Son bir yıldır kişisel veri sızmalarına fazlasıyla maruz kaldık. Veriler, büyük şirketlerin hacklenmesiyle sızabildiği gibi, irili ufaklı pek çok küçük e-ticaret sitesinin hacklenmesiyle de gerçekleşti. Bu sızıntıların sebepleri içerisinde farklı metodlar bulunsa da, bunların en yaygını ve en önlenebiliri web temelli güvenlik açıklarıdır. Burada saldırgan, SQL Injection ya da benzeri bir vektörle veritabanından kolay ve hızlı bir şekilde kişisel verileri çekebiliyor.

Web uygulama güvenliği için tarama, sızma testi gibi aksiyonlar gerekli olsa da her zaman için yeterli olmuyor. Günümüzdeki en direkt çözümlerden biri Bug Bounty, yani Ödül Avcılığı programlarıdır. Burada güvenlik araştırmacıları, hedef sistemde buldukları açıklar üzerinden para ödülü kazanır…


I was always a big fan of “Crack The Hash” contests where all participants are given a hash value, some hints and they try to crack it in a short amount of time. I wanted to make a similar contest for my Twitch followers. While hash cracking contests are fun, they require good hardware to be successful. Unfortunately, my followers are mostly students and due to the economic crises in Turkey, they are not able to buy computers with good hardware.

So, I had to create a contest format in which both rich and poor students can participate equally. It…


Giriş

Bildiğiniz gibi geçen sene, Rockyou wordlistindeki Türkçe kelime içeren parolaları bulmak için bir çalışma yapmıştım. Bu çalışmanın iki önemli eksiği vardı:

Bu iki problemin üstesinden gelmek için gönüllülerle birlikte Ahmet Külekçi, Rauf Giray Doğan, Murat Öztürk) çeşitli Hack forumlarında dolaşıp sızdırılmış veri tabanlarının dehashed (kırılmış) versiyonlarını indirdik. (Analiz edilen verilerin listesi repo açıklamasında mevcut)

Yeni verilerle hem parola içinde, hem de e-posta adreslerinin içinde Türkçe kelime tespiti yapmam mümkün oldu. Örneğin şu iki satırı ele alalım:

excalibur111@hotmail.com:karakartal1903

haznedarlibaba@gmail.com:ilovekpop

Hem karakartal1903 hem de ilovekpop parolalarını listeye alabildim.

Tekrarlayanlar çıkartıldıktan sonra 218.176.522 adet satır analiz edilmek için hazırdı. Corpus’u da biraz temizledikten…


Giriş

Son bir senedir siber güvenlik sektöründeki maaşlarla ilgili çok sayıda şikayet ve soru aldım. Genel olarak insanlar sektördeki maaş dağılımlarına hakim değil ve aldıkları ücretin iyi mi kötü mü olduğuna karar veremiyorlar. Ben de bu bilgiye çok hakim değildim. O yüzden herkesin konu hakkında bir fikir edinmesi için bir maaş anketi yaptım.

Anketi paylaşırken spam girdilerden korkuyordum ancak neredeyse hiç spam olmadı. Birkaç trol girdinin dışında problem yaşanmadı. Girdi zamanlarına baktığımda arka arkaya çok sayıda bir giriş yapılmadığını da gördüm. Dolayısıyla anketteki veriler güvenilir gözüküyor. Yazım yanlışı olan ve outlier girdileri temizledikten sonra elimde 259 maaş bilgisi kaldı. …


🔥 This article widely discussed at Hackernews and Reddit

In the information security field, we have developed lots of thoughts that can’t be discussed (or rarely discussed):

And goes like this. Most of them are very generally correct. However, I started to think that people are telling those because everyone is telling them. And, most of the people are actually not thinking about exceptional cases. In this post, I will raise my objection against the idea of “Security by obscurity is bad”.

Risk, Defense in Depth and Swiss Cheese

One of the main goal of defensive security is reducing the risk for the target business. …


This article contains my experiences on testing amusement arcade’s security. I found a DoS vulnerability on Intercard devices. An attacker can take down entire arcade machines by using this vulnerability.

Me and my girlfriend love to spend hours in local arcades. I always wanted to know how their network works and are they secure or not. But I couldn’t find a comprehensive article about it. I decided to test them by myself.

Learning The Fundamentals

In most of the arcades, you need to have their magnetic stripe card. You need to go to the cashier and say how much credit you want. …


Two months ago, I was planning to publish a mobile app for both Android and iOS devices. However, I didn’t know how to code mobile apps natively. I found that there is an app type called “Webview” in which you just prepare a mobile friendly website and serve it inside the app. That was cool. So I coded the web application with Django framework. I just need to install it to a server, set a domain name and go. But what if I have thousands of active users in the future, how much resources will I need. Also, what if…


I coded an Empire module which detects PII data in given Office documents. You can access to the pull request of mine which includes the module from here: https://github.com/BC-SECURITY/Empire/pull/4

Or, you can get the powershell script alone in here: https://gist.github.com/utkusen/03c8ff388e76d45c1ec79580772d8a78

Originally published at https://utkusen.com on October 29, 2019.


TL;DR

I coded a tool named Rhodiola which can analyze data about a target (for example target’s tweets) and detects most used themes in there and builds a personalized wordlist for password guessing. It’s an experimental project for creating a new approach for password guessing attacks.

Introduction

Passwords are our main security mechanism for digital accounts since the beginning of the internet. Because of that, passwords are one of the main targets of attackers. There are couple of major ways that an attacker can use to find a target’s password. The attacker can prepare a phishing website to trick a target into…


Geleceği tahmin etmek, her sektörde olduğu gibi siber güvenlikte de önem teşkil eder. Gelecekte siber güvenlik sektörünün nereye doğru ilerleyeceğini bilmek şirketler için kar, devletler için stratejik üstünlük anlamına gelir. Bu tip tahminlerde bulunan danışmanlık firmaları dünyada mevcut. Ancak bunların yaptığı gelecek tahminleri, 2–5 yıl gibi kısa vadeli oluyor. Biz ise bu yazıda 30–40 yıllık bir süreçte nereye doğru gidebileceğimizi hayal edeceğiz. Her beş senede bambaşka bir hale gelen teknoloji dünyasında, bu denli uzak geleceği tahmin etmek imkansız görünebilir. Ancak siber güvenlik dünyasında, insanlığın tarihsel süreçte yaşadığı olayların konsantre bir izdüşümünü görmek mümkün. Güvenlik kameralarının ve adli tıbbın olmadığı eski…

Utku Şen

computer security, programming, music. Website: https://utkusen.com

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store