Java dilinde veya PHP dilinde bir dosya yada string değeri şifreleyip açmak istiyorsanız her iki dilde de karşılığını bulmanız lazım.Bu biraz zorlayıcı bir durum malesef. Bundan dolayı karşılaştığım bu soruna çözümlerimi burada anlatıyorum.
Senaryo 1:
PHP ile bir mesajı encrypt edip JAVA ile şifrelenmiş mesajı decrypt edeceğiz.
Senaryo 2:
JAVA ile mesajı encriypt edip PHP ile Decrypt edelim.
Senaryo 3:
PDF dosyası veya herhangi bir binary dosyayı PHP ile encrypt edip JAVA ile decrypt edelim.
Senaryo 4:
PDF dosyası veya herhangi bir binary dosyayı JAVA ile encrypt edip PHP ile decrypt edelim.
20 Şubat 2013 Çarşamba
8 Şubat 2013 Cuma
PHP deobfuscation
Bu yazımızda genelde lisans amaçlı obfuscate işlemini deobfuscate etmeyi öğreniyoruz.
elimizde
gibi bir PHP kodu var bunun kırmızı ,ile işretli eval fonksiyonundan öncesi obfuscate eden metoda ait
sonraki kısımda şifreli PHP kodu. Çözmek için kırmızı ile işaretli kısmı
file_put_contents("deobfuscated.php",TC9A16C47DA8EEE87(
ile değiştiriyoruz ve web sunucumuzda bu dosyayı çağrıyoruz. Sonuç bingo :) deobfuscated.php içerisinde okunabilir bir kod var artık.
elimizde
gibi bir PHP kodu var bunun kırmızı ,ile işretli eval fonksiyonundan öncesi obfuscate eden metoda ait
sonraki kısımda şifreli PHP kodu. Çözmek için kırmızı ile işaretli kısmı
file_put_contents("deobfuscated.php",TC9A16C47DA8EEE87(
ile değiştiriyoruz ve web sunucumuzda bu dosyayı çağrıyoruz. Sonuç bingo :) deobfuscated.php içerisinde okunabilir bir kod var artık.
27 Ocak 2013 Pazar
Create SSL Certificate and install in Xampp
HTTPS, it’s a secure http protocol. With the web becoming part of day
to day life people expect almost all application and services should be
web enabled and it will happen soon. As huge transactions are done on
web we need some kind of security that will prevent data theft, data
sniffing. Secure http plays very crucial role in protecting the web.
When we develop any web base application it is always better to provide support for https. Generally it happens that we develop our application with HTTP protocol in mind and when security comes in app may fail to act as expected. So add SSL certificate in the development phase itself.
There might be the case that you won’t be able to buy the SSL certificate in development phase, in this scenario its always advised to generate and install Self Signed SSL Certificate and later when you decide to move to production you can buy authentic certificate from companies like VeriSign Inc.
Here we will see how we can generate SSL certificate using Open SSL and install it on Xampp server for Windows.
1. Generate a Private Key
Command: openssl genrsa -des3 -out server.key 1024
Screen:
2. Generate Certificate Signing Request
Command: openssl req -new -key server.key -out server.csr
Screen:
Here the command might need an config parameter. This is not required but its needed when openssl couldnt find the configration file.
3. Sign the Certificate
Command: openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
Screen:
3. Install and Configure the Certificate
After this you will have server.key and server.crt files that you need to copy to some directory that can be easily accessed by apache. Copy both files to say crypt directory and configure the SSL Conf for website or app. Following shows the basic SSL configuration.
4. Restart the apache server and access the application/site with HTTPS.
When we develop any web base application it is always better to provide support for https. Generally it happens that we develop our application with HTTP protocol in mind and when security comes in app may fail to act as expected. So add SSL certificate in the development phase itself.
There might be the case that you won’t be able to buy the SSL certificate in development phase, in this scenario its always advised to generate and install Self Signed SSL Certificate and later when you decide to move to production you can buy authentic certificate from companies like VeriSign Inc.
Here we will see how we can generate SSL certificate using Open SSL and install it on Xampp server for Windows.
1. Generate a Private Key
Command: openssl genrsa -des3 -out server.key 1024
Screen:
2. Generate Certificate Signing Request
Command: openssl req -new -key server.key -out server.csr
Screen:
Here the command might need an config parameter. This is not required but its needed when openssl couldnt find the configration file.
