Selamlar.
Volkan Bey tabii ki ben de sizin fikirlerinize saygı duyuyorum; burada
yaptığımız fikirleri dile getirmek zaten.
Verdiğiniz linkleri de dikkatlice inceledim. Örnek Yargıtay kararlarını
okuduysanız, tamamında sisteme girme değil, "sisteme müdahale" suçu söz konusu.
Örneğin birinde MSN şifresini çalıp başkası adına yazışma yapılmış, diğerinde
telefon hattına girilerek "yararlanılmış", yani aramalar yapılmış. Bunlar
sisteme girdikten sonra verileri bozma, değiştirme, yarar sağlama vb vb farklı
kanun ve maddelerde değerlendirilen şeyler.
Özetle sunduğunuz örneklerde konumuzdan tamamen farklı suçlardan hüküm
verilmiş. Konumuza yakın tek bir hüküm var; o da kişinin programa "çeşitli
zamanlarda tekrar tekrar girmiş olması" üzerine dikkat çekilmiş, yani "orada
kalma" eylemi oluşmuş, tek bir sefer girip hemen geri çıkmakla oluşmamış. Yani
hem sisteme girmiş, hem de defalarca girerek orada kalmış; dolayısıyla "bilişim
sistemine girme suçu" bu şekilde oluşmuş; ki bu tam olarak benim söylediğim
şeydi.
Yine link verdiğiniz, "maddenin gerekçesi" metnine bakıldığında, orada bağlacın
değiştirildiği ve şu şekilde belirtildiği görülüyor; "hukuka aykırı olarak
girmek veya orada kalmaya devam etmek fiili suç hâline getirilmiştir". Oysa ki
kanun metnindeki bağlaç "veya" değil, "ve"dir. Bu da anlamın değiştiğinin
ispatıdır.
Sizin yorumladığınız 5 adımın tamamı "sisteme girmek" ile alakalı; hiçbirisi
"orada kalmayı" izah etmiyor. Bu durumda "orada kalmak fiilini işlediğini neye
dayanarak söyleyebiliriz?
Bilirkişi konusu ile ilgili olarak;
Maalesef ülkemizde bilirkişilik kurumu çok yanlış şekilde yürütülüyor.
Bilirkişiler genelde rapor sunmak yerine hüküm vermek gibi bir adet edinmişler.
İkisi arasındaki ince çizgiyi çoğu zaman çoğu kişi ayırt edemiyor. Ben birçok
bilirkişi raporu gördüm, teknik bilgiden ziyade kişisel görüş ve kanaatlerini
sunuyorlar. Bilirkişi olayı teknik olarak inceleyip ne olduğunu izah etmekle
mükelleftir; kesinlikle yorum yapma gibi bir hakkı veya görevi yoktur. O
nedenle bir bilirkişi "bence orada kalmaya devam etmiş sayılır" derse, işini
yanlış yapıyordur.
Böyle bir olayda bilirkişi sisteme hangi zamanlarda ve nasıl girdi, ne kadar
kaldı gibi teknik verileri sunmalıdır. Bu veriyi yorumlamak hakim ve savcıların
görevidir. Bu verilerin "orada kalmaya devam etmek" fiilini oluşturup
oluşturmadığına bilirkişi değil, hakim karar verir. Keza bilirkişi niyet
okuması da yapamaz; "bu eylemi şu amaç için yaptı, kötü niyeti vardı" vb
kanaatlerde de bulunamaz.
Ek olarak önceki mesajımda belirttiğim gibi, kişi tamamen defansif hareket
ettiğini ileri sürebilir. Çünkü (nasıl olduğunu açıklamamış olsa da) kendi
ağında iLO stream yakaladığını söylüyor. Belki de kendisi siber suç kurbanı
olduğunu düşünerek kendisine bağlanmaya çalışanları tespit etmek için bunu
yaptı.
Tabii ki hakimler ve Yargıtay her zaman aynı kararları vermiyor; fakat dediğim
gibi, kanunların metinlerindeki şekil birinci önceliktedir. Bunun bire bir
benzer durumunu da güncel mevzuattan örnek verdim. Yorumlar ve teamül şekilden
sonra gelir. Bununla birlikte, arz ettiğim gibi verdiğiniz Yargıtay örnekleri
de bunu doğruluyor; ben onların arasında tek başına sisteme girmiş olmaktan
kaynaklı bir ceza göremedim.
