Etiket arşivi: TEKNOLOJİ

TEKNOLOJİ : WhatsApp’a büyük rakip

Dünyanın en çok kullanılan mesajlaşma uygulaması WhatsApp’ın yeni rakibi Telegram geliyor. Telegram nedir?

Akıllı telefonların vazgeçilmez mesajlaşma programı WhatsApp’a büyük bir rakip geldi. Telegram adlı uygulama özellikle "kişisel bilgilerin gizli kalması" için verdiği garanti ile dikkat çekiyor.

Diğer mesajlaşma uygulamalarından güvenlik konusundaki titizliği ile bir adım öne çıkan Telegram, şifrelenmiş mesajlaşma sistemi ve mesajların kendi kendine silinmesi gibi özelliklerle "kişisel bilgilerin gizli kalması hakkınızı geri veriyor".

Ayrıca "cloud" teknolojisini kullanan Telegram ile farklı cihazlarla da hesabınıza erişim sağlayabiliyorsunuz.

Hız ve güvenlik için sunucularını da tek bir yerde toplamak yerine dünyanın çeşitli bölgelerinde barındıran Telegram, aynı zamanda açık kaynak kodlu ve ücretsiz ve reklamsız bir uygulama.

Görsel ve video paylaşımın da mümkün olduğu Telegram’da mesajlarınızın hacker saldırılarına karşı da koruduğu belirtililiyor.

Line, Viber, Wechat gibi programların yanında Telegram WhatsApp’ın rakiplerinin arasındaki en güçlüsü olarak görünüyor.

TEKNOLOJİ : PHOTOSHOP İLE 2 DAKİKADA İNANILMAZ DEĞİŞİM /// MUTLAKA İZLEYİN ///

VİDEOYU GÖRMEK İÇİN BURAYA TIKLAYIN.

TEKNOLOJİ : Japonları Endişelendiren Güvenlik Raporu

Japonya’nın başkenti Tokyo, 2014’ün en önemli siber güvenlik konferanslarından biri olacak ‘Code Blue’ için hazırlık yapıyor. Dünyaca ünlü uzmanların yer alacağı konferansta Türkiye’yi temsil edecek olan güvenlik araştırmacısı Celil Ünüver, Japon yetkililerin yapacağı sunumda güvenlik sebeplerinden dolayı sansür uygulamasını istediklerini belirtti. Ünüver, halen Fukuşima’nın yaralarını sarmaya çalışan Japonya’nın kritik altyapı tesislerinin güvenliği için büyük endişe taşıdığını belirtti.

ABD Başkanı Barack Obama’nın güvenlik danışmanı ve ABD İç Güvenlik Bakanlığı danışmanı Jeff Moss’un da yer alacağı Code Blue siber güvenlik konferansı, 17-18 Şubat tarihlerinde Tokyo’da düzenlenecek. Konferansta Türkiye’yi temsil edecek güvenlik araştırmacısı Celil Ünüver, sanayi tesislerinin kontrolü temsil eden SCADA sistemleri hakkında yapacağı sunumla, söz konusu sistemlerde keşfettiği ve devletleri riske sokan güvenlik açıklarını gözler önüne serecek.

Japon yetkililer tarafından konferans öncesinde yapacağı sunum hakkında kendisinden bilgi sunması istenen Ünüver, sunumunun güvenlik riski doğurabileceği gerekçesiyle sansürlenmek istediğini belirtti. Sunumunda birçok önemli kısma değinmesi istenmeyen Ünüver, bu şekilde çalışmalarının bir anlam ifade etmeyeceğini belirterek, önemli tespitlerini ‘özel olarak sunmaya devam edeceğini’ söyledi.

Ünüver, Code Blue konferansı öncesinde Japon yetkililerin sunumu hakkındaki yaklaşımı ve bu durumun altındaki sebepleri ntvmsnbc’ye anlattı.

TEKNOLOJİ : Hosting Alırken Nelere Dikkat Etmeyeliyiz ??

Merhaba değerli ÖZEL BÜROkullanıcıları,

Bazı üyelerimiz hosting hakkında bilgi istiyordu bende bir makale yazarak anlatayım dedim

Firmaların SSL Belgelerine v.s dikkat edebilirsiniz.

