Bir saldırının anatomisi: Fazlamesai

0
sundance
28 Temmuz 2006 sıradan bir gün olarak başlamıştı. Normal iş temposunda giderken saat 11 civarında cep telefonum çaldı. Açtım, konuşma şu şekilde gerçekleşti:

-Kıvılcım Bey mi?
-Evet?
-Merhaba Kıvılcım Bey, benim adım ... sitenizdeki bir açıkla ilgili bilgi vermek için aramıştım.
-Hımm, dinliyorum.
-Bir e-mail ya da msn alabilir miyim, oraya yollayayım açıklamayı.
-Tamam, e-mail ...de ...
Bir beş dakika sonra mail gelmişti ve şu şekildeydi:

Merhabalar kıvılcım bey,

sunucu yönetimi, güvenliği, web programlama üzerine çalışmalar yapıyorum. verilerinizde veya dosyalarınız herhangi bir değişiklik yok. hata virtualhostlarda php_admin_value open_basedir parametresini tanımlamamanızdan kaynaklanıyor.

http://www.cocuklarabilgisayar.org/falanfilan --> burdan veritabanı şifrelerini alındı açılan html in kaynağına göz atabilirsiniz.
http://www.fazlamesai.net/phpmyadmin adresinden sisteme girip veritabanına ulaşılabiliyor.
vs. vs.

sorunu düzeltmek için acilen virtualhostlarınızda php_admin_value open_basedir parametresini kullanmanızı öneriyorum. her türlü öneri görüş ve sorularınız için bu mail adresimi kullanabilirsiniz yine telefon numaram 05******* görüşmek üzere iyi çalışmalar


xxxxx
Bu maila cevap olarak da şöyle bir şey yazdım:

Merhaba,
İlgin ve bizi haberdar ettiğin için çok teşekkürler.
Konu ile ilgileniyoruz.
Görüşmek üzere
Kıvılcım


Bunun akabinde hemen incelemelere başladık.

Öncelikle loglara bakıldı. Directory traversal patterni kulllanılarak loglar ayıklandı ve isteklerin yapıldığı zaman belirlendi. Ardından foruma yapılan bir sql injection saldırıları tespit edildi, bunlardan iki IP numarası bulundu. Bunlar son 60 günlük loglarda taratıldı, girilen URLler incelendi. Bunun üzerine phpmyadminden veritabanı dumpının alındığı tespit edildi.

Bu noktada bizi aramış olan arkadaşı aradık. Kendisine bunu neden yaptığını sorduğumuzda Kötü amaçlı yapmadım, düşünmeden bir anda oldu. Ama iyi niyetimden şüphe etmeyin, bir kötü amacım yok dedi.

Bundan yaklaşık yarım saat sonra da aslında bizi arayan bu arkadaşların GriŞapka.orga (bize durumu haber vermeden dört saat kadar önce) haber yaptıklarını ve veritabanını upload ettiklerini öğrendik.

Bunun üzerine tekrar aradık. Telefona çıkan arkadaş, bu işi iki kişi yaptıklarını ve diğer arkadaşının sözkonusu upload işlemini gerçekleştirdiğini söyledi. Biz de kendilerine bunun ne kadar can sıkıcı olduğunu, eğer sözkonusu veritabanı yayınlanırsa, dörtbine yakın üyenin şifrelerinin ve e-posta adreslerinin ortaya çıkacağını ve bunun da insanlarda ciddi bir rahatsızlık yaratacağını, kendilerininse bu işte kısa süreli bir şöhret dışında bir şey elde edemeyeceklerini anlattık. Hele ki bilgi güvenliği alanında kariyer yapmayı düşünüyorlarsa, bu tür bir işi yapmış olmanın illa ki bir yerde kendilerini bulacağını ve ilerlemelerini engelleyeceğini de belirttik. Ne yapıp edip bu veritabanının yayınlanmasını engellemelerinin ne kadar önemli olduğunu anlattık.

Bunun üzerine ellerinden geleni yapacaklarını söylediler.

Bu sırada FM ekibi, normal mesailerini bir yana bırakmış sitedeki durumu incelemekteydi.

Öncelikle şifreler değiştirildi. Kullanıcıların şifrelerinin ilk loginde değiştirilmesi için gerekli altyapı hazırlandı.

SQL injection ve directory traversal saldırısının devamında makinaya bir login olup olmadığını kontrol ettik. Bunun akabinde bir rootkit olup olmadığına bakıldı, bunun için kullanılmakta olan AIDE veritabanında dosyaların fingerprintleri kullanıldı. Kritik dosyalarda bir değişiklik bulunmadı.

Veritabanının ele geçmesi sebebiyle (yayınlansın yayınlanmasın) kullanıcıların mağduriyetinin minimuma indirilmesi için bir uyarı haberi yazıp siteyi offline hale getirmeye karar verildi.

Yan siteler de benzer şekilde kapatıldı.

Site kodları detaylı olarak incelenmeye başlandı. Bu çalışma pazar erken saatlere kadar sürdü.

Apache konfigürasyonu değiştirildi, htaccessler düzenlendi.

IDS ve diğer network araçları ile bazı önlemler alındı.

Kullanıcıların hepsinin şifreleri değiştirildi ve kendilerine login olmaları için unique birer urlle mail atıldı ve site yayına açıldı. Geri dönen maillar incelendi.

Bütün bu çalışmalar sırasında fırsattan istifade şansını denemek isteyen yüzlerce SQL meraklısı arkadaş loglardan izlendi, IPleri nolur nolmaz diye not edildi (başkasının e-postasına bakmaya beş yıla kadar ceza verilebileceğini biliyor muydunuz? Veritabanına bakmanın cezası nedir acaba?)

