Arabellek Aşımı Saldırırsı! (Buffer Overflow Attack)
Yazan: Alpin Karagözoğlu
1- Bir bilgisayarda işlem yaptığınızda bilgisayar söz konusu işlemi kimi zaman direkt olarak Sabit Disk’e (HDD) ya da ilgili depolama birimine yazmaz. Bunun yerine Bellek (RAM) üzerinde geçici olarak konumlandığı ve ileride topluca yazılacağı bir alanda tutar. Burası ara bir bellektir. İşte bu alana “buffer” ya da tampon yahut arabellek diyoruz.
Arabellek belirli bir alana yani boyuta sahiptir. Ancak bu alan bazen programsal hata (bug) sonucunda haddinden fazla bilgi ile yüklenir. Bazen de kötü niyetli bir saldırgan söz konusu yol ile bu alana haddinden fazla büyüklükte bilgi yükleyebilir. Bu haddinden fazla yükleme söz konusu alanda taşkına sebep olur.
İşleyişi;
Bir saldırgan bu sorunu kendi çıkarına kullanarak söz konusu alana alabileceğinden fazla uzunlukta bir değer yükler bunun sonucunda artan kısım yani taşan kısım direk olarak çalıştırılabilinir hale gelir. Bu taşan kısıma saldırgan çalıştırabilinir bir kod yüklediğinde amacına erişmiş ve Arabellek Aşımını kullanıp içeride (uzaktaki bir pc de ya da sunucuda) kötü niyetli bir kod çalıştırmış olur.
Teknik Bilgi Bu bölümü atlayıp korunma yöntemi için 3. Bölüme geçebilirsiniz…
Örnek bir Bellek Aşımı için c kodu;
KOD; (Arabellek aşımı saldırısına örnek kod;)
#void fonksiyon(char *str)
#{
# char foo[16];
#
# strcpy(foo, str);
#}
#
#void main()
#{
# char buyuk_array[256];
#
# memset(buyuk_array, 'A', 255);
# fonksiyon(buyuk_array);
#}
Yukarida yaptigimiz sey, normalde 16 byte alabilecek bir array’a 255 byte
saklamaya calismak. main() icinde 255 bytelik bir array’i fonksiyon()’ a
parametre olarak gonderdik, fonksiyon icinde ise array’lerin sinirlarini
kontrol etmeden, strcpy() ile uzun array’in tamamini foo[] dolup tasana
kadar kopyaladik.”
KAYNAK ve devamı için: http://www.enderunix.org/docs/bof.txt
3-Peki bu tip bir saldırıdan korunmak için yapabileceğimiz şeyler neler?
Yazılarım da , özellikle son kullanıcıya yönelik bilgiler vermekteyim. Korunma yollarında yine bu kolaylıkla gideceğim;
Comodo firması başta güvenlik duvarları, anti-malware, anti-spam, güvenlik sertifikaları olmak üzere bir çok bilişim sistemleri güvenliği alanında ücretli ve ücretsiz ürünler geliştirip, üretip, satıyor.
Bu tip saldırıları önlemek için Memory Firewall’ ı Comodo firmasının internet sitesinden ücretisiz olarak indirebilir ve yine ücretsiz olarak kullanabilirsiniz. Program sizden ayar istemeyecektir. Kendi halinde sistem tepsisinde yerini alacak ve sessiz sedasız görevini yapacaktır.
Comodo Memory Firewall için: http://www.memoryfirewall.comodo.com/
Diğer ücretsiz Comodo ürünleri için: http://www.comodo.com/products/free_products.html
NOT: Ayrıca Comodo Firewall-Güvenlik duvarı şuanda programsal güvenlik duvarları arasında, testlerde uzun süredir birinci sırada ve öylede kalmaya kararlı…
Kaynaklar;
http://www.enderunix.org/docs/bof.txt
http://en.wikipedia.org/wiki/Buffer_overflow
http://www.mcafee.com/us/local_content/white_papers/wp_ricochetbriefbuffer.pdf
Var Oluş Projesi – Project Existence
Proje Resim, tasarım ve canlandırmalarına ulaşmak için lütfen tıklayınız!
Bir düşünün, var oluşun aslında hayallerle sınırlı olduğunu. Bir düşünün herşeyin düşünmekten ibaret olduğunu. Sanalın gerçek olduğunu yani bir sanal gerçeklik düşünün!