Saygılar sunuyorum.
Özhan ELMA
Genel Koordinatör
Elmacık Bilgisayar Bilişim ve
Reklam. Tic. ve San. Ltd. Şti.
Adres: Kayalıbağ Mh. Turhan Cemal Beriker Bulv.
No: 7 Dr. Alim Kağızman İş Merkezi Seyhan Adana
Telefon: 0850 885 0393 Dâhili: 1020
Mobil: 0541 560 7090 E-mail: [email protected] [mailto:[email protected]]
Web: www.elmacik.com [https://elmacik.com/] | www.elmacik.net
[https://www.elmacik.net/]
Önemli: Bu e-posta kişiye veya kuruma özel olabilir. Sizinle ilgili olmayan
içerikle karşılaştığınızda kişisel veya ticari gizliliğe riayet ederek mesajı
silmenizi ve bu mesajı size gönderen e-posta adresini bilgilendirmenizi veya
0850 885 03 93 numaralı telefona bildirmenizi rica ederiz. Referans numarası
içeren iletilerle ilgili geri dönüşlerinizde referans numarasını belirtmeniz,
istenen sonuca en hızlı şekilde ulaşılmasında yardımcı olacaktır.
On 22.04.2019 17:45:06, Volkan Evrin <[email protected]> wrote:
Merhaba,
Avukat ya da Hakim değilim, o yüzden hukuki yorumlarım kişisel bilgi/ilgi
seviyesindedir. Eğer, bu konu bir dava olsa ve ben de "teknik bilirkişi" olarak
atansam, olayın oluş şekli olarak "girme ve kalmaya devam etme" fiilinin
işlendiğini söylerim... Zira, rastgele denk gelmiş bir açıklığın farkedilmesi
değil, durum keşif, inceleme, tespit, sızma(exploit), kullanıcı yaratma-giriş
ve orada durma şeklinde 5 adımda irdelenmiş...
1-(keşif) Kali ile kendi (superonline) fizikselimi test ediyordum(oynuyordum)
(192.168.1.1 default ev ip si),
2-(inceleme-tespit) Networkte bir ağırlık oldu ben de ava giden avlanır mı
oluyor nedir diyerek 192.168.1.1/24 şeklinde dinlemeye başladım ve bir süre
sonra ilo 4 http yayını yakaladım.
3-sızma CVE-2017-12542 / Add New Administrator User Exploit bastım ve success
aldım.
4-kullanıcı yaratma-içeri girme Oluşturduğum kullanıcı ile login oldum sunucu
specslerini inceledim(gerçekten tamamen merak, kesinlikle bir zarar verecek bir
aksiyon almadan)
5-sonuç Open console diyerek sunucu neymiş diye baktım,Karşıma Turkcell Bilgi
Güvenliği Mesajı ile beraber Red Hat Linux 6.9 login ekranı geldi. Orada
bıraktım.
Hakimler (+ Yargıtay) içtihat üzerinden giderler genelde. Bu da kanunda yazan
kelimelerin arkasındaki devasa bir külliyata götürür onları. O yüzden Meclis'in
kabul ettiği yasa maddesinin gerekçesine, çok dikkat ederler. Elbette onunla
yetinmez, devamında Olayın oluş şekli, kasıt unsuru, suçun diğer unsurları, vb.
hepsi birden değerlendirilir...
M.243 özelinde bu durumu yorumlamış ve gerekçesi ile beraber değerlendirmiş
hukuk sitelerinden 1-2 örnek sunarak, kendi adıma konuyu kapatıyorum.
(@Özhan bey, görüşlerinize saygı duyarım, ama aynı fikirde değilim :-) ).