Bütün bu çalışmalardan sonra, FMe destek mailı atan yüzlerce arkadaşımıza cevap verdik, yardım önerileri için teşekkür ettik.

Bu çalışmaların sona ermesinin akabinde pazartesi akşamüzeri gibi grisapkada veritabanı ve kodlar yayınlandı.

Kısaca vakanın özeti budur.

Sonuç:

Sözkonusu açıklar, malesef ki basit ve gözden kaçmış şeyler. Olmamaları çok iyi olurdu ama oldu bir kere.

Bu noktada FMin bütün altyapısının sıfırdan yazılmış olmasının (Phpnukeden geçişin kolay olması için veritabanının aynı tutulması dışında) ne kadar da çetrefilli bir iş olduğunu ve bütün bu çalışmayı yapan bir tek kişinin üstünde ne kadar da büyük bir yük olduğunu düşünmenizi isterim. Böyle bir çalışma sırasında mutlaka gözden kaçan şeyler olmuştur, olacaktır.

Öte yandan spekülasyon yapılan ve cevap verilmesi elzem olan bir başka konu da kodların kamuya açılmamış olması. Vay efendim, o kadar open source de, sonra kodun kapalı olsun. çok fazla düşünülmeden özellikle de bugüne kadar kamuya kod açmamış insanların ilk aklına gelen şey. Bu kadar basit değil. Yazdım ben bu kodu, kamuya açık, hayırlı olsun demek de iş değil. O kodu makul anlaşılır bir hale getirmeniz, belli bir şekilde paketlemeniz, kurulumunu anlatmanız ve daha birsürü iş yapmanız gerekiyor. Hal böyleyken bu ciddi mesai harcanması, adam gibi yapılması gereken bir iş. Bizim de malesef FMdeki çalışmalarımız ve gündelik işlerimizden bu tür bir ekstra vakit ayırmaya zamanımız olmadı. Bunun tek sebebi budur.

Sözkonusu saldırıyı yapan arkadaşlara gelince. Keşke hareket etmeden önce biraz düşünselerdi, keşke önce şu telefon konuşmasını yapsaydık, vs. vs. Doğru başlanmış bir işi (bir sitede bulunan bir açığın site sahiplerine uygun şekilde haber verilmesi ve önlem almaları için zaman tanınmasını) çok yanlış bir şekilde bitirdiler ve başta bu sitenin okurları olmak üzere birçok kişiye rahatsızlık verdiler.

Asıl problem şu ki birsürü arkadaş bu şekilde hareket etmekte ve yaptıklarının ne kadar büyük suç olduğunun, çok ciddi sonuçlar doğurabileceğinin farkında olmamaktalar. TurkTelekomdan isimlerine kayıtlı IPlerle saldırı yapmaktan, burda edinilen bilgileri sitesinde yayınlamaya kadar bu işlerin hepsinin çok ciddi cezaları var. Bunlar herne kadar şaka gibi gelse de, öyle değil. Özellikle de bu alanda kariyer yapmayı düşünen, bir gün ben Türkiyenin en önde gelen güvenlik uzmanı olacağım diye hayalleri olanlar varsa, inanın bana yolu bu değil. Herkesin izi takip edilebiliyor, herkes bulunabiliyor, hele ki Türkiye gibi Telekomun tekel olduğu hala bir ucunun devlete bağlı olduğu bir ortamda. Böyle bir tek hareketle sicilinizi lekelemekten hapse girmeye kadar binbir türlü şey gelebilir başınıza, bu iş şaka değil.

Gelelim tembellik, beceriksizlik iddialarına. Bir çoklarının kıt aklına geldiği gibi biz bu siteyi koyalım bir kenardan yürüsün, aman buna emek harcamayalım, gelene gidene laf sokalım, ego tatmin edelim diye kurmadık. Bu siteyi bizler gibi bu alanlarda çalışan, ilgi duyan insanlarla biraraya gelmek, bilgi paylaşmak için kurduk. Bu doğrultuda da altı yıla yakın süredir bu siteye ciddi bir emek ve para harcadık. Buraya harcanan emeği, bugüne kadar yayınlanan binlerce makaleden (ve bunlar üzerine gayet başarılı tartışmalardan), başlattığımız ve devam etmekte olan projelerden, birçok konuyu arattığınızda Türkiyeden ilk gelen sitelerden biri olmamızdan anlayamayanlara çok da anlatacak bir şey yok diye düşünüyoruz.

Bu kişilerden gösterilen bu çabayı takdir etmelerini bile istemiyoruz. Biz FMe haber giren, yorum yazan ya da en azından bu emeği takdir edip destekleyen bir grup insanla da bu işleri yapmaya devam ederiz.

Geri kalanlar da gölge etmesin başka ihsan istemeyiz.

Son söz:
Bu sıkıntılı haftasonunda, rahatsızlığımızı paylaşan, bize yardım önerilerinde bulunan bütün arkadaşlara özellikle teşekkürler.