Öncellikle alıcagımız firma tanınmış ve gelişmiş bir firma olmalıdır hosting alırken cok dikkat etmeliyiz en basitinden firmanın kalitesi kendisini fiyatlarından belli eder nasilmi buyrun.

Kqmbb5.png

Sen 20 tl’ye bu özellikleri nasil vaadedebiliyorsun birde cpanel veriyorlarmiş arkadaş cpanel ücretli bir yazılımdır 30 $ dolar’dan başlar liraya çevir 60 lira yapar senin hosting’in 3 katı coğu özellik sınırsız nasil yapabiliyorsun bunu , nasil yapiyor sunucusuna önem vermiyor para gelsin nasil gelirse gelsin başka birşey yok burda

Ben bizzat test ettigim firma "Natro" her yönuyle dört dörtluk bir firma hem destek bakımından hemde kalite bakımından digerlerini dört’e katlar beş ile çarpar :mml

wvQbP4.png

Bana göre en ideal özellikler hemen yukardaki paylaştıgım özellikler ile karşılaştırın o adam 20 tl’ye herşeyi sınırsız veriyordu bunlar ise belirli limitleri mevcut şunu düşünmeyin ben fazla para vericem özelliklerim kısıtlı olucak ozaman 1. resimdeki siteden alın maksimum 3 gün sonra hacklenirsiniz neden adam sunucusuna değer vermiyor ve güvenlik yapmiyor bu olayı bizzat yaşadım yöncu bilişimdeki hosting’imde her hafta en az 5 farkli forumlardan index geliyordu :RpS_laugh:

Ben bizzat natro’Daki hosting’ime shell attim :secret ( aramızda 😉 ) online olan fonksiyonlara bakiyorum resmen yok tüm fonksiyonlar kapatilmiş bypass deniyorum yemiyor

Biraz natroyu övmuş gibi oldum ama 😀 inanın reklam v.s yok sadece site kurmak isteyen arkadaşlarıma yol gösteriyorum

Halil Yıldız

ÖZEL BÜRO HACK TİMİ

TEKNOLOJİ /// Yunus ÇADIRCI (TÜRKSAT A.Ş.) : Dış Kaynaklı Uygulamaların Güvenliği

Yunus ÇADIRCI, TÜRKSAT A.Ş.

Günümüzde işletmelerin bilgi işlem altyapıları olmaksızın işlerini yürütmeleri kendine ancak geçmişte kalan anılarda yer bulabilmektedir. Bu altyapıyı yazılım ve donanım olarak ele alırsak, donanımın teminine paralel olarak bu donanım üzerinde çalıştırılacak yazılımların temini önem kazanmaktadır.

İşletmelerin yazılım temini için üç yol vardır.

İç Geliştirme

İşletmenin kendi yazılım ekibi bulunur. İş birimlerinin belirlediği süreçler bu ekip tarafından uygun kodlama yöntemleri ile yazılıma dönüştürülür. Bu yöntem ancak bankacılık, telekomünikasyon, perakende gibi personel sayısı yüksek ve iç yazılım ekibinin maliyetini karşılayacak işletmeler tarafından veya özel yazılım ihtiyacı minimum düzeyde olan küçük ve orta boyutlu işletmeler tarafından uygulanabilmektedir.

Paket Yazılım

İş birimlerinin ihtiyaçlarını karşılayan ürünler araştırılır ve işletmenin süreçlerine göre bu ürünlerden birisi tercih edilir. Bu ürünler üzerinde genelde yapılandırma değişiklikleri ile yetinilir.

Dış Kaynak Kullanımı

İş birimleri tarafından belirtilen gereksinimler bir sözleşme vasıtasıyla üçüncü taraf firmalar tarafından geliştirilir. Bu yöntem daha çok iç geliştirme ekibi kuramayan veya piyasada bulunan paket yazılımların ihtiyacını karşılamadığı işletmeler tarafından tercih edilir.

Şekil 1: Uygulama temin yöntemlerinin karşılaştırılması

Uygulama Güvenliği

İşletmelerin süreçlerini uygulamalar üzerinden yürütmelerinden dolayı saldırganlar saldırılarını bu alana yoğunlaştırmışlardır. Gartner tarafından yapılan bir analize göre işletmelerin %80’inin uygulamalarda bulunan zafiyetler nedeniyle bir güvenlik olayı ile karşılaşacağı, NIST tarafından yapılan başka bir araştırmada ise istismar edilebilen güvenlik açıklarının %92’sinin uygulamalarda bulunduğu belirtilmiştir. Bu nedenle uygulama güvenliğinin göz ardı edilmesi mümkün değildir.