Her varlığın ve var oluşun bir hikâyesi vardır, peki ya var oluş olgusunun tam ortasında olduğunuzu ya da başında olduğunuzu düşünsenize. İşte bu yazının amacı tüm bunları size sağlayan bir projeden bahs etmek.
Yazının devamını okumak için tıklayınız!
“TEMPEST” Sürekli bilgi sızdırıyoruz!
Yazan: Alpin Karagözoğlu
Çoğunlukla elektronik aletlerimiz elektromanyetik radyasyon yarar. Ancak bu belirli ölçülerde olup, insan sağlığını etkilemez. Tabi bu denetlenen ürünler için geçerlidir. (Örn: CE İşareti, açılımı compromising emanations.) Bu altelere örnek vermek gerekirse, monitörlerimiz, televizyonlarımız, mikrodalgalarımız, kablolarımız, pc içerisinde yer alan ekipmanların bazıları. Söz konusu dalgalar, sinyaller için belli standartlar geliştirilmiştir. Geliştirilen bu standartlar minumum düzeye çekilmiştir.
Bu sinyaller veya dalgalar, elektronik aletten sızdıktan sonra hava ve iletkenler vasıtası ile yayılır. Peki bu sinyalleri, bir araya getirip, birleştirip, bazı şekilleri ortaya çıkarırsak neler olabileceğini bir düşünün. Hayal değil yapılan araştırmalar sonucu ki bu araştırmalar 40 yılı aşkın bir süredir yapılıyor. Teorik olarak tüm bu kablolardan, parçalardan yayılan elektromanyetik dalgalar yeniden üretilebilinir veya tekrarlanabilinir.
CRT (tüplü monitörler) ekranlar için bu bilgilerin toplanabildiği
ortaya çıkmıştı.
Buna TEMPEST Sniffing adı veriliyor. Sniffing mantığına bakarsak olayın temelinde açıkta dolaşan kriptolanmış ya da kriptolanmamış verilerin yakalanmasından geçiyor. Bir nevi verileri kokluyorsunuz. (Sniff).
Hatta LCD ekranların da CRT monitörler gibi teoride ekran görüntülerinin çalınabileceği varsayımı yapıldı. TEMPEST için geliştirilen ekipman ve donanımların maliyeti her ne kadar yüksek boyutlarda da olsa. Ülkelerin, ulusal güvenlik, proje, strateji gibi verilerinin bu yolla ele geçirilmesi mümkün olabilir. Zaten bunu en güzel, filmler konu olarak işliyor. Kurşun duvarlarla çevrili, yer altı ya da dağın içine inşa edilmiş merkezler, elektromanyetik dalgalara karşı korunan yapılar. Gayet güzel kurgulanıyor. Ancak işin gerçeği bunlar, kurgu değil.
Şöyle düşünün x bir devlet y bir devletin TEMPEST’e karşı korumasız olan önemli bir firmasının projelerini çalmak istiyor. Bu durumda sistemlerini güvenlik duvarları ile, güçlü saldırı önleme yazılımları ile koruyan, bu firma için yapılabilecek pek az şey var demektir. Söz konusu sinyallerin, dalgaların orada yani araştırma yapılan yerde kalamasını sağlamak zorundalar. Ya da bir şekilde emilimini gerçekleştirmek zorundalar.
Bizde 2007-2008 senelerinde kurulan ancak diğer ülkelerde çok önce kurulmuş ulusal bilgi bankası umarım bu güvenlik yapılarına sahiptir. TEMPEST dışında, EMP (Electro Magnetic Pulse) saldırılarına karşı korunması açısından da bu önlemler gereklidir. Zaten EMP koruması olan bir alanda TEMPEST Sniff’ in sorun olacağınıda pek sanmıyorum.
Merak edenler için EMP; Çok kısa anlığına fakat çok büyük bir güç- ile elektronların, elektromanyetik bir dalganın boşalımıdır.) Bunu başlı başına sağlıyabilen bir sistem varmı tam olarak bilmiyorum. Ancak nükleer patlamalar bunu gerçekleştirmektedir. Yerin metrelerce altında bir nükller patlama ile güçlü bir EMP elde edilebilinir. Tarihe baktığımızda Hiroşimada patlama şiddetinden etkilenmeyen bölgelerde bir çok elektronik sistemlerin geçici ya da kalıcı olarak kapandığı kayıtlarda vardır.
