Re: [NetSec] Bilişim ile ilgili değişen maddeler

2014-09-16 Başlik TRSec 
Yönetmelikte yazmaz. Orada aslında belirtilmeye çalışılan odur. Yani 
şifreli iletişim için bir ürün geliştiriyorsanız bu fiziksel bir cihazda 
olabilir bir şifreleme aracı da olabilir bunun master key'lerini 
vermekle yükümlüsünüz eğer bu topraklar üzerinde ikamet ediyor bu 
topraklar üzerinde bir ofisiniz var ise. Bunun dışında içeriye 
getirilmeye çalışılan devletin elinde olmayan ve kötüye kullanılabilecek 
her cihazın girişi zaten yasaktır. Devlet DNS manipülesi yapar mı, 
yapanlar var. Hangi ülkeleri örnek aldığınız ile değişir. Zaten DNS 
manipülesi, bir zararlı aktivitesi ile aynıdır. İkisinde de amaç 
çözümlemeyi kendi sunucuları üzerinden geçmesini sağlamaktır. Açıkçası 
VPN kullanan kaç milyon kişi var o zaman hepsinden bir bilgimi talep 
edilicek bana bu çok uçuk geliyor. Bunun yerine omurga üzerinden belirli 
yöntemlerle çoğul kullanımın önüne zaten geçebilirler. Tabiki tecrübeli 
kişiler bu engelide atlatacaktır.


On 09/15/2014 07:30 PM, Özgür KOCA wrote:

Kişisel bilgiler kişiseldir adı üstünde;

 İkincisi, bahsettiğiniz yönetmelik sıfırdan şifreli iletişim için 
*ürün geliştiren şirketler* içindir.


Yönetmelikte böyle bir şey yazmıyor, yoksa ben mi göremedim. Ülkeye bu 
cihazı/sistemi soktuğunuz anda

devlete anahtarları vermelisiniz, geliştirmek değil.

Devlet DNS korsanlığı (ing. DNS hijacking) yapar mı, yapar sa 
yaptırımı yine kanunlardır ama işine gelen yerden
yorumluyor. Yönetmeliklerimiz solucan yuvası. Ben buna amiyane ya tuz 
kokarsa örneğini uygun görürüm. Bana sorarsanız ilgili 
yönetmeliklerde cihazı/sistemi atıfları bilinçli yapılmış, bugün SDR 
(software defined radio) dediği şey zaten bildiğiniz bilgisayar. 
Olurda evdeki bilgisayar bir şekilde kolluğun eline geçerse, SDR 
olmadığını kanıtlayıncaya kadar içine yüzlerce delil yüklenir. Ne 
imajı, ne imzası! O nedenle yorum ve çıkarımlarda bulunurken buranın 
her seferinde bize hatırlatılan Türkiye Cumhuriyeti Hukuk Devleti 
olduğunu unutmamak gerekir. O nedenle biri size çıkarda sen VPN 
kullanıyormuşsun özel anahtarın varmış hadi onu bize ver de 
kaydettiğimiz trafik daha bir anlamlı hale gelsin. Yok efendim olur mu 
VPN öyle birşey değil dersin diye savunma emin olun birçok bilirkişi 
kurum raporu ve muallakta kalan noktaları muazzam tedbirlerle 
hayatınızı mahfetmek üzerine kuran bir düzen için de bulursunuz. 
 Yazdıklarımın öznesi 2. tekil şahıs değildir, yanlış anlaşılmasın.


Teşekkürler.




Özgür Koca
[tankado.com http://tankado.com/][raspberry-pi.tankado.com 
http://raspberry-pi.tankado.com/]



http://www.facebook.com/zerostoheroes/

2014-09-15 16:07 GMT+03:00 TRSec cont...@trsec.net 
mailto:cont...@trsec.net:


Volkan Bey çok emin konuşuyorsunuz ama söylediklerinizle hiç bir
alakası yok konunun. Öncelikle burada SSL MITM yapılmıyor. Varolan
DNS adreslerinin manipüle edildiği doğrudur. Fakat bunun
manipülesi olduğu gibi çözümüde mevcut.

İkincisi, bahsettiğiniz yönetmelik sıfırdan şifreli iletişim için
ürün geliştiren şirketler içindir. VPN anahtarının verilmesi gibi
bir durum yok. Zaten VPN dediğiniz protokol belirli şifreleme
standartları ile korunuyor ve bunların dinlenmesi, anahtarlarının
teslim edilmesi durumu yok. Ancak şirket size (kayıt tutuyorsa)
bir takım bilgiler verebilir. Fakat bilindiği gibi yurtdışında
bulunan hiç bir şirket Türkiye'ye bilgi vermeye niyetli değil.
Sapla samanı karıştırmamanız gerek.

Teşekkürler.


On 09/15/2014 01:01 PM, Volkan Evrin wrote:

Merhaba,

Ulkenin en buyuk ISS'nin dns spoofing yaptigi ulkedeyiz :-)
Oncelikle, 2 konu birbirine karismasin derim. Kendinizi koruyarak
interneti ozgur kullanmak ve hukuka, demokratik haklara ve devlete
guvenerek ozgurce interneti kullanmak.

