İmparatorluğun Anahtarı, Maillerinizi Sadece Siz mi Okuyorsunuz? E-posta Adresimi Nereden Biliyorlar? Bilişim Güvenliği Günleri kapsamında Ziyahan ALBENİZ tarafından gerçekleştirilen sunum.

1. BİLİŞİM GÜVENLİĞİ GÜNLERİ
2018

2. Web'te
Hayatta
Kalmak

3. ziyahan@netsparker: $ whoami
● Security Researcher
● Klavye Delikanlıları Güvenlik Podcasti
(https://www.klavyedelikanlilari.com - @delikanliklavye)
● Email: ziyahan@netsparker.com
● Twitter: ziyaxanalbeniz
● LinkedIn : http://www.linkedin.com/in/ziyahanalbeniz
● PGP : 0xA6A34AFD / https://keybase.io/ziyahan

4. İmparatorluğun Anahtarı: Parolalar
● Tüm servislerde aynı parolayı mı kullanıyorsunuz?
● Parolanız kişisel bilgilerinizden mi oluşuyor? (Doğum tarihi,
yaş, plaka, favoriler vb.)
● Son bir yıl içinde parola değişikliği yaptınız mı?

5. İmparatorluğun Anahtarı: Parolalar
En az birine olumlu yanıt verdiyseniz, kötü haber!
Muhtemelen siz de hacklendiniz!

6. İmparatorluğun Anahtarı: Parolalar
● Yahoo
● Linkedin
● Zomato
● Last.fm
● Myspace
● Adobe
● …
● ..
● .

7. İmparatorluğun Anahtarı: Parolalar
Son yayınlanan ifşaat:
5 Aralık 2017'de yayınlandı (Son güncelleme 29 Kasım 2017)
41 GB

8. İmparatorluğun Anahtarı: Parolalar
1400553869 hesabın parola bilgisi.

9. İmparatorluğun Anahtarı: Parolalar
1.400.553.869 hesabın parola bilgisi.

10. İmparatorluğun Anahtarı: Parolalar
Bir milyar dört yüz milyon elli üç bin hesabın parola bilgisi.

11. İmparatorluğun Anahtarı: Parolalar

12. İmparatorluğun Anahtarı: Parolalar
● Password Reuse Attack

13. İmparatorluğun Anahtarı: Parolalar
● Parolanız yeterince güçlü mü?

14. İster Zengin Ol, İster Fukara...

15. İmparatorluğun Anahtarı: Parolalar
● Mark, birçok serviste aynı parolayı kullanıyordu.
● Linkedin ifşası ile parolası açığa çıkan Mark'ın, aynı parolaları
kullandığı Twitter ve Pinterest hesapları da ele geçirildi.
● Parola, dadada gibi 25 saniye içerisinde kırılabilecek basit bir
parola idi.

16. İmparatorluğun Anahtarı: Parolalar
https://thehackernews.com/2017/10/coinhive-cryptocurrency-miner.html

17. Çözüm: Password Manager & 2FA
● KeePassX, 1Password, etc.
● İki aşamalı doğrulama (2FA)
● Haveibeenpwned.com
● Leakedsource.com
● Hacked-emails.com
Önerilen Kaynak: https://ssd.eff.org/en/module/how-use-
keepassx

18. Maillerinizi sadece siz mi okuyorsunuz?

19. Maillerinizi sadece siz mi okuyorsunuz?

20. Maillerinizi sadece siz mi okuyorsunuz?

21. Maillerinizi sadece siz mi okuyorsunuz?
http://variety.com/2017/digital/news/google-gmail-ads-emails-1202477321/

22. Çözüm?
● PGP Kullanmak
● Protonmail, TutaNotaMail, Riseup.net vb.
Önerilen Kaynak: https://emailselfdefense.fsf.org/en/

23. E-posta adresimi Nereden Biliyorlar?!
https://freedom-to-tinker.com/2017/09/28/i-never-signed-up-for-this-privacy-implications-of-email-tracking/

24. Nazar Değmesin!

25. Nazar Değmesin!

26. Yerin Kulağı Var!
IP address, geo-location, telelefon numarası, Android ID, IMEI, MAC addresin gönderildiği tespit edildi.
● GSM'de kurulu olan bir uygulama, ultrasonik ses ile tetikleniyor.
● Sinyali alan mobil uygulama uzak sunucuya bir takım bilgiler (telefon
numarası vb) gönderiyor.
https://c3subtitles.de/talk/746/

27. Yerin Kulağı Var!
● TOR Network'ü dahi kullansanız, bağlandığınız sitelerden
birinde arkaplanda çalan bir ultrasonik ses, kimliğinizin ifşa
olmasını sağlayabilir.

28. Yerin Kulağı Var!
● Wikileaks'ın Vault 7 ifşaatında
yer alan iddialara göre
geliştirilen Weeping Angel kod
sayesinde Samsung'a ait
Smart TV modeli fake-off
durmuna getirilerek, kapalı
olduğu sanılan durumda dahi
ortam dinlemesi yapabiliyor.

29. Dahası...
- İzlemek için casus ekipmanlarına ihtiyaç yok.
- Hoparlör ve mikrofonu olan basit bir cep telefonu sonar
cihazı gibi kullanılabilir.
- Washington Üniversitesi Paul G. Allen Bilgisayar Bilimleri ve
Mühendislik okulu araştırma takımı, müzik kullanarak vücut
hareketlerinin nasıl izlenebileceğine dair araştırmalarını
tamamladı.
http://musicattacks.cs.washington.edu/#songs

30. Çözüm?
● Mobil uygulamaların mikrofon izinleri kontrol edilebilir.
● Anonim gezinimler için kullanılan tarayıcılarda multimedya
özellikleri devredışı bırakılabilir.

