Re: [NetSec] 3D Secure aşılması
Ben listede bazı arkadaşların bahsettiği akıllı telefonlardaki uygulamalar üzerinden mesaja erişilmesinin yanında, bankanın 3d secure önleminin aşılmış olabileceği ihtimalini de düşünüyorum. Çünkü yakın zaman içerisinde büyük diyebileceğimiz bankalardan bir tanesinde EFT için büyük çapta para aktarımında yapılan sms doğrulamasının email ile başkasına bilgi verme bölümü üzerinden doğrulama kodunun aşılması ile karşılaşmıştım. Burada ismini vermesenizde karşılaştığınız bu sıkıntı hangi banka ile ilgiliydi özelden mesaj atarsanız en azından aynı banka olup olmadığı ile ilgili bilgi verebilirim. http://blog.emrullahakdemir.com/ IT Security Consultant http://twitter.com/Emrullah_A From: omerfa...@gmail.com Date: Mon, 15 Sep 2014 05:56:14 +0300 To: liste@netsectr.org Subject: [NetSec] 3D Secure aşılması Merhaba,Eticaret sitemizde başımıza şöyle bir olay geldi.Kullanıcının kredi kartında 3D secure ile hiç haberi olmadan alışveriş yapılmış.Gece telefonuna 3D secure mesajı geliyor uyurken sabah kalktığında ise alışveriş yapılmış oluyor.Bi kaç kullanıcının başına gelmiş bir durum ve kullanıcılarla konuştuğumuzda farklı sitelerdende aynı yöntemle alışveriş yapılmış kartlarından.3D Secure u nasıl aşıyor olabilir ? -- Ömer Faruk Sarıkaya | @omerfsa Yazılım Geliştirici - otobilge.com
Re: [NetSec] Bilişim ile ilgili değişen maddeler
On Mon, 15 Sep 2014 16:07:29 +0300 TRSec cont...@trsec.net wrote: İkincisi, bahsettiğiniz yönetmelik sıfırdan şifreli iletişim için ürün geliştiren şirketler içindir. VPN anahtarının verilmesi gibi bir durum yok. Zaten VPN dediğiniz protokol belirli şifreleme standartları ile korunuyor ve bunların dinlenmesi, anahtarlarının teslim edilmesi durumu yok. Hayır, bahsi geçen yönetmelik sıfırdan şifreli iletişim için ürün geliştiren şirketleri kapsamıyor. Daha rahat anlaşılması için biraz kısaltarak yazıyorum, yönetmeliğin en başında kapsam bölümünde yer alan satır der ki; Bu Yönetmelik, elektronik haberleşme hizmeti içinde kodlu veya kriptolu haberleşme yapmaya yetkili [... bir sürü kurum ...] ile bu kurumlara ait kodlu veya kriptolu elektronik haberleşme sistemlerinin kullanıldığı kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler **HARİÇ**, DİĞER KAMU KURUM VE KURULUŞLARI İLE GERÇEK VE TÜZEL KİŞİLERİ KAPSAR. [esasında sivil olan herkesi, ISP olur, gerçek kişi olur vs.] Yönetmeliğin başlarında sanki sadece dışarıdan cihaz ithal edecek ya da kendi geliştirecek gerçek ve tüzel kişiler iması var ancak ilerlere gittiğimizde şu satırları görüyoruz; MADDE 5 - 5809 sayılı Kanunda belirtilen istisnai kurumlar haricindeki tüm kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler bu Yönetmelik hükümlerine aykırı olmamak kaydıyla kodlu ve/veya kriptolu haberleşme yapabilir. Kodlu veya kriptolu haberleşme cihaz/sistem **İTHAL** veya imal edilmesi üretici tarafından yapılır. Üretici, imal veya ithal edeceği cihaz/sistemlere izin alabilmesi için; Ne demiştik? Bu yönetmelik sadece ithal edenleri değil, şifreli haberleşme yapan herkesi kapsıyor gördüğümüz gibi. Ancak bir şartla, bu yönetmeliğe uymak kaydıyla. Şirketiniz için dışarıdan bir VPN özellikli firewall satın almak istiyorsunuz. Bunu da Türkiye'ye getiren bir şirket