3. Sign the Certificate
Command: openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
Screen:
3. Install and Configure the Certificate
After this you will have server.key and server.crt files that you need to copy to some directory that can be easily accessed by apache. Copy both files to say crypt directory and configure the SSL Conf for website or app. Following shows the basic SSL configuration.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 | <VirtualHost ssltest.com:443> DocumentRoot "path/to/ssltest.com" ServerName ssltest.com ServerAlias www.ssltest.com ServerAdmin you@ssltest.com SSLEngine on SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW :+SSLv2:+EXP:+eNULL SSLCertificateFile "path/to/server.crt" SSLCertificateKeyFile "path/to/server.key" <FilesMatch "\.(cgi|shtml|phtml|php|php5|php4|php3?)$"> SSLOptions +StdEnvVars </FilesMatch> <Directory "path/to/cgi-bin"> SSLOptions +StdEnvVars </Directory> SetEnvIf User-Agent ".*MSIE.*" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 </VirtualHost> |
16 Ocak 2013 Çarşamba
Alıntı: 2013 Ulusal Siber Güvenlik Tatbikatı Üzerine…
Bu yazı http://www.siberguvenlik.org.tr/makaleler/2013-ulusal-siber-guvenlik-tatbikati-uzerine/ adresinden alınmıştır.
2013 Ulusal Siber Güvenlik Tatbikatını
çoğumuz televizyon, internet, sosyal medya gibi farklı yayın
organlarından takip ettik. Medyada, tatbikatın 10 Ocak Perşembe günü
Ulaştırma, Denizcilik ve Haberleşme Bakanı Binali Yıldırım Bey’in
katılımı ile başladığı bilgisi paylaşılsa da, kamuoyunun, özelde de
ülkemiz bilgi güvenliği topluluğunun tatbikatın içeriği ve süreci
hakkında yeteri kadar bilgi sahibi olmadığı göze çarpıyor. Bu ketumluk
bilinçli bir tercih midir bilmiyorum, fakat 41’i oyuncu ve 20’si
gözlemci olmak üzere toplam 61 kurumun katılımı ile yapılan tatbikat
hakkında, kendi gözlemlerimi paylaşmakta yarar görüyorum.
İlki 2011 yılında gerçekleştirilen
tatbikatın 2.sinin hazırlık çalışmaları 2012 yılının sonlarında
başlamıştı. Ulaştırma, Denizcilik ve Haberleşme Bakanlığı’nın
önderliğindeki tatbikatın ana yürütücüleri ise BTK ve TÜBİTAK SGE’ydi.
Bu arada yine 2012 içerisinde yapılan Siber Kalkan Tatbikatı akıllara
gelmiş olabilir. Siber Kalkan Tatbikatı, BTK-TİB önderliğinde yapılan ve
daha çok ISS ve telekomünikasyon kurumlarını kapsayan sınırlı kapsamı
olan bir tatbikattı. Ulusal Siber Güvenlik Tatbikatı’nın hem kamu
kuruluşlarının hem de özel sektörden kurumların katıldığı, ulusal
düzeyde daha geniş çaplı bir tatbikat olduğunu söyleyebilirim.
Tatbikat, kamuoyunda bilindiği şekilde
10-11 Ocak 2013’de gerçekleştirilen 2 günlük bir organizasyon değildi
aslında. Tatbikatın 2 günlük olduğu algısının sebebi, hazırlıkların ve
öncesinin katılımcılar dışında çok duyurulmamış olması. Geniş çaplı bir
duyurunun yapılmaması bir eksiklik. Sebebi nedir, tam kestirememekle
beraber, önceki tecrübelerimiz bize, tatbikatın, gerçek saldırılar için
bir davetiye çıkarması endişesi olabileceğini düşündürüyor. Önceki
tatbikatlar sırasında bir kuruma planlı olarak yapılan saldırı
simülasyonlarının yanı sıra, eş zamanlı olarak gerçek saldırılar da
gelebilmekteydi. Bu da hem tatbikata yoğunlaşılmasını engelliyor,
tatbikat katılımcıları açısından da sorun oluşturuyordu.
Peki, tatbikat çalışması kapsamında neler yapıldı, süreç nasıl işledi?
