Türkiye´de Online Alışveriş Tehlikesi

0
ts
ts
22 Nisan 2003 , 4 dakika okuma süresi
Bir çogumuz internetten alisveris yapiyoruz. Çogu zaman internetten alışveriş yapmak zaman kazandırıyor, daha çok çeşide birkaç tıklama ile ulaşmamızı sağlıyor.

Tüm bu olumlu yanlarina nazaran her zaman kafaları karıştıran yanları da olmuştur Internetten alışverişin. Dünyadaki gelişmelere paralel olarak artık yurt dışındaki kapsamlı alişveriş sitelerinin yanında onlarla yarışabilecek yerli versiyonlarına da ulaşabiliyoruz. Fakat ilk günden beri insanların kafasını kurcalayan güvenlik konusunda her geçen gün yaşanan olumlu, olumsuz tecrübeler kimilerini internetten alışveriş yapmaya yöneltiyor kimilerini ise güvenlik gibi birtakım kararsız konulardan dolayı tereddüde düşürüyor.
Türkiye'de Internetten alışveriş hizmeti veren siteler ödeme safhasında genellikle iki seçenek sunuyorlar. Bunlardan birisi online olmayan havale ile ödeme, bir diğeri ise kredi kartı ile online ödeme. Burada kredi kartı ile ödeme büyük önem taşıyor kredi kartı ile ödeme seçeneğini tercih ettiğimiz zaman Internette aldığımız herhangi bir ürünü öderken kredi karti numaramızı vereceğimiz alışveriş sitesini iyi seçmeliyiz. Alışveriş siteleri incelendiği zaman güvenliğe dair verilen birtakım güvencelere ve garantilere rastlarız. Bunlardan ilki verilen kredi kartı numaramızın sadece bizimle banka arasında aktarılacağı ve kesinlikle üçüncü bir kurum ya da şahıs tarafından ulaşılamayacağıdır.

Çogu zaman bu uyarıları görmeniz belki ikna edici gelebilir fakat gerçekte durum oldukça farklı. Alışveriş sitesine verilen kredi kartı banka tarafından alışveriş sitesine verilmiş olan bir 'cgi programcığı' yardımıyla bankaya iletilir. Bu bilgilerin şifreli olarak tutulması, aktarılması, saklanmasi gerekirken şu an Türkiye'de alışveriş sitelerinin kullandığı en büyük banka olan Garanti'nin alışveriş sistemlerinde büyük bir güvenlik açığı göze çarpıyor.

Bu bankanın kullanmış oldugu 'paycgi' programcığı kendisine iletilen ve banka merkezine gönderilen bilgileri log edilmeyecek sekilde "POST" methodu ile göndermesi gerekirken tamamen güvensiz bir sekilde "GET" metodu le ileterek alışveriş sitesine ait web sunucusu log dosyalarında kredi kartı numarası ve diğer bilgilerinin görünmesine neden oluyor.

Asagida iletim seklini incelersek;

-------------------------------- ORNEK ------------------------------------------
x.x.x.x - - [03/Mar/2003:14:35:35 +0200] "GET /cgi-bin/paycgi?oid=&total=14160000&
cardno=54000000000003&expmonth=05&expyear=03&cv2=&aciklama=&firma=&email=&prodinfo
=ASAGLOBAL+-+HESABA+PARA+YATIRMA&userid=&phone=&Bname=Ahmet Mehmet&Baddr1=&Baddr2=&
Bcity=&Bzip=&Bcountry=&Sname=&Saddr1=&Saddr2=&Scity=&Szip=&Scountry= HTTP/1.0" 200 67
-------------------------------- ORNEK ------------------------------------------

Yukarıda tek bir satırda yer alan bu bilgiler incelendiğinde programa gönderilen değişkenlerde yer alan verilerin herhangi bir sekilde encode edilmeden iletildiği göze çarpacaktır.

Burada yer alan ve her biri bir değişkene atanmış olan, şifrelenmeden iletilen bilgilerin açıklamaları ise asagidaki gibidir;

- Kart sahibi ismi
- Email adresi
- Firma ismi
- Telefon
- Adres
- Ülke
- Kredi karti numarasi
- Son kullanim tarihi
- Cvv2 numarasi
- Alisveris cinsi
- Ödenen ücret
- Kullanici kodu
- Opsiyonel açiklama kismi

Yukaridaki bilgiler şu anda Türkiye genelindeki Garanti'ye bağlı alışveriş sitelerinde şifrelenmeden alışveriş sitesi sunucularında saklanıyor. Bunun anlamı sunucuya erişimi olan herhangi biri, sistem yöneticisi ya da kötü niyetli bir hacker bu sunucuya erişim sağladığı takdirde tüm kredi kartı numaralarına ve kişisel bilgilere web sunucusunun log dosyalarindan ulaşabilir. Aynı zamanda web sunucusu loglarından yola çıkarak raporlama yapan rapor yazılımları tarafından üretilen sonuçların dışarıya açık bir şekilde saklandığı sistemlerde açık bir tehdit ile karşı karşıyadır.

Bu tasarım hatasından kaynaklanan güvenlik zaafiyetinden etkilenen alışveriş sitelerinin yapması gereken kullandıklari 'Paycgi' cgi programini 'POST' metoduna ayarlamaktir. Garanti Bankası'ndan alınan bilgilere göre alışveriş sitelerine ilk baştan 2002 yılı ortasina kadar dağıtılan tüm 'Paycgi' cgi paketinde metod olarak 'GET' kullanılıyor ve dolayısıyla bu banka ile çalışan tüm alışveriş siteleri de bunu olduğu gibi kullanıyor.

Görünüşe bakılırsa şu anda kredi kartı numaralarımıza kimileri tarafından ulaşıldı kimileri tarafından ise ulaşılmayı bekliyor.

Tamer Sahin
http://www.securityoffice.net
Güvenlik
79
Linkedin Facebook Twitter Google plus

Görüşler

anonim
0
anonim
Fazlamesai''nin Tamer Sahin adli arkadasa nasil itibar ettigini anlayamadim. Asagidaki mail, yukardaki yazi ve sahis hakkinda bilgi verecektir.


-----Original Message-----
From: teknik-owner@sitebuilders.org
[mailto:teknik-owner@sitebuilders.org] On Behalf Of Berke Rahmi Baydu
(Gr.Odeme.Sis.-AR-GE)
Sent: Tuesday, April 22, 2003 10:40 AM
To: teknik@sitebuilders.org
Subject: RE: [Teknik] Turkiye''de Online Alisveris Tehlikesi




Merhaba,

Maili ancak okuyabildiğim için geç cevap verebiliyorum.

Tamer Bey''in Bankamiza olan güveni sarsmak için hazırladığı ve asılsız
suçlamalar içeren yazısı hakkında hukuki yollara başvuruyoruz. Makaleye
cevap niteliğindeki yazımı hazırlayıp en kısa sürede sizlerle
paylaşacağım.

Berke Baydu
Garanti e-Ticaret

-----Original Message-----
From: Tamer Sahin [mailto:ts@securityoffice.net]
Sent: Monday, April 21, 2003 11:20 PM
To: teknik@sitebuilders.org
Subject: [Teknik] Turkiye''de Online Alisveris Tehlikesi
ts
0
ts
Madem mail paste ediyorsunuz devamindaki yazismalarida paste edelim ne dersiniz?

============ SNIP ===============
Kimse sizi tehdit etmedi. Ya da bir sekilde boyle bir yazinin
yayinlanip/yayinlanmama garantisi verilmedi. Boyle bir yazi gonderildi
ve yayinlandi.

BRBGOSAG> Biz isimizi
BRBGOSAG> biliyoruz ve kendimize guveniyoruz. Aylardir bir acik bulmak icin e-ticaret sistemlerimizi
BRBGOSAG> denediginizi ve sonunda ancak bu makaleyi yazabildiginizi de biliyoruz.
BRBGOSAG> Ifade ozgurlugu insanlara asilsiz suclamalar yapmak hakki tanimaz. Dusuncelerini soylemek
BRBGOSAG> anlamina gelir. GB hizmetlerinin kotu/guvensiz oldugunu dusunuyorum bir ifadedir, GB kart
BRBGOSAG> bilgilerinizi caldiriyor bir suclamadir. Bunu ayirabilmenizi beklerdim.

Burada yazida belirtilen zaten belli bir zaafiyet. Eger siz bunun bir
zaafiyet oldugunu dusunmuyorsaniz gerekli makaleyi yazip yayinlarsiniz
hatta bize gonderirsiniz biz de bu makalenin icinde o yaziya yer
veririz. Burada tek tarafli bir suclama soz konusu degil. Ama gorulen
panik, olayin vehametini ve gercekligini ortaya koyuyor.

Asil benim sizden bekledigim. Bu konudaki makalenizi yazip buraya
listeye sunmaniz yonundeydi. Madem boyle buyuk bir kurum, bu derece
kendine guveniyor. Kendine olan guvenini gostererek,
konuya ne derece hakim oldugunu ortaya koyarak bu konuda ayrintili bir
aciklama yapmalidir. Hemen haksiz bir sekilde adalete siginarak degil.

BRBGOSAG> Etik davraniyormus izlenimi vererek internetin sagladigi anonimite ve hukukun yetersiz
BRBGOSAG> kaldigi noktalari kullanarak suc isliyorsunuz. Makalenin altina Anonymous / 21 Nisan 2003
BRBGOSAG> yazmis olmaniz bizim bildigimiz gercekleri degistirmiyor. Eminim mahkemede de makalenizin arkasinda
BRBGOSAG> duramayacaksiniz. Simdi oldugu gibi makaleyi yazmadiginizi savunacaksiniz. Hatta bize
BRBGOSAG> gonderdiginiz emailleri de siz gondermemistiniz degil mi?
BRBGOSAG> Bir sonraki mailim makaleye cevabimi iceriyor olacak ve bu konuyu daha fazla uzatmak
BRBGOSAG> istemedigim icin, terbiyesizce yazilan mesajlara cevap vermeyecegim.
BRBGOSAG> Berke Baydu

Mailimde hic bir sekilde terbiye sinirlarini asan bir uslup
kullanmadim. Tartismadan kacmak, olayi saptirmak icin bu bahaneye
siginiyorsaniz bunu hic yakistiramadim. Nedirki bu tavir? Aglayarak
annesine kosup sikayet eden bir cocuk davranisi adeta.

Bana kalirsa konuyu uzatalim. Hatta mutabik kalana kadar uzatalim. Eger benim vpos hizmeti alan musterimin web server
loglarinda 3000 tane kredi karti bilgisi ondan habersiz, banka tarafindan yapilan hatali bir bilgilendirme yuzunden yer
aliyorsa bunun hesabini birileri vermek zorunda. Ve bu kisinin sadece ifade ozgurlugunu kullanan yazar ya da sitesinde
yayinlayan adalete sevkedilecek olan ben olmadigim kesin...

Tamer Sahin
http://www.securityoffice.net
============ SNIP ===============


============== SNIP ================
From: sakcan@atacom.com.tr
Date: Tue, 22 Apr 2003 13:22:59 +0300
MIME-Version: 1.0
Content-type: text/plain; charset=UTF-8
Content-transfer-encoding: base64
Precedence: bulk
Sender: teknik-owner@sitebuilders.org
Reply-To: teknik@sitebuilders.org

mevzu beni ilgilendirmez ama eger boyle bisey varsa tamere tesekkur etmeniz
lazim.
size ters bi hareket olabilir ama belki binlerce yada milyonlarca kredi
kartı sahibine yapılmış bir iyiliktir bu.
tamerin yada baska birinin suç işlemesi beni ilgilendirmez. Bir müşteri
olarak tamerin değil gb nin güvenliği sağlamasını beklerim.
tamerin tarzı yalnış olsada boyle bişeyi bulmuş olması bence çok önemli.
ayibi örtmek yerine kapatmak makbuldür.

SA
============== SNIP ================
sundance
0
sundance
Adınızı belirtseniz size de itibar edebilirdik.

Dahası, yukarda yazıldığı gibi makaleye cevap yazıldığı durumda, seve seve bunu yayınlarız.

Bu TŞ'in kendi sitesinde yayınladığı bir habere refere eden bir başka haberdir.

İsmi olan biri (anonim değil) buna yalan diyorsa ve sebeplerini ortaya koyuyorsa ne güzel.
anonim
0
anonim
Kim oldugum degil ne dedigimle ilgilenilmiyorsa Fazlamesai.net icin ETIKETTIR ONEMLI OLAN diye dusunmeye baslayacagim.
anonim
0
anonim
Eğer (varsa) böyle bir açığın public edilmesi son kullanıcı açısından iyi değil. Burda anlaşılan o ki lamer $ahin bir kez daha ün yapma arzusuyla etik olmayan bir davranışta bulunmuş. Umarım güven ve itibarı zedelenen garanti bankası bu konuda gerekeni yapar.

not: fm''nin buna alet olması da hoş değil.
ts
0
ts
Aslina bakarsaniz bu tarz zaafiyetler yurt disinda oldukca ozgur bir sekilde aciklanabiliyor. Bu tarz zaafiyetleri zaten kullanan kotu amacli insanlar var. Bunun aciga cikmasi ise bu kullanimlari tamamen durdurmak icin tek yontemdir.