İşletmeler, sadece kendi ekipleri tarafından geliştirilen değil dışarından temin ettikleri uygulamaların da güvenliğinden emin olmak zorundadırlar. İç geliştirme yaparken ihtiyaç belirlemeden son kabule kadar tüm süreç işletme içinde kontrol altındadır. Buna karşın dış kaynaklı uygulamalar için proje maliyeti ve süresini etkilemeden bu güvencenin nasıl sağlanacağı proje boyutu ile paralel bir şekilde oldukça karmaşık olabilmektedir.

Şekil 2: Güvenlik birimi, iş ihtiyaçlarının belirlenmesi aşamasından başlayarak uygulama temin sürecine dâhil olmalıdır.

Bu problemin çözümü için işletmenin hangi aşamalarda nelere dikkat etmesi gerektiğine birlikte bakalım:

Şartname Hazırlama

İşletmelerin ihtiyaçlarını farklı olması, uymakla yükümlü oldukları kanun ve regülasyonların değişebilmesi nedeniyle uygulama temininde şartnamelere farklı maddelerin eklenmesi gerekebilmektedir. Bu aşamada işletmeler kendi ihtiyaçlarına göre şartnamelerine uygun maddeleri eklemelidirler.

Temel Güvenlik Listesi

Şartnamelerde belirtilmesi gereken en önemli husus neyin güvenlik açığı olduğu, neyin olmadığı konusudur. Muğlak ifadeler, uygulama geliştirici firmanın kaynak ve işgücü planlamasını ve kabul sürecindeki test senaryolarının oluşturulmasını zorlaştıracağı gibi, sadece SQL Enjeksiyonu gibi bilinen zafiyetlerin yazılması da uygulamayı mantıksal ve karmaşık saldırılara açık hale getirebilecektir.

Bu bağlamda OWASP Top 10 (https://www.owasp.org/index.php/Top_10_2013-Top_10) ve CWE/SANS Top 25 Most Dangerous Software Errors (http://cwe.mitre.org/top25/ ) listeleri temel güvenlik listeleri olarak kullanılabilir. CWE/SANS listesi sadece web tabanlı değil bunun yanı sıra masa üstü uygulamalarını da kapsadığı için daha geniş bir kapsama sahiptir.

Test Sürecinin Tanımlanması

Şartname, uygulamanın hangi güvenlik testlerinden geçirilmesi gerektiğini ve bu testlerdeki bulgulara göre yapılacak işlemleri kapsamalıdır. Özellikle kara kutu testleri gerçekleştirirken bu süreçte uygulama geliştirici firmanın ilgili testlere destek olması gerekebilir. Firmanın bu desteği nasıl sağlayacağı açıkça tanımlanmalıdır.

Kaynak kod analizi, test sürecinin tanımlanmasında önemli bir yer tutmaktadır. Uygulama geliştirici firma yapılan anlaşmaya göre kaynak kodun mülkiyetini kendisinde tutabilir. Bu durumda kaynak kod analizinin yapılabilmesi için geçici bir erişim (kaynak kod geliştirici firmada iken analiz aracının geliştirici firma ortamında çalıştırılması) veya üçüncü taraf bir güvenlik firmasının bu işlemi nasıl yapacağı açıkça belirtilmelidir.

Test sürecinde işletmenin kullanacağı bir kontrol listesi var ise bu listenin şartnamede veya şartnamenin ekinde sunulması uygulama geliştirici firmanın daha geliştirme aşamasında bu testleri kendisinin yapabilmesine olanak tanır ve projenin test sonucunda bulunabilecek olası zafiyetler için uzamasının önüne geçilebilir.

