CVE-2020-16898: “Bad Neighbor” hakkında rapor

 

CVE-2020-16898: “Bad Neighbor”

CVSS Score: 9.8

CVSS Vector: CVSS3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H/E:P/RL:O/RC:C

 

Genel Bilgi:

13 Ekim 2020’de, Microsoft için olağanüstü kritik seviyede ve CVSS puanı 9.8 olan güvenlik açığı bildirildi. Bu güvenlik açığından başarıyla yararlanan bir saldırgan TCP/ IP üzerinden hedef sunucuda veya istemcide kod yürütme becerisi kazanabiliyor. MAPP(https://www.microsoft.com/en-us/msrc/mapp) üyeleri tarafından paylaşılan kavram kanıtı(PoC) hem son derece basit hem de tamamen güvenilirdir. Adlandırma kolaylığı açısından güvenlik açığı “Bad Neighbor” olarak isimlendirildi, sebebine değinilecek olunursa zafiyetin “Router Advertisement” bilinen adıyla “DNS RA options” seçenekleri kullanılarak ICMPv6 protokolü içeresinde bulunuyor olmasıdır. Mevcut exploit uzaktan kod çalıştırma olasılığı ile birlikte bir Hizmet Reddine (DoS) yol açar.

Güvenlik açığı ayrıntısı MacAfee ekibi tarafından ortaya çıktı.

 

Etkilenen Sürümler:

Microsoft Window Server 2019, version 1903/1909/2004

Microsoft Windows 10 version 1709/1803/1809/1903/1909/2004

 

CVE-2020-16898 için Etki Azaltma Eylemleri

Her zaman olduğu gibi kullanıcıların sistemlerini mümkün olan en kısa sürede yama yapmalarını tavsiye edilmektedir. Bir yama uygulanana kadar Microsoft bu güvenlik açığını azaltmak için kullanılabilecek bir kılavuz yayınladı. Microsoft'un yayınladığı kılavuzu anlamaya yardımcı olmak ve IPv6 RDNSS'yi devre dışı bırakmak için atılması gereken adımları aşağıda bulabilirsiniz.

Yönetici olarak komut istemini açın

a.      Netsh int ipv6 sh int

Bu komut, karşılık gelen dizin numaralarıyla birlikte tüm ağ IPv6 arabirimlerinin bir listesini sağlayacaktır.

Örnek:

 

b.      netsh int ipv6 set int Idx number rabaseddnsconfig=disable komutunu çalıştırın. Idx numarasını, a adımında listelenen Idx numarasıyla değiştirmek gerekiyor. Bu, her arabirim için RDNSS özelliğini devre dışı bırakarak güvenlik açığını azaltmasına olanak sağlayacaktır.

 

c.       RDNSS komutunun devre dışı bırakıldığını anlamak için netsh int ipv6 sh int Idx number komutunu çalıştırın. Bu komut, için istenen ara yüz için parametreleri aşağıdaki örnekte olduğu gibi çıkacaktır.

 

Örnek:

*RA Tabanlı DNS Yapılandırması (RFC 6106) her arabirim için devre dışı bırakılmalıdır.

---

^[1] https://github.com/advanced-threat-research/CVE-2020-16898/blob/main/ReadMe.md

^[2] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898

^[3] https://unit42.paloaltonetworks.com/cve-2020-16898/

 

Laser-Based Audio Injection on Voice-Controllable Systems ( Sesle Kontrol Edilen Sistemlere Lazer Bazlı Ses İnjeksiyonu.)

Laser-Based Audio Injection on Voice-Controllable Systems ile  uzak mesafelerden (100m)  iletişim araçlarımızda bulunan Siri, Bixby vb asistanlara ulaşılması mümkün. En büyük özelliklerinden bir tanesi de her şeyi sessiz sedası yapması yani hiç bir şekilde bildirim alınmaması. Ele geçirilen Siri vb asistan vasıtasıyla telefonunuz ve ya da bu asistanların bağlı olduğu her şeyi kontrol edebilir.. telefonunuz ile video kaybedilir,arama yapabilir , mesaj atabilir, alış-veriş sitesine girip sizin bilgilerinizi kullanıp alışveriş yapabilir. 