Ayrica bu makale son derece etik cercevede hazirlanmistir. Garanti ile 1 ay onceden irtibat kurulmus vpos musterilerini haberdar etmeleri beklenmistir.

Biliyorum bu tarz bir seyi kabullenmek pek kolay degil. Belkide benimde kredi karti numaram bir sunucuda tutuluyor olabilir?. Fakat bu durumda suclu olan ben degil bizzat bankadir. Eger ben bugun musterimin web server loglarinda 3000 kadar kredi kartina rastliyorsam bunun sorumlusu bu zaafiyetin kapatilmasi icin 1 ay onceden haber veren ve daha sonra publicize eden ben olmamaliyim diye dusunuyorum.
sundance
0
sundance
Malesef bu dediğin on yıl öncesinin güvenlik anlayışı, şu anda bunla Security Through Obscurity diye dalga geçilmekte ve ancak beceriksiz güvenlik politikalarının bir parçası olarak kabul edilmekte.

Eğer gerçekten böyle bir açık varsa, bulan bence bütün ünü de hakeder.

Burada ne TŞ'i savunuyorum, ne başka bir şey. Belirttiğim gibi, 'yok böyle bir açık, olur mu böyle saçmasapan şey, tabi ki POST ile yapılmakta bu işlemler' türünden bir açıklamayı seve seve yayınlarız.

Allahaşkına birileri de ANONIM yazmasın şu siteye yaw!
anonim
0
anonim
TS tam bir lamerdir. Kisilik sorunlarindan dolayi dislanmistir. IRC sunucularinda abi port 139 dan pc ye nasil dalarim turu sorularini unutmus degiliz. SOL irc kanallarinda zamaninda yaptigi dallamaliklari da. (ISTEYEN EDITORE LOGLARI GONDERILIR) Sohret icin yapamayacagi sey yoktur, mesela Linux dan hic mi hic anlamadigi halde WinLinux kurunca Linux uzmani kesilip hackerim ben demesinide unutmadik. Bu adamin birakin yazisinin burada olmasini, bu siteye bunun gibilerinin girmesinden bile hazzetmiyorum. Adam efendi gibi yanit vermis sizi ciddiye bile almiyoruz diye (GB bilgi islemcisi) hala bunu kaale alanlar var!
Webserver loglarinda bilgi tutulmasi mevzusuna gelince, GB gibi kuruluslarin POS istasyonu verirken bile nasIl dikkatli davrandiklarina kendi gozlerimle sahit olmusken, VPOS istasyonlarinda log tutacak dummy wmasterlera maas veren site sahiplerine Online Alisveris sansi vermesi o kadar kolay degildir! Ha diyelim verdi, server loglarinda sitenin gizli erisimli yerlerine giren her dallamanin (bunlar benim gozumde dallamadir) da loglari tutulacagi icin, en gec 30 dk da yakalanacagindan kuskunuz olmasin. (ha ben oyle bir siteyi kIrmIs olsam, yuzlerce MBlIk CC Loglarini nasil indirecegim o da ayri bir geyik mevzuudur!)
Ha neden anonimim, Psikopatolojik bozukluklari olan lamelerin sosyal muhendisligi ilke edindiklerini bildigim icin. Bu nedenle kusura bakmayin.Saygilar.
(SadIk Bir Fazla Mesaici)
anonim
0
anonim
pardon ama 100lerce megabyte log kismini ben anlayamadim
loglar mp3 formatinda mi tutuluyor?
bilmedigimden soruyorum cidden ;)
sundance
0
sundance
İçinde on tane resim olan bir sayfanın http logu yaklaşık on satır tutar, o sayfayı sadece browserda açtığını düşünürsek. 10x60 karakter filan yani 600byte (eğer çok detaylı değilse)

Bir web sunucusunda günde kaç sayfa açıldığını bir düşün...
Eğer bu zor gelirse 2000 yılında Ixir'in sadece chivi.com portalinin logları üç günde 1GB'a varıyordu diyeyim sana.
acemi_
0
acemi_
Dallamalarin da loglarinin tutulacak olmasi veya log dosyalarinin download edilemeyecek kadar buyuk olmasi, bunun, bir acik oldugu gercegini degistirmez.

Israrla konunun, Tamer Sahin'in kim olduguna, gecmiste neler yaptigina getirilmeye calisilmasi gercekten cok ilginc. Teknik bir konuyu, duygusalliktan uzak bir sekilde konusamayacak miyiz?

anonim
0
anonim
Tamer sahine e lamer diyen komplexli zavallıların tamerin 100 de biri kadar türkiyedeki ağ güvenliği meselesine katkısı olmuşmdur bilmiyorum. Bildiğim birşey var sa aynı açığı alex one yayınlamış olsaydı hepinizin içinden vay be abi gavur buluyor yaklaşımı sergileyecek olmasıdır. Security focus da tamerin benim bildiğim 20 den fazla exploit research i publish edilmişken 2 tane foruma mesaj atmaktan ve apacheyi zar zor kurmaktan başka bir faliyeti olmayan moronların Tamere bok atayım da kredi sahibi olayım gibi yaklaşımlar sergilemesi sadece super ethical oluyor sanırım.

Saygılar.

Korhan Kaya
anonim
0
anonim
Dikkat et de sana da bulasmasIn attIgImIz .oklar! HayatInda 1 kere Unix gormedigi halde Mirc vertion reply da karizma yapmak icin identi Unix yazan bizler degil oydu! Fax'la internicin ahmaklIgIndan faydalanIp SOL DNS leri degistirip de, aylarca fink attIgI Sol irc sunucularında SuperOnlineyi kIrdIm diyen de oydu! Kendine SECURITY ADVISOR diyen bu dallama ve sizin gibilerin IDS lerden haberi dahi oldugunu zannetmiyorum. Hadi yerse kIrIn Garantiyi, dalIn iceri. O kadar kolay mI o? Neden IRC de dahi Greek sunucularIna hala giremiyorsunuz (normal yolla bile!) Kac tane Apache kurmusuz o bizi ilgilendirir ama, kac tane NETWORK u ayrI ayrI OS larda bir araya getirdigimizi herkes bilir. Bu dallama supervisor'u hala bir cesit maaslI eleman sanIyordur eminim... YazIklar olsun sana ve zamanInda senin gibi o irc serverinda hic bir vasfI olmayan bu LAMERSAHIN lere tapanlara. TanrInIza yakIn bize Uzak Olun.

Legends may sleep but never dies
ts
0
ts
Eger vpos kullanicisi olan varsa ve inceleme imkani varsa ayni zaafiyeti kendiside tespit edebilir.

Kredi karti bilgileri alisveris sitesinde konulan formdan bahsi gecen paycgi''a bu
cgi''dan da garantiye aktariliyor. Garantiye aktarimda bir problem yok.
Fakat formdan cgi''a aktarilirken GET methodu ile post ediliyor kredi
karti numarasi vs. bilgilerin bulundugu form. Bu nedenle web server
log dosyalarinda saklaniyor numaralar. Hem cgi''da boyle bir opsiyon
var hemde verilen template html''de GET ile gonderilmis. Degiskenler
vs. template formda yer aldigindan haliyle herkes o sablonu
kullaniyor.

Kod ekte, ilgili kod blogu ise asagida,

================== SNIP ====================
} else if (cgiStrEqNc(cgiRequestMethod, get)) {
/* The spec says this should be taken care of by
the server, but... it isn''t */
cgiContentLength = strlen(cgiQueryString);
if (cgiParseGetFormInput() != cgiParseSuccess) {
}
}
================== SNIP ====================

Lutfen kelimelerimizi, tanimlarimizi iyi secelim. Dusunmeden tanimadigimiz insanlar hakkinda yorum yapmayalim. Eger isteyen olursa paycgi.c kodunun tamamini gonderebilirim.
FZ
0
FZ
Bir güvenlik açığı varsa bunu kamudan gizlemek doğru mudur?

Garanti e-Ticaret yetkilisi konu ile ilgili bir teknik açıklama yapacağını belirtmiş, böyle bir şey FM sitesine iletildiği anda yayınlacaktır.

Microsoft´ta binbir güvenlik açığı olduğunda bunu söylememiz ahlâki bir durum da bir bankanın kullandığı bir sistemde bir açık olduğunu burada yazılıp çildiğinde mi ahlâk dışı bir durum oluşuyor?

Bir yanlış anlama olmasın kişisel olarak Tamer Şahin´i tanımam etmem. Buraya teknik bir yazı yollamıştır, bu yazı güvenlikle ilgilidir ve kamuyu ilgilendirmektedir.

Yazıda herhangi eksik, yanlış bilgi varsa, birtakım ciddi teknik hatalar var ise bunların da burada belirtilmesini engelleme durumumuz yoktur. Bilen kişiler burada konu ile ilgili her türlü teknik yorumu yapmakta özgürdürler. Bu tür yorumlar bizim daha somut ve objektif bilgi sahibi olmamızı sağlayacaklardır. Bu yüzde dileğim odur ki konunun özüne ve teknolojiye yoğunlaşalım. Kişisel saldırıları değil bunu okumak istiyorum. Burası öncelikli olarak bir teknoloji haberleri sitesidir.

Şimdi eğer konuya dair teknik bağlamda bir açılım getirecek bilgili ve yetkili kişiler varsa buraya yazmalarını beklemek dışında yapabileceğimiz bir şey yok.
anonim
0
anonim
Peki, buraya şu bankaların şu makinalarında RDS açığı var, bilmemne gov.tr'da falanca açık var deyip detaylı olarak mesajları atılsa yayınlayacakmısınız? Sanırım teknik ve güvenlikle alakalı olduğu için ve kamu'dan gizlememek için yayınlayacaksınız ve bir ceh..com forumu daha oluşacak.

Yapılanın ETiK (ETHICAL) olmadığı ortada. Public Disclosure'un ethical olarak bazı kuralları vardır. Microsoft'un açığı bulunduğunda bu önce Microsoft'a bildirilir, belirli bir sürede yama çıkarması beklenir ve sonrasında duyurulur. Bunu güvenlik işi ile uğraşan ve t$ gibi bugtraq'a post yapmış olan biri de bilir. Eğer bunu söz konusu bankaya bildirip te cevap alamadıysa o ayrı bir konu.

Tabi bunu yapmak zorunda değilsiniz, ama sonuçlarını iyi hesaplamak lazım. T$'nin başının ağrıyacağına eminim.

Peki şimdi kamu bunu bildi, ne olacak. Diğer bankaların %100 güvenli sistemlerini mi kullanmaya geçecek? Diğer bankalarda açıklar yokmu? Onlar da mı burada açıklanmalı? Yoksa t$ garanti'den 3000 dolar istedi de vermediler mi? gibi sorular geliyor insanın aklına.

neyse,

sundance
0
sundance
Hımm bu da ilginç, böyle bir durum varsa $3000 istendi de verilmedi diye, bunu da yayınlarız.


Fakat eğer %1 ihtimalle bile yukardaki mevzu gerçekse, sözkonusu banka gerçekten söz konusu CGI'ında GET kullanıyorsa, bence asıl rezaleti orda aramak lazım. Sene 2003, 94-95'de bile bu tür işler için GET kullanılmaması gerektiği bas bas bağırılıyordu Internet'in herbir yerinde. Eğer bu tür bir şey varsa, bu bence yanlışlıktan öte, beceriksizliğe girer. Eğer söz konusu banka HTML formlarla ilgili on dakika çalışmış birisinin bileceği bir mevzuda, bu kadar büyük bir gedik bırakacak kadar beceriksiz kişilerle çalışıyorsa (ki hiç sanmıyorum, Garanti Bankası ile çalıştım ben, sistem odalarını da gördüm, çok sıkı bir güvenlik sistemi olduğunu ve bunun dışardan 24 saat gözlemlendiğini de biliyorum ve takdir ediyorum) o zaman ne kadar gizlerseniz gizleyin bu ortaya çıkar. Bahsettiğimiz, bilmemne durumundaki, istisnai bir buffer overflow olsa anlarım, ama bu tür bir tasarım hatasından haberdar olmamaları (tekrar ediyorum yine eğer varsa) mümkün değil.


Neyse sonuç olarak teknik bir açıklama yapılırsa, yok kardeşim bu olay asılsızdır, şöyle şöyledir denirse seve seve yayınlarız.


Fakat kimse bizden insanları bilgilendirmememizi istemesin. Hatalar saklayarak değil, bilgilendirerek çözülür.
Nightwalker
0
Nightwalker
>>Yapılanın ETiK (ETHICAL) olmadığı ortada. Public
>>Disclosure''''un ethical olarak bazı kuralları
>>vardır. Microsoft''''un açığı bulunduğunda bu önce
>>Microsoft''''a bildirilir, belirli bir sürede yama
>>çıkarması beklenir ve sonrasında duyurulur.
>>Bunu güvenlik işi ile uğraşan ve t$ gibi
>>bugtraq''''a post yapmış olan biri de bilir. Eğer
>>bunu söz konusu bankaya bildirip te cevap
>>alamadıysa o ayrı bir konu.