Tatbikat yönetimi tarafından hazırlanmış farklı pratik ve teorik senaryolar kurum çalışanları ile paylaşıldı. Bu kapsamda, tatbikat katılımcılarının başına gelebilecek gerçek saldırılar yanı sıra, gerçekleşmiş ve başarıya ulaşmış gerçek saldırı senaryoları sonrası kurumların saldırıların analizini yapabilme yetenekleri de test edildi. Bu senaryolara şöyle bir göz atalım;
Tatbikat yönetimi tarafından hazırlanmış farklı pratik ve teorik senaryolar kurum çalışanları ile paylaşıldı. Bu kapsamda, tatbikat katılımcılarının başına gelebilecek gerçek saldırılar yanı sıra, gerçekleşmiş ve başarıya ulaşmış gerçek saldırı senaryoları sonrası kurumların saldırıların analizini yapabilme yetenekleri de test edildi. Bu senaryolara şöyle bir göz atalım;
Log Analizi : Bu kapsamda kurumlara pek çok kayıt dosyası gönderildi. Bu log dosyaları
- Web sunucu kayıt dosyalarından,
- İşletim sistemi kayıt dosyalarına,
- NMAP çıktılarından,
- Ağ trafiği çıktılarına (pcap dosyası) ve
- Güvenlik duvarı yapılandırmalarına
kadar çok çeşitli alanlardan kayıt ve
yapılandırma dosyalarını kapsamaktaydı. Buradaki amaç; herhangi bir
kuruma bir siber saldırı düzenlendiğinde ya da bu saldırı başarıya
ulaştığında; bu saldırının ne zaman, nereden, kim tarafından, hangi
yolla yapıldığının tespiti konusunda kurumun ne derece yetkin olduğunu
ölçmekti. Burada gönderilen kayıt ve yapılandırma dosyaları laboratuvar
ortamında gerçekten hacklenmiş sistemlere ilişkin verilerdi. Yani
katılımcılar başlarına gelmeden nelerle karşılaşacaklarını görmüş
oldular. Çok faydalı bir çalışmaydı.
Port Tarama : Adından
da anlaşıldığı gibi, tatbikat yönetimi tarafından kurumlara doğru port
tarama gerçekleştirildi. Burada amaç; hem kurumun gereksiz
servis/portlarını dış dünyadan ne ölçüde koruduğunu görmek, hem de hedef
kurumun böyle bir saldırının ne ölçüde farkına varabildiğini tespit
etmekti.
Web Uygulama Güvenliği Taraması : Bu
işlem aslında tam bir web sızma testi şeklinde gerçekleştirildi. Kurumun
belirlenen bir web sitesine yapılan güvenlik taraması ile, ilgili
sayfanın ne ölçüde zafiyetten arındırılmış olduğu tespit edilmeye
çalışıldı.
DDoS : Dağıtık servis
dışı bırakma saldırısına maruz kalan bir kurumun, bu durumun farkına ne
kadar hızlı vardığı, kendi imkanlarıyla ne gibi çözümler ürettiği ve
kendi imkanlarının yetersiz kaldığı durumlarda internet servis
sağlayıcısıyla ne kadar hızlı iletişim kurup ISS seviyesinde önlemler
alarak bu saldırının üstesinden gelindiği ölçüldü.
Web Uygulama Testi :
Burada biz katılımcılardan istenen şey masanın öbür tarafına geçmekti.
Yani beyaz şapkamızı çıkarıp siyah şapkalı gibi davranmamız istendi. Bir
çok zafiyet içeren bir muhasebe uygulamasının incelenmesi, zafiyetlerin
tespiti hatta en son olarak da bu zafiyetlerin istismar edilmesi
istendi. Bu adım şu açıdan çok faydalıydı; biz beyaz şapkalıların
sistemlere bir hacker gibi bakıp, hacker bakış açısıyla sistemin
açıklarının ne yollarla suistimal edilebileceğini anlamamızı sağladı.
Sosyal Mühendislik :
Sosyal mühendislik testi gerçekten ne yapılacağını, kime yapılacağını
bilmediğimiz için merakla beklediğimiz bir adımdı. Bu adımda kurumun
kendi bildirdiği ya da tatbikat yönetiminin internet üzerinden
kendisinin bulduğu e-mail adreslerine phishing mailleri gönderilerek
onlardan bilgi sızdırmaya çalışıldı. Burada çalışanların bilgi güvenliği
konusunda ne derece farkında olduklarının ölçülmesi amaçlanmıştı.
