27 Ağustos 2012 Pazartesi

Hacklenilen Microsoft Hesabını Tekrar Kullanmayın

Hacklenen Hotmail
Microsoft'un Güvenlik Anlayışı
Merhaba uzun zamandır blogumda yazı paylaşmıyordum. Microsoft güvenlik birimine yaptığım farklı birkaç uyarıdan sonra bu yazıyı paylaşmayı uygun gördüm.
Microsoft , Windowslive görünümüne geçmeden önce hotmail.com , live.com ve w.cn uzantılı bazı hesapların hacklenmesine kadar giden açığı keşfettiğim 2007-2008 döneminde bu açık tesadüfen Microsoft tarafından Windowslive sistemine geçilmesiyle giderilmişti.
Live.com alan adının eski arayüzünde bulunan bir url üzerinden kullanılan bu zaafiyet o zamanlarda çoğu hesapta işe yaramasada binlerce Microsoft kullanıcısını tehdit eder konumdaydı.
Sıfırlama alanında bulunan bu zaafiyetin, neden tüm Microsoft hesaplarına etki etmediğini , neden sadece sayılı uzantılardaki maillere etki ettiğini o dönemden beri anlayamasamda şu an için açıkcası pekte kafa yorduğum bir şey değil.
Windowslive sistemine geçen Microsoft , zaafiyetin bulunduğu alanda zaafiyetin kaynaklandığı değişkenlerden birinin değerini tam olarak hatırlayamamakla birlikte "IfYouReadThisYouMustEatToo" gibi bir değişken değeri ile gönderiyordu. Benim kendime göre algılayıp Türkçeye çevirdiğim haliyle "Eğer bu yazıyı okuyorsan 40 fırın ekmek yemelisin" gibi bir sözcükle o sayfada açık arayanlarla adeta dalga geçiyordu.
Eee tabi sadece benim bildiğim haliyle 6-7 ay boyunca kalmış bir açıktan sonra Microsoft ' un açığın bulunduğu sayfada böyle isimlendirilmiş bir değişken değeri göndermesine o zamanlar çok fazla gülmüştüm.
İşte o dönemlerde Hotmailin barındırdığı açıklardan bir tanesi de hacklenilmiş bir hesabın sahibi tarafından geri alındığında tüm bilgilerinin eski bilgilerden tamamen farklı olarak tekrar değişmesine rağmen saldırganın tekrar geri hacklemesi için hesap üzerinde bir arka kapı açılabilmesi idi.
Yani çalınmış bir Hotmail hesabının, gizli soru ve alternatif mail seçeneklerinden hariç bir yöntemle daha saldırgan tarafından devamlı hacklenebilir konumda olmasıydı.
Geçenlerde geçmişle ilgili maziye ait birçok güzel olay aklıma gelmişken bu olayı da hatırladım , tekrar denemek istedim ve sonuç :
Kötü niyetli kişilerin işine yarıyacak bu kurnaz yöntemin günümüzde de hala devam etmekte olduğunu gördüm.
Anlayacağınız başınızdan herhangi bir Microsoft ürünleri hesabınızın hacklenmesi olayı geçti ise ve bu hesabı sıfırlama yöntemi veya Microsoft müşteri desteği gibi herhangi bir seçenek ile geri alabildiyseniz size önerim kesinlikle bu mail hesabını tekrar kullanmayın!
Eğer mümkünse sıfırlama seçenekleri ile aldığınız bu hesabın içeriğini tamamen temizledikten sonra, gerekli önemli yerlerdeki maillerinizin adreslerini bu hesap üzerinden başka bir hesaba kaydırdıktan sonra, bir daha kullanmamak üzere bu hesabınızı kapatın.
İster Microsoft üyeliğiniz olsun, ister outlook.com , hotmail.com , hotmail.com.tr , windowslive.com , live.com vs vs. hangi uzantıda mailiniz olursa olsun tümünün hacklendikten sonra; siz ad , soyad , gizli soru , alternatif mail vs. bütün bilgilerinizi tamamen değiştirseniz bile saldırgan tarafından bir arka kapı ile sürekli geri alınmasının bir yöntemi var.
Geçmişte bu vakalarla sicili oldukça kabarık olan Microsoft'un parola sıfırlama bölümündeki bir başka açığını yine kendim blogumda bir video ile açıklamıştım.
Yine Microsoft'un başka bir güvenlik zaafiyeti ile karşı karşıyayız...
Ve inanın bunlar halka yansıyan bilgilerden sadece birkaçı. Ya halka açıklanmayan sadece blackmarketlerde kötü niyetli kişiler tarafından satılan yöntemlere ne demeli ? Microsoft , mail sağlayıcılığı işini eğer ciddiyetle yapacaksa bunu outlook.com gibi yatırımlarının yanında , sistemlerindeki güvenlik anlayışını da köklü bir değişimle onarmalı...
Ve son olarak , attığım birkaç zaafiyetten hariç bu zaafiyeti de Microsoft Güvenlik Departmanına bildirdiğimde aldığım cevap:

"Bildiriminiz için teşekkür ederiz
Ancak hesaba ilk erişiminiz olmaması nedeniyle bu bir güvenlik açığı olarak değerlendirilmiyor.