M.243 - Gerekçesi diyor ki: "...Sisteme, doğal olarak, haksız ve kasten
girilmiş olması suçun oluşması için yeterlidir..."
http://www.turkhukuksitesi.com/serh.php?did=1353
[http://www.turkhukuksitesi.com/serh.php?did=1353]
http://www.turkhukuksitesi.com/makale_1385.htm
[http://www.turkhukuksitesi.com/makale_1385.htm]
https://www.kararara.com/forum/viewtopic.php?f=87&t=8874
[https://www.kararara.com/forum/viewtopic.php?f=87&t=8874]
Saygılar,
Volkan Evrin
Kurumsal Uygulamalar ve Bilgi Güvenliği Müdürü
Ar-Ge Merkezi
D +90 850 251 6012
F +90 312 267 0244
www.karel.com.tr [http://www.karel.com.tr]
Bu e-posta işbu bağlantıyı kullanarak erişebileceğiniz koşullara tabidir:
http://www.karel.com.tr/eposta-hukuki-sartlari
[http://www.karel.com.tr/eposta-hukuki-sartlari]
From: Özhan Elma [mailto:[email protected] [mailto:[email protected]]]
Sent: Monday, April 22, 2019, 4:24 PM
To: Volkan Evrin; [email protected] [mailto:[email protected]];
[email protected] [mailto:[email protected]]; Recep YÜKSEL
Subject: [NetsecTR] Superonline ILO 4 Açığı Hk.
Merhabalar.
Volkan Bey adımların ve tekrarlanabilirliğin paylaşılması konusunda kesinlikle
doğru bir yorumda bulunmuşsunuz. Diğer konuda ise, yani bağlacın getireceği
etki konusunda söyledikleriniz tamamen kişisel yorum. Yani metindeki değişiklik
tam olarak sizin belirttiğiniz gerekçe ile yapılmış olabilir; ancak
mahkemelerde "kanun koyucu aslında şöyle demek istedi" gibi bir yorumda
bulunulamıyor; metinde ne yazıyorsa odur.
Bunun mükemmel bir örneğini yakın tarihte süreli abonelikler mevzuatında
yaşadık. Biliyorsunuz GSM operatörleri ve internet servis sağlayıcıları
"taahhütlü abonelik" yapıyorlar. Bu taahhüt süresi genellikle de 2 yıl (24 ay)
oluyor. Bundan dolayı da binlerce insan devamlı mağdur edilip taahhütten cayma
bedeli adı altında ceza ödetiliyor. 2015 yılında hükümet bu konuya el attı ve
Abonelik Sözleşmeleri Yönetmeliği değiştirildi ve yönetmeliğin 22. maddesinde
şöyle denildi;
"Tüketici, belirsiz süreli veya süresi bir yıl ve daha uzun olan belirli süreli
abonelik sözleşmesini herhangi bir gerekçe göstermeksizin ve cezai şart
ödemeksizin istediği zaman feshetme hakkına sahiptir."
Hükümet cayma cezası çilesinin bittiğini duyurdu, her yerde buna ilişkin
haberler yapıldı, sevinç naraları atıldı deyim yerindeyse. Hatta ben şahsım
olarak da cayma cezası faturasını hakem heyetine şikayet ederek faturanın iptal
edilmesini sağladım.
Ancak; çok kısa süre sonra kanun koyucunun bu mevzuatı ne amaçla yapmış olduğu
duyurulmuş olmasına rağmen, aynı yönetmeliğin "yapılan indirimleri geri isteme
hakkı"nı düzenleyen 16. maddesinde "taahhüt" kelimesi geçmediği için, 24 aylık
taahhüdü 24 ay dolmadan bozmak, "süresi bitmeden caymak" olarak sayılmaya
başlandı. Bu konuyla ilgili hukukçular da çok defa tartıştılar ve "16. maddede
taahhüt kelimesi belirtilmemiş, dolayısıyla süresinden önce sözleşmeyi
sonlandırmak satıcının yaptığı indirimleri geri isteme hakkını doğurur"
sonucuna vardılar. Ben bizzat bu dönemde bire bir aynı durumu hakem heyetine
tekrar götürdüğümde olumsuz karar verildi. Yani o cezayı ödemek zorunda
bırakıldım. Gördüğünüz gibi metindeki küçük bir şekilsel hata, kanun koyucunun
amacından tamamen alakasız bir sonuç doğurdu. (Tabii bunun "hata" olmadığı, o
dönem için siyasi bir yorum olduğunu düşünenler de az değil.)
