+90 212 224 9004
info@lostar.com

Lostar Blog - Lostar Bilgi Güvenliği

Şirketler için Güvenlik Rehberi

Ağınızı yönetirken, uygulama geliştirirken hatta kağıt dosyaları bile organize ederken güvenlik hata kaldırmaz bir kavramdır. Güvenliğini düşünen şirketler seçimlerini hassas bilgilerine göre düzenler ve değerlendirirler. Veriye yönelik tehditler zamanla değişebilir fakat güvenliğin temelleri sabittir. Bilgisayarınızdaki ve dosyalarınızdaki kişisel bilgilerinizin ne olduğunu bilmeli ve yanlızca şirketiniz için ihtiyaç duyduklarınızı saklamalısınız. Ayrıca güvenlik vakalarına karşı kesinlikle bir plan oluşturmalısınız.

(more…)

Mobil Cihazlarda Güncelleme Neden Önemli?

Günümüzde, mobil cihaz kullanım oranı her geçen yıla göre hızla artmakta ve sağladıkları kolaylıklar dolayısıyla, iş dünyası başta olmak üzere hayatımızda önemli bir konuma sahip olmaya başladı. Bu artış ile birlikte mobil cihazlarda diğer popüler teknolojiler gibi saldırganların hedefi olmaya başladılar.

Symantec, yıllara ve işletim sistemlerine göre mobil güvenlik açıklarının oranını aşağıda ki gibi olduğunu geçtiğimiz nisan ayında yayınladığı yıllık İnternet Güvenlik Tehditleri Raporu’nda açıkladı.

(more…)

Power Shell (Saldırı – Savunma – Analiz)

PowerShell Nedir-Ne Amaçla Kullanılır?

Bildiğimiz üzere Microsoft bugüne kadar yayınladığı işletim sistemlerinde kolay kullanım için GUI yi ön planda tutuyordu. Microsoft Server ürünleriyle bir ihtiyaç ortaya çıktı. “Sistemin derinlerine inerek daha kararlı olan uygulamaları çalıştırmak.” Maalesef yaygın olarak bilinen adıyla CMD buna yeteri kadar çözüm sağlayamadı, destek olamadı.

(more…)

Siber Suç Türleri ve Terimleri

Siber suçlardaki artış kadar, siber suç türlerinde de artış yaşıyoruz. Geçmişten gelen siber suç türlerinin yanında, yeni türler ve bu saldırılar içinde yoğunlukla geçen terimleri açıklıyoruz:

(more…)

Oracle Sistemlerinde Açık Tespit ve Ödül Avcılığı Süreci

Bu yazı da, Oracle Ödül Avcılığı (bug bounty) programı kapsamında yaptığım çalışmada stored xss ve ssrf zafiyetlerini teknik detayları yer almaktadır. Tespit edilen açıklık ile örnek bir senaryoda kullanıcı bilgileri çalınabilir, sunucudaki dosyalar okunabilir ve cloudflare arkasındaki ip adresi öğrenilebilir sunucuda kod çalıştırılabilir idi.

Oracle zafiyet yönetim konusunda bulguları 3 aşamada inceler. Maksimum, orta ve düşük dereceli zafiyetler. Bu zafiyetler kritik yama güncellemesi (Critical Patch Update – CPU) adı altında tüm Oracle ürünleri için ayın 17’sine en yakın Salı günü ve Ocak, Nisan, Temmuz ve Ekim aylarında olmak üzere üç ayda bir yayımlanır. Gönderdiğimiz zafiyetler kritik düzeyde değerlendirildi ve Ekim ayında yayımlanacak olan kritik yama güncellemelerinde yer almasını sağladık.