Görüşler

0
Tarık
FM e karşı bu tip bir olayın gerçekleştirilmesinin ardından 6 yıllık birikimi unutup gevezelik etmek kendine insan sıfatını yakıştıran bir canlıya yakışmaz. Ben her zamanki performansın katlanarak devam etmesini dilerim. Kolay Gelsin.
0
parahat
Merak ettim; Microsoft'un onca yillik birikimini unutum gevezelik etmek kendine insan sifatini yakistiran bir canliya yakisir mi?
0
Tarık
İnan kendimi sitenin azılı gerzeklerinden falan görüyordum fakat seni ve laflarını okuyunca kendimi en azından bir üye gibi hissettim. Ve bide al microsoft'unu al oracle'ını bi si... git. Burası böle biyer işine gelirse. huzursuz herif.
0
parahat
Seviye meselesi.
0
Tarık
evet aynen öyle seviye meselesi.
0
roktas
Birilerinin mağduriyeti üzerine saçma sapan laflar edip dolaşıyorsunuz ortada... Önce kendinize yöneltin o "yakışıyor mu" sorusunu... Fesüphanallah... Yani torba değil ki büzesin...
0
dfix
Saldırıda bulunan kişi veya kişiler hakkında suç duyurusunda bulunmayı düşünüyormusunuz? Bunun ciddi bir iş olduğunu başka türlü anlayacaklarını sanmam.
0
karaltan
bizim sitede hacklenmişti sadece anasayfada "title" değiştirilmişti, hacklendi gibisinden yazı yazıldı, ayrıca veritabanındaki yönetici şifreleri ele geçirilmişti. sonra çaresine baktık, bize sadece uyarı amaçlı çalışıyoruz dendi. aslında bu güzel birşey değil mi? tabiki ne zamana kadar uyarı amaçlı yapacakları meçhul. ben yine de kendilerine teşekkür ederim.
0
boreas
başlığı değiştirip yönetici şifrelerini ele geçirmek müdahaleye girer ve iyi niyet aranamaz bence. Daha çok bu kadarına şükür gibi bir durum olur. Uyarmak isteyen müdehalede bulunmadan uyarır / uyarmalı.
0
anonim
Kusura bakmayın ama evime giren hırsıza teşekkür etmek aklımdan bile geçmez.
0
boreas
:)
0
sundance
Yanlış örnek.

Evine girip, bir şey çalmayıp, salonun ortasına yapan hırsıza teşekkür etmek gerekir bu yaklaşımda.

Ben de etmem :)
0
selam
Marjinal hırsız...
0
karaltan
e iyi de adamlar uyarmış işte, başlığı değiştirmeseydiler onları kaale almazdımki ama, mesela hırsız ben şu an sizin evdeyim dese hadi len mi diyeceksiniz yoksa salonda duvarda ne asılı şuan mı? sanırım ben ikincisini derdim...
0
boreas
Karşı komşun anahtarı kapının üzerinde unutup gitmiş, onu arar anahtarı kapının üzerinde unuttuğunumu söylersin sana inanması için kilidimi değiştirirsin ? Web üzerinde çok profesyonel değilim ama atılan her adımın kayıtlarının tutulduğunu biliyorum hadi bunuda geçtik arayıp burada olduğu gibi şu şu yöntem ile sitenize girilebiliyor demek yeterli illa başlığı değiştirmeye ya da bilgileri almaya gerek yok ki karşının seni inandırmak gibide bir amacı olmamalı sadece uyarması yeterli, bu uyarıya inan inanma o senin problemin uyaranı bağlamaz.
0
karaltan
neyse peki teşekkürler :)
0
anonim
Grisapka ile siteye dosya koyan organeller benzeri "halk kahramanlarinin" izinsiz bu isi yaptiklarini gozden kaciriyorsunuz. Sizden izin almadilar bu isi yaparken. Dunyanin heryerinde bu suctur.

Eger siz onlarin yaptiklarini faydali bulursaniz, yaptiklarinin dogru birsey oldugu ilizyonundan vazgecmezler, yapmaya devam ederler. Sizin site yoneticisi olarak bunu farketmis onlemleri almis olmaniz lazimdi. Onleyici(preventative) yaklasim herzaman en iyisidir. Onlara tesekkur etme hatasina asla dusmeyin. Onlarin yaptigi KESINLIKLE yanlis.
0
boreas
Şifreler açık olarak mı kayıtlıydı yoksa belli bir algoritmayla şifrelenmiş miydi ?
0
butch
md5
0
yilmaz
şifrelenmişti. ama yinede kullandığınız şifreleri değiştirmenizde fayda var.
0
parahat
http://www.md5lookup.com/?category=main&page=search buraya sifrenizin md5 hashini yazip deneyebilirsiniz. cogunlukla cift md5 uygulanir sifrelerin uzerinde yada birkac tane, md5(md5(md5("sifre"))) gibi. fm'de uygulaniyor mu bilmiyorum.
0
sundance
Bir ya da üç md5 uygulamanın bir anlamı yok. MD5 brute force ile kırılıyor, dolayısıyla bir MD5 ile üç MD5 işlemi arasında sadece üç kat zaman farkı var, ve kriptografi ile ilgilenenlerin yakınen bildiği gibi üç kat fark kimseyi durdurmaz.
0
parahat
Haklisiniz. Yine de MD5'in MD5'i duz metnin MD5'inden daha iyidir.
0
bio
Belki source code'a gomulmus bir "salt" eklenerek sifrelenebilirdi ama zaten source'lariniz da gitmis.
0
FZ
Şifreler değil, parolalar, tabii ki oldukları gibi durmuyorlardı. Kullanıcı parolaları MD5 algoritması kullanılarak işlenmiş ve çıkan "hash" kodları da veritabanında depolanmaktaydı. Yani parolalar bir nevi şifrelenmiş olarak duruyordu veritabanında.