Özetle, yargı mercileri metnin kanun koyucu tarafından o tarihte şifahen
düşünülmüş amacına göre değil, metinde yazılı olan şekli duruma göre karar
verirler. Takdir edeceğiniz üzere yargılama esnasında bir hakim örneğin 1956
yılında çıkarılmış bir kanuna göre hüküm verirken "acaba o tarihteki kanun
koyucular bu kanunu koyarken ne düşünüyorlardı, neyi amaçlamışlardı, neye niyet
etmişlerdi" diye düşünmez ve düşünmek zorunda da değildir. O nedenle de buna
göre değil, kanun metninde yazana göre hareket edecektir.
Bu bakımdan olayımıza dönersek, aradaki bağlaçla kanun koyucu o an için ne
amaçlamış olursa olsun, aradaki bağlaç "birliktelik" anlamı doğuruyor. Elbette
yoruma hala açık olmakla beraber, gördüğüm kadarıyla bazı hukukçuların görüşü
metne sadık kalmak yönünde; yani ikisi birlikte yapılırsa suç oluşacağı
kanaatinde. Burada "orada kalmak" yoruma açık olmakla beraber, Cihat Bey'in
"orada kalma" süresi Turkcell tarafından da, servis sağlayıcı tarafından da
rahatlıkla tespit edilebilir ve eğer durum belirttiği gibiyse, orada kalmadığı
sonucu daha ağır basacaktır.
Ek olarak, kurum tarafından bir suçlama yöneltilirse, Cihat Bey'in söylemiş
olduğu diğer konu tekrar gündeme gelir ve kurumun kendisini izlediği ve
dinlediği yönünde karşı şikayette bulunarak yaptığı eylemi kendini savunmak ve
izlenip izlenmediğini tespit etmek için yaptığını söyleyebilir-ki gayet de
yerinde bir iddia olur.
Saygılar sunuyorum.
Özhan ELMA
Genel Koordinatör
Elmacık Bilgisayar Bilişim ve
Reklam. Tic. ve San. Ltd. Şti.
Adres: Kayalıbağ Mh. Turhan Cemal Beriker Bulv.
No: 7 Dr. Alim Kağızman İş Merkezi Seyhan Adana
Telefon: 0850 885 0393 Dâhili: 1020
Mobil: 0541 560 7090 E-mail: [email protected] [mailto:[email protected]]
Web: www.elmacik.com [https://elmacik.com/] | www.elmacik.net
[https://www.elmacik.net/]
Önemli: Bu e-posta kişiye veya kuruma özel olabilir. Sizinle ilgili olmayan
içerikle karşılaştığınızda kişisel veya ticari gizliliğe riayet ederek mesajı
silmenizi ve bu mesajı size gönderen e-posta adresini bilgilendirmenizi veya
0850 885 03 93 numaralı telefona bildirmenizi rica ederiz. Referans numarası
içeren iletilerle ilgili geri dönüşlerinizde referans numarasını belirtmeniz,
istenen sonuca en hızlı şekilde ulaşılmasında yardımcı olacaktır.
On 22.04.2019 14:56:58, Volkan Evrin <[email protected]>
[mailto:[email protected]] wrote:
Merhaba,
Recep beyin yorumu daha doğru, zira TCK-243-244-245 'in "gerekçeli kanun"
düzenlemelerinde (meclis tutanaklarında), "girme ve orada kalma" sürecinindek
bağlaç ("ve"), istenmeyen e-posta ya da web sayfalarındaki rahatsız edici
içeriklerin (pop-up menü ya da otomatik açılan sayfalar vb.) durumlar için
ortaya çıkmış bir düzenleme idi. Kişinin isteği dışında bir siteye girmesi ve
kontrol edilemez şekilde oradan çıkamaması gibi durumlar (genede de 5651'deki
katalog suçların içeriğine göre). FAkat, bu mesaj konusundaki gibi Bir sistemi,
"tarayıp, içeri girilen yolu bulup, sonra da girmek", teknik olarak da "girme
ve orada kalma" eylemidir. Açığın sahibi kurum, bu noktada karşı tarafın
niyetini tahmin edemeyeceği için kendini koruma yolunu seçebilir. Zira, bu
liste "teknik insanların" olduğu bir liste ve listede açığın yayınlanmış olması
(hatta adım adım test edilebilir şekilde yol gösterilmesi vb.) da ayrı bir
yanlış yaklaşım kanımca... Açığın sahibi kuruma bildirip, kapanışını beklemek
ve ardından bunu sohbet konusu yapmak daha sağlıklı bir ilerleme olurdu bence...
