Merhabalar
Saat 17.02 sularında ingiliz bir adimiz Emniyet müdürlüğüne ait olduğunu iddaa ettiği bir takım verileri sızdırdığı belirtildi dosyaları torrent aracılığı ile paylaştı
I have been asked to release the following files by ROR[RG], who is responsible for collecting them.
The material was taken from the EGM which is the Turkey National Police.
The source has had persistent access to various parts of the Turkish Government infrastructure for the past 2 years and
in light of various government abuses in the past few months, has decided to take action against corruption by releasing this.
As with everything I share, I do not make any claims for the data. However, please note you may require some knowledge
of databases to be able to properly extrapolate information from this data set. If anyone can make a more accessible
version for the less technically inclined, ping it over to me and I will add it here.
Çaldığını iddaa eden kardeşin atmış olduğu tweet
Another release, this time the EGM (Turkish National Police). Enjoy responsibly. https://t.co/ABiURM0rq2 pic.twitter.com/WLYNABqlkf
— TheCthulhu (@CthulhuSec) 15 Şubat 2016
Sistemden çaldığını iddaa ettikleri veriler yaklaşık olarak 2014 aralık ayında benim gözüme çarptı yaklaşık olarak 250 TL tutarında bir ücrete satılmakta idi 03.08.2015 17:25 Tarihinde ise internet ortamına forumlarda gözükmeye başladı bazı forum yönetimleri direk olarak konuları kaldırmış
Karşılaştırma yaparak ilerleyeceğiz elimizde forumdan edindiğimiz ve baya uzun zamandır internette olan dosyamız ve çaldığını iddaa eden bu arkadaşımızın verileri bulunuyor.Yer altının karanlık forumlarında özellikle deepweb tarafında leak edilmiş bir şekilde yandex ve dropbox hesaplarında private olarak saklanan bu veriye haliyle ulaşmamız kolay olmadı
Öncelikle belirtmek isterim ki bu veriler Mernis sistemine ait değildir tam olarak 2009 yılına isabet eden ve içerisinde 26 yaş üstü tüm herkesin datası kesin olmamakla birlikte bulunmaktadır.ve kesinlikle EGM den çalındığına dair bir belirti bulunmamaktadır.
Buda şu şekilde göstermek isterim
Toplam Kayıt sayısı : 46.859.466 Bu da demek oluyorki gerçekten 26 yaşından büyük kişilerin ölü veya diri olarak SQL dosyasında tutulduğu
Ancak dosyayı tekrar incelediğimizde kişilerin bu verileri öylesine kullanmasın diye özel bir String şifreleme fonksiyonu yazılmış. ve tüm veritabanı şifrelenmiş tablolar ve içerisindeki her bir kayıtda bu şekilde korunmuş
Her ne kadar verilerin okunması zorlaştırılmaya çalışsada bir takım tekrar eden verilere rastlamak ve tahmin yürütmek mümkün ancak verileri okuyabilmek için içinin karıştırılmış ve boş veriler ile doldurulmuş sorgu.exe nin tamamen reverse edilip algoritmasına ulaşılması gerekiyor.
Şifreleme algoritmasının bulunduğu yer
Bilgiler aynısı olsa bile ulaşmış olduğum ve underground forumlarda gezen dosyaların içeriğinde ise özenle hazırlanan bir setup dosyasından kalıntıları görmek mümkün ayrıca dosyanın lisansıda bulunuyor.Bu lisans dosyasını kullanarak lisanslama işlemi yapmadan asıl verilere ve dosyalara ulaşamıyorsunuz.
Ayrıca exe dosyası içerisinde 1 adet bind edilmiş exe gözükmekte exeyi okumam mümkün olmadı çünkü öncesinde ve sonrasında bazı işlemlerden geçirilmiş.Benim fark ettiğim exe ilk önce delphi obfuscate ile karıştırıldığı ki bu exe yi ilk yazanlar tarafından yapıldığı düşüncesindeyim ardındanda exe ne hikmetse dotfix uygulanarak kötücül olarak gözükmesi engellenmiş ancak comodo yakalamayı başarmış.
Ayrıca araştırmalarıma göre bu dataların vakti zamanında her ne kadar legalliğinden şüphe etsemde avukat ve barolara satıldığı iddaasıda forumlarda yapılmakta.Exe içerisindeki string değerlerde ise uygulamanın lisanslama aşamasında belirli bir ip adresi ile iletişim kurduğu ve bu ip adresininde 89.19.19.210 olduğu gözüküyor.
Ardından daha detaylı bir inceleme yaptığımızda bir hukuk yazılım firmasından bu uygulamanın çalındığını görmekteyiz uygulama içerisindeki string aramasında firmanın telefon numarası bulunmakta ve şaşırtma amaçlı koyulmamış gerçektende böyle bir firmaya ait olma olasılığıda açık.
Güncelleme 1 4 Nisan 2016 Saat 20:10: 3 Nisan Tarihinde İp adresi üzerinden yayın yapan bir web sitesi aracılığı ile yaklaşık olarak 49 milyon vatandaşımızın açık bir şekilde bilgileri yayınlanmıştır. Uygulanan şifrelemeyi kırmış ve karışık olan veri tabanını düzenlemişler oldukça özverili bir şekilde çalıştıklarını veri tabanını tamamen normalizasyon kurallarına göre yeniden şekillendirip uğraşmalarından anlayabiliyoruz.Normalde 17 GB olarak 2 Ay önce TheCthulhu tarafından sızdırıldığı iddaa edilmiş ve yayınlanmıştı biz de üstüne basa basa çalma veya sızdırılma olmadığı zaten bu verilerin internet ortamının yer altı dünyasında dolaştığından bahsetmiştik.Bu sefer yayınlayan arkadaşlar ise veriyi sadeleştirip vatandaşlarımızın tüm bilgilerini açık bir şekilde paylaşarak insanlarımızı tehlikeye atmış bulunmaktadır.Bilgiler EGM olayındaki verilerin aynısı olup en son 1991 yılına ait kayıtlar bulunmaktadır.SQL dosyasında her hangi bir virüs veya benzeri bir öğe bulunmamaktadır.
NOT: Daha detaylı bir analizi yapabilecek kadar malesef yeterli bilgi birikimine sahip değilim benden bu kadar.Hatamız olduysa affola…
Yardımlarından dolayı Furkan KALKAN ve Onur ASLAN ve diğer tüm arkadaşlarıma teşekkürler.
Gerçekten açıklayıcı bir makale olmuş, o kadar zaman sonra bu konuyu tekrar araştırmak istedim ve sizin sayfanız karşıma çıktı. İyi ki tıklamışım, sıkılmadan okudum vallahi 🙂