Son araştırmalarda LCD monitörlerinde Tempest Snifflere maruz kalabileceğinide göstermektedir. Neyse ki şuan için CRT Tempest Sniff sistemleri yasadışı olarak tanımlanmakta. Ancak yasal olsa dahi bu donanımın maliyeti yüksek olacağı için kolay kolay satınalınabileceğini düşünmüyorum, fakat iş devlet düzeyinde ne yazık ki bu durumda olmayacaktır.
Sırf devlet değil aynı anda özellikle büyük firmaların ve devletle çalışan firmların bu bağlamda en azından ilerisi için “TEMPEST Sniffing” gibi bilgi hırsızlıklarına hazır olması fikrimce önem arz etmektedir.
TEMPEST için Detaylı bilgi;
http://www.en.wikipedia.org/wiki/TEMPEST
http://en.wikipedia.org/wiki/TEMPEST#NONSTOP_and_HIJACK
EMP için detaylı bilgi;
http://en.wikipedia.org/wiki/Electromagnetic_pulse
SSL Nedir?
Yazar: Alpin Karagözoğlu
İnternet herkese açık bir ortamdır. Bu ortamda dolaşan bilgilerin kimi sıradan kimisi ise kritik, ticari, özel bilgiler olabilir. Siteler üzerinden işlem yapıldığında, örnek vermek gerekirse;
Mail okumak, video izlemek, arama yapmak, gazete okumak v.s
kısaca yaptığımız her işlem belirli bir düzen, protokol yani yol yordam ile sizin bilgisayarınızdan çıkar ya da gelir, ilgili bilginin bulunduğu bilgisayara iletilir ya da alınır. Ancak bu bilgiler kimi zaman art niyetli kişilerce görülebilinir. Bunun sebebi bir bilgi, data ya da veri nederseniz diyin. Sizin bilgisayarınızdan çıktığı gibi yahut düşük bir koruma ilgili bilgisayara iletilir.
(Tabiki veri, iletişim protokol ve güvenliklerini anlatmak bu yazıyı haddinden fazla karışık hale getirir. Çıktığı gibi dememde ki sebep yazıyı karışık hale getirmemektir. )
Ancak sizin, benim ve diğer kullanıcıların bilgilerini bir koyun sürüsü olarak düşünürsek, çevrede dolaşan bir kurt ciddi tehlike olacaktır.
SSL mantığı burada devreye giriyor. Çoban, koyunların şeklini, enini, boyunu, kokusunu değiştirebilirse ve onu anlamsız bir hale sokarsa, kurttan korkmaya gerek kalmayacaktır. Ama bu şekil değişikliği sadece çobana işlemeyecek tarzda olacaktır. Bu yüzden çoban koyununu, koyunlarda çobanını tanıyacak ve güven içerisinde otlayacaklardır. Bu işin örneklemesi olsada şimdi daha teknik bir açıklama yapalım.
SSL’ i ( ilk ortaya Netscape firması çıkarmış ve sonra bu güvenlik protokolü, uluslar arası bir organizasyon olan Internet Engineering Task Force (IEFT) tarafından kabul edilmiştir. Bunun ardından Netscape firmasından devralınarak uluslar arası güvenlik standartı olarak kabul edilmiştir.
SSL sertifikası ile işlem yaparken Hashin metodolojisi kullanılır buda güvenliği belkemiğini oluşturur.