Kötü niyet olduğunu düşünmüyorum, ama yine de bilişim hukuku açısından
sakıncalı durumlar yaratıyor...
Saygılar
Volkan Evrin
Kurumsal Uygulamalar ve Bilgi Güvenliği Müdürü
Ar-Ge Merkezi
D +90 850 251 6012
F +90 312 267 0244
www.karel.com.tr [http://www.karel.com.tr]
Bu e-posta işbu bağlantıyı kullanarak erişebileceğiniz koşullara tabidir:
http://www.karel.com.tr/eposta-hukuki-sartlari
[http://www.karel.com.tr/eposta-hukuki-sartlari]
From: Özhan Elma [mailto:[email protected] [mailto:[email protected]]]
Sent: Monday, April 22, 2019, 2:25 PM
To: [email protected] [mailto:[email protected]]; Recep YÜKSEL
Subject: [NetsecTR] Superonline ILO 4 Açığı Hk.
Merhabalar.
Recep Bey mevzuatı önceki mailerden birinde paylaşmıştım. Bir sisteme izinsiz
girmek ve orada kalmak suçtur. Cihat Bey'in yaptığında mevzuata göre bir suç
yoktur; mahkemeye vermek için de yeterli bir suçlama unsuru yoktur. Madem
gerçek hayattan örnek veriyorunuz; şöyle düşünebilirsiniz, yoldan geçerken
penceresi açık bir eve denk gelebilir ve içindekileri görebilirsiniz, bu sizi
suçlu yapmaz. O pencereden bakmak suç değildir; ancak oraya girip orada
bulunmak, yani "kalmaya devam etmek" suçtur.
Özhan ELMA
Genel Koordinatör
Elmacık Bilgisayar Bilişim ve
Reklam. Tic. ve San. Ltd. Şti.
Adres: Kayalıbağ Mh. Turhan Cemal Beriker Bulv.
No: 7 Dr. Alim Kağızman İş Merkezi Seyhan Adana
Telefon: 0850 885 0393 Dâhili: 1020
Mobil: 0541 560 7090 E-mail: [email protected] [mailto:[email protected]]
Web: www.elmacik.com [https://elmacik.com/] | www.elmacik.net
[https://www.elmacik.net/]
Önemli: Bu e-posta kişiye veya kuruma özel olabilir. Sizinle ilgili olmayan
içerikle karşılaştığınızda kişisel veya ticari gizliliğe riayet ederek mesajı
silmenizi ve bu mesajı size gönderen e-posta adresini bilgilendirmenizi veya
0850 885 03 93 numaralı telefona bildirmenizi rica ederiz. Referans numarası
içeren iletilerle ilgili geri dönüşlerinizde referans numarasını belirtmeniz,
istenen sonuca en hızlı şekilde ulaşılmasında yardımcı olacaktır.
On 22.04.2019 03:53:32, Recep YÜKSEL <[email protected]>
[mailto:[email protected]] wrote:
Merhaba,
Izinsiz adamların sunucusuna bağlanmışsınız, açık bir suçtur bu. Hiç bir kanun
veya açıklama size x bir makinanın üzerinde açık varmı yokmu tarama yapma test
hakkı vermez. Adamların evine izinsiz girmişşiniz, bunun düzgün ve ben masumum
şeklinde açıklanabilir bir tarafı yoktur. Sizin evinize izinsiz girilse nasıl
bir tepki verirsiniz biraz empati lütfen. :(
Bu durumu kendilerine bildirdiğinizde istedikleri tarafa çekebilirler,
teşekkürde edebilirler, mahkemeye de verebilirler. Bence ikinci seçeneği
kullanacaklardır.
Sistemlerine erişim testi yapıp açık bildirene ödül veren frmaları bulup
onların sistemlerine erişim test ederseniz daha doğru bir iş yapmış olursunuz
bence.
