2015 Nisan ARŞİVİ

BGA Blog yazıları

Sızma Testlerinde Kablosuz Ağlar Ve Atak Vektörleri – X
2015

Sızma Testlerinde Kablosuz Ağlar Ve Atak Vektörleri – X

AP/Router Üzerinde Çıkan Zafiyetler Access Point arabirimi, yazılımı (firmware) diğer birçok ağ cihazı gibi güvenlik zafiyetleri barındırabilirler. Bu zafiyetler ve öntanımlı hesaplar tüm kablosuz ağın güvenliğini tehlikeye atmaktadır. Aşağıda görüleceği üzere bu zafiyetler farklı markaya sahip cihazlarda çıkabilmektedir ve maalesef üreticilerden bu konuda gerekli güvenlik güncellemeleri gelmemektedir. Bu durum riskin büyüklüğünü artırmaktadır. Genellikle gömülü Linux türevi işletim sistemleri çalıştıran bu cihazlarda popüler işletim sistemlerinde ve uygulamalardaki gibi bellek taşması türevi zafiyetler görülebilir.…
Devamı
2015

Exploit Geliştiriciler için Endianness(Big/Little Endian) Kavramı

İstismar kodu geliştirmeye yeni başlayanlar için endianness meselesi genelde kafa karıştırıcı olabilmektedir. Devam eden satırlarda “İşlemcinin little endian veya big endian olması ne demektir?” ve “İstismar kodu geliştiricisi için ne değiştirir?” soruları cevaplanmıştır. Günümüzde kullandığımız bilgisayar mimarisinde bellekler her bir adreste bir birim (byte, word vb.) veri bulunacak şekilde tasarlanırlar. Tersten düşünülürse her bir birim veriye bir adres verilir. Aktif olarak kullandığımız ve yazının devamında kastedilen belleklerde bu birim byte’tır. Bu yapı…
Devamı
OCR ile captcha güvenlik önleminin atlatılması
2015

OCR ile captcha güvenlik önleminin atlatılması

Başlıklar OCR ve Tesseract nedir? Linux dağıtımı üzerine tesseract kurulumu Tesseract ile örnek bir resmin metine çevrilmesi Captcha ve oturum(session) yönetimi Örnek uygulamada captchanın atlatılması Yazıda kullanılan materyaller : https://github.com/tnsk/captcha_bypass/ [+] OCR nedir ? Türkçe’ye Optik Karakter Tanıma olarak çevirilen OCR, İngilizce "Optical Character Recognition" ifadesinin kısaltmasıdır. Kısaca açıklamak gerekirse herhangi bir belgenin elektronik ortamda taranıp istenilen dosya şekline getirilmesi görevini görmektedir. Tarayıcı(scanner) cihazları, akıllı telefonlar vb. cihazlar aynı mantık ile çalışmaktadır.…
Devamı
Android Uygulamalarda Güvensiz Veri Depolama – M2
2015

Android Uygulamalarda Güvensiz Veri Depolama – M2

Android işletim sistemi uygulamalara istedikleri verileri depolayabilmeleri için izole edilmiş bir alan tahsis eder, buna Internal Storage denir. Uygulama kullanıcı adı ve şifre gibi hassas verileri saklamak istediğinde Internal Storage bu işlemin gerçekleşebileceği yerdir. Android sandbox bir uygulamanın internal storage alanına diğer uygulamaların erişebilmesini engeller. Birçok geliştirici hassas verileri herhangi bir şifreleme işleminden geçirmeden internal stroage üzerinden saklamayı tercih eder. Kullanıcı adları, yetkilendirme şifreleri ya da tokenları, çerezler, lokasyon bilgisi, kalıcı uygulama…
Devamı
2015

BGA SOME/CSIRT Ekibi TI Akreditasyonunu Tamamladı

BGA Bilgi Güvenliği bünyesinde 2014 yılında Candan BÖLÜKBAŞ liderliğinde kurulan SOME/CSIRT  ekibimiz gerekli tüm çalışmaları ve referans isterlerini tamamlayarak  15 Nisan 2015 tarihi itibariyle TI(Trusted Introducer) tarafından akredite edilmiştir. Bu çalışmayla birlikte BGA SOME/CSIRT ekibi Türkiye'deki akredite ilk özel SOME/CSIRT olma özelliğine sahip olmuştur.  BGA olarak son 3 yılda bilgi güvenliği konusunda hizmet verdiğimiz tüm kurumlara temel SOME/CSIRT hizmetlerini 2015 yılı sonuna kadar ücretsiz olarak sunacağız. Akreditasyon detaylarına https://www.trusted-introducer.org/directory/teams/bga-csirt.html adresinden erişim sağlanabilir.
Devamı
2015

Mobil Uygulama Güvenlik Denetimi Eğitimi – İSTANBUL

Eğitim AçıklamasıMobil sistemlerin gündelik yaşantıda hızlı bir şekilde yerini alması, kurumsal firmaların iş yapış şekillerinde köklü değişimi de beraberinde getirmiştir. Şirket çalışanlarının mobil sistemler üzerinden iş süreçlerini yönetme çabaları kurumsal sistem güvenliği anlamında uygulama geliştiriciler için bir tehdit unsuru oluşturmaktadır. Kurumların geliştirdiği mobil uygulamalar ve kurum çalışanlarının sistemlerine kurdukları mobil uygulamalar ciddi riskleri de beraberinde getirmektedir.Bu ihtiyaçlara yönelik olarak hazırlanan "Mobil Uygulama Güvenlik Denetimi" eğitiminde mobil sistemlere yönelik güncel tehditler ve bu…
Devamı
2015

BGA Bilişim Güvenliği Staj Okulu 2015 Sonuçları

Bilgi Güvenliği AKADEMİSİ yaz staj dönemi için yaptığımız değerlendirme çalışmaları tamamladık. Bu yıl diğer yıllara oranla daha fazla başvuru olması ve başvuruların herbirinin birbirinden değerli olması nedeniyle staja kabul edilecek öğrenciler konusunda yapılan değerlendirme çalışması uzun sürmüştür. Başvuran herkese teşekkür ediyoruz. Toplam 190 başvuru içerisinden  8 öğrenci BGA Bilişim Güvenliği Staj okulu için seçilmiştir.  Staj değerlendirmelerinde bilişim güvenliği alanında yapılan çalışmalar, staj yapma isteğinin ifadesi, linux bilgisi ve referanslar ana kriterler olarak…
Devamı
Sızma Testlerinde Kablosuz Ağlar ve Atak Vektörleri – IX
2015

Sızma Testlerinde Kablosuz Ağlar ve Atak Vektörleri – IX

Captive Portal Güvenlik Testleri Captive portal uygulamalara yönelik yapılacak güvenlik testleri bir kaç gruba ayrılabilir. Web uygulaması üzerinde güvenlik zafiyeti araştırılması, Captive portal uygulamasına dahil olmadan internete çıkma çalışmaları, Sisteme kayıt olmuş bir kullanıcı bilgisini kullanarak internete çıkma: MAC adresi değiştirilerek, Son bir seçenek olarak captive portal uygulaması sahte AP yayını ile birleştirilebilir. Hedef kurumun captive portal için kullandığı bir sayfa kopyalanarak, sahte AP’ye bağlanan kullanıcılar bu sayfaya yönlendirilirler. İlk seçenek konu…
Devamı