Başbakanlık sitesi hacklenmiş - daha doğrusu tekrar hacklenmiş.
Daha önceden İstanbul' da bilişim suçları konferansında devlet sistemlerinin güvensizliğinden ve bir an önce ciddi standartlar getirilmesi gerektiğinden bahsetmiştim. İkinci konu daha önceden de bahsettiğim gibi acaba bu buz dağının görünen kısmı mı?
Yorumunu Ekle -
Yazıcı Versiyonu -
Yorumlar için RSS
Arkadaslar merhaba;
Gezinirken sayfaniza rastladim. Konu ve yazismalar ilgimi çekti, gurubunuzda duyarli insanlar var.
Bilisim Güvenligi Dernegi' ni kurduk,http://www.bilisimguvenligi.org.tr adresini ziyaret edin lütfen, iletisim kuralim, Dernek çatisi altinda toplanalim.
Faruk Kekevi
simdi devlet sitelerini koruyan bir çok yer var hatta ve hatta hack gruplari bile var ama hiç biri nedense koruma degilde gösteris yapiyor ben bu siteyi patlttim nasil ama gibi yazilar falan bumu devlet sitesi korumak bumudur yani.Ben ceh egitimi aldim bülent tigin den ve bazi konularda huzeyfe onal gibi üstadlarin ferruh gibi üstadlarin tutumlarina bakiyorum sessizce koruyorlarsa koruyorlar onlara kalmis ama bizim gençlerimiz biraz gövde gösterisine kaçiyor.Ben system engineer egitimini aldim ve cehde almak istedim ve onda aldim bir çok kisi ile tanistim sistem ve web güvenligi ile ugrasan kisileri çok duydum ama hepsi gösteris üzerine site patlatiyorlar çünkü öle yani bana gördünmü nasil patlattim gibi konusuyorlardi.Mesela ilk yargilanan hacker tamer sahinde var piyasada bu adamda ne is yaptigi belli degil gri hacker diyor kendine ,birde emir avci var buda beyaz hacker sertifikasini kapmis simdi bir çok firmada güvenlik danismanligi yapiyor ama geçmisine bakinca kendisi akici fm ve benzeri holdinglere zarar veren bir hacker yani simdi insanlar ilkden hacker olup kötü sekilde sonrada iyi sekilde güvenlik uzmanligimi yapiyor ben anlamis degilim.Ferruh bey mesela alaninda iyi biri peki bu kisilerde bilisim güvenlik uzmani bunlarin neden geçmisi karanlik degil.
Kanunlara gelince iyiniyetten dolayi birsey olmaz görüsündeyim. Tabi bunu hukukçular daha iyi bilir.
@TEAkolik
Ilk önce böyle bir durumun olmasi sonra ise bizimkilerin tedbir almalari gerekir. Ilk önce tedbir alinirsa olmaz yüzyillardir gelen gelenegimizi öldürmüs oluruz.
Karsidaki insanin kisiligi ön plana çikiyor senin yasadigin olayda. Eger insan herkezin hatasi olabilir bende hata yapmis olabilirim gibisinden bakiyorsa sana tesekkür eder ve yapamiyorsa bile bunu nasil yapabilirim diye sorar ama Ferruh'un da bahsettigi gibi kisier karsina çikarsa ki zaten çikmis anlasiliyor sana birde firça çekerler... Insanimiz böyle...
Kanunlara gelince iyiniyetten dolayi birsey olmaz görüsündeyim. Tabi bunu hukukçular daha iyi bilir.
Valla Ferruh'un söyledigi gibi ilk basta gönderme dedi ama gönderdim ne yapayim ya birisi bulurda sisteme dalarsa ? Hem hakkimda dava açarlarsa ben birsey yapmadim gibi seyleride kale almayacaklar.. Velhasil kelam açigi söylersen suç söylemezsen zaten sistem birileri tarafindan indirilecek büyük bir zarar sessiz kalirsan da elvermiyor bir tarafin...
Isin içinden çik çikabilirsen ...
Birde su dikkatimi çekti.. Ben açigi satis müdürüne gönderdim oda teknikçilere iletecegini söyledi. Direk teknikçiye göndermedim tabiki olaki ona gönderseydim birde gicik uyuz birisi olsaydi .... vs. vs. vs...
Yani asagisida suç yukarisida biyik ne yapacagiz bu durumda ? Türkiye'deki internet suçlari veya kanunlar acaba bu tip durumlarda insanlarin yaninda mi ?
Yoksa biz hiç sesimizi çikarmayalim itin biri gitsin darma duman etsin
devlet sistemlerinin özel sistemlere göre daha güvenli olmasi gerekir içerdigi bilgi ve stratejik öneminden dolayi tabi ama ben bi bankanin admin yolunu sadece 4-5 deneme sonrasinda bulmustum..komik ama gülemiyorum P:
Bir kac arkadas ticari/devlet yerlerinin isimlerini vermis bariz nedenlerden dolayi o yorumlari yayinlamiyorum.