Saygılarımla.
Recep YÜKSEL / System Support Specialist
MCT | MCSA | MCITP | VCP-DCV | VMware vExpert | HPE Mase
www.recepyuksel.net [http://www.recepyuksel.net] | [email protected]
Twitter: [http://leandroesc.spaces.live.com/]@rcpyksl
21 Nisan 2019 Pazar 10:57:03 GMT+3 tarihinde, İbrahim Çağırıcı
<[email protected]> [mailto:[email protected]]şunu yazdı:
Mrb, ILO portu nasıl oluyorda public olarak brodcast yapıyor ? özel bir port
ile kapalı olması gerekmiyor mu ?
Turkcell TV vs bunlar normal kotadan kullanmadığı evdeki hızdan bağımsız olduğu
bilgisi verilmişti zamanında. Acaba bu kanal üzerinden mi erişim oldu. Fiber
hat üzerinden gizli yayın mı vardı ?
Buda akıllara şu soruyu getiriyor bize gelen net üzerinden bilgi toplama ve
izleme mi yapılıyor ? hayali olarak düşündüm :) mevcut case çok ilginç çünkü...
Saygılarımla.
Selcen Haskırış <[email protected] [mailto:[email protected]]>, 20 Nis 2019
Cmt, 12:44 tarihinde şunu yazdı:
Merhabalar,
Turkcell’de dijital servislerle ilgili bölümde çalışıyorum; konuyla ilgili
birime durumunuzu ilettim. Durumu inceledikten sonra dönüş yapacaklardır.
İyi çalışmalar,
Selcen
20 Nis 2019 Cmt, saat 12:07 tarihinde Özhan Elma <[email protected]
[mailto:[email protected]]> şunu yazdı:
Merhabalar Cihat Bey.
Turkcell'in mutlaka siber güvenlik süreçlerini takip eden bir birimi vardır
ancak ne kadar etkili çalıştığı veya onlara ne kadar kolay ulaşılabileceği çok
şüphelidir. Ben kurumsal bir müşterinin uzak sunucu bağlantılarında devamlı
kopma yaşaması nedeniyle trace sonuçlarının incelenmesini bile bir aydır
isteyemiyorum; çünkü trace nedir onu anlayan bir "teknik uzman"a henüz
ulaşamadım. Müşteri hizmetlerindeki ilgililer teknik birime aktardılar çok
defa, teknik birim olduğu söylenen, uzman olduğunu beyan eden kişi standart
kullanıcının dahi anlayabileceği trace komutu sonuçlarının ne anlama geldiğini
bilmiyordu; bana [email protected] [mailto:[email protected]]
adresine mail atmamı söyledi. Bu mail adresine de 2 haftadır mütemadiyen mail
atıyorum; her seferinde "mailbox is full" diyerek bounce ediyor; mesajım onlara
ulaşmıyor.
Yaptığınız şeye gelince; yürürlükteki kanunlara göre suç teşkil etmiyor. TCK
243. madde;
(1) Bir bilişim sisteminin bütününe veya bir kısmına hukuka aykırı olarak giren
ve orada kalmaya devam eden kimseye bir yıla kadar hapis veya adli para cezası
verilir
(3) Bu fiil nedeniyle sistemin içerdiği veriler yok olur veya değişirse altı
aydan iki yıla kadar hapis cezasına hükmolunur.
Yoruma göre "bilişim sistemine hukuka aykırı şekilde girmek ve orada kalmaya
devam etmek" birlikte yapıldığında suç olur. Herhangi bir veri ele geçirmeseniz
dahi sistemde kalmaya devam etmek suç sayılmıştır, ancak siz orada kalmaya
devam etmediğiniz için herhangi bir suç işlemiş sayılmıyorsunuz. Konuyla ilgili
diğer mevzuat çalışmasını engelleme, verileri çalma, bozma vb sizin eyleminizle
ilgisi olmayan maddeler.
İyi çalışmalar.
Özhan ELMA
Genel Koordinatör
Elmacık Bilgisayar Bilişim ve
Reklam. Tic. ve San. Ltd. Şti.