Aynı zamanda akıllı "ev sistemleri" adı altında entegre edilmiş her şeye ele geçirip kontrol edebilen bir sistem.Şu an Amerika'da evlerin yüzde 30'u akıllı sistemlerle donatılmış durumda Türkiye'de  ise 3-5 yıl içinde akıllı ev sistemine bu oranla geçebileceği öngörülüyor. Kontrol edilmesi mümkün olan her şeyi 3.kişiler tarafından kontrol edilebilmesi mümkün kılıyor. Bu da demek oluyor ki yakın zamanda ülkemizde de yaygınlaşacak olan akıllı ev sistemlerindeki güvenlik açıkları başımızı hayli ağrıtacak.

İnovasyon, Kripto Para ve Blockchain

Yeni icat mı? Geliştirmek mi ? Yenilik mi ? İnovasyonun tam olarak kelime karşılığını bulmak oldukça kafa karıştırıcı gelebilir sizlere ama basit örneklerle konuya açıklık getirebileceğime inanıyorum. Örneğin önceden icat edilen çelik ve önceden icat edilen kapı ürünleri mevcut. Bu iki materyal birleştirilmiş ve ortaya "çelik kapı "fikri ortaya konmuş işte bu inovasyondur. İcat ise örneğin plastik materyalinin birleşenlerinin bir araya getirilerek ortaya çıkan ürüne denir. Plastiği oluşturan bileşenler " tek başlarına " bir anlam etmemeleri bence buradaki kilit ifadedir.

Blockchain Türkçe kelime manası Blok zincirdir. Kripto paranın temelini oluşturmaktır. Teknik dil kullanmadan bu konunun herkes tarafından anlaşılması için şu şekilde açıklamak doğru olacaktır; bir merkeze bağlı kalınmadan verilerin yüksek güvenlikteki şiflerler ile yüzlerce binlerce hatta milyonlarca bilgisayar tarafından kayıt altına alınmasıdır. Örneğin; Ahmet, Ali'den 1 BTC(BitCoin)alıyor bu işlem milyonlarca BTC madencisinin kayıt defterine işleniyor, Ali ile Ahmet'in yaptığı bu işlem datası bloka kaydediliyor. Aklınıza güvenlik konusunda sorular gelebilir. Bu işlem bankalardan daha güvenli. Siber saldırı altındaki ana server her hangi bir hasar sonrası milyarlarca liralık kayıplara neden olabilir. Blockchain'de ise bu durum saldırı altında ki bilgisayar sayısı 100000 de olsa sağlam kalan son bir tane bilgisayar dahi olsa tüm veri saklanabiliyor.

Kripto para sistemi aynen yerin binlerce metre altında ki madenciler gibi, bi o kadar meşakkatli bir süreç ile elde ediliyor. Bu süreç, madenciliğini yapacağımız dijital paranın popülaritesi ile doğru orantılı olarak elde edilmesi zorlaşıyor. Örneğin  Bitcoin madenciliğini evinizdeki kişisel ekran kartları destekli yapmaya kalkarsanız milyonlarca yılınızı alabilmektedir. Nedeni ise her madencilik esnasında çıkan kripto para şifresi bir sonraki kripto para için extra şifre oluşturmakta ve bu zincir şeklinde zorlaşarak devam etmekte böylelikle çok güvenlikli bir sistem oluşmakta. Bu sebepten ötürü eğer bu işe yani kripto para madenciliği yapmak istiyorsanız altCoin'lerde çalışmanızı öneririm.

Kripto para sistemi aslında aşağıda da tarihçesini wiki'den derlediğim bölümde de görüleceğe üzere 1983'lere dayanmaktadır. 2009 yılında ise kimliği bilinmeyen kimilerine göre Elon Musk kimi  komplo teorilerine göre devlet, derin devlet veya küreselcilerin başrol oynadığı ki bana soracak olursanız bence de küreselcilerin inovasyon ürünü olan BitCoin'i "Satoshi Nakomoto " kod ismli şahıs tarafından yayımlanan bir metinle ile çok da ileriki olmayan bir zaman diliminde hayatımızın merkezinde olacak öncü "yeni para"yı piyasa sürdü.