Ancak tabii ki parolaların "hash" kodlarını ele geçiren biri John the Ripper gibi bir uygulama ile bu "hash" kodlarından yola çıkarak deneme yanılma yöntemi, sözlük saldırısı, vb. tekniklerle parolaları ele geçirebilir. Parolanın ele geçme süresi ise parola karmaşıklığı ile ilgilidir.

FM ekibinden bir arkadaşımız bu bağlamda bir çalışma yapıyor ve FM üyelerinin parola karmaşıklığı (dolayısı ile gücü) ile ilgili istatistik topluyor. Belki bir süre sonra bu istatistikleri yayınlar ve güvenlik açısından FM üyelerini bilgilendirir, uyarılarda bulunuruz.
0
extacy
calinan dumptaki bi kac stringi md5lookupta denedigimde cogunu kirdi (benimki haric):)benimkinin ne oldugunu bu olaya kadar bende bilmiyordum yaa neyse, sorum su: neden elimizde md5 ten daha kuvvetli sifreleme turleri varken md5i kullandik, acaba fmden birilerinin canı sıkıldığında şifrelerimiz üzerinden hacker cılık oynamadığına nasıl inanabiliriz ??
0
butch
FM'den hiçkimse kendi şifrelediği parolaları çözmek için zaman harcamaz.
0
coskung
FM için kullandığınız parola ile FM'ye kayıt olurken girdiğiniz e-posta adresinizin parolası, veya isminiz/nick'iniz kullanılarak erişilebilecek sitelerdeki parolalarınız aynı olmadığı sürece rahat olabilirsiniz. FM'den birilerinin, can sıkıntısı nedeniyle şifrelerinizle hacker'cılık oynadığına dair bir şüpheye düştünüz mü şimdiye kadar? Size özel olarak: Sizin dahi unuttuğunuz bir parolayı elde etmek FM'cilere birşey kazandırır mı? p.s.Herhangi bir tepki veya hesap sorma amacım yok. Sadece merak ettiğim için sordum. Yanlış anlaşılmak istemem.
0
coskung
Yanlış anlama olmasın diye bir not: FM için kullandığınız parola ile FM'ye kayıt olurken girdiğiniz e-posta adresinizin parolası, veya isminiz/nick'iniz kullanılarak erişilebilecek sitelerdeki parolalarınız aynı olmadığı sürece rahat olabilirsiniz. Derken, FM'ciler, kayıtlı kişilerin e-posta adreslerini kurcalıyor anlamı çıkmasın. Biraz anlayan, sql dump dosyasını kurcalayarak yapabilir anlamında söyledim.
0
extacy
benim şifrem zaten fm in otomatik tanimladiğı şifreydi ve ben genelde farklı şifreler kullanırım, kesinlikle fm den yana bi çelişkim yok sadece ben neden başka şifreleme sistemleri varken fm camiasının böyle bir sistem kullandığını merak ettim..
0
coskung
Yanlış anlaşılmaktan çekinerek yazmıştım.
Yanlış anlamadığınız için teşekkür ederim.
0
yilmaz
Alternatif giriş tipleri
1) herkes alsın bir SSL sertifikası onlarla login olalım.
2) yüz tanıma zımbırtısı olsun yüzümüzün screenshotunu alalım onla login olalım.
3) Notebookların touchpadine yeni bir mekanizma yerleştirip onla parmak izimiz tarasın ssl ile fazlamesai login.php ye yollansın ordan kontrol edilsin.
4) Bir for dongusu içinde 128 kere şifremiz MD5 SHA ile karıştırılsın öyle giriş yapalım.
0
yilmaz
Bunun espri olduğunu anlamayan öküzler varmış internette az önce birine denk geldim.
0
sundance
Sapla samanı karıştırıyorsunuz.

MD5 bir şifreleme algoritması değil bir hash algoritmasıdır. One way functiondır, geri dönüşü yoktur.

O kırdı dediğiniz şey de kırmak değil, bir sözlük yada sıralı kelimelerle teker teker denemek.

MD5 yerine SHA1 kullanılsa da yöntem aynı, one way functionları brute force ile kırıyorsunuz.

Son aşamada söylediğiniz iyice saçma bir şey, siz bize ya da başka bir siteye şifreyi gönderiyorsunuz! O şifreyi veritabanına yazmadan önce açık hali ile alıyoruz ve MD5'leyip MD5'ini yazıyoruz veritabanına.

Kötü niyetli bir site zaten bu şifrenin bi kopyasını kendinde saklar ki... Neyi kimden saklıyorsunuz?

0
sundance
Herkes şifre yazınca ben de şifre yazdım, doğrusu parola olacaktı.

Tekrar söyleyeyim hash algoritmaları KIRILMAZ. Brute force ile karşılıkları bulunur.