TR icinde son 6-7 yilda cikan (ve cikmayan!) yasalar nedeni
ile ozgurce
internette dolasamazsiniz. VPN'nin temeli olan gizli
anahtarlarinizi
devlete vermek zorunda oldugunuzdan (bknz. Basbakanlik Genelgesi -

http://www.tk.gov.tr/mevzuat/yonetmelikler/dosyalar/Kripto_Yonetmeligi.pdf
) tutun da MIT, TIB gibi ayricalikli kurumlarin kayitlar ve
internet
tirafigi uzerindeki (hesap sorulamaz) yetkilerine kadar
kapali bir
ulkeyiz artik. TR icinde kurulu her ticari isletmenin (ISS, VPN
saglayici, Internet hizmeti vb.) yukumlulukleri kanunlarda acik ve
nettir. En iyisi Cumhuriyet gazatesinin (MIT ayricaligi kanunu
cikmadan
once) yaptigi aciklama gibi (
http://www.odatv.com/n.php?n=tum-arsivleri-siliniyor-2102141200 ),
TR
icinde sunucu barindirmayin, isletmeyin ve kullanmayin! Tum
hizmetleri
TR hukumetinin isteklerini direncli sirketlere yonlendirin.
Tirajikomik ve absurd bir senaryo, ama maalesef gercek bir
secenek!

Hakkinizi aramak icin gerekli olan Anayasa maddesi orada dururken,
Kisisel Verilerin Korunmasi kanunu cikmadigi icin

Re: [NetSec] Bilişim ile ilgili değişen maddeler

2014-09-14 Başlik TRSec 
SSL MITM yapıldığına dair elinizde bir kanıt var mı. Sahte SSL 
sertifakalarının yüklenmesi ile alakalı bir ekranlamı karşılaştınız. DNS 
adreslerinin manipüle edildiğini biliyoruz fakat o kadarda değil. VPN 
trafiğini okuyabilmeleri için aradaki kriptoyu çözmeleri gerekiyor. 
Sadece kaynak ve hedef IP'yi görebilir paket okumaya kalktığında hiç bir 
şey göremeyeceklerdir.


On 09/14/2014 02:57 AM, Özgür KOCA wrote:

SSL MITM varken devlet VPN'i nasıl okuyamayabilir? Bence açık davet.
Özgür Koca
[tankado.com][raspberry-pi.tankado.com]





2014-09-13 11:31 GMT+03:00 VEDAT ELCIGIL elci...@gmail.com:

VPN kullanacaksın hocam,
Tilt olsunlar,,



--
Saygılarımla İyi Çalışmalar Dilerim,
Vedat ELÇİGİL


2014-09-12 14:55 GMT+03:00 Tuncay Besikci besi...@gmail.com:

Bu trafik bilgisinin temini çok sakat değil mi?

Örneğin 1980 öncesinde olduğu gibi sırf gazete okuyanlar bile fişlenebilir
hale geliyor, Fıratnews'i, Sol'u veya Cihan'ı düzenli okuyanların
fişlenmesini sağlayacaktır.

Hali hazırda TTNET'in bu trafik bilgisini nasıl kullandığını dahi
bil(e)miyoruz.

Anayasa mahkemesinden döner bu kanun ama artık VPN şart oldu. Gerçi bu
kafayla VPN portlarını da yasaklamaya kalkarlar!

2014-09-12 12:12 GMT+03:00 Av. Sertel Şıracı sertelsir...@hotmail.com:


Merhabalar,

Bilişim ile ilgili değişen ve yürürlüğe giren maddeler şöyledir:

İŞ KANUNU İLE BAZI KANUN VE KANUN HÜKMÜNDE KARARNAMELERDE DEĞİŞİKLİK
YAPILMASI İLE BAZI ALACAKLARIN YENİDEN YAPILANDIRILMASINA DAİR KANUN

Kanun No. 6552
Kabul Tarihi: 10/9/2014

MADDE 126- 4/5/2007 tarihli ve 5651 sayılı İnternet Ortamında Yapılan
Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele
Edilmesi Hakkında Kanunun 3 üncü maddesinin ikinci fıkrasında yer alan
“ikibin Yeni Türk Lirasından onbin Yeni Türk Lirasına” ibaresi “iki bin Türk
lirasından elli bin Türk lirasına” şeklinde,

ve dördüncü fıkrası aşağıdaki şekilde değiştirilmiştir. “(4) Trafik
bilgisi Telekomünikasyon İletişim Başkanlığı tarafından ilgili
işletmecilerden temin edilir ve hâkim tarafından karar verilmesi hâlinde
ilgili mercilere verilir.”

MADDE 127- 5651 sayılı Kanunun 8 inci maddesinin beşinci fıkrasında yer
alan “yirmi dört saat” ibaresi “dört saat” şeklinde değiştirilmiş,

ve maddeye aşağıdaki fıkra eklenmiştir. “(16) Millî güvenlik ve kamu
düzeninin korunması, suç işlenmesinin önlenmesi nedenlerinden bir veya bir
kaçına bağlı olarak gecikmesinde sakınca bulunan hâllerde, erişimin
engellenmesi Başkanın talimatı üzerine Başkanlık tarafından yapılır. Erişim
sağlayıcıları Başkanlıktan gelen erişimin engellenmesi taleplerini en geç
dört saat içinde yerine getirir. Başkan tarafından verilen erişimin
engellenmesi kararı, Başkanlık tarafından, yirmi dört saat içinde sulh ceza
hâkiminin onayına sunulur. Hâkim, kararını kırk sekiz saat içinde açıklar.”

Yasanın tam metni için:

http://www.resmigazete.gov.tr/main.aspx?home=http://www.resmigazete.gov.tr/mukerrer/mukerrer.htmmain=http://www.resmigazete.gov.tr/mukerrer/mukerrer.htm