“Hashing metodolojisi ile , sunucu , veriden tek bir hash değeri yollar. Istemciye veri ile beraber bu hash değerini de yollar. Istemci bu data paketini aldığında, aynı hash fonksiyonunu kullanarak , gelen bu paketten yeni bir hash değeri üretir. Burada altının çizilmesi gereken nokta, veri istemcisinin ürettiği anahtar değerinin , sunucunun kullanmış olduğu aynı hash fonksiyonu ile üretilmiş olmasıdır. Istemci ile sunucu, aralarında bağlantı sağlarken, aynı hash fonksiyonu kullanmak için anlaşırlar. Istemcinin üretmiş olduğu bu yeni hash değeri, sunucunun yolladığı hash değeri ile aynı olmak zorundadır. Eğer aynı değilse veri değişmiştir. Aynı değilse verinin değişmediğinden sunucu emin olmuş olur.” (Kaynak: Onur Lalaoğlu)
Bunun sonucunda internet tarayıcısı ile işlemi gerçekleştiren bilgisayar, doğru sunucu ile iletişim kurduğundan emin olur, aynı şey sunucu tarafı içinde geçerlidir. Burada kullanılan sistem dijital olarak sertifikalandırılmıştır. Bu sertifikayı verme yetkisi olan uluslar arası kuruluşlarca firmaya dijital olarak imzalanır. Bu sertifikada firmanın gerçek bilgileri, sertifikayı veren kurumun bilgileri yer alır. Tabiki bu sertifkayı veren kuruluş, söz konusu sertifika isteyen kuruluş, işletme, site hakkında güvenirliğinden emin olmalıdır. Sertifika veren otoritelere örnek, Verisign verilebilinir.
SSL’de kullanılan HASH eşsizdir yani benzeri yoktur. Kabaca anlatmak gerekirse. SSL üzerindden yapılan bir işlemde, işlem içerisindeki bilgiler sadece söz konusu sertifikaya sahip olan sunucu tarafından çözülür.
Yani bu işlemde esas olan karşılıklı el sıkışmadır (HANDSHAKE)
El sıkışma şu şekilde gerçekleşir; (örnek olarak bir sanal banka şubesi kullanalım)
1-İstemci (Kullanıcı), banka sunucusu ile iletişim kurduğunda yani giriş yaoparken, iki taraf el sıkışma işlemine girişir.
2-İstemci (Kullanıcı) Sunucu(banka) işlem süresince kullanılıcak şifreleme fonksiyonunu belirler ve anlaşır
3- Kullanıcı bilgisayarı, sunucunun yani bankanın kimliğini kontrol eder.
4-Kullanıcı sistemi, Kimliği doğrulanan sunucudan, aldığı dijital imza ile bir anahtar türetir.
5-Üretilen anahtar banka sunucusuna yollanır.
6- Banka sunucusu bu anahtarı kontrol eder.
7- İstenirse banka suncusu tarayıcıdan bir kimlik sorgulaması isteyebilir, burada çift taraflı bir güven anlaşması oluşur.
ELŞIKŞMA SÜRECİ
Tüm bu işlemler sorunsuz gerçekleştiğinde işlem için gerekli bağlantı sağlanmış olur.
İstemcinin bir anahtar aldığını belirtmiştik(Simetrik anahtar). İşte bu anahtar gönderilen verilerin şifrelemesinde kullanılır. Şifrelenen bu bilgiler ancak banka sunucusunda ki özel anahtar ile çözülebilir. Yani söz konusu bilgi, işlem emri, ya da komut, ancak doğru yani bankanın sunucusuna ulaştığı zaman okunabilinir hale gelir.
Tüm bu işlemlerde birden fazla şifreleme tekniği kullanılır;
1- Hash tekniği, verinin bütünlüğünü ve değişmediğini belirlemek için kullanılır (Karşılaştırma)
2-Anahtar Değişimi; El sıkışma başarılı bir şekilde gerçekleştikten sonra, verilerin şifrelenmesinde söz konusu anahtarın nasıl birbirlerine ulaşacağını belirler. (el sıkışma protokolü ve verinin şifrelenerek istemci ve sunucu arasında yollanması işlemleri, OSI referans modelinin Application ve Presentation seviyelerinde gerçekleşir.)
3-Simetrik Veri Şifreleme; Verilerin değişimi sırasında kullanılacak olan şifreleme tekniğidir. RC2 gibidir.
SSL SÜRECİ; Resmi büyütmek için üzerine tıklayınız.
SSL; 46bit, 56bit ve 128bit olarak bulunur bunlardan en güvenlisi 128-bit SSL dir.