Siz FM'e parolanızı girdiğinizde, FM'de bu parola MD5, SHA1 hangisiyse işlemden geçirilir ve bu işlemden geçirilmiş haller karşılaştırılır. Kimse dsue4558easfasd3235dfasfa gibi bir hashi bir fonksiondan geçirip karşılığı şudur demez. Bir döngü başlatılır ve birsürü deneme yapılır. Atıyorum onbeş karakterli bir şifreniz varsa da bunun bu deneme yanılma yöntemi ile bulunması çok uzun zaman alır, caydırıcılığı olan budur.
0
yilmaz
bu arada RSA bu algoritmaları kırana 10 000 dolar veriyordu.
0
extacy
ben size kendimi anlatamadim sanirsam, md5lookup'ta 1.8Tb lik md5 hashlari icin yapilmis bir veri tabani var.
Siz 15 karakterlik sifre yapin kurtulun diyorsunuz ama, onun yerine md5 kadar uzerine gidilmemis yada md5in biraz modifiye edilmis halleri herhalde nette mevcuttur, "kopyala yapistir" yaparak hashleri cozmekten iyidir.
0
yilmaz
md5 in modifiye edilmiş halini biraz daha açabilir misiniz? Doğan görünümlü şahin gibi birşey mi oluyor onlar?
0
yilmaz
MD5 tek yönlü şifreleme yapıyor. Hatta bu SSL sertifikalarında da kullanılıyor. Bunun FM nin aldığı radikal bir karar olduğunu sanmıyorum. Daha güçlü derken neyi kastediyorsunuz. 128 yerine 256 bitmi olsaydı. O zamanda değişen birşey olmazdıki. Sonucta ikisinde çözüm taktiği bruteforce.
0
cbc
yanlış yaklaştığınız bir nokta var. ne kadar kuvvetli algoritma kullanılırsa kullanılsın (sha, md5, herhangi simetrik ya da asimetrik şireleme yöntemi), parolanız kısa (güvensiz) olduğu sürece çabucak elde edilebilir.

john gibi araçlar bir kenara, basit bir script ile bile bunu yapmak mümkün. mesela parolanızın tek harften oluştuğunu düşünelim:

for a in a b c d e f g h i j k l m n o p q r s t u v w x y z; do echo $a `echo -n $a | md5sum - | cut -d \\ -f 1` ; done

bu komut olası bütün seçeneklerin parolalarını verecektir.

burada işi karmaşıklatırılacak yöntemler uygulanabilir mesela md5 yerine fmh algoritması (fm hash) kullanabilir ve algoritmayı da şöyle belirleyebiliriz:

sha(concat(md5(pass),reverse(sha(pass)))

bu algoritma bilindiği sürece keşfi daha zor olmayacaktır.
0
ekin
Bildigim kadariyla fm'den kimse kullanicilarin basina silah dayayip siteye uye yapmiyor. Eger bir siteye guvenmiyorsaniz, uye olmazsiniz. fm'den birileri diye tanimladiginiz insanlarin sizin parolanizi kirmaktan daha anlamli isleri olduguna da eminim bu arada.
Bu sozleriniz -farkinda olmasaniz da- anlamsizligin otesinde garip bir suclama iceriyor, gercekten boyle dusunuyorsaniz niye buraya yaziyorsunuz ?
0
Tarık
md5 geridönüşümsüz bir şifreleme algoritmasıdır. Fakat internette rainbow adı verilen sıkıştırılmamış 46 gb lara varan Alpha, Numeric, Symbol32 Character Set hash tabloları mevcuttur. Bu tablolardan elinizde olduğu sürece bahse konu herhangi bir md5 hash ını max 30 sn de çözersiniz. Bu bir txt dökümanda kelime aramaktan farksızdır. Rainbow Table
0
sundance
Arkadaşlar, MD5 algoritması ve çevresinde bu kadar büyük bir gizem ve ilgi odağı olduğunu bilsek çok önce hack edilir, bu konuya açıklık getirirdik.

Bu kadar uzun "Fazlamesai'ye ne oldu?" makalesi yazmazdık :)

Nerdeyse Nasrettin Hoca gibi "Bana damdan düşmüş adam getirin" moduna girdik, yapmayın etmeyin yahu. Sonunda burası bir üretim yapmayan, felsefe ile gün dolduran bir site, lütfen bu tür eğitsel faliyetleri site dışında yapalım, bozulanlar var.

Yok konu ile ilgili bir yazılım yazacaksanız, o ayrı. Felsefe yapmayın da ;)
0
Tarık
kimse deyivermeyince deyivereyim dedim sadece.
0
sundance
Sana değildi zaten :) Yanlış yere cevap ver oldu.
0
FZ
42 GB. Güzel bir rakam. Benim merak ettiğim ise en fazla kaç hanelik karakter katar dizisi için MD5 üretip depolamış oldukları. Misal en fazla 20 hanelik ise ve benim parolam 21 haneli ise o zaman oradaki kümenin dışına çıkmış olurum. Bu da meseleyi 30 saniyede halledilebilir olmaktan çıkarır. Dolayısı ile "herhangi bir MD5 hash kodunu maks. 30 saniyede çözersiniz" lafı yanlıştır.

Not: Teknik hassasiyet namına, MD5'in bir şifreleme algoritması olmadığını belirtelim. Yani bir anahtar bilgi ile ya da algoritma bilgisi ile şifrelediğiniz veriyi çözmenize izin veren bir şifreleme algoritması değil. Bilmiyorum şifrebilimsel harman fonksiyonudur demek ne denli doğru olur.
0
darkhunter
Rakamın (42 gb) güzelliğine takılmayalım. İlla indirmek zorunda değilsiniz. Kendiniz de üretebilirsiniz ;-)

[...]
This project is using RainbowCrack technology, which is based on Philippe Oechslin's faster time-memory trade-off technique to crack the md5 hashes. We use 80 Rainbow tables each 610 Mb of size. So total size of the tables reach 47.6 Gb. Average time for checking one hash is ~40 minutes, but the speed increases as the count of hashes is getting higher. So generally the speed of cracking is ~150 hashes / 24 hours. To those interested here are the commands which were used to create the Rainbow tables: rtgen md5 loweralpha-numeric 1 8 0 5000 40000000 all
[...]
0
darkhunter
Ve şifrelarin karakter uzunluğuyla bir ilgisi yok bu işin, 42gb'lık set de 32 karakter var mesela. Şifreleme uzunluğunda sınır yok. Alınacak yegane önlem (sistem kabul ederse) yerel karakterler kullanmak olabilir. md5 algoritmasının yerel karakterlerle çalışması, ingilizce standartlarında üretilen setler için güzel bir avcunu yalama durumu oluyor (evet, 42gb'lık setiniz olsa da)...
0
Tarık
-rainbow tablolarının çözüm üretebilirliğinden şüpheniz olmasın 30 sn fazla bile söyledim aslında.
-evet yanlış olmuş md5 şifreleme algortimasından ziyade üzerinde iyi düşünülmüş bir fonksiyon. Bu konuda pek ihtisas sahibi değilim.

