İmparatorluğun Anahtarı, Maillerinizi Sadece Siz mi Okuyorsunuz? E-posta Adresimi Nereden Biliyorlar? Bilişim Güvenliği Günleri kapsamında Ziyahan ALBENİZ tarafından gerçekleştirilen sunum.
4. İmparatorluğun Anahtarı: Parolalar
● Tüm servislerde aynı parolayı mı kullanıyorsunuz?
● Parolanız kişisel bilgilerinizden mi oluşuyor? (Doğum tarihi,
yaş, plaka, favoriler vb.)
● Son bir yıl içinde parola değişikliği yaptınız mı?
15. İmparatorluğun Anahtarı: Parolalar
● Mark, birçok serviste aynı parolayı kullanıyordu.
● Linkedin ifşası ile parolası açığa çıkan Mark'ın, aynı parolaları
kullandığı Twitter ve Pinterest hesapları da ele geçirildi.
● Parola, dadada gibi 25 saniye içerisinde kırılabilecek basit bir
parola idi.
26. Yerin Kulağı Var!
IP address, geo-location, telelefon numarası, Android ID, IMEI, MAC addresin gönderildiği tespit edildi.
● GSM'de kurulu olan bir uygulama, ultrasonik ses ile tetikleniyor.
● Sinyali alan mobil uygulama uzak sunucuya bir takım bilgiler (telefon
numarası vb) gönderiyor.
https://c3subtitles.de/talk/746/
27. Yerin Kulağı Var!
● TOR Network'ü dahi kullansanız, bağlandığınız sitelerden
birinde arkaplanda çalan bir ultrasonik ses, kimliğinizin ifşa
olmasını sağlayabilir.
28. Yerin Kulağı Var!
● Wikileaks'ın Vault 7 ifşaatında
yer alan iddialara göre
geliştirilen Weeping Angel kod
sayesinde Samsung'a ait
Smart TV modeli fake-off
durmuna getirilerek, kapalı
olduğu sanılan durumda dahi
ortam dinlemesi yapabiliyor.
29. Dahası...
- İzlemek için casus ekipmanlarına ihtiyaç yok.
- Hoparlör ve mikrofonu olan basit bir cep telefonu sonar
cihazı gibi kullanılabilir.
- Washington Üniversitesi Paul G. Allen Bilgisayar Bilimleri ve
Mühendislik okulu araştırma takımı, müzik kullanarak vücut
hareketlerinin nasıl izlenebileceğine dair araştırmalarını
tamamladı.
http://musicattacks.cs.washington.edu/#songs
30. Çözüm?
● Mobil uygulamaların mikrofon izinleri kontrol edilebilir.
● Anonim gezinimler için kullanılan tarayıcılarda multimedya
özellikleri devredışı bırakılabilir.
31. Batarya Durumunuz Sizi Ele Veriyor!
● Batarya Durumunu kontrol etmek izinler arasında yer almıyor.
● Farklı browserlardan yaptığınız ziyaretlerden batarya durumu
korelasyonu ile kimliğiniz ifşa olabilir.
● Lokasyon tespiti yapılabilir. (%90 başarı oranı ile.)
● Uber örneğinde olduğu gibi daha fazla ücret ödemeye
mahkum olabilirsiniz.
https://thehackernews.com/2015/02/track-smartphone-location.html
https://crypto.stanford.edu/powerspy/
32. Sensörlerdeki Tehlike
● Ortalama bir cep telefonu GPS, kamera,
mikrofon, pedometer, NFC vb pek çok
sensöre sahip.
● Uygulama ve web sitelerinin bu sensör
kullanımlarının hepsi izne bağlı. Arama za-
manları , fiziksel aktiviteler ve touch gibi
pek çok dataya erişebiliyorlar.
● Bu sensörler yardımı ile 4 haneli bir şifre
yüzde 74 kesinlikte ilk denemede bulundu.
5. denemede bu oran yüzde 100'e ulaştı.
https://thehackernews.com/2017/04/phone-sensor-password-hacking.html
34. Web Cangılında Bubi Tuzakları - Tab Nabbing
Tıkladığınız bağlantılar, sizi bambaşka yerlere götürebilir.
35. Bir Siteyi Ziyaret Etmek Hayatınızı Mahvedebilir mi?
Evet!
https://www.alternet.org/civil-liberties/nsa-action-writers-house-raided-based-innocent-google-search
38. Güvenli mi, güvensiz mi? HTTPS
● Bağlantı şifreli bir biçimde
gönderilir.
● Gelen datanın trafik seyri
boyunca, herhangi bir saldırgan
kimseler tarafından
değiştirilmemesini
sağlayabilirsiniz.
https://www.powersolution.com/ssl-what-it-means-how-it-works-whereused/
47. Stilometre: Tarzın Seni Yansıtır!
● Tekrarlanan noktalama/imla yanlışları.
● Kelime dağarcığı
● Bir rumuz arkasında olsanız dahi, sizi ifşa edebilir.
● Stilometre bu metodun adıdır.
Çözüm olarak en sık kullanılan 200 kelime ile metinleri yazmak önerilmektedir.
https://www.flashpoint-intel.com/blog/linguistic-analysis-wannacry-ransomware/
48. Stilometre: Tarzın Seni Yansıtır!
● Tekrarlanan noktalama/imla yanlışları.
● Kelime dağarcığı
● Bir rumuz arkasında olsanız dahi, sizi ifşa edebilir.
● Stilometre bu metodun adıdır.
● Una Bomber 'ın yakalnması. (MANHUNT)
Çözüm olarak en sık kullanılan 200 kelime ile metinleri yazmak önerilmektedir.
http://www.haksozhaber.net/fuatavni-kendi-kendini-desifre-etti-46564h.htm
50. Kişisel Verileri Koruyalım! Ama Nasıl?
● Eğer kişisel verilerinizi herkese açık şekilde paylaşırsanız; artık o kişisel veri
olmaktan çıkar. Bundan sonra sosyal medyayı daha dikkatli kullanmakta fayda var
51. ADINT : Reklam İstihbaratı
● Mobil reklamlar, demografik özellikler,
● cihaz tipi ve lokasyon olarak daraltıla-
biliyor.
● Yaklaşık 1.000 Dolarlık bir bütçe ile,
mobil reklamlar kullanılarak adım
adım izlenmeniz mümkün.
● Dini, siyasi ya da cinsel tercihlerinizi
öğrenebiliyorlar.
● Washington Üniversitesi, 2017 Ekim
https://adint.cs.washington.edu/