Kullanıcı Yönetimi

İşletme tarafından kullanılan bir kullanıcı yönetim sistemi mevcut ise uygulamanın bu sistem ile entegrasyonu nasıl sağlayacağı belirtilmelidir. Uygulama kendi kullanıcı yönetim sistemini kullanacak ise parola politikası, hesap kapatma süreci, hatalı girişler sonucu hesap kilitlenmesi gibi alınacak önlemler şartnamede tanımlanmalıdır. İşletmenin IS0 27001 gibi bir Bilgi Güvenliği Yönetim Sistemi mevcut ise burada belirtilen kuralların ilgili BGYS ile uyumlu olması gerekmektedir.

Entegrasyon Güvenliği

Günümüzde uygulamalar, işletmelerin birbirleriyle ilişkileri ve farklı birimleri tarafından kullanılan yazılımların veri paylaşım ihtiyaçları nedeniyle bir çok entegrasyon noktasına sahiptir. Şartnamede bu entegrasyon noktalarının sahip olması gereken güvenlik standartları eksiksiz olarak tanımlanmalıdır. Web servisleri gibi entegrasyon noktalarının kimlik doğrulaması, veri filtrelemesi gibi güvenlik kontrollerine sahip olup olmadığı kontrol edilmelidir.

Güvenlik Dokümantasyonu

Uygulamanın devreye alınmadan önce testlerinin yapılabilmesi ve sonrasında operasyon ekipleri tarafından güvenli bir şekilde işletilebilmesi için dokümantasyonunun eksiksiz olması gerekmektedir. Bu dokümanlar aşağıdaki listeyle sınırlı olmamak kaydıyla şu şekildedir:

Güvenlik Mekanizması: Şartnamede belirtilen ihtiyaçların nasıl karşılandığını belirtir.

Kullanıcı Yönetimi Mekanizması: Kullanıcı yönetiminin nasıl sağlandığı, kimlik doğrulama ve yetkilendirme süreçleri hakkında bilgi verir.

Ön Tanımlı Güvenlik: Uygulamanın çalışması sürecinde güvenli bir şekilde işletimini sağlayacak ön tanımlı değerleri gösterir.

Kritik Veri İçeren Bileşenler: Kişisel veriler, finansal bilgiler, vb. gibi erişilmesi veya değiştirilmesinde işletmeyi büyük risk altına sokacak olan verilerin hangi kod, hangi veri tabanı ve entegrasyon noktasında işlendiğini gösteren dokümanlardır. Bu doküman tehdit modellemesi ve risk analizi süreçleri için oldukça önemlidir.

Kurulum Kılavuzu: Olası bir felaket veya olay durumunda uygulamanın uygulamayı geliştirici firma desteği gerekmeksizin kurulabilmesini ve yamalanması süreçlerini tanımlayan dokümanlardır.

Girdi Değerleri: Kara kutu veya dinamik analiz güvenlik testleri gerçekleştirilirken kullanılacak girdileri belirten dokümanlardır. Özellikle bir ekran/modülden diğerine bilgi aktarılan uygulamalarda geçerli bir girdi olmadan diğer ekrana ulaşılamayacağı için bu değerler olmadan testler eksik yürütülecektir.

Güvenlik Testleri

Güvenlik testleri uygulamanın devreye alınma kararı verilmesinde önemli girdilerden birisidir.

Test Zamanı

Güvenlik testleri kesinlikle üretim ortamına alınmadan önce, ön üretim (pre-production) ortamında yapılması ve çalışacağı ortama ilişkin gerçek verilere eşdeğer veriler içermesi etkinliği için oldukça önem arz etmektedir.

Test Ekibi

Testlerin gerçekleştirilmesinde; işletme bünyesinde çalışan güvenlik ekipleri veya dış kaynak kullanımı tercih edilebilir. Bu tercihte belirleyici olan unsur uygulama üzerinde test yapacak ekibin yetkinliği ve maliyettir. İşletme bünyesindeki ekibin ilgili uygulama teknolojisi hakkında yeterli bilgisi yok ise testin gerçekçi sonuçlar üretebilmesi için konu hakkında bilgi sahibi üçüncü bir taraftan destek alınabilir. Test; dış kaynak kullanımı ile gerçekleştirildiği durumda işletme bünyesindeki ekibin çalışmaya eşlik etmesi ile işletme bünyesindeki ekibe bilgi birikimi aktarılması sağlanabilir.

Araçlar

Testin doğru sonuç üretebilmesi için ekibin yetkinliği kadar doğru test araçlarının kullanımı da önemlidir.

