logo

Murat Demirten

header-nav
text

{ ubi dubium ibi libertas }

mobile-nav-trigger

posts
23 Ekim 2016, Pazar

Son yıllarda yaz/kış saati dönüşümleri, çeşitli nedenlerle önceden planlanın dışındaki tarihlerde gerçekleşti. Bu yıl ise kış saati uygulaması tamamen kaldırıldı, gelecek yıl ne olur bilemiyoruz. Böyle giderse yakında saat dilimi değişikliklerini seçim vaatleri arasında dahi görebiliriz! Bu yazıda 2016 kış saati geçişinin iptali özelinde Linux sunucularda dikkat edilmesi gereken noktalar üzerinde duracağız....

Yazının Devamı
16 Haziran 2016, Perşembe

Konunun teknik ayrıntılarına girmeden önce, daha çok kişinin faydalanabilmesi için yazımıza kısa bir özet ve önemli bir tavsiye ile başlayalım.

2012 yılında Linkedin kullanıcı veritabanı, parolaların şifrelenmiş hallerini de içerecek şekilde ele geçirilmiş, firma durumu kabul etmiş ve kullanıcılarından parolalarını güncellemelerini istemişti. O dönemde bu veri sızıntısının boyutları hakkında detaylı bilgiye sahip değildik. Aradan 4 yıl gibi bir zaman geçtikten sonra, geçtiğimiz hafta -tam da Linkedin Microsoft tarafından satın alınma arefesindeyken- aynı veritabanı torrent üzerinden tekrar yayınlandı.

Sızdırılan veritabanını incelediğimizde, Linkedin tarafından kullanıcı parolalarının güvenliği için oldukça acemice olarak nitelendirebileceğimiz, unsalted SHA1 yönteminin kullanıldığını görmekteyiz. Bu özetle şu anlama geliyor, 2012 yılında Linkedin hesabınız varsa, parolanız 12 haneden küçükse ve aynı parolayı başka hesaplarınızda da kullanıyorsanız hemen o parolayı değiştirin ve bir daha hiç bir sistemde tekrar kullanmayın! ...

Yazının Devamı
23 Mayıs 2016, Pazartesi

Günümüzde işlemcilerle birlikte derleyici uygulamaları da oldukça gelişmiş durumda. Derleyiciler tarafından hem ilgili işlemci mimarisi hem de genel çalışma biçimine yönelik pek çok optimizasyon yapılıyor. Optimizasyon sürecinden elde edilen kazanımlar o kadar önemli ki, herhangi bir sebeple optimizasyonlardan vazgeçmek seçenekler arasında yer almıyor. Bununla birlikte derleyici optimizasyonlarının bazı durumlarda yaratabileceği tehlikelerin programcılar tarafından yeterince bilinmediğini de görmekteyiz. Bu yazımızda bir örnek üzerinden konuya değinmeye ve C dilinde bir miktar gözden uzak kalmış volatile anahtar deyimi üzerinde durmaya çalışacağız....

Yazının Devamı
23 Şubat 2016, Salı

Başlığımız her ne kadar 4.5G şeklinde olsa da, böyle bir kavram gerçekte varolmadığından işin eğlenceli bölümünü bir kenara bırakıp asıl konumuza gelelim: 4G / LTE şebekeleri sanıldığı kadar güvenli mi?

Cümleyi buradan kurunca sonunda pek iç açıcı noktalara ulaşamayacağımızı anlamışsınızdır. Evet, maalesef onca ek güvenlik iyileştirmelerine rağmen 4G şebekelerinde şimdiden pek çok sorun tespit edilmiş durumda. Üstelik bu zaafiyetlerin üzerinde çalışmak için eskisi gibi çok özel ekipmanlara ihtiyaç da bulunmuyor, 1.200$'lık bir donanımla bile neler yapılabildiğine bu yazımızda değinmeye çalışacağız....

Yazının Devamı
19 Kasım 2015, Perşembe

Geçen hafta gerçekleşen saldırılar, dünyanın başka yerlerinde benzerleri her daim yaşanmasına rağmen artık vaka-ı adiyeden sayıldığı için geniş yankı buldu ve konu her yönüyle tartışılmaya başlandı. Bu yazıda böyle zamanlarda sıklıkla gündeme gelen, şifreleme uygulamalarının kamu güvenliği açısından devletlerin erişimine arka kapılar bırakması gerekip gerekmediği konusuna kısaca değinmeye çalışacağız....