(more…)

Karmaşık Hale Gelen Cross-Site Scripting (XSS) Zafiyeti

Giriş

Web uygulamalarında dünya genelinde birçok farklı türde zafiyet yer almaktadır. Bu zafiyetlerin arasında adı sıkça duyulan cross-site scripting (XSS) zafiyeti gelmektedir. Injection ailesine ait bir zafiyet türüdür. Zafiyet uygulama tarafından kullanıcı girdisine izin verilmesi sonucu ortaya çıkmaktadır. Bu nedenle genel olarak bir çok uygulama üzerinde görülmektedir. Kötüye kullanımı sonucunda zararlı javascript kodları entegre edilerek, son kullanıcı açısından bir saldırı mekanizmasına dönüştürülebilir. Son kullanıcı açısından fark edilmesi zor, sinsi bir zafiyet türüdür. Zafiyeti sömürme aşamasında ise zararlı javascript kodu son kullanıcı tarafından maruz kalınması sağlanır. Bu sayede en çok bilinen etkileri arasında kullanıcı yetkileri dahilinde işlem yapılmasına ve kullanıcı oturumunun ele geçirilmesi ile sonuçlanabilir. Bu tarz durumların önüne geçmek adına, geliştiriciler kullanıcıdan aldığı girdileri kontrol altına almalıdır.

(more…)

Kırmızı, Mavi ve Mor Takım Arasındaki Farklar

Kırmızı, Mavi ve Mor Takım Arasındaki Farklar

Bilgi Güvenliği sektöründe yeni trend Kırmızı,Mavi ve Mor takım kavramlarıyla ilgili bir karmaşıklık yaşanmaktadır.

Öncelikle tanımları inceliyecek olursak;

Kırmızı Takım/Red Team

Bir güvenlik testi uygulamasında, dışarıdan bir saldırganın muhtemel uygulayacağı davranışları ve teknikleri en gerçekçi şekilde taklit eder. Uygulama PenTest e benzer ancak aynı kapsamda ve tekniklerde değildir. Kırmızı takım bir veya birden fazla hedef seçer.

(more…)

Shadow Brokers Tarafından Yayınlanan “Araçlar”

The Shadow Brokers adlı grup , swift ağlarına yapılan atak detaylarının (http://lostar.com.tr/2017/04/nsa-swift-agina-ziyareti.html) yanı sıra Windows bilgisayarları kolayca istismar etmek için NSA tarafından yazılan/kullanılan araçları paylaştı. Bu paylaşımda en çok dikkat çeken FUZZBUNCH adındaki framework oldu. Bu framework altında kullanılabilen 20’den fazla exploit modülü bulunmakta. Modüller SMB protokolü üzerindeki güvenlik açıklarından yararlanarak hedef sisteme erişim sağlıyor. (more…)

NSA Hepimizi İzliyor

NSA?

NSA(National Security Agency) ABD` nin defansif ve ofansif güvenliğinden sorumlu devlet kurumudur.

NSA` in yaptığı illegal çalışmalar öncelerden beri dile getirilse de 2013 yılına kadar kanıtlanamamış veya sadece dedikodu olarak kalmıştır. 2013 yılında Edward Snowden adındaki eski NSA çalışanı NSA`in yürttüğü saldırgan politikalardan ve insan haklarının hiç sayıldığını fark ederek NSA`in üzerinde çalıştığı projeleri toplayıp ABD`yi terk etmiştir.

(more…)

NSA` in SWIFT Ağına Ziyareti

NSA’nun su yüzüne çıkmış yaptığı en karmaşık saldırılardan biri olarak nitelendirilen SWIFT ağına olan sızma çalışması genel adımlarını sıralarsak;
Cisco ASA güvenlik duvarlılarının bypass edip, Windows sunuculardaki 0day ler ile sömürüp Oracle veri tabanlarını kopyalaması olarak sıralanabilir.
Haziran 2010` da İran’ın nükleer zenginleştirme programını hedef alan stuxnet saldırısından bu yana yaptığı en büyük sızma işlerinden biri olarak gösterilen NSA(National Security Agency/Ulusal Güvenlik Ajansı)` nın SWIFT ağına sızması ve veri tabanını kopyaladığı shadow brokers` ın yayınladığı araçlar ve sunumlardan ortaya çıkmaktadır.

(more…)