Kara kutu test araçları kullanılırken en önemli husus dokümantasyon başlığında değinilen geçerli girdi parametrelerinin yapılandırılmasıdır. Bu parametreler araçlara tanıtılmadan uygulamanın araç tarafından tüm bileşenlerine erişilerek (crawl) test edilmesi sağlanamaz.

Kara kutu testlerinde bir diğer husus da CAPTCHA gibi otomatik araçların çalışmasını engelleyecek bileşenlerin test sürecinde devre dışı bırakılması veya hep aynı değeri üretecek şekilde yapılandırılmasıdır.

Kaynak kod analizi için uygulama geliştirici uygun araçlar ile bu işlem gerçekleştirilmelidir. Aracın sadece kod yazılımını değil veri akışını (data flow) da takip edebilmesi ve kullanılan çözüm önerilerini algılayabilmesi testin başarısı ve hatalı bulgu oranını azaltması açısından önemlidir.

Kaynak kod testinde eğer açık kaynaklı veya üçüncü taraflar tarafından geliştirilmiş bileşenler kullanılmış ise bunların derlenmiş kütüphaneleri yerine kaynak kod hallerinin eklenmesi bu bileşenlerden kaynaklanan açıklıkların tespitine olanak sağlayacaktır.

Kontrol Listesi

Her ne kadar araçlar testlerin büyük kısmını gerçekleştirebilseler de özellikle yetkilendirme gibi konularda mantıksal zafiyetlerin tespitini yapamamaktadırlar. Yetki denetimleri, kimlik doğrulama, parola yenileme, CAPTCHA etkinliği, kritik bilgi sızması gibi testler için bir kontrol listesinin bulunması bu alanlardaki zafiyetlerin gözden kaçmasını engelleyecektir. Bu kontroller ile test süreci zafiyet değerlendirmesinden sızma testine dönüştürülmüş olur.

Raporlama

Test sürecinde tespit edilen zafiyetler uygulamanın sahibi olan birim ile paylaşılmalıdır. Bu süreçte yapılan hatalardan birisi uygulamanın sahibi olan iş biriminin haberi olmadan raporun sadece uygulama geliştirici ekip ile paylaşılmasıdır. Raporun iş birimi tarafından değerlendirilmesi ve risk analizi sonucu proje sürecinin değerlendirilmesi gerekmektedir.

Güvenlik ekibi bu aşamada zafiyetlerin giderilmesi sürecinde iş birimine danışmanlık yapar ve varsa geliştirici ekibin sorularını cevaplar. İş birimi ve uygulama geliştirici ekibin mutabakatı ile tekrar testini planlar ve gerçekleştirir.

Destek Süreci

Uygulama, iş birimleri tarafından kullanıldığı sürece uygulamanın güvenliğini sürekli olarak sağlamak gereklidir. Gerek planlı testler ile gerekse de çalışanlar veya dışarıdan gelen bildirimler ile çeşitli zafiyetler tespit edilebilir.

Zafiyet Giderme

Destek sürecinde tespit edilen zafiyetlerin şartnamede belirtilen süreler içerisinde giderilmesi gerekmektedir. Burada operasyonel kolaylık açısından zafiyet giderme ile hata giderme süreçlerinin eşdeğer yapılması tercih edilebilir. Böylelikle hata tipinden bağımsız yönetilebilen tek bir süreç elde edilir.

Sıkılaştırma

Tespit edilen zafiyetlerin uygulamadan kaldırılması uzun zaman alabildiği durumlarda uygulamanın zafiyetler nedeniyle saldırılardan etkilenmemesi için sıkılaştırma önlemleri alınmalıdır. Bu işlem için uygulama sunucusu üzerindeki modül, işletim sistemi ve veri tabanı sıkılaştırmaları yapılabileceği, erişim kontrolleri uygulanabileceği gibi aktif önlem olarak web uygulama / XML güvenlik duvarları da kullanılabilir.

Karne

Geliştirici firmanın destek sürecinde zafiyetleri giderme süreciyle ilgili bir karne düzenlenmelidir. Bu karne ile firmanın zafiyet gidermedeki yetkinliği ve şartnamede tanımlanan hizmet sürelerine uyup uymadığı görülebilir. Bu karne, işletmenin yapacağı diğer uygulama teminlerinde ilgili firma ile çalışılma sürecinde faydalı olacaktır.