Buraya kadar bahsettiğimiz tüm senaryolar 3-10 Ocak dönemindeki süreçte yapıldı.
Ankara’da toplanıp ne yaptık?
TOBB Ekonomi ve Teknoloji
Üniversitesi’nde 10-11 Ocak’da yapılan etkinlikler Ulaştırma Bakanı,
Sanayi ve Ticaret Bakanı, BTK Başkanı ve TÜBİTAK Başkanı’nın açılış
konuşmalarıyla başladı. Sonrasında biz katılımcılara verilen yazılı altı
siber güvenlik vakası senaryosuna karşın hem teknik düzeyde, hem hukuki
düzeyde, hem de kamuoyu nezdinde neler yapabileceğimiz tespit edilmeye
çalışıldı. Bu nedenle kurumlar sadece bilgi güvenliği çalışanlarıyla
değil, diğer teknik ekipleri, hukuk, medya, halkla ilişkiler
birimleriyle tatbikata katıldılar. Bu nedenle vaka senaryoları ve
vakalara karşı alınan aksiyonlar gerçeğe son derece yakındı. Örnek
vakalar İçerisinde
- İçeriği web korsanları tarafından değiştirilmiş bir web sayfası,
- Ele geçirilip, diski şifrelenen bir veri tabanı sunucusu (Ransomware)
- Sorunlu ayrılan bir teknik çalışanın yaptıkları
gibi çok çeşitli olaylar yer almaktaydı.
Bu çalışmalar, neler yapacağımızın bir simülasyonunu gerçekleştirmek ve
verdiğimiz cevaplarda yazdığımız fakat gerçekte uygulamadığımız
güvenlik önlemlerine ne kadar ihtiyaç duyduğumuzu tekrardan hatırlamamız
açısından faydalı oldu.
Diğer yandan, ilgili kurumlardan gönüllü
olan arkadaşlar 4 takım halinde Capture The Flag (CTF) yarışmasına
katıldılar. Her bir takıma farklı kurumlardan farklı çalışanlar
katılarak yarışmaya dahil oldu. CTF yarışması yine bildiğimiz gibi bir
sisteme sızıp bu sistemi ele geçirme adımlarını kapsıyordu. Kırmızı,
Sarı, Mavi ve Beyaz renkli takımların katıldığı yarışmanın tüm
aşamalarını tamamlayan bir ekip çıkmadı. Puan usulü yapılan sıralamada
ise en yüksek puanı alan Kırmızı takım 1. oldu.
2. günün sonunda Türkiye’de ve bazı
yabancı ülkelerde devlet nezdinde siber güvenlik konusuna yön veren
katılımcıların yer aldığı panel sonrası tüm katılımcı kurumlara plaket
verildi ve 2. Ulusal Siber Güvenlik Tatbikatı tamamlandı.
Şahsi kanaatim, bu tip çalışmalar ile
teknik uzmanlar ve teknik olmayan idarecilerin bir araya gelip, Ulusal
Güvenliğin en kritik yapılarından olan Siber Güvenlik konusunu daha
ciddi şekilde ele almaları sağlanacaktır.
Kurumların giderek daha fazla Siber Dünya’nın olanaklarından istifade etmesi, Siber tehditleri de beraberinde getirmektedir. Mübalağa gibi gelse de, gerçek dünyada güvenlik gündemi bir kere değişiyorsa sanal dünyada bin defa değişmektedir. Dolayısıyla,Türkiye çapında 61 katılımcı kurumu, konunun önemi göz önüne alındığında, az bulmaktayım. Bu konuda Bakan Ergün’ün şu sözleri tespitimizi doğrular nitelikte:
“Bir musibet, bin nasihatten evladır’ diye bir sözümüz var. Bir musibet başına gelmeden gel bu tatbikatlara katıl. İlla bir musibet mi başına mı gelmesi lazım. Bir saldırıya uğrayıp bilgilerinin bir kısmının çalınmasını mı bekliyorsun veya işlerinin kilitlenmesini mi bekliyorsun?”
Hem özel sektörden, hem de kamu kurumlarından katılımın çok daha fazla olması gerekirdi. Kurumlar siber ortamda bir musibete maruz kalmadan Siber Güvenlik Tatbikatı ve benzeri faaliyetlerden istifade etmeli ve bu çalışmalara da katma değer üretmelidir.
