Ege Üniversitesi Bilgi İşlem Daire Başkanlığı bünyesinde kampüs güvenlik sistemleri yöneticisi olarak çalışma hayatıma devam ediyorum. Günlük yaşamda teknoloji ağırlıklı karşılaştığım ve beğendiğim yazıları paylaşmak amacıyla bu bloğu oluşturdum. Umarım birilerinin bilgilenmesini sağlar.
Halen Ege Üniversitesi Uluslararası Bilgisayar Enstitüsü Binasında Bilgi İşlem Daire Başkanlığın'da çalışmaya devam etmekteyim.
Hansen ve diğer araştırmacıların tekrar ederek belirttikleri gibi “Flash-clickjacking” sorunun sadece tek bir türü. Hansen’in blogunda uzun olarak açıkladığı üzere clickjacking’in birçok çeşidi var: "Bunlardan bazıları çapraz domain erişimi içerirken, bazılarıysa içermiyor. Bazıları bütün sayfaları bir sayfayla örtüyor, bazıları sizi tıklamanız için spotlar aracılığıyla kandırıyor. Kimisi JavaScript gerektirir, kimisi gerektirmez. Kimi çeşitleri önyükleme için formlarda CSRF kullanır, kimisiyse kullanmaz. Clickjacking bunlardan sadece birini sizi dolandırmak için kullanamaz, tamamını kullanır.”
Yani zararlı içerik bulunduran sitede, bilgisayarınıza istediği programı yüklemenize izin veren butonlar var ve siz bunu göremiyorsunuz. sitenin normal içeriğiyle ilgili işlem yaparken her tıkladığınızda zararlı kodlar çalışıyor ve siz farkında olmadan bu kişiler ne istiyorlarsa yüklüyorsunuz.
en sonunda da bu kişiler bilgisayarınıza bağlı web kamera ve mikrofonunuzun yakaladığı her veriye ulaşabiliyorlar.
internet güvenliği uzmanları bu soruna nihayet bir çare düşündüler. şimdi bu tehlikeden nasıl kurtulacağınızı da anlatalım.
önce bu sayfaya girin, http://www.macromedia.com/support/documentation/en/flashplayer/help/settings_manager02.html
şimdi açılan pencerede "always deny"ı seçin,
son olarak "confirm"e tıklayın.
not: eğer özel olarak kamera veya mikrofon verilerinize ulaşmasına izin vermek istediğiniz bir site varsa buradan yapabilirsiniz. http://www.macromedia.com/support/documentation/en/flashplayer/help/settings_manager06.html
Kendini bir JavaScript oyunu olarak tanımlayan uygulama içerisindeki bir objeye tıklandığında arka planda açılan IFrame ile dışarıdan Flash özelliklerine erişim sağlanabiliyor. Ayrıca tarayıcıdan javascript'i kapatmakta bir çözüm olmuyor. Benzer saldırılar Flash, DHTML, Silverlight ve Java üzerinden de yapılabiliyor. Demoda kullanılan açık için Adobe güncelleştirme yaptı. Bu nedenle demoyu isterseniz YouTube üzerinden izleyebilirsiniz.
Benzer clickjacking saldırıları çeşitli güvenlik uzmanları tarafından da araştırılmakta. Aviv Raff'ta benzer bir saldırı senaryosunu hazırladığı demo ile sunuyor. Ayrıca güvenlik uzmanları özellikle artan bu saldırılara karşı kullanıcıların dikkatli olmalarını öneriyor. Şuan güvenlik yöntemleri sınırlı da olsa Firefox'ta bulunan NoScript eklentisi ciddi bir güvenlik sağlayabiliyor. ClearClick fonksiyonu ile birlikte gizlenmiş ya da transparan kutucukların tespiti mümkün.
Cep telefonları ile arama yapıldığında ekranda beliren 'aktif aramalar' yazısının kontör kaybına sebep olduğu iddia edildi.
Zaman Gazetesi'nin haberine göre; Her arama sırasında ekranda beliren 'aktif aramalar' yazısı sebebiyle karşıdaki kullanıcıdan bir kontör düştüğü tespit edildi. Kamudan üst düzey bir yetkili duyum üzerine konuyla ilgili araştırma yaptığını, bilgi almak için başvurduğu cep telefonu şirketlerinin aktif arama sonrasında oluşan kontör kaybını doğruladığını söyledi. Şirketler aynı yetkiliye kontör kaybı yaşamaması için yapması gereken işlemleri de anlatmış. Cep telefonu kullanıcılarının ekranda beliren aktif arama yazısını iptal etmesi gerekiyor. Telefonda sırasıyla ##002# tuşlanarak arama yapılıyor ekranda 'Aktarma iptal edildi' yazısı beliriyor. Bu sayede gelen her aramada ekranda beliren aktif arama yazısı kaldırılıyor.
'Aktif aramalar' yazısı iptal edilmediği müddetçe, aranan kişiye ulaşamayanlardan bir kontör düşülüyor. Eğer aranan kişinin telefonu da telesekreter ayarlı ise dinlenen bir saniyelik 'aradığınız kişiye ulaşılamıyor' mesajı için de kullanıcıların ayrıca bir normal arama karşılığı ücretlendirildiği belirtiliyor. Kullanıcı, eğer iki dakika sonra yine ulaşamazsa 1,5 kontör kaybı daha oluyor. Telesekreterin ücretsiz zannedilmesi tüketicileri mağdur ediyor. Telefon şebeke istasyonu yetkilileriyse bilgi almak isteyen kullanıcılara; ##002#'yi arayarak telesekreterin kaldırılabileceğini anlatmakla yetiniyor. Aboneler "Kullandığımız telefonların bütün özelliklerini bilmiyoruz. Bizden habersiz neden bu tür uygulamalar yapılıyor." şikayetinde bulunuyor.
.png "English"){kind=small}