Sonuç

İşletmeler en az kendi geliştirdikleri uygulamalar kadar dışarıdan temin ettikleri uygulamaların güvenliğinden de emin olmak durumundadırlar. Bu uygulamalar işletmenin korunması gereken varlığı haline gelir ve içerideki diğer varlıklar ile birlikte çalışırlar.

Uygulamaların güvenliğini sağlamak geniş atak yüzeyleri nedeniyle devamlı dikkat isteyen bir konudur. Kara kutu testleri ve statik kod analizleri bize bu alanda kolaylık sağlasa da entegrasyon noktaları ve mantıksal hatalar yeni atak noktaları oluşturmaktadır. Bu da uçtan uca tüm süreçleri kapsayan bir güvenlik yönetimi ihtiyacı doğurmaktadır.

TEKNOLOJİ : BİLGİSAYARINA LİNUX KURMAK İSTYEYENLER BURAYA BAKSIN

LİNK : ftp://ftp.linux.org.tr/

TEKNOLOJİ : Derin İnternet Nedir ? Nasıl gireriz ? Ne buluruz ? ( Kesinlikle Okuyunuz )

Öncelikle DEEP WEB nedir?

Bu yazıda Deep Web’i, DarkNet’i ve benzerlerini genel hatlarıyla, basitçe ve herkesin anlayabileceği şekilde tanıtmaya çalışacağım. Biraz ön bilgi ve sistemi kavramaya yardımcı olmaya çalışacak şekilde. Web kelimesini bazı yerlerde internet, bazı yerlerde ağ olarak kullanmayı uygun gördüm. Eksiklerim, yanlışlarım için lütfen destek olun, düzeltelim.

Önce biraz temel bilgi.

İnternetin Katmanları

Derinlere inmek için önce internetin katmanlarını tanımak gerekli.

0. Seviye Internet

Bildiğimiz internet ve içindeki her işe yarar/yaramaz bilgi.

1.Seviye Internet

Namı diğer, Surface Web (Yüzey Ağı). Internetle vasatın üstünde haşır neşir olan insanların bulabildiği, kullandığı bilgi ve servisler. Örnek olarak hostingler, kullan-at e-posta servisleri, üniversite ağları vb. diyebiliriz.

2.Seviye Internet

Namı diğer, Bergie Web (Bergie Ağı). Eğer ftp server kullanmayı biliyorsanız kilitlenmiş Google sonuçlarına ulaşabiliyorsanız, 4chandan Freehiveden RSCden haberiniz varsa siz aynı zamanda bir Bergie Ağı kullanıcısısınız. Bergie ağı DNS üzerinde döner ve buradaki websiteleri hala indexlenmiştir.

3.Seviye Internet

Namı diğer, Deep Web. Deep Web, Anonim Ağları bilen, proxy kullanmaya alışkın, tor gibi servislerden haberdar kullanıcılar için. Genellikle ulaşılması zor ve gizli kısımlara işaret eder. Bunu ve Charter Webi uzun uzun anlatacağım için burada kısa keseceğim.

4.Seviye Internet

Namı diğer, Charter Web (Charter Ağı). Deep Webin devamı niteliğinde, artık buraya DarkNet diyebiliriz çünkü websitelerinin DNS kullanmadığı bir evrede. Deep Web ve Charter Webde bol bol illegal içerik ve hizmeti bulabilirsiniz.

5.Seviye Internet

Namı diğer, Marianas Web (Mariana Ağı). Adını dünya üsündeki en derin çukurdan almış bu katman, sadece adı konmuş bir efsane gibi. Oraya giden bir daha dönmedi tarzı yorumlar dışında hakkında pek bilgi yok. Rivayet o ki, closed shell network ile ve polymeric falcighol derivation adlı bir hesaplama yardımıyla ulaşılabiliyormuş. Bu seviyeyle ilgili bilgim bundan ibaret.

DNS ve Proxy

Gelelim DNSi ve proxyi tanımaya

DNS: Özet geçeyim, sıkmasın. Domain Name Systemın (Alan Adı Sistemi) kısaltmasıdır. Adres çubuğuna bir websitesinin adını yazdığımızda o siteyi görüntüleyebilmemizden sorumlu temel servistir. DNSte, internet ağına dahil olan her makinenin bir IPsi olması gerekir. Örneğin adres çubuğuna google.com yazdığımızda, biz bu sistemde artık bir IP olarak var oluruz ve google.coma karşılık gelen IP ile aramızda iletişim kurulur.