Tamer Şahin mesajında bu konuyu garanti bankasına 1 ay önceden ilettiğini belirtiyor. Bunu görmezden gelerek buraya yazı yazmanız ancak insanları aldatmaya yönelik bir tutumdur. Ayrıca İnsanlara çamur atıp izinin kalmasını beklemenizde çok eski ve klişe bir yöntemdir. Öte yandan benimde aklıma sizin 3000 dolarlık teklifi nereden bildiğiniz sorusu geliyor. Acaba tamer şahin e saldırarak güvenlik konusunda yaşadığı skandalı kapatmaya çalışan bir garanti bankası elemanı olabilir misiniz ?



anonim
0
anonim
sundance'in cevabında sorulara cevap olmadığı için tekrar post ediyorum, bir FM yetkilisi cevaplarsa sevinirim:

--------------
Peki, buraya şu bankaların şu makinalarında RDS açığı var, bilmemne gov.tr'da falanca açık var deyip detaylı olarak mesajları atılsa yayınlayacakmısınız? Sanırım teknik ve güvenlikle alakalı olduğu için ve kamu'dan gizlememek için yayınlayacaksınız ve bir ceh..com forumu daha oluşacak.

Yapılanın ETiK (ETHICAL) olmadığı ortada. Public Disclosure'un ethical olarak bazı kuralları vardır. Microsoft'un açığı bulunduğunda bu önce Microsoft'a bildirilir, belirli bir sürede yama çıkarması beklenir ve sonrasında duyurulur. Bunu güvenlik işi ile uğraşan ve t$ gibi bugtraq'a post yapmış olan biri de bilir. Eğer bunu söz konusu bankaya bildirip te cevap alamadıysa o ayrı bir konu.

Tabi bunu yapmak zorunda değilsiniz, ama sonuçlarını iyi hesaplamak lazım. T$'nin başının ağrıyacağına eminim.

Peki şimdi kamu bunu bildi, ne olacak. Diğer bankaların %100 güvenli sistemlerini mi kullanmaya geçecek? Diğer bankalarda açıklar yokmu? Onlar da mı burada açıklanmalı? Yoksa t$ garanti'den 3000 dolar istedi de vermediler mi? gibi sorular geliyor insanın aklına.

neyse,
--------------------

not: 3000 dolar mevzusu t$ nin gazete haberlerini takip edenler için bir espri idi. oyle bir olay yoktur heralde. :)
FZ
0
FZ
Ben bir banka ile ya da banka ile çalışan bir aracı kurumla iş yapan bir müşteri, bir son kullanıcı isem. Ya da ben bir devlet kurumu ile Internet üzerinden işlemler gerçekleştiren bir Internet kullanıcısı vatandaş isem ve sen de bir güvenlik uzmanı isen... Benim işlemlerimi geçekleştirdiğim kurumun, kuruluşun sisteminde bir açık var ise ve bu açıktan ötürü benim zarar görme potansiyelim var ise... Sen de bu açıktan teknik bir adam olarak haberdar isen ve beni bilgilendirebileceğin halde bilgilendirmiyorsan... Yani kamuyu bilgilendirmiyorsan... Yani kamunun tedbir almasını geciktiriyorsan...

Kimin ahlâkına göre davranıyor olursun?

Belki bu yazdıklarımın da cevap olmadığı iddia edilecektir. Soruya soru ile karşılık verdiğim söylenecektir.

Şimdilik burada bitiriyorum.

Ben isterim ki burada teknik tartışma yapılsın ve bu siteyi takip eden binlerce insan aydınlatılsın. Etik her daim önemlidir ve öyle kalacaktır ancak insanların değerli vakitlerini onları bilgilendirmek için harcasak daha faydalı bir iş yapmış oluruz diye düşünüyorum.

Tanrı aşkına biri bana Garanti´nin yazıda bahsi geçen durumla ilgili şu anda ne durumda olduğunu söyleyebilir mi acaba? Tek istedigim bu. Bilgi edinmek istiyorum, mümkünse yani.
ts
0
ts
Bahsettiginiz Ethical Hacking karsidaki kurumun istegi olmadan yapilan bir uygulama degildir. Dolayisiyla bu yayinlanan zayiflikta Ethical Hacking tanimina uymuyor.

Ayni zamanda olayin etik bolumune donecek olursak bu acik 1 ay onceden Garanti''ye bildirildi ve 1 ay boyunca beklenildi. Garanti''den soylenen Clientlarimizi bilgilendirmeye basladik, fakat bilemiyoruz bunu duzeltmek kendi insiyatiflerinde. Acik konusmak gerekirse bu acigi yayinlarsaniz Turkiye''de E-ticaret''in buyuk darbe alacagina inaniyoruz seklinde konustular. Burada Turkiye''de E-ticaret''in buyuk darbe alacagina inaniyoruz lafinin cevirisi ise Biz buyuk para kaybedecegiz.

Evet, kaybedecekler... Eger insanlarin paralarini emanet ettigi saygin bir kurum olduklarini o sunulan buyuk imaja uyduklarini dusunuyorlarsa, yanlis giden birseylerin aciga cikmasi icin kaybetmeyide ogrenecekler, ogrenmeliler.

Microsoft''un buldugum acigina gelince. ISA serverda bulunan o zayiflik icin Microsoft Security Response Team ile irtibata gectim ve kendileri patch cikaramayacaklarini windows kernel''ine kadar uzanan bir problem oldugunu ustu kapali belirttiler ve cok komik ama ISA server kullanilan yerlerde bu tarz saldirilar oldugundan Routerdan access list tanimlamak gerektigini onerdiler. Buna sadece ben degil GFI gibi ISA server''a komponent yazan dev bir yazilim firmasinin senior developerida kahkahalarla guldu. Her neyse sonucta kontak kuruldu belli bir sure beklendi ve acik yayinlandi.

Bu yayinlanan yazida advisory&makale karisimi bir yazidir ve bana kalirsa amacina ulasmistir. Eger sonunda bir bedel odenmesi gerekiyorsa kisa vadede bunun faturasi bana da cikacak olsa uzun vadede anlasilacaktir. En azindan belli bir kesimde yaygin su Ayibin ustunu ortmek mantalitesi unutulana kadar.
anonim
0
anonim
1 ay onceden bildirilmiş olmasının doğru olduğunu kabul ederek etik değil lafını geri alıyorum.

May the force be with you, you may need it.
sundance
0
sundance
Başka cevabını istediğiniz soru var mı Bay Anonim ?
anonim
0
anonim
garanti'ye 1 ay önce bildirilmiş olması durumu değiştiriyor. Garanti gibi güvenlige cok onem bir kurulusun bu olaya onlem almamasına pek inanamadım. Senin gibi bizde gezdik sistem odası, monitör bölümü, big blue'lar, robocop modeli backup aleti vs. ve guvenlik konusundaki zihniyetlerini bildigimden boyle bir olaya 1 ay icinde onlem almayacaklari hic aklima gelmedi.
Açiklar her zaman bulunacak, bunun sonu yok ama cozumlenmesi gerekiyor. konuyla ilgili olarak, Visa'nın 3D secure belki iyi bir cozum olacak.
http://international.visa.com/fb/paytech/secure/main.jsp

Diger bankalardaki aciklari t$ nin duyurmamış olması demek onlarda aciklar yok demek degil. Belki x25 aglari TIC net'de de aciklar vardir? :) yani bir GET'i POST yapmakla kamu kurtulmayacak. Ama belki de önemli bir adımdır. Uzun vadede görecegiz.

Son olarak:
Bir timsah ile bir ayı savaştığında kazananı belirleyen mekandır (su/kara)
teknik konuda bilgiliyiz ve olanları anlıyoruz ama işin hukuksal boyutu ally mcbeal'in bir bolumunu olusturabilir gibi geliyor.
malkocoglu
0
malkocoglu
Tam ortadan bolunmus bir halde bu tartismayi takip ettik; Galiba anonim (her kim ise) dogru bir tespit yapmis. Taa bilmemnereden kitap almak icin Turkiye'den e-ticaret yapiyoruz; Insallah birileri bu bilgiyi kotuye kullanmaz.

nigma
0
nigma
Burada bahsi gecen acik sebebiyle belki de bir cok kotu niyetli kurumlar(alışveriş siteleri ve ya bunların yöneticileri,
tasarımcıları kim bilir belki merakli güvenlik araştırmacıları) üzerlerimizden fayda sagliyor,
ve biz bunu bilemiyoruz.Kim bilir, belki de adınıza hic tanımadıgınız bir bankadan gelen kredi kartlarinin
sebebi de buydu,posta kutunuzda buldugunuz degisik urunlerin ama genelde alışveriş yaptıgınız ürünlerin reklam brosurlerinin sebebi de.

Gercek yasamın spami bu olsa gerek.

Bu size getirecegi zararlardan sadece birisi,bir düşünün siz gerçekte internet üzerinden ne kadar alışveriş yapıyorsunuz.
Ben şahsım adına çok yaptığımı söyleyebilirim ve korkmaya başladım.Benim için çok kıymetli olan mal varlığımın kredi olarak
harcamasını yaptıgım bir anahtar kabul edersem kredi kartını, kredimin anahtari neden başkasının ellerinde sorarım?

Tahmin ediyorum ki o veya bu bir şekilde boyle bir guvenlik açığı bulmuş olsun.
Eger Ben bulsaydım derhal Garanti ile gorusur ve duzeltilmesi için onlarla çalışırdım tabi eger onlar benimle çalışmak isterlerse.
İstemezlerse buna goz yummazdım açıkcası ve bunu duyururdum, duyururdum ki kredilerimizin anahtarları tehlikeye girmesin.
Kaldi ki guvenlik açığını bulan kişi de bunu yapmıştır.Yapacagından %100 den bir mikron dahi az eminsizligim yok.
şu anda emin olamıyorum sizleri ve bizleri neyin beklediginden,emin olabilmemi saglayacak bir aciklama da henuz gelmiş degil.
Gelmesini dort gozle bekliyorum.

Cok emin olamamakta ve cok eger demekteyim im.Tedirginligin baslangici bu olsa gerek.
ts
0
ts
Asagida Garanti Bankasi Eticaret Direktoru Savas Sakar''a gonderilen mail yer aliyor. Umarim kuskulari gidermek icin yeterli olur.

=============== SNIP ===============
Date: Wed, 5 Mar 2003 01:04:31 +0200
From: Tamer Sahin
X-Mailer: The Bat! (v1.62i) Personal
Reply-To: Tamer Sahin
Organization: http://www.securityoffice.net
X-Priority: 3 (Normal)
Message-ID:
To: SavasS@garanti.com.tr
Subject: Online Shopping
MIME-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit


-----BEGIN PGP SIGNED MESSAGE-----
Hash: MD5

Merhaba Savas Bey,

Online alisveris icin hazirladiginiz ve alisveris sitelere verdiginiz paycgi
scriptindeki bir guvenlik acigi ile ilgili bir sey kesfettim. Aslina
bakarsaniz konu ile ilgili turkce bir makale ve uluslararasi
yayinlayacagim guvenlik duyurusunuda hazirladim fakat henuz public
olarak yayinlamadim.

Once sizin fikrinizi almak istedim. Konu su. Sizin alisveris
sitelerine verdiginiz paycgi isimli cgi program kredi karti numarasi
ve diger kritik bilgileri herhangi bir sifreleme, encoding''den
gecirmeden iletiyor.

paycgi programina gonderilen degiskenler gizli degil ve degisken
isimlerinden kolayca anlasilabilecegi gibi kredi karti numaralari ve
diger kisisel bilgiler acik bir sekilde gonderiliyor. Bu bilgilerin
plain text olarak gonderilmesi demek tum kredi karti bilgilerinin
alisveris sitesinin log''larinda yer almasi demek.

- --------------------- ORNEK ----------------------
x.x.x.x - - [03/Mar/2003:14:35:35 +0200] GET /cgi-bin/paycgi?oid=&total=14160000&
cardno=54000000000003&expmonth=05&expyear=03&cv2=&aciklama=&firma=&email=&prodinfo
=ASAGLOBAL+-+HESABA+PARA+YATIRMA&userid=&phone=&Bname=Ahmet Mehmet&Baddr1=&Baddr2=&
Bcity=&Bzip=&Bcountry=&Sname=&Saddr1=&Saddr2=&Scity=&Szip=&Scountry= HTTP/1.0 200 67
- --------------------- ORNEK ----------------------

Dolayisiyla bu bilgilerin sunucuda yer almasi Internette verilen
kredi karti bilgilerinin kullanici ile banka arasinda sifrelenerek,
ucuncu bir kisi tarafindan ulasilmayacak sekilde gidip gelme,
saklanma tanimina ve gizlilige son derece ters dusuyor.

Bu sekilde goz attigim sistemlerde binlerce kredi karti bilgisiyle
karsilastim. Su ana kadar Garanti ve Akbank bu zayifliktan etkilenen
Payworks Payment Gateway payment uygulamasini kullaniyor.

Bu zayiflik sayesinde alisveris sitesinin tutuldugu sunucuya erisimi olan
herhangi bir kullanici (admin ya da root olmasi gerekmiyor) kredi
karti numaralarina web server loglarindan kolayca ulasabilir ve dahasi
sunucuya erisim saglamis bir hacker bu kartlari elde edebilir.