128 bitlik bir sistemde, 2128 farklı yapıda anahtar vardır. Bu tarz bir verinin kırılabilmesi için yani yasadışı olarak çözümlenebilmesi için 7 gün 24 saat, hiç durmaksızın, 50 yılı aşkın bir süre boyunca iyi bir bilgisayarın çözümleme işlemine aynı veri üzerinde 
devam etmesi lazımdır. (Hesaplamayı yanlış yapmış olabilirim,sistem yöneticisi bir arkadaşım 60 üzeri olarak hesaplamıştı. Ben minimalist yaklaştım 
Osi Presentation Layer: OSI Sunum Katmanı
Hash örneği; ###<media:hash algo=”md5″>dfdec888b72151965a34b4b59031290a</media:hash>###
Bu hash Yahoo’nun RSS modülünde kullanılmıştır. (Ayrıntı için tıklaynız!)
RC2 Algoritması: Ayrıntılar için tıklayınız
Not: SSL tüm modern tarayıcılar, Linux, Unix, Microsoft, Sun gibi işletim sistemlerince desteklenmektedir.
Online İşlem Güvenliği
Yazar: Alpin Karagözoğlu
Son günlerde, gittikçe artan ve internet üzerinden özellikle ticari işlemler yapan kişileri, firmaları zor durumda bırakan dolandırıcılık olayları iyiden iyiye arttı. Bir çok site, blog ve medya unsurunun güvenlik uyarısı yapmasına karşın bu olayların devam etmesi insanların teknolojiye olan güvenini sarsıyor ki, bunun en bariz örneği ilişki içerisinde bulunduğum şirketlerin tavırlarında görmek mümkün.
Aslında teknoloji güvenilirliği %100 olmasa bile inanın ki parayı elden bankaya götürmekten daha güvenli.
Bu yazıda;
1-Güvenlik Sertifikaları
2-Güvenilir site, banka tespiti
3-Güvenlik Protokolleri
4-İşlem izlerinin silinmesi
5- Online işlemlere yönelik ücretsiz güvenlik araçlarını mümkün olan en basit dilde açıklamaya çalışacağım.
Büyük ihtimal ile şu terimleri görmüşünüzdür, SSL, 128-bit, güvenlik sertifikası, HTTPS.
Tüm bu kavramlar aslında şunu ifade etmekte “GÜVENLİK SERTİFİKASI” peki çok kritik ve neredeyse hayati öneme sahip olan bu güvenlik sertifikası nedir?
SSL En önemli unsurlardan biri;
SSL, “Secure Sockets Layer”‘ ın kısaltılmış halidir. Kabaca tanımlamak gerekirse, bir siteye giriş yaptığınızda, bu site ile sizin aranızda ki işlemler 3. yani başka kişiler tarafından görüntülenebilinir. Bu bilgilere, kredi kartı numaraları, kullanıcı ad ve şifreleri, kişisel ve özel bilgileriniz gibi kritik bilgilerde dahildir. İşte tüm bunların önüne geçmek için, SSL adında bir şifreleme sistemi geliştirilmiştir.
SSL ile ilgili başlı başına bir inceleme yazacağım. Ancak şu nu belirtmeliyim ki, sizin için kritik bilgileri girdiğiniz, kullandığınız sitelerin SSL kullandığından ve HTTPS üzerinden siteyi görüntülediğinizden emin olunuz. (SSL kullanan sayfalar zaten https’ tir)
Örnek, SSL ile korunan bir İnteraktif Bankacılık giriş ekranı (İŞBANKASI)
Resmin büyük hali için resmin üzerine tıklayınız.
Resimdeki numaralandırmaları açıklayalım;
1-Bu kilit resmi sayfanın SSL içerdiğini veya güvenli bir bağlantı olduğunu belirtiyor.
2- Alttaki View yada Sertifikayı görüntüleye tıkladığımızda, sertifika bilgileri karşımıza gelir.
Bu bilgiler içersinde sertifikayı, hangi kurumun, ne zaman verdiği ve ne zaman sona ereceği gibi bilgiler yer alır.
3-SSL protokolü kullanan bir sayfa ya da site başında ki HTTP yazısı HTTPS’ye dönüşür buda sayfanın
SSL kullandığını belirtir.
4 Dünyada uluslararası olarak sertifika veren belli başlı kurumlar vardır bunların kendilerine
özgü logoları vardır Verisign, RapidSSL, Comodo gibi. Bu kurumların logoları genellikle söz konusu SSL üzerinden yayın yapan sayfada yer alır.
Güvenilir site ve banka sayfası tespiti;
En önemli unsur sitenin adresinin doğru olması!