31. Batarya Durumunuz Sizi Ele Veriyor!
● Batarya Durumunu kontrol etmek izinler arasında yer almıyor.
● Farklı browserlardan yaptığınız ziyaretlerden batarya durumu
korelasyonu ile kimliğiniz ifşa olabilir.
● Lokasyon tespiti yapılabilir. (%90 başarı oranı ile.)
● Uber örneğinde olduğu gibi daha fazla ücret ödemeye
mahkum olabilirsiniz.
https://thehackernews.com/2015/02/track-smartphone-location.html
https://crypto.stanford.edu/powerspy/

32. Sensörlerdeki Tehlike
● Ortalama bir cep telefonu GPS, kamera,
mikrofon, pedometer, NFC vb pek çok
sensöre sahip.
● Uygulama ve web sitelerinin bu sensör
kullanımlarının hepsi izne bağlı. Arama za-
manları , fiziksel aktiviteler ve touch gibi
pek çok dataya erişebiliyorlar.
● Bu sensörler yardımı ile 4 haneli bir şifre
yüzde 74 kesinlikte ilk denemede bulundu.
5. denemede bu oran yüzde 100'e ulaştı.
https://thehackernews.com/2017/04/phone-sensor-password-hacking.html

33. Web Cangılında Bubi Tuzakları - Clickjacking

34. Web Cangılında Bubi Tuzakları - Tab Nabbing
Tıkladığınız bağlantılar, sizi bambaşka yerlere götürebilir.

35. Bir Siteyi Ziyaret Etmek Hayatınızı Mahvedebilir mi?
Evet!
https://www.alternet.org/civil-liberties/nsa-action-writers-house-raided-based-innocent-google-search

36. Bir Siteyi Ziyaret Etmek Hayatınızı Mahvedebilir mi?
Evet!

37. Çözüm?
PrivacyBadger Browser Plugin

38. Güvenli mi, güvensiz mi? HTTPS
● Bağlantı şifreli bir biçimde
gönderilir.
● Gelen datanın trafik seyri
boyunca, herhangi bir saldırgan
kimseler tarafından
değiştirilmemesini
sağlayabilirsiniz.
https://www.powersolution.com/ssl-what-it-means-how-it-works-whereused/

39. Çözüm?
HTTPSEverywhere

40. EXIF: Resimdeki Gözyaşları

41. EXIF: Resimdeki Gözyaşları

42. EXIF: Resimdeki Gözyaşları

43. EXIF: Resimdeki Gözyaşları
https://thehackernews.com/2016/09/dark-web-drug-weapon.html
https://medium.com/@roselisker/illuminating-the-dark-web-d088a9c80240

44. EXIF: Resimdeki Gözyaşları
https://tr.linkedin.com/pulse/iphone-6m-%C3%A7al%C4%B1nd%C4%B1-h%C4%B1rs%C4%B1z%C4%B1-nas%C4%B1l-buldum-bahar-anahmias

45. Çözüm?
MAT: Metadata Anonymisation Toolkit
vb programlar ile fotoğrafların içerisindeki EXIF dataları
paylaşılmadan önce kaldırılabilir.
https://mat.boum.org/

46. Kullanıcı Sözleşmelerini Okuyun!

47. Stilometre: Tarzın Seni Yansıtır!
● Tekrarlanan noktalama/imla yanlışları.
● Kelime dağarcığı
● Bir rumuz arkasında olsanız dahi, sizi ifşa edebilir.
● Stilometre bu metodun adıdır.
Çözüm olarak en sık kullanılan 200 kelime ile metinleri yazmak önerilmektedir.
https://www.flashpoint-intel.com/blog/linguistic-analysis-wannacry-ransomware/

48. Stilometre: Tarzın Seni Yansıtır!
● Tekrarlanan noktalama/imla yanlışları.
● Kelime dağarcığı
● Bir rumuz arkasında olsanız dahi, sizi ifşa edebilir.
● Stilometre bu metodun adıdır.
● Una Bomber 'ın yakalnması. (MANHUNT)
Çözüm olarak en sık kullanılan 200 kelime ile metinleri yazmak önerilmektedir.
http://www.haksozhaber.net/fuatavni-kendi-kendini-desifre-etti-46564h.htm

49. Stilometre: Tarzın Seni Yansıtır!
https://github.com/DavidJacobson/SafeText

50. Kişisel Verileri Koruyalım! Ama Nasıl?
● Eğer kişisel verilerinizi herkese açık şekilde paylaşırsanız; artık o kişisel veri
olmaktan çıkar. Bundan sonra sosyal medyayı daha dikkatli kullanmakta fayda var

51. ADINT : Reklam İstihbaratı
● Mobil reklamlar, demografik özellikler,
● cihaz tipi ve lokasyon olarak daraltıla-
biliyor.
● Yaklaşık 1.000 Dolarlık bir bütçe ile,
mobil reklamlar kullanılarak adım
adım izlenmeniz mümkün.
● Dini, siyasi ya da cinsel tercihlerinizi
öğrenebiliyorlar.
● Washington Üniversitesi, 2017 Ekim
https://adint.cs.washington.edu/

52. Placebo Buttons
● Input kutularını doldurmaya başladığınızda, submit butonuna basmamış bile
olsanız datalarınız alınabiliyor.
● Browserların auto-fill özellikleri, password managerler, Session Replay Scriptleri
https://gizmodo.com/before-you-hit-submit-this-company-has-already-logge-1795906081