Kolay gelsin.
0
newman
Gecmis olsun arkadaslar; hem site yoneticilerine, hem de degerli kisisel bilgilerini site veri tabanina kaydettikleri icin basi agriyanlara. Esenlikler dilerim.
0
simor
Tüylerim diken diken oldu...

Silkinip dışarı çıkmadan önce birkaç şey yazayım.

Parola veya şifre herneysenin dışında; adres isim vs gibi yine tamamen kişisel bilgiler de söz konusu.
Site kullanıcısı, bunları siteyi yönetenlere güvenip biryere yazıyor.

Burası için örnek olarak, en azından ibm dergi için adres yazmamız gerekiyor ve hiç bir yere açık adres yazmayı sevmem kendi adıma ( bu arada kapıdan yürütmedilerse dergi gelmiyor :) )

Bu işlerde uzman değilim. Buralarda oralarda ne çıkarsa okuyup bilgi ediniyoruz.
İlerde oscommerce vs gibi bişeyler kullanıp alışveriş sitesi yapayım diyordum fakat, bu gibi durumlar için ne kadar bilgisiz ve hazırlıksız olduğumu anladım.
Bir alışveriş sitesi de yenilen kazıkların bileşkesi olmak için çok pahalı, hemde çok.
Aslında bu bağlamda burda canlı olarak yazılanlar ve anlatılanlar için fm e teşekkür etmem lazım. Bilgi paylaşım ortamı olarak misyonunuzu layıkıyla yerine getirdiniz. Problemi çözmek için izlediğiniz yolu bizimle paylaştınız. Korkunçtu ama olsun bilgi iyidir :)

Genel konuşuyorum; başınıza gelen olay her site yöneticisinin başına gelebilir. Fakat son kullanıcının elinde birşey yok tek harfli şifre yazmamak vs dışında.

Site yöneticilerinin hata yapmaması gerekiyor bilgisi dahilindeki konularda.
Her ne kadar ticari olmasa da kullanıcıların bilgilerinin varlığı düşünülerek çok dikkat edilmeli bence. Hatta bu konularda standartlar mı konsa bilemiyorum.

Türkiye'de bilişim suçları ile ilgili durum nedir bilmiyorum.
Mesela bu durum, saldırganların amacı ne olursa olsun suç teşkil etmesi gerekir.
Konuş site yöneticisiyle, ondan sonra ne yapacaksan beraber yap ama değilmi? Site yöneticisinin kafası çalışıyorsa amacı iyi niyetle güvenlik konusunda araştırma yapma ihitiyacı olanlarla işbiliği yapar.
Tabi burda bir ego tatmini de söz konusu olmuş heralde.

Ayrıca daha ciddi konularda, mesela sitenin içeriğinde ki bilgilerle işlenmesi olası suçlarla ilgili mağdur olduğunuzda hak aramak istesek neler olur? Hukuk düzenimiz malum. Mağdur olan kimsenin zararlarının karşılanması konusunda şüphelerim var.

Bu yüzden eşeği sağlam kazığa bağlamak gerek.


0
simor
düzeltme: Problemi *çözmek için izlediğiniz yolu bizimle paylaştınız. Korkunçtu ama olsun bilgi iyidir :)

*tanımlamak
0
sundance
Açıkcası, niyetimiz, bu tür bir saldırının nelere yol açabildiğini ve sistemi yeniden güvenilir hale getirmek için aslında ne kadar da çok emek harcanması gerektiğini göstermekti.

Çünkü gerçekten ama gerçekten bir şeyi kurmak ve yıkmak arasında her zaman için emek açısından çok büyük bir fark var.
0
simor
Ben şahsen, emeğinizin ve harcadığınız zamanın farkındayım.

Umarım yazdıklarımdan, tersi anlaşılmamıştır.

Zaten ürpermemin sebeplerinden biri de buydu.
Alışveris sitesi için en azından mevcut vakaları ve önleme yollarını öğrenmem gerektiğini anladım.
Bunlar hep kafamın bir köşesinde duruyordu ama haberi okuyunca gerçekte ne olduğunu anlıyor insan.
Gerçekten emek ve zaman harcamak gerek.

Benim bu olay nezdinde anlatmak istediğim kullanıcının çaresizliği.
Gerçekten de herkesin bir (doğru veya yanlış) şifreleme mantığı, yaklaşımı vs var ve bunların açık seçik yayınlanması (sadece bu konuda bilgisi olan insanların görebileceği şekilde de olsa) hoş değil.
Diyeceksiniz ki haberimiz olmadan da olabilir bu.
Doğrudur, fakat yine de kullanıcının çaresizliği aşikar.