Ikinci olarak bu konu son 2-3 senenin konusu degil bu yillardir suren bir donem, dolayisiyla bu iktidar o iktidar olayi degil hatta onunla belki hic alakasi bile yok. Kurumlar kendi islerini gormiyor, genel olarakta bir zorlama veya yaptirim yok. Bu durumda bizde Bilmemkinin telefonu 3 yildir dinleniyormus, vergi sisteminden herkesin mal varligini memurlar sorguluyormus gibi tuhaf durumlara dusuyoruz.
Webmaster mevzusuna gelince durum ondan biraz daha karisik. Kelimenin kendisi rezil bir kelime sahsen ben en az 6-7 senedir kullanmamaya calisiyorum, cunku bugunku web sitelerinde ekip genis yapilara dayali ve herkesin spesifik forevleri var. Webmaster genelde bir site hakkinda her halti yapan kisi olarak kullanilirdi ama sonuc olarak terimin onemi yok,, burada iki sey var :
Bir guvenlik acigi bildirmek teknik olarak suc olabilir. Mesela Teakolik' e de bana o mesaji gonderdiginde belirtmistim texti gonderme, sorun cikabilir diye. %95 cikmaz ama cikarsa teknik olarak adamlarin delili var ve benzeri olaylar daha onceden oldu. Mesela ingilterede bir kisinin basina tam olarak bu olay geldi ve kendisi acigini bildirdigi kurum tarafindan dava edildi ve suclu bulundu.
Ikinci onemli durum ise acigin kime bildirildigi :
Eger acigi teknik kisilere bildiriyorsaniz sorun cok buyuk cunku bu teknik kisinin kafasina patlayacak bir is ve genelde bu kisiler ben yapamazsam kimse yapamaz mantiginda olayi algiliyorlar. Mesela X yerinde SQL Injection var adam bakiyor eee ne olacak diyor, cunku kendi oranin exploit edilemez oldugunu dusunuyor. Dolayisiyla gozardi edebiliyorlar. Sizin de dediginiz gibi adam kendi database sifresini orada gorunce hmm belki de bunu duzelmeliyiz diye dusunmeye basliyor
Her kurumun bu konu icin kendi icerisinde bir politikasinin olmasi gerekiyor. Sadece devlet degil e-ticaret vb. sitelerin de. Artik Microsoft, Yahoo, Google vs. bunlarin hepsi bu tarz guvenlik konulari icin ozel e-mail adresi sunmakta ve gonderilen her bilgiyi degerlendirmekteler.
Webmaster terimine en güzel açiklama ek$i den geldi zamaninda (05.06.2000)http://sozluk.sourtimes.org/show.asp?id=185018
Bana sorarsaniz bizim hükümetimiz bu sekilde sadece türbana v.s ye taktigi zaman (ki takmasinda demiyorum. Halk için en yisi neyse o olsun) diger konular hep geride kaliyor. Basa gelen sahs-i zihniyetlerin bilisim konusunda hiç bir halttan anlamadiklarindan dolayi güzel ülkemizde bilisim ilerlemiyor. Ilerlemeyecekte. bu senin benim abamla olmaz. Basa siteye girmeyi bilenden daha ileri seviyede insan lazim. Aç Bilisim Bakanligini çagir Ferruh Mavituna'yi nahnuyu finarfin i tunayi bak nasil bilisim olayinda kisa sürede +10 yil ilerliyoruz. ama olmaz iste. O zamanda halk bilinçlenir.
Sadece devlet siteleri mi ?
Geçenlerde Ferruh'a bir text gönderdim. Bir firmanin login ekranindan copy paste sadece link üzerinde bir tane karakteri degistirdim ve ortaya çikan sonuç
DB ismi
DB kullanici
DB pasword
Ayrica diger serverleri ile baglanti bilgisi..
Adamlara gönderdim böyle böyle diye ama yine dinleyen yok. Taaki txt olarak dosyayi gönderinceye kadar... Tabi bu sefer isi ciddiye aldilar..
Anlatmak istedigim
ben seni hackledim demek ayridir ki kimse takmaz
ben seni hackledim al bu dbname al bu pass al bu connect ip al bu db içerinden bir bilgi..
Sanirim bizimkiler yani T.C dekiler delil olmadan kale almiyorlar.. Tabi deliline görede degisir..
Evet geçen bende bikaç siteyi uyardim ama tinlayan yok buna bi çözüm bulmaliyiz artik!
Dernek fikri güzel benimde aklima geldi ama bize destek olacak birileri olmali..
Mrb @ParadoXe Kardesim
Evt Sözlerine Katiliyorum Her Önüne Gelen Webmaster Oluyor.
Bir Sitenin Admin, Mod vs.. Olunca Hemen Webmaster Oluveriyorsun Hemen.
Halbuki; Webmaster Denilen Kavram Gerçekten Çok Genis Ve Kapsamli Bir Kavramdir.
Webmaster : Php,Asp,Asp.net,Java,Javascript,C,Vb,Mssql,Mysql Vb.. Aklima Gelmeye Bir Çok Programlama Dilinde Uzmanlik Derecesinde Bilgi Sahibi Olan Insandir.