Kripto para sistemlerinin en popüler olanları BitCoin ve Ethereum'dur. dünya üzerinde şuan bilerce kripto para bulunmakta ve bunlar piyasada 6 ay öncesinin verilerine göre 523 milyar 913 milyon dolarlık hacme ulaşmıştır.

Bakın arkadaşlar bu kripto para sisteminde aksaklıklar ve belirsizliklerle dolu olabilir. Yıllar önce evinizin yanında yok paraya satılan fakat almadığınız o dikenli arsa var ya hani şuan paha biçilmeyen onlardan 1000 kat daha değerli bi inovasyon ürünü bu. Altcoin'ler le bu işe girmeniz ileriki haytanıza direkt etki edecektir. Kağıt para, madeni para geri kalmışlığın göstergesi olacaktır. Öncü olma vakti oldukça geçti fakat ipin ucunu altcoinler sayesinde tutabilirsiniz. 

Aşağıdaki  tarihçeye  bakarsanız adımların 3'er 5'er atıldığını göreceksiniz. hızla hayatımızın merkezine girmekte.

Bu konuda extra soru ve görüşleriniz ile bu yazıya eklemek istediğiniz varsa sosyal medya ve beki.semih@gmail.com mail hesabıma ulaşabilirsiniz.

Tarihi ( Via:https://tr.wikipedia.org/wiki/Kripto_para#Tarihi)

• 1983 : Amerikalı David Chaum eCash'i tasarladı[15][16]

• 1995 : Amerikalı David Chaum eCash'i digicash üzerinden gerçekleştirdi.[17]

• 1996 : ABD de NSA "Anonim kripto para nasıl basılır" başlıklı bir bildiri yayınladı.[18][19]

• 1998 : Wei Dai "b-money" adlı anonim merkezsiz kripto parayı anlatan bir bildiri yayınladı.[20]

• 1998 : Nick Szabo bit-gold adlı anonim merkezsiz kripto parayı gerçekleştirdi.[21]

• 1998 : Hal Finney, Dai ve Szabo dan esinlenip herkesin kullanabileceği bir "ispatlanmış emek" mekanizması geliştirdi.

• 2009 : Satoshi Nakomoto (internette kullandığı takma adı, asıl kimliği bilinmiyor) SHA-256 temelli "ispatlanmış emek" mekanizması ve blok zinciri kullanarak ilk yarı-anonim (kim ödedi-ödendi bilinemiyor ama hangi hesaptan hangi hesaba ödendi herkes görebilir) merkezsiz kripto para olan "bitcoin"i gerçekleştirdi.[22][23]

• 2011 : Nisan ayında Namecoin adı altında internet sansürünün engellenmesi amaçlı merkezsiz DNS gerçekleştirildi.

• 2011 : Ekim ayında SHA-256 yerine "scrypt" kullanan anonim merkezsiz kripto para "litecoin" gerçekleştirildi.

• Peercoin "ispatlanmış emek" yerine ""ispatlanmış hak" kullanan ilk anonim merkezsiz kripto para oldu

• IOTA blockchain yerine Tangle kullanan ilk anonim merkezsiz kripto para oldu.[24][25]

• Özel bir blockchain kullanan "DIVI projesi" sanal cüzdan içinde para çeşitleri arasında kambiyo işlemini ve sahibinin kişisel bilgilerinin işlemle kaydedilmesine olanak veren bir düzen gerçekleştirildi.[26][27][28]

• 2014 : 6 Ağustos'ta İngiltere kripto paraların ekonomiye katkısı ve devletin ne yapmasının doğru olacağının incelenmesi için düğmeye bastı.[29]

• 2018 : Mart ayında Marshall Adaları "sovereign" adlı ulusal elektronik parayı çıkarttı ve ülkenin geçerli parası olduğunu ilan etti.[

Beklenen gelişme.

Böyle giderse satın almak istediğiniz yemeklerin önceden internet üzerinden tadına bakabileceksiniz. Şu an için içeceklerin RGB ve ph değerlerini sensörlerle karşıya iletme olayı üzerinde duruyorlar. Harika.

Bir şiir.

