Etiket arşivi: İbrahim Baliç

Twitter’ı çıldırtan Türk hacker, üst düzey yetkililere attığı mesajı yayınladı

6 Şubat 2020 Ergün Varlık Yorum yapın

Sosyal medya sitesi Twitter salı günü, milyonlarca kullanıcının telefon numarasının tespit edilmesine yol açan bir zafiyetin saldırganlar tarafından istismar edildiğini açıkladı. Şirketin 4 Aralık günü kamuoyuna duyurduğu ve ‘özellik’ olarak nitelediği güvenlik açığını, aylar öncesinde Türk güvenlik araştırmacısı İbrahim Baliç ortaya çıkartmıştı.

Baliç’in istismar ettiği güvenlik açığının bir açık olmadığını bir özellik olduğunu dile getiren firma olayın duyulmasının ardından tepki olarak İbrahim Baliç ismiyle açılan diğer hesapları da kapatmıştı. Kendi ürettiği 2 milyardan fazla telefon numarasını Twitter’a yüklenebileceğini keşfeden Baliç bu özelliği kullanarak içerisinde farklı ülkelerden üst düzey yetkililerin de bulunduğu birçok ismin telefon numarasına ulaştı. İsrail, Türkiye, İran, Yunanistan, Ermenistan, Fransa ve Almanya’daki kullanıcıların telefon numaralarını iki ay boyunca eşleştirdi. Fakat 20 Aralık’ta Twitter’ın müdahalesi ile bu çalışma sona erdi.

İLGİLİ HABER> BALİÇ: SUÇLU DEĞİLİM AÇIK BULUNCA SÖMÜRÜYORUM

Beyaz Takım AŞ’nin CTO’su Baliç Twitter’ın zafiyeti kabul ettiğini açıkladığı gün Linkedin hesabından, Twitter’ın açığını istismar ederek ulaştığı cep telefonlarından kurduğu WhatsApp grubuna attığı mesajı yayınladı.

ibrahi baliç

Baliç, mesajında zafiyetin nasıl etkileri olabileceğini aralarında bakan milletvekili ve belediye başkanlarının da bulunduğu kişilere anlatmaya çalışıyor. Telefon numarası üzerinden mobil gereçte kullanılan uygulamaların bilgisine erişilebileceğine ve bu uygulamalardaki bilinen açıklardan faydalanarak farklı bilgilere ulaşılabileceğini açıklıyor:

GÜVENLİK AÇIĞI NASIL İSTİSMAR EDİLDİ?

Twitter’ın Android uygulamasına kayıtlı olduğunuz e-posta adresi ve telefon numarası ile hesabınızı başkaları tarafından bulunabilir hale getirebiliyorsunuz. Bunu gizlilik ayarları ile değiştirmek mümkün. Telefon numarasıyla siz başkalarını bulmak istediğinizde adres defterinizdeki kişileri Twitter uygulamasına yüklemeniz gerekiyor. Böylece Twitter’a numarasını vermiş ve gizlilik ayalarını numarası bulunmayacak şekilde değiştirmemiş kişiler sizin telefon rehberinizde ise onların hangi hesapları kullandığını görebiliyorsunuz.

balic

Twitter ise açıklamasında konuyla ilgili araştırmaya devam ettiklerini açıkladı.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Türkiye

Twitter’ı çıldırtan Türk hacker Baliç: “Suçlu değilim, açık bulunca sömürüyorum”

29 Aralık 2019 Ergün Varlık Yorum yapın

Küresel teknoloji firmalarının güvenlik açıklarını hackleyerek gündeme gelen Türk güvenlik araştırmacısı ve Beyaz Takım AŞ’nin CTO’su İbrahim Baliç, Twitter’ın Android uygulamasındaki bir açığı istismar ederek 17 milyon telefon numarasının hangi Twitter hesabıyla eşleştiği bilgisinin elde ettiğini açıkladı.

Techcrunch’da yayınlanan haberin ardından Twitter, İbrahim Baliç ismiyle açılmış tüm hesapları kapattı. Baliç’in istismar ettiği güvenlik açığının bir açık olmadığını bir özellik olduğunu dile getiren firma olayın duyulmasının ardından tepki olarak İbrahim Baliç ismiyle açılan diğer hesapları da kapattı.

