresimi mi değiştireyim ?, Mailimi kurtarmaya mı çalışayım ? ” derdine düşmüşken, hackerın o sırada neleri -ihtimal dahilinde- yapabileceğini yazalım o zaman… Continue reading

Siber Dünya’nın Yeraltı Ekonomisi

Merhabalar Arkadaşlar,

Gelişen teknoloji ve saldırı türleri ile Siber Dünya’nın yeraltı ekonomisi de gelişiyor. Yeni çıkan mobil telefonlar olsun, tabletler olsun, işletim sistemleri olsun, hackerların gözdesi oluyor ve pazarları da ona göre genişliyor.

Bu makalemde BlackHat Seo teknikleri, Kredi kartı satan forumlardan, exploitler, kişiye özel keyloggerdan, stub crypterlar ve 0day (sıfırınca gün açıkları) vs.. gibi konuların bütçeleri, satış yerlerini anlatacağım.

Ayrıca Rusya’da ki bu pazarı inceleyeceğiz, fiyatları karşılaştıracağız.

[Bu makalemde paylaştığım linkler, web siteleri, forumlar bilgi, araştırma ve Siber Dünya'da yer altı ekonomisinin anlatımı amaçlıdır. Kötüye kullanımından doğacak sorunlar, kişinin kendi sorumluluğu altındadır. Sorumluluk kabul edilmez !]
Continue reading

HTML5 ‘e Yönelik Saldırılar ve Tehditler

Modern web saldırı türleri denilince aklımıza ilk gelen HTML5 ‘e yönelik saldırılar geliyor.  Çoğu tarayıcılarda aktif olarak desteklenmesi, yeni ve gelişmekte olması, HTML5 ‘e yönelik saldırıları arttıyor.

HTML5 ile birlikte bir çok yeni teknoloji ve bileşenler geliyor. XMLHttpRequest (XHR), cross-origin resource sharing (CORS), webSQL, yerel depolama vs…

HTML5, web mesajlaşma, web socket, GEO location bileşeni, Canvas 2d gibi teknolojilere kapı aralıyor…

HTML5 ile web teknolojisi geliştikçe artan saldırılar da aynı oranda gelişiyor ve artıyor.

2012 Black-Hat konferansına konu olan ve konuşmacı olarak çıkan Shreeraj Shah DOM, XHR ve localstorage ile ilgili en çok görülen 10 tehditi sıralıyor;

1. CSRF with XHR and CORS bypass (XHR ve CORS ile CSRF bypass [token hijacking])

2. Jacking – click, CORS, tabs (Tablar arası cookie çalımı ve kaynak erişimi)

3. HTML5-driven cross-site scripting using tags, events and attributes (Yeni gelen etiketlere, özelliklere ve olaylara XSS uygulanması [pushState() vb.] )

4. Attacking storage and DOM variables (DOM elemanları ile yerel depolamaya sızma)

5. Exploiting Browser SQL points (Tarayıcı DB Hacking)

6. Injection with Web Messaging and Workers (Web mesaj ve websocket’e saldırılar)

7. DOM-based cross site scripting and issues (DOM tabanlı XSS)

8. Offline attacks and cross-widget vectors (Offline saldırılar )

9. Web socket issues (Web socket bugları, sorunlar)

10. API and protocol attacks (API ve protokol saldırıları)

Bunların yanı sıra, HTML5 Security ile ilgili dikkate alınacak, makaleleri ve blogları yazıyorum;

Bir sonra ki makalemde, HTML5 ‘e yönelik bir saldırı türünü canlı olarak ele alacağız inşAllah.

 

Sencha Touch 2

Sencha Touch, HTML5 & Javascript ile mobile Cross-Platform frameworklerinden biri. Mobile Tutsplus da güzel bir videolu anlatım mevcut. Başlangıç seviyesi, kullanım alanları ve bir çok componenti çok güzel anlatılmış. Aşağıdaki linkten videoları izleyebilirsiniz;

 

http://mobile.tutsplus.com/tutorials/mobile-web-apps/getting-started-with-sencha-touch-2/