var diyelim. Bu şirket cihazı yapan şirketin Türkiye temsilcisi de olabilir. Yasaya göre bu insanların bu cihazı ülkeye sokması için şunu yapması gerek; Kripto algoritması ve anahtarı, anahtar üretme, dağıtma ve yükleme modülü/cihazı, bu amaçla kullanılan tüm yazılım/donanım, gerektiğinde şifrenin çözülmesine imkân tanıyan yazılım ve/veya donanım, ... ile kuruma başvurması gerekir. Yani siz şirketinize bir VPN ağı kuracaksanız ve bunu dışarıdan bazı cihazlar satın alarak yapacaksanız, bunu satın aldığınız şirket anahtarlarınızı devlete vermek zorunda. İşin teknik tarafını, yok canım VPN öyle çalışmıyor gibi açıklamaları bir kenara bırakalım ancak bu yönetmelik gerçekten çok vahim. Burada bu yönetmeliğin çok arkaik bir zamanda yazıldığını görüyoruz ve sanki sadece simetrik şifreleme algoritmalarının var olduğu izlenimini bizde bırakıyor. Ayrıyeten kriptolu haberleşmenin sadece birer cihaz alınarak yapılabileceği algısı mevcut. Bunu yazarken açık anahtar altyapısından ya da son kullanıcı tarafından halihazırda kullanılan (HTTPS gibi) teknolojilere değinmemişler. Değinemezler zira yasa koyucu her zaman çok yavaştır ve bu süreçler yavaş ileriler. Yasa şu anda uygulanamaz olduğu için de Türkiye'de yaşayan insanlara pek baş ağrısı yapmıyor olabilir ama ilerde yapmayacağı anlamına gelmez. Sonuç olarak burada tartışmamız gereken nokta yasanın neyi kapsayıp kapsamadığı değil. Yasa herkesi kapsıyor, teknolojik olarak bunların önüne geçebilecek olunsa da yarın birgün Türkiye'deki yasa koyucu yeni bir yasa çıkarıp sadece devlet tarafından onaylı tüzel kişiler ticari sırlarını korumak amaçlı VPN kullanabilir, gerçek kişiler bunu kullanamaz derse ne olacak? Burada politik bir problem mevcut ve Volkan Bey'in söylediği gibi Türkiye'de malesef buradaki gibi veri gizliliği kanunları yok. Bu konuyu da insanlar özel bilgilerini şifreleyerek, bilinçlenerek, şifrelemeyi insanların gözünde meşrulaştırarak çözebilirler. Şu anda bunu düzgün yapabilen, bu konular üzerinde düşünebilen çok az sayıda insan var ve internet kullanıcılarının bir çoğu (bunlara end user diyelim) bu konulara hakim değil. Kaldı ki VPN gizlilik (privacy) için kullanılabilecek olsa da anonimlik için bir çözüm değil. Gizlilik için de kullandığınız servisin insafına kalmış. Bu apayrı bir yazı konusu ve ilerde buna değineceğim. O vakitte liste üzerinde tartışılabileceğini düşünüyorum. Biraz uzun bir yazı oldu. Buraya kadar okuduysanız size gerçekten teşekkür ediyorum. Esen kalınız ve şifrelemeye başlayınız. -- It is easier to encrypt information than it is to decrypt it -- Julian Assange Fingerprint: 04AF 5272 103D 173F A90B 1050 F59E 0BCB 4AA1 751E https://twitter.com/OpsecTR https://opsectr.wordpress.com signature.asc Description: PGP signature
Re: [NetSec] Bilişim ile ilgili değişen maddeler