Bu konuda ne dusundugunuzu merak ettim.

Iyi Calismalar,

Tamer Sahin
http://www.securityoffice.net

-----BEGIN PGP SIGNATURE-----
Version: 2.6

iQEVAwUAPmUxB/pL5ibJRTtBAQHIEgf/cZ+7oXfrRJ5BBEuBr7mkvY0mHPVfVDO8
G4BFjMCG6+6EzmVdMF2wjrUV+jXHzQEb0t/d5i4sNV4L1t3RBN6cf6lexfD3Cpta
waqeq0mA20YdOEPV1pKEHAEcOBDWWaP3rXFMzR/sVV6K+CC2Dw19ohW/HLyXO9G5
Ur5iQAc+1RiSVqP0my9mGiBrEjSLVFv5q5rTIsYHDzB9y49a10rGto3acOsz2sxY
dD3S8SIvWUU/qbFTP6nXibeJykhuuA3KaUZPvMB9pInyS4I+f8gR+0E7IeJa/oSc
xSZLZFXlfb2W953OnbM9NVnuDn00axkblzyvUHa6Yscmk/z2tkThwg==
=2ibG
-----END PGP SIGNATURE-----
=============== SNIP ===============
crematorium
0
crematorium
Garanti Bankasi'na gerekli bildiri yapilmis olduguna gore yazinin burada olmasinda ve kamuya sunulmasinda hicbir sakinca yok belli ki! Garanti Banka'sindan beklenen sey gerekli teknik aciklamanin yapilmasi su anda! Kendi adima gercekten de merak icerisindeyim. Umarim en kisa zamanda gerekli aciklamayi yaparlar hatta aciklamayla kalmayip CGI'da ki gerekli duzeltme de tam anlamiyla yapilmis olur...
anonim
0
anonim
Merhaba, Adım Tanaydın Şirin, Nick'im HuzursuZ mail adresim webmaster@tarkanonline.net

garanti yetkililerinin tamer'i ne ile suçlayacaklarını merak ediyorum, sonuçta bu hata onların hatası, kullandıkları programları default ayarlarında bıraktıklarından oluşmuş birşey. eğer onlar tamer'i mahkemeye verir ve suçlarlarsa, bizde onları bizim kredi kartı numaralarımızı ellerinde tutuyo (ve hatta plain text bir dosyada) olmaktan dolayı suçlayamaz mıyız ? bunu düşünmeden, yardım almak yerine kendilerine daha güvenli hizmet versinler diye haber veren kişiyi suçlamanın mantığı nedir ?
sundance
0
sundance
Tanaydın Şirin ? Nerden hatırlıyorum bu ismi ?

HitNet ???

anonim
0
anonim
anlamı sunucuya erişimi olan herhangi biri, sistem yöneticisi ya da kötü niyetli bir hacker bu sunucuya erişim sağladığı takdirde tüm kredi kartı numaralarına ve kişisel bilgilere web sunucusunun log dosyalarindan ulaşabilir.

Peki bu get post'a cevrildikten sonra sisteme kötü niyetli bir hacker (yada sistem yöneticisi?) girip get'i tekrar post'a cevirirse?
anonim
0
anonim
SanalKart'lar bu tip tehlikelerden koruyabilir. Onları kullanmak daha mantıklı.
FZ
0
FZ
Son zamanların bu en `sıcak´ tartışması yüzünden FM sitesinin tepesindeki karlar bile eridi! ;-)

Yoksa havalar ısındı ondan mı?

Her neyse, önemli olan güvenli güvenli alışveriş yapalım :-P
sundance
0
sundance
Garanti Bankası, FM okurları ve Tames Şahin'e açık mektup!

Öncelikle herkesi sakin olmaya davet ediyorum.

Bir güvenlik açığı var (ya da yok, Garanti Bankası bizi bilgilendirse bu konuda daha rahat olacağız) bunla ilgili bir haber yapıldı.

Bu yanlış da olabilir, doğru da olabilir. Yanlışsa belirtirler, özür dileriz, doğru ise gerekeni yapıp düzeltirler, biz de kendimizi daha güvende hisseder onlara teşekkür ederiz.

Bahsedilen açık büyük gözüküyor, fakat burada başka bir problem var.

Bu dünya üstünde her gün olan bir şey, bizde 'Aman öcü geliyor, .gov.tr açığını da böyle yayınlayın kolaysa vs' gibi deve yapılıyor.

Niye ?

Çünkü bizim ülkemiz için bu tür olaylar nispeten yeni. Bütün dünyada bu açıklar yayınlanıyor ve iyi sistemlerde en kısa zamanda gideriliyor.

O yüzden bu mevzuyu Garanti Bankası vs. TŞ'e dönüştürmeyin. Veya Fazlamesai'yi bu haberden dolayı suçlamayın.

TŞ'e olan tavrımız konusunda bir şüphesi olanlar bir search etsinler bakalım Fazlamesai arşivini bakalım methiyeler mi görecekler, yoksa yergiler mi ?

Öte yandan bu haber kesinlikle önemli ve bundan kamuoyunu haberdar ettiği için kendisine teşekkür etmemiz lazım, hele ki bir ay önceden Garanti Bankasını uyarıp sonra bunu haber yapması da çok doğru.

Garanti Bankası'na gelince. Dediğim gibi sistem odalarını da yakından gördüm, onlarla bir müddet SUN konusunda çalışmalarda da bulundum. Ixir'den FTP şifresini deneyerek bulmaya çalışan bir adminin kırkbeş dakika içinde tespit edilip, uyarıldığına ve daha birçok açıdan güvenlik konusunda ne kadar hassas davrandıklarına da şahit oldum. Dahası ben de altı yıldır Garanti Bankası müşterisiyim ve verdikleri hizmetten ve desteklerinden bir kez bile şikayet etmedim. O yüzden gerekeni yapacaklarına inancım tam.

Ama sonuç olarak mesele şu, eğer biz bu işlerin profesyonelleriysek ne öcülerle, 'aman dikkat edin başınıza bela alıyorsunuzlarla' korkutulmaya ihtiyacımız yok.

Fazlamesai'nin gücünü de abartmanın alemi yok, herkese açık bir yer burası, isteyen anonim bile yorum gönderebilir, tekzipleri hiçbir zaman yayınlamamazlık ettiğimiz olmadı, yanlış bilgilendirildiğimiz, bir şeylere alet edildiğimiz durumlarda özür dileyip haberi yayından çekmesini de bildik.

Bu doğrultuda, sakin sakin işimizi yapalım. Bırakalım öcülerle işini gerektiği gibi beceremeyenler uğraşsın.

Saygılarımla
CronoS
0
CronoS
Bana suç biraz da merchant''''larda (alışveriş sitelerinde) gibi geliyor. T$ acigi Bankaya bildirmi$ 1 ay süre vermi$. Banka da merchant''''lara bildirip 1-2 ay süre vermi$ olabilir (varsayım). Eğer garanti bu durumu merchant''''lara bildirdiyse ve onlarda bunun gereğini yapmıyorlarsa onları da suçlamak lazım. Hele ki çözümü bu kadar basit olabilen bir konuda. Garanti burda yaptırımını kullanıp düzeltmeyenler ile e-ticaret yapmayabilir ama bunu nasıl denetleyecek. Bugün düzeltti öbür gün admin yine GET yaptı. Sonra? Durumu iyi anlayıp hemen banka''yı tek suçlu yapmamak lazım bence:

Burda açığı içeren bir yazılım var, Payworks. Açığı gidermeyen merchant''lar var, merchant''''ların bu açığı gidermesi için yaptırımda bulunmayan (varsayım) bir banka var. Ve kredi kartı bilgileri bir GET le POST arası el değiştirebilen kullanıcılar var. Sanırım internet''te alışverişte sadece SanalKart kullanımı en mantıklı olay şu an için.

Ertan Kurt

Olympos Security
http://www.olympos.org
anonim
0
anonim
Sanırım o CGI'yı yazanların memleketinde HASH, MD5, JavaScript filan icat edilmemiş henüz. Bu işin yolu bellidir. CGI Bankadan bir tür key alır, bu keyle girilen bilgilerin client üzerinde HASH'ını vs. çıkarıp bunu bankaya ve webservere yollar. Bu sayede webserverin sahibi filan hiç bir kimse (hemen hemen diyelim) bu bilgilere ulaşamaz.

İşte bir tıkla programcılık yaptıklarını sananlar.. Bunlar tamamda birde bunları adam sayıp iş yaptıran anlı şanlı bankalar.. Yuh demek geliyor içimden..

skoylu.. tembel FM'ci..
anonim
0
anonim
Sayın Tamer Şahin, alış veriş sitelerinin bunu düzeltip düzeltmediğini nasıl kontrol ediyorsun. Hepsine eposta atıp Garanti size GET i POST yapın dedimi ve sizde yaptınızmı? diyorsun yoksa hepsini girip kendinmi kontrol ediyorsun? Şu an bunun tüm alışveriş sitelerinde açık olduğunu nasıl konfirme ediyorsun? Yoksa sadece bir alışveriş sitesinin sonucuna göremi bunu duyurdun. Benim merak ettiğim bu.

selamlar
anonim
0
anonim
Tamer Sahin kimdir, kasi gözü neye benzer diye merak edenler icin, kendisinin internet ve güvenlik konusunda NTV ye verdigi bir röportajı
buradan izleyebilirsiniz. Dosya wmv formatındadır.
zoban
0
zoban
T$'in Garanti Bankasi'ndan, buldugu bu acik karsiliginda para isteyip istemedigini merak ediyorum.

Ve kendisine bir soru sormak istiyorum nacizane; Get/Post konusunda birseyler karalamak mumkun olabildigi gibi acaba restoranda kartı garsona verme konusunda da bir makale yazabilir miydi kendisi ayni
hassasiyet ve engin fikriyatiyla.

Eger GB'den para sizdirma sualininin cevabi evetse elbette
kimse restoran-garson duzleminde makale falan dokturmek istemez.. Biz de durumu anlayisla
karsilariz.
ts
0
ts
Eger gercekten iyi niyetle bu yaziyi yazdiysaniz.
Hayir aksine oyle bir makale hazirlamak isterim. Pos makinalarinin telefon hatlarina takilan Swapper'lar ve sonraki surecteki kredi karti numarasinin HEX olarak alinip diger kartlarin kullanilmasi ile ilgili bir makale yazmak isterim.

Yinede insan dusunmuyor degil onuda karalamaya yonelik ya da illegal olarak degerlendirip birileri hakkimda dava acmasin :)
ts
0
ts
Bu arada unutmadan. Para istemek gibi bir sey soz konusu dahi degildir. Yukarida paste ettigim mailin basinda da zaten yayinlayacagimi bastan belirtmisim. Tavrimda bir degisiklik olmamisti.
zoban
0
zoban
Ne Swapper'indan bahsediyorsun ustat.
Elindeki kart.
Onde ne yaziyor.. Credit Card Number
Valid Date.. Cevir arkayi..
Ne vaziyor CV kodu.
Al onu da.
Yaz kagida.
Gir nete.
Catir catir harca.
Swapper ve Hex kodu mu.
Yaz tabi sen bu konuda da bir makale.

Ama ben soruma cevap alamadim.
Garanti Bankasi'ndan para istedin mi istemedin mi?
ts
0
ts
Benim bahsettigim biraz daha farkli. Ben daha profesyonel olarak Rusya'da, belli ulkelerde adeta sektor haline gelmis swapperlarla yapilan cc fraud'u kastediyordum. Bahsettigim internetten harcanacak 100-200 $ degil platin, american express kartlarla 30.000 $'lara kadar harcama yapilarak calinan kucuk servetler.

Onceki mesajimda belirttigim gibi herhangi bir para talebim olmadi Garanti bankasindan.
zoban
0
zoban
E ben de Bambi Bufe'nin garsonundan bahsettigimi zannetmiyorum.
mos
0
mos
basit bi alisveriste bile (disbankti), kredi karti sahibi ile siparis veren'in adi , adresi v.s. uyusmuyorsa kart sahibini subeden arayip teyit istiyorlar.
basima geldi..
yani garson 'a kredi kartimi verirken pek paronoya yapmiyorum ben acikcasi :)
olacagi varsa olur yahu.. bu kadar tedirgin olacaksam teknolojinin guzelliklerinden yararlanmaktan cok panik modda gezerim.
acemi_
0
acemi_
Internet'ten alisveris yapan birisi olarak bu duyuruyu yapan Tamer Şahin''e ve duyuruyu yayinlayan FazlaMesai.net'e tesekkur ediyorum. Bu sayede, kisa surede gerekli onlemlerin alinacagina ve benzer hatalar yapmamak konusunda kuruluslarin daha dikkatli davranacagina eminim.