Tabi bunu Anlat Anlatabilirsen (Türk Webmaster'a)
Selametle...
Yaklasik 7-8 sene kadardir web üzerinde uygulama gelistiriyorum. Su zamana kadar bir çok projede yer aldim. Inanin sitelerde okadar çok açiklar buluyorumki. Hatta basimdan geçen bisey var söyle anlatayim. Sql injection ile admin kullanici adi ve sifresini aldim. Sonra sitenin webmasterina mail attim. ( Inanin belki yolladigim 10. mailde cevap alabildim ) Dedim sitenizde söyle bir açiginiz var. Webmaster ne yapti dersiniz. Sadece Kullanici adi ve Sifresini Degistirmis.
Ben sahsen hack olayina merakli gençlerin web sitelerini tahrib etmelerini seviyorum. Çünkü her önüne gelen webmaster olmamali. Yada hazir bir script kuran ve iki üç ayarini ezberleyen biri webmasterim diye ortada gezinmemeli.
Artik internette özel biryer kaldigini zannetmiyorum. Örnek bir forum a kayit oluyorsun bir bakiyorsun o forum'un datebase ile baska bir forum kurulmus. Bu hack olayina gelince pek anlamam bu islerden ama 2002 veya 2003'de bir yazi okumustum herhalde chip dergisindeydi. Almanya, sistemlerinin çogunun bu tür saldirilara magruz kaldigi ve bilgi casusuluk nedeniyle linux sisteme geçmisti. Belki hatirlayan vardir.Topluluk olarakta önceden ferruh'un blog da degindigihttp://www.webguvenligi.org/ var benim bildigim.
Peki bu konuda atilan herhangi bir adim var mi? Dernek vs tarzinda?
Devletin sabit bir bilisim politikasi yok, bundan dolayi siz ne yaparsaniz açiklar gene olacaktir gerçi simdilerde bazi bakanliklarda yeni sistemler geliyor oracle tabanli ve artik win ürünlerinin kullanilmamasi gerektigi biraz anlasildi gibi. basbakanlik site degil tübitak sitesinin ana giris paneli bile açikta bu panele büyük bir bilgisayarin(bunu yapmak çokta zor degil) brute force saldirisi ne kadar dayanir o bile tartisilir. kirilmayacak kod kaynagi yoktur önemli olan bir politikanin bir yolun veya hedefin olmasidir bugun Abd bu ise okadar para veriyo ama FBI bile zamani gelince sistemelrinde açik bulan hackerlari yakalayamiyor. Not:zamaninda Karanet bile bundan nasibini aldi (askere gidenler bilir / BORDO
A.S. @ByGuard,
Kesinlikle haklisin bu konuda zaten daha onceden de yazmistim, bu da temel sorunlardan biri. Bir prosedur olmayinca ve guvenlik isi ciddiye alinmayinca boyle olaylar olur tabii ki. Takmayani oldugu gibi bunlarin cimkirani bile var.
S.a Ferruh Hocam
Ben Cyber-Security TIM'den ByGuard
Bir Çok Timlerimiz Ile Türk Sitelerinde Bulugumuz Açiklari Webmasterlara Bildiriyoruz Fakat Tinlayan Yok!!
Daha Sonra Siteleri Hacklenincede Sitemizi Sizmi Hacklediniz Diye Çikisiyorlar Yani Türk Webmaster veya Yöneticiler Çok Duyarsiz Davraniyorlar Ondan Sonra Hacklendimi Hacklendi Diyorlar Aslinda Hackleyenlerde Hakli be Kardesim Biz Ugrasip Sizi Uyaralim Siz Tinlamayin Olurmu Öyle Sey Tinlamayan Tabiki Cezasini Buluyor
Selametle...
Cyber-Security TIM // ByGuard
Bu kadrolasma sürerken, devlet internet sitelerimizi geçtim, intranette bile ciddi güvenlik açiklari devam edicektir. Yanlis hatirlamiyorsam ciddi paralar ile yabanci devletler tarafindan kurulan vatandaslik numara sistemimizde bile tekrarlanan veriler olusmustu.
Umarim yakin zamanda "bilisim güvenligi dernegi" tadinda özel girisimlerle güvenlik konusunda çalisan insanlarin birlik olmasi saglanir ve degisen dünyanin yeni soguk savas yöntemleri ile mücadele edilebilir.
Saygilarimla
Tüm yorumlar onaydan geçmektedir, bu işlem en uzun 30 dk. sürecektir. E-mail adresleri yeni yorumları bildirme harici hiç bir başka amaçla kullanılmamaktadır ve sitede gözükmemektedir.
Site genel olarak güvenlik, internet ve web teknolojileri üzerine yazdığım yazılardan oluşmaktadır. Sitede 2003 yılından bu yana yazılmış 1750' den fazla yazı bulunmaktadır.
Bunun yanında projeler de geliştirdiğim projeleri, ar-ge kısmında güvenlik araştırma dokümanlarıma ulaşabilir, programlar kısmından yazdığım yazılımları download edebilirsiniz. Site hakkında.
List of english articles, RSS or try this page.
Menüyü Gizle