Web'te Hayatta Kalmak
Download as pptx, pdf2 likes193 views
İmparatorluğun Anahtarı, Maillerinizi Sadece Siz mi Okuyorsunuz? E-posta Adresimi Nereden Biliyorlar? Bilişim Güvenliği Günleri kapsamında Ziyahan ALBENİZ tarafından gerçekleştirilen sunum.
Web'te Hayatta Kalmak
- 3. ziyahan@netsparker: $ whoami ● Security Researcher ● Klavye Delikanlıları Güvenlik Podcasti (https://www.klavyedelikanlilari.com - @delikanliklavye) ● Email: ziyahan@netsparker.com ● Twitter: ziyaxanalbeniz ● LinkedIn : http://www.linkedin.com/in/ziyahanalbeniz ● PGP : 0xA6A34AFD / https://keybase.io/ziyahan
- 4. İmparatorluğun Anahtarı: Parolalar ● Tüm servislerde aynı parolayı mı kullanıyorsunuz? ● Parolanız kişisel bilgilerinizden mi oluşuyor? (Doğum tarihi, yaş, plaka, favoriler vb.) ● Son bir yıl içinde parola değişikliği yaptınız mı?
- 5. İmparatorluğun Anahtarı: Parolalar En az birine olumlu yanıt verdiyseniz, kötü haber! Muhtemelen siz de hacklendiniz!
- 6. İmparatorluğun Anahtarı: Parolalar ● Yahoo ● Linkedin ● Zomato ● Last.fm ● Myspace ● Adobe ● … ● .. ● .
- 7. İmparatorluğun Anahtarı: Parolalar Son yayınlanan ifşaat: 5 Aralık 2017'de yayınlandı (Son güncelleme 29 Kasım 2017) 41 GB
- 8. İmparatorluğun Anahtarı: Parolalar 1400553869 hesabın parola bilgisi.
- 9. İmparatorluğun Anahtarı: Parolalar 1.400.553.869 hesabın parola bilgisi.
- 10. İmparatorluğun Anahtarı: Parolalar Bir milyar dört yüz milyon elli üç bin hesabın parola bilgisi.
- 12. İmparatorluğun Anahtarı: Parolalar ● Password Reuse Attack
- 13. İmparatorluğun Anahtarı: Parolalar ● Parolanız yeterince güçlü mü?
- 14. İster Zengin Ol, İster Fukara...
- 15. İmparatorluğun Anahtarı: Parolalar ● Mark, birçok serviste aynı parolayı kullanıyordu. ● Linkedin ifşası ile parolası açığa çıkan Mark'ın, aynı parolaları kullandığı Twitter ve Pinterest hesapları da ele geçirildi. ● Parola, dadada gibi 25 saniye içerisinde kırılabilecek basit bir parola idi.
- 17. Çözüm: Password Manager & 2FA ● KeePassX, 1Password, etc. ● İki aşamalı doğrulama (2FA) ● Haveibeenpwned.com ● Leakedsource.com ● Hacked-emails.com Önerilen Kaynak: https://ssd.eff.org/en/module/how-use- keepassx
- 18. Maillerinizi sadece siz mi okuyorsunuz?
- 19. Maillerinizi sadece siz mi okuyorsunuz?
- 20. Maillerinizi sadece siz mi okuyorsunuz?
- 21. Maillerinizi sadece siz mi okuyorsunuz? http://variety.com/2017/digital/news/google-gmail-ads-emails-1202477321/
- 22. Çözüm? ● PGP Kullanmak ● Protonmail, TutaNotaMail, Riseup.net vb. Önerilen Kaynak: https://emailselfdefense.fsf.org/en/
- 23. E-posta adresimi Nereden Biliyorlar?! https://freedom-to-tinker.com/2017/09/28/i-never-signed-up-for-this-privacy-implications-of-email-tracking/
- 24. Nazar Değmesin!
- 25. Nazar Değmesin!
- 26. Yerin Kulağı Var! IP address, geo-location, telelefon numarası, Android ID, IMEI, MAC addresin gönderildiği tespit edildi. ● GSM'de kurulu olan bir uygulama, ultrasonik ses ile tetikleniyor. ● Sinyali alan mobil uygulama uzak sunucuya bir takım bilgiler (telefon numarası vb) gönderiyor. https://c3subtitles.de/talk/746/
- 27. Yerin Kulağı Var! ● TOR Network'ü dahi kullansanız, bağlandığınız sitelerden birinde arkaplanda çalan bir ultrasonik ses, kimliğinizin ifşa olmasını sağlayabilir.
- 28. Yerin Kulağı Var! ● Wikileaks'ın Vault 7 ifşaatında yer alan iddialara göre geliştirilen Weeping Angel kod sayesinde Samsung'a ait Smart TV modeli fake-off durmuna getirilerek, kapalı olduğu sanılan durumda dahi ortam dinlemesi yapabiliyor.