WHATSAPP GRUBU KURDU, KULLANICILARI UYARDI

Kendi ürettiği 2 milyardan fazla telefon numarasını Twitter’a yüklenebileceğini keşfeden Baliç bu özelliği kullanarak içerisinde farklı ülkelerden üst düzey yetkililerin de bulunduğu birçok ismin telefon numarasına ulaştı. İsrail, Türkiye, İran, Yunanistan, Ermenistan, Fransa ve Almanya’daki kullanıcıların telefon numaralarını iki ay boyunca eşleştirdi. Fakat 20 Aralık’ta Twitter’ın müdahalesi ile bu çalışma sona erdi.

Techcrunch, Baliç’in elde ettiği telefon numaralarından bir bölümünü test etmek için ‘parola yenile’ uygulamasını kullandı ve Baliç’in iddialarını doğruladı. Techcrunch, haberinde kendi araştırmaları sonucunda üst düzey bir İsrailli siyasetçinin telefon numarasına ulaştığını duyurdu.

Twitter, bu açığın bir daha istismar edilmesinin önüne geçmek için çalışma yapıldığını duyurdu.

Konuyla ilgili YouTube kanalında bir açıklama yapan Baliç, bir WhatsApp grubu kurarak önemli olduğunu düşündüğü kullanıcıları uyardığını söyledi. Facebook’un da benzer açıklarını istismar ettiğini hatırlatan Baliç, “Böyle şeyleri eğlence için, egomuzu tatmin etmek için yapıyoruz. Bir açık bulduğumuzda da sömürüyoruz.” diyerek motivasyonun asla bir suç ile iştigal olmadığını açıklıyor.

EKREM İMAMOĞLU DA LİSTEDE

“Suçlu olmadığını insanları uyardığımı ekran görüntüleri ile ispatlayabilirim. Ekrem İmamoğlu da dahil olmak üzere Türkiye’den üst düzey 250 kişinin olduğu bir WhatsApp grubu kurdum ve kullanıcıları uyardım”

“Yunanistan’a pislik yaptım. Özellikle hedef aldım. Alma sebebim de savaş pilotlarının bizim gemimizi hedef aldığını fotoğraftı.”

Twitter’a neden haber vermediği sorusunu da cevaplayan Baliç, şirketin bunu bir güvenlik açığı olarak değil bir özellik olarak gördüğünü açıkladığını bu yüzden Twitter’ı değil insanları uyarmayı kendine vazife olarak gördüğünü söyledi.

Twitter aramalarında hakkında sadece olumsuz sonuçların çıktığını belirten Baliç, hakkında yazılan olumlu yorumların aramalarda çıkmadığını söyledi.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

https://www.youtube.com/watch?v=e9nql1eubII

Makale & Analiz

100 binde 1 ihtimal: Bilinmeyen Twitter kullanıcıları nasıl bulunur? Cevabı Locard’da

21 Mayıs 2017 Nazlı Zeynep Bozdemir Yorum yapın

11 Mayıs’ta hem İstanbul’da hem de Ankara’da iki önemli siber güvenlik etkinliği düzenlendi. Türkiye’nin ve bölgenin DefCon’u olma yolunda hızla ilerleyen NopCon ile Ankara’da BTK’nın ev sahipliğindeki Locard Global Siber Güvenlik Zirvesi’nde siber güvenliğin farklı boyutları yerli ve yabancı uzmanlar tarafından değerlendirildi.

Her ne kadar Locard’ın sloganı “Are you safe?” olarak belirlenmiş olsa da, etkinliğin en göze çarpan eksikliği, seçilmiş belirli bir temaya sahip olmamasıydı. Bu durumun en belirgin yansıması, her biri alanında oldukça başarılı olan konuşmacıların sunum konuları arasındaki akışın kopukluğuydu. Tüm programa yer vermek her ne kadar mümkün olmasa da, yazının devamında dikkatimi çeken konuşmalara değinmeye çalışacağım.