Öncelikle giriş yapacağımız banka ve online işlem güvenliği olması gerek sitemizin sertifikası olmalı.
Peki acaba bizim girmek istediğimiz ya da girmiş olduğumuz site gerçek sitemiz mi?
Burda basit ama önemli unsur olan “DOMAIN” devreye giriyor.
Örnek vermek gerekirse ben Garanti Bankası, internet şubesine giriş yapıcağım. SSL’i unuttuğumuzu varsayalım yahut SSL’i anlayamadığımızı varsayalım.
Adres satırına baktığımızda. www.garanti.com adresi üzerinden giriş yaptığımz sitede, online şubeye gelip, tıkladığımızda. https://sube.garanti.com.tr olarak değiştini görüceğiz.
(tam adresi https://sube.garanti.com.tr/isube/login)
Bu site gerçekten Garanti Bankasının sunucularında olan gerçek site. Çünkü asıl adres sabit kalmıştır.
Şube.Garanti.Com.Tr ancak biz bir şekilde giriş yaptığımızda bu adreste yer alan adresin Garanti.com.tr’ si değiştiği zaman, giriş yaptığımız siteden farklı bir sitede olduğumuzu anlarız.
Örnek girdiğimizden farklı bir site; www.garanti.com.ru , http://www.garantibanka.com/ , http://www.garanti.cc/ , http://www.garantibanka.com/ ,
www.garantibanka.com.tr bunlara örnek verilebilinir. Bu siteler sadece örnek olsun diye yazılmış olup siteler hakkında bilgi sahibi değilimdir. Yani bu sitelere kötü ya da iyi diyemem ancak bu siteler Garanti Bankası ile alakası olmayan sitelerdir.
Gelen Mail;
İngilizcesi Fake Mail olan yani Sahte Mailler. Bankanız ya da alışveriş yaptığınız v.b siteler zaman zaman e-posta atabilir. Bunlar içerisinde reklam, bildiri, ekstre v.s olabilir. Ancak unutmayınız! Hiç bir banka servisi mail ile, Kullanıcı Adı, Şifre, Şifre Değiştirme, ya da şu adresi takip edin ve şifrenizi değiştirin v.b içerikli bir e-posta atmaz. Şunu unutmayın sizin şifrenizi sadece siz bilmelisiniz. Yani bir banka personeli sizin şifrenizi zaten sormaz! Bu mailleri dikkate almamanız ve mümkünse söz konusu postada ki linkleri tıklamamanız önem arz etmektedir. Gelen mail adreslerini kontrol etmenizde önemli çünkü bu mailler sizin bankanız tarafından zaten size yollanmaz. (Şifre, Kullanıcı adı v.b talep içeren) Bir önemli unsurda e-posta bağlantısı ile login (giriş) olmanız istenmez!
Çok güzel anlatılmış ve gerçekten önemlifake mail-sahte posta incelemesi
bakmanızı kesinlikle tavsiye ederim; http://www.dmry.net/sahte-akbank-uyari-e-postasina-dikkat
Bir kuşkunuz olduğu taktirde hiç beklemeden, ilgili kurumun telefon hattından destek alınız, çünkü internet üzerinde ki dolandırıcılık v.b işlemler çok kısa sürede gerçekleşme imkanına sahip ek olarak zaten ilgili kurmunuz bunun için aramanızı bekliyor olacaktır! Özellikle bankacılık işlemlerinde şubenizin ya da kredi, banka kartınızın arkasında ki iletişim bilgilerini kullanınız!
Adres Tespiti;
Bir link’in üzerinize geldiğinizde internet tarayıcınız ile başlat çubuğunuz arasında ki alanda gideceğiniz adres çıkar. Resim olarak bakalım; (Resmin büyük hali için üzerine tıklayınız…)
Burda yer alan adresin doğruluğu çok büyük önem arz etmektedir. Bu tip adresler maillerde de yer alabilir. Örneğin bu adres şu şekilde olsaydı sahte bir adres olacaktı, kwaz24.com/google.com/reklam ya da google.kwaz24.com v.s. çünkü sunucu üzerinde asıl adresin önüne ve arkasına ek dizin, sub domainler oluşturulabiinir.