Saygılar
,"

Bu cevaptan sonra benim attığım cevap ise ;

...............
Bildiğiniz üzere geçtiğimiz günlerde sıfırlama bölümündeki bir açıktan dolayı tüm Microsoft hesapları tehlike altındaydı. Bu açığın bulunduğu ve kapatıldığı süre çok uzun bir süre. Bu süre içerisinde birçok Hotmail hesabında bu yöntemle arka kapı açılmış olabilir. Ve halen bu hesapları kullanan çok özel müşterileriniz bu zaafiyetten etkilenebilir. Bu müşterilerinizin hesaplarının etkilenmemesi için bu açığı gidermeniz gerekmekte. Aksi takdirde parola sıfırlama alanına koyduğunuz geri alma seçeneklerinden "Cep telefonu , Alternatif Mail , Gizli soru , Müşteri desteği" seçeneklerinden hiçbiri saldırganın uğraşacağı bir hedef yeri olmayacak ve hesaplar saldırgana ait başka bir yöntemle sürekli hacklenebilir durumda olacaklar.
Bildiğiniz gibi Cross Site Scripting açığı da direk olarak hesaplara etki eden bir açık değildir. Müşterilerin dikkatsizliği ile birleştirilerek hesabın çalınmasına kadar giden bu zaafiyetede biz bu bir güvenlik açığı değildir diyebilir miyiz ?

..............

Bu son mailimden sonra Microsoft tarafından herhangi bir geri dönüş olmadı.
Sistemin çoğu yerini değiştirme gibi bir şeyi göze alamadıklarından mıdır nedendir bilemem ama , anlayacağınız Microsoft'un güvenlik anlayışına göre sizin defalarca hesabınızın hacklenmesi birşey ifade etmiyor. Onlara göre sizin şirketinizin çok önemli maillerinin Hotmail üzerinde olması ve bunların çalınması hiçbir şey ifade etmiyor. Sizin yıllardır kullandığınız adresin sürekli başkaları tarafından ele geçirilmesi , bilgilerinizin alınması Microsoft için hiçbir anlam ifade etmiyor.

İşte bu yüzden diyorum ki Microsoft bu işi gerçekten bilmiyor.
Tıpkı yıllardır tarayıcı sektöründe yerinde sayıp, fazla yol katedemediği gibi...
Benim görevim kişisel güvenlik adına insanlara faydalı olabilmek. Sistem kaynaklı açıklarından dolayı madur olmamak için bu önerilerimi dikkate almanız dileklerimle...

~ Emrullah Akdemir

11 yorum:

  1. Abi çok güzel bi makale olmuş... Sizin gibi olmak için baya çalışıyorum.. Dualarımız daima sizinle... Selamlar Sevgiler...

    YanıtlaSil
  2. Bu adam işini biliyo gerçekten :) komple resmen. Güzel olmuş kardeşim.

    YanıtlaSil
  3. eline sağlık abi farkını koymuşsun yine :)

    YanıtlaSil
  4. hayran kaldım , ama dikkatimi birşey çekti bunu hatırlatırsan bir ara konuşalım allah zihin açıklığı versin

    YanıtlaSil
  5. Eline saglik usta somurelim bunlari :)

    YanıtlaSil
  6. Sonuç olarak sanal alemdeki iletişimin büyük bölümünü üstlenen microsoft bile bu kadar geri kafalı olabiliyor yani, alışmışlar yerinde saymaya ne diyelim.
    Eline sağlık abi bu arada makalelerin çok etkili okumaktan sıkılmıyorum sıkılmam :)

    YanıtlaSil
  7. Blogunuzu takip ediyorum, her yazınızı okuyorum ve çok beğeniyorum. Fakat merak ettiğim bir konu: neden kendinizi tanıtmıyorsunuz? Medyaya biraz kendinizi göstermelisiniz bence. Siz bugün nic.tr'ye kayıtlı tüm domain'leri çökertmiş bir insansınız. Kendi yaptıklarını sandığı sahte "hack"lerle dahi gündeme gelmeyi başaran redhack grubu'nun yanında sizin bu kadar içine kapanık olmanız beni üzüyor. Saygılar

    YanıtlaSil
    Yanıtlar
    1. Beğenileriniz ve olumlu eleştirileriniz için teşekkür ederim.
      Burada bahsettiğiniz konularda herkes amacına göre hareket ediyor.
      Daha önceden de bahsettiğim gibi kimileri medyatik olma amacıyla çalışır bu uğurda hiçbirşeyi düşünmeden kendince bahsettiği sözde ideolojilerinden bile vazgeçer. Kimilerinin amacı ise gerçekten toplum için yararlı olabilmektir , medya nihayetinde bir araç ve ben bu aracı enaniyet duyguları ve egolar için kullanmak istemiyorum. Zaten bu halkın çoğu popülariteyi sevdiğinden dolayı bu tür kişiler için yararlı olmanızın pek bir anlamı yoktur. O yüzden medyaya birşey anlatma derdinde olan ben olmamalıyım.

      Sil
  8. Güzel paylaşım olmuş Teşekkür eder başarılarınızın devamını dilerim.

    YanıtlaSil
  9. Hangi açık bu Emrullah, şifre yenileme maili isterken gönderdikleri linki aylar sonra kullanıp tekrardan şifreyi sıfırlayabilme olayımı :)

    YanıtlaSil
    Yanıtlar
    1. Hayır o şekilde kullanılabilen birşeye rastlamadım fakat hotmailin klasik logininden farklı bir giriş alanında yapılan bir işlem.

      Sil

Alexa Değeri