*Yönetmelikte yazmaz. Orada aslında belirtilmeye çalışılan odur. Yani şifreli iletişim için bir ürün geliştiriyorsanız bu fiziksel bir cihazda olabilir bir şifreleme aracı da olabilir bunun master key'lerini vermekle yükümlüsünüz eğer bu topraklar üzerinde ikamet ediyor bu topraklar üzerinde bir ofisiniz var ise. * Volkan Bey'in tespiti güzeldi tekrar hatırlamak gerekir:Ucu açık maddeler daima yürütme organına hizmet eder Bu gün yürütme organının kim/ne olduğu nereye gittiği herkesçe aşikardır. Bu anlamda sanki bir bilişimci gibi değil de BTK'nın hukuk büro çalışanı gibi yorumlamışsınız. Buna da şaşırdım doğrusu. *Bunun dışında içeriye getirilmeye çalışılan devletin elinde olmayan ve kötüye kullanılabilecek her cihazın girişi zaten yasaktır. * Yani devletin elinde olan cihazlar itibariyle eline su dökülemez, içiniz rahat olsun. Bakınız birileri FinFisher https://www.google.com.tr/webhp?sourceid=chrome-instantion=1espv=2ie=UTF-8#safe=offq=finfisher%20site%3Awikileaks.org yazılımları için 3-4 yılda 50 milyon avro harcamış zaten. Bu kadar çok parayı (benim tahminim milyar avroları aşar) hangi paralı adamlar ödemiş ayrıca merak konusu. Devlet DNS manipülesi yapar mı, yapanlar var. Hangi ülkeleri örnek aldığınız ile değişir. Zaten DNS manipülesi, bir zararlı aktivitesi ile aynıdır. Türkiye Cumhuriyet Hukuk Devleti'ni örnek aldım. Bknz: link1 http://www.internetsociety.org/deploy360/blog/2014/06/video-google-dns-hijacking-in-turkey-ripe-68/, link2 http://securityaffairs.co/wordpress/23565/intelligence/turkish-government-hijacking-dns.html, link3 https://ripe68.ripe.net/presentations/158-bortzmeyer-google-dns-turkey.pdf, link4 http://www.bgpmon.net/turkey-hijacking-ip-addresses-for-popular-global-dns-providers/, link5 http://www.renesys.com/2014/03/turkish-internet-censorship/ *Açıkçası VPN kullanan kaç milyon kişi var o zaman hepsinden bir bilgimi talep edilicek bana bu çok uçuk geliyor. * Uygulamada sonuç vermeyeceğine değinmişsiniz fakat, bakış açınız yanlış. Hijacking doğası gereği zaten yasadışıdır. Kimse mahkeme kararı olmadan kişisel bir paketin içeriği açıp bakıp modifiye edemez. Size içinde satın aldığınız bir tablo (resim) geliyor, gümrük memuru paketi açıp tablonuza bakıyor ve beğenmedi için çıkmaz kalemle sanatçının resminde değişiklikler yapıp paketi size geri yolluyor. :) *Bunun yerine omurga üzerinden belirli yöntemlerle çoğul kullanımın önüne zaten geçebilirler. Tabiki tecrübeli kişiler bu engeli de atlatacaktır.* Önlem ve aşma anlamında sınırları tartışmaya gerek yok. Yanlış olan bunları savunmak. Diğer taraftan bir maillist manager ile yazışmak ilginç bir deneyim oldu. İyi çalışmalar. Özgür Koca [tankado.com][raspberry-pi.tankado.com] http://www.facebook.com/zerostoheroes/ 2014-09-16 11:45 GMT+03:00 VOLKAN KIRIK volki...@yahoo.com.tr: Yönetmelikte genel yetki verilip sınırlandırılmamışsa, yürütme organı o maddeleri sizin istediğiniz gibi değil, işlerine geldikleri gibi yorumlar. milyonlarca kişiden istemek zorunda değiller. yetki verilmiştir, yasal dayanak oluşturulmuştur. bir kişidende istenebilir, çok kişidende istenebilir, hiçkimseden de istenmeyebilir. ucu açık maddeler daima yürütme organına hizmet eder. buda böyle biline On 16.9.2014 00:13, TRSec wrote: Yönetmelikte yazmaz. Orada aslında belirtilmeye çalışılan odur. Yani şifreli iletişim için bir ürün geliştiriyorsanız bu fiziksel bir cihazda olabilir bir şifreleme aracı da olabilir bunun master key'lerini vermekle yükümlüsünüz eğer bu topraklar üzerinde ikamet ediyor bu topraklar üzerinde bir ofisiniz var ise.Açıkçası VPN kullanan kaç milyon kişi var o zaman hepsinden bir bilgimi talep edilicek bana bu çok uçuk geliyor.