Proxy: Bir kapıdır, adı itibariyle elçi, vekil anlamına gelir. Bizdeki IPnin değişik görünmesini sağlar. Üç temel çeşidi vardır, transparan proxy, anonim proxy ve elit proxy.

*Transparent Proxy, dediğimiz şey, bizim anonim olarak kalmamızı sağlamaz. Duruma göre, ülkeye/alana verilen bant genişliğini aşarak internette daha hızlı dolaşmamıza vb. yardımcı olur.

*Anonymous Proxy, ise bize rastgele bir IP atar ya da kendi IPsini kullanmamızı sağlar. Yine daha hızlı bağlanmaya yarayabileceği gibi, transparent proxye göre göreceli olarak gizlilik sağlar. Fakat birinin Anonymous Proxy kullandığı anlaşılabilir ve Proxy sunucusundan bizim IPmiz elde edilebilir.

*Elite Proxy, bu üçünün içinde gizliliğin en çok sağlandığıdır. Bizi proxyymişiz gibi gösterir.

Daha anlaşılır olması için şöyle karşılaştıralım:

REMOTE_ADDR

HTTP_VIA

HTTP_X_FORWARDED_FOR

Proxysiz

Bizim IPmiz

boş

boş

Tr. Proxy

Proxy IPsi

Proxy IPsi

Bizim IPmiz

An. Proxy

Proxy IPsi

Proxy IPsi

Rastgele/Proxy IPsi

Elite Proxy

Proxy IPsi

boş

boş

DNS ve Proxynin de üstünden de geçtik.

Gerisinde işler biraz karışabilir o yüzden araya bir bilinse iyi olur notu koyalım: Konu zaten çok açık açık her tarafta olan bir şey olmadığı için bazen kavram kargaşası, terminolojik sıkıntı olabiliyor. Ben genelde kabul gördüğü üzere Deep Webi UnderNet ile eş anlamlı kullanmayı tercih ediyorum. Dark Interneti indexlenmeyen fakat P2P bağlantı gerektirmeyen bilgilere ulaşılan kısım; DarkNeti ise, Invisible Web ile eş anlamlı olarak, DNSe dahil olmayan Charter Web alt kısmı olarak kullanıyorum.

Yazının geri kalanında ayrı bir ayrım gerekmediği sürece google ile ulaşamayacağımız, gizli, indexlenmemiş, DNS kullanmayan, illegal içeriğe sahip ve nasıl ulaşılacağı ile kullanılacağını anlatacağım kısma ve bütün Charter Webe çok doğru olmasa da Deep Web diyeceğim.

Pseudo-TLD

Demiştik ki, bizim ulaşmak istediğimiz siteler DNS kullanmıyor. Bu demektir ki sitelerimizin adı, alışkın olduğumuz şekilde siteninismi.com, .net, .org vb. formunda değil.

Bu formda olmayan saklı alan adlarına pseudo top level domain deniyor. Örnek olarak bitnet, i2p, exit, onion, freenet diyebiliriz. Bitnet olsun uucp olsun biraz eskilerde kaldı, benim üzerinde duracağım alan adı onion olacak. Talep olursa diğerleriyle ilgili dökümanlar da yazabilirim.

TOR

Toru tanıyalım:

Tor, aslında The Onion Routerın kısaltması. Clientınıücretsiz olarak burdan indirebiliyoruz. Onion Routing şöyle bir şey, İstanbuldan Ankaraya gidip dönmek istiyorsunuz diyelim, otobüs önce Konyaya gidiyor, ordan Boluya geçiyor, Boludan Kütahyaya gidip en son Ankaraya ulaşıyor, sonra da benzer bir güzergahla geri dönüyor. Bu ara şehirlerdeki otogarların her biri bir Onion Router (OR). Her bir OR arasında bilgi şifreli ilerlediğinden ve her bir OR rastgele atandığından, bir bilginin elde edilmesi ve trafiğin tamamen çözülebilmesi ancak olası bütün ORların kontrol altına alınmış olmasıyla mümkün.