- 29. Dahası... - İzlemek için casus ekipmanlarına ihtiyaç yok. - Hoparlör ve mikrofonu olan basit bir cep telefonu sonar cihazı gibi kullanılabilir. - Washington Üniversitesi Paul G. Allen Bilgisayar Bilimleri ve Mühendislik okulu araştırma takımı, müzik kullanarak vücut hareketlerinin nasıl izlenebileceğine dair araştırmalarını tamamladı. http://musicattacks.cs.washington.edu/#songs
- 30. Çözüm? ● Mobil uygulamaların mikrofon izinleri kontrol edilebilir. ● Anonim gezinimler için kullanılan tarayıcılarda multimedya özellikleri devredışı bırakılabilir.
- 31. Batarya Durumunuz Sizi Ele Veriyor! ● Batarya Durumunu kontrol etmek izinler arasında yer almıyor. ● Farklı browserlardan yaptığınız ziyaretlerden batarya durumu korelasyonu ile kimliğiniz ifşa olabilir. ● Lokasyon tespiti yapılabilir. (%90 başarı oranı ile.) ● Uber örneğinde olduğu gibi daha fazla ücret ödemeye mahkum olabilirsiniz. https://thehackernews.com/2015/02/track-smartphone-location.html https://crypto.stanford.edu/powerspy/
- 32. Sensörlerdeki Tehlike ● Ortalama bir cep telefonu GPS, kamera, mikrofon, pedometer, NFC vb pek çok sensöre sahip. ● Uygulama ve web sitelerinin bu sensör kullanımlarının hepsi izne bağlı. Arama za- manları , fiziksel aktiviteler ve touch gibi pek çok dataya erişebiliyorlar. ● Bu sensörler yardımı ile 4 haneli bir şifre yüzde 74 kesinlikte ilk denemede bulundu. 5. denemede bu oran yüzde 100'e ulaştı. https://thehackernews.com/2017/04/phone-sensor-password-hacking.html
- 33. Web Cangılında Bubi Tuzakları - Clickjacking
- 34. Web Cangılında Bubi Tuzakları - Tab Nabbing Tıkladığınız bağlantılar, sizi bambaşka yerlere götürebilir.
- 35. Bir Siteyi Ziyaret Etmek Hayatınızı Mahvedebilir mi? Evet! https://www.alternet.org/civil-liberties/nsa-action-writers-house-raided-based-innocent-google-search
- 36. Bir Siteyi Ziyaret Etmek Hayatınızı Mahvedebilir mi? Evet!
- 38. Güvenli mi, güvensiz mi? HTTPS ● Bağlantı şifreli bir biçimde gönderilir. ● Gelen datanın trafik seyri boyunca, herhangi bir saldırgan kimseler tarafından değiştirilmemesini sağlayabilirsiniz. https://www.powersolution.com/ssl-what-it-means-how-it-works-whereused/
- 45. Çözüm? MAT: Metadata Anonymisation Toolkit vb programlar ile fotoğrafların içerisindeki EXIF dataları paylaşılmadan önce kaldırılabilir. https://mat.boum.org/
- 47. Stilometre: Tarzın Seni Yansıtır! ● Tekrarlanan noktalama/imla yanlışları. ● Kelime dağarcığı ● Bir rumuz arkasında olsanız dahi, sizi ifşa edebilir. ● Stilometre bu metodun adıdır. Çözüm olarak en sık kullanılan 200 kelime ile metinleri yazmak önerilmektedir. https://www.flashpoint-intel.com/blog/linguistic-analysis-wannacry-ransomware/
- 48. Stilometre: Tarzın Seni Yansıtır! ● Tekrarlanan noktalama/imla yanlışları. ● Kelime dağarcığı ● Bir rumuz arkasında olsanız dahi, sizi ifşa edebilir. ● Stilometre bu metodun adıdır. ● Una Bomber 'ın yakalnması. (MANHUNT) Çözüm olarak en sık kullanılan 200 kelime ile metinleri yazmak önerilmektedir. http://www.haksozhaber.net/fuatavni-kendi-kendini-desifre-etti-46564h.htm
- 49. Stilometre: Tarzın Seni Yansıtır! https://github.com/DavidJacobson/SafeText
- 50. Kişisel Verileri Koruyalım! Ama Nasıl? ● Eğer kişisel verilerinizi herkese açık şekilde paylaşırsanız; artık o kişisel veri olmaktan çıkar. Bundan sonra sosyal medyayı daha dikkatli kullanmakta fayda var
- 51. ADINT : Reklam İstihbaratı ● Mobil reklamlar, demografik özellikler, ● cihaz tipi ve lokasyon olarak daraltıla- biliyor. ● Yaklaşık 1.000 Dolarlık bir bütçe ile, mobil reklamlar kullanılarak adım adım izlenmeniz mümkün. ● Dini, siyasi ya da cinsel tercihlerinizi öğrenebiliyorlar. ● Washington Üniversitesi, 2017 Ekim https://adint.cs.washington.edu/
- 52. Placebo Buttons ● Input kutularını doldurmaya başladığınızda, submit butonuna basmamış bile olsanız datalarınız alınabiliyor. ● Browserların auto-fill özellikleri, password managerler, Session Replay Scriptleri https://gizmodo.com/before-you-hit-submit-this-company-has-already-logge-1795906081