Re: [NetSec] BGA BANK - Güven(Siz) Internet Bankacılığı Uygulaması
Çok başarılı olmuş, tebrikler 15.09.14, 10:46, Huzeyfe ÖNAL( BGA ) huzeyfe.o...@bga.com.tr: “BGA BANK (Vulnerable Online Bank Application)” uygulaması web tabanlı çeşitli zafiyetler içeren sızma testi eğitim platformudur. Türkiye'deki bankacılık altyapısı incelenerek bu altyapılarda çıkabilecek teknik ve mantıksal hatalar uygulamanın içine eklenmiş ve web uygulama güvenliği konusunda çalışanlar için gerçekci bir sızma testi platformu oluşturulmuştur. Webgoat, DVWA vs gibi benzeri amaçla yazılmış programlardan en temel farkı açıklıkların doğrudan kullanıcıya nerede olduğu ve nasıl istismar edileceği ile ilgili ipucu vermemesidir. Sistem üzerinde toplamda 65 zafiyet bulunmaktadır. Aynı zamanda gerçek bir banka ortamında kullanılan ticari Web Application Firewall ve Intrusion Prevention System konumlandırılarak test yapanların güvenlik sistemlerini de test edebilmeleri icin ortam saglanmaktadir. BGA BANK altyapısı 3 farklı sistemden oluşmaktadır: 1- BGA BANK - http://www.bgabank.com 2- IPS Korumalı Bankacılık Uygulaması - http://ipstest.bgabank.com 3- WAF Korumalı Bankacılık Uygulaması - http://waftest.bgabank.com -- Huzeyfe ÖNAL Manager | Enterprise Security Services|Istanbul BGA Bilgi Güvenliği Eğitim ve Danışmanlık Ltd.Şti Istanbul:Şehit İlknur Keleş Sokak Anaç Aksakal Plaza No:10/3 Kozyatağı, İstanbul Tel: +90 216 4740038 | Fax: +90 216 4749386 | Mobile: +90 533 5144650Ankara:Ceyhun Atuf Kansu Caddesi Gözde Plaza İş Merkezi Kat:5 No:72 BALGAT ÇANKAYA/ANKARA huzeyfe.o...@bga.com.tr|www.bga.com.tr|blog.bga.com.tr|www.siberguvenlik.org YASAL UYARI: Bu e-posta'nin icerdigi bilgiler (ekleri de dahil olmak uzere) gizlidir. Sahibinin onayi olmaksizin icerigi kopyalanamaz, ucuncu kisilere aciklanamaz veya iletilemez . Bu mesajin gonderilmek istendigi kisi degilseniz (ya da bu e-posta'yi yanlislikla aldiysaniz), lutfen yollayan kisiyi haberdar ediniz ve mesaji sisteminizden derhal siliniz. BGA, bu mesajin icerdigi bilgilerin dogrulugu veya eksiksiz oldugu konusunda bir garanti vermemektedir. Bu nedenle, bilgilerin ne sekilde olursa olsun iceriginden, iletilmesinden, alinmasindan, saklanmasindan BGA sorumlu degildir. Bu mesajin icerigi yazarina ait olup, BGA'nın goruslerini icermeyebilir. Bu e-posta bizce bilinen tum bilgisayar viruslerine karsi taranmistir. DISCLAIMER: This e-mail (including any attachments) may contain confidential and/or privileged information. Copying, disclosure or distribution of the material in this e-mail without owner authority is strictly forbidden. If you are not the intended recipient (or have received this e-mail in error), please notify the sender and delete it from your system immediately. BGA makes no warranty as to the accuracy or completeness of any information contained in this message and hereby excludes any liability of any kind for the information contained therein or for the information transmission, reception, storage or use of such in any way whatsoever. Any opinions expressed in this message are those of the author and may not necessarily reflect the opinions of BGA. This e-mail has been scanned for all computer viruses known to us. -- -- br /Sent from Yandex.Mail for mobile: http://m.ya.ru/ymail
[NetSec] NormShield Bulut Tabanlı Düzenli Güvenlik Tarama Hizmeti
Merhabalar, BGA olarak yaklaşık bir yıldır üzerinde uğraştığımız bütünleşik Düzenli Güvenlik Tarama Hizmeti NormShield'i aktif olarak kullanmaya başladık. Detaylarını aşağıda bulabilirsiniz. Gönüllü kuruluşlar (dernek-vakıf vs) için bir yıllık ücretsiz lisans sunuyoruz. Düzenli Güvenlik Tarama - Continuous Security Scan Proaktif bilgi güvenliğinin temel bileşenlerinden olan sızma testi çalışmaları genellikle -maliyet vs gibi sebeplerden dolayı - yılda bir defalığına yapılır. Oysa orta ve büyük ölçekli firmaların kullandığı IT sistemlerinde ortalama her hafta 250 civarında yüksek ve kritik öneme sahip güvenlik açığı yayınlanmaktadır. Yapılan araştırmalar[1] sonucu ortalama bir yıl içerisinde 15.000 civarı tekil güvenlik zafiyeti yayınlanmaktadır ve bu sayı