Yine tatbikat yürütücülerinden TÜBİTAK Başkanı Prof. Dr. Yücel Altunbaşak da kritik teknolojilerin sayısı arttıkça sanayi casusluğunun da artacağının altını çizdi. Bu nedenle umarız önümüzdeki senelerde katılımcıların hem sayısı hem de sektör çeşitliliği artar. Böylece biz nasıl kendi kurumumuzda Bilgi Güvenliği Farkındalığı’nın kurum politikası olarak yerleşmesi için çaba harcıyorsak, ülke olarak da Siber güvenlik farkındalığın ulusal düzeyde ele alınması ve benimsenmesini sağlayabiliriz.
Son olarak bir müjde daha ekleyelim; Binali Yıldırım, 2014’de yapılması planlanan tatbikatın uluslar arası bir nitelikte olacağını belirtti. Bu da, ülkemizin uluslar arası düzeyde Siber Güvenlik konusunda daha iyi bir konuma gelmek için çaba harcadığını görmek adına sevindirici bir gelişme.
Fatih Ekrem GENÇ
Kurumların giderek daha fazla Siber Dünya’nın olanaklarından istifade etmesi, Siber tehditleri de beraberinde getirmektedir. Mübalağa gibi gelse de, gerçek dünyada güvenlik gündemi bir kere değişiyorsa sanal dünyada bin defa değişmektedir. Dolayısıyla,Türkiye çapında 61 katılımcı kurumu, konunun önemi göz önüne alındığında, az bulmaktayım. Bu konuda Bakan Ergün’ün şu sözleri tespitimizi doğrular nitelikte:
“Bir musibet, bin nasihatten evladır’ diye bir sözümüz var. Bir musibet başına gelmeden gel bu tatbikatlara katıl. İlla bir musibet mi başına mı gelmesi lazım. Bir saldırıya uğrayıp bilgilerinin bir kısmının çalınmasını mı bekliyorsun veya işlerinin kilitlenmesini mi bekliyorsun?”
Hem özel sektörden, hem de kamu kurumlarından katılımın çok daha fazla olması gerekirdi. Kurumlar siber ortamda bir musibete maruz kalmadan Siber Güvenlik Tatbikatı ve benzeri faaliyetlerden istifade etmeli ve bu çalışmalara da katma değer üretmelidir.
Yine tatbikat yürütücülerinden TÜBİTAK Başkanı Prof. Dr. Yücel Altunbaşak da kritik teknolojilerin sayısı arttıkça sanayi casusluğunun da artacağının altını çizdi. Bu nedenle umarız önümüzdeki senelerde katılımcıların hem sayısı hem de sektör çeşitliliği artar. Böylece biz nasıl kendi kurumumuzda Bilgi Güvenliği Farkındalığı’nın kurum politikası olarak yerleşmesi için çaba harcıyorsak, ülke olarak da Siber güvenlik farkındalığın ulusal düzeyde ele alınması ve benimsenmesini sağlayabiliriz.
Son olarak bir müjde daha ekleyelim; Binali Yıldırım, 2014’de yapılması planlanan tatbikatın uluslar arası bir nitelikte olacağını belirtti. Bu da, ülkemizin uluslar arası düzeyde Siber Güvenlik konusunda daha iyi bir konuma gelmek için çaba harcadığını görmek adına sevindirici bir gelişme.
Metasploit Yeni Exploit Ekleme
Eğer windows da kullanıyorsanız
C:\metasploit\apps\pro\msf3\modules\exploits\
dizini altında yeni exploitin tipine uygun bir dizine kopyalayabilirsiniz.
bunun dışında
C:\Users\Kullanici_adi\.msf4\modules\exploits\
altınada kopyalayabilirsiniz.
Backtrack içerisinde de
/opt/metasploit-4.4.0/msf3/modules/exploits/
dizini altında yeni exploitin tipine uygun bir dizine kopyalayabilirsiniz.
C:\metasploit\apps\pro\msf3\modules\exploits\
dizini altında yeni exploitin tipine uygun bir dizine kopyalayabilirsiniz.
bunun dışında
C:\Users\Kullanici_adi\.msf4\modules\exploits\
altınada kopyalayabilirsiniz.
Backtrack içerisinde de
/opt/metasploit-4.4.0/msf3/modules/exploits/
dizini altında yeni exploitin tipine uygun bir dizine kopyalayabilirsiniz.
Kaydol:
Kayıtlar (Atom)