Adres: Kayalıbağ Mh. Turhan Cemal Beriker Bulv.
No: 7 Dr. Alim Kağızman İş Merkezi Seyhan Adana
Telefon: 0850 885 0393 Dâhili: 1020
Mobil: 0541 560 7090 E-mail: [email protected] [mailto:[email protected]]
Web: www.elmacik.com [https://elmacik.com/] | www.elmacik.net
[https://www.elmacik.net/]
On 20.04.2019 10:38:25, Cihat Çalışkan <[email protected]
[mailto:[email protected]]> wrote:
Merhabalar,
Öncelikle hobi olarak amatör seviyede offensive security ile de ilgileniyorum
NetSecTr Listesinde Turkcell ekibinden kimse var mı bilmiyorum.
Ancak tam olarak şu şekilde oldu;
Öncelikle mevcut sistemim; Evde Superonline Fiber var,superonline converter ile
fiber içeride sonlandırılıp modem’e patch kablo ile bağlı. Aynı zamanda
Turkcell TV’de var.
Kali ile kendi fizikselimi test ediyordum(oynuyordum) (192.168.1.1 default ev
ip si),
Networkte bir ağırlık oldu ben de ava giden avlanır mı oluyor nedir diyerek
192.168.1.1/24 [http://192.168.1.1/24] şeklinde dinlemeye başladım ve bir süre
sonra ilo 4 http yayını yakaladım.
CVE-2017-12542 / Add New Administrator User Exploit bastım ve success aldım.
Oluşturduğum kullanıcı ile login oldum sunucu specslerini inceledim(gerçekten
tamamen merak, kesinlikle bir zarar verecek bir aksiyon almadan)
Open console diyerek sunucu neymiş diye baktım,Karşıma Turkcell Bilgi Güvenliği
Mesajı ile beraber Red Hat Linux 6.9 login ekranı geldi. Orada bıraktım.
Açıkçası şu an ilo console yani fiziksel karşımda olduğu için bu şifreyi de
kırıp içeri girebilirim ancak sanırım bundan sonrası bilinçli suça giriyor hem
tebliğ manasındaki uyarıyı aldığım hem de durmadan şifre kırdığım için?
Bu açık hakkında Turkcell ekibine bilgi vermeli miyim? ya da turkcelin
bildiğiniz siber güvenlik süreçlerini takip eden bir birimi var mı bildirim
için, bu süreçten bana herhangi bir suçlama yansıması mümkün mü? Olası mı?
Teşekkürler,
İyi Akşamlar
[http://www.gentug.com/wp-content/uploads/imza/2.gif]
Cihat ÇALIŞKAN
IT Consultant
GENTUĞ TEKSTİL A.Ş.
Organize Sanayii Bölgesi 13. Ada 1/4
Parsel, Beyköy Belediyesi, Düzce - Turkey
T. +90 380 553 73 68-69
F. +90 380 553 73 65
W. www.gentug.com [http://www.gentug.com/]
[http://www.gentug.com/wp-content/uploads/imza/1.jpg]
-------------------------------------------------
Ücretsiz Phishing Domain Tespiti ve Alarm Servisi -
https://services.normshield.com/phishing-domain-search
[https://services.normshield.com/phishing-domain-search]
-------------------------------------------------
-------------------------------------------------
Ücretsiz Phishing Domain Tespiti ve Alarm Servisi -
https://services.normshield.com/phishing-domain-search
[https://services.normshield.com/phishing-domain-search]
-------------------------------------------------
-------------------------------------------------
Ücretsiz Phishing Domain Tespiti ve Alarm Servisi -
https://services.normshield.com/phishing-domain-search
[https://services.normshield.com/phishing-domain-search]
-------------------------------------------------
------------------------------------------------- Ücretsiz Phishing Domain
Tespiti ve Alarm Servisi -
https://services.normshield.com/phishing-domain-search
[https://services.normshield.com/phishing-domain-search]
-------------------------------------------------
[http://www.karel.com.tr/sirket-profili]
[http://www.karel.com.tr/sirket-profili]-------------------------------------------------
Ücretsiz Phishing Domain Tespiti ve Alarm Servisi -
https://services.normshield.com/phishing-domain-search
-------------------------------------------------