her yıl ortalama %30 oranında artmaktadır. Ortaya çıkan güvenlik açıklıklarına Ay, Gün, Saat hesabı yapıldığında aşağıdaki gibi bir tablo çıkmaktadır. Yıl Açıklık Sayısı Aylık Ortalama Günlük Ortalama Saatlik Ortalama 2013 15.000 1.250 41 2 2012 12.000 1.000 32 1 BGA olarak 2013 yılında gerçekleştirdiğimiz sızma testleri süresince azınsanmayacak oranda internet üzerinden basit hatalar nedeniyle sunucu sistemlere sızma yapılabileceğini tespit ettik. Buradan yola çıkarak firmaların sızma testi yaptırmadıkları zaman aralığında, en azından internet üzerinden düzenli güvenlik taraması yapabilmeleri için kolları sıvadık ve bulut tabanlı bir güvenlik açıklığı tarama sistemi geliştirdik. Normshield, üç kişilik kıdemli yazılım ekibiyle 8 aylık yoğun bir çalışma sonucu çıkmıştır. Hizmetimiz NormShield adıyla www.normshield.com adresi üzerinden hizmet sunmaktadır. NormShield Nedir? NormShield, internet üzerinden her ay farklı ticari güvenlik tarama yazılımları kullanarak sistemlerinizi tarayan, tarama sonuçlarını inceleyerek merkezi raporlama sistemine aktaran bulut tabanlı bir güvenlik hizmetidir. NormShield Temel Özellikler - Aynı kategoride en az üç farklı güvenlik tarama yazılımı tarafından hedef sistemlerin kontrolü gerçekleştirilir. Toplamda 6 farklı ticari güvenlik tarama yazılımı kullanılmaktadır. Talebe bağlı müşteri tarafından kullanılan xml çıktı verebilen herhangi bir güv. ürünü de sisteme eklenebilmektedir. - Tarama yazılımları sonucu çıkan bulgular elle kontrol edilip herhangi bir false positive içermediğinden emin olunduktan sonra Normshield'e aktarılır. - Sistem kontrollü işletildiğinden dolayı tarama esnasında hedef sistemlere zarar verilmez. - İşlemlerin çıktıları hem pdf ve diğer formatlarda raporlanabilmekte hem de normshield.com üzerinden incelenebilmektedir. - Amaç düzenli taramalar olduğundan, 1 Adet C class ip adresi ve 10 adet uygulama için servis çok uygun fiyat sunulmaktadır. - Güvenlik açıklıklarını tarayan ve saklayan sistemlerin tamamı Türkiye'de bulunmaktadır ve her firmaya ait bulgular veritabanında şifreli olarak tutulmaktadır NormShield Çalışma Akışı 1. Öncelikle müşteri, varlıklarını sisteme tanımlar ve düzenli aralıklarla güv. tarama isteğini gönderir. 2. Güvenlik tarama isteği Normshield yöneticilerinden birine düşer, talep ve varlığın tipine göre (Network, Sistem, Uygulama vs.) güvenlik taramaları gerçekleştirilir. 3. Güvenlik taramaları için sektörde bilinen ticari yazılımlar koşturulmaktadır, gerçekleştirilen güvenlik tarama çıktıları Normshield sistem yöneticileri tarafından detaylıca incelenerek hatalı bulgular ayıklanır, normalize edilir ve kalan bulgular sisteme yüklenir. Müşteri tarafından açılan denetim isteğinin durumu Tamamlandı ya çekilir, müşteriye işin durumuyla ilgili bilgilendirme maili ulaştırılır. 4. Bu aşamadan sonra müşteri hesap bilgilerini kullanarak (username, password + SMS authentication) sisteme girer ve tarama sonuçlarını inceler, tarama raporu alır ve ilgili ekiplerle paylaşır. 5. Kapatılan açıklıklar için müşteri durum bilgisini değiştiremez, Normshield sistem ekibine durum bilgisinin değiştirilmesine dair istek gönderir (bir tık kadar kolay bir şekilde), bu istek sistem yöneticileri tarafından incelenir ve açıklık gerçekten kapatıldıysa durum Kapatılmıştır a çekilir. İletişim: Normshield ile ilgili her tür sorunuz için i...@normshield.com adresine e-posta gönderebilirsiniz. Demo Hesabı Normshield demo hesabı için kullanıcı adı parola bilgileri Web Adresi Hesap Adı Parola OTP Key https://cloud.normshield.com demo 123456 123456 Ekran Görüntüleri Eğitim Normshield kullanımıyla ilgili bazı ekran görüntüleri paylaşılmıştır. Daha fazlası ve detaylı bir kullanım eğitimi için Normshield.com http://www.normshield.com/ adresini ziyaret edebilirsiniz. [1]Secunia.com’dan alınmıştır. -- Huzeyfe ÖNAL Manager | Enterprise Security Services|Istanbul BGA Bilgi Güvenliği Eğitim ve Danışmanlık Ltd.Şti *Istanbul:*Şehit İlknur Keleş Sokak Anaç Aksakal Plaza No:10/3 Kozyatağı, İstanbul Tel: +90 216 4740038 | Fax: +90 216 4749386 | Mobile: +90 533 5144650 *Ankara:*Ceyhun Atuf Kansu