Tor ile Bağlanmak

Tor kullanarak bir websitesine bağlanmak istiyorsak, daha once bahsedilen pseudo-top level domainlerden .onionı kullanmamız gerekecek. Websitelerinin IPsi ve alışkın olduğumuz gibi isimleri yok, .onion domaininde siteler 16 alfa numerik karakter.onion şeklinde isimlendiriliyorlar. Bu sitelere, isimlerini Tor browsera yazarak ulaşabiliyoruz. Eğer Tor browser kullanmak istemiyorsak, ki aslında istemeliyiz, World Wide Webi Tora bağlayan proxyler de mevcut. Örnek olarak onion.toyu ve tor2web.orgu verelim. Fakat bunların güvenliğinin Tor ile kıyaslanması tamamen farklı bir makalenin konusu olacaktır.

Daha önceden bahsedildiği gibi, Deep Webde siteler indexlenmiyor. O yüzden burda yolumuzu tamamen eski tarzda buluyoruz. Hatırlayalım, bırakın Googleı, Yahoo Searchü, AltaVistanın olmadığı zamanlar vardı. Radyodan, televizyondan ya da arkadaşımızdan bir sitenin ismini duyduysak ancak o şekilde adres çubuğuna yazıp girebiliyorduk. Torda sitelerin isimleri de sıkça değiştiği için sitenin .onion adını bilmek bile bazen bir işe yaramayabilir. Bu durumda yine başvurabileceğimiz birkaç servis var, sağlam bir tanesinin adı HiddenWiki. Bildiğimiz Wikipedianın underground versiyonu. Buradan birçok sitenin güncel adresine ulaşabiliriz, elbette hepsine değil. Gerisi içinse aramanın gücüne inanmak ve çevre edinmek gerekiyor. Girdim bir yerlere deyip de Bu muydu, sıkıldım ben. diyorsanız, ya kendi halinde, legal bir karakteriniz var ya da Googlea alışkın olduğunuz için ilginizi çeken sitelere ulaşmakta güçlük çekiyorsunuz.

Deep Webin İçeriği ve SSS

Deep Webde ne bulacağım?

Illegal ne istiyorsanız Deep Webde bir karşılığı var. Bilişimciler; virus, solucan satın alabileceği ya da yazdırabileceği kaynaklar, kendileri yazmak isterlerse nasıl yapılacağına ilişkin inanılmaz sayıda döküman bulabilirler. Havai fişekten patlayıcıya geniş bir how-to arşivi var, evinizi patlatabilirsiniz. Silah satın alabilir, sahte pasaport düzenletebilir, kendinize bir FBI kimliği yaptırabilirsiniz. Uç noktalarda, parası karşılığında birini öldürtebilirsiniz. Çocuk pornosu, snuff izleyebilir, yasaklanmış yayınları satın alabilirsiniz.

Evinize uyuşturucu sipariş edebilirsiniz. Bir hacker kiralayabilir, dedektifçilik oynayabilirsiniz. Borsa spekülasyonlarını ilk elden dinleyebilirsiniz. Yayınlanmamış WikiLeaks belgelerine bakınabilir, Oslo görüşmelerini okuyup sövebilirsiniz. Deep Web, sizin ilginize ve bulabilme yeteneğinize kalmış bir derin dünya.

Satın almak dedin?

En baştan beri gizlilik diyoruz, ödemeyi elbette kredi kartımızla yapmıyoruz. Bitcoin denen bir şey var, Deep Webin para birimi. Paramızı bitcoine çevirip alım satım işlemlerimizi bu döviz üzerinden yapıyoruz. Bitcoin de gerçek bir para birimi gibi, değeri düşüp artan bir şey. Güvenilirliğini sağlayan şey, Tor ile ilişkili olmanın yanısıra, merkezi bir para döngüsüne sahip olmaması. Bu arada, aynı gerçek hayattaki döviz gibi bitcoin alıp satarak zengin de olmaya çalışabilirsiniz.

GÖRKEM BAYINDIR

ÖZEL BÜRO HACK TİMİ

YÜKSEK STRATEJİ

strateji, istihbarat, güvenlik, politika, jeo-politik, mizah, terör, araştırma, teknoloji

%d blogcu bunu beğendi: