[Owasp-turkey] ADSL Modem (Yonetici Arayuzu) Güvenliği - TR [not]

Izzet Kerem Kusmezer keremskusmezer at gmail.com
Fri Oct 19 17:41:28 EDT 2007


Ogam olayi o kadar problem olmaz belki, ama bunda isin icinde turktelekomun
dagittigi modemler var,
biri devlet kurulusu otekisi oyun sitesi ve sadece exploiti anlatiyor, bu
direkt acigi exploit edip istatistik cikartmaya girmish oluyor.

ondan bence farkli ;) benimde eski superonline webmail acigini anlatan bir
yazim vardi, ama exploit edip raporunu sunmamishtim.
Ayrica msil buffer overflowumda var , ama o da sadece bildiri. ;)

TTNet ne yapsa yeridir, ondan tedbirli olmakta yarar var.
Bu arada insallah Almanya'daki yasa bizdede cikarilmaz, exploit yayinlamak
bile suc cunku ona gore :)

bu arada 24 Kasim hafta ici, calisan bircok arkadas icin zor olacaktir,
bende ankaraya gelmek istiyorum ama hafta ici imkansiz, daha onceki
toplantılardada yurtdisindaydim,  Istanbul meeting'i ne zaman olacak?
Mutlaka katılmak istiyorum :)

19.10.2007 tarihinde Bunyamin DEMIR <bunyamindemir at gmail.com> yazmış:
>
> Biri O-game e de haber etsinde bize dava açsınlar, onlar geç kalmış.
>
>
>
> 19.10.2007 tarihinde Bedirhan Urgun < urgunb at hotmail.com> yazmış:
> >
> >
> >  merhaba,
> >  evet ingiltere'deki hadiseyi hatirliyorum, bize de ayni sey olursa
> > benden fotografci da olmaz :). (gerci adam hakkindaki dava sonradan geri
> > cekilmisti diye hatirliyorum)
> >
> >  herneyse... kanun boyutunu her ne kadar gecen yaptigimiz etkinlikte
> > (OWASP gunu) ogrensem de, konu hakkinda cok saglikli yorum yapamayacagim
> > (zaten kanundan cok iyi anlamiyorsak biraz zor). O nedenle Adalet
> > Bakanligi'nda calisan İnternet ve Portal Şube Müduru tanidigim bir hakim
> > beye ilettim. Kendisi ayni zamanda 24 Kasim'da duzenleyecegimiz Ankara
> > etkinligine de katilacaklar (simdiden ufak duyurusunu yapayim dedim). Hakim
> > Beyin c evabina gore ve yaziyi beraber hazirladigimiz Gokhan ile
> > konustuktan sonra notu simdilik kapatiyorum. (http://www.webguvenligi.org/wp-content/uploads/2007/09/modem/index.htm)
> >
> >
> >  ilginiz icin tesekkurler. Ama konuyu irdelemek acisindan, listedeki
> > diger arkadaslar da fikirlerini soylerse cok iyi olurdu.
> >
> >  bedirhan
> >
> >  ------------------------------
> > Date: Fri, 19 Oct 2007 17:49:26 +0300
> > From: keremskusmezer at gmail.com
> > To: urgunb at hotmail.com
> > Subject: Re: [Owasp-turkey] ADSL Modem (Yonetici Arayuzu) Güvenliği - TR
> > [not]
> > CC: owasp-turkey at lists.owasp.org
> >
> > Merhabalar,
> >
> > Tarama raporunuz hakkında ufak ayrıntılar:
> >
> > + Her ne kadar tarama güvenlik güncellemesi çıkmış olsa bile, ben su
> > anda mesela kendimi basit bir script kiddie yerine koydugumda 3 satir kod
> > kullanarak 300 tane zombie makina elde edip, cokta guzel bir DDOS atağı
> > gerçekleştirebilirim.
> >
> > + 2 sene once OWASP mail grubunda Ingiltere'deki bir auditorun başına
> > gelen bir olay geldi birde aklima, tek yaptigi bagis yapmadan once bir
> > sitede non intrusive bir sekilde sql injection testi yapmasıydı. Ingilterede
> > meslekten men ve agir para cezasına çarptırıldı.
> >
> > + Sonuc olarak yapilan tarama ve ayni zamanda bos sifre kullanimiyla
> > yapilan karsi modeme giriş yapılması Bilişim Kanununa gore bilisim
> > sistemlerine yetkisiz erisim sucunun binlerce kez islenmis oldugunu
> > gosteriyor ve bence OWASP adi altında boyle bir girisimin gerceklesmesi
> > organizasyonun adina zarar verebilecek derecede yanlis bir yaklasimdir.
> >
> > Bundan dolayi bence bu makalenin bir an once yayindan kaldirilmasi gerek
> > OWASP Turkiye adina bir problem olusmasini, gerekse yapan arkadaslarin cezai
> > bir yaptirima ugrama risklerini ortadan kaldiracaktir.
> >
> > Ferruh'unda bu konudaki yorumunu ayrica merak ediyorum.
> >
> >
> > Saygilarimla
> > Kerem Kusmezer
> >
> >
> > 15.10.2007 tarihinde *Bedirhan Urgun* <urgunb at hotmail.com > yazmış:
> >
> >
> > Merhaba,
> >
> > "Ülkemizdeki ADSL modem yönetim arayüzlerinin güvenliği hakkında
> > spesifik bir çalışma ile önceden bilinen (Şubat 2007) ve bazı forumlarda yer
> > bulan 'yetersiz yetkilendirme' açıklığının şaşırtıcı sonucunu ve çözüm ..."
> >
> > http://www.webguvenligi.org/?p=83
> >
> > adresinden nota ulasabilirsiniz.
> >
> > bedirhan
> >
> >
> >
> >
> >
> > ------------------------------
> > Windows Live Hotmail and Microsoft Office Outlook – together at last. Get
> > it now!<http://office.microsoft.com/en-us/outlook/HA102225181033.aspx?pid=CL100626971033>
> >
> > _______________________________________________
> > Owasp-turkey mailing list
> > Owasp-turkey at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >
> >
> >
> > ------------------------------
> > Peek-a-boo FREE Tricks & Treats for You! Get 'em!<http://www.reallivemoms.com/?ocid=TXT_TAGHM&loc=us>
> >
> > _______________________________________________
> > Owasp-turkey mailing list
> > Owasp-turkey at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >
> >
>
>
> --
> Bunyamin Demir
> OWASP-Turkey Chair
> http://www.webguvenligi.org
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20071020/c3c9ee8f/attachment.html 


More information about the Owasp-turkey mailing list