Nekadar bilinçli olursak olalım, kullandığımız sitenin bize verdiği imkanlar çerçevesinde kendimizi koruyoruz. Bu koruma da ne yazıkki sevdiğimiz ortamlarda dahi adresimizi veya ismimizi yazmamak veya yanlış yazmak şeklinde ve paranoyakça oluyor.
Bunları hepiniz biliyosunuz zaten söylememe gerek yok.

Site yöneticileri de belki kullandıkları yazılımlar kütüphaneler vs. kadar özgürdürler. Fakat bizim çaresiz ve bilgisiz olduğumuzu unutmasınlar.
En azından ben ibm dergim adresime gelebilsin diye adresimi yazmaktan korkmayayım.

Şunu düşünüyorum arasıra. biz internette gerçek dünyadan daha gerçek bir dünyada mı yaşıyoruz acaba?

Yazdıklarım lütfen bir yargı olarak anlaşılmasın.
Nazikçe varolan durumu eleştirmeye ve üzerinde sesli düşünmeye çalışıyorum.

0
sundance
En önemli kısım sanırım, 'Gerçek dünyadan daha gerçek bir dünyada mı yaşıyoruz' tespiti.

Gerçek dünyadan daha gerçek bir dünyada yaşamıyoruz, ama daha saçma bir ortamda olduğumuz kesin.

Bazılarımız 'yalan bu dünya' diye yaklaşıyor, bazılarımız sa yorum yapma ya da e-posta atma durumuna geldiğinde 'kırk kaplan gücünde' oluyor.

Bu bir yana, bir siteye üye olurken, herşeyden önceki kabul site adminlerine güvenmek. Açıkcası üç kuruş kafası çalışan bir site yönetimi varsa da bu güveni hiçbir şekilde boşa çıkartmamak için elinden geleni yapar. Ticari sitelerde bu iş ve itibar kaybına sebep olacağı gibi, ticari olmayan sitelerde ise zaten paraya dayalı bir hizmet verilmediğinden iş gönül işi olduğundan, yıllarca uğraşıp elde edilmiş bir itibarın kaybı sözkonusu.

Güvenlik konusunda herkesin aynı seviyede bilgi sahibi olmasını tabi ki bekleyemeyiz. Fakat site adminlerini de bütün bu koşuşturmada anlamak gerek diye düşünüyorum. Bir kullanıcı 'Site adminlerinin benim passwordümü tahmin etmeye çalışmadıklarını nerden bileceğim?' gibi bir soru sorduğunda, ben şahsen onun bilgisizliğini değil bu soruyu bir saniye bile düşünmeden sorduğunu düşünürüm (Siteye her girişte bu password verilmekte, dahası zaten girişte passwordü bizim sitemize yazan kişi kullanıcı, hangi şifre de, hangi tahmin. İsteyen (kötü niyetli) admin o şifreyi bir kenara da açık yazar.

Fm'in burda varolma sebebi, bilgi paylaşımı. Tabi ki aynı bilgi seviyesinde olmayan kişiler olacaktır, öbür türlü paylaşım olmazdı. Fakat, bir şeyi öğrenen kişinin de, en az kendisine bu konuda bilgi veren kadar çaba göstermesi, düşünmesi gerek.

Böyle olmazsa, sözkonusu bilgi transferini gerçekleştiren kişi en iyi ihtimalle sinirlenir, tepki verir, en kötü ihtimalle de iletişimi keser. Bu da çok normaldir, insani bir durumdur, anlayışla karşılamak vardır.


0
muratdicle
Öncelike bu işi yapanları kınıyorum. İş bir noktada bahsedildiği gibi GRI olaynda kalsaydı ortada teşekkür edilebilecek durumlar söz konusu olabilirdi. Ama iş KARA taraf geçip, kodların ve DB nin dışa vurulması olduğunda, insan üzülüyor.

Arkadaşlarımızın dediği gibi sadece şifre meselesi değil, kişisel bilgilerinde dışa vurulmasıda söz konusu. Buraya katılan bir çok kişi, eminim çok önemli yerlerde çalışmaktadırlar. Ve onlara ait ipuçları şifre yapı mantıkları vs. hepsi ortaya döküldü.

PHP bilmem ve işinize karışmak gibide olmasın ama UnixCrypt diye bir şifreleme mantığı var yine tek yönlü bir mantık. Bu yöntem hakkında ne düşünüyorsunuz?

Saygılar..
0
FZ
Kast ettiğiniz buysa, kriptografik açıdan pek anlamlı değil Wikipedia'da da belirtildiği gibi. Ancak yine aynı makalede belirtilen mcrypt yahut ccrypt'i kast ediyorsanız onlar daha anlamlı modern kriptografi açısından.
0
anonim
Fazlamesai nin basina gelenler beni grisapka.org sitesinin varligindan haberdar etti. Yaptiklarini ve piskinliklerini dehset icinde izliyorum. Site yoneticisi yapilan yorumlari kaldirsa bile dun onlara birileri yaptiklarinin TCK ya aykiri oldugunu anlatti.
Sonucta En basindan beri yaptiklarinin dogru ve yasal oldugunu savunan grisapka.org bile geri adim atti. Artik dosyalari sitelerinde barindirmayacaklarmis, suc oldugunu farketmisler.
Linkleri koyacaklarmis, rapidshare'e... Efendim risk transferiymis... Son derece hastalikli buluyorum bu insanlarin dusunme seklini.
0
FZ
Söz konusu site yöneticileri anasayfaya "Countdown 30 days until CISSP/SSCP Exam" gibi bir ibare koymuşlar sağ alt tarafa. CISSP / SSCP oluşumlarının nasıl işlediğini birazcık biliyor iseler ne kadar çelişkili davrandıklarını da göreceklerdir.
0
anonim
Oncelikle CISSP certifakasini almak icin etiksel olarak bunu hakketmek lazim. CISSP sertifikasini almayi birakin, sertifika sinavina girmek icin gecmiste dijital suc isleyip islemediginizi declare etmeniz gerekiyor. Sertifika aldiktan sonra Code of Ethics e uyacaginizla ilgili bir dokuman imzalamaniz gerekiyor. O sitede geriye bu sinav icin gun saymasi dolayli bir oxymoron :)
0
FZ
CISSP sertifikasını hak etmiş uzmanların bazı konulardaki şahitliğini de gözardı etmeyelim tabii.