Karşımdasın işte... 
Bana bakmasan da oradasın, görüyorum seni. 
Ah benim sevdasında bencil, yüreğinde sağlam sevdiğim. 
Kalbime gömdüm sözlerimi, ceset torbası oldu yüreğim. 
Tıkandığım o an, 
Elimi nereye koyacağımı şaşırdığım o an işte, 
Aklımdan o kadar çok şey geçti ki takip edemedim. 
Ellerim boşlukta, ben darda kaldım. 
Ellerim buz gibi, ben harda kaldım. 
Bir senfoni vardi kulağımda çalınan, 
bitti artık hepsi... 


Köşeme çekildim, hani hep kaldığım köşeme. 
Bakış açım belli oldu yine. 
Geride kalan, ardından bakar gidenlerin. 
Bir meltem olacak rüzgarim dahi kalmadı benim. 
Dağlara çarptım her esişimde. 
Yollara küfrettim her gidişinde. 


Demiştim sana hatırlarsan: 
"Önemli olan 'zamana birakmak' değil, 
'zamanla bırakmamak'tır.." 
Simdi bana, geçen o zamanın 
Unutulmaz sancısı kalır 

Gittigim eğer bensem, söyle bana kimden gittim? 
Sende yoktum zaten ben, ben yine bende bittim... 

Nazım Hikmet Ran 

Kejeeeee

Şu sıralar Türk Filimleri'ne yönelmiş durumdayım. Hemşo'yu, Salkım Hanım'ın Taneleri'ni izledim. Gönül Yarası'nı, 35 yıl uğruna tek kelam etmeyen Keje'yi, uyuşturucu satıcısının borcuna değişen(burası abartı mizah) Eşkiya'yı da. Tabi ki Devrim Arabaları'nı da. Ve daha 10'larcasını.. Sıkıntı şu ki; özellikle 2000'den sonra gözle görülür, kalple hissedilir bir düşüş var. Hikayeler çok sıradan yıllardır dediğim: " ilk seansta düşman( düşman derken kanlı bıcaklı değil) , sonraki seanslarda dost sonrasında tekrar düşman daha sonra eğer bu karakterler erkekse kardeş çıkıyorlar , biri bayan biri erkekse ya kardeş oldukları belli oluyor ya da evleniyorlar hep bi kısır döngü. Veeee SON! Komedi desen enseye tokat seviyelerinde. Bilim kurgu desem , yok ona hiç değinmeyeyim.

Ricam; Ne olur 2000 öncesine dönelim film sektöründe. Hatta 1950-60 yıllarına.

+10 gelirse bu yazıma devam ederim.

Boyu ile gölgesi arasındaki boy farkı azaldıkça yüzündeki manası belirsiz, tuhaf ve tedirginlik verici son derece telaşlı haliyle yanıma yaklaştı ve soluk soluğa  :" Irmağın öteki tarafında sarı saçlı, 10 yaşlarında, kırmızı kazaklı, yanakları al al, mavi pantolonu yamalı, erkek çocuğu gördün mü?" diye sordu. Telaşı göz bebeklerinden kalbime işledi.
" hayır" dedim. Başka da birşey diyemedim. Sustum. Adama baktım belli ki ya torunu ya da oğlu, yeğeni, öğrencisi, komşusu bir an bu kadar detaylı düşünmemem gerektiğinin mantıklı olabileceğini düşündüm. Ne yapılması gerekiyorsa yapılmalıydı. Belki de sakin olmam gerekiyordu en azından. Yüzüne baktığımda dünyası yıkılmış adamı teskin etmem gerekiyordu ama onun yüzüne her baktığımda imkansızlaşıyordu bu durum. Sokak lambalarının ışığı gün ışığının aydınlanmasına karşı mücadale edemeyecek yoğunluğa ulaştığı saatlere doğru yaklaşıyordu vakit. Adam benden umudunu kesmiş olmalı ki yoluna devam etti, ben de arkasından. Her seslendiğimde  beni duymamazlıktan geliyor ve yoluna devam ediyordu. Dünden kalmış yağmur suyuna inat hızlı adımlarla önüne her gelene soruyor , her kuytu köşeye bir umut bakıveriyordu. Bu arayış beni daha çok meraklandırıyor sorularım ardı ardına  sıralanıyordu ama nafile.