Örnek Domain: www.alpinden.com
Sub-domain: alpinden.com/baskadizin
Ya da: ben.alpinden.com
Yani www.kwaz24.com/google adresinin google ile bir alakası yoktur. Ancak www.google.com/services te ki services dizini bir google hizmetidir.
SSL+Site+Güvenlik doğrulama araçları;
Aslında gerek tarayıcıya gerekse tarayıcı ile ilişkili sisteme kurulu, başta SSL sertifikalarını tanımlayan ve sizi uyaran veya sitenin doğruluğunu, güvenirliğini tanımlayan araçlar bulunmakta. Bunlar arasında benim favorim Comodo Firmasının ürettiği ” Verification Engine” dir.
1- Verification Engine (Comodo)
2- www.phishtank.com ayrıca firefox tarayıcı eklentiside mevcuttu.
3-Opera tarayıcı ile entegre Fraud Protection (http://www.opera.com/docs/fraudprotection/)
Bunları kullanmayı ve incelemesini daha sonraya bırakıyorum ama Verification Engine ‘ı kurduğunuzda herşeyi kendisi otomatik yapıp SSL sertifikalarını doğruluyor ve sizi güvenli ya da güvensiz sertifika olarak uyarıyor.
Tüm bu yazılımlar ücretsiz olup kullanmanızı tavsiye ederim. Bir sonra ki yazım SSL sertifikaları ile ilgili olacaktır. SSL mantığı, sistemi ve güvenirliğini inceleyeceğim.
Saygı ve Sevgilerimle.
Alpin Karagözoğlu
Google Kullanıcıları Phishing’e Dikkat!
Google dünya internet reklam pazarında büyük bir paya sahip. Doğal olarak bu ölçekli işlem ve para akışışı kötü niyetli kişilerin ağzını sulandırıyor ve doğal olarak Google reklam programı olan Adword’ü hedef haline getiriyor. Hürriyet Gazetesi İnternet sitesinde yayınlanan habere göre Google Adwords ve Adsense hesabı olan kullanıcılar phishing tehlikesi ile karşı karşıya. (Phishing:Önemli bilgileri aldatma yöntemleri ile ele geçirme diyebiliriz.)
Google Adwords&Adsense hesabı olan kullanıcılar’a sanki google dan gönderilmiş tarzda bir mail alıyorlar. Bu mail’de Google Adwords&Adsense hesabının askıya alındığını tekrar aktive etmek için kullanıcı girişi yapmanızı istiyor. Eğer mailde yer alan kullanıcı girişi linkine tıklarsanız google yönlendiğini sanan sayfa aslında farklı bir sunucuya (sayfaya) yönleniyor ve siz kullanıcı adı ve şifrenizi bu sayfaya girdiğiniz tatirde bu bilgileriniz söz konusu kötü niyetli şahısların eline geçmiş oluyor.
Normalde “http://adwords.google.com/“select/login şeklinde görülen adres aslında #”http://adwords.google.com.s0lp0.cn/select/Login“# adresine yönlendiriliyor.
Bu yüzden bu maile dikkat etmek gerekiyor. Açmadan silmeniz en mantıklısı zaten Google üzerinden, giriş yaptığınızda linkler vasıtası ile Adwords’e ulaşmanız mümkün olacaktır.
Protected: e-posta ile memleket kurtulmaz!
Ubuntu-Acpi Çözüm
Yazan:Alpin Karagözoğlu
Dün söz ettiğim üzere, Ubuntu kurulumunda bazı kişileri ve bende dahil olmak üzere “noapic” ya da “apic” ile ilgili hata almıştım. Nihayet dün akşam 21:00 ile 22:00 arasında sorunu çözdüm.
Yaptıklarım şunlardı;
1-Öncelikle ana kart üreticim olan Asus’un internet sitesinden Bios’um için son “update” dosyasını indirdim.
2-Bios’u güncelledim. Ancak belirtmekte fayda var bu biraz dikkat gerektiren işlem her ne kadar günümüzde
bazı Bios’ların koruması varsa da yinede bu korumanın olduğundan emin olunmalı ve olası hatalara karşı dikkatli olunmalıdır.
İndirdiğiniz Bios yazılımının doğru olduğundan emin olmanız ciddi şekilde önem arz etmekte.
3-Bios ayar ekranından Acpi ile ilgli kısmı buldum ve bunu etkisizleştirdim (Disable).