Asil konu hakkinda birseyler demek/onlem almak yerine, Tamer Sahin''in kisiligine saldiri yapanlarin tutumlarini ise rezilce buldugumu belirtmek isterim.
ts
0
ts
Sitebuilders mail listine gelen bir mesajdan,

From: Gorkem Tezcanli
To: SITE TEKNIK

Bugun Garanti Bankasi HAKLI MUSTERI HATTI tarafindan bu konu ile ilgili arandim. Cunku merak edip boyle bir seyin olabilirligi konusunda bilgi almak istedim. Bana verilen bilgi de konunun arastirildigi ve kisa zamanda gerekli
bilginin verilecegi ile ilgili bir konusma gecti. Ayrica kredi karti yerine SANAL KART kullanmam tavsiye edildi.

Adeta kelimeler kifayetsiz...
anonim
0
anonim
Ya adam hacker yada değil ,doğru yada yalancı ,Garanti bankası iyi yada değil tartışma sürer gider benim rahatsız olduğum bir iki şey var;

1.Bu adam ilk türk hackermış onada tamam güvenlik uzmanı onada tamam ama nedir bu reklam çabası bu basının ilgisi ,hackerlık nedir yaaa???Güzel bişey mi hadi herkes hacker olsun madem bişiyler biliyosun adam gibi işlere kullansana?

2.Garanti bankası bi açıklama yapmalı bazı şeyler insan hatası affeder gözden kaçar ama kredi kartı bilgileri gibi ciddi şeyler kaçmamalı tekrar tekrar gözden geçirilmeli diye düşünüyorum

3.Bu konu çok uzadı eğer ortada TS in bir yalanı varsa bu adama prim vermeye gerek yok ,eğer iş garantinin ihlaliysede bunu burda tartışmanın yeri yok sanırım herkes bundan sonra işini tam anlamıyla yapmayı öğrenecek

4.ÜLKEMİN İNSANI İKİ KELİME ÖĞRENEN HACKER,MÜHENDİS,UZMAN OLUYO seviyorum sizi yaaa :)

Yaşasın FM bi gerçek sen varsın
anonim
0
anonim
http://www.securityoffice.net/media/newspaper3.jpg bu ne rezillik ya dayanamadım sen kendini ne sanoyırsun ?
ts
0
ts
Gazeteciler, onlarin yalanlari, haber saptirmalari ve abartmalarini anlayanlar sanirim sitedeki bir takim haberleri daha iyi degerlendirecektir.

Bunun disindakiler hopeless, onlara extra bir aciklama yapmama gerek yok. Buyuyunce anlarlar sanirim neyin ne oldugunu.

Eger yapilanlari, uretilenleri begenmeyenler varsa daha iyisini yapar. Bende gurur duyarim, sapka cikartirim. Ama birileri hicbirsey yapmayip bir kosede oturup anlamadigi konularda ahkam kesiyorsa o kisi hakkinda daha fazla yorum yapip safligini bu derece ortaya cikartmamak lazim.
anonim
0
anonim
Gazeteciler, onlarin yalanlari, haber saptirmalari ve abartmalarini

diyorsun ama gururla koymuşsun sitene scan edip.
anonim
0
anonim
Tamer gibiler olmasaydı, bankalarda SSL nedir bilen kimse çıkmazdı malum ülkemizde. Sanırım tamer'in hacklediği banka olan Vakıfbank'tı, 'sitemize resminizi koyduk. Böylece ne müthiş güvenlik sağladık ama' diyen uyuz reklam. Sanki o siteyi ele geçiren orijinal siteden resmi almayı beceremeyecek falan filan.. İşte o güvenlik anlayışının devamı ve Garanti mevzusu..

anonim
0
anonim
Bir şeyler de ben ekleyeyim bari. Bahsi geçen paycgi programını kim yazıyor bilmiyorum, ama tahminimce Garanti Bankası yazmıyor, çünkü aynı programı ufak modifikasyonlarla başka bankalar da (tüm README''''lerine varana kadar aynı) SanalPos kullanıcılarına vermekteler.


Problem ise şu, siz hosting aldığınız yere SanalPOS da kurdurmuşsanız, ne yaparsanız yapın bir şekilde aynı yerden hizmet alan başka bir müşteri web server loglarına erişebilir. Log tutulması tamamen kapatılmamışsa her durumda böyle bir risk var. Program şu anda POST metodunu destekliyor mu bilemiyorum, ancak GET ile çalışma opsiyonunun bulunması bile bence bir eksikliktir. Bu bilinen bir şey ama belki bu konuşmaların da yapılması gerekiyordu. Bence bunların yanında paycgi programı webden input alacak şekilde değil, sadece aynı sistem üzerinde doğrudan çalıştırılabilecek şekilde düzenlenmelidir. Çünkü paycgi ile banka arası SSL Layer üzerinden iletişim kurmasına rağmen paycgi ile web programı arası http (aynı veya farklı makine) olabilmektedir.


Sonuç olarak bir takım problemlerin olabileceği görülüyor. Ancak bunu gören ve bu API''''lerle program yazan biri olarak senelerdir sanal kartımla hiç düşünmeden işlem yapmaya devam ediyorum. Buradaki güvenlik problemi, günlük hayatımızda kredi kartımızı kullandığımızda karşı karşıya olduğumuz problemlere kıyaslanamayacak ölçüde küçük. Çözümü de oldukça basit, webserver''''ın loglarını kapatmak veya kısmak. Kişisel olarak hizmetlerinden oldukça memnun olduğum Garanti Bankası ve diğer bankalar README dosyalarına bu durumu da içeren bir not koyarlarsa yerinde olur.

Img 5856
0
conan
Hacker

Cracker

Hacker

Cracker

Hacker

Cracker

Simdi baska kulvarda kosun. Degis tonton!
s/hacker/cracker/buyaziveyorumlari
oktay
0
oktay
türkçe harflerimi denemek için yer lazımdı.. kusura bakmayın :)

üıöşğç
ÜİÖŞĞÇ

yihuuuuuu :PPP
anonim
0
anonim
Tamer sahine e lamer diyen komplexli zavallıların tamerin 100 de biri kadar türkiyedeki ağ güvenliği meselesine katkısı olmuşmdur bilmiyorum. Bildiğim birşey var sa aynı açığı alex one yayınlamış olsaydı hepinizin içinden vay be abi gavur buluyor yaklaşımı sergileyecek olmasıdır. Security focus da tamerin benim bildiğim 20 den fazla exploit research i publish edilmişken 2 tane foruma mesaj atmaktan ve apacheyi zar zor kurmaktan başka bir faliyeti olmayan moronların Tamere bok atayım da kredi sahibi olayım gibi yaklaşımlar sergilemesi sadece super ethical oluyor sanırım.

Saygılar.

Korhan Kaya
anonim
0
anonim
işte bu...
eline sağlık hocam.
bencede sorun burdan kaynaklanıyo.
açığı bulanın bir gavur değilde bir türk olmasını hazmedemiyenler var.hani ne bilirse ne yaparsa gavur yapar misali.adamlar henüz bunu kaldıracak seviyeye gelememişler.
neyse zamanla bununu da öğrenecekler.
teşekkür ediceklerine ha bire ..ok atıyolar.
Allahın işi işte şu adamların kartnoları bu açık yüzünden çalınsa acaba yine böyle konuşurlarmıydı??
teşekkürler tş
çalışmalarınızda başarılar
anonim
0
anonim
Türklük sana ve TS gibi Lamelere kalmaz merak etme, bugün Orhun kitabeleri tekrar yazılırsa da orada TS nin adının yazılacağını da hiç mi hiç sanmıyorum.
lazarus
0
lazarus
Agis de insan mı sömürdüm yoksa sömürülen benmiydim onu agis çalışanları çok iyi biliyorlar. Oradaki herkez az yada çok zarar gördüyse ben onlardan çok daha fazlasını çok daha ağır şekillerde gördüm. Keşke orada ticari bir değer üretebilseydik bundan herkez faydalanabilirdi ama o da olmadı. Şirket maaşlarını ödeyemedi ve kapandı kapanırken de eski elemanlarına kullandıkları makinaları verdi.

O insanları oraya toplayıp türkiyede network security vendor u olmak gibi hayalden yola çıkıp anonim şirket kurup binlerce dolara para bulup herkezin yapabilecegi birşey olsa keşke..

Nirvana konusuna gelince eger nirvanayı tanıyorsan aç telefonu sor aggressor un sorsunu korhan sendenmi aldı diye. Ben o programı internetsiz bir makinada saatlerce rfc okuyarak yaptım. Bunu nirvana da iyi bilir beni tanıyan herkezde.. Ayrıca sourceları nirvanadan aldı diye şark mantiğiyla bir bok atmak çok komik . nirvana linux socket emulation yapmış olsaydı bunu benden çok daha önce release ederdi. Bok atmayı bile beceremiyorsunuz..

Olayları bilmeden cahilce yada bilerek anonymous şekilde bok atmak kolay.

Meyve veren ağaçların taşlandığını hele hele türkiyede ağaçtan çok taş atan olduğunu hepimiz çok iyi yaşıyor ve biliyoruz. Keşke taş atan değilde meyve veren olsanız..

İş yapanlara çalışanlara bok atacağınıza dedikodu yapacağınıza sinerji ve teknoloji üretin .. iş yapın

Korhan Kaya
anonim
0
anonim
Tabi tamer'in super zekasina ve araştırma güdüsüne ne denebilirki, niye o zaman kendini bu konuda turkiye'de lanse etmekten başka bişi yapmıyor bu sahsi muhterem. Veya direkt adını kullanıyor ortalıkta. Para,san,sohret kadınlar????
anonim
0
anonim
yaw boyle yorum olur mu adam gelip anonim diye yazsa bu defa da niye anonim yazmis boyle adamlara itibar etmeyin diyecektiniz... Birakin su adamla ugrasmayi, gencken bir suc islemisse islemis birakin orada kalsin... Bu forumda onemli olan yazanin kim oldugu degil, yazilanin ne oldugudur, lutfen boyle luzumsuz yorumlarla ne kendinizin ne baskalarinin zamanini calmayiniz. Su anda onemli olan kone kesinlikle milyonlarca musterisi olan Turkiye'nin en buyuk bankalarindan birinin boyle bir hata isleyip islemedigidir, lutfen enerjinizi o yonde harcayiniz...
Tamer adli insanogluna gelince,tanimam etmem, benim yasim kadar bilgisayar kullanmisligi vardir belki, belki de hicbir sey bilmiyodur, ve bunun nesi onemli anlayabilmis degilim. Ne yani Bill Gates kadar bilgisayar bilmiyosunuz diye sizi de mi moronlukla suclayacagiz, olur mu boyle sacmalik. Adam biliyodur ve ya bilmiyordur bu kendi sorunu, eger luzumsuz yere reklamini yapan bir insansa bu size yine de ona hakaret etme, yok garantiden kac para istedin diye abuk sabuk sorular sorma hakki vermez, boyle bir durum varsa da muhataplar Garanti ile Tamer'dir, acikcasi sizi ilgilendirmez. Lutfen ozguryazilim. ozgurluk adina kurulmus boyle bir sitede insanlari suclayarak kendinize pay cikarmaya calismayin

Tesekkurler
StWarrior@FM
omniheurist
0
omniheurist
Ben de Bill Gates kadar bilgisayar bilmiyorum. Napacam simdi ya :((( Ya birisi benimle dalga gecerse !!!
anonim
0
anonim
Abuk subuk yorumlarını kendine sakla. Bill Gatesin de ne derecede bilgisayar biliminden anladığı ayrı bir konu olmakla birlikte, bu %100 Bill Gatesin kendini ilgilendirir. Bizim ilgilendiğimiz, TS gibi dallamaların ne derecede ARTIST olmaya çalışıp hackerlik adına kerameti kendinden menkul postları buraya gönderip reklam yapması. Gerçi TS i savunan yorumların TS tarafından anonymous olarak gönderildiğini de düşünmüyor değilim. Zira K.K ve birkaç eski tüfek lame dışında kimse bu dallamaya sahip çıkmaz biliyoruz. T.S, K.K ve diğer gücetapanlar dışındaki sadık FM cilere saygılar.
Legends may sleep but never dies
anonim
0
anonim
1. Bill Gates'in ne derecede bilgisayar biliminden anladigi tartisma konusu demissin, o kucuk gordugun adam universite 3ten ayrilip en azindan su anda dunya yazilim pazarinin ezici bir cogunlugunu elinde tutan microsoftu kuran, yanilmiyorsam su anda teknoloji gelistirme bolumunun basinda bulunan insandir, ben burada acik bir cekememezlik goruyorum. Zaten konumuz ne Bill Gates, ne de ben ona tapan bir insanim, dedigin gibi abuk sabuk yorumlarini kendine sakla...

2. Bizim ilgilendiğimiz, TS gibi dallamaların ne derecede ARTIST olmaya çalışıp hackerlik adına kerameti kendinden menkul postları buraya gönderip reklam yapması demissin, kulliyeten yalan burada ki akli basinda hicbir insan bir adamin gecmiste ne dolaplar cevirdigiyle, ne turlu bir mahlukat olduguyla ilgilenmiyor, tam tersi, GB gibi buyuk bir bankanin MILYONLARCA (DIKKATINI CEKERIM MILYONLARCA) musterisinin parasini tehlikeye atan bu hatayi nasil yaptigi KESINLIKLE burada tartisilmasi gereken konu...