Bu arada meraklısına not: "oxymoron" lafı birbiri ile çelişen iki sözcüğü bir arada kullanmaktır. Misal "sağır edici sessizlik", "kesinlikle olabilir", vb. İngilizce örnekler için oxymoron ve list of oxymorons maddelerine yahut define: oxymoron Google sonucuna bakılabilir.
0
daegil
CISSP Registration and Processing
https://www.isc2.org/cgi-bin/content.cgi?page=808
CISSP Code of Ethics
https://www.isc2.org/cgi/content.cgi?category=12
Ethics Complaint Procedures
https://www.isc2.org/cgi-bin/content.cgi?page=176


Ama yeni yetmelerin döküman okuma, prosedür ve etik gibi kavramlarla alakası yok ki. Bazı istisnalar dışında günlük iş hayatında karşıma çıkan kişilerin davranış tarzı aynen bu olaydaki saldırganlar ve grisapka sahiplerininki gibi.

Lütfen istisnalar alınmasın ama maalesef ortam ve yetiştirilme tarzının doğal sonucu bu...

Eminim ki büyüklerimiz de bizim için benzer şeyler diyordur ;-)

NOT: Bu arada FM'e geç bir geçmiş olsun...
0
ec18672
Hiç bir nefis, boyle bir sitenin db dump'ini aldiktan sonra "ben bunu basardim(!)" demeden, kendi sitesinde ve hava atmak istedigi forumlarda bunu yazmadan edemezdi herhalde, profesyonel(!) olduklarini nasil kanitlayabilirlerdi ki insanlara?Hani once bize soyleselerdi diyosunuz ya, trade off var arada, size soyleseler ne olacak ki, ama yayinladiklari sitelerde karizmalari olacakti,"allah sizi tatmin etsin emi".
Bana ilginc gelen, "klavier" denen herif, 24 saat #fazlamesai deydi, bi ara muhabbet de etmistik.
0
retro
Sitenizi çok sık takip eden bir üye değilim. Ama kaliteli ve saygı duyduğum bir yapısı var..

Tüm site güvenlik açısından açık olsa bile, saldırıyı yapanlar suçludur. Bence bu saldırıdan dolayı insanların site yönetimine serzenişte bulunması çok anlamlı değil... Her sitenin açığı vardır. Suç bu açıkları bırakanda değil, bunları kullanan, kendine insan diyen zavallılarındır.

çalışmalarınızda başarılar dilerim...
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Durun, daha biz aya gelemeden...

butch

Kablonet hizmetlerinden yararlanan bir mahalleye 10 metre uzak olmamıza rağmen bu hizmetten yararlanmak için 15000$ keşif bedeli istenmişti bundan 2-3 ay önce bizden. Bugünlerde de binanın önünü kazıyorlar yine sanırım telefon hatlarıyla ilgili olarak. Ha bi de geçen gün yeni telefon hattımızı bağlamak için geldiler Türk Telekom'dan ama yetkili kişi binanın girişindeki kutuya bağladı hattı gerisini elektrikçiyle halletmemiz gerektiğini söyledi. Neyseki böyle durumlara alışığız, işimizi kendi başımıza nasıl yapacağımızı ve hiçbir şeye şaşırmamamız gerektiğini öğrettiler bize bu yolla ne de olsa. Ben bunlarla meşgulken Slashdot.org bir haber yayınladı bugün. Diyorki Amerika'da kanalizasyon şebekelerine fiber-optik kablolar döşenecekmiş (eyvah) hem de bu işi robotlar yapacakmış (eyvah ki ne eyvah)...

Tablolama Yazılımları: Kötü Bir Alışkanlık Mı?

FZ

Henüz doğrudan kansere ya da vereme yol açtıkları söylenemez ama hemen her tür iş için aşırı şekilde kullanılan tablolama yazılımları belki de gerçekten kötü bir alışkanlıktır.

EXCEL ya da ona özenmeye çalışan OpenOffice.org Calc, vb. benzeri yazılımlar her derde deva mı? Kolayca işleri hallediyorlar mı? Hesap kitap işi onlardan mı sorulur? Çok güzel grafikler mi sunuyorlar? Olması gerektiği gibi şeyler mi?

Kablosuz Yaşam

butch

fazlamesai.net'e soralım: Koruyabilir miyim?

darkhunter

Küçük ve basit bir senaryom var. Bu aralar veri güvenliği paranoyası yaşayan biri olarak fazlamesai.net üyeleriyle paylaşmak istedim...

TRT FM'de Linux Sohbeti!

linux34

29 Eylül Perşembe günü saat 15.30 - 16.00 arası TRT FM'de Linux işletim sistemi hakkına Canlı program düzenlenecektir. Haydi Penguen'ler Radyo başına :)

Frekans:95.6 FM