Ardından kurulum CD’sini takıp bilgisayarı boot ettim. Kurulum aşaması başladı, Ubuntu bilindiği üzere iki farklı seçenek ile kurulabilmekte. Grafiksel ve Metin tabanlı, burada istediğinizi seçebilirsiniz. Eğer yeni ve deneyim olmayan bir kullanıcı iseniz tavsiyem grafiksel ara yüzdür.
Tekrarlarsak benim sorunumu çözmedeki adımlar, Bios güncellemesi, Acpi’ nin devre dışı bırakılması.
Ubuntu forumlarında Bios güncellemenin bir çözüm olduğu belirtilmişti. Ancak ben acpi’ yi de devre dışı bıraktım ve çözüme bu şekilde ulaştım. Sanırım bu akşam tekrar devreye sokup, o şekilde bilgisayarı açmaya çalışacağım. Gelişmeleri buraya ekleyeceğim. Büyük ihtimal ile “acpi” devreye girince sorun çıkmayacaktır.
Linux ve WineHQ
Yazar: Alpin Karagözoğlu
Linux kullanmanın artık iyiden iyiye kolay olduğu aşikar. Güçlü ve kullanımı zevkli masaüstü uygulamaları, Kendinden gelen Doc, Excel, ppt, gibi Microsoft Office formatlarını destekleyen yazılımlar (OpenOffice) hatta iş yerinden evinizdeki bilgisayara, Windows ya da Linux fark etmez bağlanabilme özgürlüğünüz, büyük ölçülerde donanım desteği, güvenli virüssüz işletim sistemi, (Bilindiği üzere Windows için yazılan sürüsüne bereket virüs vardır ancak bu Linux için çok sınırlıdır) ve de neredeyse her bilgisayar üzerinde çalışabilme yetisi. (Linux düşük sistem kaynağı tüketmektedir.).
Hatta ileride bilgisayarınızı ftp, mail, sql, web sunucusuna çevirebilme şansı. Ancak bildiğimiz üzere Photoshop gibi ya da örnek olarak World of Warcraft gibi oyunlar karşımızdaki en büyük eksiklikti. Bu alanda Wine bize çok yardımcı olmuştu. Kabaca anlatmak gerekirse Wine adlı program Linux üzerinde bazı Windows üzerinde çalışan programları çalıştırmamamıza yarıyordu. Ancak ben Photoshop cs2 kullanamıyor ya da Oblivion oynayamıyor veya WoW’da pvp, rp yapamıyordum. “Dum” çünkü artık “biliyorum” Winehq yeni sürümü ile artık bunları kullanmamız mümkün.
8744 Windows uygulamasını Linux üzerinde çalıştıran Wine’ in yeni sürümü hangi program ya da oyunları destekliyor? Buradan buyurunuz efendim.
Ancak belirtmeliyim ki bu linke tıklarsanız bir kez dahi olsa aklınızda birkaç soru oluşacaktır. Denesem mi? Artık Windows gerekli mi? Hepsi çalışacak mı? Ardından cevabı olmayan soru gelecektir; Hangi linux’u kullanmalıyım? Onunda cevabı burada. (Mesela ben Debian ve Ubuntu‘ yu severim ayrıca Slackware’ a özenirim)
Ayrıca bakmanızı tavsiye ederim;
http://www.fazlamesai.net/index.php?a=article&sid=3233
http://www.distrowatch.com
Google’ dan tavsiye almayı unutmayın 
Ara demeniz yeterli olacaktır.
Süresiz Yasak mı?
Yazar:Alpin Karagözoğl
u
Neredeyse tüm internet kullanıcılarının adını bildiği ve bir çok kişinin kullandığı “YouTube” sitesi benim hatırladığım 2 ya da 3 kez adli makamlarca alınan karalarca Türkiye içersinden erimlere engellenmişti. Benim ve bir çok tanıdığım kişinin hoşuna gitmeyen bu kararlar en nihayetinde bir sona ulaşıyor. Ancak benim ve arkadaşlarımın pekte tasvip etmediği bir yönde. Artık sansür, yasak, karar v.b ne denirse nedensin CNN TURK internet sitesinde yer alan habere göre Türkiye’den “YouTube” erişime süresiz yasak geliyor. Habere ulaşmak için tıklayınız.