3.Gerçi TS i savunan yorumların TS tarafından anonymous olarak gönderildiğini de düşünmüyor değilim demisin, yazinin altinda imzam var bir daha boyle sacma yorumlar yapmadan once cvp verecegin yaziyi iyi okumani tavsiye ederim. Cok merakliysan hic bir cekincem yok, gelirsin FM kanalina, ADAM GIBI ANLATIRSIN DERDINI, ADAM GIBI KONUSURUZ. Nickim St'dir, bu boyle biline.

4.Yazimi dikkatle okumayi becerebilseydin gorecegin uzere Tamer Sahin olacak adami hic bir sekilde savunmadim, zamaninda yaptigi bazi hatalari bile Sundance'den ogrenmis bir insan olarak boyle seyler yapmam da beklenemez mantiki acidan, var mi bir itirazin?

5. Su anonymous olayina gelince siz de adinizi saninizi ADAM GIBI yazinda Turk milleti adam gorsun...

Rahatsiz ettigim butum FMcilerden tekrar tekrar ozurler, saygilar...
St@FM
anonim
0
anonim
Korhan Kaya, Agressor'da somurdugun insanlarin parasini odedin mi sen ? Birak simdi burda etik muhabbeti kovalamayi. Ya da Agressor'den Seguard'a donusen su cekirdegini Nirvana'dan caldigin soylenen yazilim ne alemde. Publish ettin mi ortamlara ?

Sen de biliyorsun takim elbise giyip NTV'ye demec vermekle de adam olunmuyor.
lazarus
0
lazarus
Agis de insan mı sömürdüm yoksa sömürülen benmiydim onu agis çalışanları çok iyi biliyorlar. Oradaki herkez az yada çok zarar gördüyse ben onlardan çok daha fazlasını çok daha ağır şekillerde gördüm. Keşke orada ticari bir değer üretebilseydik bundan herkez faydalanabilirdi ama o da olmadı. Şirket maaşlarını ödeyemedi ve kapandı kapanırken de eski elemanlarına kullandıkları makinaları verdi.

O insanları oraya toplayıp türkiyede network security vendor u olmak gibi hayalden yola çıkıp anonim şirket kurup binlerce dolara para bulup herkezin yapabilecegi birşey olsa keşke..

Nirvana konusuna gelince eger nirvanayı tanıyorsan aç telefonu sor aggressor un sorsunu korhan sendenmi aldı diye. Ben o programı internetsiz bir makinada saatlerce rfc okuyarak yaptım. Bunu nirvana da iyi bilir beni tanıyan herkezde.. Ayrıca sourceları nirvanadan aldı diye şark mantiğiyla bir bok atmak çok komik . nirvana linux socket emulation yapmış olsaydı bunu benden çok daha önce release ederdi. Bok atmayı bile beceremiyorsunuz..

Olayları bilmeden cahilce yada bilerek anonymous şekilde bok atmak kolay.

Meyve veren ağaçların taşlandığını hele hele türkiyede ağaçtan çok taş atan olduğunu hepimiz çok iyi yaşıyor ve biliyoruz. Keşke taş atan değilde meyve veren olsanız..

İş yapanlara çalışanlara bok atacağınıza dedikodu yapacağınıza sinerji ve teknoloji üretin .. iş yapın

Korhan Kaya
anonim
0
anonim
Sana kisa ve oz birsey soliyim.
Uretkenlik hususunda elestirel olabilmek salt uretici olmakla mi kisitlidir burasini bilemem (tartismaya aciktir) ancak sunu soleyebilirim ki aya da gitseniz mars'a da gitseniz Korhan Kaya ve Tamer Sahin adlarini her halukarda antipatik bulacak insanlar olacaktir.

Adam olmak apayri bir nuanstir.
Ayirdedebilene askolsun.
anonim
0
anonim
Tamer'in devri zamanında bir lamer oldugunda hemfikirim. Ama artık hacker olabilmiş midir bilmiyorum. Çünkü onu pek tanımıyorum. Eğer harbi bir hacker olsaydı o devirde, paçayı kaptırmazdı...

Ama muhakkak ki, tecrübesi artıyor ve eğer gerçekten ilerliyorsa her şey olabilir. Cracker'de, hacker'de. Bu hesaba bakarsanız, zamanında AT&T'nin switch'ini loop'a sokup -istemeden- interneti çökertmiş olan bende bir zamanlar script-kiddie ve sonrasında da lamerdim.. Herkes bu aşamalardan geçer. Ama Tamer'e helal olsunki, yolunda emin adımlarla ilerliyor. Belki yolu düze, belki de batağa çıkıyor ama, her gün kendini biraz daha aşıyor.

Ama garip bir tepki var ortada. Benim script-kiddie bile diyemeyecegim zerzevatlar var, gelip bizim cafeye takılıyorlar. Ellerinde binlerce kredi kartı numarası varmış. Hatta bunlarla birbilerine kontör hediye ediyorlarmış.

Şimdi bir senaryo. Ben kötü niyetliyim. Ama kitap satabilirim. İnternet Üzerinden de. Eğer öyleyse, hacker'a filan ne ihtiyaç var ? Yani, webserverin sahibi gökten zembille mi indi ? Eğer siz böyle açık seçik loga yazarsanız... Dahası hiç bir sistem hacklenemez değil ki ? O kayıtların orada öylece duruyor olması nasıl bir gaflettir ki ?

Tamer ne diye bunları yazıyormuş ? Hırsızın hiç mi kabahati yok mevzusuna benzedi. İşte bilmem ne açığını açıklamak gerekiyor mu ? Bu tamamen bulan adama kalmış. Hiç bir elemanın böyle bir yaptırım altında olması gerekmiyor. Burası siberalem. Ne halt ettiğinizi bilmiyorsanız, kırarsınız kıçınızı, çıkmazsınız ortaya. Nasıl olsa benim eksiğimi gediğimi hackerlar bulur, bana söyler... Devam milleti söğüşlemeye.. İyi düzen vallaa...

Ha, siz ahlaken öyle uygun görürsünüz, bunu gizlersiniz. Bu ayrı konu. Bende öyle yapmanızı tavsiye ederim, ama öyle yapmıyorsanız da Ayıp etmişsin diyemem, demem.. O para kazanacak, ben veya Tamer veya bilmem kim onun testerliğini mi yapacak ? Kaldı ki, bundan kesesini dolduruyor. Olur, GPL bir şey olur, kamu malıdır deriz, omuz atarız. Ama bu işi becermesini bilmiyorsan, bana mı güvendin ?

Tamer bunları yazmamalı ? Pehhh.. Hatta Sundance bunu yayınlamamalıymış... Peh vede Pesss.. Niye ? Şimdi X otobüs firması, milleti rahat ettirmek için gece dağıttığı kolaya uyku ilacı katsa, Müşterim, motor uğultusu, teker sesi, ne yatan ne dik duran uyuz koltuğun işkencesi vs. içinde kıvranmasın, uyuyuversin dese, kimse çıkıp Yahu ne oluyoruz ? Ya bir tanesi bunu farkeder, ikramı içmez, sonra herkesi soyup ilk mola yerinde kirişi kırarsa ne olur ? diyemeyecek mi ? Aralarında bir fark var mı ?

Tamer yazmış. Sundance'da yayınlamış. Çok da iyi etmiş. Uyanın ey ahali demişler.. Siz gidip şuydu buydu diyorsunuz. Hackerlar veya diğerleri kimsenin ürününün bedava güvenlik gözeticisi değildir. Eğer adam gibi bir şey yapamıyorsanız gider kokoreççilik yaparsınız. Siberalem'de gezmek size kalmadı..

Tekrar söylüyorum. Ürününe, bilgisine, kendisine güvenmeyen bu aleme çıkmasın. Çıkarsada, adamın ipliğini böyle birileri pazara serince Vay, adi, sen şöylesin diyerek hiç debelenmesin. Burası siberalem... Alem buysa, raconuda bu..

skoylu... Tembel FM'ci..
FZ
0
FZ
Tembel üyemiz (Perl kültürünü bilenler bunun nasıl bir tembellik olduğunu da bilirler ;-) skoylu güzel bir yorum yazmış, buradan kendi adıma teşekkürü bir borç bilirim.

Bu arada küçük bir düzeltme, haberi yayınlayan sundance değil FZ idi.

(Kıskanç editör FZ :-P )
SHiBuMi
0
SHiBuMi
Buradaki tepki temelde olayın başkahrahmanının Tamer Şahin olmasından kaynaklanıyor. Bu arkadaşımızın hacker olarak nitelendirilmesi ve securityfocus gibi ortamlarda bulunması, Fatih Terim'in UEFA kupasını alması ya da Şenol Güneş'in dünya üçüncüsü olması gibi bir durum. Yani teoride 2.ligde bile takım çalıştırması sakıncalı birisi, Çin, Kosta Rika, Japonya, Senegal ve Güney Kore'yi yenip milli kahraman olabilir.

Evvelsi gün bir güvenlik firmasıyla yaptığım toplantıda, bir bankanın sistemlerinin güvenliği için çok ciddi yatırım yapmış olmasına rağmen, uygulama güvenliği konusuna önem vermediğinden dolayı sistemdeki parolaların rahatlıkla ele geçirilebildiği konuşuldu. Burada en zayıf halka problemi var, bu problemin kaynağı da bu firmaların güvenlik anlayışındaki sorundan kaynaklanıyor. Uygulama güvenliği konusu ise yalnızca bankaların değil, B2B ya da B2C yapan bütün firmaların ortak sorunu. Kısıtlı vakit ve bütçe ile gerçekleştirilmeye çalışılan uygulamalar, zamanında deliver edilebilse bile, taa sistemin başında düşünülmesi gereken güvenlik önlemleri, ya uygulama hayata geçtikten sonra uygulamaya monte edilmeye çalışıyor ya da gözardı edilip hiçbir zaman geliştirilmiyor.
anonim
0
anonim
sitebuilders'ı karıştırdığın yetmiyomuş gibi her gördüğün yere bu saçma mesajı yazmandan dolayı kendini iğreti insan yaptın Lamer Şahin.
web sitenin reklamını da her mesaj defalarca yazarak kurnazca reklam yaptın.
Aferin sana..
anonim
0
anonim
bu eleman oyle biriki burda anonim yazanların dışındakilerin kişisel bilgileriyle maillerini, icqlarını, websitelerini, bilgisaylarını kurcalamaya çalışacak kadar boş vakti ve kafası vardır. sanal muhabetlerde sana gıcık oldum, icqnu hackiiim de gör, mailini hackiim de bak noluyo gibi konuşmalar yapacak kadar Lamer bir tavır sergilemektedir. bu tarz örnekleri geçmişte mevcuttur herkes bilir. sanalda fason kaplan gücündeki arkadaşa, gerçek yaşamda başarılar diliyorum, gerçekten işi çok zor...
anonim
0
anonim
sözkonusu sorun var olsa bile ki yok. Adını veremeyecegim bir sitenin altyapısına yardım etmistim gayet zor asamalardan gecerek paralar yatırarak(teminat olarak) garanti vpos programını aldık java servlet ustunden direk bankaya iletiliyor numaralar ve alısveris yapanların harcadıgı para ve adresleri haric hicbirseye ulasamıyoruz.

cgi versiyonundan haberim yok ama sozkonusu hata olmasa bile herhangi biri guzel bir alısveris sitesi hazırlar olmayan malları satarak bilgileri vpos yerine local bir txt ye kaydeder ve kotu niyetini gerceklestirir burda suclanması gereken kisi yada kurulus garanti bankası deil guvenliginden emin olmadıgı siteden alısveris yapanlar ve siteyi hazırlayanlardır. Sonucta varmaya calıstıgım yer niyet kotu olduktan sonra en iyi onlemler dahi alınsa sorunun var olacagıdır ve bunun nedeninin banka deil insanlar oldugudur. Bankanın yapabilecegi tek sey itiraz edilen odemeleri sonuna kadar takip etmektir. Garantinin takip edip etmediğini bilmiyorum ve Bakın acıklarını buldum seklindeki zıplamaların amacını anlamıyorum biraz daha arastırılmalı bence boyle seyler.

DarkIce (meclisin dışından biri)
anonim
0
anonim
Yukarilarda da yazdik. Bu isler boyle olmaz. Hic bir zaman bu tur kritik bilgi boyle uluorta tasinmaz. Bu bilgi kredi karti sahibi ile banka arasinda kalmasi gereken bir sey.

Yapilacak isin basinda bilgilerin kendisini degil bunlarin dogru oldugunu teyit etmeye yetecek bilgilerin tasinmasi gelir. Ornegin, bir JavaScript ile bunlar birbirleriyle harmanlanabilir. Oyleki sadece o session icin gecerli olacak bir key'de buna eklenir mesela. Boylece de hash degerlerinin dahi bir sonraki oturumlar icin gecersiz olmasi saglanir.

Asil atladiginiz husus burasi. Ben gidip XYZ sitesini ele gecirdiysem, gelen POST'lari yakalamak da zor olmaz benim icin. o CGI'nin yerine ayakustu bir tane Man-In-the-Middle atmak zor degildir.

Bu bile aslinda sadece citleri biraz daha yukseltir, gene tam emniyet saglayamaz.