Yazının Devamı
16 Kasım 2015, Pazartesi

Yazılım geliştiriciler olarak açık kaynaklı yazılım geliştirme modelinden hemen her gün faydalanıyoruz. Belirli bir özellik/fonksiyon'a ihtiyacımız olduğunda ilk işimiz açık kaynaklı bir proje yada kod parçacığı aramak oluyor. Hatta öyle ki arada sırada internet bağlantımızda sorun olduğunda neredeyse kod yazamaz hale geliyoruz veya kod yazmak içimizden gelmiyor. Peki açık kaynaklı yazılımların daha da iyi hale gelebilmesi için yeterince katkı sağlayabiliyor muyuz?...

Yazının Devamı
28 Ekim 2015, Çarşamba

İnternet ağında biri gizli diğeri açık olmak üzere ikili anahtar sistemini kullanan protokoller üzerinden (https, ssh,  vpn çözümleri vb.) iletişim kurduğumuzda güvende olduğumuzu düşünüyoruz. İki bilgisayar sistemi arasında bu şekilde gerçekleştirilmiş olan bağlantıdaki veriler üçüncü bir sistem tarafından gözlemlenebilir ancak görülebilenler tümüyle şifreli olacaktır. Bu şifreyi çözmek ise güncel teknolojiyle yüzyıllar mertebesinde süre almaktadır. Dolayısıyla iletişimin güvenli olduğunu söyleyebiliriz. Bu temel varsayım üzerinde sadece kişisel bilgilerimiz, eposta arşivimiz değil e-ticaret ve ödeme sistemleri de dahil olmak üzere pek çok operasyon güvenli biçimde çalışmasını sürdürmektedir. Peki gerçekten de bu kadar güvende miyiz? Örneğin NSA gibi kuruluşların bu trafiği izlemesi mümkün müdür?...

Yazının Devamı
5 Ekim 2015, Pazartesi

Geçtiğimiz Temmuz ayında, devletlere casus yazılımlar sağlayan ve son yıllarda popülaritesi giderek artan İtalya merkezli Hacking Team firması, bir başka ekip tarafından hack edildi ve geliştirdikleri yazılımların kaynak kodları da dahil olmak üzere, pek çok doküman ve eposta arşivi internette yayınlandı [1]. Konu basında geniş yer buldu ancak teknik yönlerine pek değinilmedi. Bunun üzerine merakımı gidermek için yazılım kaynak kodlarını inceleyerek sistemi çalışır hale getirdim. Bu yazıda konuyla ilgili teknik ya da değil herkese faydalı olabileceğini umduğum izlenimlerimi paylaşacağım....

Yazının Devamı
20 Temmuz 2015, Pazartesi

Geçtiğimiz haziran ayında yerli ve yabancı basında görmüş olabileceğiniz üzere Google Chrome web tarayıcısının ortam dinlemesi yapıyor olabileceğine dair bazı iddialar gündeme geldi. Ülkemiz basınının bunun gibi teknik konulara yaklaşımındaki tutumu maalesef magazin haberi seviyesinin ötesine geçemiyor. Bu yazıda geleceğimizi de ilgilendiren bu konuyu incelemeye çalışacağız....

Yazının Devamı
13 Temmuz 2015, Pazartesi

Maalesef yanılıyorsunuz.

1990 - 2010 yılları arasında edindiğiniz bilgiler, 8 karakter uzunluğunda ve rastgele büyük harf, küçük harf, rakam ve sembol içeren bir parolanın standart bilgisayar sistemlerinde deneme-yanılma (brute-force) ataklarıyla kırılmasının uzun yıllar aldığını söylüyordu. Bu denklemi bozan ve mevcut bilgilerimizi gözden geçirmemizi gerektiren değişim şu ki, şimdilerde görece düşük maliyetle sahip olunabilecek veya kiralanabilecek bir son kullanıcı sistemiyle bu süreler 6 saat gibi sürelere inmiş durumda!

Bu yazımızda konunun şu anki vahim boyutunun detaylarına değinecek ve güvenli parola kullanımı için hem yazılım geliştiricilere hem de son kullanıcılara yönelik tavsiyelerde bulunacağız....

Yazının Devamı
search
Sosyal Medya