Alışıldık sunumlardan farklı olarak pratiğe dayalı bir konu seçen İbrahim Baliç, sunumunda, devletlerle işbirliği konusunda her zaman eşit davranmadığı bilinen Twitter’dan bilgi almadan da bir kullanıcıyı bulabilir miyiz sorusuna cevap aradı. “Şifremi Unuttum” başlığına tıkladıktan sonra karşımıza çıkan hatırlatma seçenekleri arasında paylaşılan kayıtlı telefonun son iki hanesi ve statik bir veri içeren “method hint” bilgileriyle bu arayışa başlayan Baliç, 100 bin ihtimalin arasından istenen telefon numarasını, 45 satırlık ufak bir script aracılığıyla nasıl bulduğunu anlattı. Her ne kadar Baliç, sunumunda bu süreci ustalıkla açıklasa da, dinleyen kişiler arasında eve dönüp, aynı el çabukluğuyla bu veriye ulaşan olduğuna inanmak güç 🙂

Geçmiş etkinliklerden aşina olduğum ve BTK’yla yakın olduğu her halinden belli olan EnigmaSec CEO’su Igor Lukic, sunumunda bir CEO’yu nasıl hackleyebilirsiniz sorusuna cevap aradı. Lukic, özellikle kendi cihazlarını kullanmaya meyilli olan, bu bilgisayarları “admin” haklarıyla kullanan, sürekli hareket halinde ve kamunun göz önünde olan, 3ncü parti uygulamaları sıklıkla kullanan ve hediyeleri seven CEO’ların, siber alanda aslında oldukça savunmasız olduklarını söyledi.

Lukic’in bahsettiği bu savunmasız hal, yüksek mevkili insanları hedef alan, “whaling” yani Balina avcılığı olarak adlandırılan özel oltalama (phishing) saldırılarıyla suiistimal ediliyor. Bu yöntemi kullanan saldırganların yalnızca sosyal medya analizleriyle bile seçilen şahsın uyku düzenini, bulunduğu konumu, hoşlandığı/hoşlanmadığı şeyleri ve daha pek çok normalde şahsi sayılacak bilgiyi ortaya çıkardığı biliniyor. CEO’ların Excel kullanmayı sevdiğini ve Excel’in hedefli oltalama saldırılarına en imkan veren uygulamalardan biri olduğunu kaydeden Lukic, bu saldırıları mümkün kılan diğer fiziksel oyuncaklardan da bahsetti. Bu oyuncaklar arasında isimlerine aşina olduğumuz Poisontap (cookieleri çalıyor, iç router’ı savunmasız bırakıyor ve kitli bilgisayarlara arka-kapı bırakıyor), Rubberduck (44 dolarlık bir USB üzerinde olan bu yazılım ile herhangi bir bilgisayarın klavyesini ele geçirmeniz mümkün – bütün şifreler, yazışmalar, vb.) ve LAN Turtle’ı (USB Ethernet Adaptörü gibi gözüküp, uzaktan erişime ve Man-in-the-Middle saldırılarına imkan tanıyor) saymak mümkün.

Değinmek istediğim son konuşmacı olan CounterCraft şirketinin CEO’su David Barroso, en ilgimi çeken sunumlardan birini gerçekleştirdi. Konuşmasında, hedefli saldırılarda saldırganları gerçek-zamanlı aktif bir yanıt sistemiyle kandırma, otomatik karşı-istihbarat kabiliyetleri geliştirme konularından bahseden Barroso, temel yaklaşımlarının karşı-istihbaratın taktiksel olarak kullanılması olduğunu belirtti. Büyük şirketlere saldıranları sahte bilgisayarlar, yanlış veriler ve sahte kimlikler üzerinden aktif olarak manipüle ettiklerini söyleyen Barroso’nun sunumu, bir çok yönüyle “sıradışı” ya da “kutunun dışında” (out- of-the-box) düşünce yapısını benimsemedikçe güçlü bir güvenlik ortamı yaratmanın bir hayal olduğunu bir kere daha hatırlattı.

Kanımca bu tarz yaklaşımların temel amacı, size saldırana geri saldırmaktan ya da saldırı ihtimalin tamamen ortadan kaldırmaya çalışmaktan ziyade, size saldıranın saldırı yollarını aksatmak/akamete uğratmak olmalı. Bu sayede savunma yollarını hücuma dönüştürebilmek de mümkün hale gelebilir. Klasik devlet/kurum yapıları karşısında sürekli gelişen ve güçlenen asimetrik ve alışılmadık tehditler, önümüzdeki dönemde bu ve benzeri düşmanları yönetmeye, davranışlarını çok iyi gözlemleyip manipüle etmeye imkân tanıyacak “asi” yaklaşımların benimsenmesini zorunlu kılacağa benziyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]

Siber Bülten