Sonucta, kendini programci,guvenlikci, hacker vs. sanan bir guruh var. Bu guruhun yedigi naneler bunlar sadece. Su fare tutmayi ogrenince kendini bilgisayarci sananlar gibi bir durum acikcasi. Sonucta format C: ile bol bol milletin canini yakmaktan ve parasini soguslemekten baska bir sey yapmayan munasebetsiz tayfa bence bunlar...

Bu is POST ile dahi yapilsa gene kabul edilebilir degil. Bankanin sitesi bile hacklendikten sonra..

Asil ahmaklik, bu CGI'lari kullananlarda yasaniyor. Bu bilgilerin sorumlulugunu neye guvenerek aliyorlar bilmem ki ?

skoylu.. Uyumaya bile usenen Tembel FM'ci...
roots
0
roots
Bu sistemin nasıl çalıştığını bilenlerin sanırım benim gibi bu safsatayı okur okumaz hass... gibi birşey olmuştur.

GET ve POST arasındaki fark bir kağıdın güneşe güneş gözlüğü ile bakmak ile güneş gözlüğü olmadan bakmak gibi basit birşey ve bu işlem bu teknolojinin standartı.

Garanti paycgi.c dosyasını azcık kafası çalışan birileri kurcalarsa ve sistemde size özel gelen .pem dosyasının ne oldugunu azcık anlıyabiliyorsa paycgi''ın sadece izin verilen site tarafından verilen izinler doğrultusunda çalıştırıldığını, SSLayer üzerinden garanti ile GÜVENLİK STANDARTLARInı kullanarak GET VE POST yada her ne olursa olsun iletişim kurduğunu görebilecek, göremesede bu kadar geniş kullanımı olan bir uygulamaya bok atmaya çalışmayacak kadar kafası calıstıgını dusunurum...

Bu arada direkt garanti e-ticaret''e yapılmış bir çamur olarak düşünüyorum. bu sistem ve çalışma şekli bir standart durumunda ve garanti dışında bi servisi(her nekadar garanti kalitesinde veremeselerde) sağlayan tüm bankalarda yapı olarak aynı tipte olduğunu bildiğim için söyliyebilirim...

ve olayı 1 deli bir kuyuya taş atmış 40 akıllı çıkartamamış meselesine çevirmeden konuyu kapatmayı öneririm...
ts
0
ts
Hala duruma algilayamamis, bunun bir acik olmadigini dusunen arkadaslar icin belirteyim. Garanti bugun tum vpos musterilerine mail atarak GET methodu kullanan vpos musterilerine verilen hizmetin kesilecegini belirtmis.

Asagida sitebuilders listesine Garanti''''den Berk bey''''in attigi mail yer aliyor, ilk paragrafi dahi okumak durumun kabullenildigini anlamak icin yeterli. Gerisi tamamen konuyla alakasiz olasiliklar ve karsilastirmalardan ibaret;

================== SNIP ====================
Return-Path:
Delivered-To: ts@securityoffice.net
Received: (qmail 25127 invoked from network); 24 Apr 2003 14:20:44 -0000
Received: from unknown (HELO sitebuilders.org) ([212.133.168.133]) (envelope-sender )
by 212.98.247.194 (qmail-ldap-1.03) with SMTP
for ; 24 Apr 2003 14:20:44 -0000
Received: from dmzexc9.garanti.com.tr [194.29.208.15] by sitebuilders.org with ESMTP
(SMTPD32-7.00) id AAAD4E30094; Thu, 24 Apr 2003 12:13:17 +0300
Received: from gnmexc1.fw.garanti.com.tr ([10.238.102.25]) by dmzexc9 with InterScan Messaging Security Suite; Thu, 24 Apr
2003 12:11:07 +0300
Received: from GNMEXCV11.fw.garanti.com.tr ([10.238.100.80]) by gnmexc1.fw.garanti.com.tr with Microsoft
SMTPSVC(5.0.2195.5329);
Thu, 24 Apr 2003 12:15:19 +0300
Return-Receipt-To: Berke Rahmi Baydu (Gr.Odeme.Sis.-AR-GE)
Subject: [Teknik] Turkiye''''''''de Online Alisveris Tehlikesi
MIME-Version: 1.0
Content-Type: text/plain;
charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable
Disposition-Notification-To: Berke Rahmi Baydu (Gr.Odeme.Sis.-AR-GE)
X-MIMEOLE: Produced By Microsoft Exchange V6.0.6375.0
Date: Thu, 24 Apr 2003 12:15:19 +0300
content-class: urn:content-classes:message
Message-ID:
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
Thread-Topic: Re[4]: [Sosyal] [Teknik] Turkiye''''''''de Online Alisveris Tehlikesi
Thread-Index: AcMJuGZaUNjIUN4cS/2igQCuNtKUsQAfjVdg
From: Berke Rahmi Baydu (Gr.Odeme.Sis.-AR-GE)
To:
Cc:
Return-Path: BerkeB@garanti.com.tr
X-OriginalArrivalTime: 24 Apr 2003 09:15:19.0271 (UTC) FILETIME=[06AE4770:01C30A42]
Precedence: bulk
Sender: teknik-owner@sitebuilders.org
Reply-To: teknik@sitebuilders.org

Merhaba,

Banka olarak hazirladigimiz cevap yazisi hazirlana dursun, ben size olayin teknik tarafini daha geç kalmadan açiklamak
istiyorum. Sorulariniz varsa yanitlayabilirim.

Makaledeki suçlamalara 2 ayri açidan bakarak itiraz ediyorum:
1. CGI''''''''in GET ile kullanilmasi konusu:
a - CGI programimiz hem GET hem de POST metodu ile gönderilen bilgileri almak üzere tasarlanmistir. GET metodu,
site üzerinde ayarlarin yapilmasi sirasinda debug için kullanilmasi için açik birakilmistir. 2002 yilina kadar, CGI ile
birlikte verdigimiz örnek html kodlarinda bu sebeple GET yöntemi kullaniliyordu. Ancak bu örnekler 2002 sonrasinda yanlis
anlamalar olabilecegi ihtimaline karsi bu örnekler POST metodu kullanir sekilde degistirildi.
b - Sunucu üzerinde yapilan bazi degisiklikler ile POST metodu ile gönderilen bilgilerin de loglanmasi mümkündür.
Bunun yaninda, bilgiler firma sunucusuna gönderildigi için, firma tarafindan bu bilgilerin kaydedilmesi her zaman ve her
sekilde mümkündür. Tüm ticari iliskiler (gerçek veya sanal) karsilikli güven iliskisine dayanir. Banka olarak firmalarin SSL
sertifikalarini dahi mümkün oldugunca kontrol edip, standat disinda olan veya sistemlerinde güvensizlik görülen firmalari
uyariyoruz. Tüm firmalarimiza kart bilgilerini depolamamalari ile ilgili bilgilendirme yapiyoruz. Müsteri''''''''den firma sitesine
gönderilen form içinde yer alan bilgilerin loglanabilir olmasi bankamizin yarattigi bir durum degil Internet''''''''in genel yapisi
geregidir.
c - Yukaridaki iki maddeyi birlikte göz önüne alarak, iddialar suna benzetilebilir. Silah üretip satan bir firma,
bu silah kullanilarak kaza sonucu veya bilerek islenen bir cinayetten sorumlu tutulamaz. Firma silah üzerine emniyet kilidi
koyarak elinden geleni yapmistir. Silah alan bir kisi, bu silah ile bir insana ates ettiginde öldürecegi bilgisine sahiptir.
Bu gibi bir cinayet sonrasinda Baretta marka tabancalar sahiplerini cinayet islemeye itiyor ve bu tabancalarin hepsi
cinayet islemek için kullaniliyor ifadesi kurulmasi ne kadar mümkündür?

2. Tüm Sanal POS kullanan firmalarimiz güvensiz olmasi konusu:
Su anda Sanal POS sistemimiz olarak Clear Commerce 3.5 yazilimini kullaniyoruz. Müsterilerimize sistemi alttaki
sekillerde kullanma imkani sagliyoruz :
a - Windows sistemler için DCOM
b - Windows sistemler için CGI
c - Unix Sistemler için CGI
d - Java API
e - Ortak Ödeme Sayfasi
Bunlar içinde en çok kullanilan yöntem Windows sistemler üzerinde kullanilan DCOM''''''''dur (yaklasik %98 oraninda) ve
bildiginiz gibi iddia edilen durum DCOM kullanan firmalar için geçerli degildir. Özellikle, ismini bildiginiz ve çok islem
yapilan sanal magazalarin hepsi Windows Componentini kullanmaktadir. Windows veya Unix sistemler üzerinde CGI kullanan firma
sayimiz ise çok azdir. Bu firmalarin siteleri üzerinde yaptigimiz incelemelerde POST metodunun kullanildigini gördük. Bu
konuda firmalarimiza ayrica bir bilgilendirme de yapmistik. Eger iddia edilen, gerçek bir açik olsaydi bile bundan etkilenen
sanal magaza sayisi 1 veya 2 olacakti.

Sonuç itibariyle :
- Sorun diye bahsedilen durum hatali kullanim sebebiyle olusmaktadir ve Garanti Bankasi''''''''ndan kaynaklanmamaktadir.
- Sanal magazalarin %0,5''''''''inde bile yasanmamaktadir
- Garanti Bankasi bu güne kadar, sektörü bilinçlendirmek ve islemlerin güvenligini saglamak adina her türlü yatirim
ve çalismayi yapmistir, yapmaya devam etmektedir ve ileride de yapacaktir.

Özel Not :
Bir güvenlik sitesinin SSL sertifikasinin ne kadar ciddi oldugundan o sitenin ve kisinin ciddiyeti konusunda bilgi
edinilebilir. Bir SSL sertifikasinda:
- Güvenilir bir kurumdan alinmis olmalidir.
- Son kullanma tarihi geçmemis olmalidir.
- Sertifika adi ile domain name uyusmalidir.
https://www.securityoffice.net ssl sertifikasini incelemenizi öneririm.

Iyi çalismalar,
===================================
Berke Rahmi Baydu
GARANTI e-Ticaret
E-ticaret Yardim Hatti : 444 0 333 /5
t : +90 (212) 318 15 75
w : http://eticaret.garanti.com.tr
w : http://www.garantialisveris.com
===================================
================== SNIP ====================

Bunun uzerine benim cevabim ve bu aciklamaya dair yorumum,

================== SNIP ====================
Return-Path:
Delivered-To: ts@securityoffice.net
Received: (qmail 2992 invoked from network); 24 Apr 2003 15:19:23 -0000
Received: from unknown (HELO sitebuilders.org) ([212.133.168.133]) (envelope-sender )
by 212.98.247.194 (qmail-ldap-1.03) with SMTP
for ; 24 Apr 2003 15:19:23 -0000
Received: from dunya.onar.com.tr [212.98.247.194] by sitebuilders.org with ESMTP
(SMTPD32-7.00) id AC2A763008A; Thu, 24 Apr 2003 18:00:58 +0300
Received: (qmail 690 invoked from network); 24 Apr 2003 15:03:02 -0000
Received: from unknown (HELO barbarian) (alper@[195.174.230.117]) (envelope-sender )
by 212.98.247.194 (qmail-ldap-1.03) with SMTP
for ; 24 Apr 2003 15:03:02 -0000
Date: Thu, 24 Apr 2003 21:01:13 +0300
From: Tamer Sahin
To: teknik@sitebuilders.org
Cc: sosyal@sitebuilders.org
Subject: Re: [Teknik] Turkiye''''''''de Online Alisveris Tehlikesi
Message-Id:
In-Reply-To:
References:
Organization: http://www.securityoffice.net
X-Mailer: Sylpheed version 0.8.11 (GTK+ 1.2.10; i386-redhat-linux-gnu)
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Precedence: bulk
Sender: teknik-owner@sitebuilders.org
Reply-To: teknik@sitebuilders.org


Sonuc olarak goruyoruzki Berke beyin asagidaki satirlarla belirttigi gibi boyle bir acik 2002 yilina kadar dagitilan vpos
scriptlerinde bulunuyormus,

=============== SNIP ===============
2002 yilina kadar, CGI ile birlikte verdigimiz örnek html kodlarinda bu sebeple GET yöntemi kullaniliyordu.
=============== SNIP ===============

Aslina bakarsaniz bana GB''''''''den Tunc bey tarafindan bana yapilan ilk aciklamada 2002 yili ortalari gibi bir zaman
zikredilmisti. Bu yuzden ben bu tarihi baz alarak konusuyorum. Bu acik 2002 ortasindan itibaren farkedildi ve ornek formda
POST ile degistirilerek dagitilmaya baslandi. Bu soylenenlerin hepsi makalede de yer aliyor. Bundan sonraki kisimlari
tamamen konuyla alakasiz atip tutmalardan, olasilik hesaplamalarindan ibaret. Biz burada merchant''''''''in yapabilecegi evil
aktivitelerden degil bu GET methodundan kaynaklanan zaafiyetten bahsediyoruz. Dolayisiyla GB''''''''nin aciklamasina gore bu acik
varmis ve su anda risk altinda olan belli merchant kitlesi var (tabiiki %0.5''''''''in altinda bir rakam degil bu cok daha fazla)
Bunlara yaklasik 2 ay once GB uyarildiginda haber verilmeye baslanmisti. Bundanda sitedeki yazida belirtiliyor.

Dolayisiyla sitedeki yazida belirtilmemis, belirtilmemis ya da yanlis aksettirilmis bir sey yok. Banka acigini kabul
ediyorsa ve bunu duzeltmek icin gerekli adimlari atmissa ne mutlu.

Serverdaki numaralari Server''''''''a giren bir hacker''''''''da ya da admin''''''''de kendisi loglayabilir vs. vs. gibi yorumlar var. Bu
yorumlar kismen dogrudur. Fakat her OS''''''''ta belli bir User Privilige vardir. Dolayisiyla normal bir kullanici ile admin''''''''in
access''''''''i olan dosyalar farklidir ve normal bir kullanicinin haklari bir administrator''''''''a gore cok daha kisitlidir. Fakat bu
durumda normal bir kullanici''''''''da sunucuya access''''''''i varsa log dosyalarina ulasarak kredi karti numaralarini gorebilir. Ya da
bir hosting hizmeti aliyorsa ufak bir ASP scriptiyle webserverdaki log dosyalarini administrator''''''''dan habersiz parse
edebilir. Yani burada bahsedilen tehdit tum kart numaralarinin guvensiz olarak loglanmasi ve bunlarin belli bir normal User
privilige dogrultusunda ulasilabilir oldugudur. Windows icinde gecerli olsa dahi windows komplike bir sekilde multi user
environment olmadigindan bunu *nix asina arkadaslar daha iyi anlayacaklardir.

Senaryolara gelecek olursak. Farzedelimki sunucuya bir Hacker erisim sagladi. Eger iyi bir sistem yoneticisi iseniz zaten
belli kisa bir sure sonra bunu farkedersiniz, kimi log ya da servislerdeki anormalliklerden ya da web sitesinde yapilacak
bir degisiklik yani bir defacement yuzunden. Bu durumda ugrayacaginiz zarar ya da diyelimki formdaki degistirilen POST
methodunun GET habersiz yapilmasi ya da ek bir scriptle kredi karti numaralarinin loglanmasinin verecegi zarar olabilir.
Peki dusunun bunlarin belli bir surec icerisinde loglanmasimi merchant''''''''a daha fazla zarar verdirir yoksa log dosyalarinda
binlerce kredi kartinin hazir durmasi ve bir Hacker''''''''in bunlari saniyeler icerisinde alip gitmesimi. Risk derecesini olcecek
olursak pek tabiiki bir yerde hazir duran bilgi bir surec icerisinde toplanacak bilgiden her zaman daha fazla, tatmin edici,
merchant acisindan ise bir o kadar daha zararli olacaktir.

Berke bey''''''''in aciklamasindaki ilk paragrafi okumak zaten durumu ve makelenin gercekligini ispatliyor. Geri kalanlar konuyla
alakasiz olasiliklar ve karsilastirmalardan ibaret.

Benim savundugum cozum ise. Su Payworks Payment Gatewayin merchant tarafinda calisan scriptlerinin revize edilmesi
yonunde. Cunku hala GET methodu scriptte yer aliyor ve yanlis hatirlamiyorsam 1995 ya da 1996 yillarinda development''''''''i
yapilmis ve bugun icin guncelligini ve guvenilirligini yitirmis bir yapiya sahip. En azindan README''''''''lerde bu tarz
zaafiyetlere karsi etkin uyarilar konulmasi dahi merchant''''''''lar icin faydali olacagina inaniyorum.

Umarim GB bu makaleden gereken dersi almistir ve guvenligin bir cok alanda ozellikle uygulama guvenliginin ne derece kritik
bir konu oldugunu kavramistir. Tabiiki daha bunlar buz daginin gorunen kismi emin olun daha kotuleri var ve sureklide
olacak. Fakat bu urunlere ve hizmetlere spesifik zayifliklar yurt disindaki gibi artik Turkiye''''''''de de aciklanacak. Etrafta
atip tutan caylaklar disinda tanidigin gercekten guru guvenlik uzerine calisan insanlar var. Umarim onlarda bu tarz
zaafiyetleri arastirip yayinlarlar boylece buyuk kurumlar tarafindan bu tarz kritik zaafiyetler ustu kapatilarak unutulmaya
birakilmaz. Bu konuda bir yol almamiz ancak dunyada oldugu gibi Turkiye''''''''de de bu konuda teknik elestiri iceren makaleler,
guvenlik duyurulari ile olacaktir.

Herkese iyi calismalar,

Tamer Sahin
http://www.securityoffice.net
================== SNIP ====================
sundance
0
sundance
Teşbihte hata olmaz, ama burda dev gibi bir hata var ne demek silah satan bir firma ? Kredi kartı işlemleri yapan bir banka nasıl olur da kendini silah satan bir firmaya benzetir, nasıl basit, temelden yanlış anlasılmış bir örnek bu.

Hani 'Düşünün, araba üreten bir firma, o araba ile birisi ezildiğinde suçlu kabul edilebilir mi ?' dense anlayacağım, makul bir benzetme olacak. Orda da şu geçerli, 1960'lı yıllarda üretilen dev amerikan arabalarında (daha sonra bizde uzun yıllar dolmuş olarak kullanıldılar) kaza anında güvenlikle ilgili korumalar sıfırdı. Öyle ki kaza sırasında torpido gözü kapağının çarpma ile açıldığı ve bu açılma sonunda çelik olan kapağın yan koltuktaki yolcuyu ikiye biçtiği tespit edildi. Kimse kapağı kilitli tutsunlar kardeşim, böyle bir risk var, ya da kaza yapmasınlar demedi. Bu dizayn hatası düzeltildi.

Olay bundan ibarettir, Garanti'nin GET ile yapılan istemleri kabul etmemesi bile bir aşamadır, (kapağı kaza anında açılmaz yapmak gibi (ama kapak hala çeliktendir). Gönül isterdi, o kadar konuşulan Fazlamesai'ye bu mail yollansa. Ama bu tür bir tepkiye de şükür.
lazarus
0
lazarus
Berke Bey demişki : Fazlamesai''nin Tamer Sahin adli arkadasa nasil itibar ettigini anlayamadim. Asagidaki mail, yukardaki yazi ve sahis hakkinda bilgi verecektir.


Sonrada bir suru kisi yazmis cizmis zaten iş yapanlar birbirlerini biliyor taniyor Olay da ortada bu gune kadar ortada olmayan tek şey Berke Beyin cevap niteliğinde yazacagı makale .. Cidden nerede kaldi o makale :) Tameri elestirenlerin hic birinin onu tanidigini yeteneklerinden ve bilgisinden haberdar olmadıgını bildigimden yazilan salakca yorumlara bir sey demiyorum .. Meyva veren agacı en cok bu memlekette taşlarlar .. Eleştiren kişiler önce referanslarını versinler sonra eleştirsinler ..
referansi olmayan bi bok iş yapmamış kişiler nedense böyle meselelere maydanoz olmaya bayılırlar ..
Neyse ..
Ben garanti nin cevap olarak yayinlayacagı makaleyi merak ediyorum .. Lamer Sahin falan diye takilan arkadaslarada bol bol okumalarini calismalarini kendilerini zihinsel olarak gelistirmelerini tavsiye ediyorum :) Hatta kafalarina takilan bir mesele olursa Tamere danissinlar Tamer onlara yardimci olur Tamer iyi bir adamdır diyorum .. Bilmem anlatabildimmi :))

Saygilar
İsmail ÖZTÜRK
nitrium
0
nitrium
Dunyanin her tarafinda oldugu gibi Turkiye'de de ozellikle alisveris sistemlerinde insanlarin kullanima karsi bir tereddutleri oldugu kesin. Bunun olmasinin sebebinin de hala alisamamazlikdir buyuk bir olcude. Bir diger faktor de guvenligin ne kadar saglandigi konusundaki guvensizlik.

Halbuki gerek online alisveris sistemlerini kullanan siteler olsun gerek de
bu sitelerin odeme sistemlerini saglayan bankalar insanlari bu odemeye tesvik etmek icin ellerinden gelen herseyi yapiyorlar. Bunun amaci bir nevi insanlari bu sistemleri kullanmaya alistirmak bunun sonucunda da daha fazla alisveris ve kazanc. Tabi ki insanlarin bu kadar tereddutle yaklastigi bir ortamda boyle bir guvenlik ile ilgili problem insanlarin tereddutlerini percinleyecegi icin gerek bankalar gerek de siteler bu problematik sistemlerin aciklarini sergileyen insanlara buyuk tepki gosteriyorlar. Bunu cok normal karsiliyorum cunku boyle bir bilgilendirme cok fazla musteri ve para kaciracagindan bankalar ciddi bir sekilde karalama kampanyasi icine giriyorlar. Fakat unuttuklari ya da gormezden geldikleri bir nokta da sudur;
Eger mukemmeliyeti ariyorsaniz bu tur problemler sizin icin gelisme taslari olacaktir. Bu aciklarin yayinlamamis olmasi ve kotu niyetlerin bunu sessiz sedasiz kullanmasi acaba daha cok mu islerine geliyor?...

Arti bazi kavramlarin ne oldugunu bilmeyen insanlar full-disclosure ugruna bir caba gosteren - en kotu ihtimal gercek biseyleri ortaya koyan - insanlara haksiz elestiri yaparak ne kadar tatmin ve mutlu oluyorlar o da kafa karistirici bir konu ayriyetten tabi ki...
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Code Red 2 (Yepyeni bir worm)
conan
6 Ağustos 2001, 2 dakika okuma süresi

Evet yeni code red Agustos 4'te başgösterdi. Yapılan açıklamalara göre bu worm daha agresif ve tamamen baştan yazılmış bir worm. Bulaşma yöntemleri farklı olsa da hedef işletim sistemi aynı. Microsoft Windows 2000. (Bu sefer NT ya da 9X değil. Çünkü kullandıkları bir assembly komutu sadece windows 2000 icin geçerliymiş) Unutmadan, bu versiyon yanında bir de trojan taşıyor ;) Gelelim yeni yaramaz kurtçuğun neler yaptığına, nasıl bulaştığına.

Ayın Klasiği: UNIX'in Mucidinden Güvenlik Üstüne Düşünceler
kemalguvenli
5 Şubat 2007, 1 dakika okuma süresi

Ken Thompson'un meşhur ACM ödül töreni konuşma metnini Türkçeye çevirdim.

Siz siz olun kendi yazmadığınız koda güvenmeyin!

Trusted Computing Hakkında Bir Sunum
sundance
16 Aralık 2005, 1 dakika okuma süresi

Uzun bir süredir bahsi geçen "Bilgisayarınıza bir chip takılacak, bu sayede yazılım üreticileri ve web siteleri başta olmak üzere herkes kim olduğunuzu bilecek ve güvende olacaksınız" şeklinde lanse edilen Trusted Computing hakkında inanılmaz bir sunuma rastladım.

RMS'in "Treacherous (Hileci) computing" diye yorumladığı TC, Microsoft, Intel, IBM, HP ve AMD'nin birarada yeraldığı nadir projelerden biri. İki ayrı kalitedeki (25MB/50Mb) sunumu izleyin ne demek istediğimi daha iyi anlayacaksınız. Ben şimdiye kadar daha iyi bir sunum izlemedim.
Daha detaylı bilgi için adres AgainstTCPA

Kişisel Firewall Sisteminiz Dışarı Çıkışları Kontrol Eder Mi?
FZ
13 Kasım 2001, 1 dakika okuma süresi

Internete uzun süreli bağlı olarak kalıp da ZoneAlarm, Tiny Personal Firewall, Sygate Personal Firewall, BlackICE gibi güvenlik yazılımı kullanmayanınız pek yoktur herhalde.

Gittikçe gelişen güvenlik metodolojileri kullanan bu yazılımlar sadece bilgisayarınıza giren (inbound) değil aynı zamanda bilgisayarınızdan çıkan verileri de (outbound) kontrol etmeye çalışıyorlar ki kişisel bilgileriniz, birtakım dosyalarınız, vs. sizin haberiniz olmadan birilerinin sistemine gönderilmesin.

PGP Yeniden Open Source oluyor mu ?
sundance
4 Temmuz 2002, 1 dakika okuma süresi

Newsforge`da yayınlanan habere göre PGP`nin yazarı Zimmerman, 1997 yılında PGP`i sattığı Networ Associates şirketine, PGP`i Open Source yapmaları ya da kendisine geri satmaları isteğiyle başvurmuş.

Zimmerman`ın isteğinin temel sebebi, önce Nasdaq Kasım 2000 krizi ile, sonra da 11 Eylul 2001 krizi ile vurulan Silicon Vadisi`nin girdiği kriz, ve dolayısıyla Network Associates`in PGP konusunda sürdürülebilir bir model ortaya koyamaması ve son olarak da PGP konusunda çalışan bütün mühendislerinin işine son vermesi.

Zimmerman`ın önerdiği modeller OpenSource ve şirket yapısının nasıl biraraya getirileceği konusunda ilginç açılımlar içeriyor...